我唯有表示:必然,必定如此。渗透检验的核心在于无法完全证实测试成果的完备性。用户在支付费用验证系统存在缺陷后,不清楚自身安全级别达到何种程度。然而,显而易见,用户更信任一支专业且经验丰富的安全团队,这在我国尤为突出。据我所知,一些大型安全公司进行的渗透检验流程中,测试人员的能力与所收取的费用并不匹配,且从测试过程到结果报告来看,也存在疏忽。我预测在三年后,这种状况将有所改善,届时一方面安全人员的技术能力将得到显著提升,另一方面,各企业对渗透检验将有更深刻的认识,并将其作为一种IT审计手段纳入开发流程。渗透检验的专业化、商业化将逐步成熟。
二、制定实施计划
实施计划应由测试方与客户共同协商制定。起初,测试方提供一份简单的问卷调查,了解客户对测试的基本接受程度。内容包括但不限于以下方面:
目标系统介绍、重点保护对象及特性。
是否允许数据损坏?
是否允许阻断业务正常运行?
测试前是否需要通知相关部门接口人?
接入方式?外网和内网?
测试成功与否取决于发现问题的多少?
渗透过程中是否需要考虑社会工程学?
……
在收到客户反馈后,测试方撰写实施计划初稿并提交给客户,由客户进行审核。审核完成后,客户应向测试方提供书面委托授权。在此过程中,两部分文档应包含以下内容:
实施计划部分:
……
书面委托授权部分:
……
三、具体操作步骤
1、信息搜集阶段
网络信息搜集:
在这一阶段,尚不会直接对被测目标进行扫描,应先从网络上搜集相关信息,包括Google Hacking、Whois查询、DNS等信息(如考虑进行社会工程学,还可从邮件列表/新闻组中获取目标系统中一些边缘信息,如内部员工账号组成、身份识别方式、邮件联系地址等)。
1.使用whois查询目标域名的DNS服务器
2.nslookup
set type=all
server
set q=all
ls-d
涉及的工具包括:Google、Demon、webhosting.info、Apollo、Athena、GHDB.XML、netcraft、seologs。此外,我想特别提醒一下,使用Googlebot/2.1绕过一些文件的获取限制。
Google Hacking中常用的一些语法描述
1.搜索指定站点关键字site。你可以搜索具体的站点,如site:www.nosec.org。使用site:nosec.org可以搜索该域名下的所有子域名的页面。甚至可以使用site:org.cn来搜索中国政府部门的网站。
2.搜索在URL网址中的关键字inurl。比如你想搜索带参数的站点,你可以尝试用inurl:asp?id=
3.搜索在网页标题中的关键字intitle。如果你想搜索一些登录后台,你可以尝试使用intitle:"admin login"
目标系统信息搜集:
通过上述步骤,我们可以简单描绘出目标系统的网络结构,如公司网络所在区域、子公司IP地址分布、VPN接入地址等。在此特别要注意一些比较偏门的HOST名称地址,如一些以backup开头或temp开头的域名很可能是一台备份服务器,其安全性可能不足。
从获取的地址列表中进行系统判断,了解其组织架构及操作系统使用情况。最常用的方法是目标所有IP网段扫描。
端口/服务信息搜集:
这一阶段可以开始直接的扫描操作,涉及的工具包括:nmap、thc-amap
1.我最常使用的参数
nmap-sS-p1-10000-n-P0-oX filename.xml--open-T5
应用信息搜集:httprint、SIPSCAN、**ap
有必要将SNMP单独提出来谈谈,因为目前许多运营商、大型企业内部网络的维护台通过SNMP进行数据传输,大部分情况是使用了默认口令的,最多改了private口令。这样,攻击者可以通过它收集到很多有效信息。snmp-gui、HiliSoft MIB Browser、mibsearch、net-snmp都是一些很好的资源。
2、漏洞扫描
这一步主要针对具体系统目标进行。如通过第一步的信息搜集,已经得到了目标系统的IP地址分布及对应的域名,并且我们已经通过一些分析过滤出少许的几个攻击目标,这时,我们就可以针对它们进行有针对性的漏洞扫描。以下有几个方面可以进行:
针对系统层面的工具有:ISS、Nessus、SSS、Retina、天镜、极光
针对WEB应用层面的工具有:AppScan、Acunetix Web Vulnerability Scanner、WebInspect、Nstalker
针对数据库的工具有:ShadowDatabaseScanner、NGSSQuirreL
针对VOIP方面的工具有:PROTOS c07 sip(在测试中直接用这个工具轰等于找死)以及c07 h225、Sivus、sipsak等。
实际上,每个渗透测试团队多少都会有自己的测试工具包,在漏洞扫描这一块针对具体应用的工具也比较个性化。
3、漏洞利用
