OpenVAS 踩坑指南
OpenVAS 是一个著名的开放式漏洞评估系统(其实就是个扫描器)。免费的东西就是免不了折腾,如果你有钱可以买 Nessus,是 OpenVAS 的商业版本。此篇记录一下各种各样的坑,算作使用教程。
一些概念
- NVT:Network Vulnerability Test
- nasl:NASL 是一个为 Nessus 开发的脚本语言。前面说过,OpenVAS 与 Nessus 关系密切,OpenVAS 同样也是使用的 NASL。
- SCAP:包括以下:
那么 NVT 与 nasl 是什么关系呢?NVT 实际上就是一个 nasl 文件,举个例子:
这是我编写的一个今年(2018.12.09)的 thinkphp RCE 的 NVT,后面会以这个为例子说明怎么编写 nasl 来自定义 NVT。
安装 OpenVAS
注意,以下命令均为 root 权限
os: Ubuntu 16.04
开局先吐槽一下,我日常使用的是 Ubuntu18,没想到 OpenVAS9 对 18 的支持超级差,各种 google 解决依赖。就差最后一步的时候,遇到了个奇葩问题,这个问题在 2018 年前几个月的时候被人发了个 issue 提出来过,到现在(快 2019 了)还没解决,折腾了一天,无奈换 Ubuntu16。换完之后安装一路顺畅无比。
- add-apt-repository ppa:mrazavi/openvas
- apt update
- apt install sqlite3
- apt install openvas9 # 8 太旧了,用 9 好了
安装的时候会弹个框:
选 yes
- apt install libopenvas9-dev # 装了这玩意就可以用 OpenVAS-nasl 测试你自己写的 nasl 文件了
注意,以下命令需要下载大量的数据,由于服务器在国外,所以最好走代理
- greenbone-nvt-sync # 官方提供了很多 NVT,我们可以当做 demo 来学习如何编写 nasl,也可以在扫描器中直接使用
- greenbone-scapdata-sync # 同步 SCAP 数据
然后建议检查一下 openvas-check-setup 安装了没有,这个东西可以检查你的 OpenVAS 装好了没,如果有问题会给你修复建议:
wget https://svn.wald.intevation.org/svn/openvas/branches/tools-attic/openvas-check-setup
运行 sudo openvas-check-setup --v9,如果只差 openvasmd --rebuild 的话,我们就可以继续往下了,如果有问题,按照它给出的方法修复即可。
- service openvas-manager restart
- service openvas-scanner restart
openvasmd --rebuild --progress# 重建 OpenVAS 数据库
至此,OpenVAS 安装完毕。OpenVAS9 的 Web 端默认端口为 4000,访问 https://ip:4000 (注意是 https)就可以看到如下界面:
Coooooooool
说明 OpenVAS 安装成功,可以使用了。
OpenVAS 基本的使用
账号密码默认为 admin,admin。具体的使用这篇文章说的很好了,我就不赘述了。
编写自己的 nasl
nasl 基础的语法
如果你的英文还不错,就看这个
如果你不想看英文,就看这个,不过这篇文章的排版超级乱,不知道是从哪抄的。
NVT 的 组成
我们先找到存放 nasl 文件的文件夹,路径默认为 /var/lib/openvas/plugins/,我们可以在这个文件夹下新建一个文件夹用来存放自定义的 nasl 文件。随便打开一个 nasl(cat amanda_detect.nasl):
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95###############################################################################
# OpenVAS Vulnerability Test
# $Id: amanda_detect.nasl 8236 2017-12-22 10:28:23Z cfischer $
#
# Amanda client version
#
# Authors:
# Paul Ewing <[email protected]>
#
# Copyright:
# Copyright (C) 2000 Paul J. Ewing Jr.
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License version 2,
# as published by the Free Software Foundation
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA.
