共开了10个端口，重要的有80,110,135,139，3389等等几个，可利用的服务不算多。从扫描的80信息显示是iis5.0，还开了一个win2k专有的远程桌面管理（port:3389），再加上端口的开放情况，现在能确定对方的系统一定是一台win2k+iis5.0，这是我比较熟悉的系统之一。
现在看来他没有对端口进行过滤，这是一个入侵者喜欢的开端。先从最基本的开始，看看能不能顺利与服务器建立空连接：
E:\>net use \\x.x.x.x\ipc$ "" /user:""
系统发生 53 错误。
找不到网络路径。
空链接漏洞被补上了，看来利用空链接枚举账号清单并尝试破解的想法要落空了，早就知道没这么容易。
下面再进行iis5.0的刺探吧，这个服务最复杂也最重要，所以winnt/2k的黑客很多研究都是基于这个服务的。先试试有没有idq溢出漏洞，选了好几种idq溢出点都没成功，看来网管要么删了idq映射要么给服务器打了sp3补丁，如果是打了这个补丁那么iis就不会有什么漏洞了。另一个对sp2补丁可能有效的asp溢出也试了，也没用，其它的如printer溢出就不用试了，因为那个溢出只应用到sp1。
下面进行iis扫描，我用的是xfocus安全小组开发的x-scan1.3扫描器，实践证明这个扫描器的漏洞资料库比较全面，它能扫出流光4.7扫不出的很多重要的cgi和iis等漏洞（包括打上sp2补丁包并没进行严格配置的win2k）。我把x-scan对win2k的扫描项都选上了，等了几分钟扫描终于完毕，生成检测报告，报告结果挺让我失望，没有一点问题，结合上面的扫描情况，我估计他很有可能给iis5.0打上了sp3补丁，我可不知道有什么漏洞可以突破打上最新补丁包的iis5.0，至少还没听说过打上sp3的iis5.0还有什么致命的漏洞。现在的分析结果是win2k+iis5.0+sp3。
其它方面就不太可能有漏洞了，比如登录上3389服务，看看有没有什么非系统自带的输入法，因为有些类型的输入法还是有帮助文件和URL的，比如有个旧版本的紫光输入法。
主页也没有什么漏洞。这时我朋友看我没有办法检测出漏洞入侵，非常得意，为自己的安全配置感到很放心。当从他口中得知的确是打上了win2k的最新补丁包sp3，我也放弃了继续分析下去，认为不会有什么明显漏洞了，也没有其它可利用的服务。接着他给了我开一个虚拟网站的账号，免费提供给我一个200Mb的服务空间,并且告诉我这个空间可以支持asp、php,并开放了所有权限给我（也就是说有脚本执行权）。哈，这回他得意忘形了吧。我照这个配置条件就可以拿到admin权限了。
我先用ftp 命令登录进去，的确是200Mb，完全免费，又开放所有脚本和权限，真爽。为了能更直观地表现过程，我下面全部使用CuteFTP图形界面软件xx作，下面是我上传文件的情况(见图2)：

我总共计划上传两个文件，一个是win.exe,一个是temp.asp。win.exe是我精心配置的一个大小仅有几kb的木马，功能不但强大，最大的好处是目前还不被含最新病毒库的金山毒霸查杀。还有一个就是大家熟知的asp木马cmdasp.asp(我把它改名为temp.asp，这样防止过快被网管注意)。Temp.asp它不光是个特殊木马，有些时候也只能利用它才能拿到admin。
两个文件很快就上传完毕了。我们现在可以用刚上传上去的asp木马查看一下服务器的详细情况了，见图3：

顺便查查我的xhacker空间目录在什么位置，用这条命令dir/s d:\xhacker
很快得出结果：

驱动器 D 中的卷没有标签。
卷的序列号是 F00B-626E
d:\web2\xhacker 的目录
2002-06-02 19:57 6,976 win.exe
1 个文件

[1] [2] [3] [4] 下一页