一、測(cè)試方法

　　目的是使用白盒(灰盒)方法在現(xiàn)場(chǎng)進(jìn)行內(nèi)部基礎(chǔ)設(shè)施滲透測(cè)試。

　　這意味著對(duì)用于測(cè)試的工具沒(méi)有任何限制，并且范圍信息也預(yù)先共享。

　　唯一的黑盒部分是，一開(kāi)始并未提供網(wǎng)絡(luò)訪問(wèn)權(quán)限。

　　因此，在對(duì)網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行初步評(píng)估(NAC旁路，WiFi評(píng)估等)之后，通常會(huì)將測(cè)試者列入網(wǎng)絡(luò)白名單，以便執(zhí)行實(shí)際測(cè)試而不會(huì)在網(wǎng)絡(luò)級(jí)別受到阻礙。

　　然后從網(wǎng)絡(luò)上的員工/非特權(quán)用戶的角度執(zhí)行測(cè)試。

　　由于其成本效益，該方法是最受歡迎的選擇之一。它允許將重點(diǎn)放在實(shí)際的漏洞上，而不是試圖規(guī)避可能實(shí)施的現(xiàn)有安全性或補(bǔ)償性控制。

　　二、十大漏洞

　　1、弱密碼和默認(rèn)密碼

　　搜尋默認(rèn)憑證應(yīng)該是每個(gè)滲透測(cè)試的一部分，在我們的情況下也是如此。

　　聽(tīng)起來(lái)簡(jiǎn)單，有趣且令人興奮，現(xiàn)實(shí)情況是，并非總能找到默認(rèn)憑證，而且自動(dòng)化爆破并非總是100%起作用！

　　尋找弱口令默認(rèn)登錄可能是一件很麻煩的事情，并且如果我們真的想覆蓋整個(gè)范圍的話，通常會(huì)涉及對(duì)自動(dòng)化進(jìn)行調(diào)試和故障排除，在大多數(shù)情況下，手動(dòng)操作非常無(wú)效且累人。

　　幸運(yùn)的是，有很多工具可以提供幫助，可以幫助我們查找默認(rèn)憑據(jù)的工具之一就默認(rèn)HTTP登錄信息。

　　對(duì)于其他網(wǎng)絡(luò)服務(wù)，例如數(shù)據(jù)庫(kù)接口，SSH，Telnet，SNMP和其他服務(wù)，我們通常利用Metasploit，Hydra，Medusa，Ncrack或具有登錄爆破功能的類似工具。

　　2、過(guò)時(shí)的VMWare ESXi虛擬機(jī)管理程序

　　大多數(shù)組織都在很大程度上對(duì)其基礎(chǔ)架構(gòu)進(jìn)行虛擬化，它不僅具有成本效益，而且實(shí)用。

　　客戶最常使用的虛擬化解決方案是VMware ESXi平臺(tái)，令人驚訝的是，它很少及時(shí)得到修補(bǔ)。

　　這樣一來(lái)，這才成為我們排名前10名中的第9名。

　　盡管未打補(bǔ)丁的VMware ESXi服務(wù)器在前十名中，但很少遇到這樣的過(guò)時(shí)實(shí)例，該實(shí)例將公開(kāi)可用。

　　通常，此漏洞是由Nessus漏洞掃描程序獲取的。

　　3、密碼重用

　　每次找到有效的憑證，我們都會(huì)嘗試在其他地方重用它，事實(shí)證明，許多組織都在重用密碼。

　　實(shí)際上，40%的組織受到此影響。在密碼管理和資產(chǎn)管理方面，真正執(zhí)行適當(dāng)?shù)某绦蚍浅＠щy。

　　典型情況是Windows計(jì)算機(jī)受到感染時(shí)。接下來(lái)通常會(huì)發(fā)生的情況是滲透測(cè)試人員將從系統(tǒng)中收集密碼哈希(NTLM)或使用Mimikatz從LSASS子系統(tǒng)中轉(zhuǎn)儲(chǔ)純文本密碼。

　　然后，滲透測(cè)試人員將通過(guò)網(wǎng)絡(luò)執(zhí)行密碼爆破或哈希爆破，以查看其是否也可以在其他計(jì)算機(jī)上使用。這是為工作使用Metasploit smb_login掃描的示例：

　　但這只是一個(gè)例子。密碼可在不同的系統(tǒng)，網(wǎng)絡(luò)設(shè)備等之間重復(fù)使用。每次密碼泄露通常都會(huì)導(dǎo)致其他一系列泄露。

