MT.EXE 中文使用教程
發(fā)布時間:2011-05-01 00:33:36 作者:佚名
我要評論

MT.EXE是一個網(wǎng)絡(luò)管理方面的軟件,依照yy3的說法,也就是 “七拼八湊來的,純粹是圖個方便?!笨墒沁@個方便個真的是太方便了,有了這40K的一個程序,可以刪除我們電腦里面多達幾M的程序,讓我們先來看看這個程序的真面目吧
mt.exe下載
D:\>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看見的是,.他的功能一共有34項,包含我們我們平時使用的大部分軟件.下面我就來一項一項的測試,條件和能力有限,希望大家能夠指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON&line;OFF> ----Enabld&line;Disable TCP/IP Filter.
從上面的說明可以知道,這個是打開關(guān)閉TCP/IP篩選的,我們先來試一下,輸入命令:
D:\>MT -FILTER on
Enable TCP/IP Filter successful!
這個時候我們看看試不試打開了TCP/IP篩選,打開網(wǎng)絡(luò)連接選項,右鍵本地連接---Internet協(xié)議(TCP/IP)屬性----高級---選項----TCP/IP篩選-----屬性,我們看到的這樣的情況,如圖:
可以看見,我們已經(jīng)啟用了這個TCP/IP篩選,再次輸入命令:
D:\>MT -FILTER off
Disable TCP/IP Filter successful!
查看屬性:
有了這個工具,我們就不必那樣的麻煩的點擊鼠標了,一切都很簡單.
二, D:\>mt -addport
Usage:
mt -addport <TCP&line;UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
從說明上面看,是增加端口列表中允許通訊的端口,還是和上面的一樣,我們來看看這個功能是如何的強大:
五, -pslist ---List active processes.
列出活動進程,經(jīng)常用PSTOOLS的很熟悉這個功能了,在這里,我將這個工具和pstools的工具相比較,看看他們的功能怎么樣?
D:\>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 \SystemRoot\System32\smss.exe
524 \??\C:\WINDOWS\system32\csrss.exe
548 \??\C:\WINDOWS\system32\winlogon.exe
592 C:\WINDOWS\system32\services.exe
604 C:\WINDOWS\system32\lsass.exe
780 C:\WINDOWS\system32\svchost.exe
844 C:\WINDOWS\System32\svchost.exe
876 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
932 C:\WINDOWS\System32\svchost.exe
960 C:\WINDOWS\System32\svchost.exe
1128 C:\WINDOWS\System32\alg.exe
1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
1188 D:\mysql\bin\mysqld-nt.exe
1280 C:\WINDOWS\System32\nvsvc32.exe
1728 C:\WINDOWS\Explorer.EXE
212 C:\WINDOWS\System32\ctfmon.exe
504 D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
924 D:\Program Files\MYIE2\myie.exe
1348 C:\WINDOWS\System32\dllhost.exe
1516 C:\WINDOWS\System32\dllhost.exe
1856 C:\WINDOWS\System32\msdtc.exe
1356 C:\WINDOWS\System32\cmd.exe
1004 C:\WINDOWS\System32\conime.exe
1748 D:\Program Files\HyperSnap-DX 5\HprSnap5.exe
1272 D:\MT.exe
我們使用PSLIST得到的結(jié)果:
D:\hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的結(jié)果:
E:\HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY\SYS
csrss.exe 524 NT AUTHORITY\SYS
winlogon.exe 548 NT AUTHORITY\SYS
services.exe 592 NT AUTHORITY\SYS
lsass.exe 604 NT AUTHORITY\SYS
svchost.exe 780 NT AUTHORITY\SYS
svchost.exe 844 NT AUTHORITY\SYS
StyleXPService.exe 876 NT AUTHORITY\SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY\SYS
mysqld-nt.exe 1188 NT AUTHORITY\SYS
nvsvc32.exe 1280 NT AUTHORITY\SYS
Explorer.EXE 1728 LIN\lin
ctfmon.exe 212 LIN\lin
WINWORD.EXE 504 LIN\lin
MyIE.exe 924 LIN\lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY\SYS
msdtc.exe 1856
cmd.exe 1356 LIN\lin
conime.exe 1004 LIN\lin
HprSnap5.exe 1748 LIN\lin
cmd.exe 1548 LIN\lin
pulist.exe 1788 LIN\lin
從上面的情況可以知道,輸入MT還沒有PSLIST功能的強大,能夠列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是較于PULIST,已經(jīng)是很好的了,能夠列出進程名和運行路徑,已經(jīng)能夠滿足我們平時的使用了.
六, D:\>mt -pskill
Usage:
mt -pskill <PID&line;ProcessName>
同樣也是PSTOOLS的工具之一了,我們使用MyIE.exe這個軟件作為測試,看看他們能不能殺死這個進程,首先是使用MT,通過上面的MT –PSLIST,我們知道MyIE.exe的PID值是924,于是輸入:
D:\>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我們表示公平統(tǒng)一性,我們還是有PSLIST取得MYIE的PID值,重新打開MYIE,得到它的PID值為220,我們輸入:
D:\hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同樣也是很快被KILL,說明MT和PSKILL的功能是一樣的,使用MT也可以達到和PSKILL一樣的效果.
我們發(fā)現(xiàn)MT一個比較弱的功能的就是沒有和PSKILL一樣支持網(wǎng)絡(luò)功能,在PSKILL中可以通過pskill [\\RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
殺死遠程的計算機進程,當然,我們不可能指望MT也能有這樣強大的功能,畢竟我們用的僅僅才只有40K.
七, D:\>mt -dlllist
Usage:
mt -dlllist <PID&line;ProcessName>
列出進程中相關(guān)的DLL文件,于這個相關(guān)功能的軟件我沒有找到,不過我們使用Windows優(yōu)化大師,我們先來測試一下,這次我們選中的進程是StyleXPService.exe.還是使用MT –pslist得到其PID值876,輸入:
D:\>mt -dlllist 876
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\MSVCRT.DLL
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\System32\NETAPI32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\System32\UXTHEME.DLL
C:\WINDOWS\System32\rsaenh.dll
打開Windows優(yōu)化大師,看看它得到的相關(guān)DLL文件是什么?如圖:
使用MT得到的DLL相關(guān)文件和Windows優(yōu)化大師的是一摸一樣的,我們可以肯定使用MT絕對比使用Windows優(yōu)化大師方便快捷.
