信息學院並不大，佔地不過幾萬平方米，所有的大樓加起來也就二十棟不到的樣子，而學校機房則在教學區D棟三樓。

　　這個點，操場上已經沒有了多少人在逛，安安靜靜的只有路燈朦朧的光輝。蕭雲飛穿過操場，直接往D棟走去。

　　D棟在教學區的最中間位置，正對學校大門口。整個D棟一共六層，其中一二層是教室，三層是機房，四層是教室辦公室，五六層則是實驗室。

　　教學樓裡昏昏暗暗的只有渺渺幾個教室還有燈光照出，一口氣爬到三樓，蕭雲飛小心的避過攝像頭，又穿過一道厚重的鐵門，才來到了機房外面。

　　長長的走廊裡黑漆漆的，還有冷風吹出，蕭雲飛不覺的拉緊了衣裳。

　　D棟教學樓呈凹形，而機房則佔據了三樓右邊凸出的三個房間。

　　三個房間連在一起，只有一排窗子和一個進出的門。

　　看了看鐵皮包裹的門，已經上了鎖。蕭雲飛又站在窗子邊往裡看去，房間裡面，一排排櫃子般的機器嗡嗡作響，偶爾還有led燈光閃爍。窗戶倒是沒有關，只是卻進不去，因為窗子上有密集的防盜網。

　　拿出手機，蕭雲飛打開wifi搜索了一下，只是wifi列表裡並沒有在附近找到無線網。

　　“看來都是網線連接，也是，這樣至少更安全。”蕭雲飛笑了笑，倒是自己想的太簡單了，以為學校為了方便，內網也開了wifi。可現在看來，學校老師對安全方面還是考慮的比較周到的，不管怎麽說，畢竟是計算機學院，在這上面出漏子了丟人就丟大了。

　　既然沒法從wifi下手，那麽能不能想辦法進機房?蕭雲飛看著機房緊閉的門鎖有點沉吟。

　　不行，從機房下手太難了，而且容易暴露。除了機房，學校裡哪些地方還要連接內網的?蕭雲飛大腦飛快的思考。

　　教室裡是不會有內網的，因為用不到。但內網既然做的這麽嚴密，很顯然裡面有重要的數據。既然有數據，就得有更改，輸入數據的地方。那麽首先校長辦公室的電腦是一定會連接了內網的。

　　畢竟整個學校，就校長權利最大！

　　但校長辦公室的話，又太危險了。再怎麽說自己只是一個學生，無緣無故跑去校長辦公室實在說不過去。

　　那除了校長辦公室還有哪裡會用到內網呢?應該還會有的，再仔細想想，蕭雲飛踱著步子，來回思考。慢慢的他突然抬起了頭，就看到從機房延伸出來的網線，密密麻麻的沿著牆角一路纏繞，其中還有一小股順著縫隙鑽往了樓上。

　　樓上?對了！教師辦公室！

　　蕭雲飛眼鏡一亮，一打響指，轉身就上了樓。

　　四樓，這一整樓層都是辦公室。蕭雲飛飛快的轉了一下，發現一共有十二個小房間。其中九間已經門窗緊閉，早已上了鎖。

　　畢竟大學老師空閑時間還是很多的，而且現在還是晚上11點了。如果還沒下班就怪了，他早已猜到大概是這個結果。

　　空空的走廊上只有中間的一個房間還亮著燈，長方形的燈光從辦公室的門框印下，把走廊分割成了三段。

　　其他兩個房間則是燈滅了，但門虛掩著，想來教師可能臨時有事出去了。

　　蕭雲飛慢慢的走了過去，在亮著燈的那個辦公室門前探頭望了兩眼，只見原本不大的辦公室裡擺放著兩張大大的辦公桌，兩男一女三個老師在裡面悠閑的磕著瓜子，不時的聊上那麽一兩句。

　　這三個老師裡他隻認得一個，左邊那個矮矮胖胖的漢子是他們班的網頁老師，其他兩個則沒有印象。

　　蕭雲飛不動聲色的退了回來，一閃身，鑽進了其中一個沒關門的房間裡。

　　這個辦公室離那三個老師聊天的辦公室最遠，為了安全起見故而蕭雲飛選擇了這間。

　　辦公室裡很暗，蕭雲飛一進來就隻覺雙眼一黑，眼睛還沒從光線的劇烈變化中適應過來。深深的吸了一口氣，強壓下內心的忐忑。他拿出了手機，把屏幕的光調到最暗，然後當做手電筒舉了起來。微弱的光線下可以看到辦公室裡滿滿的堆滿了各色各樣的文檔和資料，倒是中間的桌上四方四正的放著一個筆記本。

