对某高级技工学校网站的安全检测和加固

核心提示： 用radmin文件管理功能经过一番查找，终于在D盘找到了“ultrafxp“这个ftp工具，对某高级技工学校网站的安全检测和加固(7)，此工具和flashftp特别相似，功能也非常强大，如图18所示，呵呵，不过也存在这暴露ftp用户信息的漏洞，把服务器上的ultra

用radmin文件管理功能经过一番查找，终于在D盘找到了“ultrafxp“这个ftp工具，此工具和flashftp特别相似，功能也非常强大，不过也存在这暴露ftp用户信息的漏洞。

把服务器上的ultrafxp的安装文件全部拖到本地，然后直接运行“UltraFxp.exe“这个程序就可以打开ftp管理的主界面了，在”站点管理器“这个的地方我们就能够找到管理员用” ultrafxp“连接过的所有站点的信息了（管理员好懒，连接完了也不清除掉，等俺们来读）。如图16所示，206服务器的Ftp用户密码“silvery***”是我用星号查看器读取出来的。

图16获取ftp用户的密码

2.获取远程终端端口

206这台服务器上的ftp密码，其中用户名是“administrator”，我想玩过社工的朋友一定想到了吧，有可能服务器登陆的密码就是这个。看看这个是不是管理员密码，用大马的查看终端端口的功能找到终端端口为3372，如图17所示。

图17 获取远程终端服务端口3372

3.社工登录3389终端服务器

不废话了直接用mstsc连接用户名就用“administrator”密码用读取出来的“silvery**”，ok和预想的一样成功登陆服务器了，如图18所示，呵呵，很有胜利感。