2007年8月 的日志
浪人下载和浪人文章的漏洞利用
鬼仔注:未测试。不知道是不是新东西,对这两个系统没什么印象。看文章内容好像是从某个动画的说明文件的内容。不知道原作者是谁。
来源:失眠ヤ夜 's blog
一个注入漏洞
大家可以快进看
先随便点一个软件下载
官方都更新到2.4了,但是还是官方自己再用,不过也有漏洞哦
把下载地址复制到明小子里面,把I改成%69
看到了吗,没有改之前是不能注入额
恭喜,该URL可以注入!
数据库类型:Access数据库
下面来讲讲关键字的搜索
下载链接若长时间无响应,请稍候再试;无法下载或是其它问题,请给我留言…..就是这一句了
在BAIDU上搜搜看
我在本机上测试的
Admin_Info
是管理员表
密码是MD5加密的,在WWW.CMD5.COM上可以解密
郁闷。。。。不知道为什么本机老跑不出来
阅读全文 »
针对$_SERVER[’PHP_SELF’]的跨站脚本攻击
文章来源:http://www.zhuaxia.com/item/233389902
现在的web服务器和开发工具虽然不会再出现像asp的%81那样明显的漏洞了,但是由于开发人员的疏忽和各种语言特性组合造成的一些奇异的漏洞仍然会存在。今天偶然读到的XSS Woes,就详细讲述了和$_SERVER[’PHP_SELF’]相关的一个危险漏洞。
$_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自动生成的全局变量,也会有什么问题么?让我们先看看下面的代码吧:
<form action=”<?php echo $_SERVER[’PHP_SELF’]; ?>”>
<input type=”submit” name=”submit” value=”submit” />
阅读全文 »
MSSQL差异备份取系统权限(带演示动画)
鬼仔注:网吧更新,家里网络还没好,没几天就开学了,开学后恢复正常。
作者:kj021320
来源:邪恶八进制信息安全团队(www.eviloctal.com)
注意:本文章首发I.S.T.O技术团队后由原创作者kj021320友情提交到邪恶八进制信息安全团队论坛。
MSSQL差异备份取系统权限
TEAM里的内部资料放久了,现在不放出来,迟早会有人发掘出来的!既然如此就拿出来大家分享吧!
MSSQL差异备份获取webshell 几乎人人皆知,那么我们可以利用差异备份出来的文件 当作恶意代码
让系统执行了之后自动提升权限 或者添加管理员吗? 答案当然可以了,kj021320测试了N次之后跟你说!
那么我们得考虑文件摆放的位置~什么地方系统会运行呢?这个其实算是废话吧!
阅读全文 »
微软开通黑客博客 hackers@microsoft
来源:cnBeta
为了增加其软件的安全性,微软雇佣黑客为其服务已不是什么秘密,但微软很少公开谈论这个事实.不过,随着一个名叫hackers @ microsoft的博客的开通,微软的态度发生了改变.
据BetaNews网站报道,微软计划利用这个博客介绍其“白帽黑客”,并打算向人们展示他们为微软所做的工作.不过,在这个博客中提到的黑客仍将遵循传统使用他们的假名字.在该网站上贴出的致词中,作者写道:“一位真正的黑客具有强烈的好奇心,他或她很想知道一个系统究竟是如何工作的.不过在微软,我们当然会采取一种合乎道德和法律的方式来做这项工作.”
IceSword1.22中文版
来源:PJF的BLOG
原本打算让英文版积累点bug,过几天出中文版的。没想到近来折腾这、折腾那,出差刚回来没几天,又有一堆事往头上砸,有没搞错。
中途收到一些bug反映,但是基本都不是可重现的bug或根本不是bug。确认的一个bug是ADS转储只能存到已存在的文件中,很faint。
因为目前不能在这上面花时间,所以除了上面那个bug其它不作什么修改了,发布如下:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
MD5: 0f6ebc9da1276baf45db9e5f2460284b
Tags: IceSwordCCTV经济半小时揭密“网络黑客”
鬼仔注:上网不方便,很多东西都没及时看到。
现在老家,在朋友家上网,看到这个新闻,发上来。
从url看好像是8月25的新闻。
里面还有错别字,不过不注意的话发现不了。
其他的就不多说了,只发视频不说话。
来源:Xwind's Blog
mms://winmedia.cctv.com/jingjibanxiaoshi/2007/08/jingjibanxiaoshi_300_20070825_1.wmv
Tags: CCTV