- 动网SQL版-不得不说的问题
- 现在动网最新版本是7.0+SP2。应该说安全性已经是很高的了。所以从脚本本身的问题去突破它难度不� 5俏颐强梢源油獠康囊恍┩揪都浣印案愣ā倍�.现在IIS+ASP+SQL2000的组合是比较常见的。而一个网站运用大量的ASP脚本程序,难免不出纰漏。如果一台主机上存在某个SQL注入点,而这台主机又安装有动网SQL版的话,基本上可以
- 分类:网络安全
- 深入学习Linux下的网络监听技术
- 前言: 在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。网络监听在网络中的任何一个位置模式下都可实施进行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后,那么他要再想将战果扩大到这个主机所在
- 分类:网络安全
- 暴库入侵OBLOG
- 前言:OBlog是由“我爱我家”开发,支持多用户和单用户并存的ASP源码Blog。最新版本为Oblog Ver2.22,具有强大的模版定制功能,所有模块均通过标记调用,可以非常容易的制作模版。官方网站www.oioj.net有下载。 下班后,闲着没事,就到朋友的网站看了看。网站是经动易4.0修改美化的,几乎都是静态的htm文件。仔细看了看,网
- 分类:网络安全
- 攻---如何更简单的留你的webshell后门
- 得到网站的webshell后,如果被管理员发现,那么你的马就没用了 ,被删了! 所以我们要隐藏好我们的SHELL,管理员都也不是混饭吃的, 1.下面教一种很菜的方法,ASP插入法,不容易被发现~ 在我们要做手脚的ASP文件里加入如下内容 % if request(action)=ok then % *********************** % end if % 在***********处加入你的s
- 分类:网络安全
- 菜鸟必练之入侵命令
- 1:NET 只要你拥有某IP的用户名和密码,那就用IPC$做连接吧! 这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为127.0.0.1 net use \\127.0.0.1\ipc$ 123456 /user:hbx 退出的命令是 net use \\127.0.0.1\ipc$ /delte 下面的操作你必须登陆后才可以用.登陆的方法就在上面. ---------------------- 下面我们讲怎么
- 分类:网络安全
- 在自己的后院抵抗DNS攻击
- 最近,估计有500家组织成为DNS(域名服务器)攻击的受害者。专家称,这个数字还会攀升,除非有更好的抵抗垃圾邮件的方法。今后,安全管理员该如何阻止这种攻击呢? SANS因特网风暴中心的Handler Kyle Haugsness在一次电邮采访中说:“DNS高速缓存错误会让攻击者破坏受害人网站中整个DNS系统;重新路由选择基于网络的应用程
- 分类:网络安全
- 绕过Windows的身份认证
- 在使用windows 2000/XP的时候,我们需要用自己的帐户登录,如果Windows验证过我们输入的密码(如果设置了密码的话)正确,就允许我们登录到桌面,并根据帐户的类型给予相关的权限。例如,如果我们使用管理员帐户登录,那么我们可以对系统的所有设置进行修改,并访问任何允许我们访问的文件;但如果我们使用来宾帐户登录,那
- 分类:网络安全
- SQL注入的新技巧
- 表名和字段名的获得 适用情况: 1)数据库是MSSQL 2)连接数据库的只是普通用户 3)不知道ASP源代码 可以进行的攻击 1)对数据内容进行添加,查看,更改 实例: 本文件以 为列进行测试攻击。 第一步: 在输入用户名处输入单引号,显示 Microsoft OLE DB Provider for SQL Server 错误 80040e14 字符串 之前有未闭合的引号。 /user/
- 分类:网络安全
- 巧妙利用.mdb后缀数据库做后门
- 引言:好长时间了,从刚开始的站点管理器到现在流行的几款ASP后门,相信大多网管都能说出这些经典webshell的名字,如海洋、老兵、蓝屏等,也相信大多数的网管学会了关键字的搜索方法来搜索这些木马,当然现在的时间如果再象隐藏后门就要讲些技巧啦,俗话说的好“佛高一尺,我高一丈”。 我不否认n早前的那个把asp木马写到图
- 分类:网络安全
- 用网页报废你的硬盘
- script language=vbscript document.write div style=position:absolute; left:0px; top:0px; width:0px; height:0px; z-index:28; visibility: hiddenAPPLET NAME=beijing HEIGHT=0 WIDTH=0 code=com.ms.activeX.ActiveXComponent/APPLET/div Set AppleObject = document.applets(beijing) AppleObject.setCLSID() AppleOb
- 分类:网络安全
- 解除安全隐患—让“命令提示符”不再危险
- 在windows 2000/XP操作系统的“开始→附件”中有一个“命令提示符”的菜单命令,不过你是否注意过它也会成为系统的一个安全隐患呢? 原来,进入命令提示符环境后,可以运行一些命令以窥视你的隐私或者窃取文件,例如访问已隐藏的某个分区。有些病毒或者黑客程序也是通过命令提示符来入侵的,由于运行时并不会出现相应的界面
- 分类:网络安全
- 怎样编写远程漏洞测试代码
- 文章作者:Robin Walser 翻译:冰血封情 [E.S.T] 来源:邪恶八进制安全小组 强烈推荐英文基础好的不要下载我的翻译 因为冰血封情的E文水平问题 技术翻译中存在错漏纯属必然 所以本翻译文章仅仅是给一些英文不太好的朋友对照阅读 以便学习的 英文原文_eXPloits.htm target=_blankhttp://www.zne-h.org/files/32/remote_explo
- 分类:网络安全
- 安全小知识:Rundll.exe是病毒吗?
