(( 常見殺軟 ))
360tray.exe 360實時保護
ZhuDongFangYu.exe 360主動防禦
KSafeTray.exe 金山衛士
McAfee McShield.exe 麥咖啡
SafeDogUpdateCenter.exe 伺服器安全狗
(( wscript.shell的删除和恢複 ))
載wscript.shell對象,在cmd下或直接運作:regsvr32 /u %windir%\system32\WSHom.Ocx
解除安裝FSO對象,在cmd下或直接運作:regsvr32.exe /u %windir%\system32\scrrun.dll
解除安裝stream對象,在cmd下或直接運作:regsvr32 /s /u “C:\ProgramFiles\CommonFiles\System\ado\msado15.dll”
如果想恢複的話隻需要去掉/U 即可重新再注冊以上相關ASP元件,這樣子就可以用了
(( 如何找到準确的終端連接配接端口?))
在aspx大馬裡,點選“系統資訊”第三個就是目前的3389端口
或是執行指令檢視正在運作的服務:tasklist /svc
找到:svchost.exe 1688 TermService
記住1688這個ID值,
檢視開放的所有端口:netstat -ano
找到1688這個ID值所對應的端口就是3389目前的端口
或者可以使用S掃描器 對1-65535 開放的端口掃描 或者可以用Shell自帶的端口掃描
(( iis6提權提示Can not find wmiprvse.exe的突破方法 ))
突破方法一:
在IIS環境下,如果權限做得不嚴格,我們在aspx大馬裡面是有權限直接結束wmiprvse.exe程序的,程序檢視裡面直接K掉
在結束之後,它會再次運作,這時候的PID值的不一樣的。這時候我們回來去運作exp,直接秒殺。
突破方法二:
虛拟主機,一般權限嚴格限制的,是沒權限結束的,這時候我們可以考慮配合其他溢出工具讓伺服器強制重新開機,比如“直接使伺服器藍屏重新開機的東東”
甚至可以暴力點,DDOS秒殺之,管理發現伺服器不通了首先肯定是以為伺服器當機,等他重新開機下伺服器(哪怕是IIS重新開機下)同樣秒殺之。
https://www.70sec.com/thread-3007-1-1.html