近日，閑的無聊和朋友聊天，朋友說起他手上的一個站，成功突破其網頁服務器后，由于對方采用web和sql server數據庫分離模式，嘗試了各種手段，遲遲都沒有拿到數據庫權限，經過反復檢測，正準備放棄。感覺不像朋友的風格，這小子一般是不達目的不罷休的，今天這么容易就放棄了，看來對方內網防范的還挺強。感覺挺有意思，也想看看這么BT的內網，順帶學習一下，尤其是對內網的防范上，因為現在內部網絡維護也是一項很流行的技術，既要方便內部人員辦公，又要防范部門貪玩的員工從內破壞，竊取關鍵資料。因此安全設置上還是要講究很多技巧的。于是和朋友要了該網頁服務器的賬號密碼，用遠程桌面登陸了進去，對該內網進行滲透測試。

（一）內網滲透之信息收集

1.本地信息收集

通過“type c:\boot.ini” 命令查看一下本機的操作系統類型，如圖1所示，該服務器是一臺Windows 2000 Server。

圖1獲取服務器操作系統類型

2.獲取內網規模和模式

通過“net view”命令再查看一下網絡規模和組網模式，該網絡規模很小，且采用的是工作組模式，從機器命令來看，有兩臺名稱中包含了SERVER，如圖2所示，SQLSERVER應該就是我們的目標了，呵呵，有時候網管為了方便自己管理，計算機名稱跟實際功能一致，這樣也方便了入侵者。

圖2 獲取攻擊目標信息

3.目標IP地址和服務器類型等信息收集

我們先獲取一下目標的IP地址，通過執行“ping sqlserver”命令獲取該主機的IP地址為“192.168.16.99”，它就是我們要拿下的目標了，從TTL值我們初步判斷目標操作系統為windows系統。

圖3 獲取目標IP地址等信息

4.獲取端口開放情況

使用sfind掃描獲取的ip地址，從掃描的結果來看，服務器開放了135、139、445、1433端口。再使用sfind掃描整個192.168.16.1-192.168.16.255這個C段1433端口開放情況，只有目標IP開放了1433端口。從獲取的信息進一步判斷，192.168.16.99就是我們的目標服務器。該目標服務器的安全應該說做的還不是特別嚴格的那種，除了提供SQL連接的1433端口外，還開放了135、139、445三個危險端口，如圖4所示。

圖4 獲取目標服務器端口開放情況

我們再換一個掃描器，因為sfind使用的是快速掃描模式，有些信息獲取的還不是很完整，而且為了避免工具的BUG而導致目標的信息獲取不全，我們再使用掃描之王NMap對目標IP再進行一次掃描檢測以獲取更豐富的信息。

使用-O參數獲取一下對方的端口開放情況以及目標操作系統，大家可以看到獲取的信息和內容都要比sfind豐富的多，如圖5所示，而且還能檢測出一些sfind未能檢測出來的端口，不過這些開放的端口一時我也沒想到什么較好的利用辦法。不過我們從獲取的操作系統的類型判斷目標操作系統應該也是Windows 2000 Server。

圖5 使用nmap工具來獲取目標更多信息