5
9月
1.MYSQL 注射的产生.
漏洞产生原因 : 程序执行中未对敏感字符进行过滤,使得攻击者传入恶意字符串与结构化数据查询语句合并,并且执行恶意代码.
咱们先创造一个没有过滤的程序. 因为我机器上没有PHP,所以我就是用 JAVA了,我会详细注释.
代码
数据库:
create database if not exists `test`;
USE `test`;
/*数据表 `account` 的表结构*/
DROP TABLE IF EXISTS `account`;
CREATE TABLE `account` (
`accountId` bigint(20) NOT NULL auto_increment,
`accountName` varchar(32) default NULL,
`accountPass` varchar(32) default NULL,
PRIMARY KEY (`accountId`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
漏洞产生原因 : 程序执行中未对敏感字符进行过滤,使得攻击者传入恶意字符串与结构化数据查询语句合并,并且执行恶意代码.
咱们先创造一个没有过滤的程序. 因为我机器上没有PHP,所以我就是用 JAVA了,我会详细注释.
代码
数据库:
create database if not exists `test`;
USE `test`;
/*数据表 `account` 的表结构*/
DROP TABLE IF EXISTS `account`;
CREATE TABLE `account` (
`accountId` bigint(20) NOT NULL auto_increment,
`accountName` varchar(32) default NULL,
`accountPass` varchar(32) default NULL,
PRIMARY KEY (`accountId`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;
26
8月
虽然腾讯有时候做事不地道,但是其开发的有些软件还是不错的,比如集成在qq上的棘突软件,用怪了,有时候截图经常按热键,可惜qq没打开无法使用,还得另找spx一类的软件,麻烦,下面就让我们把qq的截图功能提取出来,随时随地的利用吧
第一步:打开QQ的安装目录,如“C:\Tencent\QQ”,找到QQ的安装目录下的CameraDll.dll文件,这个文件就是与QQ截图有关的文件,将其复制到“C:\QQ截图”文件夹下(可复制到任意位置)。
第二步:打开记事本,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Folder\shell\QQ]
@=”QQ截图”
[HKEY_CLASSES_ROOT\Folder\shell\QQ\command]
@=”Rundll32.exe C:\\QQ截图\\CameraDll.dll,CameraSubArea”
另存为“QQ截图.reg”,双击运行,将其导入注册表,这时右击任务栏左边的“开始”按钮,在出现的右键菜单中选择“QQ截图”命令,就可以调出QQ截图工具了。
第一步:打开QQ的安装目录,如“C:\Tencent\QQ”,找到QQ的安装目录下的CameraDll.dll文件,这个文件就是与QQ截图有关的文件,将其复制到“C:\QQ截图”文件夹下(可复制到任意位置)。
第二步:打开记事本,输入以下内容:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\Folder\shell\QQ]
@=”QQ截图”
[HKEY_CLASSES_ROOT\Folder\shell\QQ\command]
@=”Rundll32.exe C:\\QQ截图\\CameraDll.dll,CameraSubArea”
另存为“QQ截图.reg”,双击运行,将其导入注册表,这时右击任务栏左边的“开始”按钮,在出现的右键菜单中选择“QQ截图”命令,就可以调出QQ截图工具了。
25
8月
关于洗碗
老公:你去洗碗。
老婆:好。
老公:那怎么还不动啊?
老婆:我头疼。
老公:懒死了,不让你洗碗你也不头疼。
老婆:真的!一想到要洗碗我就头疼。
关于真话
老婆:你看,那女孩多好看。
老公:好看什么呀。
老婆:你什么意思!你为什么不和我保持一致!
老公:好看好看。
老公:哎,你别走啊,怎么不理我了?
关于起床
老公:起床了,起床了,你不说今天要早起开会嘛。
老婆:别说话,我再睡一会。
老公:快起吧,要不该迟到了。
老婆:你别碰我!我要睡觉!!
老婆:呀!都该迟到了!你怎么叫我的!
老公:你去洗碗。
老婆:好。
老公:那怎么还不动啊?
老婆:我头疼。
老公:懒死了,不让你洗碗你也不头疼。
老婆:真的!一想到要洗碗我就头疼。
关于真话
老婆:你看,那女孩多好看。
老公:好看什么呀。
老婆:你什么意思!你为什么不和我保持一致!
