欢迎使用RedIce网站防注入系统! 系统下载 使用说明： 在受保护的ASP文件前加上<!--#include file="AntiHack.inc.asp"-->(路径根据实际情况而定).在受保护的文件末尾加上<%closeconn%>即可 后台管理： admin.asp 默认密码:admin 请登陆后台后进行修改 AntiHac.mdb中记录了黑客的IP地址和注入发生的时间 如果系统有什么Bug请与我联系Email:redice@see.xidian.edu.cnQQ:869203869欢迎光临RedIce网站 http://redice.zzzg.com

RedIce声明:本文来自《华城瑞安》 随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 SQL注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵...

RedIce声明:本文来自《华城瑞安》 第一节、SQL注入的一般步骤 首先，判断环境，寻找注入点，判断数据库类型，这在入门篇已经讲过了。 其次，根据注入参数类型，在脑海中重构SQL语句的原貌，按参数类型主要分为下面三种： (A) ID=49 这类注入的参数是数字型，SQL语句原貌大致如下：Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件]，即是生成语句：Select * from 表名 where 字段=49 And [查询条件] (B) Class=连续剧 这类注入的参数是字符型，SQL语句原貌大致概如下：Select * f...

RedIce声明:本文来自《华城瑞安》 看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统，与操作系统也有紧密的联系，这给开发者带来了很大的方便，但另一方面，也为注入者提供了一个跳板，我们先来看看几个具体的例子： ① http://Site/url.asp?id=1;exec master..xp_cmdshell “net user name passwor...

利用VB打造Sql Server数据库连接器 RedIce声明:该文章来自《黑客基地》 现建一个普通窗口..放上3个textBox控件.一个是用来输入ip的txtaddres..还有就是用户名txtuser和密码txtpass...为相应的控件起个好听地名字还有1个按钮用来确定连接... 定义一个连接对象..和记录集对象public conn as new ADODB.Connect '连接的public recv as new ADODB.Resordset '用来接收数据的''''''''''''''''''''''''''''''''''''''''''''''''''...

浅析HTTP代理与SOCK5代理 RedIce声明：该文章来自《黑客基地》 代理服务器英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。 　　代理服务器是介于浏览器和Web服务器之 间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求，Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的...

用VB写ASP动态连接库 RedIce声明：该文章来自《黑客基地》 服务器端组件 首先,服务器端的组件要有别于客户端的组件.客户端的组件是通过网络传输,依靠HTML来起作用.而且只能在IE上有用.但是服 务器端的组件是运行在服务器端,它在服务器上执行各种操作.因此,所有的浏览器都能享用,它依*的是服务器而不是浏览器. 当IIS被请求执行一个ASP程序,它首先会在ASP文件中找到<%%>标签之间的代码,并且执行它(也可以是<script runat=server></script>之间的代码).如果这个ASP程序在先前被调用过,那么它就会用 内存中的...

远程开启3389终端全攻略 Redice声明:该文章来自《黑客基地》 今天介绍的这种开终端的方法，绿色，环保，无污染~~ 　　不须上传任何文件开启终端的方法适合win2k,xp,2003. 　　本文前提是已经通过某种方法得到了对方的一个SYSTEM权限的CMDSHELL~~ 　　在无须传任何文件的情况下开启终端服务。 　　一、win 2k下终端开启终端 　　首先用ECHO写一个3389.reg文件,然后导入到注册表，echo代码如下： 　　echo Windows Registry Editor Version 5.00 >>3389.reg 　　echo [HKEY_LO...

菜鸟必学： IIS Web 服务器的权限设置有两个地方，一个是 NTFS 文件系统本身的权限设置，另一个是 IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上。这两个地方是密切相关的。下面我会以实例的方式来讲解如何设置权限。IIS 下网站->站点->属性->主目录（或站点下目录->属性->目录）面板上有：脚本资源访问 读取 写入 浏览 记录访问 索引资源 6 个选项。这 6 个选项中，“记录访问”和“索引资源”跟安全性关系不大，一般都设置。但是如果前面四个权限都没有设置的话，这两个权限也没有必要设置。在设置权限时，记住这个规则即可，后面的例子中不再特别说明这...

纯脚本执行权限 这样的目录就太多了。很多不需要给执行权限的目录也被管理员给了脚本执行权限我.最小的权限＋最少的服务＝ 最大的安全 ； 一点也没有错。给目录任何多余的权限都是没有必要的。判断一个目录是否可以执行纯脚本文件也很简单，发送一个如下一个请求： 　 http://iis-server/dir/no-such-file.asp 返回404文件不存在说明有执行权限，返回403则是没有开。 浏览目录权限 　 判断一个目录是否允许浏览可能需要一点点小技巧，但是，在网站的默认首页(如:default.asp)不存在的话，那么就再简单不过了。 在浏览器里面输入：...

