滲透測(cè)試的報(bào)告

時(shí)間：二O二一年七月二十九日目錄之阿布豐王創(chuàng)作時(shí)間：二O二一年七月二十九日0x1概述滲透范圍滲透測(cè)試主要內(nèi)容0x2懦弱性分析方法0x3滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試弱口令測(cè)試Sql注入測(cè)試內(nèi)網(wǎng)滲透內(nèi)網(wǎng)嗅探0x4分析結(jié)果與建議0x1概述某時(shí)段接到xx網(wǎng)絡(luò)公司授權(quán)對(duì)該公司網(wǎng)絡(luò)進(jìn)行模擬黑客攻擊

滲透，在xx年xx月xx日-xx年xx月xx日.對(duì)xx網(wǎng)絡(luò)公司的外

網(wǎng)服務(wù)器和內(nèi)網(wǎng)集群精心全面懦弱性黑盒測(cè)試 .完成測(cè)試獲得此份網(wǎng)絡(luò)滲透測(cè)試陳說(shuō).滲透范圍此次滲透測(cè)試主要包括對(duì)象：時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日某網(wǎng)絡(luò)公司外網(wǎng) web服務(wù)器.企業(yè)郵局服務(wù)器，核心商業(yè)數(shù)據(jù)服務(wù)器和內(nèi)網(wǎng)辦公網(wǎng)絡(luò)系統(tǒng).滲透測(cè)試主要內(nèi)容本次滲透中，主要對(duì)某網(wǎng)絡(luò)公司web服務(wù)器，郵件服務(wù)器進(jìn)行遍歷目錄，用戶弱口令猜解,sql注入漏洞，數(shù)據(jù)庫(kù)挖掘，內(nèi)網(wǎng)嗅探,以及域服務(wù)器平安等幾個(gè)方面進(jìn)行滲透測(cè)試 .0x2懦弱性分析方法依照國(guó)家工信部is900標(biāo)準(zhǔn)，采納行業(yè)內(nèi)認(rèn)可的測(cè)試軟件和技術(shù)人員手工把持模擬滲透.0x3滲透測(cè)試過(guò)程描述遍歷目錄測(cè)試使用載入國(guó)內(nèi)外3萬(wàn)多目錄字典的wwwscan對(duì)web和郵件服務(wù)器進(jìn)行目錄探測(cè).獲得探測(cè)結(jié)果.主站不存在遍歷目錄和敏感目錄的情況.可是同服務(wù)器站點(diǎn)存在edit編纂器路徑.該編纂器版本過(guò)低.存在嚴(yán)重漏洞^如圖1*[*tVIIHIJtf5IAjpwp-wAAA,cmriurww「qinq.rnUeJcmn翼tntliemaI u3.WFfaiild CSKI.Ihttfie//wwwhX3og■or?Rnsnluing[pofunwM.gvt富.cn.一0K?Connectingf..一SucceedTTryiimgT小GetServerTyp心Succeed?SeFV&FTVPS1■Mic^osoft-ItS-^60TestingIfrhepeIsfiBef^ultTurningPaq料.B-NotFonndTFound"ZB.yavdnxn^fl!h?uiinil-ZB ?f?Checking：/_54_bln，一二2『?.XZf 2f. ,.Z2f..X2f.wlnnt>sjistem32/cna.用戶口令猜解時(shí)間：二O二一年七月二十九日

