作者:Gilberto Najera-Gutierrez
譯者:飛龍
協(xié)議:CC BY-NC-SA 4.0
簡(jiǎn)介
幾乎每個(gè)滲透測(cè)試項(xiàng)目都需要遵循嚴(yán)格的日程,多數(shù)由客戶(hù)的需求或開(kāi)發(fā)交談日期決定。對(duì)于滲透測(cè)試者,擁有一種工具,它可以在很短的時(shí)間內(nèi)執(zhí)行單個(gè)應(yīng)用上的多個(gè)測(cè)試,來(lái)盡可能在排期內(nèi)識(shí)別最多漏洞很有幫助。自動(dòng)化漏洞掃描器就是完成這種任務(wù)的工具,它們也用于發(fā)現(xiàn)替代的利用,或者確保滲透測(cè)試中不會(huì)遺漏了明顯的事情。
Kali 包含一些針對(duì) Web 應(yīng)用或特定 Web 漏洞的漏洞掃描器。這一章中,我們會(huì)涉及到一些在滲透測(cè)試者和安全研究員中最廣泛使用工具。
5.1 使用 Nikto 掃描
每個(gè)測(cè)試者的工具庫(kù)中必定含有的工具就是 Nikto,它可能是世界上使用最廣泛的自由掃描器。就像它的網(wǎng)站(https://cirt.net/Nikto2)上所說(shuō)的那樣:
Nikto 是開(kāi)源(GPL)的 Web 服務(wù)器掃描器,它對(duì) Web 服務(wù)器執(zhí)行綜合掃描,包含超過(guò) 6700 個(gè)潛在的危險(xiǎn)文件或程序,檢查超過(guò) 1250 個(gè)服務(wù)器的過(guò)期版本,以及超過(guò) 270 個(gè)服務(wù)器上的特定問(wèn)題。它也會(huì)檢查服務(wù)器配置項(xiàng),例如多個(gè)首頁(yè)文件的存在,HTTP 服務(wù)器選項(xiàng),也會(huì)嘗試識(shí)別安裝的 Web 服務(wù)器和軟件。掃描的項(xiàng)目和插件也會(huì)經(jīng)常更新,并可以自動(dòng)更新。
這個(gè)秘籍中,我們會(huì)使用 Nikto 來(lái)搜索 Web 服務(wù)器中的漏洞并分析結(jié)果。
操作步驟
1.Nikto 是個(gè)命令行工具,所以我們打開(kāi)終端。
2.我們會(huì)掃描 Peruggia 漏洞應(yīng)用,并導(dǎo)出結(jié)果到 HTML 報(bào)告:
1 nikto -h http://192.168.56.102/peruggia/ -o result.html
-h選項(xiàng)告訴 Nikto 掃描哪個(gè)主機(jī),-o選項(xiàng)告訴在哪里存放輸出,文件的擴(kuò)展名決定了接受的格式。這里,我們使用.html來(lái)獲得 HTML 格式的結(jié)果報(bào)告。輸出也可以以 CSV、TXT 或 XML 格式。
- 3.它需要一些時(shí)間來(lái)完成掃描。完成之后,我么可以打開(kāi)
result.html文件:
工作原理
這個(gè)秘籍中,我們使用 Nikto 來(lái)掃描應(yīng)用并生成 HTML 報(bào)告。這個(gè)工具擁有一些更多的選項(xiàng),用于執(zhí)行特定掃描或生成特定輸出格式。一些最實(shí)用的選項(xiàng)是:
-H:這會(huì)顯示 Nikto 的幫助。
-config <file>:在掃描中用自定義的配置文件。
-update:更新插件數(shù)據(jù)庫(kù)。
-Format <format>:這定義了輸出格式,可以為CSV、HTML、NBE(Nessus)、SQL、TXT 或 XML。例如 CSV、XML 和 NBE 的格式在我們打算將其用于其它工具的輸入時(shí)非常實(shí)用。
-evasion <techique>:這使用一些編碼技巧來(lái)幫助避免 Web 應(yīng)用防火墻和入侵檢測(cè)系統(tǒng)的檢測(cè)。
