渗透测试报告

1、1.1.测试目的B业务的安全运行。实施钱对桂的渗透测试上发现成绩管理系统网站的安全漏洞；德障系,统W1.2.测试范围系统名称成绩管理系统网站测试域名测试时间2019年09月20曰-2019年09月22曰说明本次渗透测试过程中使用的IP为:根扼事先交流木次测试的范围详细如下:1.3数据乘源漏洞扫描和手动分析获取相矣数据。第彳漳详细测试结果测试工具 .根捣测宜由痢亩本成渗诱珈宜可能用至。的福矣士具勘表血下检测工具用途和说明OWASPZAP全称：OWASP Zed Attack Proxy攻击代理服务器是世界上最受欢迎的免费安全工具之一。ZAP可以帮助我们在开发和测试应用程序过程 中，自动发现Web

2、应用程序中的安全漏洞。另外，它也是一款提供给具备丰富经验的渗透测试人员进行人工安全测试的优秀工具。NmapLinux FreeBSD、UNIX、Windows下的网络扫描和嗅探工具包。Nessus系统漏洞扫描与分析软件。Burpsuite网络抓包工具对网络的数据包传输进行抓取。AntSword开源的跨平台网站管理工具浏览器插件对工具扫描结果进行人工检测来判定问题是否真实存在具体方法依据实际情况而定。其他系统本身具备的相关命令,或者根据实际情况采用的其他工具。2.2.测试步骤2.2.1.预扫描通过端口扫描或主机查看，确定主机所开放的服务。来检查是否有非正常的服务程序在运行。2.2.2.工具扫描通

3、过Nessus进行主机扫描，通过0WASP ZAP进行WEB扫描，通过Nessus进行主机扫描。得出扫描结果后，三个结果进行对比分析。2.2.3.人工分析对以上扫描结果进行手动验证，判断扫描结果中的问题是否真实存在。(1 )使用0WASP ZAP扫描结果如下。通过扫描该学生成绩管理系统网站得到可能存在的漏洞：SQL注入、XSS。(*)基碰信息当 SJ路径：/var/www/html/grade磁盘列表：/系统信息：Linux localhoat.localdomain 3.10.0-957.el7.x86_64 #1 SMP Thu Nov 8 23:39:32 UTC 2018 x86_64

4、 当前用户： apache(输入ashelp查看本堆令令1(: var/www.-htEl/grade) $ who(5)后续提权后将导致服务器沦陷整改建议：限制文件上传的类型，限制上传文件大小确保上传文件被访问正确返回或使用其他过滤函数。.用户名和密码猜解风险等级：低漏洞描述：攻击者可通过hydra工具或者人工猜解，获取管理后台url地址、FTP服务器和数据库。漏洞位置：漏洞验证：(1)猜测数据库管理员密码为弱口令:虽82置列表执行 清空 具书签1 SELECT Hello antSword :) AS welcome;n添加国置-x。添加 x清空口则试连接。添加 x清空口则试连接(2)得到

5、该服务器网站的数据库3 Si置列表也行SQL。添加0编辑 B删除 ：?检删只书签日 dl mysql:/rootlocalhostF目目目目日目目inrormauon scnemagrade guestbook jspgoumysql performance_schema ultraxzabbix(3)得到网站管理员密码1 SELECT Hello antSword :)* AS welcome;盐导出rootkali:*/T载# hydra -L yh.txt -P passwd.txt ftp:/172.Hydra v8.6 (c) 2017 by van Hauser/THC - Ple

6、ase do not use in military or secret service or ganizations, or for illegal purposes.Hydra (http:/www.thc .org/thchydra) starting at 2019-09-23 09:02:57DATA max 16 tasks per 1 server, overall 16 tasks, 25 login tries (l:5/p:5), 2 tries per爆破得到内网FTP用户和口令taskDATA1 attackinq ftp：/172,16,16,41:21/1 of 1

7、 target successfully completed, 1 valid password found21ftp host: 1 login: ftpteacherOl password: 123456Mi/H ( hb + n , /十h厂 r rn /bhr - h/Hi n i choH a十 OA1 Q - AQ - AQ AA整改建议：使用强口令。.3.5. HTTP TRACE 漏洞刈险等级：届洞描述：:攵击者利用TRACE请求-结合其它浏览器端漏洞，有可能进行跨站脚本攻击获取敏感信息，比如cookie中的认证信息，这些敏感信息将 寂用于其它类型的攻击。届洞位置：届洞验证：利

8、用Burp suite抓包访问内容，查看trace内容。座改建议：对于以上版本的apache服务器只用在httpd.conf添加TraceEnable off .3.6. SSH服务器的CBC加密漏洞4险等级：氐届洞描述：:攵击者可能从SSH会话中将密文恢复为明文消息造成信息泄露。届洞位置：SSH服务器被配置为支持Cipher块链接（CBC ）加密。属洞验证：SSH连接后，爆破密文内容。壑改建议：请与供应商联系或查阅产品文档以禁用CBC模式密码加密并启用CTR或GCM密码模式加密。.3.7.数据传输漏洞险等级：漏洞描述: 攻击者可通过Burp suite和wireshark等抓包软件直接获取数

