本文目录一览:
- 1、渗透测试应该怎么做呢?
- 2、sql注入、xss攻击?
- 3、小沈阳的资料
渗透测试应该怎么做呢?
01、信息收集
1、域名、IP、端口
域名信息查询:信息可用于后续渗透
IP信息查询:确认域名对应IP,确认IP是否真实,确认通信是否正常
端口信息查询:NMap扫描,确认开放端口
发现:一共开放两个端口,80为web访问端口,3389为windows远程登陆端口,嘿嘿嘿,试一下
发现:是Windows Server 2003系统,OK,到此为止。
2、指纹识别
其实就是网站的信息。比如通过可以访问的资源,如网站首页,查看源代码:
看看是否存在文件遍历的漏洞(如图片路径,再通过…/遍历文件)
是否使用了存在漏洞的框架(如果没有现成的就自己挖)
02、漏洞扫描
1、主机扫描
Nessus
经典主机漏扫工具,看看有没有CVE漏洞:
2、Web扫描
AWVS(Acunetix | Website Security Scanner)扫描器
PS:扫描器可能会对网站构成伤害,小心谨慎使用。
03、渗透测试
1、弱口令漏洞
漏洞描述
目标网站管理入口(或数据库等组件的外部连接)使用了容易被猜测的简单字符口令、或者是默认系统账号口令。
渗透测试
① 如果不存在验证码,则直接使用相对应的弱口令字典使用burpsuite 进行爆破
② 如果存在验证码,则看验证码是否存在绕过、以及看验证码是否容易识别
风险评级:高风险
安全建议
① 默认口令以及修改口令都应保证复杂度,比如:大小写字母与数字或特殊字符的组合,口令长度不小于8位等
② 定期检查和更换网站管理口令
2、文件下载(目录浏览)漏洞
漏洞描述
一些网站由于业务需求,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,则恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等。
渗透测试
① 查找可能存在文件包含的漏洞点,比如js,css等页面代码路径
② 看看有没有文件上传访问的功能
③ 采用…/来测试能否夸目录访问文件
风险评级:高风险
安全建议
① 采用白名单机制限制服务器目录的访问,以及可以访问的文件类型(小心被绕过)
② 过滤【./】等特殊字符
③ 采用文件流的访问返回上传文件(如用户头像),不要通过真实的网站路径。
示例:tomcat,默认关闭路径浏览的功能:
param-namelistings/param-name
param-valuefalse/param-value
3、任意文件上传漏洞
漏洞描述
目标网站允许用户向网站直接上传文件,但未对所上传文件的类型和内容进行严格的过滤。
渗透测试
① 收集网站信息,判断使用的语言(PHP,ASP, *** P)
② 过滤规则绕过 *** :文件上传绕过技巧
风险评级:高风险
安全建议
① 对上传文件做有效文件类型判断,采用白名单控制的 *** ,开放只允许上传的文件型式;
② 文件类型判断,应对上传文件的后缀、文件头、图片类的预览图等做检测来判断文件类型,同时注意重命名(Md5加密)上传文件的文件名避免攻击者利用WEB服务的缺陷构造畸形文件名实现攻击目的;
③ 禁止上传目录有执行权限;
④ 使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件。
4、命令注入漏洞
漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句,导致各种调用系统命令的web应用,会被攻击者通过命令拼接、绕过黑名单等方式,在服务端运行恶意的系统命令。
渗透测试
风险评级:高风险
安全建议
① 拒绝使用拼接语句的方式进行参数传递;
② 尽量使用白名单的方式(首选方式);
③ 过滤危险 *** 、特殊字符,如:【|】【】【;】【’】【"】等
5、SQL注入漏洞
漏洞描述
目标网站未对用户输入的字符进行特殊字符过滤或合法性校验,允许用户输入特殊语句查询后台数据库相关信息
渗透测试
① 手动测试:判断是否存在SQL注入,判断是字符型还是数字型,是否需要盲注
