1.摘要

Nmap的漏洞掃描功能能夠迅速識(shí)別目標(biāo)系統(tǒng)中的漏洞, 通過Nmap腳本引擎(NSE)的強(qiáng)大功能, 它可以擴(kuò)展成一個(gè)強(qiáng)大的漏洞掃描器, 幫助我們列舉目標(biāo)系統(tǒng)中的最新漏洞。通常在滲透測(cè)試過程中, 漏洞掃描是一個(gè)關(guān)鍵步驟, 而Nmap也是大部分滲透測(cè)試人員依賴的工具, 在本文中, 我們將一起學(xué)習(xí)使用Nmap進(jìn)行漏洞掃描,迅速發(fā)現(xiàn)目標(biāo)機(jī)器的安全漏洞。

2.掃描基礎(chǔ)知識(shí)

Nmap是一款強(qiáng)大的網(wǎng)絡(luò)掃描工具, 旨在查找連接到網(wǎng)絡(luò)的設(shè)備上開放的端口和正在運(yùn)行的服務(wù)。該工具免費(fèi)且開源, 并且被滲透測(cè)試人員廣泛使用, 用于對(duì)目標(biāo)網(wǎng)絡(luò)執(zhí)行安全審計(jì), 在Kali Linux上默認(rèn)安裝了Nmap。

要執(zhí)行Nmap掃描, 使用命令nmap <目標(biāo)>。該命令執(zhí)行默認(rèn)的Nmap掃描, 查詢前1000個(gè)端口以確定哪些是開放的。

圖片

上圖中的Nmap掃描的輸出顯示如下內(nèi)容：

序號(hào)1: Nmap命令運(yùn)行的是：nmap 10.0.100.5。

序號(hào)2: 命令運(yùn)行的日期和時(shí)間。

序號(hào)3: 連接到目標(biāo)系統(tǒng)時(shí)的網(wǎng)絡(luò)延遲。

序號(hào)4:  顯示開放端口的報(bào)告。

序號(hào)5:   完成掃描所花費(fèi)的時(shí)間。

我們可以通過添加掃描選項(xiàng)以更改Nmap的掃描行為, 命令為: nmap <選項(xiàng)> <目標(biāo)>

例如:使用-sV標(biāo)志執(zhí)行服務(wù)掃描, 以顯示每個(gè)開放端口上運(yùn)行的具體服務(wù), 該步驟是漏洞查找過程的重要一步。

圖片

如果要更改掃描的執(zhí)行方式, 可以使用下面的任意選項(xiàng):

• 使用時(shí)間模板 -T1 到 -T4 改變Nmap掃描的速度和攻擊性。
• 使用 -Pn 選項(xiàng)阻止Nmap執(zhí)行Internet Control Message Protocol（ICMP）回顯ping以發(fā)現(xiàn)目標(biāo)。
• 使用 -n 選項(xiàng)阻止Nmap嘗試解析DNS名稱。
• 使用 -p- 選項(xiàng)掃描所有端口。

具體的選項(xiàng)內(nèi)容可以參考我的另一篇文章:<<xxx>>

3.三種類型的漏洞掃描

Nmap通常用來執(zhí)行掃描端口任務(wù), 但也可以作為漏洞掃描器使用。利用Nmap腳本引擎(NSE)可以通過網(wǎng)絡(luò)發(fā)現(xiàn)目標(biāo)系統(tǒng)漏洞,NSE允許創(chuàng)建和執(zhí)行定制腳本, 擴(kuò)展Nmap功能。

通過下面三個(gè)強(qiáng)大的Nmap腳本選項(xiàng), 可以將Nmap變成一個(gè)全面的漏洞掃描工具:

