件等应用密码、MD5、WiFi密码爆破等。它支持HTTP基本身份验证、 HTTP(HTMLF0RM/CGI)、POP3、FTP、SMB、Telnet和IMAP、NNTP、NetBus等其他类型;可以创 建身份验证类型。支持多级身份验证引擎,并能够同时连接多个目标;
[0075] 远程密码拆解工具:用于远程对路由器等网络设备及各类网络应用的登录密码进 行安全拆解。通过远程扫描,将这些用户找出来,然后通知他们修改adsl的默认用户名和 密码。程序采用多线程设计,一小时可以扫描近6万个IP地址,自动扫描具有管理界面的 ADSL调制解调器,并且用自带的密码字典尝试打开,然后自动找到拨号上网帐号和密码。 [0076] (3)漏洞利用工具集
[0077] 漏洞利用工具集是基于MetasploitFramework(MSF)4. 7开源的基础上增加了若 干特有的系统漏洞利用工具集合,使得任务执行人员在对重点目标对象的打击过程中能够 更好的完成任务,可以非常方便的在漏洞利用系统内扫描目标主机的常见或者高危漏洞 并进行漏洞利用完成攻击活动。所述漏洞利用工具集环境支持Perl、C语言、汇编程序和 Python,通过漏洞利用系统使任务执行人员有一个完善的测试和使用exploit代码环境。
[0078] 除使用MSF框架外,针对特定的新增漏洞,为了能够快速的产生战斗力,有可能会 提供不在MSF框架内的利用工具。漏洞利用工具集会在系统内提供新工具的自动推送能 力,实时告知所有的具有权限的操作人员最新的漏洞利用工具的相关信息、使用方法和注 意事项等信息。所述漏洞利用工具集的功能模块如下:
[0079] 1)漏洞库构建模块:构建文件捆绑类漏洞,跨站类漏洞,浏览器漏洞,本地提取漏 洞等进行漏洞库的构建和扩容;
[0080] 2)利用代码管理模块:对利用代码进行统一分类,并批注详细描述,和给出使用 环境的合理化建议;
[0081] 3)漏洞信息管理模块:对漏洞的类型,利用环境,利用条件进行统一管理。能够对 漏洞的来源,漏洞的原理,利用方法等进行详细添加,删除,修改,查询。能够在漏洞出现的 第一时间从此模块中形成战斗力;
[0082] 4)漏洞利用过程管理模块:对漏洞在利用过程中的各个环节进行把控,对利用过 程进行详细记录;
[0083] 5)漏洞利用框架管理模块:在利用框架中,系统管理员对目标进行攻击测试。框 架管理是对现行的各种,如struts2、xposed、php等框架进行管理。
[0084] (4)权限提升工具集
[0085] 包括数据库提权工具、系统本地提权工具。一种"辅助"性质的漏洞,当黑客已经 通过某种手段进入了目标机器后,可以利用它进入更高的状态传入WEBSHELL,但此时权限 是非常低的,无法种植木马,控制目标机器,也无法渗透到服务器更深层的机器,通过提权 工具在机器上突破权限控制的。
[0086] (5)脚本渗透工具集
[0087] 包含邮箱攻击渗透工具、网络攻击渗透工具、网站密取工具、内网密取工具:
[0088] 邮箱攻击渗透工具是利用跨站攻击、漏洞利用等技术针对Yahoo、gmail、Sina、 126、qq、163、aol、hinet、21cn、mail,ru、mail2000 全系、PChome等国内外主流邮件系统 实现跨站攻击和钓鱼功能,获取相应邮件系统的口令和cookies等相关信息;实现针对以 上Webmail邮件系统的钓鱼等功能,支持DNS修改和配置功能,用户验证(通过序列号和 注册码验证),发信人匿名和伪装,伪造页面延迟弹出,邮箱转发,自定义添加SMTP服务器, COOKIE信息、密码信息和环境信息的探测和收集,并支持定时刷新C00KIE,附件添加等功 能。
[0089] 网络攻击渗透工具用于对PHP、ASP、Asp.net、JSP等类型网站展开攻击,具备注 入、跨站、上传等功能。全面的数据库支持,独创的自动关键字分析能够减少人为操作且更 判断结果准确,独创的内容大小判断方法能够减少网络数据流量,最大化的Union操作能 够极大的提高SQL注入操作速度,预登陆功能,在需要验证的情况下照样注入。能够支持代 理,HTTPS,自定义HTTP标题头功能,拥有丰富的绕过防火墙过滤功能,注入站(点)管理功 能,数据导出功能。
