CN112347485A - 多引擎获取漏洞并自动化渗透的处理方法 - Google Patents
多引擎获取漏洞并自动化渗透的处理方法 Download PDFInfo
- Publication number
- CN112347485A CN112347485A CN202011249852.6A CN202011249852A CN112347485A CN 112347485 A CN112347485 A CN 112347485A CN 202011249852 A CN202011249852 A CN 202011249852A CN 112347485 A CN112347485 A CN 112347485A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- survival
- detection
- engine
- live
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000035515 penetration Effects 0.000 title claims abstract description 53
- 238000003672 processing method Methods 0.000 title claims abstract description 27
- 238000001514 detection method Methods 0.000 claims abstract description 82
- 230000004083 survival effect Effects 0.000 claims abstract description 53
- 238000000034 method Methods 0.000 claims abstract description 24
- 238000012795 verification Methods 0.000 claims abstract description 17
- 238000012545 processing Methods 0.000 claims abstract description 11
- 230000008595 infiltration Effects 0.000 claims description 19
- 238000001764 infiltration Methods 0.000 claims description 19
- 230000004044 response Effects 0.000 claims description 5
- 230000003044 adaptive effect Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 4
- 239000000523 sample Substances 0.000 claims description 4
- 230000005540 biological transmission Effects 0.000 claims description 3
- 230000002452 interceptive effect Effects 0.000 claims description 3
- 238000007689 inspection Methods 0.000 abstract description 6
- 239000012466 permeate Substances 0.000 abstract 1
- 238000012360 testing method Methods 0.000 description 10
- 230000007123 defense Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 239000012634 fragment Substances 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 230000003204 osmotic effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 2
- 238000001914 filtration Methods 0.000 description 2
- 208000032843 Hemorrhage Diseases 0.000 description 1
- 206010020751 Hypersensitivity Diseases 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 208000026935 allergic disease Diseases 0.000 description 1
- 230000007815 allergy Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000747 cardiac effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000008846 dynamic interplay Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000737 periodic effect Effects 0.000 description 1
