滲透測試的報(bào)告

目錄0x1概述滲透范圍滲透測試主要內(nèi)容0x2脆弱性分析方法0x3滲透測試過程描述遍歷目錄測試弱口令測試Sql注入測試內(nèi)網(wǎng)滲透內(nèi)網(wǎng)嗅探0x4分析結(jié)果與建議0x1概述某時(shí)段接到xx網(wǎng)絡(luò)公司授權(quán)對(duì)該公司網(wǎng)絡(luò)進(jìn)行模擬黑客攻擊滲透,在xx年xx月xx日-xx年xx月xx日.對(duì)xx網(wǎng)絡(luò)公司的外網(wǎng)服務(wù)器和內(nèi)網(wǎng)集群精心全面脆弱性黑盒測試.完成測試得到此份網(wǎng)絡(luò)滲透測試報(bào)告。滲透范圍此次滲透測試主要包括對(duì)象：某網(wǎng)絡(luò)公司外網(wǎng)web服務(wù)器.企業(yè)郵局服務(wù)器,核心商業(yè)數(shù)據(jù)服務(wù)器和內(nèi)網(wǎng)辦公網(wǎng)絡(luò)系統(tǒng)。滲透測試主要內(nèi)容本次滲透中，主要對(duì)某網(wǎng)絡(luò)公司web服務(wù)器,郵件服務(wù)器進(jìn)行遍歷目錄,用戶弱口令猜解，sql注入漏洞，數(shù)據(jù)庫挖掘，內(nèi)網(wǎng)嗅探,以及域服務(wù)器安全等幾個(gè)方面進(jìn)行滲透測試。0x2脆弱性分析方法按照國家工信部is900標(biāo)準(zhǔn),采用行業(yè)內(nèi)認(rèn)可的測試軟件和技術(shù)人員手工操作模擬滲透。0x3滲透測試過程描述3.1遍歷目錄測試使用載入國內(nèi)外3萬多目錄字典的wwwscan對(duì)web和郵件服務(wù)器進(jìn)行目錄探測。得到探測結(jié)果。主站不存在遍歷目錄和敏感目錄的情況。但是同服務(wù)器站點(diǎn)存在edit編輯器路徑。該編輯器版本過低。存在嚴(yán)重漏洞。如圖3.2用戶口令猜解Nmap收集到外網(wǎng)服務(wù)器ftp.使用默認(rèn)的賬號(hào)無法連接,于是對(duì)web和能登陸的界面進(jìn)行弱口令測試,具體如下圖3.3sql注入測試通過手工配合工具檢測sql注入得到反饋結(jié)果如下圖根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示:漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析－－－3目錄遍歷探測－－－4隱藏文件探測－－－3CGI漏洞掃描－－－0用戶和密碼猜解－－－10跨站腳本分析－－－0SQL注射漏洞挖掘（含數(shù)據(jù)庫挖掘分析）－－－10風(fēng)險(xiǎn)總值303.4內(nèi)網(wǎng)滲透當(dāng)通過外圍安全一些列檢測。通過弱口令和注入2中方式進(jìn)入管理后臺(tái)。抓包上傳webshell得到后門開始提升權(quán)限。當(dāng)發(fā)現(xiàn)web服務(wù)器處于內(nèi)網(wǎng)。也正好是在公司內(nèi)部。于是收集了域的信息。想從web入手抓取域管理Hash破解，無果。所以只能尋找內(nèi)網(wǎng)其他域管理密碼。內(nèi)外通過ipc漏洞控制了2個(gè)機(jī)器。獲取到域管hash。用metasploitsmb溢出也得到內(nèi)網(wǎng)機(jī)器權(quán)限同樣也獲得域內(nèi)管理hash。用域管理hash登陸域服務(wù)器。內(nèi)網(wǎng)的權(quán)限全部到手。3.5內(nèi)網(wǎng)嗅探當(dāng)?shù)玫絻?nèi)網(wǎng)權(quán)限其實(shí)就可以得到許多信息。但是主要是針對(duì)商業(yè)數(shù)據(jù)保密的原則。就還需要對(duì)內(nèi)網(wǎng)數(shù)據(jù)傳輸進(jìn)行一個(gè)安全檢測。于是在內(nèi)網(wǎng)某機(jī)器上安裝cain進(jìn)行嗅探得到一部分電子郵件內(nèi)容信息和一些網(wǎng)絡(luò)賬號(hào).具體看下圖0x4分析結(jié)果與建議通過本次滲透測試可以看出.xx網(wǎng)絡(luò)公司網(wǎng)絡(luò)的安全防護(hù)結(jié)果不是很理想，在防注入和內(nèi)網(wǎng)權(quán)限中存在多處漏洞或者權(quán)限策略做的不夠得當(dāng)。本次滲透的突破口主要是分為內(nèi)網(wǎng)和外網(wǎng)，外網(wǎng)設(shè)備存在多處注入和弱口令破解。還有一方面原因是使用第三方editweb編輯器產(chǎn)生破解賬號(hào)的風(fēng)險(xiǎn)。內(nèi)網(wǎng)由于arp防火墻和域管得策略做的不是很嚴(yán)密。導(dǎo)致內(nèi)網(wǎng)淪陷。因此。對(duì)本次滲透得出的結(jié)論Xx網(wǎng)絡(luò)公司的網(wǎng)絡(luò)”十分危險(xiǎn)”第一章五金行業(yè)概述 21五金行業(yè)簡介 22五金行業(yè)特性 23五金行業(yè)典型組織架構(gòu) 4第二章五金行業(yè)現(xiàn)狀和問題分析 7五金行業(yè)存在的管理特點(diǎn) 7五金行業(yè)管理重點(diǎn)與常見的困擾、 8第三章高格ANYV五金行業(yè)解決方案 131總體目標(biāo) 132應(yīng)用策略 132.1指導(dǎo)思想 132.2應(yīng)用要求 132.3實(shí)施方法論 133方案特色 144總體架構(gòu) 154.1技術(shù)架構(gòu) 154.2業(yè)務(wù)架構(gòu) 165工程技術(shù)基礎(chǔ)數(shù)據(jù)管理 175.1關(guān)鍵需求分析 185.2關(guān)鍵需求方案 195.3業(yè)務(wù)流程 205.4關(guān)鍵業(yè)務(wù)控制 255.5關(guān)鍵信息處理 255.6應(yīng)用效益 276銷售訂單管理 276.1關(guān)鍵需求分析 276.2業(yè)務(wù)流程 286.3關(guān)鍵業(yè)務(wù)控制 306.4關(guān)鍵信息處理 377出口管理 387.1關(guān)鍵需求分析 387.2關(guān)鍵需求處理 387.3業(yè)務(wù)流程 397.4關(guān)鍵業(yè)務(wù)控制 467.5關(guān)鍵信息處理 468供應(yīng)商與采購管理 468.1關(guān)鍵需求分析 468.2業(yè)務(wù)流程 478.3關(guān)鍵業(yè)務(wù)控制 518.4關(guān)鍵信息處理 529倉存管理流程 529.1關(guān)鍵需求分析 529.2關(guān)鍵需求方案 539.3業(yè)務(wù)流程 549.4關(guān)鍵業(yè)務(wù)控制 659.5關(guān)鍵信息處理 739.6應(yīng)用效益 7310計(jì)劃管理流程 7410.1關(guān)鍵需求分析 7410.2關(guān)鍵需求方案 7510.3業(yè)務(wù)流程 7510.4關(guān)鍵業(yè)務(wù)控制 7910.5關(guān)鍵信息處理 8010.6應(yīng)用效益 8111生產(chǎn)任務(wù)及工序管理流程 8211.1關(guān)鍵需求分析 8211.2關(guān)鍵需求方案 8311.3業(yè)務(wù)流程 8311.4關(guān)鍵業(yè)務(wù)控制 8611.5關(guān)鍵信息處理 8711.6應(yīng)用效益 8712委外加工作業(yè)流程 8912.1關(guān)鍵需求分析 8912.2關(guān)鍵需求方案 