9、据传送时的管理员密码。届洞位置: 漏洞验证:在浏览器中输入测试数据用户名: 密码:用户名: 密码:Burp suite抓包结果如图:POST /login.php HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; n/:18.0) Gecko/20100101 Firefox/18.0Accept: text/html ,application/xhtml+xml.application/xml;q=0.9,*/*; q=0.8Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3A

10、ccept-Encoding: gzip, deflateReferer: Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 33整改建议: 用户的密码信息在传输时，使用MD5 SHA-1等进行加密。2.3.8. CSRF漏)同风险等级：漏洞描述: 攻击者可事先构造一个与正常网页相似的恶意网页-并将该网页的action指向正常添加管理员用户时访问的URL，当系统管理员访问恶意网 页时，恶意代码在管理员不知情的情况下以系统管理员的合法权限被执行，攻击者成功伪造管理员。漏洞位置： 届洞验证

11、： 利用Burp suite抓包后发现Referer直接指向对应页面。POST/login.php HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; tv: 18.0) Gecko/20100101 Firefox/18.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3Accept-Encodinq: qzip, deflateRefe

12、rer: Connection: close整改建议: 添加Referer头检测函数，对Rerferer进行过滤;添加token检测。2.3.9. X-Content-Type-Options响应标头漏洞风险等级：低漏洞描述：攻击者可通过上传恶意代码，由于低版本的浏览器将内容解释为不同的内容类型，然后由浏览器执行这些代码将使用替代的内容类型来解释 文件便可以将这些内容作为可执行文件或动态HTML文件来处理。漏洞位置：成绩管理系统网站文件。漏洞验证：查看网站html文件均未添加防止基于MIME类型混淆攻击的保护措施。整改建议：在标头添加下列代码。# prevent mime based atta

13、cks2.4,总结通过本次渗透测试发现该成绩管理系统网站存在的薄弱环节较多，修复建议如下：管理员密码建议设置强口令，不要使用QQ 、生日和邮箱的信息作为服务器密码，不要使用通用密码还应考虑口令的加密传输和数据库加密 存储。应用系统在开发过程中，应考虑网站应具备的安全功能需求，如：登录框的验证码机制、上传功能安全机制、文本输入框关键字过滤机制等 方面，所以建议重新部署WAF的检测机制。定时更新系统补丁 及时修复系统漏洞，软件更新到最新版本；关闭不常用的端口，对容易受到攻击的端口做端口转发。建议部署网站防篡改及网页防火墙系统，保护DMZ区域内的所有WEB网站。Standard ModeI O 0幽

14、）皿 。W鼠敝W快速开始寸-请求响应j末命名会话-20190920-093038 - X文件！原菅查看分析报告工具Qnline帮助Welcome to the OWASP Zed Attack Proxy (ZAP) S ContextsDefault Context。检ZAP is an easy to use integrated penetration testing tool for finding vulnerabilities in web applications.攻击网址:输入扫描的成绩系统网站。Select.攻击.停止Please be aware that you shou

15、ld only attack applications that you have been specifically been given permission to testTo quickly test an application, enter its URL below and press Attack.Attack complete - see the Alerts tab for details of any issues found进展:For a more in depth test you should explore your application using your

16、 browser or automated regression tests while proxying through ZAP.探察您的应用程序：I启动游览器j JxBrowser历史勺搜索业警报*输出澎Spider b主动扫描+所有报警的全部细节将在这里显示。您可以在记录和迭择3忝加警报而相关行右击手动添加警报。您还可以通过次击它们来编辑这些警报。警报（6）a .SQL注入(2)A 跨站点脚本(反映)I* X-Frame-Options Header Not Set (7)卜 Cookie No HttpOnly Flag卜 X-Content-Type-Options Header F

17、vlissing (7)R未启用Web浏览器XS魂护(9)可能存在的漏洞（2 ）使用nmap扫描端口结果如下。通过扫描目标地址提供的服务及版本，该服务器开放的端口有21 （用于FTP服务）、22 （用于SSH 服务）、80 （用于WEB服务）和8080 （用于WWW代理服务）；接着探测防火墙状态，发现端口被过滤，防火墙应该正常运行。 rootkali:#jnmap .sV 1 |Starting Nmap 7.70 ( https:/nmap .org ) at 2019-09-20 14:46 CSTStats: 0:02:15 elapsed; 0 hosts completed (1 u

18、p), 1 undergoing Service Scan Service scan Timing: About 75.00% done; ETC: 14:49 (0:00:13 remaining) Stats: 0:02:48 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan NSE Timing: About 95.83% done; ETC: 14:49 (0:00:00 remaining)Nmap scan report for Host is up (0.022s latency).Not shown: 984

19、 filtered portsPORTSTATESERVICEVERSION 217tcpopenftpvsftpd 27o78 or later22/tcpopensshOpenSSH 7.4 (protocol 2.0)23/tcpclosedtelnet30/tcpopenhttpApache httpd 2.4.6 (CentOS) PHP/5.4.16)443/tcpclosedhttps524/tcpclosednep711/tcpclosedcisco-tdp1048/tcpclosedneod21053/tcpclosedremote-as1108/tcpclosedratio

20、-adp1148/tcpclosedelfiq-repl得到开放端口及对应的服务B811/tcpclosedgsiftp4444/tcpclosedkrb524B080/tcpopenhttp-proxylfl500fl/tcnclosAdhvdanMIXEDMIXEDINFOName -4 HTTP (Multiple Issues)SSH (Multiple Issues)Nessus SYN scannerFamily，Web ServersMisc.Port scannersCount Host DetailsIPOS:Start:End:Linux Kernel 3.10 on Ce

21、ntOS Linux release 7Today at 2:56 PMToday at 3:09 PM13 minutesDownload: PHP (Multiple Issues)Web Setvers诲的漏洞SSH (Multiple Issues)GeneralVulnerabilitiesApache Banner Linux Distribution DisclosureWeb Sen/ersApache HTTP Server VersionWeb ServersDescriptionused to debug web server connections.SolutionSe

22、e AlsoSSH Server CBC Mode Ciphers EnabledDescriptionThe SSH server is configured to support Cipher Block Chaining (CBC) encryption. This may allow an attacker to recoverthe plaintext message from the ciphertext.Note that this plugin only checks for the options of the SSH server and does not check fo

23、r vulnerable software versions.INFOINFOINFOINFOMEDIUMLOWElapsed: KB:CriticalHighMediumLowIntoSolution2盆曷鳏 vendor or consult product documentation to disable CBC mode cipher encryption, and enable CTR or GCM根据现场具体情况通过双方确认后采取相应的解决方式。HTTP TRACE / TRACK Methods AllowedThe remote web server supports the

24、TRACE and/or TRACK methods. TRACE and TRACK are HTTP methods that areDisable these methods. Refer to the plugin output for more information.https: wvM/whitehal-mirror7WH-WhitePapei_XST_ebook.pdf rootkali:# nmap -sF T4 J72. 16.16.4IStarting Nmap 7.70 ( ) at 2019-09-20 11:08 CST 忠密 糜藉vt端口是关闭或被成的,nmap不

25、岬UAll 1000 scanned ports on 1 are open|filteredNmap done: 1 IP address (1 host up) scanned in 17.16 seconds(3 )使用nessus扫描目标主机结果如下。通过扫描得知目标存在1个高危漏洞(HTTP TRACE / TRACK Methods Allowed )和一个 氐危漏洞(SSH Server CBC Mode Ciphers Enabled )。Configure Audit Trail Launch ExportTest-CentOS 7 / Back to HostsVulner

26、abilities 17Filter Filter 17 Vulnerabilities23测试结果本次渗透测试共发现5个的高危漏洞、1个的中危漏洞和1个的低危漏洞。这些漏洞可以直接使攻击者遍历网站、登陆web管理后台同时 可能引起内网渗透等。2.3.1.跨站脚本漏洞风险等级：漏洞描述：攻击者可通过该漏洞构造特定带有恶意Javascript代码的URL并诱使浏览者点击导致浏览者执行恶意代码或被窃取cookie。 漏洞位置：变量：user漏洞验证：以其中一个XSS漏洞利用示范为例，在浏览器中输入：结果如图： /query.php?userEalert(1)v%2Fscipt 工号/学号不记得了吗

27、?输入您的名字查询一下吧!请输入您的名字I汉钏音 I巍学号确定彳位宣待汕对传入的参数进行有效性检测，应限制其只允许提交开发设定范围之内的数据内容。要解决跨站脚本漏洞应对输入内容进行检查过滤， 对 输出内容的特定字符转义后输出，可采取以下方式：在服务器端对所有的输入进行过滤，限制敏感字符的输入。对输出进行转义，尤其是()2.3.3.文件上传漏洞风险等级：漏洞描述：系统中测试页面中存在文件上传漏洞攻击者可通过该漏洞上传木马以获取系统的webshell。漏洞位置：工号/学号不记得了吗？汉字替琶查询学号输入您的名字查询一下吧请输入您的名字漏洞验证：(1)构建一句话木马作为作业上传到服务器(2 )利用AntSword连接木马分类目录(1)三敏据管理(7)URL地址IP地址创建时间更新时间O添加 重命名匚默认分类(3)可以遍历网站目录口目录列表(0)varWWW-L html grade。添加 X清空o删试连接白基础配置,URL地址*连接密码a网站备注