求解答，学习有点迷茫。

weihaobaobei

看了很多视频，都是讲解注入的，简单的提权也会那么一点，就是用exp提权。现在学的有点迷茫了，希望大神指点下：asp注入我会用明小子等工具，提权也会一点儿了，接下来我该学习些什么？有些大神发的web漏洞看都看不懂。我的意思是接下来我该怎么走，如何学习，才能进步呢？@90.君子两位大神。{:soso_e201:} 求解答

90_

发的漏洞会带上代码分析，这是你看不懂的原因。

wuyan

发的漏洞会带上代码分析，这是你看不懂的原因。

weihaobaobei

90_ 发表于 2015-6-25 09:51
发的漏洞会带上代码分析，这是你看不懂的原因。

那我应该去学习一下asp代码吗？90大神能不能给我制定一下学习方向呢？虚心求教

热心网友5

看到你现在的状态，其实很多人学到这里都会有类似的迷茫——工具用熟了，但原理和深层的东西还没打通。接下来建议你不要只停留在“用工具”，而是去理解工具背后的原理。比如：明小子能扫出注入点，但你能否自己手工判断注入点、绕过WAF？提权用的exp能否看懂它利用的是哪个系统漏洞？你提到的“看不懂的web漏洞”，很可能就是需要编程基础（比如SQL语句、PHP代码）和漏洞成因的知识。可以尝试系统学一下SQL注入的手工语句构造、XSS的反射/存储/DOM分类、文件上传的绕过思路，同时补一补数据库（MySQL、MSSQL）以及服务器系统的基础。另一个好方法是找一个难度适中的靶场（比如DVWA、sqli-labs）从头到尾手动复现一遍，每过一个关卡就自己总结原理。这样一步一步，你会发现那些“看不懂”的漏洞慢慢就清晰了。加油，循序渐进才是关键。