扫描器是一类自动检测本地或远程主机安全弱点的程序，它能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。工作原理是扫描器向目标计算机发送数据包，然后根据对方反馈的信息来判断对方的操作系统类型、开发端口、提供的服务等敏感信息。本章要介绍的这些扫描器绝大多数都是界面友好，使用起来很“傻瓜化”的，所以不做详细介绍。

　　一、系统漏洞扫描器

　　1、Retina

　　Retina是eEye公司(www.eeye.com)的产品，强大的网络漏洞检测技术可以有效的检测并修复各种安全隐患和漏洞，并且生成详细的安全检测报告，兼容各种主流操作系统、防火墙、路由器等各种网络设备。曾在国外的安全评估软件的评测中名列第一。

　　Retina的主界面共分为三个部分，上部是菜单和工具栏，下部的左边是动态导航菜单，右边是与左边菜单相对应的内容显示窗口（如图1）。

图1 Retina的主界面

　　如要对单机进行扫描，只要在Address栏输入该计算机的IP地址，然后单击Address栏右边的start按钮即可开始扫描。如要对某个网段的计算机进行扫描，可以按Ctrl+R，在新出现的窗口装设置要扫描的IP地址范围。如要修改Retina的扫描内容和策略，需要到菜单栏的Tools中的Policies项进行设置(如图2)。

图2 Retina的扫描内容和策略设置窗口

　　2、Superscan

　　Superscan是foundstone实验室的一个端口扫描工具，速度极快而且资源占用很小，图3是它的主程序界面。

图3 Superscan的界面

　　SuperScan具有以下功能：

　　（1）通过Ping来检验IP是否在线；

　　（2）IP和域名相互转换；

　　（3）可以尝试通过TCP连接到电脑上，检测目标运行的服务；

　　（4）检验一定范围目标计算机的是否在线和端口情况；

　　（5）自定义要检验的端口，并可以保存为端口列表文件。

　　3、X-Scan

　　X-Scan是安全焦点的力作，扫描内容包括：远程操作系统类型及版本，标准端口状态及端口BANNER信息，CGI漏洞，IIS漏洞，RPC漏洞，SQL-SERVER、FTP、NT-SERVER等弱口令用户，NETBIOS信息等等。扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。对于一些已知漏洞，给出了相应的漏洞描述、利用程序及解决方案。X-Scan不光是黑客手中的利器，也是网络管理员的得力助手。X-Scan程序界面如图2.4所示，上方功能按钮包括：“扫描参数”、“开始扫描”、“暂停扫描”、“终止扫描”、“检测报告”、“使用说明”、“在线升级”、“退出”。

图4 X-Scan程序界面

　　在进行扫描前需要设置一下扫描参数，按Ctrl+E即可调出扫描参数设置窗口，如图5所示。

图5 X-Scan的扫描参数设置窗口

　　“检测范围”中，可以设置要扫描的IP地址，可以是一台服务器，也可以是某个网段的服务器，格式为：127.0.0.1-127.0.0.224。

　　在“全局设置”中包含了所有全局性扫描选项，包括“扫描模块”，“并发扫描”，“扫描报告”，“其他设置”。

　　1. “扫描模块”主要是设置要扫描对方的哪些漏洞和信息。

　　2. “并发扫描”中可以设置最大并发主机数量，最大并发线程数量和各插件最大并发线程数量。

　　3. “扫描报告”则是设置扫描后生成的报告的文件名和格式，以及是否自动生成并显示报告。

　　4. 在“其他设置”中，如果我们设置了“跳过没有响应的主机”，对方禁止了PING或防火墙设置使对方没有响应的话，X-Scan会自动跳过，自动检测下一台主机。如果用“无条件扫描”的话，X-Scan会对目标进行详细检测，这样结果会比较详细也会更加准确，但扫描时间会延长。

　　“插件设置”中，包括“端口相关设置”，“SNMP相关设置”，“NETBIOS相关设置”，“漏洞检测脚本设置”，“CGI相关设置”，“字典文件设置”。

　　1. “端口相关设置”中我们可以自定义一些需要检测的端口。检测方式“TCP”、“SYN”两种，TCP方式容易被对方发现，准确性要高一些，SYN则相反。

　　2. “SNMP相关设置”主要是针对SNMP信息的一些检测设置。

　　3. “NETBIOS相关设置”是针对WINDOWS系统的NETBIOS信息的检测设置，包括的项目有很多种，我们根据需求选择实用的就可以了。

　　4. “漏洞检测脚本设置”可以设置使用哪些漏洞检测脚本，是否使用破坏性脚本。

　　5. “CGI相关设置”扫描CGI漏洞的相关设置。

　　6. “字典文件设置” 是X-Scan自带的一些用于破解远程账号所用的字典文件，这些字典都是简单或系统默认的账号等。我们可以选择自己的字典或手工对默认字典进行修改。默认字典存放在“DAT”文件夹中。字典文件越大，探测时间越长。

　　“扫描参数”设置好后单击“开始扫描”按钮 (绿色三角)X-Scan就开始扫描了。

　　4、N-Stealth

　　N-Stealth是一个全面的Web服务器审计工具，它可以扫描超过30000个弱点，是系统管理员、安全顾问和其他IT职业的理想工具，据说是世界上最顶尖的Web服务器安全扫描工具，图6是N-Stealth的主程序界面。

