以下信息是根據(jù)2020年和2019年為全球各種中型組織和企業(yè)完成的60多個(gè)滲透測(cè)試報(bào)告匯總而來(lái)的，在跳轉(zhuǎn)到列表之前，讓我們簡(jiǎn)要介紹一下全面的測(cè)試方法。

一、測(cè)試方法

目的是使用白盒（灰盒）方法在現(xiàn)場(chǎng)進(jìn)行內(nèi)部基礎(chǔ)設(shè)施滲透測(cè)試。

這意味著對(duì)用于測(cè)試的工具沒(méi)有任何限制，并且范圍信息也預(yù)先共享。

唯一的黑盒部分是，一開(kāi)始并未提供網(wǎng)絡(luò)訪問(wèn)權(quán)限。

因此，在對(duì)網(wǎng)絡(luò)訪問(wèn)控制進(jìn)行初步評(píng)估（NAC旁路，WiFi評(píng)估等）之后，通常會(huì)將測(cè)試者列入網(wǎng)絡(luò)白名單，以便執(zhí)行實(shí)際測(cè)試而不會(huì)在網(wǎng)絡(luò)級(jí)別受到阻礙。

然后從網(wǎng)絡(luò)上的員工/非特權(quán)用戶的角度執(zhí)行測(cè)試。

由于其成本效益，該方法是最受歡迎的選擇之一。它允許將重點(diǎn)放在實(shí)際的漏洞上，而不是試圖規(guī)避可能實(shí)施的現(xiàn)有安全性或補(bǔ)償性控制。

前幾天在Twitter上發(fā)現(xiàn)這一點(diǎn)可以說(shuō)明這一點(diǎn)：

二、十大漏洞

10. 弱密碼和默認(rèn)密碼

搜尋默認(rèn)憑證應(yīng)該是每個(gè)滲透測(cè)試的一部分，在我們的情況下也是如此。

聽(tīng)起來(lái)簡(jiǎn)單，有趣且令人興奮，現(xiàn)實(shí)情況是，并非總能找到默認(rèn)憑證，而且自動(dòng)化爆破并非總是100%起作用！

尋找弱口令默認(rèn)登錄可能是一件很麻煩的事情，并且如果我們真的想覆蓋整個(gè)范圍的話，通常會(huì)涉及對(duì)自動(dòng)化進(jìn)行調(diào)試和故障排除，在大多數(shù)情況下，手動(dòng)操作非常無(wú)效且累人。

幸運(yùn)的是，有很多工具可以提供幫助，可以幫助我們查找默認(rèn)憑據(jù)的工具之一就默認(rèn)HTTP登錄信息。

對(duì)于其他網(wǎng)絡(luò)服務(wù)，例如數(shù)據(jù)庫(kù)接口，SSH，Telnet，SNMP和其他服務(wù)，我們通常利用Metasploit，Hydra，Medusa，Ncrack或具有登錄爆破功能的類似工具。

9. 過(guò)時(shí)的VMWare ESXi虛擬機(jī)管理程序

大多數(shù)組織都在很大程度上對(duì)其基礎(chǔ)架構(gòu)進(jìn)行虛擬化，它不僅具有成本效益，而且實(shí)用。

客戶最常使用的頂級(jí)虛擬化解決方案是VMware ESXi平臺(tái)，令人驚訝的是，它很少及時(shí)得到修補(bǔ)。

這樣一來(lái)，這才成為我們排名前10名中的第9名。

盡管未打補(bǔ)丁的VMware ESXi服務(wù)器在前十名中，但很少遇到這樣的過(guò)時(shí)實(shí)例，該實(shí)例將公開(kāi)可用。

通常，此漏洞是由Nessus漏洞掃描程序獲取的。

8. 密碼重用

每次找到有效的憑證，我們都會(huì)嘗試在其他地方重用它，事實(shí)證明，許多組織都在重用密碼。

實(shí)際上，40%的組織受到此影響。在密碼管理和資產(chǎn)管理方面，真正執(zhí)行適當(dāng)?shù)某绦蚍浅＠щy。

典型情況是Windows計(jì)算機(jī)受到感染時(shí)。接下來(lái)通常會(huì)發(fā)生的情況是滲透測(cè)試人員將從系統(tǒng)中收集密碼哈希（NTLM）或使用Mimikatz從LSASS子系統(tǒng)中轉(zhuǎn)儲(chǔ)純文本密碼。

然后，滲透測(cè)試人員將通過(guò)網(wǎng)絡(luò)執(zhí)行密碼爆破或哈希爆破，以查看其是否也可以在其他計(jì)算機(jī)上使用。這是為工作使用Metasploit smb_login掃描的示例：

但這只是一個(gè)例子。密碼可在不同的系統(tǒng)，網(wǎng)絡(luò)設(shè)備等之間重復(fù)使用。每次密碼泄露通常都會(huì)導(dǎo)致其他一系列泄露。

7. 網(wǎng)絡(luò)隔離不足

大多數(shù)組織還存在適當(dāng)?shù)木W(wǎng)絡(luò)隔離和劃分為VLAN的問(wèn)題。

一個(gè)典型的例子是從標(biāo)準(zhǔn)非特權(quán)用戶（典型員工）的角度執(zhí)行評(píng)估。員工可以在網(wǎng)絡(luò)上看到什么？員工可以使用什么系統(tǒng)？

例如，為什么應(yīng)該允許員工訪問(wèn)域控制器的遠(yuǎn)程桌面（RDP）？為什么要允許員工訪問(wèn)各種數(shù)據(jù)庫(kù)接口？還是SSH服務(wù)器？

我們始終建議客戶按照最小特權(quán)原則，盡可能地隔離所有內(nèi)容。但這恰好是許多組織的問(wèn)題。

6. IPMI密碼哈希公開(kāi)

發(fā)現(xiàn)超過(guò)40%的受測(cè)組織容易出現(xiàn)IPMI 2.0密碼哈希泄露漏洞。

此漏洞基本上是IPMI（智能平臺(tái)管理接口）協(xié)議中的一個(gè)設(shè)計(jì)缺陷，沒(méi)有針對(duì)它的補(bǔ)丁程序。

IPMI服務(wù)通常在管理Web界面本身（例如Dell iDRAC，HP iLO等）旁路偵聽(tīng)udp / 623端口。

現(xiàn)在，如果我們能夠訪問(wèn)IPMI服務(wù)，則肯定可以從其中轉(zhuǎn)儲(chǔ)密碼哈希。這是使用Metasploit ipmi_dumphashes掃描的示例：

如果密碼很弱，那么我們可以輕松地破解它們，例如使用john：

Nessus漏洞掃描程序通常在掃描過(guò)程中檢測(cè)到此漏洞，但是最好同時(shí)使用Metasploit ipmi_dumphashes掃描程序并嘗試破解哈希值。

此漏洞的唯一緩解策略是禁用IPMI服務(wù)或在網(wǎng)絡(luò)級(jí)別隔離IPMI服務(wù)（適當(dāng)?shù)木W(wǎng)絡(luò)隔離）。

5. SMB 1.0協(xié)議

對(duì)于許多網(wǎng)絡(luò)來(lái)說(shuō)長(zhǎng)期存在的另一件事是Windows系統(tǒng)對(duì)SMBv1的支持。

網(wǎng)絡(luò)中通?？傆幸恍┫到y(tǒng)仍支持此已有近40年歷史的協(xié)議的版本1 。

SMBv1本質(zhì)上是不安全的，并且容易出現(xiàn)多個(gè)漏洞，包括：

遠(yuǎn)程執(zhí)行代碼（RCE）

拒絕服務(wù)（DoS）

中間人（MitM）

信息泄露

甚至微軟也建議不要這樣做。應(yīng)該簡(jiǎn)單地在所有Windows系統(tǒng)（服務(wù)器和客戶端）上禁用SMBv1。

此漏洞通常由Nessus掃描程序發(fā)現(xiàn)，但也可以使用Nmap的smb-protocols NSE腳本來(lái)識(shí)別：

4. 啟用基于TCP / IP的NetBIOS

在所有經(jīng)過(guò)測(cè)試的組織中，有50%以上都發(fā)現(xiàn)了此問(wèn)題，這是問(wèn)題所在：

默認(rèn)情況下，此設(shè)置在所有Windows系統(tǒng)上都是啟用的，它固有地使網(wǎng)絡(luò)容易受到中間人（MitM）攻擊。

問(wèn)題是以下2 Windows協(xié)議：

NBT-NS：NetBIOS名稱服務(wù)

LLMNR：鏈接本地多播名稱解析

這些協(xié)議在廣播地址上進(jìn)行通信，這使它們易于投毒和重放攻擊。由于使用了諸如Responder，Inveigh或Impacket（及其ntlmrelayx.py腳本）之類的工具，這些攻擊非常容易實(shí)現(xiàn)。

