<![CDATA[封存の记忆]]> http://www.kusra.com/blog/ zh-cn PBlog2 v2.4 封存の记忆 http://www.kusra.com/blog/images/logos.gif http://www.kusra.com/blog/ 封存の记忆 http://www.kusra.com/blog/article/Economic/ZhongYuZhangTingLa.html <![CDATA[终于涨停啦~~]]> admin@kusra.com(admin) Wed,04 Aug 2010 15:41:55 +0800 http://www.kusra.com/blog/default.asp?id=33 悲剧的是涨停了也还没解套。。期待明天开盘继续涨停哇哈哈~~]]> http://www.kusra.com/blog/article/Memory/LuoXiaHaoDuoLa.html <![CDATA[落下好多啦。。。]]> admin@kusra.com(admin) Tue,27 Jul 2010 23:23:25 +0800 http://www.kusra.com/blog/default.asp?id=31 今天来了为新朋友。。嘿嘿。有伴了。。。
先占位。。待编辑哈~~]]> http://www.kusra.com/blog/article/Digest/ZenYangChaXunZiJiShiFouZaiDuiFangDeQQHaoYouMingDanLiMian.html <![CDATA[怎样查询自己是否在对方的QQ好友名单里面?]]> admin@kusra.com(admin) Mon,12 Jul 2010 21:54:06 +0800 http://www.kusra.com/blog/default.asp?id=25 [杯具。。。。原来自己老早就被某些人列入黑名单了]

1.双击你要查看那个你想知道自己在是不是对方好友名单里面的人....如图



2.在右侧的对方形象下面点击右键并且选择和好友的QQ合影..如图


3.点击和好友的QQ合影出现以下页面.在好友QQ号码里面输入
你要查询人的QQ号码.然后点击邀请好友拍照

4.如果对方不在你的好友里面则提示..您不是对方的好友不能进行拍照!.(如图)




5.如果你在对方的QQ好友里面则出现(如图)
]]> http://www.kusra.com/blog/article/Resource/BaLuoBu.html <![CDATA[拔萝卜]]> admin@kusra.com(admin) Tue,08 Jun 2010 23:36:34 +0800 http://www.kusra.com/blog/default.asp?id=20

打开网站首页一看,全站好像是aspx的,没办法,一点都没学过,自然看不明白。
直接找后台试试。在网址后面加上/admin,也就是 www.8luobo.cn/admin/
这个后台登陆地址很好猜,大部分的网站都会用这个,正确!

这里非常奇怪,前台页面都是aspx后台居然是asp?!而且还是假冒的ASPX
接着就是想办法登陆后台管理系统,继续猜测用户名和密码


首先试了下最常用的admin”or”=”or”,结果没成功,提示【·无此管理员】

其实多亏了这个提示,程序会根据用户输入的内容来给出不同的提示。因为当用
户名输入admin,而密码随便输入的时候,程序提示的内容已经改变了,不再是
【·无此管理员】,而是换成了【·密码错误】,

这就说明管理员的登录名是admin,接下来只要破解密码就可以了。在这里,程序
似乎又出了点毛病,那就是验证码!真是没想到这个验证码居然是放着装样子的,
因为在验证码输入框中无论你输入什么内容,程序都不会报错(只要不空着就行),
这就给暴力破解密码提供了机会。结果,密码也太简单了吧?!一不小心就破解出
来了,成功登陆网站后台。

接下来就是拿webshell了。

这个后台实在是有点“简陋”,还有很多功能也尚未完成,好在还有个【站点配置】
功能,外加一个【上传图片】功能,最终拿下webshell:


说到这里,其实还是程序中的这段代码有点小问题,才得以上传成功!

