1.注入漏洞只能查賬號(hào)密碼?

　　答：只要權(quán)限廣，拖庫(kù)脫到老。

　　2.安全狗會(huì)追蹤變量，從而發(fā)現(xiàn)出是一句話木馬嗎?

　　答：是根據(jù)特征碼，所以很好繞過(guò)了，只要思路寬，繞狗繞到歡，但這應(yīng)該不會(huì)是一成不變的。

　　3.access 掃出后綴為 asp 的數(shù)據(jù)庫(kù)文件，訪問(wèn)亂碼，**如何實(shí)現(xiàn)到本地利用?

　　答：迅雷下載，直接改后綴為.mdb。

　　4.提權(quán)時(shí)選擇可讀寫(xiě)目錄，為何盡量不用帶空格的目錄?

　　答：因?yàn)?exp 執(zhí)行多半需要空格界定參數(shù)

　　5.某服務(wù)器有站點(diǎn) A,B 為何在 A 的后臺(tái)添加 test 用戶，訪問(wèn) B 的后臺(tái)。發(fā)現(xiàn)也添加上了 test 用戶?

　　答：同數(shù)據(jù)庫(kù)。

　　6.注入時(shí)可以不使用 and 或 or 或 xor，直接 order by 開(kāi)始注入嗎?

　　答：and/or/xor，前面的 1=1、1=2 步驟只是為了判斷是否為注入點(diǎn)，如果已經(jīng)確定是注入點(diǎn)那就可以省那步驟去。

　　7.某個(gè)防注入系統(tǒng)，在注入時(shí)會(huì)提示：

　　答：系統(tǒng)檢測(cè)到你有非法注入的行為。

　　已記錄您的 ip xx.xx.xx.xx

　　時(shí)間:2016:01-23

　　提交頁(yè)面:test.asp?id=15

　　提交內(nèi)容:and 1=1

　　8.如何利用這個(gè)防注入系統(tǒng)拿 shell?

　　答：在 URL 里面直接提交一句話，這樣網(wǎng)站就把你的一句話也記錄進(jìn)數(shù)據(jù)庫(kù)文件了 這個(gè)時(shí)候可以嘗試尋找網(wǎng)站的配置文件 直接上菜刀鏈接。

　　9.上傳大馬后訪問(wèn)亂碼時(shí)，有哪些解決辦法?

　　答：瀏覽器中改編碼。

　　10.審查上傳點(diǎn)的元素有什么意義?

　　答：有些站點(diǎn)的上傳文件類型的限制是在前端實(shí)現(xiàn)的，這時(shí)只要增加上傳類型就能突破限制了。

　　更多關(guān)于“網(wǎng)絡(luò)安全培訓(xùn)”的問(wèn)題，歡迎咨詢千鋒教育在線名師。千鋒教育多年辦學(xué)，課程大綱緊跟企業(yè)需求，更科學(xué)更嚴(yán)謹(jǐn)，每年培養(yǎng)泛IT人才近2萬(wàn)人。不論你是零基礎(chǔ)還是想提升，都可以找到適合的班型，千鋒教育隨時(shí)歡迎你來(lái)試聽(tīng)。