欢迎使用RedIce网站防注入系统!
系统下载
使用说明: 在受保护的ASP文件前加上<!--#include file="AntiHack.inc.asp"-->(路径根据实际情况而定).在受保护的文件末尾加上<%closeconn%>即可
后台管理: admin.asp 默认密码:admin 请登陆后台后进行修改 AntiHac.mdb中记录了黑客的IP地址和注入发生的时间
如果系统有什么Bug请与我联系Email:redice@see.xidian.edu.cnQQ:869203869欢迎光临RedIce网站 http://redice.zzzg.com
RedIce声明:本文来自《华城瑞安》
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵...
RedIce声明:本文来自《华城瑞安》
第一节、SQL注入的一般步骤
首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。
其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:
(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:Select * from 表名 where 字段=49 And [查询条件]
(B) Class=连续剧 这类注入的参数是字符型,SQL语句原貌大致概如下:Select * f...
RedIce声明:本文来自《华城瑞安》
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。
第一节、利用系统表注入SQLServer数据库
SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:
① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name passwor...
利用VB打造Sql Server数据库连接器
RedIce声明:该文章来自《黑客基地》
现建一个普通窗口..放上3个textBox控件.一个是用来输入ip的txtaddres..还有就是用户名txtuser和密码txtpass...为相应的控件起个好听地名字还有1个按钮用来确定连接...
定义一个连接对象..和记录集对象public conn as new ADODB.Connect '连接的public recv as new ADODB.Resordset '用来接收数据的''''''''''''''''''''''''''''''''''''''''''''''''''...
浅析HTTP代理与SOCK5代理
RedIce声明:该文章来自《黑客基地》
代理服务器英文全称是Proxy Server,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。在一般情况下,我们使用网络浏览器直接去连接其他Internet站点取得网络信息时,须送出Request信号来得到回答,然后对方再把信息以bit方式传送回来。 代理服务器是介于浏览器和Web服务器之 间的一台服务器,有了它之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,Request信号会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给你的...
用VB写ASP动态连接库
RedIce声明:该文章来自《黑客基地》
服务器端组件
首先,服务器端的组件要有别于客户端的组件.客户端的组件是通过网络传输,依靠HTML来起作用.而且只能在IE上有用.但是服 务器端的组件是运行在服务器端,它在服务器上执行各种操作.因此,所有的浏览器都能享用,它依*的是服务器而不是浏览器.
当IIS被请求执行一个ASP程序,它首先会在ASP文件中找到<%%>标签之间的代码,并且执行它(也可以是<script runat=server></script>之间的代码).如果这个ASP程序在先前被调用过,那么它就会用 内存中的...
远程开启3389终端全攻略
Redice声明:该文章来自《黑客基地》
今天介绍的这种开终端的方法,绿色,环保,无污染~~ 不须上传任何文件开启终端的方法适合win2k,xp,2003. 本文前提是已经通过某种方法得到了对方的一个SYSTEM权限的CMDSHELL~~ 在无须传任何文件的情况下开启终端服务。 一、win 2k下终端开启终端 首先用ECHO写一个3389.reg文件,然后导入到注册表,echo代码如下: echo Windows Registry Editor Version 5.00 >>3389.reg echo [HKEY_LO...
菜鸟必学:
IIS Web 服务器的权限设置有两个地方,一个是 NTFS 文件系统本身的权限设置,另一个是 IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。IIS 下网站->站点->属性->主目录(或站点下目录->属性->目录)面板上有:脚本资源访问 读取 写入 浏览 记录访问 索引资源 6 个选项。这 6 个选项中,“记录访问”和“索引资源”跟安全性关系不大,一般都设置。但是如果前面四个权限都没有设置的话,这两个权限也没有必要设置。在设置权限时,记住这个规则即可,后面的例子中不再特别说明这...
纯脚本执行权限
这样的目录就太多了。很多不需要给执行权限的目录也被管理员给了脚本执行权限我.最小的权限+最少的服务= 最大的安全 ; 一点也没有错。给目录任何多余的权限都是没有必要的。判断一个目录是否可以执行纯脚本文件也很简单,发送一个如下一个请求: http://iis-server/dir/no-such-file.asp 返回404文件不存在说明有执行权限,返回403则是没有开。 浏览目录权限 判断一个目录是否允许浏览可能需要一点点小技巧,但是,在网站的默认首页(如:default.asp)不存在的话,那么就再简单不过了。 在浏览器里面输入:...
