分享本文，截图公众号后台回复，获得机翻版

---

摘要

Offensive security与MegaCorp One签订了合同，以进行渗透测试，以确定其暴露于有针对性的攻击。所有活动都以模拟恶意行为者对MegaCorp One进行针对性攻击的方式进行，其目标是：

o识别远程攻击者是否可以穿透MEGACORP ONE的防御

o确定安全漏洞对以下各项的影响：

o公司私人数据的机密性

oMegaCorp One信息系统的内部基础设施和可用性

我们努力识别和利用安全漏洞，这些漏洞可能允许远程攻击者未经授权访问组织数据。这些攻击是在一般互联网用户拥有的访问权限级别下进行的。评估是根据NIST SP 800-115 1中概述的建议进行的，所有测试和行动都在受控条件下进行。

结果摘要

对MEGACORP ONE网络的初始侦测导致发现一个配置错误的DNS服务器，该服务器允许DNS区域传输。结果为我们提供了此评估所针对的特定主机列表。对这些主机的检查揭示了受密码保护的管理Web服务器界面。使用MegaCorp One网站上标识的术语创建自定义单词列表后，我们能够通过暴力破解密码来访问此界面。

对管理界面的检查表明，它容易受到远程代码注入漏洞的攻击，该漏洞用于获取对基础操作系统的交互式访问。由于Web服务器上缺少适当的系统更新，此初始危害已升级为管理访问权限。经过仔细检查，我们发现受感染的Web服务器为管理用户使用Java小程序。我们向此小程序添加了恶意有效负载，这使我们可以交互式访问MegaCorp One管理员使用的工作站。

使用受感染的Web服务器作为枢轴点以及从中恢复的密码，我们能够针对以前无法访问的内部资源。这导致本地管理员访问大量内部Windows主机，完全危及Citrix服务器，以及对Windows活动目录（AD）基础结构的完全管理控制。通过将恶意流量封装到允许的协议中，绕过了现有的网络流量控制。

攻击描述

远程系统发现

出于此评估的目的，MegaCorp One在组织域名之外提供了最少的信息：megacorpone.com。目的是在没有任何内部信息的情况下密切模拟对手。为了避免针对不属于MegaCorp One的系统，在进行任何攻击之前，所有已识别的资产都已提交以进行所有权验证。

为了识别潜在的攻击面，我们检查了megacorpone.com域名的名称服务器（图1）。

图1–megacorpone.com的信息收集显示三个活动的名称服务器

识别名称服务器后，我们尝试执行区域传输。我们发现ns2.megacorpone.com容易受到完整DNS区域传输配置错误的影响。这为我们提供了主机名和相关IP地址的列表，可用于进一步定位组织。（图2）区域传输可以为攻击者提供有关组织功能的详细信息。它还可能泄漏有关组织拥有的网络范围的信息。有关详细信息，请参阅附录A。

图2–配置错误的名称服务器允许完整且不受限制的DNS区域传输。

已识别的主机列表已提交给MegaCorp One进行验证，该列表验证了整个50.7.67.x网络范围应包含在评估范围内。然后扫描这些系统以枚举任何正在运行的服务。对所有已识别的服务进行了详细检查，以确定它们可能受到针对性攻击。

通过DNS枚举技术和网络扫描的结合，我们能够构建一个我们认为反映MegaCorp One网络的组合。

目标网络如图3所示。有关深度数据包检测等控制措施的其他详细信息已在评估的后面部分发现，但为了完整性，此处提供了这些详细信息。

图3-目标网络

管理Web服务器接口危害

发现admin.megacorpone.com网络服务器在端口81上运行Apache网络服务器。访问此站点的根URL会导致显示空白页。接下来，我们对系统进行了快速枚举扫描，以查找公共目录和文件（图4）。

