《Violent Python》第二章Penetration Testing with Python(

  • A+
所属分类:WooYun-Zone

crown丶prince (我用双手成就你的梦想) 《Violent Python》第二章Penetration Testing with Python( | 2015-10-02 17:28

连载介绍信息:http://zone.wooyun.org/content/23138
原作者:Chris Katsaropoulos
第一译者:@草帽小子-DJ
第二译者:crown丶prince

第二章 用python进行渗透测试
本章内容:
1.构建一个端口扫描器
2.构建一个SSH的僵尸网络
3.通过FTP连接WEB来渗透
4.复制Conficker蠕虫
5.写你的第一个0day利用代码

做一个战士不是一件简单的事。这是一场无休止的、会持续到我们生命最后一刻的斗争。没有人生下来就是战士, 就像没人生下来就注定庸碌, 是我们让自己变成这样或者那样!
                                      —Kokoro by Natsume Sosek(夏目漱石), 1914, Japan(日本)

引文:Morris蠕虫病毒——如今仍然会有效果么?

在StuxNet蠕虫病毒瘫痪了伊朗在Bushehr和Natantz(地名)的核动力的22年前,一个康奈尔大学的研究生推出了第一款“数字炸药”。 Robert Tappen Morris Jr(罗伯特•莫里斯),国家安全局国家计算机安全中心的负责人的儿子,用一种被巧妙地称为Morris蠕虫的病毒感染了6000个工作站。6000个工作站在今天的标准下似乎微不足道,但在1988年,这个数字代表了当时互联网上所有计算机的百分之十。为了消除莫里斯的蠕虫病毒留下的伤害,美国政府问责局提出了100000000美元以上的预算。那么这种蠕虫病毒是如何工作的呢?

莫里斯的蠕虫病毒使用了三管齐下的攻击方式来破坏系统。它首先利用了UNIX 的sendmail程序的漏洞。其次,他利用了Unix 系统守护进程功能的一个用以分离的漏洞。最后,他会用一些常见的用户名和密码,试图连接到使用远程shell的目标(RSH)。如果这三次攻击成功执行,蠕虫会用一个小的程序,像钩子一样把病毒(Eichin & Rochlis, 1989)的剩余部分拉过来。

与此相似的攻击如今仍然会有效果么?我们能学习写出几乎相同的一些东西么?这些问题为本章剩余要讲解的部分提供了基础。莫里斯用C语言编写了他的大部分攻击软件。然后,C语言是一个非常强大的语言,学习他也是有挑战性的。与此形成鲜明对比的是,python语言具有易于掌握的语法和丰富的第三方模块。这提供了一个更好的平台支持,并且让大多数开发者能相当容易的发起攻击。在接下来的内容中,我们将使用python来重新构建莫里斯蠕虫的部分代码。

构建一个端口扫瞄器
侦查是任何网络攻击的第一步。在选择目标的漏洞利用程序之前攻击者必须找出漏洞在哪。在下面的章节中,我们将建立一个小型的侦查脚本用来扫描目标主机开放的TCP端口。然而,为了与TCP端口进行交互,我们需要先建立TCP套接字。

Python,像大多数现代编程语言一样,提供了访问BCD套接字的接口。BCD套接字提供了一个应用程序编程接口,允许程序员编写应用程序用以执行主机之间的网络通讯。通过一系列的socket API函数,我们可以创建,绑定,监听,连接或者发送流量在TCP/IP套接字上。在这一点上,更好的理解TCP/IP和socket是为了帮助我们更加进一步的发展我们自己的攻击。

大多数的Internet访问程序是在TCP之上的。例如,一个目标组织,Web服务可能运行在TCP的80端口之上,邮件服务可能运行在TCP的25端口之上,文件传输服务可能运行在TCP的21端口之上。为了连接目标组织的这些服务,攻击者必须知道Internet协议的地址和与服务相关的TCP端口。对目标组织熟悉的人可能有这些信息,但攻击者可能没有。
攻击者经常以端口扫描拉开一次成功渗透攻击的序幕。一种类型的端口扫描就是发送一个TCP SYN包里面包含了一系列的常用的端口并等待TCP ACK响应,从而判断端口是否开放。相比之下,也可以用一个全握手协议的TCP连接扫描来确定服务或者端口的可用性。

