前幾天拿到一個站的shell，windows2000系統(tǒng)，提權(quán)成功，3389沒開，打開3389，待服務(wù)器重啟之后，lcx轉(zhuǎn)發(fā)，3389登陸。

進(jìn)入服務(wù)器后發(fā)現(xiàn)同C段只有一臺主機(jī)192.168.0.50

于是就感覺奇怪，怎么說這個拿的這個站的單位也是小有規(guī)模的，怎么就一臺呢….于是就想到了，服務(wù)器是再DMZ區(qū)，用來與外界通信，肯定還存在一個內(nèi)網(wǎng)！

像下圖：

隨后驗(yàn)證我的猜想，進(jìn)入網(wǎng)關(guān)，IE訪問之后發(fā)現(xiàn)是sonicwall防火墻，可是沒有管理的賬戶密碼，一般的路由交換防火墻之類的都有一個系統(tǒng)預(yù)設(shè)的賬戶，如果管理員沒有修改這個賬戶，那豈不是便宜我們了，于是調(diào)用百度，谷歌，還有官方的客戶視頻，終于知道這個型號的防火墻默認(rèn)密碼是admin   password

隨后嘗試登陸，RP真好，管理沒有改密碼，登陸成功，進(jìn)入防火墻之后，發(fā)現(xiàn)我的猜想是對的，整個內(nèi)網(wǎng)費(fèi)的分布盡收眼底.

我們現(xiàn)在所處的位置就是DMZ區(qū)，與防火墻X3端口相連接，192.168.0.1/24   本機(jī)地址是192.168.0.50/24

得到LAN所在的網(wǎng)段是10.0.0.1/21

Ping了下這個網(wǎng)段能正常通信，去LAN的路是沒什么問題。現(xiàn)在首先要做的是把3389端口給映射出來，省的每次登陸都要轉(zhuǎn)發(fā)。。

先在DMZ的這臺服務(wù)器上進(jìn)行一些操作

VNCPassView得到密碼  其實(shí)后來并沒有用到這個。

用Hscan進(jìn)行一下掃描，掃出兩個sa弱口令，爽歪歪。

10.0.0.40 sa弱口令登陸數(shù)據(jù)庫，利用xp_cmdshell成功添加管理員賬號   admin$    admin

就用這個來進(jìn)行LAN信息的刺探

于是登陸3389，發(fā)現(xiàn)管理員正登陸在這臺機(jī)器上，為了不打草驚蛇，先Telnet吧

用IPC$建立連接，打開Telnet，登陸Net view

查看本機(jī)在LAN中的角色ipconfig /all

從信息來看，存在一個域，這臺機(jī)器就在這個域中，ping下域服務(wù)器名得到地址10.0.0.6

看下本機(jī)在域內(nèi)的角色

看來只是個普通角色

查看域用戶net user /domain

好多好多，看看，域管理員是哪些

得到了初步內(nèi)網(wǎng)信息的刺探。

在Telnet下實(shí)在不爽，而且照這個時間來看，對方是凌晨，怎么還有這么敬業(yè)的管理員凌晨還在工作，不管他直接3389進(jìn)去

然后中上WinLogonHack,等待記錄域管理員登陸3389的密碼， 我暫時沒有用到cain來嗅探，動作太大了不好。。。（ps：其實(shí)我手上的cain還是中文的，傳上去會一堆亂碼，慚愧）

上傳GetHashes

GetHash

經(jīng)過N長時間的跑密碼。終于破解。

我們猜想administrator的密碼會不會跟域管理員的密碼相同呢？

驗(yàn)證猜想，登陸域管理主機(jī)。

現(xiàn)在我們知道了域服務(wù)器是10.0.0.6那么我們遠(yuǎn)程登錄試試，沒想到一登錄都沒驗(yàn)證就直接進(jìn)服務(wù)器了，踏破鐵鞋無覓處，得來全不費(fèi)工夫?。?！

這里向各位大牛求解，進(jìn)去之后發(fā)現(xiàn)管理員在線。

隨后添加域管理員賬號admin$  admin!@#

成功添加域管理賬號，整個域就任我行走啦~~~此次滲透就差不多結(jié)束了，其實(shí)LAN絕對不止10.0.0.1-255這點(diǎn)機(jī)器，注意上面的子網(wǎng)掩碼，10.0.1.0-255等等好多。