巧妙地与管理员周旋

有次在内网中不小心被管理员发现了，然后管理员大改防火墙配置，重装内部人员机器，个人机全装软防，修改所有密码，那个惨烈啊，没见到他那么负责任的管理员了，搞得我折腾到四点钟才睡觉。
总结1.首先我上服务器的时候太早，以前都在十二点后才从内网弹socks代理出来，上外网服务器。而这次却在十一点多执行上述操作。
总结2.监视软件关得不彻底，在socks代理中，用pcanywhere连上的外网服务器，上去看到开有文件监视软件，直接停掉监控就在操作，最后看上面还有一个"msn发送"，应该停掉他。
总结3.在对管理员重点防护的机器上不要停留太久,我在上面留了一个后门,并且修改后门生成文件的时间时被管理员登上pcanywhere把我断掉.
总结4.一定要想到管理员重装系统后的中马方式.管理员的机器很重要,要想到在他重装系统后,并且改了系统密码,仍能有效地控制管理员机器.这就涉及到驱动和常规应用软件的加马.还好这一点我做得比较好,最后利用管理员重装后中马,再次给所有机器种上马.
总结5.一定要想到在所有东西被管理员清除和被防火墙拦载或是所有机器全格的情况下还能再次进入内网.一个好的习惯很重要,首先要保证拿有一份内网中通信的邮件列表,二是内网中的网络拓朴图,三是内网中的端口列表,四是密码信息,五是防火墙规则.
总结6.再次进入内网时要打破先第一次进入时的操作规律,要更加谨慎地清除每一个意外挂起的进程，和修改每一个多余文件的时间，有必要在取得控制和站稳脚的情况下停止一个月的操作。

回首当晚惊险一幕：
  十一点二十，开机接肉机，用一个无关内网机器弹肉机（千万别用管理员机器，除非非得管理员机器授权，来弹代理）反弹一个socks代理。用pcanywhere结合管理员机器上的excle密码文档里取得的密码（excle加过密），连接外网web服务器，输入系统密码，关闭监视软件（忘了去掉"msn发送"的勾），查看能出来的端口，留后门，修改时间，十分钟后，正在修改文件时间，pcanywhere突然断掉。重新连接出现“远程计算机无法响应”，心里一紧，可能管理员上来了。
  一直等待，一直连接都显示无法响应，晚上一点，终于连上去，输入pcanywhere密码，错误！管理员修改了密码。连接后门，连接不上，管理员删除了我要修改的dll。马上监听接收其它外网肉机，get回cif文件，失望，每台密码都是随机生成。如果是随机生成，管理员肯定保存了密码文件在他自己机器上。
  监听木马，内网已无一台机器上线。难道是关闭网络全部重新审查防火墙和日志以及重装系统？继续等待，三点钟，内网另一台机器上线，连接上去查看c盘只存在默认文件，应该是重装了。但我有在winrar的安装程序绑马的习惯。马上弹sockes代理回来，用管理员密码ipc过去。提示密码不对，难道是重装？用06040 rpc内网溢出过去，得到shell，种植键盘记录，取得管理员正在修改的域服务器密码，3389登录上域服务器，重新对域控中个人机种马，然后在五点钟完美退出。