xscan使用说明.doc

X-Scan-v2.2 使用说明一. 系统要求：Windows 9x/NT4/2000二. 功能简介： 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER、NT-SERVER弱口令用户，NT服务器NETBIOS信息、注册表信息等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知漏洞， 三. 所需文件： xscan_gui.exe - X-Scan for Windows 9x/NT4/2000 图形界面主程序 xscan.exe - X-Scan for Windows 9x/NT4/2000 命令行主程序 使用说明.txt - X-Scan使用说明 oncrpc.dll - OncRpc动态链接库 /dat/language.ini - 多语言数据文件，可通过设置LANGUAGESELECTED项进行语言切换 /dat/config.ini - 用户配置文件，用于保存待检测端口列表、CGI漏洞检测的相关设置及所有字典文件名称(含相对路径) /dat/config.bak - 备份配置文件，用于恢复原始设置 /dat/cgi.lst - CGI漏洞列表 /dat/rpc.ini - 用于保存RPC程序名称及漏洞列表 /dat/port.ini - 用于保存已知端口的对应服务名称 /dat/*_user.dic - 用户名字典文件，用于检测弱口令用户 /dat/*_pass.dic - 密码字典，用于检测弱口令用户 /dat/os.finger - 识别远程主机操作系统所需的操作系统特征码配置文件 /dat/wry.dll - IP-地理位置地址查询数据库文件 /plugin - 用于存放所有插件(后缀名为.xpn)，插件也可放在xscan.exe所在目录的其他子目录中，程序会自动搜索。 注：xscan_gui.exe与xscan.exe共用所有插件及数据文件，但二者之间没有任何依赖关系，均可独立运行。四. 准备工作： X-Scan是完全免费软件，无需注册，无需安装（解压缩即可运行），无需额外驱动程序支持。但在Windows 98/NT 4.0系统下无法通过TCP/IP堆栈指纹识别远程操作系统类型，在Windows 98系统下对Netbios信息的检测功能受限。五. 注意事项： 1.当网速过慢时，多线程检测CGI漏洞有可能会导致本地网络阻塞，出现无法连接远程主机或读取数据失败等情况，此时需相应调低线程数量，或暂时不扫描CGI漏洞。大范围扫描时，建议不对cgi漏洞进行检测，因为cgi漏洞内容较多，需要耗费相当多的时间。 2.端口扫描中的SYN方式和被动主机操作系统识别功能只在Windows 2000系统中有效，且必须拥有管理员权限。 3.在X-Scan中内置的密码字典仅为简单示范，使用者如果希望软件有更强的密码猜解能力，应该自己编辑密码字典文件。 4.在检测过程中，按空格键可以查看各线程状态及扫描进度，按q键保存当前数据后提前退出程序，按强行关闭程序。 5.X-Scan所使用的地址查询数据库为追捕软件的数据库，并且得到作者许可。在此对追捕软件作者及所有为建立此数据库作出贡献的朋友表示感谢。由于没有考虑和将来追捕数据库的兼容问题，不能保证能正确使用以后版本的追捕数据库。在追捕数据库文件格式没有改变的情况下，可以将新版本的数据库文件wry.dll拷贝到/dat目录下替换旧版本文件，但建议在覆盖前备份旧文件.六. 命令行运行参数说明： 1.命令格式: xscan -host - 其他选项 xscan -file 其他选项 其中 含义如下: -tracert : 跟踪路由信息； -port : 检测常用服务的端口状态(可通过datconfig.ini文件的PORT-SCAN-OPTIONSPORT-LIST项定制待检测端口列表)； -snmp : 检测Snmp信息； -rpc : 检测RPC漏洞； -sql : 检测SQL-Server弱口令(可通过datconfig.ini文件设置用户名/密码字典文件)； -ftp : 检测FTP弱口令(可通过datconfig.ini文件设置用户名/密码字典文件)； -ntpass : 检测NT-Server弱口令(可通过datconfig.ini文件设置用户名/密码字典文件)； -netbios : 检测Netbios信息； -smtp : 检测SMTP-Server漏洞(可通过datconfig.ini文件设置用户名/密码字典文件)； -pop3 : 检测POP3-Server弱口令(可通过datconfig.ini文件设置用户名/密码字典文件)； -cgi : 检测CGI漏洞(可通过datconfig.ini文件的CGI-ENCODEencode_type项设置编码方案)； -iis : 检测IIS漏洞(可通过datconfig.ini文件的CGI-ENCODEencode_type项设置编码方案)； -bind : 检测BIND漏洞； -finger : 检测Finger漏洞； -sygate : 检测sygate漏洞； -all : 检测以上所有项目； 其他选项 含义如下: -v: 显示详细扫描进度 -p: 跳过Ping不通的主机 -o: 跳过没有检测到开放端口的主机 -t : 指定最大并发线程数量和并发主机数量, 默认数量为100,10 * cgi及iis参数中编码方案含义： 1.用HEAD替换GET 2.用POST替换GET 3.用GET / HTTP/1.0rnHeader: 替换 GET 4.