文档编号:
项目代号:
xxxx有限公司内网安全咨询服务项目
渗透测试报告
Version 1.0.0.2
上海上讯信息系统工程有限公司
2009.09
保密申明
本安全方案包含了来自上讯可靠、权威的信息,此信息仅作为九禾股份有限公司信息系统内网安全服务咨询项目渗透测试报告,接受本报告即表示同意对其内容保密并且未经上讯(SXIS)书面请求和书面认可,不得向外界复制,泄露或散布此方案。如果你不是有意接受者,请注意对本方案内容的任何形式的泄露、复制或散布都是被禁止的。
文档信息表
| 文档基本信息 | |||||
| 项目名称 | xxxx有限公司内网安全咨询服务项目 | ||||
| 文档名称 | xxxx有限公司内网安全咨询服务项目渗透测试报告 | ||||
| 文档版本 | 1.0.0.2 | 是否为正式交付件 | 否 | ||
| 文档创建日期 | 2009-09-09 | 当前修订日期 | 2009-09-16 | ||
| 保密级别 | 商密 | 文档审批要求 | 是 | ||
| 文档审阅信息 | |||||
| 审阅人 | 职务 | 审阅时间 | 审阅意见 | ||
| 吴海波 | 高级安全咨询顾问 | 2009-09-17 | 根据专家顾问组意见继续修订。 | ||
| 文档批准信息 | |||||
| 批准人 | 职务 | 批准时间 | 批准意见 | ||
| 黄永飞 | 安全服务项目经理 | 2009-09-19 | 1.0.0.2版本作为正式版递交用户。 | ||
| 文档修订信息 | |||||
| 版本 | 修正章节 | 日期 | 作者 | 变更记录 | |
| 1.0.0.0 | 全部 | 2009-09-09 | 杨立 | 创建文档 | |
| 1.0.0.1 | 部分章节 | 2009-09-11 | 王晖东 | 文档标准化 | |
| 1.0.0.2 | 部分章节 | 2009-09-17 | 黄永飞 | 修订文档 | |
文档信息表 2
目 录 3
1 概述 4
1.1 目标 4
1.2 范围 4
1.3 可行性分析 5
1.3.1 渗透测试原理 5
1.3.2 渗透测试的必要性 5
1.4 渗透测试的可行性 5
1.4.1 渗透测试对现有信息资源的要求 5
1.4.2 渗透测试的方法 6
1.4.3 渗透的具体手段 6
1.4.4 渗透过程中使用的工具 6
1.4.5 渗透测试前后系统的状态 7
1.5 渗透测试的方法 7
2 渗透结果 8
2.1 服务器部分 8
2.1.1 192.168.0.2 8
2.1.2 192.168.0.5 11
2.1.3 192.168.0.6 13
2.1.4 192.168.0.12 14
2.1.5 192.168.0.11 15
2.1.6 192.168.0.10 17
2.1.7 192.168.0.58 18
2.1.8 192.168.2.2 20
2.1.9 192.168.2.3 23
2.1.10 192.168.8.3 24
2.2 网络设备 27
2.2.1 网络设备渗透思路 27
2.2.2 192.168.0.240 27
2.2.3 192.168.2.253 28
1
概述
1.1目标
为了了解xxxx网络系统的安全现状,在许可与可控制的范围内,对xxxx的网络系统进行渗透测试,从攻击者的角度来对xxxx网络系统的安全程度进行评估。
1.2范围
渗透测试的范围仅限于经过xxxx以书面形式进行授权的服务器、网络应用系统,使用的手段也经过客户的书面同意。上海上讯信息系统工程有限公司承诺不会对授权范围之外的网络主机设备和数据进行测试、模拟攻击。
测试范围:
| 类型 | 业务功能 | IP地址(内部) |
| 对外服务器 | 邮件服务器 | 192.168.2.3 |
| 安盟认证服务器 | 192.168.2.2 | |
| 虚拟机应用服务(测试系统、WEB网站等) | 192.168.0.58 | |
| 内部服务器 | 用友/网管软件服务器 | 192.168.0.2 |
| 文件/瑞星病毒服务器 | 192.168.8.3 | |
| ERP系统-Oracle数据库 | 192.168.0.5 | |
| ERP系统-金蝶EAS | 192.168.0.6 | |
| 备份管理服务器 | 192.168.0.10 | |
| 磁带库 | 192.168.0.11 | |
| 测试机 | 192.168.0.12 | |
| 网 络 设 备 | 核心交换机 | 192.168.0.240 |
