應(yīng)一個(gè)朋友的邀請，對他們所在網(wǎng)段進(jìn)行內(nèi)部和外部安全滲透，看看他們公司網(wǎng)站系統(tǒng)以及業(yè)務(wù)系統(tǒng)是否安全，朋友公司的網(wǎng)絡(luò)環(huán)境為：

（1）一個(gè)IDC網(wǎng)絡(luò)

（2）兩臺防火墻

（3）2個(gè)路由器

（4）2個(gè)交換機(jī)

（5）6臺Web服務(wù)器

（6）2臺業(yè)務(wù)服務(wù)器

（7）2個(gè)數(shù)據(jù)庫服務(wù)器

公司個(gè)人計(jì)算機(jī)100多臺，聘請有單獨(dú)的網(wǎng)管，網(wǎng)管對于網(wǎng)絡(luò)管理比較在行但是對于安全檢測等方面比較薄弱。由于近期老出現(xiàn)網(wǎng)絡(luò)速度緩慢，懷疑公司網(wǎng)絡(luò)是否遭到了攻擊，因此需要對該網(wǎng)絡(luò)進(jìn)行安全滲透測試并對該網(wǎng)絡(luò)進(jìn)行安全評估。

通過一個(gè)星期的測試，發(fā)現(xiàn)了該公司的一些問題，在測試過程對該公司所在C段地址進(jìn)行了端口和服務(wù)掃描，僅僅發(fā)現(xiàn)一臺計(jì)算機(jī)開放3389端口。由于當(dāng)時(shí)為了完成朋友交給的任務(wù)，所以就沒有細(xì)看。最近閑的無事，又想驗(yàn)證一個(gè)新的想法，因此開始對該IP地址實(shí)施安全滲透檢測，后面檢測的結(jié)果讓我大吃一驚，居然是電信服務(wù)器！為了促進(jìn)我國整體網(wǎng)絡(luò)安全，特撰文，期待能夠引起相關(guān)工作人員的注意，同時(shí)我們作為一名安全技術(shù)愛好者，期待更多朋友提供安全線索，我以及我們的安天365團(tuán)隊(duì)（antian365.com）將樂意免費(fèi)為您進(jìn)行安全滲透和檢測，唯一的一點(diǎn)要求就是能夠在系統(tǒng)加固后將整個(gè)過程撰文與大家分享！下面是整個(gè)滲透過程，由于是電信服務(wù)器，沒敢太深入滲透。

（一）端口和服務(wù)的再次掃描

最簡單也是最省事的方法就是使用X-Scan3.3進(jìn)行漏洞掃描，看看是否存在一些明顯的漏洞，很是遺憾，結(jié)果中無明顯漏洞提示。對方計(jì)算機(jī)3389端口仍然開放，而且這次增加了21端口！21端口一般來為“Ftp服務(wù)”。使用hscan加上一個(gè)強(qiáng)健的字典對該服務(wù)器進(jìn)行Ftp暴力猜解。

（二）偶得一漏洞

有些計(jì)算機(jī)開放3389端口，也不一定能夠登錄，先測試看看該計(jì)算機(jī)能否進(jìn)行遠(yuǎn)程終端連接。直接使用遠(yuǎn)程終端進(jìn)行連接，輸入IP地址，然后單擊“連接”，很快就出現(xiàn)了我們比較熟悉的遠(yuǎn)程終端連接界面，能夠使用！

在用戶中輸入Administrator，密碼隨便輸入一個(gè)，然后單擊“確定“，看看能否進(jìn)入，MyGod，隨便輸入一個(gè)密碼也能進(jìn)去，難道是運(yùn)氣！后面我logoff后，再次登錄，隨便換了一個(gè)密碼也進(jìn)去了，暈！我一直不明白，還有這樣一個(gè)漏洞！后面我才知道，有一個(gè)軟件，運(yùn)行后，只要用戶名正確，隨便輸入一個(gè)密碼都可以進(jìn)去，號稱最隱蔽的“后門”。

（三）查看計(jì)算機(jī)

既然已經(jīng)進(jìn)去了，那就得好好看看。看看計(jì)算機(jī)中有些什么，是否存在Radmin、Pcanywhere、vnc、CuteFtp等軟件，通過查看，發(fā)現(xiàn)計(jì)算機(jī)中安裝了Radmin2.X版本，直接使用Radmin View查看，里面有一大堆計(jì)算機(jī)，有七八十臺計(jì)算機(jī)都被安裝了Radmin遠(yuǎn)程控制軟件，如圖1所示。

圖1 從Radmin客戶端中保存的其它被管理計(jì)算機(jī)信息

從圖1中我們可以看到有“對賬”、“信產(chǎn)260”以及其它一些IP地址信息，看來該服務(wù)器還是一個(gè)網(wǎng)絡(luò)入口，通過這個(gè)我感覺應(yīng)該是政府的服務(wù)器。再本機(jī)翻了翻，有一個(gè)“凱星自助服務(wù)平臺”，運(yùn)行需要密碼，通過Google也沒有搜索結(jié)果，服務(wù)器IIS也沒有安裝，看不出來該服務(wù)器是干什么的，既然如此就看看內(nèi)網(wǎng)情況。

（四）對內(nèi)網(wǎng)進(jìn)行滲透測試

既然使用radmin進(jìn)行管理，那么可以使用radmin密碼掃描工具來看看是否可以獲取這些客戶端的密碼，從radmin客戶端中取一個(gè)IP地址最小值和最大值，選擇的范圍是134.226.0.1-134.255.255.255，然后保存在IP.txt文件中，使用口令掃描工具進(jìn)行掃描，如圖2所示，很快其Radmin密碼就出來了。

圖2 掃描Radmin口令

說明：
（1）由于該網(wǎng)段比較大，全部掃描花了一個(gè)晚上，第二天上去將結(jié)果進(jìn)行整理，呵呵，除了幾個(gè)IP地址的Radmin口令沒有掃描出來其它全部掃描出來了，將其整理后如圖3所示。

圖3 Radmin掃描結(jié)果

（2）其實(shí)還有另外一種掃描方式，就是先使用s.exe對存在4899端口的計(jì)算機(jī)進(jìn)行掃描，然后再使用Radmin弱口令掃描器進(jìn)行掃描，這樣時(shí)間會(huì)更快。