对有防火墙主机的入侵渗透

一、初探

当我尝试访问某个网站时，发现连接超时。我猜测可能是防火墙的阻挡或是策略限制。于是，我使用superscan工具扫描开放的端口，发现存在多个开放的端口，初步判断可能是软件防火墙在运作。

二、注入攻击

深入源代码，我发现了关键字asp，并找到了一个潜在的注入点。利用nbsi进行注入尝试，竟然成功使用sa口令登陆。我迅速添加了一个用户，命令执行成功，让我窃喜。管理员似乎疏忽了这一点，我顺利上传了一个老兵的asp木马。通常，我喜欢先上传webshell，将其权限提升至system级别，这样后续操作更为便捷。

三、权限提升

为了更深入了解系统权限，我运行了以下命令：

cscript C:\Inetpub\AdminScripts\adsutil.vbs get /W3SVC/InProcessIsapiApps

返回的列表中包含了多个dll文件。接着，我将asp.dll也加入了列表。之后，通过asp木马添加了一个用户，命令再次成功执行。

四、TerminalService

接下来，我转向开启3389端口。通过net start查看，发现TS服务已经开启，但端口并未显示为3389。经过netstat -an检查，我发现其实3389端口是开启的，只是被防火墙掩盖了。为了绕过防火墙，我上传了一个特征码被修改的20CN反弹木马。通过木马关闭防火墙后，我成功使用3389登陆器进入。在此情况下，一种常见的高级方法是使用fpipe实现端口重定向或httptunnel等工具。还有一种工具despoxy可以穿透http代理，有兴趣的朋友可以尝试一下。

五、建立简单后门

1. 我更改了FSO名称，确保我的系统权限木马更为隐蔽。

2. 放置了几个rootkit和网络上少见的后台程序。

3. 我倾向于不放置过多的后台程序，以免过于繁琐。

六、网络监控（Sniffer）

在TS界面下，我下载了网络嗅探器。使用ARPsniffer查看内网情况，没有发现任何内网机器。而外网扫描结果显示整个IP段都有网站存在，但只有两三个IP是活跃的小型网站。接下来的稍显平淡。整个过程下来，我的技术操作得到了良好的实践和应用。