| Array VPN网关 | 192.168.2.253 |
1.3.1渗透测试原理
渗透测试主要依据已经发现的安全漏洞,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试。
1.3.2渗透测试的必要性
渗透测试利用安全扫描工具和富有经验的安全工程师人工对网络中的主要服务器及重要的应用系统等进行非破坏性质的模拟黑客攻击,目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。由此确定用户系统所存在的安全威胁。并能及时提醒安全管理员完善安全策略,降低安全风险。
渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高(渗透测试报告的价值直接依赖于测试者的专业技能),但是非常准确,可以发现逻辑性更强、更深层次的弱点。
1.4渗透测试的可行性
1.4.1渗透测试对现有信息资源的要求
渗透测试主要针对服务器系统进行,因此将占用服务器系统及其所在的网络环境的部分资源。对于其他的资源没有特殊的要求。
1.4.2渗透测试的方法
黑客的攻击入侵需要利用目标网络的安全弱点,渗透测试也是同样的道理。它模拟真正的黑客入侵攻击方法,以人工渗透为主,辅助以攻击工具的使用,这样保证了整个渗透测试过程都在可以控制和调整的范围之内。
1.4.3渗透的具体手段
本次渗透主要以人工渗透为主,辅助以攻击工具的使用。
口令猜测 主要用工具辅助猜解用户口令。
缓冲区溢出 会对系统造成一定的影响,渗透测试中建议不使用。
WEB程序渗透 对WEB程序做相关渗透,主要以人工渗透为主。如:SQL注入漏洞、上传漏洞以及WEB程序在开发过程中的一些其他漏洞。
数据库渗透 对SQL SERVER、oracle、mysql等的设置,用户口令等做相关的渗透。
其它方法 (在实际渗透中,其它的一些方法,需和用户方确认)。
1.4.4渗透过程中使用的工具
1、Hscan:扫描器主要用于在渗透过程中的扫描和弱口令猜测;
2、FoundstoneEnterprise:一款商业漏洞扫描器;
3、AppScan:扫描web应用的基础架构,进行安全漏洞测试并提供可行的报告和建议;
4、SSPort: 端口扫描工具;
5、putty: SSH连接工具;
6、IISPutScanner: iis写权限测试工具;
7、其他;
1.4.5渗透测试前后系统的状态
由于采用可控的、非破坏性的渗透测试,不会对被评估的系统造成影响。在渗透测试结束后,系统将基本保持一致。
1.5渗透测试的方法
本次渗透采用的方法主要可以分为:
ØWEB脚本漏洞
这是目前出现的主流攻击手段、对服务器的危害最严重,防不胜防。同时又是一种对WEB程序知识、系统应用知识要求较高的一种渗透方法。
Ø口令猜测
口令猜测也是一种出现概率很高的风险,几乎不需要任何攻击工具,利用一个简单的暴力攻击程序和一个比较完善的字典,就可以猜测口令。
对一个系统账号的猜测通常包括两个方面:首先是对用户名的猜测,其次是对密码的猜测。
Ø远程溢出
远程溢出主要是针对服务器系统或是第三方软件存在的远程溢出漏洞进行攻击,从而得到相关的权限。达到攻击的目的。
2
渗透结果
2.1服务器部分
2.1.1192.168.0.2
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.0.2(用友/网管软件服务器)时,首先使用端口扫描器SSPort对服务器进行端口扫描,扫描结果如下图:
图:192.168.0.2端口开放情况
手工测试:
通过手工测试发现,服务器192.168.0.2的8000端口为WEB服务端口(九禾内部信息网),对该web程序进行测试发现存在任意文件下载漏洞。如下图:
图:下载任意文件漏洞
地址中的变量id即为文件的路径,通过改变变量id来下载web上的任意文件。可通过下载网站的数据库链接文件获得mssql连接账号和密码,如下图:
图:sql连接账号和密码
漏洞利用:
使用sql查询分析器连接mssql上执行命令,测试发现不能直接执行存储过程xp_cmdshell执行系统命令,最后改用沙盒提权方式获得系统权限,如下图:
图:使用查询器连接sql
沙盒提权方式原理:Access可以调用VBS的函数,以System权限执行任意命令。但是Access执行这个命令是有条件的,需要修改注册表中一个默认关闭的项,结合下载漏洞获取得到的sa账号和密码,连接mssql执行存储过程xp_regwrite来修改注册表,具体语句为:
