一. 本次目标的环境. 1.1 1.2 1.3 1.4 二. 2.1 2.2 2.3 2.4 三. 3.1 3.2 3.3 3.4 1.1 内网网络拓图以及平台介绍 目标网络规模为一个三层交 换环境 IP地址分布以及业务分类 192.168.100.X-192.168.103.X 数据内部员工办公网路 176.12.1.X-176.12.15.X 为Web于数据库支持网路 192.168.11.X-192.168.11.255 为空闲网络区域 总共分为三个域 shjt 以上信息是在渗透过程中得到的 为了方便我改写了一个批处理 代码为 ============================domain.bat======================= @echo off setlocal ENABLEDELAYEDEXPANSION @FOR /F "usebackq @echo =====domain:%%J======== @FOR /F "usebackq eol=; @FOR /F "usebackq eol=; tokens=1,2,3* delims=\\" %%a in (`echo %%i`) do ( @FOR /F "tokens=1,2,3,4* usebackq delims=: " %%K IN (`@ping -a -n 1 -w 100 %%a ^|findstr "Pinging"`) do ( @echo \\%%L ) ) ) ) echo %0 ==============================end===================================
系 统类型.安装软件版本以及类别 Windows xp 2K以及Linux Mssql2000 2005 Sybase IIS5.0 6.0 内网系统全部采用麦咖啡企业级个别伺服器安装了数据同步软件 1.2 渗透测 试的目的 渗透测试一方面可以从攻击者的角度,检验业务系统的安全防护措施是否有效,各项安全策略是否得到贯彻落实;另一方面可以讲潜在的安 全风险以真实事件的方式凸现出来,从而有 助于提高相关人员对安全问题的认识水平。渗透测试结束后,立即进行安全加固,解决测试发现的安全问 题,从而有效地防止真实安全事件的发生 1.3 此次渗透目标内容和范围. 此次渗透的 为内容为目标数据库服务器以及员工办公PC.. 1.4 规避的风险 此次渗透是在不影 响目标业务工作的前提下进行测试,个别渗透测试手法已在本地搭建测试完成之后再应用到目标,以保证目标业务正常,(如ARP探嗅 ARP ERP办公系统挂马突破,其中IE0day利用测试已本地通过不会造成目标员工办公PC崩溃或者出现异常) . 此 次内网渗透过程 2.1 通过外網web服務器222.11.22.11(192.168.22.34)(假设IP)上的Web Shell,连接内网ip為192.168.22.35的Mssql2005服务器, 当前账户权限为Sa.(账户密码通过查看Web.config得到)Sa账户是Mssql的默认的{zg}权限账户由于MSSQL服务是以SYSTEM权限运 行的,而MSSQL刚巧提供了一些能够执行命令的函数加入能成功利用,会得到一个SYSTEM权限,所以我认为这会有很大机会让我利用成功(如 xp_cmdshell xp_dirtree xp_fileexistxp_terminate_process sp_oamethod sp_oacreate xp_regaddmultistring xp_regdeletekey xp_regdeletevalue xp_regenumkeys xp_regenumvalues sp_add_job
本 地Mstsc.exe host 127.0.0.1:88 2.2系统口令获取,Hashxx,管理软件密码xx 这 之前替换sethc.exe为cmd.exe程序-系统做放大镜后门得到一个CMD Shell为渗透提供方便(在渗透完成之后所有的目标文件都已经恢复)通过Cmd Shell连接本地Ftp Server Get Hash.exe(系统口令哈希值获取工具)VNC4密码获取工具GUI版到当前主机,【VNC4的密码是保存在注册表中的地址 为:HKEY_LOCAL_MACHINE\SOFTWARE\RealVNC\WinVNC4\password 】抓取密码之后通过FTP PUT返回本机.抓取没有出现提示14位以上,直接通过在线的LM密码查询网站进行查询如: 两个常用的Hash在线xx网站 http://cracker.offensive-security.com/index.php http://www.objectif-securite.ch/en/products.php 得 到系统当前主机管理员密码为ccit2006 VNC4密码为如下图
