信息学院并不大，占地不过几万平方米，所有的大楼加起来也就二十栋不到的样子，而学校机房则在教学区D栋三楼。

这个点，操场上已经没有了多少人在逛，安安静静的只有路灯朦胧的光辉。萧云飞穿过操场，直接往D栋走去。

D栋在教学区的最中间位置，正对学校大门口。整个D栋一共六层，其中一二层是教室，三层是机房，四层是教室办公室，五六层则是实验室。

教学楼里昏昏暗暗的只有渺渺几个教室还有灯光照出，一口气爬到三楼，萧云飞小心的避过摄像头，又穿过一道厚重的铁门，才来到了机房外面。

长长的走廊里黑漆漆的，还有冷风吹出，萧云飞不觉的拉紧了衣裳。

D栋教学楼呈凹形，而机房则占据了三楼右边凸出的三个房间。

三个房间连在一起，只有一排窗子和一个进出的门。

看了看铁皮包裹的门，已经上了锁。萧云飞又站在窗子边往里看去，房间里面，一排排柜子般的机器嗡嗡作响，偶尔还有led灯光闪烁。窗户倒是没有关，只是却进不去，因为窗子上有密集的防盗网。

拿出手机，萧云飞打开wifi搜索了一下，只是wifi列表里并没有在附近找到无线网。

“看来都是网线连接，也是，这样至少更安全。”萧云飞笑了笑，倒是自己想的太简单了，以为学校为了方便，内网也开了wifi。可现在看来，学校老师对安全方面还是考虑的比较周到的，不管怎么说，毕竟是计算机学院，在这上面出漏子了丢人就丢大了。

既然没法从wifi下手，那么能不能想办法进机房？萧云飞看着机房紧闭的门锁有点沉吟。

不行，从机房下手太难了，而且容易暴露。除了机房，学校里哪些地方还要连接内网的？萧云飞大脑飞快的思考。

教室里是不会有内网的，因为用不到。但内网既然做的这么严密，很显然里面有重要的数据。既然有数据，就得有更改，输入数据的地方。那么首先校长办公室的电脑是一定会连接了内网的。

毕竟整个学校，就校长权利最大！

但校长办公室的话，又太危险了。再怎么说自己只是一个学生，无缘无故跑去校长办公室实在说不过去。

那除了校长办公室还有哪里会用到内网呢？应该还会有的，再仔细想想，萧云飞踱着步子，来回思考。慢慢的他突然抬起了头，就看到从机房延伸出来的网线，密密麻麻的沿着墙角一路缠绕，其中还有一小股顺着缝隙钻往了楼上。

楼上？对了！教师办公室！

萧云飞眼镜一亮，一打响指，转身就上了楼。

四楼，这一整楼层都是办公室。萧云飞飞快的转了一下，发现一共有十二个小房间。其中九间已经门窗紧闭，早已上了锁。

毕竟大学老师空闲时间还是很多的，而且现在还是晚上11点了。如果还没下班就怪了，他早已猜到大概是这个结果。

空空的走廊上只有中间的一个房间还亮着灯，长方形的灯光从办公室的门框印下，把走廊分割成了三段。

其他两个房间则是灯灭了，但门虚掩着，想来教师可能临时有事出去了。

萧云飞慢慢的走了过去，在亮着灯的那个办公室门前探头望了两眼，只见原本不大的办公室里摆放着两张大大的办公桌，两男一女三个老师在里面悠闲的磕着瓜子，不时的聊上那么一两句。

这三个老师里他只认得一个，左边那个矮矮胖胖的汉子是他们班的网页老师，其他两个则没有印象。

萧云飞不动声色的退了回来，一闪身，钻进了其中一个没关门的房间里。

这个办公室离那三个老师聊天的办公室最远，为了安全起见故而萧云飞选择了这间。

办公室里很暗，萧云飞一进来就只觉双眼一黑，眼睛还没从光线的剧烈变化中适应过来。深深的吸了一口气，强压下内心的忐忑。他拿出了手机，把屏幕的光调到最暗，然后当做手电筒举了起来。微弱的光线下可以看到办公室里满满的堆满了各色各样的文档和资料，倒是中间的桌上四方四正的放着一个笔记本。

