转换NASL检查
本教程假设您了解以下基本知识写作漏洞检查安全控制台中。
许多用户可能都熟悉Nessus攻击脚本语言(NASL)。这是一种漏洞测试开发语言,最初由Nessus引入,现在由OpenVAS支持。本教程展示如何将NASL检查转换为安全控制台检查。
从OpenVAS检查NASL
此脚本检查名为Alchemy Eye的监控产品中的远程命令执行漏洞。
alchemy_eye_http.nasl
1
#
2
#剧本由Drew Hintz撰写(http://guh.nu)
3.
#
4
#它是基于雷诺·德雷森和HD摩尔编写的脚本
5
#
6
详细信息请参见Nessus脚本许可
7
#
8
如果(描述)
9
{
10
script_id (10818);
11
script_bugtraq_id (3599);
12
script_version(“$修订:38美元”);
13
script_cve_id (cve - 2001 - 0871);
14
name["english"] = "Alchemy Eye HTTP命令执行";
15
script_name(英语:名称(英语));
16
Alchemy Eye和Alchemy Network Monitor是Microsoft Windows的网络管理工具。该产品包含一个用于远程监视和控制的内置HTTP服务器。此HTTP服务器允许远程攻击者在服务器上运行任意命令。(摘自http://www.rapid7.com的安全公告。)
17
18
解决方法:在Alchemy Eye中关闭HTTP访问,或者对Alchemy Eye进行认证。这两个选项都可以在炼金术眼选项中设置。
19
20.
更多信息:http://www.securityfocus.com/archive/1/243404
21
危险因素:高”);
22
23
script_description(英语:desc["英语"]);
24
summary["english"] = "确定是否可以使用炼金术眼执行任意命令";
25
script_summary(英语:总结["英语"]);
26
script_category (ACT_GATHER_INFO);
27
script_copyright(chinese:“This script is Copyright (C) 2001 H D Moore & Drew Hintz (http://guh.nu)”);
28
family["english"] = "CGI滥用";
29
script_family(英语:家庭["英语"]);
30.
script_dependencie(“find_service。nes”、“http_version.nasl”);
31
script_require_keys(“www /炼金术”);
32
script_require_ports(服务/ www, 80);
33
退出(0);
34
}
35
36
包括(“http_func.inc”);
37
包括(“http_keepalive.inc”);
38
39
端口= get_http_port(默认值:80);
40
41
如果(! get_port_state(端口))退出(0);
42
43
函数检查(要求)
44
{
45
Req = http_get(item: Req, port:port);
46
R = http_keepalive_send_recv(port:port, data:req);
47
if (r == NULL) exit(0); / /返回NULL
48
pat = "ACCOUNTS | COMPUTER";
49
If (pat >< r) {
50
security_hole(端口:端口);
51
退出(0);
52
}
53
返回(0);
54
}
55
56
dir[0] = " /打印”;
57
dir[1] = " /空”;
58
dir [2] = " ";
59
60
(d = 0; dir [d]; d = d + 1)
61
{
62
url =字符串(“/目录”,dir (d ], "/../../../../../../../../ WINNT / system32系统/ net.exe”);
63
检查(要求:url);
64
}
在安全控制台中写相同的检查
下面介绍如何用Security Console格式编写等价的检查。记住,Security Console将漏洞元数据与漏洞检查分开,因此创建两个文件:一个用于元数据,另一个用于实际检查。该漏洞有两个可供用户选择的备选解决方案,它们都被分类为工作区(相对于补丁)。此解决方案数据用于根据用户的首选项组装最有效的补救报告。
cmty-alchemy-eye-http-cmd-exec.xml
xml
1
<?xml version = ' 1.0 '编码=“utf - 8”?>
2
<脆弱性id="cmty-alchemy-eye-http-cmd-exec"发表="2001-11-30"添加="2010-03-14"修改="2010-03-14"版本="2.0">
3.
<的名字>炼金术眼睛HTTP远程命令执行的名字>
4
<严重程度>9严重程度>
5
<一种总线标准严重程度="5"/>
6
<标签><标签>社区标签><标签>网络标签>标签>
7
<cvss>(AV:N/交流:l/非盟:N/C:P/我:P/一个:P)cvss>
8
<AlternateIds>
9
<id的名字="URL">http://www.rapid7.com/安全-中心/报告/R7-0001.jspid>
10
<id的名字="CVE">CVE-2001-0871id>
11
<id的名字="报价">3599id>
12
AlternateIds>
13
<描述>
14
<p>炼金术眼睛和炼金术网络监控是网络管理工具为微软窗户.的产品包含
15
一个建-在HTTP服务器为远程监控.这HTTP服务器允许任意命令运行
16
远程攻击者攻击服务器.p>
17
描述>
18
<解决方案>
19
<解决方案id="cmty-alchemy-eye-disable-http"时间="20米">
20.
<总结>禁用的炼金术眼睛HTTP服务器总结>
21
<解决方案>
22
<p>禁用HTTP访问完全通过首选项.你必须重新启动产品为这生效.p>
23
解决方案>
24
解决方案>
25
<解决方案id="cmty-alchemy-eye-http-require-auth"时间="30米">
26
<总结>配置HTTP身份验证总结>
27
<解决方案>
28
<p>需要HTTP身份验证通过首选项.你必须重新启动产品为这生效.这
29
是唯一的可能与版本2.6.x和晚些时候(早期版本没有身份验证选项).p>
30.
解决方案>
31
解决方案>
32
解决方案>
33
脆弱性>
cmty-alchemy-eye-http-cmd-exec.vck
记得逃离<代码class="prism-code language-text">|(pipe)字符。
xml
1
<VulnerabilityCheckid="cmty-alchemy-eye-http-cmd-exec"范围="端点">
2
<NetworkService类型="HTTP | HTTPS">
3.
<产品的名字="炼金术眼睛"/>
4
NetworkService>
5
<HTTPCheck>
6
<HTTPRequest方法="得到">
7
<URI>/目录/../../../../WINNT/system32系统/净.exeURI>
8
<URI>/cgi-箱子/空/../../../../WINNT/system32系统/净.exeURI>
9
<URI>/cgi-箱子/打印/../../../../WINNT/system32系统/净.exeURI>
10
HTTPRequest>
11
<HTTPResponse代码="200">
12
<正则表达式>账户\|电脑正则表达式>
13
HTTPResponse>
14
HTTPCheck>
15
VulnerabilityCheck>
这个页面对你有帮助吗?