2007年8月 的日志

青檬流行歌曲榜

刚又接到一个Feedsky的话题广告,貌似以前这个 青檬流行歌曲榜 的话题广告邀请我就接到过,不过当时没及时看到信,到我去看的时候已经成灰的了,刚到Feedsky后台看下我的feed更新状态和上次的话题广告审核通过没,结果看到 青檬流行歌曲榜 又可以接了,可能是回滚了。
现在写这篇日志的时候,我就是正开着 青檬流行歌曲榜 边听边写的,听的是 本周主打歌 [录播] 。给我的感觉像是网络电台,不过跟我以前听过的音乐电台又不太一样。
阅读全文 »

Tags: ,

浪人下载和浪人文章的漏洞利用

鬼仔注:未测试。不知道是不是新东西,对这两个系统没什么印象。看文章内容好像是从某个动画的说明文件的内容。不知道原作者是谁。

来源:失眠ヤ夜 's blog

一个注入漏洞

大家可以快进看
先随便点一个软件下载
官方都更新到2.4了,但是还是官方自己再用,不过也有漏洞哦
把下载地址复制到明小子里面,把I改成%69
看到了吗,没有改之前是不能注入额
恭喜,该URL可以注入!
数据库类型:Access数据库

下面来讲讲关键字的搜索
下载链接若长时间无响应,请稍候再试;无法下载或是其它问题,请给我留言…..就是这一句了
在BAIDU上搜搜看

我在本机上测试的
Admin_Info
是管理员表
密码是MD5加密的,在WWW.CMD5.COM上可以解密
郁闷。。。。不知道为什么本机老跑不出来
阅读全文 »

Tags:

针对$_SERVER[’PHP_SELF’]的跨站脚本攻击

文章来源:http://www.zhuaxia.com/item/233389902

现在的web服务器和开发工具虽然不会再出现像asp的%81那样明显的漏洞了,但是由于开发人员的疏忽和各种语言特性组合造成的一些奇异的漏洞仍然会存在。今天偶然读到的XSS Woes,就详细讲述了和$_SERVER[’PHP_SELF’]相关的一个危险漏洞。

$_SERVER[’PHP_SELF’]在开发的时候常会用到,一般用来引用当前网页地址,并且它是系统自动生成的全局变量,也会有什么问题么?让我们先看看下面的代码吧:

<form action=”<?php echo $_SERVER[’PHP_SELF’]; ?>”>
<input type=”submit” name=”submit” value=”submit” />
阅读全文 »

Tags:

MSSQL差异备份取系统权限(带演示动画)

鬼仔注:网吧更新,家里网络还没好,没几天就开学了,开学后恢复正常。

作者:kj021320
来源:邪恶八进制信息安全团队(www.eviloctal.com)
注意:本文章首发I.S.T.O技术团队后由原创作者kj021320友情提交到邪恶八进制信息安全团队论坛。

MSSQL差异备份取系统权限
TEAM里的内部资料放久了,现在不放出来,迟早会有人发掘出来的!既然如此就拿出来大家分享吧!
MSSQL差异备份获取webshell 几乎人人皆知,那么我们可以利用差异备份出来的文件 当作恶意代码
让系统执行了之后自动提升权限 或者添加管理员吗? 答案当然可以了,kj021320测试了N次之后跟你说!

那么我们得考虑文件摆放的位置~什么地方系统会运行呢?这个其实算是废话吧!
阅读全文 »

Tags: ,

微软开通黑客博客 [email protected]

来源:cnBeta

为了增加其软件的安全性,微软雇佣黑客为其服务已不是什么秘密,但微软很少公开谈论这个事实.不过,随着一个名叫hackers @ microsoft的博客的开通,微软的态度发生了改变.
据BetaNews网站报道,微软计划利用这个博客介绍其“白帽黑客”,并打算向人们展示他们为微软所做的工作.不过,在这个博客中提到的黑客仍将遵循传统使用他们的假名字.在该网站上贴出的致词中,作者写道:“一位真正的黑客具有强烈的好奇心,他或她很想知道一个系统究竟是如何工作的.不过在微软,我们当然会采取一种合乎道德和法律的方式来做这项工作.”

访问:[email protected]

Tags:

QQ也来玩0day漏洞(杂志版带执行)

此文以发布在200709期X档案
转载请著明出自http://www.52cmd.cn

QQ也来玩0day漏洞
雕牌/杜华军(52cmd.cn)

再次申明:当您看到本文的时候,TX已经封了此漏洞,但是大家不要灰心,因为还可以突破,此文只是把具体执行写清楚了。图略

一,起因
起初研究这个漏洞并不是我发起的,上次写的那个baidu挂马的文章相信大家已经看了,那天教主忽然找我,说那QQ场景是比较脆弱的地方,也许能加载swf文件。后来失败告终。教主差不多放弃了,我闲着也是闲着。继续研究场景……

二,测试+利用
阅读全文 »

Tags:

IceSword1.22中文版

来源:PJF的BLOG

原本打算让英文版积累点bug,过几天出中文版的。没想到近来折腾这、折腾那,出差刚回来没几天,又有一堆事往头上砸,有没搞错。
中途收到一些bug反映,但是基本都不是可重现的bug或根本不是bug。确认的一个bug是ADS转储只能存到已存在的文件中,很faint。
因为目前不能在这上面花时间,所以除了上面那个bug其它不作什么修改了,发布如下:

http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

MD5: 0f6ebc9da1276baf45db9e5f2460284b

Tags:

CCTV经济半小时揭密“网络黑客”

鬼仔注:上网不方便,很多东西都没及时看到。
现在老家,在朋友家上网,看到这个新闻,发上来。
从url看好像是8月25的新闻。
里面还有错别字,不过不注意的话发现不了。
其他的就不多说了,只发视频不说话。

来源:Xwind's Blog

mms://winmedia.cctv.com/jingjibanxiaoshi/2007/08/jingjibanxiaoshi_300_20070825_1.wmv

Tags: