渗透测试的报告

1、2. 精选文档 目录0x1概述1.1 渗透范围1.2 渗透测试主要内容0x2 脆弱性分析方法0x3 渗透测试过程描述3.1 遍历目录测试3.2 弱口令测试3.3 Sql注入测试3.4 内网渗透3.5 内网嗅探0x4 分析结果与建议0x1 概述某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。1.1 渗透范围此次渗透测试主要包括对象：某网络公司外网web服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。1.2 渗透测试主要内容本次渗透中，主

2、要对某网络公司web服务器,邮件服务器进行遍历目录,用户弱口令猜解，sql注入漏洞，数据库挖掘，内网嗅探,以及域服务器安全等几个方面进行渗透测试。0x2 脆弱性分析方法 按照国家工信部is900标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。0x3 渗透测试过程描述 3.1 遍历目录测试 使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏洞。如图3.2 用户口令猜解 Nmap收集到外网服务器ftp.使用默认的账号无法连接,于是对web和能登

3、陆的界面进行弱口令测试,具体如下图3.3 sql注入测试通过手工配合工具检测sql注入得到反馈结果如下图 根据漏洞类别进行统计，如下所示:漏洞类别高中低风险值网站结构分析3目录遍历探测4隐藏文件探测3CGI漏洞扫描0用户和密码猜解10跨站脚本分析0SQL注射漏洞挖掘（含数据库挖掘分析）10风险总值303.4 内网渗透 当通过外围安全一些列检测。通过弱口令和注入2中方式进入管理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器处于内网。也正好是在公司内部。于是收集了域的信息。想从web入手抓取域管理Hash破解，无果。所以只能寻找内网其他域管理密码。内外通过ipc漏洞控制了2

4、个机器。获取到域管hash。用metasploit smb溢出也得到内网机器权限同样也获得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到手。3.5 内网嗅探 当得到内网权限其实就可以得到许多信息。但是主要是针对商业数据保密的原则。就还需要对内网数据传输进行一个安全检测。于是在内网某机器上安装cain进行嗅探得到一部分电子邮件内容信息和一些网络账号.具体看下图0x4 分析结果与建议 通过本次渗透测试可以看出.xx网络公司网络的安全防护结果不是很理想，在防注入和内网权限中存在多处漏洞或者权限策略做的不够得当。本次渗透的突破口主要是分为内网和外网，外网设备存在多处注入和弱口令破解。

5、还有一方面原因是使用第三方editweb编辑器产生破解账号的风险。内网由于arp防火墙和域管得策略做的不是很严密。导致内网沦陷。因此。对本次渗透得出的结论 Xx网络公司的网络”十分危险”第一章 五金行业概述21 五金行业简介22 五金行业特性23 五金行业典型组织架构4第二章 五金行业现状和问题分析7五金行业存在的管理特点7五金行业管理重点与常见的困扰、8第三章 高格ANYV五金行业解决方案131 总体目标132 应用策略132.1 指导思想132.2 应用要求132.3 实施方法论133 方案特色144 总体架构154.1 技术架构154.2 业务架构165 工程技术基础数据管理175.1

6、关键需求分析185.2 关键需求方案195.3 业务流程205.4 关键业务控制255.5 关键信息处理255.6 应用效益276 销售订单管理276.1 关键需求分析276.2 业务流程286.3 关键业务控制306.4 关键信息处理377 出口管理387.1 关键需求分析387.2关键需求处理387.3业务流程397.4关键业务控制467.5关键信息处理468 供应商与采购管理468.1 关键需求分析468.2 业务流程478.3 关键业务控制518.4 关键信息处理529 仓存管理流程529.1 关键需求分析529.2 关键需求方案539.3 业务流程549.4 关键业务控制659.5

7、关键信息处理739.6 应用效益7310 计划管理流程7410.1 关键需求分析7410.2 关键需求方案7510.3 业务流程7510.4 关键业务控制7910.5 关键信息处理8010.6 应用效益8111 生产任务及工序管理流程8211.1 关键需求分析8211.2 关键需求方案8311.3 业务流程8311.4 关键业务控制8611.5 关键信息处理8711.6 应用效益8712 委外加工作业流程8912.1 关键需求分析8912.2 关键需求方案9012.3 业务流程9012.4 关键业务控制9212.5 关键信息处理9212.6 应用效益9313 品质管理9313.1 关键需求分析

8、9313.2 关键需求方案9413.3 关键业务流程9513.4 关键业务控制9613.5 关键信息处理10013.6 应用效益10014 账款管理10214.1 关键需求分析10214.2 关键需求方案10314.3 业务流程10414.4 关键信息处理10714.5 应用效益10815 发票管理10915.1 关键需求分析10915.2 关键需求方案10915.3 关键业务流程11015.4 关键信息处理11515.5 应用效益11616 固资管理11716.1 业务流程11716.2 关键业务控制11816.3 关键信息处理11916.4 应用效益11917 总账系统12017.1 业务

9、流程12017.2 关键业务控制12317.3 关键信息处理12417.4 应用效益12518 出纳系统12718.1 关键需求分析12718.2 关键需求解决12718.3 业务流程12718.4 关键业务处理13718.5 关键信息处理13719 人薪管理13719.1 关键需求分析13719.2 关键需求方案13819.3 业务流程13819.4 关键业务控制14319.5 关键业务处理14320 成本管理14420.1 关键需求分析14420.2 关键需求方案14420.3 业务流程14420.4 关键业务控制159第四章 维护平台介绍1634 高格管理配置平台VOS(Anyv Ope

10、ration System)简述1635 高格管理配置平台VOS产品架构图1636 用户应用自定义配置功能(VOSUD-User Define Tools)1646.1 自定义报表1646.2 查询方案配置1666.3 消息提醒配置(含短信)1676.4 自动侦错功能1686.5 权限配置1687 用户管理员工具(VOSAT-Administrator Tools)1707.1 系统参数字定义1707.2 作业流程SOP自定义1717.3 专案脚本语言1717.4 资料库更新工具1727.5 工作流引擎(Workflow Engine)1737.6 帐套与规格设定1757.7 数据备份与还原工具1768 系统建模实施工具(VOSDP-Design Platform)1778.1 栏位自定义工具1778.2 功能菜单自定义1798.3 单据抛转自定1809 快速二次开发平台(FD-faster development paltform)18110 数据交换引擎（XME）18210.1 数据导入导出工具18210.2 XMN数据传输中间件(集群版专用)183第五章 公司介绍1841.1 1关于高格1841.2 2高格历史1841.3 3产品家族18