八, mt –sysinfo
列出系統(tǒng)信息,還是使用Windows優(yōu)化大師與之作比較,發(fā)現(xiàn)幾乎沒有任何的失誤,可見準確性特別強的,由于頁面的關(guān)系,數(shù)據(jù)不再展示. 這個功能和程序sysinfo.exe是一樣的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
這4個命令就不說了,和系統(tǒng)工具shutdown不一樣的是,輸入之后沒有任何的提示,直接關(guān)機,我已經(jīng)試過了,幸虧還記得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
這4個命令是和Terminal相關(guān)的,由于沒有安裝服務(wù)器版本的系統(tǒng),所以沒有測試.
十一, -clog ---Clean system log.
用來清除記錄,我們輸入:
D:\>mt -clog
Usage:
mt -clog <app&line;sec&line;sys&line;all> ---Clean Application&line;Security&line;System&line;All logs.
從上面的可以看出,我們可以清除 “應(yīng)用程序” “安全性” “系統(tǒng)”3個日志,我隨便選擇一個,用MT刪除 “應(yīng)用程序”日志,輸入:
D:\>mt -clog app
Clean EventLog : Application successful!
打開事件查看器,如圖,
可以看出日志已經(jīng)被清空,不過MT并不能和小榕的Cleariislog相比,不能刪除指定IP的日志,這個可能是yy3并沒有考慮將這個工具用作那樣的用途.
十二, -enumsrv ---List all services.
列出所有的服務(wù),這個測試可能你的不同,因為我已經(jīng)刪除了很多的服務(wù)的了,為了精簡系統(tǒng)和提升速度,還是來看看,
D:\>mt -enumsrv
Usage:
mt -enumsrv <SRV&line;DRV> ----List all Win32&line;Driver Service
D:\>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的內(nèi)容)
D:\>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 網(wǎng)絡(luò)支持環(huán)境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的內(nèi)容)
實在是太多了,也不想說什么了,只有一個字----高.
十三, D:\>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服務(wù)的詳細信息,我們查看系統(tǒng)進程Alerter的信息,輸入:
D:\>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所選用戶和計算機有關(guān)系統(tǒng)管理級警報。如果服務(wù)停止,使用管理警
報的程序?qū)⒉粫艿剿鼈?。如果此服?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 為 Internet 連接共享和 Internet 連接防火墻提供第三方協(xié)議插件的支
持
實在是很清楚了,當然我們也可以使用mmc查看服務(wù)的詳細信息,如圖:
再一次看見這個參數(shù)了,上次已經(jīng)忘記的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
這寫命令四和服務(wù)相關(guān)的,放在一起測試了,服務(wù)程序選擇了冰河的服務(wù)端server.exe,我現(xiàn)在要作的是將這個工具作為服務(wù)安裝,然后改變配置,開始服務(wù),停止服務(wù)等,輸入:
十五, D:\>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
這個工具很是實用,直到幾個月前,還在安全焦點的論壇上面看見有人需要這樣的工具,不過那個時候他們提供的是VBS文件,可惜我現(xiàn)在已經(jīng)找不到那些代碼了,在DOS下下載軟件的東西,特別的方便.打建IIS服務(wù)器,把server.exe文件放置在根目錄下面,在DOS下面輸入
D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe
Download File from http://192.168.0.1/server.exe to f:\server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB at 266 dot 6KB/S in 0sec.
File <f:\server.exe> TotalByte : 266 KB.
將下載回來的server.exe文件保存在F盤server.exe文件.
十六, D:\>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
這個功能和FPIPE是一樣的,實現(xiàn)端口轉(zhuǎn)換,我們這樣測試,將192.168.0.1主機的80端口轉(zhuǎn)化為81端口,這樣輸入:
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外開一個CMD,telnet到192.168.0.1的81端口,看到這樣的情況,第一個CMD顯示出了連接的信息,
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二個CMD也顯示出了我們需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不過這個功能有一點不穩(wěn)定,也就是說,有時候可以,有時候又不可以,這次的成功也是重新啟動以后才出現(xiàn)的,相對于FPIPE,是方便了很多了,置于FPIPE.exe的用法,實在是讓我頭痛了幾天.
17, D:\>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆賬號,有點象小榕的cloneuser,測試一下,新建一個用戶yun,現(xiàn)在我要將管理員賬號lin克隆為賬號yun,輸入:
D:\hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:\>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系統(tǒng),雖然提示說操作成功,可是事實上,使用yun登陸的時候,還是沒有成功,可能也是有其缺陷或者是我自己操作失敗吧.
18, D:\>mt -never
-never ---Set account looks like never logged on.
它可以設(shè)置使用戶看起來從來沒有登陸過,在我的系統(tǒng)里面有2個用戶,一個是管理員lin,另外一個是公用的帳戶316,現(xiàn)在我把316設(shè)置為從不登陸的狀態(tài).輸入
D:\>mt -never 316
Require System Privilege.提示沒有權(quán)限,于是
D:\>mt -su
打開新的CMD窗口,輸入
Microsoft Windows XP [版本 5.1.2600]
(C) 版權(quán)所有 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>d:
D:\>mt -never 316
Fail to Set F Value.
D:\>net user 316
用戶名 316
全名 316
注釋
用戶的注釋
國家(地區(qū))代碼 000 (系統(tǒng)默認值)
帳戶啟用 Yes
帳戶到期 從不
上次設(shè)置密碼 2004/5/19 下午 08:22
密碼到期 從不
密碼可更改 2004/5/19 下午 08:22
需要密碼 Yes
用戶可以更改密碼 Yes
允許的工作站 All
登錄腳本
用戶配置文件
主目錄
上次登錄 從不
可允許的登錄小時數(shù) All
本地組成員 *Users
全局組成員 *None
命令成功完成。
D:\>
可以看出來已經(jīng)修改成功了,雖然顯示的是Fail to Set F Value.,但還是成功了.這個功能和never.exe是一樣的,只是將特定的的帳戶上回登陸時間改為帳戶從來沒有登陸上過系統(tǒng).
成功條件:你要有l(wèi)ocal system權(quán)限
18, -killuser ---Del account. Even "guest" account.
刪除用戶,輸入D:\>mt -killuser ziqi
Kill User: ziqi Success!
