渗透测试-21：渗透测试流程

相关术语

SRC

SRC(Security Response Center)的全称为“安全应急响应中心“

补天漏洞响应平台：https://www.butian.net/

业务模式

公益SRC

是厂商自行注册申请成为补天公益SRC企业用户。注册成功后，可通过补天平台享受白帽子系统漏洞测试服务，白帽子随机发现漏洞，提交补天平台，补天平台对漏洞审核后通知企业认领，白帽子的鼓励由补天平台承担，厂商系统漏洞信息（不含漏洞细节，只有标题描述）将会在补天平台展示，所有注册人员均可查看漏洞标题以及漏洞类型。公益SRC企业用户服务不收取企业任何费用

专属SRC

是帮助企业建立专属自己厂商的SRC业务，企业可在线自主发布安全测试计划，自主定义漏洞级别及相应奖励，计划可面向平台上所有的白帽子公开征集漏洞，享受白帽子专家7*24小时人工安全检测服务。补天平台注册认证的4万余名白帽子采用“奖励优先发现漏洞者”的竞争检测规则，多人力、多角度、多方位、高效积极地发现和报告漏洞，专属SRC所有漏洞信息均不公开

补天众测

• 补天众测是基于互联网安全众包创新模式的渗透测试协作业务。依托平台上技术优异、声誉良好的精英白帽，在实名认证、双因子认证、网络监管等多重管控下，为企业提供定向的安全渗透测试与漏洞发现服务。众测是为白帽子提供一个合理合法并可获得高收益的业务平台
• 注册成为补天白帽子即可向公益SRC、专属SRC提交漏洞
• 众测参与要求 : 参与众测的白帽子需是补天排名前300白帽子成员或其他平台/SRC排名前30的精英白帽子

CNVD

• 国家信息安全漏洞共享平台（China National Vulnerability Database)
• 由国家计算机网络应急技术处理协调中心（中文简称国家互联应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库
• 官网：https://www.cnvd.org.cn/

CNNVD

• 国家信息安全漏洞库，英文名称"China National Vulnerability Database of Information Security "简称"CNNVD"，于2009年10月18日正式成立，是中国信息安全测评中心为切实履行漏洞分析和风险评估的职能，负责建设运维的国家信息安全漏洞库，面向国家、行业和公众提供灵活多样的信息安全数据服务，为我国信息安全保障提供基础服务
• 官网：http://www.cnnvd.org.cn/

CVE

• CVE (Common Vulnerabilities and Exposures 公共漏洞展示)
• 创立原因：最初不同安全工具和数据库对同一个漏洞采用各自的命名规则，导致不同安全工具之间交互十分困难；CVE旨在为同一漏洞提供一个统一而权威的编号以消除命名混乱带来的困难
• 官网：https://cve.mitre.org/

CWE

• CWE (Common Weakness Enumeration 通用缺陷列表)
• CVE是对具体漏洞的编号，不同漏洞他们所属的漏洞类型可能是一样的，比如都是缓冲区溢出。CWE正是对漏洞类型的编号，CWE当前共收录了716类安全缺隐。CWE旨在按类型向用户介绍安全缺陷，并提供该缺陷类型的处理方法。漏洞分类最出名的大概是OWASP Top 10，但OWASP首先是针对Web的然后是Top 10所以它是不全的；CWE是更全面细致的划分
• 官网：https://cwe.mitre.org/

CVSS

• CVSS (Common Vulnerability Scoring System 通用漏洞评分系统)
• CVSS是由NIAC(National Infrastructure Advisory Council)开发，FIRST(Forum of Incident Response and Security Teams)维护的一套漏洞评分系统，旨在给人们提供一种漏洞严重性量化方法
• 可直接使用评分计算器：https://www.first.org/cvss/calculator/3.1

渗透测试

渗透测试与入侵的最大区别：

• 渗透测试：出于保护系统的目的，更全面地找出测试对象的安全隐患
• 入侵：不择手段地（甚至是具有破坏性的）拿到系统权限

渗透测试流程

PTES 渗透测试执行标准：http://www.pentest-standard.org/index.php/Main_Page

前期互动

• 确定范围：测试目标的范围，ip，域名，内外网，只能对已授权的资产进行测试，未授权的资产不能进行任何测试
• 确定规则：可以渗透到什么程度，时间，能否修改上传，能否提权等
• 确定需求：web应用的漏洞(新上线程序)，业务逻辑漏洞（针对业务的），人员权限管理漏洞（针对人员、权限）等等
• 确定周期：起始和终止时间，根据测试内容，评估所需要花的时间

