后台打印文件夹位置由你定

　　众所周知，Windows XP后台打印文件夹位于Windows\System32\Spool\Printers，但是，该驱动器中也有Windows系统文件。由于这些文件被操作系统频繁访问，Windows和打印功能的性能都会因此而降低。如果打印服务器只是以较低的通信量为一两台打印机提供服务，则使用后台打印文件夹的默认位置就足够了。但是对大量的打印需求、支持多打印机或支持大量打印作业来说，由于后台打印文件夹可能需要大量磁盘空间以便后台打印所有作业，就应该重新定位后台打印文件夹的位置。为达到最佳效果，最好是将后台打印文件夹移到有专用控制器的驱动器中，以减少打印对操作系统其余部分的影响。
移动默认后台打印目录(本文为WWW.SQ120.COM电脑知识网推荐文章)
　　单击“开始”，然后单击“打印机和传真”，打开“打印机和传真”。在“文件”菜单上，单击“服务器属性”，然后单击“高级”选项卡。在“后台打印文件夹”窗口中，为该打印服务器输入新的默认后台打印文件夹的路径和名称，然后单击“确定”按钮。最后重新启动打印后台处理程序服务或重新启动计算机后，以上更改生效。Www.itcoMPuTEr.CoM.CN
移动打印后台目录
　　以上操作将移动所有打印机的默认后台打印目录，当有多台打印机时，以下过程将对计算机上配置的特定打印机应用新的默认后台打印目录。
　　单击“开始→运行”，在“打开”框中键入“REGEDIT”，单击“确定”按钮，启动“注册表编辑器”。在HKEY_LOCAL_MACHINE下，找到以下注册表项：\SYSTEM\CurrentControlSet\Control\Print\Printers\特定打印机\SpoolDirectory，单击特定打印机项，验证右窗格中是否显示了值SpoolDirectory。如有请双击它，然后在“数值数据”框中键入打印机后台打印目录的完整路径。如果未显示，请在“编辑”菜单上，指向“新建”，单击“字符串值”，新建一个名称为SpoolDirectory的字符串值，然后退出注册表编辑器。
　　注意：在“数值数据”框中必须指定实际的目录，不能仅指定根目录（例如“C:\”），而是必须使用“C:\目录”，其中“目录”是用户要使用的目录的名称。如果确实将根目录指定为默认的后台打印位置，则后台打印位置将恢复为Windows\System32\Spool\Printers 目录。如果新目录位于NTFS驱动器上，请为后台打印目录分配适当的权限。
　　通过以上所述，现在就可以根据硬盘的空间情况合理决定后台打印文件夹的位置了。  
如何找到后台地址

　　虽然网上有很多网页有各种各样的安全漏洞，利用它们我们黑客可以暴出网站的账号和密码，但是经常会碰到找不到网站后台登录界面的情况，许多菜鸟做到这里就止步了。
　　但这还难不倒我，如果我暴出的账号分配的有DB_OWNER权限，我就可以利用DB的目录浏览权限来读取服务器目录，从而找到后台登录界面（当然完成这个过程需要一定的耐心），登录后即可上传木马了。
　　小提示：要上传木马，首先要成功找到网站系统后台地址，其次系统后台还要具备数据库备份以及上传功能。
A.查询入侵网站的权限类型
　　首先在《啊D注入工具》（下载地址：http://www.cpcw.com/bzsoft）的“SQL注射检测”界面中，输入我们已经检测出该网站存在漏洞的网页地址，再点击“检测”按钮检测网站对应的信息，从程序窗口的“当前权限”中可以看到用户的权限为DB_OWNER（如图1）。如果网站的权限不是DB_OWNER就换一个网站试试。

B.找出后台地址
　　接着，我们要查找出网站隐藏的后台地址。现在点击“相关工具”中的“目录查看”，在“检测位置”下拉列表中选择要进行查看的服务器分区。通过对每个目录的查看，发现系统的后台目录由Admin改成Admin_999。
　　现在利用浏览器打开后台地址http://www.xxx.cn/admin_999/admin.Asp，并且利用先前已经得到的账号和密码进行登录就可搞破坏了。如果运气不好，该网站的后台并没有数据库备份以及任何的上传功能，我们就无法上传ASP木马（如图2）。

C.巧用WebEditor上传木马
　　难道这样就算了？不！通过“目录查看”，在服务器查找其他有用的信息。结果我在D:\Webs04\Bjdfty\目录下发现了一个WebEditor目录。WebEditor是简单的网页编辑器，网络编辑可以用它对网站进行编辑。
　　通过浏览器登录WebEditor（地址http://www.xxx.cn/WebEditor/admin_login.asp），接着在WebEditor的后台管理窗口中选择有编辑功能的样式，例如Standard，再点击后面的“拷贝”按钮复制该编辑样式（如图3）。

　　找到复制出的编辑样式后，点击后面的“预览”按钮打开新窗口。点击窗口工具栏中的“插入图片”按钮，选择一个图片格式的ASP木马进行上传。再点击窗口下面的“代码”得到木马的链接（如图4）。用浏览器打开ASP木马的链接，最终我们就可以控制这个网站了。

守：DB权限要严格分配
　　看了上面的讲解，是不是有一种豁然开朗的感觉。黑客就通过简单的点击鼠标，再加上那么一点点的分析过程，就通过DB_OWNER权限最终控制了网站系统。那么作为管理员以后该如何防范类似的攻击呢？
　　小编在这里提醒各位网站管理员，要定时到官方网站下载安全补丁，修复已知的网站系统漏洞，不要让黑客轻易拿到具有DB_OWNER权限的账号和密码。
　　当然，我们还要对网站管理权限进行设置。根据不同管理员的工作性质进行分配。比如是高级管理员，就可以分配DB_OWNER权限，以方便他对数据库进行备份操作。
　　如果仅仅是一些网络编辑的话，那么就可以不分配DB－OWNER权限。由于本身的权限很低，即使黑客得到这类账号和密码，想进行入侵都是非常困难的，从而有效地保护网站系统的安全。

 

From:http://www.itcomputer.com.cn/Article/Software/201309/1616.html