0282-WireShark黑客发现之旅（5）—扫描探测

# WireShark黑客发现之旅（5）—扫描探测

**作者：**Mr.Right、K0r4dji**申明：**文中提到的攻击方式仅为曝光、打击恶意网络攻击行为，切勿模仿，否则后果自负。

0x00 简单介绍
=========

* * *

“知己知彼，百战不殆。”扫描探测，目的就是“知彼”，为了提高攻击命中率和效率，基本上常见的攻击行为都会用到扫描探测。

扫描探测的种类和工具太多了，攻击者可以选择现有工具或自行开发工具进行扫描，也可以根据攻击需求采用不同的扫描方式。本文仅对`Nmap`常见的几种扫描探测方式进行分析。如：地址扫描探测、端口扫描探测、操作系统扫描探测、漏洞扫描探测（不包括`Web`漏洞，后面会有单独文章介绍`Web`漏洞扫描分析）。

0x01 地址扫描探测
===========

* * *

地址扫描探测是指利用`ARP`、`ICMP`请求目标网段，如果目标网段没有过滤规则，则可以通过回应消息获取目标网段中存活机器的`IP`地址和`MAC`地址，进而掌握拓扑结构。

如：`192.1.14.235`向指定网段发起`ARP`请求，如果`IP`不存在，则无回应。


如果`IP`存在，该`IP`会通过`ARP`回应攻击`IP`，发送自己的`MAC`地址与对应的`IP`。


`ARP`欺骗适用范围多限于内网，通过互联网进行地址扫描一般基于`Ping`请求。

如：`192.1.14.235`向指定网段发起`Ping`请求，如果`IP`存在，则返回`Ping reply`。



0x02 端口扫描探测
===========

* * *

端口扫描是扫描行为中用得最多的，它能快速获取目的机器开启端口和服务的情况。常见的端口扫描类型有全连接扫描、半连接扫描、秘密扫描和`UDP`扫描。

### 1、全连接扫描

全连接扫描调用操作系统提供的`connect()`函数，通过完整的三次`TCP`连接来尝试目标端口是否开启。全连接扫描是一次完整的TCP连接。

**1）如果目标端口开启**攻击方：首先发起`SYN`包；

目标：返回`SYN ACK`；

攻击方：发起`ACK`；

攻击方：发起`RST ACK`结束会话。

**2）如果端口未开启**攻击方：发起`SYN`包；

目标：返回`RST ACK`结束会话。

如：`192.1.14.235`对`172.16.33.162`进行全连接端口扫描，首先发起`Ping`消息确认主机是否存在，然后对端口进行扫描。


下图为扫描到`TCP3389`端口开启的情况。


下图为扫描到`TCP1723`端口未开启的情况。


### 2、半连接扫描

半连接扫描不使用完整的`TCP`连接。攻击方发起`SYN`请求包；如果端口开启，目标主机回应`SYN ACK`包，攻击方再发送`RST`包。如果端口未开启，目标主机直接返回`RST`包结束会话。

如：`192.1.14.235`对`172.16.33.162`进行半连接端口扫描，首先发起`Ping`消息确认主机是否存在，然后对端口进行扫描。


扫描到`TCP80`端口开启。


`TCP23`端口未开启。


### 3、秘密扫描TCPFIN

`TCP FIN`扫描是指攻击者发送虚假信息，目标主机没有任何响应时认为端口是开放的，返回数据包认为是关闭的。

如下图，扫描方发送`FIN`包，如果端口关闭则返回`RST ACK`包。


### 4、秘密扫描TCPACK

`TCP ACK`扫描是利用标志位`ACK`，而`ACK`标志在`TCP`协议中表示确认序号有效，它表示确认一个正常的`TCP`连接。但是在`TCP AC`K扫描中没有进行正常的`TCP`连接过程，实际上是没有真正的`TCP`连接。所以使用`TCP ACK`扫描不能够确定端口的关闭或者开启，因为当发送给对方一个含有`ACK`表示的`TCP`报文的时候，都返回含有`RST`标志的报文，无论端口是开启或者关闭。但是可以利用它来扫描防火墙的配置和规则等。


