也是前几天晚上，在整理电脑文件夹的时候，突然翻出来的一个工具，让我想到了看过的一些关于IIS溢出攻击的文章，我想在删除之前，还是来试试吧（因为这个漏洞是微软很久以前的，补丁早就出来了，再说应该没有人用这么低版本的IIS了吧）。但是结果让我很惊奇。居然还有。如图所示：

如刚刚说得，用这种低版本的很少吧，图中15个只有2个是，而且是一个可以也就说是15:1的比例。

那就直接开始吧，既然为溢出攻击，那么就得先attack让它溢出吧。。。

开始了后好久都没成功。。。至于原因，后面会解释。

Try again.........................

我勒个擦。。。。溢出成功了！虽然连接的时候是timeout ！

后面又重试了几次终于将timeout变成success！

然后就很轻松的的login了！哈哈，试试而已，准备走了，一想到刚刚开始的时候为啥失败啊，于是拿出H-SCAN扫了一下，看结果我就笑了！443 3389 21  23  139 这些端口都开着，不等于是美女在哪里像我招手么！激动。。。。开始 telnet *.15.117.143  进去后是这个画面：

一看TOPSEC NetGuard Firewall ARES-H V2.6.40 天融信ARES防火墙啊！原来开始的时候失败。。。。

看见system 两眼放光。。。可是需要密码的！用默认密密试了一下，success！人品爆发啊！哈哈

这是进去后看下IP 

eht0  eht1 eht2 eht3  这不是路由器么！

立马进相同段的。。。。 

显示Welcome to ZXR10 Fast and Intelligent 3206 Switch of ZTE Corporation ---大概意思--欢迎来到中兴ZXPR10交换机界面。。。。

看了一下配置信息

本想做个端口映射的，然后你懂得。但是一想，这是政府的。。。被逮到就完了。。。。。说我非法入侵。。。我可不想因为这么点小东西犯法，不值得！也希望大家不要去犯法哈，好好生活！享受生活！

在走之前，看了一下其同段IP，发现好多都是大开门户！弱口令。。。弱密码。。。

这不是在引诱好奇心强的亲少年犯罪么。。。

       试想：把这个防火墙和路由器拿下后，那上面的办公系统，政府网站，还有一些私人用户的流量数据都可以很清晰的看到，并且可以修改。。。。挂马，广告，一些敏感信息（支付宝/淘宝/银行/QQ密码，身份证号码）等等。路由器是通向互联网的接口，拥有它，你就能窥探整个内网的任何信息。

       一点小体会：政府部门能不能把这些小问题做好啊！用这么好的设备，却不好好管理，纯粹是浪费啊，更有可能让一些刚刚接触这方面的孩子犯法啊，而且是在不经意间。我们要管好自己的好奇心，不然后果有可能是我们自己不能承受的。

       欢迎转载，请尊重版权，注明源自 https://mrxn.net ---Mrxn's Blog 帮助他人，提高自我。

        注：出于安全和法律原因，本博客不提供相关黑客工具下载，需要的可以在网上搜索。

    椰树WEB漏洞扫描器是一款国产的漏洞扫描器，集成了常见的SQL注入、跨站、后台路径等扫描，并且支持旁站和二级查询、CMS安全检测、漏洞收录查询等，有亮点的是CMS安全检测里面包含了常见的CMS漏洞，比如SHOPXP、DEDECMS、SHOPEX等。

下载地址：     http://pan.baidu.com/s/1sjyM3N3  2015-08-6 更新连接：http://pan.baidu.com/s/1hUsUE  感谢 DEDOOD提醒！

 注：本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

       来自加拿大温尼伯的两个14岁的顽皮少年最近发现了一种能够绕过蒙特利尔银行ATM取款机的方法。这听起来也许很疯狂，但是这种方法不需要任何高级的计算机技术–他们仅仅是在网上阅读了一下ATM的操作手册。
Matthew Hewlett和Caleb Turon在当地的一家杂货店里上网阅读了蒙特利尔银行ATM取款机的操作手册。手册中提到仅仅需要输入一个默认的系统密码就可以让ATM进入管理员模式。
幸运的是，这两位“小黑客”显然没有抢劫ATM取款机或是安装恶意卡片扫描软件的打算。相反的，他们向蒙特利尔银行在当地分行的员工反馈了这个问题。他们唯一造成的“损害”就是把ATM的欢迎屏幕的文字改成了“请勿靠近，这台机器已经被黑了。”Hewlett和Turon与银行一起修复了这个问题，但蒙特利尔银行没有给出进一步的声明或回应。
这个故事给我们带来的担心要多于它的娱乐性，试想如果换做一个心存恶意的人，也许很多人已经深受其害了。这类默认密码的问题不仅仅出现在ATM取款机中，而是遍布整个互联网中的各类系统和设备。如果你正在互联网的某处使用着默认密码，请花点儿时间纠正这个陋习。  

         还好，我没有这个习惯！大家要引以为戒啊！

     同样是24岁，同样是遭遇电信诈骗，同样是被一群冒充公检法人员的人给骗了……时隔一周，又一个90后青年被骗钱。这一次是发生在一位妙龄女子李某身上，短短两天内她被骗走了109万元。

    4月18日下午2点，杭州某艺术学校负责人李某接到一通电话，对方自称是电信公司，告知其信息被盗用，涉嫌违法，24小时后办公室座机将被停用，如有问题可按“9”键接入人工服务。

    接下去就和常见的电信诈骗差不多，各路假冒的公检法人员一一登场：先是通州市公安局的“民警”，告知其涉嫌一起案件，现已被通缉；接着是一位最高人民检察院“翁主任”，将一个网址发给李某。李某上网一查，确认了自己被所谓的“通缉”后，又按对方要求下载页面上的监管系统，而该系统后来被证明是盗取其账户的关键所在。

    下午4点，李某将自己台州银行卡内的190700元5次汇到其本人的农业银行卡内。“翁主任”在电话中告诫李某，“最高检”在处理这笔款项时需要保密，因此其电脑会自动黑屏。黑屏后几分钟后，李某通过农业银行U盾确认，此前转账的钱已被转出。

    仍然被蒙在鼓里的李某，第二天再次接到了“翁主任”的电话，要求其将卡内的钱全部转入农业银行进行监管，李某照做。

    又是操作涉密，又是电脑黑屏……等李某清醒过来，卡内90万已经进入了骗子的口袋。加上前一天的，总共有1090700元，欲哭无泪的李某向警方报了案。

    据了解，就在上周，杭州一位24岁的富二代也因为一个电话，前前后后给骗子汇去了180万元巨款。巧的是，该富二代遭遇的也是电信诈骗，骗子们耍的依旧是冒充公检法人员的老套路，可一脸精明相的小军还是稀里糊涂地踩进了全套。

    银行金融网点是阻击电信诈骗的最后一关，银行柜台职工的防范意识和工作责任心是直接关系到储户的切身利益。在全社会共同防范和阻击电信诈骗的战斗中，银行无疑初战告捷。据杭州市公安局经文保支队统计，3月20日以来，杭州市各金融单位共成功阻止电信诈骗96起，总计劝阻金额279.14万元。

   本人觉得，这就是在告诉我们-----要黑就黑到底！O(∩_∩)O~  开玩笑的。做事不能无视法律，毕竟我们生在法治社会下！且行且珍惜！