8月22
说起安全检测的方法大家可能最熟悉的要属注入了,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么今天猪头(Heck)就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限
。
首先打开网站,很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞,随便打开一个连接,地址为http://www.whcl.hk/about.asp?xlid=39 在地址后面加一个单引号发现返回的错误信息为:
Microsoft JET Database Engine 错误 '80040e14'
语法错误 (操作符丢失) 在查询表达式 'xlid=39‘' 中。
/about.asp,行 18
从这个错误提示我们能看出下面几点:
1、网站使用的是Access数据库,通过ODBC连接数据库,而不是通过JET引擎连接数据库
2、程序没有判断客户端提交的数据是否符合程序要求。
3、该SQL语句所查询的表中有一名为xlid的字段。
一看就知道这个网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样,说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。
。首先打开网站,很漂亮的一个网站程序。大概看了下网站是使用ASP程序发开的。那么首先想到的就是sql injection 也就是SQL注射漏洞,随便打开一个连接,地址为http://www.whcl.hk/about.asp?xlid=39 在地址后面加一个单引号发现返回的错误信息为:
Microsoft JET Database Engine 错误 '80040e14'
语法错误 (操作符丢失) 在查询表达式 'xlid=39‘' 中。
/about.asp,行 18
从这个错误提示我们能看出下面几点:
1、网站使用的是Access数据库,通过ODBC连接数据库,而不是通过JET引擎连接数据库
2、程序没有判断客户端提交的数据是否符合程序要求。
3、该SQL语句所查询的表中有一名为xlid的字段。
一看就知道这个网站是基于ASP+ACCESS数据库的架构了。 使用and 1=1 与and 1=2 发现返回的信息不一样,说名存在SQL注射漏洞 不过网站数据库使用的是ACCESS数据库。那么只能猜解管理压密码登陆后台来拿WEBSHELL了 如果是sql server数据库的话有一定权限还可以使用BACK 来备份一个WEBSHELL。
8月22
哈,猪头的空间和域名都到期了,今天打算重新开博,猪头用的是unix的主机下,blog用的bo-blog可安装出来以下错误:
Bo-Blog 安装程序 发生错误
文件夹 data/ 不可写。如果您使用的是 Unix/Linux 主机,请修改这个文件夹的权限为777。如果您使用的是Windows主机,请联系管理员,将此文件夹设为everyone可写。
,猪头教你怎么解决,看我的
。
,猪头的空间和域名都到期了,今天打算重新开博,猪头用的是unix的主机下,blog用的bo-blog可安装出来以下错误:Bo-Blog 安装程序 发生错误
文件夹 data/ 不可写。如果您使用的是 Unix/Linux 主机,请修改这个文件夹的权限为777。如果您使用的是Windows主机,请联系管理员,将此文件夹设为everyone可写。
,猪头教你怎么解决,看我的
。
8月22
Inpaint是一款可以从图片上去除不必要的物体,让您轻松摆脱照片上的水印、划痕、污渍、标志等瑕疵的实用型软件;简单说来,Inpaint就是一款强大实用的图片去水印软件,您的图片中不想要的部分,如额外的线、人物、文字等……
选定后Inpaint都会帮你全自动进行擦除,同时Inpaint会根据附近图片区域重建擦除的区域,使看起来完美无暇,没有痕迹。
猪头
我曾经在本博客介绍过Inpaint 1.0版本。这是目前最新的Inpaint 2.1绿色单文件版本,已经汉化和作免注册处理,下载解压后直接可用。
下载地址:
Inpaint 1.0版本:
下载文件
选定后Inpaint都会帮你全自动进行擦除,同时Inpaint会根据附近图片区域重建擦除的区域,使看起来完美无暇,没有痕迹。
猪头
我曾经在本博客介绍过Inpaint 1.0版本。这是目前最新的Inpaint 2.1绿色单文件版本,已经汉化和作免注册处理,下载解压后直接可用。下载地址:
Inpaint 1.0版本:
下载文件
8月16
嘿嘿,大家一直都觉得挺好的域名免费空间,要申请的话当然你得拥有一个自己的域名了,因为注册的时候要以你的域名来访问的,不会分配二级域名。
一、申请
申请条件:
1.你要有良好的网络公德,不要浪费网络资源,对于恶意申请或攻击破坏的行为我本人表示严重的不满和无奈!
2.你要有一下国际域名(之一):.cz .sk .com .net .org .info .biz .ws .us .cx.
申请地址:http://pipni.cz/overeni.phtml (某些地方可能需要代理)
申请步骤:
1.在Doména添如你的玉米并选择后缀,点击Overit,之后如果出现“Domena je u? obsazená”表示可以申请。
2.点击下面的"P?esun existující domény"或者小鸡图片进入申请资料填写页面.
3.只添黑体的就可以:
Heslo : //*密码
Potvrzení hesla : //*重复密码
Jméno : //*名
P?ijmení : //*姓
E-mail : //*Email(gmail、163、hotmail都能收到)
Ulice : //*城市
Město : //*省份
PS? : //*国家
然后点下面第一个按钮(长条)。出现你的资料列表和一行蓝字说明申请成功!到您填写的Email里看是否收到信,里面有详细信息。
一、申请
申请条件:
1.你要有良好的网络公德,不要浪费网络资源,对于恶意申请或攻击破坏的行为我本人表示严重的不满和无奈!
2.你要有一下国际域名(之一):.cz .sk .com .net .org .info .biz .ws .us .cx.
申请地址:http://pipni.cz/overeni.phtml (某些地方可能需要代理)
申请步骤:
1.在Doména添如你的玉米并选择后缀,点击Overit,之后如果出现“Domena je u? obsazená”表示可以申请。
2.点击下面的"P?esun existující domény"或者小鸡图片进入申请资料填写页面.
3.只添黑体的就可以:
Heslo : //*密码
Potvrzení hesla : //*重复密码
Jméno : //*名
P?ijmení : //*姓
E-mail : //*Email(gmail、163、hotmail都能收到)
Ulice : //*城市
Město : //*省份
PS? : //*国家
然后点下面第一个按钮(长条)。出现你的资料列表和一行蓝字说明申请成功!到您填写的Email里看是否收到信,里面有详细信息。
