html的站怎么下手？

冰河

静态和伪静态不好下手啊。考虑域名劫持。

不哭

看到html的不一定整站静态。因为现在为了推动seo优化很多都用的是生成伪静态
可以考虑1.用PK wwwscan等工具扫描目录 看看有没有链接数据库的动态语言文件
2.查询旁站 从动态的旁站入手 拿到shell 再用cmd通过爆绝对路径的方法把马复制到目标站的目录下
或者直接提权服务器。
3.前两种都不行 就从编辑器入手。一般fckeditor和eweditor都存在着上传漏洞和二次命名漏洞。
4.如果实在没有办法 就看看网站的授权信息 如果用了别人的模板 就下载一套源码来研究漏洞[比如有的后台可以直接免登陆杀进后台]或者查询最近的0day
5.对于实在无懈可击或者独立服务器的站 就从C段入手 拿到C段服务器后 如果只是为了挂页玩 DNS劫持就好 如果是为了提权服务器 就用Cain等工具嗅探。
祝你好运。

clocks

瞧瞧ftp开没有如果开通就想办法解帐号密码
然后上传马
注意此方法非智商妖孽及人士人品高者无效

热心网友3

HTML 站就是纯静态页面，上手不难。先看看网站有没有类似留言板、搜索框这种交互功能，如果有的话，抓包看提交的参数和响应，往往能从这里找到后台或注入点。如果只是纯展示页面，那就主要关注前端源码里的注释、隐藏目录、敏感文件（比如sitemap.xml、robots.txt、.git泄露等等）。另外可以扫一下常见路径，看看有没有后台登录或者上传功能的残余文件。有什么具体现象可以再聊聊。