转换NASL检查

自定义漏洞检查数据与Insight Platform不兼容dota2必威联赛

如果您是利用本文中描述的自定义漏洞检查功能的InsightVM订阅者,请注意,您创建的任何自定义检查以及从这些检查派生的任何扫描数据都将包含在内部安全控制台中并仅限于此。自定义检查及其扫描结果不会上游传送到洞察平台。dota2必威联赛这意味着它们将不存在于InsightVM基于云的功能和体验中,例如指示板修复项目,目标和sla

本教程假设您了解以下基本知识写作漏洞检查安全控制台中。

许多用户可能都熟悉Nessus攻击脚本语言(NASL)。这是一种漏洞测试开发语言,最初由Nessus引入,现在由OpenVAS支持。本教程展示如何将NASL检查转换为安全控制台检查。

从OpenVAS检查NASL

此脚本检查名为Alchemy Eye的监控产品中的远程命令执行漏洞。

alchemy_eye_http.nasl

         
1
2
#剧本由Drew Hintz撰写(http://guh.nu)
3.
4
#它是基于雷诺·德雷森和HD摩尔编写的脚本
5
6
详细信息请参见Nessus脚本许可
7
8
如果(描述)
9
10
script_id (10818);
11
script_bugtraq_id (3599);
12
script_version(“$修订:38美元”);
13
script_cve_id (cve - 2001 - 0871);
14
name["english"] = "Alchemy Eye HTTP命令执行";
15
script_name(英语:名称(英语));
16
Alchemy Eye和Alchemy Network Monitor是Microsoft Windows的网络管理工具。该产品包含一个用于远程监视和控制的内置HTTP服务器。此HTTP服务器允许远程攻击者在服务器上运行任意命令。(摘自http://www.rapid7.com的安全公告。)
17
18
解决方法:在Alchemy Eye中关闭HTTP访问,或者对Alchemy Eye进行认证。这两个选项都可以在炼金术眼选项中设置。
19
20.
更多信息:http://www.securityfocus.com/archive/1/243404
21
危险因素:高”);
22
23
script_description(英语:desc["英语"]);
24
summary["english"] = "确定是否可以使用炼金术眼执行任意命令";
25
script_summary(英语:总结["英语"]);
26
script_category (ACT_GATHER_INFO);
27
script_copyright(chinese:“This script is Copyright (C) 2001 H D Moore & Drew Hintz (http://guh.nu)”);
28
family["english"] = "CGI滥用";
29
script_family(英语:家庭["英语"]);
30.
script_dependencie(“find_service。nes”、“http_version.nasl”);
31
script_require_keys(“www /炼金术”);
32
script_require_ports(服务/ www, 80);
33
退出(0);
34
35
36
包括(“http_func.inc”);
37
包括(“http_keepalive.inc”);
38
39
端口= get_http_port(默认值:80);
40
41
如果(! get_port_state(端口))退出(0);
42
43
函数检查(要求)
44
45
Req = http_get(item: Req, port:port);
46
R = http_keepalive_send_recv(port:port, data:req);
47
if (r == NULL) exit(0); / /返回NULL
48
pat = "ACCOUNTS | COMPUTER";
49
If (pat >< r) {
50
security_hole(端口:端口);
51
退出(0);
52
53
返回(0);
54
55
56
dir[0] = " /打印”;
57
dir[1] = " /空”;
58
dir [2] = " ";
59
60
(d = 0; dir [d]; d = d + 1)
61
62
url =字符串(“/目录”,dir (d ], "/../../../../../../../../ WINNT / system32系统/ net.exe”);
63
检查(要求:url);
64

在安全控制台中写相同的检查

下面介绍如何用Security Console格式编写等价的检查。记住,Security Console将漏洞元数据与漏洞检查分开,因此创建两个文件:一个用于元数据,另一个用于实际检查。该漏洞有两个可供用户选择的备选解决方案,它们都被分类为工作区(相对于补丁)。此解决方案数据用于根据用户的首选项组装最有效的补救报告。

cmty-alchemy-eye-http-cmd-exec.xml

         
xml
1
<?xml version = ' 1.0 '编码=“utf - 8”?>
2
<脆弱性idcmty-alchemy-eye-http-cmd-exec发表2001-11-30添加2010-03-14修改2010-03-14版本2.0>
3.
<的名字>炼金术眼睛HTTP远程命令执行的名字>
4
<严重程度>9严重程度>
5
<一种总线标准严重程度5/>
6
<标签><标签>社区标签><标签>网络标签>标签>
7
<cvss>AVN/交流l/非盟N/CP/P/一个Pcvss>
8
<AlternateIds>
9
<id的名字URL>http//wwwrapid7com/安全-中心/报告/R7-0001.jspid>
10
<id的名字CVE>CVE-2001-0871id>
11
<id的名字报价>3599id>
12
AlternateIds>
13
<描述>
14
<p>炼金术眼睛炼金术网络监控是网络管理工具微软窗户产品包含
15
一个建-HTTP服务器远程监控HTTP服务器允许任意命令运行
16
远程攻击者攻击服务器p>
17
描述>
18
<解决方案>
19
<解决方案idcmty-alchemy-eye-disable-http时间20米>
20.
<总结>禁用炼金术眼睛HTTP服务器总结>
21
<解决方案>
22
<p>禁用HTTP访问完全通过首选项必须重新启动产品生效p>
23
解决方案>
24
解决方案>
25
<解决方案idcmty-alchemy-eye-http-require-auth时间30米>
26
<总结>配置HTTP身份验证总结>
27
<解决方案>
28
<p>需要HTTP身份验证通过首选项必须重新启动产品生效
29
唯一的可能版本2.6x和晚些时候早期版本没有身份验证选项p>
30.
解决方案>
31
解决方案>
32
解决方案>
33
脆弱性>

cmty-alchemy-eye-http-cmd-exec.vck

记得逃离<代码class="prism-code language-text">|(pipe)字符。

         
xml
1
<VulnerabilityCheckidcmty-alchemy-eye-http-cmd-exec范围端点>
2
<NetworkService类型HTTP | HTTPS>
3.
<产品的名字炼金术眼睛/>
4
NetworkService>
5
<HTTPCheck>
6
<HTTPRequest方法得到>
7
<URI>/目录/////WINNT/system32系统/exeURI>
8
<URI>/cgi-箱子//////WINNT/system32系统/exeURI>
9
<URI>/cgi-箱子/打印/////WINNT/system32系统/exeURI>
10
HTTPRequest>
11
<HTTPResponse代码200>
12
<正则表达式>账户|电脑正则表达式>
13
HTTPResponse>
14
HTTPCheck>
15
VulnerabilityCheck>