-list-plugins:查看可用的測(cè)試插件。
-Plugins <plugins>:選擇在掃描中使用哪個(gè)插件(默認(rèn)為全部)。
-port <port number>:如果服務(wù)器使用非標(biāo)準(zhǔn)端口(80,443),我們可能會(huì)以這個(gè)選項(xiàng)來(lái)使用 Nikto。
5.2 使用 Wapiti 發(fā)現(xiàn)漏洞
Wapiti 是另一個(gè)基于終端的 Web 漏洞掃描器,它發(fā)送 GET 和 POST 請(qǐng)求給目標(biāo)站點(diǎn),來(lái)尋找下列漏洞。
操作步驟
- 1.我們可以從終端窗口打開(kāi) Wapiti,例如:
1 wapiti http://192.168.56.102/peruggia/ -o wapiti_result -f html -m "-blindsql"
我們會(huì)掃描 vulnerable_vm 中的 Peruggia 應(yīng)用,將輸出保存為 HTML 格式,保存到wapiti_result目錄中,并跳過(guò) SQL 盲注檢測(cè)。
-
2.如果我們打開(kāi)了報(bào)告目錄,和
index.html文件,我們會(huì)看到一些這樣的東西:
這里,我們可以看到 Wapiti 發(fā)現(xiàn)了 12 個(gè) XSS 和 20 個(gè)文件處理漏洞。 3.現(xiàn)在點(diǎn)擊
Cross Site Scripting(跨站腳本)。-
4.選項(xiàng)某個(gè)漏洞并點(diǎn)擊
HTTP Request。我們選擇第二個(gè),選中并復(fù)制請(qǐng)求的 URL 部分。
-
5.現(xiàn)在,我們將 URL 粘貼到瀏覽器中,像這樣:
http://192.168.56.102/ peruggia/index.php?action=comment&pic_id=%3E%3C%2Fform%3E%3Cscr ipt%3Ealert%28%27wxs0lvms89%27%29%3C%2Fscript%3E。
我們確實(shí)發(fā)現(xiàn)了 XSS 漏洞。
工作原理
這個(gè)秘籍中,我們跳過(guò)了 SQL 盲注檢測(cè)(-m "-blindsql"),因?yàn)檫@個(gè)應(yīng)用存在這個(gè)漏洞。它會(huì)觸發(fā)超時(shí)錯(cuò)誤,使 Wapiti 在掃描完成之前關(guān)閉,因?yàn)?Wapiti 通過(guò)輸入sleep()命令來(lái)測(cè)試多次,直到服務(wù)器超過(guò)了超時(shí)門(mén)檻。同時(shí),我們?yōu)檩敵鲞x擇了 HTML 格式(-o html),wapiti_result作為報(bào)告的目標(biāo)目錄,我們也可以選擇其他格式,例如,JSON、OpenVAS、TXT 或 XML。
Wapiti 擁有一些其它的有趣的選項(xiàng),它們是:
-x <URL>:從掃描中排除特定的 URL,對(duì)于登出和密碼修改 URL 很實(shí)用。
-i <file>:從 XML 文件中恢復(fù)之前保存的掃描。文件名稱(chēng)是可選的,因?yàn)槿绻雎缘脑?huà) Wapiti 從scan文件夾中讀取文件。
-a <login%password>:為 HTTP 登錄使用特定的證書(shū)。
--auth-method <method>:為-a選項(xiàng)定義授權(quán)方式,可以為basic,digest,kerberos 或 ntlm。
-s <URL>:定義要掃描的 URL。
-p <proxy_url>:使用 HTTP 或 HTTPS 代理。
5.3 使用 OWASP ZAP 掃描漏洞
OWASP ZAP 是我們已經(jīng)在這本書(shū)中使用過(guò)的工具,用于不同的任務(wù),并且在它的眾多特性中,包含了自動(dòng)化的漏洞掃描器。它的使用和報(bào)告生成會(huì)在這個(gè)秘籍中涉及。