###############################################################################
if(description)
{
script_oid("1.3.6.1.4.1.25623.1.0.10462");
script_version("$Revision: 8236 $");
script_tag(name:"last_modification", value:"$Date: 2017-12-22 11:28:23 +0100 (Fri, 22 Dec 2017) $");
script_tag(name:"creation_date", value:"2005-11-03 14:08:04 +0100 (Thu, 03 Nov 2005)");
script_tag(name:"cvss_base", value:"0.0");
script_tag(name:"cvss_base_vector", value:"AV:N/AC:L/Au:N/C:N/I:N/A:N");
script_name("Amanda client version");
script_category(ACT_GATHER_INFO);
script_copyright("This script is Copyright (C) 2000 Paul J. Ewing Jr.");
script_family("Service detection");
script_require_udp_ports(10080, 10081);
script_tag(name:"summary", value:"This detects the Amanda backup system client
version. The client version gives potential attackers additional
information about the system they are attacking.");
script_tag(name:"qod_type", value:"remote_banner");
exit(0);
}
include("misc_func.inc");
function get_version( soc, port, timeout ) {
local_var result, temp, version, data;
if ( ! isnull( timeout ) )
result = recv( socket:soc, length:2048, timeout:timeout );
else
result = recv( socket:soc, length:2048 );
if( result ) {
if( egrep( pattern:"^[^ ]+ [0-9]+\.[0-9]+", string:result ) ) {
temp = strstr( result, " " );
temp = temp - " ";
temp = strstr( temp, " " );
version = result - temp;
data = string( "Amanda version: ", version );
log_message( port:port, data:data, protocol:"udp" );
register_service( port:port, ipproto:"udp", proto:"amanda" );
set_kb_item( name:"Amanda/running", value:TRUE );
}
}
}
req = 'Amanda 2.3 REQ HANDLE 000-65637373 SEQ 954568800\nSERVICE ' + rand_str( length:8 ) + '\n';
port1 = 10080;
if( get_udp_port_state( port1 ) ) {
soc1 = open_sock_udp( port1 );
if( soc1 ) {
send( socket:soc1, data:req );
get_version( soc:soc1, port:port1, timeout:NULL );
close( soc1 );
}
}
port2 = 10081;
if( get_udp_port_state( port2 ) ) {
soc2 = open_sock_udp( port2 );
if( soc2 ) {
send( socket:soc2, data:req );
get_version( soc:soc2, port:port2, timeout:1 );
close( soc2 );
}
}
这个 NVT 在浏览器里看上去是啥样的呢?我们按照以下步骤搜索:
搜索框的语法稍后会解释。现在先说一下 nasl 文件的组成。
如果你多看几个自带的 nasl 文件,你会发现它们基本都是两部分组成的:
1
2
3
4
5
6
7
8
9
10
11
12
13# -------
# 以下部分描述 nasl 文件的功能,我称之为 nasl 描述区
# -------
if(description)
{
...
}
# -------
# 以下部分实现真正的功能,我称之为 nasl 功能区
# -------
...
nasl 描述区
仔细对比一下 description 与浏览器的搜索结果,你至少可以知道 script_name("Amanda client version"); 定义了 NVT 的名字,script_family("Service detection"); 定义了 NVT 所属的家族(或者其他更贴切的翻译)。后面的 Created、Modified、Version 同理。如果我们点击那个搜索结果,就能进入一个页面,里面详细地展示了 NVT 的信息:
通过对照 description 与这个页面,我们能迅速知道该如何编写自己 NVT 的description。比较重要的是 script_oid,这个随便写,不重复就行。但是如果你有大量自定义的 NVT,那么还是弄得有规律点比较好。最后说一下 cvss_base 和 cvss_base_vector,这两个不是乱写的,cvss 即 通用漏洞评估方法,有计算器可以计算漏洞的 Base 分值,以及漏洞的 vector。当然这部分你乱写(比如把没使用 https 当做高危漏洞)也可以用,就是结果不规范。
贴一下我的 thinkphp-2018-12-09.nasl 的描述区:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45if(description)
{
script_oid(1545919522); # 设为时间戳
script_tag(name:"last_modification", value:"$Date: 2018-12-31 10:28:30 +0100 (Mon, 31 Dec 2018) $");
script_tag(name:"creation_date", value:"2018-12-27 22:05:22 +0100 (Thu, 27 Dec 2018)");
script_version("$Revision:2.0$");
script_name("ThinkPHP RCE(2018.12.09)");
script_tag(name:"cvss_base", value:"8.3");
script_tag(name:"cvss_base_vector", value:"AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C");