用GET /filename?param= 替换 GET(可通过datconfig.ini文件的CGI-ENCODEencode4_index_file项设置filename) 5.用GET %00 替换 GET 6.多个/或 7./与互换 8.用替换 注：各变形方案若不冲突则可以同时使用，如-cgi 1,6,8表示同时使用第1、6、8号方案对HTTP请求进行变形。 2.示例: xscan -host xxx.xxx.1.1-xxx.xxx.255.255 -all -p 含义：检测xxx.xxx.1.1-xxx.xxx.255.255网段内主机的所有漏洞，跳过Ping不通的主机； xscan -host xxx.xxx.1.1-xxx.xxx.255.255 -port -ntpass -t 150 -o 含义：检测xxx.xxx.1.1-xxx.xxx.255.255网段内主机的标准端口状态，NT弱口令用户，最大并发线程数量为150，跳过没有检测到开放端口的主机； xscan -file host.lst -port -cgi -t 200,5 -v -o 含义：检测host.lst文件中列出的所有主机的标准端口状态，CGI漏洞，最大并发线程数量为200，同一时刻最多检测5台主机，显示详细检测进度，跳过没有检测到开放端口的主机；七. 插件接口： #define PLUGIN_PARAMS_0 0 #define PLUGIN_PARAMS_1 1 #define PLUGIN_PARAMS_101 101 #define PLUGIN_PARAMS_102 102 #define PLUGIN_PARAMS_103 103 #define PLUGIN_PARAMS_201 201 /* - AlertUser() - * 功能: * 输出字符串,输出格式如下: * szHostName: 发现szVulnName漏洞-szLine * 当szVulnName=NULL时,输出格式如下: * szHostName: szLine * * 参数: * IN szHostName - 文件名 * IN szVulnName - 待写入文件的字符串 * IN szLine - * * 返回值: * 无 * */ typedef VOID (CALLBACK *PALERT_USER) ( char *szHostName, char *szVulnName, char *szLine); /* - LogToFile() - * 功能: * 将字符串写入LOG文件,并自动添加标记 * 允许字符串中含有其他HTML标记 * * 参数: * IN szLogFileName - LOG文件名 * IN sLine - 待写入文件的字符串 * * 返回值: * 无 * */ typedef VOID (CALLBACK *PLOG_TO_FILE) ( char *szLogFileName, char *szLine); /* - AddToTreeView() - * 功能: * 向X-Scan-GUI窗口内的TreeView中添加节点 * * 参数: * IN szLine - 节点的完整路径,分隔符为n(如nPortn80) * IN szImageFile - 节点图标文件(图标文件尺寸必须为16*16,格式为.bmp) * * 返回值: * 无 * */ typedef VOID (CALLBACK *PADD_TO_TREEVIEW) ( char *szLine, char *szImageFile); /*插件基本信息*/ typedef struct _PLUGIN_INFO char szClassName50; /插件所属类别 char szMemberName50; /插件成员名称 char szVersion10; /插件版本 char szFileName50; /插件原始文件名(不含路径) char szParamsRequest50; /选择该插件所需参数，如-cgi char szPrompt200; /对参数的解释，如-cgi: check HTTP vulnerability int nSingle; /是否为单一漏洞(漏洞数量只可能为1或0，如Netbios信息) char szAuthorName50; /插件作者 char szRisk10; /漏洞风险等级 char szDescription300; /插件对漏洞的文字描述 char szAdvice300; /插件对漏洞提供的一些建议 DWORD dwTimeOut; /超时限制，0表示不限时 int nParamsType; /插件导出函数PluginFunc()的入口参数类型(PLUGIN_PARAMS_1) int nMark; /标识该插件是否被默认选中 char szImageFile50; /16*16.bmp图标文件(不含路径, 位于images目录) PLUGIN_INFO; /*插件运行基本参数*/ typedef struct _SCAN_PARAMS_0 char szHostNameMAXLEN; /主机地址 char szParamsMAXLEN; /用户输入参数 int nMaxThread; /最大线程数量 int *pnThreadCount; /当前线程总数量 char *szCurrentSchedule; /当前任务 DWORD *plTimeOut; /超时限制，0表示不限时 int nVerbose; /是否显示详细扫描信息 