Metasploitable2 漏洞評估詳解
作者yuleitest
漏洞評估是滲透測試中核心內容,也是風險評估中不可或缺的環節。
上次講到Metasploitable2的一個端口掃描,這篇文章將詳細講解這個系統所存在的漏洞,網上有這個系統的基礎教程,但都是只講述了其中少部分就結束或者是copy別人的,所以我決定來逐個手動去識別這些漏洞,出一個相對教全的教程。不采用漏掃的方式,因為自動化工具的準確性還是需要人去識別。這次我們使用nmap和msf進行評估,在使用之前我們將kali以及程序更新到最新版本。
下面是本次已經評估的內容清單:
21 | 已測試 | 445 | 已測試 |
22 | 已測試 | 512 | - |
23 | 已測試 | 513 | - |
25 | - | 514 | - |
53 | - | 1099 | 已測試 |
80 | 已測試 | 1524 | 已測試 |
111 | - | 2049 | - |
139 | 已測試 | 2121 | - |
3306 | 已測試 | 3632 | 已測試 |
5432 | 已測試 | 5900 | 已測試 |
6000 | - | 6667 | 已測試 |
6697 | 已測試 | 8009 | - |
8180 | 已測試 | 8787 | 已測試 |
35307 | - | 48359 | 已測試 |
48446 | - | 52004 | - |
根據上一次的信息收集情況,我們先看下本次評估的內容:
首先我們看下21端口,一般這種我先看下是什麽搭建的,可能存在中間件漏洞,其次我們可以嘗試爆破。
Vsftpd 2.3.4版本存在一個後門,在msf上已經有這個後門的利用腳本。
22端口
首先這是個ssh端口,一般我先進行弱口令爆破。
我們使用這個ssh掃描模塊
這個沒用自帶的字典,我從windows導入一個現有的字典。幾秒之後即破解出用戶名密碼。
用戶名msfadmin 密碼msfadmin
23端口,這是個telnet遠程終端,同樣的像這種帶登錄的服務一般我先嘗試進行爆破。
下圖則為爆破成功,用戶名msfadmin 密碼msfadmin。
我們可以使用剛才的用戶名密碼登錄了
80端口,這個http裏面的我們采用測試web的方式進行,web漏洞涉及太多,後面我們再詳述補充。這裏我只演示其中一個。
根據nmap 腳本http枚舉顯示,存在一個phpinfo
我們打開看下
這個phpinfo不僅泄露的服務器信息,而且我們看到server API還是CGI方式運行的,這個方式在PHP一定版本下存在一個嚴重的漏洞- Cgi參數註入
我們在phpinfo.php後面加入?-s
發現成功把這個文件進行了還原。這個是2012年公開的漏洞。我們使用msf直接進行評估。發現已經getshell
139端口,445端口這兩個都是smb類型的,是共享服務,首選我們需要知道它的共享目錄有哪些,枚舉之後可看到一共發現有5個如下
其次我們對其進行賬戶枚舉,發現大量賬戶存在,這也是之前我們爆破的用戶名的依據之一。
接著我們使用另外一個掃碼腳本,這個腳本端口是445,在這裏填充剛才獲取到的共享目錄,發現已經成功訪問到tmp共享目錄
現在我們可以進入共享目錄隨意瀏覽了。
查看下rootfs下的內容
1099端口,存在一個反序化遠程命令執行漏洞,可看到已經getshell
1524 msfable的一個後門,直接連之即可
3306端口,mysql端口,既然允許遠程連接,那就爆破吧,直接上一個密碼字典
成功之後,用戶名root 密碼為空
直接登錄之
3632 distccd服務,遠程命令執行漏洞,直接exp
5432 端口,postgresql爆破,用戶名密碼如圖
5900端口,vnc服務,vnc服務有兩部分構成,一部分是服務,一個是客戶端,我們進行爆破
得到密碼為password後我們使用vnc-client進行連接即可
6667端口6697 IRC服務, IRC服務這個版本存在後門漏洞,直接exp後getshell
8180 http tpmcat默認端口,我們直接進行訪問
爆破之,得到賬戶密碼 tomcat;tomcat
部署war包getshell
8787端口drb服務,這裏有個遠程代碼執行漏洞
直接exp 拿到shell
48339 也是一個java-rmi服務,這個模塊利用了RMI的默認配置。註冊表和RMI激活服務,允許加載類來自任何遠程(HTTP)URL。所以也是遠程代碼執行漏洞,下面是exp後getshell
結束,到此為止我們已經對該系統做了相對全面的漏洞評估,但是有一點大家應該知道,我們所做的僅僅基於tcp協議上,在udp協議上仍還是技術盲區,而且僅停留在現有的工具和資源上挖掘上,可看到還有一些服務漏洞沒有被測試,所以可能還存在潛在的一些問題沒有被挖掘,畢竟攻防無止境,我們要做的還有很多。更多精彩文章,敬請期待。
Metasploitable2 漏洞評估詳解