實驗三 綜合掃描及安全評估一、實驗目的通過使用綜合掃描及安全評估工具，掃描系統(tǒng)的漏洞并給出安全評估報告，加深對各種網(wǎng)絡和系統(tǒng)漏洞的理解，同時，通過系統(tǒng)漏洞的入侵練習，可以增強在網(wǎng)絡安全方面的防護意識。

實驗三 綜合掃描及安全評估

一、實驗目的

通過使用綜合掃描及安全評估工具，掃描系統(tǒng)的漏洞并給出安全評估報告，加深對各種網(wǎng)絡和系統(tǒng)漏洞的理解，同時，通過系統(tǒng)漏洞的入侵練習，可以增強在網(wǎng)絡安全方面的防護意識。

二、實驗原理

綜合掃描和安全評估工具是一種自動檢測系統(tǒng)和網(wǎng)絡安全弱點的程序，它是一種主要的網(wǎng)絡安全防御技術，與防火墻技術、入侵檢測技術、加密和認證技術處于同等重要的地位。其作用是在發(fā)生網(wǎng)絡攻擊事件前，系統(tǒng)管理員可以利用綜合掃描和安全評估工具檢測系統(tǒng)和網(wǎng)絡配置的缺陷和漏洞，及時發(fā)現(xiàn)可被黑客入侵的漏洞隱患和錯誤配置，給出漏洞的修補方案，使系統(tǒng)管理員可以根據(jù)方案及時進行漏洞的修補。另一方面，綜合掃描和安全評估工具也可以被黑客利用，對網(wǎng)絡主機進行弱口令掃描、系統(tǒng)漏洞掃描、主機服務掃描等多種方式的掃描，同時采用模擬攻擊的手段檢測目標主機的通信、服務、Web 應用等多方面的安全漏洞，以期找到入侵途徑。

綜合掃描和安全評估技術的工作原理：首先是獲得主機系統(tǒng)在網(wǎng)絡服務、版本信息、Web 應用等相關信息，然后采用模擬攻擊的方法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描，如測試弱口令等，如果模擬攻擊成功，則視為漏洞存在。此外，也可以根據(jù)系統(tǒng)事先定義的系統(tǒng)安全漏洞庫，對系統(tǒng)可能存在的、已知的安全漏洞逐項進行掃描和檢查，按照規(guī)則匹配的原則將掃描結果向系統(tǒng)管理員提供周密可靠的安全性分析報告，作為系統(tǒng)和網(wǎng)絡安全整體水平的評估依據(jù)。

對于系統(tǒng)管理員來說，綜合掃描和安全評估工具是最好的幫手，合理的利用這些工具，可以在安全保衛(wèi)戰(zhàn)中做到“有的放矢”，及時發(fā)現(xiàn)漏洞并通過下載相關程序的補丁或者更改安全配置來修補漏洞，構筑安全堅固的系統(tǒng)。目前，常用的綜合掃描和安全評估工具有很多，比如免費的流光Fluxay 、X-Scan 、X-way 以及功能強大的商業(yè)軟件：ISS Internet Scanner和ISS Security Scanner、CyberCop Scanner、NetRecon 、Web Trends Security Analyzer 、SSS （Shadow Security Scanner）、TigerSuite 等。

下面將以流光Fluxay5為例，介紹綜合掃描和安全評估工具的使用，并進行入侵模擬練習。

- 1 -

三、實驗環(huán)境

安裝Windows XP系統(tǒng)和Windows 2000系統(tǒng)的虛擬機各一臺，或兩臺均為Windows XP 系統(tǒng)，其中：一臺Windows XP 系統(tǒng)安裝流光Fluxay5，另一臺Windows 2000系統(tǒng)（或XP 系統(tǒng)）設置至少兩個賬戶：administrator 和test ，其中administrator 用戶為管理員，密碼是弱口令123456，test 用戶身份任意，開機口令由簡單的數(shù)字組成，如654321等。另外，Windows 2000系統(tǒng)（或XP 系統(tǒng)）安裝FTP 服務器，允許匿名訪問，F(xiàn)TP 服務器的其他設置任意。

