肉鸡操作方法

渗透的服务器也多了,起初都是给肉鸡装上鸽子啊,PCSHARE什么的,以为这样就OK了,但是往往到了第二天就不翼而飞,我起初很纳闷,我的后门都是免X的,管理员是怎么样发现我的踪迹的呢?后来慢慢积累了些心得,现发出来跟大家分享一下。

首先,上服务器的第一件事,就是看下文档记录. 
看下这里都有什么,心中有个数,一会新打开东西要记得在这里删了。有些服务器Run,是空白的,不要在这里输入任何东西,例如CMD等,如果不小心输入了,那么请在任务栏-右键-属性-高级-清除, 
有些朋友可能会说,直接开始-附件-CMD,不就可以么?不行,因为他常期不用的程序都隐藏了,进C盘,按下W回车,再按T,往上找就是SYSTEM32,找到CMD点了就行了。

当需要翻对方服务器上的文挡时,怎么样翻才是最保险呢?例如你要打开他的C盘,尽量使用CMD打开,start c:\,回车,这样C盘就打开咯,要使用记事本的话,不要用右键新建文本文档,在CMD下输入notepad,这样就不会有记录产生。不要以为管理员很菜,就不当做回事,毕竟你是非法的,人家是合法的。养成习惯,终身受益,

在连接SQL的时候,尽量用企业管理器进行连接,不要用查询分析器,不然会留下一个IP记录和SQLUSERNAME的记录,在某些特殊的情况下必须用查询分析器的话,好,用完了记得到注册表[HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers]下删记录。

把server0和user0子键删除即可,顺便说一下,打开regedit的时候,请记住原来是停留在哪个键值上,看完记得恢复原样。还有TS登陆记录,这个也是需要注意的,请到 
[HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default]进行删除,
找对应的删了就是。

还有个地方也会留下你运行某些程序,文本等 记录,C:\Documents and

Settings\Administrator\Recent\ 记得,看下管理员常用的文件,多出来的那就是你自己运行的,闪人的时候记得删.尽量使用CMD运行程序撒,GUI界面的程序也是可以在CMD运行的,直接把要运行的程序图标拖到CMD里,回车,即可,这里我用IIS信息服务做为示例.

要用管理工具里的东西最好是点 我的电脑-右键-管理,也可直接到控制面版那里点。总之呢,就是不要留下任何痕迹,就象没人动过一样。最重要的一点,不要留后门,除了WEBSHELL,什么后门也不要留,留后门等于告诉管理员:“恭喜你已经中了我的马“。WEBSHELL,尽量用一句话海阳,WIN2000用海阳2006正式版,WIN2003用2006+版,为什么WIN2000不能用06+的一句话呢,因为06+功能比较多,比较肥大,WIN2000系统有个特性,提交的ASP文件大小超过100K,就会出错,所以….. 
还有一点,WEBSHELL都要进行无日志处理,

Closed.asp这个文件是插了一句话海阳的,当你访问它的时候IIS就会记录下来,把记录访问的勾去掉即可。光这样子还不够完善,还需要修改文件的创建时间,仅仅把文件修改时间改了只能对付一般的菜鸟管理员,精明的管理员会直接搜索创建时间,要是发现某个文件,修改时间是2004年X月X日,但是创建时间却是昨天,他会怎么想列?所以呢,插一句话之前,先看看他的创建时间和修改时间是多少,记下,再把系统时间改为和创建时间一致,再进行插马,弄完了再改回来。

关于搜索, 我还要多说几句了,聪明的管理员会在开始-搜索那里搜索他觉得可疑的东西, 例如用“什么时候修改的”来搜索某个可疑时间段创建了什么文件,以及在搜索那里看有没有上次是否有人用搜索来查找了某些文件,所以这里的记录也一定要记得清除。方法是在搜索完你需要的东西后,再将搜索选项清空,再点搜索,这样管理员就无法看到你上次搜索过的文件了。

还有一点,就是登陆系统审核的日志,这个貌似不能按条清。不过你登陆后可以在本地安全策略那里设置不记录。还有没事别乱加帐号,就算加了用完要删掉,别忘了,C:\Documents and Settings\对应的用户名\ 也要DEL咯,至于怎么删自己想办法。这里,提供两个办法删,第一,先与目标机建立好IPC连接,然后把号删了,再利用IPC把那个文件夹干掉,再把IPC连接删除,完事(适合内网)。第二,写一个VBS脚本,代码如下: 
On    Error    Resume    Next    
  set    shell=createobject("wscript.shell")    
  shell.run    "自己打删除命令" 
保存为del.vbs,丢到启动目录,管理员登陆的时候就会自动删除该文件夹。下载东西,尽量别用IE下载,正确的做法是:打开CMD,open ip 输入你的ftp帐户和密码,再get,用VBS脚本下载也可,看你自己了。最好是先下个Aio 或者Mt,再用上面的下载功能来下东西。

下机前,必须把IE的历史记录(你要是用IE下了东西或者开了网页的话),internet临时文件删除了. 
做到这些,对付一般点的管理员是绰绰有余了,自己多注意点,肉鸡留得长点,总找肉鸡也累吧,注销,在CMD下输入logoff ,咱回头见吧:)
------------------------------------
自己加的:
1。管理员在的时候千万不要上。特别是3389
上之前首先要query user看看.

