叮咛你站在桥上看风景，看风景的人在楼上看你。明月装饰了你的窗子，你装饰了别人的梦。

 经常会用到ASCII码,总是用asp程序输出结果也不是个事!

ASCII值 控制字符 ASCII值 控制字符 ASCII值 控制字符 ASCII值 控制字符 0 NUT ...

1、禁止IPC空连接

Cracker可以利用net use命令建立空连接，进而入侵，还有net view，nbtstat这些都是基于空连接的，禁止空连接就好了。打开注册表，找到Local_Machine\System\
CurrentControlSet\Control\
LSA-RestrictAnonymous 把这个值改成”1”即可。

2、禁止At命令

Cracker往往给你个木马然后...

一个网站里面除了asp文件，再就数图片文件最多了，它让我们的网页"美丽动人"嘻嘻，但是你有没有想到过这里面暗藏的杀机，图片也可以是asp木马。

asp木马已经出现很长时间了，种类也越来越多，但是说到隐蔽性，我们红魂老大写的--冰狐浪子asp
后门还是我众马中的首选，现在我们就把它作成图片asp木马。

首先我们把冰狐浪子asp木马服务端直接该后缀名为gif，记得用容错格式：

<SCRIPT RUNAT...

关于%5c的暴库利用想已经不是什么新技术了，原因我只找到含糊的说法：\的UNICODE是%5c当提交时,IIS无法正常解析,导致暴库。但我对http://www.hoky.org测试成功后（现在已经补上）问过hoky.pro，得知%5c与IIS的设置是有关系的。而在默认设置下是可以暴库的。
还有很多人说不成功，我要说的三点：
1。一般的错误返回页面是本地IE提供的,所以我们先得关了本地的错误页面,具体在菜单项的‘工具->internet选项->高级->...

1.判断是否有注入
;and 1=1
;and 1=2

（注入后，返回正常页面,即出现的内容与之前一致，说明可以注入）

;or 1=1

（打印出相应列表内容）

;and 0<>(select count(*) from admin)

（返回正常页面，说明数据库存在admin表）

;and 1=(select count(*) from a...

看了臭要饭写的跨库查询，我整理了一下从暴库到暴出密码等的一般步骤，使得思路更清晰些。

SQL INJECTION 灵活多变，注入的语句不一，下面只提供暴库的一般步骤，希望能对你有帮助。

1:暴出所有库名.

http://www.***.com/***.asp?id=1 and 0<>(select count(*) from master.dbo.sysdatabases where name>1 and dbid=...

漏洞描述：MSSQL 跨库查询.可以暴露任意库中任意表中字段的值.
漏洞发现者：中国网络脚本安全测试小组--臭要饭的!,黑夜.
测试和利用：臭要饭的!,黑夜.
测试日期：2003-10-30

前言：

哎，真是无聊，又烦人，我这个要饭的，日子越来越不好过了。有人居然说我奉旨要饭，我真是没得语言了，所以抽了空玩点COOL的，好让大家来分享分享！
大家都知道SQL跨表查询的东东吧。不过，假如管理员把字段名改成非常复杂的话，...

　　孙子兵法上说，知己知彼，百战不殆。要想有效的防范黑客对我们电脑的入侵和破坏，仅仅被动的安装防火墙是显然不够的，我们更应该了解一些常见的黑客入侵手法，针对不同的方法采取不同的措施，做到有的放矢。

　　1、木马入侵

　　木马也许是广大电脑爱好者最深恶痛绝的东东了，相信不少朋友都受到过它的骚扰。木马有可能是黑客在已经获取我们操作系统可写权限的前提下，由黑客上传的（例如下面会提到的ipc$共享入侵）；也可能是我们浏览了一些垃圾个人站点而通过网页浏览感染的（利用...