科普专线

Seay渗透提权工具包更新版

发表于5年前 | 作者: seay

3
花了我一个晚上,整理工具 设计界面 实现功能,C#写的,.NET版本我给降成了3.5,不是用的4.0,毕竟现在用4.0的少嘛, 今天应该可以完成了,晚安,夜猫子们…

安全运营

防盗链系统修复IIS6.0解析漏洞技巧

发表于5年前 | 作者: seay

0
网站要真正做好安全,涉及的东西太广了,主要是因为渗透的途径太多了,呵呵……咱这次不讲那么多,发现网上貌似没什么人说道关于IIS6.0 解析漏洞的修补方法,刚好在渗透一个站的时候遇到了这个问题,搭建了环境测试了下,顺便就想起了写这个文章了,进主题吧,IIS6.0的解析 漏洞大家都清楚,这里用asp作说明,比如 seay.asp;.jpg 或者seay.asp;asp之类的,呵呵……就不说那么多了,这样都是以asp解析的,那......

编程开发

C#动态设置和取消窗体皮肤实用方法

发表于5年前 | 作者: seay

0
这两天在写.NET结业项目,想做下美工,就用到了IrisSkin控件,启动加载皮肤,更换几款都无错跑起来,这也玩了N次了,不过这次想加一个换回默认主题的选项,就是在启动时不加载皮肤,启动程序后,再单击某按钮动态加载皮肤。加载是没问题,蛋疼的是取消的时候(终于扯到正题了),我们加载皮肤实现代码是 skinEngine1.SkinFile = “皮肤文件路径”; 那么我们思考下,取消皮肤,理论上实现代码......

渗透测试

有fckeditor突破目录执行权限问题

发表于5年前 | 作者: seay

1
例如这样一个站 http://www.xxxxxx.com/admin/fckeditor/editor/filemanager/browser/default/browser.html?type=monyer&connector=connectors/aspx/connector.aspx 可以直接上传aspx的大马 但是当你查看路径去尝试运行的时候却发现出不来 This Virtual Directory does not allow objects to be executed.此虚拟目录不允许执行的对象。 再看另一个上传 http://www.xxxxxx.com/admin/fckeditor/edit......

安全运营

服务器安全维护知识

发表于5年前 | 作者: seay

0
各个杀毒软件都有相应的自己的服务器版本的!不过有人说关键是防火墙。既然是服务器,那什么软件都没用,只有防火墙才管用。我说的防火墙是实体,不是软件。 这是来自黑白网络的提供你参考吧: Windows Server2003 防木马权限设置IIS服务器安全配置整理 一、系统的安装     1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。 2、IIS6.0的安装   开始菜单—>控......

编程开发

详细的C#常用 API函数大全

发表于5年前 | 作者: seay

0
  常用Windows API 1. API之网络函数 WNetAddConnection 创建同一个网络资源的永久性连接 WNetAddConnection2 创建同一个网络资源的连接 WNetAddConnection3 创建同一个网络资源的连接 WNetCancelConnection 结束一个网络连接 WNetCancelConnection2 结束一个网络连接 WNetCloseEnum 结束一次枚举操作 WNetConnectionDialog 启动一个标准对话框,以便建立同网络资源的连接 WNetDisconnectDialog 启......

代码审计

0
经济的黯然失色丝毫没有影响高科技企业的人才争夺。在硅谷,从谷歌这样的大型企业,到最小规模的初创型公司,各家都在争相挖掘最优秀的IT人才。      为了防止有经验的老员工跳槽,美国加州的大公司纷纷提高了薪酬和奖金,例如《金融时报》称,毕业不久的初级工程师的薪酬去年上涨了30%至50%.      而微软早在2011年年中便计划为员工加薪,并提高薪酬中现金部分的比例。在发给员工的一封电子邮......

