手工MSSQL注入常用SQL语句
and exists (select * from sysobjects) //判断是否是MSSQL and exists(select * from tableName) //判断某表是否存在..tableName为表名 and 1=(select @@VERSION) //MSSQL版本 And 1=(select db_name()) //当前数据库名 and 1=(select @@ser...
星外目录扫描可写权限辅助工具
星外提权辅助工具提升提权成功率。原理是自动读所有可读的注册表, 并自动找注册表里面存在的路径信息,然后全部echo。结合阿D的那个 ASP目录扫描脚本效果更佳。 图2: 下载:finaly
iis7重大漏洞 自动批量生产webshell!~
Automatic iis7 parsing vulnerability exploit 我就不在多说什么了! 直接上图: 下载:Automatic iis7.0 exploit
sywebeditor上传漏洞的另外一种方法,绝对实用
https://www.webshell.cc/syWebEditor/...to&fileType=gif|jpg|png|&filePathType=1&filePath=/PhotoFile/ProFile/ 可以浏览目录的,下面有个上传文件,打开,上传一张jpg小马,然后重命名,1.asp。然后上传抓包, 保存txt,后面加个 空格 用winhex打开...
注入命令
_________________________________________________________________________ 【测试注入】 and 1=1 and 1=2 _________________________________________________________________________ 【猜表一般表的名称无非是:admin adminuser ...
nginx fastcgi配置失误+解析漏洞引发的漏洞
现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的 if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; } 当匹配*/*.php*的时候则返回403 但是有些fastcgi配置的却不只有.php,有些甚至配置了ph*,(网上有一篇文章就是这么写的) 这样.ph*就没法匹配.ph...
Access注入点高级运用总结
信赖Access注入点是人人看到最多的了,一样平常敷衍 办法就是: 猜表猜段猜内容---MD5---去靠山---看上传,备份,设置信息等等---上WEBSEHLL---提权.这是最常见和最普及 的ACCESS注入点应用行动 了.不外这里存在太多的不定因素,乐成 率非常低.任何一步失败,都也许让你不知怎样是好.. 但是ACCESS就只有这么点能耐了么?答案是否定 的.下面我们来看看,都有哪些地方 是...
Linux tar打包命令
范例一:将整个 /etc 目录下的文件全部打包成为 /tmp/etc.tar [root@linux ~]# tar -cvf /tmp/etc.tar /etc <==仅打包,不压缩! [root@linux ~]# tar -zcvf /tmp/etc.tar.gz /etc <==打包后,以 gzip 压缩 [root@linux ~]# tar -jcvf /tmp/etc.t...
另类入侵 妙招 下载 曝出 获取ASP源码
入侵网站时,遇到实在上传不了木马,可以试试上传一个stm文件, 内容为: <!--#include file="conn.asp"--> 直接访问这个stm文件, 会发现是空白文件,但右键查看源码,你会发现conn.asp就一览无遗, 数据库路径也就到手啦! 并且又看了那篇shtml的介绍后,恍然大悟,终于明白了! 原来就是如上所说的, <!--#includ...
简约论坛几个bug及修复
1、数据库可下载:data/db.mdb 2、后台登陆:admin_login.asp 3、常规设置--->论坛信息设置--->上传设置处添加asp;jpg 然后,前台发帖上传asp;jpg马,上传路径:uploadfile/topicfile/ PS:拿shell时,数据库备份没戏(我菜的原因),上传jpg马,备份时显示错误的备份文件,不能备份;数据库插入一句话,备份后打不开,错误5...