滲透測(cè)試的報(bào)告參考范本

目錄0x1概述滲透范圍滲透測(cè)試主要內(nèi)容0x2 脆弱性分析方法0x3 滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試弱口令測(cè)試Sql注入測(cè)試內(nèi)網(wǎng)滲透內(nèi)網(wǎng)嗅探0x4 分析結(jié)果與建議0x1 概述某時(shí)段接到 xx網(wǎng)絡(luò)公司授權(quán)對(duì)該公司網(wǎng)絡(luò)進(jìn)行模擬黑客攻擊滲透 ,在年xx月xx日-xx 年xx月xx日.對(duì)xx網(wǎng)絡(luò)公司的外網(wǎng)服務(wù)器和內(nèi)網(wǎng)集群精心全面脆弱性黑盒測(cè)試 .完成測(cè)試得到此份網(wǎng)絡(luò)滲透測(cè)試報(bào)告。滲透范圍此次滲透測(cè)試主要包括對(duì)象：某網(wǎng)絡(luò)公司外網(wǎng) web服務(wù)器.企業(yè)郵局服務(wù)器 ,核心商業(yè)數(shù)據(jù)服務(wù)和內(nèi)網(wǎng)辦公網(wǎng)絡(luò)系統(tǒng)。滲透測(cè)試主要內(nèi)容/16下載文檔可編輯本次滲透中，主要對(duì)某網(wǎng)絡(luò)公司web服務(wù)器郵件服務(wù)器進(jìn)行遍歷目錄用戶弱口令猜解，sql注入漏洞，數(shù)據(jù)庫(kù)挖掘，內(nèi)網(wǎng)嗅探以及域服務(wù)器安全等幾個(gè)方面進(jìn)行滲透測(cè)試。0x2脆弱性分析方法按照國(guó)家工信部is900標(biāo)準(zhǔn),采用行業(yè)內(nèi)認(rèn)可的測(cè)試軟件和技術(shù)人員手工操作模擬滲透。0x3滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試使用載入國(guó)內(nèi)外3萬(wàn)多目錄字典的對(duì)和郵件服務(wù)器進(jìn)行目錄探測(cè)。得到探測(cè)結(jié)果。主站不存在遍歷目錄和敏感目錄的情況。但是同服務(wù)器站點(diǎn)存在edit編輯器路徑。該編輯器版本過(guò)低。存在嚴(yán)重漏洞。如圖用戶口令猜解Nmap收集到外網(wǎng)服務(wù)器 ftp. 使用默認(rèn)的賬號(hào)無(wú)法連接 ,于是對(duì) web和能陸的界面進(jìn)行弱口令測(cè)試 ,具體如下圖/16下載文檔可編輯sql 注入測(cè)試通過(guò)手工配合工具檢測(cè) sql 注入得到反饋結(jié)果如下圖/16下載文檔可編輯根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示 :漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析－－－3目錄遍歷探測(cè)－－－4隱藏文件探測(cè)－－－3/16下載文檔可編輯CGI漏洞掃描－－－0用戶和密碼猜解－－－10跨站腳本分析－－－0SQL注射漏洞挖掘（含數(shù)據(jù)庫(kù)挖掘分－－－10析）風(fēng)險(xiǎn)總值30內(nèi)網(wǎng)滲透當(dāng)通過(guò)外圍安全一些列檢測(cè)。通過(guò)弱口令和注入2中方式進(jìn)入管理后臺(tái)。抓包上傳webshell得到后門開(kāi)始提升權(quán)限。當(dāng)發(fā)現(xiàn)web服務(wù)器處于內(nèi)網(wǎng)。也正好是在公司內(nèi)部。于是收集了域的信息。想從 web入手抓取域管理 Hash破解，無(wú)果。所以只能尋找內(nèi)網(wǎng)其他域管理密碼。 內(nèi)外通過(guò) ipc 漏洞控制了 2個(gè)機(jī)器。獲取到管。用metasploitsmb 溢出也得到內(nèi)網(wǎng)機(jī)器權(quán)限同樣也獲得域內(nèi)管理。用域管理 hash登陸域服務(wù)器。內(nèi)網(wǎng)的權(quán)限全部到手。/16下載文檔可編輯內(nèi)網(wǎng)嗅探當(dāng)?shù)玫絻?nèi)網(wǎng)權(quán)限其實(shí)就可以得到許多信息。但是主要是針對(duì)商業(yè)數(shù)據(jù)保密的原則。就還需要對(duì)內(nèi)網(wǎng)數(shù)據(jù)傳輸進(jìn)行一個(gè)安全檢測(cè)。 