有时候,通过服务/应用扫描后,我们可以跳过漏洞扫描部分,直接进行漏洞利用。因为很多情况下,我们根据目标服务/应用的版本就可以在一些安全网站上获取针对该目标系统的漏洞利用代码,如milw0rm、securityfocus、packetstormsecurity等网站,上面都对应有搜索模块。实在没有,我们也可以尝试在GOOGLE上搜索“应用名称 exploit”、“应用名称 vulnerability”等关键字。
当然,大部分情况下你都可以不这么麻烦,网络中有一些工具可供我们使用,最著名的当属metasploit了,它是一个开源免费的漏洞利用攻击平台。其他的多说无益,您就看它从榜上无名到冲进前五(top 100)这一点来说,也能大概了解到它的威力了。除此之外,如果您(您们公司)有足够的资金用于购买商用软件的话,CORE IMPACT是相当值得考虑的,虽然说价格很高,但是它却是被业界公认在渗透测试方面的泰山北斗,基本上测试全自动。如果您觉得还是接受不了,那么您可以去购买CANVAS,据说有不少0DAY,不过它跟metasploit一样,是需要手动进行测试的。最后还有一个需要提及的是Exploitation_Framework,它相当于一个漏洞利用代码管理工具,方便进行不同语言、不同平台的利用代码收集,把它也放在这里是因为它本身也维护了一个exploit库,大家参考着也能使用。
当然,通常情况下你不必如此繁琐,网络中存在一些辅助工具可供我们选用,其中最知名的要数metasploit,它是一款开源免费的漏洞攻击平台。其他工具则无需过多赘述,仅从其从榜上无名跃升至前五(top 100)这一事实,便可窥见其强大的威力。此外,若您(或您的公司)有足够的资金购买商用软件,那么CORE IMPACT是一个值得考虑的选择,尽管价格不菲,但它在渗透测试领域享有极高的声誉,测试过程基本实现自动化。如果您仍感难以接受,可以考虑购买CANVAS,据说其中包含不少0DAY漏洞,但与metasploit类似,它也需要手动进行测试。最后,还有一个需要提及的Exploitation_Framework,它相当于一个漏洞利用代码管理工具,便于收集不同语言、不同平台的利用代码。之所以将其列出,是因为它本身也维护了一个exploit库,供大家参考使用。
上述工具主要针对系统进行攻击,而在针对WEB方面,有NBSI、OWASP SQLiX、SQL Power Injector、sqlDumper、sqlninja、sqlmap、Sqlbftools、priamos、ISR-sqlget***等注入工具。
在针对数据库方面,有如下工具:
数据库工具列表 Oracle(1521端口):目前主要存在以下安全问题:
1、TNS监听程序攻击(sid信息泄露、停止服务等)
2、默认账号(default password list)
3、SQL INJECTION(与传统的意思略有不同)
4、缓冲区溢出,现已较少出现。thc-orakel、tnscmd、oscanne、Getsids、TNSLSNR、lsnrcheck、OAT、Checkpwd、orabf MS Sql Server(1433、1434端口) Mysql(3306端口) DB2(523、50000、50001、50002、50003端口) db2utils Informix(1526、1528端口)
在针对Web服务器方面,有如下工具:
WEB服务器工具列表 IIS IISPUTSCANNER Tomcat(想起/admin和/manager管理目录了吗?另外,目录列表也是Tomcat服务器中最常见的问题。比如5.*版本中的"../manager/html")
JBOSS jboss的漏洞很少,老版本中8083端口有%符号的漏洞:
GET%. HTTP/1.0可以获取物理路径信息,
GET%server.policy HTTP/1.0可以获取安全策略配置文档。
你也可以直接访问GET%org/xxx/lib.class来获取编译好的java程序,再使用一些反编译工具还原源代码。
Apache Resin [path]/[device].[extension] "..web-inf" [path]/%20.xtp WebLogic
Web安全测试主要围绕以下几块进行:
Information Gathering:一般的信息泄漏,包括异常情况下的路径泄漏、文件归档查找等
Business logic testing:业务逻辑处理攻击,很多情况下用于进行业务绕过或欺骗等
Authentication Testing:验证码、次数限制等,总之就是看能否暴力破解或通过认证,最直接的就是“默认口令”或弱口令了
Session Management Testing:会话管理攻击在COOKIE携带认证信息时最有效
Data Validation Testing:数据验证,即SQL Injection和Cross Site Script等
