肉鸡操作方法

渗透的服务器也多了，起初都是给肉鸡装上鸽子啊，PCSHARE什么的，以为这样就OK了，但是往往到了第二天就不翼而飞，我起初很纳闷，我的后门都是免X的，管理员是怎么样发现我的踪迹的呢？后来慢慢积累了些心得，现发出来跟大家分享一下。 

首先，上服务器的第一件事,就是看下文档记录. 
看下这里都有什么，心中有个数，一会新打开东西要记得在这里删了。有些服务器Run,是空白的，不要在这里输入任何东西，例如CMD等，如果不小心输入了，那么请在任务栏-右键-属性-高级-清除， 
有些朋友可能会说，直接开始-附件-CMD，不就可以么？不行，因为他常期不用的程序都隐藏了，进C盘，按下W回车，再按T，往上找就是SYSTEM32，找到CMD点了就行了。 

当需要翻对方服务器上的文挡时，怎么样翻才是最保险呢？例如你要打开他的C盘，尽量使用CMD打开，start c:\,回车，这样C盘就打开咯，要使用记事本的话，不要用右键新建文本文档，在CMD下输入notepad,这样就不会有记录产生。不要以为管理员很菜，就不当做回事，毕竟你是非法的，人家是合法的。养成习惯，终身受益， 

在连接SQL的时候，尽量用企业管理器进行连接，不要用查询分析器，不然会留下一个IP记录和SQLUSERNAME的记录，在某些特殊的情况下必须用查询分析器的话，好，用完了记得到注册表[HKEY_CURRENT_USERSoftwareMicrosoftMicrosoft SQL Server80ToolsClientPrefServers]下删记录。

把server0和user0子键删除即可，顺便说一下，打开regedit的时候，请记住原来是停留在哪个键值上，看完记得恢复原样。还有TS登陆记录，这个也是需要注意的，请到 
[HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault]进行删除，
找对应的删了就是。 

还有个地方也会留下你运行某些程序，文本等 记录，C:Documents and 

SettingsAdministratorRecent 记得，看下管理员常用的文件，多出来的那就是你自己运行的，闪人的时候记得删.尽量使用CMD运行程序撒，GUI界面的程序也是可以在CMD运行的，直接把要运行的程序图标拖到CMD里，回车，即可，这里我用IIS信息服务做为示例.

要用管理工具里的东西最好是点 我的电脑-右键-管理，也可直接到控制面版那里点。总之呢，就是不要留下任何痕迹，就象没人动过一样。最重要的一点，不要留后门，除了WEBSHELL，什么后门也不要留，留后门等于告诉管理员：“恭喜你已经中了我的马“。WEBSHELL，尽量用一句话海阳，WIN2000用海阳2006正式版，WIN2003用2006+版，为什么WIN2000不能用06+的一句话呢，因为06+功能比较多，比较肥大，WIN2000系统有个特性，提交的ASP文件大小超过100K，就会出错，所以….. 
还有一点，WEBSHELL都要进行无日志处理,

Closed.asp这个文件是插了一句话海阳的，当你访问它的时候IIS就会记录下来，把记录访问的勾去掉即可。光这样子还不够完善，还需要修改文件的创建时间，仅仅把文件修改时间改了只能对付一般的菜鸟管理员，精明的管理员会直接搜索创建时间，要是发现某个文件，修改时间是2004年X月X日，但是创建时间却是昨天，他会怎么想列？所以呢，插一句话之前，先看看他的创建时间和修改时间是多少，记下，再把系统时间改为和创建时间一致，再进行插马，弄完了再改回来。 

    关于搜索， 我还要多说几句了，聪明的管理员会在开始-搜索那里搜索他觉得可疑的东西， 例如用“什么时候修改的”来搜索某个可疑时间段创建了什么文件，以及在搜索那里看有没有上次是否有人用搜索来查找了某些文件，所以这里的记录也一定要记得清除。方法是在搜索完你需要的东西后，再将搜索选项清空，再点搜索，这样管理员就无法看到你上次搜索过的文件了。 

还有一点，就是登陆系统审核的日志，这个貌似不能按条清。不过你登陆后可以在本地安全策略那里设置不记录。还有没事别乱加帐号，就算加了用完要删掉，别忘了，C:Documents and Settings对应的用户名 也要DEL咯，至于怎么删自己想办法。这里，提供两个办法删，第一，先与目标机建立好IPC连接，然后把号删了，再利用IPC把那个文件夹干掉，再把IPC连接删除，完事（适合内网）。第二，写一个VBS脚本，代码如下： 
On    Error    Resume    Next    
  set    shell=createobject("wscript.shell")    
  shell.run    "自己打删除命令" 
保存为del.vbs,丢到启动目录，管理员登陆的时候就会自动删除该文件夹。下载东西，尽量别用IE下载，正确的做法是：打开CMD，open ip 输入你的ftp帐户和密码，再get,用VBS脚本下载也可，看你自己了。最好是先下个Aio 或者Mt，再用上面的下载功能来下东西。 

下机前，必须把IE的历史记录（你要是用IE下了东西或者开了网页的话），internet临时文件删除了. 
做到这些，对付一般点的管理员是绰绰有余了，自己多注意点，肉鸡留得长点，总找肉鸡也累吧，注销，在CMD下输入logoff ，咱回头见吧：）
------------------------------------
自己加的：
1。管理员在的时候千万不要上。特别是3389
上之前首先要query user看看.

2。留后门最好是留一句话，利用冰狐浪子的一句话或者lake2的，插入web中常用的脚本中，需要用的时候就上个大马，不要就删掉

3。记得清理登陆日志，防火墙日志，FTP日志等等，最好是手工操作，用工具有时候会出错，这是我自己测试的，只代表我的观点。

4。上去后不要放什么鸽子啊什么的，你如果有免杀的telnet型的木马还好，其余的就算了，最重要的是搞管理员的密码，pcanywhere,sql,mysql.等等一切需要密码的东西，只要服务器上存在有需要密码，就想办法弄到。然后清理日志闪人

5。记得查看下管理员登陆的时间，以备后用，说白了，就是查找管理员的习惯,可以google上一起来，并且在自己电脑上，分类集合。便以比较分析
暂时先到这，随时更新。如果你有什么好的，也可以发我邮件mxianshengy@163.com和我交流。