2。留后门最好是留一句话,利用冰狐浪子的一句话或者lake2的,插入web中常用的脚本中,需要用的时候就上个大马,不要就删掉

3。记得清理登陆日志,防火墙日志,FTP日志等等,最好是手工操作,用工具有时候会出错,这是我自己测试的,只代表我的观点。

4。上去后不要放什么鸽子啊什么的,你如果有免杀的telnet型的木马还好,其余的就算了,最重要的是搞管理员的密码,pcanywhere,sql,mysql.等等一切需要密码的东西,只要服务器上存在有需要密码,就想办法弄到。然后清理日志闪人

5。记得查看下管理员登陆的时间,以备后用,说白了,就是查找管理员的习惯,可以google上一起来,并且在自己电脑上,分类集合。便以比较分析
暂时先到这,随时更新。如果你有什么好的,也可以发我邮件[email protected]和我交流。

时间: 2024-10-08 21:59:36

肉鸡操作方法的相关文章

Python文件和目录操作方法大全(含实例)

一.python中对文件.文件夹操作时经常用到的os模块和shutil模块常用方法.1.得到当前工作目录,即当前Python脚本工作的目录路径: os.getcwd()2.返回指定目录下的所有文件和目录名:os.listdir()               例: print os.listdir(r'E:\test_dir')3.函数用来删除一个文件:os.remove()4.删除多个目录:os.removedirs(r"c:\python")5.检验给出的路径是否是一个文件:os.

视图表单访问控制器操作方法的POST、GET方式对应关系

在视图中,表单默认访问方式是FormMethod.Post(不会将请求显示在地址栏中).在控制器中,操作方法不标注属性,默认为HttpGet属性.会有以前情况出现. 1.表单不指定访问方式(默认形式为Post),只有一个操作方法,且不标注属性,默认为HttpGet属性.则表单将数据提交至控制器HttpGet方法中. @using (Html.BeginForm())    {       <div class="form-group">           <labe

黄聪:Discuz!X/数据库操作方法、DB::table、C::t

函数 功能 DB::table($tablename) 获取正确带前缀的表名,转换数据库句柄, DB::delete($tablename, 条件,条数限制) 删除表中的数据 DB::insert($tablename, 数据(数组),是否返回插入ID,是否是替换式,是否silent) 插入数据操作 DB::update($tablename, 数据(数组)条件) 更新操作 DB::fetch(查询后的资源) 从结果集中取关联数组,注意如果结果中的两个或以上的列具有相同字段名,最后一列将优先.

Cluster 注册表操作方法

cluster的注册表和单机的注册表是不一样的,cluster注册表在cluster的每个node上都能看到,数据是同步的,所以cluster上的注册表的操作方法也不是一样的,详情可以参考 http://msdn.microsoft.com/en-us/library/aa369128(v=vs.85).aspx 下面示例怎么样操作cluster注册表,包括创建,打开,设置,查询值等. HCLUSTER cls = OpenCluster(NULL); if(!cls) { return fal

指纹考勤机使用的基本操作方法

指纹打卡:指纹考勤机使用的基本操作方法指纹打卡 作者:qfzhang1972     话题:指纹打卡   使用方法   员工 指纹考勤机使用的基本操作方法: 一.人事考勤管理软件系统操作流程: 1.部门定义(输入部门资料) 2.员工录入(建人事档案)---数据下发 3.作息时间定义--考勤规则定义---考勤规则分配 4.请假登记.外出登记.调休登记等 5.员工按照公司上下时间打卡 6.采集数据 7.考勤统计 8.查看考勤明细表.汇总表.日报表及其它报表 二.指纹机安装说明 指纹考勤机硬件安装比较

再续服务器被肉鸡的经历-- struts2漏洞

[[email protected] ~]# cat myout.file  YAM - Yet Another Miner by yvg1900 yam M7v-linux64-core2/yvg1900 ********************************************************************************************************** * Supported coins: PTS MMC MAX GRS DMD 

共享资源加锁的操作方法-10-多线程

1 在多线程的编程环境中,锁的使用必不可少! 2 于是,今天来总结一下为共享资源加锁的操作方法. 3 4 一.使用synchronized方式 5 6 //线程1 7 dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{ 8 @synchronized(_myLockObj){ 9 [obj1 method1]; 10 sleep(30); 11 } 12 @synchronized(ob

电工刀安全操作方法(转载)

电工刀安全操作方法 时间:2015-12-25 22:55:11编辑:电工栏目:电工工具 导读:电工刀怎么用?电工刀安全操作技术与操作方法,电工刀作为维修电工的常用电工工个,如何正确与安全使用呢,这里分享下电工刀安全操作技术与操作方法,供大家参考. 电工刀怎么用?电工刀安全操作方法 之前介绍了电工刀的正确使用方法及注意事项,本节为大家带来电工刀的安全操作方法,一起来看看. 一.电工刀安全操作技术 1.所有使用的电工刀必须符合国家相关安全规定,出厂合格证等相关资料在初次领用时齐全完整. 2.电工刀

ReactiveCocoa操作方法-线程\时间

ReactiveCocoa操作方法-线程 deliverOn: 内容传递切换到制定线程中,副作用在原来线程中,把在创建信号时block中的代码称之为副作用. subscribeOn: 内容传递和副作用都会切换到制定线程中 ReactiveCocoa操作方法-时间 timeout: 超时可以让一个信号再一定的时间后,自动报错 - (void)timeout { RACSignal *signal = [[RACSignal createSignal:^RACDisposable *(id<RACS