準(zhǔn)備
在我們使用 OWASP ZAP 成功執(zhí)行漏洞掃描之前,我們需要爬取站點(diǎn):
1.打開(kāi) OWASP ZAP 并配置瀏覽器將其用作代理。
2.訪問(wèn)
192.168.56.102/peruggia/。3.遵循第三章“使用 ZAP 的蜘蛛”中的指南。
操作步驟
1.訪問(wèn) OWASP ZAP 的
Sites面板,并右擊peruggia文件夾。-
2.訪問(wèn)菜單中的
Attack | Active Scan。
-
3.新的窗口會(huì)彈出。這里,我們知道我們的應(yīng)用和服務(wù)器使用哪種技術(shù),所以,訪問(wèn)
Technology標(biāo)簽頁(yè),并只勾選MySQL、PostgreSQL和Linux,以及Apache。
這里我們可以配置我們的掃描器的Scope(從哪里開(kāi)始掃描、在什么上下文中,以及其它)、Input Vectors(選項(xiàng)是否你打算測(cè)試 GET 和 POST 請(qǐng)求、協(xié)議頭、Cookie和其它選項(xiàng))、Custom Vectors(向原始請(qǐng)求中添加特定的字符或單詞作為攻擊向量)、Technology(要執(zhí)行什么技術(shù)特定的測(cè)試)、以及Policy(為特定測(cè)試選項(xiàng)配置參數(shù))。 4.點(diǎn)擊
Start Scan。-
5.
Active Scan標(biāo)簽頁(yè)會(huì)出現(xiàn)在面板頂部,并且所有請(qǐng)求都會(huì)出現(xiàn)在那里。當(dāng)掃描完成時(shí),我們可以在ALerts標(biāo)簽頁(yè)中檢查結(jié)果。
6.如果我們選項(xiàng)某個(gè)警告,我們可以查看生成的請(qǐng)求,以及從服務(wù)器獲得的響應(yīng)。這允許我們分析攻擊并判斷是否是真正的漏洞,或者是誤報(bào)。我們也可以使用這個(gè)信息來(lái)模糊測(cè)試,在瀏覽器中重放這個(gè)請(qǐng)求,或者深入挖掘以利用。為了生成 HTML 報(bào)告,就像前一個(gè)工具那樣,在主菜單中訪問(wèn)Report
之后選擇GenerateHTML Report....。-
7.新的對(duì)話(huà)框會(huì)詢(xún)問(wèn)文件名和位置。例如,設(shè)置
zap_result. html并且在完成時(shí)打開(kāi)文件:
工作原理
OWASP ZAP 能夠執(zhí)行主動(dòng)和被動(dòng)漏洞掃描。被動(dòng)掃描是 OWASP ZAP 在我們?yōu)g覽過(guò)、發(fā)送數(shù)據(jù)和點(diǎn)擊鏈接程中進(jìn)行的非入侵測(cè)試。主動(dòng)測(cè)試涉及對(duì)每個(gè)表單變量或請(qǐng)求值使用多種攻擊字符串,以便檢測(cè)服務(wù)器的響應(yīng)是否帶有我們叫做“脆弱行為”的東西。
OWASP ZAP 使用多種技術(shù)生成測(cè)試字串,它對(duì)于首次識(shí)別目標(biāo)所使用的技術(shù)非常實(shí)用,以便優(yōu)化我們的掃描并減少被檢測(cè)到或?qū)е路?wù)崩潰的可能。
這個(gè)工具的另一個(gè)有趣特性是,我們可以產(chǎn)生于漏洞檢測(cè)中的請(qǐng)求,而且它的相應(yīng)響應(yīng)在檢測(cè)的時(shí)候會(huì)位于相同窗口中。這允許我們快讀判斷它是真正的漏洞還是誤報(bào),以及是否要開(kāi)發(fā)我們的漏洞證明(POC)還是開(kāi)始利用。
更多