② 工具测试:使用sqlmap等工具进行辅助测试
风险评级:高风险
安全建议
① 防范SQL注入攻击的更佳方式就是将查询的逻辑与其数据分隔,如Java的预处理,PHP的PDO
② 拒绝使用拼接SQL的方式
6、跨站脚本漏洞
漏洞描述
当应用程序的网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建 HTML或JavaScript 的浏览器 API 更新现有的网页时,就会出现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户会话、破坏网站或将用户重定向到恶意站点。
三种XSS漏洞:
① 存储型:用户输入的信息被持久化,并能够在页面显示的功能,都可能存在存储型XSS,例如用户留言、个人信息修改等。
② 反射型:URL参数需要在页面显示的功能都可能存在反射型跨站脚本攻击,例如站内搜索、查询功能。
③ DOM型:涉及DOM对象的页面程序,包括:document.URL、document.location、document.referrer、window.location等
渗透测试
存储型,反射型,DOM型
风险评级:高风险
安全建议
① 不信任用户提交的任何内容,对用户输入的内容,在后台都需要进行长度检查,并且对【】【】【"】【’】【】等字符做过滤
② 任何内容返回到页面显示之前都必须加以html编码,即将【】【】【"】【’】【】进行转义。
7、跨站请求伪造漏洞
漏洞描述
CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种 *** 攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作,如修改密码,转账等。
渗透测试
风险评级:中风险(如果相关业务极其重要,则为高风险)
安全建议
① 使用一次性令牌:用户登录后产生随机token并赋值给页面中的某个Hidden标签,提交表单时候,同时提交这个Hidden标签并验证,验证后重新产生新的token,并赋值给hidden标签;
② 适当场景添加验证码输入:每次的用户提交都需要用户在表单中填写一个图片上的随机字符串;
③ 请求头Referer效验,url请求是否前部匹配Http(s)😕/ServerHost
④ 关键信息输入确认提交信息的用户身份是否合法,比如修改密码一定要提供原密码输入
⑤ 用户自身可以通过在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的cookie;
8、内部后台地址暴露
漏洞描述
一些仅被内部访问的地址,对外部暴露了,如:管理员登陆页面;系统监控页面;API接口描述页面等,这些会导致信息泄露,后台登陆等地址还可能被爆破。
渗透测试
① 通过常用的地址进行探测,如login.html,manager.html,api.html等;
② 可以借用burpsuite和常规页面地址字典,进行扫描探测
风险评级:中风险
安全建议
① 禁止外网访问后台地址
② 使用非常规路径(如对md5加密)
9、信息泄露漏洞
漏洞描述
① 备份信息泄露:目标网站未及时删除编辑器或者人员在编辑文件时,产生的临时文件,或者相关备份信息未及时删除导致信息泄露。
② 测试页面信息泄露:测试界面未及时删除,导致测试界面暴露,被他人访问。
③ 源码信息泄露:目标网站文件访问控制设置不当,WEB服务器开启源码下载功能,允许用户访问网站源码。
④ 错误信息泄露:目标网站WEB程序和服务器未屏蔽错误信息回显,页面含有CGI处理错误的代码级别的详细信息,例如SQL语句执行错误原因,PHP的错误行数等。
⑤ 接口信息泄露:目标网站接口访问控制不严,导致网站内部敏感信息泄露。
渗透测试
① 备份信息泄露、测试页面信息泄露、源码信息泄露,测试 *** :使用字典,爆破相关目录,看是否存在相关敏感文件
② 错误信息泄露,测试 *** :发送畸形的数据报文、非正常的报文进行探测,看是否对错误参数处理妥当。
③ 接口信息泄露漏洞,测试 *** :使用爬虫或者扫描器爬取获取接口相关信息,看目标网站对接口权限是否合理
