文章作者：amxku

晚上无聊，在网上瞎砍
无意中发现看到中国红客联盟有一个注入点，反正无聊，看看
没有什么技术，主要写出来，看看大家有没有更好的思路，大家交流。

» 阅读全文

这些时间都在弄些站点，有些东东也脑痛的很
有些人拿到了某某网站的后台管理员帐号密码，费九牛二虎之力暴破明文密码后,无论如何扫都扫不到后台地址而苦恼,颓废..所以不管高手也好,菜鸟也罢,到了这一步也久低下了头.
其实大家不要局限于技术的思路,从另外一个方面着手就可以发现.
大家应该知道国内的统计程序.比如ITSUN.COM,51.LA..cnzz提供的免费统计服务.
我们可以利用它们某些功能来帮我们找目标站的后台目录以及文件名.
其实利用方法很简单
注册后,把统计代码挂到你的页子上.（在这里推荐用ITSUN的比较好,上次就是它帮我发现了百度网站联盟的后台管理地址,还有一些好东东:)）
然后通过一些方法让目标网站的管理员访问你挂统计代码的那个叶子就OK了，
比如,去他的站提交友情连接，一般管理员都会点击看的.
之后呢，回到流量统计服务站，看 今日来路统计 就会出现 今日来访站点www.xxxx.com
在这里就要注意了,它不会把URL全部显示出来,你需要把鼠标指针移动到那个站点上，在单击右键就会在IE进度栏中出现他的后台地址，一般而言，管理员验证连接都是从后台看的,所以流量统计就记录了访问数据.

这里只是提供一个简单的思路而已
在很多入侵的过程中，往往思路才是最为重要的，只要你有了好的思路，也就成功了一大半了
像这个http://www.wolfexp.net/forum/read.php?tid=1388，轮回写的一个东东，也是一个思路的问题，像马骏上次入侵某大学，就是通在网上邻居里加入服务器的IP地址来完成入侵的，很多很多的例子都说明思路才是最重要的。

写着写着郁闷了，网突然上不了了
只好用无线上来继续了。气死人了，球也看不了了，世界杯啊……

2006-07 /amxku

l-blog是由 Loveyuki 自主开发的基于 ASP+Access 的小型单用户BLOG，好像网上用的比较多，主要是免费的（呵呵，向Loveyuki致敬）。昨天寝室断网了，闲着没事干，就把以前下载的L-Blog V1.08 (SE) Final版本拿来看，结果还真发现了几个问题。

1、L-Blog Cross-Site Scripting Vulnerability

这是个跨站漏洞，好像HaK_BaN很早就发现并通知了官方，所以问题已经修复。但是我下的那个版本却存在，所以还是要写出来J

» 阅读全文

作者:HaK_BaN[BCT]
组织:
Bug.Center.Team
网站:
http://www.cnbct.org

备注：本文已经刊登在9月《黑客手册》中，转载时请标明出处以及文章完整性

» 阅读全文

本来我不习惯开QQ，可好友打来电话说有事找我，遂上线。因为我用的QQ是能显示IP地址的木子版本，所以看到好友的IP：xxx.xxx.19.24，发现好友是在学校的实验室上网。我忽发奇想，想看看他们实验室的机器里都有些什么东西，因为以前我知道他们实验室的机子在一个C段里——什么

» 阅读全文