十年后… 渗透测试往事回忆

John Strand //

如今，我已跨越了活跃于渗透测试领域超过十年的里程碑…

关于渗透测试，我持有许多根深蒂固的观点。我想通过回溯这些结论的形成过程会很有趣——包括我是如何变得愤怒、尖刻，并高度保护自己的创意和私有财产的。

是的…这对我来说似乎是个完全合理的发展轨迹。

扫描仪奴隶的局限
我对当下许多测试者过度依赖扫描工具、只关注红色漏洞的现象颇为不满。多年前，我们测试过一个网络环境极其干净的组织。他们定期扫描，竭力消除所有红色甚至黄色漏洞标记。
他们对此非常自满——极度自满。因为多年来，他们遇到的测试团队多是刚毕业的大学生，只会运行Nessus扫描后草草离场。那些测试者连DHCP都搞不定，只会机械地对照检查清单，把工具结果复制粘贴到Word模板里。
当然，如今绝不会发生这种事。那是个安全测试公司只顾疯狂敛财的年代。
和现在完全不同。

“讽刺。我懂这门语言。"——Jack

突破常规的攻击路径
目标组织信心十足。他们当然有理由自信——99.9%的测试者对几乎所有事情都一无所知。不像现在，所有测试者都是系统管理员和开发者，手持多个学位，在发送第一个探测包前就经过严格审查。如我所言，那是个不同的时代。
我们开始逐项拆解服务，实际连接探查。
一个Linux系统引起了注意，它运行着古老的2.x版本，SSH横幅显示这是roomwizard.company.com——会议室预约系统，完整运行的Linux，静候密码输入。
我们尝试暴力破解root密码数日未果，这时我学会了SSH会因过多密码尝试而崩溃。调整为单次猜测后依然失败。
于是我决定致电Room Wizard公司索要root密码。

“太巫师了！"——《幽灵的威胁》梗成就达成

社工的艺术
友善的技术支持女士查询了五六分钟，然后让我 hold 了一小时。
她返回时说：“请不要黑掉Room Wizard”。
我回应：“不，我只是需要更新SSH版本。旧版本影响我们的DIACAP评分”。
她说：“不，这就是密码…全小写。”
pleasedonothacktheroomwizard
一试即中！
我进去了！

“像个极…客。”

渗透测试的本质
这个案例让我明白：最伟大的漏洞利用往往来自意想不到的途径。
这是我的转折点——从此我不再满足于扫描报告。记不清我利用过多少次MS03_026漏洞，但这个案例永驻我心。
正是这种探索让我们的工作与众不同，充满乐趣。
这才是我们持续被雇佣的价值所在。
-John

（文末附John在DerbyCon 2016的演讲视频）