长矛深度安全检测系统操作指南

长矛深度安全检测系统操作指南一 产品简介1. 长矛介绍 随着近几年国内外安全形势的严峻，国内企业开始大力发展安全体系建设，安全检测对验证安全体系建设的可靠性也越来越被企业所认可。 安络科技作为国内最早的一批安全企业，坚持专注安全15年，积累和沉淀了丰富的实战经验、使之成为企业最宝贵的财富。 企业依托自身积累的丰富漏洞测试经验、服务部门和研发部门经过2年多的努力、于2014年11月成功研发出国内第一款的深度安全检测平台-长矛 。2. 产品特点目前本产品含2600多个攻击模块，且每周保持更新。参照中国用户操作习惯和需求而开发出的漏洞检测平台、包含大量国内CMS漏洞利用模块。完全拥有自主知识产权、产品可控。拥有扎实技术团队、针对高要求客户可定制开发。3. 标准版 里面提供了更便于用户操作的图形使用界面，可自动勘探指定范围的上网装置、执行密码稽核作业，以及协助设计、执行漏洞检测的流程，并且内建更聪明的密码暴力破解（Bruteforce）与漏洞利用（Exploit）机制，且在相关记录的管理上，也有收集证据与报表生成的功能。4. 企业版 提供了针对网页应用程式、发动社交工程攻击的功能，以及VPN枢纽测试（Pivoting，让使用者可以将网路流量经由受检测的主机转向至不同的网路），同时，这个版本的系统也能支援多人使用，使测试团队的多个成员之间能彼此协同作业，并提供他们自定报表的弹性。5. 如何检测系统既然漏洞检测的威力这么强大, 那如何检测一个系统呢?首先, 我们需要了解一些漏洞检测的基础:PTES(Penetration Testing Execution Strandard), 即漏洞检测标准; PTES将漏洞检测划分为七个阶段:u 前期交互阶段: 与客户讨论并确定漏洞检测的范围和目标u 情报搜集阶段: 采取各种手段搜集被攻击者的有用信息u 威胁分析阶段: 通过搜集的情报信息, 标识目标系统可能存在的安全隐患u 漏洞分析阶段: 分析漏洞的可行性以及最可行的攻击方法u 漏洞检测阶段: 对目标进行测试u 后渗透攻击阶段: 根据目标的不同, 灵活的应用不同技术，让目标系统发挥更大的价值u 报告阶段: 撰写检测报告从上面我们可以看出真正使用漏洞检测技术的只占一小部分, 所以一个好的测试工作者, 不仅需要过硬的检测技术, 而且更重要的是从多方面挖掘出被攻击者的价值信息。二功能简介1. 自动化定期巡检介绍 长矛支持定期自动巡检，一旦发现企业安全威胁及时告知管理员，真正实现自动化。 支持网络设备、操作系统、数据库、web应用、移动终端、工控装置等漏洞验证 2. APT漏洞检测和利用介绍 APT检测支持邮件钓鱼、浏览器漏洞利用、USB后门制作、跳板攻击,、钓鱼页面自动生成等100多种漏洞利用捆绑。3. WEB漏洞检测和利用介绍 支持sql注入、xss、上传漏洞、命令执行等漏洞的检测和利用。 集成了大量国内外cms和框架的exploit,实现一键Getshell(如国内discuz/dedecms/phpcms/umail/eyou/thinkphp等） 4. SCADA工控漏洞检测和利用介绍 集成了主流的工控设备漏洞利用模块、后续更新会增加工控设备0day（已有实质性进展）。下图为西门子工控利用模块 5. 移动终端漏洞检测和利用介绍 集成了Android和ios系统的漏洞验证模块。 平台支持在线生成Android远控 6. 跨平台利用程序生成/免杀介绍 支持16种平台的后门生成 支持x86/x64 支持随机免杀技术（躲避杀软特征码） 7. 调查取证介绍 后渗透测试模块支持控制主机的信息收集、已保存浏览器密码导出、证书导出、内存密码抓取等 8. 报告生成介绍 报告生成支持自定义logo 报告生成支持html/pdf/rft格式 报告生成支持多种模版（审计报告、测试报告、扫描报告,web渗透）支持pci标准 9. 团队协作介绍 长矛支持多用户、多任务的团队协作 不同的用户分配不同的目标 审计管理员可对平台用户操作日志审计 三操作指南A. 简介可参考如下基本流程：从目标主机收集证据获取对主机的访问权限创建项目发现设备清除会话控制会话生成报告B. 