相信大家对ASP+MSSQL注入都已经很熟悉了，连一个对SQL语法丝毫不懂的人也可以用NBSI来轻松大量网站。...

union查询可以说给了sql注射的一片新的天空，mysql和acc里都可以发挥很大的作用，那么在mssql里会是怎样呢？ 其实我很早就开始测试mssql里的union，不过我犯了个很大的错误。...

bo-blog是一款外观好看，而且当前流行的个人博客系统，在很多下载站你都可以找到这套程序，而且甚至有很多安全界的人都使用着这套php+txt的程序，但是这套程序里有些安全隐患...

只要运用此法99%可以拿到webshell甚至系统权限(不敢把话说满，呵呵，经本人数百次真实“实战演习”，基本上是100%可以拿到webshell甚至系统权限)。...

前一阶段，在尝试攻击一个网站的时候，发现对方的系统已经屏蔽了错误信息，用的也是普通的帐号连接的，系统也是打了全部的补丁这样要攻击注入是比较麻烦的。...

记得看过一次315安全网里的一位兄台做过一个他们硬盘权限分配的动画，了解到是一台虚拟主机，用自己写的程序跑了跑，看看有没有什么可以利用的地方，发现了一个动感购物商城的上传页前不久网上公开了一个MySQL Func的漏洞,讲的是使用MySQL创建一个自定义的函数,然后通过这个函数来攻击。...

一次小小的上传文件测试。...

日,偶到一主机上逛了一圈 主机的配置 还算是安全 偏偏一个比较隐藏的目录下 残留一upfile.asp,结果轻轻松松的得到一webshell接着在主机上逛了逛。...

在看之前我们先回顾一下目前在公开或者已知的public和db_owner权限拿到webshell或者系统权限的思路和方法(sysadmin权限我就不说拉。...

现在注入横飞!工具一大堆，过去手工注入的时代已经不复存在!代之的是NBSI HDSI 啊D注入工具..等等.也是广大菜鸟的最爱了。...