图4–admin.megacorpone.com主机的枚举部分泄露了Web服务器的文件夹结构。

扫描结果显示，除了常见的Apache默认文件（有关详细信息，请参阅附录A）之外，我们还确定了一个“/admin”目录，该目录只能在身份验证后访问。（图5）。

图5–对“admin”文件夹的访问受密码保护。

为了准备针对此系统的定向暴力破解尝试，根据www.megacorpone.com网站的内容编译了一个自定义字典文件。最初的字典由331个自定义单词组成，然后经过几轮排列和替换，以生成16，201个单词的最终字典文件。此字典文件与用户名“admin”一起使用，用于站点的受保护部分。

图6–使用自定义单词字典，可以发现“admin”文件夹的管理密码。

这种暴力攻击为管理员用户发现了“nanotechnology1”的密码。我们能够利用这些凭据成功获得对网站受保护部分的未经授权的访问（图6）。有关被利用的漏洞的更多信息，请参阅附录A。

网站的管理部分包含SQLite管理器Web界面（图7），无需任何其他凭据即可访问该界面。利用这个接口，我们找到了似乎是支持phpSQLiteCMS2实例的数据库。

图7–发现SQLite管理器的实例正在受感染的Web服务器上运行。

该接口使我们能够直接访问数据，并能够提取系统上具有关联密码哈希值的用户列表（图8）。

图8–缺少其他访问控制允许攻击者从“userdata”数据库中检索用户名和密码哈希。

在检查值后，我们发现哈希值不符合任何标准格式。使用“phpselitecms”软件的副本，我们检查了源代码以确定该值是如何产生的。通过此过程，我们能够识别负责账户密码散列的功能。

图9–源代码审查导致发现密码哈希生成算法。

通过新获得的密码哈希格式知识和使用随机生成的10个字符的salt值，我们能够轻松地将恢复的哈希转换为其盐渍SHA1等效值并进行暴力攻击。

这一努力导致恢复了两个纯文本密码。虽然这些值不是立即有用，但它们被保留下来，希望它们可能在组织内的其他系统上被重复使用。

交互式命令行管理程序到管理服务器

先前发现的SQLite管理器软件被发现容易受到众所周知的代码注入漏洞3的攻击。成功利用此漏洞会导致shell访问Web服务器用户上下文中的底层系统。使用修改后的公共漏洞，我们能够获得对admin.megacorpone.comWeb服务器的有限交互式访问。有关详细信息，请参阅附录A。

图10–公开可用的SQLite漏洞利用漏洞在admin.megacorpone.com主机上进行未经授权的访问。

图11–对易受攻击的服务器的控制仅限于www-data用户的上下文。

该漏洞利用的公共版本针对的是与MegaCorp One部署的版本略有不同的SQLite管理器版本。尽管已部署的软件版本容易受到相同潜在问题的影响，但未经修改，该漏洞无法成功运行。我们能够扩展原始漏洞以支持HTTP身份验证，并针对更新的版本对其进行自定义。此更新的攻击的副本将与此报告分开提供。

此时的妥协程度可以在图12中最好地可视化。

图12-Web服务器入侵

管理权限提升

通过对获得的管理Web服务器的基础操作系统的交互式访问，我们继续检查系统，寻找将权限升级到管理级别的方法。我们发现系统容易受到本地权限提升漏洞4的攻击，我们能够成功利用该漏洞。有关详细信息，请参阅附录A。

图13–本地权限提升漏洞用于利用未修补的主机并获得根级别访问权限。

由于在易受攻击的系统上包含了开发人员工具，因此部分可以使用此漏洞。如果系统上没有这些工具，仍然可以成功利用这些工具，尽管这样做的难度会增加。

在当前配置中，Web服务器表示恶意方的内部攻击平台。通过获得完全管理访问权限的能力，恶意方可以将此易受攻击的系统用于多种目的，从针对MegaCorp One本身的攻击到对其客户的攻击。攻击者极有可能将此系统用于这两个目的。

JAVA客户端攻击

使用对系统的管理访问权限，我们对被利用的系统进行了分析。这导致发现了网站的一个私有部分，该部分仅向特定工作站提供Java小程序。这个有问题的网络范围后来被发现是MEGACORP ONE的管理网络。

图14-Htaccess规则显示受感染网络上的其他子网。

通过检查系统上存在的日志文件和Java小程序，我们发现该小程序为MegaCorp One的一部分内部用户提供了管理功能。这对我们作为攻击者来说是有利的，因为它为我们提供了一条通往内部系统的潜在路径，否则这些系统不容易访问。

在获得MegaCorp One的许可后，我们添加了一个额外的小程序供客户下载。这种攻击的理论是，客户端将访问受信任的小程序，允许它运行，并为我们提供对其他客户端主机的直接访问。这是常见社会工程攻击的衍生物，其中受害者运行恶意小程序。然而，在本案中，不需要努力误导受害者，因为小程序已经被认为是受信任的。

此攻击按预期工作，为我们提供了对其他客户端系统的访问权限。

图15–使用恶意java小程序，可以利用管理子网上的主机。

通过这种妥协，我们获得了对管理网络中系统的访问权限，如图16所示。

图16–成功的Java小程序攻击破坏了超级公司MegaCorp One管理子网。

升级到本地管理员

Java小程序攻击提供的访问仅限于标准用户的级别。为了最大限度地发挥妥协的影响，我们希望将访问权限升级到域管理员级别。作为第一步，我们需要获得本地管理访问权限。为了实现这一目标，我们检查了受感染的系统，以确定如何利用它。

使用这种方法，我们在系统上找到了一个组策略首选项文件，该文件允许我们解密本地管理密码。有关详细信息，请参阅附录A。

图17–使用新获得的访问权限，可以从域控制器中检索组.xml文件。

图18–在组.xml文件中找到加密的本地管理员密码。

图19–使用Microsoft发布的加密密钥，可以轻松解密加密的密码。

使用恢复的纯文本密码，我们能够获得对受感染客户端的本地管理访问权限。

深度数据包检测旁路

在尝试建立对受感染系统的其他访问层时，我们遇到了激进的出口过滤。这是在尝试为Microsoft远程桌面协议建立加密的出站隧道时首次遇到的。

图20–为RDP建立出站隧道的初始尝试被出口过滤系统阻止。

此外，当我们尝试在端口80上连接到攻击者SSH服务器时，我们发现了网络协议实施。为了绕过这一点，我们在现有的meterpreter会话中创建了一个隧道，以允许我们从攻击者系统访问Windows文件共享。这用于以本地管理用户身份在受感染的主机上运行Windows命令外壳。在这个外壳中，我们执行了额外的计量有效载荷。

图21–通过初始meterpreter会话建立端口转发，以实现对受感染管理主机的直接访问。

图22–新建立的连接用于在受感染的管理主机上获取管理shell。

图23-本地管理员访问用于在主机10.7.0.22上建立计量声明外壳程序。

有了新的计量声明外壳，我们随后利用了HTTP隧道（一个开源实用程序7），它将任意流量封装在HTTP有效负载中。我们使用新建立的“http隧道”来封装攻击者和受感染客户端之间的远程桌面连接。这使我们能够获得对受感染客户端系统的完全图形访问。远程桌面会话是使用用户“mike”的密码建立的，该密码被发现可以从受感染的SQLite管理器应用程序中重复使用。有关详细信息，请参阅附录A。

图24-通过http隧道封装先前筛选的协议来建立远程桌面访问。

此时，MegaCorp One网络的外部边界已完全受损，如图25所示。已经获得了对MegaCorp One的受信任环境中的计算机进行控制台访问的虚拟等效项。应该注意的是，当前对Windows网络的访问仅限于非特权域用户账户和本地管理员账户。