• Vuln：--script vuln選項(xiàng)執(zhí)行所有NSE腳本, 這些腳本專注于識(shí)別正在掃描目標(biāo)系統(tǒng)是否有安全漏洞, 這是發(fā)現(xiàn)已知漏洞的常用選項(xiàng)。
• Vulners：--script vulners選項(xiàng)使用vulners.com在線數(shù)據(jù)庫，利用Nmap掃描目標(biāo)以查找最新漏洞。該數(shù)據(jù)庫定期更新，可能會(huì)找到其它掃描可能遺漏的信息。
• Vulscan: --script vulscan選項(xiàng)是一個(gè)Nmap漏洞掃描腳本, 它使用多個(gè)離線漏洞數(shù)據(jù)庫來測(cè)試目標(biāo)系統(tǒng)漏洞, 它使用了NVD、CVE和OVAL漏洞數(shù)據(jù)庫來掃描本地網(wǎng)絡(luò)中的漏洞, 該模式支持本地離線和在線掃描。

以下是三種漏洞掃描選項(xiàng)的比較:

下面將通過這三種模式分別執(zhí)行漏洞掃描過程。

4.Vuln漏洞掃描

Nmap 的漏洞掃描將針對(duì)目標(biāo)運(yùn)行該工具的默認(rèn)漏洞掃描腳本。這些對(duì)于查找可利用的常見漏洞非常有用。要運(yùn)行漏洞掃描，使用以下命令語法：

nmap --script vuln <target>

圖片

上圖中輸出顯示以下內(nèi)容：

序號(hào)1: 用于運(yùn)行漏洞掃描的命令行。接下來是默認(rèn)的 Nmap 報(bào)告標(biāo)頭。

序號(hào)2: 文件傳輸協(xié)議 (FTP) 服務(wù)正在目標(biāo)計(jì)算機(jī)的端口 21 上運(yùn)行。所使用的特定服務(wù)是vsFTPd 版本 2.3.4，該服務(wù)容易受到CVE-2011-2523 的攻擊。Nmap 甚至提供了一些參考資料和一個(gè)可用于利用該漏洞的 Metasploit 模塊。

序號(hào)3: 簡(jiǎn)單郵件傳輸協(xié)議 (SMTP) 服務(wù)在端口 25 上運(yùn)行。此服務(wù)容易受到CVE-2014-3566的攻擊。Nmap 再次提供了此漏洞的參考。

從該輸出中，可以通過攻擊正在運(yùn)行的 FTP 或 SMTP 服務(wù)來開始利用該目標(biāo)計(jì)算機(jī)。可以使用 Nmap 參考作為利用這些漏洞的起點(diǎn)。

5.Vulners漏洞掃描

vulners漏洞掃描能夠使用在線數(shù)據(jù)庫vulners.com掃描目標(biāo)是否有最新的漏洞。要執(zhí)行此掃描，使用以下命令語法：

nmap -sV --script vulners <target>

圖片

上圖中返回的輸出顯示以下內(nèi)容:

序號(hào)1: 用于運(yùn)行漏洞掃描的命令行。

序號(hào)2: Secure Shell (SSH) 服務(wù)正在目標(biāo)計(jì)算機(jī)的端口 22 上運(yùn)行。使用的特定服務(wù)是OpenSSH 版本 4.7p1 Debian 8ubuntu1，該服務(wù)容易受到多個(gè) CVE 的攻擊。漏洞腳本提供對(duì)每個(gè) CVE 或其他漏洞 ID 的引用。

序號(hào)3: 漏洞 ID 旁邊的標(biāo)志*EXPLOIT*表示該漏洞是可利用的，應(yīng)該能夠手動(dòng)利用它或在線查找利用代碼。

序號(hào)4: 域名服務(wù) (DNS) 服務(wù)正在端口 53 上運(yùn)行。運(yùn)行的特定服務(wù)版本是ISC BIND 9.4.2，該版本容易受到一系列漏洞的影響。同樣，漏洞腳本為每個(gè)漏洞提供了參考，并提供了該漏洞是否可利用該*EXPLOIT*標(biāo)志進(jìn)行利用的參考。

此輸出表明應(yīng)該嘗試?yán)媚繕?biāo)計(jì)算機(jī)上運(yùn)行的 SSH 和 DNS 服務(wù)。如果選擇以 SSH 為目標(biāo)，則應(yīng)在vulners.com上查找SSV:60656，因?yàn)榇寺┒?ID 與漏洞利用相關(guān)。同時(shí)，如果試?yán)?DNS，可以使用SSV:60184的鏈接或其旁邊的任何其他鏈接。*EXPLOIT*

