来源:安全中国SQL元数据注射和解决方案 Author : kj021320 Team : I.S.T.O 台上 kj021320穿着套便服点都不像安全技术人员... 台下群 黑客 骇客 红客 白客 砍客 蓝客 灰客 漂客... 还有堆开发工程师和架构师 貌似很期待在听课接收kj021320培训 kj021320 : hi,大家好...今天我要跟大家起讨论是SQL注射... 台下片郁闷声响起 有位... [阅读全文]

作者: zeroday组织: blacksecurity.org翻译:漂浮尘埃[S.S.T]1． 介绍2． 漏洞测试3． 收集信息4． 数据类型5． 获取密码6． 创建数据库帐号7． MYSQL操作系统交互作用8． 服务器名字和配置9． 从注册表中获取VNC密码10．逃避标识部分信号11．用Char进行MYSQL输入确认欺骗12．用注释逃避标识部分信号13．没有引号串1． 当服务器只开了80端口我... [阅读全文]

作者:lake2　　来自:blog.csdn.net http://blog.csdn.net/lake2 说到url编码你或许会想起N年前url编码漏洞可惜我是"生不逢时"啊我接触网络时那个漏洞早就绝迹咯 言归正传URL 编码是什么东东呢？看看我从网上抄定义: 引用: url编码是种浏览器用来打包表单输入格式浏览器从表单中获取所有name和其中值 将它们以name/value参数编码... [阅读全文]

Pretty Decent Databases have been the heart of a commercial website. An attack _disibledevent= Looking at the above code at first site it seems OK. A user will type his login name and password in... [阅读全文]

作者:lake2　http://blog.csdn.net/lake2/ 说到url编码你或许会想起N年前url编码漏洞可惜我是“生不逢时”啊我接触网络时那个漏洞早就绝迹咯 言归正传URL 编码是什么东东呢？看看我从网上抄定义: 引用: url编码是种浏览器用来打包表单输入格式浏览器从表单中获取所有name和其中值 将它们以name/value参数编码(移去那些不能传送, 将数据排行等等)作... [阅读全文]

最重要表名: select * from sysobjects sysobjects ncsysobjects sysindexes tsysindexes syscolumns systypes sysusers sysdatabases sysxlogins sysprocesses 最重要些用户名(默认sql (sqlcrack.sql) create table tempdb..pa... [阅读全文]

作者:lake2　　来自:http://blog.csdn.net/lake2说到url编码你或许会想起N年前url编码漏洞可惜我是"生不逢时"啊我接触网络时那个漏洞早就绝迹咯言归正传URL 编码是什么东东呢？看看我从网上抄定义:引用: url编码是种浏览器用来打包表单输入格式浏览器从表单中获取所有name和其中值 将它们以name/value参数编码(移去那些不能传送, 将数据排行等等)作为... [阅读全文]

何为本地注射？简单地讲就是本来你在服务器上无法进行SQL注入服务器上WEB很安全对request("id")这样请求过滤很严或是限制输入格式为数字等等思路方法你只能选择放弃放弃注入 但是在有时候你可以在本机IIS里进行注入从而达到对服务器注射目避过服务器request参数提交过滤举例子来介绍说明吧现在你误打误撞利用暴库或是其他漏洞得到了服务器conn.asp文件那么恭喜你入侵离成功不远了 conn... [阅读全文]

++++++++++++++++++++++++++++ By zeroday. zeroday [ at ] blacksecurity.org --------------------------------------------- 翻译：浪迹天[email protected] Iceskysl_At_www.icesky... [阅读全文]