图8 成功建立连接通道

　　4.登录服务器

　　单击“开始”-“运行”，在其中输入“mstsc”，打开远程终端连端，在计算机中输入连接地址“127.0.0.1:2008”，出现连接界面后输入用户名和密码，成功登录服务器，如图9所示。

　　图9 登录服务器

　　5.获取服务器密码

　　将saminside.rar压缩文件解压到本地，然后双击saminside.exe文件运行saminside，如图10所示，单击三个小人的图表，在出现的列表中选择“Import Local using Scheduler”，接着程序就会自动获取服务器中的用户密码等信息。

　　图10 运行saninside获取服务器密码

　　一般20秒左右，saminside程序会将系统中存在的可以获取密码用户的相关信息读取出来，如图11所示，可以看到有5个用户信息，其中用户“1”密码比较简单直接读取出来，其余密码设置较为复杂，其信息显示在saminside的信息表中，分别选中user中的复选框，在菜单中单击“File”-“Export users in PWDUMP file”，导出密码文件到指定的文件中。

　　图11导出用户密码

　　6.快速破解服务器密码

　　整理刚才“Export users in PWDUMP file”的文件，本案例中仅仅选择“administrator”用户的记录，清理无用信息后打开ophcrack，将其load进去，如图12，单击Crack进行破解，不到2分钟该密码就被破解出来了。

图12破解服务器密码

　　(四)其它信息获取

　　1.读取VPC密码

　　使用刚才破解的密码重新登录系统，登录系统后，在该系统中安装了VNC远程管理软件，直接上传一个VNCPassView软件，运行后即可读取其密码，如图13所示。

　　图13 获取VNC密码

　　2.获取数据库密码

　　通过查看各个磁盘的内容，在E盘发现有网站的备份文件，如图14所示，其中的“数据库.txt”文件记录了数据库服务器(172.19.0.27)的用户名和登录密码。

图14 获取数据库密码

　(五)总结和讨论

　　(1)快速密码获取。在添加一个管理员用户的情况后，通过端口映射登录系统后，通过上传saminside，可以在1分钟内快速获取服务器中原有用户的密码hash。获取系统hash后通过ophcrack又可以快速破解，从而获取原有系统的用户密码。

　　(2)在获取原有系统的用户名和密码后，使用其登录系统，通过一些工具软件可以快速获取系统中一些有用信息。

　　(3)在外网仅仅开放80端口，如果Web程序部署和编写存在漏洞，通过端口映射等手段完全可以渗透进入内网，在突破第一道防线后，再对内网进行渗透就容易多了。

　　(4)saminside和gethashes等工具在用户密码过长的情况下是无法获取的，只能使用特殊的方法来获取。