【注1】：流光Fluxay5、輕松控制及FTP 架設工具Serv-U.10在系FTP

（ftp://172.22.28.254）任課教師文件夾中下載。

【注2】：如果主機上安裝了防火墻和殺毒軟件，將它們關閉，因為殺毒軟件會把流光的某些組件認為是病毒并將其清除掉。

四、實驗內(nèi)容和任務

A ．任務總述：

在Windows XP系統(tǒng)中，使用流光Fluxay5對Windows 2000系統(tǒng)（或XP 系統(tǒng)）進行安全漏洞綜合掃描，內(nèi)容有：（1）掃描目標系統(tǒng)開放的FTP 服務及匿名登陸服務，并測試匿名登陸是否成功；（2）利用掃描出的管理員賬號及口令，使用IPC$共享通道與主機建立連接，向其種植“輕松控制”木馬的服務端，實現(xiàn)遠程操控。

B ．具體流程：

1、學習流光Fluxay5的使用

流光是一款非常優(yōu)秀的綜合掃描工具，不僅具有完善的掃描功能，而且自帶了若干猜解器和入侵工具，可方便地利用掃描的漏洞進行入侵教學演示。啟動流光工具后可以看到它的主界面，如圖5-1所示。

圖5-1 流光Fluxay5主界面

- 2 -

2、掃描主機漏洞

（1）打開“文件”菜單下的“高級掃描向導”選項，打開如圖5-2所示的窗口。

圖5-2 掃描設置選項圖 5-3 端口掃描設置

在“起始地址”中填入要掃描主機的開始地址，在“結束地址”中填入掃描主機的結束地址。如果只掃描一臺主機，則在“起始地址”和“結束地址”中均填入這臺主機的IP 地址。也可以對一個網(wǎng)段內(nèi)的所有主機進行掃描，但注意不要掃描太多，以免造成網(wǎng)絡不穩(wěn)定。“Ping 檢查”選項一般要選中，這樣會先Ping 主機，如果成功則再掃描，這樣可以節(jié)省掃描時間，在檢測項目選項中選中Ports 、FTP 、TELNET 、IPC 、CGI/ASP、IIS 、PLUGINS ，我們只對這些漏洞進行掃描，單擊“下一步”按扭，彈出如圖5-3所示的對話框。

在“標準端口掃描”選項中，流光會掃描大約幾十個標準服務端口，而自定義掃描端口的范圍可以在1～65536范圍內(nèi)選擇。我們可以選擇“標準端口掃描”，然后陸續(xù)單擊“下一步”按扭，彈出嘗試獲取POP3的版本信息和用戶密碼的對話框以及獲取FTP 的Banner 、嘗試匿名登陸、嘗試用簡單字典對FTP 賬號進行暴力破解的對話框，選中這3項，再單擊“下一步”，將彈出詢問獲取SMTP 、IMAP 和操作系統(tǒng)版本信息以及用戶信息的提示，并詢問掃描SunOS/bin/Login遠程溢出弱點的對話框。

再往下將掃描Web 漏洞的信息，可按照事先定義的CGI 漏洞列表，選擇不同的漏洞對目標計算機進行掃描，如圖5-4所示。

圖5-4 CGI設置選項 圖5-5 IPC設置選項

- 3 -

單擊“下一步”，打開對MSSQL2000數(shù)據(jù)庫漏洞、SA 密碼和版本信息進行掃描的對話框，接著單擊“下一步”，彈出如圖5-5所示的對話框，在這里，將對主機系統(tǒng)的IPC 漏洞進行掃描，查看是否有空連接、共享資源、獲得用戶列表并破解用戶密碼。

