【正文】 章 任務 9 漏洞掃描 漏洞掃描概述 漏洞掃描是一種網(wǎng)絡安全掃描技術， 它基于局域網(wǎng)或 Inter 遠程檢測目標網(wǎng)絡或主機安全性。通過漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護的 Web 服務器的各種 TCP/IP 端口的分配、開放的服務、 Web 服務軟件版本和這些服務及軟件呈現(xiàn)在 Inter 上的安全漏洞。漏洞掃描技術采用積極的、非破壞性的辦法來檢驗系統(tǒng)是否含有安全漏洞。網(wǎng)絡安全掃描技術與防火墻、安全監(jiān)控系統(tǒng)互相配合使用，能夠為網(wǎng)絡提供很高的安全性。 漏洞掃描分為利用漏洞庫的漏洞掃描和利用模擬攻擊的漏洞掃描。 利用漏洞庫的漏洞掃描包括： CGI 漏洞掃描、 POP3 漏洞掃描、 FTP 漏洞掃描、 SSH 漏洞掃描和 HTTP 漏洞掃描等。 利用模擬攻擊的漏洞掃描包括： Unicode 遍歷目錄漏洞探測、 FTP 弱口令探測、 OPENRelay郵件轉發(fā)漏洞探測等。 漏洞掃描原理 1. 漏洞庫匹配法 基于漏洞庫的漏洞掃描，通過采用漏洞規(guī)則匹配技術完成掃描。漏洞庫是通過以下途徑獲取的：安全專家對網(wǎng)絡系統(tǒng)的測試、黑客攻擊案例的分析以及系統(tǒng)管理員對網(wǎng)絡系統(tǒng)安全配置的實際經(jīng)驗。漏洞庫信息的完整性和有效性決定了漏洞掃描系統(tǒng)的功能，漏洞庫應定期修訂和更新。 2. 插件技術（功能模塊技術） 插件是由腳本語言編寫的子程序，掃 描程序可以通過調(diào)用它來執(zhí)行漏洞掃描，檢測系統(tǒng)中存在的漏洞。插件編寫規(guī)范化后，用戶可以自定義新插件來擴充漏洞掃描軟件的功能。這種技術使漏洞掃描軟件的升級維護變得相對簡單。 漏洞掃描工具 名稱 描述 特點 Mysfind Mysfind 是一個命令行程序，它采用多線程掃描系統(tǒng)漏洞。主要用于掃描 Printer 漏洞和 Unicode 漏洞。目前的掃描方式支持 3種： all 掃描所有的漏洞 e 掃描 printer 漏洞 u 掃描 unicode 漏洞 速度快、結果準。 XScan XScan 采用多線程方式對 指定 IP 地址段 (或單機 )進行安全漏洞掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。 Xscan 可以自定義掃描端口，可以自定義 NT、 FTP、SQL Server 的默認帳號，還第九章 任務 9 漏洞掃描 20 掃描內(nèi)容包括：遠程操作系統(tǒng)類型及版本、 CGI 漏洞、RPC 漏洞、 SQLSERVER 默認帳戶、 FTP 弱口令， NT主機共享信息、用戶信息、組信息等。 可以自己維護 CGI 漏洞列表，給用戶很大的自由空間。 RangeScan RangeScan 是一款開放式多網(wǎng)段掃描器，可以自定義掃描內(nèi)容，根據(jù)加入的掃描內(nèi)容來掃描特定主機。 與 XScan 相比，大大加快了掃描速度。 實驗步驟 實驗操作前實驗主機需從 Web資源庫下載實驗所需漏洞掃描工具 XScan及 MS06040漏洞掃描工具 ，并 從網(wǎng)絡擬攻擊系統(tǒng)下載 MS06040 漏洞補丁 。 「注」實現(xiàn)過程中，主機 A 和主機 B 可同時進行以下步驟。 1. 主機 A 掃描漏洞 (1) 主機 A 雙擊 XScan 文件夾下 ，啟動 XScan。 (2) 主機 A 設置掃描范圍，依次選擇菜單欄 “ 設置 ” ｜ “ 掃描參數(shù) ” 菜單項，打開掃描參數(shù)對話框。在 “ 檢測范圍 ” 參數(shù)中指定掃描 IP 的范圍，在 “ 指定 IP 范圍 ” 輸入要檢測的主機 IP。 (3) 主機 A 進行全局設置，本機在 “ 全局設置 ” 的 “ 掃描模塊 ” 選項里，可以看到待掃描的各種選項，單擊 “ 全選 ” 按鈕。 “ 并發(fā)掃描 ” 選項中可設置線程和并發(fā)主機數(shù)量，這里選擇默認設置。 “ 其他設置 ” 選項中，選擇 “ 無條件掃描 ” 選項。 當對方禁止 ICMP 回顯請求時，如果設置了 “ 跳過沒有響應的主機 ” 選項， XScan 會自動跳過該主機，自動檢測下一臺主機。 (4) 主機 A 插件設置，在 “ 端口相關設置 ” 選項中可以自定義一些需要檢測的端口。