實(shí)驗(yàn)三 綜合掃描及安全評(píng)估一、實(shí)驗(yàn)?zāi)康耐ㄟ^(guò)使用綜合掃描及安全評(píng)估工具，掃描系統(tǒng)的漏洞并給出安全評(píng)估報(bào)告，加深對(duì)各種網(wǎng)絡(luò)和系統(tǒng)漏洞的理解，同時(shí)，通過(guò)系統(tǒng)漏洞的入侵練習(xí)，可以增強(qiáng)在網(wǎng)絡(luò)安全方面的防護(hù)意識(shí)。

實(shí)驗(yàn)三 綜合掃描及安全評(píng)估

一、實(shí)驗(yàn)?zāi)康?/p>

通過(guò)使用綜合掃描及安全評(píng)估工具，掃描系統(tǒng)的漏洞并給出安全評(píng)估報(bào)告，加深對(duì)各種網(wǎng)絡(luò)和系統(tǒng)漏洞的理解，同時(shí)，通過(guò)系統(tǒng)漏洞的入侵練習(xí)，可以增強(qiáng)在網(wǎng)絡(luò)安全方面的防護(hù)意識(shí)。

二、實(shí)驗(yàn)原理

綜合掃描和安全評(píng)估工具是一種自動(dòng)檢測(cè)系統(tǒng)和網(wǎng)絡(luò)安全弱點(diǎn)的程序，它是一種主要的網(wǎng)絡(luò)安全防御技術(shù)，與防火墻技術(shù)、入侵檢測(cè)技術(shù)、加密和認(rèn)證技術(shù)處于同等重要的地位。其作用是在發(fā)生網(wǎng)絡(luò)攻擊事件前，系統(tǒng)管理員可以利用綜合掃描和安全評(píng)估工具檢測(cè)系統(tǒng)和網(wǎng)絡(luò)配置的缺陷和漏洞，及時(shí)發(fā)現(xiàn)可被黑客入侵的漏洞隱患和錯(cuò)誤配置，給出漏洞的修補(bǔ)方案，使系統(tǒng)管理員可以根據(jù)方案及時(shí)進(jìn)行漏洞的修補(bǔ)。另一方面，綜合掃描和安全評(píng)估工具也可以被黑客利用，對(duì)網(wǎng)絡(luò)主機(jī)進(jìn)行弱口令掃描、系統(tǒng)漏洞掃描、主機(jī)服務(wù)掃描等多種方式的掃描，同時(shí)采用模擬攻擊的手段檢測(cè)目標(biāo)主機(jī)的通信、服務(wù)、Web 應(yīng)用等多方面的安全漏洞，以期找到入侵途徑。

綜合掃描和安全評(píng)估技術(shù)的工作原理：首先是獲得主機(jī)系統(tǒng)在網(wǎng)絡(luò)服務(wù)、版本信息、Web 應(yīng)用等相關(guān)信息，然后采用模擬攻擊的方法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描，如測(cè)試弱口令等，如果模擬攻擊成功，則視為漏洞存在。此外，也可以根據(jù)系統(tǒng)事先定義的系統(tǒng)安全漏洞庫(kù)，對(duì)系統(tǒng)可能存在的、已知的安全漏洞逐項(xiàng)進(jìn)行掃描和檢查，按照規(guī)則匹配的原則將掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告，作為系統(tǒng)和網(wǎng)絡(luò)安全整體水平的評(píng)估依據(jù)。

對(duì)于系統(tǒng)管理員來(lái)說(shuō)，綜合掃描和安全評(píng)估工具是最好的幫手，合理的利用這些工具，可以在安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時(shí)發(fā)現(xiàn)漏洞并通過(guò)下載相關(guān)程序的補(bǔ)丁或者更改安全配置來(lái)修補(bǔ)漏洞，構(gòu)筑安全堅(jiān)固的系統(tǒng)。目前，常用的綜合掃描和安全評(píng)估工具有很多，比如免費(fèi)的流光Fluxay 、X-Scan 、X-way 以及功能強(qiáng)大的商業(yè)軟件：ISS Internet Scanner和ISS Security Scanner、CyberCop Scanner、NetRecon 、Web Trends Security Analyzer 、SSS （Shadow Security Scanner）、TigerSuite 等。

