《CISPPTE培训03.漏洞扫描》由会员分享,可在线阅读,更多相关《CISPPTE培训03.漏洞扫描(80页珍藏版)》请在金锄头文库上搜索。
1、3.漏洞扫描,目录,主动信息收集的方法,主动信息收集的内容,网络扫描,网络扫描: 根据对方服务所采用的协议,在一定时间内,通过自身系统对对方协议进行特定读取、猜想验证、恶意破坏,并将对方直接或间接的返回数据作为某指标的判断依据的一种行为。,网络扫描的特点,网络扫描获取的信息,网络扫描与入室行窃类比,预备代理,主动信息收集 直接与目标系统交互通信 法避免留下访问的痕迹 所以要做好被封杀的准备,代理服务器,代理服务器: 英文全称是(Proxy Server),其功能就是代理网络用户去取得网络信息。,代理服务器的功能,几种常见的代理,HTTP代理 www对于每一个上网的人都再熟悉不过了,www连接请
2、求就是采用的http协议,所以我们在浏览网页,下载数据(也可采用ftp协议)时就是用http代理。它通常绑定在代理服务器的80、3128、8080等端口上。,socks代理 采用socks协议的代理服务器就是socks服务器,是一种通用的代理服务器 使用SOCKS需要了解: SOCKS服务器的IP地址 SOCKS服务所在的端口 这个SOCKS服务是否需要用户认证?如果需要,您要向您的网络管理员申请一个用户和口令 典型应用:各种网游加速器,VPN代理 共用网络上建立专用网络的技术。整个VPN网络的任意两个结点架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过公共网络中建立
3、的逻辑隧道即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。,攻击者通过使用代理服务器可以?,主机扫描 - 判断存活主机,ping,ICMP,Ping扫描指的是向主机发送ICMP ECHO请求报文。如果主机是活动的,它将返回一个ICMP ECHO应答。,主机扫描 - ping说明,指定ping包个数 Ping n 2 200.200.0.20,不间断发送ping包 Ping t 200.200.0.20,指定ping包字节大小 Ping l 1000 200.200.0.20,延伸 - ping of death(死亡之
4、ping),原理: Ping程序使用的ICMP协议,而ICMP报文长度是固定的,64K。早期的很多操作系统在接收ICMP数据报文时,只开辟64K的缓冲区用于存放接收到的ICMP报文,并且没有检查接收到ICMP报文的实际长度,如果ICMP报文的实际长度大于64K,则产生一个缓冲区溢出错误,导致TCP/IP协议堆栈崩溃。造成主机的重启动或死机。这就是Ping of Death的原理。,主机扫描-nmap扫描,命令:nmap sn 200.200.0.20 解释:ping 扫描,主机存活批量扫描 - ping扫射,Ping扫射 同时扫描大量的IP地址段,以发现某个IP地址是否绑定活跃主机的扫描,批量
5、主机存活发现原理 客户端对每个IP地址作出ICMP echo request请求 存活的主机对请求作出ICMP echo reply 回应 不存活主机不做任何回应 服务端完成统计,主机存活批量扫描 - nmap,端口扫描 - 端口和服务,什么是服务,“服务”是指某主机按预先定义的协议和一些国际标准、行业标准,向其他主机提供某种数据的支持,并且称服务提供者为“服务器”(Server),称服务请求者为“客户端”(Client)。,端口和服务的关系,一台主机可以安装多个服务,这些服务可以是相同的服务,也可以是不同的服务。为了区分这些服务,引入“端口”(Port)这个概念,即每一个服务对应于一个或多个
6、端口。端口具有独占性,一旦有服务占用了某个端口,则通常情况下,另外的服务不能再占用这个端口。,端口是传输层协议为了识别同一主机上不同应用程序进程而引入的一个概念。,端口的概念,端口扫描 - 端口的管理和分配,端口扫描 - 端口分类,端口扫描 - 常见知名端口,端口扫描的原理,原理: 端口扫描是向目标主机的TCP或UDP端口发送探测数据包,随后记录目标主机的响应。通过分析目标主机的响应来判断服务端口是打开还是关闭,据此推测目标主机端口提供的服务或信息。,TCP客户端 对端口建立连接,记录远端服务器应 答,查询记录获取目标服务器所安装 的服务名称。,UDP客户端 对端口建立连接,记录远端服务器应
7、答,查询记录获取目标服务器所安装 的服务名称。,端口扫描 - nmap,Nmap(网络映射器)是由GordonLyon设计,用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图,Nmap的发送特制的数据包到目标主机,然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。,端口扫描工具介绍 - nmap的威名,端口扫描 - nmap的可以?,端口扫描 - nmap的典型作用,端口扫描 - nmap的用法,端口扫描 - nmap在实际渗透测试中,服务扫描,思考:开启了21端口一定开启了FTP服务吗?,主动信息收集的内容,服务扫描 - 标识符提取,Banner提取是一种活
8、动,用于确定正在运行远程计算机上的服务信息。系统是管理人员和黑客也渗透测试使用经常使用。恶意的黑客通过banner获取技术,识别目标主机的操作系统,进一步探测操作系统级别的漏洞从而可以从这一级别进行渗透测试。,服务扫描 - banner中的信息,服务扫描 - Banner提取工具,curl是利用URL语法在命令行方式下工作的开源文件传输工具。它被广泛 应 用在Unix、多种Linux发行版中,并且有DOS和Win32、Win64下的移植版本。,netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,可以在脚本中以多种方式使用。,服务扫描,Apac