檢測方式有 “ TCP” 、 “ SYN” 兩種， TCP 方式容易被對方發(fā)現(xiàn)，準確性 要高一些； SYN 則相反。 我們在這里選用 TCP 方式。 (5) 主機 A 設置好 XScan 的相關參數(shù)，單擊 “ 確定 ” 按鈕，然后單擊 “ 開始掃描 ” 。 XScan會對遠程主機進行詳細檢測，掃描過程中如果出現(xiàn)錯誤會在 “ 錯誤信息 ” 中看到。 (6) 主機 A 結束掃描。掃描結束以后會自動彈出檢測報告，包括漏洞的信息。報告保存在 XScan 文件夾下的 log 目錄 下 。報告中可以查看遠程主機中開放的端口以及提供的服務。 2. 主機 A 微軟系統(tǒng)漏洞掃描 (1) 主機 A雙擊 ，掃描主機 B是否存在漏洞。在 StartIP和 EndIP中輸入主機 B 的 IP。單擊 check 開始掃描。（注：為了保證掃描結果準確，再現(xiàn)過程中針對主機 B 進行單機掃描） (2) 記錄掃描結果，保存 MS06040 漏洞主機。 (3) 對存在 MS06040 漏洞的主機打補丁 WindowsServer2020KB921883v2x86CHS（從網(wǎng)絡擬攻擊系統(tǒng)下載），并再次進行漏洞掃描，記錄掃描結果。 第十章 任務 10 ARP 欺騙 21 第十章 任務 10 ARP欺騙 ARP 欺騙定義 從前面的介紹可以看出， ARP 的致命缺陷是：它不具備任何的認證機制。當有個人請求某個 IP 地址的 MAC 時，任何人都可以用 MAC 地址進行回復，并且這種響應也會被認為是合法的。 ARP并不只在發(fā)送了 ARP請求后才接收 ARP應答。當主機接收到 ARP應答數(shù)據(jù)包的時候，就會對本機的 ARP 緩存進行更新，將應答中的 IP和 MAC 地址存儲在 ARP 緩存表中。此外，由于局域網(wǎng)中數(shù)據(jù)包不是根據(jù) IP 地址，而是按照 MAC 地址進行傳輸?shù)?。所以對主機實施 ARP欺騙就成為可能。 ARP 欺騙原理 假設這樣一個網(wǎng)絡，一個 Hub 連接有 3 臺 PC 機： PC PC2 和 PC3。 PC1 的 IP 地址為 ， MAC 地址 為 111111111111 PC2 的 IP 地址為 ， MAC 地址為 222222222222 PC3 的 IP 地址為 ， MAC 地址為 333333333333 正常情況下， PC1 的 ARP 緩存表內(nèi)容如下： Inter Address Physical Address Type 333333333333 dynamic 下面 PC2 要對 PC1 進行 ARP 欺騙攻擊，目標是更改 PC1 的 ARP 緩存表，將與 IP 地址 映射的 MAC 更新為 PC2 的 MAC 地址，即 222222222222。 PC2 向 PC1 發(fā)送一個自己偽造的 ARP 應答，而這個應答數(shù)據(jù)中發(fā)送方 IP 地址是（ PC3 的 IP 地址）， MAC 地址是 222222222222（ PC3的 MAC 地址本來應該是 333333333333,這里被偽造了）。當 PC1 收到 PC2 偽造的 ARP 應答，就會更新本地的 ARP 緩存（ PC1 不知道 MAC 被偽造了），而且 PC1 不知道這個 ARP 應答數(shù)據(jù)是從 PC2 發(fā)送過來的。這樣 PC1 發(fā)送給 PC3 的數(shù)據(jù)包都變 成發(fā)送給 PC2 了。 PC1 對所發(fā)生的變化一點兒都沒有意識到，但是接下來的事情就讓 PC1 產(chǎn)生了懷疑，因為它連接不到 PC3 了， PC2 只是接收 PC1 發(fā)給 PC3 的數(shù)據(jù)，并沒有轉發(fā)給 PC3。 PC2 做 “ man in the middle” （中間人），進行 ARP 重定向。打開自己的 IP 轉發(fā)功能，將 PC1 發(fā)送過來的數(shù)據(jù)包轉發(fā)給 PC3，就好比一個路由器一樣，而 PC3 接收到的數(shù)據(jù)包完全認為是從 PC1 發(fā)送來的。不過， PC3 發(fā)送的數(shù)據(jù)包又直接傳遞給 PC1，倘若再次進行對 PC3的 ARP 欺騙，那么 PC2 就完全成為 PC1與 PC3 的中間橋梁 ，對于 PC1與 PC3 的通訊就可以了如指掌了。 第十章 任務 10 ARP 欺騙 22 APR 命令解釋 ARP 是一個重要的 TCP/IP 協(xié)議，并且用于確定對應 IP 地址的網(wǎng)卡物理地址。使用 arp命令，能夠查看本地計算機或另一臺計算機的 ARP 緩沖表中的當前內(nèi)容。此外，使用 arp命令，也可以用人工方式輸入靜態(tài)的 IP/MAC 地址對。 缺省狀態(tài)下， ARP 緩存表中的項目是動態(tài)的（圖 2411 中 Type=dynamic），每當發(fā)送一個指定地點的數(shù)據(jù)幀且緩存表不存在當前項目時， ARP 便會自動添加該項目。一旦緩存表的項目被添加，它們就已經(jīng)開始走向失效狀態(tài)。 例如，在 Windows 2020 網(wǎng)絡中，如果添加的緩存項目沒有被進一步使用，該項目就會在 2 至 10 分鐘內(nèi)失效。因此，如果 ARP 緩存表中項目很少或根本沒有時，請不要奇怪，通過另一臺計算機或路由器的 ping 命令即可添加。 下面是 ARP 常用命令選項： （ 1） arp a 用于查看緩存表中的所有項目。 Linux 平臺下 arp e 輸出更易于閱讀。 （ 2） arp a IP 只顯示包含指定 IP 的緩存表項目。 （ 3） arp s IP MAC 地址 向 ARP 緩存表中添加靜態(tài)項目（圖 2411 中 Type=static），該 項目在計算機啟動過程中一直有效。 例如添加 IP 地址為 ，映射 MAC 地址為 000c2995b5e9 的靜態(tài) ARP 緩存表項，命令如下： arp s 000c2995b5e9（ Windows 平臺） arp s 00:0c:29:95:b5:e9（ Linux 平臺） （ 4） arp d IP 刪除 ARP 緩存表中靜態(tài)項目。 實驗步驟 實驗操作前實驗主機需從 Web 資源庫下載 “灰鴿子”軟件、 zxARPs 軟件程序及 WinPcap程序 和網(wǎng)頁木馬模板 “ Trojan_template” 。 實驗開始前，各實驗主機首先檢查主機配置的默認網(wǎng)關和 DNS 是否正確。 1. 主機 C 生成網(wǎng)頁木馬 (1) 解壓 “ 灰鴿子 ” 到 D 盤根目錄下。 (2) 打開 “ 灰鴿子 ” 軟件，配置木馬服務器程序 ()。自動上線主機中填入主機 C 的 IP 地址。保存到 C:\Ipub\root 目錄下，單擊生成服務器。 第十章 任務 10 ARP 欺騙 23 (3) 為 程序添加訪問權限，鼠標右鍵 木馬服務器程序，單擊 “ 屬性 ” |“ 安全 ” 。單擊 “ 添加 ” 按鈕。單擊高級按鈕，進入 “ 選擇用戶或組 ” 界面，單擊 “ 立即查找 ” 按鈕。在 “ 搜索結果 ” 中選擇 IUSR_HOST 用戶。單擊所有界面確定。完成用戶權限配置。 (4) 解壓 “ Trojan_template” 到 D 盤根目錄，復制解壓后的 文件到c:\Ipub\root 目錄下，并將第 15 行 “ 主機 IP 地址 ” 替換成主機 C 的 IP 地址。 「注」注意查看生成的 和 文件是否允許 Inter 來賓賬戶的讀權限訪問。 (5) 啟動 WWW 服務。 鼠標右鍵單擊 “ 我的電腦 ” ，選擇 “ 管理 ” 。在 “ 計算機管理（本地） ” 中選擇 “ 服務和應用程序 ” ｜ “ 服務 ” ，啟動 “ World Wide Web Publishing Service” 服務。 2. 主機 A 發(fā)起 ARP 欺騙攻擊 (1) 主機 A 解壓 “ zxARPs” 軟件到 D 盤根目錄。 (2) 主機 A 默認安裝 WinPcap 軟件 。 (3) 主機 A 單擊 “ 開始 ” |“ 運行 ” |“ cmd” ，進入到 zxARPs 軟件目錄下，執(zhí)行如下命令： 「注」實際環(huán)境中，主機 A 的操作可由外網(wǎng)主機遠程控制進行。上圖中在不同組中的實驗 請將 IP 修改為本組 IP 中的網(wǎng)段地址。 3. 主機 B 驗證 ARP 木馬 (1) 主機 A 發(fā)起攻擊后，主機 B 打開 IE，瀏覽 Web 資源庫首頁）。 (2) 主機 B 查看任務管理器中有幾個 “ ” 進程。 (3) 主機 B 查看服務中是否存在名為 “ Windows XP Vista” 的服務。 (4) 主機 B 在命令行下 ping 主機 A 的 IP，使用 arp a 命令查看本地 ARP 緩存表，是否發(fā)現(xiàn)不同 IP 地址對應同一 MAC 地址現(xiàn)象。