扫描器流光fluxay5的使用方法.doc

扫描器流光 FLUXAY5 的使用方法一、 新增功能流光 IV 的高级扫描是和以前版本相比增加的最重要功能之一，包括了如下扫描功能:PORTS(常用端口、自定义端口）POP3（Banner、特定版本漏洞、暴力模式）FTP（Banner、特定版本漏洞、暴力模式）SMTP（Banner、特定版本漏洞、暴力模式）IMAP（Banner 、特定版本漏洞、暴力模式）TELNET（Banner、特定版本漏洞）CGI（Banner、Unix/NT 自动识别、ErrorPage 检测、规则库可手工加入）SQL（通过漏洞扫描、暴力模式）IPC(NETBIOS)（获得用户列表、共享列表、暴力模式）IIS（IIS 漏洞）FINGER（Finger 漏洞扫描）RPC（ Unix Finger 漏洞扫描，获得用户列表）MISC（Bind 版本、MySql 弱密码扫描)PLUGIN(可以方便地增加对某种类型漏洞的扫描）流光 IV 和以往版本相比增加(修改)了如下功能 :IIS Remote Shell (修改, Remote Execute A-F)IPC Pipe Remote Shell (新增)IPC 植入者 （新增）SQL Remote Shell （修改）PC AnyWhere 解码 （新增）支持 HTTP Basic/Negotiate/NTLM 方式认证 (新增）IPC 探测 （修改）IMAP 探测 （新增）二、基本使用方法从［探测］->［高级扫描功能］启动。

1、设定扫描的范围起始地址/结束地址：需要扫描的 IP 地址范围 目标系统：ALL-所有系统 NT-NT／2000 系统 UNIX-UNIX 系统，根据选择的不同下面的［检测项目］将会有不同设置 获取主机名：获取主机的名称 检测项目：选择需要扫描的项目，根据选择的不同表单会有所不同 2、端口扫描标准端口扫描：包括常用的服务端口扫描 自定端口扫描：范围从 1-65534 3、POP3 扫描获取 POP3 版本信息：取得 Banner 尝试猜解用户：根据［选项］中的设置对常见用户名进行暴力模式猜解 4、FTP 扫描获取 FTP 版本信息：取得 Banner 尝试匿名登陆：测试 FTP 服务器能否匿名登陆 尝试猜解用户：根据［选项］中的设置对常见用户名进行暴力模式猜解 5、SMTP 扫描获取 SMTP 版本信息：取得 Banner EXPN/VRFY 扫描：通过 SMTP 的 EXPN/VRFY 验证用户是否存在 6、IMAP 扫描获取 IMAP 版本信息：取得 Banner 尝试猜解用户帐号：根据［选项］中的设置对常见用户名进行暴力模式猜解 7、TELNET 扫描获取 TELNET 版本信息：取得 Banner 8、CGI 扫描获取 WWW 版本信息：取得 Banner 根据版本决定采用 NT 或者 UNIX 方式：根据 www 的版本信息，在扫描的时候自动选择 NT 规则库或者 UNIX 规则库。

支用 HTTP 200/502 有效：为了避免不必要的误报，只有HTTP 返回 200(OK)/502(Gateway Error)才认为有效流光 IV 中 CGI 扫描采用了 Error_Page 陷阱检测技术，使得一些采用了 Error_Page 的主机也能够被正常扫描到，这一点是目前几乎所有的 CGI 扫描器所不具备的 9、CGI Rule 设置类型选择：可以选择 ALL、NT、UNIX ，如果在［CGI］中选择了［根据版本决定采用 NT 或者 UNIX 方式］此项通常无需更改 漏洞列表：默认扫描列表中的所有规则（全部选中） ，也可以根据需要只对某一个漏洞或者某几个漏洞进行扫描（仅选择需要的规则即可） CGI 规则可以根据需要自行扩展，扩展的方法见 ［CGI 规则的扩展］一节 10、SQL尝试通过漏洞获得密码：根据 IIS 的漏洞获得 SQL 的连接密码对 SA 密码进行猜解：根据［选项］中的设置对 SA 密码进行暴力模式破解 11、IPC空连接(NULL Session)扫描：尝试和远程主机建立空连接，所谓空连接就是创建一个用户名和密码都为空的访问令牌 扫描共享资源：扫描网络中的共享资源。

共享资源在 98／ME／NT／2000 中都存在，所不同的在于访问 98／ME 中共享资源通常无需提供任何凭证（也就是任何人都可以访问） ；访问 NT／2000 中的共享资源通常需要提供一个访问凭证（即需要有一个用户名和密码） 流光 IV 会对这两种不同的资源进行区分 尝试获取用户名：NT／2000 在默认安装的情况下可以通过空连接获取目标主机的用户名 尝试对获取的用户名进行猜解：对获得用户名根据［选项］中的设置进行暴力模式破解NT 在通过 IPC 建立连接的时候，在同一时间只允许和一台主机建立一个连接，这样以来多线程就毫无用处不过如果 NT如果同时提供了 MSFTP 服务就可以通过 FTP 对用户进行告诉猜解（因为 FTP 没有同一时间只允许一个连接的限制） ，流光IV 可以自动根据情况选择 IPC 或者 FTP 模式的猜解 仅对 Administrators 组进行猜解：对获得的用户名进行判断，仅仅对属于 Administrators 组的用户进行上述猜解 12、IISUnicode 编码漏洞：尝试 6 种方法(Remoe Execute A-F)扫描 Unicode 编码漏洞 FrontPage 扩展：扫描是否安装了 Frontpage 扩展。

