1、信息系統(tǒng)滲透測試原理及模型分析Information Systems Penetration Testing Principle And Model Analysis姜志坤摘 要：信息化是當今世界發(fā)展的大趨勢，是推動經濟社會變革的重要力量。大力推進 信息化，是覆蓋我國現代化建設全局的戰(zhàn)略舉措，是貫徹落實科學發(fā)展觀，全面建設小康社 會、構建社會主義和諧社會和建設創(chuàng)新型國家的迫切需要和必然選擇。如何以信息化提升綜 合國力，如何在信息化快速發(fā)展的同時確保國家信息安全，這已經成為各國政府關心的熱點 問題。信息安全已經從國家政治、經濟、軍事、文化等領域普及到社會團體、企業(yè)，直到普 通百姓，信息安全已經成

2、為維護國家安全和社會穩(wěn)定的一個重要因素。隨著國家信息安全測 評工作的推進和深化，對信息系統(tǒng)安全測試的要求也逐步提高，滲透測試作為信息系統(tǒng)安全 測試的一項高級別和高難度的測試項目，在信息安全測評中逐漸受到高度重視并得到推廣應 用。本文通過對目前滲透測試的過程和原理做了詳細的分析，并提出了測試方法和測試模 型。關鍵字：信息安全滲透測試測試項目 測試模型滲透測試概述作為網絡安全防范的一種新技術，對于網絡安全組織具有實際應用價值。但要找到一家 合適的具有授權資質的公司實施滲透測試并不容易。近來防御黑客與病毒的攻擊已經成為一種非常困難的工作。保護自己的信息系統(tǒng)不受惡 意攻擊者的破壞，維護系統(tǒng)安全已經成了

3、企業(yè)里非常重要的工作。以金融業(yè)為例，某銀行部 署了多臺防火墻，購買入侵檢測系統(tǒng)、網絡安全審計系統(tǒng)等，也定期進行漏洞掃描，應該很 安全，但黑客入侵、儲戶數據遭竊、網站遭受攻擊等安全事件仍層出不窮，也許被黑客入侵 的機率只有0.001%，但發(fā)生后就是100%。滲透測試(Penetration Testing)網絡定義定義一：滲透測試是一個在評估目標主機和網絡的安全性時模仿黑客特定攻擊行為的過 程。詳細地說，是指安全工程師盡可能完整地模擬黑客使用的漏洞發(fā)現技術和攻擊手段，對 目標的安全性作深入的探測，發(fā)現系統(tǒng)最脆弱環(huán)節(jié)的過程。定義二：滲透測試是主動評估信息安全措施的過程。可通過多種方法做到這一點，而

4、最 常用的方法是主動地對安全措施進行分析，找出其設計缺陷、技術盲點和漏洞；然后對其做 一個全面的報告，呈遞給行政、管理和技術部門。定義三：滲透測試就是以黑客的角度，由企業(yè)外部或在企業(yè)內部對目標網絡環(huán)境作深入 的安全探測，并預先找出企業(yè)脆弱的環(huán)節(jié)。滲透測試是由一組安全人員執(zhí)行，利用弱點掃描 軟件或其他的工具，從外部或內部網絡收集系統(tǒng)的相關信息，并探查出邏輯性更強、更深層 次的漏洞，然后滲透到企業(yè)內部取得資產，最后提交一份滲透測試報告，完整的記錄整個測 試過程與細節(jié)，證實企業(yè)哪些系統(tǒng)有風險、哪些產品設定沒做好，并協(xié)助企業(yè)進行制定更完 善的安全防御措施。換句話說，滲透測試是安全稽核的一部分，由安全專

5、家仿真黑客的攻擊 模式，測試信息系統(tǒng)的安全強度，讓企業(yè)在黑客攻擊前，就做好預防工作。（二）滲透測試定義滲透測試是指測試人員在得到用戶授權許可后，在不影響其業(yè)務應用的前提下，盡可能 完整的地模擬黑客使用的漏洞發(fā)現技術和攻擊手段，對目標網絡、應用系統(tǒng)、主機操作系統(tǒng)、 數據庫管理系統(tǒng)等進行滲透檢測，從而發(fā)現系統(tǒng)存在的安全漏洞和隱患等脆弱性環(huán)節(jié)，并在 適當條件下進行驗證的安全測試過程。（三）滲透測試是專業(yè)服務滲透測試是為了證明信息系統(tǒng)的防御按照預期計劃正常運行而提供的一種機制。不妨假 設，您的公司定期更新安全策略和程序，實時給系統(tǒng)打補丁，并采用了入侵檢測系統(tǒng)、安全 審計系統(tǒng)和漏洞掃描系統(tǒng)等設備，以確保