于是在內(nèi)網(wǎng)某機(jī)上安裝 cain 進(jìn)行嗅探得到一部分電子郵件內(nèi)容信息和一些網(wǎng)絡(luò)賬號(hào) .具體看下圖/16下載文檔可編輯/16下載文檔可編輯0x4 分析結(jié)果與建議通過(guò)本次滲透測(cè)試可以看出 .xx 網(wǎng)絡(luò)公司網(wǎng)絡(luò)的安全防護(hù)結(jié)果不是很理想在防注入和內(nèi)網(wǎng)權(quán)限中存在多處漏洞或者權(quán)限策略做的不夠得當(dāng)。 本滲透的突破口主要是分為內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)設(shè)備存在多處注入和弱口令破解。還有一方面原因是使用第三方 editweb 編輯器產(chǎn)生破解賬號(hào)的風(fēng)險(xiǎn)。內(nèi)網(wǎng)由于 arp防火墻和域管得策略做的不是很嚴(yán)密導(dǎo)致內(nèi)網(wǎng)淪陷。因此。對(duì)本次滲透得出的結(jié)論Xx網(wǎng)絡(luò)公司的網(wǎng)絡(luò)”十分危險(xiǎn)”第一章 五金行業(yè)概述 15五金行業(yè)簡(jiǎn)介 15五金行業(yè)特性 錯(cuò)誤!未定義書簽。五金行業(yè)典型組織架構(gòu) 錯(cuò)誤!未定義書簽。第二章 五金行業(yè)現(xiàn)狀和問(wèn)題分析 錯(cuò)誤!未定義書簽。五金行業(yè)存在的管理特點(diǎn) 錯(cuò)誤!未定義書簽。五金行業(yè)管理重點(diǎn)與常見(jiàn)的困擾、 錯(cuò)誤!未定義書簽。第三章 高格五金行業(yè)解決方案 錯(cuò)誤!未定義書簽?？傮w目標(biāo) 錯(cuò)誤!未定義書簽。應(yīng)用策略 錯(cuò)誤!未定義書簽。指導(dǎo)思想 錯(cuò)誤!未定義書簽。應(yīng)用要求 錯(cuò)誤!未定義書簽。實(shí)施方法論 錯(cuò)誤!未定義書簽。8/16下載文檔可編輯方案特色 錯(cuò)誤!未定義書簽?？傮w架構(gòu) 錯(cuò)誤!未定義書簽。技術(shù)架構(gòu) 錯(cuò)誤!未定義書簽。業(yè)務(wù)架構(gòu) 錯(cuò)誤!未定義書簽。工程技術(shù)基礎(chǔ)數(shù)據(jù)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。銷售訂單管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。出口管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求處理 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。9/16下載文檔可編輯供應(yīng)商與采購(gòu)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。倉(cāng)存管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。計(jì)劃管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。生產(chǎn)任務(wù)及工序管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。10/16下載文檔可編輯業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。委外加工作業(yè)流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。品質(zhì)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。賬款管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。11/16下載文檔可編輯關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。發(fā)票管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。