《渗透测试的报告》由会员分享,可在线阅读,更多相关《渗透测试的报告(13页珍藏版)》请在金锄头文库上搜索。
1、目录之巴公井开创作0x1概述1.11.2渗透范围渗透测试主要内容0x2脆弱性分析方法0x3渗透测试过程描述3.1遍历目录测试3.23.3弱口令测试Sql注入测试3.4内网渗透3.5内网嗅探0x4分析结果与建议0x1概述某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在 XX年XX月xx 日-xx年XX月xx日对XX网络公司的外网服务器和内网 集群精心全面脆弱性黑盒测试完成测试得到此份网络渗透测试陈述。 1.1渗透范围此次渗透测试主要包含对象:某网络公司外网web服务器企业邮局服务器,核心商业数据服务 器和内网办公网络系统。1.2渗透测试主要内容本次渗透中,主要对某网络公司web服务
2、器,邮件服务器进行遍历目 录,用户弱口令猜解,sql注入漏洞,数据库挖掘,内网嗅探,以及域 服务器平安等几个方面进行渗透测试。0x2脆弱性分析方法依照国家工信部is900尺度,采取行业内认可的测试软件和技术人 员手工操纵模拟渗透。0x3渗透测试过程描述3.1遍历目录测试使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目 录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是 同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏小 C:V/IN DOWS sy&tanfii32 cmd .oce -轴wuw.cq -|口| 禺UeLcorie to the
3、 pealcan B B Build 0&1GB7 ht 匸 r =-Msec, argFl洞。如图Kcsalviricf I p of uww.cqns - cn 丄-Cunng匸tiriigru : 30. SuDGeed!Irping To Get Server Tppe Succeed!lpe- Micposof t-1 ISt B0Testing 1 f riuerc 13 A DgF ault Turn in g- Pagrc Hot Fotinid?Found: /. -/aditin/ *!Found /. - /adm in /log in / MtClickin:ijjir
4、i/ 2f . .z2f x2f 2f . .2f. .x2f ipiinnt/ssteFiSS/ciTid.3.2用户口令猜解Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能 登陆的界面进行弱口令测试,具体如下图 3.3 sql注入测试通过手工配合工具检测sql注入得到反馈结果如下图根据漏洞类别进行统计,如下所示:析:风险总值303.4内网渗透当通过外围平安一些列检测。通过弱口令和注入2中方式进入管 理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器 处于内网。也正好是在公司内部。于是收集了域的信息。想从web入手抓取域管理Hash破解,无果。所
5、以 只能寻找内网其他域管理密码。内外通过ipc漏洞控制了 2个机器。获 取到域管hash。用metasploit smb溢出也得到内网机器权限同样也获 得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到 手。3.5内网嗅探0x4分析结果与建议通过本次渗透测试可以看出xx网络公司网络的平安防护结果不是很 理想,在防注入和内网权限中存在多处漏洞或者权限战略做的不敷得 当。本次渗透的突破口主要是分为内网和外网,外网设备存在多处注入 和弱口令破解。还有一方面原因是使用第三方 editweb编辑器 发生破解账号的风险。内网由于arp防火墙和域管得战略做的不是很严 密。导致内网沦陷。因此。
6、对本次渗透得出的结论Xx网络公司的网络”十分危险”第一章五金行业概述21五金行业简介22五金行业特性23五金行业典型组织架构4第二章五金行业现状和问题分析7五金行业存在的管理特点7五金行业管理重点与罕见的困扰、8第三章 高格ANYV五金行业解决方案131总体目标132应用战略132.1指导思想132.2应用要求132.3实施方法论133方案特色144总体架构154.1技术架构154.2业务架构165工程技术基础数据管理175.1关键需求分析185.2关键需求方案195.3业务流程205.4关键业务控制255.5关键信息处理255.6应用效益276销售订单管理276.1关键需求分析276.2业务
7、流程286.3关键业务控制306.4关键信息处理377出管理387.1关键需求分析388供应商与推销管理468.1关键需求分析468.2业务流程478.3关键业务控制518.4关键信息处理529仓存管理流程529.1关键需求分析529.3业务流程549.4关键业务控制659.5关键信息处理739.6应用效益7310计划管理流程7410.1关键需求分析7410.2关键需求方案7510.3业务流程7510.4关键业务控制7910.5关键信息处理8010.6应用效益8111生产任务及工序管理流程8211.1关键需求分析8211.2关键需求方案8311.3业务流程8311.4关键业务控制8611.5关
8、键信息处理8711.6应用效益8712委外加工作业流程8912.1关键需求分析8912.2关键需求方案9012.3业务流程9012.4关键业务控制9212.5关键信息处理9212.6应用效益9313品质管理9313.1关键需求分析9313.2关键需求方案9413.3关键业务流程9513.4关键业务控制9613.5关键信息处理10013.6应用效益10014账款管理10214.1关键需求分析10214.2关键需求方案10314.3业务流程10414.4关键信息处理10714.5应用效益10815发票管理10915.1关键需求分析10915.2关键需求方案10915.3关键业务流程11015.4关
9、键信息处理11515.5应用效益11616固资管理11716.1业务流程11716.2关键业务控制11816.3关键信息处理11916.4应用效益11917总账系统12017.1业务流程12017.2关键业务控制12317.3关键信息处理12417.4应用效益12518出纳系统12718.1关键需求分析12718.2关键需求解决12718.3业务流程12718.4关键业务处理13718.5关键信息处理13719人薪管理13719.1关键需求分析13719.2关键需求方案13819.3业务流程13819.4关键业务控制14319.5关键业务处理14320成本管理14420.1关键需求分析1442
10、0.2关键需求方案14420.3业务流程14420.4关键业务控制159第四章维护平台介绍1634高格管理配置平台VOS(Anyv Operation System)简述1635高格管理配置平台VOS产品架构图1636用户应用自定义配置功能(VOSUD-User Define Tools)1646.1自定义报表1646.2查询方案配置1666.3消息提醒配置(含短信)1676.4自动侦错功能1686.5权限配置1687 用户管理员工具(VOSAT-Administrator Tools)1707.1系统参数字定义1707.2作业流程SOP自定义1717.3专案脚本语言1717.4资料库更新工具
11、1727.5 工作流引擎(Workflow Engine)1737.6帐套与规格设定1757.7数据备份与还原工具1768 系统建模实施工具(VOSDP-Design Platform)1778.1栏位自定义工具1778.2功能菜单自定义1798.3单据抛转自定1809 快速二次开发平台(FD-faster development paltform)18110数据交换引擎(XME) 18210.1数据导入导出工具18210.2 XMN数据传输中间件(集群版专用)183 第五章公司介绍1841.1 1关于高格1841.2 2高格历史1841.3 3产品家族185第六章行业成功案例1871其他案例187第章 五金行业概述1 五金行业简介五金工业是历史悠久的工业形式。五金为工业之母,是国民经济的装备工业;是科学技术 物化的基础;是高新技术财产化的载体;是国防建设的基础;是实现经济快速增长的重要 支柱;也是为提高人民生活质量、提供消费类机电产品的供应工业。它对国民经济运行的 质量和效益、财产结
