xiaoc's home

细节决定成败，不但对于写程序、渗透入侵甚至人生都是如此。谈人生就有点深奥了，还是来谈谈入侵吧。记得很久前有一位同事，注入的时候，在sa权限什么命令都能执行的情况下竟然入侵花费了三天左右的时间，为什么呢？这是因为他在NBSI下输了个time命令，想看下服务器的时间，结果命令无法应答，注入点宕在哪儿了，再也没办法执行其它命令了，直到服务器重启。有的写的不好的木马，如果执行time命令也会自动退出。如果

>alert(document.cookie) =>script>alert(document.cookie)/script> script>alert(document.cookie)/script> script>alert(vulnerable)/script> %3Cscript%3Ealert(XSS)%3C/script%3E script>alert(XSS) i

一直来很多牛人说可以web/sql分离的情况下，利用odbc来拿本机权限，不过这篇文章好象是连回本地来做测试。不过总算是一个突破EXAMPLE TO USE:　 http://www.xxxx.com/FullStory.asp?id=1　 Exploiting the hole:　 http://www.xxxx.com/FullStory.asp?id=1’　 Code:　 Microso

摘要: 本文对目前SQL注入攻击中使用的盲注技术进行了综述。本文首先介绍了普通SQL注入技术的定义和危害，回顾了几种已被提出的针对SQL注入的防御手段及其各自的缺点，然后讨论了在错误信息被屏蔽或掩饰的情况下探测SQL注入漏洞是否存在所需的服务器最小响应，以及如何确定注入点和确定正确的注入句法并构造利用代码。最后本文还以UNION SELECT语句为例，详细介绍了利用该语句在盲注条件下统计数据表的列

本文作者：SuperHei发布日期：2005-10-18==============目录================= 一、WINDOWS系统windows对../的支持 windows对.的忽略 二、*nix系统 freebsd系统下/的利用 大小写的区分 三，iis与apache 解析文件类型的利用

[原创]mysql 5注入中group_concat的使用文章作者：enqlee信息来源：邪恶八进制信息安全团队（www.eviloctal.com） mysql中的information_schema 结构用来存储数据库系统信息 information_schema 结构中这几个表存储的信息，在注射中可以用到的几个表。　 | SCHEMATA ――>存储数据库名的， |——>

      在这里,我所指的版本是指的2000,2005,2008这样的版本区别,而不是企业版,开发版这样的版本区别.从官方的说法来看,SQL Server是允许数据库从低版本向高版本恢复,但不支持高版本向低版本的恢复,如果我们用高版本的数据库在低版本的数据库引擎下恢复,会出现什么错误描述呢?    数据库恢复一般是指两个层面的意思:一种方法是利用备份文件进行还原;一种方法是利用数据文件进行附

<br />加上一句<br />set JAVA_HOME=C:/Program Files/Java/jdk1.7.0