渗透测试的报告参考范本.docx

目录

0x1概述

1.1渗透范围

1.2渗透测试主要内容0x2脆弱性分析方法

0x3渗透测试过程描述

3.1遍历目录测试

3.2弱口令测试

3.3Sql注入测试

3.4内网渗透

3.5内网嗅探0x4分析结果与建议

0x1概述

某时段接到xx网络公司授权对该公司网络进行模拟黑客攻击渗透,在xx年xx月xx日-xx年xx月xx日.对xx网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。

1.1渗透范围

此次渗透测试主要包括对象：

某网络公司外网web服务器.企业邮局服务器，核心商业数据服务器和内网办公网络系统。

1.2渗透测试主要内容

1/16下载文档可编辑

本次渗透中，主要对某网络公司web服务器，邮件服务器进行遍历目录，用户弱口令猜解，sql注入漏洞，数据库挖掘，内网嗅探，以及域服务器安全等几个方面进行渗透测试。

0x2脆弱性分析方法

按照国家工信部is900标准，采用行业内认可的测试软件和技术人员手工操作模拟渗透。

0x3渗透测试过程描述

3.1遍历目录测试

使用载入国内外3万多目录字典的对web和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在edit编辑器路径。该编辑器版本过低。存在严重漏洞。如图

c

cC\WINDOWS\system32\cmd.exe-wwwscanwww.cqms.an回x

Uelcometotheprealvorld!vUwecanv3.BBuild061802SSLIneide

Bguhhdiy

http://w.X

ReeolvingIpofwN....OK:Connecting:80...Succeed?

IryingIoGetServerType...Succeed!ServerIype:Micposoft-1IS/6.

IeatingIfThereIaADcfaultTurningPagc..HotFound?

Found:/./adnin/!!!人人文库

Found:../adnin/login/

Checking:vtibin/..x2F..2F..x2f..21..2f...2F..x2fwinnt/system32/cnd.

Nmap收集到外网服务器ftp.使用默认的账号无法连接，于是对web和能登陆的界面进行弱口令测试,具体如下图

2/16下载文档可编辑

NHydraGTK

Quit

TargetPasswords|Tuning|SpecificStart

Output

Hydrav4.1(C)2004byvanHauser/THC-useallowedonlyforlegalpurposes.Hydra()startingat2004-05-1721:58:52

[DATA]32tasks,1servers,45380logintries(L:1/p:45380),~1418triespertask[DATA]attackingserviceftponport21

[STATUS]14056.00tries/min,14056triesin00:01h,31324todoin00:03h[STATUS]14513.00tries/min,29026triesin00:02h,16354todoinQ0:02h

[21][ttp]host:login:marcpassword:success

Hydra()finishedat2004-05-1722:01:38finished

StartStopSave