一、測試方法

　　目的是使用白盒(灰盒)方法在現(xiàn)場進行內(nèi)部基礎(chǔ)設(shè)施滲透測試。

　　這意味著對用于測試的工具沒有任何限制，并且范圍信息也預(yù)先共享。

　　唯一的黑盒部分是，一開始并未提供網(wǎng)絡(luò)訪問權(quán)限。

　　因此，在對網(wǎng)絡(luò)訪問控制進行初步評估(NAC旁路，WiFi評估等)之后，通常會將測試者列入網(wǎng)絡(luò)白名單，以便執(zhí)行實際測試而不會在網(wǎng)絡(luò)級別受到阻礙。

　　然后從網(wǎng)絡(luò)上的員工/非特權(quán)用戶的角度執(zhí)行測試。

　　由于其成本效益，該方法是最受歡迎的選擇之一。它允許將重點放在實際的漏洞上，而不是試圖規(guī)避可能實施的現(xiàn)有安全性或補償性控制。

　　二、十大漏洞

　　1、弱密碼和默認(rèn)密碼

　　搜尋默認(rèn)憑證應(yīng)該是每個滲透測試的一部分，在我們的情況下也是如此。

　　聽起來簡單，有趣且令人興奮，現(xiàn)實情況是，并非總能找到默認(rèn)憑證，而且自動化爆破并非總是100%起作用！

　　尋找弱口令默認(rèn)登錄可能是一件很麻煩的事情，并且如果我們真的想覆蓋整個范圍的話，通常會涉及對自動化進行調(diào)試和故障排除，在大多數(shù)情況下，手動操作非常無效且累人。

　　幸運的是，有很多工具可以提供幫助，可以幫助我們查找默認(rèn)憑據(jù)的工具之一就默認(rèn)HTTP登錄信息。

　　對于其他網(wǎng)絡(luò)服務(wù)，例如數(shù)據(jù)庫接口，SSH，Telnet，SNMP和其他服務(wù)，我們通常利用Metasploit，Hydra，Medusa，Ncrack或具有登錄爆破功能的類似工具。

　　2、過時的VMWare ESXi虛擬機管理程序

　　大多數(shù)組織都在很大程度上對其基礎(chǔ)架構(gòu)進行虛擬化，它不僅具有成本效益，而且實用。

　　客戶最常使用的虛擬化解決方案是VMware ESXi平臺，令人驚訝的是，它很少及時得到修補。

　　這樣一來，這才成為我們排名前10名中的第9名。

　　盡管未打補丁的VMware ESXi服務(wù)器在前十名中，但很少遇到這樣的過時實例，該實例將公開可用。

　　通常，此漏洞是由Nessus漏洞掃描程序獲取的。

　　3、密碼重用

　　每次找到有效的憑證，我們都會嘗試在其他地方重用它，事實證明，許多組織都在重用密碼。

　　實際上，40%的組織受到此影響。在密碼管理和資產(chǎn)管理方面，真正執(zhí)行適當(dāng)?shù)某绦蚍浅＠щy。

　　典型情況是Windows計算機受到感染時。接下來通常會發(fā)生的情況是滲透測試人員將從系統(tǒng)中收集密碼哈希(NTLM)或使用Mimikatz從LSASS子系統(tǒng)中轉(zhuǎn)儲純文本密碼。

　　然后，滲透測試人員將通過網(wǎng)絡(luò)執(zhí)行密碼爆破或哈希爆破，以查看其是否也可以在其他計算機上使用。這是為工作使用Metasploit smb_login掃描的示例：

　　但這只是一個例子。密碼可在不同的系統(tǒng)，網(wǎng)絡(luò)設(shè)備等之間重復(fù)使用。每次密碼泄露通常都會導(dǎo)致其他一系列泄露。

　　4、網(wǎng)絡(luò)隔離不足

　　大多數(shù)組織還存在適當(dāng)?shù)木W(wǎng)絡(luò)隔離和劃分為VLAN的問題。

　　一個典型的例子是從標(biāo)準(zhǔn)非特權(quán)用戶(典型員工)的角度執(zhí)行評估。員工可以在網(wǎng)絡(luò)上看到什么？員工可以使用什么系統(tǒng)？

　　例如，為什么應(yīng)該允許員工訪問域控制器的遠(yuǎn)程桌面(RDP)?為什么要允許員工訪問各種數(shù)據(jù)庫接口？還是SSH服務(wù)器？

　　我們始終建議客戶按照最小特權(quán)原則，盡可能地隔離所有內(nèi)容。但這恰好是許多組織的問題。

　　5、IPMI密碼哈希公開

　　發(fā)現(xiàn)超過40%的受測組織容易出現(xiàn)IPMI 2.0密碼哈希泄露漏洞。

　　此漏洞基本上是IPMI(智能平臺管理接口)協(xié)議中的一個設(shè)計缺陷，沒有針對它的補丁程序。

　　IPMI服務(wù)通常在管理Web界面本身(例如Dell iDRAC，HP iLO等)旁路偵聽udp / 623端口。

　　現(xiàn)在，如果我們能夠訪問IPMI服務(wù)，則肯定可以從其中轉(zhuǎn)儲密碼哈希。這是使用Metasploit ipmi_dumphashes掃描的示例：

　　如果密碼很弱，那么我們可以輕松地破解它們，例如使用john：

　　Nessus漏洞掃描程序通常在掃描過程中檢測到此漏洞，但是最好同時使用Metasploit ipmi_dumphashes掃描程序并嘗試破解哈希值。

　　此漏洞的唯一緩解策略是禁用IPMI服務(wù)或在網(wǎng)絡(luò)級別隔離IPMI服務(wù)(適當(dāng)?shù)木W(wǎng)絡(luò)隔離)。

