还在睡梦中就被隆隆的春雷炸醒,哗啦啦的春雨倾盆而下,翻了翻身我又继续躺在席梦思上裹着被子做着我的一宿好梦,待醒过来才记起昨夜晾在屋外的衣服忘收了,跑去一看,唉,又得重新洗过了.......说什么也要找个女朋友来帮俺洗衣服.昨天最有成就感得一件事就这样被老天给糟蹋了,真是失败.
上午在市所听李老师讲课,讨论得是关于网络安全方面的技术问题,有些问题讲的太浅了,听了听觉得没什么价值于是干脆跑的自己的FTP服务器上把必备的"作案"工具都下了下来,祭起X-SCAN法器,对着218.75.2**.*网段就是一段猛扫,哈哈,居然发现好几台服务器都有弱口令;而且还有一台居然是超管权限的,呵呵,既然人家为我准备了这么好的实验环境,那我也就当仁不让了.:)
运行CMD内核,利用NET USE命令将它的C$映射到自己的H盘上,看了看安装的软件,发现这是一台邮件服务器,用的是第三方的邮件服务软件提供服务,本来想传个木马,发现它电脑里面安装了KV2004的防毒而且是自动更新,于是觉得还是开启3389来看看算了,临时下了一个开启3389服务的程序,拷贝到了服务器上的SYSTEM32目录下,改名为SYSTEM.EXE,退回到CMD SHELL中,利用AT \\地址 时间 执行命令 /YES让改程序在1分钟后自动运行,好像还可以用RUN \\地址\文件名来执行,不过没尝试过;1分钟后,服务器居然自动重启了,远程终端服务被启动还会被重启吗?真奇怪,还以为对方管理员发现了将服务器关掉了呢,呵呵,2分钟以后,PING该服务器发现它又重新上线了,用SSS扫描器再扫描了一次,3389的远程终端服务赫然在内,后面也就不用我多说了,进去以后发现管理员真的很好玩,虽然打了SP4的补丁,却发现GUEST用户居然也是超管权限,看样子有人比我先来一步了,为了安全起见,将服务器日志清空以后,顺便将它的GUEST用户禁用了,删去了一个多余帐户(也不知道是不是管理员自己的,反正觉得不对劲就顺手删掉了),将ADMINISTRATOR的权限降到了GUEST(不敢改密码,怕管理员进不去要重装系统);随即就退出了这台服务器.....
晚上回到办公室以后,隔壁单位的领导突然打电话过来,要求将他们VLAN中的40台连续IP地址的电脑限定只能访问几个规定的网站,呵呵,好久都没去调配ISA防火墙了,打开远程桌面连接,登陆到自己的代理服务器上,想了想在ISA服务器上做如下操作便达到了他的要求了,首先在目标地址集中新建一个目标集HX,将要求能访问的站点地址添加进去,然后在客户端地址中添加了两个地址集,一个当然是那40台连续IP地址的电脑,也就是将要被限定的访问的地址集,姑且称之为A地址集,另外一个地址集就是剩下的2个VLAN的地址加上除了那40台连续计算机的IP地址了,姑且称之为B地址集,然后在规则中添加将一开始的ANY REQUEST的ALLOW规则删去,另外添加两条规则,一条就是ALLOW但是目标集设置为HX,注意选择CUSTOM,然后再选择目标集,在下一步中指定该规则约束的对象为A地址集;第二条规则则是任意目标地址的约束范围设定为B地址集就行了,在局域网内测试通过,但是发现SOCKET代理异常缓慢,可能多加了两条规则中的地址判断导致的问题,暂时还没想到良好的解决方法,或许对问题的根源没有了解清楚,希望明天能够发现这个问题的本质,并能够顺利解决.
很晚了,明天8:00还要上班,觉得越来越累了,生命好像将要被透支完了....睡觉了,唉,有没有人想我啊,我可是很想念一个人啊....
