MSF7

为Metasploitable靶机添加root用户密码

按照图5-40设置好Metasploitable靶机root用户密码后,在图5-39中输入靶机的 root 用户密码,“ shell_zhj. elf ”文件上传成功。

接下来在 Metasploitable 靶机上为“ shell_zbj. elf ”文件添加可执行的权限。如图5-41所示:

图5-41为“ shell_zbj. elf ”文件添加可执行的权限

在为“ shell_zbj. elf ”文件添加可执行的权限时,需要 root 用户权限,可用“sudo su root”命令将当前用户“msfadmin”切换到“root”用户。

(3)启动MSFConsole并使用“exploit/multi/handler”模块开始监听

在MSFConsole控制终端使用“exploit/multi/handler”模块,并设置反主机的IP地址为攻击机的IP地址(即Kali虚拟机的IP地址)，接受反弹接的监听端口为9999,攻击载荷(Payload)为“linux/x86/meterpreter/reversetcp”，然后调用“exploit”命令执行该模块，这样该模块将在9999端口进行监明等待后门程序“ shell_zbj. elf ”的反向连接,整个过程如图5-42所示:

图5-42 启动“exploit/multi/handler”模块开始监听

在图5-42中可以看到启动“exploit/multi/handler”模块后,该模块在“192.168.137.137:9999”监听反向连接。

(4)在靶机上运行后门程序

在 Metasploitable 靶机上运行后门程序“ shell_zbj. elf ”,该程序运行起来后会连接Kali虚拟机(IP地址为192.168.137.137)的9999端口,如图5-43所示:

图5-43 在靶机上运行后门程序

(5)获取反向连接shell并运行meterpreter

一旦靶机上的后门程序运行,“exploit/multi/handler”模块将在端口9999监听到来自靶机的后门程序“ shell_zbj. elf ”的连接请求，从而建立连接，并运行meterpreter攻击载荷,如图5-44所示:

图5-44 建立反向连接并运行meterpreter

如图5-44,建立连接并启动meterpreter模块后,MSFConsole控制终端将进入meterpreter提示符。

(6)用meterpreter进行后渗透攻击

到这一步，就可以利用meterpreter强大的功能进行各种渗透操作了，如图5-45所示:

图5-45 用meterpreter进行后渗透攻击

第5章 漏洞利用 ( (

在图5-45中演示了三种meterpreter常用的操作,执行“getuid”命令查看在目标主机上获取的权限，其中uid=0表示在以root用户的身份运行后门程序“shell—zby. elf”;执行“sysinfo”命令获取目标主机系统的信息;执行“runget_local_subnets ”命令可以查看目标主机所在网络的信息。

5.3 Metasploit漏洞利用演练

本节将采用MSFConsole控制终端对一些常见的漏洞进行演练，攻击机为Kali虚拟机(IP地址为192.168.137.137),攻击的目标为Metasploitable靶机(IP 地址为192.168.137.129)。

在对Metasploitable靶机系统进行渗透之前，先用nmap扫描靶机，找到靶机开启的服务端口，如图5-46所示：

root@kali:/home#nmap-sS192.168.137.129

Starting Mmap 7.60(

https://nmap.org)at2018-08-3009:23EDT

Nmap scan report for 192.168.137.129

Host is up(0.0020s latency).

Not shown:977 closed ports.

PORT STATE SERVICE

21/tcp open ftp

22/ tcp

open ssh

23/ tcp

open telnet

25/ tcp

open smtp

53/ tcp

open domain

80/ tcp

open http

111/ tcp

open rpcbind

139/tcp

open netbios-ssn

445/ tcp

open microsoft-ds

512/tcp

open exec

513/tcp open login

514/tcp open shell

1099/tcp open rmiregistry

1524/tcp open

ingreslock

2049/tcp open

nfs

2121/tcp open ccproxy-ftp

3306/tcp open mysql

5432/tcp open postgresql

5900/tcp open vnc

6000/tcp open X11

6667/tcp open

irc

8009/tcp open ajp13

8180/tcp open unknown

MAC Address:00:0C:29:95:61:FF (VMware)

Nmap done:1IP address(1 host up) scanned in 0.87 seconds

root@kali:/home#

图5-46 用nmap扫描靶机开启的服务端口

如图5-46，通过nmap扫描发现了靶机上开启的服务端口，下面将对以下开放端口进行渗透:139/TCP、1099/TCP、1524/TCP。

5.3.1TCP139端口渗透

对TCP139端口渗透利用的是Samba 3.0漏洞(CVEID:CVE-2007-2447)。