【正文】 章 任務(wù) 9 漏洞掃描 漏洞掃描概述 漏洞掃描是一種網(wǎng)絡(luò)安全掃描技術(shù)， 它基于局域網(wǎng)或 Inter 遠(yuǎn)程檢測(cè)目標(biāo)網(wǎng)絡(luò)或主機(jī)安全性。通過(guò)漏洞掃描，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的 Web 服務(wù)器的各種 TCP/IP 端口的分配、開(kāi)放的服務(wù)、 Web 服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在 Inter 上的安全漏洞。漏洞掃描技術(shù)采用積極的、非破壞性的辦法來(lái)檢驗(yàn)系統(tǒng)是否含有安全漏洞。網(wǎng)絡(luò)安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合使用，能夠?yàn)榫W(wǎng)絡(luò)提供很高的安全性。 漏洞掃描分為利用漏洞庫(kù)的漏洞掃描和利用模擬攻擊的漏洞掃描。 利用漏洞庫(kù)的漏洞掃描包括： CGI 漏洞掃描、 POP3 漏洞掃描、 FTP 漏洞掃描、 SSH 漏洞掃描和 HTTP 漏洞掃描等。 利用模擬攻擊的漏洞掃描包括： Unicode 遍歷目錄漏洞探測(cè)、 FTP 弱口令探測(cè)、 OPENRelay郵件轉(zhuǎn)發(fā)漏洞探測(cè)等。 漏洞掃描原理 1. 漏洞庫(kù)匹配法 基于漏洞庫(kù)的漏洞掃描，通過(guò)采用漏洞規(guī)則匹配技術(shù)完成掃描。漏洞庫(kù)是通過(guò)以下途徑獲取的：安全專(zhuān)家對(duì)網(wǎng)絡(luò)系統(tǒng)的測(cè)試、黑客攻擊案例的分析以及系統(tǒng)管理員對(duì)網(wǎng)絡(luò)系統(tǒng)安全配置的實(shí)際經(jīng)驗(yàn)。漏洞庫(kù)信息的完整性和有效性決定了漏洞掃描系統(tǒng)的功能，漏洞庫(kù)應(yīng)定期修訂和更新。 2. 插件技術(shù)（功能模塊技術(shù)） 插件是由腳本語(yǔ)言編寫(xiě)的子程序，掃 描程序可以通過(guò)調(diào)用它來(lái)執(zhí)行漏洞掃描，檢測(cè)系統(tǒng)中存在的漏洞。插件編寫(xiě)規(guī)范化后，用戶可以自定義新插件來(lái)擴(kuò)充漏洞掃描軟件的功能。這種技術(shù)使漏洞掃描軟件的升級(jí)維護(hù)變得相對(duì)簡(jiǎn)單。 漏洞掃描工具 名稱(chēng) 描述 特點(diǎn) Mysfind Mysfind 是一個(gè)命令行程序，它采用多線程掃描系統(tǒng)漏洞。主要用于掃描 Printer 漏洞和 Unicode 漏洞。目前的掃描方式支持 3種： all 掃描所有的漏洞 e 掃描 printer 漏洞 u 掃描 unicode 漏洞 速度快、結(jié)果準(zhǔn)。 XScan XScan 采用多線程方式對(duì) 指定 IP 地址段 (或單機(jī) )進(jìn)行安全漏洞掃描，支持插件功能，提供了圖形界面和命令行兩種操作方式。 Xscan 可以自定義掃描端口，可以自定義 NT、 FTP、SQL Server 的默認(rèn)帳號(hào)，還第九章 任務(wù) 9 漏洞掃描 20 掃描內(nèi)容包括：遠(yuǎn)程操作系統(tǒng)類(lèi)型及版本、 CGI 漏洞、RPC 漏洞、 SQLSERVER 默認(rèn)帳戶、 FTP 弱口令， NT主機(jī)共享信息、用戶信息、組信息等。 可以自己維護(hù) CGI 漏洞列表，給用戶很大的自由空間。 RangeScan RangeScan 是一款開(kāi)放式多網(wǎng)段掃描器，可以自定義掃描內(nèi)容，根據(jù)加入的掃描內(nèi)容來(lái)掃描特定主機(jī)。 與 XScan 相比，大大加快了掃描速度。 實(shí)驗(yàn)步驟 實(shí)驗(yàn)操作前實(shí)驗(yàn)主機(jī)需從 Web資源庫(kù)下載實(shí)驗(yàn)所需漏洞掃描工具 XScan及 MS06040漏洞掃描工具 ，并 從網(wǎng)絡(luò)擬攻擊系統(tǒng)下載 MS06040 漏洞補(bǔ)丁 。 「注」實(shí)現(xiàn)過(guò)程中，主機(jī) A 和主機(jī) B 可同時(shí)進(jìn)行以下步驟。 