- 238000005067 remediation Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Abstract
本发明公开了一种多引擎获取漏洞并自动化渗透的处理方法,包括:依据预检测的目标地址选取模板配置并生成检测目标;利用存活探测引擎探测得到检测目标中的存活资产、存活端口,以及存活资产和存活端口的详细信息;扫描存活资产和端口的系统和Web漏洞;利用选取的POC对系统或Web漏洞验证;根据系统、Web漏洞和POC的漏洞验证自动由预存的多个渗透模块中关联渗透模块,而后根据详细信息和选取的模板配置由预存的多种载荷中选择对应的载荷;将对应的渗透模块和载荷组合以对检测目标进行渗透;将成功渗透利用的结果实时展示。其通过流程化的任务链自动处理,实现了多引擎结合的渗透利用,使得引擎调度处理灵活,并提高了安全人员的检查效率和全面性。
Description
技术领域
本发明涉及信息技术领域,特别涉及一种多引擎获取漏洞并自动化渗透的处理方法。
背景技术
随着IT互联网技术与应用的快速发展,在5G等新技术的加持下,各种新应用、新业态不断涌现。与此同时,网络空间安全风险不断升级,网络安全事件频繁发生,企业数字化转型与面临的安全风险之间的矛盾日渐凸显。通过安全测试来检验关键基础设施、信息技术系统以及数据管理等方面的安全性和可靠性成为当下企事业单位常用的安全防护和能力建设的手段之一。
然而,传统的漏洞VUL扫描存在明显的不足:
1、现有渗透方式多为人工加测试工具结合使用,多个处理间通过人工搬运数据,并未真正做到纯自动化的渗透利用;
2、扫描中VUL存在大量的误报,严重干扰技术人员的下一步防护操作;
3、需要依赖大量网络安全专业人才,而专业化人才本身就很稀缺且难以标准化地进行培养;
4、扫描完成后效果不明显,难以起到严重的警醒作用,缺乏更加直观的呈现效果;
5、功能过于冗杂,并未专注于渗透利用做处理,功能多样,但是对提升渗透利用的准确率和成功率提升极小;
6、人工测试效率低下,难以满足现在信息高速发展的时代需求,人力成本过高,而且人为操作失误易多;
7、传统的防火墙等安全防御的产品都是基于被动防御的设计,且很难去抵抗最新的未设置策略的攻击漏洞,无法主动去弥补完全防御系统的缺陷和漏洞就意味着报警信息只有通过人为的补救才有意义。并且对于高负载的网络或主机,仍存在较大的漏报警率和可能的过敏防御问题。因此,改变原有的被动防御的思路,从主动防御的方面下手来进行系统的整体安全防护可能成为新的防护思路。
发明内容
本发明的一个目的是解决至少上述问题,并提供至少后面将说明的优点。
本发明还有一个目的是提供一种多引擎获取漏洞并自动化渗透的处理方法,通过流程化的任务链自动处理,实现了多引擎结合的渗透利用,使得引擎调度处理灵活,并提高了安全人员的检查效率和全面性。
为了实现根据本发明的这些目的和其它优点,提供了一种多引擎获取漏洞并自动化渗透的处理方法,包括以下步骤:
S1、创建任务:依据预检测的目标地址选取对应引擎的模板配置,并生成检测目标;
S2、发现目标:利用存活探测引擎探测得到所述检测目标中的存活资产、存活端口,以及所述存活资产和存活端口的详细信息;其中,通过存活探测和端口扫描探测得到所述存活资产和存活端口;通过指纹检测获得所述存活资产和存活端口的详细信息;
S3、漏洞扫描:扫描所述存活资产和存活端口的系统漏洞和Web漏洞;
S4、漏洞验证:利用选取的POC对系统漏洞或Web漏洞进行验证;
S5、渗透利用:根据S3得到的系统漏洞和Web漏洞,以及S4得到的POC的漏洞验证自动由预存的多个渗透模块中关联对应的渗透模块,而后根据S2得到的详细信息和S1选取的模板配置由预存的多种载荷中选择对应的载荷;将所述对应的渗透模块和载荷组合以对所述检测目标进行渗透;
S6、展示:将成功渗透利用的结果进行实时展示。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,S1中,依据预检测的目标地址选取对应引擎的模板配置的方法包括:由预存的多项调度模板中选取对应的模板配置,或由用户自行创建的模板中选取对应于所述预检测的目标地址的模板配置。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,用户具有对用户自行创建的模板的删除和更新的能力。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,通过存活探测和端口扫描探测得到所述存活资产和存活端口的方法分别为:
存活探测中:通过构造数据包,而后分析所述数据包的响应数据,以判断所述检测目标中的资产和端口的存活状况以及防护状况;
端口扫描探测中:通过向所述检测目标发送SYN包,而后分析所述SYN包的返回数据,以探测得到所述检测目标中的存活端口。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,通过指纹检测获得所述存活资产和存活端口的详细信息具体包括:基于所述存活资产和存活端口构造探测数据包,由所述探测数据包的返回数据获取OS、服务banner以及html信息,而后通过规则库匹配,识别出所述存活资产的Web指纹和系统指纹信息;
其中,所述规则库包括:设备类型、资产属性、网站类型、网站插件,以及地理信息。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,所述Web漏洞的扫描通过表单爬虫由所述存活资产中提取表单信息后扫描得到;