萧云飞小心的走了过去，无声无息的坐下。

嗯，鼠标还有灯光，电脑应该没关，只是是锁屏了。

萧云飞直接移动了一下鼠标，随着系统声音的响起，整个电脑屏幕幽幽的亮了起来。

映入眼帘的是一个视频网页，网页里正打开着某连续剧的播放页面，只是被点了暂停。

萧云飞打开浏览器的浏览记录，一个个开始查找。

他要找到内网的登录页面，一般这种大型信息都是有处理后台的，后台就是他的切入点。

汗水顺着脸滑下，萧云飞稍微有点紧张。虽然目前办公室没有人，但老师既然没有关门就证明不会走远，随时有可能回来。甚至非常有可能就在不远处的那个教室里，和女老师聊着天。

如果被抓到，那可就说不清了。说小了是偷电脑，说大了就是那个那个了随别人怎么说。但可以肯定的是，萧云飞不说被开除，起码也要落一个留校查看的处置。

快快快！他一条条记录迅速的查找，只是历史记录足足有几千条，看的眼睛一阵发花。

终于，当记录快被翻到低的时候，萧云飞才在满满的列表里找到了一行叫职工系统的网页。

双击点开，浏览器便弹出了一个新窗口，下方的访问进度条也开始移动起来。只是移动的速度很慢，不一会儿就停着不动了。

刷~网页直接跳掉，转到了一个无法访问的界面。

对了，网线！这老师既然是在看电影，那么很明显用的不是内网。

网线！网线！网线在哪里？萧云飞赶紧回头，在周围翻找。

地上？没有！墙上！也没！哪里？在哪里？萧云飞手忙脚乱的四下扫看。

在这！就当他准备起来看看在没在桌子下面的时候，终于在电脑旁边，书堆缝隙里，看到了一根绿绿的网线被压在书堆下面。

断开无线网连接，插入网线。萧云飞又紧紧的盯着电脑任务栏的状态图标。

随着列表里的一个小电脑图标不停的转动，久久的才变成了一台工作中的电脑图标，萧云飞长长的舒了口气，呼~总算连接上了。

双击点开职工系统。

哗~网页跳转，进入到了一个信息页面。页面是一个登陆框，提示访问者输入账号，密码。

靠！居然不保存账号密码！浪费时间！

萧云飞原本以为有些老师会为了方便省事，会直接在浏览器里面保存账号密码。但现在看来，自己并不走运啊。

看了看时间，已经过去了两分钟。萧云飞擦了擦汗，竖着耳朵听了听门外的动静，同时思考对策。

在这电脑上植入一个后门？不，这样显然行不通，虽然这台电脑有时候会进入这个后台。但那是在接进内网的情况下！对方既然连接了内网，那萧云飞就不能遥控了，因为两者不是在同一网络平台上面。

虽然可以做个后门小程序，等这台电脑接入这个网站的时候就启动，来盗取信息，但那样显然太慢太慢，鬼知道要多久。

不行，看来得破解了。

怎么破呢？暴力破解肯定不行，时间根本不够！

既然用的是内网，那么这个网站的安全性应该不会做的那么强吧？萧云飞心里也没有底，而且现在不仅时间紧迫，更是没有任何可以借助的工具。

只能把希望放在老师偷懒上了，其实这种可能性是有的。因为本来就是内网系统，安全性能已经很高了，其他方面少做一点也能理解。

萧云飞想了想，用了一个带参数的ASP链接，在网址后面提交AND 1=1。

当~系统错误的声音响起，网页直接弹出一个对话框，提示：非法的ID参数。

这样貌似不行啊？再从哪里找突破口？对了，如果一个网站的防注入不是过滤得很严的话，倒是可以试试or注入。他键盘一阵敲点找到注入点，然后向网站注入点提交or 1=1。

刷~随着回车键一敲，萧云飞发现网页成功响应，跳到了另外一个页面。

可行！萧云飞嘴角露出一个微笑，还好，安全做的并不是很严密。

然后，他又注入or 1=2，刷的一下，这次网页返回的是最原始页面，也就是刚刚开始的登录界面。

由于or的特性，当查询条件为真的时候，返回是异常的，当查询条件为假的时候，返回的才是正常。

然后萧云飞又噼里啪啦的一阵敲击：

/productsview2.asp?id=248 or exists(select * from admin) //判断是否存在admin这个表，结果页面返回正常，说明不存在admin这个表。