图25–MegaCorp One网络的入侵已进入网络管理子网。

Citrix环境危害

使用对内部网络的远程桌面访问，我们继续探索网络以寻找高价值目标。其中一个这样的目标似乎是Citrix服务器，该服务器被设置为受感染主机上的主页。使用用于建立远程桌面连接的相同凭据，我们能够成功登录到此Citrix环境。

图26–在MegaCorp One网络上发现了仅提供INTERNET浏览器的Citrix服务器。

此Citrix环境将“Internet浏览器”公开为唯一可用的应用程序。这是许多组织常用的一种方法，用于限制对Citrix服务器的基础操作系统的访问。请务必注意，存在许多方法来绕过此配置。在本例中，我们利用“保存”对话框窗口创建了一个批处理文件，该文件将为我们提供Powershell界面。

这是可能的，因为“保存”对话框的操作方式与标准的“Windows资源管理器”文件管理窗口大致相同。

图27–使用“保存”对话框，可以绕过Citrix环境施加的一些限制。

图28–在Citrix服务器上创建调用Powershell应用程序的批处理文件。

图29–绕过Citrix限制导致执行超级外壳。

然后，使用Powershell的功能被用于下载恶意有效负载，这将为我们提供到底层Citrix服务器的计量提示会话。

图30-Powershell功能允许最终用户从任意源（包括远程互联网位置）检索文件。

利用“保存”对话框运行任意可执行程序的能力与先前发现的本地管理员密码相结合，使我们能够在本地管理员的上下文中执行程序。这使我们能够获得对Citrix系统的完全管理控制。有关详细信息，请参阅附录A。

图31–重复使用密码允许攻击者以管理权限执行恶意可执行文件。

图32–实现了Citrix服务器的完全妥协。

图33–网络管理子网中的其他主机已泄露。

升级到域管理员

在Citrix服务器遭到入侵的情况下，我们尝试从内存中捕获密码。Citrix服务器是此攻击媒介的理想候选者，因为它通常无需重新启动即可长时间运行并为大量用户提供服务。

为了从内存中捕获密码，我们使用了Windows凭据编辑器工具8，因为它能够在64位系统上运行而不会造成不利影响。

图34–Windows凭据编辑器用于从Citrix服务器检索纯文本密码。

这揭示了多个密码，包括一个Windows域管理员账户。有关详细信息，请参阅附录A。为了验证新恢复的凭据，我们使用域管理员凭据成功创建了与Citrix服务器的新远程桌面会话。

图35-针对Citrix主机验证域管理员凭据。

此时，已获得对视窗域的完全控制。恶意攻击者可以使用多种工具，包括：

o利用组策略在Windows系统上部署后门软件。

o完全泄露存储在使用Windows身份验证的任何系统上的所有数据。

o销毁任何和所有网络资源。

o通过使用信息收集工具（如击键记录器）来识别个人信息，对MegaCorp One的任何和所有员工进行有针对性的攻击。

o利用这种系统性访问对与公司保持信任关系的MegaCorp One供应商和合作伙伴进行攻击。

会议确定，虽然这些步骤是可能的，但将被视为不在目前参与的范围之内。事实证明，MegaCorp One域的完全妥协已经完成，所有本地系统的完整性完全丧失。

图36-完整域入侵

结论

MegaCorp One遭受了一系列控制故障，导致关键公司资产完全受损。如果恶意方利用这些故障，这些故障将对MegaCorp One的运营产生巨大影响。当前有关密码重用和部署的访问控制的策略不足以减轻已发现漏洞的影响。