6、對信息系統(tǒng)的有效監(jiān)控。如果你早已做到了這些， 為什么還要請外方進行審查或滲透測試呢？因為，滲透測試能夠獨立地檢查您信息系統(tǒng)的網 絡安全策略及服務器操作系統(tǒng)安全加固等情況，換句話說，就是給您的系統(tǒng)安了一雙眼睛。 而且，進行這類測試的，都是尋找網絡信息系統(tǒng)安全測評的專業(yè)機構。（四）外部審查的一部分滲透測試需要探查信息系統(tǒng)，以發(fā)現操作系統(tǒng)和任何網絡服務的不安全因素。您可以使 用一些簡單的漏洞掃描設備完成這些任務，但往往專業(yè)人士用的并不僅僅是一些測試設備， 相反他們會自己去編寫一些實用的測試腳本作為輔助，有效地幫助您找到系統(tǒng)的安全隱患。（五）滲透測試目的明確當前系統(tǒng)的安全狀況、摸清攻擊者可能利用的弱點

7、。確定網絡中存在的漏洞，才可 以設計一套應對方案。滲透測試可以協(xié)助用戶發(fā)現組織系統(tǒng)安全的最薄弱環(huán)節(jié)，協(xié)助了解目 前降低風險的首要任務，讓管理人員非常直觀的了解當前系統(tǒng)所面臨的問題，增強對信息安 全的認知程度，使所有成員意識到自己的崗位在整個組織的安全中不可或缺的地位，有助于 整體安全意識的提升。（六）滲透測試的作用滲透測試的作用一方面在于，解釋所用測試設備在測試過程中所得到的結果。即使您對 信息系統(tǒng)進行漏洞掃描。但也并不能全面地了解漏洞掃描得到的結果，更別提另外進行測試， 并證實漏洞掃描系統(tǒng)所得報告的準確性了。（七）怎么進行滲透測試除了找到合適工具以及具備資質的組織進行滲透測試外，還應該準確確

8、定測試范圍。攻 擊者會借助社會工程學、偷竊、賄賂或者破門而入等手法，獲得有關信息。真正的攻擊者是 不會僅僅滿足于攻擊某個企業(yè)網絡的。通過該網絡再攻擊其它公司往往是黑客的慣用伎倆。 攻擊者甚至會通過這種方法進入企業(yè)的ISP。為了從滲透測試上獲得最大價值，應該向測試組織提供盡可能詳細的信息。同時簽署保 密協(xié)議，這樣，您就可以更放心地共享策略、程序及有關網絡的其它關鍵信息。還要確定被測信息系統(tǒng)，哪些系統(tǒng)需要測試。雖然你不想漏掉可能會受到攻擊的某個系 統(tǒng)，但可能仍想分階段把滲透測試外包出去，以便每個階段專注于網絡的不同部分；同樣您 也可以作為一個大的信息系統(tǒng)來測試，對各個子系統(tǒng)進行關聯分析，從而有效地

9、降低系統(tǒng)被 攻破的風險。滲透測試原理1滲透測試原理滲透測試就是利用網絡安全掃描器、專用安全測試工具和富有經驗的安全工程師的人工 經驗對網絡中的核心服務器及重要的網絡設備，包括服務器、網絡設備、防火墻等進行非破 壞性質的模擬黑客攻擊，侵入系統(tǒng)并獲取機密信息并將入侵的過程和細節(jié)產生報告給用戶。2. 2滲透測試過程在一個實際的滲透測試過程中，滲透測試項目的實施一般分為三個階段:前期準備階段、 滲透測試階段、后期總結階段。（一）前期準備階段1）委托書確認簽署授權委托書，并同意測試工程師實施滲透測試。2）滲透目標確定測試工程師需要就詳細的滲透測試范圍和測試對象與用戶進行溝通，并書面達成一致， 進行滲透測