6.Vulscan漏洞掃描

默認(rèn)情況下，Nmap 的 vulscan 選項(xiàng)不隨該工具一起提供。相反，需要從https://github.com/scipag/vulscan下載漏洞掃描腳本。可以通過使用 git clone 命令將 vulscan 腳本下載到 Nmap 腳本目錄來完成此操作。

圖片

接下來，使用 Linux命令在文件和 Nmap vulscan 腳本ln之間創(chuàng)建符號(hào)鏈接。scipag_vulscan這將允許使用vulscanNmap 命令行上的選項(xiàng)。

圖片

每當(dāng)添加新的 NSE 腳本以在 Nmap 中使用時(shí)，需要運(yùn)行 nmap 命令--script-updatedb來更新 Nmap 的數(shù)據(jù)庫以識(shí)別新腳本。然而， 默認(rèn)情況下，Nmap 中不包含 vulscan 腳本，這意味著無法使用該命令對(duì)其進(jìn)行更新。相反，需要使用update.sh之前克隆的 GitHub 存儲(chǔ)庫附帶的腳本來更新 Nmap 的數(shù)據(jù)庫和 vulscan 從中提取的漏洞數(shù)據(jù)庫。運(yùn)行以下命令：

./update.sh

圖片

將 vulscan 腳本添加到 Nmap 的數(shù)據(jù)庫后，可以使用以下語法來運(yùn)行 vulscan 漏洞掃描：

nmap -sV --script=vulscan/vulscan.nse <target>

圖片

上圖掃描返回的輸出顯示以下內(nèi)容:

序號(hào)1: 用于運(yùn)行漏洞掃描的命令行

序號(hào)2: FTP 服務(wù)正在目標(biāo)計(jì)算機(jī)的端口 21 上運(yùn)行，具體來說是vsFTPd 版本 2.3.4

序號(hào)3: VulDB 漏洞數(shù)據(jù)庫中沒有與此版本的 FTP 匹配的結(jié)果

序號(hào)4: MITRE CVE 漏洞數(shù)據(jù)庫中的一個(gè) CVE 與此版本的 FTP ( CVE-2011-0762 ) 匹配

vulscan 輸出繼續(xù)顯示，此版本 FTP 的 Security Focus (5)、IBM X-Force (6) 和 Exploit-DB (7) 漏洞數(shù)據(jù)庫中存在多個(gè)匹配的漏洞。詳細(xì)的漏洞信息可以從這里獲取: https://www.exploit-db.com

7.結(jié)果比較

下面來總結(jié)一下上面三個(gè)Nmap漏洞掃描選項(xiàng)的結(jié)果：

• 與其他兩次掃描相比，vuln漏洞掃描的運(yùn)行時(shí)間很長(zhǎng)，而且它發(fā)現(xiàn)的許多漏洞都是過時(shí)或不正確的。
• Nmap vulners掃描速度很快，并發(fā)現(xiàn)了更多漏洞。它還包含每個(gè)鏈接的有用鏈接，并顯示了可利用的內(nèi)容。
• Nmap vulscan 掃描的速度介于 vuln 和 vulners 掃描之間，但其輸出更為豐富。它通過查詢多個(gè)漏洞數(shù)據(jù)庫提供了有關(guān)每個(gè)潛在漏洞的綜合報(bào)告。

總的來說，在大多數(shù)情況下可以跳過 vuln漏洞掃描, 掃描速度慢且漏洞也比較過時(shí)。相反，應(yīng)該重點(diǎn)使用 Nmap vulners和 Nmap vulscan 選項(xiàng)。如果想要提供簡(jiǎn)潔輸出的快速掃描，則使用vulners掃描。如果想要對(duì)目標(biāo)系統(tǒng)進(jìn)行全面的漏洞掃描，利用多個(gè)漏洞數(shù)據(jù)庫來查找潛在的安全漏洞，則使用vulcan選項(xiàng)。