1、 目录0x1 概述1.1 渗透范围1.2 渗透测试主要内容0x2 脆弱性分析方法0x3 渗透测试过程描述3.1 遍历目录测试3.2 弱口令测试3.3 Sql 注入测试3.4 内网渗透3.5 内网嗅探0x4 分析结果与建议0x1 概述某时段接到 xx 网络公司授权对该公司网络进行模拟黑客攻击渗透,在 xx 年 xx 月 xx 日-xx年 xx 月 xx 日.对 xx 网络公司的外网服务器和内网集群精心全面脆弱性黑盒测试.完成测试得到此份网络渗透测试报告。1.1 渗透范围此次渗透测试主要包括对象:某网络公司外网 web 服务器.企业邮局服务器,核心商业数据服务器和内网办公网络系统。1.2 渗透测试
2、主要内容本次渗透中,主要对某网络公司 web 服务器,邮件服务器进行遍历目录,用户弱口令猜解,sql 注入漏洞,数据库挖掘,内网嗅探,以及域服务器安全等几个方面进行渗透测试。0x2 脆弱性分析方法按照国家工信部 is900 标准,采用行业内认可的测试软件和技术人员手工操作模拟渗透。0x3 渗透测试过程描述3.1 遍历目录测试使用载入国内外 3 万多目录字典的wwwscan 对 web 和邮件服务器进行目录探测。得到探测结果。主站不存在遍历目录和敏感目录的情况。但是同服务器站点存在 edit 编辑器路径。该编辑器版本过低。存在严重漏洞。如图3.2 用户口令猜解Nmap 收集到外网服务器 ftp.
3、使用默认的账号无法连接,于是对 web 和能登陆的界面进行弱口令测试,具体如下图3.3 sql 注入测试通过手工配合工具检测 sql 注入得到反馈结果如下图根据漏洞类别进行统计,如下所示:漏洞类别 高 中 低 风险值网站结构分析 3目录遍历探测 4隐藏文件探测 3CGI 漏洞扫描 0用户和密码猜解 10跨站脚本分析 0SQL 注射漏洞挖掘(含数据库挖掘分析) 10风险总值 303.4 内网渗透当通过外围安全一些列检测。通过弱口令和注入 2 中方式进入管理后台。抓包上传webshell 得到后门开始提升权限。当发现 web服务器处于内网。也正好是在公司内部。于是收集了域的信息。想从 web 入手
4、抓取域管理 Hash 破解,无果。所以只能寻找内网其他域管理密码。内外通过 ipc 漏洞控制了 2 个机器。获取到域管 hash。用 metasploit smb 溢出也得到内网机器权限同样也获得域内管理 hash。用域管理 hash 登陆域服务器。内网的权限全部到手。3.5 内网嗅探当得到内网权限其实就可以得到许多信息。但是主要是针对商业数据保密的原则。就还需要对内网数据传输进行一个安全检测。于是在内网某机器上安装 cain 进行嗅探得到一部分电子邮件内容信息和一些网络账号.具体看下图0x4 分析结果与建议通过本次渗透测试可以看出.xx 网络公司网络的安全防护结果不是很理想,在防注入和内网权
5、限中存在多处漏洞或者权限策略做的不够得当。本次渗透的突破口主要是分为内网和外网,外网设备存在多处注入和弱口令破解。还有一方面原因是使用第三方 editweb 编辑器产生破解账号的风险。内网由于 arp 防火墙和域管得策略做的不是很严密。导致内网沦陷。因此。对本次渗透得出的结论Xx 网络公司的网络”十分危险”第一章 五金行业概述 21 五金行业简介 22 五金行业特性 23 五金行业典型组织架构 4第二章 五金行业现状和问题分析 7五金行业存在的管理特点 7五金行业管理重点与常见的困扰、 8第三章 高格 ANYV 五金行业解决方案 131 总体目标 132 应用策略 132.1 指导思想 132
6、.2 应用要求 132.3 实施方法论 133 方案特色 144 总体架构 154.1 技术架构 154.2 业务架构 165 工程技术基础数据管理 175.1 关键需求分析 185.2 关键需求方案 195.3 业务流程 205.4 关键业务控制 255.5 关键信息处理 255.6 应用效益 276 销售订单管理 276.1 关键需求分析 276.2 业务流程 286.3 关键业务控制 306.4 关键信息处理 377 出口管理 387.1 关键需求分析 387.2 关键需求处理 387.3 业务流程 397.4 关键业务控制 467.5 关键信息处理 468 供应商与采购管理 468.1