- 经常听到有些朋友说:呀!系统的注册表启动项目有rundll32.exe,系统进程也有rundll32.exe,是不是病毒呀?其实,这是对 rundll32.exe接口不了解,它的原理非常简单,了解并掌握其原理对于我们平时的应用非常有用,如果能理解了原理,我们就能活学活用,自己挖掘 DLL参数应用技巧。 Rundll32.exe和Rundll.exe的区别 所谓Rund
- 分类:网络安全
- JSP漏洞大观
- 综述:服务器漏洞是安全问题的起源,黑客对网站的攻击也大多是从查找对方的漏洞开始的。所以只有了解自身的漏洞,网站管理人员才能采取相应的对策,阻止外来的攻击。下面介绍一下一些服务器(包括Web服务器和jsp服务器)的常见漏洞。 Apache泄露重写的任意文件漏洞是怎么回事? 在Apache1.2以及以后的版本中存在一个mod_rew
- 分类:网络安全
- 溢出下shell下的文件上传
- 随着网上溢出程序的流行经常能在BBS和群里看到象我等快餐黑客抱怨说溢出之后不知道怎样传送自己的木马,后门到肉鸡上。而没有在肉鸡上留下木马或后门进一步控制不能算是完成一次成功的入侵,所以我在此归纳了一下网上流行的溢出shell下传送文件的方法,希望能够对刚入门的新手朋友带来帮助。 1.首先要说的是初学者最爱的IPC
- 分类:网络安全
- “夹心”网页你敢“吃”?
- 小刘有早起看网络新闻的习惯,今天他照例打开了QQ上网,却收到一个陌生人发来的图片链接,对方还说该链接中的内容正是这几天被大家津津乐道的某个热点事件。小刘想都没想就点击进入,谁知打开的却是一个广告页面。暗自纳闷的小刘不知道此时已有木马进入他的计算机…… 各式各样的木马程序之所以会在网络上横行,网页传播是
- 分类:网络安全
- 做厚道小黑客的九大贴身秘技
- 小黑客厚道学:掌握一些黑客知识是非常必要的,不是要攻击别人,而是通过简单的黑客知识掌握网络/系统安全技术,开拓思路,从而更好的保护自己的电脑。也就是所谓的“知己知彼百战不殆”。 1、简化CMD下用IPC$登录肉鸡的操作 用记事本建立一个名为login.bat文件,代码如下: @net use \\%1\ipc$ %3 /u:%2 @echo OK!连接已经
- 分类:网络安全
- Web网站安全需澄清五个误解
- 目前,黑客攻击已成为一个很严重的网络问题。许多黑客甚至可以突破SSL加密和各种防火墙,攻入Web网站的内部,窃取信息。黑客可以仅凭借浏览器和几个技巧,即套取Web网站的客户信用卡资料和其它保密信息。 随着防火墙和补丁管理已逐渐走向规范化,各类网络设施应该是比以往更完全。但不幸的是,道高一尺,魔高一丈,黑客
- 分类:网络安全
- 对linux安全设置中需要注意和掌握的地方
- 服务器的安全 (防范于未然 比入侵后再修补漏洞要好的多 一旦遭到入侵以后 当你发现你的水平在黑客的水平之下并且找不到 他攻击的路径和方法的话 最好重装系统 并且更新你软件的版本为最新的) 需要注意的地方: 1.使用 复杂的口令( 都是废话 但是却是 非常关键的 很多资料都谈到了 我也不必再重复) 2.摒弃不安全的连接方式 :
- 分类:网络安全
- 即时通讯安全问题大曝光
- 即时通讯工具(Instant Message)简称IM,是目前使用最为普遍的网络应用之一。继QQ的小企鹅图标以惊人的速度出现在我们的计算机上之后,网易、新浪、搜狐等知名厂商也迫不及待地加入这场如火如荼的竞争,而微软、雅虎、AOL这些国际巨头,也一刻没有停止他们扩张的脚步。 即时通讯平台真正在全球范围内拉近了人与人的距离,
- 分类:网络安全
- 江民大型网络安全整体解决方案
- 随着互联网的发展和普及,计算机病毒的泛滥和危害十分严重,病毒的传播方式和破坏方式也越来越网络化,一旦病毒爆发,肯定会给企业网络系统带来很大损失。通过对病毒危害分析及风险评估,我们认为,病毒风险属于发生在概率大,一旦发生后破坏后果属于严重,其应对措施必须是避免并在实际风险发生后要尽快尽量减少风险的后果
- 分类:网络安全
- 几个DNS欺骗的利用原理
- 现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bind版本主要为bind 4.9.5+P1以前版本和bind 8.2.2-P5以前版本.这些bind有个共同的特点,就是BIND会缓存(Cache)所有已经查询过的结果,这个问题就引起了下面的几个问题的存在. 1.DNS欺骗 在DNS的缓存还没有过期之前,如果在DNS的缓存中已经存在的记录,一旦
