当安全设备沦为最大安全风险，谁之过？

jwqqiqi

给大家分享一次安全渗透经历：
1、接到某单位信息系统渗透测试项目，
2、渗透授权书拿到以后，开始整理思路，此次为渗透黑盒测试。所以一切攻击手段都要模拟黑客。
3、老套路第一步 踩点 通过踩点了解目标的一些基本安全信息，在没有任何信息数据的情况就只能 去问度娘和谷歌了，发现门户网站，想从外网入侵大部分的入口也只能是目标对外提供的服务系统了，确定目标域名和相关网络信息，利用whois查询，确定注册机构、机构本身、域名、网络、联系人及域名相对应的公网IP，知道了目标的网络，可以进行迂回渗透，寻找薄弱点，进入目标网络，然后攻击目标，
4、很不幸的是 此公网IP属于省政府IP地址，说明此网络走的是政务外网，安全性很高。
5、只从门户网站着手，各种扫描受到阻碍，可判断门户前面有IPS和WEB应用防火墙，只能手工大致的翻了翻，还是无功而返。研究一下框架，貌似二次开发过，也不知道用的什么框架。花时间去研究每个子连接是不可能的，太费时间了。
6、技术手段受阻，只有靠其他手段了。前面收集到很多信息，其中包括开发这个门户网站的第三方研发公司。
7、大致的了解一下这个公司，然后准备用上社会工程学了。
8、背上电脑去被委托单位，进门遇门卫 登记 登上XX公司（前面收集到的第方研发公司），假人名，假身份证号，事由为网站维护。还好不检查身份证。戳穿了的话，就直接报做安全检查（反正有渗透授权书）。哈哈
9、走到电梯口看看，发现信息中心在7楼，ok直接去信息中心，到了信息中心楼层 首先找机房，发现机房门口各种门禁和监控，想混进去已经不可能了。
10、晃荡一会，看看有木有什么抽烟室什么的，可能有网络接口的地方都不放过。发现木有什么抽烟室。
11、接下来就只能去厕所开电脑了，寻找无线热点，这个要碰运气，要死碰到WEP加密和没有密码的就 好搞了，WEP10分钟搞定，WPA2就难了，只能把数据包先抓回去，到网上花点钱跑密码。这个是最后的选择(无线破解的系统多的去了，例如BT、奶瓶beini等Linux系统)。
12、去厕所的路上发现一个会议室，里面很多人，各种姿势敲着键盘。好吧用脚指头想想就猜到应该是程序员，服装不统一，也不太互相说话。装小白进去问问。
13、果然是程序员，还是第三方研发人员；因为政府单位的应用系统基本上都是外包研发的。还是几个不同公司的，这么乱，我也坐进来好了。
14、找个凳子坐下，看看他们有在聊Q,说明可以上外网。吼吼，拿出电脑拿出网线，在一堆网线中看到了一个交换机，插上去，先自动获取看看，不行就装小白问问别人怎么接入网络。
15、结果很无语的自动获取到ip，到这一步已经感觉成功一半了。

17、 先从自己的这个网段扫起。估计是没什么可扫的，服务器一般不可能和用户是在同一个网段。
18、 N秒后果然 发现都是些XP，win7 类的系统 。扫视了一下IP的个数和会议室坐的人数，奶奶的果断对上号了。
19、 决定扩大搜索范围：
20、 经过N久的删选后 发现可疑网段：

22、 目标发现有服务系统、网络设备和安全设备：

24、 好吧 既然已发现目标，开始挖掘漏洞吧。先来个漏扫吧：

26、 经过一轮漏洞扫描，发现木有可利用的漏洞，唉想说系统管理员应该是个勤快的孩子，系统补丁都没怎么落下，什么可利用的高风险端口啊都没开，称赞一下。
27、 难道就此悲剧了？
28、 继续逛吧，每个设备都研究研究：

30、 打开管理界面看看再说

32、 这个不是思福迪的日志审计系统么，这个有点熟悉。
33、 其它没什么好研究的，直接默认用户及密码admin  safetybase试试。

35、 它就这么向我敞开了大门，什么情况，这个是管理员不太懒呢还是厂商没告诉他safetybase是默认密码，这个设备被入侵要多可怕就有多可怕。很想说思福迪设备默认密码已经不是第一回碰到了，好吧，到这里我已经可以说全网被我拿下，为什么呢？

37、 基于telnet管理的交换、路由器、linux系统等设备管理权限都是以明文记录的（政府单位除了等级保护3级系统强制要求的ssh管理，其他的基本都是telnet管理）。

39、 交换机的密码就不解释了
40、 不过大部分服务器是windows的，怎么办呢？
41、 突然想起来，大厅的人竟然是开发人员，肯定有些人会连接服务器事实调试。而且自动获取IP地址的网络，对ARP攻击防范基本为0.
42、 好吧就对你们下手了，利用ARP欺骗监听本机同网段所有RDP协议。
43、 吼吼，果断有鱼上钩了。利用ARP欺骗工具，攻击目标IP地址，截获RDP管理的数据包：

45、 用户名administrator 密码XXXXX,好吧 windows的服务器也拿下一台，一看就知道运维管理混乱，权限无分离，操作估计也无审计，即使日志审计系统对我新建用户有审计我也可以将其删除。进去建个隐藏账admin$，拿下一台服务器，其他服务器也只是时间问题了，将ARP欺骗工具安装在这台服务器上，监听一段时间，其他服务器也会陆续到手。
46、 留下后门，就这么完了么，看看还有什么可以让客户蛋碎的信息：

48、 好吧，互联网太危险了我们还是单机吧。

50、 不敢多看内容了，审批信件，开什么玩笑啊，公文审批都日志下来。

52、 没错所有邮箱都被扒出来了，不看了惨目忍睹。
53、 还可以随意导出日志，反正是admin的权限。

55、 可以整理整理数据写报告去了。
56、 什么叫千里之堤，溃于蚁穴。整个系统对外的防御可谓坚不可摧，内网也是做了很多安全防护，结果死在一个小小的细节上（不过管理上确实存在很大问题）。
57、 领导看到报告后，脸都绿了。项目验收，设备都运行快半年了，竟然还是默认密码。
58、 领导也知道这个密码是safetybase，当时他以为这是个很安全的密码，下面也没人告诉他那是个默认密码，你看有safety在里面多安全啊。坑爹啊。
===============================================================================================
个人小结：为何安全设备沦为客户的最大安全风险，责任在用户吗，可是用户确不知情；在集成商？在厂商？值得深思。
安全设备默认密码屡见不鲜（为此我还建了一个设备默认账户密码库，经常被用到），安全产品本着为客户解决问题的宗旨却给客户带来巨大风险。特别是本文中的思福迪的日志审计系统，估计政府客户是为了应付检查或是等级保护上的设备，客户肯定没有意识到这个设备被入侵带来的严重后果（这点没有人提醒他，厂商肯定是有责任的）。还好只是一次安全渗透测试。
===============================================================================================
互动环节：针对此信息系统5大安全风险，如何给出客户解决方案呢？希望大家发散思维踊跃回复
1、管理安全漏洞，外来人员管理不严；
2、内网设备及服务器访问控制无措施；
3、运维权限混乱，且无限制无审计；
4、内网无ARP防护；
5、设备默认密码，这个应该属于项目验收管理漏洞和安全意识不到位。