鬼仔's Blog

来源：7jdg's blog

下载地址：
http://www.fs2you.com/files/57dedf9c-e48a-11dc-8afb-00142218fc6e/

作者：NetPatch
来源：冰点论坛

此文已发于黑手第十期

首先，我们先了解下什么叫环境变量！
环境变量一般是指在操作系统中用来指定操作系统运行环境的一些参数，比如临时文件夹位置和系统文件夹位置等等。这点有点类似于DOS时期的默认路径，当你运行某些程时序除了在当前文件夹中寻找外，还会到设置的默认路径中去查找。比如说环境变量中的“Path”就是一个变量，里面存储了一些常用命令所存放的目录路径。

查看系统当前的环境变量，可以使用SET命令查看！
下面是执行SET命令后反馈的信息

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\Administrator\Application Data
阅读全文 »

来源：vbs空间

NetPatch
此文已经发于黑客手册第十一期
上一期写了一个VBS的注入脚本，这次给大家带来两个脚本，希望小菜们能喜欢。
一．挑选速度快的肉鸡做VPN。
当自己从小菜鸟转型为老菜鸟时，就懂得考虑在玩Hacking的同时也要尽量保证不暴露
自己。万事，安全第一嘛！不然都不知道哪天玩着玩着就被警察叔叔带去喝茶了^_^ 。
因此，作为老菜鸟的我们，要学会在Hacking时，多用VPN+终端等跳板措施来保护自己，尽量不让自己直接暴露所处地。
但是，由于跳板的增加，导致了数据传输的缓慢。因此我们完全有必要找网速快的机器来做VPN跳板。但如果让自己做这些重复性的操作（从众多的肉鸡中挑选网速好的），那就太愧对老菜鸟这个称呼了。对于学过编程的朋友来说，那简直易如反掌。但对小菜来说，可能 阅读全文 »

来源：vbs空间

本文,已发于《黑客手册》07年10月刊
平常我们遇到有注入漏洞一类的网站大部分人都是用NBSI Or 阿D一类的注射工具。但有的站点的注射点很难构造，或者说注射语句比较特殊。如果用手工去注射的话，费时又费力！但自己写针对性的工具的话，对一些刚入门不久或不会编程的朋友来说，实在是一件很痛苦的事情。因此今天NP给大家带来的文章就是讲如何用简单的VBS脚本来打造我们所要的注射工具。
在您继续看这篇文章之前，我先大胆的假设此时的您已经学会了VBS脚本的基础知识以及基本的SQL Inject知识。
首先，我们先来看一段有漏洞的代码。(此代码摘自“网趣网上购物系统时尚版 v3.2”的Getpwd2.asp的片段)
BTW:此漏洞乃好友Trace首先发现并提供测试的!在此表示感谢!
阅读全文 »

发表于《黑客防线》07年02期
作者：梦之光芒（Monyer）

在黑防给大家介绍Ajax Hacking技术也有几期了，但是还没有实践过。这次给大家带来的就是一次实战的分析问题和解决问题的过程，而且是一个通用的打造“XSS Trojan”的全过程。由于也是藏在后台获取和发送用户信息，和木马极为相似，所以文章的名字才叫XSS Trojan，和网页木马是两码事哦。本来是准备给大家介绍怎样做XSS Worm的，可是因为起稿时是以Sohu博客做实战的，在数据提交时出现了问题；所以这里仅会简单介绍一下它的思路，而在此之上我们会一起去做这个记录用户名密码的“木马脚本”（某些网站甚至可以不用脚本哦！）。
XSS漏洞利用方式
在Sohu的博客里，本人发现的并且可以利用的XSS点有“个人档案”区（因为用户自建版块的性质和其相同，所以归为一类）和“文章发布”区。
阅读全文 »

来源：securityfocus

Introduction

AJAX and interactive web services form the backbone of “web 2.0”applications. This technological transformation brings about newchallenges for security professionals. This article looks at some of the methods, tools and tricks to dissectweb 2.0 applications (including Ajax) and discover security holes 阅读全文 »