目前网上能找到许多用于Web测试的工具,根据不同功能主要分为以下几类:
枚举(Enumeration):DirBuster、http-dir-enum、wget
基于代理测试类工具:paros、webscarab、Burp Suite
针对WebService测试的部分有一些尚不是很成熟的工具,如:w**ang、wschess、w**ap、wsdigger、wsfuzzer
值得一提的是,许多渗透测试团队都有自己的测试工具甚至是0DAY代码,最常见的是SQL注入工具。现网开发的注入工具(如NBSI等)目前主要针对中小企业或个人站点/数据库进行攻击,针对大型目标系统使用的一些相对偏门的数据库系统(如INFORMIX、DB2)等,基本上还未涉及或不够深入。这时,各渗透测试团队就开发了满足自身使用习惯的测试工具。
在针对无线环境的攻击有:WifiZoo
4、权限提升
在前面的工作中,你可能已经获得了一些控制权限,但对于进一步攻击来说仍显不足。例如:你可能很容易获取Oracle数据库的访问权限,或者得到UNIX(AIX、HP-UX、SUNOS)的一个基本账号权限,但当你想进行进一步的渗透测试时,问题就来了。你发现你没有足够的权限打开一些密码存储文件、无法安装一个SNIFFER、甚至没有权限执行一些基本的命令。这时,你自然会想到权限提升这个途径。
目前一些企业对于补丁管理存在很大问题,他们可能从未想过对一些服务器或应用进行补丁更新,或者延迟更新。这时,渗透测试人员就有了机会。经验之谈:一般权限的Oracle账号或AIX账号基本上等于root,因为这就是现实生活。
5、密码破解
有时候,目标系统在配置方面可能无懈可击,但并不意味着完全没有办法进入。最简单的说,一个缺少密码策略的论证系统就等于你安装了一个无法关闭的防盗门。很多情况下,一些安全技术研究人员对此不屑一顾,但无数的安全事故证明,往往破坏力最大的攻击起源于最小的弱点,例如弱口令、目录列表、SQL注入绕过论证等。所以说,对于一些专门的安全技术研究人员来说,这一块意义不大,但对于一个ethical hacker来说,这一步骤是有必要且在绝大多数情况下是必须的。
目前较好的网络密码暴力破解工具有:thc-hydra、brutus
目前较为出色的网络密码破解工具包括:thc-hydra,brutus
hydra.exe-L users.txt-P passwords.txt-o test.txt-s 2121 www.heimian.com ftp
目前网络中广泛应用的资源之一是rainbow table技术,本质上是一个HASH对应表。一些网站提供此类服务,声称存储空间超过多少G,例如rainbowcrack宣称其数据量已超过1.3T。
针对此类提供在线服务的有:
网址描述 rainbowcrack包含了多种加密算法的HASH。数据量全球领先,如果本站无法破解,那么你只能去求助专业人士...
当然,一些单机破解软件也是不可或缺的:Ophcrack,rainbowcrack(由国人开发,值得赞扬),cain,L0phtCrack(破解Windows密码),John the Ripper(破解UNIX/LINUX)密码,当然,还少不了一个FindPass...
针对网络设备的默认账户,你可以查询和
在渗透测试过程中,一旦有机会接触被加密的OFFICE文档,rixler将是你的首选,他们提供的OFFICE密码套件可以迅速打开OFFICE文档(2007版本我尚未测试,如有机会请提供测试结果,谢谢)。看来微软有必要推出补丁了。对企业而言,可以考虑使用铁卷或RMS。
6、日志清理
实际上并不需要。
7、进一步渗透
攻入DMZ区通常也不会获取太多有价值的信息。为了巩固战果,我们需要进行更深入的内网渗透。这时,我们会采取各种手段。最常用且最有效的方法是Sniff抓包(可以加上ARP欺骗)。当然,最简单的方法是查看已入侵机器上的文件,很可能包含所需的一些连接账户。例如,入侵一台Web服务器,通常可以在页面代码或某个配置文件中找到连接数据库的账户。你也可以打开一些日志文件进行查看。
除此之外,你可以直接回到第二步漏洞扫描。
四、生成报告
报告中应包含:
薄弱点清单(按严重程度排序)
薄弱点详细描述(利用方法)
解决方法建议
参与人员/测试时间/内网/外网
五、测试过程中的风险及规避
在测试过程中,不可避免地会遇到许多可预见和不可预见的风险,测试方必须提供规避措施,以免对系统造成重大影响。以下是一些可供参考的措施:
1.不执行任何可能引起业务中断的攻击(包括资源耗竭型DoS,畸形报文攻击,数据破坏)。
2.测试验证时间选择业务量最少的时间进行。
3.测试执行前确保相关数据进行备份。
4.所有测试在执行前与维护人员进行沟通确认。
5.测试过程中出现异常情况时立即停止测试并及时恢复系统。
6.对原始业务系统进行完全的镜像环境,在镜像环境上进行渗透测试。
