狐仙，幽幽雪落，战不尽，这几个人萧云飞认识了三四年，交情莫逆，甚至说是兄弟姐妹一样也不为过。只是现在，他们居然要对付自己？

网络上的流言蜚语他一点也不关心，让他心如刀割的只是曾经故人的改变。

呵呵，曾经沧海，物是人非。

萧云飞目光复杂，好似泄气的气球般软软的躺倒在座椅上。他会反击吗？他会应战吗？只是，该怎么还击？

算了，就做缩头乌龟吧。这个世界上，已经没有了大漠狼烟这个人。

叹了口气，萧云飞拿起电脑躲到了床上。梁红还有两天就要考研了，得先帮她弄到答案，答应了人家的事情就得做到。

打开了某大学网站，萧云飞复制下来网址，然后打开cmd界面，习惯性的ping了一下，然后开始扫描该网站所有打开了的端口。

梁红考的就是这个大学的研究生，而现在离考试仅仅剩下两天的时间，萧云飞知道考试的题目还有答案都在这个大学的数据库里。

随着cmd界面一排排代码跳动，萧云飞得到了这个网站开放的端口号，分别是21、80和3389；而操作系统为IBM AXI 4.3.2.0-4.3.3.0 on an IBM RS.萧云飞摸了摸下巴，确定了对方用的是Windows 2003操作系统。

既然知道是Windows 2003的操作系统，而且又开放了FTP端口。萧云飞就直接连接一下，看是不是传说中的的Serv-U了。只是，结果很让人失望，不是Serv-U的，而是Windows系统自带的FTP服务器，没办法了。

因为电脑上没有了当年自己编写的各种工具，萧云飞只能选择最简单省事的办法下手。既然这条路行不通，萧云飞又开始扫描完系统，寻找适合的漏洞来漏洞来入侵。因为是Windows2003操作系统，他手上也没有像样的Exp，所以只好从Web入手了。

萧云飞又回到了该网站的网页上，简单的浏览了一下网站，发现做得很简洁，但是简洁并不意味着没有漏洞。很快他就找到了一个PHP的注入点http://www.xxx.xxx/zcms/app/web/product.php?ArticleID=102从这里可以得到两个重要信息，一个是Web的路径为“D:\www.xxx.xxx\”，一个是最下面的msg SQL语句执行出错。其实，在这里萧云飞还可以得到很多信息的。

萧云飞用“and 1=1”和“and1=2”测试，结果得到了很经典的PHP注入漏洞。继续输入http://www.xxx.xxx/zcms/app/web/product.php?ArticleID=102%20and%201=2%20union%20select%201/*，获得了详细的信息：The used SELECT statements have a different numberof columns，意思是union的联查和以前的SELECT字段不相同。萧云飞继续输入，一直到15的时候得到了他想要的结果。

得到了W e b路径后，萧云飞又输入入h t t p : / /www.xxx.xxx/zcms/app/web/product.php?ArticleID=102%20and%201=2%20union%20select%201,2,3,4,load_file(char(68,58,92,119,119,119,46,119,105,116,99,111,109,46,116,118,92,122,99,109,115,92,68,80,85,92,105,110,102,92,109,97,105,110,46,112,104,112)),6,7,8,9,10,11,12,13,14,15/*

这里的load_file(char(68,58,92,119,119,119,46,119,105,116,99,111,109,46,116,118,92,122,99,109,115,92,68,80,85,92,105,110,102,92,109,97,105,110,46,112,104,112))的意思就是利用MySQL的load_file(char())来读取“D:\www.xxx.xxx\zcms\DPU\inf\main.php”这个文件的源代码，结果可以看到还包含了IncludeFile("../../DPU/system/conn.php");，

如果猜测没错的话，这个conn.php文件一定包含了MySQL的用户密码。用load_file()函数读取一下，得到具体的Web目录是“D:\www.xxx.xxx\zcms\DPU\system\conn.php”；再用phpzend这个软件就可以转化成所需要的格式。虽然拿到了MySQLl的用户，但是萧云飞还是不能利用MySQL远程连接。他接下来写入WebShell，因为服务器的3306端口被屏蔽，只能换个点着手。

