一些小技巧与常见问题解决方法

    1、当你得到管理员密码却又无法找到后台时不妨试试google。输入site:xxx.com intext:admin        / *意思是查找网址包含xxx.com 文字中包含admin的所有网页*/   或site:xxx.com inurl:admin /* 查询地址中包含admin的链接*/   site:xxx.com intitle:admin /* 查询tittle中包含admin的链接*/。你可以把admin换为你所知道的一些与后台有关的关键字,如“管理员登录”“后台”等等。另外,使用maxthon的查看页面链接也是个不错的方法,适用于像sa-blog类隐藏后台登录页面可见的web.

    2、sa注射使用nbsi较好,批量注入,寻找诸如点使用啊D较好。啊D与google是批量注入的黄金组合:“inurl:.asp?id=”是标准的asp批量注入搜索关键字。关键字根据你在审核某代码时发现问题的模块而定。

    3、寻找有漏洞代码关键字不错的方法是寻找他目录下的特殊名文件,即一些不常见的文件名。index.asp啥的就免了不然google会被气疯的。当然,架设一套测试平台是最好不过的,通过看他的footer就可以获得比较准确的关键字,通过google使用复合关键字你会获得更好的效果。

    4、between是个很不错的函数,注入中的合理使用会收获意想不到的效果。

    5、如果你不能确认你的后门可以躲过管理员的众多工具那还是别放的好,有时候你一个本想加固控制的灰鸽子,pcshare会让你的肉鸡丢的更快。要记得系统自带的东西才是最安全的。sqldebugger是个不错的用户,适当的使用可能会让你收到比NX后门更好的效果。

    6、不要使用那些所谓的cleanlog的软件,要知道他们中的不少是去找默认目录的(我的看法),遇到稍微有些BT的管理员都会去修改存放地址,大型公司的甚至会有专门的软件与空间来对日志进行保护与转移。所以我们还是选择一些高强度的删除软件如WYWZ等,如果是大型公司那么内存,CPU等部分的数据也要进行擦出。

    7、说道了擦PP,那么我们也要找找管理员没有擦干净的PP。final date是个不错的软件,我们总是习惯去记录些难记的密码在桌面,我的文档中的txt里。final date查看下?也许你会有不错的收获。当然,去搜索*.txt *.ini等也会有不错的效果。记得,要把在隐藏文件中搜索选上。

    8、2000主机使用2.3/2.1版本的驱动。2003使用3.1bate4还是比较稳定的。有人说小榕的ArpSniffer使用后会导致被嗅探方掉线,的确会有这种情况。解决方法如下:第一次不要加入后的/retset,对方掉线后加入/retset再次执行,然后停止。这样一来就不会再掉线了。(紫幻)

    9、tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \’tlntadmn config sec = -ntlm\’–   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?

    10、VPN连接提示733错误解决:取消DHCP自动分配,在“路由和远程访问”中的本地服务器上单击右键,“属性”“IP”在IP地址指派处选择“静态地址池”。自行输入地址即可。地址因没有被占用。在CMD中ping同C段IP无法ping通的基本可用。

    11、远程桌面连接下的地址无法直接删除,可进入注册表打开HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default   显示出MRU0,MRU1类的值,删除你想删除的即可。

    12、如果你使用的汉化版的ultraedit显示仍为E文,那么移动鼠标到“help”处,右键选择“高级”,即可显示中文。如果你想把它加入右键,那么可以写一个文档,内容如下 REGEDIT4 


    [HKEY_LOCAL_MACHINESOFTWAREClasses*shellexContextMenuHandlersUltraEdit-32] 
    @=”{b5eedee0-c06e-11cf-8c56-444553540000}” 


    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{b5eedee0-c06e-11cf-8c56-444553540000}] 
    @=”UltraEdit-32″ 


    [HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{b5eedee0-c06e-11cf-8c56-444553540000}InProcServer32] 
    @=”D:\\Program Files\\IDM Computer Solutions\\UltraEdit-32\\ue32ctmn.dll” 
    “ThreadingModel”=”Apartment”  
    将D:\\Program Files\\IDM Computer Solutions\\UltraEdit-32\\ue32ctmn.dll替换成你UE安装目录下ue32ctmn.dll的位置,保存为.reg导入注册表即可。