時(shí)間：二O二一年七月二十九日Nmap收集到外網(wǎng)服務(wù)器ftp,使用默認(rèn)的賬號(hào)無(wú)法連接，于是對(duì)web和能登岸的界面進(jìn)行弱口令測(cè)試 ，具體如下圖sql注入測(cè)試通過(guò)手工配合工具檢測(cè) sql注入獲得反饋結(jié)果如下圖根據(jù)漏洞類別進(jìn)行統(tǒng)計(jì)，如下所示：漏洞類別高中低風(fēng)險(xiǎn)值網(wǎng)站結(jié)構(gòu)分析一一一3目錄遍歷探測(cè)一一一4隱藏文件探測(cè)一一一3CGI漏洞掃描—一一0用戶和密碼猜解—一一10跨站腳天職—一一0時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日析SQL注射漏洞挖掘（含數(shù)據(jù)庫(kù)挖掘分析）一--10風(fēng)險(xiǎn)總值303.4內(nèi)網(wǎng)滲透當(dāng)通過(guò)外圍平安一些列檢測(cè).通過(guò)弱口令和注入2中方式進(jìn)入管理后臺(tái).抓包上傳webshell獲得后門開(kāi)始提升權(quán)限.當(dāng)發(fā)現(xiàn)web服務(wù)器處于內(nèi)網(wǎng).也正好是在公司內(nèi)部.于是收集了域的信息.想從web入手抓取域管理Hash破解，無(wú)果.所以只能尋找內(nèi)網(wǎng)其他域管理密碼.內(nèi)外通過(guò)ipc漏洞控制了2個(gè)機(jī)器.獲取到域管hash.用metasploitsmb 溢出也獲得內(nèi)網(wǎng)機(jī)器權(quán)限同樣也獲得域內(nèi)管理 hash.用域管理hash登岸域服務(wù)器.內(nèi)網(wǎng)的權(quán)限全部得手.內(nèi)網(wǎng)嗅探當(dāng)獲得內(nèi)網(wǎng)權(quán)限其實(shí)就可以獲得許多信息 .可是主要是針對(duì)商業(yè)數(shù)據(jù)保密的原則.就還需要對(duì)內(nèi)網(wǎng)數(shù)據(jù)傳輸進(jìn)行一個(gè)平安檢測(cè) .于是在內(nèi)網(wǎng)某機(jī)器上裝置 cain進(jìn)行嗅探獲得一部份電子郵件內(nèi)容時(shí)間：二o二一年七月二十九日時(shí)間：二O二一年七月二十九日信息和一些網(wǎng)絡(luò)賬號(hào).具體看下圖0x4分析結(jié)果與建議通過(guò)本次滲透測(cè)試可以看出 .xx網(wǎng)絡(luò)公司網(wǎng)絡(luò)的平安防護(hù)結(jié)果不是很理想，在防注入和內(nèi)網(wǎng)權(quán)限中存在多處漏洞或者權(quán)限戰(zhàn)略做的不夠適當(dāng).本次滲透的突破口主要是分為內(nèi)網(wǎng)和外網(wǎng) ，外網(wǎng)設(shè)備存在多處注入和弱口令破解.還有一方面原因是使用第三方editweb編纂器發(fā)生破解賬號(hào)的風(fēng)險(xiǎn).內(nèi)網(wǎng)由于arp防火墻和域管得戰(zhàn)略做的不是很嚴(yán)密.招致內(nèi)網(wǎng)淪陷.因此.對(duì)本次滲透得出的結(jié)論Xx網(wǎng)絡(luò)公司的網(wǎng)絡(luò)“十分危險(xiǎn)”第一章五金行業(yè)概述21五金行業(yè)簡(jiǎn)介22五金行業(yè)特性23五金行業(yè)典范組織架構(gòu)4第二章五金行業(yè)現(xiàn)狀和問(wèn)題分析7五金行業(yè)存在的管理特點(diǎn) 7五金行業(yè)管理重點(diǎn)與罕見(jiàn)的困擾、 8第三章高格ANY班金行業(yè)解決方案131總體目標(biāo)132應(yīng)用戰(zhàn)略13時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日指導(dǎo)思想13應(yīng)用要求13實(shí)施方法論133方案特色144總體架構(gòu)15技術(shù)架構(gòu)15業(yè)務(wù)架構(gòu)165工程技術(shù)基礎(chǔ)數(shù)據(jù)管理17關(guān)鍵需求分析18關(guān)鍵需求方案19業(yè)務(wù)流程20關(guān)鍵業(yè)務(wù)控制25關(guān)鍵信息處置25應(yīng)用效益276銷售定單管理27關(guān)鍵需求分析27業(yè)務(wù)流程28關(guān)鍵業(yè)務(wù)控制30關(guān)鍵信息處置377出口管理38關(guān)鍵需求分析38時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日關(guān)鍵需求處置38業(yè)務(wù)流程39關(guān)鍵業(yè)務(wù)控制46關(guān)鍵信息處置468供應(yīng)商與推銷管理46關(guān)鍵需求分析46業(yè)務(wù)流程47關(guān)鍵業(yè)務(wù)控制51關(guān)鍵信息處置529倉(cāng)存管理流程52關(guān)鍵需求分析52關(guān)鍵需求方案53業(yè)務(wù)流程54關(guān)鍵業(yè)務(wù)控制65關(guān)鍵信息處置73應(yīng)用效益7310計(jì)劃管理流程74關(guān)鍵需求分析74關(guān)鍵需求方案75業(yè)務(wù)流程75關(guān)鍵業(yè)務(wù)控制79時(shí)間：二O二一年七月二十九日