固資管理 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽?？傎~系統(tǒng) 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。出納系統(tǒng) 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求解決 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。12/16下載文檔可編輯關(guān)鍵業(yè)務(wù)處理 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。人薪管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)處理 錯(cuò)誤!未定義書簽。成本管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。第四章 維護(hù)平臺(tái)介紹 錯(cuò)誤!未定義書簽。高格管理配置平臺(tái) VO－(AnyvOperationSystem) 簡(jiǎn)述錯(cuò)誤未定義簽。高格管理配置平臺(tái) 產(chǎn)品架構(gòu)圖 錯(cuò)誤!未定義書簽。用戶應(yīng)用自定義配置功能 (VOSUD-UserDefineTools) 錯(cuò)誤!未定義簽。自定義報(bào)表 錯(cuò)誤!未定義書簽。查詢方案配置 錯(cuò)誤!未定義書簽。消息提醒配置(含短信) 錯(cuò)誤!未定義書簽。13/16下載文檔可編輯自動(dòng)偵錯(cuò)功能 錯(cuò)誤!未定義書簽。權(quán)限配置 錯(cuò)誤!未定義書簽。用戶管理員工具 (VOSAT-AdministratorTools) 錯(cuò)誤!未定義書簽。系統(tǒng)參數(shù)字定義 錯(cuò)誤!未定義書簽。作業(yè)流程 自定義 錯(cuò)誤!未定義書簽。專案腳本語(yǔ)言 錯(cuò)誤!未定義書簽。資料庫(kù)更新工具 錯(cuò)誤!未定義書簽。工作流引擎(WorkflowEngine) 錯(cuò)誤!未定義書簽。帳套與規(guī)格設(shè)定 錯(cuò)誤!未定義書簽。數(shù)據(jù)備份與還原工具 錯(cuò)誤!未定義書簽。系統(tǒng)建模實(shí)施工具 (VOSDP-DesignPlatform) 錯(cuò)誤!未定義書簽。欄位自定義工具 錯(cuò)誤!未定義書簽。功能菜單自定義 錯(cuò)誤!未定義書簽。單據(jù)拋轉(zhuǎn)自定 錯(cuò)誤!未定義書簽?？焖俣伍_(kāi)發(fā)平臺(tái) (FD-fasterdevelopmentpaltform) 錯(cuò)誤!未定義簽。數(shù)據(jù)交換引擎（XM） 錯(cuò)誤!未定義書簽。數(shù)據(jù)導(dǎo)入導(dǎo)出工具 錯(cuò)誤!未定義書簽。XMN數(shù)據(jù)傳輸中間件 (集群版專用) 錯(cuò)誤!未定義書簽。第五章 公司介紹 錯(cuò)誤!未定義書簽。1 關(guān)于高格 錯(cuò)誤!未定義書簽。2 高格歷史 錯(cuò)誤!未定義書簽。14/16下載文檔可編輯3 產(chǎn)品家族 錯(cuò)誤!未定義書簽。第六章 行業(yè)成功案例 錯(cuò)誤!未定義書簽。1 其他案例 錯(cuò)誤!未定義書簽。15/16下載文檔可編輯1 總則1.1 為了加強(qiáng)公司的環(huán)境衛(wèi)生管理，創(chuàng)造一個(gè)整潔、文明、溫馨的購(gòu)物、辦公環(huán)境，根據(jù)《公共場(chǎng)所衛(wèi)生管理?xiàng)l例》的要求，特制定本制度。1.2 集團(tuán)公司的衛(wèi)生管理部門設(shè)在企管部，并負(fù)責(zé)將集團(tuán)公司的衛(wèi)生區(qū)域詳細(xì)劃分到各部室，各分公司所轄區(qū)域衛(wèi)生由分公司客服部負(fù)責(zé)劃分，確保無(wú)遺漏。2 衛(wèi)生標(biāo)準(zhǔn)2.1 室內(nèi)衛(wèi)生標(biāo)準(zhǔn)2.1.1 地面、墻面：無(wú)灰塵、無(wú)紙屑、無(wú)痰跡、無(wú)泡泡糖等粘合物、無(wú)積水，墻角無(wú)灰吊、無(wú)蜘蛛網(wǎng)。2.1.2 門、窗、玻璃、鏡子、柱子、電梯、樓梯、燈具等，做到明亮、無(wú)灰塵、無(wú)污跡、無(wú)粘合物，特別是玻璃，要求兩面明亮。