细节决定成败

拿站大家都知道最基本最常见的方法也就那么几种，用的最多的可能还就是那些程序的“0day”。毕竟一些中小型的网站不会去自己开发一套程序！8 Q) |5 u$ \. ?3 ~1 z8 k3 B
即使有自己开发，安全方面也相对薄弱。也一定会用到一些第三方的程序，比如“编辑器” “投票程序”等。T00LS* H7 ~2 r2 Q( P. g$ H" B) L
在拿站的时候我个人还是比较喜欢去“发现”利用这类程序。我个人认为这类程序要比靠“注入”更来的直接。 - 低调求发展/ w( _0 O* Q( f* i) O0 Y
如果看一个站先从注入入手的话，我觉得是在走弯路。即使有注入，大多还是要得到权限后利用其他程序，当然最终目的不一样，会有差异。
就拿最近在搞的一个站打比方（例:www.google.com），在首先看到一个站的时我认为不要盲目的去搞主站，主站一般不会存在一些致命的漏洞。
我还是习惯先反查，看同服务器的其它站，反查到了（例:a.google.com、b.google.com、c.google.com），先从这些站入手的成功率会比较大。
“相信大家要喷我了，对！这些大家都知道。”如果在这些二级域名的站点并没有发现你想要得到的信息的时候，一定不要放弃，去google。 - 专注网络安全/ ^& M# ~' u" K0 _
因为毕竟反查询类的程序并不是100%准确。如果你用“site:google.com”这样去查是不是成功的几率又会大很多？T00LS/ r0 b6 D6 e$ r" ^) C3 ?# o& p9 Y. V% |
（例:login site:google.com、php site:google.com、gif site:google.com、上传 site:google.com error site:google.com）大家自己发挥。 - 低调求发展, A* Y$ ~# ?9 L; v
有些站用到了CDN，可能反查的话行不通。好了我们继续说这个站。
大概看了下主站什么环境，我就去反查了，反查出的结果并没有一些敏感的东西，（我说的敏感内容也只是一些我们常见的程序，比如discuz、wordpress、......）
有的朋友可能看到类似的程序就不去看了，其实有的时候还是有必要的，之前发现很多php apache这些都列目录。如果有apache存在一定不要忘了这一点。
直接列目录的话，一般会都会有数据库备份。这里就不啰嗦了。 - 专注网络安全& j" j1 P8 X& F/ n' h! n+ N
继续...
把这几个二级域名翻了个遍也没发现能利用的东西，过程省略N个小时。我总是在最无助的时候去google，去google慢慢看，总用能发现的。site:google.comT00LS7 l* t* c" H9 i* w9 s, z8 q/ N
看了很久继续一脸茫然，继续gif site:google.com，有的朋友会问为什么要gif site:google.com，可能这是一点点经验吧，之前用这种方法找到过N多上传的地方。
有很多时候 upload site:google.com or upfile site:google.com的时候根本找不到上传，在这些“命令”不行的时候，一定要发现新的东西，也许就会成功。 - 低调求发展5 s" o; o/ |8 f+ ^$ J! T
有很多站上传的页面都会有类似“只允许上传gif、jpg”这类的文字，可能会本搜索引擎收录。大家不要忽视。
这次也不例外还是“gif site:google.com”帮了我我的忙，这次不是上传，是搜索到一个程序的“系统图片”（dedecms一个表情），打开后看目录结构，就一定要判断出是哪一类程序。
这点很重要，有很多网站会把一些程序改的面目全非。相信大家都遇到过，在搞站的时候多留意就好了。如果你长时间搞站的话相信网页打开的一瞬间你已经知道了是哪套程序。
我们比较熟悉的discuz wordpress dedecms ecshop shopex phpwind这些都有他们自己的特点，大到目录结构小到一个"favicon.ico"甚至一个“验证码”每套程序都有自己的特点。
我们继续...* [4 P( P& j: V, \7 s/ k9 e' @
这次在（例:a.google.com/abc/）发现了dedecms的一个系统表情，第一反应是在目录后面加了一个plus，返回一个403页面，这次就更加确定了是dedecms。直接用前段时间的“0day”秒杀。
进去翻腾很久发现并没有主站，但是主站在这台服务器上放过，之后可能是搬家了，所有程序都还在，继续找有价值的东西，查询了所有包含192 127 local 类似的这些文件，目的是想找到配置文件。www.t00ls.net4 c4 Z3 h/ y& \0 x- H. }
（这个服务器只是有主站之前的文件，并没有备份的数据库）功夫不负有心人，在经过了N个小时的战斗后终于在N个配置文件中找到了一个可以连接的数据库配置文件，也正是主站的数据库。
有朋友会说运气很好，嗯，确实是这样，正如我开始说的这不是一个教程类的文章。只是一个经验，告诉大家不要轻易放弃！要注意很多细节。有了主站的文件有了数据库就好办多了，连接数据库找到管理密码。T00LS5 @: P& F. c" _, |. {3 u4 B
如果密码不能破解直接覆盖掉（注意备份，用完还原），因为我只是想得到数据库，所以没有了下文。