　　蕭雲飛小心的走了過去，無聲無息的坐下。

　　嗯，鼠標還有燈光，電腦應該沒關，只是是鎖屏了。

　　蕭雲飛直接移動了一下鼠標，隨著系統聲音的響起，整個電腦屏幕幽幽的亮了起來。

　　映入眼簾的是一個視頻網頁，網頁裡正打開著某連續劇的播放頁面，只是被點了暫停。

　　蕭雲飛打開瀏覽器的瀏覽記錄，一個個開始查找。

　　他要找到內網的登錄頁面，一般這種大型信息都是有處理後台的，後台就是他的切入點。

　　汗水順著臉滑下，蕭雲飛稍微有點緊張。雖然目前辦公室沒有人，但老師既然沒有關門就證明不會走遠，隨時有可能回來。甚至非常有可能就在不遠處的那個教室裡，和女老師聊著天。

　　如果被抓到，那可就說不清了。說小了是偷電腦，說大了就是那個那個了隨別人怎麽說。但可以肯定的是，蕭雲飛不說被開除，起碼也要落一個留校查看的處置。

　　快快快！他一條條記錄迅速的查找，只是歷史記錄足足有幾千條，看的眼睛一陣發花。

　　終於，當記錄快被翻到低的時候，蕭雲飛才在滿滿的列表裡找到了一行叫職工系統的網頁。

　　雙擊點開，瀏覽器便彈出了一個新窗口，下方的訪問進度條也開始移動起來。只是移動的速度很慢，不一會兒就停著不動了。

　　刷~網頁直接跳掉，轉到了一個無法訪問的界面。

　　對了，網線！這老師既然是在看電影，那麽很明顯用的不是內網。

　　網線！網線！網線在哪裡?蕭雲飛趕緊回頭，在周圍翻找。

　　地上?沒有！牆上！也沒！哪裡?在哪裡?蕭雲飛手忙腳亂的四下掃看。

　　在這！就當他準備起來看看在沒在桌子下面的時候，終於在電腦旁邊，書堆縫隙裡，看到了一根綠綠的網線被壓在書堆下面。

　　斷開無線網連接，插入網線。蕭雲飛又緊緊的盯著電腦任務欄的狀態圖標。

　　隨著列表裡的一個小電腦圖標不停的轉動，久久的才變成了一台工作中的電腦圖標，蕭雲飛長長的舒了口氣，呼~總算連接上了。

　　雙擊點開職工系統。

　　嘩~網頁跳轉，進入到了一個信息頁面。頁面是一個登陸框，提示訪問者輸入帳號，密碼。

　　靠！居然不保存帳號密碼！浪費時間！

　　蕭雲飛原本以為有些老師會為了方便省事，會直接在瀏覽器裡面保存帳號密碼。但現在看來，自己並不走運啊。

　　看了看時間，已經過去了兩分鍾。蕭雲飛擦了擦汗，豎著耳朵聽了聽門外的動靜，同時思考對策。

　　在這電腦上植入一個後門?不，這樣顯然行不通，雖然這台電腦有時候會進入這個後台。但那是在接進內網的情況下！對方既然連接了內網，那蕭雲飛就不能遙控了，因為兩者不是在同一網絡平台上面。

　　雖然可以做個後門小程序，等這台電腦接入這個網站的時候就啟動，來盜取信息，但那樣顯然太慢太慢，鬼知道要多久。

　　不行，看來得破解了。

　　怎麽破呢?暴力破解肯定不行，時間根本不夠！

　　既然用的是內網，那麽這個網站的安全性應該不會做的那麽強吧?蕭雲飛心裡也沒有底，而且現在不僅時間緊迫，更是沒有任何可以借助的工具。

　　只能把希望放在老師偷懶上了，其實這種可能性是有的。因為本來就是內網系統，安全性能已經很高了，其他方面少做一點也能理解。

　　蕭雲飛想了想，用了一個帶參數的ASP鏈接，在網址後面提交AND　1=1。

　　當~系統錯誤的聲音響起，網頁直接彈出一個對話框，提示:非法的ID參數。

　　這樣貌似不行啊?再從哪裡找突破口?對了，如果一個網站的防注入不是過濾得很嚴的話，倒是可以試試or注入。他鍵盤一陣敲點找到注入點，然後向網站注入點提交or　1=1。

　　刷~隨著回車鍵一敲，蕭雲飛發現網頁成功響應，跳到了另外一個頁面。

　　可行！蕭雲飛嘴角露出一個微笑，還好，安全做的並不是很嚴密。

　　然後，他又注入or　1=2，刷的一下，這次網頁返回的是最原始頁面，也就是剛剛開始的登錄界面。

　　由於or的特性，當查詢條件為真的時候，返回是異常的，當查詢條件為假的時候，返回的才是正常。

　　然後蕭雲飛又劈裡啪啦的一陣敲擊:

　　/productsview2.asp?id=248　or　exists(select　*　from　admin)　//判斷是否存在admin這個表，結果頁面返回正常，說明不存在admin這個表。

