以下信息是根據(jù)2020年和2019年為全球各種中型組織和企業(yè)完成的60多個滲透測試報告匯總而來的，在跳轉(zhuǎn)到列表之前，讓我們簡要介紹一下全面的測試方法。

[[337958]]

一、測試方法

目的是使用白盒(灰盒)方法在現(xiàn)場進(jìn)行內(nèi)部基礎(chǔ)設(shè)施滲透測試。

這意味著對用于測試的工具沒有任何限制，并且范圍信息也預(yù)先共享。

唯一的黑盒部分是，一開始并未提供網(wǎng)絡(luò)訪問權(quán)限。

因此，在對網(wǎng)絡(luò)訪問控制進(jìn)行初步評估(NAC旁路，WiFi評估等)之后，通常會將測試者列入網(wǎng)絡(luò)白名單，以便執(zhí)行實際測試而不會在網(wǎng)絡(luò)級別受到阻礙。

然后從網(wǎng)絡(luò)上的員工/非特權(quán)用戶的角度執(zhí)行測試。

由于其成本效益，該方法是最受歡迎的選擇之一。它允許將重點放在實際的漏洞上，而不是試圖規(guī)避可能實施的現(xiàn)有安全性或補償性控制。

前幾天在Twitter上發(fā)現(xiàn)這一點可以說明這一點：

[[337959]]

二、十大漏洞

10. 弱密碼和默認(rèn)密碼

搜尋默認(rèn)憑證應(yīng)該是每個滲透測試的一部分，在我們的情況下也是如此。

聽起來簡單，有趣且令人興奮，現(xiàn)實情況是，并非總能找到默認(rèn)憑證，而且自動化爆破并非總是100%起作用!

尋找弱口令默認(rèn)登錄可能是一件很麻煩的事情，并且如果我們真的想覆蓋整個范圍的話，通常會涉及對自動化進(jìn)行調(diào)試和故障排除，在大多數(shù)情況下，手動操作非常無效且累人。

幸運的是，有很多工具可以提供幫助，可以幫助我們查找默認(rèn)憑據(jù)的工具之一就默認(rèn)HTTP登錄信息。

對于其他網(wǎng)絡(luò)服務(wù)，例如數(shù)據(jù)庫接口，SSH，Telnet，SNMP和其他服務(wù)，我們通常利用Metasploit，Hydra，Medusa，Ncrack或具有登錄爆破功能的類似工具。

9. 過時的VMWare ESXi虛擬機管理程序

大多數(shù)組織都在很大程度上對其基礎(chǔ)架構(gòu)進(jìn)行虛擬化，它不僅具有成本效益，而且實用。

客戶最常使用的頂級虛擬化解決方案是VMware ESXi平臺，令人驚訝的是，它很少及時得到修補。

這樣一來，這才成為我們排名前10名中的第9名。

盡管未打補丁的VMware ESXi服務(wù)器在前十名中，但很少遇到這樣的過時實例，該實例將公開可用。

通常，此漏洞是由Nessus漏洞掃描程序獲取的。

8. 密碼重用

每次找到有效的憑證，我們都會嘗試在其他地方重用它，事實證明，許多組織都在重用密碼。

實際上，40%的組織受到此影響。在密碼管理和資產(chǎn)管理方面，真正執(zhí)行適當(dāng)?shù)某绦蚍浅＠щy。

典型情況是Windows計算機受到感染時。接下來通常會發(fā)生的情況是滲透測試人員將從系統(tǒng)中收集密碼哈希(NTLM)或使用Mimikatz從LSASS子系統(tǒng)中轉(zhuǎn)儲純文本密碼。

然后，滲透測試人員將通過網(wǎng)絡(luò)執(zhí)行密碼爆破或哈希爆破，以查看其是否也可以在其他計算機上使用。這是為工作使用Metasploit smb_login掃描的示例：

但這只是一個例子。密碼可在不同的系統(tǒng)，網(wǎng)絡(luò)設(shè)備等之間重復(fù)使用。每次密碼泄露通常都會導(dǎo)致其他一系列泄露。

7. 網(wǎng)絡(luò)隔離不足

大多數(shù)組織還存在適當(dāng)?shù)木W(wǎng)絡(luò)隔離和劃分為VLAN的問題。

一個典型的例子是從標(biāo)準(zhǔn)非特權(quán)用戶(典型員工)的角度執(zhí)行評估。員工可以在網(wǎng)絡(luò)上看到什么?員工可以使用什么系統(tǒng)?

