渗透测试的报告

时间：二O二一年七月二十九日目录之阿布丰王创作时间：二O二一年七月二十九日0x1概述渗透范围渗透测试主要内容0x2懦弱性分析方法0x3渗透测试过程描述遍历目录测试弱口令测试Sql注入测试内网渗透内网嗅探0x4分析结果与建议0x1概述某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击

渗透，在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外

网服务器和内网集群精心全面懦弱性黑盒测试 .完成测试获得此份网络渗透测试陈说.渗透范围此次渗透测试主要包括对象：时间：二O二一年七月二十九日时间：二O二一年七月二十九日某网络公司外网 web服务器.企业邮局服务器，核心商业数据服务器和内网办公网络系统.渗透测试主要内容本次渗透中，主要对某网络公司web服务器，邮件服务器进行遍历目录，用户弱口令猜解,sql注入漏洞，数据库挖掘，内网嗅探,以及域服务器平安等几个方面进行渗透测试 .0x2懦弱性分析方法依照国家工信部is900标准，采纳行业内认可的测试软件和技术人员手工把持模拟渗透.0x3渗透测试过程描述遍历目录测试使用载入国内外3万多目录字典的wwwscan对web和邮件服务器进行目录探测.获得探测结果.主站不存在遍历目录和敏感目录的情况.可是同服务器站点存在edit编纂器路径.该编纂器版本过低.存在严重漏洞^如图1*[*tVIIHIJtf5IAjpwp-wAAA,cmriurww「qinq.rnUeJcmn翼tntliemaI u3.WFfaiild CSKI.Ihttfie//wwwhX3og■or®Rnsnluing[pofunwM.gvt富.cn.一0K»Connectingf..一SucceedTTryiimgT小GetServerTyp心Succeed?SeFV&FTVPS1■Mic^osoft-ItS-^60TestingIfrhepeIsfiBef^ultTurningPaq料.B-NotFonndTFound"ZB.yavdnxn^fl!h?uiinil-ZB ?f?Checking：/_54_bln，一二2『・.XZf 2f. ,.Z2f..X2f.wlnnt>sjistem32/cna.用户口令猜解时间：二O二一年七月二十九日

时间：二O二一年七月二十九日Nmap收集到外网服务器ftp,使用默认的账号无法连接，于是对web和能登岸的界面进行弱口令测试 ，具体如下图sql注入测试通过手工配合工具检测 sql注入获得反馈结果如下图根据漏洞类别进行统计，如下所示：漏洞类别高中低风险值网站结构分析一一一3目录遍历探测一一一4隐藏文件探测一一一3CGI漏洞扫描—一一0用户和密码猜解—一一10跨站脚天职—一一0时间：二O二一年七月二十九日时间：二O二一年七月二十九日析SQL注射漏洞挖掘（含数据库挖掘分析）一--10风险总值303.4内网渗透当通过外围平安一些列检测.通过弱口令和注入2中方式进入管理后台.抓包上传webshell获得后门开始提升权限.当发现web服务器处于内网.也正好是在公司内部.于是收集了域的信息.想从web入手抓取域管理Hash破解，无果.所以只能寻找内网其他域管理密码.内外通过ipc漏洞控制了2个机器.获取到域管hash.用metasploitsmb 溢出也获得内网机器权限同样也获得域内管理 hash.用域管理hash登岸域服务器.内网的权限全部得手.内网嗅探当获得内网权限其实就可以获得许多信息 .可是主要是针对商业数据保密的原则.就还需要对内网数据传输进行一个平安检测 .于是在内网某机器上装置 cain进行嗅探获得一部份电子邮件内容时间：二o二一年七月二十九日时间：二O二一年七月二十九日信息和一些网络账号.具体看下图0x4分析结果与建议通过本次渗透测试可以看出 .xx网络公司网络的平安防护结果不是很理想，在防注入和内网权限中存在多处漏洞或者权限战略做的不够适当.本次渗透的突破口主要是分为内网和外网 ，外网设备存在多处注入和弱口令破解.还有一方面原因是使用第三方editweb编纂器发生破解账号的风险.内网由于arp防火墙和域管得战略做的不是很严密.招致内网沦陷.因此.对本次渗透得出的结论Xx网络公司的网络“十分危险”第一章五金行业概述21五金行业简介22五金行业特性23五金行业典范组织架构4第二章五金行业现状和问题分析7五金行业存在的管理特点 7五金行业管理重点与罕见的困扰、 8第三章高格ANY班金行业解决方案131总体目标132应用战略13时间：二O二一年七月二十九日时间：二O二一年七月二十九日指导思想13应用要求13实施方法论133方案特色144总体架构15技术架构15业务架构165工程技术基础数据管理17关键需求分析18关键需求方案19业务流程20关键业务控制25关键信息处置25应用效益276销售定单管理27关键需求分析27业务流程28关键业务控制30关键信息处置377出口管理38关键需求分析38时间：二O二一年七月二十九日时间：二O二一年七月二十九日关键需求处置38业务流程39关键业务控制46关键信息处置468供应商与推销管理46关键需求分析46业务流程47关键业务控制51关键信息处置529仓存管理流程52关键需求分析52关键需求方案53业务流程54关键业务控制65关键信息处置73应用效益7310计划管理流程74关键需求分析74关键需求方案75业务流程75关键业务控制79时间：二O二一年七月二十九日