　　一般admin是管理員表單，既然不存在，要麽就是沒有特權用戶，或者表單不叫這個名字。

　　/productsview2.asp?id=248　or　exists(select　*　from　manage)　//頁面返回異常了，說明存在manage這個表。猜完表後就要猜解字段了。

　　一般情況下，命名比較規范的開發人員，用戶字段一般會用username這個變量。

　　/productsview2.asp?id=248　or　exists(select　username　from　manage)　//返回異常頁面了，說明manage這個表中含有username這個字段，這時蕭雲飛就可以猜數據了。

　　/productsview2.asp?id=248　or　(select　top　1　asc(mid(username，1，1))　form　manage)96　//提交後發現返回異常頁面，得到第一個字符的ascii值范圍在97-122之間，也就是在字母a-z之間，再慢慢縮小猜解的范圍直到猜解出來用ASCII轉換工具轉換一下就可以得到管理員用戶名的第一個字符了。

　　需要猜解第二位的時候把上面語句改為mid(username，2，1)，第三位mid(username，3，1)……如此類推。經過一番努力，得到username字段的第一條數據的ASCII值為97　100　109　105　110，轉換得出字符串為admin。猜解完用戶名還需要猜解密碼，先猜字符再猜數據。

　　蕭雲飛看了看表，已經過去了五分鍾。

　　不敢耽誤，他又跑了下後台，用注入得到的用戶密碼登陸後台，逛了一圈之後才發現居然有個備份數據庫的地方。不過有HTML限制，正常情況下根本看不了，但這個是可以突破的。

　　蕭雲飛點開瀏覽器的工具欄，“查看”-“源文件”-“文件”-“另存為”，把網頁保存到本地。接著用文本格式打開它，找到“”這段代碼，再把這裡的action改為admin_data.asp這個文件的URL路徑:“/admin/admin_data.asp?action=backdata&;act=backup”，然後修改“”的第二個value值“/data/#ylmv_data.mdb”

　　然後把它改為自己需要備份的文件。

　　替換好之後，蕭雲飛又進入職工網站個人中心，把該用戶原本的頭像先保存下來，放到桌面上。然後拔掉網線，連接無線網，在網上隨便找了一款圖片木馬生成器。然後又換回內網，把剛剛保存的圖片，用圖片木馬生成器加了一句asp代碼，然後生成木門圖片，再上傳。

　　把返回的相對路徑按照上面的方法替換好，然後點擊備份，把數據庫備份一遍。

　　這樣木馬圖片就神不知鬼不覺的送進了數據庫文件裡。

　　弄好後，蕭雲飛又打開圖片木馬的小馬端，直接連接上去，這樣就成功的拿到WEBSHEL了。

　　拿到WEBSHEL後，管理端的數據庫就已經握在手上了，想怎麽改，就怎麽改。

　　嗯，先看看機房是用什麽FTP軟件搭建的。蕭雲飛鍵盤啪啪直點，“開始”-“運行”-“FTP　192.168.X.X”

　　然後回車，黑白的方形界面上響應:Connected　to　192.168.X.X　220　Serv-U　FTP　Server　V6.4　for　winSock　ready...

　　6.4這個版本的提權蕭雲飛已經就做過，網上也有很多案例，這對他來講倒不是什麽難事。

　　執行一連串的操作後IIS已經處於假死現象，到了這時之後蕭雲飛知道操作一定要迅速，不然被管理員發現網站訪問速度慢了許多就麻煩了。打開SERV-U，右鍵新建一個服務器然後輸入目標IP。然後是端口號，蕭雲飛直接輸入剛剛轉發出來的端口號。接下來則是輸入FTP服務器名稱，這個倒是可以隨便輸入，最後輸入默認維護帳號“LocalAdministrator”，第五步輸入默認密碼[email=“#l@$ak#.lk;0@P]“#l@$ak#.lk;0@P[/email]”，連接對方FTP服務器。

　　這時，蕭雲飛已經得到了對方FTP服務器的管理權限！他趕緊新建一個FTP用戶，在“帳戶”-“特權”那裡選為“系統管理員”，又在“目錄訪問”那裡把所有權限勾上，最後“應用”。

　　好了，大功告成！剩下的就是收尾了，蕭雲飛打開“任務管理器”-“進程”，勾選“顯示所有用戶的進程”，找到轉發工具的進程Fpipe.exe，雙擊結束，使IIS再次恢復正常工作。

　　OK！蕭雲飛直接關掉網頁。在電腦上打開一個管理工具，遠程登錄。

　　進入，數據界面，準備修改數據。

　　這時，細微的腳步聲在門外響起，雖然聲音不大，但此時周圍很靜，蕭雲飛還是聽得清清楚楚。

　　糟了！蕭雲飛一驚，趕緊站起身來，來不及處理電腦上的痕跡，腳步聲已經到了門口！

　　ps:劇情純屬虛構，請勿模仿

本書首發來自17K小說網，第一時間看正版內容！

#include virtual="/fragment/6/3236.html"