這個功能有一點問題,輸入提示已經(jīng)刪除了,可是然后事實上,這個用戶并沒有刪除,我們輸入
D:\>net user
\\LIN 的用戶帳戶
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
還是能夠看見ziqi的賬號,打開控制面板,用戶賬號,還是能看見這個用戶的身影:
但是如果我們以下面這種方式登陸,也就是先運行MT –su得到系統(tǒng)最高權(quán)限,在這個CMD下,我們就可以刪除賬號了,同時也可以刪除GUEST用戶,雖然我還沒有激活這個賬號,不知道是什么原因,因為我本身登陸的就已經(jīng)是administrator組了.刪除GUEST的過程:
D:\>mt -killuser guest
Kill User: guest Success!
D:\>net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令運行完畢,但發(fā)生一個或多個錯誤。
19, -su ---Run process as Local_System privilege.
以系統(tǒng)特權(quán)運行進程,在管理員登陸的情況下輸入MT –su,馬上彈出另外一CMD窗口,在這個窗口中,可以做任何我們想做的事情,這個也是系統(tǒng)的最高權(quán)限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式編輯注冊表,輸入在CMD下不是很方便,不過有時候也是很使用的,輸入:
D:\>mt -regshell
HKLM\>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM\>quitreg
D:\>
和真實環(huán)境沒有什么區(qū)別.
21, -netstat ---List TCP connections.
列出所有的TCP連接,我讓192.168.0.2打開IE,訪問192.168.0.1的主頁,然后輸入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系統(tǒng)自帶的netstat,得到的結(jié)果是一樣的:
D:\>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能夠更直接,更容易理解,比如使用端口80代替使用協(xié)議HTTP.
22, D:\>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2對本機(192.168.0.1)的連接,可以輸入:
D:\>mt -killtcp 11
Waiting connection to be close now.
這個時候再輸入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:\>
已經(jīng)看不到有它的連接了.
23, -chkdll ---Detect gina dll backdoor.
檢查gina木馬后門,這個問題以前是很流行了,所以也被考慮進來了,使用很簡單:
D:\>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
crypt32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
cscdll.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
sclgntfy.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
WlNotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安裝了GINA木馬,會出現(xiàn)這樣的情況:
D:\>mt -chkdll
GinaDll exist:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
c:\windows\system32\ntshellgina.dll
很快就被檢測出來了,實在是很方便,呵呵,其實我那個DLL文件早就被KILL了,只是修改了一下注冊表而已,不過也顯示了這個工具的強大性.
24, -psport ---Map ports to processes.
顯示進程的端口,這個功能和哪個工具的功能一樣的呢,呵呵,忘記了,對了是FPORT.EXE,呵呵,很久沒有用了,還是來看看他們有什么不同的地方:
D:\>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe
TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe
TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe
TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe
TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe
使用FPORT.EXE得到下面的結(jié)果
E:\HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe
844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe
780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 3026 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 500 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
780 svchost -> 3456 UDP C:\WINDOWS\system32\svchost.exe
基本上差不多了,不過感覺好像FPORT更加強大一點,因為我現(xiàn)在在FPORT中用了參數(shù),為了使2個更容易對比一些.
這里還有一個比較好的軟件,使GUI的,抓圖下來如下:
24, -touch ---Set the file times for a specified file.
查看文件修改時間,下載或者COPY,轉(zhuǎn)移會改變文件的最后修改時間,而使用這個命令可以查看文件的最后修改時間,舉個例子,我們現(xiàn)在看到的文件mt.exe,如圖,
而事實上,我們使用下面的命令:
D:\>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其創(chuàng)建時間不使2004年5月19日,而是CreationTime : 07/10/2002,相信這個也就使yy3寫這個程序的時間了.與這個相關(guān)的軟件有偷touch.exe,可以我電腦里面的這個文件已經(jīng)本病毒破壞了。
25, -chkuser ---List all account、sid and anti clone.
這個功能,測試不了,雖然說使列出所有的用戶,SID和反克隆設(shè)置,但是,一旦輸入,就有錯誤發(fā)生
26, -findpass ---Show all logged on user's pass.
得到所有登陸用戶的密碼,由于這個命令是For NT/2K only.,所以我在客戶機上面測試這個功能,輸入,很容易就得到了密碼:
G:\WINNT\system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:\WINNT\system32>
這個比findpass.exe還方便一些,不需要知道用戶進程的PID值.
后記:MT確實是一個很不錯的工具,它能夠讓我們很容易的做很多事情,而不用到處去找相關(guān)的軟件,
很多朋友都問在哪里可以下載?事實上現(xiàn)在在網(wǎng)絡(luò)上面是找不到這個程序的,因為這個程序是yy3給我測試的,沒經(jīng)過他的同意,我也不敢隨便發(fā)布在網(wǎng)絡(luò)上面。所以想要的朋友麻煩留下你們的E-mail信箱,我會給沒一個朋友發(fā)一份,同時也希望能幫忙測試,發(fā)現(xiàn)一些BUG什么的。還有就是不要隨便亂發(fā)就是了,自己用真的很不錯的,到時候yy3怪下來我真的恐怕承受不起。
D:\>mt.exe
Usage: mt.exe <Opintion>
Opintion :
-filter ---Change TCP/IP filter to on/off status.
-addport ---Add ports to the filter' allowed portlist.
-setport ---Set ports as the filter' allowed portlist.
-nicinfo ---List TCP/IP interface info.
-pslist ---List active processes.
-pskill ---Kill a specified process.
-dlllist ---List dlls of a specified process.
-sysinfo ---List system info.
-shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
-chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
-clog ---Clean system log.
-enumsrv ---List all services.
-querysrv ---List detail info of a specified service.
-instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
-netget ---Download from http/ftp.
-redirect ---Port redirect.
-chkuser ---List all account、sid and anti clone.
-clone ---Clone from admin to dest.
-never ---Set account looks like never logged on.
-killuser ---Del account. Even "guest" account.
-su ---Run process as Local_System privilege.
-findpass ---Show all logged on user's pass.
-netstat ---List TCP connections.
-killtcp ---Kill TCP connection.
-psport ---Map ports to processes.
-touch ---Set the file times for a specified file.
-secdel ---Secure delete files and directory or zap free
pace.
-regshell ---Enter a console registry editor.
-chkdll ---Detect gina dll backdoor.