配置 Web 权限以下是根据发布的材料的用途来配置 Web 权限的各种方法： ? 启用读取、写入和目录浏览：启用这些权限允许客户端查看资源列表并进行修改（除非对这些资源没有写入权限）、发布自己的资源以及处理文件。 ? 启用写入；并禁用读取和目录浏览： 如果只想让客户端在目录中发布私人信息，而不希望别人查看所发布的内容，可以设置写入权限，但不设置读取和目录浏览权限。该配置在客户端端提交选票或性能检查时非常有用。 ? 启用读取和写入；并禁用目录浏览：如果希望通过隐藏文件名来提高安全性，可设置该配置。然而，请注意，通过隐藏文件名来设置安全性是一种低级的安全防范措施，因为一个故意破坏者可通过试...

先看算法: 用户密码每位的ASCII值加上对应位数的值，再转为对应字符。如密码为admin加密后保存为bfpms，加密过程如下：(char)((int)a+1)=b(char)((int)d+2)=f(char)((int)m+3)=p(char)((int)i+4)=m(char)((int)n+5)=s 为了减少大家的麻烦，我特写了如下的工具: 雷驰新闻系统密码解密器&#160;&#160; (点击下载)本博客于即日起(2009.2.26)停止更新,新博客地址:http://www.redicecn.cn&#160;,本博客的大部分文章已经转移到新博客中...

&#160;&#160; 当URL明文传递参数时(类似这样,"*.asp?id=*"),其中的某个(些)参数很可能被用户修改(包括不怀好意的SQL注入者),从而导致服务端程序在执行SQL命令时出错.因此在服务端如何正确地处理这些数据显得尤为重要.下面是一个判断id是否为正确数字的方法,如果不是则将其设置为1.&#160; id=request("id") if isnumeric(id) and page>0 then&#160;&#160;&#160; id=int(id) else &#160;&#160; id=1 end if 上面的这个方法虽然简单,但是非常使用.本博客...

我的D盘文件系统是NTFS,今天我想修改一下其中一个文件夹的访问权限,但是我发现它的属性中,竟然没有"安全"选项卡,这就奇怪了.到网上查了一通,问题终于解决了:到文件夹选项里面，去掉“简单文件共享（推荐）”前面的钩，然后右击文件或文件夹查看属性的时候会多出来“安全”选项卡

RedIce特别声明:该文章来自 黑客基地 Web应用程序是通过2种方式来判断和跟踪不同用户的：Cookie或者Session（也叫做会话型Cookie）。其中Cookie是存储在本地计算机上的，过期时间很长，所以针对Cookie的攻击手段一般是盗取用户Cookie然后伪造Cookie冒充该用户；而Session由于其存在于服务端，随着会话的注销而失效（很快过期），往往难于利用。所以一般来说Session认证较之Cookie认证安全。 当然啦，Session难于利用并不等于不能利用，本文将通过一个小小的例子实现一次简单的HTTP会话劫持。 ...

Windows Server2003权限设置/IIS服务器安全配置整理(1) RedIce声明:该文章来自落伍者论坛 一、系统的安装　　 １、按照Windows2003安装光盘的提示安装，默认情况下2003没有把IIS6.0安装在系统里面。２、IIS6.0的安装　　开始菜单—>控制面板—>添加或删除程序—>添加/删除Windows组件　　应用程序 ———ASP.NET（可选）　　　　　　　|——启用网络 COM+ 访问（必选）　　　　　　　|——Internet 信息服务(IIS)———Internet 信息服务管理器（必选）　　　　　　　　　　　　　　　　　　　　　　 |——公...

另类方法转换Windows操作系统管理身份 RedIce声明:该文章来自 黑客基地 我们在使用Windows 2000/XP时，考虑到安全的原因，通常我们不会使用系统管理员(Administrator)的身份去登录自己的系统，而是使用一个级别相对比较低的身份去登录系统。但在使用过程中，有时候我们会遇到必须运行一些必须有系统管理员才能运行的程序。 到了这个时候，相信很多朋友都会选择“切换身份”或者“注销”的方法，用系统管理员的身份重新登录后再运行这个程序。这样做实在是非常的麻烦。其实，Windows就自带了一个命令来免去我们这么烦琐的操作。在这里，我们只...

在电脑开机时要先开显示器再开主机，在电脑关机时要先关主机再关显示器，这一开、关机顺序对老显示器来说尤为重要，但对于近几年生产的显示器来说就不是很重要了，甚至有的显示器在开机时的顺序正好相反，但多数情况下用上述顺序进行还是有利无害的。 先开显示器，是因为，当你一按下机箱的电源开关时，屏幕上会立刻显示一些硬件及系统的相关信息，还有自检信息。如果你先开主机电源，后开显示器，那么前面的有些信息就有可能跳过，你也就看不到了。所以为了能看到全部的开机信息，要先开显示器再开主机电源。 在过去的电脑来说原则是先开外部设备(显示器,打印机等),最后开主机 因为当时的硬件技术和操作系统还不完善,那时的显...

1&#160; 有时候机器中毒后,文件的后缀名都被隐藏了.想显示文件后缀名，于是进行如下操作：我的电脑->工具->文件夹选项->查看->把"隐藏已知文件类型的扩展名"的勾去掉,但是发现,还是不能显示. 解决方法:修改注册表(按如下所示键值,查看并修复注册表) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt] "CheckedValue" = dword:00000001 "UncheckedValue" = dword:0000000...