<返回更多

如何自己开发漏洞扫描工具

2022-08-31    smooth00
加入收藏

这是我去年2021年写的文章,如今这款开源安全测试工具已经更新了很多新功能,但漏洞扫描这块基本上还可以参考我这篇文章:

漏洞扫描工具,核心就是扫描器,而扫描器的设计思想是:灵活,易扩展,易修改,灵活的意思就是可单独执行专项漏洞的扫描,也可以批量执行集成的所有漏洞探测模块;易扩展的意思就是,新的漏洞检测模块可清晰简单地集成进扫描器;易修改,对各个漏洞扫描模块可根据特殊情况修改探测逻辑。以下我们以网上一款开源的扫描工具来讲解,当然部署过程和使用中可能会处处是坑,只要一一解决就是:

扫描器的源码

开源工具源码地址:

https://gitee.com/samllpig/SafeTool-51testing

工具的详细安装教程:

http://quan.51testing.com/pcQuan/lecture/117

软件架构

安装部署

pip install wxPython==4.0.7

#如果安装失败,多执行几编,主要是因为网络超时导致安装失败
#也可以直接去下载相关模块包,如下载

wxPython-4.0.7-cp36-cp36m-win_amd64.whl,到官网下载,一定要下载和python版本匹配的包
#通过安装包来安装指定模块

pip install wxPython-4.0.7-cp36-cp36m-win_amd64.whl

#安装过程如果提示缺什么包,就继续去下载什么包

也可以安装更高版本的,比如wxPython==4.1.1

一般安装会有问题,可以直接到官网下载 Win32/Win64 OpenSSL Installer for windows - Shining Light Productions

在本地安装后,还需要将库文件拷贝到python目录下,这样才能识别,如:

1、将openssl安装目录下的:C:Program FilesOpenSSL-Win64lib 拷贝到 D:Pythonlibs

2、将openssl安装目录下的:C:Program FilesOpenSSL-Win64include 拷贝到 d:Pythoninclude

这个文件源代码根目录下,配置了需要安装的模块及版本,我们需要确认自己的python版本是否以其匹配,比如Python3.8就要求改lxml为 lxml==4.6.3

pip install -r requirements.txt

# 如果安装失败,多执行几编,主要是因为网络超时导致安装失败,也可以到官网找模块包下载后来安装
# 如果安装提示版本问题,就需要替换版本,一般Python3.8会遇到

启动redis数据库
启动服务端 myproxy.bat
启动客户端 python consoleMain.py

异常修改

安装部署完后,我们可能还会遇到一些问题,这和代码当初的开发环境不一致有关。

1、关于Python3.8和3.6的兼容

Python3.8已经移出了time.clock()方法,但这份源码里还是用到了,所以如果遇到相关报错,需要自己手动修改,比如获取系统时间,可以改为使用time.perf_counter()

2、路径带空格的问题

这份代码这方面没考虑周全,如果部署的路径带空格,就会报路径错误,比如“D:Program Files”路径,我们要么就不要部署在带空格的路径下,要么直接改他的代码,比如:

setUp = "python " + path
#可以将path路径用引号全圈起来
setUp = "python '" + path + "'"

3、启动时报wt.exe找不到错误

我也不知道wt.exe的由来,这个错识有时候不影响启动,因为启动文件consoleMain.py做了相关判断处理,但为了彻底不调用wt.exe,我们也可把consoleMain.py当中的相关代码直接改了:

# wtSetUp = "wt.exe python " + path
# 把以上调用改为直接调PowerShell.exe
wtSetUp = "start cmd /k PowerShell.exe python '" + path + "'"

这么改后,还有个好处,就是遇到代码异常,不会立即关闭cmd窗口,这样就能看到以下具体的报错,对于调试和分析代码错误是有帮助的。

4、中文报utf-8编码错误

比如在web扫描时执行exec audit,报错:

 

通过报错,我们可以看到utf-8编码错误,而且报错的是request.py的resp.read().decode方法,我们把编码改为如下(具体改成什么编码,自己可以试试):

self.content = resp.read().decode('gbk')