所述表单爬虫提取表单信息的方法为:
S1-1、从所述检测目标的URL端口开始,使用自适应窗口策略搜索检测目标并保存;
S1-2、以保存的检测目标为单位,使用导航链接策略搜索每个检测目标中的有效URL并保存;
S1-3、依次取出保存的URL,利用HTML解析器提取出表单信息。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,所述导航链接策略指:将每个业务系统中的有效URL沿导航链接进行搜索;
其中,所述导航链接为页面HTML中具有如下特性的链接:显示格式具有规则性,且在多页面内重复出现。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,利用选取的POC对系统漏洞或Web漏洞进行验证包括:将选取的POC分别分配给所述系统漏洞或Web漏洞以进行验证。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,多个所述载荷搭配不同的渗透模块进行预存,以根据不同的预检测的目标地址生成不同类型的会话,并维护所述会话的全部数据,且通过HTTP传输方式将用户的操作打包发送以实现命令交互。
优选的是,所述的多引擎获取漏洞并自动化渗透的处理方法中,S5中还包括:
实时展示所述存活探测引擎探测的存活结果,其中包括IP、端口以及协议的基本信息;
将指纹检测得到的所述存活资产和存活端口的详细信息进行实时展示,其中包括操作系统,地理位置,系统版本,服务,域名以及请求信息;
将扫描得到的系统漏洞以及Web漏洞的信息进行实时展示;以及
根据成功渗透利用的结果进行shell实时交互操作目标,并展示并保存操作中所产生的相关信息。
本发明至少包括以下有益效果:
本发明的多引擎获取漏洞并自动化渗透的处理方法中,通过任务链连接渗透的整个过程,并根据渗透测试过程的不同步骤对一系列渗透测试工具进行分类。使用时,只需输入要测试的目标地址,然后按照向导完成参数输入,就可以开始自动的渗透测试操作,实现了任务链自动处理的流程化。
通过多引擎结合实现了多种渗透利用,并具有灵活的引擎调度处理,以及强大的结果展示与灵活操作的优点。能够通过对发现的漏洞进行利用,展示漏洞造成的危害,震慑开发和运维人员,对其形成间接性教育,进而提高人员的安全意识。
针对网络、应用、人员进行安全检查,实现了全面覆盖的检查。
通过自动化渗透,提高安全人员检查的效率,以及检查的全面性。
本发明的其它优点、目标和特征将部分通过下面的说明体现,部分还将通过对本发明的研究和实践而为本领域的技术人员所理解。
附图说明
图1为本发明所述的多引擎获取漏洞并自动化渗透的处理方法的流程图;
图2为本发明所述的任务链的模型图;
图3为本发明所述的任务链的时序图。
具体实施方式
下面结合附图对本发明做进一步的详细说明,以令本领域技术人员参照说明书文字能够据以实施。
应当理解,本文所使用的诸如“具有”、“包含”以及“包括”术语并不排除一个或多个其它元件或其组合的存在或添加。
如图1-图3所示,本发明提供一种多引擎获取漏洞并自动化渗透的处理方法,包括以下步骤:
S1、创建任务:依据预检测的目标地址选取对应引擎的模板配置,并生成检测目标;
S2、发现目标:利用存活探测引擎探测得到所述检测目标中的存活资产、存活端口,以及所述存活资产和存活端口的详细信息;其中,通过存活探测和端口扫描探测得到所述存活资产和存活端口;通过指纹检测获得所述存活资产和存活端口的详细信息;
S3、漏洞扫描:扫描所述存活资产和存活端口的系统漏洞和Web漏洞;
S4、漏洞验证:利用选取的POC对系统漏洞或Web漏洞进行验证;
S5、渗透利用:根据S3得到的系统漏洞和Web漏洞,以及S4得到的POC的漏洞验证自动由预存的多个渗透模块中关联对应的渗透模块,而后根据S2得到的详细信息和S1选取的模板配置由预存的多种载荷中选择对应的载荷;将所述对应的渗透模块和载荷组合以对所述检测目标进行渗透;
S6、展示:将成功渗透利用的结果进行实时展示。
在上述方案中,不同的引擎具有独有的配置,因而以提供多项安全引擎的调度模板为基础,使得能够依据预检测的目标地址灵活的选取对应引擎的模板配置,极大的简化了检测目标生成时繁琐的配置项;之后通过存活探测引擎获知所探目标是否存活:资产探测指采取主动的方式,在获取探测目标范围后,基于探测识别引擎和专用探测载荷主要实现对IPv4网络的存活性普查、节点属性识别和脆弱性分析;然后通过指纹检测引擎完善所探目标的详细信息;再后,扫描所述存活资产和存活端口的系统漏洞和Web漏洞,然而,主机系统上存储、处理和传输各种重要数据,一旦遭受攻击,将可能导致程序运行失败、系统宕机、重新启动等后果,或者是获得主机上存储的敏感信息。更为严重的是,可以利用漏洞来执行非授权指令,甚至可以取得系统特权,从而控制整个主机,进而进行各种非法操作,因此,所述多引擎获取漏洞并自动化渗透的处理方法中,支持针对网络环境中的各种主机、交换机路由器、防火墙、中间件等存在的常见漏洞、典型漏洞(如心脏出血)、0day漏洞等进行扫描和检查。具体支持全面的网络目标对象扫描,涵盖网络设备、安全设备、虚拟化漏洞扫描、移动设备漏洞扫描、云安全漏洞扫描、工控漏洞扫描、IOT设备、国产操作系统和数据库等。支持IPv4、IPv6双协议扫描,且兼容多种漏洞标准:CVE、CNNVD、CNVD、Bugtraq、CNCVE;随后,进行利用选取的POC对漏洞进行验证,最后根据得到的系统漏洞和Web漏洞,以及POC的漏洞验证自动由预存的多个渗透模块中关联对应的渗透模块,而后根据得到的详细信息和选取的模板配置由预存的多种载荷中选择对应的载荷;将所述对应的渗透模块和载荷组合以对所述检测目标进行渗透,并将成功渗透利用的结果进行实时展示,即根据VUL的基本信息,如cve编号等,再加上配置的payload和shellcode等参数,进行渗透利用,返回的结果实时展示;其中,渗透模块数量大约设置为2000个,以用于针对不同的主机/系统进行渗透,同时,还配置了多种载荷,以实现渗透模块与载荷的全自动灵活匹配,即根据漏洞扫描或POC的漏洞验证,自动关联可能的渗透模块类型,并且根据指纹检测系统的结果与用户配置的基本渗透模版,选择出最合适的载荷类型,灵活组合自动搭配进行渗透操作,极大的简化用户的操作。
