作者yuleitest

漏洞評估是滲透測試中核心內容，也是風險評估中不可或缺的環節。

上次講到Metasploitable2的一個端口掃描，這篇文章將詳細講解這個系統所存在的漏洞，網上有這個系統的基礎教程，但都是只講述了其中少部分就結束或者是copy別人的，所以我決定來逐個手動去識別這些漏洞，出一個相對教全的教程。不采用漏掃的方式，因為自動化工具的準確性還是需要人去識別。這次我們使用nmap和msf進行評估，在使用之前我們將kali以及程序更新到最新版本。

下面是本次已經評估的內容清單：

根據上一次的信息收集情況，我們先看下本次評估的內容：

首先我們看下21端口，一般這種我先看下是什麽搭建的，可能存在中間件漏洞，其次我們可以嘗試爆破。

Vsftpd 2.3.4版本存在一個後門，在msf上已經有這個後門的利用腳本。

22端口

首先這是個ssh端口，一般我先進行弱口令爆破。

我們使用這個ssh掃描模塊

這個沒用自帶的字典，我從windows導入一個現有的字典。幾秒之後即破解出用戶名密碼。

用戶名msfadmin 密碼msfadmin

23端口，這是個telnet遠程終端，同樣的像這種帶登錄的服務一般我先嘗試進行爆破。

下圖則為爆破成功，用戶名msfadmin 密碼msfadmin。

我們可以使用剛才的用戶名密碼登錄了

80端口，這個http裏面的我們采用測試web的方式進行，web漏洞涉及太多，後面我們再詳述補充。這裏我只演示其中一個。

根據nmap 腳本http枚舉顯示，存在一個phpinfo

我們打開看下

這個phpinfo不僅泄露的服務器信息，而且我們看到server API還是CGI方式運行的，這個方式在PHP一定版本下存在一個嚴重的漏洞- Cgi參數註入

我們在phpinfo.php後面加入?-s

發現成功把這個文件進行了還原。這個是2012年公開的漏洞。我們使用msf直接進行評估。發現已經getshell

139端口，445端口這兩個都是smb類型的，是共享服務，首選我們需要知道它的共享目錄有哪些，枚舉之後可看到一共發現有5個如下

其次我們對其進行賬戶枚舉，發現大量賬戶存在，這也是之前我們爆破的用戶名的依據之一。

接著我們使用另外一個掃碼腳本，這個腳本端口是445，在這裏填充剛才獲取到的共享目錄，發現已經成功訪問到tmp共享目錄

現在我們可以進入共享目錄隨意瀏覽了。

查看下rootfs下的內容

1099端口，存在一個反序化遠程命令執行漏洞，可看到已經getshell

1524 msfable的一個後門，直接連之即可

3306端口，mysql端口，既然允許遠程連接，那就爆破吧，直接上一個密碼字典

成功之後，用戶名root 密碼為空

直接登錄之

3632 distccd服務，遠程命令執行漏洞，直接exp

5432 端口，postgresql爆破，用戶名密碼如圖

5900端口，vnc服務，vnc服務有兩部分構成，一部分是服務，一個是客戶端，我們進行爆破

得到密碼為password後我們使用vnc-client進行連接即可

6667端口6697 IRC服務， IRC服務這個版本存在後門漏洞，直接exp後getshell

8180 http tpmcat默認端口，我們直接進行訪問

爆破之，得到賬戶密碼 tomcat;tomcat

部署war包getshell

8787端口drb服務，這裏有個遠程代碼執行漏洞

直接exp 拿到shell

48339 也是一個java-rmi服務，這個模塊利用了RMI的默認配置。註冊表和RMI激活服務，允許加載類來自任何遠程（HTTP）URL。所以也是遠程代碼執行漏洞，下面是exp後getshell

結束，到此為止我們已經對該系統做了相對全面的漏洞評估，但是有一點大家應該知道，我們所做的僅僅基於tcp協議上，在udp協議上仍還是技術盲區，而且僅停留在現有的工具和資源上挖掘上，可看到還有一些服務漏洞沒有被測試，所以可能還存在潛在的一些問題沒有被挖掘，畢竟攻防無止境，我們要做的還有很多。更多精彩文章，敬請期待。

Metasploitable2 漏洞評估詳解