编码改成功后,再通过 python consoleMain.py 入口调用就没有这个错误了。

5、报list index out of range错误

这个低级错误,一般是使用不当引起,但也看出了代码的健壮性不足,比如执行exec attacks.xss报错如下:

 

我们可以看到报错的params.py文件具体那一行,就是self.url.split("?"),问题出在这个问号,因为我开始设置扫描路径是:set url http://172.16.1.63,这是错误的,应该如下设置:

set url http://172.16.1.63/?u=admin

一眼就看出来了,得加个?问号,表示带参数,这个问题可以直接改他的代码,加个判断,如果不带参数,就提示重新设置,而不是报错。另外这块也说明还需要进一步扩展开发,正常应该由扫描工具主动去扫描和捕获可以进行xss跨站脚本攻击的链接和地方,而不是手动设置url来模拟攻击。

6、执行myproxy.bat找不到mitmdump

明明我们都装了mitmdump,为什么还可能找不到,这是因为pip安装时,是局部还是全局安装,正常mitmdump是安装在python目录下的Scripts中,如D:ToolsPythonScripts,假如你没找到,那就需要在代码路径下搜索,是否装在代码目录下了,比如在:SafeTool-51testingvenvScripts

这是因为我们用PyCharm Community Edition开发工具来安装部署可能遇到的问题,我们要么挪一下mitmdump,要么直接改myproxy.bat,改一下调用路径:

"D:Program FilesProjectSafeTool-51testingvenvScriptsmitmdump" -q -s myproxy.py -p 8000

7、生成报告的问题

开源的代码里关于这块也是有问题的,具体下面也会提到简单的修改方式 。

简单使用

先打开我们的扫描器看下界面:

 

扫描器界面:

 

好了,上面就是我们的扫描器,全部使用命令操作,简单易记,大家跟着敲就可以了。

help: 列出集成的插件命令和描述。

 

我们开始扫描之前要做些基本的设置,输入help set命令,查看我们需要设置那些参数,带*号的是必选项.

 

info :显示详细的漏洞检测模块

info 命令的使用格式是: info [插件名称],插件名称就是上图中输入help命令得到的。

输入info attacks:

 

输入info audit命令:

 

可以看到audit插件下的检测模块太少了,后期我们需要加入TomcatNginx、weblogic等等的扫描模块 。

输入info brute命令:

 

输入 info disclosure:

 

在进行扫描之前需要进行基本的设置工作,通过help set命令查看可以设置的选项,在通过set命令设置,在help set显示的选项中带*号的是必选项,其他的根据需要进行设置。

set 命令格式: set [选项] [参数]

举例: set url

http://192.168.16.132/wordPress/ target=_blank class=infotextkey>WordPress/?s=11

 

输入check argv 显示set中设置的参数值

 

其中agent参数,即版本信息默认会随机获取。

执行检测命令,命令格式:exec 插件名称[.模块名称]

如果只输入插件名称[attacks,audit,brute,disclosure],则会执行当前插件下所有漏洞检测模块,如果输入 插件名称.模块名称,例如:attacks.xss,则仅会执行当前插件下指定的模块名称。

输入 exec audit : 执行检测中间件插件下的所有模块

 

输入 exec attacks.xss :使用注入插件中的检测xss漏洞模块:

 

输入 exec attacks.blindsqli :检测sql盲注漏洞

 

生成测试报告命令

命令参数: report [报告名称]

注:只有执行过起码一次完整的插件检测才能生成报告,而不是专项漏洞检测,即 exec 插件名称,而不是 exec 插件名称.模块名称

输入命令: report webscan

 

按照提示显示的目录,打开测试报告,报告格式是html的:

 

好了,以上就是使用扫描器的所有命令和完整的执行流程(这个报告执行了audit和attacks两个模块(插件),但结果都归为第一个插件模块了,原因如下)。

注意:关于生成报告,原来的代码应该是有问题的,如果只执行的是插件子模块,如 exec attacks.xss,再执行report webscan 生成报告是会失败的,这是因为代码里只有在执行插件总模块 exec attacks才会调用报告赋值(调用子模块的函数是startup_spec_attacks,没有重新赋报告值,所以导致exec子模块,报告数据就会并到前面的插件总模块),参见代码如下:

