Part1 前言
大家好,我是ABC_123,公众号正式更名为”希潭实验室”,敬请关注。在日常的渗透测试或者安全服务工作中,经常会用到AWVS、Nessus扫描器,一个是扫描Web漏洞,一个是扫描系统漏洞。这些扫描器一般不会直接安装在物理机中,因为部分漏洞扫描插件会被杀软报毒误杀,而且会开启很多服务拖慢物理机,因此多数朋友会将其安装在VMWare虚拟机中,等到需要的时候打开虚拟机使用即可,但是由此也引发出很多问题,比如说一开Nessus扫描器,5分钟或10分钟后虚拟机就断网,或者扫描结果没有在物理机上扫描准确,今天ABC_123就来总结一下这类问题,都是经验之谈。
建议大家把公众号“希潭实验室”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即可。
Part2 技术研究过程
在VMware虚拟机中使用扫描器,最好是用桥接模式,不用NAT模式。看到这里,很多网友可能会不屑一顾,“设置桥接模式这方法谁不知道?”,但是这里面VMware还是有一个大坑的,当时花了好长时间才解决这个问题。在2016年做一个项目中,部分同事的VMware虚拟机只要一开扫描器,5分钟左右,虚拟机一定断网。后来花了2天时间,挨个改VMware软件的各种设置,反复测试,最终发现了问题出在“桥接模式”的“自动”模式上,下边ABC_123给出一个可靠不会出问题的操作步骤。
首先是要选择“桥接模式”,然后勾选“复制物理网络连接状态”。
接下来其实还有一个最关键步骤,就需要手动选择桥接网卡:
第一步,查一下物理机的网卡名称。执行“ipconfig /all”命令查看一下本机的物理网卡,很明显是“TAP-Windows Adapter V9”。
接下来点开“编辑”菜单下的“虚拟网络编辑器”。
然后可以看到“已桥接至”后面的选项默认是“自动”。根据经验发现,这是造成VMware一开扫描器就断网的原因。
这里需要手动选择我们物理机的“TAP-Windows Adapter V9”网卡。然后一路点击“确定”按钮就OK了。
经过实践,这样设置之后,就不会出现在漏扫工作进行5分钟后,VMware断网情况了。
我尝试过,在物理机上安装一个AWVS和Nessus扫描器,在连接wifi状态下,使用AWVS进行Web漏洞扫描没问题,但是使用Nessus进行系统漏洞扫描,几分钟后wifi一定崩掉,这时候就需要重启一下无线设备。这表明使用扫描器时,尽量使用网线连接。
其它解决办法
比如说减少扫描器并行任务、一次只进行单个网站任务的漏扫、升级wifi网络设备硬件、升级带宽等等,这些就不详细说了。
这个主要参考了Shad0wpf_在freebuf发表的文章《Nmap在VMware NAT网络下探测主机存活误报的分析》,ABC_123给复现了一下,确实存在相关的问题,也再次证明,尽量还是选择桥接模式吧,在NAT模式下扫描,会遇到以下这些扫描器误报问题:
1 在虚拟机NAT模式下,ping命令得到的TTL值永远都是128。
2 Nmap判断存活会显示所有ip都存活,造成误报。
nmap -sP 8.131.x.x/24 -n
3 nmap识别操作系统结果不准确。
使用nmap 8.131.x.x -p 3389,21,445 -n -O命令对一个windows主机进行探测,在NAT模式下nmap判断操作系统结果如下,明明是windows系统,NAT下居然判断成了linux系统:
桥接模式下nmap判断操作系统结果如下:
很明显在桥接模式下,nmap识别操作系统类型更准确。
Part3 总结
1. 这些漏洞扫描器还是需要花费时间研究一下,比如说在vps上装一个Nessus,在得到授权的情况下,把资产放进去进行全端口扫,经常有意想不到的的收获。
2. 使用这些扫描器进行漏扫工作前,一定要跟甲方客户沟通好,尽量选在非工作时间,避开业务高峰期,最好是晚上时间进行扫描,因为部分扫描器会发送一些畸形数据包,可能会造成业务服务的崩溃。
3. 在内网漏扫过程中,有些系统是10年20年没有改动过,使用nmap探测一个服务都可能造成业务卡死,所以需要根据客户的业务状况提前进行评估,必要的时候,还是业务优先。
公众号专注于网络安全技术分享,包括APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com(replace # with @)