這些工具會(huì)自動(dòng)響應(yīng)受害者發(fā)送的廣播請(qǐng)求。因此，這可能導(dǎo)致捕獲Net-NTLM密碼哈希，甚至通過(guò)重放身份驗(yàn)證直接訪問(wèn)網(wǎng)絡(luò)中的其他系統(tǒng)。

這是使用Responder中毒的樣子，這導(dǎo)致捕獲Net-NTLM哈希：

現(xiàn)在，如果密碼很弱，我們可以成功破解它：

現(xiàn)在我們有了域用戶帳戶，我們可以開(kāi)始枚舉Active Directory。

3. 未修補(bǔ)的Windows系統(tǒng)

很少有組織能夠很好地控制補(bǔ)丁程序策略，因此他們的網(wǎng)絡(luò)中不會(huì)有任何易受攻擊的Windows系統(tǒng)。

在幾乎60%的情況下，發(fā)現(xiàn)網(wǎng)絡(luò)中的Windows系統(tǒng)缺少一個(gè)或兩個(gè)關(guān)鍵安全補(bǔ)丁。一些示例包括：

CVE-2020-0796又名 SMBGhost

CVE-2019-0708又名 BlueKeep

MS17-010 ，永恒之藍(lán)

MS16-047

MS15-034

等等

這些問(wèn)題通常由Nessus漏洞掃描程序解決，但是Metasploit和Nmap還包含用于遠(yuǎn)程檢測(cè)某些缺失補(bǔ)丁的功能。

這些漏洞通常被列為嚴(yán)重漏洞，因?yàn)樗鼈冊(cè)试S在特權(quán)最高的目標(biāo)系統(tǒng)（NT Authority system）上獲得遠(yuǎn)程代碼執(zhí)行（RCE）：

2. 默認(rèn)的SNMP字符串

第二位屬于默認(rèn)的SNMP字符串，你可能會(huì)問(wèn)什么是SNMP社區(qū)字符串？

SNMP協(xié)議是一種診斷協(xié)議，可以泄露有關(guān)目標(biāo)系統(tǒng)的大量信息：

問(wèn)題在于，SNMP字符串（在我們的例子中為“ public”）是唯一的身份驗(yàn)證方法。因此，如果攻擊者可以猜測(cè)SNMP字符串，則他/她可以了解有關(guān)目標(biāo)系統(tǒng)的詳細(xì)信息并針對(duì)該目標(biāo)系統(tǒng)進(jìn)行進(jìn)一步的攻擊。

請(qǐng)注意，這僅適用于SNMP版本1和2 – SNMP版本3使用更強(qiáng)的身份驗(yàn)證機(jī)制和加密功能。

該問(wèn)題通常由Nessus漏洞掃描程序解決，但是使用Metasploit snmp_login掃描程序可以獲得更好的結(jié)果。

Metasploit smb_login掃描程序檢查120多個(gè)默認(rèn)社區(qū)字符串，還可以檢測(cè)獲得的訪問(wèn)權(quán)限是否是只讀的，或者我們是否還可以編寫和修改受影響的系統(tǒng)的某些設(shè)置。

1. 明文協(xié)議

在超過(guò)60%的情況下，報(bào)告的第一大漏洞是使用明文協(xié)議。

每當(dāng)我們檢測(cè)到明文協(xié)議的使用或發(fā)現(xiàn)使用明文協(xié)議的網(wǎng)絡(luò)服務(wù)時(shí)，就會(huì)向客戶報(bào)告。

這包括以下協(xié)議：

FTP（TCP / 21）

Telnet（TCP / 23）

SMTP（tcp / 25）（如果它支持純身份驗(yàn)證）

HTTP（tcp / 80，tcp / 8080等）（如果有登錄功能）

POP3（tcp / 110），如果它支持純身份驗(yàn)證

IMAP4（tcp / 143）（如果它支持純身份驗(yàn)證）

SNMP（udp / 161，udp / 162）版本1或2

LDAP（tcp / 389）

VNC（TCP / 5900）

等等

這些協(xié)議本質(zhì)上是不安全的，因?yàn)樗鼈儾粚?duì)通信進(jìn)行加密。任何可以竊聽(tīng)通信的攻擊者都可以捕獲通過(guò)網(wǎng)絡(luò)傳播的敏感信息。

在這里查看使用例如Wireshark捕獲密碼有多么容易：

https://www.infosecmatter.com/capture-passwords-using-wireshark/

審核編輯 ：李倩