渗透测试的具体目标如下：

o识别远程攻击者是否可以穿透MEGACORP ONE的防御

o确定安全漏洞对以下各项的影响：

o公司信息的保密性

oMegaCorp One信息系统的内部基础设施和可用性

渗透测试的这些目标已经实现。针对MEGACORP ONE的针对性攻击可能导致组织资产的完全受损。通常被认为是次要的多个问题被协同利用，导致MegaCorp One的信息系统完全妥协。值得注意的是，整个MegaCorp One安全基础设施的崩溃在很大程度上可以归因于网络边界和主机级别的访问控制不足。应采取适当措施引入有效的网络分段，这有助于减轻整个MegaCorp One基础设施中级联安全故障的影响。

建议

由于此渗透测试揭示了对整个组织的影响，因此应分配适当的资源，以确保及时完成补救工作。虽然应该实施的项目的完整列表超出了本参与的范围，但一些高级别项目很重要。

Offensive security软件建议如下：

1.确保在组织中的所有位置都使用强凭据。MegaCorp One系统的妥协受到使用弱密码以及在不同安全级别的系统中重复使用密码的严重影响。建议将NIST SP 800-11作为操作企业密码策略的指南。虽然这个问题在MegaCorp One中并不普遍，但它仍然是一个问题，应该得到解决。

2.建立信任边界。在内部网络上适当的情况下创建信任的逻辑边界。每个逻辑信任段都应该能够被破坏，而不会使漏洞轻易地级联到其他段。这应该包括使用唯一的管理账户，以便一个段中的受感染系统不能在其他位置使用。

3.在所有系统中实施并强制实施更改控制：在各个系统中发现了配置错误和不安全的部署问题。通过在所有服务器系统上使用更改控制进程，可以缓解出现的漏洞。

4.实施修补程序管理程序：根据NIST SP 800-4010中概述的准则操作一致的修补程序管理程序是保持良好安全状态的重要组成部分。这将有助于限制因运行未修补的内部服务而导致的攻击面。

5.定期进行漏洞评估。作为有效的组织风险管理战略的一部分，应定期进行脆弱性评估。这样做将允许组织确定已安装的安全控件是否已正确安装、按预期运行并产生所需的结果。请咨询NISTSP800-30，了解有关实施有效风险管理计划的指南。

风险评级

由于渗透测试而确定给MEGACORPONE的总体风险是高。发现了从外部攻击者到完全系统危害的直接路径。有理由相信，恶意实体能够通过有针对性的攻击成功执行对MegaCorpOne的攻击。

---

附录A：漏洞详细信息和缓解措施

风险评级量表

根据NISTSP800-30，根据可能性和影响对被利用的漏洞进行排名，以确定总体风险。

默认或弱凭据

评价	高
描述	外部公开的管理界面仅受弱密码保护。
影响	使用常见的枚举和暴力破解技术，可以检索SQLite管理器Web界面的管理密码。由于缺少任何其他身份验证机制，还可以检索基础数据库中的所有用户密码哈希。如果发现存在密码重用，则成功检索纯文本密码可能会进一步损害目标环境。
补救措施	确保所有管理界面都使用复杂的密码或密码进行保护。避免使用常见或与业务相关的单词，这些单词可以在字典的帮助下找到或轻松构建。

密码重用

评价	高
描述	发现一个用户“Mike”正在重用SQLite的凭据 管理器应用程序和他的窗口域访问。
影响	一般来说，密码重用是一种应该非常不鼓励和防止的做法，以尽可能扩展。在这种情况下，外部攻击者间接破坏了一组有效的内部Windows域凭据，从而放大了漏洞的影响。这种妥协可能会允许攻击面大幅增加。
补救措施	更新密码管理策略，强制对所有不同的服务使用强而独特的密码。应鼓励使用密码管理器，以便更轻松地允许员工在各种系统中使用唯一密码。

共享本地管理员密码

评价	高
描述	许多MEGACORPONE主机都使用相同的本地管理员密码进行配置。
影响	MEGACORPONE使用组策略在GPO范围内的所有主机上设置本地管理员密码。在企业系统上使用相同的本地管理员密码，具有适当访问权限的攻击者可以利用众所周知的“传递哈希”攻击媒介。它允许攻击者仅使用检索到的密码哈希在共享相同密码的所有主机上成功进行身份验证。因此，攻击不依赖于哈希的成功解密，并且会显著增加安全漏洞足迹。
补救措施	强烈建议禁用所有本地管理员账户。如果需要本地管理账户，则应为其分配唯一名称和复杂的随机密码。