配置 Web 权限以下是根据发布的材料的用途来配置 Web 权限的各种方法:
? 启用读取、写入和目录浏览:启用这些权限允许客户端查看资源列表并进行修改(除非对这些资源没有写入权限)、发布自己的资源以及处理文件。 ? 启用写入;并禁用读取和目录浏览: 如果只想让客户端在目录中发布私人信息,而不希望别人查看所发布的内容,可以设置写入权限,但不设置读取和目录浏览权限。该配置在客户端端提交选票或性能检查时非常有用。 ? 启用读取和写入;并禁用目录浏览:如果希望通过隐藏文件名来提高安全性,可设置该配置。然而,请注意,通过隐藏文件名来设置安全性是一种低级的安全防范措施,因为一个故意破坏者可通过试...
先看算法:
用户密码每位的ASCII值加上对应位数的值,再转为对应字符。如密码为admin加密后保存为bfpms,加密过程如下:(char)((int)a+1)=b(char)((int)d+2)=f(char)((int)m+3)=p(char)((int)i+4)=m(char)((int)n+5)=s
为了减少大家的麻烦,我特写了如下的工具:
雷驰新闻系统密码解密器   (点击下载)本博客于即日起(2009.2.26)停止更新,新博客地址:http://www.redicecn.cn ,本博客的大部分文章已经转移到新博客中...
   当URL明文传递参数时(类似这样,"*.asp?id=*"),其中的某个(些)参数很可能被用户修改(包括不怀好意的SQL注入者),从而导致服务端程序在执行SQL命令时出错.因此在服务端如何正确地处理这些数据显得尤为重要.下面是一个判断id是否为正确数字的方法,如果不是则将其设置为1. 
id=request("id") if isnumeric(id) and page>0 then    id=int(id) else    id=1 end if
上面的这个方法虽然简单,但是非常使用.本博客...
我的D盘文件系统是NTFS,今天我想修改一下其中一个文件夹的访问权限,但是我发现它的属性中,竟然没有"安全"选项卡,这就奇怪了.到网上查了一通,问题终于解决了:到文件夹选项里面,去掉“简单文件共享(推荐)”前面的钩,然后右击文件或文件夹查看属性的时候会多出来“安全”选项卡
RedIce特别声明:该文章来自 黑客基地
Web应用程序是通过2种方式来判断和跟踪不同用户的:Cookie或者Session(也叫做会话型Cookie)。其中Cookie是存储在本地计算机上的,过期时间很长,所以针对Cookie的攻击手段一般是盗取用户Cookie然后伪造Cookie冒充该用户;而Session由于其存在于服务端,随着会话的注销而失效(很快过期),往往难于利用。所以一般来说Session认证较之Cookie认证安全。
当然啦,Session难于利用并不等于不能利用,本文将通过一个小小的例子实现一次简单的HTTP会话劫持。 ...
Windows Server2003权限设置/IIS服务器安全配置整理(1)
RedIce声明:该文章来自落伍者论坛
一、系统的安装 1、按照Windows2003安装光盘的提示安装,默认情况下2003没有把IIS6.0安装在系统里面。2、IIS6.0的安装 开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件 应用程序 ———ASP.NET(可选) |——启用网络 COM+ 访问(必选) |——Internet 信息服务(IIS)———Internet 信息服务管理器(必选) |——公...
另类方法转换Windows操作系统管理身份
RedIce声明:该文章来自 黑客基地
我们在使用Windows 2000/XP时,考虑到安全的原因,通常我们不会使用系统管理员(Administrator)的身份去登录自己的系统,而是使用一个级别相对比较低的身份去登录系统。但在使用过程中,有时候我们会遇到必须运行一些必须有系统管理员才能运行的程序。
到了这个时候,相信很多朋友都会选择“切换身份”或者“注销”的方法,用系统管理员的身份重新登录后再运行这个程序。这样做实在是非常的麻烦。其实,Windows就自带了一个命令来免去我们这么烦琐的操作。在这里,我们只...
在电脑开机时要先开显示器再开主机,在电脑关机时要先关主机再关显示器,这一开、关机顺序对老显示器来说尤为重要,但对于近几年生产的显示器来说就不是很重要了,甚至有的显示器在开机时的顺序正好相反,但多数情况下用上述顺序进行还是有利无害的。 先开显示器,是因为,当你一按下机箱的电源开关时,屏幕上会立刻显示一些硬件及系统的相关信息,还有自检信息。如果你先开主机电源,后开显示器,那么前面的有些信息就有可能跳过,你也就看不到了。所以为了能看到全部的开机信息,要先开显示器再开主机电源。
在过去的电脑来说原则是先开外部设备(显示器,打印机等),最后开主机 因为当时的硬件技术和操作系统还不完善,那时的显...
1  有时候机器中毒后,文件的后缀名都被隐藏了.想显示文件后缀名,于是进行如下操作:我的电脑->工具->文件夹选项->查看->把"隐藏已知文件类型的扩展名"的勾去掉,但是发现,还是不能显示.
解决方法:修改注册表(按如下所示键值,查看并修复注册表)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"CheckedValue" = dword:00000001 "UncheckedValue" = dword:0000000...