10、試時，應嚴格按照測試范圍和測試對象進行，以避免測試范圍的“蔓延”而破壞 關鍵業(yè)務數據。3）確定滲透測試人員根據滲透測試要求，滲透測試方應確定好滲透測試人員的名單、滲透測試人員的詳細介 紹，并得到被測方書面認可。4）制定滲透測試方案測試工程師應根據滲透測試的范圍及測試對象，制定一份詳細的滲透測試方案。方案中 必須說明測試范圍和對象、測試時間、測試人員、測試工具、滲透測試過程中存在的風險等 詳細情況，方案應經過用戶審核和批準。5）風險規(guī)避措施在進行滲透測試之前，應事先實施風險規(guī)避措施。用戶應先做好系統(tǒng)的備份和恢復準備 工作，以便在發(fā)生不可預知的風險后能快速恢復系統(tǒng)的正常運行。（二）滲透測試階段1）

11、滲透測試工作環(huán)境安排用戶和測試工程師應共同協(xié)商進行滲透測試工作環(huán)境的安排，保障測試工程師應有比較 獨立和安靜的工作環(huán)境。2）實施滲透測試測試工程師根據方案所規(guī)定的測試流程和測試內容實施具體的滲透測試活動。3）滲透測試過程監(jiān)控按準備階段選擇的監(jiān)控方式，在準備好的監(jiān)控環(huán)境下對正在實施的滲透測試活動進行監(jiān) 控，同時監(jiān)控被測試目標的工作狀態(tài)。4）滲透測試過程溝通在滲透測試過程中，測試工程師應主動就滲透測試的進展情況、測試活動及測試中發(fā)現 的異常或非預期情況與用戶進行溝通，以便用戶及時檢查測試目標的工作狀態(tài)是否正常。（三）后期總結階段在完成滲透測試后，需要對滲透測試數據進行整理、匯總和分析，根據發(fā)現的安

12、全漏洞 和安全隱患指出被測目標的問題所在，然后提出相應的整改建議，并最終完成滲透測試報告 的編制。滲透測試分類及方法1測試分類（一）按信息獲取方式分類從滲透的前期資料準備和信息獲得來看，滲透測試/攻擊可分為以下3類。1）黑盒（Black Box）滲透黑盒（Black Box）滲透測試通常是從目標網絡的外部進行滲透模擬的，這意味著，除 了被測試目標的已知公開信息外，不提供任何其他信息。滲透者完全處于對目標網絡系統(tǒng)一 無所知的狀態(tài)，只能通過Web、E-mail等網絡對外公開提供的各種服務器，進行掃描探測， 從而獲得公開的信息，以決定滲透的方案與步驟。通常來說，黑盒滲透測試用于模擬來自網絡外部的攻擊

13、行為。2）白盒（White Box）滲透白盒（White Box）滲透測試與黑盒滲透測試相反，滲透測試者可以通過正常渠道，向 請求測試的機構獲得目標網絡系統(tǒng)的各種資料，包括網絡拓撲結構、用戶賬號、操作系統(tǒng)、 服務器類型、網絡設備、代碼片斷等信息。滲透者可從目標網絡系統(tǒng)外部或內部兩個地點，進行滲透模擬測試，但是通常而言，這 類測試是模擬網絡內部人員的越權操作。3）灰盒（Gray Box）滲透灰盒（Gray Box）滲透測試介于以上兩者之間。（二）按目標對象分類從滲透模擬攻擊的對象來看，滲透測試又可分為以下幾種。1）主機操作系統(tǒng)滲透對目標網絡中的Windows、Linux、UNIX等不同操作系統(tǒng)主