其中有一段内容是这样的:

----------------------------------------------------------------------------------------------------------------

if fileEXT="asp" or fileEXT="asa" or fileEXT="aspx" then

                     EnableUpload=false

              end if

              if EnableUpload=false then

                     msg="这种文件类型不允许上传!\n\n只允许上传这几


种文件类型:" & UpFileType

                     ErrFlag=true

              end if

----------------------------------------------------------------------------------------------------------------

既然过滤了asp、asa和aspx,那为什么不再多过滤几个呢?!(JSP、PHP、CER等等)


到这里,网站方面就差不多了。直到拿下webshell看了源文件才发现,好像那些个ASPX
结尾的文件并非真正的ASPX,真是想不明白!

由于服务器的权限设置好像也不是很严格,于是又想到试试看提权,结果3389成功登陆。

也是登陆系统之后看了IIS才知道确实不支持ASPX。

没什么技术含量,主要还是靠运气——蒙!

(目前本人上传的Webshell已经删除)


一点小小的建议:

网站后台管理登陆地址可以修改个难猜点的,同时用户名和密码也应该设置的稍微复杂
一点。另外,程序本身再简单修改下,尤其是那个upload.asp。同时服务器的权限也应
该再设置下,一个webshell居然就可以浏览很多文件!

最后再重点检查下服务器安全,是否已经被安插了后门。因为粗略地看了下,发现进程
中有个IEXPLORER.EXE,但是当时并没有运行IE,而且该进程对应的用户名居然还
是system,正常情况下,应用程序对应的应该是当前所在的用户名,比如Admin,所以
可能会有点小问题!万一真是后门的话那就麻烦了。

高考已经开始,填报志愿的工作也马上就要开始了,希望网站尽可能少的出问题,更好
的为广大学子服务。查看防火墙的日志就可以发现,服务器每天都会受到来自各个地方
的无数的网络攻击。如果服务器被黑客入侵,所谓的核心数据当然也就很容易丢失!!!


纯属检测,没有做任何破坏!
]]> http://www.kusra.com/blog/article/Resource/JiYiCiChengGongDeJuJiTaoBaoDiaoYuQingSuoYouTaoBaoMaiJiaHeMaiJiaDouZhuYiLe.html <![CDATA[记一次成功的狙击淘宝钓鱼-请所有淘宝买家和卖家都注意了!!!]]> admin@kusra.com(admin) Fri,04 Jun 2010 22:32:46 +0800 http://www.kusra.com/blog/default.asp?id=19 今天6月3号凌晨1点多的时候我打开了很久没用的淘宝旺旺,除了N多的系统消息外,
还有两个陌生人的留言,如图所示:

时间已经有点晚了,脑子也不是很好使,两眼迷迷糊糊的,我一看好像是购
买商品的留言,也没仔细想就点击了图上的那个网站链接!居然跳到了"淘宝"的登
录界面,如图:

我当时也没在意,以为是必须登录系统之后才能查看刚刚留言里给我的商品链接,
所以就直接输入用户名和密码登进去了!

这个时候奇怪的事情发生了,当我点击网页
上的"登录"按钮之后,并没有显示登录成功,而是转到了真正的淘宝会员登录页面,
如图:

