天天在网上泡论坛，逛来逛去就逛到了红色黑客联盟，于是乎就想检测一下他们的网站，网站基本就是一个
动网8的论坛，俺手里也没有什么0DAY，直接来到“http://www.51snap.com”这里向大家推荐一下，不但能
查出IP绑定多少个域名，而且还能查出域名注册时候的电话了，DNS服务等等了。如图1。
450) {this.resized=true; this.width=450;}" border=0 resized="true">

　IP为219.232.235.203，查了一下绑了7个域名，一个一个的看吧。当看到www.yrpt.com的时候在后面加了个
admin出现了如图2的状态，说明下面还有文件，直接来个login.asp出现后台登录，用默认密码admin顺利进入，
可是后台根本没有利用的地方，太过简单，不过以前有人来过了，到处插的都是一句话木马，如图3，俺很郁闷，数据库类型
都不知道插这么多一句话干什么呀，莫非先来的兄弟已经知道数据库是ASP的了，而且已经知道路径了？

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.width=450;}" border=0 resized="true">

　把这个7个站一个个都检测完，俺也什么都没发现，那就检测C段吧，拿出cnSuperScan3.0来扫了一下全C段的21
端口，俺主要是找SU服务器，将来好提权，然后还装CAIN嗅它密码。如图4所示。

450) {this.resized=true; this.width=450;}" border=0 resized="true">
找到一个6.0的，219.232.235.125，就拿它开刀吧。
直接把IP放在“http://www.51snap.com”查一下，一共绑了20个域名，如图5。就不信一个漏洞也没有的，一个一个仔细
看，当看到www.guangyuanmiye.com发现了后台，直接用'or'='or'进去了，不过在后台折腾了半天，也没能得到WEBSHELL。
不过后台编辑器很像eWebEditor呀，如图6。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.width=450;}" border=0 resized="true">

如果有这东东就好办了，加上默认的数据库和后台地址没有出来。在看看还有什么别的路径，
拿出了wscan开始扫描，扫出了一个readme.txt，如图7。这个一般是说明文件，先打开看一眼，果然是说明文件，用的是“雷驰新闻发布管理系统 V1.0”，如图8，

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.width=450;}" border=0 resized="true">
直接百度一下，利用方法就出来了，黑萝卜写了一篇关于上传漏洞的文章，萝卜太可爱了，构造如下UPL
http://www.guangyuanmiye.c...，会弹出上传文件页面，然后在上传文件里面填要传的图片格式的ASP木马
就可以在uppic目录下上传文件名为test.asp的文件，我这里上传了一个一句话的小马,最后成功得了一个WEBSHELL。如图9。


450) {this.resized=true; this.width=450;}" border=0 resized="true">


　接下来上传SU.ASP提权成功，拿到了3389权限，不过进去之后有两个问题让我差点吐血，一个是装有ARP防火墙，更可气的是这个和219.232.235.203
不是一个网关的，整个C段分两个网关，这个只到128，如图10。白忙活了，不过俺不能放弃，直接在刚才扫出的21端口里在找，这次有经验了，找了一个
219.232.235.205，这次应该OK了，把这个IP拿到刚才的网站去查，不过很郁闷的是就一个域名。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.width=450;}" border=0 resized="true">

　拿出啊D，在上面打上google.com，在google.com里面打上asp?= site:leatherofworld.com，选项设置100，开始检测，还真跑出了几个注入点，而且还提示是
DB_OWNER权限，不过用啊D，明小子等等都列不了目录，表名猜出来也没有什么利用价值，而且在猜到密码的时候提示如图11。无奈之下又拿出wscan探测一下目录，这次扫到了
eWebEditor，直接用默认密码登录提示不对，试试默认数据库，成功下载。如图12。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

　接下来就是打开数据库，去MD5网站去破解，很幸运破解出来了，接着登录后台，如图13，关于这个拿WEBSHELL也不用俺在说了，我直接在WEBSHELL传了一个SU.asp，开始提权。如图14。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.width=450;}" border=0 resized="true">
接下来开始连219.232.235.205，成功连上，现在有两个思路，一个是抓哈希，破解出来，有可能203和205用的是同一个密码，可是当我花几个小时破解完哈希后确很郁闷的连不上，如图15。

450) {this.resized=true; this.width=450;}" border=0 resized="true">
接下来就是突破ARP防火墙了，看到有位好友在线，就不说出他网名了，直接问下他，他给我一个EST网址，上面是一个调凌玫瑰写的一个工具，原理就是跟arp防火墙比与网关发arp包
刷新mac地址的速度，发包工具将被欺骗的ip和mac不断的告诉网关，让网关不停的应答，然后网关就把你当成被欺骗的机器了。

　这个工具使用很简单，填上网关的IP和MAC地址，再填上被欺骗的IP和MAC地址，直接PING　219.232.235.203，在执行arp -a，mac地址就出来了，如图16。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

把这些填在上面在选择几个网卡
就可以了。如图17。这个工具最好能用两台同网关的服务器，一台发包，一台CAIN，我就用的是一台机器，嗅不了多长时间服务器就会挂掉，这个工具会造成网络堵塞，过了没几个小时嗅到了
红黑论坛一个超级版主的密码，如图18。

450) {this.resized=true; this.width=450;}" border=0 resized="true">

450) {this.resized=true; this.