近日，闲的无聊和朋友聊天，朋友说起他手上的一个站，成功突破其网页服务器后，由于对方采用web和sql server数据库分离模式，尝试了各种手段，迟迟都没有拿到数据库权限，经过反复检测，正准备放弃。感觉不像朋友的风格，这小子一般是不达目的不罢休的，今天这么容易就放弃了，看来对方内网防范的还挺强。感觉挺有意思，也想看看这么BT的内网，顺带学习一下，尤其是对内网的防范上，因为现在内部网络维护也是一项很流行的技术，既要方便内部人员办公，又要防范部门贪玩的员工从内破坏，窃取关键资料。因此安全设置上还是要讲究很多技巧的。于是和朋友要了该网页服务器的账号密码，用远程桌面登陆了进去，对该内网进行渗透测试。

（一）内网渗透之信息收集

1.本地信息收集

通过“type c:\boot.ini” 命令查看一下本机的操作系统类型，如图1所示，该服务器是一台Windows 2000 Server。

图1获取服务器操作系统类型

2.获取内网规模和模式

通过“net view”命令再查看一下网络规模和组网模式，该网络规模很小，且采用的是工作组模式，从机器命令来看，有两台名称中包含了SERVER，如图2所示，SQLSERVER应该就是我们的目标了，呵呵，有时候网管为了方便自己管理，计算机名称跟实际功能一致，这样也方便了入侵者。

图2 获取攻击目标信息

3.目标IP地址和服务器类型等信息收集

我们先获取一下目标的IP地址，通过执行“ping sqlserver”命令获取该主机的IP地址为“192.168.16.99”，它就是我们要拿下的目标了，从TTL值我们初步判断目标操作系统为windows系统。

图3 获取目标IP地址等信息

4.获取端口开放情况

使用sfind扫描获取的ip地址，从扫描的结果来看，服务器开放了135、139、445、1433端口。再使用sfind扫描整个192.168.16.1-192.168.16.255这个C段1433端口开放情况，只有目标IP开放了1433端口。从获取的信息进一步判断，192.168.16.99就是我们的目标服务器。该目标服务器的安全应该说做的还不是特别严格的那种，除了提供SQL连接的1433端口外，还开放了135、139、445三个危险端口，如图4所示。

图4 获取目标服务器端口开放情况

我们再换一个扫描器，因为sfind使用的是快速扫描模式，有些信息获取的还不是很完整，而且为了避免工具的BUG而导致目标的信息获取不全，我们再使用扫描之王NMap对目标IP再进行一次扫描检测以获取更丰富的信息。

使用-O参数获取一下对方的端口开放情况以及目标操作系统，大家可以看到获取的信息和内容都要比sfind丰富的多，如图5所示，而且还能检测出一些sfind未能检测出来的端口，不过这些开放的端口一时我也没想到什么较好的利用办法。不过我们从获取的操作系统的类型判断目标操作系统应该也是Windows 2000 Server。

图5 使用nmap工具来获取目标更多信息