7、 关键需求分析 468.2 业务流程 478.3 关键业务控制 518.4 关键信息处理 529 仓存管理流程 529.1 关键需求分析 529.2 关键需求方案 539.3 业务流程 549.4 关键业务控制 659.5 关键信息处理 739.6 应用效益 7310 计划管理流程 7410.1 关键需求分析 7410.2 关键需求方案 7510.3 业务流程 7510.4 关键业务控制 7910.5 关键信息处理 8010.6 应用效益 8111 生产任务及工序管理流程 8211.1 关键需求分析 8211.2 关键需求方案 8311.3 业务流程 8311.4 关键业务控制 8611.5
8、关键信息处理 8711.6 应用效益 8712 委外加工作业流程 8912.1 关键需求分析 8912.2 关键需求方案 9012.3 业务流程 9012.4 关键业务控制 9212.5 关键信息处理 9212.6 应用效益 9313 品质管理 9313.1 关键需求分析 9313.2 关键需求方案 9413.3 关键业务流程 9513.4 关键业务控制 9613.5 关键信息处理 10013.6 应用效益 10014 账款管理 10214.1 关键需求分析 10214.2 关键需求方案 10314.3 业务流程 10414.4 关键信息处理 10714.5 应用效益 10815 发票管理 1
9、0915.1 关键需求分析 10915.2 关键需求方案 10915.3 关键业务流程 11015.4 关键信息处理 11515.5 应用效益 11616 固资管理 11716.1 业务流程 11716.2 关键业务控制 11816.3 关键信息处理 11916.4 应用效益 11917 总账系统 12017.1 业务流程 12017.2 关键业务控制 12317.3 关键信息处理 12417.4 应用效益 12518 出纳系统 12718.1 关键需求分析 12718.2 关键需求解决 12718.3 业务流程 12718.4 关键业务处理 13718.5 关键信息处理 13719 人薪管理
10、 13719.1 关键需求分析 13719.2 关键需求方案 13819.3 业务流程 13819.4 关键业务控制 14319.5 关键业务处理 14320 成本管理 14420.1 关键需求分析 14420.2 关键需求方案 14420.3 业务流程 14420.4 关键业务控制 159第四章 维护平台介绍 1634 高格管理配置平台 VOS(Anyv Operation System)简述 1635 高格管理配置平台 VOS 产品架构图 1636 用户应用自定义配置功能(VOSUD-User Define Tools) 1646.1 自定义报表 1646.2 查询方案配置 1666.3
11、消息提醒配置(含短信) 1676.4 自动侦错功能 1686.5 权限配置 1687 用户管理员工具(VOSAT-Administrator Tools) 1707.1 系统参数字定义 1707.2 作业流程 SOP 自定义 1717.3 专案脚本语言 1717.4 资料库更新工具 1727.5 工作流引擎(Workflow Engine) 1737.6 帐套与规格设定 1757.7 数据备份与还原工具 1768 系统建模实施工具(VOSDP-Design Platform) 1778.1 栏位自定义工具 1778.2 功能菜单自定义 1798.3 单据抛转自定 1809 快速二次开发平台(F
12、D-faster development paltform) 18110 数据交换引擎(XME) 18210.1 数据导入导出工具 18210.2 XMN 数据传输中间件(集群版专用) 183第五章 公司介绍 1841.1 1 关于高格 1841.2 2 高格历史 1841.3 3 产品家族 185第六章 行业成功案例 1871 其他案例 187一一一 五金行业概述1 五金行业简介五金工业是历史悠久的工业形式。五金 为工业之母,是国民经济的装备工业;是科学技术物化的基础;是高新技术产业化的载体;是国防建设的基础;是实现经济快速增长的重要支柱;也是为提高人民生活质量、提供消 费类机电产品的供应工 业。它 对国民经济运行的质量和效益、产业结