[0090] 网站密取工具用于获得网站控制权后对网站源代码和数据库数据进行密取,支持 PHP、ASP、JSP等网站及SQLServer、MySQL、0racle等常见数据库。WEB攻击类工具包含跨 站注入,SQL注入等,利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用 户造成影响的HTML代码,从而获取特定用户资料、利用目标用户身份进行对特定目标进行 攻击。
[0091] 内网密取工通过多跳中转和协议伪装等方式对目标内网计算机中的数据实施安 全密取。中间人内网渗透工具和IE植入技术等利用工具包含一系列针对内网系统的渗透 工具,涵盖渗透测试前期扫描到后期植入和控制的全过程,能够协助渗透测试人员快速实 现内网渗透。
[0092](二)网络攻击库子模块
[0093] 网络攻击库子模块包括如下攻击工具:
[0094] (1)网络攻击工具:利用嗅探方式捕获局域网帐号口令,是内网渗透中重要的组 成部分;可以对内网相同广播域、不同广播域以及内网-外网三种模式下的通联数据实施 嗅探。可记录通讯原始数据,并可从中截取FTP、SMTP、POP3等明文口令;可以对指定的目 标主机网页进行劫持替换;可以对指定的目标主机文件进行劫持篡改。
[0095] (2)主机攻击渗透工具:用于Windows、Linux、Unix、Mac等主流系统环境开展攻 击,并能绕过主流安全查杀软件。自动检测本地或远程主机安全弱点快速的准确的发现扫 描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据 包,然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信 息。
[0096] (3)数据库攻击工具:用户对SQLSerVer、MySQL、0rCale等主流数据库开展渗透, 具备注入、爆破、溢出等功能。可绕过IPS/IDS(入侵防御系统/入侵检测系统)。只需提供 一个URL和一个可用的关键字,它就能够检测注入点并利用。自动挖掘可利用的SQL查询, 还能够识别后台数据库类型、检索数据的用户名和密码hash、转储表和列、从数据库中提取 数据,甚至访问底层文件系统和执行系统命令。
[0097] (4)应用攻击工具:用于对应用等主流终端设备开展远程渗透。具备端口扫描,漏 洞发现,对路由器扫描,伪造数据包,会话控制,中间人攻击,密码破解等功能。
[0098] 二、安全情报库模块
[0099] 安全情报库模块负责从目标情报源应用处获取数据。由于数据源的多样性,每个 目标情报源应用都有各自不同的数据特点和格式,同时也具有不同的抵御数据爬取的方法 和手段。因此,为了能够稳定、准确的从互联网应用中获取到数据层系统需要的数据,就必 须设计各自独立的数据收取和爬取引擎。
[0100] 安全情报库模块主要包括网络连接子模块、数据获取子模块以及存储子模块,所 述安全情报库通过网络连接子模块与目标情报源应用进行连接,并通过数据获取子模块在 所述目标情报源应用上利用采集引擎和接收引擎分别进行情报搜集和接收,并存储在所述 存储子模块中;另外,所述安全情报库模块能够通过统一数据联动接口或数据传输模块与 数据库系统其它模块以及信息安全攻防平台的其它系统进行数据联动;
[0101] 由于当前互联网应用都会使用相关的反数据爬取手段来限制和组织自动数据爬 取,因此为了能够有效的获取到这些数据源的数据,在安全情报模块中还需要设置对应的 辅助功能模块,完成针对国内各大网络安全情报网站(如CVE,CERT)上的安全情报的爬取 和存储。安全情报模块内部署多个独立的数据获取节点,由统一的数据获取调度管理程序 完成对数据获取节点的策略下发和状态监控。各数据获取节点设置缓存数据库来临时存取 爬取到的数据,数据获取节点在对数据进行了初步的过滤和清洗后将数据转发给统一的存 储节点完成数据的存储。
[0102] 所述安全情报库模块还包括如下功能模块:
[0103] (一)安全情报管理子模块
[0104] 用于对搜集到的安全情报包括删除、增加、修改在内的统一管理操作以及目标对 象的添加、删除、修改和查询;其中,查询的范围包括了该安全情报的影响范围、影响严重性 等信息;
[0105] (二)采集方式管理子模块
[0106] 数据采集子模块中采用了多种采集引擎进行数据采集,采集方式管理子模块负责 对多种采集引擎进行配合调度并分布式部署;
[0107] 所述数据采集子模块支持多深度爬虫技术、GraphAPI技术、FQL2. 0技术,通过采 集方式管理子模块的调度可以单一使用也可以组合使用。采用归档爬虫对上述安全情报源 的目标页面进行遍历,将安全情报的本地内容