選擇我們需要的掃描選項，如果不選擇最后一項，將對所有用戶的密碼進行猜解，否則只對管理員用戶組的密碼進行猜解，單擊“下一步”，彈出如圖5-6所示對話框。在這個對話框中，將設置對IIS 的漏洞掃描選項，包括掃描Unicode 編碼漏洞、是否安裝了Frontpage 擴展、嘗試得到SAM 文件、嘗試得到PCAnywhere 的密碼文件等。

圖5-6 IIS設置選項 圖5-7 Plugins設置選項

根據(jù)需要選擇選項，然后單擊“下一步”按扭，下面將對Finger 、RPC 、BIND 、MySQL 、SSH 的信息進行掃描，之后單擊“下一步”按扭，彈出如圖5-7所示的對話框。

在這里，流光提供了6個插件的漏洞掃描，可根據(jù)需要選擇，然后單擊“下一步”按鈕，打開如圖5-8所示的對話框。

5-8 選項對話框 5-9 選擇掃描引擎

這個對話框中，通過“猜解用戶名字典”嘗試暴力猜測的用戶，用于除了IPC 之外的項目。此外，如果掃描引擎通過其它途徑獲得了用戶名（例如通過Finger 等），那么也不采用這個用戶名字典。保存掃描報告存放名稱和位置，默認情況下文件名以［起始

- 4 -

IP ］-［結束IP ］.html 為命名規(guī)則。

這樣，設置好了要掃描的所有選項，單擊“完成”按扭，彈出選擇掃描引擎對話框，如圖5-9所示。

這樣默認的本地主機作為掃描引擎，單擊“開始”按鈕開始掃描，經(jīng)過一段時間后，會有類似于圖5-10所示的掃描結果以及圖5-11所示的掃描報告。

圖5-10 掃描結果

圖5-11 掃描報告

3、分析掃描結果、FTP 服務器搭建及IPC$模擬入侵

（1）端口漏洞分析

我們發(fā)現(xiàn)被掃描主機開放了很多端口，有些開放的端口極不安全，具體說明如下： 端口21：FTP 端口，攻擊者可能利用用戶名和密碼過于簡單，甚至可以匿名登錄的漏洞登錄到目標主機上，并上傳木馬或病毒而控制目標主機。

端口23：Telnet 端口，如果目標主機開放了23端口，但用戶名和密碼過于簡單，攻擊者破解后就可以登錄主機并查看任何信息，甚至控制目標主機。

端口25：SMTP 端口，主要用于發(fā)送郵件，如今絕大多數(shù)郵件服務器都使用該協(xié)議。

- 5 -

端口53：DNS 端口，主要用于域名解析，DNS 服務在NT 系統(tǒng)中使用最為廣泛。 端口80：HTTP 端口，主要用于在WWW 服務上傳輸信息的協(xié)議，此端口開放本身沒有太大的危險，但如果目標主機有SQL 注入漏洞，攻擊者就可能利用此端口進行攻擊。

端口139：NETBIOS 會話服務端口，主要用于提供Windows 文件和打印機共享以及Unix 中的Samba 服務，139端口可以被攻擊者利用，建立IPC 連接入侵目標主機，然后獲得目標主機的Root 權限并放置病毒或木馬。

端口443：網(wǎng)頁瀏覽端口，主要用于HTTPS 服務，是提供加密和通過安全端口傳輸?shù)牧硪环NHTTP 。HTTPS 服務一般是通過SSL 來保證安全性的，但是SSL 漏洞可能會受到黑客的攻擊，比如可以黑掉在線銀行系統(tǒng)、盜取信用卡賬號等。

端口3389：這個端口的開放使安裝了終端服務和全拼輸入法的Windows 2000服務器（SP1之前的版本）存在著遠程登錄并獲得超級用戶權限的嚴重漏洞，利用輸入法漏洞進行攻擊，就可以使攻擊者很容易的拿到Administrator 組權限。