2.5 运用社会工程学以及密码习惯字典进行扫描收集管理信息 比如运用net group "domain admins" /domain net localgroup administrators这些命令找到DC管理并 xx密码遇到这样的域我首先想到的是如何找到技术员和运维技术的计算机,这些计算机有可能保存这这个内网众多的敏感信息. 查看TCP以及端 口连接信息,记录那些IP与当前的数据库服务器的数据库端口进行连接以及其他的服务器软件连接信息然后进行进一步渗透. 可以使用 XSCAN(使用nessus nasl脚本更新X-Scan漏洞库)或者俄罗斯商用SSS扫描器对内网做一个xx的安全扫描 收集管理密 码.数据库账户密码,Web后台管理密码.,硬盘内留下的以往的各类密码,分析管理员使用密码的习惯以及组合方式.组合密码字典扫描C类地址.查看IE缓 存留下的Cookie信息 .验证管理员留下的连接其他终端留下的痕迹是否有效,并记录.以便组合成针对目标网络的字典.如发现管理留下的连接其他伺服器远程桌面的痕迹,验证并尝试 用当前主机密码登录.如失败,我留下一键盘记录器,如下图,支持ASP空间收信。  2.4 内网常用的IPC$共享入侵 IPC$共享入侵时渗透公司企业内网一个比较快速的途径,(这也是企业内部员工密码安全意 识薄弱的弱点)为了增快渗透速度我决定放弃手工而选用图形界面化的工具,结合上一步骤扫描.,在上一步骤为了避免扫描器过多占用系统资源导致当前主机不稳 定的情况,在选择扫描模式和线程上注意调整,适应当前主机的承载能力,如图,进行的IPC$共享以及弱口令扫描利用
在 以上步骤上为了方便我采用为存在漏洞的机器植入反弹木马 由于目标ARP设置存在安全缺陷,导致可以使用ARP探嗅和欺骗得到敏感数据 以及网页挂马我们选择的是该目标内网员工的ERP办公系统。在这次探嗅中我选用了两种大白鲨和cain (大白鲨截图丢失)如图 网页木马选择的是2010-01-17发布的IE漏 洞EXP。成功获取到部分员工Windows XP权限 在 某些时候ARP挂马不一定生效,既然有了内部员工ERP办公WEB的权限那我就试试{zx1}公布的Internet Explorer Aurora Exploit www.smxiaoqiang.cn
2.7 很多企业内网都安装了为数据提供同步的软件,但是安全配置上的失误导致入侵者可以通过这个将 渗透木马病毒延伸到各个角落,利用文件数据同步软件进行渗透的思路就是在同步的数据或者文件中篡改或者添加可以获得SHELL的文件如,Web asp PHP木马或者其他的补丁程序.(由于当时的图片已经丢失,就不做具体说明了) 在2009年初IIS6.0就被公布出了存在文件后 缀名解析漏洞,格式为x.asp;.jpg,很多的IIS6.0可写权限都是put到目标可以move成Web Shell的时候出现失败的问题,我细心测试后发现可以结合这两个鸡肋做点文章。那就是move后缀时候用x.asp;.jpg来实现.如图。IIS权限 和安全配置失误一直是很多粗心大意的管理容易犯的问题 成功得到Web Shell 然后通过查看网站数据库配置信息来继续收集目标账户密码信息。 2.9 在 上一步骤渗透得到一Web Shell,发现本机没有安装麦咖啡杀毒软件没有安装可供提升权限的第三方软件,通过systeminfo查看目标补丁信息如图 我通过Churrasco.exe来提权.这个loacl Exploits是2008-06发布的,相比之下成功率较高 也可以利用一些新的系统 软件漏洞进行权限提升针对这个系统我只找到这个可以 提升权限成功如图 以上各类渗透手法的目的是获取权限,为了方便我使用远程控制软件,IPC$植入反 弹木马MSSQL连接上传植入木马执行.local Exploits 提权执行反弹木马都是可以的(我不赞成使用黑客工具,这次渗透式经过对方允许使用此类软件.这些软件会在对方系统植入档案改变设定.完成之后已经彻底xx 卸载恢复) 在这次渗透中共获取计算机权限52个,这其中达到了我们渗透的目标,内部员工办公PC,客户数据库等等,公司内部的MAIL邮箱 对付一个企业的发展来说做必要的渗透测试并对系统,数据加固是很重要的,部分如图:
在 渗透测试完成之后,所以在过程中利用到的记录器以及工具反弹木马都已经删除,系统恢复原状.此次渗透中获取的一些商业信息已xx删除. 并提 交报告于目标的网络管理员。
