4

Le scan de vulnrabilit
Sommaire

Le scan de vulnrabilit de base

Scan avec NeXpose

Lassistant "nouveau site"

Le nouvel assistant pour les scans manuels

Scan avec Nessus

Scanners de vulnrabilit spcialiss

Utilisation des rsultats de scan pour Autopwning

Un scanner de vulnrabilit est un programme automatis conu pour rechercher des faiblesses dans les ordinateurs, les systmes informatiques, les rseaux et
les applications. Le programme sonde un systme par lenvoi de donnes via un
rseau et analyse les rponses reues, dans le but dnumrer les vulnrabilits prsentes sur la cible en prenant pour rfrence sa base de donnes de vulnrabilits.
Les systmes dexploitation ont tendance ragir diversement lorsquils reoivent
des paquets rseaux particuliers en raison des diffrences dimplmentation de leurs
couches rseaux respectives. Ces rponses uniques servent dempreintes que le
scanner de vulnrabilit utilise pour dterminer la version du systme dexploitation
et mme son niveau de patch. Il peut galement utiliser un ensemble dinformations
dauthentification pour se connecter au systme distant et lnumration des logiciels et des services pour dterminer sils sont patchs. Avec les rsultats obtenus, le
scanner prsente un rapport dcrivant les vulnrabilits dtectes sur le systme et
utile pour les administrateurs rseau et les pentesters.
Les scanners de vulnrabilit crent beaucoup de trafic sur un rseau et ne sont
donc gnralement pas utiliss dans un test de pntration lorsque lun des objectifs
est de passer inaperu. Si toutefois vous excutez un test de pntration et que la
furtivit nest pas un problme, un scanner de vulnrabilit peut vous viter davoir
2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

44

Metasploit

sonder manuellement les systmes pour dterminer leurs niveaux de patch et leurs
vulnrabilits.
Que vous utilisiez un scanner automatique ou que vous le fassiez manuellement,
le scan est une des tapes les plus importantes dans le processus de tests de pntration. Ralis de manire complte, il fournira le meilleur rendement pour votre
client. Dans ce chapitre, nous allons parler dun certain nombre de scanners de vulnrabilit et de la faon dont ils peuvent tre intgrs dans Metasploit. Nous allons
mettre en vidence certains modules auxiliaires dans le framework Metasploit qui
permettent de localiser les vulnrabilits spcifiques des systmes distants.

Le scan de vulnrabilit de base

Regardons comment fonctionne un scan au niveau le plus lmentaire. Sur la
liste suivante, nous utilisons netcat pour rcuprer une bannire de la cible
192.168.1.203. Le banner grabbing consiste se connecter un service rseau
distant et rcuprer lidentification du service (bannire) qui est retourn. De
nombreux services rseau tels que le Web, le transfert de fichiers, les serveurs de
messagerie, retournent leur bannire soit immdiatement lors de la connexion soit
en rponse une commande spcifique. Ici, nous nous connectons un serveur web
sur le port TCP80 et mettons une requte GET HTTP qui nous permet de regarder les
informations den-tte que le serveur distant retourne.
root@bt:/opt/framework3/msf3# nc 192.168.1.203 80
GET HTTP 1/1
HTTP/1.1 400 Bad Request

Server: Microsoft-IIS/5.1

Linformation retourne en nous dit que le systme fonctionnant sur le port 80 est
un serveur web MicrosoftIIS5.1. Forts de cette information, nous pourrions utiliser
un scanner de vulnrabilit (voir Figure4.1), pour dterminer si cette version dIIS a
des vulnrabilits qui lui sont associes et si ce serveur particulier a t mis jour.
Bien sr, dans la pratique, ce nest pas aussi simple que cela. Les scans de vulnrabilit contiennent souvent de nombreux faux positifs (vulnrabilit signale l o il
ny en a pas) et de faux ngatifs (chec de reconnaissance dune vulnrabilit l o
il en existe une) en raison de subtiles diffrences de configuration dans les systmes
et les applications. De plus, les crateurs de scanners de vulnrabilit sont incits
signaler des positifs: plus un scanner de vulnrabilit en trouve, plus il plaira
un acheteur potentiel. Les scanners de vulnrabilit sont aussi bons que leur base
de donnes de vulnrabilits, et ils peuvent facilement tre dups par des bannires
trompeuses ou des configurations incohrentes.

2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

Chapitre 4

Le scan de vulnrabilit

45

Jetons un coup dil quelques-uns des scanners de vulnrabilit les plus utiles:
NeXpose, Nessus et certains scanners spcialiss.

Figure 4.1
Rsultats du scan de vulnrabilit contre le serveur web cible.

Scan avec NeXpose

est un scanner de vulnrabilit de la socit Rapid7 qui scanne les rseaux
pour identifier les appareils connects et qui effectue des contrles de scurit pour
identifier les faiblesses dans les systmes dexploitation et les applications. Il analyse
ensuite les donnes scannes et les traite pour linclusion dans diffrents rapports.
NeXpose

Rapid7 propose plusieurs versions de NeXpose, mais nous allons utiliser ldition communautaire parce quelle est gratuite. Si vous prvoyez dutiliser commercialement
NeXpose, consultez le site Rapid7 (http://www.rapid7.com/vulnerability-scanner.
jsp) pour obtenir des informations sur les diffrentes versions, leurs capacits et
leurs tarifs.
Notre cible pour ce scan sera un WindowsXP SP2 par dfaut tel que configur dans
lannexeA. Nous allons dabord effectuer un scan ouvert de notre cible et importer les rsultats du scan de vulnrabilit dans Metasploit. Nous terminerons cette
section en montrant comment excuter un scan de vulnrabilit avec NeXpose directement partir de msfconsole plutt que dutiliser linterface utilisateur graphique
base sur le Web, ce qui limine la ncessit dimporter un rapport danalyse.
Configuration
Aprs avoir install NeXpose Communauty, ouvrez un navigateur web et accdez
https://<votreadresseip>:3780. Acceptez le certificat NeXpose autosign et connectez-vous en utilisant les informations dauthentification que vous avez cres lors de
linstallation. Vous devriez maintenant voir une interface identique celle montre

2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

46

Metasploit

en Figure4.2 (vous trouverez des instructions dinstallation compltes pour NeXpose

sur le site de Rapid7).
Sur la page principale de NeXpose, vous remarquerez un certain nombre donglets
en haut de linterface:
Longlet Assets affiche des dtails sur les ordinateurs et dautres appareils
sur le rseau aprs quils ont t scanns.
Longlet Reports liste les rapports de scans de vulnrabilit aprs quils
ont t gnrs.
Longlet Vulnerabilities donne des dtails sur toutes les vulnrabilits
dcouvertes lors des scans.
Longlet Administration permet de configurer diffrentes options.

Figure 4.2
Lcran daccueil initial de NeXpose.

Les boutons dans le corps principal de la page permettent deffectuer des tches
courantes telles que la cration dun nouveau site ou la mise en place dun nouveau
scan de vulnrabilit.

Lassistant "nouveau site"

Avant deffectuer un scan de vulnrabilit avec NeXpose, vous devez configurer
un site un ensemble logique de dispositifs comme un sous-rseau spcifique, un
ensemble de serveurs, ou mme un seul poste de travail. Ces sites seront ensuite
analyss par NeXpose, et diffrents types de scans peuvent tre dfinis pour un site
particulier.
1. Pour crer un site, cliquez sur le bouton New Site sur la page daccueil
de NeXpose, saisissez un nom pour votre site et une brve description, puis
cliquez sur Next.
2. Dans ltape des priphriques (voir Figure4.3), vous pouvez dfinir finement vos cibles : ajouter une seule adresse IP, des plages dadresses, des
2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