14、機進行滲透測試。本書重點 講述的是對Windows主機操作系統(tǒng)的滲透。2）數據庫系統(tǒng)滲透對MS-SQL、Oracle、MySQL等數據庫系統(tǒng)進行滲透測試，這通常是對網站的入侵滲透過 程而言的。3）網站程序滲透滲透的目標網絡系統(tǒng)都對外提供了 Web網頁、E-mail郵箱等網絡程序應用服務，這是 滲透者打開內部滲透通道的重要途徑。4）網絡設備滲透對各種硬件防火墻、入侵檢測系統(tǒng)、路由器和交換機等網絡設備進行滲透測試。此時，滲透者通常已入侵進入內部網絡中。（三）按網絡環(huán)境分類按照滲透者發(fā)起滲透攻擊行為所處的網絡環(huán)境來分，滲透測試可分為下面兩類。1）外網測試通常來說，進行滲透攻擊測試的目標都是大型的網絡

15、系統(tǒng)。這些網絡系統(tǒng)由內部的一臺 臺主機與網絡設備所組成，其內部是一個局域網絡，從Internet上無法直接連接訪問。所謂外網測試，就是指滲透測試人員完全處于目標網絡系統(tǒng)之外的外部網絡，在對內部 狀態(tài)一無所知的情況下進行的滲透測試。滲透者需要突破外部網關服務器和保護內網的防火 墻，從而進入內網之中。2）內網測試內網測試指的是由內部網絡發(fā)起的滲透測試，此時滲透測試人員已處于內網之中，滲透 控制的難度相對已減少了許多。各種信息收集與滲透實施更加方便，滲透者的目標是完全地 控制整個內部網絡系統(tǒng)。3. 2測試方法外隅悟黑找 分析與蛔&僵方H程分為如左圖所示的幾個階段和步驟，每個階段和步驟使用不同的攻擊一

16、般來說，攻擊者的滲透入侵過（一）外網信息收集、分析與制手段。從外網發(fā)起的黑盒滲透攻擊，由于對目標網絡系統(tǒng)一無所知，滲透攻擊者首先需要收集足夠的入侵信息資料，然后在此基礎上制訂滲透攻擊方案。訂入侵方案信息的收集是非常重要的，它決定了攻擊者是否能準確地定位目標網絡系統(tǒng)安全防線上 的漏洞，攻擊者所收集的一切信息，無非是為了找到安全大壩上的那些小小的蟻穴。信息收集主要分為以下幾類。1）相關邊緣信息收集在這一步驟中，攻擊者會通過網絡搜索、實地了解等各種方法，充分地利用網絡搜索和 社會工程學，采集攻擊目標的相關信息。獲取的信息內容和方式包括目標網絡系統(tǒng)中的一些邊緣信息，如目標網絡系統(tǒng)公司的結 構、各部門職

17、能、重要機構分支，以及內部員工賬號組成、身份識別方式、郵件聯系地址、 QQ或MSN號碼、各種社交網絡賬號與信息、管理員的網絡習慣等。2）網絡信息收集在這一步驟中，要收集目標網絡的各種網絡信息，所使用的手段包括Google Hacking. WHOIS查詢、DNS域名查詢和網絡掃描器等。最終的目的是要描繪出目標網絡拓樸結構、公司網絡所在區(qū)域，子公司IP地址分布， VPN接入地址、各種重要服務器的分布、網絡連接設備等信息。3）端口/服務信息收集在這一步驟中，利用各種通用的端口服務掃描工具，掃描目標網絡中對外提供服務的服 務器，查詢服務器上開放的各種服務，例如，Web、FTP、MySQL、SNMP等

18、服務。4）漏洞掃描在上面的步驟中，獲得目標網絡各服務器開放的服務之后，即可對這些服務進行重點掃 描，掃出其所存在的漏洞。例如：針對操作系統(tǒng)漏洞掃描的工具有X-Scan、ISS、Nessus、SSS、Retina等；針對 Web網頁服務的掃描工具有SQL掃描器、文件PHP包含掃描器、上傳漏洞掃描工具，以及各 種專業(yè)全面的掃描系統(tǒng)，如 AppScan、Acunetix Web Vulnerability Scanner 等（見圖 3-1 ）； 針對數據庫的掃描工具有Shadow Database Scanner. NGSSQuirreL，以及SQL空口令掃描 石器等。另外，許多入侵者或滲透測試員也