通过创建任务、发现目标、漏洞扫描、漏洞验证、渗透利用以及展示步骤的顺次自动执行,打破了传统渗透测试针对威胁利用的单一性和不连贯性,在测试过程中注重多个风险点之间的关联利用,能根据配置信息,将任何渗透测试过程中用到的技术手段,包括信息收集、漏洞扫描、漏洞利用,以及漏洞利用之后的权限控制手段,全部集成、后台处理,同时支持对目标的持续性安全检测,实现更高效、准确的全部自动化渗透技术。
减少安全人员的学习成本,提升安全人员的工作效率,减少大量人为操作引起的失误。
多引擎协调处理理验证,减少了传统渗透测试时最常见的误报问题,极大提升检测结果的准确性,有效性。
打破了安全领域原有的被动防御模式,主动出击,实现主动防御来进行系统安全的整体防护。
实时完善的数据展示,使得相关人员能够了解网络安全造成的严重后果,可以增强对安全人员的警醒,提高人员的安全意识。
另外,步骤S1-S6中,S3和S4为可选步骤,进而使得该方法可以实现以下3种类型的渗透利用模式,即任务链模型:
A、目标侦察->POC验证->渗透利用;
B、目标侦察->系统扫描->渗透利用;
C、目标侦察->渗透利用。
当用户选择前两项任务模式进行渗透时,系统会根据对应的CVE编号来关联对应的渗透模块,并进行有目的型的漏洞渗透。若选择了第三项任务模式,因为没有对应的CVE关联,渗透模块只能通过基本的存活+指纹信息去关联并进行处理,可能会对系统带来阶段性的负担且相比较前两项来说,成功率会下降;三种模式可以结合使用,相互验证,提升准确率和利用率,减少误报,提升性能,节省时间。
一个优选方案中,S1中,依据预检测的目标地址选取对应引擎的模板配置的方法包括:由预存的多项调度模板中选取对应的模板配置,或由用户自行创建的模板中选取对应于所述预检测的目标地址的模板配置。
在上述方案中,预存多项引擎使用的调度模版,极大的简化了任务下发时繁琐的配置项,同时也可以保留由用户自己创建模版的功能,在简化用户操作的基础上,也保留了用户灵活配置的权利。
一个优选方案中,用户具有对用户自行创建的模板的删除和更新的能力。
在上述方案中,通过赋予用户对自行创建的模板的删除和更新的能力,进一步提高了用户配置的灵活性。
一个优选方案中,通过存活探测和端口扫描探测得到所述存活资产和存活端口的方法分别为:
存活探测中:通过构造数据包,而后分析所述数据包的响应数据,以判断所述检测目标中的资产和端口的存活状况以及防护状况;
端口扫描探测中:通过向所述检测目标发送SYN包,而后分析所述SYN包的返回数据,以探测得到所述检测目标中的存活端口。
在上述方案中,存活探测过程中,通过构造数据包进行探测,分析响应数据,判断目标范围中资产及端口的存活状况、防护状况。此外高级主机存活探测技术如异常IP包头技术,向目标主机发送包头错误的IP包,目标主机或过滤设备会反馈ICMP ParameterProblem Error信息。常见的伪造错误字段为Header Length Field和IP Options Field。或者采用错误的数据分片判断技术,当目标主机接收到错误的数据分片(如某些分片丢失),并且在规定的时间间隔内得不到更正时,将丢弃这些错误数据包,并向发送主机反馈ICMP Fragment Reassembly Time Exceeded错误报文。高级存活探测技术可以探测到一些传统技术探测不到的主机,可以探测一些被过滤设备或防火墙保护的网络和主机。端口扫描技术是一种主要针对存活端口的探测技术,其通过SYN扫描进行探测,其中TCP SYN Scan(sS)是一个基本的扫描方式,它被称为半开放扫描,因为这种技术使得不需要通过完整的握手,就能获得远程主机的信息。探测器发送SYN包到远程主机,但是它不会产生任何会话,因此不会在目标主机上产生任何记录,因为没有形成会话,所以不会与目标设备构成会话,因此具有较好的隐蔽性。
一个优选方案中,通过指纹检测获得所述存活资产和存活端口的详细信息具体包括:基于所述存活资产和存活端口构造探测数据包,由所述探测数据包的返回数据获取OS、服务banner以及html信息,而后通过规则库匹配,识别出所述存活资产的Web指纹和系统指纹信息;
其中,所述规则库包括:设备类型、资产属性、网站类型、网站插件,以及地理信息。
在上述方案中,通过指纹对其基本信息进行匹配,探测手段涵盖了当前所有的通用协议,能够针对不同的协议构造数据包,并分析其响应,确保了指纹信息的准确性。
一个优选方案中,所述Web漏洞的扫描通过表单爬虫由所述存活资产中提取表单信息后扫描得到;
所述表单爬虫提取表单信息的方法为:
S1-1、从所述检测目标的URL端口开始,使用自适应窗口策略搜索检测目标并保存;
S1-2、以保存的检测目标为单位,使用导航链接策略搜索每个检测目标中的有效URL并保存;
S1-3、依次取出保存的URL,利用HTML解析器提取出表单信息。
