捅伊朗黑客PP -- 后台登陆POST+错误回显 注入
看了一个泰国政府的网站被伊朗的黑客挂页,上面写着 “Your Box 0wn3z By Behrooz_Ice - Q7x -Sha2ow -Virangar -Ali_Eagle -iman_taktaz - Satanic2000” “We Love Iran” “Ashiyane Digital Security Team” 这样的话云云。一些中国的傻逼还拿着别人的黑页去zone-h去提交,...
dedecms 5.7 - 游客无限刷顶踩数值
只测试了DEDECMS V5.7系统,之前的版本估计也一样。 在官方地址进行的简单测试,应该算是一个小BUG,利用这个可以无限的刷某篇文章的顶/踩 数值。 详细说明:虽然前端页面做了 游客 只能提交一次的限制,但是直接以URL访问则没有限制,只要按着F5不放,一会就能上百上千。。。。 而且dede的官方也木有做这方面的限制。。。你懂的 漏洞证明:http://www.dedecms.com/plu...
利用PERL突破目录无执行权限
前几天和谐一个站,独立服务器,就一个站,想提权应该不难。后来发现是坑爹的星外啊。草了啥目录多没权限执行。 翻来翻去翻到个PERL目录,这东西玩的少。在百度搜到一篇吐司发的文章,利用方法拿了权限。文章如下: 目标可写目录无执行权限.装有PERL。有运行权限。但system,exec,“,这几个函数没有权限。 注意PERL并非系统权限。而是继承的nt authority\network service...
蒙牛公司官网被黑,SIT小组集体飘过!
号称“最全的WEBSHELL提权大大全
第一,WEBSHELL 权限提升技巧 C:\DocumentsandSettings\AllUsers\ApplicationData\Symantec\pcAnywhere\ 看能否跳转到这个目录,如果行那就最好了,直接下它的 CIF 文件,破解得到 pcAnywhere 密码,登陆 c:\ProgramFiles\serv-u\ C:\WINNT\system32\config\ 下它的 SA...
密码保护:大站有爱:天涯数据遭拖库抓紧下载吧(加密码了)
SQL2005过滤单引号的注入方式
其中 爆列名有点麻烦 mssql 2005 1: and 1=(SELECT @@VERSION)-- 判断数据库版本 (master.dbo.sysdatabases 表存放着sql2005数据库系统的所有的数据库信息 查询命令:user master; SELECT * FROM MASTER.DBO.SYSDATABASES ...
php设置刷新的间隔时间防护cc攻击
最近几个网站CC不断,了解一下CC的原理,然后勉强找个方法暂时防护下吧。实在是伤不起。 附上现在被攻击的屏蔽截图 <?php @session_start(); $allow_sep = "1"; //刷新时间 if (isset($_SESSION["post_sep"])) { if (time() - $_SESSION["pos...
密码保护:N多大型站点数据被拖库,抓紧下载吧!(怕出事加密码了自己猜)
用.htaccess限制执行文件类型
现在一般都是使用黑名单的方法过滤非法字符,不过黑名单也有它的不足。怎么才能用白名单过滤呢 在.htaccess里定义 <</>Files ~ “.*”> Deny from all <</>/Files> <</>FilesMatch “(1\.txt)|(2\.txt)”> Allow from all <</&...