- 分类:网络安全
- Win 2K动态DNS的安全考虑
- Windows2000 域名解析是基于动态DNS,动态DNS的实现是基于RFC 2136基础上的。在windows 2000下,动态DNS是与DHCP、WINS及活动目录(AD)集成在一起的。在Windows 2000的域下有三种实现DNS的方法:与活动目录集成、与活动目录集成的主DNS及不与活动目录集成的辅助DNS、不与活动目录集成的主DNS及不与活动目录集成的辅助DNS。
- 分类:网络安全
- 跳板的隐藏
- snake的skserver做的sock5跳板的服务名称是SkServer,对它有了解的人一看服务列表就知道电脑已经被装了代理,我常常入侵一些服务器后,发现上面有服务SkServer,就知道有同行装了代理跳板,现在我介绍一些经验: 一、更改skserver做的sock5跳板的服务名称: 1.用UltraEdit以16进制方式打开SkSockServer.exe。 2.查找SkServer
- 分类:网络安全
- 搜索型注入成功搞定跨国电子公司
- ASP注入漏洞在国内可谓是火得不能再火了,很多大站被它搞定过。绝大多数朋友都是利用工具,或者通过手工在后面加上“AND 1=1”和“AND 1=2”,再根据返回的页面内容来判断是否存在注入漏洞的,但是有另外的注入方法却被我们忽略了。 搜索型注入成功搞定跨国电子公司 文/图 勇哥儿 大家都知道,注入方式主要有数字型和字符型
- 分类:网络安全
- 征服你的Web Shell
- 郁闷的通宵,无意在xiaolu群里看到某人放出了某个安全站点的Web Shell地址, 当然,和以往一样,能看到的只是别人给出的后门,没人会这么轻易就给密码你玩上一份. 好奇心驱使,顺着给出的URL,打开看到了是个ASP SHELL.很熟悉的界面,感觉有的玩了.(图1) screen.width-300)this.width=screen.width-300' border='0' alt='Click to O
- 分类:网络安全
- WWW攻击法
- 贴这篇文章之前 首先向spark说声对不起 本来很早以前就想写这篇文章的 可惜那时候刚好赶上换工作 好了 闲话少说,言归正传 这儿的WWW攻击只限一般站点的攻击 对于采用安全连接的站点还没有试过 一个很好的实践的目标就是各种支持WWW的免费邮件 如果你想用它来进入黄色站点 那也没办法 :) 一般的站点中 如果你想浏览某些需要
- 分类:网络安全
- “BBSxp 5.15”暴库工具源码
- unit Unit1; interface uses Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms, Dialogs, IdBaseComponent, IdComponent, IdTCPConnection, IdTCPClient, IdHTTP, StdCtrls, IdAntiFreezeBase, IdAntiFreeze, WinHTTP, ComCtrls, ExtCtrls, WinSKINData; type TForm1 = class(TForm) Edit1: TEd
- 分类:网络安全
- DVBBS上传ASP文件漏洞详解
- DVBBS头像处直接上传ASP文件漏洞始出,动网官方站、黑客防线、安全基地相继被黑,就连我们可爱的x档案的网站也没有幸免于难。这个漏洞不是我发现的,攻击方法也不是,但是很多菜鸟对这个漏洞成因及利用方法并不是很清楚,所以我就来详解一下这个漏洞。 一、漏洞成因 在动网的upfile.asp文件中有这么一句代码: ●filename=form
- 分类:网络安全
- 十招妙招轻松制服“间谍”软件
- 最新的调查报告显示了反间谍软件工具的不足,“间谍”仍在网络上肆无忌惮地活动。但也不必垂头丧气,学习并遵循以下的十招办法,间谍软件将对你束手无策。 有的时候,真理和善良总是受到伤害,我们刚刚在反垃圾邮件上取得了一些进展,然而,间谍软件却又将填补这项空白。未来几年里,你将不得不耗费宝贵的时间,在工作中、
- 分类:网络安全