目标系统的安全加固和安全问题和解决参考 3.1 访问控制 1. 解决办法: 根据业务和安全需求调整访问控制策略,去掉冗余的规则,做到 最小化原则。如细化防火墙对应用服务区域的访问控制策略等。 2. 解决办法: 设置一个足够复杂的强口令并定期更换,同时在交换机上做访问控制规则,对登录设备的IP进行限 制。 3. 解决办法: 根据业务需求,重新分配用户和权限,做到权责分明。 4. 解决办法: 加强帐号/口令策略安全配置,增强当前服务器用户口令强度,并加强对特权用户远程登录的控制和管 理,使用SSH加密方式对服务器进行远程管理,以防用户/口令信息泄露。 员工密码安 全意识薄弱,可以对员工进行安全培训 5. 解决办法: 管理员(内部员工)访问目标系统应设定严格的访问控制措施,如基于IP地址,MAC,只允许管理员 (内部员工)在设定的IP地址对系统进行操作,避免因管理员(内部员工)帐户/密码泄漏给系统带来的威胁。 3.1电信和网络安全 6. 解决办法: 启用防火墙必要的抗攻击功能。 1、 可在根据日志审计的统计数据辅助设置开启抗攻击功能的阀值,FW上每个访问控制规则的日志也要接入,但防火墙抗网络攻击的能力和范围有限。 2.或者在防火墙前面架设电信级IPS,可抵御大部分网络攻击和拒绝服务攻击 3.2安全管理与实践 7. 解决办法: 尽快部署专业日志审计服务器实现对设备日志的收集、存放和审计。 8. 解决办法: 启用核心交换机 第三层功能,根据业务需求划分VLAN,并在VLAN之间实施适当的访问控制。 1. 在交换机上根据业务类型或者功能划分VLAN,可缓解业务高峰时的网络风暴的威胁,但须事先做好路由规划 2. 在各个安全域边界架设网络防火墙来防止因单一安全区域的蠕虫木马的扩散。 3. 在交换机上启用IP策略设定和禁止内部访问外部陌生地址. 3.3应用和系统开发 安全 9. 解决办法: 根据业务需要,只开启必须的服务,关闭冗余的服务。避免冗余服务所带来的安全隐患 10. 解决办法: 修改xxx配置,为xxx配置口令,这样对xxx进行操作时必须先输入口令进行认证;修改xxx配 置参数,将“ADMIN_RESTRICTIONS”设为“ON”,这样在xxx运行时将禁止通过命令对xxx进行任何修改,必须手动修改xxx配置文件 listener.ora才可以对xxx配置进行修改。 11. 解决办法: 启用数据库的审计功能或者部署专业的数据库审计系统对数据库系统管理、安全管理、数据维护、用户登 录等事件进行审计,并由专人负责数据库的审计管理。 为了避免数据库开启监听功能后带 来的性能问题,可以部署数据库安全审计设备。 12. 解决办法 对用于集中对应用服务器和数据库服务器进行远程管理的PC服务器安装{zx1}的安全补丁。 1. 2. 3. 13. 解决办法 此次目标系统中应提高密码复杂度的要求,对用户密码进行检查,以提高用户密码的安全级别,如必须是 数字和字母的组合等;定义可尝试输入密码的次数和对尝试输入密码采取相应安全策略,如连续输入3次错误密码,将锁定用户一小时等,防止恶意人员对用户的密 码暴力xx。 14. 解决办法 根据实际情况对输入参数进行严格检查,包括输入字符的长度、类型,并对一些特殊字符进行过滤。在 WEB服务器前面架设WEB应用防火墙可以定义非法字符的过滤策略。 15. 解决办法 设置一个具备一定复杂度的SNMP连接串。 1. Router(config)#snmp-server community public/private RO 2. 3.4加密 16. 解决办法 对目标WEB数据传输进行加密,如采用https方式。更高安全级别考虑,建议考虑使用SSL vpn或HTTPS解决方案。 渗透测试发现的问题中,大多数是可以通过对现有的网络设备、安全设备、WEB数据库、WEB服务器、中间件等进行配置优化调节来解决的。但 是仍然有几个问题是目前无法通过现有网络资源解决的,我们总结了一下大概有以下三点: 3.1 目前解决目标数据传输进行加密有两种办法: 在WEB应用系统软件上面开启HTTPS传输功能。 HTTPS是以安 全为目标的HTTP通道,简单讲是HTTP的安全版。它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站 的真实性。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全。 但是我认为在WEB应用软件上面开启这项功能并不适用目标的员工办公系统以及为客户提供服务的系 统。因为HTTPS服务器是需要对传输的数据加密和解压的,大规模的部署势必会严重影响WEB服务器的运行性能,最终导致服务器拒绝服务。 在WEB应用服 务器前架设 SSL VPN加速器。 总结 |
