千鋒網(wǎng)絡(luò)安全教程：第5章、掃描與密碼暴破-千鋒-掃描技術(shù)

1、掃描技術(shù)為什么學這門課程在滲透測試過程中，為了節(jié)省人力和時間，通常采用手工和工具相結(jié)合的方式。使用工具，就是將一些機械性的操作自動化實現(xiàn)，用來提高滲透測試的效率。例如，尋找內(nèi)網(wǎng)網(wǎng)段0/24 所有在線主，如果一個一個去ping 測試主機是否存活，顯然是不合適的。主機測探與端口掃描主機測探是指確定目標主機是否存活。端口掃描就是尋找在線主機所開放的端口，并且在端口上所運行的服務(wù)。甚至可以進一步確定目標主機操作系統(tǒng)類型和更詳細的信息。-基礎(chǔ)知識常見端口號21FTP443HTTPS22SSH1433SQL Server23Telnet1521Oracle25SMTP3306MySQL

2、80DNS3389RDPTCP 包頭格式TCP 三次握手過程TCP 四次揮手過程-Nmap-掃描器之王nmap 被譽為“掃描器之王”，nmap 為開源工具，并且是跨平臺的。官方網(wǎng)站我們可以使用kali 虛擬機中的nmap-重要常用參數(shù)-sPping 掃描-p指定端口范圍-sTTCP 連接掃描-sSTCP SYN 掃描-sUUDP 掃描-sN/-sF/-sX隱蔽掃描-sV版本探測-O啟用操作系統(tǒng)探測-A全面掃描-oA保存到所有格式-traceroute路由追蹤-主機發(fā)現(xiàn)ping掃描nmap -sP /24nmap -2-簡

3、單的掃描nmap 48nmap 會默認掃描部分端口。-端口掃描指定端口nmap -p 80,3389 -p 21,80,3389-p 1-100,3389-p 1-1000-p 1-65535TCP 連接掃描nmap -sT 48 -p 3389可以使用wireshark 進行抓包分析，端口開放的情況nmap -sT 48 -p 3389端口關(guān)閉的情況nmap -sT 48 -p 22TCP SYN 掃描nmap -sS 48 p 3389可以使用wireshar

4、k 進行抓包分析，端口開放的情況nmap -sS 48 p 3389端口關(guān)閉的情況nmap -sS 48 p 22隱蔽掃描注意：隱蔽掃描不適用于windows 系統(tǒng)nmap -sN 48 p 3389標志位全為零nmap -sF 48 p 3389標志位FIN=1nmap -sX 48 p 3389標志位 FIN=1,PSH=1,URG=1-目標主機版本nmap 48 -p 3389 -O目標操作系統(tǒng)為win7，雖然Nmap 不能完全確定目標操作系統(tǒng)類型，但是也可

5、以大概確定。-測探服務(wù)版本nmap 59 -p 21 -sV -全面掃描nmap -A 44-保存掃描報告-oN保存成txt 純文本格式nmap -sT -sV -oN result.txt-oX保存成xml 格式nmap -sT -p 22 -sV -oX result.xml網(wǎng)絡(luò)漏洞掃描我們可以通過網(wǎng)絡(luò)漏洞掃描，全面掌握目標服務(wù)器存在的安全漏洞。市面上常用的掃描有Nessus、NeXpose、OpenVAS等，這些掃描器都有商業(yè)版和免費版或者家庭版。本課程使用的網(wǎng)絡(luò)漏洞掃描器是OpenVAS，可以用來識別遠

6、程主機、Web 應(yīng)用存在的各種漏洞。Nessus 曾將是業(yè)內(nèi)開源漏洞掃描工具的標準，在Nessus 商業(yè)化不在開放源代碼后，在它的原始項目中分支出OpenVAS 開源項目。經(jīng)過多年的發(fā)展，OpenVAS 已經(jīng)成為當前最好的開源漏洞掃描器，功能非常強大，甚至可以與一些商業(yè)的漏洞掃描器相媲美。OpenVAS 使用NVT 腳本對多種遠程系統(tǒng)（包括Windows、Linux、UNIX 以及Web 應(yīng)用程序等）的安全問題進行檢測。-漏洞掃描原理網(wǎng)絡(luò)漏洞掃描指的是利用一些自動化工具發(fā)現(xiàn)網(wǎng)絡(luò)上各類主機設(shè)備的安全漏洞。這些自動化工具通常稱為漏洞掃描器。漏洞掃描通?？梢苑譃閮深?黑盒掃描黑盒掃描一般都是通過遠程

7、識別服務(wù)的類型和版本，對服務(wù)是否存在漏洞進行判定。在一些最新的漏洞掃描軟件中，應(yīng)用了一些更高級的技術(shù)，比如模擬滲透攻擊等。白盒掃描白盒掃描就是在具有主機操作權(quán)限的情況下進行漏洞掃描。比如微軟的補丁更新程序會定期對你的操作系統(tǒng)進行掃描，查找存在的安全漏洞，并向你推送相應(yīng)的操作系統(tǒng)補丁。白盒掃描的結(jié)果更加準確，但一般來說它所識別出的漏洞不應(yīng)當作為外部滲透測試的最終數(shù)據(jù)，因為這些漏洞由于防火墻和各類防護軟件的原因很可能無法在外部滲透測試中得到利用。同時，一般情況下你是沒有機會獲取用戶名和口令。漏洞掃描器一般會附帶一個用于識別主機漏洞的特征庫，并定期進行更新。在漏洞掃描的時候，就是利用特征庫里的腳本與

8、目標系統(tǒng)的反饋信息進行匹配，如果能夠匹配上，就說明存在某一個漏洞。漏洞掃描器在識別漏洞的過程中，會向目標發(fā)送大量的數(shù)據(jù)包，有時候會導致目標系統(tǒng)拒絕服務(wù)或被掃描數(shù)據(jù)包阻塞，掃描行為也會被對方的入侵檢測設(shè)備發(fā)現(xiàn)。漏洞掃描器掃描出的結(jié)果通常會有很多誤報（報告發(fā)現(xiàn)的漏洞實際并不存在）或者漏洞（未報告發(fā)現(xiàn)漏洞但漏洞實際存在）。因此，需要對掃描結(jié)果進行人工分析，確定哪些漏是實際存在的，這個過程就叫做漏洞驗證。這是滲透測試過程中不可缺少的一步，只有驗證漏洞存在的真實性，才能對漏洞進行深度利用。滲透測試工作中，在得到客戶認可的情況下，可以使用掃描器進行掃描，但使用時一定要注意規(guī)避風險，對其系統(tǒng)運行可能造成的影

9、響將到最低。-OpenVAS OpenVAS 的官網(wǎng)地址為/推薦從iso 鏡像安裝OpenVAS。目前OpenVAS 的gsm 鏡像最新版本是4.2.19，OpenVAS 的詳細安裝過程，被文檔不做詳細展示。在使用OpenVAS 有Web 端，管理使用OpenVAS ，登錄Web 端需要有一個賬號，本課程中通常設(shè)置為admin/。在使用OpenVAS 的時候，必須更新feed，否則會有Warning: SecInfo Database Missing 這樣的報錯，在更新feed 的時候，建議掛一個http 代理，例如89

10、:1080。實驗：OpenVAS 初使用我們使用OpenVAS 掃描一個目標，目標地址為7。-掃描目標點擊目標點擊新建目標填寫相關(guān)信息，點擊Create，即可。創(chuàng)建好的目標如下-掃描策略以下是OpenVAS 內(nèi)置的掃描模板，也就是掃描策略，也可以自定義。-掃描任務(wù)進入掃描任務(wù)模塊。創(chuàng)建一個掃描任務(wù)。填寫好相關(guān)信息，點擊Create即可。點擊開始按鈕，即可開始掃描任務(wù)。經(jīng)過一段時間之后，掃描完成。點擊已完成，即可查看掃描出來的漏洞信息。-導出掃描報告選擇報告格式為pdf點擊下載按鈕，即可下載掃描報告。掃描報告首頁如下Web 漏洞掃描-Web 漏洞掃描簡述隨著互聯(lián)網(wǎng)的發(fā)展以及云

11、計算的發(fā)展，使得政府、銀行、企業(yè)以及各個組織基本上都有自己的門戶網(wǎng)站。Web 應(yīng)用越來越多，同時Web 應(yīng)用的攻擊成本、難度都比較低，Web 應(yīng)用成為黑客攻擊的主要目標。無論黑客出于什么樣的目的，Web 應(yīng)用所面臨的挑戰(zhàn)都是很大的。如何及時、快速發(fā)現(xiàn)Web 應(yīng)用安全漏洞，并且修補安全漏洞，減輕或消除Web 安全風險成為安全行業(yè)的重要課題。小型Web 應(yīng)用幾十上百個頁面，大型的Web 應(yīng)用成千上萬個頁面。如果靠人工的方式去檢測每個頁面的安全性，顯然，這個成本是難以估計的。所以，我們需要借助于自動化工具，幫助審計員去發(fā)現(xiàn)Web 安全漏洞。這些自動化工具就是Web 漏洞掃描器。市面上Web 漏洞掃描

12、器有很多，其中以IBM 公司的AppScan 和商業(yè)化Web 漏洞掃描器AWVS 為優(yōu)秀。Web 漏洞掃描器大同小異，本課程以AWVS 為例子，講解Web 漏洞掃描器的使用。-Web 漏洞掃描原理進行Web 漏洞掃描的時候，大致分為一下幾個步驟：爬行網(wǎng)站目錄使用漏洞腳本掃描保存掃描結(jié)果實驗：使用AWVS 掃描-創(chuàng)建掃描目標點擊New Scan，即可打開掃描向?qū)?，在Website URL 中輸入網(wǎng)址，跟著向?qū)б徊揭徊脚渲眉纯?。設(shè)置掃描策略，如果沒有特殊的要求，默認即可。默認即可。在目標階段，AWVS 會自動識別目標Web 服務(wù)相關(guān)信息，包括系統(tǒng)、Web 容器類型和版本、中間件信息。如果網(wǎng)站中有登

13、錄框，可以將測試賬號賬密填寫在下方。點擊Finish，即可完成掃描向?qū)?，開始掃描工作。Web 漏洞掃描需要一定的時間，等待即可。下圖是掃描完成的結(jié)果。整個頁面布局左/中/右三個部分。最左側(cè)是一些小工具列表。中間部分是漏洞點和網(wǎng)站結(jié)構(gòu)目錄。右側(cè)是漏洞概覽或者漏洞詳細信息?？梢钥闯鯝WVS 把漏洞分為高危/中危/低危/信息泄露，四個級別。其中高位漏洞12 個等等。在掃描期間，共發(fā)送了17606 此請求，這個請求量還是很大的。-掃描結(jié)果分析我們可以將漏洞點一次展開，可以看到含有漏洞的頁面，以及造成漏洞的參數(shù)。同時在右側(cè)邊欄，可以看到漏洞的詳細信息。包括漏洞描述和測試payload。在下方我們可以看到，AWVS 所發(fā)送HTTP 請求的原始報文和響應(yīng)報文。這些信息對于驗證/分析/利用漏洞起著至關(guān)重要的作用。-保存掃描報告我們可以將掃描結(jié)果保存下來。保存的掃描結(jié)果文件的后綴名是.wvs。如果安裝了虛擬打印機，也可以將掃描結(jié)果保存成pdf 格式，便于傳閱。其他掃描器有很多掃描器都可以幫助審計員開展?jié)B透測試工作，一下列出幾款比較常用的。-御劍我們使用御劍掃描器，主要是掃描網(wǎng)站敏感目錄，包括網(wǎng)站后臺等。其掃描原理也是爆破，即通過敏感目錄的字典去匹