本文知识要点：
   （1）使用Google搜索管理后台真实地址
（2）LCX端口转发程序突破内网限制
（3）Asp.net类网站的渗透思路
对于数据库用户权限为Public的网站渗透相对较难，设置为这种权限，多数具有较高的
安全意识，在通过SQL注入点获取是Public权限时，需要多方分析，尝试各种方法进行渗
透测试，但不管如何，存在SQL注入点就是一种突破，通过SQL注入能够获取网站数据库的
一些信息，通过这些信息再次进行渗透和提权就相对会容易一些。尤其是在获得网站后台管
理员权限的情况下，通过文件包含、数据库备份、图片上传、文件上传、插入一句话等来获
取Webshell。下面就以一个实际案例来分析如何利用Public权限渗透某asp.net网站。  1.寻找SQL注入点
    通过查看网站的各个页面，寻找有参数传入的页面，在有参数的页面中进行出错判断，
如图1所示，在传出参数typeid=1后面附加“’”使其自动爆出错误，通过该错误信息可
以知道数据库为MSSQL。 2.使用各种SQL注入工具进行信息收集和数据猜测
    对于Asp.net类型网站除了一些大型商业专用渗透工具外，还有一些免费的工具，例如
Pangolin、Havij、Domain3.5、HDSI2.5以及啊D等SQL注入工具。在本次渗透过程中先后
使用了Pangolin、Havij，如图2所示，使用Havij1.2免费版本测试效果并不好，未能获
取更多的信息。

（1）在发现SQL注入点后一般先使用一些自动测试工具进行测试，在测试时可以依次
使用多个工具进行测试，虽然这些SQL注入工具功能大致相同，但在某些场景下，使用有些
工具能够成功，然而使用某些工具就不一定成功。
（2）先工具后手工，事后进行总结加深对渗透到理解，并将有用的技巧收集整理。
3.使用Domain3.5检测到目标网站存在SQL注入点
打开Domain3.5 SQL注入工具，单击“SQL注入”-“SQL注入猜解检测” ，将刚才测试
所出错前的正常页面地址复制到“注入点”中，然后单击“开始检测”，如果该注入点能够
进行SQL注入，则会在检测信息中显示详细信息，如图3所示，获取该数据库是MSSQL，当
前数据库以及当前权限等信息。

4.猜解数据库中的表和表中的数据
这一步是SQL注入检测中最重要的一步，如果能够成功，就意味中可以查看和修改数据
库中的数据，单击“猜解表名”猜解数据库中一共有多少表，在本例中一共有33个表，然
后查看数据库表名称来判断哪个表是保存有管理员用户名和密码的，确定并选中，然后单击
“猜解列名”来获取表中的具体列名，然后选择需要查看内容的列名，最后单击“猜解内容”
来获取其相应信息，如图4所示，获取了管理员的密码，而且管理员的密码是明文的未加密！

5.扫描和获取后台地址
在Domain3.5中单击“管理入口扫描”来获取管理入口的具体地址，在本例中通过
Domain3.5未能获取管理后台地址，这时候就需要动用其他方法，一个比较好的方法就是利
用搜索引擎，使用“site:somesite.com 登录”或者“site:somesite.com 系统管理”等来
搜索后台地址，如图5所示，获取了后台的详细地址。 6.登录测试和验证
直接打开从搜索引擎中获取的后台地址，如果能够正常访问说明该页面可能是真正的后
台地址，如图6所示，该页面能够正常访问，且通过页面信息可以判定该地址就是管理后台
地址，输入刚才获取的用户名和密码进行测试， 登录成功

7.寻找、测试和获取Webshell
（1）获得图片上传页面
当使用SQL注入工具或者手工注入获得管理员的用户名和密码成功登录系统后，需要查
看系统信息发布等模块，查看是否存在文件上传部分，如果没有，则尝试插入一句话进行后
台备份等操作。在本次渗透过程中通过查看后台的各个功能模块，发现有四个信息添加模块，
在新建会员模块中存在上传图片模块，单击链接进入新建会员模块，如图8所示，在图片中
直接选择一个asp.net的Webshell，然后上传。上传结果显示成功

（2）查看文件上传的真实地址
虽然页面显示文件上传成功，但还需要找到文件上传的真正地址，核对上传的文件是否