大家可以看見的是,.他的功能一共有34項,包含我們我們平時使用的大部分軟件.下面我就來一項一項的測試,條件和能力有限,希望大家能夠指出其中的不足.
一,MT.EXE –filter
Usage:
MT -filter <ON&line;OFF> ----Enabld&line;Disable TCP/IP Filter.
從上面的說明可以知道,這個是打開關(guān)閉TCP/IP篩選的,我們先來試一下,輸入命令:
D:\>MT -FILTER on
Enable TCP/IP Filter successful!
這個時候我們看看試不試打開了TCP/IP篩選,打開網(wǎng)絡(luò)連接選項,右鍵本地連接---Internet協(xié)議(TCP/IP)屬性----高級---選項----TCP/IP篩選-----屬性,我們看到的這樣的情況,如圖:
可以看見,我們已經(jīng)啟用了這個TCP/IP篩選,再次輸入命令:
D:\>MT -FILTER off
Disable TCP/IP Filter successful!
查看屬性:
有了這個工具,我們就不必那樣的麻煩的點擊鼠標了,一切都很簡單.
二, D:\>mt -addport
Usage:
mt -addport <TCP&line;UDP> NIC PortList ----Add ports to the allowed portlist.
Use "-nicinfo" get Nic number first.
從說明上面看,是增加端口列表中允許通訊的端口,還是和上面的一樣,我們來看看這個功能是如何的強大:
五, -pslist ---List active processes.
列出活動進程,經(jīng)常用PSTOOLS的很熟悉這個功能了,在這里,我將這個工具和pstools的工具相比較,看看他們的功能怎么樣?
D:\>mt -pslist
PID Path
0 [Idle Process]
4 l[System]
464 \SystemRoot\System32\smss.exe
524 \??\C:\WINDOWS\system32\csrss.exe
548 \??\C:\WINDOWS\system32\winlogon.exe
592 C:\WINDOWS\system32\services.exe
604 C:\WINDOWS\system32\lsass.exe
780 C:\WINDOWS\system32\svchost.exe
844 C:\WINDOWS\System32\svchost.exe
876 C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
932 C:\WINDOWS\System32\svchost.exe
960 C:\WINDOWS\System32\svchost.exe
1128 C:\WINDOWS\System32\alg.exe
1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
1188 D:\mysql\bin\mysqld-nt.exe
1280 C:\WINDOWS\System32\nvsvc32.exe
1728 C:\WINDOWS\Explorer.EXE
212 C:\WINDOWS\System32\ctfmon.exe
504 D:\Program Files\Microsoft Office\Office10\WINWORD.EXE
924 D:\Program Files\MYIE2\myie.exe
1348 C:\WINDOWS\System32\dllhost.exe
1516 C:\WINDOWS\System32\dllhost.exe
1856 C:\WINDOWS\System32\msdtc.exe
1356 C:\WINDOWS\System32\cmd.exe
1004 C:\WINDOWS\System32\conime.exe
1748 D:\Program Files\HyperSnap-DX 5\HprSnap5.exe
1272 D:\MT.exe
我們使用PSLIST得到的結(jié)果:
D:\hack>pslist
PsList v1.12 - Process Information Lister
Copyright (C) 1999-2000 Mark Russinovich
Systems Internals - http://www.sysinternals.com
Process information for LIN:
Name Pid Pri Thd Hnd Mem User Time Kernel Time Elapsed Time
Idle 0 0 1 0 20 0:00:00.000 0:40:22.453 0:00:00.000
System 4 8 56 258 40 0:00:00.000 0:00:06.098 0:00:00.000
smss 464 11 3 21 44 0:00:00.010 0:00:00.100 0:43:10.565
csrss 524 13 11 416 3892 0:00:02.042 0:00:14.240 0:43:06.449
winlogon 548 13 19 443 1044 0:00:01.171 0:00:01.882 0:43:04.185
services 592 9 21 307 940 0:00:00.721 0:00:01.662 0:43:01.582
lsass 604 9 19 304 1132 0:00:00.540 0:00:00.690 0:43:01.532
svchost 780 8 8 255 824 0:00:00.200 0:00:00.160 0:42:58.687
svchost 844 8 55 1214 5740 0:00:02.393 0:00:01.932 0:42:58.457
StyleXPSer 876 8 2 38 416 0:00:00.110 0:00:00.070 0:42:58.357
svchost 932 8 5 46 396 0:00:00.020 0:00:00.040 0:42:56.705
svchost 960 8 7 90 204 0:00:00.060 0:00:00.040 0:42:56.244
alg 1128 8 5 116 220 0:00:00.020 0:00:00.060 0:42:49.144
inetinfo 1160 8 17 281 864 0:00:00.210 0:00:00.330 0:42:49.054
mysqld-nt 1188 8 6 81 76 0:00:00.010 0:00:00.050 0:42:47.602
nvsvc32 1280 8 3 74 92 0:00:00.090 0:00:00.160 0:42:45.378
Explorer 1728 8 20 583 19548 0:00:11.436 0:00:27.519 0:42:37.607
ctfmon 212 8 1 109 1596 0:00:00.340 0:00:01.031 0:42:26.982
WINWORD 504 8 5 394 43428 0:01:04.072 0:00:25.757 0:41:26.194
myie 924 8 9 312 3116 0:00:09.623 0:00:07.460 0:35:36.582
dllhost 1348 8 23 240 1540 0:00:01.982 0:00:00.460 0:35:24.414
dllhost 1516 8 15 200 784 0:00:00.190 0:00:00.230 0:35:22.912
msdtc 1856 8 18 149 372 0:00:00.080 0:00:00.090 0:35:18.896
cmd 1356 8 1 21 592 0:00:00.080 0:00:00.100 0:32:44.414
conime 1004 8 1 25 664 0:00:00.050 0:00:00.030 0:32:42.652
HprSnap5 1748 8 6 168 1648 0:00:01.932 0:00:03.414 0:18:38.798
cmd 1548 8 1 20 1392 0:00:00.020 0:00:00.010 0:00:28.020
pslist 1716 8 2 82 1672 0:00:00.030 0:00:00.050 0:00:00.400
使用PULIST得到的結(jié)果:
E:\HACK>pulist
Process PID User
Idle 0
System 4
smss.exe 464 NT AUTHORITY\SYS
csrss.exe 524 NT AUTHORITY\SYS
winlogon.exe 548 NT AUTHORITY\SYS
services.exe 592 NT AUTHORITY\SYS
lsass.exe 604 NT AUTHORITY\SYS
svchost.exe 780 NT AUTHORITY\SYS
svchost.exe 844 NT AUTHORITY\SYS
StyleXPService.exe 876 NT AUTHORITY\SY
svchost.exe 932
svchost.exe 960
alg.exe 1128
inetinfo.exe 1160 NT AUTHORITY\SYS
mysqld-nt.exe 1188 NT AUTHORITY\SYS
nvsvc32.exe 1280 NT AUTHORITY\SYS
Explorer.EXE 1728 LIN\lin
ctfmon.exe 212 LIN\lin
WINWORD.EXE 504 LIN\lin
MyIE.exe 924 LIN\lin
dllhost.exe 1348
dllhost.exe 1516 NT AUTHORITY\SYS
msdtc.exe 1856
cmd.exe 1356 LIN\lin
conime.exe 1004 LIN\lin
HprSnap5.exe 1748 LIN\lin
cmd.exe 1548 LIN\lin
pulist.exe 1788 LIN\lin
從上面的情況可以知道,輸入MT還沒有PSLIST功能的強大,能夠列出Name,Pid,Pri,Thd Hnd,Mem,User Time,Kernel Time,Elapsed Time,但是較于PULIST,已經(jīng)是很好的了,能夠列出進程名和運行路徑,已經(jīng)能夠滿足我們平時的使用了.