图6 N-Stealth的主程序界面

　　N-Stealth的特点:

　　·能在win98/ME/2000/XP/2003系统下正常地运行

　　·能测试扫描目前几乎所有WEB类型的服务器，包括某些网络设备的WEB控制平台

　　·支持大多数的WEB服务应用程序(如: CGI,ColdFusion,ASP,LotusDomino,FrontPage,PHP等)

　　·能进行SANS/FBI的头10&20漏洞扫描

　　·全面支持HTTP与HTTPS(SSL)

　　·全面支持使用代理服务器

　　·容易解读的图形报告生成模块

　　·支持虚拟主机

　　·准确的错误筛选机制

　　·带有缓冲区溢出测试引擎

　　·漏洞数据库能进行智能升级(DB update，注:此功能仅限于正式版才能使用)。

　　二、SQL注入漏洞扫描器

　　SQL注入漏洞是指Web程序员在开发Web程序时，代码编写不严谨，用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入，这也是最近比较流行的一种Web攻击方式。

　　1、Wis+Wed

　　小榕开发的两款在cmd命令窗口中运行的SQL注入点扫描工具，扫描速度很快。Wis (Web Injection Scanner)，可以自动对整个网站进行SQL Injection 脆弱性扫描，并且能够扫描后台登陆界面。命令格式如下：

　　wis http://www.someaspsite.com/index.asp 扫描整个www. someaspsite.com网站，找出存在SQL Injection的页面。

　　wis http://www.someaspsite.com/index.asp/a 扫描网站后台管理页面入口，如图7所示。

图7 wis的命令格式

　　Wed (Web Entry Detector)，针对存在SQL Injection的网站对管理帐号进行扫描的程序。命令格式如下：

　　wed http://www.someaspsite.com/shownews.asp?id=1 对存在SQL Injection漏洞的网站进行后台管理帐号扫描，这里假设http://www.someaspsite.com/shownews.asp?id=1是SQL注入点，如图8示。

图8 wed的命令格式

　　2、NBSI

　　小竹的作品，功能很多，比较常用的有“网站扫描”，“注入分析”，“扫描及工具”这三个功能。“网站扫描”是扫描网站的SQL注入点，并会显示出可能存在注入漏洞的地址，有极高，中等，极低几个等级提示，如图9所示，为了避免引起不必要的麻烦，我将一些敏感信息遮住了，也请大家理解。

图9 网站扫描后得到的信息

　　通过“网站扫描”得到SQL注入点后，单击“注入分析”按钮，进入注入分析界面，单击“检测”按钮，就会得到该网站的数据库信息，以及当前用户名和当前的数据库名，如图10所示。

图10 注入分析得到信息

　　然后单击“猜解表名”按钮，得到当前数据库中的所有表名，选中一个表，单击“猜解列名”，得到表中的所有列，选中某个或某些列，再单击“猜解记录”，就会得到选中的列中保存的信息，如图11所示。

图11 猜解得到的表，列，记录信息

　　得到管理员的用户名和密码后，就是用对后台管理地址扫描了，如图12所示。

图12 扫描网站得到的可能存在的管理后台路径

　　得到管理后台路径后，用前面得到的用户名和密码进入管理后台，如果管理后台可以上传文件，那就直接上传一个asp木马，得到对方的WebShell，然后尝试得到对方的系统管理权限。

　　3、啊D SQL注入工具

　　啊D SQL注入工具主要功能和使用方法与NBSI类似，不过该软件有个特色就是支持汉字破解，而且速度很快，该软件界面如图13所示。

图13 啊D SQL注入工具界面

　　4、 SQL漏洞注入工具的工作原理

　　通过上面介绍的这些SQL注入工具，大家不难看出它们的功能都差不多，原理都是通过不断的提交构造好的特殊的SQL语句和管理后台地址，根据对方返回的信息来判断猜解的是否正确。如果大家希望学习全手工的注射，可以使用抓包的工具捕获工具发送的数据包，比如使用在第一章介绍的Achilles，图14就是用Achilles捕获的NBSI发出的数据。

图14 用Achilles捕获的NBSI发出的数据

　　三、其他扫描器

　　1 ISS(Internet Security Scanner)

　　ISS公司开发和维护的商业漏洞扫描程序，它的可移植性和灵活性很强，众多的UNIX的平台上都可以运行ISS。

　　2、流光

　　在国内可以与X-Scan相提并论的扫描器，它除了能够像X-Scan那样扫描众多漏洞、弱口令外，还集成了常用的入侵工具，如字典工具、NT/IIS工具等，还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。

　　3、WINNTAutoAttack

　　也叫Windows NT/2000 自动攻击探测机，常被用扫描肉鸡，该软件可以根据目标存在的漏洞自动在对方的计算机上添加用户。

　　四、总结

　　黑客软件层出不穷，只会使用某些工具是不行的，这样永远是被别人牵着鼻子走。要知其然，还要知其所以然，这就要求我们多思考，多实践，能够做到举一反三。