9、he+2.2.15+centos,命令: Curl -head 192.168.1.151 内容 Server:Apacne/2.2.15(Centos),CURL 工具banner获取,服务扫描,Netcat 工具banner获取,Apache+2.2.15+centos,命令: Nc -vv 192.168.1.151 80 GET / HTTP/1.0 内容 : Server:Apacne/2.2.15(Centos),服务扫描 - 操作系统识别,为什么要识别操作系统?,许多漏洞是系统相关的,而且往往与相应的版本对应; 从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统;
10、 操作系统的信息还可以与其他信息结合起来,比如漏洞库,社工库,服务扫描 - 操作系统识别的技术和原理,原理: 操作系统扫描大部分都是基于TCP/IP协议栈的指纹检测技术的。,做法: 寻找不同操作系统之间在处理网络数据包上的差异,并且把足够多的差异组合起来,以便精确地识别出一个系统的OS版本。,扫描分类: 被动监听 主动探测,不同操作系统类型和版本的差异性体现在? 协议栈实现差异协议栈指纹鉴别 开放端口的差异端口扫描 应用服务的差异标识符提取,服务扫描 - 主动探测,根据端口扫描的结果判断 Windows系统:137、139、445等端口; Linux系统:512、513、514端口。,根据Ba
11、nner信息判断,服务扫描 - 被动监听,操作系统滑动窗口大小不一样 产生上表中数据差别的主要原因在于RFC文档对于滑动窗口大小并没有明确的规定。 操作系统TTl值不统一 TTL即使在同一系统下,也总是变化的,因为路由设备会修改它的值。,服务扫描 - nmap识别操作系统,服务扫描 - 服务类型探测,网络服务类型探查 确定目标网络中开放端口上绑定的网络应用服务类型和版本 了解目标系统更丰富信息, 可支持进一步的操作系统辨识和漏洞识别 网络服务主动探测 网络服务旗标抓取和探测: nmap -sV,Nmap常用参数,-v 详细模式 -p 指定端口范围 -O 操作系统识别 -A 全面检测 -sV 探
12、测端口服务器版本 -sA ACK扫描 探测防火墙 -sP Ping扫描 快速扫描 -sS TCP SYN扫描 半开放扫描 比较隐蔽 -sT TCP扫描 完全建立连接 会在目标主机留下日志 -sU UDP扫描 确定端口开放,Nmap常用案例,1. 半开放扫描1到65535端口(nmap sS p 1-65535 v ip/url) 2. 扫描C段存活主机(nmap sP ip/url) 3. 指定端口扫描(nmap p 80,3389 ip/url) 4. 扫描主机操作系统(nmap O ip/url) 5. 主机详细扫描(nmap v -A ip/url) 6. 穿透防火墙扫描 (nmap P
13、n A ip/url) (nmap sS T4 ip/url) (nmap sF T4 ip/url) (nmap sA T4 ip/url),漏洞扫描,漏洞 Security Vulnerability,安全脆弱性 一般认为,漏洞是指硬件、软件或策略上存在的的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统 漏洞扫描 检查系统是否存在已公布安全漏洞,从而易于遭受网络攻击的技术。,什么是漏洞?,漏洞扫描 - 漏洞扫描可以发现?,漏洞扫描,漏洞扫描的基本原理,1. 漏洞库匹配法 端口扫描,收集信息漏洞库匹配漏洞发现 如: CGI漏洞; FTP漏洞; SSH漏洞; HTTP漏洞等 2.
14、模拟攻击法 目录遍历漏洞探测; 跨站漏洞; FTP弱口令探测等,漏洞扫描 - 漏洞库,CVSS(Common Vulnerability Scoring System),CVSS是安全内容自动化协议(SCAP)的一部分 通常CVSS与CVE一同由美国国家漏洞库(NVD)发布并保持数据的更新 分值范围:0 10 不同机构按CVSS分值定义威胁的中、高、低威胁级别 CVSS体现弱点的风险,威胁级别(severity)表示弱点风险对企业的影响程度 CVSS分值是工业标准,但威胁级别不是,漏洞扫描 - 其他概念,OVAL(Open Vulnerability and Assessment Langua
15、ge) 描述漏洞检测方法的机器可识别语言。 详细的描述漏洞检测的技术细节,可导入自动化检测工具中实施漏洞检测工作。 OVAL使用XML语言描述,包含了严密的语法逻辑。 CCE 描述软件配置缺陷的一种标准化格式。 在信息安全风险评估中,配置缺陷的检测是一项重要内容,使用CCE可以让配置缺陷以标准的方式展现出来,便于配置缺陷评估的可量化操作。 CPE(Common Product Enumeration) 信息技术产品、系统、软件包的结构化命名规范,分类命名。 CWE(Common Weakness Enumeration) 常见漏洞类型的字典,描述不同类型漏洞的特征(访问控制、信息泄露、拒绝服务
16、),漏洞扫描 - 漏洞库,CVE漏洞库 为了规范漏洞的描述,MITER公司建立了一个通用的漏洞列表(Common Vulnerabilities & Exposures,简称CVE)。 已公开的信息安全漏洞字典,统一的漏洞编号标准 MITRE公司负责维护(非盈利机构) 扫描器的大部分扫描项都对应一个CVE编号 实现不同厂商之间信息交换的统一标准 网址:http:/cve.mitre.org/,漏洞扫描 - 其他漏洞库,国外漏洞库 BugTraq漏洞库( ICAT漏洞库(http:/icat.nist.gov/icat.cfm) X-Force漏洞库 () CERT/CC漏洞信息数据库( http:/www.cert.org ),国内漏洞库 国家计算机网络入侵防范中心() 绿盟科技() 安全焦点() 中国信息安全论坛() 安络科技() 中国计算机网络应急处理协调中心(),漏洞扫描,漏洞扫描 - 扫描工具,漏洞扫描工具主要分为三类:针对网络的扫描器、针对主机的扫描器、针
