2007年5月 的日志

去哪儿旅游搜索引擎


先来看下Feedsky关于 “去哪儿”旅游搜索引擎 的原文介绍:

作为全球最大的中文旅游搜索引擎,“去哪儿”旅游搜索引擎/Qunar旅游搜索引擎”(Qunar.com)将“Think search travel.”的期待转化为便捷、灵性的互联网应用方式,通过对整个在线旅游产品资源的整合与发布,提供实时、可信的旅游产品比价与服务比较系统,帮助消费者

阅读全文 »

Tags: ,

动易网站管理系统User\User_saveflash.asp页面存在任意文件删除漏洞

鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。

h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!

信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )

发布日期:2006-12-20 应急事件响应公告(BCTCERA0612)
阅读全文 »

Tags: ,

动易网站管理系统Count\Counter.asp页面存在SQL注入漏洞

鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。

h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!

信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )

发布日期:2006-12-20 应急事件响应公告(BCTCERA0611)
阅读全文 »

Tags: , , ,

动易网站管理系统API_Response.asp页面存在SQL注入漏洞

鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。

h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!

信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )

发布日期:2006-10-26 应急事件响应公告(BCTCERA0610)
阅读全文 »

Tags: , , ,

动易2006网站管理系统NewComment.asp页面参数过滤不足导致sql注入漏洞

鬼仔注:
h4k_b4n授权( http://www.huaidan.org/blog )首发,转载请注明。

h4k_b4n授权内容:
今天委托鬼仔( http://www.huaidan.org/blog )所公开的漏洞信息均为我方提交漏洞后,保留一定时间以后所公开的!任何与该信息产生的责任,与我方以及授权转载方无关!据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播,我们鄙视这样子的行为,鄙视偷取信息的某人!

信息来源:Bug.Center.Team内部论坛( http://www.cnbct.org )

发布日期:2006-10-18 应急事件响应公告(BCTCERA0607)
阅读全文 »

Tags: , , ,

p-mailsend.cmd v 3.8 (命令行发送邮件,群发\多附件\匿名)

鬼仔注:这个批处理需要用到nc.exe、rar.exe、base64.exe这三个文件,作者在批处理中设置会从作者的站上自动下载这三个文件,不过如无法自动下载,请从作者的站上下载:
http://www.vkill.net/netbar/网吧所需exe/nc.exe
http://www.vkill.net/netbar/网吧所需exe/rar.exe
http://www.vkill.net/netbar/网吧所需exe/base64.exe

作者:vkill

————————–群发方法———————————————-
p-mailsend /u *@* /p * /t a.txt /s test /c * /a *
阅读全文 »

Tags:

SQL INJECTION的终极利器opendatasource和openrowset

鬼仔注:很老的文章了,05年4月份的,存档。文章末尾提供DOC文档和文中提及的工具下载,其中DOC文档来自neeao那里,工具是我google了好长时间才找到的,不知道为什么这么难找。

作者:LCX

目前市面上的SQL INECTION工具很多,最受推崇的当属NBSI了。SQL INECTION的方法在网上是也是满天飞,大家仔细学一下都会很快的成为脚本入侵高手。可是无论是工具,还是众多方法,猜SQL数据的时候原理不外乎两种。一个是对方的WEB服务器在没有关闭错误提示的时候是用让SQL出错来暴出想要的信息;一个是在对方的WEB服务器关闭错误提示的时候采用ASCII码拆半分法分析。当关闭错误提示的时候,这时来猜数据就很慢了,遇到网速蜗牛的时候真是急死人,NBSI此时还经常会出现猜解错误是 阅读全文 »

Tags: , , ,

opendatasource 学习 记录

鬼仔注:lcx写的,不过lcx的站现在打不开。

来源:scofeld's blog

实现功能:
获取所有库.当前库所有表.表里所有内容.分区路径.

本机建立库和表,方便反弹时写进东西.
阅读全文 »

Tags: