XD22 6 漏洞发现及利用

# 服务漏洞探测

服务漏洞发现指的是发现搭建在操作系统上的服务漏洞。

# 相关工具介绍

• 相关工具说明

Acunetix 一款商业的 Web 漏洞扫描程序，它可以检查 Web 应用程序中的漏 洞，如 SQL 注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个 操作方便的图形用户界面，并且能够创建专业级的 Web 站点安全审核报告。新 版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。

Burp Suite 是用于攻击 web 应用程序的集成平台，包含了许多工具。Burp Suite 为这些工具设计了许多接口，以加快攻击应用程序的过程。所有工具都共 享一个请求，并能处理对应的 HTTP 消息、持久性、认证、代理、日志、警报。

pocassist 是一个 Golang 编写的全新开源漏洞测试框架。实现对 poc 的在线 编辑、管理、测试。如果你不想撸代码，又想实现 poc 的逻辑，又想在线对靶 机快速测试，那就使用 pocassist 吧。完全兼容 xray，但又不仅仅是 xray。除了 支持定义目录级漏洞 poc，还支持服务器级漏洞、参数级漏洞、url 级漏洞以及 对页面内容检测，如果以上还不满足你的需求，还支持加载自定义脚本。

afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描 (挖洞) 工具， PoC 涉及 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意 文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快速验证并及时修 复漏洞。

Xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器，支持主动、 被动多种扫描方式，自备盲打平台、可以灵活定义 POC，功能丰富，调用简单， 支持 Windows /macOS/Linux 多种操作系统，可以满足广大安全从业者的自动 化 Web 漏洞探测需求。

Goby 是一款新的网络安全测试工具，由赵武 Zwell (Pangolin、JSky、 FOFA 作者) 打造，它能够针对一个目标企业梳理最全的攻击面信息，同时能进 行高效、实战化漏洞扫描，并快速的从一个验证入口点，切换到横向。能通过 智能自动化方式，帮助安全入门者熟悉靶场攻防，帮助攻防服务者、渗透人员 更快的拿下目标。

Vulmap 是一款 web 漏洞扫描和验证工具，可对 webapps 进行漏洞扫描，并且具备漏洞利用功能，目前支持的 webapps 包括 activemq, flink, shiro, solr, struts2, tomcat, unomi, drupal, elasticsearch, fastjson, jenkins, nexus, weblogic, jboss, spring, thinkphp。

• 项目资源

https://www.ddosi.org/awvs14-6-log4j-rce/
https://github.com/chaitin/xray/releases
https://github.com/zan8in/afrog/releases
https://github.com/zhzyker/vulmap/releases
https://github.com/jweny/pocassist/releases
https://github.com/gobysec/Goby/releases

# awvs burp xray

• Awvs：任务添加 & 数据头部 & 代理模式 & 扫描模式等

example：http://demo.aisec.cn/

去扫一些小众的 cms 是可以扫到的，但是如果扫有很多用户的 cms 或框架的话一般很难扫到，因为这些玩意的作者也会去这样做安全测试然后堵上漏洞，或者说没有集成到 awvs 的漏洞库中。

• Xray：主动扫描 & 被动扫描 & POC 资源等

.\xray_windows_amd64.exe webscan --basic-crawler http://xx/ --html-output tomcat.html

社区版的漏洞库不太好，但还可以用用。

• burp+xray 联动：

burp 监听某端口，将 web 或者 app 的流量代理到 burp，设置 burp 的上游代理为 7777 ，同时将 xray 设置监听 7777 ，等待 xray 扫描完成查看检测结果
.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output app.html

• AWVS+xray+burp

设置 awvs 的代理至 7777 ，由 xray 监听，这样做可以发挥两者的优点，既有 awvs 自定义的数据包，又能借用 xray 去扫这些数据；同时也可以配置中间代理 burp，再 burp 查看到 awvs 扫描到的所有数据。

# pocasit afrog vulmap

• afrog 可以扫描出漏洞编号，但是需要自己去利用

1
2
3
4
5
6
7
8

# 扫描一个目标 
afrog -t http://127.0.0.1

# 扫描多个目标 
afrog -T urls.txt

# 指定漏扫报告文件
afrog -t http://127.0.0.1 -o result.html

• Vulmap 是一款 web 漏洞扫描和验证工具，可对 webapps 进行漏洞扫描，

1
2
3

python3 vulmap.py -u http://example.com
# pocassist全新的漏洞测试框架，支持poc在线编辑、运行、批量测试。
# 直接运行打卡网页版即可以测试，但是漏洞库再 2 1.7后不再更新

• goby 可以通过插件的方式联动 vulmap、awvs、xray 需要自己配置

也可以直接去扫描漏洞，扫描之后可以查看到相关的漏洞信息报告，也可以跟 fofa 配合批量测试
这些漏洞发现基本上都是只负责发现漏洞是存在的，但是不会去利用漏洞，漏洞利用需要自己去测或者用其他的工具

# 操作系统服务探测

# 系统漏洞探测工具

• 相关工具介绍

Nuclei 是一款基于 YAML 语法模板的开发的定制化快速漏洞扫描器。它使 用 Go 语言开发，具有很强的可配置性、可扩展性和易用性。 提供 TCP、DNS、 HTTP、FILE 等各类协议的扫描，通过强大且灵活的模板，可以使用 Nuclei 模拟各种安全检查。

Nessus 号称是世界上最流行的漏洞扫描程序，全世界有超过 75000 个组织 在使用它。该工具提供完整的电脑漏洞扫描服务，并随时更新其漏洞数据库。 Nessus 不同于传统的漏洞扫描软件，Nessus 可同时在本机或远端上遥控，进行 系统的漏洞分析扫描。

