很多朋友玩社工都很厉害，社工是攻击中的一种特殊应用，入侵+社工的攻击模式如果利用的好，可以所向披靡，本次的安全检测就是一次简单的尝试。话说某日我在网上胡乱搜索的时候，突然看见有一个php的连接，就忍俊不住的进去看了看，一看不要紧，事情就随之而来了，于是就有了此文！

　　（一）安全检测

　　1.操刀上阵——我的“三板斧”

　　当我看到了链接地址http://www.AAA.com/BBB/CCC.php?pid=XXX，就试了试在其地址后丢了个单引号，随之绝对路径就被泄露出来了，俺的第一板斧就把敌人弄了一个脑震荡，嘿嘿！（有时候可能不会简单的一个单引号就暴露路径，你可以试试随便输入一些东西，当然自己灵活 运用），路径：F:AAABBBbbs6.1CCCdb_mysql.class.php，如图1所示。　

　　图片看不清楚？请点击这里查看原图（大图）。　

　　图1 三板斧之一获取路径　

　　2.无敌掌——信息分析和收集

　　目录中以“bbs6.1”命名，bbs不是论坛的意思么？这时我打开了http://www.AAAA.com　　 最下方显示的是：Powered by AAA!6.1.0，虽然他改了，但是我们还是可以看出这是一个DZ的论坛。呵呵，上次记得我就发现了一个DZ6.1的论坛存在注射，当时我问了宝哥才知道是插件的原因，但是这个不是，因为BBB目录不是论坛程序，而是另外一个文件目录。

　　3.无影腿——SQL注入测试