一些小技巧與常見問題解決方案_安全教程

1、當你得到管理員密碼卻又無法找到後台時不妨試試google。輸入site:xxx.com intext:admin        / *意思是尋找網址包含xxx.com 文字中包含admin的所有網頁*/   或site:xxx.com inurl:admin /* 查詢地址中包含admin的連結*/   site:xxx.com intitle:admin /* 查詢tittle中包含admin的連結*/。你可以把admin換為你所知道的一些與後台有關的關鍵字，如“管理員登入”“後台”等等。另外，使用maxthon的查看頁面連結也是個不錯的方法，適用於像sa-blog類隱藏後台登入頁面可見的web.

2、sa注射使用nbsi較好，批量注入，尋找諸如點使用啊D較好。啊D與google是批量注入的黃金組合：“inurl:.asp?id=”是標準的asp批量注入搜尋索引鍵。關鍵字根據你在審核某代碼時發現問題的模組而定。

3、尋找有漏洞代碼關鍵字不錯的方法是尋找他目錄下的特殊名檔案，即一些不常見的檔案名稱。index.asp啥的就免了不然google會被氣瘋的。當然，架設一套測試平台是最好不過的，通過看他的footer就可以獲得比較準確的關鍵字，通過google使用複合關鍵字你會獲得更好的效果。

4、between是個很不錯的函數，注入中的合理使用會收穫意想不到的效果。

5、如果你不能確認你的後門可以躲過管理員的眾多工具那還是別放的好，有時候你一個本想加固控制的灰鴿子，pcshare會讓你的肉雞丟的更快。要記得系統內建的東西才是最安全的。sqldebugger是個不錯的使用者，適當的使用可能會讓你收到比NX後門更好的效果。

6、不要使用那些所謂的cleanlog的軟體，要知道他們中的不少是去找預設目錄的（我的看法），遇到稍微有些BT的管理員都會去修改存放地址，大型公司的甚至會有專門的軟體與空間來對日誌進行保護與轉移。所以我們還是選擇一些高強度的刪除軟體如WYWZ等，如果是大型公司那麼記憶體，CPU等部分的資料也要進行擦出。

7、說道了擦PP，那麼我們也要找找管理員沒有擦乾淨的PP。final date是個不錯的軟體，我們總是習慣去記錄些難記的密碼在案頭，我的文件中的txt裡。final date查看下？也許你會有不錯的收穫。當然，去搜尋*.txt *.ini等也會有不錯的效果。記得，要把在隱藏檔案中搜尋選上。

8、2000主機使用2.3/2.1版本的驅動。2003使用3.1bate4還是比較穩定的。有人說小榕的ArpSniffer使用後會導致被嗅探方掉線，的確會有這種情況。解決方案如下：第一次不要加入後的/retset，對方掉線後加入/retset再次執行，然後停止。這樣一來就不會再掉線了。(紫幻)

9、tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其實是利用了tlntadmn這個命令。想要詳細瞭解，輸入/?看看吧。（這個是需要管理員權限的哦）建立相同使用者通過ntml驗證就不必我說了吧？

10、VPN串連提示733錯誤解決：取消DHCP自動分配，在“路由和遠端存取”中的本機伺服器上單擊右鍵，“屬性”“IP”在IP地址指派處選擇“靜態位址集區”。自行輸入地址即可。地址因沒有被佔用。在CMD中ping同C段IP無法ping通的基本可用。

11、遠端桌面連線下的地址無法直接刪除，可進入註冊表開啟HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default   顯示出MRU0，MRU1類的值，刪除你想刪除的即可。

12、如果你使用的漢化版的ultraedit顯示仍為E文，那麼移動滑鼠到“help”處，右鍵選擇“進階”，即可顯示中文。如果你想把它加入右鍵，那麼可以寫一個文檔，內容如下 REGEDIT4 


[HKEY_LOCAL_MACHINESOFTWAREClasses*shellexContextMenuHandlersUltraEdit-32] 
@="{b5eedee0-c06e-11cf-8c56-444553540000}" 


[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{b5eedee0-c06e-11cf-8c56-444553540000}] 
@="UltraEdit-32" 


[HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{b5eedee0-c06e-11cf-8c56-444553540000}InProcServer32] 
@="D:\\Program Files\\IDM Computer Solutions\\UltraEdit-32\\ue32ctmn.dll" 
"ThreadingModel"="Apartment"  
將D:\\Program Files\\IDM Computer Solutions\\UltraEdit-32\\ue32ctmn.dll替換成你UE安裝目錄下ue32ctmn.dll的位置，儲存為.reg匯入註冊表即可。

13、當3389串連時提示超過最大數，可以考慮使用控制台模式登入，遠程登出系統管理員帳戶(存在一定的危險性)。在開始中運行mstsc /console，輸入密碼後確認對話方塊即可。

14、sablog頁面顯示不正常，被撐裂，或上部分顯示空白解決方案：修改style.css的2個地方
1.#right        width: XXXpx;
2.#outmain      width: YYYpx;
把XXX和YYY都加50(如果問題依舊則繼續增加直到合適為止使用記事本即可編輯，尋找更改即可)

15、入侵後漏洞修補、痕迹清理，後門置放：

基礎漏洞必須修補，如SU提權，SA注入等。DBO注入可以考慮幹掉xp_treelist,xp_regread自行記得web目錄；你一定要記得清理痕迹~sqlserver串連使用企業管理器串連較好，使用查詢分析器會留下記錄，位於HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。刪除之；IISlog的清除可不要使用AIO類的工具直接完全刪除日誌~可以選擇logcleaner類工具只刪除指定IP的訪問記錄，如果你能gina到管理員密碼則通過登陸他清理日誌並通過WYWZ進行最後的痕迹清理。話說回來手動清理會比較安全。最後留下一個無日誌記錄的後門。一句話後門數個，標準後門,cfm後門我一般都不會少。要修改時間的哦~還有一招比較狠滴，如果這個機器只是台普通的肉雞，放個TXT到管理員案頭吧~提醒他你入侵了，放置了某個後門，添加了某個使用者~(當然不是你真正滴重要後門~)要他清理掉。這樣你有很大的可能性得以保留你的真實後門~

16、卡巴斯基KEY到期解決

360安全衛士提供把年卡巴6.0免費使用，所提供KEY位於註冊表的HKEY_LOCAL_MACHINE\SOFTWARE\360Safe中的key索引值。到期後刪除key索引值，重新啟動360安全衛士即可再次獲得新註冊碼繼續使用。

17、比較方便的伺服器掛馬

網站過多，手動掛馬累，批量效果又不大好。可以嘗試如下方法：啟動IIS管理，按右鍵網站（或你要掛馬的虛擬目錄）屬性——文檔——啟用文檔頁尾——指定掛馬網頁就OK了。他在WEB上尋找也是找不到檔案的（最好不要放到虛擬目錄下）

18.、3389連接埠檢測

3389連接埠是否開啟可在註冊表進行查詢，位於HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp中的PortNumber索引值讀取得d3d則為3389連接埠(16進位轉換可得)注入可使用xp_regread讀取(DBO許可權或存在該預存程序的其他帳戶即可)或匯出後使用type命令讀取命令如下 regedit /e port.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"


然後 type port.reg | find "PortNumber"  
當然你也可以去掃描所有連接埠，窮舉之~

19、VC編譯較小檔案方法

release版比debug小得多，為了使編譯出來的檔案更小可進行如下操作alt+F7彈出project settings視窗，選擇LINK(串連)屬性頁面，將Object/library modules(工程選項):下編輯框中lib全部刪除，輸入MSVCRT.LIB kernel32.lib user32.lib)
編譯即可。

20、sablog修改類問題

首頁設定可在templates/default/index.htm(default為模板名，我這裡使用的是預設範本，修改其他模板進入相應模板名目錄)其他設定可進入對應檔案進行修改，如footer對應底部設定。請在不侵犯作者著作權的前提下進行修改。如果你想刪除作者的預設友情串連，可進入include/目錄，修改cache.php中的更新連結模組，刪除如下代碼即可(不推薦，應該更厚道些有人問俺俺才說出來的，被說我不厚道~) $tatol = $DB->num_rows($DB->query("SELECT linkid FROM ".$db_prefix."links WHERE visible='1' AND (url LIKE '%4ngel.net%' OR url LIKE '%sablog.net%')"));
                     if (!$tatol) {                                        
                                        $contents.="\t'1018' => array(\n\t\t'name' => '".chr(83).chr(97).chr(98).chr(108).chr(111).chr(103).chr(45).chr(88)."',\n\t\t'url' => '".chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(119).chr(119).chr(119).chr(46).chr(115).chr(97).chr(98).chr(108).chr(111).chr(103).chr(46).chr(110).chr(101).chr(116)."',\n\t\t'note' => '".chr(83).chr(97).chr(98).chr(108).chr(111).chr(103).chr(45).chr(88).chr(32).chr(83).chr(116).chr(117).chr(100).chr(105).chr(111).chr(115)."',\n\t\t),\n";                                        
                                        $contents.="\t'8717' => array(\n\t\t'name' => '".chr(97).chr(110).chr(103).chr(101).chr(108).chr(92).chr(39).chr(115).chr(32).chr(98).chr(108).chr(111).chr(103)."',\n\t\t'url' => '".chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(119).chr(119).chr(119).chr(46).chr(52).chr(110).chr(103).chr(101).chr(108).chr(46).chr(110).chr(101).chr(116).chr(47).chr(98).chr(108).chr(111).chr(103).chr(47).chr(97).chr(110).chr(103).chr(101).chr(108)."',\n\t\t'note' => '".chr(97).chr(110).chr(103).chr(101).chr(108).chr(92).chr(39).chr(115).chr(32).chr(98).chr(108).chr(111).chr(103)."',\n\t\t),\n";
                     }