9012.3業(yè)務(wù)流程 9012.4關(guān)鍵業(yè)務(wù)控制 9212.5關(guān)鍵信息處理 9212.6應(yīng)用效益 9313品質(zhì)管理 9313.1關(guān)鍵需求分析 9313.2關(guān)鍵需求方案 9413.3關(guān)鍵業(yè)務(wù)流程 9513.4關(guān)鍵業(yè)務(wù)控制 9613.5關(guān)鍵信息處理 10013.6應(yīng)用效益 10014賬款管理 10214.1關(guān)鍵需求分析 10214.2關(guān)鍵需求方案 10314.3業(yè)務(wù)流程 10414.4關(guān)鍵信息處理 10714.5應(yīng)用效益 10815發(fā)票管理 10915.1關(guān)鍵需求分析 10915.2關(guān)鍵需求方案 10915.3關(guān)鍵業(yè)務(wù)流程 11015.4關(guān)鍵信息處理 11515.5應(yīng)用效益 11616固資管理 11716.1業(yè)務(wù)流程 11716.2關(guān)鍵業(yè)務(wù)控制 11816.3關(guān)鍵信息處理 11916.4應(yīng)用效益 11917總賬系統(tǒng) 12017.1業(yè)務(wù)流程 12017.2關(guān)鍵業(yè)務(wù)控制 12317.3關(guān)鍵信息處理 12417.4應(yīng)用效益 12518出納系統(tǒng) 12718.1關(guān)鍵需求分析 12718.2關(guān)鍵需求解決 12718.3業(yè)務(wù)流程 12718.4關(guān)鍵業(yè)務(wù)處理 13718.5關(guān)鍵信息處理 13719人薪管理 13719.1關(guān)鍵需求分析 13719.2關(guān)鍵需求方案 13819.3業(yè)務(wù)流程 13819.4關(guān)鍵業(yè)務(wù)控制 14319.5關(guān)鍵業(yè)務(wù)處理 14320成本管理 14420.1關(guān)鍵需求分析 14420.2關(guān)鍵需求方案 14420.3業(yè)務(wù)流程 14420.4關(guān)鍵業(yè)務(wù)控制 159第四章維護(hù)平臺(tái)介紹 1634高格管理配置平臺(tái)VOS－(AnyvOperationSystem)簡述 1635高格管理配置平臺(tái)VOS產(chǎn)品架構(gòu)圖 1636用戶應(yīng)用自定義配置功能(VOSUD-UserDefineTools) 1646.1自定義報(bào)表 1646.2查詢方案配置 1666.3消息提醒配置(含短信) 1676.4自動(dòng)偵錯(cuò)功能 1686.5權(quán)限配置 1687用戶管理員工具(VOSAT-AdministratorTools) 1707.1系統(tǒng)參數(shù)字定義 1707.2作業(yè)流程SOP自定義 1717.3專案腳本語言 1717.4資料庫更新工具 1727.5工作流引擎(WorkflowEngine) 1737.6帳套與規(guī)格設(shè)定 1757.7數(shù)據(jù)備份與還原工具 1768系統(tǒng)建模實(shí)施工具(VOSDP-DesignPlatform) 1778.1欄位自定義工具 1778.2功能菜單自定義 1798.3單據(jù)拋轉(zhuǎn)自定 1809快速二次開發(fā)平臺(tái)(FD-fasterdevelopmentpaltform) 18110數(shù)據(jù)交換引擎（XME） 18210.1數(shù)據(jù)導(dǎo)入導(dǎo)出工具 18210.2XMN數(shù)據(jù)傳輸中間件(集群版專用) 183第五章公司介紹 1841.11關(guān)于高格 18