oldjun博客
拿下DVBBS php官网
文章作者:oldjun信息来源:oldjun's blog(www.oldjun.com/blog)注意:文章已经发表在2008第7期《黑客防线》上,转载请注明出处。(最近拿站比较多,没来得及写日志,拿这篇文章凑数!)几个月前,DVBBS php2.0暴了一个可以直接读出管理员密码的sql注入漏洞,当时这个漏洞出来的时候,我看的心痒,怎么
首发 ~ QQ Fiba 跨站脚本漏洞
漏洞说明:看上去http://fiba.qq.com/其实是Fiba的站点,腾讯跟FIBA合作后把原来http://www.fiba.com/与域名同等解析,即无论访问哪个站点都是一样的页面,具体的信息可以访问http://fiba.qq.com/。前段时间我不经意的在http://fiba.qq.com/里发现了一个很简单的跨站脚本漏洞,其实这不是腾讯的代码,
VB打造QQ批量登陆器
QQ太多,每天要输入真的很麻烦,网上有一些批量的登录器,可是谁也不知道有没有在登录的同时也往作者的邮箱里发一封包含qq号与密码的邮件~于是想自己写,因为asp比较熟,所以选择VB,网上找了2个模块,于是可以直接写程序了,以前没写过application,第一次写,遇到不少困难,不过最后还是搞定了~下面
javascript判断checkbox多选框数目
今天要用到一个js程序,要实现以下两点功能(checkbox是asp生成的,并非静态的html):1.判断checkbox的数目,当超过设置的数目时显示只能选这么多,即时控制,而不是提交时判断;2.提交form的时候,判断是否选择了要求的数目,否则不予提交。写了好久,终于试成功了,因为asp生成的input,name不能相
深喉咙企业网站(Deepthroat)的若干Sql injection漏洞
QQ群有人发来一个网站:www.deepthroat.com.cn ,说是居然跟好莱坞电影《深喉》同名,我不经意的打开后发现,这竟然是一个基于asp与php的建站系统,虽然不是很出名,老规矩,看看代码,这不看不要紧一看就觉得奇了:这样一个漏洞百出的建站系统居然还能存活到现在,甚至版本已经到了3.6,无语个先~先下
DZ6.0的前台用户名自修改插件
最近一直在改论坛,于是写个这个页面,其实不算插件了,根本不是当成插件来写的,就是一个简单页面而已。说过程:1.进后台创建一个changename的模板,贴上代码后提交:{template header}<div id="nav"><a href="index.php">$bbname</a> <b>»</b> 用户名修改系统</div><div class="mainbox"><h1 a
刷机,原来这么简单
无论什么东西,手机也好,电脑也罢,都要买性价比高的...MOTO E1是一款性价比极高的手机,06年儿童节买的E1,在07年11月份被偷了,后来我在二手手机市场找到个小E,跟我丢的一模一样(我简直以为就是我自己的),不过被刷过机,一咬牙把它买回家了。一直用的好好,3月份有一次我锁定键盘放口袋里,之后
apache2.2.8在windows2003下的安全设置
众所周知,在windows下当Apache第一次被安装为服务后,它会以用户“System”(本地系统账号)运行。如果web服务器的所有资源都在本地系统上,这样做会问题比较少,但是将会具有很大的安全权限来影响本地机器,因此千万不能开启System帐号的网络权限!于是要创建一个新的帐户来替代这个帐号启动apache并设
从最近若干次失败的入侵谈加固WIN服务器的安全
好久没写日记了,最近过的太失败了...一堆事情压的好累...每天跟着美国的作息时间走,不过也拿到了不少webshell,只是换不了钱...最近渗透了好多站,以asp为主,有轻轻松松成功,也有艰难的成功,也有无数次尝试耗时若干后的狼狈失败,这里我谈谈从一些失败中得出的加固WINDOWS服务器的经验。一般而言
也谈初级的webshell免杀方法
首先谈谈什么是webshell,顾名思义,webshell:"web" - 在web服务器上使用的、"shell" - 取得对服务器进行操作的权限,其实webshell是一个web的管理工具,所以也叫webadmin,但这个管理工具一般只被黑客(入侵者)利用,从而成为web入侵所常备的脚本攻击工具。百度百科是这么介绍的:webshell就是一个a