在上述方案中,网络爬虫在基于网络的Web漏洞扫描中,是重要的基础功能模块,其获取目录结构及分析HTML源码的效率,将直接影响系统的准确性和执行效率,而传统的扫描器中的爬虫程序,只是简单的在通用爬虫的基础上采用稍作改进的广度优先遍历算法,对HTML的解析则采用确定的有限自动机,而由于这样的爬虫程序并未考虑Web站点中目录结构的特点和动态交互点的分布规律,使得爬虫程序抓取了大量无用的页面,对HTML的解析也并不准确,从而降低了整个扫描器的性能。通过Web漏洞检测特定需求设计的表单爬虫,来构建整个Web漏洞扫描系统,可以提高其性能。表单爬虫程序的功能可分为三个,一个是站内新站点搜集,使用自适应窗口策略;另一个是表单搜集,采用导航链接策略;以及HTML解析器,采用正则表达式。表单爬虫的工作流程为:首先从目标站点,即检测目标的根URL开始,使用自适应窗口策略搜索新站点,将其保存,再以保存的新站点为单位,使用导航链接策略搜索每个站点中的有效URL,将其保存,最后依次取出保存的URL,利用HTML解析器提取出表单信息。同时,表单是漏洞检测的重要动态交互点,爬虫程序对表单的获取效率很大程度上决定了整个系统的运行效率,表单爬虫对表单的提取采用导航链接策略,因为很多表单位于WEB站点的浅层页面,比如入口页面,且沿着导航链接搜索,往往可以搜索到大多数的表单,所以表单爬虫采用导航链接策略,沿着导航链接搜索表单,可以忽略很多无用的页面,节省时间,提高系统效率。
一个优选方案中,所述导航链接策略指:将每个业务系统中的有效URL沿导航链接进行搜索;
其中,所述导航链接为页面HTML中具有如下特性的链接:显示格式具有规则性,且在多页面内重复出现。
在上述方案中,导航链接在页面上的分布一般遵循以下规律:导航链接在页面HTML中的显示格式和其它的链接有明显不同,呈现规则性,且导航链接往往在很多页面里反复出现,因此可以根据此规律将特定显示格式且反复出现的链接判定为导航链接。
一个优选方案中,利用选取的POC对系统漏洞或Web漏洞进行验证包括:将选取的POC分别分配给所述系统漏洞或Web漏洞以进行验证。
在上述方案中,传统的POC在验证的时候,都是通过IP+端口配合选中的POC来进行漏洞的验证,然而,当用户采用任务链的模式进行大批量的POC验证下发时,如果采用传统模式会造成卡顿的情况,所以在此基础了内置了POC的任务拆分系统,在POC任务生成的时候,对选择的POC进行合理分配将任务优化为IP+端口+多个POC的创建模式,这样极大的减少了引擎创建的任务数量,减少了任务间的等级时间,提升了用户体验。
一个优选方案中,多个所述载荷搭配不同的渗透模块进行预存,以根据不同的预检测的目标地址生成不同类型的会话,并维护所述会话的全部数据,且通过HTTP传输方式将用户的操作打包发送以实现命令交互。
一个优选方案中,S5中还包括:
实时展示所述存活探测引擎探测的存活结果,其中包括IP、端口以及协议的基本信息;
将指纹检测得到的所述存活资产和存活端口的详细信息进行实时展示,其中包括操作系统,地理位置,系统版本,服务,域名以及请求信息;
将扫描得到的系统漏洞以及Web漏洞的信息进行实时展示;以及
根据成功渗透利用的结果进行shell实时交互操作目标,并展示并保存操作中所产生的相关信息。
在上述方案中,渗透成功的漏洞并成功与对方建立了会话连接,除提供了基本的信息展示之外(文件浏览/网络配置),还可提供类shell命令交互框的设计,用户可以实时的进行命令输出并拿到回显信息,系统设计自动记录用户所有的操作记录,方便在会话关闭之后,仍可以通过点击详情功能查看之前进行过的命令处理。
尽管本发明的实施方案已公开如上,但其并不仅仅限于说明书和实施方式中所列运用,它完全可以被适用于各种适合本发明的领域,对于熟悉本领域的人员而言,可容易地实现另外的修改,因此在不背离权利要求及等同范围所限定的一般概念下,本发明并不限于特定的细节和这里示出与描述的图例。
Claims (10)
1.一种多引擎获取漏洞并自动化渗透的处理方法,其特征在于,包括以下步骤:
S1、创建任务:依据预检测的目标地址选取对应引擎的模板配置,并生成检测目标;
S2、发现目标:利用存活探测引擎探测得到所述检测目标中的存活资产、存活端口,以及所述存活资产和存活端口的详细信息;其中,通过存活探测和端口扫描探测得到所述存活资产和存活端口;通过指纹检测获得所述存活资产和存活端口的详细信息;
S3、漏洞扫描:扫描所述存活资产和存活端口的系统漏洞和Web漏洞;
S4、漏洞验证:利用选取的POC对系统漏洞或Web漏洞进行验证;
S5、渗透利用:根据S3得到的系统漏洞和Web漏洞,以及S4得到的POC的漏洞验证自动由预存的多个渗透模块中关联对应的渗透模块,而后根据S2得到的详细信息和S1选取的模板配置由预存的多种载荷中选择对应的载荷;将所述对应的渗透模块和载荷组合以对所述检测目标进行渗透;
S6、展示:将成功渗透利用的结果进行实时展示。
2.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,S1中,依据预检测的目标地址选取对应引擎的模板配置的方法包括:由预存的多项调度模板中选取对应的模板配置,或由用户自行创建的模板中选取对应于所述预检测的目标地址的模板配置。
3.如权利要求2所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,用户具有对用户自行创建的模板的删除和更新的能力。
4.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,通过存活探测和端口扫描探测得到所述存活资产和存活端口的方法分别为:
