渗透测试的报告

目录之巴公井开创作0x1概述1.11.2渗透范围渗透测试主要内容0x2脆弱性分析方法0x3渗透测试过程描述3.1遍历目录测试3.23.3弱口令测试Sql注入测试3.4内网渗透3.5内网嗅探0x4分析结果与建议0x1概述某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透，在XX年XX月xx日-xx年XX月xx日•对XX网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试•完成测试得到此份网络渗透测试陈述。1.1渗透范围此次渗透测试主要包含对象：某网络公司外网web服务器•企业邮局服务器，核心商业数据服务器和内网办公网络系统。1.2渗透测试主要内容

本次渗透中，主要对某网络公司web服务器，邮件服务器进行遍历目录，用户弱口令猜解，sql注入漏洞，数据库挖掘，内网嗅探，以及域服务器平安等几个方面进行渗透测试。0x2脆弱性分析方法依照国家工信部is900尺度，采取行业内认可的测试软件和技术人员手工操纵模拟渗透。0x3渗透测试过程描述3.1遍历目录测试使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏小C:\V/INDOWS\sy&tanfii32\cmd.oce-轴wuw.cq-|口|禺UeLcorietothepealcanBBBuild0&1GB7<SSL]n$ide>ht匸小C:\V/INDOWS\sy&tanfii32\cmd.oce-轴wuw.cq-|口|禺UeLcorietothepealcanBBBuild0&1GB7<SSL]n$ide>ht匸r= -Msec,argFl洞。如图KcsalviricfIpofuww.cqns-cn■・・ 丄-Cunng匸tiriigr u：30.■・SuDGeed!IrpingToGetServerTppe Succeed!l^pe-Micposoft-1IS^tB0Testing1friuerc13ADgFaultTurning-Pagrc・・・HotFotinid?Found：/.-/aditin/**!Found"/.-/admin/login/MtCli^ckin^: ijjiri/・・^2f..z2f・■x2f・・ ・・^2f..^2f..x2fipiinnt/s^steFiSS/ciTid.3.2用户口令猜解Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登陆的界面进行弱口令测试，具体如下图3.3sql注入测试通过手工配合工具检测sql注入得到反馈结果如下图

根据漏洞类别进行统计，如下所示:^析 :风险总值303.4内网渗透当通过外围平安一些列检测。通过弱口令和注入2中方式进入管理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器处于内网。也正好是在公司内部。于是收集了域的信息。想从web入手抓取域管理Hash破解，无果。所以只能寻找内网其他域管理密码。内外通过ipc漏洞控制了2个机器。获取到域管hash。用metasploitsmb溢出也得到内网机器权限同样也获得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到手。3.5内网嗅探0x4分析结果与建议通过本次渗透测试可以看出・xx网络公司网络的平安防护结果不是很理想，在防注入和内网权限中存在多处漏洞或者权限战略做的不敷得当。本次渗透的突破口主要是分为内网和外网，外网设备存在多处注入和弱口令破解。还有一方面原因是使用第三方editweb编辑器发生破解账号的风险。内网由于arp防火墙和域管得战略做的不是很严密。导致内网沦陷。因此。对本次渗透得出的结论Xx网络公司的网络”十分危险”第一章五金行业概述21五金行业简介22五金行业特性23五金行业典型组织架构4第二章五金行业现状和问题分析7五金行业存在的管理特点7五金行业管理重点与罕见的困扰、8第三章高格ANYV五金行业解决方案131总体目标132应用战略132.1指导思想132.2应用要求132.3实施方法论133方案特色144总体架构154.1技术架构154.2业务架构165工程技术基础数据管理175.1关键需求分析185.2关键需求方案195.3业务流程205.4关键业务控制255.5关键信息处理255.6应用效益276销售订单管理276.1关键需求分析276.2业务流程286.3关键业务控制306.4关键信息处理377出□管理387.1关键需求分析388供应商与推销管理468.1关键需求分析468.2业务流程478.3关键业务控制518.4关键信息处理529仓存管理流程529.1关键需求分析529.3业务流程549.4关键业务控制659.5关键信息处理739.6应用效益7310计划管理流程7410.1关键需求分析7410.2关键需求方案7510.3业务流程7510.4关键业务控制7910.5关键信息处理8010.6应用效益8111生产任务及工序管理流程8211.1关键需求分析8211.2关键需求方案8311.3业务流程8311.4关键业务控制8611.5关键信息处理8711.6应用效益8712委外加工作业流程8912.1关键需求分析8912.2关键需求方案9012.3业务流程9012.4关键业务控制9212.5关键信息处理9212.6应用效益9313品质管理9313.1关键需求分析9313.2关键需求方案9413.3关键业务流程9513.4关键业务控制9613.5关键信息处理10013.6应用效益10014账款管理10214.1关键需求分析10214.2关键需求方案10314.3业务流程10414.4关键信息处理10714.5应用效益10815发票管理10915.1关键需求分析10915.2关键需求方案10915.3关键业务流程11015.4关键信息处理11515.5应用效益11616固资管理11716.1业务流程11716.2关键业务控制11816.3关键信息处理11916.4应用效益11917总账系统12017.1业务流程12017.2关键业务控制12317.3关键信息处理12417.4应用效益12518出纳系统12718.1关键需求分析12718.2关键需求解决12718.3业务流程12718.4关键业务处理13718.5关键信息处理13719人薪管理13719.1关键需求分析13719.2关键需求方案13819.3业务流程13819.4关键业务控制14319.5关键业务处理14320成本管理14420.1关键需求分析14420.2关键需求方案14420.3业务流程14420.4关键业务控制159第四章维护平台介绍1634高格管理配置平台VOS—(AnyvOperationSystem)简述1635高格管理配置平台VOS产品架构图1636用户应用自定义配置功能(VOSUD-UserDefineTools)1646.1自定义报表1646.2查询方案配置1666.3消息提醒配置(含短信)1676.4自动侦错功能1686.5权限配置168用户管理员工具(VOSAT-AdministratorTools)1707.1系统参数字定义1707.2作业流程SOP自定义1717.3专案脚本语言1717.4资料库更新工具1727.5工作流引擎(WorkflowEngine)1737.6帐套与规格设定1757.7数据备份与还原工具176系统建模实施工具(VOSDP-DesignPlatform)1778.1栏位自定义工具1778.2功能菜单自定义1798.3单据抛转自定180快速二次开发平台(FD-fasterdevelopmentpaltform)18110数据交换引擎(XME)18210.1数据导入导出工具18210.2XMN数据传输中间件(集群版专用)183第五章公司介绍1841关于高格1842高