渗透 - 目的不单纯

Trace: 这文章要好好看，值得学习。fox牛这次放血了。

帮朋友忙 帮到目的不单纯 好可怜 被好多兄弟教训了
甚至被威胁了下...
总结下 教训...
关于单臂路由如果掌握到设备权限还是可以继续玩，另外一些对拨的vpn如果没有做好限制也可以溜达溜达，如果是帮忙的话 还是小心翼翼的溜达，不要做什么很实际的操作了，因为...
先说设备
IPS IDS 自然不说了 现在这些都搞复合呢 all in one 行为管理也有给复合进去的
在说流量报警和时间 流量报警现在和手机整合的 就是说如果在一个日均1Gb流量的网络下载一个大家伙流量超出界定范围会被发送到手机流量异常，说到手机这个东西现在的确发达了，有时候发邮件也要先搞清楚对方是不是手机在收，不过有些人貌似有手机软件的0day ...
然后有比较业务化的一些规则 比如行为+时间 这样算因子？或者还有更多因子的 比如在9:00-17:30之外玩个IPC$或者ftp外部再或者发个邮件，那么又被记录了...
说到这里好像记得电子科技大学一个老师讲那个搞某大公司的牛人将搞到的东西分成NNNN个份更改为容量不大于某值的.gif,然后每天定时定量分多次下载... 回想自己好像根本就没这方面的意识...这次丢人丢大了
说说这次吸取的教训和累积的经验，当然主要是对一些相对严格的网络环境
1、不要采用相同的留后门的方式
      虽然自己平时也不用后门，但是有时候为了方便还是要装下，这个时候对自己占领的土地一定要分块分类型来安装后门，如果手法只有一种那么很可能被一次扫地出门（这点感谢叮当给的意见）。
2、留后门也要看人
     留后门选什么样的机器也是一种学问，如果找一个CTO的机器给他屁股上开个洞他会很敏感滴，这次我被cto猛揍了一顿，选一台边缘机器吧，比如财务菜鸟...比如公共用的上网机..
3、时间很重要
     在拿到某设备权限后看到一张自己创造的流量图，我竟然搞出在对方的凌晨1点web上流量峰值和下午5-6点的值竟然持平，所以以后要养成习惯，先分析设备，分析时差，然后再考虑下一步的动作。
4、别映射磁盘了
     这个不多说了，映射很容易被发现，太明显了，还是dir来看吧，看到想要的xcopy回来好了，这样至少安全点。（这点感谢"九局下半"这个名字是艺名，复ID）。
5、关于vpn
     一些对拨vpn设置比较变态，但是如果分析清楚架构是可以穿透这些限制，当修改这些配置的时候应该先停止设备通知，再备份配置，添加直接入口，最后再改设置，这样可以保证自己搞错时还有机会更改。
6、熟悉服务
     熟悉网络后要熟悉服务，这样挑选对方主要网络服务，主要软件，然后在fileserver上做些手脚，当然时间要克隆一下，也别动太疯狂了，另外切记选好目标，不可以随便找个adobe的pdf浏览器下手，如果遇到负责的管理员，adobe更新软件之日就是那特洛伊的忌日了，。
7、找找同行
     这个情况很常见，这次也遇到了，这时最好是分析分析和我奋战在同一服务器的兄台什么时间来玩、怎么玩、玩了之后留下些什么，这样当自己再也无法闯进去的时候、或者这位兄台不仗义把我一脚蹬出去的时候，我还可以拿他钥匙再来坐坐。
8、邮件&文档
     选择好时间，尽量在不触发设备规则的时候把pst文件和重要文档down了，另外在清理自己痕迹前最好先把服务器日志完整down一份，方便以后分析。

扯了这么多都是这次吸取的教训，血泪的教训...
贴士:
今天看到一句话,很是崇拜
"一个人什么都会就意味着什么都不会；当你觉得自己一无是处的时候离成功才最近"