OpenVAS 踩坑指南

OpenVAS 是一个著名的开放式漏洞评估系统(其实就是个扫描器)。免费的东西就是免不了折腾,如果你有钱可以买 Nessus,是 OpenVAS 的商业版本。此篇记录一下各种各样的坑,算作使用教程。

一些概念

  • NVT:Network Vulnerability Test
  • nasl:NASL 是一个为 Nessus 开发的脚本语言。前面说过,OpenVAS 与 Nessus 关系密切,OpenVAS 同样也是使用的 NASL。
  • SCAP:包括以下:

那么 NVT 与 nasl 是什么关系呢?NVT 实际上就是一个 nasl 文件,举个例子:

这是我编写的一个今年(2018.12.09)的 thinkphp RCE 的 NVT,后面会以这个为例子说明怎么编写 nasl 来自定义 NVT。

安装 OpenVAS

注意,以下命令均为 root 权限
os: Ubuntu 16.04

开局先吐槽一下,我日常使用的是 Ubuntu18,没想到 OpenVAS9 对 18 的支持超级差,各种 google 解决依赖。就差最后一步的时候,遇到了个奇葩问题,这个问题在 2018 年前几个月的时候被人发了个 issue 提出来过,到现在(快 2019 了)还没解决,折腾了一天,无奈换 Ubuntu16。换完之后安装一路顺畅无比。

  • add-apt-repository ppa:mrazavi/openvas
  • apt update
  • apt install sqlite3
  • apt install openvas9 # 8 太旧了,用 9 好了

安装的时候会弹个框:

选 yes

  • apt install libopenvas9-dev # 装了这玩意就可以用 OpenVAS-nasl 测试你自己写的 nasl 文件了

注意,以下命令需要下载大量的数据,由于服务器在国外,所以最好走代理

  • greenbone-nvt-sync # 官方提供了很多 NVT,我们可以当做 demo 来学习如何编写 nasl,也可以在扫描器中直接使用
  • greenbone-scapdata-sync # 同步 SCAP 数据

然后建议检查一下 openvas-check-setup 安装了没有,这个东西可以检查你的 OpenVAS 装好了没,如果有问题会给你修复建议:
wget https://svn.wald.intevation.org/svn/openvas/branches/tools-attic/openvas-check-setup

运行 sudo openvas-check-setup --v9,如果只差 openvasmd --rebuild 的话,我们就可以继续往下了,如果有问题,按照它给出的方法修复即可。

  • service openvas-manager restart
  • service openvas-scanner restart
  • openvasmd --rebuild --progress # 重建 OpenVAS 数据库

至此,OpenVAS 安装完毕。OpenVAS9 的 Web 端默认端口为 4000,访问 https://ip:4000 (注意是 https)就可以看到如下界面:

Coooooooool

说明 OpenVAS 安装成功,可以使用了。

OpenVAS 基本的使用

账号密码默认为 adminadmin。具体的使用这篇文章说的很好了,我就不赘述了。

编写自己的 nasl

nasl 基础的语法

如果你的英文还不错,就看这个
如果你不想看英文,就看这个,不过这篇文章的排版超级乱,不知道是从哪抄的。

NVT 的 组成

我们先找到存放 nasl 文件的文件夹,路径默认为 /var/lib/openvas/plugins/,我们可以在这个文件夹下新建一个文件夹用来存放自定义的 nasl 文件。随便打开一个 nasl(cat amanda_detect.nasl):

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
###############################################################################
# OpenVAS Vulnerability Test
# $Id: amanda_detect.nasl 8236 2017-12-22 10:28:23Z cfischer $
#
# Amanda client version
#
# Authors:
# Paul Ewing <[email protected]>
#
# Copyright:
# Copyright (C) 2000 Paul J. Ewing Jr.
#
# This program is free software; you can redistribute it and/or modify
# it under the terms of the GNU General Public License version 2,
# as published by the Free Software Foundation
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 51 Franklin St, Fifth Floor, Boston, MA 02110-1301 USA.
###############################################################################

