小马博客

一个无聊的人,一个无聊的博客

[php]<!-- * FCKeditor - The text editor for Internet - <a href="http://www.fckeditor.net/" rel="nofollow">http://www.fckeditor.net</a> * Copyright (C) 2003-2007 Frederico Caldeira Kn...

发布 1 条评论

for /r d:\wwwroot\web\chouwazi.com\ %i in (*.asp) do @echo %i >>c:\windows\temp\1.txt 是把d:\wwwroot\web\目录下所有asp文件列出来 ,然后保存在c:\windows\temp\下的1.txt     ==========================华丽...

发布 0 条评论

现在很多网站用了cdn技术,在做一些测试的时候,想获取其服务器真实IP地址就有点困难,不知道现在还有其他什么好的方法呢,整理了下,目前知道 如下两种: 1:拿CDN服务器 找出真实IP cache_peer 1.1.1.1 parent 80 0 no-query origin...

发布 0 条评论

UDF - User Defined Function 用户自定义函数 。 mysql中支持UDF扩展 ,使得我们可以调用DLL里面的函数来实现一些特殊的功能。 但是对于UDF的具体限制,MYSQL的各个版本各有不同。 下面记录一下: 听说(只是听说,没做测试),在MYSQ...

发布 0 条评论

可能有很多人,看到关闭了wscript.shell,就感觉没提权的希望了。就会放弃。 一般当闭上面组件时,你上传cmd.exe到上面去是运行不了命令的。运行时会说出错。 要想让运行命令可以试试这种方法,成功率为五五之数。 把下面代码复制: &l...

发布 0 条评论

[php] #HiRoot's Blog Options(选项): --version 显示程序的版本号并退出 -h, --help 显示此帮助消息并退出 -v VERBOSE 详细级别:0-6(默认为1) Target(目标): 以下至少需要设置其中一个选项,设置目标URL。 -d DIRECT 直接连...

发布 0 条评论

对于Oracle注入点的检测比较特殊,不像其它注入点一样,需要经过多个步骤检测确认注入点所使用的数据库类型是否为Oracle。 Oracle注入点判断 首先,需要判断是否为Oracle注入点,可提交如下几步查询: and 1=1 and 1=2 返回不一样的页...

发布 0 条评论

今天日一站 发现后台可以设置上传类型,但是asp,asa,cer等等都不行,上传之后就提示下载 尝试着关闭了下了,还是不行,后来找到了一位前辈写的文章 过滤了asa,cer,cdx,php,aspx等脚本类型的上传情况下添加一个ashx的上传类型,上传一...

发布 1 条评论

入侵网站时,遇到实在上传不了木马,可以试试上传一个stm文件, 内容为:   <!--#include file="conn.asp"-->   直接访问这个stm文件, 会发现是空白文件,但右键查看源码,你会发现conn.asp就一览无遗, 数据库路径也就到手啦!...

发布 0 条评论

我最常用的就是attrib这个命令,感觉很方便! 一、瞒天过海   这个方法主要是针对一些不想让别人看见的文件,首先修改想隐藏文件的扩展名,将扩展名修改成在系统中没有的类型,比如*.ffh *.jjk 等等,由于这些文件没有跟系统中的任...

发布 0 条评论