2.1.3 柜臺(tái)、貨架：清潔干凈，貨架、柜臺(tái)底層及周圍無(wú)亂堆亂放現(xiàn)象、無(wú)灰塵、無(wú)粘合物，貨架頂部、背部和底部干凈，不存放雜物和私人物品。2.1.4 購(gòu)物車（筐）、直接接觸食品的售貨工具（包括刀、叉等）：做到內(nèi)外潔凈，無(wú)污垢和粘合物等。購(gòu)物車（筐）要求每天營(yíng)業(yè)前簡(jiǎn)單清理，周五全面清理消毒；售貨工具要求每天消毒，并做好記錄。2.1.5 商品及包裝：商品及外包裝清潔無(wú)灰塵（外包裝破損的或破舊的不得陳列）。2.1.6 收款臺(tái)、服務(wù)臺(tái)、辦公櫥、存包柜：保持清潔、無(wú)灰塵，臺(tái)面和側(cè)面無(wú)灰塵、無(wú)灰吊和蜘蛛網(wǎng)。桌面上不得亂貼、亂畫、亂堆放物品，用具擺放有序且干凈，除當(dāng)班的購(gòu)物小票收款聯(lián)外，其它單據(jù)不得存放在桌面上。2.1.7 垃圾桶：桶內(nèi)外干凈，要求營(yíng)業(yè)時(shí)間隨時(shí)清理，不得溢出，每天下班前徹底清理，不得留有垃圾過(guò)夜。2.1.8 窗簾：定期進(jìn)行清理，要求干凈、無(wú)污漬。2.1.9 吊飾：屋頂?shù)牡躏椧鬅o(wú)灰塵、無(wú)蜘蛛網(wǎng)，短期內(nèi)不適用的吊飾及時(shí)清理徹底。2.1.10 內(nèi)、外倉(cāng)庫(kù)：半年徹底清理一次，無(wú)垃圾、無(wú)積塵、無(wú)蜘蛛網(wǎng)等。2.1.11 室內(nèi)其他附屬物及工作用具均以整潔為準(zhǔn)，要求無(wú)灰塵、無(wú)粘合物等污垢。2.2 室外衛(wèi)生標(biāo)準(zhǔn)2.2.1 門前衛(wèi)生：地面每天班前清理，平時(shí)每一小時(shí)清理一次，每周四營(yíng)業(yè)結(jié)束后有條件的用水沖洗地面（冬季可根據(jù)情況適當(dāng)清理），墻面干凈且無(wú)亂貼亂畫。2.2.2 院落衛(wèi)生：院內(nèi)地面衛(wèi)生全天保潔，果皮箱、消防器械、護(hù)欄及配電箱等設(shè)施每周清理干凈。垃圾池周邊衛(wèi)生清理徹底，不得有垃圾溢出。2.2.3 綠化區(qū)衛(wèi)生：做到無(wú)雜物、無(wú)紙屑、無(wú)塑料袋等垃圾。3 清理程序3.1 室內(nèi)和門前院落等區(qū)域衛(wèi)生：每天營(yíng)業(yè)前提前10分鐘把所管轄區(qū)域內(nèi)衛(wèi)生清理完畢，營(yíng)業(yè)期間隨時(shí)保潔。下班后5-10分鐘清理桌面及衛(wèi)生區(qū)域。3.2 綠化區(qū)衛(wèi)生：每周徹底清理一遍，隨時(shí)保持清潔無(wú)垃圾。4 管理考核4.1 實(shí)行百分制考核，每月一次（四個(gè)分公司由客服部分別考核、集團(tuán)職4.2 集團(tuán)堅(jiān)持定期檢查和不定期抽查的方式監(jiān)督各分公司、部門的衛(wèi)生工作。每周五為衛(wèi)生檢查日，集團(tuán)檢查結(jié)果考核至各分公司，各分公司客服部的檢查結(jié)果考核至各部門。16/16下載文檔可編輯目錄0x1概述滲透范圍滲透測(cè)試主要內(nèi)容0x2 脆弱性分析方法0x3 滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試弱口令測(cè)試Sql注入測(cè)試內(nèi)網(wǎng)滲透內(nèi)網(wǎng)嗅探0x4 分析結(jié)果與建議0x1 概述某時(shí)段接到 xx網(wǎng)絡(luò)公司授權(quán)對(duì)該公司網(wǎng)絡(luò)進(jìn)行模擬黑客攻擊滲透 ,在年xx月xx日-xx 年xx月xx日.對(duì)xx網(wǎng)絡(luò)公司的外網(wǎng)服務(wù)器和內(nèi)網(wǎng)集群精心全面脆弱性黑盒測(cè)試 .完成測(cè)試得到此份網(wǎng)絡(luò)滲透測(cè)試報(bào)告。滲透范圍此次滲透測(cè)試主要包括對(duì)象：某網(wǎng)絡(luò)公司外網(wǎng) web服務(wù)器.企業(yè)郵局服務(wù)器 ,核心商業(yè)數(shù)據(jù)服務(wù)和內(nèi)網(wǎng)辦公網(wǎng)絡(luò)系統(tǒng)。