　　6、SMB 1.0協(xié)議

　　對于許多網(wǎng)絡(luò)來說長期存在的另一件事是Windows系統(tǒng)對SMBv1的支持。

　　網(wǎng)絡(luò)中通常總有一些系統(tǒng)仍支持此已有近40年歷史的協(xié)議的版本1 。

　　SMBv1本質(zhì)上是不安全的，并且容易出現(xiàn)多個漏洞，包括：

　　遠(yuǎn)程執(zhí)行代碼(RCE)

　　拒絕服務(wù)(DoS)

　　中間人(MitM)

　　信息泄露

　　甚至微軟也建議不要這樣做。應(yīng)該簡單地在所有Windows系統(tǒng)(服務(wù)器和客戶端)上禁用SMBv1。

　　此漏洞通常由Nessus掃描程序發(fā)現(xiàn)，但也可以使用Nmap的smb-protocols NSE腳本來識別：　

　　7、啟用基于TCP / IP的NetBIOS

　　在所有經(jīng)過測試的組織中，有50%以上都發(fā)現(xiàn)了此問題，這是問題所在：　

　　默認(rèn)情況下，此設(shè)置在所有Windows系統(tǒng)上都是啟用的，它固有地使網(wǎng)絡(luò)容易受到中間人(MitM)攻擊。

　　問題是以下2 Windows協(xié)議：

　　NBT-NS：NetBIOS名稱服務(wù)

　　LLMNR：鏈接本地多播名稱解析

　　這些協(xié)議在廣播地址上進行通信，這使它們易于投毒和重放攻擊。由于使用了諸如Responder，Inveigh或Impacket(及其ntlmrelayx.py腳本)之類的工具，這些攻擊非常容易實現(xiàn)。

　　這些工具會自動響應(yīng)受害者發(fā)送的廣播請求。因此，這可能導(dǎo)致捕獲Net-NTLM密碼哈希，甚至通過重放身份驗證直接訪問網(wǎng)絡(luò)中的其他系統(tǒng)。

　　這是使用Responder中毒的樣子，這導(dǎo)致捕獲Net-NTLM哈希：　

　　現(xiàn)在，如果密碼很弱，我們可以成功破解它：　

　　現(xiàn)在我們有了域用戶帳戶，我們可以開始枚舉Active Directory。

　　8、未修補的Windows系統(tǒng)

　　很少有組織能夠很好地控制補丁程序策略，因此他們的網(wǎng)絡(luò)中不會有任何易受攻擊的Windows系統(tǒng)。

　　在幾乎60%的情況下，發(fā)現(xiàn)網(wǎng)絡(luò)中的Windows系統(tǒng)缺少一個或兩個關(guān)鍵安全補丁。一些示例包括：

　　CVE-2020-0796又名 SMBGhost

　　CVE-2019-0708又名 BlueKeep

　　MS17-010 ，永恒之藍(lán)

　　MS16-047

　　MS15-034

　　等等

　　這些問題通常由Nessus漏洞掃描程序解決，但是Metasploit和Nmap還包含用于遠(yuǎn)程檢測某些缺失補丁的功能。

　　這些漏洞通常被列為嚴(yán)重漏洞，因為它們允許在特權(quán)最高的目標(biāo)系統(tǒng)(NT Authority \ system)上獲得遠(yuǎn)程代碼執(zhí)行(RCE)：　

　　9、默認(rèn)的SNMP字符串

　　第二位屬于默認(rèn)的SNMP字符串，你可能會問什么是SNMP社區(qū)字符串?

　　SNMP協(xié)議是一種診斷協(xié)議，可以泄露有關(guān)目標(biāo)系統(tǒng)的大量信息：

　　問題在于，SNMP字符串(在我們的例子中為“ public”)是唯一的身份驗證方法。因此，如果攻擊者可以猜測SNMP字符串，則他/她可以了解有關(guān)目標(biāo)系統(tǒng)的詳細(xì)信息并針對該目標(biāo)系統(tǒng)進行進一步的攻擊。

　　請注意，這僅適用于SNMP版本1和2 – SNMP版本3使用更強的身份驗證機制和加密功能。

　　該問題通常由Nessus漏洞掃描程序解決，但是使用Metasploit snmp_login掃描程序可以獲得更好的結(jié)果。

　　Metasploit smb_login掃描程序檢查120多個默認(rèn)社區(qū)字符串，還可以檢測獲得的訪問權(quán)限是否是只讀的，或者我們是否還可以編寫和修改受影響的系統(tǒng)的某些設(shè)置。

　　10、明文協(xié)議

　　在超過60%的情況下，報告的第一大漏洞是使用明文協(xié)議。

　　每當(dāng)我們檢測到明文協(xié)議的使用或發(fā)現(xiàn)使用明文協(xié)議的網(wǎng)絡(luò)服務(wù)時，就會向客戶報告。

　　這包括以下協(xié)議：

　　FTP(TCP / 21)

　　Telnet(TCP / 23)

　　SMTP(tcp / 25)(如果它支持純身份驗證)

　　HTTP(tcp / 80，tcp / 8080等)(如果有登錄功能)

　　POP3(tcp / 110)，如果它支持純身份驗證

　　IMAP4(tcp / 143)(如果它支持純身份驗證)

　　SNMP(udp / 161，udp / 162)版本1或2

　　LDAP(tcp / 389)

　　VNC(TCP / 5900)

　　等等

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項目實操的話可以點擊咨詢課程顧問，獲取試聽資格來試聽我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。