扫描器流光FLUXAY5的使用方法
一、新增功能
流光IV的高级扫描是和以前版本相比增加的最重要功能之一,包括了如下扫描功能:
PORTS(常用端口、自定义端口)
POP3(Banner、特定版本漏洞、暴力模式)
FTP(Banner、特定版本漏洞、暴力模式)
SMTP(Banner、特定版本漏洞、暴力模式)
IMAP(Banner、特定版本漏洞、暴力模式)
TELNET(Banner、特定版本漏洞)
CGI(Banner、Unix/NT自动识别、ErrorPage检测、规则库可手工加入)
SQL(通过漏洞扫描、暴力模式)
IPC(NETBIOS)(获得用户列表、共享列表、暴力模式)
IIS(IIS漏洞)
FINGER(Finger漏洞扫描)
RPC(Unix Finger漏洞扫描,获得用户列表)
MISC(Bind 版本、MySql弱密码扫描)
PLUGIN(可以方便地增加对某种类型漏洞的扫描)
流光IV和以往版本相比增加(修改)了如下功能:
IIS Remote Shell (修改, Remote Execute A-F)
IPC Pipe Remote Shell (新增)
IPC 植入者(新增)
SQL Remote Shell (修改)
PC AnyWhere 解码(新增)
支持HTTP Basic/Negotiate/NTLM方式认证 (新增)
IPC探测(修改)
IMAP探测(新增)
二、基本使用方法
从[探测]->[高级扫描功能]启动。
1、设定扫描的范围
起始地址/结束地址:需要扫描的IP地址范围。
目标系统:ALL-所有系统NT-NT/2000系统 UNIX-UNIX系统,根据选择的不同下面的[检测项目]将会有不同设置。
获取主机名:获取主机的名称。
检测项目:选择需要扫描的项目,根据选择的不同表单会有所不同。
2、端口扫描
标准端口扫描:包括常用的服务端口扫描
自定端口扫描:范围从1-65534
3、POP3扫描
获取POP3版本信息:取得Banner
尝试猜解用户:根据[选项]中的设置对常见用户名进行暴力模式猜解。
4、FTP扫描
获取FTP版本信息:取得Banner
尝试匿名登陆:测试FTP服务器能否匿名登陆
尝试猜解用户:根据[选项]中的设置对常见用户名进行暴力模式猜解。
5、SMTP扫描
获取SMTP版本信息:取得Banner
EXPN/VRFY扫描:通过SMTP的EXPN/VRFY验证用户是否存在。
6、IMAP扫描
获取IMAP版本信息:取得Banner
尝试猜解用户帐号:根据[选项]中的设置对常见用户名进行暴力模式猜解。
7、TELNET扫描
获取TELNET版本信息:取得Banner
8、CGI扫描
获取WWW版本信息:取得Banner
根据版本决定采用NT或者UNIX方式:根据www的版本信息,在扫描的时候自动选择NT规则库或者UNIX规则库。
支用HTTP 200/502有效:为了避免不必要的误报,只有HTTP返回200(OK)/502(Gateway Error)才认为有效。
流光IV中CGI扫描采用了Error_Page陷阱检测技术,使得一些采用了Error_Page的主机也能够被正常扫描到,这一点是目前几乎所有的CGI扫描器所不具备的。
9、CGI Rule设置
类型选择:可以选择ALL、NT、UNIX,如果在[CGI]中选择了[根据版本决定采用NT或者UNIX方式]此项通常无需更改。漏洞列表:默认扫描列表中的所有规则(全部选中),也可以根据需要只对某一个漏洞或者某几个漏洞进行扫描(仅选择需要的规则即可)。
CGI规则可以根据需要自行扩展,扩展的方法见[CGI规则的扩展]一节。
10、SQL
尝试通过漏洞获得密码:根据IIS的漏洞获得SQL的连接密码。对SA密码进行猜解:根据[选项]中的设置对SA密码进行暴力模式破解。
11、IPC
空连接(NULL Session)扫描:尝试和远程主机建立空连接,所谓空连接就是创建一个用户名和密码都为空的访问令牌。
扫描共享资源:扫描网络中的共享资源。
共享资源在98/ME/NT/2000中都存在,所不同的在于访问98/ME中共享资源通常无需提供任何凭证(也就是任何人都可以访问);访问NT/2000中的共享资源通常需要提供一个访问凭证(即需要有一个用户名和密码)。流光IV会对这两种不同的资源进行区分。
尝试获取用户名:NT/2000在默认安装的情况下可以通过空连接获取目标主机的用户名。
尝试对获取的用户名进行猜解:对获得用户名根据[选项]中的
设置进行暴力模式破解。
NT在通过IPC建立连接的时候,在同一时间只允许和一台主机建立一个连接,这样以来多线程就毫无用处。不过如果NT如果同时提供了MSFTP服务就可以通过FTP对用户进行告诉猜解(因为FTP没有同一时间只允许一个连接的限制),流光IV可以自动根据情况选择IPC或者FTP模式的猜解。
仅对Administrators组进行猜解:对获得的用户名进行判断,仅仅对属于Administrators组的用户进行上述猜解。
12、IIS
Unicode编码漏洞:尝试6种方法(Remoe Execute A-F)扫描Unicode编码漏洞。
FrontPage扩展:扫描是否安装了Frontpage扩展。
如果安装了Frontpage扩展,也可以采用HTTP扫描中的NTLM模式对NT系统帐号进行高速猜解。
