渗透测试的报告

目录0x1概述渗透范围渗透测试主要内容0x2脆弱性分析方法0x3渗透测试过程描述遍历目录测试弱口令测试Sql注入测试内网渗透内网嗅探0x4分析结果与建议0x1概述某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。渗透范围此次渗透测试主要包括对象：某网络公司外网web服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。渗透测试主要内容本次渗透中，主要对某网络公司web服务器,邮件服务器进行遍历目录,用户弱口令猜解，sql注入漏洞，数据库挖掘，内网嗅探,以及域服务器安全等几个方面进行渗透测试。0x2脆弱性分析方法按照国家工信部is900标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。0x3渗透测试过程描述3.1遍历目录测试使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏洞。如图3.2用户口令猜解Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登陆的界面进行弱口令测试,具体如下图3.3sql注入测试通过手工配合工具检测sql注入得到反馈结果如下图根据漏洞类别进行统计，如下所示:漏洞类别高中低风险值网站结构分析－－－3目录遍历探测－－－4隐藏文件探测－－－3CGI漏洞扫描－－－0用户和密码猜解－－－10跨站脚本分析－－－0SQL注射漏洞挖掘（含数据库挖掘分析）－－－10风险总值303.4内网渗透当通过外围安全一些列检测。通过弱口令和注入2中方式进入管理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器处于内网。也正好是在公司内部。于是收集了域的信息。想从web入手抓取域管理Hash破解，无果。所以只能寻找内网其他域管理密码。内外通过ipc漏洞控制了2个机器。获取到域管hash。用metasploitsmb溢出也得到内网机器权限同样也获得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到手。3.5内网嗅探当得到内网权限其实就可以得到许多信息。但是主要是针对商业数据保密的原则。就还需要对内网数据传输进行一个安全检测。于是在内网某机器上安装cain进行嗅探得到一部分电子邮件内容信息和一些网络账号.具体看下图0x4分析结果与建议通过本次渗透测试可以看出.xx网络公司网络的安全防护结果不是很理想，在防注入和内网权限中存在多处漏洞或者权限策略做的不够得当。本次渗透的突破口主要是分为内网和外网，外网设备存在多处注入和弱口令破解。还有一方面原因是使用第三方editweb编辑器产生破解账号的风险。内网由于arp防火墙和域管得策略做的不是很严密。导致内网沦陷。因此。对本次渗透得出的结论Xx网络公司的网络”十分危险”第一章五金行业概述 21五金行业简介 22五金行业特性 23五金行业典型组织架构 4第二章五金行业现状和问题分析 7五金行业存在的管理特点 7五金行业管理重点与常见的困扰、 8第三章高格ANYV五金行业解决方案 131总体目标 132应用策略 132.1指导思想 132.2应用要求 132.3实施方法论 133方案特色 144总体架构 154.1技术架构 154.2业务架构 165工程技术基础数据管理 175.1关键需求分析 185.2关键需求方案 195.3业务流程 205.4关键业务控制 255.5关键信息处理 255.6应用效益 276销售订单管理 276.1关键需求分析 276.2业务流程 286.3关键业务控制 306.4关键信息处理 377出口管理 387.1关键需求分析 387.2关键需求处理 387.3业务流程 397.4关键业务控制 467.5关键信息处理 468供应商与采购管理 468.1关键需求分析 468.2业务流程 478.3关键业务控制 518.4关键信息处理 529仓存管理流程 529.1关键需求分析 529.2关键需求方案 539.3业务流程 549.4关键业务控制 659.5关键信息处理 739.6应用效益 7310计划管理流程 7410.1关键需求分析 7410.2关键需求方案 7510.3业务流程 7510.4关键业务控制 7910.5关键信息处理 8010.6应用效益 8111生产任务及工序管理流程 8211.1关键需求分析 8211.2关键需求方案 8311.3业务流程 8311.4关键业务控制 8611.5关键信息处理 8711.6应用效益 8712委外加工作业流程 8912.1关键需求分析 8912.2关键需求方案 9012.3业务流程 9012.4关键业务控制 9212.5关键信息处理 9212.6应用效益 9313品质管理 9313.1关键需求分析 9313.2关键需求方案 9413.3关键业务流程 9513.4关键业务控制 9613.5关键信息处理 10013.6应用效益 10014账款管理 10214.1关键需求分析 10214.2关键需求方案 10314.3业务流程 10414.4关键信息处理 10714.5应用效益 10815发票管理 10915.1关键需求分析 10915.2关键需求方案 10915.3关键业务流程 11015.4关键信息处理 11515.5应用效益 11616固资管理 11716.1业务流程 11716.2关键业务控制 11816.3关键信息处理 11916.4应用效益 11917总账系统 12017.1业务流程 12017.2关键业务控制 12317.3关键信息处理 12417.4应用效益 12518出纳系统 12718.1关键需求分析 12718.2关键需求解决 12718.3业务流程 12718.4关键业务处理 13718.5关键信息处理 13719人薪管理 13719.1关键需求分析 13719.2关键需求方案 13819.3业务流程 13819.4关键业务控制 14319.5关键业务处理 14320成本管理 14420.1关键需求分析 14420.2关键需求方案 14420.3业务流程 14420.4关键业务控制 159第四章维护平台介绍 1634高格管理配置平台VOS－(AnyvOperationSystem)简述 1635高格管理配置平台VOS产品架构图 1636用户应用自定义配置功能(VOSUD-UserDefineTools) 1646.1自定义报表 1646.2查询方案配置 1666.3消息提醒配置(含短信) 1676.4自动侦错功能 1686.5权限配置 1687用户管理员工具(VOSAT-AdministratorTools) 1707.1系统参数字定义 1707.2作业流程SOP自定义 1717.3专案脚本语言 1717.4资料库更新工具 1727.5工作流引擎(WorkflowEngine) 1737.6帐套与规格设定 1757.7数据备份与还原工具 1768系统建模实施工具(VOSDP-DesignPlatform) 1778.1栏位自定义工具 1778.2功能菜单自定义 1798.3单据抛转自定 1809快速二次开发平台(FD-fasterdevelopmentpaltform) 18110数据交换引擎（XME） 18210.1数据导入导出工具 18210.2XMN数据传输中间件(集群版专用) 183第五章公司介绍 1841.11关于高格 18