　　4、網(wǎng)絡(luò)隔離不足

　　大多數(shù)組織還存在適當(dāng)?shù)木W(wǎng)絡(luò)隔離和劃分為VLAN的問(wèn)題。

　　一個(gè)典型的例子是從標(biāo)準(zhǔn)非特權(quán)用戶(典型員工)的角度執(zhí)行評(píng)估。員工可以在網(wǎng)絡(luò)上看到什么？員工可以使用什么系統(tǒng)？

　　例如，為什么應(yīng)該允許員工訪問(wèn)域控制器的遠(yuǎn)程桌面(RDP)?為什么要允許員工訪問(wèn)各種數(shù)據(jù)庫(kù)接口？還是SSH服務(wù)器？

　　我們始終建議客戶按照最小特權(quán)原則，盡可能地隔離所有內(nèi)容。但這恰好是許多組織的問(wèn)題。

　　5、IPMI密碼哈希公開(kāi)

　　發(fā)現(xiàn)超過(guò)40%的受測(cè)組織容易出現(xiàn)IPMI 2.0密碼哈希泄露漏洞。

　　此漏洞基本上是IPMI(智能平臺(tái)管理接口)協(xié)議中的一個(gè)設(shè)計(jì)缺陷，沒(méi)有針對(duì)它的補(bǔ)丁程序。

　　IPMI服務(wù)通常在管理Web界面本身(例如Dell iDRAC，HP iLO等)旁路偵聽(tīng)udp / 623端口。

　　現(xiàn)在，如果我們能夠訪問(wèn)IPMI服務(wù)，則肯定可以從其中轉(zhuǎn)儲(chǔ)密碼哈希。這是使用Metasploit ipmi_dumphashes掃描的示例：

　　如果密碼很弱，那么我們可以輕松地破解它們，例如使用john：

　　Nessus漏洞掃描程序通常在掃描過(guò)程中檢測(cè)到此漏洞，但是最好同時(shí)使用Metasploit ipmi_dumphashes掃描程序并嘗試破解哈希值。

　　此漏洞的唯一緩解策略是禁用IPMI服務(wù)或在網(wǎng)絡(luò)級(jí)別隔離IPMI服務(wù)(適當(dāng)?shù)木W(wǎng)絡(luò)隔離)。

　　6、SMB 1.0協(xié)議

　　對(duì)于許多網(wǎng)絡(luò)來(lái)說(shuō)長(zhǎng)期存在的另一件事是Windows系統(tǒng)對(duì)SMBv1的支持。

　　網(wǎng)絡(luò)中通?？傆幸恍┫到y(tǒng)仍支持此已有近40年歷史的協(xié)議的版本1 。

　　SMBv1本質(zhì)上是不安全的，并且容易出現(xiàn)多個(gè)漏洞，包括：

　　遠(yuǎn)程執(zhí)行代碼(RCE)

　　拒絕服務(wù)(DoS)

　　中間人(MitM)

　　信息泄露

　　甚至微軟也建議不要這樣做。應(yīng)該簡(jiǎn)單地在所有Windows系統(tǒng)(服務(wù)器和客戶端)上禁用SMBv1。

　　此漏洞通常由Nessus掃描程序發(fā)現(xiàn)，但也可以使用Nmap的smb-protocols NSE腳本來(lái)識(shí)別：　

　　7、啟用基于TCP / IP的NetBIOS

　　在所有經(jīng)過(guò)測(cè)試的組織中，有50%以上都發(fā)現(xiàn)了此問(wèn)題，這是問(wèn)題所在：　

　　默認(rèn)情況下，此設(shè)置在所有Windows系統(tǒng)上都是啟用的，它固有地使網(wǎng)絡(luò)容易受到中間人(MitM)攻擊。

　　問(wèn)題是以下2 Windows協(xié)議：

　　NBT-NS：NetBIOS名稱服務(wù)

　　LLMNR：鏈接本地多播名稱解析

　　這些協(xié)議在廣播地址上進(jìn)行通信，這使它們易于投毒和重放攻擊。由于使用了諸如Responder，Inveigh或Impacket(及其ntlmrelayx.py腳本)之類的工具，這些攻擊非常容易實(shí)現(xiàn)。

　　這些工具會(huì)自動(dòng)響應(yīng)受害者發(fā)送的廣播請(qǐng)求。因此，這可能導(dǎo)致捕獲Net-NTLM密碼哈希，甚至通過(guò)重放身份驗(yàn)證直接訪問(wèn)網(wǎng)絡(luò)中的其他系統(tǒng)。