补丁管理

评价	高
描述	MegaCorpOne的外部和内部环境包含许多未修补的系统和应用程序。
影响	弱身份验证和未修补的主机的组合（包含具有公开漏洞的已知漏洞）允许攻击者未经授权访问大量MegaCorpOne的资产。具体而言，发现的SQLiteManager实例容易受到远程执行代码漏洞的攻击，并且底层主机还包含一个本地权限提升漏洞，可以很容易地利用该漏洞来完全危害外部公开的主机。这似乎表明修补程序管理策略及其实施不足。
补救措施	所有公司资产都应使用供应商提供的最新安全补丁保持最新状态。这可以通过供应商原生工具或第三方应用程序来实现，这些工具或第三方应用程序可以提供所有缺失补丁的概述。在许多情况下，第三方工具还可用于在整个异构环境中部署补丁。

域名系统区域传输

评价	低
描述	配置错误的DNS服务器允许不受限制的区域传输。
影响	配置为允许区域传输到任何DNS服务器的DNS服务器可以提供关于公司资产和网络布局的敏感信息。
补救措施	DNS区域传输应仅限于预先批准的服务器。

默认Apache文件

评价	低
描述	在admin.megacorpone.com主机上发现了默认的Apache文件.
影响	攻击者可能能够通过检查默认文件的内容来猜测正在运行的Apache服务器的确切版本。其他敏感信息也可能可用。
补救措施	从可公开访问的Web服务器中删除所有默认文件。

附录B：关于Offensivesecurity

进攻性安全提倡针对影响的渗透测试，而不是针对覆盖范围的渗透测试。近年来，覆盖率的渗透测试越来越受欢迎，作为一种简化的评估方法，用于目标是满足监管需求的情况。作为漏洞扫描的一种形式，覆盖率的渗透测试包括通过利用漏洞对发现的问题进行选择性验证。这使服务提供商能够主要通过使用自动化工具集来执行工作，并在多个参与中保持产品的一致性。

冲击渗透测试是在受控条件下进行攻击模拟的一种形式，它密切模仿组织每天面临的现实世界，有针对性的攻击。影响渗透测试是一种基于目标的评估，它创建的不仅仅是一个简单的漏洞清单，而是提供违规行为的真正业务影响。基于影响的渗透测试可确定需要改进的领域，这些领域将为企业带来最高的回报率。

冲击渗透测试带来了挑战，需要高技能组合才能成功完成。如本样本报告所示，进攻性安全部门认为，由于我们的安全专业人员团队的专业水平，在进行冲击渗透测试时，它是唯一有资格提供世界一流结果的。进攻性安全部门没有一个单独的团队来进行渗透测试以及公司从事的其他活动。这意味着，参与进攻性安全行业领先的基于性能的培训、行业标准工具（如KaliLinux）的生产、畅销书的作者、0天漏洞利用的创建者以及行业参考（如Exploit-DB）的维护者，都是参与服务交付的相同人员。

Offensive Security提供市场上无法比拟的产品。但是，我们可能不适合每份工作。进攻性安全通常以低容量，高技能比率提供咨询服务，以使进攻性安全人员能够更密切地模仿现实世界的情况。这也使客户能够更多地获得行业认可的专业知识，同时保持合理的成本。因此，高容量/快速周转服务通常不适合我们的服务。进攻性安全专注于进行高质量、高影响力的评估，并受到需要其他供应商无法提供的服务的客户的积极追捧。

原文始发于微信公众号（河南等级保护测评）：Offensive Security渗透测试报告模板