风险评级:一般为中风险,如果源码大量泄漏或大量客户敏感信息泄露。
安全建议
① 备份信息泄露漏洞:删除相关备份信息,做好权限控制
② 测试页面信息泄露漏洞:删除相关测试界面,做好权限控制
③ 源码信息泄露漏洞:做好权限控制
④ 错误信息泄露漏洞:将错误信息对用户透明化,在CGI处理错误后可以返回友好的提示语以及返回码。但是不可以提示用户出错的代码级别的详细原因
⑤ 接口信息泄露漏洞:对接口访问权限严格控制
10、失效的身份认证
漏洞描述
通常,通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌, 或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。
渗透测试
① 在登陆前后观察,前端提交信息中,随机变化的数据,总有与当前已登陆用户进行绑定的会话唯一标识,常见如cookie
② 一般现在网站没有那种简单可破解的标识,但是如果是跨站认证,单点登录场景中,可能为了开发方便而简化了身份认证
风险评级:高风险
安全建议
① 使用强身份识别,不使用简单弱加密方式进行身份识别;
② 服务器端使用安全的会话管理器,在登录后生成高度复杂的新随机会话ID。会话ID不能在URL中,可以安全地存储,在登出、闲置超时后使其失效。
11、失效的访问控制
漏洞描述
未对通过身份验证的用户实施恰当的访问控制。攻击者可以利用这些缺陷访问未经授权的功能或数据,例如:访问其他用户的帐户、查看敏感文件、修改其他用户的数据、更改访问权限等。
渗透测试
① 登入后,通过burpsuite 抓取相关url 链接,获取到url 链接之后,在另一个浏览器打开相关链接,看能够通过另一个未登入的浏览器直接访问该功能点。
② 使用A用户登陆,然后在另一个浏览器使用B用户登陆,使用B访问A独有的功能,看能否访问。
风险评级:高风险
安全建议
① 除公有资源外,默认情况下拒绝访问非本人所有的私有资源;
② 对API和控制器的访问进行速率限制,以更大限度地降低自动化攻击工具的危害;
③ 当用户注销后,服务器上的Cookie,JWT等令牌应失效;
④ 对每一个业务请求,都进行权限校验。
12、安全配置错误
漏洞描述
应用程序缺少适当的安全加固,或者云服务的权限配置错误。
① 应用程序启用或安装了不必要的功能(例如:不必要的端口、服务、网页、帐户或权限)。
② 默认帐户的密码仍然可用且没有更改。
③ 错误处理机制向用户披露堆栈跟踪或其他大量错误信息。
④ 对于更新的系统,禁用或不安全地配置最新的安全功能。
⑤ 应用程序服务器、应用程序框架(如:Struts、Spring、ASP.NET)、库文件、数据库等没有进行相关安全配置。
渗透测试
先对应用指纹等进行信息搜集,然后针对搜集的信息,看相关应用默认配置是否有更改,是否有加固过;端口开放情况,是否开放了多余的端口;
风险评级:中风险
安全建议
搭建最小化平台,该平台不包含任何不必要的功能、组件、文档和示例。移除或不安装不适用的功能和框架。在所有环境中按照标准的加固流程进行正确安全配置。
13、使用含有已知漏洞的组件
漏洞描述
使用了不再支持或者过时的组件。这包括:OS、Web服务器、应用程序服务器、数据库管理系统(DBMS)、应用程序、API和所有的组件、运行环境和库。
渗透测试
① 根据前期信息搜集的信息,查看相关组件的版本,看是否使用了不在支持或者过时的组件。一般来说,信息搜集,可通过http返回头、相关错误信息、应用指纹、端口探测(Nmap)等手段搜集。
② Nmap等工具也可以用于获取操作系统版本信息
③ 通过CVE,CNVD等平台可以获取当前组件版本是否存在漏洞
风险评级:按照存在漏洞的组件的安全风险值判定当前风险。
安全建议
① 移除不使用的依赖、不需要的功能、组件、文件和文档;
② 仅从官方渠道安全的获取组件(尽量保证是最新版本),并使用签名机制来降低组件被篡改或加入恶意漏洞的风险;
③ 监控那些不再维护或者不发布安全补丁的库和组件。如果不能打补丁,可以考虑部署虚拟补丁来监控、检测或保护。
详细学习可参考:
sql注入、xss攻击?