Exec master..xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\\Microsoft
\Jet\\4.0\\Engines','SandBoxMode','REG_DWORD',0;--
再通过执行下列sql语句来执行系统命令:
select * from openrowset('microsoft.jet.oledb.4.0',';database=
c:\\winnt\\system32\\ias\\ias.mdb','select shell("cmd /c 系统命令"))
通过上面的步骤添加系统用户并成功登陆服务器的远程桌面,如下图:
图:192.168.0.2终端
最终渗透获取192.168.0.2(用友/网管软件服务器)管理员权限。
2.1.2192.168.0.5
渗透思路:
在已经获取管理员权限的服务器(192.168.0.2)上发现装有FlashFXP软件,而FlashFXP软件存在通过配置文件获取密码的漏洞,具体操作为:
把FlashFXP上的管理站点的配置文件Sites.dat下载回本地,并覆盖本地FlashFXP的Sites.dat文件,再通过星号查看器获取明文密码。
图:FlashFXP站点链接信息
漏洞利用:
通过星号查看器获取了ftp的明文密码,测试发现成功连接到服务器上。如下图:
图:192.168.0.5 ftp登陆情况
使用该账号和密码利用SSH成功登陆到了此服务器,并通过查询发现还具有系统管理员权限。如下图:
图:192.168.0.5 SSH登陆情况
2.1.3192.168.0.6
渗透思路:
在渗透192.168.0.6(ERP系统-金蝶EAS)时,使用渗透192.168.0.5同样的方法。测试发现使用得到的ftp账号和密码也成功登陆,且具有系统管理员权限。如下图:
图:192.168.0.6 SSH登陆情况
至此,获取到ERP系统-金蝶EAS的系统权限。在拿到系统权限后,继续测试发现服务器上的金蝶Apusic Web管理控制台使用的是默认密码。如下图:
图:Apusic Web管理控制台
2.1.4192.168.0.12
渗透思路:
在渗透192.168.0.12(测试机)时,使用渗透192.168.0.5同样的方法。测试发现使用得到的ftp账号和密码也成功登陆,且具有系统管理员权限。如下图:
图:192.168.0.12 SSH登陆情况
至此,获取192.168.0.12(测试机)的系统权限。
2.1.5192.168.0.11
渗透思路:
磁带库主要是为业务系统的数据库提供网络备份功能,一般的渗透方法为测试弱口令。
工具扫描:
在渗透192.168.0.11(磁带库)时,使用工具对其扫描获得下面的结果,如下图:
图:192.168.0.11扫描结果
使用扫描得到的ftp账号密码成功登陆服务器,如下图:
图:192.168.0.11 ftp登陆情况
漏洞利用:
扫描还发现磁带库开放了23端口,测试使用ftp的账号密码telnet到磁带库,如下图:
图:成功 telnet 192.168.0.11
至此,成功获取到磁带库的配置权限。
2.1.6192.168.0.10
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.0.10(备份管理服务器)时,通过扫描了解服务器提供的服务。如下图:
图:192.168.0.10 扫描情况
服务器虽然开放了80端口,但是通过访问在80端口上并没有访问到具体的web程序。
服务器还开放了33(终端服务),通过弱口令测试未能成功。
2.1.7192.168.0.58
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.0.58(虚拟机应用服务)时,通过扫描器获取到部分端口开放情况,如下图:
图:192.168.0.58 扫描情况
对服务器的MSSQL进行弱口令测试,未发现弱口令漏洞。
通过内网扫描,192.168.0.58上运行的虚拟机上运行着九禾web主站,IP地址是:192.168.0.14。 扫描结果如下图:
图:192.168.0.14扫描结果
手工测试:
通过工具扫描和手工测试得知,九禾网站使用Win2k3+Apache+Mysql+php架构,对主站测试结果如下:
SQL注入测试,没有发现注入漏洞
后台弱口令测试,未发现弱口令漏洞
上传测试,前台没有上传功能