時(shí)間：二O二一年七月二十九日關(guān)鍵信息處置80應(yīng)用效益8111生產(chǎn)任務(wù)及工序管理流程 82關(guān)鍵需求分析82關(guān)鍵需求方案83業(yè)務(wù)流程83關(guān)鍵業(yè)務(wù)控制86關(guān)鍵信息處置87應(yīng)用效益8712委外加工作業(yè)流程89關(guān)鍵需求分析關(guān)鍵需求方案業(yè)務(wù)流程90關(guān)鍵業(yè)務(wù)控制關(guān)鍵信息處置應(yīng)用效益9313品質(zhì)管理93關(guān)鍵需求分析關(guān)鍵需求方案關(guān)鍵業(yè)務(wù)流程關(guān)鍵業(yè)務(wù)控制89908990929293949596O二一年七月二十九日時(shí)間：二O二一年七月二十九日關(guān)鍵信息處置100應(yīng)用效益10014賬款管理102關(guān)鍵需求分析102關(guān)鍵需求方案103業(yè)務(wù)流程104關(guān)鍵信息處置107應(yīng)用效益10815發(fā)票管理109關(guān)鍵需求分析109關(guān)鍵需求方案109關(guān)鍵業(yè)務(wù)流程110關(guān)鍵信息處置115應(yīng)用效益11616固資管理117業(yè)務(wù)流程117關(guān)鍵業(yè)務(wù)控制118關(guān)鍵信息處置119應(yīng)用效益11917總賬系統(tǒng)120業(yè)務(wù)流程120時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日關(guān)鍵業(yè)務(wù)控制123關(guān)鍵信息處置124應(yīng)用效益12518出納系統(tǒng)127關(guān)鍵需求分析127關(guān)鍵需求解決127業(yè)務(wù)流程127關(guān)鍵業(yè)務(wù)處置137關(guān)鍵信息處置13719人薪管理137關(guān)鍵需求分析137關(guān)鍵需求方案138業(yè)務(wù)流程138關(guān)鍵業(yè)務(wù)控制143關(guān)鍵業(yè)務(wù)處置14320本錢管理144關(guān)鍵需求分析144關(guān)鍵需求方案144業(yè)務(wù)流程144關(guān)鍵業(yè)務(wù)控制159第四章維護(hù)平臺(tái)介紹163時(shí)間：二O二一年七月二十九日時(shí)間：二O二一年七月二十九日4高格管理配置平臺(tái)VOS"(AnyvOperationSystem)簡(jiǎn)述1635高格管理配置平臺(tái)VOST物架構(gòu)圖1636用戶應(yīng)用自界說(shuō)配置功能(VOSUD-UserDefineTools)164自界說(shuō)報(bào)表164查詢方案配置166消息提醒配置(含短信)167自動(dòng)偵錯(cuò)功能168權(quán)限配置168用戶管理員工具(VOSAT-AdministratorTools)170系統(tǒng)參數(shù)字界說(shuō)170作業(yè)流程SOP自界說(shuō)171專案腳本語(yǔ)言171資料庫(kù)更新工具172工作流引擎(WorkflowEngine)173帳套與規(guī)格設(shè)定175數(shù)據(jù)備份與還原工具176系統(tǒng)建模實(shí)施工具(VOSDP-DesignPlatform)177欄位自界說(shuō)工具177功能菜單自界說(shuō)179單據(jù)拋轉(zhuǎn)自定180快速二次開(kāi)發(fā)平臺(tái)(FD-fasterdevelopmentpaltform)181時(shí)間：二O二一年七月二十九日

時(shí)間：二O二一年七月二十九日10數(shù)據(jù)交換引擎（XME182數(shù)據(jù)導(dǎo)入導(dǎo)收工具182XMN數(shù)據(jù)傳輸中間件（集群版專用）183第五章公司介紹1841關(guān)于高格1842高格歷史1843產(chǎn)物家族1851關(guān)于高格1842高格歷史1843產(chǎn)物家族185第六章行業(yè)勝利案例1871其他案例187時(shí)間：二O二一年七月二十九