揭露现在最流行网站入侵渗透方法

管什么站 先找后台，找注入  先查看一下其DNS服务器  然后针对目标进行 划分网络拓扑图
拿论坛一般常用XSS  CSRF  sql比较少一点  不过大多数都是0day
然后进http://www.atcpu.com比如论坛的程序是phpwind9.0然后搜索
看看有没有爆过漏洞   然后一个一个的试
思考一个网站是服务器建设的 开guest用户你才能访问进来  所以翻翻目录 扫扫敏感目录之类有用的信息
思考IP段 例：192.168.1.1-192.168.1.255        考虑ARP
然后再用WVS   Safe3 web       nmap之类的扫
后台也是可以暴力破解的   根据网站做一个字典    然后暴力破解
然后再尝试旁站 用刚才的手法一个一个的弄

提权类也就是抓包    插一句话     传文件shell
然后再进行exp提权   PR  什么的 一个一个的试  碰运气
当你实在提权不下 那么换个思路思考
拿到后想办法提升权限
最后说一句  变换思路  社会工程学

我常用的工具推荐  WVS kail  metasploit Burp  dsploit    都是神器


有时工具虽然可以帮忙提高一点效率。但很多地方都会被忽略
例如暴力破解和目录枚举的。都需要有强大的词典
guest是windows服务器的用户。现在企业级的应用都是部署在Linux/Unix服务器之上.windows的站点都是一些小的站点。小站点挂黑*链流量达标都是问题。