安装和初始化设置u 硬件要求 - 2 GHz+ 处理器 - 2 GB 内存（推荐4 GB） - 500MB+ 可用磁盘空间 - 10/100 Mbps 网卡u 操作系统 - Windows XP、2003、Vista、2008 Server 和Windows 7 - Red Hat Enterprise Linux 5.x、6.x - x86 和x86_64 - Ubuntu Linux 8.04、10.04 - x86 和x86_64u 浏览器版本 - Mozilla Firefox 4.0+ - Microsoft Internet Explorer 9 - Google Chrome 10+安装时需要注意两点： 在安装的时候要关闭杀毒软件。否则会导致杀毒软件和长矛软件冲突，导致安装失败。 软件更新：管理 软件更新(图B-1) 检查更新(图B-2)图B-1图B-2C. 用户和项目l 项目提供一种方式来组织并整理您的安全检测。 l 使用名称、网络边界和授权用户来创建项目。 l 网络边界帮助您设置和保持一个范围。 l 可以在项目中添加或删除个人。 l 获得项目访问权限的任何人都具有完整的特权。 l 项目提供一种方式来组织并整理您的安全检测。 1. 新建用户要进行用户管理（添加、删除和设置密码），请前往“管理 用户管理(图C-1)” 并点击“新用户(图C-2)” 来添加新用户。“管理员” 角色可以访问所有项目、管理用户并应用软件更新。最多支持三个用户。 图C-1图C-2图C-32. 新建项目要新建项目，请前往“主界面 新项目(图C-4)” 输入项目名称、描述、网络范围、项目拥有者和成员(图C-5)。 图C-4图 C-53. 项目设置点击“主页”即显示所有可用项目。 要编辑项目，勾选“项目名称”并点击“设置”(图C-6) 。可以对项目进行设置。 图 C-6 点击设置4. 设置界面D. 发现设备1. 地址设置运行检测的第一步是发现一些目标。长矛可以使用内置的工具和模块来进行扫描并发现设备，从其他工具导入结果，对目标网络使用扫描来发现漏洞。(图D-1)图 D-12. 高级设置设置扫描地址，点击“显示高级选项”(图D-2)来自定义扫描。可以找到Nmap 参数和端口设置。图 D-2在“高级设置”里，您可以自定义NMAP 参数、源端口和目标端口。在“发现设置”下方，可以设置扫描速度和超时来控制网络使用。在此处启用的选项越多，扫描就越慢。如果选择“预检”，长矛不会扫描网络，但是任务日志将显示相关信息。3. 开始检测设置完成后，点击右下角的“启动扫描”。一旦开始扫描，就会在“任务”选项卡上显示 (图D-3)：图 D-34. 支持的格式除了长矛发现的设备以外，还可以导入设备列表。点击项目主页上的“导入”将鼠标移至“？”来查看支持的所有文件类型。支持的类型有：PWDump、长矛导出的Zip和XML、发现者导出的XML、Acunetix XML、Amap日志、Appscan XML、Burp Session XML、Core Impact XML、Critical Watch FusionVM报告、Foundstone Network Inventory XML、IP地址列表(每行一个地址)、Libpcap Network Capture、Microsoft MBSA SecScan XML、Nessus XML (v1 & v2)、NetSparker XML、Nmap XML、Qualys Asset XML and Scan XML、Retina XML、nCircle IP360 (XMLv3 & ASPL)、Spiceworks Inventory Summary CSV5. 配置“发现者”扫描长矛 可以启动发现者 来执行设备发现操作。前往“管理”选项卡并点击“全局设置”(图D-4)。向下滚动鼠标至“发现者” 部分并点击配置(图D-5)。输入信息来添加发现者控制台。图 D-4图 D-56. 启动“发现者”扫描要启动发现者扫描，返回项目主页上点击。选择新添加的发现者控制台，指定IP/IP 范围和“扫描模板”。点击右下角的来启动扫描。(图D-6)图 D-6一旦启动“发现者”进行扫描，就会在“任务”选项卡上显示相关信息。(图D-7)图 D-77. 扫描结果. 完成扫描后，主机选项卡项目概述 主机 将显示检测出易受入侵的主机。(图D-8)图 D-8最后一栏是主机状态。这些状态如下所示： 1. Scanned（已扫描） 已发现设备。2. Cracked（已破解） 已成功地强力破解凭证，但尚未获取会话。