请问怎么用webshell注入测试一个中小型网站

sqlmap要到当前的管理员没有权限读取数据怎么办
　　使用google搜索sqlmap可以测试google搜索结果中的sql注入，很强大的功能吧。使用方法是参数g。不过感觉实际使用中这个用的还是很少的。仍然会尝试创建一个webshell来执行语句，这时候就需要web的绝对路径了。总体来说，成功率偏低，不过个人也有成功的经验～测试等级sqlmap。

操作系统被入侵后的修复过程
　　挂接另一网站，采用动网修改版。2测试发现，前管理员未注意web安全。动力文章有严重上传漏洞，而未修补。动网版本7.00sp2，但不排除已被入侵。随即，彻底检查系统，未发现木马。确定主机系统安全。但在web里发现大量webshell，待清除。Iis6.0无日志记录！3检查修复备份当前we。

CTF流量分析之题型深度解析
　　0x01介绍在CTF比赛中，对于流量包的分析取证是一种十分重要的题型。通常这类题目都是会提供一个包含流量数据的pcap文件，参赛选手通过。WEBSHELL上传、SQL注入等等。题型：通过给出的流量包获取攻击者使用的WEB扫描工具。解题思路：常见的WEB扫描器有Awvs，Netspar。

怎样限制普通用户的权限
　　注入式攻击越来越多的被使用，webshell让防火墙形同虚设，一台即使打了所有微软补丁、只让80端口对外开放的web服务器也逃不过被黑的命运。现在大家知道为什么我们刚刚在测试的时候能一帆风顺的取得管理员权限了吧？权限设置的太低了！一个人在访问网站的时候，将被自动赋予iusr。