第五章 自動化掃描

作者：Gilberto Najera-Gutierrez

譯者：飛龍

協(xié)議：CC BY-NC-SA 4.0

簡介

幾乎每個滲透測試項目都需要遵循嚴格的日程，多數(shù)由客戶的需求或開發(fā)交談日期決定。對于滲透測試者，擁有一種工具，它可以在很短的時間內(nèi)執(zhí)行單個應用上的多個測試，來盡可能在排期內(nèi)識別最多漏洞很有幫助。自動化漏洞掃描器就是完成這種任務的工具，它們也用于發(fā)現(xiàn)替代的利用，或者確保滲透測試中不會遺漏了明顯的事情。

Kali 包含一些針對 Web 應用或特定 Web 漏洞的漏洞掃描器。這一章中，我們會涉及到一些在滲透測試者和安全研究員中最廣泛使用工具。

5.1 使用 Nikto 掃描

每個測試者的工具庫中必定含有的工具就是 Nikto，它可能是世界上使用最廣泛的自由掃描器。就像它的網(wǎng)站（https://cirt.net/Nikto2）上所說的那樣：

Nikto 是開源（GPL）的 Web 服務器掃描器，它對 Web 服務器執(zhí)行綜合掃描，包含超過 6700 個潛在的危險文件或程序，檢查超過 1250 個服務器的過期版本，以及超過 270 個服務器上的特定問題。它也會檢查服務器配置項，例如多個首頁文件的存在，HTTP 服務器選項，也會嘗試識別安裝的 Web 服務器和軟件。掃描的項目和插件也會經(jīng)常更新，并可以自動更新。

這個秘籍中，我們會使用 Nikto 來搜索 Web 服務器中的漏洞并分析結(jié)果、

操作步驟

1. Nikto 是個命令行工具，所以我們打開終端。

2. 我們會掃描 Peruggia 漏洞應用，并導出結(jié)果到 HTML 報告：

   nikto -h http://192.168.56.102/peruggia/ -o result.html
   

   -h選項告訴 Nikto 掃描哪個主機，-o選項告訴在哪里存放輸出，文件的擴展名決定了接受的格式。這里，我們使用.html來獲得 HTML 格式的結(jié)果報告。輸出也可以以 CSV、TXT 或 XML 格式。

3. 它需要一些時間來完成掃描。完成之后，我么可以打開result.html文件：

工作原理

這個秘籍中，我們使用 Nikto 來掃描應用并生成 HTML 報告。這個工具擁有一些更多的選項，用于執(zhí)行特定掃描或生成特定輸出格式。一些最實用的選項是：

• -H：這會顯示 Nikto 的幫助。

• -config <file>：在掃描中用自定義的配置文件。

• -update：更新插件數(shù)據(jù)庫。

• -Format <format>：這定義了輸出格式，可以為CSV、HTML、NBE（Nessus）、SQL、TXT 或 XML。例如 CSV、XML 和 NBE 的格式在我們打算將其用于其它工具的輸入時非常實用。

• -evasion <techique>：這使用一些編碼技巧來幫助避免 Web 應用防火墻和入侵檢測系統(tǒng)的檢測。

• -list-plugins：查看可用的測試插件。

• -Plugins <plugins>：選擇在掃描中使用哪個插件（默認為全部）。

• -port <port number>：如果服務器使用非標準端口（80，443），我們可能會以這個選項來使用 Nikto。

5.2 使用 Wapiti 發(fā)現(xiàn)漏洞

Wapiti 是另一個基于終端的 Web 漏洞掃描器，它發(fā)送 GET 和 POST 請求給目標站點，來尋找下列漏洞（<http://wapiti. sourceforge.net/>）：

• 文件泄露

• 數(shù)據(jù)庫注入

• XSS

• 命令執(zhí)行檢測

• CRLF 注入

• XXE（XML 外部實體）注入

• 已知潛在危險文件的使用

• 可被繞過的.htaccess弱配置

• 提供敏感信息的備份文件（源碼泄露）

這個秘籍中，我們使用 Wapiti 來發(fā)現(xiàn)我們的測試應用上的漏洞，并生成掃描報告。

操作步驟

1. 我們可以從終端窗口打開 Wapiti，例如：

   wapiti http://192.168.56.102/peruggia/ -o wapiti_result -f html -m "-blindsql"
   

   我們會掃描 vulnerable_vm 中的 Peruggia 應用，將輸出保存為 HTML 格式，保存到wapiti_result目錄中，并跳過 SQL 盲注檢測。

2. 如果我們打開了報告目錄，和index.html文件，我們會看到一些這樣的東西：

   這里，我們可以看到 Wapiti 發(fā)現(xiàn)了 12 個 XSS 和 20 個文件處理漏洞。

3. 現(xiàn)在點擊Cross Site Scripting（跨站腳本）。

4. 選項某個漏洞并點擊HTTP Request。我們選擇第二個，選中并復制請求的 URL 部分。

5. 現(xiàn)在，我們將 URL 粘貼到瀏覽器中，像這樣：http://192.168.56.102/ peruggia/index.php?action=comment&pic_id=%3E%3C%2Fform%3E%3Cscr ipt%3Ealert%28%27wxs0lvms89%27%29%3C%2Fscript%3E。

   我們確實發(fā)現(xiàn)了 XSS 漏洞。

工作原理

這個秘籍中，我們跳過了 SQL 盲注檢測（-m "-blindsql"），因為這個應用存在這個漏洞。它會觸發(fā)超時錯誤，使 Wapiti 在掃描完成之前關(guān)閉，因為 Wapiti 通過輸入 sleep()命令來測試多次，直到服務器超過了超時門檻。同時，我們?yōu)檩敵鲞x擇了 HTML 格式（-o html），wapiti_result作為報告的目標目錄，我們也可以選擇其他格式，例如，JSON、OpenVAS、TXT 或 XML。

Wapiti 擁有一些其它的有趣的選項，它們是：

• -x <URL>：從掃描中排除特定的 URL，對于登出和密碼修改 URL 很實用。

• -i <file>：從 XML 文件中恢復之前保存的掃描。文件名稱是可選的，因為如果忽略的話 Wapiti 從scan文件夾中讀取文件。

• -a <login%password>：為 HTTP 登錄使用特定的證書。

• --auth-method <method>：為-a選項定義授權(quán)方式，可以為basic，digest，kerberos 或 ntlm。

• -s <URL>：定義要掃描的 URL。

• -p <proxy_url>：使用 HTTP 或 HTTPS 代理。

5.3 使用 OWASP ZAP 掃描漏洞

OWASP ZAP 是我們已經(jīng)在這本書中使用過的工具，用于不同的任務，并且在它的眾多特性中，包含了自動化的漏洞掃描器。它的使用和報告生成會在這個秘籍中涉及。

準備

在我們使用 OWASP ZAP 成功執(zhí)行漏洞掃描之前，我們需要爬取站點：

1. 打開 OWASP ZAP 并配置瀏覽器將其用作代理。

2. 訪問 192.168.56.102/peruggia/。

3. 遵循第三章“使用 ZAP 的蜘蛛”中的指南。

操作步驟

1. 訪問 OWASP ZAP 的Sites面板，并右擊peruggia文件夾。

2. 訪問菜單中的Attack | Active Scan。

3. 新的窗口會彈出。這里，我們知道我們的應用和服務器使用哪種技術(shù)，所以，訪問Technology標簽頁，并只勾選MySQL、PostgreSQL和Linux，以及Apache。

   這里我們可以配置我們的掃描器的Scope（從哪里開始掃描、在什么上下文中，以及其它）、Input Vectors（選項是否你打算測試 GET 和 POST 請求、協(xié)議頭、Cookie和其它選項）、Custom Vectors（向原始請求中添加特定的字符或單詞作為攻擊向量）、Technology（要執(zhí)行什么技術(shù)特定的測試）、以及Policy（為特定測試選項配置參數(shù)）。

4. 點擊Start Scan。

5. Active Scan標簽頁會出現(xiàn)在面板頂部，并且所有請求都會出現(xiàn)在那里。當掃描完成時，我們可以在ALerts標簽頁中檢查結(jié)果。

6. 如果我們選項某個警告，我們可以查看生成的請求，以及從服務器獲得的響應。這允許我們分析攻擊并判斷是否是真正的漏洞，或者是誤報。我們也可以使用這個信息來模糊測試，在瀏覽器中重放這個請求，或者深入挖掘以利用。為了生成 HTML 報告，就像前一個工具那樣，在主菜單中訪問Report之后選擇Generate HTML Report....。

7. 新的對話框會詢問文件名和位置。例如，設置zap_result. html并且在完成時打開文件：

工作原理

OWASP ZAP 能夠執(zhí)行主動和被動漏洞掃描。被動掃描是 OWASP ZAP 在我們?yōu)g覽過、發(fā)送數(shù)據(jù)和點擊鏈接程中進行的非入侵測試。主動測試涉及對每個表單變量或請求值使用多種攻擊字符串，以便檢測服務器的響應是否帶有我們叫做“脆弱行為”的東西。