XSS跨站测试,网站存在跨站漏洞,具体原因为:网站在接受变量参数时,如果变量出错,会在页面上显示出用户提交的错误变量。程序没有对这个输出变量做过滤导致XSS漏洞的产生。漏洞利用URL如下:
http://www.jiuhe.net/index.php/xx%22%3Ciframe%20src=http://www.baidu.com%3E%3C/iframe%3E
图:主站XSS漏洞
通过图片可以看出,成功在页面上嵌入其他网站页面。跨站漏洞虽然不能直接对网站构成威胁,但是可以通过跨站漏洞构造钓鱼页面,获取用户的敏感信息。
对服务器的3306(Mysql)端口测试,服务器了IP连接。
对服务器的33(终端服务)端口测试,未发现弱口令漏洞。
2.1.8192.168.2.2
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.2.2(安盟认证服务器)时,使用扫描器Hscan扫描得到以下结果:
图:192.168.2.2 扫描结果
漏洞利用:
通过扫描结果发现服务器存在SQL弱口令,使用查询分析器连接上去,如下图:
图:192.168.2.2 sql连接
同渗透2.1.1章节中的服务器(192.168.0.2)方法一样,通过沙盒提权方式获取系统权限,添加系统用户并登陆远程桌面,如下图:
图:192.168.2.2 终端
渗透扩展:
利用工具SAMInside提取系统的NT HASH,如下图:
图:192.168.2.2 NT HASH
使用彩虹表破解NT HASH得到管理员的明文密码,使用这些明文密码去登陆内网的其他终端服务器,并未获得成功。
2.1.9192.168.2.3
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.2.3(邮件服务器)时,发现只有一个邮箱登陆页面,使用工具扫描获取服务器信息,如下图:
图:192.168.2.3 扫描结果
漏洞利用:
扫描结果显示有POP3弱口令,使用该弱口令登陆邮箱,如下图:
图:邮箱登陆
虽然这只是个测试邮箱,但是攻击者可以从这个邮箱中获取到更多的有用的信息,甚至会造成公司内部重要信息的泄漏。
2.1.10192.168.8.3
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
在渗透192.168.8.3(文件/瑞星病毒服务器)时,对服务器常用端口扫描发现只开放了80(web)端口,再利用web扫描工具扫描发现服务器运行着内网安全管理及补丁分发系统。如下图:
图:内网安全管理及补丁分发系统web登陆界面
使用登陆界面上显示的默认账号和密码登陆测试,未能登陆成功。
通过手工测试发现,该登陆页面由于没有对客户端提交的用户名过滤导致SQL注入漏洞的产生。如下图:
图:注入获取管理员账号和密码
对注入漏洞获得的md5加密的密码破解,获得明文密码并成功进入该系统,如下图:
图:成功登陆管理后台
通过测试还发现,该web程序使用的数据库链接账号为sa,可以利用存储过程xp_cmdshell直接执行系统权限的命令,如下图:
图:通过注入漏洞运行systeminfo命令
至此,已经获取服务器的管理员权限,由于服务器做了安全设置未能连接服务器的远程桌面。
2.2网络设备
2.2.1网络设备渗透思路
网络设备的渗透有别于一般服务器的渗透,因为网络设备的功能主要是支撑起整个网络的架构,而服务器是镶嵌在网路中的点,主要的功能是对用户提供服务。对于网络设备的渗透主要手段为:利用默认的账户名和密码﹑社会工程学(利用在渗透中获取的密码作为字典对网络设备进行暴力破解)﹑嗅探(由于安全原因一般不适用)。
2.2.2192.168.0.240
在渗透192.168.0.240(核心交换、服务器接入)时,通过扫描器扫描得到交换机开放23和80端口来提供登陆管理,测试发现交换机使用弱口令,成功登陆核心交换机获取配置权限,如下图:
图:核心交换机登陆成功
核心交换机是是整个网络重点之一,密码应该符合一定的安全规则,如果核心交换机出错将导致整个网络瘫痪。
2.2.3192.168.2.253
渗透思路:
使用工具扫描服务器端口获取端口开放信息,通过端口来了解服务器提供的服务,并针对这些服务做安全检测。
工具扫描:
使用端口扫描工具SSPort对该网络设备扫描,扫描结果如下:
图:端口扫描结果
通过手工测试发现,Array VPN网关提供22端口供命令行登陆管理,而8888端口提供web方式登录管理。通过测试未发现弱口令漏洞,渗透未能取得其他成果。下载本文
