夜火博客 个人的碎碎念收集箱

扔掉工具,让你飞速学会手工注入

前言:
    现在的网络,
脚本入侵十分的流行,而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜,都会为它那巨大的威力和灵活多变的招式所着迷! 

   正是因为注入攻击的流行,使的市面上的注入工具层出不穷!比较出名的有小竹的NBSI、教主的HDSI和啊D的注入工具等等!这大大方便的小菜们掌握注入漏洞!可是,工具是死的,注入的手法却是活的,能否根据实际情况灵活地构造SQL注入语句,得到自己想要的信息,是[被屏蔽的不受欢迎关键词]高shou 与小菜的根本区别!只用工具,而不去管它的原理,是不可能得到提高的,当然,在遇到一些特殊情况的时候,那些只会用工具的小菜们也只能放弃了!所以学会手工注入自己构造SQL注入语句是一个黑客爱好者必上的一堂课!我希望这篇文章能够给那些还不会手工注入的朋友一点启发!帮助大家早日摆脱工具,早日踏入 [被屏蔽的不受欢迎关键词]高shou的行列!

Dvbbs PHP版本0day

这个PHP版dvbbs的漏洞本来是sniperhg准备清明节发出来的,小蟑螂说不知道被0kee群里的谁泄露出来了,随后也就发出来了,看蟑螂挺郁闷的,我这也帮他发出来吧,嘿嘿~。貌似官方已经修复了~

影响版本:2.0
漏洞文件:/boardrule.php
Author:sniperhg  小蟑螂
信息来源:零客网安 www.0kee.com
--------------------分割JJ----------------------
相关代码:

细说暴库的原理与方法

SQL注入流行很久了,我们找漏洞注入目的无非是想得到数据库内的东西,比如用户名密码等。(当然mssql数据库还可以借此获得权限)。如果我们不用注入就可以得到整个数据库,不是更好吗?于是暴库成了一个比注入更简单的的入侵手段。

  有关暴库的方法,高手们常在入侵文章中提高,但多是一笔带过,有些就某一个方法谈的,也多是就方法进行探讨。最近有一篇《再谈%5c暴库的利用》文章,算是对暴库进行了一些总结,因而在网是流传很广。但仍没有谈及原理,而且结论也只是就于经验,似是而非,于是决定来谈谈暴库的原理与规律。

BBSXP2008存在后台注射漏洞

漏洞预警中心小组应急事件响应公告

测试系统:
BBSXP2008 ACCESS版本 目前为最新版

安全综述:
BBSXP为一款简单的ASP+SQL与ACCESS开发的多风格论坛 目前最新版本为BBSXP2008
漏洞描述:
Manage.asp文件的ThreadID没有经过任何过滤便放入SQL语句中执行 导致注射漏洞发生

45种可以拿到Webshell的程序

转自:军团炎火到GoogLe,搜索一些关键字,edit.asp? 韩国肉鸡为多,多数为MSSQL数据库!---我看了下..真的很多...可以用这个..asp?="pig" 呵呵`~2,到Google ,site:cq.cn inurl:asp3,利用挖掘鸡和一个ASP木马.文件名是login.asp路径组是/manage/关键词是went.asp用'or'='or'来登陆4,关键字:Co Net MIB V...