例如，為什么應(yīng)該允許員工訪問域控制器的遠(yuǎn)程桌面(RDP)?為什么要允許員工訪問各種數(shù)據(jù)庫接口?還是SSH服務(wù)器?

我們始終建議客戶按照最小特權(quán)原則，盡可能地隔離所有內(nèi)容。但這恰好是許多組織的問題。

6. IPMI密碼哈希公開

發(fā)現(xiàn)超過40%的受測組織容易出現(xiàn)IPMI 2.0密碼哈希泄露漏洞。

此漏洞基本上是IPMI(智能平臺管理接口)協(xié)議中的一個設(shè)計缺陷，沒有針對它的補丁程序。

IPMI服務(wù)通常在管理Web界面本身(例如Dell iDRAC，HP iLO等)旁路偵聽udp / 623端口。

現(xiàn)在，如果我們能夠訪問IPMI服務(wù)，則肯定可以從其中轉(zhuǎn)儲密碼哈希。這是使用Metasploit ipmi_dumphashes掃描的示例：

如果密碼很弱，那么我們可以輕松地破解它們，例如使用john：

Nessus漏洞掃描程序通常在掃描過程中檢測到此漏洞，但是最好同時使用Metasploit ipmi_dumphashes掃描程序并嘗試破解哈希值。

此漏洞的唯一緩解策略是禁用IPMI服務(wù)或在網(wǎng)絡(luò)級別隔離IPMI服務(wù)(適當(dāng)?shù)木W(wǎng)絡(luò)隔離)。

5. SMB 1.0協(xié)議

對于許多網(wǎng)絡(luò)來說長期存在的另一件事是Windows系統(tǒng)對SMBv1的支持。

網(wǎng)絡(luò)中通常總有一些系統(tǒng)仍支持此已有近40年歷史的協(xié)議的版本1 。

SMBv1本質(zhì)上是不安全的，并且容易出現(xiàn)多個漏洞，包括：

• 遠(yuǎn)程執(zhí)行代碼(RCE)
• 拒絕服務(wù)(DoS)
• 中間人(MitM)
• 信息泄露

甚至微軟也建議不要這樣做。應(yīng)該簡單地在所有Windows系統(tǒng)(服務(wù)器和客戶端)上禁用SMBv1。

此漏洞通常由Nessus掃描程序發(fā)現(xiàn)，但也可以使用Nmap的smb-protocols NSE腳本來識別：

4. 啟用基于TCP / IP的NetBIOS

在所有經(jīng)過測試的組織中，有50%以上都發(fā)現(xiàn)了此問題，這是問題所在：

默認(rèn)情況下，此設(shè)置在所有Windows系統(tǒng)上都是啟用的，它固有地使網(wǎng)絡(luò)容易受到中間人(MitM)攻擊。

問題是以下2 Windows協(xié)議：

• NBT-NS：NetBIOS名稱服務(wù)
• LLMNR：鏈接本地多播名稱解析

這些協(xié)議在廣播地址上進(jìn)行通信，這使它們易于投毒和重放攻擊。由于使用了諸如Responder，Inveigh或Impacket(及其ntlmrelayx.py腳本)之類的工具，這些攻擊非常容易實現(xiàn)。

這些工具會自動響應(yīng)受害者發(fā)送的廣播請求。因此，這可能導(dǎo)致捕獲Net-NTLM密碼哈希，甚至通過重放身份驗證直接訪問網(wǎng)絡(luò)中的其他系統(tǒng)。

