- ASP中服务器端安全性验证研究
- 黑客攻击一个网站,最快捷的手段,往往是利用CGI的脚本漏洞,注入数据库语句,直接进入网站,效果相当好。如果一个网站登录被攻破,里面的资料将一览无遗,对存有重要资料的网站来说,这将是毁灭性的。 ASP已在网上流行了很久,但是安全性仍然很差,现在琴客根椐自已的实践,谈谈如何对登陆表单进行安全验证,很多初学者喜
- 分类:网络安全
- 打造一个完美的IE网页木马
- icyfoxlovelace/冰狐浪子 [发表于:黑客防线 转载请注明] 既然要打造完美的IE网页木马,首先就必须给我们的完美制定一个标准,我个人认为一个完美的IE网页木马至少应具备下列四项特征: 一:可以躲过杀毒软件的追杀; 二:可以避开网络防火墙的报警; 三:能够适用于多数的WINDOWS操作系统(主要包括WIN98、
- 分类:网络安全
- 用15行perl打造win32下的简易后门
- 用nc连,使用了简易的管道命令(``)使之能执行基本的系统命令,有兴趣的朋友可以添加、修改一下,做出更多东西,谁有空建议用win32模块给他系统化一下,再用perlsvc做个服务啥的 #!/usr/bin/perl use I:Socket; $port = $ARGV[0]; my $socket = new I:Socket::INET ( Localhost=127.0.0.1 , LocalPort=$por
- 分类:网络安全
- Serv-U权限提升再提升--记一次虚拟主机入侵
- 作者:intruder 来源:邪恶八进制中国 自从Serv-U本地权限提升漏洞出来以后,大家手握Su.exe这把网兜逢鸡就罩,一时间的肉鸡明显增多、质量直线上升� L乇稹禬in2000虚拟主机入侵大法》中的方法流传广泛之后,大家手里开始有了些做虚拟主机的高带宽、大内存,甚至有N个CPU的极品肉鸡,恭喜恭喜啊^_^(台下观众:同喜同喜)
- 分类:网络安全
- vBulletin 论坛forumdisplay.php执行任意代码漏洞
- vBulletin forumdisplay.PHP Command Execution Vulnerability vBulletin is a powerful and widely used bulletin board system, based on PHP language and mysql database. A vulnerability in vBulletins forumdisplay.php allows a remote attacker to cause the PHP script to execute arbitrary code via the comma
- 分类:网络安全
- 全力打造个人网络安全
- 对于网民来说,各种潜在的威胁可能会随时到来。在这些威胁中,往往是“明枪好躲、暗箭难防”,网络病毒,黑客工具大家比较重视,损失相对少一些,但对于利用特殊手段窥探个人隐私的人,却有所忽视。明明已经造成隐私外泄,却毫不知情。所以采取什么样的措施才能确保个人网络安全,必然成为网络用户们最为关注的问题。 一、
- 分类:网络安全
- 妙用磁盘配额 让黑客无从下手
- 在大多数情况下黑客入侵远程系统必须把木马程序或后门程序上传到远程系统当中。如何才能切断黑客的这条后路呢?NTFS文件系统中的磁盘配额功能就能帮助用户轻松实现对磁盘使用空间的管理。 1.首先右击系统中一个NTFS分区,选择“属性”,可以打开“分区属性设置窗口”,选择其中的“配额”选项。首先勾上“启用配额管理”和
- 分类:网络安全
- google hacking的实现以及应用
- 文章作者:sniper (sniperhk_at_163.com) www.4ngel.net 本文仅做于技术讨论于研究,请勿用做其他用途. PS:庆祝一下暂时摆脱应试教育的魔爪,向那些打着素质教育暗地里搞应试教育的学校竖起中指! 前言 Google hacking其实并算不上什么新东西,在早几年我在一些国外站点上就看见过相关的介绍,但是由于当时并没有重视这种技术,认
- 分类:网络安全
- Oblog 2.52导出日志最新漏洞
- 昨天正好从oblog官方网站下载了一套最新的blog系统,版本是2.52的吧。 本来是在QQ上看到一个朋友讨论help.ASP文件的入侵思路的, 那篇文章在这里可以找到, http://blog.csdn.net/cqq/archive/2005/02/22/297316.aspx 之后,顺手注册了一个用户,大体浏览了一下, 在后台有个导出日志的功能比较好, 这样就可以防止由于blog
- 分类:网络安全
- 文件上传技巧汇总
- 文件上传是很早以前的事了,最早那会常用的就是IPC连接,然后一个一个的COPY,自从动网upfile漏洞出来以后,各种脚本系统如PHP.jsp下的文件漏洞纷纷暴出,原理都是大同小异,没有过滤文件上传路径,导致可以抓包然后把空格20改成00,变成空字符NULL,系统是从右往左识别的,所以到空字符那就截断了,更简单的就是过滤文件上
- 分类:网络安全
- 传说中添加超级用户的asp代码分析
- 作者也说了,“反正代码是对的,但是很少能成功,具体的看运气了”,偶也拿来在webshell上试了试,失败了。把容错语句去掉,看到错误原因是“权限不够”。今天皇裁词拢屠捶治龇治觯挡欢ā俸佟?/FONT 他代码关键是这个: set lp=Server.CreateObject(WSCRIPT.NETWORK) oz=WinNT://lp.ComputerName Set ob=GetO
