如发现有乱码，请点击下面链接浏览原文
正文摘录:

吣一眨羹F囝囝’▲一|19L帮—隗—淫黟∥。鼍一、缘由i.1乏-目溢一天某同志在群里发出一个网站，说有空的帮忙弄弄。适逢当时的确很有空，就抱着试一试的心态打开了这个站。一看还真挺让我伤感的，居然是一个征婿网，如图l。想想自己也二十岁了，还没谈过恋爱，挺失败的。唉，人生一世，草木…秋啊!所以我要化悲痛为力晕，一定耍把这个站拿了。(小编：手痒痒想黑站就黑嘛，这找的什么借口呀?)图1二.郁闷的开始打开网站看了下，发现是AsI’的。打开一个链接，试着在URI.后面加了个单引号，回车，页面返回正常。看来站长对sQL注入有点防范意识，过滤了单引号。再试F经典的“andl二l”，返回正常，再试“a11d卜2”的时候…现意外j’，提示“对不起，该产品并不荇住，请返同”，如图2。于是用啊D检测了一F刚才的那个uRL，发现检测出来是可用注入点，但是用啊D注入的时候却提，Ji该URI.无法注人。明明检测出来了，又不可以注入，够郁闷了。工具不能只用一个，只用一个Ii具的不是好的T具hack，昕以决定换NBsI3.O试F。检测。下，发现也是未检测到注入漏洞。可恶，难道真的不uJ.以注入吗?不步E心，再打开相应的链接，找了“I卅站简介”几个作为关键宁填人NBsI的特征字符里面，冉检测。这回终丁出来了，不仅可以注入而且是SA权限呢，如图3。尝试执行cmd命令ver，hackest[E.S.T]&[L.S.T]图3没有回显，恢复cmd之后再执行还是没有回显!难道xpcmdshell删除了?可恶!连接一下3389发现可以正常连接到远程桌面，可惜现在执行不了命令，要不加个用户就什么部解决了。尝试着用NBsI试着列目录，发现根本不能列出来，再用HDSI也列不出来。无奈再次打开啊D，这次又可以注入了，不过检测出来的结果有点奇怿，注人权限竟然是DB0wNER，如图4。真不知道是怎么同事了，一会儿一个样，把我都搞迷糊了。不过好在这一次啊D倒能列出目录来了，看来只用一个工具真的是不行的哦。三、更郁闷的继续虽然啊D能列目录了，，但是管理员把wEBla-,~设置得相当BT，找了几个小时才找了出来。本来打算用aN【jSl直接往wEB目录传个一句话木马再传大马的，没想到又发生了意外。在NBsI的文本文件上传里试着}：传一句话ASP马，如图5。看样子似乎是传上去r，但访问的时候去是尢法找到该页，更郁闷了!然后再用啊D、I{Dsl、明小干的相应功能L传，结果全部失败了。啊D榆测来检测去始终是检测出来为