『弱點分析』與『信息收集』類工具的定位非常不同,其中包含大量的模糊測試工具。正確使用這些工具,將有助於我們發現可能存在的零日漏洞。同時此類工具中還包含了大量VoIP相關的滲透測試工具,這可能是安全人員較少考慮的技術領域。總的來說,這是非常值得大家認證掌握的一類工具。
注:工具序號繼承了『信息收集』類工具的編號順序;同時,部分課時內包含有多個同類工具。
060:Cisco-Auditing-Tool
描述:這是『弱點分析』類中的第一個工具。作為網絡中主要連接設備的交換機和路由器,承載着網絡的全部流量轉發,如果這些設備受到黑客控制,造成的破壞效果可能遠遠高於一個服務器被攻擊的情況,而且這一切可能更加隱蔽且難於被發現。安全意識淡漠的網絡管理員,可能非常喜歡使用過於簡單的密碼和SMNP團體名來管理設備,這正是Cisco-Auditing-Tool工具的用武之地,它支持使用內建和用戶指定的密碼字典進行保密破解,從而發現網絡設備的不安全配置。
061:cisco-global-exploiter
描述:路由器和交換機作為網絡中主要的連接設備,承載着全部的網絡流量。但網絡設備一旦上線運行,則很難再次停機進行維護和升級,因此其產品自身存在的漏洞可能長期得不到修復。加之大量網絡工程師只以網絡能通作為衡量自生工作的唯一標准,因此網絡設備的安全性問題,長期都得不到及時的改善。思科作為世界上最大的網絡設備供應商,歷史上其產品曾被發現存在多個漏洞,cisco-global-exploiter就是一個針對思科設備的漏洞利用工具合集。其中包含了14個思科各類產品的漏洞利用功能,雖然洞領略高,但我們對其仍然不能忽視。
062:cisco-torch
描述:出於對已有工具功能的不滿,作者開發了cisco-torch這個專門針對思科設備的掃描工具。與其他同類工具相比,cisco-torch具備多種應用層協議的指紋識別特性,借助與第三方指紋庫的比對,它可以輕松識別目標設備及系統類型。同時由於采用了多線程的開發方式,所以在性能上torch也同樣表現突出。另外在密碼破解和漏洞利用方面,torch也具備相應的能力。如果torch破解了設備讀寫權限的SNMP Community,還會利用其獲取設備的完整配置。
063:cisco-ocs
描述:路由器和交換機作為網絡中主要的連接設備,承載着絕大部分的流量。由於企業缺乏安全配置的統一規范,以及網絡工程師自身安全意識的淡漠,經常會有人使用“cisco”作為設備的遠程管理密碼。cisco-ocs的功能非常單一,它首先會使用“cisco”作為密碼嘗試連接目標設備的telnet端口,如果成功登錄,則繼續探測enable密碼是否也是“cisco”。我曾見過很多思科認證的培訓師,在給學員演示配置的過程中,幾乎全部都在使用“cisco”作為密碼。而是否有人在生產服務器上也會繼續延用這個習慣,就不得而知了。
064:copy-router-config / merge-router-config
描述:SNMP是為了實現網絡設備和服務器集中監控而發明的網絡協議,community字段即相當於它的密碼。攻擊者一旦獲得了這個密碼,則可以利用SNMP協議讀取和修改目標設備的配置文件和運行參數。copy-router-config / merge-router-config這兩個工具專門針對思科設備而設計,它們的功能相對,分別利用SNMP協議下載和上傳思科設備的配置文件。這兩個工具的工作過程需要tftp服務的配合,但這完全不會給使用者造成任何困擾,因為要想在kali中啟動tftp服務,只需要簡單的一條命令即可。
065:dhcpig