### 5、UDP端口扫描

前面的扫描方法都是针对`TCP`端口，针对`UDP`端口一般采用`UDP ICMP`端口不可达扫描。

如：`192.1.14.235`对`172.16.2.4`发送大量`UDP`端口请求，扫描其开启`UDP`端口的情况。


如果对应的`UDP`端口开启，则会返回`UDP`数据包。


如果端口未开启，则返回“`ICMP`端口不可达”消息。


0x03 操作系统的探测
============

* * *

`NMAP`进行操作系统的探测主要用到的是`OS`探测模块，使用`TCP/IP`协议栈指纹来识别不同的操作系统和设备。`Nmap`内部包含了`2600`多种已知操作系统的指纹特征，根据扫描返回的数据包生成一份系统指纹，将探测生成的指纹与`nmap-os-db`中指纹进行对比，查找匹配的操作系统。如果无法匹配，则以概率形式列举出可能的系统。

如：`192.168.1.50`对`192.168.1.90`进行操作系统的扫描探测。首先发起`Ping`请求，确认主机是否存在。


发起`ARP`请求，获取主机`MAC`地址。


进行端口扫描。


根据综合扫描情况，判断操作系统类型。


0x04 漏洞扫描
=========

* * *

操作系统的漏洞探测种类很多，本文针对“`smb-check-vulns`”参数就`MS08-067`、`CVE2009-3103`、`MS06-025`、`MS07-029`四个漏洞扫描行为进行分析。

攻击主机：`192.168.1.200`（Win7），目标主机：`192.168.1.40`（WinServer 03）；

`Nmap`扫描命令：`nmap –script=smb-check-vulns.nse –script-args=unsafe=1 192.168.1.40`。


### 1、端口扫描

漏洞扫描前，开始对目标主机进行端口扫描。


### 2、SMB协议简单分析

由于这几个漏洞多针对SMB服务，下面我们简单了解一下`NAMP`扫描行为中的SMB命令。

SMB Command:`Negotiate Protocol`(0x72)：SMB协议磋商

SMB Command:`Session Setup AndX`(0x73)：建立会话，用户登录

SMB Command:`Tree Connect AndX`(0x75)：遍历共享文件夹的目录及文件

SMB Command:`NT Create AndX`(0xa2)：打开文件，获取文件名，获得读取文件的总长度

SMB Command:`Write AndX`(0x2f)：写入文件，获得写入的文件内容

SMB Command:`Read AndX`(0x2e)：读取文件，获得读取文件内容

SMB Command:`Tree Disconnect`(0x71)：客户端断开

SMB Command:`Logoff AndX`(0x74)：退出登录


### 3、MS08-067漏洞

**（1）MS08-067漏洞扫描部分源码如下：**

“`
function check_ms08_067(host)
if(nmap.registry.args.safe ~= nil) then
return true, NOTRUN
end
if(nmap.registry.args.unsafe == nil) then
return true, NOTRUN
end
local status, smbstate
local bind_result, netpathcompare_result

— Create the SMB session \\创建SMB会话
status, smbstate = msrpc.start_smb(host, “\\\\BROWSER”)
if(status == false) then
return false, smbstate
end

— Bind to SRVSVC service
status, bind_result = msrpc.bind(smbstate, msrpc.SRVSVC_UUID, msrpc.SRVSVC_VERSION, nil)
if(status == false) then
msrpc.stop_smb(smbstate)
return false, bind_result
end

— Call netpathcanonicalize
— status, netpathcanonicalize_result = msrpc.srvsvc_netpathcanonicalize(smbstate, host.ip, “\\a”, “\\test\\”)

local path1 = “\\AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA\\..\\n”
local path2 = “\\n”
status, netpathcompare_result = msrpc.srvsvc_netpathcompare(smbstate, host.ip, path1, path2, 1, 0)

— Stop the SMB session
msrpc.stop_smb(smbstate)

