渗透测试的报告

1、目录0 x1概述1.1渗透范围1.2渗透测试主要内容0 x2脆弱性分析方法0 x3渗透测试过程描述3.1遍历目录测试3.2弱口令测试3.3 Sql注入测试3.4内网渗透3.5内网嗅探0 x4分析结果与建议0 x1概述某时段接到xx网络公司授权对该公司网络进行 模拟黑客攻击渗透，在xx年XX月xx日-XX年xx 月xx日.对xx网络公司的外网服务器和内网集群 精心全面脆弱性黑盒测试.完成测试得到此份网 络渗透测试报告。1.1渗透范围此次渗透测试主要包括对象：某网络公司外网web服务器.企业邮局服务器核心商业数据服务器和内网办公网络系统。1.2渗透测试主要内容 本次渗透中，主要对某网络公司 web

2、服务器，邮 件服务器进行遍历目录，用户弱口令猜解，sql 注入漏洞，数据库挖掘，内网嗅探，以及域服务 器安全等几个方面进行渗透测试。0 x2脆弱性分析方法按照国家工信部is900标准,采用行业内认 可的测试软件和技术人员手工操作模拟渗透。0 x3渗透测试过程描述3.1遍历目录测试使用载入国内外3万多目录字典的 wwwscan 对web和邮件服务器进行目录探测。得到探测结 果。主站不存在遍历目录和敏感目录的情况。但 是同服务器站点存在 edit编辑器路径。该编辑器 版本过低。存在严重漏洞。如图QV/IfflDOWSs5tern32cTiii-eKe - wwwscan HYPERLINK htt

3、p:/www.cqms-cn www.cqms-cnUe Lcoiine to theworLdfuHuucan： . tl Uulld MbUU/7 hLtU：/WWid .xsec.oreJteso LvI p o wuup.cqns . cn . OKs 上一fiDnneii;l j.nB. SuLcc-ecd?rTrsilng To Get Server 7ppe, _ - Succeed!Nis*o&off亠UIf IJicrc a A Default TuiEing P爾c Not Fauind!15Fpe -Test IngFntinflE Founds pelts ckiin*

4、 g1：* .Zarinin/ ft*/adnin/login/ tffFjvtiJbiiv% x2f. z2f .x2f 血f %2f 就2f .2f wLnvnt/aystBiii32/cndl.3.2用户口令猜解Nmap收集到外网服务器 ftp.使用默认的账号无 法连接，于是对web和能登陆的界面进行弱口令测 试,具体如下图3.3 sql注入测试通过手工配合工具检测 sql注入得到反馈结果 如下图根据漏洞类别进行统计，如下所漏洞类别高中低风险值网站结构分 析3目录遍历探 测4隐藏文件探 测3CGI漏洞扫描0用户和密码猜解10跨站脚本分0析SQL注射漏 洞挖掘（含 数据库挖掘 分析）10风

5、险总值303.4内网渗透当通过外围安全一些列检测。通过弱口令和注入2中方式进入管理后台。抓包上传webshell得到后门开始提升权限。当发现web服务器处于内网。也正好是在公司内部。于是收集了域的信息。想从web入手抓取域管理Hash破解，无果。所以只能寻找内网其他域管理 密码。内外通过ipc漏洞控制了 2个机器。获取 到域管hash。用metasploit smb溢出也得到内网 机器权限同样也获得域内管理hash。用域管理hash登陆域服务器。内网的权限全部到手。3.5内网嗅探当得到内网权限其实就可以得到许多信息。但是主要是针对商业数据保密的原则。就还需要对 内网数据传输进行一个安全检测。于

6、是在内网某 机器上安装cain进行嗅探得到一部分电子邮件内 容信息和一些网络账号具体看下图 0 x4分析结果与建议通过本次渗透测试可以看出.xx网络公司网络的安全防护结果不是很理想，在防注入和内网权 限中存在多处漏洞或者权限策略做的不够得当。 本次渗透的突破口主要是分为内网和外网，外网 设备存在多处注入和弱口令破解。还有一方面原 因是使用第三方editweb编辑器 产生破解账号的风险。内网由于arp防火墙和域管得策略做的不是很严密。导致内网沦陷。 因此。对本次渗透得出的结论 Xx网络公司的网络”十分危险”第一章五金行业概述 131五金行业简介 132五金行业特性 错误!未定义书签。3五金行业典

7、型组织架构 错误!未定义书签。 第二章五金行业现状和问题分析错误!未定义书签。五金行业存在的管理特点 错误!未定义书签。五金行业管理重点与常见的困扰、错误!未定义书签。第三章 高格 ANYV五金行业解决方案 错误!未定义书签。1总体目标错误!未定义书签。2.1指导思想 错误!未定义书签。2.2应用要求 错误!未定义书签。2.3实施方法论错误!未定义书签。3方案特色错误!未定义书签。4总体架构错误!未定义书签。4.1技术架构 错误!未定义书签。4.2业务架构 错误!未定义书签。5工程技术基础数据管理错误!未定义书签5.1关键需求分析错误!未定义书签。5.2关键需求方案错误!未定义书签。5.3业务

