对于以上的渗透测试过程,大家都很熟悉了,因为这些都是经常使用的一些方法,采取的手段无非是以上几种。但需要说明的是在内网渗透中,最大的安全隐患是弱口令的的问题。我们在渗透内网时,应在渗透过程中,根据用户的密码规律制定字典,因为内网的管理员一般都会管理多台机器,在我们通过弱口令等方式进入一台服务器时,应通过抓取HASH 、破解 SAM 等方式来收集当前服务器上的密码,密码应包括但不限于以下几个方面:
1、系统管理密码
2、FTP 密码
3、应用系统密码(通常在配置文件可以查看到)
4、远程管理工具的密码,如 PcAnywher、Radmin、VNC等
将这些密码做成字典,然后对目标机器进行扫描,一般都会得到一定的信息。
另外一个值得注意的是截图的问题,因为在渗透测试结束后,我们要根据渗透测试的结果撰写渗透测试报告,在报告中要使用图片来展现我们的渗透结果。在截图时,也有一定的技巧。因为渗透测试报告和我们平时看到的黑客入侵的文章不一样,区别在于面向的读者是不一样的,渗透测试的阅读者往往是安全部门的主管和高层领导等,他们往往对黑客攻击不是很了解,举例来说我们截3389 远程桌面的图远不如截数据库里的数据来得有说服力,很多领导可能你和他说我获得了系统权限,他并不认为有什么危害,而如果你告诉他你获得他们的敏感数据,譬如财务数据、客户数据等,他就会觉得这是一个很严重的问题。
四、撰写渗透测试报告
渗透测试报告是提交给用户的最终成果,渗透测试报告应将你渗透过程中采用的方法和手段进行说明,这个过程和我们平常写入侵类的教程相似,即漏洞的发现 --> 漏洞的利用 --> 获取权限 --> 权限的提升等。报告的最后应给出漏洞的加固建议,值得注意的是加固建议的可操作性。譬如 SQL 注入,对于懂得 SQL 注入的人来说,你和他说过滤相关敏感函数、进行输入输出验证等,他就会明白,而对于用户来说,应该更详细,最好能详细到每一步的操作步骤。关于渗透测试报告,根据自己的经验总结如下几点:
1、渗透测试报告应考虑报告阅读者的技术层次,报告应力求通俗易懂,但又不能过多的透露详细的技术细节。前面已经提过,渗透测试报告不是黑客入侵教程,我们只需将发现漏洞的过程以及漏洞的危害阐述清楚即可,而不是将每一步使用了哪些方法甚至命令都详细的罗列出来。
2、报告应注重用户关心的方面。很多用户关心的是数据的安全,而对于系统的隐患并不会有太多的关注。譬如一个财务系统,获取了财务数据远比获取系统权限来得有说服力。
3、渗透测试报告应体现你的工作成果。这里的成果并不是你获取了哪些数据或者系统权限,而是本次渗透测试你到底做了哪些工作?因为渗透测试是靠运气和技术的,并不是每次渗透都能获得结果。在我们没有获得任何结果的情况下,我们怎样撰写报告?我们不可能只写一句话“本次渗透测试没有发现任何问题!”,这会让用户有种被欺骗的感觉!他们会认为自己花的钱没有体现出价值。所以我们必须要在渗透测试报告中说明我们尝试了哪些方法和手段?譬如使用了 SQL 注入、跨站、Sniffer 等方法,但是没有发现问题,最后定论用户的系统是安全的。这样会让用户觉得自己花钱来请你做渗透测试是值得的,毕竟你做这么多的工作。这一点是比较重要的,因为在实际的评估项目中,渗透没有结果的情况,是经常发生的,渗透测试人员应学会在渗透没有获得任何结果的情况下,撰写渗透测试报告。
4、渗透测试报告应注意细节的美观。细节方面主要是文档的排版。一份好的渗透测试报告,应当给人一种专业的感觉,而不是随便写写,这也是对自己的工作态度的一种展示,千万不要给用户留下不专业的感觉。
以上只是个人在渗透测试项目的一点看法和总结,因技术有限,难免有遗漏的地方,大家作为参考吧。