char szLogFileNameMAXLEN; /LOG文件名（含路径） char szResultBufMAXLEN; /动态返回信息 int nVulnCount; /漏洞数量 SCAN_PARAMS_0; /*插件运行参数*/ typedef struct _SCAN_PARAMS_1 SCAN_PARAMS_0 stBaseParams; /基本参数(SCAN_PARAMS_0) PALERT_USER pAlertUser; /回调函数AlertUser()地址 PLOG_TO_FILE pLogToFile; /回调函数LogToFile()地址 PADD_TO_TREEVIEW pAddToTreeView; /回调函数AddToTreeView()地址 SCAN_PARAMS_1; /* 该函数在初始化插件时被调用，用于获取插件基本信息。 返回值含义：TRUE-插件初始化成功；FALSE-插件初始化失败。*/ extern C _declspec(dllexport) BOOL WINAPI GetPluginInfo(PLUGIN_INFO*); /* 该函数在检测主机时被调用，传入主机基本信息及必要参数，返回扫描结果。 返回值含义：TRUE-存在漏洞；FALSE-不存在漏洞。*/ extern C _declspec(dllexport) BOOL WINAPI PluginFunc(SCAN_PARAMS_1*); 插件应导出上述两个函数，xscan.exe将分别在初始化和扫描时调用。编译后将最终生成的.dll程序重命名为.xpn文件，并保存在xscan.exe所在目录的plugin子目录内。示例插件程序见/plugin/sample.cpp。八. 版本发布： X-Scan v2.2 - 发布日期：09/12/2002，修正PORT插件中线程同步BUG；修正RPC插件字符显示BUG；扩充RPC漏洞数据库；调整扫描结果索引文件风格。 感谢xundi、quack、stardust搜集并整理漏洞数据库。 X-Scan v2.1 - 发布日期：09/08/2002，将SNMP插件扫描项目改为可选；将HTTP、IIS、RPC插件中的漏洞描述链接到xundi整理的漏洞数据库；修正2.0以前版本中已知BUG。 X-Scan v2.0 - 发布日期：08/07/2002，新增路由信息检测、SNMP信息检测插件；升级NETBIOS插件，新增远程注册表信息检测；升级IIS插件，新增对.ASP漏洞的检测；对插件接口做细微修改；更新图形界面，新增在线升级功能；扩充CGI漏洞数据库；修正1.3以前版本中已知BUG。 感谢quack、stardust、sinister、ilsy、santa、bingle、casper提供宝贵资料或优秀插件，感谢san、xundi、e4gle协助测试，也感谢所有来信反馈和提出建议的热心朋友。 X-Scan v1.3 - 发布日期：12/11/2001，修正PORT插件中关于远程操作系统识别的BUG。 X-Scan v1.2 - 发布日期：12/02/2001，升级HTTP、IIS插件，新增对HTTP重定向错误页面识别功能；升级PORT插件，在无法创建Raw Socket时改为使用标准TCP连接方式检测开放端口。 X-Scan v1.1 - 发布日期：11/25/2001，将所有检测功能移入插件，使主程序完全成为容器；提供多语言支持；更新图形接口程序；修改多线程模式，所有插件共享最大线程数量，提高并发检测速度；新增SMTP、POP3弱口令用户检测；新增IIS UTF-Code漏洞检测；扩充CGI漏洞列表。 感谢xundi、quack、casper、wollf、黄诚等朋友提供的宝贵资料，感谢echo、力立等朋友协助测试，再次向付出了重体力劳动的xundi和quack致谢，涕零. X-Scan v1.0(beta) - 发布日期：07/12/2001，新增对远程操作系统类型及版本识别功能；新增对远程主机地理位置查询功能；在-iis选项中，新增对IIS .ida/.idq漏洞的扫描，同时更新漏洞描述；在-port参数中，允许指定扫描的端口范围(通过修改datconfig.ini文件中的PORT-LISTport=)；在-ntpass参数中，允许用户在编辑密码字典时通过%通配所有用户名；更新CGI漏洞列表，并对CGI漏洞进行分类，以便根据远程主机系统类型扫描特定CGI漏洞，加快扫描速度。 感谢天眼软件作者-cloud提供被动识别远程操作系统模块；感谢追捕软件作者-冯志宏提供IP-地理位置数据库；感谢quack提供漏洞资料、程序资料、无数有价值的建议还有感情和. X-Scanner v0.61 - 发布日期：05/17/2001，在-iis选项中新增对IIS CGI文件名二次解码漏洞的检测。 X-Scanner v0.6 - 发布日期：05/15/2001，新增-iis参数，专门用于扫描IIS服务器的unicode及remote .printer overflow漏洞；更新漏洞描述；调整CGI扫描的超时时间，尽量避免因超时导致的“扫描未完成”情况出现；为避免RedV插件被恶意利用，将自动更换主页功能改为自动向C:目录上传包含警告信息的文本文件。 X-Scanner v0.5 - 发布日期：04/30/2001，修改了命令行参数，使参数含义更加直观；扩充CGI漏洞数据库；对NT弱口令扫描功能进行扩充-允许用户使用用户名及密码字典；增加插件功能，并公布插件接口。 感谢santa和老鬼(colossus)提供插件。 X-Scanner v0.42b