4ngel's blog

当黑客不是为钱,是实现自我价值。

更新

PhpSpy2008更新记录

8 Comments | 我的作品 | by angel | 7794 Views. | 2007-12-25, 4:30 AM

按回忆记述吧,phpspy从2006到2008,其中还有一个未公开的2007,不过2007已经不存在了。我就是从2007改过来的,已经没有2007的文件了。

  1. 加强cookie功能,以确保能百分百登陆。
  2. 改成全英文版并根据数据库的编码设置声明相应的页面编码,以确保各编码服务器能正常输出。
  3. 加强文件管理功能,增加批量删除文件。增加新的文件属性显示方式和宿主。增加目录改名。增加查看网站根目录和当前目录下的所有可写子目录。在WIN主机下自动探测所有分区以及分区类型。
  4. 增加通过MYSQL方式上传下载文件,其中下载文件不需要数据库用户具有FILE权限。即可完整下载。程序自动判断两种方式下载。上传需要具有FILE权限。
  5. 加强MYSQL数据库管理功能,增加查询回显并带分页显示,增加插入、修改、删除记录。增加查看表结构和常用信息、删除表功能。并支持多句同时运行。
  6. 增加执行PHP代码功能,并附加一些有用的PHP代码。例如Serv-U本地提权利用代码,适用于6.4以及一下版本。
  7. 增强执行命令功能。
  8. 简化一些PHP环境变量显示。
  9. 大大提高各个操作的效率,尤其是文件管理。加快多文件目录的输出速度。
  10. 基本全部改为POST方式提交数据和跳转。大大的增加了隐蔽性。防止管理员查看日志找出端倪。
  11. 增加linux主机端口反弹功能。使用PERL和C 双重实现。
  12. ……

更多更新请关注本博客和www.4ngel.net

阅读全文

Tags: phpspy , 更新

Sablog-X安全补丁 20070504 并发布20070504版本

13 Comments | 我的作品 | by angel | 11379 Views. | 2007-05-04, 10:11 AM

首先感谢MasKEdMaN(http://maskedman.cn)的细心。发现这个BUG。本着对用户负责的态度。公开这个漏洞。

受影响的版本:sablog-x 1.5 20070504之前的所有版本
危险等级:中,局部影响
测试方法:http://www.sablog.net/blog/?action=show&id=238"><iframe%20src=http://www.sablog.net%20width=100%20height=100></iframe
漏洞描述:由于模板文件show.php(1.5版本之前的是show.htm)有两处地方变量使用错误。导致存在跨站漏洞。
解决方法:1.5的程序包已经更新,版本是20070504。修正这个漏洞的同时,并修复以下BUG。

20070501版本出现的问题:
1、时间在某些主机上还是显示不正常(比如4月30号的文章显示到5月1日)——已解决
2、浏览切换的BUG([url]http://www.sablog.net/bbs/viewthread.php?tid=905[/url])——已解决
3、某些主机上附件上传失败——已解决并加入一个目录权限检查修正工具
4、某些主机不支持rewrite产生的BUG——已解决、加入是否支持rewrite的检查,如果不支持既使后台打开也不启用
5、美国主机日历连接和显示有错误的BUG——已解决
6、更新归档缓存把隐藏的文章计算进去的BUG——已解决
7、单篇文章显示评论数如果设置为0就不显示评论的BUG——已解决,设置为0应该是显示全部评论不分页才对

请大家下载程序包,上传所有的模板文件、PHP文件。
下载地址: 电信 网通

1.5 20070504之前的版本修补此漏洞的手工方法

打开模板文件show.(htm/php)

搜索

<a href="./?action=show&id=$id&goto=previous">上一篇

修改为

<a href="./?action=show&id=$article[articleid]&goto=previous">上一篇

搜索

<a href="./?action=show&id=$id&goto=next">下一篇

修改为

<a href="./?action=show&id=$article[articleid]&goto=next">下一篇

即可

阅读全文

Tags: 补丁 , 安全 , sablog-x , 更新

更新SaBlog了

12 Comments | 我的作品 | by angel | 12402 Views. | 2005-03-23, 9:45 AM

最近闲了下来,备份站点数据库的时候,本地看了看BLOG,没想到这么多评论了。花了1个多小时全部看完了。感触良深,想不到这么多人关心我,在此。对所有关心我的人说一声!

谢谢大家!

为了能及时看到大家的回复和更方便的看信息,决定更新一下,加强SaBlog的功能,所以连夜改代码加强了不少功能。数据库结构没有更改,仅仅加了几段代码。希望大家继续支持我,让我有无穷的动力写完SaBlog 2.5,相信不久的将来会出现更加强大的SaBlog!

目前已经支持RSS 2.0了!

过去的都过去了。一切美好的,悲惨的,开心的回忆通通丢掉。一切从新开始。新的SaBlog,新的起点。新的未来!

[attach=1641]

阅读全文

Tags: 更新 , sablog