信息收集

• 尽可能多的收集渗透对象的信息（网络拓扑、系统配置、安全防御措施等），在此阶段收集的信息越多，后续阶段可使用的攻击矢量就越多。因为情报搜集可以确定目标环境的各种入口点（物理、网络、人），每多发现一个入口点，都能提高渗透成功的几率
• 和传统渗透不同的是，安全服务有时候仅仅只是针对一个功能进行测试，所以不一定每次都需要收集目标的信息，或者只需要收集一部分信息；但如果是对一个系统进行渗透，还是要尽可能多的收集目标的信息

威胁建模

• 识别潜在的安全威胁和漏洞，量化每个威胁的严重性
• 针对获取的信息进行威胁建模与攻击规划，从大量的信息情报中理清思路，确定出最可行的攻击方式

威胁模型包含：

• 按风险严重程度排序的资产
• 按可能性排序的威胁
• 最有可能会发生的攻击
• 当前可能成功或失败的对策
• 减轻威胁的补救措施

漏洞分析

• 漏洞分析是一个发现系统和应用程序中的漏洞的过程，这些漏洞可能包括主机和服务配置错误，或者不安全的应用程序设计
• 在进行任何类型的漏洞分析时，测试人员应适当地确定适用深度和广度的测试范围，以满足所需结果的目标和要求
• 传统的渗透是能通过一个漏洞拿到服务器最高权限就行，因此其重点是发现一个可利用的漏洞。但安全服务要求我们尽可能多的发现目标存在的漏洞，以此来保证系统的安全，而且很多时候只要证明漏洞存在即可，不需要再进行漏洞利用
• 有些漏洞的验证，我们可以通过抓包改包很轻易的实现，但有些漏洞，验证的步骤很繁琐，则需要编写特定的概念验证（POC）来验证漏洞，这就要求测试人员有一定的开发能力

漏洞利用

• 漏洞利用阶段侧重于通过绕过安全限制来建立对系统或资源的访问，实现精准打击，确定目标的主要切入点和高价值目标资产
• 为实现系统安全，系统往往都会采用诸多技术来进行防御，如反病毒（IPS、IDS、WAF、......）、编码、加密、白名单等，在渗透期间，则需要混淆有效载荷来绕过这些安全限制，以达到成功攻击的目的
• 互联网上有很多公开的漏洞利用，可直接拿来使用，但对于一些特殊情况，则需要我们根据实际情况来量身定制有效载荷(payload)和漏洞利用(exploit)

后渗透攻击

• 漏洞利用成功后的攻击，即拿到系统权限后的后续操作。后渗透攻击阶段的操作，可分为两种：权限维持和内网渗透
• 权限维持：提升权限及保持对系统的访问，如果漏洞利用阶段得到的权限不是系统最高权限，我们应该继续寻找并利用漏洞进行提权。同时为了保持对系统的访问权限，我们应该留下后门（木马文件等）并隐藏自己（清除日志、隐藏文件等）
• 内网渗透：利用获取到的服务器对其所在的内网环境进行渗透，我们可以利用获取到的服务器进一步获取目标组织的敏感信息

输出报告

• 整理渗透工具：整理渗透过程中用到的代码，poc，exp等
• 整理收集信息：整理渗透过程中收集到的一切信息
• 整理漏洞信息：整理渗透过程中遇到的各种漏洞，各种脆弱位置信息
• 按需整理：按照之前第一步跟客户确定好的范围，需求来整理资料，并将资料形成报告
• 补充介绍：要对漏洞成因，验证过程和带来危害进行分析
• 修补建议：当然要对所有产生的问题提出合理高效安全的解决办法

渗透测试报告编写

• 封皮
• 明确重点和要求
• 给谁看？不同职位的人关注的侧重点不一样
• 内容提要
• 漏洞列表（一页纸内）
• 过程清晰准确
• 工具（版本和功能）
• 渗透测试团队成员（联系方式）
• 修复建议