黑客笔记黑客网络入侵大型网站的完整思路)

1.X-SCAN扫描目标服务器(一般是没有漏洞，收集信息用吧)，看看IIS写权限有漏洞吗，用53溢出或者其他0day和溢出工具试试==>手工查看主站漏洞，先用google+阿d批量扫注入，再手工测试漏洞(例如注入，上传，爆库等等)，同时用AC4扫(它在注入方面很细致)==获得WEBSHELL==提权获得3389 (也许有时候把第3条放在第一条前，更合理一些，直接嗅探方便些)。