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。 根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下ASP注入的 *** 及技巧,PHP注入的文章由NB联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断 *** 还存在误区。大家准备好了吗?Let's Go... 入门篇 如果你以前没试过SQL注入的话,那么之一步先把IE菜单=工具=Internet选项=高级=显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。 之一节、SQL注入原理 以下我们从一个网站 开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。 在网站首页上,有名为“IE不能打开新窗口的多种解决 *** ”的链接,地址为: ,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示: Microsoft JET Database Engine 错误 '80040e14' 字符串的语法错误 在查询表达式 'ID=49'' 中。 /showdetail.asp,行8 从这个错误提示我们能看出下面几点: 1.网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。 2.程序没有判断客户端提交的数据是否符合程序要求。 3.该SQL语句所查询的表中有一名为ID的字段。 从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。 第二节、判断能否进行SQL注入 看完之一节,有一些人会觉得:我也是经常这样测试能否注入的,这不是很简单吗? 其实,这并不是更好的 *** ,为什么呢? 首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。 其次,部分对SQL注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的 那么,什么样的测试 *** 才是比较准确呢?答案如下: ① ② and 1=1 ③ and 1=2 这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了: 可以注入的表现: ① 正常显示(这是必然的,不然就是程序有错误了) ② 正常显示,内容基本与①相同 ③ 提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next) 不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。 当然,这只是传入参数是数字型的时候用的判断 *** ,实际应用的时候会有字符型和搜索型参数,我将在中级篇的“SQL注入一般步骤”再做分析。 第三节、判断数据库类型及注入 *** 不同的数据库的函数、注入 *** 都是有差异的,所以在注入之前,我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer,网上超过99%的网站都是其中之一。 怎么让程序告诉你它使用的什么数据库呢?来看看: SQLServer有一些系统变量,如果服务器IIS提示没关闭,并且SQLServer返回错误提示的话,那可以直接从出错信息获取, *** 如下: and user0 这句语句很简单,但却包含了SQLServer特有注入 *** 的精髓,我自己也是在一次无意的测试中发现这种效率极高的猜解 *** 。让我看来看看它的含义:首先,前面的语句是正常的,重点在and user0,我们知道,user是SQLServer的一个内置变量,它的值是当前连接的用户名,类型为nvarchar。拿一个nvarchar的值跟int的数0比较,系统会先试图将nvarchar的值转成int型,当然,转的过程中肯定会出错,SQLServer的出错提示是:将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误,呵呵,abc正是变量user的值,这样,不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里,大家会看到很多用这种 *** 的语句。 顺便说几句,众所周知,SQLServer的用户sa是个等同Adminstrators权限的角色,拿到了sa权限,几乎肯定可以拿到主机的Administrator了。上面的 *** 可以很方便的测试出是否是用sa登录,要注意的是:如果是sa登录,提示是将”dbo”转换成int的列发生错误,而不是”sa”。 