基于我們以前的工作，當一家大型政府機構(gòu)尋找一個獨立第三方來對一個大型ERP部署（超過10萬名終端用戶）實施安全評估時，我們的名字——PivotPointSecurity——被選中了。

通過和PMQA制造商協(xié)調(diào)，我們向機構(gòu)的執(zhí)行管理團隊保證該計劃將達成重要的安全目的。因此我們的努力集中于提供保證上，保證他們的ERP能適當?shù)拇_保敏感雇員數(shù)據(jù)安全（舉例來說，薪水冊，社會保險號等）。

該合約由下述部分組成：一個全面的安全評估，包括一個漏洞評估，以及對系統(tǒng)和程序運行所在子網(wǎng)的滲透測試，對管理程序的網(wǎng)絡的滲透測試，以及對程序自己本身的安全測試。我們也執(zhí)行一個控制審核，審核那些相信對達到秘密目的非常重要的控制。

準備起跑？

在運行了一個針對程序所在子網(wǎng)的漏洞評估后，我們整個團隊開始坐下來研究數(shù)據(jù)，并闡明我們的滲透測試計劃。注意漏洞評估數(shù)據(jù)是我們通常很典型的做法，以幫助我們識別何種漏洞組合能提供最可能的路徑，從而完成滲透測試的目標——在本例中，則是訪問機密數(shù)據(jù)。子網(wǎng)和系統(tǒng)看起來非常的安全。我們挑出了WEB服務器以及一些網(wǎng)絡設(shè)備，因為它們看起來可能有一些潛在的漏洞。不過，我們還沒樂觀到認為我們能夠“直接攻入”該程序數(shù)據(jù)。

基本上，在直接存取不可能的情況下，目標就變成了獲得系統(tǒng)的存取權(quán)限以及系統(tǒng)地逐步增強優(yōu)先級，這樣我們可以通過最終獲得系統(tǒng)管理員權(quán)限來控制系統(tǒng)。這會給予我們非常豐富的選擇，包括：

從注冊表中釋放加密口令的能力。

對敏感數(shù)據(jù)或應用軟件的權(quán)限

一個跳板系統(tǒng)，可用于攻擊其他系統(tǒng)。通常適當位置的技術(shù)控制比“信任的”系統(tǒng)更低。

修改系統(tǒng)安全功能，以便通過后門進入系統(tǒng)的能力。

在系統(tǒng)中植入按鍵記錄器，以便秘密記錄用戶行動的能力

這些選擇提供了逐步提高特權(quán)級的能力，直到在一個域級別或重要系統(tǒng)上獲得管理員級別的權(quán)限。

要點-對應物

我們感興趣的WEB服務器運行著開放的SSL，我們認為對它也許可以進行暴力口令破解攻擊。連接被拒絕，對該機器的一個快速重新掃描顯示打開了一下的端口立刻又關(guān)閉了。我們猜想我們的活動被監(jiān)控了，一個系統(tǒng)管理員正在守護著這臺服務器（盡管管理層的指令是不要這么做）。我們檢查了這臺服務器上運行的FTP和SMTP服務，通過這個我們發(fā)現(xiàn)存在一個用戶帳戶叫做“ERPadmin”，但是我們的枚舉口令猜測攻擊在5次嘗試猜測失敗后就被鎖定了，從而宣告了攻擊的失敗。我們通過推斷這個帳戶的存在，是因為對該帳戶的回應，明顯和一個已知不存在的帳戶（比如Pivotpoint?。┑幕貞煌?。帳戶的鎖定，加上技術(shù)漏洞很少，加強了我們認為子網(wǎng)非常安全的觀點。

因為我們感興趣的網(wǎng)絡設(shè)備同時還支持其他產(chǎn)品的應用程序，所以我們推遲了評估這些設(shè)備，取而代之的是企業(yè)的局域網(wǎng)。

