網站維護關于“旁注”的概念
 
旁注是最近網絡上比較流行的一種入侵方法，在字面上解釋就是－"從旁注入"，利用同一主機上面不同網站的漏洞得到webshell，從而利用主機上的程序或者是服務所暴露的用戶所在的物理路徑進行入侵。
 
以本人對于旁注入侵的理解來說，旁注入侵絕對需要權限的提升作為幫助，如果主機的設置是IIS單用戶權限/禁止運行任意CMD命令的話，這樣子旁注的入侵就成為了一大難題，沒有了CMD的權限就很難進行旁注的信息搜集以及最主要的跨站式（文件夾）的入侵就不可能成功了，所以在得到webshell之后我們首先要確定的條件就是是否存在可執行任意CMD的權限/是否可以有FSO的權限，這兩個就是旁注的首要條件。

為了更加清晰列表如下：
 
1、可執行任意CMD命令 　　
 
2、可執行FSO 　　
 
3、是否IIS單用戶權限
 
用戶的網站所在物理路徑的確定，因為我們旁注的目的是借助其他的網站進入主機內部，得知目標的所在的文件夾路徑，從而進入建立新的webshell。所以，我們要找尋目標的網站所在物理路徑就必須要借助主機的程序或者是服務提供的信息。
 
以下就是會暴露物理路徑的地方：
 
1、SERV-U的用戶配置文件ServUDaemon.ini（暴露用戶的FTP密碼以及網站的具體地址）

2、諾頓殺毒的日志（會暴露一些存在后門而又被查殺的網站路徑）

3、IS的配置文件（整個暴露了主機的IIS設置以及ASP.DLL的問題）

4、黑匣子（整個黑匣子會暴露出很多關于HTTP的敏感信息）

還有很多關于用戶配置的文件，有待大家的發掘。

◆電話受理中心（用戶綜合窗口）
為了給廣大客戶提供更優質、快捷的網站維護服務，在中國業界率先設立了全天候服務式的電話受理中心，并始終堅持“快速”“準確”“親切”的服務理念。走過風雨兼程的10年，我們嘗盡酸甜苦辣，但是為客戶服務的心，卻一刻也不曾停歇，為了您的歡笑，我們仍將繼續前行。

◆全國統一免費網站維護電話:400-670-5808（支持任何用戶撥打）郵箱：xieaijiao@cdsheji.com QQ:284888576

◆營業時間：365天·24小時，年中無休。
◆對應業務：與網站維護有關的任何商談和咨詢（網站維護、網站修改、網頁修改、網站安全、網站殺毒、網站中毒、網站備份、網站恢復、網站備案、網站建設、技術咨詢、網站域名、網站空間、企業郵箱等）