- 分类:网络安全
- 杜绝恶意网页代码 解除注册表连环套
- 一天,朋友打电话求援,计算机启动后自动打开一连串的网页,并限制对主页属性窗口的修改等,让他很是苦恼。笔者快速地赶到,修复了机器。若问是如何妙手回春,请听我细细道来。 亡羊补牢 1、解开被禁用的注册表 执行软盘中的“unlockreg.reg”文件,此文件是用记事本建立一个以REG为后缀名的文件
- 分类:网络安全
- php实现端口劫持
- 假如监听127.0.0.1 ,访问共网IP不受影响,假如监听公网IP,127。0。0。1等IP不受影响。 这个可以用于欺骗用户密码,因为原来的服务不可用了。或者留成针对内网用户的后门。 最后欢迎加MSN:CQXY[AT]21CN。NET赐教。 #!/usr/bin/PHP -q #c0dz by Darkness[BST] #Team:www.bugkidz.org #E-mail:cqxy[at]21cn.net ?php if ($ar
- 分类:网络安全
- 下载SQL数据库代码
- Html HEAD TITLESQL Server 数据库的备份与恢复/TITLE meta http-equiv=Content-Type content=text/html; charset=gb2312 /HEAD BODY form method=post name=myform 选择操作:INPUT TYPE=radio NAME=act id=act_backup value=backuplabel for=act_backup备份/label INPUT TYPE=radio NAME=act id=act_restore value=restor
- 分类:网络安全
- NT完全入侵教程(新手篇)
- 现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而“黑客”的攻击引来了企业信息安全危机…… 得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗。但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认为密码为空没什么,因为他们压根就不
- 分类:网络安全
- 通配符的魔力──轻装入侵个人主页空间
- 最近学习ASP,想申请一个免费空间。找到一个满意的一看,限制还真不少,不但最多只能放30MB的文件,单个上传文件还不能超过1.5MB,而且也不支持ASP。这怎么行呢?严重打击我学习的积极性。于是我就想能不能突破网站的限制。 首先用X-Scan2.3扫描,不一会儿结果出来了,有用的信息有:“windows 2000操作系统,139端口
- 分类:网络安全
- 绕过md5验证继续入侵
- 作者:ABEND@XUST (空虚浪子心) --------------------------------------------------------------------------------------------- 很多大侠都是通过查看程序的源代码发现漏洞的。但是由于我才刚开始学ASP,所以还没有达到这种境界。虽然搜索漏洞不方便,但偏偏一些程序就让被我找出来点东西。 自从以前看了个动网upfile漏
- 分类:网络安全
- 查看开放端口判断木马的方法
- 当前最为常见的木马通常是基于TCP/UDP协议进行client端与server端之间的通讯的,既然利用到这两个协议,就不可避免要在server端(就是被种了木马的机器了)打开监听端口来等待连接。例如鼎鼎大名的冰河使用的监听端口是7626,Back Orifice 2000则是使用54320等等。那么,我们可以利用查看本机开放端口的方法来检查自己是否
- 分类:网络安全
- 虚假中国银行网站入侵尝试实录
- 本来不打算把这个不成功的入侵写出来的,后来有几个朋友想看,既然能在内部交流,也没有什么见不得人的,索性发出来,初学者可以借鉴一点经验,高手可以在此基础上作更多尝试,我也想多学点东西。 27日晚看到天天网的一片报道:中国银行网站再次遭遇克隆 假网站远在北美,本站转载路径:_blank>http://www.coolersky.com
- 分类:网络安全
- 利用X-scan实现DDoS Ping攻击
- 一、从这里说起、、 一开始的时候,不能不说说两款影响力很大的DDoS Ping炸弹工具。 一个是蜗牛炸弹,一个是AhBomb。 蜗牛炸弹出来的很早,通过实现搜索有漏洞的服务器做好储备,呵呵,需要的时候,通过 控制这些有漏洞的服务器集中 Ping 攻击目标机,导致目标网络速度变慢,达到DDoS攻击的目的。 AhBomb是bigball写的一款
- 分类:网络安全
- 网络安全基础讲座--Word文档加密
- 由于有些文件的重要性和具有隐私性,用户不希望很多的人知道这份文件或不想让人对此文件进行任何的修改,这样就要求系统能够提供加密的功能,以达到对文件的保护。下面我们就介绍如何对一个文件进行加密。其具体步骤如下: 一、密码的设置; 选择菜单中“工具”中的“选项”:如下图。 screen.width-300)this.width=screen.
- 分类:网络安全
- 收集你的第一只肉鸡
- 给初学者看的文章..不要说不懂找肉鸡呀. 肉鸡是我们学习的好工具,是我们的好帮手,呵。 进入正题: 我推荐使用WIN2000自动攻击探测机找你的肉鸡。自从出了这个软件后我就用这个来找肉鸡了。 打开win2000自动攻击探测机。 设置如下: 跟据我的经验有IIS溢出漏洞的一般都是网吧的主机,而系统弱口令的一般是个人用户。有MSSQ
- 分类:网络安全
- 远程检测MS SQL Server账号安全性
- ODBC是开放数据互连(Open Database Connectivity)的简称,它是一个用于远程访问数据库(主要是关系型数据库)的统一界面标准。 ODBC下现实运用中是一个数据库的访问库,它提供了一组ODBC API函数可以提供给编程者使用。对于程序员来说,ODBC API函数集实际上等于一个动态连接库(DLL)集,可以在应用程序中直接使用它们。 一
- 分类:网络安全
- 远程控制服务器的简捷方法
- 对于局域网服务器管理人员来说,要是对服务器的任何维护操作都要到服务器所在计算机的现场去进行的话,那么服务器的维护效率肯定不是很高,而且还会把网络管理人员累坏!为了有效提高服务器的维护效率,不少人都通过Windows 2003服务器中的远程桌面Web连接功能,来在其他任意可以联网的计算机中,对服务器进行各种方式的远
- 分类:网络安全
- 微软系列软件中最新的安全漏洞大揭秘
- 作为软件业的霸主,微软推出了很多重要的软件,从Windows系列到Office、从IE到Outlook,目前几乎所有的个人PC都在使用微软的软件。不过Microsoft软件中爆出的漏洞也越来越多,黑客经常利用这些漏洞实施攻击,远程控制你的电脑、窃取你的机密资料。很多朋友都没有这方面的知识,可能还在认为微软的软件很安全呢,其实WinXP的
- 分类:网络安全
- SQL注入渗透某网络安全公司的网站全过程
- writer: demonalex/小神 email: demonalex_at_hackermail.com 前言:写这篇文章不是为了告诉大家如何去做入侵,而是希望提醒大家:“入侵是偶然的,但安全并不 是必然的”,不要疏忽运作上的一些小细节。 笔者一直都有经常性地到一些安全方面的网站瞎逛的习惯的,最近因为一次机缘巧合之下通过链 接来到广州某个颇有名
- 分类:网络安全
- 实例讲解密码破解以及抗击手段介绍
- 攻击者的攻击方法和攻击工具 密码与用户帐户的有效利用是网络安全性的最大问题之一。在本文中,Rob Shimonski将研究密码破解:如何以及为何进行密码破解。Rob将只说明渗透网络是多么简单,攻击者如何进入网络、他们使用的工具以及抗击它的方法。 对公司或组织的计算机系统进行的攻击有各种形式,例如电子欺骗、smurf攻击以
- 分类:网络安全
- Guest权限提升方法总结
- 真高兴,过节了。“鸡照”拉(土话),嘿嘿,刚刚吃完饭,现在写点东西就当给军团兄弟们的新年礼物吧!!进入正题。 现在的入侵是越来越难了,人们的安全意识都普遍提高了不少,连个人用户都懂得防火墙,杀毒软件要装备在手,对于微软的补丁升级也不再是不加问津。因此现在我们想在因特网上扫描弱口令的主机已经几乎是痴心
- 分类:网络安全
- 全面解析“网络钓鱼”式攻击
- 什么是网络钓鱼? 网络钓鱼(Phishing)一词,是“Fishing”和“Phone”的综合体,由于黑客始祖起初是以电话作案,所以用“Ph”来取代“F”,创造了”Phishing”。 “网络钓鱼”攻击利用欺骗性的电子邮件和伪造的Web站点来进行诈骗活动,受骗者往往会泄露自己的财务数据,如信用卡号、账户用户名、口令和社保编号等内容。诈
- 分类:网络安全
- Google attack的利用
- 以后给出的形式是这样的,数字的后面跟的是要再Google搜索的内容,后面跟着介绍和漏洞如何利用,由于本人时间有限制,所以就不翻译了,如果大家有兴趣的话自己翻译翻译吧.. 1.intitle:Login intext:RT is ? Copyright RT is an enterprise-grade ticketing system which enables a group of people to intelligently and efficie
- 分类:网络安全