如果服务器开了3306端口，并且让远程连接的话，如何拿到WebShell呢？萧云飞沉思，前面的入侵他已经拿到了Web服务器的路径，也拿到了MySQL的用户和密码。沉思了大约半分钟的功夫，他先用MySQL连接到远程的MySQL上，既然可以使用phpmyadmin来进行连接，那么只要修改phpmyadmin的config.php文件就可以了。

现在的情况就是萧云飞能读取文件的内容，但是还是没有能够拿到WebShell和猜测到用户名与密码，一切都陷入了僵局。

难道就这条路子就这样结束了吗？萧云飞不甘心的定了定神。目前的状况是不能用in to outfile导出WebShell，因为Magic_quotes_gpc为On了，而萧云飞所提交的GET和POST数据只要包含“’”就被自动加了反斜杠。漫无目的的转了转，他又没有发现什么可利用的。想了想，然后去某歌输入“inurl:/ewebeditor/ site:XXX.XX”搜索，果然出来结果了，原来是ewebeditor系统。输入默认的用户名admin和密码admin，竟然成功地进入了后台。

那么接下来就简单了，萧云飞到网上搜了个php木马，成功上传之后，接下来就是提权。

萧云飞本来以为本以为提权会很辛苦，因为FTP为微软自带的，没有什么可利用的。PCAnywhere也没有安装，不能靠读取密码来获得系统权限。

直接在WebShell里面输入ipconfig，没想到居然可以执行命令啊，萧云飞又试试输入“net user cnbird$ hacker /add & net localgroupadministrators cnbird$ /add”，结果居然成功了，顺利地拿到了用户。原来服务器的Apache是以超级用户运行的。接下来的事情就好办了，直接用3389终端连接器连接到服务器上即可。

最后，萧云飞安装了一个php.ini的超级后门，就是利用lanke一句话木马可以连接任意的服务器上的PHP文件。

拍了拍脑袋，萧云飞暗骂一声，自己怎么还是狗改不了吃屎，不就是‘借’下资料吗？还安装后门干什么？

笑了笑，萧云飞直接打开服务器里的数据库，新建查询，几行查询代码一敲进去，关键字符：考研。

萧云飞选中代码，点击运行。刷刷刷~数据库下方，一排排表格出现。

找到了！萧云飞稍微浏览了一下，很快就找到了所需要的试题。

把答案一一保存下来，然后上传到邮箱。萧云飞又开始删除后门，清除操作日志，等所有一切的痕迹。

然后关闭，退了出来。

呼~擦了擦汗，萧云飞看了看表，三分钟不到。

“晕死，看来好久没运动了，而且手里头没工具，黑个小站都花了这么久。”暗自嘀咕了一下，对自己的速度有点不满。

以前，他入侵大型网站最多也不过五分钟，可现在搞个小站居然也花了这么久，看来还是生疏了啊。

殊不知，如果萧云飞这句话被黑客界的人听到直接会吐血。你丫的就用一台普通电脑，没借助任何工具几分钟就入侵了一个计算机学校的网站，你还想怎样？

当然，这是入侵，如果单纯黑的话就简单多了。如果事先准备充足的话，分分钟搞定。

删掉自己电脑里的痕迹，萧云飞又把电脑放回桌子上。答案是拿到了，但是还有一件事情没有做。

在这所学校里，无论是考研，还是学生的日常考核，都是有档案的。考试只能算是考试分，还有平常分。

如果平常分比较低，那就是考试成绩再好也没有用。既然答应了梁红，那么好事当然要做到底。

萧云飞是个有恩必还，有仇必报的人，平生最怕承人情。

上次梁红帮了他那么大的一个忙，如果不回报一下，那他就不叫萧云飞了。

而学校的档案都存在学校的机房里，不过这对于萧云飞来说，根本就不是事。

但有一个棘手点，学校机房是内网，没有连接到因特网上。如果要篡改，就得先连接内网才行。

看了看时间，大概是10点40几分。

这个时间段，学校机房应该没什么人吧？

萧云飞紧了紧衣裳，走出了寝室，如同幽灵一般消失在黑夜里。

ps：本情节纯属虚构，请勿模仿。