OpenVAS漏洞扫描插件工作原理浅析

开始阅读此文之前请安装好OSSIM v4.15
OpenVAS釆用***测试原理,利用Scanner模块中的脚本引擎对目标进行安全检测。Openvas的Scanner的扫描性能依赖于同时进行扫描的并发进程数,不同的硬件环境上可设置的最有效并发扫描数各不相同,Openvas的扫描引擎设备可在保证系统稳定的前提下达到最佳的扫描性能,对于大型网络使用标准设备进行部署可大大降低安装和维护成本。
脚本引擎根据用户提交的配置与要求,首先对脚本进行加载与调度,按照顺序依次调用脚本并解析执行,实现扫描功能。

0.什么是NASL脚本

NASL脚本语言是起初针对网络安全扫描工具Nessus开发的,该脚本语言具有方便快捷,灵活性强,安全性高的特点,便于用户根据新出现的漏洞特性,写出有针对性的检测脚本。
NASL(Nessus Attack Scripting Language)脚本具有其特定的格式要求,其脚本内容可分析两个部分,第一个部分是脚本的注册信息,包含脚本名称、CVE-ID、漏洞描述信息、脚本类型,依赖的脚本或端口等信息。第二部分是针对相应漏洞的检测代码,此部分是脚本内容的核心,包含添加引用的库,脚本初始化,脚本执行及检测返回信息等操作。
NASL脚本书写格式大致如下所示。

if(description)
{
/*注册信息:包含脚本名称、CVE-ID、漏洞描述信息、脚本类型,依赖的脚本或端口等*/
Script-name
CVE-ID;
exit(0)
}
/*脚本代码*/

NASL脚本语言功能强大,用于设计安全检测脚本足以。该脚本语言的语法类似于C语言,但是比C要简单许多,在使用NASL脚本语言时,不必考虑对象的类型,内存的分配与释放,变量声明等问题,只要认真设计漏洞的检测方法即可。由于漏洞扫描需在网络环境中进行,所以NASL语言提供了丰富的网络相关函数,包括套接字相关函数,用户可根据检测需要创建套接字,与目标主机进行通信;原始报文处理函数,用户可根据扫描需求构建检测报文,并对返回信息进行分析,提取重要内容;NASL语言还提供了一些工具参数来简化检测脚本的书写,例如对目标主机系统、端口等信息的提取函数。
NASL语言还提供了丰富的字符串处理函数。NASL语言允许使用=、<和>等操作符以及正则表达式对字符串进行模式匹配,并且提供多种实现模式匹配功能的函数。NASL语言包含字符串长度计算,内容复制,数据类型转换、大小写转换等功能函数,方便脚本书写。

1.插件功能举例****

在/var/lib/openvas/plugins/目录下,分析cross_site_scriping.nasl脚本,本文重点对该文件进行讲解,请大家在阅读之前准备好脚本。跨站脚本漏洞是Web应用的常见漏洞,下面将开始对cross_site_scriping.nasl脚本分析,总结此类漏洞检测过程。

 76  script_summary("Determine if the remote host is vulnerable to Cross Site Sc    ripting vulnerability");
 77  script_category(ACT_GATHER_INFO);
 78  script_family("Web Servers");

77行script_category(ACT_GATHER_INFO);设置脚本的类别,这些类别有:
? ACT_GATH (信息采集类脚本)
? ACT_ATTACK (尝试获取远程主机权限脚本)
? ACT_DENIAL(拒绝服务***脚本)
? ACT_SCANNER(端口扫描脚本)
Category代表了脚本执行的优先级,不是随便扫描,这种优先级的设定符合常规扫描过程,我们在扫描初期需要对目标主机的端口信息,系统信息,服务信息进行收集,根据这些已知信息合理的进行后续测试,这种测试也是按照由弱到强的顺序执行,为什么呢?如果首先就进行最强的漏洞扫描,相当于进行最危险的测试,一旦目标主机存在相应漏洞,立即系统就会崩溃,整个测试就无法全面进行。
图片描述

NASL脚本的结构与参数在后面内容将会进行详细介绍,此处先对脚本中category参数进行简单描述,category在脚本调度的过程中具有非常重要的作用,category代表了脚本执行的优先级,通过宏对各类category值的优先级进行定义,NASL脚本按照下表中category优先级由高到低执行,相同优先级按照脚本id顺序执行。

这种优先级的设定符合一般扫描过程的逻辑,我们在扫描初期,需要对目标网络的端口信息、系统信息、服务信息等进行收集,根据这些已知信息,合理进行后续的测试,而且再测试过程中也要按照由弱到强的顺序执行,如果首先进行高危测试,且目标系统存在相应漏洞,则会导致系统崩溃,测试无法继续进行。NASL脚本在完成加载调度的过程中,需要经过三次处理,每次处理都定义了符合要求的链表结构对脚本及相关信息进行保存。