描述:DHCP是一種工作於以太網的協議,它的作用是為網絡中其他計算機動態的分配IP地址等網絡參數,其中就包含網關和DNS服務器地址。很早以前就有攻擊者在進入內網之后,會嘗試通過安裝惡意的DHCP服務器,來給其他客戶端分配錯誤的網關和DNS服務器地址,並以此來截取客戶端的流量或實施DNS欺騙。由於DHCP的工作機制,在完全比拼響應速度的情況下,攻擊者可能並不占有任何優勢,於是他們試圖先耗盡合法DHCP服務器的地址池,再靜等受害者自己上鈎。dhcpig的作用就是快速耗盡合法DHCP服務器的地址池。
066:bed & doona
描述:當滲透測試者遇到沒有任何已知漏洞的系統時,有必要考慮是否存在0day漏洞的可能性。所有計算機程序的本質都是接收用戶輸入,然后對其解析、處理、計算並返回結果。所以從實用的角度出發,我們可以向程序發出大量隨機和半隨機的輸入數據,通過觀察程序對不同輸入數據的處理結果,直觀的判斷程序是否存在漏洞,這就是模糊測試(Fuzz)的根本思路。模糊測試的歷史由來已久,從計算機誕生之初到現在,該方法一直都是最主要的漏洞發現手段。上周還看到一篇報道說:李納斯最近表示,模糊測試一直是linux內核最主要的漏洞發現手段。本課我不但向你展示了常規程序的手動漏洞挖掘的方法,同時更向你展示了如何利用模糊測試器(Fuzzer)幫助我們提高漏洞挖掘的效率。而且還有利用python語言進行漏洞PoC代碼的編寫過程。這是內容滿滿誠意滿滿的一課。
067:dotdotpwn
描述:有一種名為『目錄遍歷』的漏洞類型,經常被我們發現存在於某些WEB應用程序之上。但其實該漏洞類型並非WEB應用程序專有,很多應用程序上都可能存在此漏洞。今年上半年virtualbox虛擬機軟件就曾兩次被發現存在『目錄遍歷』漏洞,利用漏洞,使用者可以從虛擬機中逃逸出來,直接訪問其宿主計算機的文件系統。dotdotpwn是一個針對不同協議進行『目錄遍歷』漏洞模糊測試的Fuzzer程序,其具備多種編碼混淆手段,可針對不同的目標系統文件進行模糊測試。
068:enumiax_iaxflood
描述:使用基於共享帶寬和分組交換的計算機網絡,來承載基於獨占帶寬和電路交換的傳統電話語音通信,這就是VoIP技術。目前業界使用的VoIP相關協議種類眾多,提供服務的產品和廠商也紛繁冗雜,很多產品更紛紛提出各自專有的內部通信協議。Asterisk作為應用最為廣泛的開源VoIP產品,也提出了自己基於統一服務端口的IAX協議,用於Asterisk服務器以及客戶端之間的信令及音視頻傳輸。enumiax是一款對IAX協議用戶進行枚舉的工具,iaxflood則是利用IAX設計缺陷而發起洪水式攻擊的工具。
069:openvas
描述:隨着被公布的軟件漏洞數量不斷增長,完全依賴人工手動的方式來發現和驗證漏洞,正在變得越來越困難。因此對於企業網絡環境而言,急需提出一種基於漏洞的管理方法。這要求企業從生命周期的角度來看待漏洞信息,將其納入到企業日常的管理工作中。openvas是目前開源世界最重要的漏洞管理產品,它基於各種安全行業的標准規范,廣泛覆蓋了已知的漏洞類型。它使用簡單方便,可以自動發現系統中絕大部分已知漏洞,無論對於滲透測試者還是安全運維工程師,這都是一個不能缺少的強大工具。
070:golismero
描述:golismero的設計目標是成為WEB掃描領域的瑞士軍刀,進而使自己成為全能的一站式WEB安全框架,因此除自行開發的眾多功能之外,它同時也整合了大量優秀的開源安全工具。其使用python語言開發,但卻完全避免了煩人的庫依賴問題,因此它實現了完全意義的誇平台。使用上golismero需要在線連接多種信息提供平台,因此在國內獨特的網絡環境下,功能上略有受限。
