Metasploitable2 漏洞评估详解

Posted yuleitest

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Metasploitable2 漏洞评估详解相关的知识,希望对你有一定的参考价值。

作者yuleitest

 

技术分享图片

 

漏洞评估是渗透测试中核心内容,也是风险评估中不可或缺的环节。

上次讲到Metasploitable2的一个端口扫描,这篇文章将详细讲解这个系统所存在的漏洞,网上有这个系统的基础教程,但都是只讲述了其中少部分就结束或者是copy别人的,所以我决定来逐个手动去识别这些漏洞,出一个相对教全的教程。不采用漏扫的方式,因为自动化工具的准确性还是需要人去识别。这次我们使用nmap和msf进行评估,在使用之前我们将kali以及程序更新到最新版本。

下面是本次已经评估的内容清单:

21

已测试

445

已测试

22

已测试

512

-

23

已测试

513

-

25

-

514

-

53

-

1099

已测试

80

已测试

1524

已测试

111

-

2049

-

139

已测试

2121

-

3306

已测试

3632

已测试

5432

已测试

5900

已测试

6000

-

6667

已测试

6697

已测试

8009

-

8180

已测试

8787

已测试

35307

-

48359

已测试

48446

-

52004

-

根据上一次的信息收集情况,我们先看下本次评估的内容:

 

首先我们看下21端口,一般这种我先看下是什么搭建的,可能存在中间件漏洞,其次我们可以尝试爆破。

Vsftpd 2.3.4版本存在一个后门,在msf上已经有这个后门的利用脚本。

技术分享图片

22端口

首先这是个ssh端口,一般我先进行弱口令爆破。

我们使用这个ssh扫描模块

技术分享图片

这个没用自带的字典,我从windows导入一个现有的字典。几秒之后即破解出用户名密码。

用户名msfadmin 密码msfadmin

技术分享图片

23端口,这是个telnet远程终端,同样的像这种带登录的服务一般我先尝试进行爆破。

下图则为爆破成功,用户名msfadmin 密码msfadmin。

技术分享图片

我们可以使用刚才的用户名密码登录了

技术分享图片

80端口,这个http里面的我们采用测试web的方式进行,web漏洞涉及太多,后面我们再详述补充。这里我只演示其中一个。

根据nmap 脚本http枚举显示,存在一个phpinfo

技术分享图片

我们打开看下

技术分享图片

这个phpinfo不仅泄露的服务器信息,而且我们看到server API还是CGI方式运行的,这个方式在PHP一定版本下存在一个严重的漏洞- Cgi参数注入

我们在phpinfo.php后面加入?-s

技术分享图片

发现成功把这个文件进行了还原。这个是2012年公开的漏洞。我们使用msf直接进行评估。发现已经getshell

技术分享图片

 

139端口,445端口这两个都是smb类型的,是共享服务,首选我们需要知道它的共享目录有哪些,枚举之后可看到一共发现有5个如下

技术分享图片

其次我们对其进行账户枚举,发现大量账户存在,这也是之前我们爆破的用户名的依据之一。

技术分享图片

接着我们使用另外一个扫码脚本,这个脚本端口是445,在这里填充刚才获取到的共享目录,发现已经成功访问到tmp共享目录

技术分享图片

技术分享图片

现在我们可以进入共享目录随意浏览了。

技术分享图片

查看下rootfs下的内容

技术分享图片

 

1099端口,存在一个反序化远程命令执行漏洞,可看到已经getshell

技术分享图片

1524 msfable的一个后门,直接连之即可

技术分享图片

3306端口,mysql端口,既然允许远程连接,那就爆破吧,直接上一个密码字典

成功之后,用户名root 密码为空

技术分享图片

直接登录之

技术分享图片

 

3632 distccd服务,远程命令执行漏洞,直接exp

技术分享图片

 

5432 端口,postgresql爆破,用户名密码如图

技术分享图片

5900端口,vnc服务,vnc服务有两部分构成,一部分是服务,一个是客户端,我们进行爆破

技术分享图片

得到密码为password后我们使用vnc-client进行连接即可

技术分享图片

6667端口6697 IRC服务, IRC服务这个版本存在后门漏洞,直接exp后getshell

技术分享图片

8180 http tpmcat默认端口,我们直接进行访问

技术分享图片

爆破之,得到账户密码 tomcat;tomcat

技术分享图片

部署war包getshell

技术分享图片

8787端口drb服务,这里有个远程代码执行漏洞

直接exp 拿到shell

技术分享图片

48339 也是一个java-rmi服务,这个模块利用了RMI的默认配置。注册表和RMI激活服务,允许加载类来自任何远程(HTTP)URL。所以也是远程代码执行漏洞,下面是exp后getshell

技术分享图片

 

    结束,到此为止我们已经对该系统做了相对全面的漏洞评估,但是有一点大家应该知道,我们所做的仅仅基于tcp协议上,在udp协议上仍还是技术盲区,而且仅停留在现有的工具和资源上挖掘上,可看到还有一些服务漏洞没有被测试,所以可能还存在潜在的一些问题没有被挖掘,毕竟攻防无止境,我们要做的还有很多。更多精彩文章,敬请期待。

以上是关于Metasploitable2 漏洞评估详解的主要内容,如果未能解决你的问题,请参考以下文章

关于一个JIT编译器漏洞的详解

Samba远程Shell命令注入执行漏洞

Python网络编程11-实现自动化漏洞探测

在VMware上安装Metasploitable2

操作系统和应用程序漏洞评估

推荐17款漏洞扫描工具漏洞评估软件