Nexpose 是 Rapid7 出品，一款著名的、极佳的商业漏洞扫描工具。跟一 般的扫描工具不同，Nexpose 自身的功能非常强大，可以更新其漏洞数据库， 以保证最新的漏洞被扫描到。漏洞扫描效率非常高，对于大型复杂网络，可优 先考虑使用；对于大型复杂网络，可以优先考虑使用。可以给出哪些漏洞可以

被 Metasploit Exploit，哪些漏洞在 Exploit-db 里面有 exploit 的方案。可以生 成非常详细的，非常强大的 Report，涵盖了很多统计功能和漏洞的详细信息。 虽然没有 Web 应用程序扫描，但 Nexpose 涵盖自动漏洞更新以及微软补丁星期 二漏洞更新。

• 项目资源：

Goby：https://github.com/gobysec/Goby/releases
Nuclei：https://github.com/projectdiscovery/nuclei
Nessus：https://mp.weixin.qq.com/s/G-7Yu8sefH3Bo3GRtUo2EA
Nexpose：https://www.fujieace.com/hacker/rapid7-nexpose.html
FofaMAP：https://github.com/asaotomo/FofaMap

# nuclei nessus nexpose

nessus: 扫描外网的服务器的漏洞比较少，但是扫描内网资产还是可以的，比较推荐用他扫描内网系统漏洞。需要经常去更新漏洞库模版，一般使用高级扫描。

Nexpose: 需要企业邮箱申请才能得到 key，而后免费使用。扫描系统漏洞比较全面。

goby: 扫描系统漏洞不是很全面，但是扫服务漏洞是可以的。

nuclei: 扫描 web 是比较好的，很多人都在添加模板，支持的漏洞比较多，集成了 cnvd 和 cve 等等，比较好用。支持系统漏洞扫描，主要还是探针系统上所搭建的服务的漏洞。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

# 使用方法
https://github.com/projectdiscovery/nuclei

# 支持的漏洞
https://github.com/projectdiscovery/nuclei-templates

# 扫描某个url地址
Nuclei -u http://localhost

# 使用自定义模板扫描自定义ip清单
nuclei.exe -t Zyxel.yaml -l z.txt

# 以yaml中的tag为准进行扫描
nuclei.exe -l z.txt -tags rce
# 由于高校打补丁并不及时，可以用nucli进行一波漏洞测试

# burp 插件整理

• 基本介绍

app 和小程序抓了包就做漏洞检测的这些插件，在 burp 上安装，可以分别 发现各种框架的漏洞，可以防止数据包需要登录才可以扫描的情况，在发送数 据包的时候就做漏洞发现，但是一般不这么做，而一般比较常用的仍然是从 awvs 这些常用的扫描工具开始。

• 项目资源

https://github.com/bit4woo/Fiora
https://github.com/metaStor/SpringScan
https://github.com/Maskhe/FastjsonScan
https://github.com/bigsizeme/Log4j-check
https://github.com/pmiaowu/BurpShiroPassiveScan
https://github.com/projectdiscovery/nuclei-burp-plugin

# 漏洞利用

# 自动收集 cve 的 poc

• PoC-in-GitHub

项目地址：https://github.com/nomi-sec/PoC-in-GitHub

可以根据漏洞的 cve 编号进行筛选查看漏洞的 poc，更新较快，需保持同步更新

• exploitdb

项目地址：https://github.com/offensive-security/exploitdb

searchsploit 是集成国外 exploit-db 平台的漏洞库，拥有丰富的漏洞利用内容

# 监控 cnvd 和 cve 漏洞

• cnvd 监控：

项目地址：https://github.com/ttonys/Scrapy-CVE-CNVD
特点：不更新了，不是很好

• cve 监控：

项目地址：https://github.com/ycdxsb/PocOrExp_in_Github
特点：更新比较频繁，会抓取 github 上所有 cve 项目地址

# msf 漏洞使用说明

漏洞利用数据库:https://www.rapid7.com/db/modules/auxiliary/admin/smb/ms17_010_command/

该模块将利用具有 MS17-010 漏洞的 SMB 来实现 write-what-where 原语。 然后，这将用于以管理员会话覆盖连接会话信息。从那里，正常的 psexec 命 令执行完成。利用 Transaction 和 WriteAndX 请求之间的类型混淆以及 Transaction 请求中的竞争条件，如 EternalRomance、EternalChampion 和 EternalSynergy 漏洞利用中所见。此漏洞利用链比 EternalBlue 漏洞利用更可靠， 但需要命名管道。

# viper 使用说明

• viper 基本介绍

Viper (炫彩蛇) 是一款图形化内网渗透工具，将内网渗透过程中常用的战术及 技术进行模块化及武器化；集成杀软绕过，内网隧道，文件管理，命令行等基础功 能；当前已集成 70 + 个模块，覆盖初始访问 / 持久化 / 权限提升 / 防御绕过 / 凭证访问 / 信息收集 / 横向移动等大类；目标是帮助红队工程师提高攻击效率，简化操作，降 低技术门槛；支持在浏览器中运行原生 msfconsole, 且支持多人协作。

• 工具使用地址

1
2
3
4
5
6
7
8
9
10

# 工具地址
https://github.com/FunnyWolf/Viper

# 安装手册
https://www.yuque.com/vipersec/help/rggacz

# 一键安装
sysctl -w vm.max_map_count=262144
curl -o f8x https://f8x.io/ # wget -O f8x https://f8x.io/
bash f8x -viper