我們已經(jīng)談?wù)摰?Burp Suite。Kali 只包含了免費(fèi)版本,它沒(méi)有主動(dòng)和被動(dòng)掃描特性。強(qiáng)烈推薦你獲得 Burp Suite 的專(zhuān)業(yè)版許可證,因?yàn)樗鼡碛袑?shí)用特性和免費(fèi)版之上的改進(jìn),例如主動(dòng)和被動(dòng)漏洞掃描。
被動(dòng)漏洞掃描在我們使用 Burp Suite 作為瀏覽器的代理,并瀏覽網(wǎng)頁(yè)時(shí)發(fā)生。Burp 會(huì)分析所有請(qǐng)求和響應(yīng),同時(shí)查找對(duì)應(yīng)已知漏洞的模式。
在主動(dòng)掃描中,Burp 會(huì)發(fā)送特定的請(qǐng)求給服務(wù)器并檢查響應(yīng)來(lái)查看是否對(duì)應(yīng)一些漏洞模式。這些請(qǐng)求是特殊構(gòu)造的,用于觸發(fā)帶有漏洞的應(yīng)用的特定行為。
5.4 使用 w3af 掃描
w3af 支持應(yīng)用審計(jì)和攻擊框架。它是開(kāi)源的,基于Python 的 Web 漏洞掃描器。它擁有 GUI 和命令行界面,都帶有相同的功能。這個(gè)秘籍中,我們會(huì)使用 w3af 的 GUI 配置掃描和報(bào)告選項(xiàng)來(lái)執(zhí)行掃描。
操作步驟
- 1.為了啟動(dòng) w3af 我們可以從應(yīng)用菜單欄選擇它,通過(guò)瀏覽
Applications | 03 Web Application Analysis | w3af,或者從終端中:
1 w3af_gui
2.在
Profiles部分中,我們選擇full_audit。3.在插件部分中,訪問(wèn)
crawl并選擇web_spider(已經(jīng)選擇的項(xiàng)目)。-
4.我們不打算讓掃描器測(cè)試所有服務(wù)器,而是我們讓它測(cè)試應(yīng)用。在插件部分中,選中
only_forward選項(xiàng)并點(diǎn)擊Save。
5.現(xiàn)在,我們會(huì)告訴 w3af 在完成時(shí)生成 HTML 報(bào)告。訪問(wèn)
output插件并選中html_file。-
6.為了選擇文件名稱(chēng)和保存報(bào)告的位置,修改
output_file選項(xiàng)。這里我們會(huì)指定根目錄下的w3af_report.html,點(diǎn)擊Save。
-
7.現(xiàn)在在
Target文本框中,輸入打算測(cè)試的 URL,這里是http://192.168.56.102/WackoPicko/,并點(diǎn)擊Start。
8.日志標(biāo)簽頁(yè)會(huì)獲得焦點(diǎn),我們能夠看到掃描的進(jìn)程。我們需要等待它完成。
-
9.完成之后,切換到
Results標(biāo)簽頁(yè),像這樣:
-
10.為了查看詳細(xì)的報(bào)告,在瀏覽器中打開(kāi)
w3af_report.htmlHTML 文件。
工作原理
w3af 使用配置文件來(lái)簡(jiǎn)化為掃描選擇插件的任務(wù),例如,我們可以定義只含有 SQL 注入的配置文件,它測(cè)試應(yīng)用的 SQL 注入,不干其他的事情。full_audit配置使用一些插件,它們執(zhí)行爬蟲(chóng)測(cè)試、提取可以用作密碼的單詞列表、測(cè)試大多數(shù)相關(guān)的 Web 漏洞,例如 XSS、SQLi、文件包含、目錄遍歷以及其它。我們修改了web_spider插件來(lái)前向爬取,以便我們可以專(zhuān)注于打算測(cè)試的應(yīng)用,避免掃描到其它應(yīng)用。我們也修改了輸出插件來(lái)生成 HTML 報(bào)告,而不是控制臺(tái)輸出和文本文件。
w3af 也擁有一些工具,例如攔截代理、模糊測(cè)試器、文本編解碼器、以及請(qǐng)求導(dǎo)出器,它可以將原始的請(qǐng)求轉(zhuǎn)換為多種語(yǔ)言的源代碼。
更多
w3af 的 GUI 有時(shí)會(huì)不穩(wěn)定。在它崩潰以及不能完成掃描的情況下,它的命令行界面可以提供相同的功能。例如,為了執(zhí)行我們剛才執(zhí)行的相同掃描,我們需要在終端中做下列事情:
1 w3af_console
2 profiles
3 use full_audit
4 back
5 plugins
6 output config html_file
7 set output_file /root/w3af_report.html
8 save
9 back
10 crawl config web_spider
11 set only_forward True
12 save
13 back
14 back
15 target
16 set target http://192.168.56.102/WackoPicko/
17 save
18 back
19 start
5.5 使用 Vega 掃描器
Vega 是由加拿大公司 Subgraph 制作的 Web 漏洞掃描器,作為開(kāi)源工具分發(fā)。除了是掃描器之外,它也可以用作攔截代理,以及在我們?yōu)g覽器目標(biāo)站點(diǎn)時(shí)掃描。
這個(gè)秘籍中,我們會(huì)使用 Vega 來(lái)發(fā)現(xiàn) Web 漏洞。
操作步驟
- 1.從應(yīng)用菜單中選擇它,訪問(wèn)
Applications | Kali Linux | Web Applications | Web Vulnerability Scanners | vega,或者通過(guò)終端來(lái)打開(kāi) Vega:
1 vega
2.點(diǎn)擊“開(kāi)始新掃描“按鈕。
-
3.新的對(duì)話(huà)框會(huì)彈出。在標(biāo)為
Enter a base URI for scan的輸入框中,輸入http://192.168.56.102/WackoPicko來(lái)掃描應(yīng)用。
-
4.點(diǎn)擊
Next。這里我們可以選擇在應(yīng)用上運(yùn)行那個(gè)模塊。讓我們保持默認(rèn)。
-
5.點(diǎn)擊
Finish來(lái)開(kāi)始掃描。
-
6.當(dāng)掃描完成時(shí),我們可以通過(guò)訪問(wèn)左邊的
Scan Alerts樹(shù)來(lái)檢查結(jié)果。漏洞詳情會(huì)在右邊的面板中展示,像這樣:
工作原理
Vega 的工作方式是首先爬取我們指定為目標(biāo)的 URL,識(shí)別表單和其它可能的數(shù)據(jù)輸入,例如 Cookie 或請(qǐng)求頭。一旦找到了它們,Vega 嘗試不同的輸入,通過(guò)分析響應(yīng)并將它們與已知漏洞模式匹配來(lái)識(shí)別漏洞。
在 Vega 中,我們可以?huà)呙鑶蝹€(gè)站點(diǎn)或范圍內(nèi)的一組站點(diǎn)。我們可以通過(guò)選擇在掃描中使用的模塊,來(lái)選擇要進(jìn)行哪種測(cè)試。同樣,我們可以使用身份(預(yù)保存的用戶(hù)/密碼組合)或者會(huì)話(huà) Cookie來(lái)為站點(diǎn)認(rèn)證,并且從測(cè)試中排除一些參數(shù)。
作為重要的缺陷,它并沒(méi)有報(bào)告生成或數(shù)據(jù)導(dǎo)出特性。所以我們需要在 Vega GUI 中查看所有的漏洞描述和詳情。
5.6 使用 Metasploit 的 Wmap 發(fā)現(xiàn) Web 漏洞
Wmap 本身并不是漏洞掃描器,他是個(gè) Metasploit 模塊,使用所有框架中的 Web 漏洞和服務(wù)器相關(guān)的模塊,并使它們協(xié)調(diào)加載和對(duì)目標(biāo)服務(wù)器執(zhí)行。它的結(jié)果并不會(huì)導(dǎo)出為報(bào)告,但是會(huì)作為 Metasploit 數(shù)據(jù)庫(kù)中的條目。
