VLAD the Scanner とは?
VLAD は Bindview, Inc. の RAZOR チームによって開発されたスキャナー。脆弱性をチェックするのに使用することができる。
よくあるセキュリティの問題の SANS トップ 10 リスト 項目をチェックすることができる (SNMP 問題、ファイル共有の問題、など)。
VLAD the Scanner のインストール
RPM パッケージがないのでソースからインストールする。
ワークディレクトリに移動する。
ソースをダウンロードして展開する。
# tar zxvf vlad-0.9.2.tar.gz
必要な perl モジュールをインストールする。
cpan> install LWP::UserAgent
cpan> install HTTP::Request
cpan> install HTTP::Response
cpan> install Net::DNS
cpan> install IO::Socket
cpan> install IO::Pty
cpan> install IO::Stty
cpan> install Socket
cpan> install Net::SNMP
cpan> install Net::Telnet
cpan> install Expect
cpan> install ile::Spec
cpan> install Time::HiRes
cpan> exit
コンパイルする。
# make
構成について
VLAD は、SANS に関連した危険の可能性をチェックする 6 つのモジュールから成る。
これは、10 のリストで首位を占める。ラッパーモジュール vlad.pl は、適切なフラグおよびパラメーターを備えた 6 つのモジュールの各々を呼ぶ。
以下、実行可能なファイルのリスト:
実行可能ファイル SANS アイテム 目的 vlad.pl All 他のモジュールを呼び出すラッパースクリプト。
Wrapper script that calls all the other modules.dnsver.pl #1 BIND のバージョン番号をチェックして nxt, qinv, named の脆弱性を検出する。
Checks for BIND weakness in nxt, qinv, named by checking the version number.cgi.pl #2,#4 RDS を含む既知の脆弱性がないか、CGI と関連するファイルを検査する。
Looks for CGI and related files with known security issues, including RDS.rpcscan #3,#6 rpc.ttdbserverd (ToolTalk), rpc.cmsd (Calendar Manager), rpc.statd, sadmind, mountd などの存在性を確認する。
Checks for the presence of rpc.ttdbserverd (ToolTalk), rpc.cmsd (Calendar Manager), rpc.statd, sadmind, mountd, and others.netfs.pl #7 ファイル共有サービスを探す。
Looks for services that export file sharing.pwscan.pl #8,#10 Tests for weak passwords and easily guessed SNMP community strings. bannereater #5,#9 Checks for vulnerable versions of software based upon the contents of banners. pingwin n/a Checks the target to see if it’s Windows or not. Called by bannereater.
使い方
検証中。。。
やってみる
検証中。。。
127.0.0.1 VLAD the Scanner v0.9.2
RAZOR Security Team -- (c) Bindview Corporation
http://razor.bindview.com/tools/vlad/
SANS Top Ten security scanner
See http://www.sans.org/topten.htm for top ten details
See also Docs/index.html for more info
#1 - BIND weaknesses in nxt, qinv, in.named
Unable to parse version banner. This could be anon-BIND DNS server, a very old
version of BIND, or a customized BIND
No problems related to #1
#7 - Global file sharing and inappropriate information sharing
Found possible SMB server on port 139
Found possible SMB server on port 445
Possible NFS on port 2049 (unless udp is filtered/firewalled)
Possible vulnerabilities found. See Docs/shares.html for details.
#5 and #9 - Vulnerable versions of software are detected based on the banner
#2 and #4 - Vulnerable CGI, app extensions, RDS hole
PHP v4.0.2 or less (remote command execution)
(See Desc/php-old for details)
PHP v4.0.2 or less (remote command execution)
(See Desc/php-old for details)
PHP v4.0.2 or less (remote command execution)
(See Desc/php-old for details)
PHP v4.0.2 or less (remote command execution)
(See Desc/php-old for details)
Old IIS Version 1.0 (multiple bugs)
(See Desc/iis-old for details)
Old IIS Version 2.0 (multiple bugs)
(See Desc/iis-old for details)
Old IIS Version 3.0 (multiple bugs)
(See Desc/iis-old for details)
Thttpd Slashes Bug v2.01 (remote file viewing)
(See Desc/thttpd-slashes for details)
Thttpd Slashes Bug v2.02 (remote file viewing)
(See Desc/thttpd-slashes for details)
Thttpd Slashes Bug v2.03 (remote file viewing)
(See Desc/thttpd-slashes for details)
ZBServer 1.5 (remote command execution)
(See Desc/zbs-get for details)
Possible web-related vulnerabilities found. Refer to the documents
listed above, as well as Docs/CGI.html.
#8 and #10 - Default SNMP communities, default/simple account/passwords
No problems related to #8 and #10
メモ
っていうか古い。。。SANS っていう時点で古い。。。なおかつ Top10 (Version 1.33 June 25, 2001 (old))
いつからメンテナンスしてないんだろ、これ。
HISTORY みると Version 0.9.2 – 18Jul2001 ってなってる(汗
ま、古いサーバーのチェックには使えるということで。。。
参考文書