其实到这时我还是没有察觉到自己已经被钓鱼了,自以为是在输入密码的时候不小心
按错了键盘上的字符或是其他什么原因才导致没有登录成功。于是,我再一次输入了
淘宝的密码,这回倒是确实成功登录了淘宝的后台,因为这次登录的地址才是真正的
淘宝网会员登录地址,而之前的那个是用来钓鱼的,无论你输入什么用户名和密码都
会跳转到真正的淘宝网,同时,也会记录下你的用户名和密码!(后来测试时我随便输
入了一个用户名和密码,也跳转到了真正的淘宝地址,同时这个用户名和密码也被钓鱼
程序成功记录了,后台管理的截图中可以看到)
幸亏钓鱼者给我发了两次留言,是用两个不同的旺旺账号给我发的。过了一会儿,我准
备关闭旺旺的时候,软件提示说有正在聊天的窗口,是否确定关闭。于是我又激活了
另外一个钓鱼者的聊天窗口,一看居然也是一条需要购买我店铺内什么商品之类留言,
同时也给了那个钓鱼网站的链接,我才仔细一看,真是巧了,怎么是同一个链接呢?!
感觉有点不对,又回想起刚才登录“淘宝”时出现的用户名密码错误,这时候的我才
恍然大悟,OMG 我已经中招了。悲剧。。。于是迅速登录真正的淘宝,修改了登录密码。
接下来我心有不甘啊,才注册淘宝小店没几天的时间,居然就让我碰到了这么“好”的事
情,还好发现的快,没造成什么损失。于是我决定反击钓鱼者试试看!
后面的事情就看RP啦。。。。
首先访问了下这个网站的顶级域名地址,显示的是一个英文页面,内容很简单,没什么看
头,又ping了下这个域名,查了下IP也是国外的,这样的钓鱼网站服务器租在国外也很
正常,旁注了下也没发现有其他的网站在同一主机,这下似乎没戏了。。。
回过头来我又仔细看了下这个钓鱼网址,就以二级域名的形式再次访问了这个网站,当然
还是跳到了假的淘宝会员登录界面,我查看了下这个页面的源文件,发现了其中一段代码
是这样的:
【action="../Ok.asp?add=ok"】
估计Ok.asp?add=ok就是用来记录用户名和密码的,很自然的就在该网址后面加上/ok.asp
访问了,结果显示空白,没任何内容。没办法,只好拿出domain注入工具,填上网址就开始
扫描后台,果然,一不小心就找了后台登录的地址,如图:

到了这一步,也差不多成功一大半了,也怪钓鱼者粗心吧,居然这么容易就让我找到了后台,
更糟糕的是,钓鱼者居然连后台的用户名和密码也设置的这么小白,都是admin,也许是刚刚
搭建的钓鱼程序吧,还没来得及修改密码?!HOHO,管他呢,反正就是一不小心登录了钓鱼
系统后台,如图:


这里清楚地记录了我的用户名和登录密码,汗。。。

不好意思,废话有点多了。看了下时间,也已经是凌晨两点多了,事情也差不多了,困觉去。。。
作为淘宝新人,无论是卖家还是买家,或许都有可能遭遇这样的钓鱼!在此提醒各位,千万要
多长一个心眼,防人之心不可无啊!
谨以此文献给所有跟我一样的新手买家或者卖家


曝光下网址,各位注意了:
http://taobao-oiny.com.xsdsma.com/member/login.asp
由于网站的二级域名随时都可能会更改,请务必注意xsdsma.com!!!



]]> http://www.kusra.com/blog/article/Resource/LingTingJiauTongXueDeTianLaiZhiYinXinQiang.html <![CDATA[聆听Jiau同学的天籁之音——心墙]]> admin@kusra.com(admin) Fri,04 Jun 2010 14:35:26 +0800 http://www.kusra.com/blog/default.asp?id=18
播放real视频流文件
在线播放


歌词:
一个人 眺望碧海和蓝天
在心里面 那抹灰就淡一些
海豚从眼前飞越
我看见了最阳光的笑脸
好时光都该被宝贝 因为有限

我学着不去担心得太远
不计画太多 反而能勇敢冒险
丰富地过每一天 快乐地看每一天
第一次遇见阴天遮住你侧脸
有什么故事好想了解
我感觉我懂你的特别

你的心有一道墙 但我发现一扇窗
偶尔透出一丝暖暖的微光
就算你有一道墙 我的爱会攀上窗台盛放
打开窗你会看到悲伤融化

原唱在这:
播放real视频流文件
在线播放
]]> http://www.kusra.com/blog/article/Resource/KaiWangDianDePengYouChangYongDeJiKuanRuanJianTuiJian.html <![CDATA[开网店的朋友常用的几款软件推荐]]> admin@kusra.com(admin) Fri,04 Jun 2010 14:22:29 +0800 http://www.kusra.com/blog/default.asp?id=17 图像尺寸改变器【JPEG Resizer】
软件简介:
JPEG Resizer is a powerful tool for Microsoft (R)
Windows (TM) which allows you to resize lots of JPEGs
with just a few clicks.

It's packed with various advanced features such as
Anti-Aliasing, Colorization and selectable JPEG
Compression Factor.
You can choose between four different resizing methods,
specify how resized JPEGs should be named and where they
should be stored.

If you shot photos with a digital camera at a resolution
that is too high for presenting your photos on the
internet, you need to resize them. JPEG Resizer makes
this jobs quite easy as you don't need to resize each
single image for itself.

No installation or special files are required to run
JPEG Resizer. Just run the file "resizer.exe" - that's
it.

If you want to use the Command Line Edition of JPEG Resizer,
you should run "cresizer.exe". You will receive instructions
on how to use it if you call it without any parameters.

If you like this tool, feel free to redistribute it -
but please inform us about the redistribution and
include a link to our website (see below).

Enjoy ;)

软件截图:



2。批量水印大师绿色破解版
软件简介:
批量水印,批量水印大师(破解版),非常简单易用的一款批量水印工具,破解版,无需安装,软件小巧灵活。
第一步: 添加图片 - 选择需要添加水印的图片文件。
第二步:水印设置 - 设置水印效果,所见即所得。
第三步:输出设置 - 可以设置添加水印后的图片格式,输出位置。

软件截图:


3。GIFMovieGear【gif动画制作】
软件简介:
  GIF Movie Gear-功能简介   1、GIF文件制作、编辑、优化、转换。   2、打开或浏览 BMP/GIF/JPEG/PNG/PSD/AVI/ANI/CUR/ICO等格式;并可将它们转换或混合为GIF格式。   3、可保存为 BMP/GIF/JPG/PNG/PSD/AVI/ANI/CUR/ICO甚至SWF格式。   4、支持剪切、缩放、旋转导入的图像文件。   5、可调整帧的次序和 延迟时间。   6、可更改循环次数。   7、可用多种方法对动画进行优化,以减小文件体积。   8、GIFMovieGear还能调用任意应用程序对帧进行即时编辑,以及输出 HTML代码方便您在网页中调用图像。

软件截图:


4。美图秀秀
软件简介:
美图秀秀(美图大师)是一款超好用的图片美化软件,可以1分钟搞定个性的非主流图片、非主流闪图、QQ头像、QQ空间图片,还有独家的非主流场景、摇头娃娃……比Photoshop简单100倍,而且完全免费哦!赶快下载安装吧!

【美图秀秀 v2.2.9.1000 六大亮点】

    1. 史上最“傻瓜”,人人都会用!
    “美图秀秀”界面直观,操作简单,比同类软件更好用!每个人都能轻松上手,从此做图不求人!

    2. 神奇的人像美容功能
     独有磨皮祛痘、瘦脸、瘦身、美白、眼睛放大等多种强大美容功能,让你轻松拥有天使面容。

    3. 海量饰品及多彩文字
     美图秀秀自带的海量饰品及多彩文字满足你不同时候的需求,创意无极限。!

    4. 轻松制作趣味场景
    “美图秀秀”精选数千个逼真场景、非主流场景、可爱场景,仅需1秒即可打造出超酷明星效果!

    5. 动感闪图打造最个性的你
      超级简单的一键生成闪图,制作个性QQ头像、签名,还能随心所欲打出闪字哦,我闪我个性!

    6. 摇头娃娃你的专属QQ表情
      独家摇头娃娃功能,点击鼠标几下就能把好友变成超雷人QQ表情,让你的QQ与众不同一鸣惊人!


软件截图:



5。大名鼎鼎的PS(Photoshop)
这个就不做过多介绍了,太专业。。。。
---------------------------------------------------------------------
以上软件都是比较常见的,百度或者Google都很容易搜索到!]]> http://www.kusra.com/blog/article/Digest/ZaiACCESSASPHuanJingXiaShiXianSuiJiPaiXuDeJianDanJieJueFangAn.html <![CDATA[在ACCESS+ASP环境下实现随机排序的简单解决方案]]> admin@kusra.com(admin) Sat,24 Apr 2010 17:58:19 +0800 http://www.kusra.com/blog/default.asp?id=15 在SQL Server中想进行随机排序(随机取N条记录)只需要简单地加个“Order By Rnd()"或”Order By NewID()"就搞定了,但这招到了ACCESS中却不好用了。在ACCESS中用以上Order排出来的结果每次都是一样的。在网上搜了一下,也没有找到比较有建设性的解决方案,大多数都是建议用SQL语句查询出全部记录,然后在ASP中进行随机排序。

发现用“Select * From [Yao_Article] order By Rnd(ID)"可以实现对记录集的随机排序(其中ID是[Yao_Article]这个表的主键『下同』--不必非是主键,只要是数字类型的字段就可以了)。但奇怪的是在ACCESS中明明可以随机排序的,在ASP中用同样的语句进行查询却还是每次查询出的记录集顺序相同。

再试…… 最后终于发现用“Select  * FROM [Yao_Article] orDER BY Rnd(ID-timer())”在ASP跟ACCESS中查询得到的记录集是随机排序的了。
]]> http://www.kusra.com/blog/article/Resource/PiLiangHuoQuJiaoWuGuanLiXiTongZhaoPianBingBaoCunZaiBenDiDeYiDuanASPDaiMa.html <![CDATA[批量获取教务管理系统照片并保存在本地的一段ASP代码]]> admin@kusra.com(admin) Fri,01 Jan 2010 19:09:22 +0800 http://www.kusra.com/blog/default.asp?id=11 贴上关键部分的代码(其实就一函数):

复制内容到剪贴板程序代码 程序代码

<%
'获取远程服务器上的图片函数
Function SaveRemoteFile(sSavePath,sRemoteFileUrl)
    On Error Resume Next
    SaveRemoteFile = False
    Dim oXML : Set oXML = Server.CreateObject("Microsoft.XMLHTTP")
    With oXML
        .Open "Get",sRemoteFileUrl,False,"",""
        .Send
        If .Status<>200 Then Exit Function
        RemoteDate = .ResponseBody
    End With
    Set oXML = Nothing
    Dim oStream : Set oStream = Server.CreateObject("Adodb.Stream")
    With oStream
        .Type = 1
        .Open
        .Write RemoteDate
        .SaveToFile sSavePath,2
        If Err.Number=0 Then SaveRemoteFile = True
        .Close()
    End With
    Set oStream = Nothing
End Function

%>


复制内容到剪贴板程序代码 程序代码

<%
'调用方法如下
SaveImageName=rs("学号")&"_"&rs("性别")&"_"&rs("姓名")
'以学号_性别_姓名的格式命名保存图片      
currentfilepath=request.ServerVariables("APPL_PHYSICAL_PATH")
SaveAddr=Server.MapPath("head/"&currentfilepath&SaveImageName&".jpg")
'head为存放图片的文件夹
SourceURL="http://60.190.253.155/readimagexs.aspx?xh="&rs("学号")

Call SaveRemoteFile(SaveAddr,SourceURL)    
%>



]]> http://www.kusra.com/blog/article/Resource/2009ShengDanJieTeGongZheJiangKeJiXueYuanZaiXiaoXueShengSuSheXinXiYiLanBiao.html <![CDATA[2009圣诞节特供-浙江科技学院在校学生宿舍信息一览表]]> admin@kusra.com(admin) Fri,25 Dec 2009 13:11:08 +0800 http://www.kusra.com/blog/default.asp?id=6 浙江科技学院在校学生宿舍信息一览表
统计截止时间2009-12-25 2:28:33

前言
庆祝圣诞节,同时也为了方便一些需要在本校做广告发传单或是其他什么活动需要的同学朋友兄弟姐妹们,特别整理出以下数据,仅供参考!
(只提供总体数据,具体到寝室的学生名单细节等暂不方便提供)

基本介绍
浙江科技学院的学生宿舍主要有两大区域组成,分别为“东和公寓”和“西和公寓”。东和公寓也被称为“2K公寓”,至于为什么会有“2K公寓”这个昵称,我也不得而知。

详细数据
一、    东和公寓(2K公寓)
东和公寓总共有9幢楼,编号分别为1.2.3.4.5.6.7.8.9.
其中3号楼和6号楼目前居住的是女生,其余楼居住的是男生。
具体数据如下:
东和公寓1号楼总共7层楼,有147个寝室,理论可居住578人,实际居住学生564人;
东和公寓2号楼总共7层楼,有177个寝室,理论可居住698人,实际居住学生599人;
东和公寓3号楼总共7层楼,有190个寝室,理论可居住738人,实际居住学生722人;
东和公寓4号楼总共7层楼,有127个寝室,理论可居住498人,实际居住学生475人;
东和公寓5号楼总共7层楼,有186个寝室,理论可居住734人,实际居住学生722人;
东和公寓6号楼总共6层楼,有 32个寝室,理论可居住128人,实际居住学生124人;
东和公寓7号楼总共7层楼,有116个寝室,理论可居住464人,实际居住学生453人;
东和公寓8号楼总共7层楼,有152个寝室,理论可居住608人,实际居住学生578人;
东和公寓9号楼总共7层楼,有212个寝室,理论可居住848人,实际居住学生828人;
综上,共有寝室1339个,实际居住学生5065人(男生:4219人;女生:846人)。

二、    西和公寓
西和公寓总共有14幢楼,编号分别为1.2.3.4.5.6.7.8.9.10.11.12.13.14.
其中1号、3号、5号、6号、7号、8号和9号楼目前居住的是女生,其余楼居住的是男生。
具体数据如下:
西和公寓1号楼总共6层楼,有129个寝室,理论可居住512人,实际居住学生479人;
西和公寓2号楼总共6层楼,有147个寝室,理论可居住590人,实际居住学生577人;
西和公寓3号楼总共6层楼,有160个寝室,理论可居住635人,实际居住学生600人;
西和公寓4号楼总共6层楼,有160个寝室,理论可居住638人,实际居住学生617人;
西和公寓5号楼总共6层楼,有160个寝室,理论可居住635人,实际居住学生587人;
西和公寓6号楼总共6层楼,有 126个寝室,理论可居住503人,实际居住学生497人;
西和公寓7号楼总共6层楼,有160个寝室,理论可居住635人,实际居住学生575人;
西和公寓8号楼总共6层楼,有159个寝室,理论可居住632人,实际居住学生583人;
西和公寓9号楼总共6层楼,有160个寝室,理论可居住635人,实际居住学生609人;
西和公寓10号楼总共6层楼,有157个寝室,理论可居住626人,实际居住学生609人;
西和公寓11号楼总共6层楼,有96个寝室,理论可居住383人,实际居住学生329人;
西和公寓12号楼总共6层楼,有149个寝室,理论可居住594人,实际居住学生553人;
西和公寓13号楼总共6层楼,有198个寝室,理论可居住789人,实际居住学生708人;
西和公寓14号楼总共6层楼,有240个寝室,理论可居住660人,实际居住学生923人;
综上,共有寝室2199个,实际居住学生8234人(男生:4304人;女生:3930人)。

综上上,
截止2009-12-25日,
浙江科技学院共有在校学生13299人,其中男生8523人,女生4776人!
以上数据中理论可居住人数和寝室个数或许略有差错,实际居住人数基本准确!

]]>