时间：二O二一年七月二十九日关键信息处置80应用效益8111生产任务及工序管理流程 82关键需求分析82关键需求方案83业务流程83关键业务控制86关键信息处置87应用效益8712委外加工作业流程89关键需求分析关键需求方案业务流程90关键业务控制关键信息处置应用效益9313品质管理93关键需求分析关键需求方案关键业务流程关键业务控制89908990929293949596O二一年七月二十九日时间：二O二一年七月二十九日关键信息处置100应用效益10014账款管理102关键需求分析102关键需求方案103业务流程104关键信息处置107应用效益10815发票管理109关键需求分析109关键需求方案109关键业务流程110关键信息处置115应用效益11616固资管理117业务流程117关键业务控制118关键信息处置119应用效益11917总账系统120业务流程120时间：二O二一年七月二十九日时间：二O二一年七月二十九日关键业务控制123关键信息处置124应用效益12518出纳系统127关键需求分析127关键需求解决127业务流程127关键业务处置137关键信息处置13719人薪管理137关键需求分析137关键需求方案138业务流程138关键业务控制143关键业务处置14320本钱管理144关键需求分析144关键需求方案144业务流程144关键业务控制159第四章维护平台介绍163时间：二O二一年七月二十九日时间：二O二一年七月二十九日4高格管理配置平台VOS"(AnyvOperationSystem)简述1635高格管理配置平台VOST物架构图1636用户应用自界说配置功能(VOSUD-UserDefineTools)164自界说报表164查询方案配置166消息提醒配置(含短信)167自动侦错功能168权限配置168用户管理员工具(VOSAT-AdministratorTools)170系统参数字界说170作业流程SOP自界说171专案脚本语言171资料库更新工具172工作流引擎(WorkflowEngine)173帐套与规格设定175数据备份与还原工具176系统建模实施工具(VOSDP-DesignPlatform)177栏位自界说工具177功能菜单自界说179单据抛转自定180快速二次开发平台(FD-fasterdevelopmentpaltform)181时间：二O二一年七月二十九日

时间：二O二一年七月二十九日10数据交换引擎（XME182数据导入导收工具182XMN数据传输中间件（集群版专用）183第五章公司介绍1841关于高格1842高格历史1843产物家族1851关于高格1842高格历史1843产物家族185第六章行业胜利案例1871其他案例187时间：二O二一年七月二十九