Metasploitable2-Linux

1、主机发现

首先打开靶机就是这个界面，你没看错，通常情况下你是不可能知道账户密码的，所以老老实实去做

arp-scan -l
主机探测，由于你开的靶机是nat模式，所以外界无法连接到你的靶机，只有你同网段下kali机可探测到

这里的192.168.66.134就是你的靶机ip，上面两个和最下面的都不是，自己判断判断

2、端口扫描

我们要知道该靶机存在什么漏洞，我们先想办法知道他开起了什么端口和服务

nmap -sS -sV 192.168.66.134
扫描端口服务信息、版本等
这里nmap语法很多，-h可以查询，自行拼接

这条命令可以扫描历史漏洞，-p后面加的是端口号，就是你要扫描哪些端口

这是所有端口的服务以及版本信息，我们可以根据这些服务进行提权

3、目录扫描

dirsearch -u http://192.168.66.134:80/ -e * -i 200

这里使用gobuster、wfuzz、dirb都可以，自行查询命令

这是我们扫描出来的80端口的目录，我们都访问一下

4、端口访问

首先我们尝试访问弱口令和匿名访问

该服务版本比较老，我们找到了一个笑脸攻击，我们复现尝试一下，或者找一下vsftpd的exp

nc 192.168.20.66 21
USER anonymous
PASS
这里匿名登录失败了，我们尝试其他提权方法

这里存在一个笑脸攻击，就是我们连接该ip的21端口时，我们将用户名输入后面加上“:)”笑脸的符号，然后扫描一下6200端口，再次连接到21端口即可提权成功为root用户

这里先笑脸登录，密码任意输入

nmap扫描，出现lm-x字符，然后netcat连接就是root用户

这里22端口存在弱口令。msfadmin/msfadmin

这里23端口的弱口令为msfadmin，但是只是一个shell，没有root权限，我们可以尝试脏牛内核提权，我们尝试一下

这里貌似是历史漏洞

这个版本不算新，试试脏牛这个版本一堆漏洞，随便找个脏牛提权试试

试下这个40839.c，然后我们下载上传到靶机上去，看看什么情况

这里传输文件记得开个python的环境

这里我们反弹一个shell，kali开一个nc监听端口为6666，靶机去连接一下，然后我们下载脏牛的文件

然后就是按照c文件的步骤就可以，然后这个脏牛也能提权

这里存在一个cgi接口注入

这里一个？-s就能看源码 这里可以拿bp抓宝构造url可以远程命令执行，我就不演示了，有兴趣去找一下cgi接口注入。我们使用msf一步到位

这里得到了一个shell，然后自己使用脏牛或者其他漏洞即可提权

没想到直接就是root权限

 vncviewer ip

mysql -h 192.168.66.134 -u root --skip-ssl 是这样的，为什么加上后面参数，是因为靶机版本太低太低了，需要关闭这个服务，我们直接就登录到了mysql，信息随便看了

PostgresQL弱密码 使用psql -h 192.168.66.134 -U postgres 密码：postgres 登录成功

这里就不手搓了，太累了。直接上msf了，不过自己练习的时候不建议去用msf。 这个自行尝试，有很多smb提权

这里是连接的服务

search rcd
use exploit/unix/irc/unreal_ircd_3281_backdoor
show options
set rhosts 192.168.206.216
run
直接msf吧，上一个就是使用上传工具输入一些恶意代码然后执行

Nmap –p0-65535 ip 来查看1099端口是否开启，查看1099端口即可 这里还是用msf吧，感觉这个靶机就是练习msf的，也可以找一下其他工具传shell

这里telnet直接连就行telnet 192.168.66.134 1524因为这里有个root的shell这里是因为我们之前用了脏牛提权，但是我们连接这个端口就是root权限，只是账户不同

这里一个弱口令，tomcat/tomcat

这里文件只能传war，应该有一些绕过

这里哥斯拉生成的马记得关防火墙 这里我没成功，我也没想用msf，可能是war包执行之类的，没学过，不会。感兴趣自己做，msf随便提权 或者bp抓包改一改也可以

这里是探测出来的 直接msf吧，不装了，11点了不想做了

这个可能是版本问题，找不到exp了，自行脑补吧

NFS 服务配置漏洞，赋予了根目录远程可写权限，导致/root/.ssh/authorized_keys可被修改，实现远程ssh无密码登陆。

• 查看靶机上的nfs服务是否开启：rpcinfo -p ip
• 查看靶机上设置的远程共享目录列表：showmount -e ip
• 生成rsa公钥命令：sshkeygen （一直回车）
• 在渗透机 /tmp目录下新建文件夹xxx，以备后续挂载需求,命令：mkdir /tmp/xxx
• 把靶机ip的根目录挂载到渗透机上新建的/tmp/xxx/目录下；
• 命令：mount –o nolock –t nfs ip:/ /tmp/msftables/
• 把渗透机上生成的公钥追加到靶机的authorized_keys下
• 命令：cat /root/.ssh/id_rsa.pub >> /tmp/xxx/root/.ssh/authorized_keys
• 实现无密码ssh登录:ssh root@ip

总结：这个靶场大量的漏洞，弱口令等，但是偏基础而且适合使用msf，但是真实学漏洞时候尽量不使用msf，因为靶场服务版本太老或者其他原因导致有些服务找不到相关wp只能手搓，但是没必要，当作小甜点吧，提权方法很多，但是没有sql注入文件上传之类的，我虽然很喜欢msf但还是有点抗拒了，希望养成手搓的好习惯。 我这里可能不是很全，但更多是扩大知识面吧加上msf的练手。 后续我也会出更多打靶文章，希望大家关注！谢谢。