差點錯過的機會

在合約的一開始，當我們建議安全評估應當包括局域網(wǎng)時，我們遇到了極其強大的抵制。我們的信念（基于類似情景的多個合約所形成）是那些可能有存取優(yōu)先權(quán)的局域網(wǎng)段，或者是有不同優(yōu)先級用戶的網(wǎng)段，都是一個特別的風險來源，即使應用程序是在一個完全不同的子網(wǎng)上。

我們在局域網(wǎng)上進行的漏洞掃描，和我們在產(chǎn)品所在子網(wǎng)上的結(jié)果一樣，干干凈凈。這幾乎是同類的Windows網(wǎng)絡（2000服務器，XP主機），所有的主機配置本質(zhì)上都一樣。這個“幾乎”成了我們的一大難題，直到我們意識到在局域網(wǎng)中有臺孤零零的NT4服務器，運行了一個古老的傳統(tǒng)程序?？诹顝碗s性設(shè)置是由WindowsSMS中央分發(fā)的，不幸的是對NT4并不適用。這導致我們用一個Netbios列舉工具（NBTEnum），通過該工具尋找常見的口令缺陷，從而找到了那些使用同一用戶名密碼（jimmyjimmy）的帳戶。當我們發(fā)現(xiàn)到jimmy帳戶是一個本地域的管理帳戶時，我們意識到我們有了第一個落腳點。

上升，繼續(xù)

一旦在一個系統(tǒng)上獲得了本地管理權(quán)限，就可能使用一個工具（比如，PWDump）來獲得機器上的SAM。SAM是一個口令的加密列表。我們使用一個口令破解軟件來對付SAM（比如，LOphtCrack5），并執(zhí)行一個詞典攻擊。詞典攻擊破解了另外2個用戶帳號，但是沒有一個帳戶比我們已經(jīng)獲得的權(quán)限更高。另外還有一個帳號，我們根據(jù)它的名字，猜測它是一個通用局域網(wǎng)管理帳號。我們對這個帳戶扔了一個暴力破解上去，然后就走開了。在破解工具進行暴力破解時，我們開始喝咖啡。

等我們喝完咖啡回來，我們找到并獲得了許可，對一個有趣的網(wǎng)絡交換機實施我們的滲透測試活動。這臺機器運行的是一個較老版本的CiscoIOS，我們認為可能存在有ARPSpoof（ARP欺騙）漏洞。果然，ARPSpoof哄騙該交換機，讓它相信我們的攻擊主機就是所有該局域網(wǎng)段上所有通信的目標主機。本質(zhì)上來說，這導致我們的攻擊主機成為了一臺交換機，所有的網(wǎng)絡通訊都要經(jīng)過我們的主機。

通過留意網(wǎng)絡數(shù)據(jù)，我們注意到，所有的網(wǎng)絡用戶都使用NTLM（WindowsNT與2000的默認加密）進行認證。我們發(fā)回經(jīng)過修改的數(shù)據(jù)包到終端用戶的工作站上，告訴他們“我們不明白NTLM，請發(fā)送未經(jīng)加密的密碼”?？上?，這招騙術(shù)并沒有生效。而“請發(fā)送使用LM認證的密碼給我們”卻成功了。LM使用一種較弱的加密認證，破解的可能較大。我們收集了這些加密的密碼，留著日后破解。緩慢而有系統(tǒng)的，我們在不斷拓寬我們的優(yōu)先級提升之路，而確信我們的行動將得到獎勵的自信心也在不斷增長。

加油以及本地admin權(quán)限

早餐吃起來略有點甜，然后我們注意到通過整晚口令破解器的工作，我們已經(jīng)破解了其他的本地管理權(quán)限帳戶密碼，而該密碼后來被證明是一個管理局域網(wǎng)上所有機器的通用密碼。這大大拓寬了我們所需的獲取管理員級別權(quán)限的道路。不過首先我們需要確認，是否有一個按鍵記錄器能逃過我們客戶反病毒方案的監(jiān)查（在本例中，該反病毒方案來自于一個行業(yè)中非常卓越的企業(yè)安全公司）。