存活探测中:通过构造数据包,而后分析所述数据包的响应数据,以判断所述检测目标中的资产和端口的存活状况以及防护状况;
端口扫描探测中:通过向所述检测目标发送SYN包,而后分析所述SYN包的返回数据,以探测得到所述检测目标中的存活端口。
5.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,通过指纹检测获得所述存活资产和存活端口的详细信息具体包括:基于所述存活资产和存活端口构造探测数据包,由所述探测数据包的返回数据获取OS、服务banner以及html信息,而后通过规则库匹配,识别出所述存活资产的Web指纹和系统指纹信息;
其中,所述规则库包括:设备类型、资产属性、网站类型、网站插件,以及地理信息。
6.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,所述Web漏洞的扫描通过表单爬虫由所述存活资产中提取表单信息后扫描得到;
所述表单爬虫提取表单信息的方法为:
S1-1、从所述检测目标的URL端口开始,使用自适应窗口策略搜索检测目标并保存;
S1-2、以保存的检测目标为单位,使用导航链接策略搜索每个检测目标中的有效URL并保存;
S1-3、依次取出保存的URL,利用HTML解析器提取出表单信息。
7.如权利要求6所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,所述导航链接策略指:将每个业务系统中的有效URL沿导航链接进行搜索;
其中,所述导航链接为页面HTML中具有如下特性的链接:显示格式具有规则性,且在多页面内重复出现。
8.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,利用选取的POC对系统漏洞或Web漏洞进行验证包括:将选取的POC分别分配给所述系统漏洞或Web漏洞以进行验证。
9.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,多个所述载荷搭配不同的渗透模块进行预存,以根据不同的预检测的目标地址生成不同类型的会话,并维护所述会话的全部数据,且通过HTTP传输方式将用户的操作打包发送以实现命令交互。
10.如权利要求1所述的多引擎获取漏洞并自动化渗透的处理方法,其特征在于,S5中还包括:
实时展示所述存活探测引擎探测的存活结果,其中包括IP、端口以及协议的基本信息;
将指纹检测得到的所述存活资产和存活端口的详细信息进行实时展示,其中包括操作系统,地理位置,系统版本,服务,域名以及请求信息;
将扫描得到的系统漏洞以及Web漏洞的信息进行实时展示;以及
根据成功渗透利用的结果进行shell实时交互操作目标,并展示并保存操作中所产生的相关信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011249852.6A CN112347485A (zh) | 2020-11-10 | 2020-11-10 | 多引擎获取漏洞并自动化渗透的处理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011249852.6A CN112347485A (zh) | 2020-11-10 | 2020-11-10 | 多引擎获取漏洞并自动化渗透的处理方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112347485A true CN112347485A (zh) | 2021-02-09 |
Family
ID=74362399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011249852.6A Pending CN112347485A (zh) | 2020-11-10 | 2020-11-10 | 多引擎获取漏洞并自动化渗透的处理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112347485A (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113158195A (zh) * | 2021-04-09 | 2021-07-23 | 上海碳泽信息科技有限公司 | 一种基于poc脚本的分布式漏洞扫描方法及系统 |
CN113411332A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种cors漏洞检测方法、装置、设备及介质 |
CN113709145A (zh) * | 2021-08-26 | 2021-11-26 | 电子科技大学成都学院 | 基于poc验证引擎的漏洞验证系统 |
CN114205154A (zh) * | 2021-12-12 | 2022-03-18 | 中国电子科技集团公司第十五研究所 | 一种针对隔离安全机制的网络安全测试方法 |
CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
CN115174241A (zh) * | 2022-07-14 | 2022-10-11 | 中汽创智科技有限公司 | 一种安全漏洞处理方法、装置、设备及介质 |
CN116502241A (zh) * | 2023-06-29 | 2023-07-28 | 中汽智联技术有限公司 | 一种基于PoC载荷库的漏洞扫描工具增强方法和系统 |
Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