19、有自己的專用掃描器，其使用更加個性化。5）制unetix Web Vulnerability Scanner 入侵滲透檢測工具S AwnrfnTSrHi丁滲透方案Vi 由 WTInEf?y kin Ttirw-d 1 (www -ciSn jhaiill岷IWWIiMI fI Z A IMh 1Hi者就可程中，在獲取了全面的網絡信息并查詢到遠程目標網絡中的漏洞后，攻擊以開始制訂滲透攻擊的方案了。入侵方案的制訂，不僅要考慮到各種安全漏洞設置信息，更 重要的是利用網絡管理員心理上的安全盲點，制訂攻擊方案。（二）打開進入內網的突破口在從外網滲透入內網的入侵過程中，如何打開內網的通道，是內網滲透的突破

20、口。前期 的各種信息掃描工作，無非也是為了獲得各種漏洞信息，以便能順利進入目標網絡之中，進 一步擴大攻擊，完全控制目標網絡。滲透攻擊者可以結合上面掃描獲得的信息，確定自己的突破方案。例如，針對網關服務 器進行遠程溢出，或者是從目標網絡的Web服務器入手，也可以針對網絡系統(tǒng)中的數據庫弱 口令進行攻擊，或者采用各種欺騙方法將木馬程序詐騙進目標網絡之中運行。打開內網突破口，常用的攻擊手法有：利用系統(tǒng)或軟件漏洞進行的遠程溢出攻擊，系統(tǒng) 與各種服務的弱口令攻擊，系統(tǒng)或服務賬號的密碼暴力破解，以及Web腳本入侵、木馬攻擊 等。最常用的兩種手段是Web腳本攻擊和木馬欺騙。這是由于在當前的網絡環(huán)境中，網絡管

21、理員通常對外網網關服務器做好了各種安全設置保護工作，直接的遠程溢出或對賬號進行攻 擊，成功率基本上是很低的，而Web服務器上所用的網站程序往往存在許多腳本代碼漏洞， 攻擊者很容易就可以入侵控制網站。同時許多網絡的安全設置往往是外嚴內松，在網關上安 全設置非常嚴格，但是內部主機的安全防護卻非常薄弱，因此攻擊者也有可能通過郵件、通 信工具或掛馬等方式，將木馬程序繞過網關的各種安全防線，發(fā)送到內部詐騙執(zhí)行，直接獲 得內網主機的控制權。（三）縱向提升權限通過上面的步驟，攻擊者可能已成功入侵目標網絡系統(tǒng)對外的服務器，或者內部某臺主 機，此時需要完全獲得主機的最高控制權。雖然此時攻擊者已獲得了主機的一些控

22、制權限，但是對于進一步的滲透攻擊來說還是不 夠。例如，攻擊者入侵了某臺Web服務器，上傳了 Webshell控制網站服務器，然而卻沒有 足夠的權限安裝各種木馬后門，或者運行一些系統(tǒng)命令，此時攻擊者就需要提升自己的權限?？v向權限提升按入侵方式來分，主要可分為以下兩類。1）Webshell 提權Webshell提權是滲透入侵中經常遇到的一種情況，攻擊者常常會通過Web網站腳本途 徑入侵網站服務器，并上傳Webshell。通過Webshell對主機進行操作時獲得的控制權限往 往是繼承了 Web賬號權限的，完全不足以對目標主機進行系統(tǒng)級的控制操作。因此攻擊者常 常會采用各種手段，提升Webshell的

23、操作權限。2）賬號提權賬在權限提升過程中，攻擊者通過掃描或密碼破解等方式，可能會獲取目標主機的系統(tǒng) 登錄賬號，或數據庫訪問賬號等。不過這些賬號通常是權限不足，在進行進一步的滲透測試 時，可能會沒有足夠的權限打開一些密碼存儲文件，無權安裝嗅探工具，甚至沒有權限執(zhí)行 一些很基本的命令，這時必須進行提權，以獲取更高級別的賬號控制權。在進行縱向提權操作步驟中，所采用的提權手段是相似的，都是利用目標主機系統(tǒng)上的 系統(tǒng)或軟件漏洞進行提權。具體的提權手段包括系統(tǒng)或軟件的本地溢出攻擊、密碼破解、服 務替換等，這在Webshell提權中體現得尤為明顯。需要說明的是，如果攻擊者采用遠程溢出，或者通過木馬詐騙運行等

24、方式入侵控制主機， 獲得的將是最高的系統(tǒng)權限，此時無須進行縱向提權的步驟。（四）開辟連接通道，突破內網環(huán)境限制在對內網進行滲透入侵之前，攻擊者還需要突破各種網絡環(huán)境限制，例如，內部網絡作 為Vlan劃分隔離，或者在網關設置了防火墻無法進行連接等。其中最重要的一點就是，如何利用已控制的主機，連接攻擊其他內部主機。由于目標網 絡內的主機是無法直接進行連接的，因此攻擊者往往會使用代理反彈連接到外部主機，會將 已入侵的主機作為跳板，利用遠程終端進行連接入侵控制。在此過程中，涉及的攻擊手段更加多樣，如防火墻殺毒軟件的突破、代理的建立、賬號 后門的隱藏破解、3389遠程終端的開啟和連接等。（五）內網信息掃

25、描與收集當攻擊者完全控制網關或內部的某臺主機，并且擁有了對內網主機的連接通道時，就可 以對目標網絡的內部系統(tǒng)進行滲透入侵了。在對內部網絡進行滲透攻擊前，同樣需要進行各 種信息的掃描和收集工作。此步驟采用的手段與步驟1重復，使用相同的手段盡可能地獲得內網的各種信息，包括 獲取內網網絡分布結構信息，從而確定內網中最重要的關鍵服務器，然后對重要的服務器進 行各種掃描，尋找其漏洞，以確定進一步的入侵控制方案。（六）內網橫向權限提升進入內網后雖然獲得了當前主機的最高系統(tǒng)控制權限，然而當前的主機在整個內部網絡 中的身份，可能僅僅是一臺無關緊要的客服主機，因此攻擊者要獲取整個網絡的控制權，就 必須提升自己在

26、網絡中的權限。在內網提升權限時，往往需要考慮到內網中的網絡結構，確定合理的提權方案。例如， 對于小型的局域網，可以采用嗅探的方式獲得域管理員的賬號密碼，也可以直接采用遠程溢 出的方式獲得遠程主機的控制權限。對于大型的內部網絡，攻擊者可能還需要攻擊內部網網 絡設備，如路由器、交換機等。內網橫向權限提升時，所用到的攻擊手段，依然是遠程溢出、嗅探、密碼破解、ARP欺 騙、會話劫持和遠程終端掃描破解連接等。（七）滲透成功在獲得內網管理員或任意的控制權后，整個網絡就在攻擊者的掌握之中了，攻擊者可以 任意竊取機密資料進行破壞。至此，滲透入侵完成。滲透測試模型及分析1測試模型滲透測試模型是一個整合滲透測試技

27、術和方法的原型系統(tǒng)。該系統(tǒng)可以提供滲透測試各 個步驟的各種功能，檢驗被測對象網絡和計算環(huán)境的安全性和抗攻擊能力，發(fā)掘被測對象網 絡系統(tǒng)中從物理層到應用層各個層面的脆弱性。本人通過深入的學習和研究，吸取前人的經 驗成果，總結出滲透測試模型如圖4-1所示：圖4-1滲透測試模型4. 2模型分析滲透測試模型從信息收集到結果報告的生成過程是全自動的，無人干預，在此過程中， 信息收集的結果篩選和各模塊之間的參數傳遞是一個實現上的難題；另外，漏洞及漏洞利用 程序的及時更新也是滲透測試軟件的一個關鍵技術。（一）信息收集的結果篩選和各模塊之間的參數傳遞滲透測試首先要對被測網絡系統(tǒng)進行全面掃描和漏洞的探查，即進行網絡勘查、端口掃 描、系統(tǒng)識別、無線網漏洞測試、服務探測（網站信息、Mail信息、名字服務、防病毒木 馬）、溢出搜尋，得到的結果很多，需要整理出對漏洞測試有用的信息。這些信息的篩選是 一個較為復雜的過程。信息的不一致性，信息體現的漏洞嚴重程度判定及與軟件漏洞庫中漏 洞的相關性判定都會給信息的整理帶來一定難度。模塊之間的參數傳遞主要是指信息收集