　　這是使用Responder中毒的樣子，這導(dǎo)致捕獲Net-NTLM哈希：　

　　現(xiàn)在，如果密碼很弱，我們可以成功破解它：　

　　現(xiàn)在我們有了域用戶帳戶，我們可以開(kāi)始枚舉Active Directory。

　　8、未修補(bǔ)的Windows系統(tǒng)

　　很少有組織能夠很好地控制補(bǔ)丁程序策略，因此他們的網(wǎng)絡(luò)中不會(huì)有任何易受攻擊的Windows系統(tǒng)。

　　在幾乎60%的情況下，發(fā)現(xiàn)網(wǎng)絡(luò)中的Windows系統(tǒng)缺少一個(gè)或兩個(gè)關(guān)鍵安全補(bǔ)丁。一些示例包括：

　　CVE-2020-0796又名 SMBGhost

　　CVE-2019-0708又名 BlueKeep

　　MS17-010 ，永恒之藍(lán)

　　MS16-047

　　MS15-034

　　等等

　　這些問(wèn)題通常由Nessus漏洞掃描程序解決，但是Metasploit和Nmap還包含用于遠(yuǎn)程檢測(cè)某些缺失補(bǔ)丁的功能。

　　這些漏洞通常被列為嚴(yán)重漏洞，因?yàn)樗鼈冊(cè)试S在特權(quán)最高的目標(biāo)系統(tǒng)(NT Authority \ system)上獲得遠(yuǎn)程代碼執(zhí)行(RCE)：　

　　9、默認(rèn)的SNMP字符串

　　第二位屬于默認(rèn)的SNMP字符串，你可能會(huì)問(wèn)什么是SNMP社區(qū)字符串?

　　SNMP協(xié)議是一種診斷協(xié)議，可以泄露有關(guān)目標(biāo)系統(tǒng)的大量信息：

　　問(wèn)題在于，SNMP字符串(在我們的例子中為“ public”)是唯一的身份驗(yàn)證方法。因此，如果攻擊者可以猜測(cè)SNMP字符串，則他/她可以了解有關(guān)目標(biāo)系統(tǒng)的詳細(xì)信息并針對(duì)該目標(biāo)系統(tǒng)進(jìn)行進(jìn)一步的攻擊。

　　請(qǐng)注意，這僅適用于SNMP版本1和2 – SNMP版本3使用更強(qiáng)的身份驗(yàn)證機(jī)制和加密功能。

　　該問(wèn)題通常由Nessus漏洞掃描程序解決，但是使用Metasploit snmp_login掃描程序可以獲得更好的結(jié)果。

　　Metasploit smb_login掃描程序檢查120多個(gè)默認(rèn)社區(qū)字符串，還可以檢測(cè)獲得的訪問(wèn)權(quán)限是否是只讀的，或者我們是否還可以編寫和修改受影響的系統(tǒng)的某些設(shè)置。

　　10、明文協(xié)議

　　在超過(guò)60%的情況下，報(bào)告的第一大漏洞是使用明文協(xié)議。

　　每當(dāng)我們檢測(cè)到明文協(xié)議的使用或發(fā)現(xiàn)使用明文協(xié)議的網(wǎng)絡(luò)服務(wù)時(shí)，就會(huì)向客戶報(bào)告。

　　這包括以下協(xié)議：

　　FTP(TCP / 21)

　　Telnet(TCP / 23)

　　SMTP(tcp / 25)(如果它支持純身份驗(yàn)證)

　　HTTP(tcp / 80，tcp / 8080等)(如果有登錄功能)

　　POP3(tcp / 110)，如果它支持純身份驗(yàn)證

　　IMAP4(tcp / 143)(如果它支持純身份驗(yàn)證)

　　SNMP(udp / 161，udp / 162)版本1或2

　　LDAP(tcp / 389)

　　VNC(TCP / 5900)

　　等等

　　更多關(guān)于網(wǎng)絡(luò)安全培訓(xùn)的問(wèn)題，歡迎咨詢千鋒教育在線名師，如果想要了解我們的師資、課程、項(xiàng)目實(shí)操的話可以點(diǎn)擊咨詢課程顧問(wèn)，獲取試聽(tīng)資格來(lái)試聽(tīng)我們的課程，在線零距離接觸千鋒教育大咖名師，讓你輕松從入門到精通。