作者:qiqinghua
来源:青蛙的梦想
一.VBScript基本规则
Vbscript的基本规则
?大小写不敏感:
WSCRIPT.ECHO
WScript.echo
wscript.echo
虽然对大小写不敏感,但是不应该使用全大写或全小写,这样使得脚本难于阅读
?跳过所有多余的空格
For example:
WScript. Echo "Hello"
is the same as:
WScript.Echo "Hello"
?不规定每行的最大长度
换言之,你可以将多个逻辑行用colon divider连接在一起
WScript.Echo "Test One" : WScript.Echo "Test Two"
阅读全文 »
作者:qiqinghua
来源:青蛙的梦想
第二章 使用Object
一. Object术语
(1) 理解对象术语
Objects
object是根据功能打包, object包含代码,使得你可以将其用在自己的脚本中。
Compiled objects
最常用的object类型,是compiled object,这种类型的object编译成2进制文件,无需了解内部机制,可以把它看成是一个黑盒子。通常的表现形态为一个DLL(dynamic link library)或者ocx(Microsoft ActiveX Control file)
你能够用method和object提供的功能进行通讯。可以用用object的properties操纵数据。
阅读全文 »
作者:qiqinghua
来源:青蛙的梦想
前言
呵呵!
这篇是我刚刚完成教案的翻版,为什么要写这篇东西呢?是因为当初参加ESS培训的时候,发现更深入的应用SMS,需要WMI的知识,然后想看看 WMI,却发现要深入理解WMI,又事先要有点WSH脚本的经验,于是就转而看WSH,花了春节及以后的几天,写出了教案。于是,找盆盆的地盘,将东西贴出来,起名叫《跟我从头学WSH》,因为我就是从头开始学的。肯定要被各位大侠笑话了,大家就全当鼓励我吧。
现在,我正全力转向写WMI的教案,完成后,将全篇贴出。
第一章 介绍WSH
一,介绍WSH
(1)首先, WSH不是一个文件,它是一个运行脚本的集合 Script file 能够运行在WSH环境中,WSH支持所有的32位操作系统 。
阅读全文 »
鬼仔注:师傅一月份写的了,当时看过之后没有转过来,今天转过来。
作者:帅帅D小D 文章来源:帅帅D小BLOG
首先我说明,此文只做为技术交流,同时也并没有什么技术。
前几天再检测有一个服务器的时候,(虚拟主机)管理员的设置很BT,虽然没有禁止WS,但是呢,CMD等文件均不可以访问,并且不能运行任何系统命令,上传一个MT.exe 到了网站目录,可写,并且使用WS可以运行,因此我首先想到的就是利用WS的命令达到提权,因为没装VNC,PCANwhere,至于系统漏洞的本地提权也就不用去试都知道了,行不通的,所以拿系统权限只有靠FTP了,但是呢管理员把FTP的本地密码改了,如果是6.2的话,你还可能可以下回来查看到密码,可惜的是6.3看密码是没有希望了,这个时候想到的自然是SNIFFER,这个时候,自然是想到了使用htran和NC,把端口重定向过来。
阅读全文 »
今天终于回到家了。。
文/superhei
以前发过一个fckeditor的上传文件漏洞:http://superhei.blogbus.com/logs/2006/02/1916091.html
我们看看新版本2.4的,还是被动过滤:
config.php:
$Config['AllowedExtensions']['File'] = array() ;
$Config['DeniedExtensions']['File'] = array('html','htm','php','php2','php3','php4','php5','phtml','pwml','inc','asp','aspx','ascx','jsp', 阅读全文 »
前几天回老家来了,因此blog这几天也没更新,抱歉。
本来准备今天回家,后来因为兄弟们要我明天一起去玩,所以就没走成,明天或者后天会回家。
作者:寂寞的刺猬
来源:WEB安全手册
对于一个网站,如果你手动发现了注入点,无论是GET、POST或是COOKIE类型的注入点,这些注入点并且不适用于一些我们常见的注入工具,比如NBSI,你会怎么办?手动注入?呵呵,那你就慢慢的猜吧!
刺猬不才,从《黑客手册》中LT的一篇PHP数据转发文章中得到启发,写出了一段ASP数据转发脚本,鉴于GET、POST、COOKIE三种方式,于是用VB编了一个小程序,自动生成这三种方式的代码,在此发出,与各位共享。
程序的使用很简单,只需要填入存在注入的URL地址及存在注入的键 阅读全文 »
Tags: SQL Injection, SQL注入作者:Monyer
来源:梦之光芒
前言:
首先问大家一句:手枪是干什么的?
当然你可以用许多富丽堂皇的词语去形容它:自卫、防身、追强盗……
但是不管你怎么说,你不敢否认的是,其实手枪就是用来杀人的。
你没有用它来上山打野猪吧?没有用它来强身健体吧?没有用它到地里挖萝卜白菜什么的吧?
即使是三岁小孩手里拿把真枪对着你,其实他就是想跟你玩而已,但是你不害怕么?
你害怕什么?无非是怕枪走火了,被其打死!
美国政府是允许公民用枪的,难道他们在倡导杀人么?
显然不是!对吧!
如果上面的你能理解,那么希望下面的你也能理解。
Baidu Space XSS Worm是干什么的?无非是对用户进行攻击的。
我想解释,但是确实没有什么好解释的。
阅读全文 »