這個(gè)秘籍中,我們會(huì)使用 Wmap 來(lái)尋找 vulnerable_vm 中的漏洞,并使用 Metasploit 命令行工具來(lái)檢查結(jié)果。
準(zhǔn)備
在我們運(yùn)行 Metasploit 的控制臺(tái)之前,我們需要啟動(dòng) 所連接的數(shù)據(jù)庫(kù)服務(wù)器,以便保存我們生成的結(jié)果:
1 service postgresql start
操作步驟
- 1.啟動(dòng)終端并運(yùn)行 Metasploit 控制臺(tái):
1 msfconsole
- 2.加載完成后,加載 Wmap 模塊:
1 load wmap
- 3.現(xiàn)在,我們向 Wamp 中添加站點(diǎn):
1 wmap_sites -a http://192.168.56.102/WackoPicko/
- 4.如果我們打算查看注冊(cè)的站點(diǎn):
1 wmap_sites -l
- 5.現(xiàn)在我們將這個(gè)站點(diǎn)設(shè)為掃描目標(biāo):
1 wmap_targets -d 0
- 6.如果我們打算插件所選目標(biāo),我們可以使用:
wmap_targets -l
- 7.現(xiàn)在,我們執(zhí)行測(cè)試:
1 wmap_run -e
- 8.我們需要使用 Metasploit 的命令來(lái)檢查記錄的漏洞:
1 vulns
2 wmap_vulns
工作原理
Wmap 使用 Metasploit 的模塊來(lái)掃描目標(biāo)應(yīng)用和服務(wù)器上的漏洞。它從 Metasploit 的數(shù)據(jù)庫(kù)和模塊中獲取站點(diǎn)信息,并將結(jié)果發(fā)送到數(shù)據(jù)庫(kù)中。這個(gè)集成的一個(gè)非常實(shí)用的層面是,如果我們執(zhí)行多個(gè)服務(wù)器上的滲透測(cè)試,并且在測(cè)試中使用 Metasploit,Wmap 會(huì)自動(dòng)獲得所有 Web 服務(wù)器的 IP 地址,和已知 URL,并將它們集成為站點(diǎn),以便當(dāng)我們打算執(zhí)行 Web 評(píng)估時(shí),我們只需要從站點(diǎn)列表中選擇目標(biāo)。
在執(zhí)行wmap_run的時(shí)候,我們可以選擇要執(zhí)行哪個(gè)模塊。通過(guò)-m選項(xiàng)和正則表達(dá)式。例如,下面的命令行會(huì)開(kāi)啟所有模塊,除了包含dos的模塊,這意味著沒(méi)有拒絕服務(wù)測(cè)試:
1 wmap_run -m ^((?!dos).)*$
另一個(gè)實(shí)用的選項(xiàng)是-p。它允許我們通過(guò)正則表達(dá)式選擇我們打算測(cè)試的路徑,例如,在下一個(gè)命令中,我們會(huì)檢查所有包含單詞login的 URL。
1 wmap_run -p ^.*(login).*$
最后,如果我們打算導(dǎo)出我們的掃描結(jié)果,我們總是可以使用 Metasploit 的數(shù)據(jù)庫(kù)特性。例如,在 MSF 控制臺(tái)中使用下列命令來(lái)將整個(gè)數(shù)據(jù)庫(kù)導(dǎo)出為 XML 文件。
1 db_export -f xml /root/database.xml---
版權(quán)聲明:本文轉(zhuǎn)載自wizardforcel的專(zhuān)欄,如有侵權(quán),請(qǐng)與本人聯(lián)系。
專(zhuān)欄鏈接:http://blog.csdn.net/wizardforcel
原文鏈接:http://blog.csdn.net/wizardforcel/article/details/52794801