1. 主機(jī) A 掃描漏洞 (1) 主機(jī) A 雙擊 XScan 文件夾下 ，啟動(dòng) XScan。 (2) 主機(jī) A 設(shè)置掃描范圍，依次選擇菜單欄 “ 設(shè)置 ” ｜ “ 掃描參數(shù) ” 菜單項(xiàng)，打開(kāi)掃描參數(shù)對(duì)話框。在 “ 檢測(cè)范圍 ” 參數(shù)中指定掃描 IP 的范圍，在 “ 指定 IP 范圍 ” 輸入要檢測(cè)的主機(jī) IP。 (3) 主機(jī) A 進(jìn)行全局設(shè)置，本機(jī)在 “ 全局設(shè)置 ” 的 “ 掃描模塊 ” 選項(xiàng)里，可以看到待掃描的各種選項(xiàng)，單擊 “ 全選 ” 按鈕。 “ 并發(fā)掃描 ” 選項(xiàng)中可設(shè)置線程和并發(fā)主機(jī)數(shù)量，這里選擇默認(rèn)設(shè)置。 “ 其他設(shè)置 ” 選項(xiàng)中，選擇 “ 無(wú)條件掃描 ” 選項(xiàng)。 當(dāng)對(duì)方禁止 ICMP 回顯請(qǐng)求時(shí)，如果設(shè)置了 “ 跳過(guò)沒(méi)有響應(yīng)的主機(jī) ” 選項(xiàng)， XScan 會(huì)自動(dòng)跳過(guò)該主機(jī)，自動(dòng)檢測(cè)下一臺(tái)主機(jī)。 (4) 主機(jī) A 插件設(shè)置，在 “ 端口相關(guān)設(shè)置 ” 選項(xiàng)中可以自定義一些需要檢測(cè)的端口。檢測(cè)方式有 “ TCP” 、 “ SYN” 兩種， TCP 方式容易被對(duì)方發(fā)現(xiàn)，準(zhǔn)確性 要高一些； SYN 則相反。 我們?cè)谶@里選用 TCP 方式。 (5) 主機(jī) A 設(shè)置好 XScan 的相關(guān)參數(shù)，單擊 “ 確定 ” 按鈕，然后單擊 “ 開(kāi)始掃描 ” 。 XScan會(huì)對(duì)遠(yuǎn)程主機(jī)進(jìn)行詳細(xì)檢測(cè)，掃描過(guò)程中如果出現(xiàn)錯(cuò)誤會(huì)在 “ 錯(cuò)誤信息 ” 中看到。 (6) 主機(jī) A 結(jié)束掃描。掃描結(jié)束以后會(huì)自動(dòng)彈出檢測(cè)報(bào)告，包括漏洞的信息。報(bào)告保存在 XScan 文件夾下的 log 目錄 下 。報(bào)告中可以查看遠(yuǎn)程主機(jī)中開(kāi)放的端口以及提供的服務(wù)。 2. 主機(jī) A 微軟系統(tǒng)漏洞掃描 (1) 主機(jī) A雙擊 ，掃描主機(jī) B是否存在漏洞。在 StartIP和 EndIP中輸入主機(jī) B 的 IP。單擊 check 開(kāi)始掃描。（注：為了保證掃描結(jié)果準(zhǔn)確，再現(xiàn)過(guò)程中針對(duì)主機(jī) B 進(jìn)行單機(jī)掃描） (2) 記錄掃描結(jié)果，保存 MS06040 漏洞主機(jī)。 (3) 對(duì)存在 MS06040 漏洞的主機(jī)打補(bǔ)丁 WindowsServer2020KB921883v2x86CHS（從網(wǎng)絡(luò)擬攻擊系統(tǒng)下載），并再次進(jìn)行漏洞掃描，記錄掃描結(jié)果。 第十章 任務(wù) 10 ARP 欺騙 21 第十章 任務(wù) 10 ARP欺騙 ARP 欺騙定義 從前面的介紹可以看出， ARP 的致命缺陷是：它不具備任何的認(rèn)證機(jī)制。當(dāng)有個(gè)人請(qǐng)求某個(gè) IP 地址的 MAC 時(shí)，任何人都可以用 MAC 地址進(jìn)行回復(fù)，并且這種響應(yīng)也會(huì)被認(rèn)為是合法的。 ARP并不只在發(fā)送了 ARP請(qǐng)求后才接收 ARP應(yīng)答。當(dāng)主機(jī)接收到 ARP應(yīng)答數(shù)據(jù)包的時(shí)候，就會(huì)對(duì)本機(jī)的 ARP 緩存進(jìn)行更新，將應(yīng)答中的 IP和 MAC 地址存儲(chǔ)在 ARP 緩存表中。此外，由于局域網(wǎng)中數(shù)據(jù)包不是根據(jù) IP 地址，而是按照 MAC 地址進(jìn)行傳輸?shù)?。所以?duì)主機(jī)實(shí)施 ARP欺騙就成為可能。 ARP 欺騙原理 假設(shè)這樣一個(gè)網(wǎng)絡(luò)，一個(gè) Hub 連接有 3 臺(tái) PC 機(jī)： PC PC2 和 PC3。 PC1 的 IP 地址為 ， MAC 地址 為 111111111111 PC2 的 IP 地址為 ， MAC 地址為 222222222222 PC3 的 IP 地址為 ， MAC 地址為 333333333333 正常情況下， PC1 的 ARP 緩存表內(nèi)容如下： Inter Address Physical Address Type 333333333333 dynamic 下面 PC2 要對(duì) PC1 進(jìn)行 ARP 欺騙攻擊，目標(biāo)是更改 PC1 的 ARP 緩存表，將與 IP 地址 映射的 MAC 更新為 PC2 的 MAC 地址，即 222222222222。 PC2 向 PC1 發(fā)送一個(gè)自己偽造的 ARP 應(yīng)答，而這個(gè)應(yīng)答數(shù)據(jù)中發(fā)送方 IP 地址是（ PC3 的 IP 地址）， MAC 地址是 222222222222（ PC3的 MAC 地址本來(lái)應(yīng)該是 333333333333,這里被偽造了）。當(dāng) PC1 收到 PC2 偽造的 ARP 應(yīng)答，就會(huì)更新本地的 ARP 緩存（ PC1 不知道 MAC 被偽造了），而且 PC1 不知道這個(gè) ARP 應(yīng)答數(shù)據(jù)是從 PC2 發(fā)送過(guò)來(lái)的。這樣 PC1 發(fā)送給 PC3 的數(shù)據(jù)包都變 成發(fā)送給 PC2 了。 PC1 對(duì)所發(fā)生的變化一點(diǎn)兒都沒(méi)有意識(shí)到，但是接下來(lái)的事情就讓 PC1 產(chǎn)生了懷疑，因?yàn)樗B接不到 PC3 了， PC2 只是接收 PC1 發(fā)給 PC3 的數(shù)據(jù)，并沒(méi)有轉(zhuǎn)發(fā)給 PC3。 PC2 做 “ man in the middle” （中間人），進(jìn)行 ARP 重定向。打開(kāi)自己的 IP 轉(zhuǎn)發(fā)功能，將 PC1 發(fā)送過(guò)來(lái)的數(shù)據(jù)包轉(zhuǎn)發(fā)給 PC3，就好比一個(gè)路由器一樣，而 PC3 接收到的數(shù)據(jù)包完全認(rèn)為是從 PC1 發(fā)送來(lái)的。不過(guò)， PC3 發(fā)送的數(shù)據(jù)包又直接傳遞給 PC1，倘若再次進(jìn)行對(duì) PC3的 ARP 欺騙，那么 PC2 就完全成為 PC1與 PC3 的中間橋梁 ，對(duì)于 PC1與 PC3 的通訊就可以了如指掌了。 第十章 任務(wù) 10 ARP 欺騙 22 APR 命令解釋 ARP 是一個(gè)重要的 TCP/IP 協(xié)議，并且用于確定對(duì)應(yīng) IP 地址的網(wǎng)卡物理地址。使用 arp命令，能夠查看本地計(jì)算機(jī)或另一臺(tái)計(jì)算機(jī)的 ARP 緩沖表中的當(dāng)前內(nèi)容。此外，使用 arp命令，也可以用人工方式輸入靜態(tài)的 IP/MAC 地址對(duì)。 缺省狀態(tài)下， ARP 緩存表中的項(xiàng)目是動(dòng)態(tài)的（圖 2411 中 Type=dynamic），每當(dāng)發(fā)送一個(gè)指定地點(diǎn)的數(shù)據(jù)幀且緩存表不存在當(dāng)前項(xiàng)目時(shí)， ARP 便會(huì)自動(dòng)添加該項(xiàng)目。一旦緩存表的項(xiàng)目被添加，它們就已經(jīng)開(kāi)始走向失效狀態(tài)。 例如，在 Windows 2020 網(wǎng)絡(luò)中，如果添加的緩存項(xiàng)目沒(méi)有被進(jìn)一步使用，該項(xiàng)目就會(huì)在 2 至 10 分鐘內(nèi)失效。因此，如果 ARP 緩存表中項(xiàng)目很少或根本沒(méi)有時(shí)，請(qǐng)不要奇怪，通過(guò)另一臺(tái)計(jì)算機(jī)或路由器的 ping 命令即可添加。 下面是 ARP 常用命令選項(xiàng)： （ 1） arp a 用于查看緩存表中的所有項(xiàng)目。 Linux 平臺(tái)下 arp e 輸出更易于閱讀。 （ 2） arp a IP 只顯示包含指定 IP 的緩存表項(xiàng)目。 （ 3） arp s IP MAC 地址 向 ARP 緩存表中添加靜態(tài)項(xiàng)目（圖 2411 中 Type=static），該 項(xiàng)目在計(jì)算機(jī)啟動(dòng)過(guò)程中一直有效。 例如添加 IP 地址為 ，映射 MAC 地址為 000c2995b5e9 的靜態(tài) ARP 緩存表項(xiàng)，命令如下： arp s 000c2995b5e9（ Windows 平臺(tái)） arp s 00:0c:29:95:b5:e9（ Linux 平臺(tái)） （ 4） arp d IP 刪除 ARP 緩存表中靜態(tài)項(xiàng)目。 實(shí)驗(yàn)步驟 實(shí)驗(yàn)操作前實(shí)驗(yàn)主機(jī)需從 Web 資源庫(kù)下載 “灰鴿子”軟件、 zxARPs 軟件程序及 WinPcap程序 和網(wǎng)頁(yè)木馬模板 “ Trojan_template” 。 實(shí)驗(yàn)開(kāi)始前，各實(shí)驗(yàn)主機(jī)首先檢查主機(jī)配置的默認(rèn)網(wǎng)關(guān)和 DNS 是否正確。 1. 主機(jī) C 生成網(wǎng)頁(yè)木馬 (1) 解壓 “ 灰鴿子 ” 到 D 盤(pán)根目錄下。 (2) 打開(kāi) “ 灰鴿子 ” 軟件，配置木馬服務(wù)器程序 ()。自動(dòng)上線主機(jī)中填入主機(jī) C 的 IP 地址。保存到 C:\Ipub\root 目錄下，單擊生成服務(wù)器。 第十章 任務(wù) 10 ARP 欺騙 23 (3) 為 程序添加訪問(wèn)權(quán)限，鼠標(biāo)右鍵 木馬服務(wù)器程序，單擊 “ 屬性 ” |“ 安全 ” 。單擊 “ 添加 ” 按鈕。單擊高級(jí)按鈕，進(jìn)入 “ 選擇用戶或組 ” 界面，單擊 “ 立即查找 ” 按鈕。在 “ 搜索結(jié)果 ” 中選擇 IUSR_HOST 用戶。單擊所有界面確定。完成用戶權(quán)限配置。 (4) 解壓 “ Trojan_template” 到 D 盤(pán)根目錄，復(fù)制解壓后的 文件到c:\Ipub\root 目錄下，并將第 15 行 “ 主機(jī) IP 地址 ” 替換成主機(jī) C 的 IP 地址。 「注」注意查看生成的 和 文件是否允許 Inter 來(lái)賓賬戶的讀權(quán)限訪問(wèn)。 (5) 啟動(dòng) WWW 服務(wù)。 鼠標(biāo)右鍵單擊 “ 我的電腦 ” ，選擇 “ 管理 ” 。在 “ 計(jì)算機(jī)管理（本地） ” 中選擇 “ 服務(wù)和應(yīng)用程序 ” ｜ “ 服務(wù) ” ，啟動(dòng) “ World Wide Web Publishing Service” 服務(wù)。 2. 主機(jī) A 發(fā)起 ARP 欺騙攻擊 (1) 主機(jī) A 解壓 “ zxARPs” 軟件到 D 盤(pán)根目錄。 (2) 主機(jī) A 默認(rèn)安裝 WinPcap 軟件 。 (3) 主機(jī) A 單擊 “ 開(kāi)始 ” |“ 運(yùn)行 ” |“ cmd” ，進(jìn)入到 zxARPs 軟件目錄下，執(zhí)行如下命令： 「注」實(shí)際環(huán)境中，主機(jī) A 的操作可由外網(wǎng)主機(jī)遠(yuǎn)程控制進(jìn)行。上圖中在不同組中的實(shí)驗(yàn) 請(qǐng)將 IP 修改為本組 IP 中的網(wǎng)段地址。 3. 主機(jī) B 驗(yàn)證 ARP 木馬 (1) 主機(jī) A 發(fā)起攻擊后，主機(jī) B 打開(kāi) IE，瀏覽 Web 資源庫(kù)首頁(yè)）。 (2) 主機(jī) B 查看任務(wù)管理器中有幾個(gè) “ ” 進(jìn)程。 (3) 主機(jī) B 查看服務(wù)中是否存在名為 “ Windows XP Vista” 的服務(wù)。 (4) 主機(jī) B 在命令行下 ping 主機(jī) A 的 IP，使用 arp a 命令查看本地 ARP 緩存表，是否發(fā)現(xiàn)不同 IP 地址對(duì)應(yīng)同一 MAC 地址現(xiàn)象。