 32 include("revisions-lib.inc");
 33 tag_summary = "The remote web server seems to be vulnerable to a Cross Site     Scripting

32行 include(“revisions-lib.inc”) 添加引用的类库。

 63  script_id(10815);
 64  script_version("$Revision: 41 $");
 65  script_tag(name:"last_modification", value:"$Date: 2013-11-04 20:00:12 +010    0 (Mon, 04 Nov 2013) $");

63行 script_id(10815); 添加 openvas ID。
但有些脚本会同时出现script_cve_id(“CVE-2010-2963”、”CVE-2010-3067”)这代表添加CVE ID,CVE(Common Vulnerabilities and Exposure)这类例子大家可以参看deb_2126_1.nasl脚本,如果该漏洞有CVE编号,可以再这个字段给出。同样在freebsd_php5-gd.nasl脚本里还出现了script_bugtraq_id(33002),我们可以把CVE看作是一个词典,它提供了许多的交叉引用,现在大量公司都宣布他们的安全产品或数据库都和CVE相兼容,也就是能够利用CVE中漏洞名称同其它CVE兼容的产品进行交叉引用,通过CVE中为每个漏洞分配一个唯一的名称,在其它使用了这个名称的工具、网站、数据库以及服务中检索到相关信息,同时自身关于该漏洞的信息也能够被检索到。所以在网络安全评估时,利用CVE可以找出修补漏洞的措施,CVE可以提供很好的指导。大家如果要具体查询这些ID信息可以用grep命令
grep –ir “script_bugtraq_id” /var/lib/openvas/plugins/

 78  script_family("Web Servers");
 79  script_copyrigcript_summary("Determine if the remote host is vulnerable to     Cross Site Sc    ripting vulnerability");

78行 script_family("Web Servers");设置脚本所属的族(family)。
NASL对此没有明确规定,插件作者可以自己定义脚本所属的族。Openvas 使用的族有:
? Debian Local Security Checks
? Fedora Local Security Checks
? Mandrake Local Security Checks
? HP-UX Local Security Checks
? Ubuntu Local Security Checks
? CentOS Local Security Checks
? Windows : Microsoft Bulletins
? FreeBSD Local Security Checks
? Red Hat Local Security Checks
? Solaris Local Security Checks
? CentOS Local Security Checks
? Web application abuses
? FreeBSD Local Security Checks
? Buffer overflow
? Firewalls
? Web Servers
? RPC
? General
? CISCO
? Databases
? Useless services
? Default Accounts
? Nmap NSE net
? Gain a shell remotely
? Malware
? Port scanners
? IT-Grundschutz
? SMTP problems
? Gentoo Local Security Checks
? SuSE Local Security Checks
? FTP
? Denial of Service
? Windows
? Service detection
实际上这些族就是主要的***种类。
下面继续看79行内容:
79行 script_copyright("Copyright (C) 2001 SecuriTeam, modified by Chris Sullo and Andrew Hintz");
设置脚本的版权信息
80行 script_dependendes("find_service.nasl", "httpver.nasl");
第80行脚本说明脚本依赖关系,如果要让cross_site_scriping.nasl正常运行,必须依赖find_service.nasl"、"httpver.nasl"这两个脚本。

80  77  script_category(ACT_GATHER_INFO);
 81  78  script_family("Web Servers");t("Copyright (C) 2001 SecuriTeam, modified     by Chris Sullo and Andrew Hintz");
 82  script_dependencies("find_service.nasl", "httpver.nasl");
 83  script_require_ports("Services/www", 80);
 84  if (revcomp(a: OPENVAS_VERSION, b: "6.0+beta5") >= 0) {
 85    script_tag(name : "summary" , value : tag_summary);
 86  }
 87  exit(0);
 88 }
 89
 90 #
 91 # The script code starts here
 92 #
 93
 94 include("http_func.inc");
 95 include("http_keepalive.inc");

81行script_require_ports("Services/www", 80);
表明执行此脚本所需的目标服务器的端口信息;
95行 port = get_http_port(default:80);获取服务器端口
123行if(get_port_state(port))判断端口是否打开
134行req = http_get(item:url, port:port);发送带有***性的请求

? 注意:nasl脚本主要是对的描述,只是说明的的步骤。

136     req = http_get(item:url, port:port);
137     r   = http_keepalive_send_recv(port:port, data:req, bodyonly: TRUE);