071:lynis
描述:windows之所以被認為不如linux系統安全,很重要的原因之一在於其默認就處於開放狀態的眾多系統服務,這是微軟在用戶體驗和安全性上的取舍選擇。但很多人可能並不知道,如果你對windows系統進行適當的加固硬化配置,它也可以向linux一樣的安全。而linux系統也不是天生的強壯,要想達到足夠的安全水平,它也同樣需要適當的加固和硬化配置。lynis是個系統安全檢查工具,它能生成一份全面的加固建議列表,並由使用者靈活的自行決定實施哪些加固措施。
072:siege
描述:siege直譯為圍攻,是一款針對HTTP、FTP協議的容量及壓力測試工具。它可以模擬大量正常用戶的並發請求,幫助測試者評估應用的服務能力。siege命令使用簡單,功能強大,可以隨意增加和修改請求頭部信息,並按需調整並發數量和請求頻率等。對於滲透測試者而言,可以利用其對存在性能問題的頁面實施拒絕服務漏洞的驗證。
073:sfuzz
描述:sfuzz 即簡單模糊測試工具。正如其名,它的使用異常簡單,無論是面對通用還是私有協議的程序,我們都可以使用sfuzz快速的制定出有效的數據發送規測。本課我使用了一個真實的SEH緩沖區溢出漏洞為例,向大家現場介紹,如何對私有協議的應用程序,進行漏洞挖掘的完整思路。以及如何利用sfuzz這樣的模糊測試器,加快我們漏洞發現的效率。
074:thc-ssl-dos
描述:SSL作為HTTP協議的安全增強功能被發明,隨后不斷完善和強化,目前已經脫離HTTP成為完全獨立的安全協議。SSL雖為安全而生,但其自身卻給安全帶了新的問題和挑戰,主要就體現在其性能開銷方面。SSL在會話建立的身份認證過程支持重協商的機制,而這一特性被黑客組織利用,並成為攻擊SSL服務器的利器。thc-ssl-dos即利用了SSL重協商特性,僅靠一台普通PC和少量的帶寬,即可造成高配服務器的拒絕服務。
075:t50
描述:與掃描發包工具不同,包注入工具唯一的目的就是大量快速的發包,而不接收任何回包。為達到此目的,包注入工具通常采用偽造源地址的方式,避免接收到目標計算機給自己返回的數據包。t50號稱是世界上最快的包注入工具,它支持多種低層級協議類型,可對每種協議包結構進行充分自定義。雖然有人將其解讀為拒絕服務工具,但其真實設計目的卻是壓力測試。
076:unix-privesc-check
描述:當滲透測試者已經找到應用漏洞,並利用漏洞獲取了目標計算機權限之后,總會試圖嘗試進行本地提權,進一步擴大自己的戰果。此時利用系統本地漏洞進行提權是我們的常用思路,但很多文件系統權限的設置不當,卻可能使攻擊者更加輕易的完成提權。unix-privesc-check適用於所有類UNIX系統,它可以檢查文件系統權限設置的不安全設置,並通知提示管理者進行適當的修復。
077:spike
描述:當滲透測試者遇到沒有任何已知漏洞的系統時,有必要考慮是否存在0day漏洞的可能性。所有計算機程序的本質都是接收用戶輸入,然后對其解析、處理、計算並返回結果。所以從實用的角度出發,我們可以向程序發出大量隨機和半隨機的輸入數據,通過觀察程序對不同輸入數據的處理結果,直觀的判斷程序是否存在漏洞,這就是模糊測試(Fuzz)的根本思路。spike作為開源社區興起的第一款也是最受歡迎的一款Fuzzer程序,其功能全面且強大,並內建了2000余種用於觸發漏洞的默認輸入數據,可大大提高漏洞挖掘的效率。
078:ohrwurm