六, D:\>mt -pskill
Usage:
mt -pskill <PID&line;ProcessName>
同樣也是PSTOOLS的工具之一了,我們使用MyIE.exe這個軟件作為測試,看看他們能不能殺死這個進程,首先是使用MT,通過上面的MT –PSLIST,我們知道MyIE.exe的PID值是924,于是輸入:
D:\>mt -pskill 924
Kill process sccuessful!
很快,MYIE就消失了,也就是被KILL了,再使用PSKILL.EXE,我們表示公平統(tǒng)一性,我們還是有PSLIST取得MYIE的PID值,重新打開MYIE,得到它的PID值為220,我們輸入:
D:\hack>pskill 220
PsKill v1.03 - local and remote process killer
Copyright (C) 2000 Mark Russinovich
http://www.sysinternals.com
Process 220 killed.
同樣也是很快被KILL,說明MT和PSKILL的功能是一樣的,使用MT也可以達到和PSKILL一樣的效果.
我們發(fā)現(xiàn)MT一個比較弱的功能的就是沒有和PSKILL一樣支持網(wǎng)絡(luò)功能,在PSKILL中可以通過pskill [\\RemoteComputer [-u Username]] <process Id or name>
-u Specifies optional user name for login to
remote computer.
殺死遠程的計算機進程,當然,我們不可能指望MT也能有這樣強大的功能,畢竟我們用的僅僅才只有40K.
七, D:\>mt -dlllist
Usage:
mt -dlllist <PID&line;ProcessName>
列出進程中相關(guān)的DLL文件,于這個相關(guān)功能的軟件我沒有找到,不過我們使用Windows優(yōu)化大師,我們先來測試一下,這次我們選中的進程是StyleXPService.exe.還是使用MT –pslist得到其PID值876,輸入:
D:\>mt -dlllist 876
C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\MSVCRT.DLL
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\System32\SETUPAPI.dll
C:\WINDOWS\System32\NETAPI32.dll
C:\WINDOWS\System32\IMM32.DLL
C:\WINDOWS\System32\LPK.DLL
C:\WINDOWS\System32\USP10.dll
C:\WINDOWS\System32\UXTHEME.DLL
C:\WINDOWS\System32\rsaenh.dll
打開Windows優(yōu)化大師,看看它得到的相關(guān)DLL文件是什么?如圖:
使用MT得到的DLL相關(guān)文件和Windows優(yōu)化大師的是一摸一樣的,我們可以肯定使用MT絕對比使用Windows優(yōu)化大師方便快捷.
八, mt –sysinfo
列出系統(tǒng)信息,還是使用Windows優(yōu)化大師與之作比較,發(fā)現(xiàn)幾乎沒有任何的失誤,可見準確性特別強的,由于頁面的關(guān)系,數(shù)據(jù)不再展示. 這個功能和程序sysinfo.exe是一樣的.
九, -shutdown ---Shutdown system.
-reboot ---Reboot system.
-poweroff ---Turn off power.
-logoff ---Logoff current user's session.
這4個命令就不說了,和系統(tǒng)工具shutdown不一樣的是,輸入之后沒有任何的提示,直接關(guān)機,我已經(jīng)試過了,幸虧還記得保存.
十, -chkts ---Check Terminal Service info.
-setupts ---Install Terminal Service.
-remts ---Remove Terminal Service.
-chgtsp ---Reset Terminal Service port.
這4個命令是和Terminal相關(guān)的,由于沒有安裝服務(wù)器版本的系統(tǒng),所以沒有測試.
十一, -clog ---Clean system log.
用來清除記錄,我們輸入:
D:\>mt -clog
Usage:
mt -clog <app&line;sec&line;sys&line;all> ---Clean Application&line;Security&line;System&line;All logs.
從上面的可以看出,我們可以清除 “應(yīng)用程序” “安全性” “系統(tǒng)”3個日志,我隨便選擇一個,用MT刪除 “應(yīng)用程序”日志,輸入:
D:\>mt -clog app
Clean EventLog : Application successful!
打開事件查看器,如圖,
可以看出日志已經(jīng)被清空,不過MT并不能和小榕的Cleariislog相比,不能刪除指定IP的日志,這個可能是yy3并沒有考慮將這個工具用作那樣的用途.
十二, -enumsrv ---List all services.
列出所有的服務(wù),這個測試可能你的不同,因為我已經(jīng)刪除了很多的服務(wù)的了,為了精簡系統(tǒng)和提升速度,還是來看看,
D:\>mt -enumsrv
Usage:
mt -enumsrv <SRV&line;DRV> ----List all Win32&line;Driver Service
D:\>mt -enumsrv srv
Num ServiceName DisplayName
0 Alerter Alerter
1 ALG Application Layer Gateway Service
2 AppMgmt Application Management
3 aspnet_state ASP.NET State Service
4 AudioSrv Windows Audio
(省略以下大部分的內(nèi)容)
D:\>mt -enumsrv drv
Num ServiceName DisplayName
0 Abiosdsk Abiosdsk
1 abp480n5 abp480n5
2 ACPI Microsoft ACPI Driver
3 ACPIEC ACPIEC
4 adpu160m adpu160m
5 aec Microsoft Kernel Acoustic Echo Canceller
6 AFD AFD 網(wǎng)絡(luò)支持環(huán)境
7 Aha154x Aha154x
8 aic78u2 aic78u2
(省略以下大部分的內(nèi)容)
實在是太多了,也不想說什么了,只有一個字----高.
十三, D:\>mt -querysrv
Usage:
mt -querysrv <ServiceName> ----Show detial info of a specifies service.
列出服務(wù)的詳細信息,我們查看系統(tǒng)進程Alerter的信息,輸入:
D:\>mt -querysrv Alerter
ServiceName: Alerter
Status: Stopped
ServiceType: Win32 Share Service
Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\svchost.exe -k LocalService
DisplayName: Alerter
Dependency: LanmanWorkstation
Description: 通知所選用戶和計算機有關(guān)系統(tǒng)管理級警報。如果服務(wù)停止,使用管理警
報的程序?qū)⒉粫艿剿鼈?。如果此服?wù)被禁用,任何直接依賴它的服務(wù)都將不能啟動。Start type: Demand Start
LogonID: NT AUTHORITY\LocalService
FilePath : C:\WINDOWS\System32\alg.exe
DisplayName: Application Layer Gateway Service
Dependency:
Description: 為 Internet 連接共享和 Internet 連接防火墻提供第三方協(xié)議插件的支
持
實在是很清楚了,當然我們也可以使用mmc查看服務(wù)的詳細信息,如圖:
再一次看見這個參數(shù)了,上次已經(jīng)忘記的了.
十四, -instsrv ---Install a service.
-cfgsrv ---Changes the configuration of a service.
-remsrv ---Remove a specified service.
-startsrv ---Start a specified service.
-stopsrv ---Stop a specified service.
這寫命令四和服務(wù)相關(guān)的,放在一起測試了,服務(wù)程序選擇了冰河的服務(wù)端server.exe,我現(xiàn)在要作的是將這個工具作為服務(wù)安裝,然后改變配置,開始服務(wù),停止服務(wù)等,輸入:
十五, D:\>mt -netget
Usage:
mt -netget <url> <filename to saved> ---Download from http/ftp.
這個工具很是實用,直到幾個月前,還在安全焦點的論壇上面看見有人需要這樣的工具,不過那個時候他們提供的是VBS文件,可惜我現(xiàn)在已經(jīng)找不到那些代碼了,在DOS下下載軟件的東西,特別的方便.打建IIS服務(wù)器,把server.exe文件放置在根目錄下面,在DOS下面輸入
D:\>mt -netget http://192.168.0.1/server.exe f:\server.exe
Download File from http://192.168.0.1/server.exe to f:\server.exe.
Download completed 272992 bytes ......
Downloaded 266.6KB at 266 dot 6KB/S in 0sec.
File <f:\server.exe> TotalByte : 266 KB.
將下載回來的server.exe文件保存在F盤server.exe文件.
十六, D:\>mt -redirect
Usage:
mt -redirect <TargetIP> <TargetPort> <ListenPort> ----TCP port redirector.
這個功能和FPIPE是一樣的,實現(xiàn)端口轉(zhuǎn)換,我們這樣測試,將192.168.0.1主機的80端口轉(zhuǎn)化為81端口,這樣輸入:
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
然后另外開一個CMD,telnet到192.168.0.1的81端口,看到這樣的情況,第一個CMD顯示出了連接的信息,
D:\>mt -redirect 192.168.0.1 80 81
------Waiting Connection-----
Accept client==>192.168.0.1:3027
connect to 192.168.0.1 80 success!
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 1988 recv 2 bytes.
Thread 1988 send 2 bytes.
Thread 316 recv 224 bytes.
Thread 316 send 224 bytes.
而第二個CMD也顯示出了我們需要得到的信息:
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.1
Date: Wed, 19 May 2004 13:28:53 GMT
Content-Type: text/html
Content-Length: 87
<html><head><title>Error</title></head><body>The parameter is incorrect. </body>
</html>
不過這個功能有一點不穩(wěn)定,也就是說,有時候可以,有時候又不可以,這次的成功也是重新啟動以后才出現(xiàn)的,相對于FPIPE,是方便了很多了,置于FPIPE.exe的用法,實在是讓我頭痛了幾天.
17, D:\>mt -clone
Usage:
mt -clone <SourUser> <DestUser>
克隆賬號,有點象小榕的cloneuser,測試一下,新建一個用戶yun,現(xiàn)在我要將管理員賬號lin克隆為賬號yun,輸入:
D:\hack>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
D:\>mt -clone lin yun
Fail to Open SAM Key, 操作成功完成。
可能是不支持XP系統(tǒng),雖然提示說操作成功,可是事實上,使用yun登陸的時候,還是沒有成功,可能也是有其缺陷或者是我自己操作失敗吧.
18, D:\>mt -never
-never ---Set account looks like never logged on.
它可以設(shè)置使用戶看起來從來沒有登陸過,在我的系統(tǒng)里面有2個用戶,一個是管理員lin,另外一個是公用的帳戶316,現(xiàn)在我把316設(shè)置為從不登陸的狀態(tài).輸入
D:\>mt -never 316
Require System Privilege.提示沒有權(quán)限,于是
D:\>mt -su
打開新的CMD窗口,輸入
Microsoft Windows XP [版本 5.1.2600]
(C) 版權(quán)所有 1985-2001 Microsoft Corp.
C:\WINDOWS\system32>d:
D:\>mt -never 316
Fail to Set F Value.
D:\>net user 316
用戶名 316
全名 316
注釋
用戶的注釋
國家(地區(qū))代碼 000 (系統(tǒng)默認值)
帳戶啟用 Yes
帳戶到期 從不
上次設(shè)置密碼 2004/5/19 下午 08:22
密碼到期 從不
密碼可更改 2004/5/19 下午 08:22
需要密碼 Yes
用戶可以更改密碼 Yes
允許的工作站 All
登錄腳本
用戶配置文件
主目錄
上次登錄 從不
可允許的登錄小時數(shù) All
本地組成員 *Users
全局組成員 *None
命令成功完成。
D:\>
可以看出來已經(jīng)修改成功了,雖然顯示的是Fail to Set F Value.,但還是成功了.這個功能和never.exe是一樣的,只是將特定的的帳戶上回登陸時間改為帳戶從來沒有登陸上過系統(tǒng).
成功條件:你要有l(wèi)ocal system權(quán)限
18, -killuser ---Del account. Even "guest" account.
刪除用戶,輸入D:\>mt -killuser ziqi
Kill User: ziqi Success!
這個功能有一點問題,輸入提示已經(jīng)刪除了,可是然后事實上,這個用戶并沒有刪除,我們輸入
D:\>net user
\\LIN 的用戶帳戶
-------------------------------------------------------------------------------
316 Administrator ASPNET
Guest HelpAssistant IUSR_IMAGE
IWAM_IMAGE lin SUPPORT_388945a0
ziqi
命令成功完成。
還是能夠看見ziqi的賬號,打開控制面板,用戶賬號,還是能看見這個用戶的身影:
但是如果我們以下面這種方式登陸,也就是先運行MT –su得到系統(tǒng)最高權(quán)限,在這個CMD下,我們就可以刪除賬號了,同時也可以刪除GUEST用戶,雖然我還沒有激活這個賬號,不知道是什么原因,因為我本身登陸的就已經(jīng)是administrator組了.刪除GUEST的過程:
D:\>mt -killuser guest
Kill User: guest Success!
D:\>net user
\\ 的用戶帳戶
-------------------------------------------------------------------------------
316 Administrator ASPNET
HelpAssistant IUSR_IMAGE IWAM_IMAGE
lin SUPPORT_388945a0 yun
命令運行完畢,但發(fā)生一個或多個錯誤。
19, -su ---Run process as Local_System privilege.
以系統(tǒng)特權(quán)運行進程,在管理員登陸的情況下輸入MT –su,馬上彈出另外一CMD窗口,在這個窗口中,可以做任何我們想做的事情,這個也是系統(tǒng)的最高權(quán)限了.
20 -regshell ---Enter a console registry editor.
以CMD的方式編輯注冊表,輸入在CMD下不是很方便,不過有時候也是很使用的,輸入:
D:\>mt -regshell
HKLM\>dir
<SubKey> HARDWARE
<SubKey> SAM
<SubKey> SECURITY
<SubKey> SOFTWARE
<SubKey> SYSTEM
Total: 5 SubKey, 0 Value.
HKLM\>quitreg
D:\>
和真實環(huán)境沒有什么區(qū)別.
21, -netstat ---List TCP connections.
列出所有的TCP連接,我讓192.168.0.2打開IE,訪問192.168.0.1的主頁,然后輸入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
11 192.168.0.1 80 192.168.0.2 1050 Established
如果使用的是系統(tǒng)自帶的netstat,得到的結(jié)果是一樣的:
D:\>netstat
Active Connections
Proto Local Address Foreign Address State
TCP LIN:http 192.168.0.2:1050 ESTABLISHED
只是使用MT能夠更直接,更容易理解,比如使用端口80代替使用協(xié)議HTTP.
22, D:\>mt -killtcp
Usage:
mt -killtcp <ConnectionNum> ----Kill a specifies TCP connection.
和上面的搭配用,如果先KILL192.168.0.2對本機(192.168.0.1)的連接,可以輸入:
D:\>mt -killtcp 11
Waiting connection to be close now.
這個時候再輸入:
D:\>mt -netstat
Num LocalIP Port RemoteIP PORT Status
D:\>
已經(jīng)看不到有它的連接了.
23, -chkdll ---Detect gina dll backdoor.
檢查gina木馬后門,這個問題以前是很流行了,所以也被考慮進來了,使用很簡單:
D:\>mt -chkdll
GinaDll not found.
Winlogon Notification Package Dll:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
crypt32.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
cryptnet.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
cscdll.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
sclgntfy.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
WlNotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
wlnotify.dll
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
wlnotify.dll
Please make sure if they were backdoors.
如果我安裝了GINA木馬,會出現(xiàn)這樣的情況:
D:\>mt -chkdll
GinaDll exist:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDll
c:\windows\system32\ntshellgina.dll
很快就被檢測出來了,實在是很方便,呵呵,其實我那個DLL文件早就被KILL了,只是修改了一下注冊表而已,不過也顯示了這個工具的強大性.
24, -psport ---Map ports to processes.
顯示進程的端口,這個功能和哪個工具的功能一樣的呢,呵呵,忘記了,對了是FPORT.EXE,呵呵,很久沒有用了,還是來看看他們有什么不同的地方:
D:\>mt -psport
Proto Listen PID Path
TCP 0.0.0.0:80 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:135 780 C:\WINDOWS\system32\svchost.exe
TCP 0.0.0.0:443 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1025 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
TCP 0.0.0.0:1026 4 [System]
TCP 0.0.0.0:3025 960 C:\WINDOWS\System32\svchost.exe
TCP 0.0.0.0:3027 1252 C:\WINDOWS\System32\msdtc.exe
TCP 0.0.0.0:3306 1176 D:\mysql\bin\mysqld-nt.exe
TCP 127.0.0.1:3001 1120 C:\WINDOWS\System32\alg.exe
TCP 127.0.0.1:3002 844 C:\WINDOWS\System32\svchost.exe
TCP 127.0.0.1:3003 844 C:\WINDOWS\System32\svchost.exe
TCP 192.168.0.1:139 4 [System]
TCP 192.168.0.1:3011 4 [System]
UDP 0.0.0.0:500 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 0.0.0.0:3456 780 C:\WINDOWS\system32\svchost.exe
UDP 127.0.0.1:3020 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 127.0.0.1:3026 1160 C:\WINDOWS\System32\inetsrv\inetinfo.exe
UDP 192.168.0.1:137 4 [System]
UDP 192.168.0.1:138 960 C:\WINDOWS\System32\svchost.exe
使用FPORT.EXE得到下面的結(jié)果
E:\HACK>fport /ap
FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc.
http://www.foundstone.com
Pid Process Port Proto Path
1120 -> 3001 TCP
960 -> 3025 TCP
1252 -> 3027 TCP
4 System -> 1026 TCP
4 System -> 139 TCP
4 System -> 3011 TCP
1160 inetinfo -> 1025 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 443 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 80 TCP C:\WINDOWS\System32\inetsrv\inetinfo.exe
844 svchost -> 3002 TCP C:\WINDOWS\System32\svchost.exe
844 svchost -> 3003 TCP C:\WINDOWS\System32\svchost.exe
780 svchost -> 135 TCP C:\WINDOWS\system32\svchost.exe
1176 mysqld-nt -> 3306 TCP D:\mysql\bin\mysqld-nt.exe
960 -> 138 UDP
4 System -> 137 UDP
1160 inetinfo -> 3020 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 3026 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
1160 inetinfo -> 500 UDP C:\WINDOWS\System32\inetsrv\inetinfo.exe
780 svchost -> 3456 UDP C:\WINDOWS\system32\svchost.exe
基本上差不多了,不過感覺好像FPORT更加強大一點,因為我現(xiàn)在在FPORT中用了參數(shù),為了使2個更容易對比一些.
這里還有一個比較好的軟件,使GUI的,抓圖下來如下:
24, -touch ---Set the file times for a specified file.
查看文件修改時間,下載或者COPY,轉(zhuǎn)移會改變文件的最后修改時間,而使用這個命令可以查看文件的最后修改時間,舉個例子,我們現(xiàn)在看到的文件mt.exe,如圖,
而事實上,我們使用下面的命令:
D:\>mt -touch mt1.exe
Set FileTime Successful.
CreationTime : 07/10/2002
LastAccessTime : 19/05/2004
LastWriteTime : 07/10/2002
可以知道其創(chuàng)建時間不使2004年5月19日,而是CreationTime : 07/10/2002,相信這個也就使yy3寫這個程序的時間了.與這個相關(guān)的軟件有偷touch.exe,可以我電腦里面的這個文件已經(jīng)本病毒破壞了。
25, -chkuser ---List all account、sid and anti clone.
這個功能,測試不了,雖然說使列出所有的用戶,SID和反克隆設(shè)置,但是,一旦輸入,就有錯誤發(fā)生
26, -findpass ---Show all logged on user's pass.
得到所有登陸用戶的密碼,由于這個命令是For NT/2K only.,所以我在客戶機上面測試這個功能,輸入,很容易就得到了密碼:
G:\WINNT\system32>mt -findpass
mt -findpass
The logon information :
Domain : 316-2AS8L1B1FL5
Username : Administrator
Password : winyaj
G:\WINNT\system32>
這個比findpass.exe還方便一些,不需要知道用戶進程的PID值.
后記:MT確實是一個很不錯的工具,它能夠讓我們很容易的做很多事情,而不用到處去找相關(guān)的軟件,
很多朋友都問在哪里可以下載?事實上現(xiàn)在在網(wǎng)絡(luò)上面是找不到這個程序的,因為這個程序是yy3給我測試的,沒經(jīng)過他的同意,我也不敢隨便發(fā)布在網(wǎng)絡(luò)上面。所以想要的朋友麻煩留下你們的E-mail信箱,我會給沒一個朋友發(fā)一份,同時也希望能幫忙測試,發(fā)現(xiàn)一些BUG什么的。還有就是不要隨便亂發(fā)就是了,自己用真的很不錯的,到時候yy3怪下來我真的恐怕承受不起。
相關(guān)文章
- 一個自動化的SQL注入工具,其主要功能是掃描、發(fā)現(xiàn)并利用給定URL的SQL注入漏洞,內(nèi)置了很多繞過插件,支持的數(shù)據(jù)庫是MySQL 、Oracle 、PostgreSQL 、Microsoft SQL Server2023-02-04
- Nmap是一款網(wǎng)絡(luò)掃描和主機檢測的非常有用的工具。Nmap是不局限于僅僅收集信息和枚舉,同時可以用來作為一個漏洞探測器或安全掃描器。它可以適用于winodws,linux,mac等操作2019-03-16
SQLMAP注入檢查方法 11種常見SQLMAP使用方法詳解
sqlmap也是滲透中常用的一個注入工具,其實在注入工具方面,很多人都是通過這個工具實施的檢測與注入,對于我們從事安全防御的人來說,一定要引起注意,一般的程序員寫的代2018-08-16- 這篇文章主要介紹了lcx用法之心得總結(jié),需要的朋友可以參考下2017-09-06
lcx端口轉(zhuǎn)發(fā)詳細介紹及使用方法(lcx內(nèi)網(wǎng)轉(zhuǎn)發(fā)姿勢)
這篇文章主要介紹了lcx端口轉(zhuǎn)發(fā)詳細介紹及使用方法(lcx內(nèi)網(wǎng)轉(zhuǎn)發(fā)姿勢),需要的朋友可以參考下2017-09-06- 這是我們的Nmap備忘單的第四部分,本文中我們將討論更多東西關(guān)于掃描防火墻,IDS / IPS 逃逸,Web服務(wù)器滲透測試等。在此之前,我們應(yīng)該了解一下防火墻的一些基礎(chǔ)知識以便2016-12-27
- 眾所周知NMAP是經(jīng)常用來進行端口發(fā)現(xiàn)、端口識別。除此之外我們還可以通過NMAP的NSE腳本做很多事情,比如郵件指紋識別,檢索WHOIS記錄,使用UDP服務(wù)等2016-12-27
- 這是我們的第二期NMAP備忘單,基本上,我們將討論一些高級NMAP掃描的技術(shù),我們將進行一個中間人攻擊(MITM)。現(xiàn)在,游戲開始了2016-12-27
- nmap是一個網(wǎng)絡(luò)連接端掃描軟件,用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)連接端。確定哪些服務(wù)運行在哪些連接端,并且推斷計算機運行哪個操作系統(tǒng)(這是亦稱 fingerprinting)。它是網(wǎng)2016-12-27
網(wǎng)絡(luò)漏洞掃描工具Acunetix Web Vulnerability Scanner(AWVS)使用介紹
Acunetix Web Vulnerability Scanner(簡稱AWVS)是一款知名的網(wǎng)絡(luò)漏洞掃描工具,它通過網(wǎng)絡(luò)爬蟲測試你的網(wǎng)站安全,檢測流行安全漏洞。倫敦時間2015年6月24日,官方發(fā)布了2016-09-28