滲透測(cè)試主要內(nèi)容/16下載文檔可編輯本次滲透中，主要對(duì)某網(wǎng)絡(luò)公司web服務(wù)器郵件服務(wù)器進(jìn)行遍歷目錄用戶弱口令猜解，sql注入漏洞，數(shù)據(jù)庫(kù)挖掘，內(nèi)網(wǎng)嗅探以及域服務(wù)器安全等幾個(gè)方面進(jìn)行滲透測(cè)試。0x2脆弱性分析方法按照國(guó)家工信部is900標(biāo)準(zhǔn),采用行業(yè)內(nèi)認(rèn)可的測(cè)試軟件和技術(shù)人員手工操作模擬滲透。0x3滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試使用載入國(guó)內(nèi)外3萬(wàn)多目錄字典的對(duì)和郵件服務(wù)器進(jìn)行目錄探測(cè)。得到探測(cè)結(jié)果。主站不存在遍歷目錄和敏感目錄的情況。但是同服務(wù)器站點(diǎn)存在edit編輯器路徑。該編輯器版本過(guò)低。存在嚴(yán)重漏洞。如圖用戶口令猜解Nmap收集到外網(wǎng)服務(wù)器 ftp. 使用默認(rèn)的賬號(hào)無(wú)法連接 ,于是對(duì) web和能陸的界面進(jìn)行弱口令測(cè)試 ,具體如下圖/16下載文檔可編輯sql 注入測(cè)試通過(guò)手工配合工具檢測(cè) sql 注入得到反饋結(jié)果如下圖/16下載文檔可編輯根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示 :漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析－－－3目錄遍歷探測(cè)－－－4隱藏文件探測(cè)－－－3/16下載文檔可編輯CGI漏洞掃描－－－0用戶和密碼猜解－－－10跨站腳本分析－－－0SQL注射漏洞挖掘（含數(shù)據(jù)庫(kù)挖掘分－－－10析）風(fēng)險(xiǎn)總值30內(nèi)網(wǎng)滲透當(dāng)通過(guò)外圍安全一些列檢測(cè)。通過(guò)弱口令和注入2中方式進(jìn)入管理后臺(tái)。抓包上傳webshell得到后門開(kāi)始提升權(quán)限。當(dāng)發(fā)現(xiàn)web服務(wù)器處于內(nèi)網(wǎng)。也正好是在公司內(nèi)部。于是收集了域的信息。想從 web入手抓取域管理 Hash破解，無(wú)果。所以只能尋找內(nèi)網(wǎng)其他域管理密碼。 內(nèi)外通過(guò) ipc 漏洞控制了 2個(gè)機(jī)器。獲取到管。用metasploitsmb 溢出也得到內(nèi)網(wǎng)機(jī)器權(quán)限同樣也獲得域內(nèi)管理。用域管理 hash登陸域服務(wù)器。內(nèi)網(wǎng)的權(quán)限全部到手。/16下載文檔可編輯內(nèi)網(wǎng)嗅探當(dāng)?shù)玫絻?nèi)網(wǎng)權(quán)限其實(shí)就可以得到許多信息。但是主要是針對(duì)商業(yè)數(shù)據(jù)保密的原則。就還需要對(duì)內(nèi)網(wǎng)數(shù)據(jù)傳輸進(jìn)行一個(gè)安全檢測(cè)。 于是在內(nèi)網(wǎng)某機(jī)上安裝 cain 進(jìn)行嗅探得到一部分電子郵件內(nèi)容信息和一些網(wǎng)絡(luò)賬號(hào) .具體看下圖/16下載文檔可編輯/16下載文檔可編輯0x4 分析結(jié)果與建議通過(guò)本次滲透測(cè)試可以看出 .xx 網(wǎng)絡(luò)公司網(wǎng)絡(luò)的安全防護(hù)結(jié)果不是很理想在防注入和內(nèi)網(wǎng)權(quán)限中存在多處漏洞或者權(quán)限策略做的不夠得當(dāng)。 本滲透的突破口主要是分為內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)設(shè)備存在多處注入和弱口令破解。還有一方面原因是使用第三方 editweb 編輯器產(chǎn)生破解賬號(hào)的風(fēng)險(xiǎn)。內(nèi)網(wǎng)由于 arp防火墻和域管得策略做的不是很嚴(yán)密導(dǎo)致內(nèi)網(wǎng)淪陷。因此。對(duì)本次滲透得出的結(jié)論Xx網(wǎng)絡(luò)公司的網(wǎng)絡(luò)”十分危險(xiǎn)”第一章 五金行業(yè)概述 15五金行業(yè)簡(jiǎn)介 15五金行業(yè)特性 錯(cuò)誤!