2005年8月 的日志

8月

8月31号,又一个月过去了,同样的没什么收获,感觉自己真的变懒了 :sad: 。不能再这样下去了,要恢复以前的样子。 :lol:

发表点感慨:
昨天无事,躺在床上抽烟的时候,看着从自己口中吐出来的烟,慢慢的扩散,变淡,最后消失的无影无踪……
心里突然有种失落感,在想,也许哪天我也会像这口烟一样,在这个世界上消失得无影无踪吧。。

用百度做个站内搜索

来源:哈斯日志

用百度做个站内搜索,搜索结果无竞价排名,无右侧广告,示例

代码(另存为html即可):
阅读全文 »

105条名人名言

1.每个人都是自己的命运建筑师–沙拉斯特
2.生活是锻鍊灵魂的妙方–勃朗宁
3.怎样思想,就有怎样的生活–爱默生
4.面对光明,阴影就在我们身後–海伦凯勒
5.幸运是机会的影子–苏格拉底
6.信心是命运的主宰–海伦凯勒
7.书是唯一不死的东西–邱特
8.友谊能增进快乐,减少痛苦–爱迪生
9.成功可招引朋友,挫败可考验朋友–西拿斯
10.朋友是一面镜子–西谚
11.让你的恶习先你而死–富兰克林
12.弱者等待时机,强者制造时机–居礼夫人
13.我承认自己的结论有九十九次是错误的.–爱因斯坦
14.你若对自己诚实,日积月累,就无法对别人不忠了.–莎士比亚
15.我是闲暇为所有财富中最美好的财富.–苏格拉底
16.钱,给你带来食物,但不给你带来食欲.
17.钱,给你带来药,但不给你带来健康.
18.钱,给你结识人,但不给你带来真正的朋友.
19.钱,给你带来仆人,但不给你带来信赖.
阅读全文 »

IE地址栏的秘密

完全打开页面后,在该页的在地址栏或按Ctrl+O输入以下代码,回车!

1.显示网页中的所有图片
阅读全文 »

SQL注入技术和跨站脚本攻击的检测

原文作者:K. K. Mookhey,Nilesh Burghate
文章翻译:FPX[B.C.T]

1. 介绍
在最后 两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指:通过互联网的输入区域,插入SQL meta-characters(特殊字符 代表一些数据)和指令,操纵执行后端的SQL查询的技术。这些攻击主要针对其他组织的WEB服务器。CSS攻击通过在URL里插入script标签,然后 诱导信任它们的用户点击它们,确保恶意Javascript代码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系,事实上服务器没有对输入、输出进行检测,从而未拒绝javascript代码。
阅读全文 »

Tags: ,

轻松获得oblog 2.52的WebShell

文章作者:千寂孤城
信息来源:邪恶八进制信息安全团队

一、方法

1、先进后台。利用CheckUserLogined漏洞直接加个后台管理员。关于这个CheckUserLogined漏洞我在《Blog的噩梦》(http://www.eviloctal.com/forum/htm_data/10/0508/13721.html )中有详细的说明,大概就是说可以通过Cookies欺骗搞SQL注入。
2、在后台的“网站信息配置”处有个“普通会员上传文件类型”,给它加一个aaaspspsp类型。
3、用个普通帐号登陆,来到上传文件的页面http://blog.***.com/upload.asp ,看到了吗?可上传文件多了个“aaspsp”类型。好,把你的马x.asp改名为x.aaspsp,然后传上去。
4、到你自己的blog后台去看一看,是不是成功上传了x.asp了?:)

二、原理
阅读全文 »

Blogger互动—怪癖火炬接力

开始游戏的人出一个题目,在自己的blog上写下答案,然后把题目丢给另外五个人,在文末附上这五个人的连结,并且到这些人的留言版上留下:“哈哈!你被贴了。”(哈哈是我自己加的)。这五个被tag到的人,在自己的blog注明(并附上连结)是从哪一个blogger那里传来的题目(这时候“引用”功能就很好用),然后写下答案,再去贴另外五个人。如此继续下去。

这两天在很多blog里都看到这个游戏,似乎已经传播开了,就像瘟疫一样。就想自己什么时候会被传染上?昨天晚上终于收到了蓝雨的接力棒,没想到这么快就被人点到了,我也成了传说中的倒霉蛋。不管是不是跟风,既然大家都在玩,凑个热闹,接下来了。

游戏的题目是:

怪癖。写下五个自己的怪癖、奇怪的嗜好、异于常人的习惯。

先说下游戏规则,被我点到的朋友可以看下。
写下五个自己的怪癖、奇怪的嗜好、异于常人的 阅读全文 »

使用Magic Winmail来提升权限

文章来源:lis0

环境:所有使用了Magic Winmail软件的服务器,前提你已经得到了一个webshell :)

Magic Winmail是一款很不错的mail server 软件,深受不少网站的青睐。主要是一些中小的网站。但是在笔者最近的一次渗透中发现,装有改软件的服务器,如果一旦被入侵者得到webshell就可以通过这个软件来提升权限,非常危险。

装有Magic Winmail的服务器会在系统上开启8080端口,对外提供邮件服务。使用过它的人应该知道。这个Magic Winmail服务器支持php脚本解析。图1 阅读全文 »