XX项目渗透报告

XX项目渗透测试报告XX项目渗透测试报告第1页共22页目录1系统背景...................................................................................................32.1系统的逻辑架构........................................................................................................33渗透准备...................................................................................................34渗透结论...................................................................................................55安全建议...................................................................................................5X渗透测试方法............................................................................................5X.1目标..........................................................................................................................5X.2范围..........................................................................................................................5X.3使用工具...................................................................................................................67测试过程...................................................................................................68总结........................................................................................................108.1存在隐患.................................................................................................................108.2安全建议.................................................................................................................10XX项目渗透测试报告第2页共22页XX项目渗透测试报告第3页共22页1系统背景1.1征管系统的逻辑架构征管系统采用了三层架构，即表示层、应用逻辑层和数据层。表示层是三层架构中用户访问应用系统的所使用设备的总称，它可以是计算机IE浏览器，也可以是PDA、手机等。表示层的主要功能是发送用户的请求信息给后端的应用逻辑层，并接收应用逻辑层返回的数据，最终展现在客户端设备的界面上。征管系统的表示层是软件开发商采用了.NetFramework构建的智能客户端（smartclient）。智能客户端整合了IE浏览器和Windows控件。由于表示层还是采用浏览器技术，表示层与应用逻辑层的连接协议是HTTP。负载均衡主要是在多台WEB服务器间进行客户端请求的分配调整，充分利用服务器资源，提高响应速度。目前采用了一台F5的负载均衡器实现。应用逻辑层负责处理用户认证和相关业务逻辑的实现，是征管系统的控制层。它利用组件的形式提供用户权限控制，事务处理服务、安全控制服务、数据库访问服务等，同时征管系统的业务逻辑处理组件也在这一层部署。数据层是支撑逻辑事务层的底层结构，为应用逻辑层提供数据库数据存取的服务。在数据层中保存了征管系统的所有数据。2渗透准备渗透时间2011年X月X日，9:00~13:40。采用的方法：1基本网络信息获取2ping目标网络得到IP地址和ttl等信息3tcptraceroute和traceroute的结果XX项目渗透测试报告第4页共22页4whois结果5用X-SCAN，Nessus工具对网站进行端口扫描并判断操作系统类型xgoogle、yahoo、baidu等搜索引擎获取目标信息7FWtester、hping3等工具进行防火墙规则探测（2）渗透测试此阶段主要根据上一阶段所获得的信息对网站及所在网络进行渗透测试，主要包括工具扫描和手工测试，如果顺利的话可以获取相应的权限。1常规漏洞扫描和采用商用软件进行检查2结合使用极光与Nessus等商用或免费的扫描工具进行漏洞扫描3采用SolarWind对网络设备等进行发现4采用nikto、webinspect等软件对web常见漏洞进行扫描5采用如AppDetectiv之类的商用软件对数据库进行扫描分析x对Web和数据库应用进行分析7采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等8工具进行分析9用Ethereal抓包协助分析10用webscan、fuzzer进行SQL注入和XSS漏洞初步分析11手工检测SQL注入和XSS漏洞12采用类似OScanner的工具对数据库进行分析13基于通用设备、数据库、操作系统和应用的攻击XX项目渗透测试报告第5页共22页14采用各种公开及私有的缓冲区溢出程序代码，也采用诸如MetasploitFramework之类的利用程序集合。3渗透结论多处OA面板用户密码未修改通过一般用户登陆面板，知道管理员用户名通过字典破解成功获取密码x1.XX.XX.211存在注射漏洞4安全建议1.加强同一网段的主机的安全，禁止不必要的端口访问；2.及时更新系统及相关软件补丁；3.针对WEB过滤用户提交内容中包含的特殊字符；4.将登陆密码设置强度增大5.对WEB所有提交类型进行过滤6.将敏感目录的名称修改5渗透测试方法5.1目标XXOA5.2范围x1.xx.xx.211XX项目渗透测试报告第6页共22页x1.xx.xx.131x1.xx.xx.1x9x1.xx.xx.715.3使用工具手工6测试过程x1.1x.xx.71开放端口如下：PORTSTATESERVICE80/tcpopenhttp3389/tcpopenms-term-serv8000/tcpopenhttp-alt8001/tcpopenunknown8002/tcpopenteradataordbms8009/tcpopenajp138010/tcpopenxmppx1.xxx.xx.211开放端口如下：80/tcpopenhttp1025/tcpopenNFS-or-IIS10：20测试发现应用程序在用户名字段无效时会发布一条错误消息，在密码字段无效时会发布另一条错误消息。此行为可能让攻击者能够使用蛮力技术来枚举有效XX项目渗透测试报告第7页共22页的用户名和密码。风险描述当试图利用不正确的用户信息来登录时，当用户输入无效的用户名和无效的密码时，应用程序会分别生成不同的错误消息。通过利用该行为，攻击者可以通过反复试验（穷举攻击技术）来发现应用程序的有效用户名，再继续尝试发现相关联的密码。这样会得到有效用户名和密码的枚举，攻击者可以用来访问帐户。并且可能会升级用户特权并通过Web应用程序获取管理许可权。建议解决对每个错误的登录尝试发出相同的错误消息，不管是哪个字段发生错误，特别是用户名或密码字段错误。11：50问题描述在渗透测试过程中发现如下URL存在用户信息未加密传输的漏洞=1&MM=111此漏洞属于应用程序级别测试，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。问题描述远程终端未对连接次数与连接地址进行限制风险描述当有恶意用户可以通过软件进行暴力破解从而得到服务器的控制权限建议解决使用IPS对登陆IP进行限制若有特殊需要可对每个IP的登陆次数进行限制XX项目渗透测试报告第8页共22页WEBInjectionx1.xx.xx.211为一台WEB服务器，初步检测发现存在SQL注入漏洞，为MSSQL的数据库，数据库连接的用户为dbo权限，获取了管理的登陆账号并且成功获取webshell举例账号：adminjck2801340bengbubbwj2089009czwj2818050后台泄露了网站的物理路径，通过mssqllog备份成功获取webshell以下为通过MSSQL注入猜解数据库的截图：Webshell截图：XX项目渗透测试报告第9页共22页安全建议：在验证登陆的文件中，中过滤了GET提交的参数，却没有过滤POSTCOOKIE等，在conn文件中加入通用防注入代码。WEB敏感信息泄漏在一个登陆OA的窗口中，若用户密码错误，便会产生错误，改错误中泄漏了网站的物理路径，并且通过文件名推断出网站有可能采用Orcale数据库XX项目渗透测试报告第10页共22页7总结7.1存在隐患发现内网的各个主机之间没有做任何端口限制，开放了多个端口，建议关闭不必要的端口，主机之间的通信做相应的限制，不必要的端口禁止通信。Windows主机如果不使用共享，建议关闭共享服务。扫描记录中多次出现的共享相关的漏洞，由于没有弱口令，只能通过IPC空连接来获得一些系统信息，是给进一步渗透工作做收集信息的前期准备工作的，建议关闭此服务。，这次检测的系统，没有明显漏洞。WEB应用存注入，导致能够查看修改删除数据库，甚至获得系统权限。7.2安全建议及时更新系统补丁；内网主机互相通信间做限制，不允许不必要的端口之间的通信，并且关闭主机不必要的端口；针对WEB注入，需要修改代码，过滤用户提交数据中的特殊字符；人为漏洞存在导致网站被恶意用户访问安装智能型IDS对提交数据进行只能判断，并且做出响应对登陆用户IP进行限制对登陆失败次数进行限制