未定義書簽。五金行業(yè)典型組織架構(gòu) 錯(cuò)誤!未定義書簽。第二章 五金行業(yè)現(xiàn)狀和問(wèn)題分析 錯(cuò)誤!未定義書簽。五金行業(yè)存在的管理特點(diǎn) 錯(cuò)誤!未定義書簽。五金行業(yè)管理重點(diǎn)與常見(jiàn)的困擾、 錯(cuò)誤!未定義書簽。第三章 高格五金行業(yè)解決方案 錯(cuò)誤!未定義書簽?？傮w目標(biāo) 錯(cuò)誤!未定義書簽。應(yīng)用策略 錯(cuò)誤!未定義書簽。指導(dǎo)思想 錯(cuò)誤!未定義書簽。應(yīng)用要求 錯(cuò)誤!未定義書簽。實(shí)施方法論 錯(cuò)誤!未定義書簽。8/16下載文檔可編輯方案特色 錯(cuò)誤!未定義書簽。總體架構(gòu) 錯(cuò)誤!未定義書簽。技術(shù)架構(gòu) 錯(cuò)誤!未定義書簽。業(yè)務(wù)架構(gòu) 錯(cuò)誤!未定義書簽。工程技術(shù)基礎(chǔ)數(shù)據(jù)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。銷售訂單管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。出口管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求處理 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。9/16下載文檔可編輯供應(yīng)商與采購(gòu)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。倉(cāng)存管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。計(jì)劃管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。生產(chǎn)任務(wù)及工序管理流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。10/16下載文檔可編輯業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。委外加工作業(yè)流程 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。品質(zhì)管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。賬款管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。11/16下載文檔可編輯關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。發(fā)票管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。固資管理 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽?？傎~系統(tǒng) 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。應(yīng)用效益 錯(cuò)誤!未定義書簽。出納系統(tǒng) 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求解決 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。12/16下載文檔可編輯關(guān)鍵業(yè)務(wù)處理 錯(cuò)誤!未定義書簽。關(guān)鍵信息處理 錯(cuò)誤!未定義書簽。人薪管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書簽。關(guān)鍵需求方案 錯(cuò)誤!未定義書簽。業(yè)務(wù)流程 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)控制 錯(cuò)誤!未定義書簽。關(guān)鍵業(yè)務(wù)處理 錯(cuò)誤!未定義書簽。成本管理 錯(cuò)誤!未定義書簽。關(guān)鍵需求分析 錯(cuò)誤!未定義書