一般admin是管理员表单，既然不存在，要么就是没有特权用户，或者表单不叫这个名字。

/productsview2.asp?id=248 or exists(select * from manage) //页面返回异常了，说明存在manage这个表。猜完表后就要猜解字段了。

一般情况下，命名比较规范的开发人员，用户字段一般会用username这个变量。

/productsview2.asp?id=248 or exists(select username from manage) //返回异常页面了，说明manage这个表中含有username这个字段，这时萧云飞就可以猜数据了。

/productsview2.asp?id=248 or (select top 1 asc(mid(username,1,1)) form manage)

96 //提交后发现返回异常页面，得到第一个字符的ascii值范围在97-122之间，也就是在字母a-z之间，再慢慢缩小猜解的范围直到猜解出来用ASCII转换工具转换一下就可以得到管理员用户名的第一个字符了。

需要猜解第二位的时候把上面语句改为mid(username,2,1)，第三位mid(username,3,1)……如此类推。经过一番努力，得到username字段的第一条数据的ASCII值为97 100 109 105 110，转换得出字符串为admin。猜解完用户名还需要猜解密码，先猜字符再猜数据。

萧云飞看了看表，已经过去了五分钟。

不敢耽误，他又跑了下后台，用注入得到的用户密码登陆后台，逛了一圈之后才发现居然有个备份数据库的地方。不过有HTML限制，正常情况下根本看不了，但这个是可以突破的。

萧云飞点开浏览器的工具栏，“查看”-“源文件”-“文件”-“另存为”，把网页保存到本地。接着用文本格式打开它，找到“”这段代码，再把这里的action改为admin_data.asp这个文件的URL路径：“http://www.xxx.com/admin/admin_data.asp?action=backdata&;act=backup”，然后修改“”的第二个value值“/data/#ylmv_data.mdb”

然后把它改为自己需要备份的文件。

替换好之后，萧云飞又进入职工网站个人中心，把该用户原本的头像先保存下来，放到桌面上。然后拔掉网线，连接无线网，在网上随便找了一款图片木马生成器。然后又换回内网，把刚刚保存的图片，用图片木马生成器加了一句asp代码，然后生成木门图片，再上传。

把返回的相对路径按照上面的方法替换好，然后点击备份，把数据库备份一遍。

这样木马图片就神不知鬼不觉的送进了数据库文件里。

弄好后，萧云飞又打开图片木马的小马端，直接连接上去，这样就成功的拿到WEBSHEL了。

拿到WEBSHEL后，管理端的数据库就已经握在手上了，想怎么改，就怎么改。

嗯，先看看机房是用什么FTP软件搭建的。萧云飞键盘啪啪直点，“开始”-“运行”-“FTP 192.168.X.X”

然后回车，黑白的方形界面上响应：Connected to 192.168.X.X 220 Serv-U FTP Server V6.4 for winSock ready...

6.4这个版本的提权萧云飞已经就做过，网上也有很多案例，这对他来讲倒不是什么难事。

执行一连串的操作后IIS已经处于假死现象，到了这时之后萧云飞知道操作一定要迅速，不然被管理员发现网站访问速度慢了许多就麻烦了。打开SERV-U，右键新建一个服务器然后输入目标IP。然后是端口号，萧云飞直接输入刚刚转发出来的端口号。接下来则是输入FTP服务器名称，这个倒是可以随便输入，最后输入默认维护帐号“LocalAdministrator”，第五步输入默认密码[email=“#l@$ak#.lk;0@P]“#l@$ak#.lk;0@P[/email]”，连接对方FTP服务器。

这时，萧云飞已经得到了对方FTP服务器的管理权限！他赶紧新建一个FTP用户，在“帐户”-“特权”那里选为“系统管理员”，又在“目录访问”那里把所有权限勾上，最后“应用”。

好了，大功告成！剩下的就是收尾了，萧云飞打开“任务管理器”-“进程”，勾选“显示所有用户的进程”，找到转发工具的进程Fpipe.exe，双击结束，使IIS再次恢复正常工作。

OK！萧云飞直接关掉网页。在电脑上打开一个管理工具，远程登录。

进入，数据界面，准备修改数据。

这时，细微的脚步声在门外响起，虽然声音不大，但此时周围很静，萧云飞还是听得清清楚楚。

糟了！萧云飞一惊，赶紧站起身来，来不及处理电脑上的痕迹，脚步声已经到了门口！

ps:剧情纯属虚构，请勿模仿