描述:RTP是SIP協議中用於傳輸語音的事實協議。其攻擊面主要體現在通過偽造注入或中間人篡改等攻擊手段,造成語音和視頻流的失真,甚至內容替換。ohrwurm這個我不知道該怎么讀的名字來源於德語,它是一個RTP協議的Fuzz工具。其主要適用於局域網環境,通過中間人方式向RTP流中Fuzz固定的BER,從而造成語音失真甚至撥號失敗等效果。此工具雖然使用簡單,但我還是為其搭建了一個完整的VoIP環境,真實演示其從理論到實踐的用法。
079:rtpbreak / rtpflood / rtpinertsound / rtpmixsound
描述:RTP是SIP協議中用於傳輸語音的事實協議。其攻擊面主要體現在通過偽造注入或中間人篡改等攻擊手段,造成語音和視頻流的失真,甚至內容被篡改。本次課程這四款工具全部是針對RTP協議的滲透測試工具。rtpbreak可以分析並還原RTP流量中的語音內容,實現竊聽的效果;rtpflood可以洪水攻擊RTP通話設備,實現拒絕服務效果;rtpinsertsound可以替換和篡改實時語音流的內容,直接欺騙通話對方;rtpmixsound則可以將一個聲音混入當前通話當中,成為其背景音的一部分。
080:inviteflood
描述:利用廉價共享帶寬的IP網絡承載實時語音通話的技術稱為VoIP,SIP則是目前使用最廣且接受度最高的VoIP信令協議。SIP是一種基於文本的信號控制協議,並不進行真實語音內容的傳遞。SIP主要負責會話的建議、管理、結束等管理功能,是一種與HTTP協議非常相似的協議類型。INVITE是SIP協議中負責發起會話請求的指令,inviteflood針對該指令發起洪水攻擊,被攻擊者會瞬間接到大量呼叫請求,導致類似電話占線的效果,嚴重時更可令IP電話客戶端程序崩潰。
081:protos-sip/siparmyknife/sipdump/sipcrack/SIPp
描述:利用廉價共享帶寬的IP網絡承載實時語音通話的技術稱為VoIP,SIP則是目前使用最廣且接受度最高的VoIP信令協議。本次課程我給大家介紹了五款關於SIP的安全工具。protos-sip是一款SIP協議的Fuzz工具,曾用於發現思科產品漏洞;siparmyknife的功能與前者類似,可用於發現服務器的XSS、SQL注入、緩沖區溢出等漏洞;sipdump / sipcrack配合使用,分別負責抓取和離線破解SIP身份驗證信息;SIPp是一個功能完善的SIP協議性能測試工具,是每個VoIP工程師的必備武器。
082:sctpscan
描述:1960年代,在計算機黑客還沒有進入人們視線以前,電話系統黑客就已經名滿天下,其中最具代表性的就是『嘎吱嘎吱船長』和兩個『斯蒂夫』的藍盒子。藍盒子利用C5信令漏洞長達十幾年之久,最終被SS7帶外信令所終結。今天當SS7已成為花園里的古董時,運營商仍然在基於IP的網絡上重新封裝SS7協議,而SCTP就是SS7 over IP在傳輸層的事實協議。sctpscan是個掃描器,它可以利用隱蔽的方式,掃描發現SCTP活動主機及其服務端口,進而為電信核心網落滲透打下基礎。
083:SIPVicious
描述:SIPVicious是一個工具套件,具體包含5個針對SIP協議的滲透工具。svmap的用途可以類比為nmap,它是個SIP主機掃描工具;一旦發現活動的SIP主機,svwar則可以爆破其所有分機號(即用戶名,通常為3-4位數字);有了用戶名,接下來的任務就是爆破用戶的登錄密碼(通常也是數字組合);svreport是上述掃描任務的報告生成工具,可生成PDF等多種格式的報告;最后,svcrash是一個用於阻止svwar、svcrack掃描的防護工具。