8、流程 错误!未定义书签。5.4关键业务控制错误!未定义书签。5.5关键信息处理错误!未定义书签。5.6应用效益 错误!未定义书签。6销售订单管理错误!未定义书签。6.1关键需求分析错误!未定义书签。6.2业务流程 错误!未定义书签。6.3关键业务控制错误!未定义书签。6.4关键信息处理错误!未定义书签。7出口管理错误!未定义书签。7.1关键需求分析错误!未定义书签。7.2关键需求处理错误!未定义书签7.3业务流程错误!未定义书签。7.4关键业务控制错误!未定义书签7.5关键信息处理错误!未定义书签8供应商与采购管理错误!未定义书签8.1关键需求分析错误!未定义书签8.2业务流程 错误!未定义书

9、签。8.3关键业务控制错误!未定义书签8.4关键信息处理错误!未定义书签9仓存管理流程错误!未定义书签。9.1关键需求分析错误!未定义书签9.2关键需求方案错误!未定义书签9.3业务流程 错误!未定义书签。9.4关键业务控制错误!未定义书签9.5关键信息处理错误!未定义书签9.6应用效益 错误!未定义书签。10计划管理流程 错误!未定义书签。10.1关键需求分析 错误!未定义书签10.2关键需求方案 错误!未定义书签10.3业务流程 错误!未定义书签。10.4关键业务控制 错误!未定义书签10.5关键信息处理 错误!未定义书签。10.6应用效益错误!未定义书签。11生产任务及工序管理流程错误!

10、未定义书签11.1关键需求分析 错误!未定义书签。11.2关键需求方案 错误!未定义书签。11.3业务流程 错误!未定义书签。11.4关键业务控制 错误!未定义书签。11.5关键信息处理 错误!未定义书签。11.6应用效益 错误!未定义书签。12委外加工作业流程错误!未定义书签。12.1关键需求分析 错误!未定义书签。12.2关键需求方案 错误!未定义书签。12.3业务流程错误!未定义书签。12.4关键业务控制 错误!未定义书签。12.5关键信息处理错误!未定义书签。12.6应用效益错误!未定义书签。13品质管理 错误!未定义书签。13.1关键需求分析 错误!未定义书签。13.2关键需求方案错

11、误!未定义书签。13.3关键业务流程 错误!未定义书签。13.4关键业务控制 错误!未定义书签。13.5关键信息处理 错误!未定义书签13.6应用效益错误!未定义书签。14账款管理错误!未定义书签。14.1关键需求分析 错误!未定义书签14.2关键需求方案 错误!未定义书签14.3业务流程 错误!未定义书签。14.4关键信息处理 错误!未定义书签14.5应用效益错误!未定义书签。15发票管理错误!未定义书签。15.1关键需求分析 错误!未定义书签15.2关键需求方案 错误!未定义书签15.3关键业务流程 错误!未定义书签15.4关键信息处理 错误!未定义书签15.5应用效益错误!未定义书签。1

12、6固资管理错误!未定义书签。16.1业务流程 错误!未定义书签。16.2关键业务控制 错误!未定义书签16.3关键信息处理 错误!未定义书签16.4应用效益 错误!未定义书签。17总账系统错误!未定义书签。17.1业务流程 错误!未定义书签。17.2关键业务控制错误!未定义书签。17.3关键信息处理 错误!未定义书签。17.4应用效益 错误!未定义书签。18出纳系统 错误!未定义书签。18.1关键需求分析 错误!未定义书签。18.2关键需求解决 错误!未定义书签。18.3业务流程 错误!未定义书签。18.4关键业务处理 错误!未定义书签。18.5关键信息处理错误!未定义书签。19人薪管理 错误

13、!未定义书签。19.1关键需求分析 错误!未定义书签。19.2关键需求方案错误!未定义书签。19.3业务流程q错误!未定义书签。19.4关键业务控制 错误!未定义书签。19.5关键业务处理 错误!未定义书签。20成本管理 错误!未定义书签。20.1关键需求分析 错误!未定义书签。20.2关键需求方案错误!未定义书签。20.3业务流程 错误!未定义书签。20.4关键业务控制 错误!未定义书签。第四章 维护平台介绍 错误!未定义书签。4高格管理配置平台 VOS (Anyv Operation System)简述 错误!未定义书签5高格管理配置平台VOS产品架构图 错误!未定义书签。6用户应用自定义

14、配置功能(VOSUD-User Define Tools)错误!未定义书签。6.1自定义报表错误!未定义书签。6.2查询方案配置错误!未定义书签。6.3消息提醒配置(含短信)错误!未定义书签。6.4自动侦错功能错误!未定义书签。6.5权限配置错误!未定义书签。7用户管理员工具(VOSAT-Administrator Tools)错误!未定义书签。7.1系统参数字定义错误!未定义书签。7.2作业流程SOP自定义错误!未定义书签。7.3专案脚本语言错误!未定义书签。7.4资料库更新工具错误!未定义书签。7.5工作流引擎(Workflow Engine)错误!未定义书签。7.6帐套与规格设定错误!未定义书签。7.7数据备份与还原工具错误!未定义书签。8系统建模实施工具(VOSDP-Design Platform) 错误!未定义书签。8.1栏位自定义工具错误!未定义书签。8.2功能菜单自定义错误!未定义书签。8.3单据抛转自定 错误!未定义书签。9快速二次开发平台(FD-faster development paltform)错误!未定义书签。10数据交换引擎(XME)错误味定义书签。10.1数据导入导出工具错误!未定义书签。XMN数据传输中间件（集群版专用） 错误!未定义书签 第五章公