這是使用Responder中毒的樣子，這導(dǎo)致捕獲Net-NTLM哈希：

現(xiàn)在，如果密碼很弱，我們可以成功破解它：

現(xiàn)在我們有了域用戶帳戶，我們可以開始枚舉Active Directory。

3. 未修補的Windows系統(tǒng)

很少有組織能夠很好地控制補丁程序策略，因此他們的網(wǎng)絡(luò)中不會有任何易受攻擊的Windows系統(tǒng)。

在幾乎60%的情況下，發(fā)現(xiàn)網(wǎng)絡(luò)中的Windows系統(tǒng)缺少一個或兩個關(guān)鍵安全補丁。一些示例包括：

• CVE-2020-0796又名 SMBGhost
• CVE-2019-0708又名 BlueKeep
• MS17-010 ，永恒之藍(lán)
• MS16-047
• MS15-034
• 等等

這些問題通常由Nessus漏洞掃描程序解決，但是Metasploit和Nmap還包含用于遠(yuǎn)程檢測某些缺失補丁的功能。

這些漏洞通常被列為嚴(yán)重漏洞，因為它們允許在特權(quán)最高的目標(biāo)系統(tǒng)(NT Authority \ system)上獲得遠(yuǎn)程代碼執(zhí)行(RCE)：

2. 默認(rèn)的SNMP字符串

第二位屬于默認(rèn)的SNMP字符串，你可能會問什么是SNMP社區(qū)字符串?

SNMP協(xié)議是一種診斷協(xié)議，可以泄露有關(guān)目標(biāo)系統(tǒng)的大量信息：

問題在于，SNMP字符串(在我們的例子中為“ public”)是唯一的身份驗證方法。因此，如果攻擊者可以猜測SNMP字符串，則他/她可以了解有關(guān)目標(biāo)系統(tǒng)的詳細(xì)信息并針對該目標(biāo)系統(tǒng)進(jìn)行進(jìn)一步的攻擊。

請注意，這僅適用于SNMP版本1和2 – SNMP版本3使用更強的身份驗證機制和加密功能。

該問題通常由Nessus漏洞掃描程序解決，但是使用Metasploit snmp_login掃描程序可以獲得更好的結(jié)果。

Metasploit smb_login掃描程序檢查120多個默認(rèn)社區(qū)字符串，還可以檢測獲得的訪問權(quán)限是否是只讀的，或者我們是否還可以編寫和修改受影響的系統(tǒng)的某些設(shè)置。

1. 明文協(xié)議

在超過60%的情況下，報告的第一大漏洞是使用明文協(xié)議。

每當(dāng)我們檢測到明文協(xié)議的使用或發(fā)現(xiàn)使用明文協(xié)議的網(wǎng)絡(luò)服務(wù)時，就會向客戶報告。

這包括以下協(xié)議：

• FTP(TCP / 21)
• Telnet(TCP / 23)
• SMTP(tcp / 25)(如果它支持純身份驗證)
• HTTP(tcp / 80，tcp / 8080等)(如果有登錄功能)
• POP3(tcp / 110)，如果它支持純身份驗證
• IMAP4(tcp / 143)(如果它支持純身份驗證)
• SNMP(udp / 161，udp / 162)版本1或2
• LDAP(tcp / 389)
• VNC(TCP / 5900)
• 等等

這些協(xié)議本質(zhì)上是不安全的，因為它們不對通信進(jìn)行加密。任何可以竊聽通信的攻擊者都可以捕獲通過網(wǎng)絡(luò)傳播的敏感信息。

在這里查看使用例如Wireshark捕獲密碼有多么容易：

https://www.infosecmatter.com/capture-passwords-using-wireshark/

本文翻譯自：https://www.infosecmatter.com/top-10-vulnerabilities-internal-infrastructure-pentest/