如果安装了 Frontpage 扩展，也可以采用 HTTP 扫描中的NTLM 模式对 NT 系统帐号进行高速猜解共享资源在 98／ME／NT／2000 中都存在，所不同的在于访问 98／ME 中共享资源通常无需提供任何凭证（也就是任何人都可以访问） ；访问 NT／2000 中的共享资源通常需要提供一个访问凭证（即需要有一个用户名和密码） 流光 IV 会对这两种不同的资源进行区分 尝试获取 SAM 文件：NT／2000 的密码文件存在于 SAM 文件中，如果获得了 SAM 文件就可以在本地利用L0pht( 下载)进行破解 尝试获取 PcAnyWhere 密码文件：尝试获取 PcAnyWhere 密码文件，获得后，可以用流光 IV 中工具进行解码（不是暴力破解） 13、Finger扫描 Finger 功能：利用 Finger 功能可以测试某个用户是否存在 对 Sun OS 尝试获得用户列表：Sun OS 的 Finger 功能由一个特点，可以列出最近登陆的用户名在 FTP／POP3／IMAP 扫描中也会首先进行 Finger 的测试，如果测试成功就会用获得用户名列表来代替［选项］中的用户名字典。

14、RPC扫描 RPC 服务：扫描 RPC 服务，得到服务的 ID 的信息UNIX 中的 RPC 是漏洞比较多的服务之一，特别是 SunOS 15、MISCBIND 版本扫描：扫描 BIND 服务，得到版本信息 猜解 MySQL 密码：MySQL 是 UNIX 中一种很常见的免费数据库（一般国内常见的模式是NT+IIS+MSSQL/UNIX+Apache+MySQL)，得到了MySQL 的密码就可以查阅数据库中的所有内容16、PLUGINS类型：ALL、NT 、UNIX PlugIn 列表：列出当前安装的所有 PlugIn 的信息流光 IV 中的 PlugIn 是一项很有用的功能，可以很方便地利用现有流光的扫描框架进行扩展关于 Plugin 的具体信息，请参见 [如何编写流光 IV 的插件］ 17、选项猜解用户名字典：设置扫描中采用的用户字典，适用于POP3/FTP/IMAP/SQL/MYSQL 猜解密码字典：设置扫描中采用的密码字典，适用于POP3/FTP/IMAP/SQL/MYSQL 保存扫描报告：扫描的报告，采用 HTML 格式 并发线程数目：默认 80，可以根据情况增减，如果线程数目越大速度越快但是越容易误报和漏报。

网络选项：设置 TCP 参数 　 TCP 连接超时：建立 TCP 连接时的超时设置，默认 10 秒(10000 毫秒 ) TCP 数据超时：收发数据时的超时设置如果建立连接或收发数据时出现了超时，则说明连接／收发数据失败通常 TCP 超时设置小，扫描速度就越快，但是就越容易漏报如果设置太大，扫描的速度会变慢，但是漏报就比较少具体的设置，需要根据自己的的网络状况决定一、可以直接测试的部分流光 IV 高级扫描完成后，会产生一个扫描报告，此外一部分扫描结果也会在界面上得到直接的反映1、IPC对于 IPC 的扫描结果，可以直接在上面点左键，出现［连接...]字样，选择执行这时出现了 NTCMD 的界面，NTCMD 如果连接成功具有System 权限，可以执行命令，例如创建帐号等关于 IPC 的更多信息请参见[流光 2000IPC 使用说明］2、SQL选择［连接...］出现 SQL Shell 的界面如果没有安装 SQL Server,那么对方主机必须允许建立空连接才能够连接成功(默认安装 Express 版,所以首先需要安装 SqlRcmd Normal 版,在 SqlRcmd\Normal 中) 。

为了让流光 IV 的 SQL 扫描发挥最大作用，建议安装 SQL Server通常情况下，SQLCMD 具有 System 权限，可以执行命令如果 SQL Server 是以用户身份启动，那么就具有启动用户身份的权限如果需要将数据库的数据导出，通常需要安装 SQL Server3、FTP同上述方法，流光 IV 会自动调用系统的 FTP 程序4、IIS Remote Execute -X选择［连接...］,出现一个设置的对话框如果在使用中出现问题，请取消选择［允许 IIS 检测 CMD]通常情况下 IIS Remote Execute 具有IUSR_ComputerName 帐号权限5、Remote FTP PCAnyWhere 密码文件使用此功能必须首先拥有一个具有写权限的 FTP 服务器，以便流光 IV 将密码文件上传出现上传 FTP 服务器设置的对话框如果上传失败(流光 IV 本身不能确认是否上传成功)，请选择[禁止 IIS 检测 CMD]上传成功之后，就可连接到自己指定的 FTP 的服务器，将文件下载到本机，利用流光 IV 中 PCAnyWhere 解码工具解码这样就可以通过 PCAnyWhere 连接管理远程主机了。

6、FrontPage 扩展如果扫描到 FrontPage 扩展，也可以用来暴力破解 NT 系统帐号(当然这种方法没有直接通过 MSFTP 快) 1)、首先通过 IPC 得到用户列表(具体方法参见 [流光 2000IPC探测说明])(2)、加入 HTTP 主机注意后面的 URL 不要敲错3)、从 IPC 主机导入(4)、选择需要探测的用户(5)、加入字典后开始扫描注意在 HTTP 的 NTLM 和 Negotiate 模式中只能开启一个线程7、IIS5 .Printer可以使用 IIS5Hacker 测试二、其他部分1、IPC 种植者如果获得了 NT/2000 机器的 Administrators 组的密码，也可以通过 IPC 种植者上传和执行程序（利用 Schedule 服务和IPC 管道）从[工具]->[NT/IIS]->[种植者]启动程序设置好所需项目后，按[开始]即可上传和制定的程序(当程序复制完之后，大约需要一分钟后程序才会。