1. 程式人生 > >Metasploitable2 漏洞評估詳解

Metasploitable2 漏洞評估詳解

nbsp rootfs 期待 admin 這也 log 獲取 gets 做了

作者yuleitest

技術分享圖片

漏洞評估是滲透測試中核心內容,也是風險評估中不可或缺的環節。

上次講到Metasploitable2的一個端口掃描,這篇文章將詳細講解這個系統所存在的漏洞,網上有這個系統的基礎教程,但都是只講述了其中少部分就結束或者是copy別人的,所以我決定來逐個手動去識別這些漏洞,出一個相對教全的教程。不采用漏掃的方式,因為自動化工具的準確性還是需要人去識別。這次我們使用nmap和msf進行評估,在使用之前我們將kali以及程序更新到最新版本。

下面是本次已經評估的內容清單:

21

已測試

445

已測試

22

已測試

512

-

23

已測試

513

-

25

-

514

-

53

-

1099

已測試

80

已測試

1524

已測試

111

-

2049

-

139

已測試

2121

-

3306

已測試

3632

已測試

5432

已測試

5900

已測試

6000

-

6667

已測試

6697

已測試

8009

-

8180

已測試

8787

已測試

35307

-

48359

已測試

48446

-

52004

-

根據上一次的信息收集情況,我們先看下本次評估的內容:

首先我們看下21端口,一般這種我先看下是什麽搭建的,可能存在中間件漏洞,其次我們可以嘗試爆破。

Vsftpd 2.3.4版本存在一個後門,在msf上已經有這個後門的利用腳本。

技術分享圖片

22端口

首先這是個ssh端口,一般我先進行弱口令爆破。

我們使用這個ssh掃描模塊

技術分享圖片

這個沒用自帶的字典,我從windows導入一個現有的字典。幾秒之後即破解出用戶名密碼。

用戶名msfadmin 密碼msfadmin

技術分享圖片

23端口,這是個telnet遠程終端,同樣的像這種帶登錄的服務一般我先嘗試進行爆破。

下圖則為爆破成功,用戶名msfadmin 密碼msfadmin。

技術分享圖片

我們可以使用剛才的用戶名密碼登錄了

技術分享圖片

80端口,這個http裏面的我們采用測試web的方式進行,web漏洞涉及太多,後面我們再詳述補充。這裏我只演示其中一個。

根據nmap 腳本http枚舉顯示,存在一個phpinfo

技術分享圖片

我們打開看下

技術分享圖片

這個phpinfo不僅泄露的服務器信息,而且我們看到server API還是CGI方式運行的,這個方式在PHP一定版本下存在一個嚴重的漏洞- Cgi參數註入

我們在phpinfo.php後面加入?-s

技術分享圖片

發現成功把這個文件進行了還原。這個是2012年公開的漏洞。我們使用msf直接進行評估。發現已經getshell

技術分享圖片

139端口,445端口這兩個都是smb類型的,是共享服務,首選我們需要知道它的共享目錄有哪些,枚舉之後可看到一共發現有5個如下

技術分享圖片

其次我們對其進行賬戶枚舉,發現大量賬戶存在,這也是之前我們爆破的用戶名的依據之一。

技術分享圖片

接著我們使用另外一個掃碼腳本,這個腳本端口是445,在這裏填充剛才獲取到的共享目錄,發現已經成功訪問到tmp共享目錄

技術分享圖片

技術分享圖片

現在我們可以進入共享目錄隨意瀏覽了。

技術分享圖片

查看下rootfs下的內容

技術分享圖片

1099端口,存在一個反序化遠程命令執行漏洞,可看到已經getshell

技術分享圖片

1524 msfable的一個後門,直接連之即可

技術分享圖片

3306端口,mysql端口,既然允許遠程連接,那就爆破吧,直接上一個密碼字典

成功之後,用戶名root 密碼為空

技術分享圖片

直接登錄之

技術分享圖片

3632 distccd服務,遠程命令執行漏洞,直接exp

技術分享圖片

5432 端口,postgresql爆破,用戶名密碼如圖

技術分享圖片

5900端口,vnc服務,vnc服務有兩部分構成,一部分是服務,一個是客戶端,我們進行爆破

技術分享圖片

得到密碼為password後我們使用vnc-client進行連接即可

技術分享圖片

6667端口6697 IRC服務, IRC服務這個版本存在後門漏洞,直接exp後getshell

技術分享圖片

8180 http tpmcat默認端口,我們直接進行訪問

技術分享圖片

爆破之,得到賬戶密碼 tomcat;tomcat

技術分享圖片

部署war包getshell

技術分享圖片

8787端口drb服務,這裏有個遠程代碼執行漏洞

直接exp 拿到shell

技術分享圖片

48339 也是一個java-rmi服務,這個模塊利用了RMI的默認配置。註冊表和RMI激活服務,允許加載類來自任何遠程(HTTP)URL。所以也是遠程代碼執行漏洞,下面是exp後getshell

技術分享圖片

結束,到此為止我們已經對該系統做了相對全面的漏洞評估,但是有一點大家應該知道,我們所做的僅僅基於tcp協議上,在udp協議上仍還是技術盲區,而且僅停留在現有的工具和資源上挖掘上,可看到還有一些服務漏洞沒有被測試,所以可能還存在潛在的一些問題沒有被挖掘,畢竟攻防無止境,我們要做的還有很多。更多精彩文章,敬請期待。

Metasploitable2 漏洞評估詳解