维科家纺一在115.X.X.133服务器被探测到使用弱口令，从而进入ftp探寻资源，虽然没有权限上传文件，但是ftp服务器放的两个重点文件引起关注，分别是web.config和端口.jpg

web.config里面包含了mssql的帐号密码

然后在端口.jpg中有一个内网映射的图片，上面那个可能看不到，但是经过内网渗透，上面一个就是99端口映射，在图片正截图的115.X.X.130:33901，经过测试，通常用RDP远程桌面连接，然后用默认的administrator帐号，密码用web.config中的sa密码成功登入，然后又从管理员的操作记录发现，内部网络大部分服务器是用这个密码的，而不用这个密码的服务器我当时好运，因为是星期六，管理员可能忘了做服务器里连接的服务器没有结束远程会话，然后我放了一个接收3389密码的后门端，然后今天早上他登入了，我收到了密码，以上的99端口映射的那个内网服务器密码同样是sa密码，成功进入内网，然后内网有三个分类大型服务器，win2008系统，第一个是密码同上，装了内部的许多数据和整个公司的电话号码，我看了一下，然后又在内网服务器中又看到历史使用记录，看到也用过远程桌面连接工具，于是连接上去，但是很多是密码不同，后来我通过3389内网的这个密码收信，成功在星期一，也就是他们的工作日内收到密码，后来因为是工作时间，我不敢进去，怕被管理拉走。

​