2007年12月 的日志

Bitrac 内部测试版

鬼仔注:Bitrac是啥?哈哈,来这里看看就知道了~ http://www.loveyuki.com/ Loveyuki的大名大家都知道了。
Loveyuki重出江湖,并带来了他的基于 ASP.NET 2.0+SQLite 的单用户博客程序 Bitrac 。

来源:Loveyuki's BLOG

这几天网络很不正常,时常能上不能上的。。。。

今天把 Bitrac 打了下包。大家有需要的就下载吧。内部测试版,前台代码已经基本稳定,后台代码不是很稳定,以后会有很多更新。有兴趣的就用着看看吧。

记得修改 web.config 里 appSettings 小结内的相关内容。进入后台后一般设置也记得修改哦。

制作皮肤可以参考默认皮肤里面的一些参数。 数据库方面默认是使用了 阅读全文 »

Tags:

Monyer发布“百度空间文章列表提取工具”

作者:Monyer
来源:梦之光芒

这是一个Html静态页面的百度空间文章列表提取工具

代码接近300行

为javascript纯脚本编写

都是Monyer一行一行打上去的。

下面介绍一下使用方法:
把代码下到本地保存为*.html文件
(一定要把HTML保存到本地,服务端无法运行)


用IE(最好是IE7)打开html页面,输入自己空间地址,点击初始化。

空间文章的页数会被自动获取, 阅读全文 »

Tags: ,

Discuz!/phpwind flash标签的xss

author: superhei
date: 2007-12-2
team:http://www.ph4nt0m.org
blog:http://superhei.blogbus.com

flash标签的xss在以前的是很流行的,以前只要随便一个调用外面的一个swf就ok了,现在的则都不可以直接使用调用外码的swf了,这个是因为一般都设置了allowScriptAccess[1][2].比如dz的codz:

dz60904\upload\forumdata\cache\cache_bbcodes.php [同样出现在cache_viewthread.php cache_post.php cache_blog.php里]
阅读全文 »

Tags: , , ,

百度博客目录提取工具(HTM版)

BY Jmdcw

百度博客也试行了好长一段时间了,但直到现在,博客目录功能还是没有推出。虽然我为了解决这个问题,也建了个百度互联,但响应的人还是很少,可能是因为免费空间不稳定的原因,也可能是难登大雅之堂。

在冬眠之前,我曾写了一段 HTM版 的目录提取代码,但一直没有放上来,下面就把代码贴出来。

代码如下:
阅读全文 »

Tags: , ,

sa 无xp_cmdshell下取权限又一简单方法

文章作者:charley008
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)

有了sa但无xp_cmdshell ,怎么恢复都提示出错。好象是xxxx.cpp哪里哪里出错。或者找不到指定模块,反正我遇到好多次了。在用exec sp_oacreate 'wscript.shell'也没办法的情况下。。可用此方法
(很多服务器都把'wscript.shell'给删了。)
看到既然能用sp_oacreate,sp_oamethod来弄'wscript.shell'或者scripting.filesystemobject
网上看到的文章都只有几个用法就是'wscript.shell'执行命令或者scripting.filesystemobject来写入木马或读取文件。于是乎应该可以也能复制,删除文件吧。。
阅读全文 »

Tags: , ,

05年开始的QQ聊天记录全部丢失

update(07.12.9):我终于知道原因了。 http://support.qq.com/cgi-bin/beta1/content?fid=18&tid=208957&start=0&num=20&order=0 看这里吧。。

  前两天早上起床,打开QQ时发现登陆记录内没有我的QQ号了,当时心里一惊,马上到QQ目录看自己的MsgEx.db文件大小,当时就傻眼了。
  现在依然不知道聊天记录文件为什么会丢失,假如说当初提示我删除登陆信息,而我又点了删除的话,那么我号码的整个文件夹都会被删除,但是当时我看到的是只有聊天记录没有了,表情文件夹却仍然存在。更何况我在自己机器上登陆QQ时都选择的普通模式,关闭QQ时也不会提醒我删除聊天记录文件。
阅读全文 »

Tags:

APPLET AND XSS THE MAIL

AUTHOR : KJ021320
TEAM : I.S.T.O
BLOG : blog.csdn.net/kj021320

在APPLET中其实可以运行JAVASCRIPT 而 JS中又可以获取COOKIE,添加IFRAME等
然而我们就可以采用这样的方式绕过某些过滤器去XSS EMAIL了!
晚饭的时候跟 刺他们讨论了一下~~偶感觉局限性很大 所以扔出来 抛砖引玉看看有没有人可以有更好的利用方式
1。首先EMAIL语法分析器不过滤 <applet 标签
2。被攻击者有安装JRE 能运行APPLET
似乎有点难! -_- 像HOTMAIL YAHOO GMAIL那些都过滤了APPLET

现在开始我们的方案

首先是 applet标签
<applet code="cn.isto.XSSJApplet" 阅读全文 »

Tags:

通过设置p3p头来实现跨域访问cookie

By:lcx

今天在w3网站上看到了一篇介绍p3p的文章(http://www.w3.org/TR/P3P/),利用这个可以实现跨域访问cookie,我也试验一下。

其实很简单:试验用了2个域名readlog.cn和diaor.com

首先在readlog.cn下放置一个文件setcookie.php 内容:
PHP代码

<?php
     header('P3P: CP="CAO DSP COR CUR ADM DEV TAI PSA PSD IVAi IVDi CONi TELo OTPi OUR DELi SAMi OTRi UNRi PUBi IND PHY ONL UNI PUR FIN COM  阅读全文 »
Tags: ,