metasploit我正在使用 Ubuntu 16.04的 HTTP 扫描器模块在客户网站上运行渗透测试。
20 次请求后,我测试的服务器会封锁我的 IP,使我无法继续进行暴力测试。由于我的时间很紧,所以这个问题相当烦人。
有没有办法指示我的系统伪造数据包的源 IP 地址(例如,每 5 个请求),以便我可以继续测试并绕过阻止程序? 如果是这样,我该怎么做?
答案1
不。你问的是几乎不可能(出于所有理智的意图和目的,假设资源正常)。
由于 TCP 协议(HTTP 和代理均metasploit使用该协议),更改源 IP 地址将使其不可能的以便服务器将 HTTP 状态消息发送回给您。
因此,即使你确实更改了源 IP 地址,对你来说也是完全无用的。服务器根本无法告诉你任何信息,而且除了重新发明 TCP 和/或 HTTP 之外,没有其他方法可以解决此特定问题。
如果您确实受雇于某人作为自由职业渗透测试员,您可以联系常设系统管理员将您的测试 IP 地址列入白名单。
但是,从网络安全人员的角度来看,让我们进一步深入挖掘一下,因为为什么不呢?
- 暴力破解是一种糟糕的安全测试方式
如果您通过猜测任何可能的密码来测试安全性,那么您只是在浪费大家的时间。渗透测试和漏洞检测就是在代码中查找允许您绕过身份验证或以其他方式干扰系统的问题。实际上没有人会暴力破解大多数系统。 - 如果你不能暴力破解它,那么它就是安全的!
参见第 1 点。事实上,你可以将“密码是否可被暴力破解”从检查清单中完全剔除。如果系统在 20 次尝试失败后阻止用户,那就很好了。那里相当安全。没有人能够在 20 次尝试中猜出密码(除非密码是特别糟糕)。 - 如果你能验证伪造的源代码,那你就找错地方了
再次,这是第 1 点的延伸。如果您只是在日志中查找成功登录(您可以这样做),则您有权访问系统。因此,您可以检查实际威胁,而不是既不会被实际利用又已被修补的威胁(参见第 2 点)。
我的建议是:不要尝试伪造源 IP。寻找其他存在安全风险的东西。例如,为了进行渗透测试而通过互联网向随机人员提供安全凭证。
我的意思是,当然,一个持续的攻击者可以使用 Tor/大量代理服务器,但这会浪费攻击者的资源(再次参见第 1 条),因为 HTTP 暴力破解慢的。您需要生成一个 POST 到 HTTP 服务器,等待它计算并构建一个网页,将该网页返回给您,然后处理该网页。这与攻击您本地的已知哈希值完全不同,在本地,您可以每秒测试数千个值。