20232423 2025-2026-1 《网络与系统攻防技术》实验六实验报告

20232423 2025-2026-1 《网络与系统攻防技术》实验六实验报告

一、实验内容

（1）发现Metasploitable2靶机，并对其进行端口扫描、漏洞扫描；
（2）利用Vsftpd源码包后门漏洞；
（3）利用SambaMS-RPC Shell命令注入漏洞；
（4）利用Java RMI SERVER命令执行漏洞；
（5）利用PHP CGI参数执行注入漏洞。

---

二、实验目的

  通过端口扫描发现靶机漏洞，掌握metasploit的用法，实现多种漏洞的渗透利用

---

三、实验环境

  虚拟机VMware中Kali的linux环境和Metasploitable 2靶机
Metasploitable 2靶机在官网上（https://docs.rapid7.com/metasploit/metasploitable-2-exploitability-guide/） 下载好之后，在VMware中点击文件→打开，即可在VMware中打开Metasploitable 2靶机

---

四、实验过程

  首先确定靶机的IP，如下图，为192.168.209.150

4.1前期渗透

4.1.1主机发现

  在kali虚拟机中打开msfconsole，输入以下命令执行 ARP 扫描，以发现局域网内活跃的主机，结果如下图

search arp_sweep  //搜索与 ARP 扫描相关的模块
use 0            //选择列表中的第一个模块
set RHOSTS 192.168.209.0/24   //设置目标主机范围
run

  从图中可以看到，Metasploitable 2靶机是活跃的。在我们已知靶机的ip下，通过命令set RHOSTS 192.168.209.150可以更直观地看到Metasploitable 2靶机是活跃的，如下图，还能看出这是一台VMware虚机

4.1.2端口扫描

  使用nmap进行端口扫描，通过命令nmap -sS -sV 192.168.209.150进行SYN半开放扫描并进行版本探测。扫描结果如下图，

  从上图中可以看到，靶机上开放了大量的端口，并且存在有很多漏洞，比如，可以看到1524/tcp - bindshell，这是一个后门服务，直接提供root权限的shell，这是Metasploitable系统故意设置的。好的，具体漏洞会在后续说明，这里就不多说。
除了上面这个方法，在在Metasploit中使用portscan/tcp扫描，同样能够扫描到靶机开放的端口，启动msfconsole，使用以下命令,可以得到结果如下图

search portscan/tcp   //查询TCP端口扫描模块
use 0              //使用显示出来的第一个模块
set RHOSTS 192.168.209.150      //设置目的IP
run

4.1.3扫系统版本、漏洞

  启动msfconsole，使用以下命令扫描Metasploitable 2靶机系统版本，得到结果如下图所示

//SMB协议检测并识别Windows系统及其他支持SMB的系统的版本信息
search auxiliary/scanner/smb/smb_version  
use 0
set RHOSTS 192.168.209.150
run

  从上图中可以看到，这个Metasploitable 2靶机的操作系统应该是Unix系统，SMB服务详情为Samba 3.0.20-Debian版本
接下来是扫描漏洞，使用命令nmap -script vuln 192.168.209.150对靶机进行漏洞扫描。会看到返回很多的漏洞以及漏洞的详细信息，接下来让我们详细分析几个。
看下图，21端口，服务版本为vsftpd 2.3.4，被标记为VULNERABLE (Exploitable)，即可利用的高危漏洞。扫描结果还显示“Shell command: id”的执行结果是uid=0(root) gid=0(root)，意味着通过该漏洞可直接获取目标主机的root权限。这个在后续会实践证明。

  看下图，25端口，存在多个TLS/SSL加密缺陷漏洞，匿名Diffie-Hellman密钥交换中间人漏洞、TLS DHE_EXPORT降级攻击（Logjam漏洞）、Diffie-Hellman密钥交换组强度不足。这些漏洞属于加密协议层面的缺陷，会导致SMTP服务的通信内容被窃听、篡改。

  看下面两张图，80端口，HTTP的TRACE方法被启用，存在跨站跟踪漏洞风险，攻击者可利用该方法窃取用户Cookie；同时还能看到扫描器识别出多个可能存在SQ注入的URL；存在CSRF漏洞还有Slowloris DoS漏洞。