代码审计

0
华中科技大学女生的照片被黑客盗取,并放在一个网站上“比美”网页截图   近日,一个名为Hust-facemash.com的网站引发了大学生的热议。网站设计者利用高校学校网络系统的漏洞,盗取了华中科技大学女生的证件照片,并将照片和学生的相关信息公布在网页上进行“比美”。目前,该网站已经关闭。此事件引起了南京不少大学生的担忧。昨日,现代快报记者了解到,南京高校目前正在积极修复系统中的漏洞,预防此类......

渗透测试 编程开发

PHP开发web应用安全总结

发表于5年前 | 作者: seay

0
XSS跨站脚本 概念:恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 危害: 盗取用户COOKIE信息。 跳转到钓鱼网站。 操作受害者的浏览器,查看受害者网页浏览信息等。 蠕虫攻击。 描述:反射型跨站。GET或POST内容未过滤,可以提交JS以及HTML等恶意代码。 代码: <?php echo $_GET[‘msg’]; ?> //正常U......

渗透测试 编程开发

PHP挖洞详细分析

发表于5年前 | 作者: seay

1
研究一套cms 3天了,自己没挖到什么可以直接利用的漏洞,都是一些比较鸡肋的,可能是自己的水平太菜了。不过我把整个挖洞过程中记录下来,供大家参考。如果有什么不对的,或者是有什么好的建议的,请加QQ群62512676 一起来讨论学习   0x1 这套cms我是从站长网,随便下的,所以下下来就搭建起来看代码了, 这是最新版本的,我也不知道有没有前辈挖过,所以就开始动工了。 首先开始从首页开始读代码......

实用工具

Discuz NT 多版本文件上传漏洞

发表于5年前 | 作者: seay

0
文章作者:rebeyond  信息来源:邪恶八进制信息安全团队(www.eviloctal.com)  注:文章首发I.S.T.O信息安全团队,后由原创作者友情提交到邪恶八进制信息安全团队技术讨论组。I.S.T.O版权所有,转载需注明作者。  受影响版本:貌似都受影响。  漏洞文件:tools/ajax.aspx  漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。  ......

科普专线

苦逼程序员装B指南

发表于5年前 | 作者: seay

2
一.准备工作 “工欲善其事必先利其器。” 1.电脑不一定要配置高,但是双屏是必须的,越大越好,能一个横屏一个竖屏更好。一个用来查资料,一个用来写代码。总之要显得信息量很大,效率很高。 2.椅子不一定要舒服,但是一定要可以半躺着。 3.大量的便签,各种的颜色的,用来记录每天要完成的事务,多多益善。沿着电脑屏幕的边框,尽量贴满,显出有很多事情的样子。 4.工具书,orelly的,机械工业,电子工......

渗透测试

最新利用navicat提权

发表于5年前 | 作者: seay

0
navicat是一个比较流行的MySQL管理工具,在很多服务器上都可以找到 有两个方法提权: 1、从日志文件里找密码,navicat会把操作日志(比如加账户)保存到My DocumentsNavicatMySQLlogs下的LogHistory.txt,低版本是安装目录下的logs下LogHistory.txt 2、navicat管理的MySQL服务器信息(一般是root帐户)是存在注册表里的,具体是HKEY_CURRENT_USERSoftwarePremiumSoftNavicatServers下,导出注册表导入到......

代码审计

如何SEO的持久工作自动化并不是民工化

发表于5年前 | 作者: seay

1
SEO坚持肯定会得到更加稳定的效果,但是如果我们能够做更好的SEO,更科学持久的SEO,像国平老师的博客一样,SEM这个关键词这么久 了,依然没有跌出首页,而他的博客估计从去年就没什么更新和维护了。提供高价值的内容,通过这些内容制造高价值的链接诱饵,帮助网站外部链接建设,让 SEO的持久工作自动化,而不是目前主流的“民工”化。所以最科学的SEO技巧,才是我们需要坚持的。   坚持下去,会好起来......