如果服务器IIS不允许返回错误提示,那怎么判断数据库类型呢?我们可以从Access和SQLServer和区别入手,Access和SQLServer都有自己的系统表,比如存放数据库中所有对象的表,Access是在系统表[msysobjects]中,但在Web环境下读该表会提示“没有权限”,SQLServer是在表[sysobjects]中,在Web环境下可正常读取。 在确认可以注入的情况下,使用下面的语句: and (select count(*) from sysobjects)0 and (select count(*) from msysobjects)0 如果数据库是SQLServer,那么之一个网址的页面与原页面 是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。 如果数据库用的是Access,那么情况就有所不同,之一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用之一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证
小沈阳的资料
[编辑本段]个人信息
艺名:小沈阳
原名:沈鹤
曾用名:沈阳
花名:阳仔
英文名:XIAO Shenyang(小sun样儿)
性别:男
出生年月:1981年5月7日(阴历四月初四)
星座:金牛座
年龄:28岁
生肖:鸡
籍贯:辽宁省 铁岭市 开原市
妻子和子女:沈春阳(即小沈阳的搭档,25岁)有一女儿(4岁)
身高:174cm左右
体重:约60公斤
职业:艺术家/演员
血型:AB型
毕业学校:辽宁省开原市上肥地乡代庄小学
人生格言:走别人的路,让别人无路可走
座右铭:
不要只想要,付出不能少。 不要急着要,一定要戒躁。
不要求回报,该到自然到。 不要急得到,心静便无恼。
说话要想好,办事要公道。 说到要做到,不要瞎编造。
做人要地道,才能步步高。 走就走正道,好人有好报。
体型:很好
星座:金牛座
性格:浪漫迷人、成熟稳重、风趣幽默、活泼可爱、开朗大方、感情专一、善解人意、诚实坦白
口头禅:为什么呢? 啪啪的!……hang~ 哎呀我的妈呀
偶像:成吉思汗
喜欢的活动:民间艺术、唱K、看电影、游戏对战
喜欢的食物:素食
喜欢的歌星:孙楠 刀郎 (赵本山说“屎壳郎”)许巍
喜欢的电影:冯小刚拍摄的电影
个人介绍:山不转水转,水不转人转,风风火火二人转,转不出的缘里缘外,转不完的缘系缘牵,我就是“为戏痴迷 为歌疯狂”小沈阳是也。
师父:赵本山
所从事的行业:影视/娱乐/体育
嗜好:吸烟、喝酒
[编辑本段]生平简介
小沈阳,深受广大二人转爱好者的欢迎。
他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。
沈鹤出生于开原市一个贫苦的农民家庭,艰苦的家庭条件并没有阻挡他对艺术的向往,反而成为了他受益终身的财富。上学期间他就积极参加学校、县里组织的各项文艺活动,老师常表扬有超众的艺术天分。
高中毕业以后,进入铁岭县艺术团学习二人转表演。老师系统的教导、良好的艺术天赋再加上自身的不断努力为他的演艺生涯打下了坚实的基础。在铁岭县艺术团期间,他积极地参加下乡演出,在田间地头与观众面对面的交流使他深刻地感受到老百姓对二人转的喜爱,也更加坚定了他将二人转艺术作为一生的追求。
2000年他进入吉林林越艺术团,扎实的基本功、诙谐的表演方式使其深受观众的欢迎和好评,观众的认可无疑是他更大的动力,促使他以更高的艺术标准来要求自己。2001年,参加之一届“本山杯”二人转大赛获得了铜奖,对于一个学习二人转只有4年的新人来说,这个奖项是对他多年来的付出的一个肯定。
19岁时和老婆沈春阳恋爱,当时把自己的经济交给夫人管理,虽然钱包里每次不超过100,一次演出的出场费也才40、50元。但是对于老婆的爱一尘不变。
2006年阴历八月十五,他正式成为赵本山的弟子,开始系统的学习二人转。通过老师的悉心指导工作和自身的刻苦努力,在艺术的道路上有了质的飞跃,辽宁民间艺术团的广阔平台也给了他充分展示自己的机会。
他在以“刘老根大舞台”为基地的舞台上辛勤耕耘,为弘扬绿色二人转贡献出了自己的力量。 在2008年春节晚会筹备期间,就有小沈阳登台演出的消息广泛传播。虽然当年没有登上08春晚舞台,但 *** 上小沈阳演出视频非常火爆。在《乡村爱情》1、2中也有角色扮演,深受大家喜欢。
随后在2009年中央电视台春节联欢晚会中与师傅赵本山搭档演出小品后,受到更多人的喜爱。
[编辑本段]拜师经历
小沈阳在哈尔滨唱二人转那会儿,就跟现在的师兄弟都认识了,他们经常跟赵本山提起小沈阳,说他唱得不错。2006年5月的一个夜里,小沈阳接到一个 *** ,那人一直不出声,就是呵呵地在 *** 里笑。小沈阳有点不敢相信,冒昧问“哎呀妈呀,难道是赵老师?”对方一句“怎么地?”小沈阳蒙了,激动得有些“麻爪”。当时赵老师说,“听说你唱得挺好,就来沈阳发展吧!”。