Chapitre 4

Le scan de vulnrabilit

47

noms dhtes et plus encore. Vous pouvez galement dclarer des priphriques, tels que des imprimantes, exclure des scans (souvent, les
imprimantes napprcient pas dtre scannes. Nous avons vu des cas dans
lesquels un scan de vulnrabilit simple a provoqu la cration de plus dun
million de pages de noir pur places dans la file dattente pour tre imprimes!). Cliquez sur Next lorsque vous avez termin dajouter et dexclure
des priphriques.
3. Lors de ltape de configuration du scan, vous pouvez choisir parmi plusieurs diffrents modles de scan, tels que le test Discovery Scan ou le
Penetration Test. Slectionnez le moteur danalyse que vous souhaitez
utiliser ou planifiez un scan automatis. Pour ce premier exercice, gardez
les options par dfaut et cliquez sur Next pour continuer.
4. Ajoutez des informations dauthentification (credentials) sur le site scanner, si vous en avez. Ces informations pourront aider obtenir des rsultats
plus prcis et complets par lnumration en profondeur des politiques systme et des logiciels installs sur la cible.
5. Sur longlet Informations dauthentification, cliquez sur le bouton New
Login, tapez un nom dutilisateur et un mot de passe pour ladresse IP
scanner, puis cliquez sur Test Login pour vrifier vos informations dauthentification, puis enregistrez-les.

Figure 4.3
Ajout dun priphrique au nouveau site Nexpose.

6. Enfin, cliquez sur Save pour terminer lassistant du nouveau site et revenir
longlet Home, qui devrait dsormais lister votre site nouvellement ajout
(voir Figure4.4).

2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

48

Metasploit

Figure 4.4
Longlet Home montre le site rcemment configur.

Le nouvel assistant pour les scans manuels

Avec votre nouveau site configur, vous tes maintenant prt configurer votre
premier scan:
1. Cliquez sur le bouton New Manual Scan (voir Figure4.4). Vous devriez
voir la bote de dialogue Start New Scan (voir Figure 4.5), qui vous
demande les cibles que vous souhaitez scanner ou exclure. Dans cet
exemple, nous scannons notre systme WindowsXP par dfaut.
2. Vrifiez votre adresse IP cible deux fois afin dtre sr que vous ntes
pas sur le point de scanner par inadvertance le mauvais priphrique ou le
mauvais rseau, et cliquez sur le bouton Start Now pour lancer le scan.
Figure 4.5
La fentre NeXpose de
configuration du scan.

2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

Chapitre 4

Le scan de vulnrabilit

49

3. NeXpose devrait actualiser la page dynamiquement lors de la progression

du scan. Attendez jusqu ce que ltat de Scan Progress et de Discovered Assets affiche Completed (voir Figure 4.6). Sous la section
Scan Progress, vous pouvez voir que le seul appareil scann affiche
268vulnrabilits dtectes. Sous Discovered Assets sont fournies plus
dinformations sur la cible, comme le nom de lappareil et son systme
dexploitation. Maintenant, cliquez sur longlet Reports.

Figure 4.6
Le scan et le rapport de NeXpose termin.

Lassistant ddition de nouveau rapport

Si cest votre premire utilisation de NeXpose et que vous ayez termin un seul scan,
longlet Reports doit montrer que vous navez gnr aucun rapport.
1. Cliquez sur New Report (voir Figure4.7) pour lancer lassistant de cration de nouveau rapport.

Figure 4.7
Longlet Reports de NeXpose.

2. Entrez un nom qui vous convient puis, dans le champ Report format, slectionnez NeXpose Simple XML Export (voir Figure4.8), de sorte que vous
serez en mesure dimporter les rsultats danalyse dans Metasploit. Vous
pouvez choisir parmi diffrents modles de rapports et configurer le fuseau
horaire si vous faites votre pentest sur la route. Cliquez sur Next lorsque
vous tes prt continuer.
2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni

50

Metasploit

Figure 4.8
Slection du nom et du format du rapport.

3. Dans la fentre suivante, ajoutez les priphriques que vous souhaitez

inclure dans le rapport en cliquant sur Select Sites pour ajouter la plage
de votre cible scanne (voir Figure4.9). Puis cliquez sur Save.

Figure 4.9
Slection du site pour une inclusion dans le rapport.

4. Dans la fentre Select Devices, slectionnez les cibles inclure dans

votre rapport puis cliquez sur Save.
5. De retour dans lassistant de configuration de rapports, cliquez sur Save pour
accepter les valeurs restantes par dfaut pour le rapport. Longlet Reports
devrait maintenant lister le rapport nouvellement cr (voir Figure 4.10)
[assurez-vous denregistrer le fichier afin que vous puissiez lutiliser avec le
framework].

Figure 4.10
Longlet Reports liste vos rapports.

2013 Pearson France Hacking, scurit et tests d'intrusion avec Metasploit D. Kennedy, J. O'Gorman, D. Kearns, M. Aharoni