135行 r= http_keepalive_send_recv(port:port, data:req, bodyonly: TRUE); 接收响应
165行 set_Kb_item(name:string("www/", port, "/generic_xss"), value:TRUE);
165 set_kb_item(name:string("www/", port, "/generic_xss"), value:TRUE);
查看知识库中是否已存在此漏洞信息,知识库中保存了各类扫描所需相关信息,例如:
? 主机存活信息(Host/dead)
? 主机提供服务的信息(ftp/no_mkdir)
? 端口扫描信息(services/ftp)
? 测试登录信息(SMB/login SMB/password)
在脚本测试过程中,如果收集到有用的信息,将通过set_Kb_item()这个函数,在知识库中增加相应条目;当需要对知识库中的相关信息进行调用时,则利用get_Kb_item()函数进行读取。

2.NASL常用函数介绍

? open_sock_tcp()、open_sock_udp(),分别用于打开一个TCP或者UDP套接字。
? close(), 关闭一个端口。
? forge_ip_packet(), 函数构造一个新的IP报文。
? forge_tcp_packet() , 构造TCP报文。
? set_tcp_elements(), 可修改TCP报文的内容。
? forge_udp_packet(), 构造UDP报文。
? send_packet(), 函数发送报文。
? pcap_next() , 函数将从使用的最后一个接口读取一个报文。
? this_host(), 获取运行脚本的主机IP地址,没有参数。
? get_host_name() , 获取当前被测试主机的主机名,没有参数。
? get_host_ip() , 获取当前被测试主机的IP地址,没有参数。
? get_host_open_port() ,获取远程主机打开的第一个端口号,没有参数。
? get_port_stat(<portnum>),获取端口的状态。
除此之外还有大量的正则表达式函数这里就不一一举例。

3.OpenVAS脚本加载过程分析

如果你需要开发插件对于,需要了解的一个重点问题是,当启动OpenVAS时,由openvassd进程加载所有的脚本(/var/lib/openvas/plugins/下的.nasl脚本),存储为argiist结构(数量可变的参数列表指针);根据客户端传递的配置信息,选取需要的脚本,加载为scheduler_plugin结构;最后根据选取脚本的category将脚本分组,组织脚本的执行顺序,保存到plugins_scheduler-struct结构。
OpenVAS关于脚本管理设计的非常合理,初始的加载脚本是保存的argiist链表内容,供后面进步一选取脚本及组织脚本执行顺序时调用,可有效减少内存的使用,提高工作效率。在脚本引擎的工作中,将脚本执行收集到的信息保存在知识库中,可有效避免重复扫描,减少不必要的资源浪费,提高工作效率。知识库中条目结构定义如下:
Struct kb_item
{
char name; /
知识库中条目名称/
char type; / 条目的类型 int 或 string /
union
{
char
v_str;
int v_int;
} V; /<知识库中条目的值/
struct kb item next; /指针指向下一条目 */
};
知识库中保存的信息包含各类扫描信息例如:
? 主机存活信息(Host/dead)。
? 主机提供的服务信息(ftp/no_mkdir)。
? 端口扫描信息(Services/ftp)。
? 测试登录信息(SMB/login; SMB/password)。
? 用户检测时进行的系统设置信息。
在脚本执行过程中,如果收集到有用信息,将通过set_kb_item()函数,在知识库中增加相应条目;如果需要对知识库中的相关信息进行调用,则使用get_kb_item()函数进行读取操作。
脚本在执行时如果有依赖的系统环境、端口状态等信息,会到知识库中查询,并根据查询结果做出合理的操作。例如:某脚本的执行需要目标主机的80端口打开,通过知识库查询,发现目标的80端口是关闭的,那么此脚本的执行将放弃,且该脚本对应线程关闭;如果发现目标的80端口处于开启状态,那么该脚本将顺利执行,对目标进行检测。通过对知识库中信息的查询判断,可有效提高脚本执行的效率,一些无意义的扫描将被过滤。

4. 测试NASL脚本

将自己写的插件复制到openvas插件库目录:
/var/lib/openvas/plugins
加载插件:
openvassd

5. 重建插件库

openvasmd –rebuild
注意:参数“rebuild”代表从一个正在运行的扫描器(openvassd)中重建数据库信息。

更多OSSIM的内容请大家关注我的2019年最新作品。

原文地址:https://blog.51cto.com/chenguang/2429358

时间: 2024-10-12 11:58:54

OpenVAS漏洞扫描插件工作原理浅析的相关文章

OpenVAS漏洞扫描基础教程之连接OpenVAS服务

OpenVAS漏洞扫描基础教程之连接OpenVAS服务 连接OpenVAS服务 当用户将OpenVAS工具安装并配置完后,用户即可使用不同的客户端连接该服务器.然后,对目标主机实施漏洞扫描.在本教程中,将会使用最简单的浏览器客户端方式连接OpenVAS服务.因为,使用这种方法不仅简单,而且用户可以在任何系统中连接到服务器.如果使用其它方法的话,需要在客户端单独安装OpenVAS客户端程序.本节将介绍连接并管理OpenVAS服务的方法. 启动OpenVAS服务 由于OpenVAS是基于C/S(客户

OpenVAS漏洞扫描基础教程之OpenVAS概述及安装及配置OpenVAS服务

OpenVAS漏洞扫描基础教程之OpenVAS概述及安装及配置OpenVAS服务 OpenVAS基础知识 OpenVAS(Open Vulnerability Assessment System)是开放式漏洞评估系统,其核心部分是一个服务器.该服务器包括一套网络漏洞测试程序,可以检测远程系统和应用程序中的安全问题.OpenVAS不同与传统的漏洞扫描软件.所有的OpenVAS软件都是免费的,而且还采用了Nessus(一款强大的网络扫描工具)较早版本的一些开放插件.虽然Nessus很强大,但是该工具

OpenVAS漏洞扫描基础教程之创建用户组与创建角色

OpenVAS漏洞扫描基础教程之创建用户组与创建角色 OpenVAS创建用户组 用户组就是指许多个用户的组合.在网络中,各个访问网络的用户的权限可能各不相同.所以,可以通过将具体相同权限的用户划为一组.这样就不需要单独为某个用户设置权限了,只需要设置组的权限即可.下面将介绍创建用户组的方法.具体操作步骤如下所示: (1)在OpenVAS服务的主界面依次单击Administration|Groups命令,即可打开用户组界面,如图1.16所示.   图1.16  组界面 (2)从该界面可以看到,目前

OpenVAS漏洞扫描基础教程之创建用户

OpenVAS漏洞扫描基础教程之创建用户 OpenVAS管理服务 默认情况下,OpenVAS服务仅创建了一个名为admin的用户,而且是管理员用户(拥有最高的权限).如果想要其它客户端登陆的话,不可能都以管理员身份访问,否则导致服务器出现混乱,而且不方便管理.所以,为了方便管理OpenVAS服务,用户可以根据需求创建不同级别的用户和组.下面将分别介绍创建用户.组及修改用户角色的方法. OpenVAS创建用户 (1)在OpenVAS服务的主界面(如图1.6所示)依次单击Administration

Kubernetes NetworkPolicy工作原理浅析

Kubernetes能够把集群中不同Node节点上的Pod连接起来,并且默认情况下,每个Pod之间是可以相互访问的.但在某些场景中,不同的Pod不应该互通,这个时候就需要进行访问控制.那么如何实现呢? 简介 ??Kubernetes提供了NetworkPolicy的Feature,支持按Namespace和按Pod级别的网络访问控制.它利用label指定namespaces或pod,底层用iptables实现.这篇文章简单介绍Kubernetes NetworkPolicy在Calico上的工作

抢红包插件实现原理浅析

抢红包,先看效果图~ 实现自动抢红包,解决问题有两点: 一:如何实时监听发红包的事件 二:如何在红包到来的时候自动进入页面并自动点击红包 一.如何获取红包到来的事件 为了获取红包到来状态栏的变化,我们要用到一个类:Accessibility 许多Android使用者因为各种情况导致他们要以不同的方式与手机交互. 这包括了有些用户由于视力上,身体上,年龄上的问题致使他们不能看完整的屏幕或者使用触屏,也包括了无法很好接收到语音信息和提示的听力能力比较弱的用户. Android提供了Accessibi

SPI协议及其工作原理浅析

转载自:http://bbs.chinaunix.net/thread-1916003-1-1.html一.概述. SPI, Serial Perripheral Interface, 串行外围设备接口, 是 Motorola 公司推出的一种同步串行接口技术. SPI 总线在物理上是通过接在外围设备微控制器(PICmicro) 上面的微处理控制单元 (MCU) 上叫作同步串行端口(Synchronous Serial Port) 的模块(Module)来实现的, 它允许 MCU 以全双工的同步串

缓冲池工作原理浅析

Ⅰ.缓冲池介绍 innodb存储引擎缓冲池(buffer pool) ,类似于oracle的sga,里面放着数据页 .索引页 .change buffer .自适应哈希 .锁(5.5之前)等内容 综上所示: 每次读写数据都是通过Buffer Pool 当Buffer Pool中没有用户所需要的数据时才去硬盘中获取 通过innodb_buffer_pool_size进行设置总容量,该值设置的越大越好 Ⅱ.缓冲池性能问题 2.1 性能线性扩展 假设服务器72核,ht超线程后,144个逻辑核,跑测试按

JQuery选择器$()的工作原理浅析

每次申明一个jQuery对象的时候,返回的是jQuery.prototype.init对象,很多人就会不明白,init明明是jQuery.fn的方法啊,实际上这里不是方法,而是init的构造函数,因为js的prototype对象可以实现继承,加上js的对象只是引用不会是拷贝,new jQuery,new jQuery.fn和new jQuery.fn.init的子对象是一样的,只是有没有执行到init的不同.泗阳县民用航空局 当我们使用选择器的时候$(selector,content),就会执行