3. Shelled（已攻陷） 已获取设备上打开的会话。4. Looted（已掠取） 已从设备收集证据。8. 查看漏洞如果启动发现者来发现设备，您可以查看易于受到入侵的漏洞列表。前往 项目概述 漏洞。将显示找到的所有主机的漏洞。点击参考信息标，来检查来自网络的漏洞信息，这样便能选择特定的模块来检测主机了。(图D-9)图 D-9E. 测试基本原理1. 有效载荷 提供两个针对入侵和强力攻击的有效载荷选项。如果选择长矛不起作用，则使用Command Shell。2. Meterpreter meterpreter是长矛的有效载荷，为攻击者提供交互式的shell。 例如：利用VNC 控制设备的屏幕并浏览、上传和下载文件。该选项能够完成大量入侵后任务并进行定制，例如在网络内运行脚本自动化入侵。 将在以下情况创建Meterpreter 会话： 成功入侵Windows 对Windows 进行SSH 强力攻击 对Windows 进行Telnet 强力攻击 对Windows 进行SMB 强力攻击 对Windows 进行Tomcat 强力攻击3. Command Shell 帮助用户对主机运行收集脚本或运行任意命令。将在以下情况创建Command Shell 会话： 成功入侵*nix 对*nix 进行SSH 强力攻击 对*nix 进行Telnet 强力攻击 对*nix 进行Tomcat 强力攻击4. 模块 任何人都可以开发模块，为社区做出贡献。u 充分利用长矛的模块 通过关键字轻松简便地使用搜索界面 可以扩展所有标准入侵来瞄准一定范围 使用任何您已知的首选模块 u 细粒度控制模块选项 指定并覆盖任何标准选项 使用Advanced（高级）和Evasion（回避）选项 u 基本自动化有效载荷的选择 选择Meterpreter vs Shell 选择Reverse（反向）vs Bind（绑定） 选择端口范围5. 搜索模块单击在菜单栏上将显示模块统计和搜索关键字格式。要搜索模块，请输入模块名字，或者模块关键字。(图E-1)图 E-16. 会话一旦“长矛”检测了主机，就会构建一个会话。会话是与主机建立的连接，并让您在主机上“执行某些操作”，例如复制文件。(图E-2)/(图E-3)会话列表图 E-2会话界面图 E-3 F. 暴力破解设置选择一个项目或主机，然后点击进入“暴力破解”页面。必要时请编辑目标地址并选择要对其进行强力攻击的服务。按钮将允许自定义：排除地址、破解速度、尝试次数。(图F-1)/ (图F-2)图 F-1图 F-2在“添加凭证”部分下方，您可以使用以下格式（仅接受密码或用户名）添加额外的凭证。您还可以指定SMB 域。- domain/username - pass1 pass2 pass3- username pass1 pass2 pass3- pass1 pass2 pass3- username 全部设置好后点击右下角的 启动破解。 G. 漏洞测试1. 创建测试要入侵主机，请前往主机选项卡“项目概述 主机” (图G-1) 。选择主机然后点击按钮图 G-12. 测试设置在“自动化测试设置” 部分下方，确认目标IP 地址是否正确。选择“可靠性” 级别来实现成功入侵几率和破坏目标几率之间的平衡。(图G-2)可靠性注释：Excellent Exploits永远不会破坏服务。这个排名的Exploits包括SQL注入、CMD执行和特定的脆弱服务配置。大多数web应用缺陷属于这个类别。Great Exploits有一个默认的目标或自动侦测合适的目标并在运行版本检测后使用一个特定应用的返回地址。这些exploits可能会破坏目标，但大多数情况下是返回成功的。 Exploits有一个默认的目标并且适用于这种类型软件的通用情况(中文、Windows XP桌面应用、2003 server等等)。Normal Exploits是可靠的，但取决于特定的版本并且不能可靠地自动侦测。Average Exploits总体上是不可靠的或渗透非常困难。图 G-2Low Exploits对于通用平台失败率超过50%。图 G-3点击 来访问高级选项，例如：目标地址、 载荷设置、利用模块选择、高级设置。 目标地址部分允许您排除地址并忽略已知易受入侵的设备。 (图G-3)在“利用模块选择”部分下，您可以为入侵设置端口并删除不太相关的模块。