近日，閑的無聊和朋友聊天，朋友說起他手上的一個站，成功突破其網(wǎng)頁服務(wù)器后，由于對方采用web和sql server數(shù)據(jù)庫分離模式，嘗試了各種手段，遲遲都沒有拿到數(shù)據(jù)庫權(quán)限，經(jīng)過反復(fù)檢測，正準(zhǔn)備放棄。感覺不像朋友的風(fēng)格，這小子一般是不達(dá)目的不罷休的，今天這么容易就放棄了，看來對方內(nèi)網(wǎng)防范的還挺強。感覺挺有意思，也想看看這么BT的內(nèi)網(wǎng)，順帶學(xué)習(xí)一下，尤其是對內(nèi)網(wǎng)的防范上，因為現(xiàn)在內(nèi)部網(wǎng)絡(luò)維護(hù)也是一項很流行的技術(shù)，既要方便內(nèi)部人員辦公，又要防范部門貪玩的員工從內(nèi)破壞，竊取關(guān)鍵資料。因此安全設(shè)置上還是要講究很多技巧的。于是和朋友要了該網(wǎng)頁服務(wù)器的賬號密碼，用遠(yuǎn)程桌面登陸了進(jìn)去，對該內(nèi)網(wǎng)進(jìn)行滲透測試。

（一）內(nèi)網(wǎng)滲透之信息收集

1.本地信息收集

通過“type c:\boot.ini” 命令查看一下本機的操作系統(tǒng)類型，如圖1所示，該服務(wù)器是一臺Windows 2000 Server。

圖1獲取服務(wù)器操作系統(tǒng)類型

2.獲取內(nèi)網(wǎng)規(guī)模和模式

通過“net view”命令再查看一下網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式，該網(wǎng)絡(luò)規(guī)模很小，且采用的是工作組模式，從機器命令來看，有兩臺名稱中包含了SERVER，如圖2所示，SQLSERVER應(yīng)該就是我們的目標(biāo)了，呵呵，有時候網(wǎng)管為了方便自己管理，計算機名稱跟實際功能一致，這樣也方便了入侵者。

圖2 獲取攻擊目標(biāo)信息

3.目標(biāo)IP地址和服務(wù)器類型等信息收集

我們先獲取一下目標(biāo)的IP地址，通過執(zhí)行“ping sqlserver”命令獲取該主機的IP地址為“192.168.16.99”，它就是我們要拿下的目標(biāo)了，從TTL值我們初步判斷目標(biāo)操作系統(tǒng)為windows系統(tǒng)。

圖3 獲取目標(biāo)IP地址等信息

4.獲取端口開放情況

使用sfind掃描獲取的ip地址，從掃描的結(jié)果來看，服務(wù)器開放了135、139、445、1433端口。再使用sfind掃描整個192.168.16.1-192.168.16.255這個C段1433端口開放情況，只有目標(biāo)IP開放了1433端口。從獲取的信息進(jìn)一步判斷，192.168.16.99就是我們的目標(biāo)服務(wù)器。該目標(biāo)服務(wù)器的安全應(yīng)該說做的還不是特別嚴(yán)格的那種，除了提供SQL連接的1433端口外，還開放了135、139、445三個危險端口，如圖4所示。

圖4 獲取目標(biāo)服務(wù)器端口開放情況

我們再換一個掃描器，因為sfind使用的是快速掃描模式，有些信息獲取的還不是很完整，而且為了避免工具的BUG而導(dǎo)致目標(biāo)的信息獲取不全，我們再使用掃描之王NMap對目標(biāo)IP再進(jìn)行一次掃描檢測以獲取更豐富的信息。

使用-O參數(shù)獲取一下對方的端口開放情況以及目標(biāo)操作系統(tǒng)，大家可以看到獲取的信息和內(nèi)容都要比sfind豐富的多，如圖5所示，而且還能檢測出一些sfind未能檢測出來的端口，不過這些開放的端口一時我也沒想到什么較好的利用辦法。不過我們從獲取的操作系統(tǒng)的類型判斷目標(biāo)操作系統(tǒng)應(yīng)該也是Windows 2000 Server。

圖5 使用nmap工具來獲取目標(biāo)更多信息