漏洞扫描 · 2022护网笔记

[TOC] ## 忍者系统扫描工具 ~~~ Goby ~~~ ## Nmap ### 网址 ~~~ 官网: [http://nmap.org](http://nmap.org/) 图形化:Zenmap ~~~ ### 常用指令 ~~~ nmap --script=vuln 默认nse插件 nmap vulscan vulners 调用第三方库探针 nmap -SP ip 0/24 批量扫描一个网段的存活主机 nmap -sP ip1-10 指定一个ip地址范围 nmap -sT 192.168.0.3 开放了哪些端口 nmap -sS 192.168.0.127 开放了哪些端口（隐蔽扫描） nmap -sU 192.168.0.127 开放了哪些端口（UDP) nmap -sS -O 192.168.0.127 操作系统识别 nmap -O --osscan-guess 192.168.227.133 猜测匹配操作系统 nmap -iL ip-address.txt 从文件中读取需要扫描的IP列表 ~~~ ### 基本操作 * **Nmap 默认发送一个arp的ping数据包，来探测目标主机在1-10000范围内所开放的端口。** ``` nmap 172.20.10.2(这里扫描的是本机的IP） ``` * **快速扫描多个目标** ``` nmap <target ip1 address> <target ip2 address> nmap 14.215.177.39 172.20.10.2 ``` * **详细描述输出扫描** 简单扫描，并对返回的结果详细描述输出,这个扫描是可以看到扫描的过程的,漫长的扫描的过程中可以看到百分比，就不会显得那么枯燥，而且可以提升逼格。 ``` nmap -vv 14.215.177.39 ``` * **扫描除过某一个ip外的所有子网主机** ``` nmap 192.168.227.1/24 -exclude 192.168.227.1 ``` * **指定端口和范围扫描** nmap 默认扫描目标1-10000范围内的端口号。我们则可以通过参数 **-p** 来设置我们将要扫描的端口号 ``` nmap -p (range) <target IP> namp -p 3389,20-200 192.168.227.133 ``` * **扫描除过某一个文件中的ip外的子网主机** ``` nmap 10.130.1.1/24 -excludefile gov.txt ``` * **显示扫描的所有主机的列表** ``` nmap -sL 192.168.227.1/24 ``` ### nmap高级用法之脚本使用 * nmap官方脚本文档:[https://nmap.org/nsedoc/](https://nmap.org/nsedoc/) ``` nmap --script 类别 ``` #### nmap脚本分类 ``` 代码语言：ruby - auth: 负责处理鉴权证书（绕开鉴权）的脚本 - broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务 - brute: 提供暴力破解方式，针对常见的应用如http/snmp等 - default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力 - discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等 - dos: 用于进行拒绝服务攻击 - exploit: 利用已知的漏洞入侵系统 - external: 利用第三方的数据库或资源，例如进行whois解析 - fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞 - intrusive: 入侵性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽 - malware: 探测目标机是否感染了病毒、开启了后门等信息 - safe: 此类与intrusive相反，属于安全性脚本 - version: 负责增强服务与版本扫描（Version Detection）功能的脚本 - vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067 ``` #### 使用具体脚本进行扫描 ``` nmap --script 具体的脚本 www.baidu.com ``` #### 扫描服务器的常见漏洞 ``` nmap --script vuln <target> ``` #### 检查FTP是否开启匿名登陆 ``` nmap --script ftp-anon <target> PORT STATE SERVICE 21/tcp open ftp | ftp-anon: Anonymous FTP login allowed (FTP code 230) | -rw-r--r-- 1 1170 924 31 Mar 28 2001 .banner | d--x--x--x 2 root root 1024 Jan 14 2002 bin | d--x--x--x 2 root root 1024 Aug 10 1999 etc | drwxr-srwt 2 1170 924 2048 Jul 19 18:48 incoming [NSE: writeable] | d--x--x--x 2 root root 1024 Jan 14 2002 lib | drwxr-sr-x 2 1170 924 1024 Aug 5 2004 pub |_Only 6 shown. Use --script-args ftp-anon.maxlist=-1 to see all. ``` #### 对MySQL进行暴破解 ``` nmap --script=mysql-brute <target> 3306/tcp open mysql | mysql-brute: | Accounts | root:root - Valid credentials ``` #### 对MsSQL进行暴破解 ``` nmap -p 1433 --script ms-sql-brute --script-args userdb=customuser.txt,passdb=custompass.txt <host> | ms-sql-brute: | [192.168.100.128\TEST] | No credentials found | Warnings: | sa: AccountLockedOut | [192.168.100.128\PROD] | Credentials found: | webshop_reader:secret => Login Success | testuser:secret1234 => PasswordMustChange |_ lordvader:secret1234 => Login Success ``` #### 对Oracle数据库进行暴破解 ``` nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL <host> PORT STATE SERVICE REASON 1521/tcp open oracle syn-ack | oracle-brute: | Accounts | system:powell => Account locked | haxxor:haxxor => Valid credentials | Statistics |_ Perfomed 157 guesses in 8 seconds, average tps: 19 ``` #### 对pgSQL的暴力破解 ``` nmap -p 5432 --script pgsql-brute <host> 5432/tcp open pgsql | pgsql-brute: | root:<empty> => Valid credentials |_ test:test => Valid credentials ``` #### 对SSH进行暴力破解 ``` nmap -p 22 --script ssh-brute --script-args userdb=users.lst,passdb=pass.lst --script-args ssh-brute.timeout=4s <target> 22/ssh open ssh | ssh-brute: | Accounts | username:password | Statistics |_ Performed 32 guesses in 25 seconds. ``` #### 利用DNS进行子域名暴力破解 ``` nmap --script dns-brute www.baidu.com λ nmap --script dns-brute www.baidu.com Starting Nmap 7.50 ( https://nmap.org ) at 2017-07-25 13:12 ? Nmap scan report for www.baidu.com (180.97.33.108) Host is up (0.018s latency). Other addresses for www.baidu.com (not scanned): 180.97.33.10 Not shown: 998 filtered ports PORT STATE SERVICE 80/tcp open http 443/tcp open https Host script results: | dns-brute: | DNS Brute-force hostnames: | admin.baidu.com - 10.26.109.19 | mx.baidu.com - 61.135.163.61 | svn.baidu.com - 10.65.211.174 | ads.baidu.com - 10.42.4.225 Nmap done: 1 IP address (1 host up) scanned in 92.64 seconds ``` ### 参数详解 Nmap支持主机名,ip,网段的表示方式 ``` 例如:blah.highon.coffee, namp.org/24, 192.168.0.1;10.0.0-25.1-254 ``` ``` -iL filename 从文件中读取待检测的目标,文件中的表示方法支持机名,ip,网段 -iR hostnum 随机选取,进行扫描.如果-iR指定为0,则是无休止的扫描 --exclude host1[, host2] 从扫描任务中需要排除的主机 --exculdefile exclude_file 排除文件中的IP,格式和-iL指定扫描文件的格式相同 ``` #### 主机发现 ``` -sL 仅仅是显示,扫描的IP数目,不会进行任何扫描 -sn ping扫描,即主机发现 -Pn 不检测主机存活 -PS/PA/PU/PY[portlist] TCP SYN Ping/TCP ACK Ping/UDP Ping发现 -PE/PP/PM 使用ICMP echo, timestamp and netmask 请求包发现主机 -PO[prococol list] 使用IP协议包探测对方主机是否开启 -n/-R 不对IP进行域名反向解析/为所有的IP都进行域名的反响解析 ``` #### 扫描技巧 ``` -sS/sT/sA/sW/sM TCP SYN/TCP connect()/ACK/TCP窗口扫描/TCP Maimon扫描 -sU UDP扫描 -sN/sF/sX TCP Null，FIN，and Xmas扫描 --scanflags 自定义TCP包中的flags -sI zombie host[:probeport] Idlescan -sY/sZ SCTP INIT/COOKIE-ECHO 扫描 -sO 使用IP protocol 扫描确定目标机支持的协议类型 -b “FTP relay host” 使用FTP bounce scan ``` #### 指定端口和扫描顺序 ``` -p 特定的端口 -p80,443 或者 -p1-65535 -p U:PORT 扫描udp的某个端口, -p U:53 -F 快速扫描模式,比默认的扫描端口还少 -r 不随机扫描端口,默认是随机扫描的 --top-ports "number" 扫描开放概率最高的number个端口,出现的概率需要参考nmap-services文件,ubuntu中该文件位于/usr/share/nmap.nmap默认扫前1000个 --port-ratio "ratio" 扫描指定频率以上的端口 ``` #### 服务版本识别 ``` -sV 开放版本探测,可以直接使用-A同时打开操作系统探测和版本探测 --version-intensity "level" 设置版本扫描强度,强度水平说明了应该使用哪些探测报文。数值越高，服务越有可能被正确识别。默认是7 --version-light 打开轻量级模式,为--version-intensity 2的别名 --version-all 尝试所有探测,为--version-intensity 9的别名 --version-trace 显示出详细的版本侦测过程信息 ``` #### 脚本扫描 ``` -sC 根据端口识别的服务,调用默认脚本 --script=”Lua scripts” 调用的脚本名 --script-args=n1=v1,[n2=v2] 调用的脚本传递的参数 --script-args-file=filename 使用文本传递参数 --script-trace 显示所有发送和接收到的数据 --script-updatedb 更新脚本的数据库 --script-help=”Lua script” 显示指定脚本的帮助 ``` #### OS识别 ``` -O 启用操作系统检测,-A来同时启用操作系统检测和版本检测 --osscan-limit 针对指定的目标进行操作系统检测(至少需确知该主机分别有一个open和closed的端口) --osscan-guess 推测操作系统检测结果,当Nmap无法确定所检测的操作系统时，会尽可能地提供最相近的匹配，Nmap默认进行这种匹配防火墙/IDS躲避和哄骗 -f; --mtu value 指定使用分片、指定数据包的MTU. -D decoy1,decoy2,ME 使用诱饵隐蔽扫描 -S IP-ADDRESS 源地址欺骗 -e interface 使用指定的接口 -g/ --source-port PROTNUM 使用指定源端口 --proxies url1,[url2],... 使用HTTP或者SOCKS4的代理 --data-length NUM 填充随机数据让数据包长度达到NUM --ip-options OPTIONS 使用指定的IP选项来发送数据包 --ttl VALUE 设置IP time-to-live域 --spoof-mac ADDR/PREFIX/VEBDOR MAC地址伪装 --badsum 使用错误的checksum来发送数据包 Nmap 输出 -oN 将标准输出直接写入指定的文件 -oX 输出xml文件 -oS 将所有的输出都改为大写 -oG 输出便于通过bash或者perl处理的格式,非xml -oA BASENAME 可将扫描结果以标准格式、XML格式和Grep格式一次性输出 -v 提高输出信息的详细度 -d level 设置debug级别,最高是9 --reason 显示端口处于带确认状态的原因 --open 只输出端口状态为open的端口 --packet-trace 显示所有发送或者接收到的数据包 --iflist 显示路由信息和接口,便于调试 --log-errors 把日志等级为errors/warings的日志输出 --append-output 追加到指定的文件 --resume FILENAME 恢复已停止的扫描 --stylesheet PATH/URL 设置XSL样式表，转换XML输出 --webxml 从namp.org得到XML的样式 --no-sytlesheet 忽略XML声明的XSL样式表 ``` #### 其他nmap选项 ``` -6 开启IPv6 -A OS识别,版本探测,脚本扫描和traceroute --datedir DIRNAME 说明用户Nmap数据文件位置 --send-eth / --send-ip 使用原以太网帧发送/在原IP层发送 --privileged 假定用户具有全部权限 --unprovoleged 假定用户不具有全部权限,创建原始套接字需要root权限 -V 打印版本信息 -h 输出帮助 ``` ## Nessus ``` 下载地址：https://www.tenable.com/downloads/nessus ``` 1. 安装完成以后需要再服务当中运行相关的服务 2. 127.0.0.1:8834端口 3. 输入你注册的账号密码进行登录，进入主页面。 4. 点击“New Scan”新建一个扫描。 5. 选择“Basic Network Scan”，进行配置项目名称，对项目的描述，以及最重要的目标IP地址。 6. 如果我们有目标主机的账号、密码，我们可以点击"Credentials",进行配置。如果是linux系统就配置SSH，windows就配置windows 7. 我们还可以查看我们要用到的插件，点击"Plugins"进行查看。 8. 全部配置完成之后，我们点击"Save"，进行保存，这样在"My Scan"就能看见我们之前配置过的windows 7。 9. 点击">"就可以进行扫描，用鼠标点击就能看到详细信息。 10. 我们点击"Vulnerables"，就能看见我们发现的漏洞。 ## 常用的漏扫工具 ~~~ AWVS HCL AppScan Standard Nikto Paros proxy WebScarab 绿盟极光安恒 MatriXay WebScan 安域领创 WebRavor 诺赛科技 Jsky/Pangolin 智恒联盟 Webpecker ~~~