CN103400077A (zh) * | 2013-08-01 | 2013-11-20 | 广州大学 | 一种基于BackTrack的渗透测试方法 |
CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
US20180219901A1 (en) * | 2017-01-30 | 2018-08-02 | XM Ltd. | Setting-up penetration testing campaigns |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
US20190205542A1 (en) * | 2017-12-28 | 2019-07-04 | Fmr Llc | Automated secure software development management, risk assessment, and risk remediation |
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
CN111143852A (zh) * | 2019-12-13 | 2020-05-12 | 电子科技大学 | 一种基于协同控制的多模块渗透测试系统 |
-
2020
- 2020-11-10 CN CN202011249852.6A patent/CN112347485A/zh active Pending
Patent Citations (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102468985A (zh) * | 2010-11-01 | 2012-05-23 | 北京神州绿盟信息安全科技股份有限公司 | 针对网络安全设备进行渗透测试的方法和系统 |
CN103400077A (zh) * | 2013-08-01 | 2013-11-20 | 广州大学 | 一种基于BackTrack的渗透测试方法 |
CN104200167A (zh) * | 2014-08-05 | 2014-12-10 | 杭州安恒信息技术有限公司 | 自动化渗透测试方法及系统 |
CN104363236A (zh) * | 2014-11-21 | 2015-02-18 | 西安邮电大学 | 一种自动化漏洞验证的方法 |
CN105827642A (zh) * | 2016-05-16 | 2016-08-03 | 深圳市安络科技有限公司 | 一种自动化渗透测试方法及系统 |
CN106411578A (zh) * | 2016-09-12 | 2017-02-15 | 国网山东省电力公司电力科学研究院 | 一种适应于电力行业的网站监控系统及方法 |
US20180219901A1 (en) * | 2017-01-30 | 2018-08-02 | XM Ltd. | Setting-up penetration testing campaigns |
US20190205542A1 (en) * | 2017-12-28 | 2019-07-04 | Fmr Llc | Automated secure software development management, risk assessment, and risk remediation |
CN108712396A (zh) * | 2018-04-27 | 2018-10-26 | 广东省信息安全测评中心 | 网络资产管理与漏洞治理系统 |
CN108737425A (zh) * | 2018-05-24 | 2018-11-02 | 北京凌云信安科技有限公司 | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 |
CN110324310A (zh) * | 2019-05-21 | 2019-10-11 | 国家工业信息安全发展研究中心 | 网络资产指纹识别方法、系统及设备 |
CN111143852A (zh) * | 2019-12-13 | 2020-05-12 | 电子科技大学 | 一种基于协同控制的多模块渗透测试系统 |
Non-Patent Citations (2)
Title |
---|
胡斌: "分布式漏洞应急检测系统", 《中国优秀硕士学位论文全文数据库 信息科技辑》, no. 07, 15 July 2020 (2020-07-15), pages 139 - 98 * |
邢斌 等: "一种自动化的渗透测试系统的设计与实现", 《计算机应用研究》, vol. 27, no. 04, 15 April 2010 (2010-04-15), pages 1384 - 1387 * |
Cited By (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113158195B (zh) * | 2021-04-09 | 2022-10-11 | 上海碳泽信息科技有限公司 | 一种基于poc脚本的分布式漏洞扫描方法及系统 |
CN113158195A (zh) * | 2021-04-09 | 2021-07-23 | 上海碳泽信息科技有限公司 | 一种基于poc脚本的分布式漏洞扫描方法及系统 |
CN113411332A (zh) * | 2021-06-18 | 2021-09-17 | 杭州安恒信息技术股份有限公司 | 一种cors漏洞检测方法、装置、设备及介质 |