OWASP ZAP 使用多種技術(shù)生成測試字串，它對于首次識別目標所使用的技術(shù)非常實用，以便優(yōu)化我們的掃描并減少被檢測到或?qū)е路毡罎⒌目赡堋?/p>

這個工具的另一個有趣特性是，我們可以產(chǎn)生于漏洞檢測中的請求，而且它的相應響應在檢測的時候會位于相同窗口中。這允許我們快讀判斷它是真正的漏洞還是誤報，以及是否要開發(fā)我們的漏洞證明（POC）還是開始利用。

更多

我們已經(jīng)談論到 Burp Suite。Kali 只包含了免費版本，它沒有主動和被動掃描特性。強烈推薦你獲得 Burp Suite 的專業(yè)版許可證，因為它擁有實用特性和免費版之上的改進，例如主動和被動漏洞掃描。

被動漏洞掃描在我們使用 Burp Suite 作為瀏覽器的代理，并瀏覽網(wǎng)頁時發(fā)生。Burp 會分析所有請求和響應，同時查找對應已知漏洞的模式。

在主動掃描中，Burp 會發(fā)送特定的請求給服務器并檢查響應來查看是否對應一些漏洞模式。這些請求是特殊構(gòu)造的，用于觸發(fā)帶有漏洞的應用的特定行為。

5.4 使用 w3af 掃描

w3af 支持應用審計和攻擊框架。它是開源的，基于 Python 的 Web 漏洞掃描器。它擁有 GUI 和命令行界面，都帶有相同的功能。這個秘籍中，我們會使用 w3af 的 GUI 配置掃描和報告選項來執(zhí)行掃描。

操作步驟

1. 為了啟動 w3af 我們可以從應用菜單欄選擇它，通過瀏覽Applications | 03 Web Application Analysis | w3af，或者從終端中：

   w3af_gui
   

2. 在Profiles部分中，我們選擇full_audit。

3. 在插件部分中，訪問crawl并選擇web_spider（已經(jīng)選擇的項目）。

4. 我們不打算讓掃描器測試所有服務器，而是我們讓它測試應用。在插件部分中，選中only_forward選項并點擊Save。

5. 現(xiàn)在，我們會告訴 w3af 在完成時生成 HTML 報告。訪問output插件并選中html_file。

6. 為了選擇文件名稱和保存報告的位置，修改output_file選項。這里我們會指定根目錄下的w3af_report.html，點擊Save。

7. 現(xiàn)在在Target文本框中，輸入打算測試的 URL，這里是http://192.168.56.102/WackoPicko/，并點擊Start。

8. 日志標簽頁會獲得焦點，我們能夠看到掃描的進程。我們需要等待它完成。

9. 完成之后，切換到Results標簽頁，像這樣：

10. 為了查看詳細的報告，在瀏覽器中打開w3af_report.htmlHTML 文件。

工作原理

w3af 使用配置文件來簡化為掃描選擇插件的任務，例如，我們可以定義只含有 SQL 注入的配置文件，它測試應用的 SQL 注入，不干其他的事情。full_audit配置使用一些插件，它們執(zhí)行爬蟲測試、提取可以用作密碼的單詞列表、測試大多數(shù)相關(guān)的 Web 漏洞，例如 XSS、SQLi、文件包含、目錄遍歷以及其它。我們修改了web_spider插件來前向爬取，以便我們可以專注于打算測試的應用，避免掃描到其它應用。我們也修改了輸出插件來生成 HTML 報告，而不是控制臺輸出和文本文件。

w3af 也擁有一些工具，例如攔截代理、模糊測試器、文本編解碼器、以及請求導出器，它可以將原始的請求轉(zhuǎn)換為多種語言的源代碼。

更多

w3af 的 GUI 有時會不穩(wěn)定。在它崩潰以及不能完成掃描的情況下，它的命令行界面可以提供相同的功能。例如，為了執(zhí)行我們剛才執(zhí)行的相同掃描，我們需要在終端中做下列事情：

w3af_console 
profiles
use full_audit 
back 
plugins 
output config html_file 
set output_file /root/w3af_report.html 
save 
back 
crawl config web_spider 
set only_forward True 
save 
back 
back 
target 
set target http://192.168.56.102/WackoPicko/ 
save 
back 
start

5.5 使用 Vega 掃描器

Vega 是由加拿大公司 Subgraph 制作的 Web 漏洞掃描器，作為開源工具分發(fā)。除了是掃描器之外，它也可以用作攔截代理，以及在我們?yōu)g覽器目標站點時掃描。

這個秘籍中，我們會使用 Vega 來發(fā)現(xiàn) Web 漏洞。

操作步驟

1. 從應用菜單中選擇它，訪問Applications | Kali Linux | Web Applications | Web Vulnerability Scanners | vega，或者通過終端來打開 Vega：

   vega
   

2. 點擊“開始新掃描“按鈕。

3. 新的對話框會彈出。在標為Enter a base URI for scan的輸入框中，輸入http://192.168.56.102/WackoPicko來掃描應用。

4. 點擊Next。這里我們可以選擇在應用上運行那個模塊。讓我們保持默認。

5. 點擊Finish來開始掃描。

6. 當掃描完成時，我們可以通過訪問左邊的Scan Alerts樹來檢查結(jié)果。漏洞詳情會在右邊的面板中展示，像這樣：

工作原理

Vega 的工作方式是首先爬取我們指定為目標的 URL，識別表單和其它可能的數(shù)據(jù)輸入，例如 Cookie 或請求頭。一旦找到了它們，Vega 嘗試不同的輸入，通過分析響應并將它們與已知漏洞模式匹配來識別漏洞。

在 Vega 中，我們可以掃描單個站點或范圍內(nèi)的一組站點。我們可以通過選擇在掃描中使用的模塊，來選擇要進行哪種測試。同樣，我們可以使用身份（預保存的用戶/密碼組合）或者會話 Cookie來為站點認證，并且從測試中排除一些參數(shù)。

作為重要的缺陷，它并沒有報告生成或數(shù)據(jù)導出特性。所以我們需要在 Vega GUI 中查看所有的漏洞描述和詳情。

5.6 使用 Metasploit 的 Wmap 發(fā)現(xiàn) Web 漏洞

Wmap 本身并不是漏洞掃描器，他是個 Metasploit 模塊，使用所有框架中的 Web 漏洞和服務器相關(guān)的模塊，并使它們協(xié)調(diào)加載和對目標服務器執(zhí)行。它的結(jié)果并不會導出為報告，但是會作為 Metasploit 數(shù)據(jù)庫中的條目。

這個秘籍中，我們會使用 Wmap 來尋找 vulnerable_vm 中的漏洞，并使用 Metasploit 命令行工具來檢查結(jié)果。

準備

在我們運行 Metasploit 的控制臺之前，我們需要啟動 所連接的數(shù)據(jù)庫服務器，以便保存我們生成的結(jié)果：

service postgresql start

操作步驟

1. 啟動終端并運行 Metasploit 控制臺：

   msfconsole 
   

2. 加載完成后，加載 Wmap 模塊：

   load wmap 
   

3. 現(xiàn)在，我們向 Wamp 中添加站點：

   wmap_sites -a http://192.168.56.102/WackoPicko/ 
   

4. 如果我們打算查看注冊的站點：

   wmap_sites -l 
   

5. 現(xiàn)在我們將這個站點設為掃描目標：

   wmap_targets -d 0 
   

6. 如果我們打算插件所選目標，我們可以使用：

   wmap_targets -l 
   

7. 現(xiàn)在，我們執(zhí)行測試：

   wmap_run -e
   

8. 我們需要使用 Metasploit 的命令來檢查記錄的漏洞：

   vulns 
   wmap_vulns
   

工作原理

Wmap 使用 Metasploit 的模塊來掃描目標應用和服務器上的漏洞。它從 Metasploit 的數(shù)據(jù)庫和模塊中獲取站點信息，并將結(jié)果發(fā)送到數(shù)據(jù)庫中。這個集成的一個非常實用的層面是，如果我們執(zhí)行多個服務器上的滲透測試，并且在測試中使用 Metasploit，Wmap 會自動獲得所有 Web 服務器的 IP 地址，和已知 URL，并將它們集成為站點，以便當我們打算執(zhí)行 Web 評估時，我們只需要從站點列表中選擇目標。

在執(zhí)行wmap_run的時候，我們可以選擇要執(zhí)行哪個模塊。通過-m選項和正則表達式。例如，下面的命令行會開啟所有模塊，除了包含dos的模塊，這意味著沒有拒絕服務測試：

wmap_run -m ^((?!dos).)*$ 

另一個實用的選項是-p。它允許我們通過正則表達式選擇我們打算測試的路徑，例如，在下一個命令中，我們會檢查所有包含單詞login的 URL。

wmap_run -p ^.*(login).*$

最后，如果我們打算導出我們的掃描結(jié)果，我們總是可以使用 Metasploit 的數(shù)據(jù)庫特性。例如，在 MSF 控制臺中使用下列命令來將整個數(shù)據(jù)庫導出為 XML 文件。

db_export -f xml /root/database.xml