#执行attacks子模块函数,没有对REPORT进行再赋值
def startup_spec_attacks(attack:str):
    if attack in attacks_info.keys():
        plugins = spec_attacks_plugins(attack)
        startup_plugins(plugins)
    else:
        warn("模块不存在!")

def startup_full_attacks():
    global resultJson
    if not REPORT['startTime']:
        REPORT['startTime'] = strftime("%Y/%m/%d at %H:%M:%S")
    execmod.Append("attacks")
    plugins = attacks_plugins()
    if resultJson:
        resultJson = {}
    startup_plugins(plugins)
    REPORT['attacks'] = resultJson  #调用总的attacks模块,才对报告结果赋值

这个问题需要引起关注,如果想简单的改,直接在startup_spec_attacks函数里加上REPORT赋值(需要有重复判断)就行:

def startup_spec_attacks(attack:str):
    global resultJson
    if not REPORT['startTime']:
        REPORT['startTime'] = strftime("%Y/%m/%d at %H:%M:%S")
    if resultJson and not REPORT['attacks']:
        resultJson = {}
    if attack in attacks_info.keys():
        execmod.append("attacks")
        plugins = spec_attacks_plugins(attack)
        startup_plugins(plugins)
        REPORT['attacks'] = resultJson
    else:
        warn("模块不存在!")

这么一改,再执行以上的扫描步骤,报告模板显得更准确,而且就算执行同一模块的attacks.xss和attacks.blindsqli,后面的也不会覆盖前面的,如下:

 

当然这样也不能保证完全没有问题,具体以后我还会去细致考虑这方面的优化!

插件的编写

大家按章节一的下载地址,下载工具后,用PyCharm或vscode或你顺手的工具打开,插件扫描器就在scan目录下

 

我们的插件编写,先从scanlibutilssettings.py 全局配置文件开始

第一步:先看基础路径配置,整个项目的目录结构就在这里

 

第二步,配置字典路径,漏洞检测模块需要用到的字典,统一放在这个路径下

 

第三步:配置插件路径,新增的插件统一按下面的格式配置

 

第四步:配置插件描述信息,和第三步的插件路径是对应的

 

第五步:配置漏洞模块描述信息,和第四步的插件描述是对应的

 

第六步:配置漏洞模块路径信息,和第四步的插件描述是对应的

 

第七步:编写插件的加载模块方法

统一命名规则 插件名成_plugins()[全部模块执行方法];spec_插件名称_plugins(key:str)

 

第八步:编写检测漏洞模块,以attacks插件下的bshi(破壳漏洞检测)检测模块为例,

导入必须的核心库:

 

创建漏洞检测类,继承Request类,类名需与文件名一致

 

编写的漏洞检测方法,统一命名为check:

 

最后编写run方法,命名不建议修改,如果实在需要修改的话,还需要在第九步中修改对应的模块导入逻辑:

 

第九步:在localapi.py文件下编写本地API调用,为什么有本地API调用,因为我打算再写个远程API调用方法,结合安全工具的web服务使用(这一步不是必须的,只有在扩展新的插件才用到,如果在原有插件的基础上新增漏洞检测模块,则可以跳过这一步)

本地API函数的格式和基本路径,参考下图:

 

总结下扩展逻辑就是,命名插件便于统一管理模块,模块编写按固定格式,本地API编写用于按指定插件运行检测模块,该扫描器的检测模块还可以继续更新扩展。

本人对安全测试其实了解的很少(对于软件测试人员来说,多少要了解一点),主要是因为当时学了几天Python语法和应用部署,想检验一下自己的掌握情况,就拿这个开源项目来研究,对于会JAVA的人来说,学Python应该也快,当然学精也不容易。这款开源工具的扩展性还不错,Python好像天生就有漏扫的天赋,对安全测试感兴趣的人可以了解一下这款工具。

声明:本站部分内容来自互联网,如有版权侵犯或其他问题请与我们联系,我们将立即删除或处理。
▍相关推荐
更多资讯 >>>