CN113709145A (zh) * | 2021-08-26 | 2021-11-26 | 电子科技大学成都学院 | 基于poc验证引擎的漏洞验证系统 |
CN114205154A (zh) * | 2021-12-12 | 2022-03-18 | 中国电子科技集团公司第十五研究所 | 一种针对隔离安全机制的网络安全测试方法 |
CN114205154B (zh) * | 2021-12-12 | 2022-11-18 | 中国电子科技集团公司第十五研究所 | 一种针对隔离安全机制的网络安全测试方法 |
CN114745166A (zh) * | 2022-03-29 | 2022-07-12 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN114745166B (zh) * | 2022-03-29 | 2023-07-28 | 烽台科技(北京)有限公司 | 工业资产风险感知方法、装置及电子设备 |
CN115174241A (zh) * | 2022-07-14 | 2022-10-11 | 中汽创智科技有限公司 | 一种安全漏洞处理方法、装置、设备及介质 |
CN115174241B (zh) * | 2022-07-14 | 2023-07-25 | 中汽创智科技有限公司 | 一种安全漏洞处理方法、装置、设备及介质 |
CN115102785A (zh) * | 2022-07-25 | 2022-09-23 | 远江盛邦(北京)网络安全科技股份有限公司 | 一种针对网络攻击的自动溯源系统及方法 |
CN116502241A (zh) * | 2023-06-29 | 2023-07-28 | 中汽智联技术有限公司 | 一种基于PoC载荷库的漏洞扫描工具增强方法和系统 |
CN116502241B (zh) * | 2023-06-29 | 2023-10-10 | 中汽智联技术有限公司 | 一种基于PoC载荷库的漏洞扫描工具增强方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112347485A (zh) | 多引擎获取漏洞并自动化渗透的处理方法 | |
US11709945B2 (en) | System and method for identifying network security threats and assessing network security | |
CN111651757B (zh) | 攻击行为的监测方法、装置、设备及存储介质 | |
RU2657170C2 (ru) | Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов | |
CN110324310A (zh) | 网络资产指纹识别方法、系统及设备 | |
Fonseca et al. | Evaluation of web security mechanisms using vulnerability & attack injection | |
CN110209583A (zh) | 安全测试方法、装置、系统、设备和存储介质 | |
CN111353151B (zh) | 一种网络应用的漏洞检测方法和装置 | |
CN110677381A (zh) | 渗透测试的方法及装置、存储介质、电子装置 | |
CN108900527A (zh) | 一种安全配置核查系统 | |
CN113868659B (zh) | 一种漏洞检测方法及系统 | |
CN113259392B (zh) | 一种网络安全攻防方法、装置及存储介质 | |
CN111510463B (zh) | 异常行为识别系统 | |
CN114666104A (zh) | 一种渗透测试方法、系统、计算机设备以及存储介质 | |
Shi et al. | The penetration testing framework for large-scale network based on network fingerprint | |
CN113868669A (zh) | 一种漏洞检测方法及系统 | |
Shi et al. | Analysis of web security comprehensive evaluation tools | |
CN115102785B (zh) | 一种针对网络攻击的自动溯源系统及方法 | |
CN117040779A (zh) | 一种网络异常访问信息获取方法及装置 | |
CN113868670A (zh) | 一种漏洞检测流程检验方法及系统 | |
CA3204750A1 (en) | Web attack simulator | |
CN112738068B (zh) | 一种网络脆弱性扫描方法及装置 | |
CN113886837A (zh) | 一种漏洞检测工具可信度验证方法和系统 | |
Bellatriu | Penetration testing automation system | |
Deptula | Automation of cyber penetration testing using the detect, identify, predict, react intelligence automation model |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |