系统日志信息:
perflogs:
管理->系统工具->事件查看器->windows日志->setup
服务:services.msc
是一种应用程序类型,在后台运行.服务应用程序通常可以在本地和通过网络为用户提供一些功能.
作用:
服务决定了计算机的一些功能是否被启用
不同的 服务对应的功能不同
通过计算机提供的服务可以有效实现资源共享
常见的服务:
web,dns,dhcp,邮件,telnet,ssh,ftp,smb
访问共享:
(期间可以设置权限)
cmd->\\192.168.80.137
端口:(port)
可以认为是计算机与外界通讯交流的出口.按端口号可分为3大类:
公认端口(Well Known Ports);注册端口(Registered Ports);动态和/私有端口(Dynamic and/or Private Ports)
一台拥有IP地址的主机可以提供许多服务,用"IP地址+端口号"来区分不同的服务的
端口并不是一一对应的.
知名端口():0-1023
动态端口:1024-65535
动态端口常被木马利用,如冰河默认连7626,WAY 连8011,Netspy 7306,YAI是1024
端口按协议分为TCP,UDP和ICMP(Internet控制消息协议)
TCP端口:传输控制协议端口,需要在客户端和服务端之间建立连接.reg:有21,23,25,80
UDP端口:用户数据包协议段可可,无需在客户端和服务器之间建立连接.reg:有53,161,80000和40000
常见的端口:
HTTP协议代理服务器常用端口号:80/8080/3128/8081/9080
FTP(文件传输)协议代理服务器常用端口号:21
Telnet(远程登录)协议代理服务器常用端口:23
TFTP,默认端口69/udp;
SSH,SCP,端口重定向,默认为22/TCP;
SMTP,25/TCP;
POP3:110/TCP;
TOMCAT:8080;
WIN2003远程登录:3389;
QQ:1080/UDP;
<--
资料:
win2003经典套装-戴有炜
端口服务对照表
黑客命令行攻防实战详解.至诚文化.扫...
-->
黑客通过端口进行:
信息搜集;
目标探测;
服务判断;
系统判断;
系统角色分析;
注册表:(Registry)(windows称之为登录档)
是windows中的一个重要的数据库,用于存储系统和应用程序的设置信息.
存放各种参数,直接控制着windows的启动,硬件驱动程序的装载以及一些windows应用程序的运行.
比如注册表中保存有应用程序和资源管理器外壳的初始条件,首选项和卸载数据等.联网计算机的
整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述,状态和属性.性能记录
和其他底层的系统状态信息,以及其他数据等.
cmd->regedit
(安装后门->通过注册表)(可以改桌面,基本什么都可以)
1.HKEY_CLASSES_ROOT
管理文件系统.根据在Windows中按照的应用程序的扩展名,该根键指明其文件类型的名称,相应打开
该文件所要调用的程序等等信息.
2.HKEY_CURRENT_USER
管理系统当前的用户信息.在这个根键中保存了本地计算机中存放的当前登录的用户信息,包括用户登录用户名和暂存的密码.在
用户登录windwos98时,其信息从HKEY_USERS中相应拷贝到HKEY_CURRENT_USER中.
3.HKEY_LOCAL_MACHINE(提权中经常用)
管理当前系统硬件配置.在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括
在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中.
这个根键里面的许多子键与System.ini文件中设置项类似.
4.HKEY_USERS
管理系统的用户信息.在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表.
同时每个用户的预配置信息都存储在HKEY_USERS根键中.HKEY_USERS是远程计算机中访问的根键之一.
5.HKEY_CURRENT_CONFIG
管理当前用户的系统配置.在这个根键中保存着定义当前用户桌面配置(如显示器等等)的数据,该用户
使用过得文档列表(MRU),应用程序配置和其他有关当前用户的windwos98中文版的安装的信息.
不少计算机系统感染了网络病毒后,可能会在这些注册表中做修改:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunServices
(1)IE起始页的修改
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
的右半部分窗口中的Start Page就是IE主页地址了.
(2)Internet选项按钮灰化&失效
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel
下的DWORD值"Setting"=dword:1 "Links"=dword:1 "SecAddSites" dword:1全部改为0之后
再将
HKEY_USERS\DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel下
的DWORD值"homepage"键值改为0,则无法使用"Internet选项"修改IE设置
(3)"源文件"项不可用
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Restrictions
的"NoViewSource"被设置为1了,改为0就可以恢复正常.
(4)"运行"按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
的"NoRun"键值被改为1了,改为0就可以恢复.
(5)"关机"按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
的"NoClose"键值被改为1了,改为0就可以恢复
(6)"注销"按钮被取消&失效
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
的"NoLogOff"键值被改为1了,改为0就可恢复
(7)磁盘驱动器被隐藏
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
的"NoDrives"键值被改为1了,改为0就可恢复.
入侵中常用的注册表:
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mysqlpass
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mssqlpss
HKEY_LOCAL_MACHINE\software\hzhost\config\settings\mastersvrpass
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFREEADMIN\11
HKEY_LOCAL_MACHINE\SYSTEM\LIWEIWENSOFT\INSTALLFreeHost\11
<-- www.cracer.com/?post=374 -->
DOS:
ping -t -l 65500 ip死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)
TTL=53 低于68的是linux,win7,08,NT6.0的内核
每经过一个路由器,就会-1
TTL=128 XP,03
systeminfo:
复制补丁,和提权补丁对比.
arp -a 查看所有局域网里的计算机
xxx.xx.xx.网关ip
ren 原文件名 新文件名 重命名文件名
net share ipc$ 开启ipc$共享
net share ipc$ /del 删除ipc$共享
net share c$ /del 删除C:共享
内网渗透测试:
Hydra破解密码