以下信息基于2020年和2019年为全球各中型组织和企业完成的60多份渗透测试报告,跳转到列表之前,让我们简要描述一下综合测试方法。1.测试方法目的是使用白盒(灰盒)的方法在现场进行内部基础设施渗透测试。这意味着对用于测试的工具没有限制,并且范围信息也是预先共享的。唯一的黑匣子部分是首先不提供网络访问。因此,在对网络访问控制(NAC绕过、WiFi评估等)进行初步评估后,测试人员通常会在网络上列入白名单,以便在网络级别不受阻碍地执行实际测试。然后从网络上的员工/非特权用户的角度执行测试。由于其成本效益,这种方法是最受欢迎的选择之一。它允许关注实际漏洞,而不是试图规避现有的安全或可能存在的补偿控制。前几天在Twitter上发现这一点说明了这一点:2.十大漏洞10.弱密码和默认密码搜索默认凭据应该是每个渗透测试的一部分,在我们的案例中就是如此。听起来简单、有趣且令人兴奋,但实际情况是并非总能找到默认凭据,并且自动暴力破解并不总是100%有效!查找弱密码默认登录可能很麻烦,如果我们真的试图覆盖整个范围,通常会涉及调试和故障排除自动化,这在大多数情况下是非常低效的,并且手动进行起来很累人。幸运的是,有很多工具可以提供帮助,其中一个可以帮助我们找到默认凭据的工具就是默认的HTTP登录信息。对于其他网络服务,例如数据库接口、SSH、Telnet、SNMP等,我们通常利用Metasploit、Hydra、Medusa、Ncrack或具有登录暴力破解功能的类似工具。9.过时的VMWareESXihypervisor大多数组织都在很大程度上虚拟化他们的基础架构,这不仅具有成本效益,而且很实用。客户最常使用的顶级虚拟化解决方案是VMwareESXi平台,令人惊讶的是很少及时修补。通过这样做,它在我们的前10名列表中排名第9。尽管未打补丁的VMwareESXi服务器位列前十,但很少会遇到这样公开可用的过时实例。通常,此漏洞由Nessus漏洞扫描程序发现。8.密码重用每次我们找到一个有效的凭证,我们都会尝试在别处重用它,结果发现很多组织都在重用密码。事实上,40%的组织都受此影响。在密码管理和资产管理方面,很难真正执行正确的程序。典型情况是Windows计算机被感染。接下来通常发生的是渗透测试人员将从系统中收集密码哈希值(NTLM)或使用Mimikatz从LSASS子系统中转储明文密码。然后,渗透测试人员将通过网络执行密码或哈希暴力破解,以查看它是否也适用于其他计算机。这是Metasploitsmb_login扫描工作的示例:但这只是一个示例。密码可以在不同的系统、网络设备等之间重复使用。每次密码泄露通常都会导致一系列其他泄露。7.网络隔离不充分大多数组织在适当的网络隔离和VLAN划分方面也存在问题。一个典型的例子是从标准的非特权用户(典型员工)的角度进行评估。员工可以在网络上看到什么?员工可以使用什么系统?例如,为什么要允许员工访问域控制器的远程桌面(RDP)?为什么要允许员工访问各种数据库接口?还是SSH服务器?我们始终建议客户遵循最小特权原则,尽可能隔离所有内容。但这恰好是许多组织的问题。6.IPMIPasswordHashDisclosure发现超过40%的测试组织容易出现IPMI2.0密码哈希泄露漏洞。这个漏洞基本上是IPMI(智能平台管理接口)协议的设计缺陷,目前还没有针对它的补丁。IPMI服务通常绕过管理Web界面本身(例如DelliDRAC、HPiLO等)在udp/623端口上侦听。现在,如果我们可以访问IPMI服务,则绝对有可能从中转储密码哈希值。这是一个使用Metasploitipmi_dumphashes进行扫描的示例:如果密码很弱,那么我们可以轻松破解它们,例如使用john:Nessus漏洞扫描器通常会在扫描过程中检测到此漏洞,但最好同时使用Metasploitipmi_dumphashes扫描器并尝试破解哈希。此漏洞的唯一缓解策略是禁用IPMI服务或在网络级别隔离IPMI服务(适当的网络隔离)。