if(description)
{
script_oid("1.3.6.1.4.1.25623.1.0.10462");
script_version("$Revision: 8236 $");
script_tag(name:"last_modification", value:"$Date: 2017-12-22 11:28:23 +0100 (Fri, 22 Dec 2017) $");
script_tag(name:"creation_date", value:"2005-11-03 14:08:04 +0100 (Thu, 03 Nov 2005)");
script_tag(name:"cvss_base", value:"0.0");
script_tag(name:"cvss_base_vector", value:"AV:N/AC:L/Au:N/C:N/I:N/A:N");
script_name("Amanda client version");
script_category(ACT_GATHER_INFO);
script_copyright("This script is Copyright (C) 2000 Paul J. Ewing Jr.");
script_family("Service detection");
script_require_udp_ports(10080, 10081);

script_tag(name:"summary", value:"This detects the Amanda backup system client
version. The client version gives potential attackers additional
information about the system they are attacking.");

script_tag(name:"qod_type", value:"remote_banner");

exit(0);
}

include("misc_func.inc");

function get_version( soc, port, timeout ) {

local_var result, temp, version, data;

if ( ! isnull( timeout ) )
result = recv( socket:soc, length:2048, timeout:timeout );
else
result = recv( socket:soc, length:2048 );

if( result ) {
if( egrep( pattern:"^[^ ]+ [0-9]+\.[0-9]+", string:result ) ) {
temp = strstr( result, " " );
temp = temp - " ";
temp = strstr( temp, " " );
version = result - temp;
data = string( "Amanda version: ", version );
log_message( port:port, data:data, protocol:"udp" );
register_service( port:port, ipproto:"udp", proto:"amanda" );
set_kb_item( name:"Amanda/running", value:TRUE );
}
}
}

req = 'Amanda 2.3 REQ HANDLE 000-65637373 SEQ 954568800\nSERVICE ' + rand_str( length:8 ) + '\n';

port1 = 10080;
if( get_udp_port_state( port1 ) ) {
soc1 = open_sock_udp( port1 );
if( soc1 ) {
send( socket:soc1, data:req );
get_version( soc:soc1, port:port1, timeout:NULL );
close( soc1 );
}
}

port2 = 10081;
if( get_udp_port_state( port2 ) ) {
soc2 = open_sock_udp( port2 );
if( soc2 ) {
send( socket:soc2, data:req );
get_version( soc:soc2, port:port2, timeout:1 );
close( soc2 );
}
}

这个 NVT 在浏览器里看上去是啥样的呢?我们按照以下步骤搜索:

搜索框的语法稍后会解释。现在先说一下 nasl 文件的组成。

如果你多看几个自带的 nasl 文件,你会发现它们基本都是两部分组成的:

1
2
3
4
5
6
7
8
9
10
11
12
13
# -------
# 以下部分描述 nasl 文件的功能,我称之为 nasl 描述区
# -------
if(description)
{
...
}


# -------
# 以下部分实现真正的功能,我称之为 nasl 功能区
# -------
...

nasl 描述区

仔细对比一下 description 与浏览器的搜索结果,你至少可以知道 script_name("Amanda client version"); 定义了 NVT 的名字,script_family("Service detection"); 定义了 NVT 所属的家族(或者其他更贴切的翻译)。后面的 CreatedModifiedVersion 同理。如果我们点击那个搜索结果,就能进入一个页面,里面详细地展示了 NVT 的信息:

通过对照 description 与这个页面,我们能迅速知道该如何编写自己 NVT 的description。比较重要的是 script_oid,这个随便写,不重复就行。但是如果你有大量自定义的 NVT,那么还是弄得有规律点比较好。最后说一下 cvss_basecvss_base_vector,这两个不是乱写的,cvss通用漏洞评估方法,有计算器可以计算漏洞的 Base 分值,以及漏洞的 vector。当然这部分你乱写(比如把没使用 https 当做高危漏洞)也可以用,就是结果不规范。

贴一下我的 thinkphp-2018-12-09.nasl 的描述区:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
if(description)
{
script_oid(1545919522); # 设为时间戳

script_tag(name:"last_modification", value:"$Date: 2018-12-31 10:28:30 +0100 (Mon, 31 Dec 2018) $");

script_tag(name:"creation_date", value:"2018-12-27 22:05:22 +0100 (Thu, 27 Dec 2018)");

script_version("$Revision:2.0$");

script_name("ThinkPHP RCE(2018.12.09)");

script_tag(name:"cvss_base", value:"8.3");

script_tag(name:"cvss_base_vector", value:"AV:N/AC:L/Au:N/C:C/I:C/A:C/E:F/RL:OF/RC:C");

# 设置脚本类型
# 类型如下:
# ACT_INIT: Plugin sets KB items.
# ACT_SlistlisCANNER: Plugin is a port scanner or similar (like ping).
# ACT_SETTINGS: Plugin sets KB items after ACT_SCANNER.
# ACT_GATHER_INFO: Plugin identites services, parses banners.
# ACT_ATTACK: For non-intrusive attacks (eg directory traversal).
# ACT_MIXED_ATTACK: Plugin launches potentially dangerous attacks.
# ACT_DESTRUCTIVE_ATTACK: Plugin attempts to destroy data.
# ACT_DENIAL: Plugin attempts to crash a service.
# ACT_KILL_HOST: Plugin attempts to crash target host.
script_category(ACT_ATTACK);

script_copyright("CopyRight: XinDun in 2018.12.27");

script_family("MyNVTs");

script_require_ports("Services/www", 80);

script_tag(name:"summary", value:"Send a payload: '?s=index/think\\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Tr0y', expected return md5('Tr0y'): 8f95eca949e2ec377434ea3fea1cc381");

script_tag(name:"solution", value:"see https://blog.thinkphp.cn/869075 for more detials");

script_tag(name:"insight", value:"This vulnerability affects these versions: ThinkPHP v5.0: < 5.0.23 and ThinkPHP v5.1 < 5.1.31");

script_tag(name:"affected", value:"The site which powerd by thinkphp with specific version.");

exit(0);
}

描述区实际上有很多的 script_tag 可用,没必要每个都加,选几个就行了。以及 script_category 是 n 选 1,参加上面那个示例。

我们现在知道了 nasl 文件里的 description 区是给 OpenVAS 索引与展示信息用的,那么搜索框就会有如下的规则:

  • name="Amanda client version":搜索名字为 Amanda client version 的 NVT
  • family="Test":搜索名字为 Test 的 NVT 家族
  • ...

nasl 功能区

仅仅展示 nasl 文件的功能是不行的,我们还必须真正实现这些功能,实际上这些功能就是普通的代码,组合起来就行了。我只说几个重要的地方:

  • url 的传递:运行扫描时,OpenVAS 会把 url 传给 nasl 文件,我们不需要自己在代码中接收它。
  • 漏洞发现后的反馈:security_message 就是干这个的,security_message 中的 data 最后是体现在下图的 Vulnerability Detection Result 中了:

    如果没有执行过 security_message 则代表没有发现漏洞。

贴一下功能区的代码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# 添加库
include('/var/lib/openvas/plugins/http_func.inc'); # 路径不一定是这个
include('/var/lib/openvas/plugins/global_settings.inc'); # 路径不一定是这个


# --------------------------------
# 发送 payload

# 获取 www 端口,默认为 80
port = get_http_port(default: 80);

str = string("GET /index.php?s=index/think/app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=Tr0y HTTP/1.0\r\n\r\n");

# 发送 payload 并返回服务器的响应
recv = http_send_recv(port: port, data: str);

# DEBUG 使用,打印返回的 header+body
display(recv, "\n");

# 利用正则检查 payload 是否执行成功
vulnerable = egrep(pattern:'8f95eca949e2ec377434ea3fea1cc381', string:recv);


if(vulnerable)
{
report = "Thinkphp v5.x Vulnerable!";
security_message( port:port, data:report); # 给 OpenVAS 的反馈,执行这个才会有 vulnerable 显示
}
else report = "Thinkphp v5.x NOT vulnerable";

# DEBUG 使用
# display(report);

exit( 0 );

写完代码还需要 debug 嘛。我们之前 apt install libopenvas9-dev 安装了 openvas-nasl 现在就可以派上用场了,运行前记得把 DEBUG 的那几行取消注释,这样可以看输出。

那么我们怎么把 url 传给代码呢?用 -t 参数。至于 -X 参数,就是让 OpenVAS 不验证 nasl 文件的有效性:

看来,我们的 nasl 没问题。这里提醒一句,这样运行的 nasl 文件,描述区里面的代码是不会执行的,所以,如果你的描述区写的有问题,这一步是查不出来的

顺带说一句,如果你认真看那些自带的 nasl 文件的话,你会发现它们都有一个同名的、以 .asc 结尾的文件:

这些文件是验证 nasl 文件的有效性的,相当于签名,我们不需要搞这个文件。至于 .inc 文件,就相当于库文件,在代码中 include 后就可以使用里面的函数。

现在,我们已经编写完自己的 nasl 文件了,接下来执行
sudo service openvas-manager restart; sudo service openvas-scanner restart; sudo openvasmd --rebuild --progress

即可让 Web 端识别到我们自定义的 NVT:

问题集

Ubuntu 18 对 OpenVAS9 资瓷的不够

换 Ubuntu 16。解决 Ubuntu 18 的依赖,一天没了
:)

.asc 文件

之前 google 了一篇教程,他说先生成 .asc 文件后,Web 端才能识别,结果搞了我一整天,按他的方法签名始终没法通过验证。。。假教程害人啊。。。

自定义了 nasl 文件,Web 端却无法识别

一般是 nasl 文件的语法错误导致的。之前说过,描述区没法使用 openvas-nasl 检查出来的,你只能看日志文件,找语法错误,日志默认位于:/var/log/openvas 里。

此处花了我半天。。。

SIGSEGV occured !

最后贴个最恶心的问题:

1
2
3
4
5
6
7
8
9
10
11
SIGSEGV occured !
openvassd: Reloaded 300 of 48432 NVTs (0% / ETA: 00:00)(sighand_segv+0x7c)[0x40d8ec]
/lib/x86_64-linux-gnu/libc.so.6(+0x354b0)[0x7f2900d014b0]
/lib/x86_64-linux-gnu/libc.so.6(strlen+0x26)[0x7f2900d57746]
/usr/lib/x86_64-linux-gnu/libhiredis.so.0.13(redisvFormatCommand+0x4c5)[0x7f28feea2d65]
/usr/lib/x86_64-linux-gnu/libhiredis.so.0.13(redisvAppendCommand+0x22)[0x7f28feea4372]
/usr/lib/x86_64-linux-gnu/libhiredis.so.0.13(redisvCommand+0x9)[0x7f28feea4579]
/usr/lib/libopenvas_base.so.9(+0xc29a)[0x7f290192a29a]
/usr/lib/libopenvas_base.so.9(+0xc700)[0x7f290192a700]
/usr/lib/libopenvas_base.so.9(nvticache_add+0xab)[0x7f2901927d7b]
openvassd: Reloaded 300 of 48432 NVTs (0% / ETA: 00:00)(nasl_plugin_add+0x14d)[0x4094ed]

???SIGSEGV occured。扫了一眼发现 redis 字样,似乎是 redis 出了问题,然后我 google 了一下,都说的是 redis sock 的问题,各种折腾 redis。如果也你这样想,恭喜你的一天没了。最后原因还是描述区有语法错误,直接把 OpenVAS 打烂了。删除有问题的自定义 nasl 即可恢复,有时候比较惨,删了也恢复不了,只能重装。当时功能区测试过没有任何问题,谁知道描述区会导致这么大问题呢?幸亏我先在我自己的虚拟机上试了一下,没直接去正式环境部署,要不 20 多台的 OpenVAS 重装。。。

你可能会觉得很奇怪,描述区没啥语法可言啊,怎么会有语法错误呢?那是我看了假教程,人家的是旧的语法,新的不兼容。。。

真爱生命,远离假教程

来呀快活呀


OpenVAS 踩坑指南
https://www.tr0y.wang/2018/12/31/openvas/
作者
Tr0y
发布于
2018年12月31日
更新于
2024年3月28日
许可协议