原文已经应要求删除了，后来想了想觉得我还是有必要记录一下的，只不过不再类似之前实战或现场直播带插图式，不提名挂号。更新一次博客不容易呀！
阅读全文>>

之前也提到过使用org.apache.commons.lang.StringEscapeUtils这个工具类对用户提交的数据转义，但是这样做不够好，万一哪天程序有什么改动，或者另一个需要使用这些数据的开发人员在数据输出的时候又转义了一下呢？最直接的应该是将提交的数据中的XSS过滤掉，只存储正常数据，这种需求交给owaspantisamy就行了。
阅读全文>>

前几天调戏了一下高中母校的网站。怎么又是高中母校？不是已经有[高中母校被土耳其黑客轮奸]了么？呃…俺高中有点坎坷…废话不多说了，这里主要记录俩脚本。
当上传功能几乎禁掉了所有能被解析执行的服务器端脚本文件时别忘了下面这两个脚本，这也不是我原创的，每次搜索引擎查太麻烦，索性贴在自己博客里面。 阅读全文>>

无恶意，无破坏，无缘由的XXOO了一下黑色小亮的博客。
目标：www.blackxl.org
信息：博客程序是最新版的WordPress
直接搞目标站肯定是没搞头的了，所以只能跨站了。
查到不少同服务器的站点，当然，有些站点的域名早就已经指向别处了，所以下一步行动之前一定要先ping一下看看是否是目标服务器。
经逐一排查（站挺多的，比较费时间。）在WVS发现http://xxx.com/存在盲注且该站是用Java开发的，于是乎开始注入…
阅读全文>>

事情是这个样子的：老婆在这家学校里实习，说给涨工资一直没涨，把俺老婆气的就对我说：“老公，你去把这学校的网站黑了吧！给我出出气！”（⊙﹏⊙b汗~我又不是黑阔！多大的人了！还跟小孩一样！）（但是你是搞计算机的呀！）
阅读全文>>

自己简单总结的，可能还不够完善，日后慢慢补充。

1.弱口令漏洞

解决方案：最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码，应存储MD5加密后的密文，由于目前普通的MD5加密已经可以被破解，最好可以多重MD5加密。

2.未使用用户名及密码登录后台可直接输入后台URL登录系统。

解决方案：通过配置filter来过滤掉无效用户的连接请求。

3．JSP页面抛出的异常可能暴露程序信息。有经验的入侵者，可以从JSP程序的异常中获取很多信息，比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案：自定义一个Exception，将异常信息包装起来不要抛到页面上。

4.合法用户“注销”后，在未关闭浏览器的情况下，点击浏览器“后退”按钮，可从本地页面缓存中读取数据，绕过了服务端filter过滤。
阅读全文>>

几天前帮朋友检测他们的网站时候，顺便看了看C段上的服务器，发现了一个FTP弱口令，FTP用的是Serv-U6.3，WEB用的是IIS7.0，远程终端连接上去看到是Windows Server 2008。 阅读全文>>

由于去年年底项目一期结束了，正在等客户的需求及使用情况的反馈，所以也就没啥事干。看了看PHP，感觉没啥学的，写了个连接MYSQL的增删改查，我就不知道该干啥了，所谓语言是相通的，读和写基本都没问题，特有的方法或函数则查查API文档即可，但是用则需要熟练度，或许这就是学习的枯燥与乏味吧。 n:-hd
接着帮一个哥们有偿检测了他们的网站，一年没接触过这方面了，不过还好网站比较弱智，几分钟搞定 n:-hx 。
网站是用asp开发的，生成静态页面，当然也有动态页面，不过都做了防注入，Cookies注入也行不通。

现在越来越喜欢火狐浏览器了，网页图片上右键，选择“查看图片信息”，它把当前页面中所有图片的路径都列出来，我一般通过这个来找有没有用第三方编辑器及其路径，很可惜没发现，手工猜了几个也没有找到。

查看图片信息

找到了后台目录是manage，不过就是找不到页面（找到也没密码 n:-gg ）。
网站中有些栏目是二级域名绑定的，有个BBS是DZ7.0的，貌似刚刚上架，一个注册人都没有，不过我也没找到DZ7.0的可利用漏洞。
另一个二级域名下，找到后台admin/admin_login.asp，能试的都试了，放弃。再次查看该栏目下的图片信息，感觉ewebditor有希望了，猜出地址为editor/admin_default.asp。

查看图片信息

一切都是默认的，所以拿到webshell是很正常的。权限都还是很严的，Serv_u6.0，提权失败，43958端口开着，应该是把默认的用户名或密码改了，有wscript但是没用，自己找目录传CMD上去也没用，支持PHP，但是权限也没什么改变。找到数据库连接文件conn.asp，得到一个普通的sql用户，构造了一个注入点然后放到Pangolin里面跑了下，列目录时在D盘中发现了Serv_u，看到ServUDaemon.exe有备份，看来确实把默认值改了。

Pangolin

Pangolin

接着找到主站的目录，backup log了一个一句话，传了个大马上去，OK，结束，拿到外快了，不继续了。

上周周五工作的时候收到某人发来的消息，说是红牛在搞什么“红牛时间到”的活动，可以免费领取，还说他领了一箱子红牛…后面捎带了个链接：www.redbulltime.com。这么好的事，我哪能不去沾沾光啊，于是就打开看了看，原来还得注册，然后得玩游戏，好像也就1瓶啊，哪那么夸张一箱子，既然才1瓶，那就算了，不浪费时间了，反正这会也没事干，看网页做的还蛮漂亮的，多点几个链接参观参观吧。 阅读全文>>