下面將以流光Fluxay5為例，介紹綜合掃描和安全評(píng)估工具的使用，并進(jìn)行入侵模擬練習(xí)。

- 1 -

三、實(shí)驗(yàn)環(huán)境

安裝Windows XP系統(tǒng)和Windows 2000系統(tǒng)的虛擬機(jī)各一臺(tái)，或兩臺(tái)均為Windows XP 系統(tǒng)，其中：一臺(tái)Windows XP 系統(tǒng)安裝流光Fluxay5，另一臺(tái)Windows 2000系統(tǒng)（或XP 系統(tǒng)）設(shè)置至少兩個(gè)賬戶：administrator 和test ，其中administrator 用戶為管理員，密碼是弱口令123456，test 用戶身份任意，開機(jī)口令由簡(jiǎn)單的數(shù)字組成，如654321等。另外，Windows 2000系統(tǒng)（或XP 系統(tǒng)）安裝FTP 服務(wù)器，允許匿名訪問(wèn)，F(xiàn)TP 服務(wù)器的其他設(shè)置任意。

【注1】：流光Fluxay5、輕松控制及FTP 架設(shè)工具Serv-U.10在系FTP

（ftp://172.22.28.254）任課教師文件夾中下載。

【注2】：如果主機(jī)上安裝了防火墻和殺毒軟件，將它們關(guān)閉，因?yàn)闅⒍拒浖?huì)把流光的某些組件認(rèn)為是病毒并將其清除掉。

四、實(shí)驗(yàn)內(nèi)容和任務(wù)

A ．任務(wù)總述：

在Windows XP系統(tǒng)中，使用流光Fluxay5對(duì)Windows 2000系統(tǒng)（或XP 系統(tǒng)）進(jìn)行安全漏洞綜合掃描，內(nèi)容有：（1）掃描目標(biāo)系統(tǒng)開放的FTP 服務(wù)及匿名登陸服務(wù)，并測(cè)試匿名登陸是否成功；（2）利用掃描出的管理員賬號(hào)及口令，使用IPC$共享通道與主機(jī)建立連接，向其種植“輕松控制”木馬的服務(wù)端，實(shí)現(xiàn)遠(yuǎn)程操控。

B ．具體流程：

1、學(xué)習(xí)流光Fluxay5的使用

流光是一款非常優(yōu)秀的綜合掃描工具，不僅具有完善的掃描功能，而且自帶了若干猜解器和入侵工具，可方便地利用掃描的漏洞進(jìn)行入侵教學(xué)演示。啟動(dòng)流光工具后可以看到它的主界面，如圖5-1所示。

圖5-1 流光Fluxay5主界面

- 2 -

2、掃描主機(jī)漏洞

（1）打開“文件”菜單下的“高級(jí)掃描向?qū)А边x項(xiàng)，打開如圖5-2所示的窗口。

圖5-2 掃描設(shè)置選項(xiàng)圖 5-3 端口掃描設(shè)置

在“起始地址”中填入要掃描主機(jī)的開始地址，在“結(jié)束地址”中填入掃描主機(jī)的結(jié)束地址。如果只掃描一臺(tái)主機(jī)，則在“起始地址”和“結(jié)束地址”中均填入這臺(tái)主機(jī)的IP 地址。也可以對(duì)一個(gè)網(wǎng)段內(nèi)的所有主機(jī)進(jìn)行掃描，但注意不要掃描太多，以免造成網(wǎng)絡(luò)不穩(wěn)定。“Ping 檢查”選項(xiàng)一般要選中，這樣會(huì)先Ping 主機(jī)，如果成功則再掃描，這樣可以節(jié)省掃描時(shí)間，在檢測(cè)項(xiàng)目選項(xiàng)中選中Ports 、FTP 、TELNET 、IPC 、CGI/ASP、IIS 、PLUGINS ，我們只對(duì)這些漏洞進(jìn)行掃描，單擊“下一步”按扭，彈出如圖5-3所示的對(duì)話框。

在“標(biāo)準(zhǔn)端口掃描”選項(xiàng)中，流光會(huì)掃描大約幾十個(gè)標(biāo)準(zhǔn)服務(wù)端口，而自定義掃描端口的范圍可以在1～65536范圍內(nèi)選擇。我們可以選擇“標(biāo)準(zhǔn)端口掃描”，然后陸續(xù)單擊“下一步”按扭，彈出嘗試獲取POP3的版本信息和用戶密碼的對(duì)話框以及獲取FTP 的Banner 、嘗試匿名登陸、嘗試用簡(jiǎn)單字典對(duì)FTP 賬號(hào)進(jìn)行暴力破解的對(duì)話框，選中這3項(xiàng)，再單擊“下一步”，將彈出詢問(wèn)獲取SMTP 、IMAP 和操作系統(tǒng)版本信息以及用戶信息的提示，并詢問(wèn)掃描SunOS/bin/Login遠(yuǎn)程溢出弱點(diǎn)的對(duì)話框。

再往下將掃描Web 漏洞的信息，可按照事先定義的CGI 漏洞列表，選擇不同的漏洞對(duì)目標(biāo)計(jì)算機(jī)進(jìn)行掃描，如圖5-4所示。

圖5-4 CGI設(shè)置選項(xiàng) 圖5-5 IPC設(shè)置選項(xiàng)

- 3 -

單擊“下一步”，打開對(duì)MSSQL2000數(shù)據(jù)庫(kù)漏洞、SA 密碼和版本信息進(jìn)行掃描的對(duì)話框，接著單擊“下一步”，彈出如圖5-5所示的對(duì)話框，在這里，將對(duì)主機(jī)系統(tǒng)的IPC 漏洞進(jìn)行掃描，查看是否有空連接、共享資源、獲得用戶列表并破解用戶密碼。

選擇我們需要的掃描選項(xiàng)，如果不選擇最后一項(xiàng)，將對(duì)所有用戶的密碼進(jìn)行猜解，否則只對(duì)管理員用戶組的密碼進(jìn)行猜解，單擊“下一步”，彈出如圖5-6所示對(duì)話框。在這個(gè)對(duì)話框中，將設(shè)置對(duì)IIS 的漏洞掃描選項(xiàng)，包括掃描Unicode 編碼漏洞、是否安裝了Frontpage 擴(kuò)展、嘗試得到SAM 文件、嘗試得到PCAnywhere 的密碼文件等。

圖5-6 IIS設(shè)置選項(xiàng) 圖5-7 Plugins設(shè)置選項(xiàng)

根據(jù)需要選擇選項(xiàng)，然后單擊“下一步”按扭，下面將對(duì)Finger 、RPC 、BIND 、MySQL 、SSH 的信息進(jìn)行掃描，之后單擊“下一步”按扭，彈出如圖5-7所示的對(duì)話框。

在這里，流光提供了6個(gè)插件的漏洞掃描，可根據(jù)需要選擇，然后單擊“下一步”按鈕，打開如圖5-8所示的對(duì)話框。

5-8 選項(xiàng)對(duì)話框 5-9 選擇掃描引擎

這個(gè)對(duì)話框中，通過(guò)“猜解用戶名字典”嘗試暴力猜測(cè)的用戶，用于除了IPC 之外的項(xiàng)目。此外，如果掃描引擎通過(guò)其它途徑獲得了用戶名（例如通過(guò)Finger 等），那么也不采用這個(gè)用戶名字典。保存掃描報(bào)告存放名稱和位置，默認(rèn)情況下文件名以［起始

- 4 -

IP ］-［結(jié)束IP ］.html 為命名規(guī)則。

這樣，設(shè)置好了要掃描的所有選項(xiàng)，單擊“完成”按扭，彈出選擇掃描引擎對(duì)話框，如圖5-9所示。

這樣默認(rèn)的本地主機(jī)作為掃描引擎，單擊“開始”按鈕開始掃描，經(jīng)過(guò)一段時(shí)間后，會(huì)有類似于圖5-10所示的掃描結(jié)果以及圖5-11所示的掃描報(bào)告。

圖5-10 掃描結(jié)果

圖5-11 掃描報(bào)告

3、分析掃描結(jié)果、FTP 服務(wù)器搭建及IPC$模擬入侵

（1）端口漏洞分析

我們發(fā)現(xiàn)被掃描主機(jī)開放了很多端口，有些開放的端口極不安全，具體說(shuō)明如下： 端口21：FTP 端口，攻擊者可能利用用戶名和密碼過(guò)于簡(jiǎn)單，甚至可以匿名登錄的漏洞登錄到目標(biāo)主機(jī)上，并上傳木馬或病毒而控制目標(biāo)主機(jī)。

端口23：Telnet 端口，如果目標(biāo)主機(jī)開放了23端口，但用戶名和密碼過(guò)于簡(jiǎn)單，攻擊者破解后就可以登錄主機(jī)并查看任何信息，甚至控制目標(biāo)主機(jī)。

端口25：SMTP 端口，主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。

- 5 -

端口53：DNS 端口，主要用于域名解析，DNS 服務(wù)在NT 系統(tǒng)中使用最為廣泛。 端口80：HTTP 端口，主要用于在WWW 服務(wù)上傳輸信息的協(xié)議，此端口開放本身沒(méi)有太大的危險(xiǎn)，但如果目標(biāo)主機(jī)有SQL 注入漏洞，攻擊者就可能利用此端口進(jìn)行攻擊。

端口139：NETBIOS 會(huì)話服務(wù)端口，主要用于提供Windows 文件和打印機(jī)共享以及Unix 中的Samba 服務(wù)，139端口可以被攻擊者利用，建立IPC 連接入侵目標(biāo)主機(jī)，然后獲得目標(biāo)主機(jī)的Root 權(quán)限并放置病毒或木馬。

端口443：網(wǎng)頁(yè)瀏覽端口，主要用于HTTPS 服務(wù)，是提供加密和通過(guò)安全端口傳輸?shù)牧硪环NHTTP 。HTTPS 服務(wù)一般是通過(guò)SSL 來(lái)保證安全性的，但是SSL 漏洞可能會(huì)受到黑客的攻擊，比如可以黑掉在線銀行系統(tǒng)、盜取信用卡賬號(hào)等。

端口3389：這個(gè)端口的開放使安裝了終端服務(wù)和全拼輸入法的Windows 2000服務(wù)器（SP1之前的版本）存在著遠(yuǎn)程登錄并獲得超級(jí)用戶權(quán)限的嚴(yán)重漏洞，利用輸入法漏洞進(jìn)行攻擊，就可以使攻擊者很容易的拿到Administrator 組權(quán)限。

（2）FTP 服務(wù)器搭建及漏洞分析

我們?cè)趻呙杞Y(jié)果圖5-10中可以看到FTP 的名稱是pt-uiovxwhbyvd9，而且目標(biāo)主機(jī)可以匿名登陸，我們直接可以利用流光提供的入侵菜單進(jìn)行FTP 登錄，單擊密碼破解成功的賬號(hào)，然后單選擇“Connect ”，如圖5-12所示，直接通過(guò)FTP 連接到目標(biāo)主機(jī)上。

圖5-12 遠(yuǎn)程登錄FTP

如果FTP 匿名賬號(hào)具有寫權(quán)限，我們就可以往目標(biāo)主機(jī)上傳任意文件了，包括木馬和病毒，即使FTP 匿名賬號(hào)不具有寫權(quán)限，允許匿名訪問(wèn)也是有危險(xiǎn)的，因?yàn)橛胸S富經(jīng)驗(yàn)的黑客也能通過(guò)緩沖區(qū)溢出等其它方法提升匿名賬號(hào)權(quán)限，從而獲得超級(jí)管理員的權(quán)限。

- 6 -

【注意】

本部分難點(diǎn)：關(guān)于FTP 服務(wù)器的構(gòu)建，本實(shí)驗(yàn)僅提供搭建工具serv-u ，具體搭建過(guò)程，需自行上網(wǎng)查找資料完成。

要求：只需完成創(chuàng)建一個(gè)可匿名登錄的FTP 服務(wù)器，并使用FlashFXP.exe 登錄測(cè)試成功即可，其他設(shè)置后續(xù)課程將繼續(xù)講解。

（3）IPC$漏洞分析

IPC$是為了讓進(jìn)程間通信而開放的命名管道，可以通過(guò)驗(yàn)證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠(yuǎn)程管理計(jì)算機(jī)和查看計(jì)算機(jī)的共享資源時(shí)使用。利用IPC$，連接者可以與目標(biāo)主機(jī)建立一個(gè)空的連接而無(wú)需用戶名和密碼，利用這個(gè)空的連接，連接者還可以得到目標(biāo)主機(jī)上的用戶列表。

由圖5-10所示的掃描結(jié)果可以看出，我們與目標(biāo)主機(jī)建立了空連接，而且得知它有5個(gè)用戶，最重要的是“流光”采取密碼破解的方法破解出了一個(gè)用戶的簡(jiǎn)單密碼，如圖5-12所示。下面我們利用已被破解的用戶入侵目標(biāo)主機(jī)。

首先，我們用net use命令與目標(biāo)主機(jī)建立連接，如圖5-13所示，注意命令中的IP 地址，密碼和用戶名應(yīng)根據(jù)實(shí)際情況修改，如果提示“命令成功完成”，表明執(zhí)行成功，否則需檢查對(duì)方是否開啟IPC 共享，或命令行的輸入是否有錯(cuò)。然后上傳木馬或者其它程序來(lái)監(jiān)控目標(biāo)主機(jī)或利用該主機(jī)攻擊其它計(jì)算機(jī)，如圖5-13就成功地上傳了 “輕松控制”木馬的服務(wù)器文件server.exe （首先應(yīng)學(xué)會(huì)“輕松控制”木馬的使用），利用該文件可以進(jìn)行遠(yuǎn)程控制。如圖5-14所示，首先使用net time命令查看目標(biāo)主機(jī)的當(dāng)前時(shí)間，再利用at 命令讓服務(wù)器程序在指定的時(shí)間（這個(gè)時(shí)間必須比查詢到的時(shí)間晚一些，否則無(wú)法啟動(dòng)）運(yùn)行。

圖5-13 與目標(biāo)主機(jī)建立連接并上傳文件

- 7 -

圖5-14查詢目標(biāo)主機(jī)當(dāng)前時(shí)間并添加任務(wù)到目標(biāo)主機(jī)

在客戶端運(yùn)行“輕松控制”木馬的客戶端程序“輕松遠(yuǎn)程控制.exe ”，查看目標(biāo)主機(jī)是否上線，如上線成功，如圖5-15所示，說(shuō)明上述入侵過(guò)程成功執(zhí)行，否則，需檢查過(guò)程中的錯(cuò)誤。

圖5-15 目標(biāo)主機(jī)上線成功

五、實(shí)驗(yàn)報(bào)告要求：

1. 完整記錄綜合掃描及入侵過(guò)程，包括FTP 服務(wù)器的搭建和IPC$入侵流程，要有相應(yīng)截圖予以說(shuō)明；

2. 對(duì)于禁止建立空連接和防止IPC$漏洞，還有什么其他方法，請(qǐng)?jiān)倭信e1—2種解決方案。

- 8 -

【附錄】：

為了禁止建立空連接和防止IPC$漏洞，需要對(duì)注冊(cè)表進(jìn)行修改，修改或添加下面的鍵值：

1. 運(yùn)行-regedit

2. 將[HKEY_LOCAL_MACHINESYSTEMCurrentContronSetControlLSA]中

RestrictAnonymous 的鍵值修改為DWORD:00000001；

3. server 版:找到如下主鍵

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer （DWORD ）的鍵值改為:00000000。

pro 版:找到如下主鍵

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks （DWORD ）的鍵值改為:00000000。

注：如果上面所說(shuō)的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一個(gè)主健再改鍵值。

- 9 -