共享资源在98/ME/NT/2000中都存在,所不同的在于访问98
/ME中共享资源通常无需提供任何凭证(也就是任何人都可以访问);访问NT/2000中的共享资源通常需要提供一个访问凭证(即需要有一个用户名和密码)。流光IV会对这两种不同的资源进行区分。
尝试获取SAM文件:NT/2000的密码文件存在于SAM文件中,如果获得了SAM文件就可以在本地利用L0pht下载)进行破解。尝试获取PcAnyWhere密码文件:尝试获取PcAnyWhere密码文件,获得后,可以用流光IV中工具进行解码(不是暴力破解)。13、Finger
扫描Finger功能:利用Finger功能可以测试某个用户是否存在。对Sun OS尝试获得用户列表:Sun OS的Finger功能由一个特点,可以列出最近登陆的用户名。
在FTP/POP3/IMAP扫描中也会首先进行Finger的测试,如果测试成功就会用获得用户名列表来代替[选项]中的用户名字典。
14、RPC
扫描RPC服务:扫描RPC服务,得到服务的ID的信息。
UNIX中的RPC是漏洞比较多的服务之一,特别是SunOS。
15、MISC
BIND版本扫描:扫描BIND服务,得到版本信息。
猜解MySQL密码:MySQL是UNIX中一种很常见的免费数据库(一般国内常见的模式是NT+IIS+MSSQL/UNIX+Apache+MySQL),得到了MySQL的密码就可以查阅数据库中的所有内容。
16、PLUGINS
类型:ALL、NT、UNIX。
PlugIn列表:列出当前安装的所有PlugIn的信息。
流光IV中的PlugIn是一项很有用的功能,可以很方便地利用现有流光的扫描框架进行扩展。
关于Plugin的具体信息,请参见[如何编写流光IV的插件]。
17、选项
猜解用户名字典:设置扫描中采用的用户字典,适用于POP3/FTP/IMAP/SQL/MYSQL。
猜解密码字典:设置扫描中采用的密码字典,适用于POP3/FTP/IMAP/SQL/MYSQL。
保存扫描报告:扫描的报告,采用HTML格式。
并发线程数目:默认80,可以根据情况增减,如果线程数目越大速度越快但是越容易误报和漏报。
网络选项:设置TCP参数
TCP连接超时:建立TCP连接时的超时设置,默认10秒(10000毫秒)
TCP数据超时:收发数据时的超时设置
如果建立连接或收发数据时出现了超时,则说明连接/收发数据失败。通常TCP超时设置小,扫描速度就越快,但是就越容易漏报。如果设置太大,扫描的速度会变慢,但是漏报就比较少。具体的设置,需要根据自己的的网络状况决定。
一、可以直接测试的部分
流光IV高级扫描完成后,会产生一个扫描报告,此外一部分扫描结果也会在界面上得到直接的反映。
1、IPC
对于IPC的扫描结果,可以直接在上面点左键,出现[连接...]字样,选择执行。
这时出现了NTCMD的界面,NTCMD如果连接成功具有System权限,可以执行命令,例如创建帐号等。关于IPC的更多信息请参
见[流光2000IPC使用说明]。
2、SQL
选择[连接...]出现SQL Shell的界面。如果没有安装SQL Server,那么对方主机必须允许建立空连接才能够连接成功(默认安装Express版,所以首先需要安装SqlRcmd Normal版,在SqlRcmd\Normal中)。为了让流光IV的SQL扫描发挥最大作用,建议安装SQL Server。
通常情况下,SQLCMD具有System权限,可以执行命令。如果SQL
Server是以用户身份启动,那么就具有启动用户身份的权限。如果需要将数据库的数据导出,通常需要安装SQL Server。3、FTP
同上述方法,流光IV会自动调用系统的FTP程序。
4、IIS Remote Execute -X
选择[连接...],出现一个设置的对话框
如果在使用中出现问题,请取消选择[允许IIS检测CMD]。
通常情况下IIS Remote Execute具有IUSR_ComputerName帐号
权限。
5、Remote FTP PCAnyWhere密码文件
使用此功能必须首先拥有一个具有写权限的FTP服务器,以便流光IV将密码文件上传。
出现上传FTP服务器设置的对话框。
如果上传失败(流光IV本身不能确认是否上传成功),请选择[禁止IIS检测CMD]。
上传成功之后,就可连接到自己指定的FTP的服务器,将文件下
载到本机,利用流光IV中PCAnyWhere解码工具解码。
这样就可以通过PCAnyWhere连接管理远程主机了。
6、FrontPage 扩展
如果扫描到FrontPage扩展,也可以用来暴力破解NT系统帐号(当然这种方法没有直接通过MSFTP快)。
(1)、首先通过IPC得到用户列表(具体方法参见[流光2000IPC 探测说明])
(2)、加入HTTP主机
注意后面的URL不要敲错。
(3)、从IPC主机导入
(4)、选择需要探测的用户
(5)、加入字典后开始扫描
注意在HTTP的NTLM和Negotiate模式中只能开启一个线程。
7、IIS5 .Printer
可以使用IIS5Hacker测试。
二、其他部分
1、IPC种植者
如果获得了NT/2000机器的Administrators组的密码,也可以通过IPC种植者上传和执行程序(利用Schedule服务和IPC管道)。
从[工具]->[NT/IIS]->[种植者]启动程序。