在介绍具体进犯信息前，我先介绍一下测验环境：首要了解一下代码大约逻辑结构，然后用notepad大法搜索一下$_GET参数看看哪些输入没进行过滤，咱们再进行切入。 经过搜索发现/admin/comment.php中未对$_GET[‘ip’]进行任何约束，接下来就检查IP这个参数是否进行了灵敏操作。 switch (type) { case "icon": if (!typeValue.EndsWith(".png") && !typeValue.EndsWith(".gif")) { typeValue = IconHelper.GetName((Icon)Enum.Parse(typeof(Icon), typeValue)); } //resName += "res.icon." + typeValue;别的，像我司这种往常上网就要挂署理的，Burp Suite装备办法如下：经过调用木马自身的解密程序，咱们对这个木马的文件进行了解密，可是木马会把这个代码放在内存中，这是解密后抓取的相关文件，是一个可履行的文件：

批量扫描eg：nmap -sT -p- -Pn192.168.1.1-254现在现已有设备能够快速的解出你的屏幕暗码。