（2）FTP 服務器搭建及漏洞分析

我們在掃描結果圖5-10中可以看到FTP 的名稱是pt-uiovxwhbyvd9，而且目標主機可以匿名登陸，我們直接可以利用流光提供的入侵菜單進行FTP 登錄，單擊密碼破解成功的賬號，然后單選擇“Connect ”，如圖5-12所示，直接通過FTP 連接到目標主機上。

圖5-12 遠程登錄FTP

如果FTP 匿名賬號具有寫權限，我們就可以往目標主機上傳任意文件了，包括木馬和病毒，即使FTP 匿名賬號不具有寫權限，允許匿名訪問也是有危險的，因為有豐富經(jīng)驗的黑客也能通過緩沖區(qū)溢出等其它方法提升匿名賬號權限，從而獲得超級管理員的權限。

- 6 -

【注意】

本部分難點：關于FTP 服務器的構建，本實驗僅提供搭建工具serv-u ，具體搭建過程，需自行上網(wǎng)查找資料完成。

要求：只需完成創(chuàng)建一個可匿名登錄的FTP 服務器，并使用FlashFXP.exe 登錄測試成功即可，其他設置后續(xù)課程將繼續(xù)講解。

（3）IPC$漏洞分析

IPC$是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應的權限，在遠程管理計算機和查看計算機的共享資源時使用。利用IPC$，連接者可以與目標主機建立一個空的連接而無需用戶名和密碼，利用這個空的連接，連接者還可以得到目標主機上的用戶列表。

由圖5-10所示的掃描結果可以看出，我們與目標主機建立了空連接，而且得知它有5個用戶，最重要的是“流光”采取密碼破解的方法破解出了一個用戶的簡單密碼，如圖5-12所示。下面我們利用已被破解的用戶入侵目標主機。

首先，我們用net use命令與目標主機建立連接，如圖5-13所示，注意命令中的IP 地址，密碼和用戶名應根據(jù)實際情況修改，如果提示“命令成功完成”，表明執(zhí)行成功，否則需檢查對方是否開啟IPC 共享，或命令行的輸入是否有錯。然后上傳木馬或者其它程序來監(jiān)控目標主機或利用該主機攻擊其它計算機，如圖5-13就成功地上傳了 “輕松控制”木馬的服務器文件server.exe （首先應學會“輕松控制”木馬的使用），利用該文件可以進行遠程控制。如圖5-14所示，首先使用net time命令查看目標主機的當前時間，再利用at 命令讓服務器程序在指定的時間（這個時間必須比查詢到的時間晚一些，否則無法啟動）運行。

圖5-13 與目標主機建立連接并上傳文件

- 7 -

圖5-14查詢目標主機當前時間并添加任務到目標主機

在客戶端運行“輕松控制”木馬的客戶端程序“輕松遠程控制.exe ”，查看目標主機是否上線，如上線成功，如圖5-15所示，說明上述入侵過程成功執(zhí)行，否則，需檢查過程中的錯誤。

圖5-15 目標主機上線成功

五、實驗報告要求：

1. 完整記錄綜合掃描及入侵過程，包括FTP 服務器的搭建和IPC$入侵流程，要有相應截圖予以說明；

2. 對于禁止建立空連接和防止IPC$漏洞，還有什么其他方法，請再列舉1—2種解決方案。

- 8 -

【附錄】：

為了禁止建立空連接和防止IPC$漏洞，需要對注冊表進行修改，修改或添加下面的鍵值：

1. 運行-regedit

2. 將[HKEY_LOCAL_MACHINESYSTEMCurrentContronSetControlLSA]中

RestrictAnonymous 的鍵值修改為DWORD:00000001；

3. server 版:找到如下主鍵

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareServer （DWORD ）的鍵值改為:00000000。

pro 版:找到如下主鍵

[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters]把AutoShareWks （DWORD ）的鍵值改為:00000000。

注：如果上面所說的主鍵不存在，就新建(右擊-新建-雙字節(jié)值）一個主健再改鍵值。

- 9 -