为了dede系统安全把data目录迁移到web以外目录

分类:技术 | 2012-02-29 | 撸过 417 次
0人扯谈

data目录是系统缓存和配置文件的目录,一般都有可以读写的权限,只要是能够写入的目录都可能存在安全隐患,很多站长甚至给予这个目录可执行的权限,更是非常危险,所以我们建议将这个data目录搬移出Web可访问目录之外。本篇将介绍如何将data目录搬移出Web访问目录。

1.将data目录转移到非Web目录

我们这里举例“D:\dedecms\v57”为我们系统的根目录,我们需要将目录下的data文件夹(如图1)迁移要上一级目录(非Web目录),简单的办法直接剪切或者拷贝即可。

[......]

继续阅读

解决管理组登陆3389没权限的问题

分类:技术 | 2012-02-29 | 撸过 438 次
0人扯谈

登陆3389的时候说没在远程组。加上远程组,还是不行,

 

本身已经是管理员了,以前也碰到这种问题,多是直接克隆

 

进去的,这次我是要开VPN。因为克隆管理员进去开VPN有的时候会

 

出错,开不了。所以嘛~~~~~~~搞了半天后解决了。

 

 

 

解决方法如下:

 

1. “控制面板” –> “管理工具” –> “终端服务配置”

 

2. 点击”连接”, 右边出现连接项(例如: RDP-Tcp,tcp,Microsoft RDP 5.2)

 

3. 双击要[......]

继续阅读

一款不错的webshell-aspx

分类:工具 | 2012-02-28 | 撸过 1,071 次
0人扯谈

密码是:yhsafe 自己拿去改吧!

下载地址:webshell-aspx

COCOON Counter统计程序漏洞总结

分类:安全 | 2012-02-27 | 撸过 439 次
0人扯谈

一、默认数据库:

counter/_db/db_CC_Counter6.mdb

也可直接打开:http://www.webshell.cc/Counter/utilities/update.asp

查看源文件,查找<! ,就可以找到数据库的地址。程序的问题。

二、暴路径漏洞

利用探针https://www.webshell.cc/Counter/utilities/aspSysCheck.asp,查看网站路径。

三、注入

存在用户注入,猜解出用户的帐号和密码,无法拿SHELL只可社工利用。

https://www.webshell.cc/xxcount/core/defaul[......]

继续阅读

N点虚拟主机管理系统密码破解方法

分类:安全 | 2012-02-26 | 撸过 650 次
3人扯谈

N点虚拟主机加密方式是他自定义的函数,封装到了DLL里面,你在N点主机管理系统的目录新建一个ASP文件内容如下

<!--#include file="inc/conn.asp"-->

<!--#include file="inc/siteinfo.asp"-->

<!--#include file="inc/char.asp"-->

<%

set iishost=server.CreateObject("npoint.host")

x=iishost.Eduserpassword("NLFPK@OJCOCLA@E@FEKJMFADLALKLF[......]

继续阅读

卢森堡一色情网站6000多名用户电邮被黑客公开

分类:新闻 | 2012-02-25 | 撸过 492 次
0人扯谈

卢森堡一色情网站6000多名用户电邮被黑客公开(图)

这个名为Pastebin的网站上公布了6000多名色情网站用户的电邮信息网站截图

  据英国《每日邮报》2月23日报道,由于第三方服务供应商未能确保数据安全,卢森堡一家色情网站6000多名用户的电邮账号和密码被黑客公开到网上。

  这家色情网站名为YouPorn,该网站6433名用户的电邮信息被公布在了一个名为Pastebin的网站上。YouPorn网站所有者马文控股公司(ManwinHoldingSARL)说,网站已经被瘫痪,可能要等调查结束才能恢复。这家网站提供免费色情视频和电影,用户也可以获得付费服务。

  据悉,此次泄密可能给该色情网站的用户带来很多困扰,甚至影响雇佣和婚姻关系,[......]

继续阅读

浅谈新型的sql注入测试

分类:安全 | 2012-02-25 | 撸过 484 次
0人扯谈

前段时间,帮别人看网站,习惯性的’,

and 1=1

其实知道这种肯定被过滤,但还是测试了

php+mysql

 

首先说判断:

 

Null值相信大家不陌生吧,可这么用:

and 1 is null,and 1 is not null

 

或: and 2<=3

 

其实,很多人习惯性的用=号来判断了,但是,如:

>= ,<= ,is null,is not null,<>

等 都可用于判断

 

接着说注入

 

对于注射取值,我们熟悉的就是union select 和 blind[......]

继续阅读

很久以前的EXP 74cms 漏洞!

分类:安全 | 2012-02-25 | 撸过 765 次
1人扯谈

不解释了!

<?php
/*
骑士CMS漏洞利用Exp
Author:mer4en7y[90sec Team]
Home:www.90sec.org
声明:漏洞发现者:毅心毅意(发布在t00ls)
在日站的时候,碰到了这个系统,于是搞了这么个EXP,
水平有限,写的粗糙了点,忘大牛无见笑
大部分代码参考了子仪牛
*/
/*利用方法:$host:主机,$user修改为注册的用户名
$pwd修改为注册用户密码
登陆-->查看个人资料-->
在email处即可看到admin账号\密码\Hash
*/
error_reporting(0);
ini_set(max_execution[......]

继续阅读

哈客足迹清理器V1.0

分类:工具 | 2012-02-24 | 撸过 745 次
0人扯谈

各位盆友大家好,生锅刚刚带队,小弟我不敢赖铎,所以。 出个小工具!

这个工具呢是我看到一个淫荡的小东东突发的想法所以用易语言写了这个小工具。

当然小弟的编程技术也仅限于易语言大家不要笑!

针对赖的黑阔们,希望可以给大家带来那么点点好处!

注:易语言写的程序可能报毒(本来我也不想那么说,因为好几次我写的小工具都被说报毒,所以。。 在这次在压缩包里加了个加了壳的,和没加壳的。 如果不相信我的RP,就不要下了!)

有图有证据:
[......]

继续阅读

mimikatz直接抓取 Windows 明文密码

分类:安全, 工具 | 2012-02-24 | 撸过 3,183 次
5人扯谈

昨天有朋友发了个法国佬写的神器叫 mimikatz 让我们看下

神器下载地址: mimikatz_trunk.zip

还有一篇用这个神器直接从 lsass.exe 里获取windows处于active状态账号明文密码的文章

http://pentestmonkey.net/blog/mimikatz-tool-to-recover-cleartext-passwords-from-lsass

自己尝试了下用 win2008 r2 x64 来测试

轻量级调试器神器 - mimikatz

最后测试成功 wdigest 就是我的明文密码

 

我还测过密码复杂度在14位以上

包含数字 大小写字母 特殊字符的密码[......]

继续阅读

第 1 页,共 9 页12345...最旧 »