TCP全连接扫描
让我们开始编写我们自己的TCP端口扫瞄器,利用TCP全连接扫描来识别主机。首先,我们要导入Python的BCD套接字API模块socket。Socket API提供了一系列的函数将用来实现我们的TCP端口扫描。为了深入了解,请查看Python的标准库文档,地址:http://docs.Python.org/library/socket.html

socket.gethostbyname(hostname) :这个函数将主机名换换为IP地址,如              www.syngress.com将会返回IPv4地址为69.163.177.2。
socket.gethostbyaddr(ip_address) :这个函数传入一个IP地址将返回一个元组,                  其中包含主机名,别名列表和同一接口的IP地址列表。
socket.socket([family[, type[, proto]]]) :这个函数将产生一个新的socket,通过给定的socket    地址簇和socket类型,地址簇的可以是AF_INET(默认),AF_INET6或者是AF_UNIX,
  另外,socket类型可以为一个TCP套接字即SOCK_STREAM(默认),或者是UDP套    接字即SOCK_DGRAM,或者其他的套接字类型。最后协议号通常为零,在大多数    情况下省略不写。
socket.create_connection(address[, timeout[, source_address]] :这个函数传入一个包含IP地    址和端口号的二元元组返回一个socket对象,此外还可以选择超时重连。
(注:这个    函数比socket.connect()更加高级可以兼容IPv4和IPv6)。

为了更好的理解我们的TCP端口扫瞄器的工作原理,我们将脚本分为五个步骤,一步一步的写出每个步骤的代码。第一步,我们要输入目标主机名和要扫描的常用端口列表。接着,我们将通过目标主机名得到目标的网络IP地址。我们将用列表里面的每一个端口去连接目标地址,最后确定端口上运行的特殊服务。我们将发送特定的数据,并读取特定应用程序返回的标识。

在我们的第一步中,我们从用户那接受主机名和端口。因此我们的程序将利用optparse标准库来解析命令行选项,调用optparse.OptionParser()创建一个选项分析器,然后通过parser.add_option()函数来指定命令选项。(注:optparse模块在2.7版本后将被弃用也不会得到更新,会使用argparse模块来替代)下面的例子显示了一个快速解析目标主机和扫描端口的方法。

# coding=UTF-8
import optparse
parser = optparse.OptionParser('usage %prog –H <target host> -p <target port>')
parser.add_option('-H', dest='tgtHost', type='string', help='specify target host')
parser.add_option('-p', dest='tgtPort', type='int', help='specify target port')
(options, args) = parser.parse_args()
tgtHost = options.tgtHost
tgtPort = options.tgtPort
if (tgtHost == None) | (tgtPort == None):
    print(parser.usage)
    exit(0)
else:
    print(tgtHost)
    print(tgtPort)

接下来,我们将构建两个函数connScan和portScan,portScan函数需要主机名和端口作为参数。它首先尝试通过gethostbyname()函数从友好的主机名中解析出主机IP地址。接下来,它将打印出主机名或者IP地址,然后枚举每一个端口尝试着用connScan函数去连接主机。connScan函数需要两个参数:tgtHost and tgtPort,并尝试产生一个到目标主机端口的连接。如果成功的话,connScan将打印端口开放的信息,如果失败的话,将打印端口关闭的信息。

# coding=UTF-8
import optparse
import socket

def connScan(tgtHost, tgtPort):
    try:
        connSkt = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        connSkt.connect((tgtHost, tgtPort))
        print('[+]%d/tcp open' % tgtPort)
        connSkt.close()
    except:
        print('[-]%d/tcp closed' % tgtPort)

def portScan(tgtHost, tgtPorts):
    try:
        tgtIP = socket.gethostbyname(tgtHost)
    except:
        print("[-] Cannot resolve '%s': Unknown host" % tgtHost)
        return
    try:
        tgtName = socket.gethostbyaddr(tgtIP)
        print('\n[+] Scan Results for: ' + tgtName[0])
    except:
        print('\n[+] Scan Results for: ' + tgtIP)
    socket.setdefaulttimeout(1)
    for tgtPort in tgtPorts:
        print('Scanning port ' + str(tgtPort))
        connScan(tgtHost, int(tgtPort))
#测试是否有效
portScan('www.baidu.com', [80,443,3389,1433,23,445])

捕获应用标识
为了从捕获我们的目标主机的应用标识,我们必须首先插入额外的验证代码到connScan函数中。一旦发现开放的端口,我们发送一个字符串数据到这个端口然后等待响应。收集这些响应并推断可能会得到运行在目标主机端口上的应用程序的一些信息。