基于我們對反病毒制造商網(wǎng)站，多個按鍵記錄器網(wǎng)站，以及多個黑客論壇的研究，我們選擇了一個不曾大范圍流行，高度隱蔽的鍵盤記錄器。我們通過RDP連接到我們的目標工作站上，通過手指交叉，我們將記錄器放到一臺非技術(shù)人員的電腦上，這樣萬一產(chǎn)生警報信息，我們可以將目標指到此人身上，從而混淆視聽。當鍵盤記錄器開始報告用戶的活動時——我們知道，我們只剩下最后一步了。等到了午餐時間（這樣可以避免被人發(fā)現(xiàn)），我們又在另外4臺工作站上放進了鍵盤記錄器；這4臺機器分別屬于一個ERP管理員，一個數(shù)據(jù)庫管理員，以及一個AIX管理員。一個小時之內(nèi)，每個用戶已經(jīng)分別作為自己所管理系統(tǒng)的管理員進行了登錄，于是我們的鍵盤記錄器向我們報告了他們的密碼。在使用我們新找到的管理權(quán)限登陸進入系統(tǒng)后，我們已經(jīng)擁有完全的能力危及的安全，包括它的所有系統(tǒng)，以及其中保存的數(shù)據(jù)。我們已經(jīng)擁有完全的，無拘無束的權(quán)限，可以獲得客戶保存在數(shù)據(jù)庫中的所有高度機密信息，包括姓名，地址，社會保險號，薪水信息——信息之豐富，足可以讓別有用心的人以無數(shù)的方法去利用它。

當場被抓

為了測試那些已經(jīng)被我們危及安全的個人帳號的威力，我們使用我們的本地管理權(quán)限繼續(xù)登錄在他們的機器上。結(jié)果，我們的活動，包括我們的按鍵記錄器迅速被人發(fā)現(xiàn)了，其速度之快令我們印象深刻。管理員頗有見地，他運行了一個軟件來獲取該組合中所有運行進程的視圖，以及一個監(jiān)控網(wǎng)絡連接的軟件（比如，Vision和netstat）。當他注意到他的機器連到我們的IP上時，我們被當場擒獲。

這次ERP安全的真實練習說明了，那些對軟件本身，對數(shù)據(jù)庫，以及局域子網(wǎng)加密的重大努力，會如何被企業(yè)局域網(wǎng)控制環(huán)境中一個表面上小小的弱點徹底推翻。技術(shù)控制的強力集合（本例中，是ERP軟件整體的高安全級別）會被一個內(nèi)部控制的軟弱集合而相對迅速的破壞，本例中，沒有對“jimmy”賬戶強迫執(zhí)行強力口令的疏忽，造成了一系列擴大的問題，最終居然導致企業(yè)重要數(shù)據(jù)被暴露的危險。我們的ARP欺騙奏效，也導致了一個整體系統(tǒng)的安全受到威脅。

這很重要，要注意到我們也實施了程序級別的滲透測試，以及對重要控制的深度審核，包括數(shù)據(jù)隔離區(qū)域，數(shù)據(jù)庫所有者，認證，授權(quán)，以及修改管理。這些努力提供給管理層一個高級擔保——關(guān)鍵的安全目標已經(jīng)達到。

根據(jù)我們對管理層所遞交的“發(fā)現(xiàn)”，該政府機構(gòu)將那臺擁有“jimmy”賬戶的NT機器斷網(wǎng)，并在一個相似的Windows2000環(huán)境中有效地強制執(zhí)行安全策略，更新了他們所有電腦中的系統(tǒng)和反病毒引擎，以檢測按鍵記錄器，還更新了所有Cisco設(shè)備上的IOS，以避免再受到ARP欺騙攻擊。

作為我們所用方法和所獲發(fā)現(xiàn)正式報告的結(jié)果，組織的管理層獲得了一個保證，那就是因部署該ERP系統(tǒng)而暴露敏感雇員信息的風險已經(jīng)被減輕到了一個可接受的低水平上。注意到這次練習的價值，以及面向最佳實踐的進步，客戶已經(jīng)計劃在所有未來的項目階段中安排安全評估活動。（zdnet）