# 设置脚本类型
# 类型如下:
# ACT_INIT: Plugin sets KB items.
# ACT_SlistlisCANNER: Plugin is a port scanner or similar (like ping).
# ACT_SETTINGS: Plugin sets KB items after ACT_SCANNER.
# ACT_GATHER_INFO: Plugin identites services, parses banners.
# ACT_ATTACK: For non-intrusive attacks (eg directory traversal).
# ACT_MIXED_ATTACK: Plugin launches potentially dangerous attacks.
# ACT_DESTRUCTIVE_ATTACK: Plugin attempts to destroy data.
# ACT_DENIAL: Plugin attempts to crash a service.
# ACT_KILL_HOST: Plugin attempts to crash target host.
script_category(ACT_ATTACK);
script_copyright("CopyRight: XinDun in 2018.12.27");
script_family("MyNVTs");
script_require_ports("Services/www", 80);
script_tag(name:"summary", value:"Send a payload: '?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Tr0y', expected return md5('Tr0y'): 8f95eca949e2ec377434ea3fea1cc381");
script_tag(name:"solution", value:"see https://blog.thinkphp.cn/869075 for more detials");
script_tag(name:"insight", value:"This vulnerability affects these versions: ThinkPHP v5.0: < 5.0.23 and ThinkPHP v5.1 < 5.1.31");
script_tag(name:"affected", value:"The site which powerd by thinkphp with specific version.");
exit(0);
}
描述区实际上有很多的 script_tag 可用,没必要每个都加,选几个就行了。以及 script_category 是 n 选 1,参加上面那个示例。
我们现在知道了 nasl 文件里的 description 区是给 OpenVAS 索引与展示信息用的,那么搜索框就会有如下的规则:
name="Amanda client version":搜索名字为 Amanda client version 的 NVTfamily="Test":搜索名字为 Test 的 NVT 家族- ...
nasl 功能区
仅仅展示 nasl 文件的功能是不行的,我们还必须真正实现这些功能,实际上这些功能就是普通的代码,组合起来就行了。我只说几个重要的地方:
- url 的传递:运行扫描时,OpenVAS 会把 url 传给 nasl 文件,我们不需要自己在代码中接收它。
- 漏洞发现后的反馈:
security_message就是干这个的,security_message中的data最后是体现在下图的Vulnerability Detection Result中了:
如果没有执行过security_message则代表没有发现漏洞。
贴一下功能区的代码:
1 | |
写完代码还需要 debug 嘛。我们之前 apt install libopenvas9-dev 安装了 openvas-nasl 现在就可以派上用场了,运行前记得把 DEBUG 的那几行取消注释,这样可以看输出。
那么我们怎么把 url 传给代码呢?用 -t 参数。至于 -X 参数,就是让 OpenVAS 不验证 nasl 文件的有效性:
看来,我们的 nasl 没问题。这里提醒一句,这样运行的 nasl 文件,描述区里面的代码是不会执行的,所以,如果你的描述区写的有问题,这一步是查不出来的。
顺带说一句,如果你认真看那些自带的 nasl 文件的话,你会发现它们都有一个同名的、以 .asc 结尾的文件:
这些文件是验证 nasl 文件的有效性的,相当于签名,我们不需要搞这个文件。至于 .inc 文件,就相当于库文件,在代码中 include 后就可以使用里面的函数。
现在,我们已经编写完自己的 nasl 文件了,接下来执行
sudo service openvas-manager restart; sudo service openvas-scanner restart; sudo openvasmd --rebuild --progress
即可让 Web 端识别到我们自定义的 NVT:
问题集
Ubuntu 18 对 OpenVAS9 资瓷的不够
换 Ubuntu 16。解决 Ubuntu 18 的依赖,一天没了
:)
.asc 文件
之前 google 了一篇教程,他说先生成 .asc 文件后,Web 端才能识别,结果搞了我一整天,按他的方法签名始终没法通过验证。。。假教程害人啊。。。
自定义了 nasl 文件,Web 端却无法识别
一般是 nasl 文件的语法错误导致的。之前说过,描述区没法使用 openvas-nasl 检查出来的,你只能看日志文件,找语法错误,日志默认位于:/var/log/openvas 里。
此处花了我半天。。。
SIGSEGV occured !
最后贴个最恶心的问题:
1 | |
???SIGSEGV occured。扫了一眼发现 redis 字样,似乎是 redis 出了问题,然后我 google 了一下,都说的是 redis sock 的问题,各种折腾 redis。如果也你这样想,恭喜你的一天没了。最后原因还是描述区有语法错误,直接把 OpenVAS 打烂了。删除有问题的自定义 nasl 即可恢复,有时候比较惨,删了也恢复不了,只能重装。当时功能区测试过没有任何问题,谁知道描述区会导致这么大问题呢?幸亏我先在我自己的虚拟机上试了一下,没直接去正式环境部署,要不 20 多台的 OpenVAS 重装。。。
你可能会觉得很奇怪,描述区没啥语法可言啊,怎么会有语法错误呢?那是我看了假教程,人家的是旧的语法,新的不兼容。。。
真爱生命,远离假教程
来呀快活呀