老公:好看好看。
老公:哎,你别走啊,怎么不理我了?
关于起床
老公:起床了,起床了,你不说今天要早起开会嘛。
老婆:别说话,我再睡一会。
老公:快起吧,要不该迟到了。
老婆:你别碰我!我要睡觉!!
老婆:呀!都该迟到了!你怎么叫我的!
17
8月
今天看一个项目代码,文件不多,不过每个文件中都N多注入,一个一个看实在太累,索性花了点时间,弄了个正则表达式,搜索出来,然后再将安全的筛选出去。省了不少时间的说。
1.查找select、update、delete语句
查询语句,对于没有条件判断的基本不存在注入问题,因而仅搜索此语句即可
例子:
select * from user where
2.简单的数字型注入
能找到select、update delete三种语句,5种格式的整形注入,如:
直接变量传入
select * from guess where id=$subject_id
update guess set is_valid=0 where id=$subject_id
delete from guess where id=$subject_id
=与变量之间存在空格
1.查找select、update、delete语句
引用
((select|SELECT|update|UPDATE|delete|DELETE)+.*(from|FROM|set|SET)+.*(where|WHERE)+.*)
查询语句,对于没有条件判断的基本不存在注入问题,因而仅搜索此语句即可
例子:
select * from user where
2.简单的数字型注入
引用
((select|SELECT|update|UPDATE|delete|DELETE)+.*(from|FROM|set|SET)+.*(where|WHERE)+.*=[ ]?["]?["]?\$)
能找到select、update delete三种语句,5种格式的整形注入,如:
直接变量传入
select * from guess where id=$subject_id
update guess set is_valid=0 where id=$subject_id
delete from guess where id=$subject_id
=与变量之间存在空格
6
8月
网络的即时通讯可说是被腾讯垄断了,虽然不满腾讯封杀珊瑚虫的做法,还有其他很多,但是没办法现在用那个的人太多了。步入linux世界后,发现只有EVA还可以用,无奈那个内核的版本太低,功能上也有欠缺,现在腾讯终于没失言发布了Linux版本,发现后马上下载测试。
下载地址:http://im.qq.com/qq/linux/download.shtml
本机装了红旗Linux的6.0版本,安装后在网络程序里找到,打了半天无法打开,晕死!不知道是人品问题还是怎么的?没多测试,马上换旁边的Kubuntu 8.04.1,这下能打开了,咋一看还成,登陆的时候要验证,界面的美化方面做的还不错。聊天界面极其简单干净(没有传文件、抓图、自定义表情、语音、视频……),(不过也没有广告)不过收发信息存在严重延迟,(操作也存在延迟),界面响应比较慢,容易出现不响应操作的情况(鼠标点击没反应)好友名字里有特殊字符时,字符编码有点小问题(出现很多方框),同时群友列表里看不出谁是群主谁是管理,群的管理功能也完全没有。另外,聊天记录不支持保存,好友自定义备注也没有显示(和Eva一样),不支持系统声音。
总的来说,期望值很高的Linux用户们这次恐怕要失望了,大家继续Eva吧
不过同样希望腾讯能再接再厉,做出更让我们满意的不带广告地作品 !!
下载地址:http://im.qq.com/qq/linux/download.shtml
本机装了红旗Linux的6.0版本,安装后在网络程序里找到,打了半天无法打开,晕死!不知道是人品问题还是怎么的?没多测试,马上换旁边的Kubuntu 8.04.1,这下能打开了,咋一看还成,登陆的时候要验证,界面的美化方面做的还不错。聊天界面极其简单干净(没有传文件、抓图、自定义表情、语音、视频……),(不过也没有广告)不过收发信息存在严重延迟,(操作也存在延迟),界面响应比较慢,容易出现不响应操作的情况(鼠标点击没反应)好友名字里有特殊字符时,字符编码有点小问题(出现很多方框),同时群友列表里看不出谁是群主谁是管理,群的管理功能也完全没有。另外,聊天记录不支持保存,好友自定义备注也没有显示(和Eva一样),不支持系统声音。
总的来说,期望值很高的Linux用户们这次恐怕要失望了,大家继续Eva吧
不过同样希望腾讯能再接再厉,做出更让我们满意的不带广告地作品 !!
