解释： 原意是如果对敌我双方的情况都能了解透彻，打起仗来就可以立于不败之地。泛指对双方情况都很了解,根本就不用担心会失败.
 
　　出处 《孙子·谋攻》：“知己知彼，百战不殆。” 
  
　　这一名言中的“殆”字应该解释为“疲惫不堪”。原文是“知彼知己，百战不殆”，其中的“殆”字，是孙子对《谋攻篇》的前一篇《作战篇》中“钝兵、挫锐、屈力、殚货”等词的高度概括。原文大意是，透彻了解敌我双方的情况，就是战斗百次，军队也不会疲惫不堪，战斗力充沛。一支军队不怕失败，怕的是丧失战斗力。一支军队很难不失败，难的是能够从失败中站起，继续战斗。如果一个将领认为自己完全掌握了敌情我情，就认为完事大吉，不再为失败考虑，可能失败就在眼前，而且一败涂地，连挽救的余地都没有。所谓“骄兵必败”，就是这个道理。

      《孙子·谋攻》“知彼知己者，百战不殆。” 孟氏 注：“审知彼己强弱利害之势，虽百战实无危殆也。”宋罗大经 《鹤林玉露》卷八：“ 郭仲晦云，用兵以持重为贵，盖知彼知己，先为不可胜以待敌之可胜，此百战百胜之术也。” 毛泽东《论持久战》八一：“但战争不是神物，仍是世间的一种必然运动，因此，《孙子》的规律，‘知彼知己，百战不殆’，仍是科学的真理。”亦作“ 知己知彼 ”。 元 高文秀 《渑池会》第三折：“但上阵要知己知彼，若相持千战千赢。” 鲁迅《准风月谈·关于翻译（上）》：“我是主张青年也可以看看‘帝国主义者’的作品的，这就是古语的所谓‘知己知彼’。”
 
　　举例：对付敌人，一定要～，才能百战百胜。（曲波《林海雪原》十一）
 
　　文言文：《孙子·谋攻篇》中说：“知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆。” 意思是说，在军事纷争中，既了解敌人，又了解自己，百战都不会失败；不了解敌人而只了解自己，胜败的可能性各半；既不了解敌人，又不了解自己，那只有每战必败的份儿了。

Tags: 知己知彼知己知彼

/*******************************************************
作者：Chris Anley（chris@ngssoftware.com）
翻译：黯魂[S.S.T]
注意：转载请注明来自http://www.m0ther.cn,并恳请指正其中不准确之处:)
另外,译文我已经做成pdf格式文档,需要的朋友可以直接下载.
下载地址为:http://www.m0ther.cn/paper/advanced_sql_injection.pdf
********************************************************/

基于SQL server应用的高级SQL注入技术

目录
[摘要].....................................................................3
[介绍].....................................................................3
[利用错误消息获得信息].....................................................7
[平衡深层访问].............................................................12
[xp_cmdshell]............................................................12
[xp_regread].............................................................13
[其他扩展存储过程].......................................................13
[连接的服务器]...........................................................14
[自定义扩展存储过程].....................................................14
[导入文本文件到表中].....................................................15
[使用BCP创建文本文件]....................................................15
[基于SQL-server的ActiveX自动控制脚本]....................................15
[存储过程].................................................................17
[高级SQL注入]..............................................................18
[不带引号的字符串].......................................................18
[二次SQL注入]............................................................18
[长度限制]...............................................................20
[绕过检查]...............................................................21
[防御].....................................................................21
[输入确认]...............................................................21
[SQL服务器保障].........................................................23
[参考].....................................................................24
附录A--’SQLCrack’..........................................................25
(sqlcrack.sql)...........................................................25

查看更多...

Tags: SqlSql InjectionInjection

如何删除Sql Server中的sa帐户
    众所周知，在Ms Sql Server中有个绝对是网络安全中的隐患的帐号sa，系统管理员 (sa)，默认情况下，它指派给固定服务器角色 sysadmin，并不能进行更改。这个sa一般情况下是既不可以更改名称，也不可以删除。
    首先打开SQL中的企业管理器，接着在工具选项卡中选择SQL server配置属性依次，点服务器设置，看到允许对系统目录直接进行修改前面的方框吗，点一下，好。
    再打开查询分析器，登陆进去（呵呵，随便你用什么帐号进去，不过可一定要在master数据库中有db_owner的权限）输入

查看更多...

Tags: SqlSql sasa

Blind SQL Injection Techniques: A Survey
Abstract: This paper gives a survey of current Blind SQL Injection Techniques. It first introduces the definition
of SQL Injection and its risk, and reviews several solutions proposed to solve the problem and their each
disadvantages. Then, the paper discusses that if detailed error messages are suppressed, how to identify SQL
Injections based on minimal reaction of the server, and how to identify SQL Injection vulnerable parameters, to
generate valid injection syntax and to build the required exploit. At last, an injection of UNION Select statements
is described in detail, including how to count the columns and how to identify columns types. Although the
provided examples in the paper refer to Microsoft SQL Server and oracle only, the same techniques can be applied
to other Databases as well. By the paper, we hope to make it clear that application level vulnerabilities must be
handled by application level solutions, and that relying on suppressed error messages for protection from SQL
Injection is eventually useless.
Key words: SQL Injection; Blind Injection; Database Attack; Web Application Security

查看更多...

Tags: SQL注入SQL注入 盲注盲注 数据库攻击数据库攻击 网络应用程序安全网络应用程序安全

作者：幻影旅团 CIEL

    最近SMB会话劫持一度成为热点，其实关于这方面的文档早就很齐全了，比如加密机制，存在的弱点等等。
这篇文章没有什么技术性的东西，只是让大家了解这方面攻击过程的具体实现。

查看更多...

Tags: smbsmb 会话劫持会话劫持

目录

1 - 介绍

2 - 什么是SMB/CIFS ？

3 - 会话的建立
客户端如何与服务器建立一个SMB会话 ？

4 - SMB的安全等级

5 - 密码

6 - 几种SMB数据报的描述

6.1 - SMB数据报的常规特征
6.2 - NETBIOS与SMB
6.3 - SMB的基础报文头部
6.4 - 重要SMB命令的描述
6.5 - 我们如何才能将本应该加密的SMB密码清楚的还原 ？
6.6 - Man in the middle 攻击
6.7 - 注意Windows 2k/XP里基于TCP的SMB操作

7 - 事物处理子协议与RAP命令

7.1 - 事物处理子协议
7.2 - RAP命令

8 - 使用RAP命令列出服务器上所有可得的共享列表

8.1 - Tconx数据报
8.2 - RAP命令“NetshareEnum”的解释

9 - 结论

10 - 参考

查看更多...

Tags: smbsmb