  看下图，1099端口，有RMI注册表默认配置远程代码执行漏洞，风险等级为可利用，原理是默认配置的RMI注册表允许从远程URL加载类文件，攻击者可构造恶意类并诱导RMI服务加载，从而执行任意代码。

  看下图，5432端口，存在SSL CCS注入漏洞，且是高危的风险等级；存在Diffie-Hellman密钥组强度不足的问题，易被被动监听攻击破解TLS会话，泄露通信内容；存在SSL POODLE信息泄露漏洞，攻击者可通过填充oracle攻击窃取明文数据。

  看下图，6667端口，识别出了IRC服务器存在后门漏洞

4.2 Vsftpd源码包后门漏洞（21端口）

  通过前面的端口扫描，我们已经知道21端口是开启的，也知道了它的版本号为vsftpd 2.3.4

  输入以下命令利用vsftpd 2.3.4版本后门漏洞，结果如下图

//利用vsftpd 2.3.4版本后门漏洞
use exploit/unix/ftp/vsftpd_234_backdoor 
set RHOSTS 192.168.209.150
run

  通过上面的漏洞分析我们可以知道，利用vsftpd 2.3.4版本后门漏洞可以获得靶机的shell。能够查看当前用户、查看当前路径以及目录中的文件、查看id。如下图，可以看到id的返回和上面分析中的一样，我们还能成功查看路径和目录等。

4.3 SambaMS-RPC Shell命令注入漏洞（139端口）

  通过前面的端口扫描，我们已经知道139端口是开启的，也能知道它的版本号

  输入以下命令利用Samba服务的usermap_script漏洞，结果如下图

//利用Samba服务的usermap_script漏洞
use exploit/multi/samba/usermap_script 
set RHOSTS 192.168.209.150
run

  利用Samba服务的usermap_script漏洞可以获得靶机的shell。能够查看当前系统信息、当前用户、当前路径以及目录中的文件，如下图，可以看到系统信息为Linux metasploitable 2.6.24-16-server

4.4 Java RMI SERVER命令执行漏洞（1099端口）

  通过前面的端口扫描，我们已经知道1099端口是开启的，也能知道它的版本号

  输入以下命令利用Java RMI服务的远程代码执行漏洞，结果如下图

//利用Java RMI服务的远程代码执行漏洞
use exploit/multi/misc/java_rmi_server 
set RHOSTS 192.168.209.150
run

  利用Java RMI服务的远程代码执行漏洞可以得到连接靶机的Meterpreter会话。输入sessions -i 4（4为该会话id）切换到 ID 为 4 的会话并与之交互，输入shell后可以切换到交互式Shell中，能够查看当前系统信息、当前用户、当前路径以及目录中的文件，如下图，可以看到当前用户为root。

4.5 PHP CGI参数执行注入漏洞（80端口）

  通过前面的端口扫描，我们已经知道80端口是开启的，也能知道它的版本号

  输入以下命令利用PHP-CGI的参数注入漏洞，结果如下图

//利用PHP-CGI的参数注入漏洞
use exploit/multi/http/php_cgi_arg_injection 
set RHOSTS 192.168.209.150
run

  利用PHP-CGI的参数注入漏洞可以得到连接靶机的Meterpreter会话，输入shell后可以切换到交互式Shell中，能够查看当前系统信息、当前用户、当前路径以及目录中的文件，如下图，可以看到当前工作目录是/var/www（Web服务的根目录）、当前用户是www-data（Unix/Linux中Web服务的默认运行用户，权限较低，仅能操作Web相关文件）。

---

五、问题及解决

  问题：无

---

六、学习感悟

  本次实验，也是一次相当顺利的实验，感觉比实验五还要简单一点，内容也比较少。
通过本次实验，我不仅再次熟悉了Metasploit框架的基本操作，还掌握了多种常见漏洞的识别与利用方法，例如Vsftpd后门漏洞、Samba命令注入、Java RMI远程代码执行以及PHP CGI参数注入等。每一个漏洞的利用过程，都让我对网络攻防有了更直观的认识。
本次实验虽然在操作上较为顺利，但在分析扫描结果、判断漏洞危害、理解利用机制等方面，仍需要进一步学习和积累。