From:http://hi.baidu.com/ymhacker/blog/item/fce947e997c50034b90e2dad.html
flashfxp提权
重点将对方的.dat文件全部弄下来。。。然后揽权
具体是这三个文件
quick.dat
Sites.dat
Stats.dat
然后就是快速连接,,接着用passlook来查看对方的密码。。
阅读全文
来源: http://www.pcsec.org/
Author: Tr4c3[at]126.com
先看Vbs手册里的描述:
IsNumeric 函数
返回 Boolean 值指明表达式的值是否为数字。IsNumeric(expression)
expression 参数可以是任意表达式。
说明
如果整个 expression 被识别为数字,IsNumeric 函数返回 True;否则函数返回 False。如果 expression 是日期表达式,IsNumeric 函数返回 False。
一些程序员在写代码的时候比较喜欢用isnumeric来判断参数是否为数字型,
阅读全文
信息来源:邪恶八进制信息安全团队(www.eviloctal.com)
文章作者:eaglet
网上关于XSS入侵网站的例子很多,但是大多都是一些恶作剧性质的介绍.下面本人来亲自介绍下利用脚本入侵国内某安全论坛的过程
就像主题所说一样,今天测试的论坛是DISCUZ! 6.1.0
目标:卡巴技术论坛 http://kpchina.net http://bbs.kpchina.net
工具:无(感觉本人的入侵方式不是很高级,低调,所以不用工具,需要的东西自己写,都是脚本哦~!o(∩_∩)o…)
下面开始入侵: 阅读全文
XSS(Cross Site Scripting)攻击,想要获得权限就要找漏洞,大家都是知道,DISCUZ! 6.1.0 论坛有XSS漏洞,这是前人的经验,我不邀功
一篇比较老的文章,原始出处找不到了。
作为脚本漏洞的头号杀手锏——数据库下载漏洞,现在已经被越来越多的人所熟知。在这个信息化技术更新飞快的时代,漏洞产生后随之而来的就是各种应对的招 数,比如改数据库的后缀、修改数据库的名字等等。很多人以为只要这么做就可以解决问题了,但事实往往不如你我所愿,即使你这么做了也难逃被高手攻击的命 运。为此我们有必要去了解一些攻击的手法,来增强自己的安全技能。 阅读全文
1.强制下载后缀名为ASP、ASA的数据库文件
大多数的网管为了节省时间,网站上的文章系统、论坛等程序都是直接下载别人的源程序再经过部分修改后使用的。而现在很多人做的ASP源程序都 已经将数据库的后缀由原先的MDB改为了ASP或ASA。
From:miao
一段代码:
<!–#ECHO var=”ALL_HTTP”–><br>
当前文件名称:<!–#ECHO var=”DOCUMENT_NAME”–><br><br> 阅读全文
Web服务器的名称和版本:<!–#ECHO
var=”SERVER_SOFTWARE”–><br>
主机名:<!–#ECHO var=”SERVER_NAME”–><br>
端口:<!–#ECHO var=”SERVER_PORT”–><br>
客户或客户代理IP地址:<!–#ECHO var=”REMOTE_ADDR”–><br>
客户或客户代理主机名:<!–#ECHO var=”REMOTE_HOST”–><br>
PATH_INFO
订阅我的博客