    13、当3389连接时提示超过最大数,可以考虑使用控制台模式登录,远程注销管理员帐户(存在一定的危险性)。在开始中运行mstsc /console,输入密码后确认对话框即可。

    14、sablog页面显示不正常,被撑裂,或上部分显示空白解决方法:修改style.css的2个地方
    1.#right        width: XXXpx;
    2.#outmain      width: YYYpx;
    把XXX和YYY都加50(如果问题依旧则继续增加直到合适为止使用记事本即可编辑,查找更改即可)

    15、入侵后漏洞修补、痕迹清理,后门置放:

    基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门~

    16、卡巴斯基KEY过期解决

    360安全卫士提供把年卡巴6.0免费使用,所提供KEY位于注册表的HKEY_LOCAL_MACHINE\SOFTWARE\360Safe中的key键值。到期后删除key键值,重新启动360安全卫士即可再次获得新注册码继续使用。

    17、比较方便的服务器挂马

    站点过多,手动挂马累,批量效果又不大好。可以尝试如下方法:启动IIS管理,右键单击网站(或你要挂马的虚拟目录)属性——文档——启用文档页脚——指定挂马网页就OK了。他在WEB上查找也是找不到文件的(最好不要放到虚拟目录下)

    18.、3389端口检测

    3389端口是否开启可在注册表进行查询,位于HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中的PortNumber键值读取得d3d则为3389端口(16进制转换可得)注入可使用xp_regread读取(DBO权限或存在该存储过程的其他帐户即可)或导出后使用type命令读取命令如下 regedit /e port.reg “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp”


    然后 type port.reg | find “PortNumber”  
    当然你也可以去扫描所有端口,穷举之~

    19、VC编译较小文件方法

    release版比debug小得多,为了使编译出来的文件更小可进行如下操作alt+F7弹出project settings窗口,选择LINK(连接)属性页,将Object/library modules(工程选项):下编辑框中lib全部删除,输入MSVCRT.LIB kernel32.lib user32.lib)
    编译即可。

    20、sablog修改类问题

    首页设置可在templates/default/index.htm(default为模板名,我这里使用的是默认模板,修改其他模板进入相应模板名目录)其他设置可进入对应文件进行修改,如footer对应底部设置。请在不侵犯作者版权的前提下进行修改。如果你想删除作者的默认友情连接,可进入include/目录,修改cache.php中的更新链接模块,删除如下代码即可(不推荐,应该更厚道些有人问俺俺才说出来的,被说我不厚道~) $tatol = $DB->num_rows($DB->query(“SELECT linkid FROM “.$db_prefix.”links WHERE visible=’1′ AND (url LIKE ‘%4ngel.net%’ OR url LIKE ‘%sablog.net%’)”));
                         if (!$tatol) {                                        
                                            $contents.=”\t’1018′ => array(\n\t\t’name’ => ‘”.chr(83).chr(97).chr(98).chr(108).chr(111).chr(103).chr(45).chr(88).”‘,\n\t\t’url’ => ‘”.chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(119).chr(119).chr(119).chr(46).chr(115).chr(97).chr(98).chr(108).chr(111).chr(103).chr(46).chr(110).chr(101).chr(116).”‘,\n\t\t’note’ => ‘”.chr(83).chr(97).chr(98).chr(108).chr(111).chr(103).chr(45).chr(88).chr(32).chr(83).chr(116).chr(117).chr(100).chr(105).chr(111).chr(115).”‘,\n\t\t),\n”;                                        
                                            $contents.=”\t’8717′ => array(\n\t\t’name’ => ‘”.chr(97).chr(110).chr(103).chr(101).chr(108).chr(92).chr(39).chr(115).chr(32).chr(98).chr(108).chr(111).chr(103).”‘,\n\t\t’url’ => ‘”.chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(119).chr(119).chr(119).chr(46).chr(52).chr(110).chr(103).chr(101).chr(108).chr(46).chr(110).chr(101).chr(116).chr(47).chr(98).chr(108).chr(111).chr(103).chr(47).chr(97).chr(110).chr(103).chr(101).chr(108).”‘,\n\t\t’note’ => ‘”.chr(97).chr(110).chr(103).chr(101).chr(108).chr(92).chr(39).chr(115).chr(32).chr(98).chr(108).chr(111).chr(103).”‘,\n\t\t),\n”;
                         } 

发表评论

发表评论