可拜师也不那么容易,赵本山亲自在当时的铁西和平影剧院给小沈阳考试。考试通过后,2006年的中秋节,小沈阳正式拜师,拜师时,师父跟小沈阳说的唯一的一句话就是,“好好干,犯错误收拾你”。
[编辑本段]电视剧作品
《乡村爱情Ⅱ》扮演齐三太镇长夫人的侄子王天来。
《关东大先生》中扮演“小奉天”。
[编辑本段]从艺经历
2009春晚小品《不差钱》小沈阳剧照1995年至1998年在铁岭学习二人转表演
1999年正式演出
2000年参加首届本山杯二人转大赛 获铜奖
2006年参加刘老根大舞台二人转大赛 获季冠军
2006年阴历八月十五被赵本山收为徒弟,他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。
2007年12月初次登陆央视舞台,在电视剧群英汇晚会中表演了《我要当明星》片段,获得满堂彩。
2008年1月有机会参加央视春晚的审查,送选节目《我要当明星》,惟妙惟肖地模仿了刀郎、刘德华、张雨生、阿杜、阿宝的演唱,震惊四座。最终被评价为与春晚主题不够相符未能与全国人民在大年夜开心笑一回。
2008年2月20日再次应央视春晚导演邀请参加元宵晚会的录制,表演《我要当明星》,再次震惊四座,但在2月21日正式播放时因节目时间过长未播出。
2009年1月24日终于参选春节联欢晚会,和老师赵本山同台表演小品《不差钱》,获得全国观众高声叫好,从而一炮走红,身价从2006年的500元瞬间飙升至30—50万元。
2009年1月25日参加北京电视台春节联欢晚会,表演小品《超级大明星》,表演的惟妙惟肖。小沈阳北京春晚
[编辑本段]小沈阳作品 ***
搞笑类:
“烤肉串”+早期作品大全:
北票演出:
中国足球:
东方斯卡拉:
大话西游:
公安部慰问演出:
刘老根大舞台:
刘老根大舞台冠军:
天津电视台:
元宵未播出:
笑动2008 :
参加春晚审查:
辽宁台小品求婚:
与赵本山合演小品《不差钱》
搞笑秀:
笑话上坟:
和四舅妈:
笑在新春:
不差钱:;ct=301989888rn=20pn=0db=0s=0ty=10
唱歌类:
把泪擦干
回家真好:
囚歌 :
小沈阳练习:
模仿刀郎:
模仿张宇:
模仿冰雨:
后台排练:
春晚彩排:
搞笑唱歌:
千里之外:
访谈类:
小沈阳给天健网友拜年 :
元宵被毙:
辽宁晚报采访:
唱二人转被哄下场:
春晚“被毙”感受:
谈赵本山收徒标准:
赞东北:
星播客拜年:
正戏类:
闪闪的红星:
正戏:
小帽《双回门》:
江南寡妇:
刘三姐上寿:
包公铡侄:
汉琦杀庙:
包公断太公:
电视剧类:
乡村爱情2小沈阳演出片段集锦:
乡村爱情2(完整版41集全):
乡村爱情2首映演唱:
其他类:
电子相册: 1、分解板:地址:
2、完整版+动画版:
3、至尊玉动画版:
4、小沈阳 *** (完整版+漫画版).mp4
小沈阳“五一乐翻天”电子相册:
[编辑本段]个人博客
小沈阳官方网站 沈采飞阳(歌迷网)
[编辑本段]经典台词
1 这是为什么呢
2 走别人的路,让别人无路可走
3 我太有才了,上辈子我是裁缝
4 都说我长得寒碜,不过我妈挺稀罕我,我妈说小时候带我去公园,老多人围着问 我妈, “大姐,你家这猴搁哪买的?” 现在我都长开了。
5 出名了仍要慢慢发展看看我穿的这身衣服,啥,你说我这大红配大绿不好看,别瞧不起人,我的衣服都是从专卖店买的。
6 我在商场逛,随便问一个服务员,你卖这衣服多少钱?她说,180元。我说,30元卖不?她说卖,然后就让我交钱,我说,我不买,就是随便溜达。
7 太阳出来东方亮 山炮啥样我啥样
8 多喜庆啊
9 ——我看你长得好年轻哦 这化妆品好厉害哦 眼瞅着都六十的人了 谁能看出来了
——谁六十啊 人家一朵花没开呢
——是啊 仙人掌嘛 六十年一开花
10 pia pia 我就溜达,我可顽皮了呢!!
11 眼睛一闭一睁一天儿过去了hou~,眼睛一闭不睁,一辈子过去了hou!
12 我到家了,你们还追啊!!
13 不用拍,到我的班就是休息!
14 我看谁没鼓掌,半夜趴你家窗户~~
15 我的中文名叫小沈阳,我的英文名叫xiao shen yang ~~~~~!
16 老妹儿,你能抓着我啊~~
17 咿~~穿跑偏了,哎呀妈呀,我说走道咋没有裆nia。
18 我是有身份的人,什么是有身份的人呢?就是有身份证的人就是有身份的人!
19 太阳出来照大地!欢迎大伙来看戏
20 诶呀妈呀,我可稀罕我这个小包了。320……打完折15
21 我自己能做到的事,从来不麻烦别人
22 我走死你~~~~
23 观众朋友们吖~~他们都说我长地像变态~!告诉你们,其实我可正常咧~!!!!
24 放你个五彩玲珑月光电缆屁!
25 趴趴地就溜达,谁叫我也不回头。
26 到我班儿了嚎,大伙儿不用老鼓掌.你们的手腕子一疼.我的心都疼.
27 你瞎啊!!!我这是棉花套只!!!!
28 哎呀我说别人跑你不跑是吧...你藐视我是吧! 我说你咋不蹽呐~~我来啦....