# coding=UTF-8
import optparse
import socket

def connScan(tgtHost, tgtPort):
    try:
        connSkt = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        connSkt.connect((tgtHost, tgtPort))
        connSkt.send('ViolentPython\r\n')
        results = connSkt.recv(100)
        print('[+]%d/tcp open' % tgtPort)
        print('[+] ' + str(results))
        connSkt.close()
    except:
        print('[-]%d/tcp closed' % tgtPort)

def portScan(tgtHost, tgtPorts):
    try:
        tgtIP = socket.gethostbyname(tgtHost)
    except:
        print "[-] Cannot resolve '%s': Unknown host" %tgtHost
        return
    try:
        tgtName = socket.gethostbyaddr(tgtIP)
        print('\n[+] Scan Results for: ' + tgtName[0])
    except:
        print('\n[+] Scan Results for: ' + tgtIP)
    socket.setdefaulttimeout(1)
    for tgtPort in tgtPorts:
        print('Scanning port ' + str(tgtPort))
        connScan(tgtHost, int(tgtPort))

def main():
    parser = optparse.OptionParser('usage %prog –H <target host> -p <target port>')
    parser.add_option('-H', dest='tgtHost', type='string', help='specify target host')
    parser.add_option('-p', dest='tgtPort', type='int', help='specify target port')
    (options, args) = parser.parse_args()
    tgtHost = options.tgtHost
    tgtPort = options.tgtPort
    args.append(tgtPort)
    if (tgtHost == None) | (tgtPort == None):
        print('[-] You must specify a target host and port展开!')
        exit(0)
    portScan(tgtHost, args)
if __name__ == '__main__':
    main()

例如说,扫描一个站点,以下是扫描获得的信息:

《Violent Python》第二章Penetration Testing with Python(

可以看到目标主机的开放端口和相应的服务版本,再以后的入侵中将会用到这些信息。

多线程扫描

因为每一个socket都有时间延迟,每一个socket扫描都将会耗时几秒钟,虽然看起来无足轻重,但是如果我们扫描多个端口和主机延迟时间将迅速增大。理想情况下,我们希望这些socket按顺序扫描。引入Python线程。线程提供了一种同时执行的方式。在我们的扫描中利用线程,只需将portScan()函数的迭代改一下。请注意,我们可以把每一个connScan()函数都当做是一个线程。在迭代的过程中产生的每一个线程将在同时执行。
for tgtPort in tgtPorts:
        print('Scanning port ' + str(tgtPort))
        t = threading.Thread(target=connScan, args=(tgtHost, int(tgtPort)))
        t.start()

多线程在速度上给我们提供了显著地优势,但是目前有一个缺点,我们的函数connScan()打印在屏幕上的内容时如果多线程在同一时刻打印的话可能会出现乱序。为了让函数完整正确的输出信息,我们就使用信号量。一个简单的信号量为我们提供了一个锁来阻止其他线程进入。

注意在打印输出之前,我们抢占一个锁使用screenLock.acquire()来加锁。如果锁打开,信号量将允许线程继续运行然后打印输出,如果锁定,我们将要等到控制信号量的进程释放锁。利用信号量,我们可以保证在任何个定的时间只有一个线程在打印屏幕输出。在我们的异常处理代码中,在结束之前将结束下面的代码快。

screenLock = threading.Semaphore(value=1)
def connScan(tgtHost, tgtPort):
    try:
        connSkt = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        connSkt.connect((tgtHost, tgtPort))
        connSkt.send('ViolentPython\r\n')
        results = connSkt.recv(100)
        screenLock.acquire()
        print('[+]%d/tcp open' % tgtPort)
        print('[+] ' + str(results))
    except:
        screenLock.acquire()
        print('[-]%d/tcp closed' % tgtPort)
    finally:
        screenLock.release()
        connSkt.close()

将所有的功能组合在一起,我们将产生我们最终的端口扫面器脚本。

# coding=UTF-8
import optparse
import socket
import threading

screenLock = threading.Semaphore(value=1)
def connScan(tgtHost, tgtPort):
    try:
        connSkt = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        connSkt.connect((tgtHost, tgtPort))
        connSkt.send('ViolentPython\r\n')
        results = connSkt.recv(100)
        screenLock.acquire()
        print('[+]%d/tcp open' % tgtPort)
        print('[+] ' + str(results))
    except:
        screenLock.acquire()
        print('[-]%d/tcp closed' % tgtPort)
    finally:
        screenLock.release()
        connSkt.close()

def portScan(tgtHost, tgtPorts):
    try:
        tgtIP = socket.gethostbyname(tgtHost)
    except:
        print "[-] Cannot resolve '%s': Unknown host" %tgtHost
        return
    try:
        tgtName = socket.gethostbyaddr(tgtIP)
        print('\n[+] Scan Results for: ' + tgtName[0])
    except:
        print('\n[+] Scan Results for: ' + tgtIP)
    socket.setdefaulttimeout(1)
    for tgtPort in tgtPorts:
        print('Scanning port ' + str(tgtPort))
        t = threading.Thread(target=connScan, args=(tgtHost, int(tgtPort)))
        t.start()

def main():
    parser = optparse.OptionParser('usage %prog –H <target host> -p <target port>')
    parser.add_option('-H', dest='tgtHost', type='string', help='specify target host')
    parser.add_option('-p', dest='tgtPort', type='int', help='specify target port')
    (options, args) = parser.parse_args()
    tgtHost = options.tgtHost
    tgtPort = options.tgtPort
    args.append(tgtPort)
    if (tgtHost == None) | (tgtPort == None):
        print('[-] You must specify a target host and port展开!')
        exit(0)
    portScan(tgtHost, args)
if __name__ == '__main__':
    main()

运行这个脚本,我们将看到一下结果:

《Violent Python》第二章Penetration Testing with Python(


结合Nmap扫瞄器

我们前面的例子提供了一个快速执行TCP扫描的脚本。这可能会限制我们执行额外的扫描,如ACK, RST, FIN, or SYN-ACK等Nmap工具包所提供的扫描。它实际上是一个标准的扫描工具包,它提供了相当多的功能,这就引出了问了,我们为什么不使用Nmap工具包了?进入Python真真美妙的地方。当Fyodor Vaskovich编写Nmap时用了C语言和Lua脚本。Nmap能够被相当不错的集成到Python中。Nmap产生给予XML的输出,Steve Milner 和 Brian Bustin编写了Python的XML解析库。它提供了我们用Python利用完整功能的Nmap的能力。

在开始之前,你必须安装python-nmap库,你能从http://xael.org/norman/python/python-nmap/安装python-nmap库。确保你安装时对应了不同的Python2.X或者Python3.X版本。

更多的扫描信息
其他类型的端口扫描

考虑到还有一些其他类型的扫描,虽然我们缺乏用TCP选项制作数据包的工具,但在稍后的第五章中将会涉及到。那是看你能能添加一些扫描类型到你的端口扫瞄器中。

TCP SYN 扫描 :又称为半开放扫描,这种类型的扫描发送一个SYN的TCP连接数包等待响应,当返回RST数据包表示端口关闭,返回ACK数据包表示端口开放。
TCP NULL 扫描 :TCP空扫描设置TCP的标志头为零。如果返回一个RST数据包则表示这个端口是关闭的。
TCP FIN 扫描 : TCP FIN扫描发送一个FIN数据包,主动关闭连接,等待一个圆满的终止,如果返回RST数据包则表示端口是关闭的。
TCP XMAS 扫描 :TCP XMAS扫描设置 PSH, FIN,和URG TCP标志位,如返回RST数据包则表示这个端口是关闭的。

Python-nmap库安装后,我们现在可以导入nmap库到我们的脚本中然后用我们的python脚本运行nmap扫描,需要创建一个PortScanner()类的实例才能运行我们的扫描对象。该类有一个scan()函数,接受主机IP地址和端口作为输入,然后运行基本的nmap扫描。此外,我们可以索引扫描结果并打印端口状态。以下为nmap扫描脚本代码:

# coding=UTF-8
import optparse
import nmap

def nmapScan(tgtHost, tgtPort):
    nmScan = nmap.PortScanner()
    results = nmScan.scan(tgtHost, tgtPort)
    state = results['scan'][tgtHost]['tcp'][int(tgtPort)]['state']
    print(" [*] " + tgtHost + " tcp/" + tgtPort + " " + state)
def main():
    parser = optparse.OptionParser('usage %prog –H <target host> -p <target port>')
    parser.add_option('-H', dest='tgtHost', type='string', help='specify target host')
    parser.add_option('-p', dest='tgtPort', type='string', help='specify target port')
    (options, args) = parser.parse_args()
    tgtHost = options.tgtHost
    tgtPort = options.tgtPort
    args.append(tgtPort)
    if (tgtHost == None) | (tgtPort == None):
        print('[-] You must specify a target host and port展开!')
        exit(0)
    for tgport in args:
        nmapScan(tgtHost, tgport)
if __name__ == '__main__':
    main()

运行我们的nmap扫描脚本,我们可以看到nmap多种方式扫描的准确结果

《Violent Python》第二章Penetration Testing with Python(

分享到: