2012年07月_stilling2006

09月 08月 07月

转载简评黑客利器——中国菜刀

我是一个玩黑很多年的人，入侵了大大小小的服务器无数，体验着入侵快感的同时，自己的技术和经验也不断提高，在渗透过程中收集了大大小小的工具一堆，都快把自己的U盘放满了，当然，随着时代和技术的进步，很多工具也相应的过时了，但是却很少去删掉，看着那些熟悉的图标，熟悉的界面，就好象看到了自己一步步成长的过程，这其中有很多是自己的作品，看着那些逐渐从丑陋过渡到简陋再过渡到精美的软件界面，呵呵，这其中的滋味，真

2012-07-19 23:28:51 4346 1

转载总结搜索型手工注入的全过程

author:鸿鸿本人是小菜，水平有限，但是为了论坛做贡献，还是自己写点原创的东西出来吧。希望大牛看了别笑就好了。。。。=======================================================前段时间朋友丢了一个站过来，说是他们学校的。叫我帮忙检测下。于是看了下。用扫描器扫了下，没有啥可以上传利用的，发现后台，默认和万能密码无效，无注入点，

2012-07-19 11:20:46 17519 1

转载入侵提权过程中猜解linux路径与windows路径,网站路径暴力

/usr/local/Zend/etc/php.ini1.LINUX常见路径：/etc/passwd/etc/shadow/etc/fstab/etc/host.conf/etc/motd/etc/ld.so.conf/var/www/htdocs/index.php/var/www/conf/httpd.conf/var/www/htdocs/inde

2012-07-19 11:17:33 3411

转载总结的查找网站后台N种方法

1.工具辅助查找如大家常用的:明小子、啊D、wwwscan以及一些列目录工具:Acunetix Web Vulnerability Scanner 、JSky、IntelliTamper、Netsparker...等等2.网站资源利用如:网站根目录Robots.txt文本、图片路径爆后台、查看网站底部版权信息是否有连接、通过网站里的文件名查询源码下载得知3.

2012-07-19 11:13:26 23314

转载入侵aspx网站的经验

1、对一般遇到.net的网站时通常会注册个用户第一选择利用上传判断的漏洞加图片头GIF89A 顺利饶过2、第二种就是注入了, 在?id=xx后加单引号 " ' "一般情况下用NBSI 啊D来SCAN 都可以发现BUG页面而且国内大多.net都是使用MSSQL数据库发现注入点也可以从login下手其实这个方法目前的成功率在75%3、不过遇到搜索型的,

2012-07-19 10:57:30 7019

转载当网站不允许上传ASP,CGI,CER,CDX,HTR等类型的文件时

方法:上传一个shtm文件, 内容为:直接请求这个shtm文件, conn.asp就一览无遗, 数据库路径也就到手啦!解析:就是一条SSI指令，其作用是将"conn.asp"的内容拷贝到当前的页面中，当访问者来浏览时，会看到其它HTML文档一样显示conn.asp其中的内容。前提:服务器的对shtm或者shtml的扩展没有删除！至于conn.asp可以为其他,比如c

2012-07-19 09:25:24 1205 1

转载 EASYNEWS新闻管理系统 v1.01 正式版

实例一：“一句话木马”入侵“EASYNEWS新闻管理系统” “EASYNEWS新闻管理系统 v1.01 正式版”是在企业网站中非常常见的一套整站模版，在该网站系统的留言本组件中就存在着数据过滤不严漏洞，如果网站是默认路径和默认文件名安装的话，入侵者可以利用该漏洞直接上传ASP木马程序控制整个网站服务器。Step1 搜索入侵目标使用了“EASYNEWS新闻管理系统 v1.

2012-07-19 01:04:21 3117

转载 Dvbbs Version 8.2.0 漏洞

影响版本:Powered By Dvbbs Version 8.2.0Powered By Dvbbs Version 8.1.0Powered By Dvbbs Version 8.0.0还是批量，直接Google上面的任一注册用户-我的主页-个人空间管理userspace.asp?sid=0&act=modifyset然后编辑CSS风格【一定要有看到代码才算

2012-07-19 00:23:32 21234

转载 ASP木马

一、木马生成asp木马代码加密，图片合并，文件时间修改，还有要命的系统漏洞利用图片和木马合并命令：copy 1.gif /b + asp.asp /a asp.gif 二、木马上传如果后台没有类似数据库备份功能，可以生成新文件，或者直接修改文件。那么很难直接让木马运行，不过还是有一些方法，可以考虑。 1、如果后台数据库是以asp格式存储的。那么可以采用在

2012-07-18 19:24:13 2943

转载火狐插件火狐黑客插件将Firefox变成黑客工具的七个插件

目前很多插件不支持 Firefox 3.5 哦1. Add N Edit Cookies 查看和修改本地的Cookie，Cookie欺骗必备。下载：http://code.google.com/p/editcookie/downloads/list2. User Agent Switcher 修改浏览器的User Agent，可以用来XSS。下载：https://add

2012-07-17 00:26:40 62397 1