Jun
21
上两个星期找飞哥借的的,
越读越有味道,越读越有感觉.
狼的团结,狼的智慧,狼的精神,不正是我所缺少的吗?
越读越有味道,越读越有感觉.
狼的团结,狼的智慧,狼的精神,不正是我所缺少的吗?
May
30
最近有时间了,给创新在线的服务器重新做了系统,服务器机房的空调差点把我给冰了.
系统装好以后,剩下的问题就是设置权限了,虽然很烦,但是收获很多,权限这个东西真的很美妙,就算设置得再好再变态但总是会有点东西漏出来的.弄完以后,自己丢了个小马上去试了试,ASP和PHP都没有问题,问题出在ASP.NET上,系统目录读取是完全没有问题的,在C盘的Sver-U文件也可以自由读取,太恐怖了,搜索了一下百度,终于找到了答案和解决办法.因为ASP.NET要求IIS_WPG有读取和运行的权限,问题就出在这里,因为所有的所有的网站目录都要求一样设置,用ASP.NET木马跨站就成为了可能,虽然有解决办法,但是比较麻烦,要自己手动添加专用的帐户,所以我猜想很多虚拟主机提供商肯定也和我一样懒或者是忘记设置的,于是我找了几个网站做测试,结果相当的满意,ASP.NET跨站成功率高达七成,虽然有的没有写权限,但是读取还是没有问题的,这样偷网站源码就成了可能.当你用ASP木马寸步难行的时候,不妨换成.NET木马试试,说不定你会有意想不到的收获!
解决方案也简单,限制IIS_WPG的文件夹列表权限,然后虚拟主机和应用池都用独立用户进程!
系统装好以后,剩下的问题就是设置权限了,虽然很烦,但是收获很多,权限这个东西真的很美妙,就算设置得再好再变态但总是会有点东西漏出来的.弄完以后,自己丢了个小马上去试了试,ASP和PHP都没有问题,问题出在ASP.NET上,系统目录读取是完全没有问题的,在C盘的Sver-U文件也可以自由读取,太恐怖了,搜索了一下百度,终于找到了答案和解决办法.因为ASP.NET要求IIS_WPG有读取和运行的权限,问题就出在这里,因为所有的所有的网站目录都要求一样设置,用ASP.NET木马跨站就成为了可能,虽然有解决办法,但是比较麻烦,要自己手动添加专用的帐户,所以我猜想很多虚拟主机提供商肯定也和我一样懒或者是忘记设置的,于是我找了几个网站做测试,结果相当的满意,ASP.NET跨站成功率高达七成,虽然有的没有写权限,但是读取还是没有问题的,这样偷网站源码就成了可能.当你用ASP木马寸步难行的时候,不妨换成.NET木马试试,说不定你会有意想不到的收获!
解决方案也简单,限制IIS_WPG的文件夹列表权限,然后虚拟主机和应用池都用独立用户进程!
Feb
4
现在很晚啦,太冷了,还没睡,因为被子是冰冷的,还鼓不起勇气进去,不过倒是鼓起勇气把我的生日的国际域名给注册下来了,整整56块大洋,真TMD的贵,要是国际域名这个时候也搞1元风暴我:$$%^%$#%#%#%,呵呵域名:19860215.com是我的啦!