29 来哥啊?我小唐,恩那~到女儿国了~老狠了~扇嘴巴子~
想开心看二人转,想闹心就看一下足球,想往死了闹心就看一下中国足球
30 人不可貌相`海水不可瓢崴
31 给朋友们来个另类点的 台湾著名歌星 *** 的歌送给大家
美国著名摇滚电视剧连续剧水浒传的主题歌护花使者的片头曲刀郎的情人献给大家
32 朋友们呐.他们都说柞瞅我长的磕碜.其实我一点也不磕碜.不信你细瞅.......还赶不上柞瞅呢哈
33 我不是名人 就是一人名
34 这跟头 我练七八年~
35 -玉帝哥哥
-爱 八戒
-玉帝哥哥你是从哪里来啊!
-伊拉克!
-太他妈远了吧~
-远了,那平房!
-没打着 没打着 你妈 *** 长白毛!
-我要的是真经
- *** 我这也不是水货啊!
36 就那伊拉克 你说国家都快黄了
37 -你瞅你长这么难看还出来溜达,在家呆着呗
-就光看你 都撞树上了
38 感谢你们鸦雀无声~
39 我虽然不是名人朋友们,但是像我们周边这些国家,像马来西亚、泰国、越南、新加坡,还有俄罗斯哈----------------我都没去过~
40 别看我长得变态 其实我老有才了
41 这种感觉就是上气不接下气 ...啊吗...上就要短气
42 阿姨阿姨夫你们好~
43(模仿阿杜)你听见了么? 呃~我还没唱呢~
44 老妹你别害怕 我是人 不是鬼阿~
45 呸 臭不要脸的~
46 我给你讲我就穿我这身休闲~
47 你说我是男是女袄 这个问题给我也整矛盾了~
48 奶奶 你真不去袄 那太好了 ~
49 奶奶 我不是玩意
50 哥,你回来了?sit down please!
51太阳出来照大地!欢迎大伙来看戏!要问我是哪一个,人送外号小巩俐!
52 矿泉水喽~茶蛋香肠烤鱼片儿喽~
53 小沈阳说他做飞机空姐就这么喊
54 就是,有一种大海地感觉呢。。。
55 亩嘛呀(这个读法读起来真像,感谢发明者),吃饭还能伤银呐?
56 Q7地,开不起我还背不起么!
57 你咋害不撩尼?你藐视我是不?我来了。。。
58 姐,姐你猜我这小包夺钱你猜,320你信不,打完则15,嗯,老便宜了。
59 哥啊 你就是我亲爹
60 出来吧四舅妈 ,那我叫你啥呢老婶 !
61 就溜达piapia地,谁招我我也不回头,就溜达。
62 老妹儿你能抓住我呀!
63 老妹年啥时候来的啊,咋不给我打 *** 呢?
64 孩子,你先睡吧。谁把我名抠错了我出来改改”
66 哎呀我去,这不老萨吗,这不兰奇吗
67 ——哎呀嘛哥,你是不是唱二人转那小子,你叫小沈阳啊?
——是怎么地?
——哎呀妈呀,你瞅你长得哈,有一种大海的感觉呢
——小妹儿你是不是喜欢我呢,是不是爱上我了呢?
——哥吖,你别误会,我晕船,我一看到大海吧,我就想吐。
68 什么姑娘,人家是纯爷们
69 人生最痛苦的事情是,人死了,钱没花了~~~~~!
70 毕老师,你给我照个相呗~~
71 有,还是没有啊?
72 哎呀妈呀
73 你是?白岩松?不对!朱军?!等等我想想
老毕!哎呀妈呀!你是毕老师不?
妈呀你咋出来了哪?来人啊!毕老师跑出来了!来人啊~别一会儿跑了~
74 四舅妈:就我最欣赏你咧~你长得太创意了~跟车祸现场似的~~这半辈子就含着眼泪过die~下辈子我一定要找一个骑着白马的王子。
小沈阳:骑着白马的不一定是王子,唐僧有时也骑白马。
四舅妈:唐僧也比你强。
小沈阳:是,能过就过,不能过就吃肉~还能长生不老、。
75 老毕:你多大啦?~
小沈阳:免贵28.
76 哎呀妈呀 老牛B了
77.你说这玩意儿整的~
78,这个..真没有..
79我的搭档并不好看,跟别的女孩不同,因为他是混血儿,他妈是沈阳的,他爸是天津的~