5.SMB1.0协议许多网络已经存在很长时间的另一件事是Windows系统对SMBv1的支持。网络中通常总会有一些系统仍然支持这个已有近40年历史的协议的版本1。SMBv1本质上是不安全的,并且容易出现多个漏洞,包括:远程代码执行(RCE)拒绝服务(DoS)中间人(MitM)信息泄露即使是Microsoft也反对它。应该在所有Windows系统(服务器和客户端)上简单地禁用SMBv1。此漏洞通常由Nessus扫描器发现,但也可以使用Nmap的smb-protocolsNSE脚本识别:4.通过TCP/IP启用NetBIOS此问题在超过50%的所有测试组织中发现,问题如下:设置在所有Windows系统上默认启用,它本质上使网络容易受到中间人(MitM)攻击。问题是以下2个Windows协议:NBT-NS:NetBIOS名称服务LLMNR:链接本地多播名称解析这些协议在广播地址上通信,这使得它们容易受到中毒和重放攻击。由于使用Responder、Inveigh或Impacket(及其ntlmrelayx.py脚本)等工具,这些攻击非常容易实施。这些工具自动响应受害者发送的广播请求。因此,这可能导致捕获Net-NTLM密码哈希,甚至通过重播身份验证直接访问网络中的其他系统。这就是Responder中毒的样子,它会捕获Net-NTLM哈希:现在,如果密码很弱,我们就可以成功破解它:现在我们有了域用户帐户,就可以开始枚举ActiveDirectory了。3.未打补丁的Windows系统很少有组织能够很好地控制他们的补丁策略,因此他们的网络中不会有任何易受攻击的Windows系统。在几乎60%的案例中,网络中的Windows系统被发现缺少一两个关键的安全补丁。一些示例包括:CVE-2020-0796又名SMBGhostCVE-2019-0708又名BlueKeepMS17-010、EternalBlueMS16-047MS15-034等包含远程检测某些缺失补丁的功能。这些漏洞通常被归类为严重漏洞,因为它们允许在最高特权的目标系统(NTAuthority\system)上进行远程代码执行(RCE):2.默认SNMP字符串的第二个数字属于默认SNMP字符串,您可能会问什么是SNMP社区字符串?SNMP协议是一种诊断协议,可以揭示有关目标系统的大量信息:问题在于SNMP字符串(在我们的例子中为“public”)是唯一的身份验证方法。因此,如果攻击者可以猜出SNMP字符串,他/她就可以了解有关目标系统的详细信息,并对该目标系统进行进一步的攻击。请注意,这仅适用于SNMP版本1和2-SNMP版本3使用更强的身份验证机制和加密。此问题通常由Nessus漏洞扫描器解决,但您可以使用Metasploitsnmp_login扫描器获得更好的结果。Metasploitsmb_login扫描器检查超过120个默认社区字符串,还可以检测获得的访问权限是否是只读的,或者我们是否也可以写入和修改受影响系统的某些设置。1.明文协议在超过60%的案例中,排名第一的漏洞是使用明文协议。每当我们检测到明文协议的使用或发现使用明文协议的Web服务时,我们都会将此报告给我们的客户。这包括以下协议:FTP(TCP/21)Telnet(TCP/23)SMTP(tcp/25)(如果支持纯认证)HTTP(tcp/80、tcp/8080等)(如果有登录function)POP3(tcp/110)如果它支持纯认证IMAP4(tcp/143)(如果它支持纯认证)SNMP(udp/161,udp/162)version1or2LDAP(tcp/389)VNC(TCP/5900)等。这些协议本质上是不安全的,因为它们不加密通信。任何可以窃听通信的攻击者都可以捕获通过网络传输的敏感信息。在这里查看使用Wireshark捕获密码是多么容易:https://www.infosecmatter.com/capture-passwords-using-wireshark/internal-infrastructure-pentest/