可以利用主机操作系统、开放的端口和漏洞参考来匹配将要使用的入侵。(图G-4)图 G-43. 高级设置在高级设置部分下，您可以设置入侵行为，例如并发入侵和超时。启用“每个目标只获取一个会话”会将会话数限制为一个，即使主机具有多个漏洞允许创建多个会话也不例外。传输绕过级别：“Low”（低）会在TCP 数据包之间插入延迟；“Medium”（中）将发送小型的TCP 数据包；“High”（高）将应用这两种绕过技术。选择的级别越高，所需时间就越长，不过被检测到 的几率也越低（例如IDS）。 应用绕过这个绕过选项用于基于DCERPC、SMB 和HTTP 的入侵。闪避选项越高级，闪避级别就越高。“预检”将在任务和日志中显示入侵信息。不会进行实际的入侵。(图G-5)图 G-54. 开始测试点击右下角 的来启动入侵任务。(图G-6)图 G-6如果入侵成功，就会在“会话”选项卡上显示连接的会话和会话编号。(图G-7)图 G-75. 打开会话当在目标系统上发现了有效的主机并获取了该系统上会话的访问权限，您就可以控制这些打开的会话。 有两类会话： Meterpreter 会话 这些会话的功能更强大。不仅允许您利用VNC 获取设备的访问权限，还帮助您利用内置的文件浏览器上传/下载敏感信息。 Command shell 会话 这些会话允许您对主机运行收集脚本，并通过shell来运行任意命令。(图G-8)图 G-8要重新打开会话，请前往会话选项卡。如果存在任何“活动的会话，则关闭所有这些会话。 点击其中一个已关闭会话的 攻击模块（攻击模块将显示模块详细信息、地址和有效载荷选项。点击“运行模块”再次进行入侵。(图G-9)图 G-96. 会话操作Meterpreter 会话示例。前往一个处于活动状态的会话。为Windows 使用Meterpreter 有效载荷。可以点击“终止会话”来关闭此会话。(图G-10)图 G-10收集证据： 获得访问权限后可以从目标自动收集证据。可以使用这些证据执行进一步分析和渗透测试。点击 开始收集证据。您可以选择收集 “系统信息” 、“系统密码” 、 “屏幕截图”和“SSH 密钥”。您也可以下载匹配模式的文件。要检查从主机收集而来的证据，请前往“项目概述 主机”并从表格中选择主机。可以在“信息收集”（已捕获的证据）选项卡上找到这些证据。(图G-11)图 G-11Meterpreter拥有一个Java 小程序形式的VNC 客户端，会话将允许您通过VNC 会话连接到目标。点击“确定”来访问虚拟桌面。（请为您的平台安装最新的Java。此外还可以选择使用外部客户端（例如VNC Viewer）。点击蓝色的 “Java Applet”（Java 小程序）继续。）I. Web应用程序测试1. 简介长矛在“Web 测试”选项卡下提供Web 扫描、Web 审计和Web 测试。这些功能帮助您在处于活动状态的Web 内容和表单中搜索漏洞并进行测试。 Web 应用程序扫描： 对网页启用爬虫、搜索表单和活动内容 Web 应用程序审计： 搜索这些表单中的漏洞 Web 应用程序入侵：测试找到的漏洞2. 打开WEB测试图 I-1运行web 扫描，前往“Web 测试 Web扫描”项目主页 Web扫描：(图I-1)图 I-2点击选项卡 前往“Web 测试”页面。(图I-2)3. WEB测试设置图 I-3打开WEB扫描，输入相应的扫描参数，包括“目标 URLs”、请求的最大页数、时间限制、并发请求。从过去的扫描中选择已识别的web 服务。 (图I-3)如果需要为HTTP 基本验证和cookie 输入凭证，请点击 按钮，进入爬虫设置。 (图I-4)图 I-44. 启动Web扫描与结果设置好后点击 按钮来启动WEB扫描。扫描后，将在“WEB测试”选项卡上显示找到的Web 应用程序。这些信息包括IP 地址、网站URL、服务名称、页数和表单数量。(图I-5)图 I-55. Web审计要运行Web 审计来搜索已扫描表单中的漏洞，请点击按钮。输入条件，包括：HTTP最大并发请求数、时间限制 、用户帐号密码和浏览器程序。(图I-6)图 I-6您也可以选择“目标Web应用” 。点击 按钮来启动web 审计。将在“Web 测试”选项卡上更新Web 审计结果，例如漏洞数量。点击“风险”图标，“漏洞”数量或“Web站点”URL 来检查web 应用程序的漏洞列表。(图I-7)图 I-7要通