“`

**（2）分析**

尝试打开“`\\BROWSER`”目录，下一包返回成功。


同时还有其它尝试，均成功，综合判断目标存在`MS08-067`漏洞。通过`Metasploit`进行漏洞验证，成功溢出，获取Shell。


### 4、CVE-2009-3103漏洞

**（1）CVE-2009-3103漏洞扫描部分源码如下：**

“`
host = “IP_ADDR”, 445
buff = (
“\x00\x00\x00\x90” # Begin SMB header: Session message
“\xff\x53\x4d\x42” # Server Component: SMB
“\x72\x00\x00\x00” # Negociate Protocol
“\x00\x18\x53\xc8” # Operation 0x18 & sub 0xc853
“\x00\x26″# Process ID High: –> 🙂 normal value should be “\x00\x00”
“\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\xff\xff\xff\xfe”
“\x00\x00\x00\x00\x00\x6d\x00\x02\x50\x43\x20\x4e\x45\x54”
“\x57\x4f\x52\x4b\x20\x50\x52\x4f\x47\x52\x41\x4d\x20\x31”
“\x2e\x30\x00\x02\x4c\x41\x4e\x4d\x41\x4e\x31\x2e\x30\x00”
“\x02\x57\x69\x6e\x64\x6f\x77\x73\x20\x66\x6f\x72\x20\x57”
“\x6f\x72\x6b\x67\x72\x6f\x75\x70\x73\x20\x33\x2e\x31\x61”
“\x00\x02\x4c\x4d\x31\x2e\x32\x58\x30\x30\x32\x00\x02\x4c”
“\x41\x4e\x4d\x41\x4e\x32\x2e\x31\x00\x02\x4e\x54\x20\x4c”
“\x4d\x20\x30\x2e\x31\x32\x00\x02\x53\x4d\x42\x20\x32\x2e”
“\x30\x30\x32\x00”
)

“`

**（2）分析**

十六进制字符串“`0x00000000`到`202e30303200`”请求，通过`ASCII`编码可以看出是在探测`NTLM`和`SMB`协议的版本。无响应，无此漏洞。


### 5、MS06-025漏洞

**（1）MS06-025漏洞扫描部分源码如下：**

“`
–create the SMB session
–first we try with the “\router” pipe, then the “\srvsvc” pipe.
local status, smb_result, smbstate, err_msg
status, smb_result = msrpc.start_smb(host, msrpc.ROUTER_PATH)
if(status == false) then
err_msg = smb_result
status, smb_result = msrpc.start_smb(host, msrpc.SRVSVC_PATH) –rras is also accessible across SRVSVC pipe
if(status == false) then
return false, NOTUP –if not accessible across both pipes then service is inactive
end
end
smbstate = smb_result
–bind to RRAS service
local bind_result
status, bind_result = msrpc.bind(smbstate, msrpc.RASRPC_UUID, msrpc.RASRPC_VERSION, nil)
if(status == false) then
msrpc.stop_smb(smbstate)
return false, UNKNOWN –if bind operation results with a false status we can’t conclude anything.
End

“`

**（2）分析**

先后尝试去连接“`\router`”、“`\srvsvc`”路径，均报错，无`RAS RPC`服务。



### 6、MS07-029漏洞

**（1）MS07-029漏洞扫描部分源码如下：**

“`
function check_ms07_029(host)
–check for safety flag
if(nmap.registry.args.safe ~= nil) then
return true, NOTRUN
end
if(nmap.registry.args.unsafe == nil) then
return true, NOTRUN
end
–create the SMB session
local status, smbstate
status, smbstate = msrpc.start_smb(host, msrpc.DNSSERVER_PATH)
if(status == false) then
return false, NOTUP –if not accessible across pipe then the service is inactive
end
–bind to DNSSERVER service
local bind_result
status, bind_result = msrpc.bind(smbstate, msrpc.DNSSERVER_UUID, msrpc.DNSSERVER_VERSION)
if(status == false) then
msrpc.stop_smb(smbstate)
return false, UNKNOWN –if bind operation results with a false status we can’t conclude anything.
end
–call
local req_blob, q_result
status, q_result = msrpc.DNSSERVER_Query(
smbstate,
“VULNSRV”,
string.rep(“\\\13”, 1000),
1)–any op num will do
–sanity check
msrpc.stop_smb(smbstate)
if(status == false) then
stdnse.print_debug(
3,
“check_ms07_029: DNSSERVER_Query failed”)
if(q_result == “NT_STATUS_PIPE_BROKEN”) then
return true, VULNERABLE
else
return true, PATCHED
end
else
return true, PATCHED
end
end

“`

**（2）分析**

尝试打开“`\DNSSERVER`”，报错，未开启`DNS RPC`服务。


0x05 总结
=======

* * *

1、扫描探测可以说是所有网络中遇到最多的攻击，因其仅仅是信息搜集而无实质性入侵，所以往往不被重视。但扫描一定是有目的的，一般都是攻击入侵的前兆。

2、修补漏洞很重要，但如果在扫描层面进行防御，攻击者就无从知晓你是否存在漏洞。

3、扫描探测一般都无实质性通信行为，同时大量重复性动作，所以在流量监测上完全可以做到阻止防御。