读书频道 > 安全 > Metasploit渗透测试魔鬼训练营
2.Linux Metasploitable靶机镜像
2013-09-14 14:11:20     我来说两句 
收藏    我要投稿   
全书共10章。第1章对渗透测试和Metasploit进行了系统介绍,首先介绍了渗透测试的分类、方法、流程、过程环节等,然后介绍了Metasploit的功能、结构和基本的使用方法。第2章详细演示了渗透测试实验环境的搭建。第  立即去当当网订购

Linux Metasploitable是2010年5月Metasploit团队新推出的一个用于测试Metasploit中渗透攻击模块的靶机虚拟机镜像,系统基于Ubuntu 8.04 Server版本,以VMware虚拟机镜像方式提供,其中包含一些存在安全漏洞的软件包,如Samba、Tomcat 5.5、Distcc、TikiWiki、TWiki、MySQL等,此外系统中也存在一些弱口令等不安全配置。利用Metasploit软件中针对Linux的一些渗透攻击模块,如usermap_script、distcc_exec、tomcat_mgr_deploy、tikiwiki_graph_formula_exec、twiki_history等,或者对SSH、Telnet网络服务弱口令的暴力破解模块,都可以获取Linux Metasploitable系统的远程访问权。

相对于Metasploit软件中所包含的近百个针对Linux/UNIX平台网络服务和应用程序的渗透攻击模块,Linux Metasploitable系统中目前拥有的安全漏洞环境远不够充分,还需要进一步扩展与集成。目前Linux Metasploitable中经过测试,所包含的弱口令和安全漏洞等缺陷情况如表2-4所示。

表2-4 Linux Metasploitable中的弱口令与安全漏洞缺陷情况
缺陷类型       缺陷具体信息       攻击方式       Metasploit模块
系统用户弱口令    msfadmin:msfadmin
user:user;root/ubuntu   telnet/ssh口令猜测攻击       telnet_login,ssh_login
数据库用户弱口令       postgres:(postgres:postgres)
mysql:(root:root)      数据库口令猜测攻击    postgres_login,mysql_login
Web应用管理弱口令    tomcat:tomcat Web应用程序口令猜测攻击       tomcat_mgr_login
Samba服务漏洞    CVE-2007-2447     网络服务渗透攻击       usermap_script
MySQL服务漏洞  CVE-2009-4484     网络服务渗透攻击       mysql_yassl_getname
Distcc服务漏洞     CVE-2004-2687     网络服务渗透攻击       distcc_exec
Tomcat服务管理Web应用漏洞  CVE-2009-3843     Web应用渗透攻击       tomcat_mgr_deploy
Tikiwiki Web应用漏洞 CVE-2007-5423     Web应用渗透攻击       tikiwiki_graph_formula_exec
Twiki Web应用漏洞     CVE-2005-2877     Web应用渗透攻击       twiki_history

为了模拟定V安全公司网络中的网关服务器,本书对Linux Metasploitable虚拟机镜像进行了额外的配置,具体配置方法见2.2节,读者也可以从本书交流网站上提供的FTP站点下载经过配置的定制版Linux Metasploitable虚拟机镜像文件。

第1章中已经演示了使用Samba服务中的usermap_script漏洞进行网络服务渗透攻击,获取Linux Metasploitable访问权的具体过程,在第5章中将更加深入地解析针对Linux网络服务的渗透攻击是如何实施的,感兴趣的读者可以针对其他安全漏洞与缺陷,在渗透测试实验环境中进行实际的操作实践,只有不懈的实践和从失败中总结经验学习新知识,才能让你在渗透测试者的道路上茁壮成长。

点击复制链接 与好友分享!回本站首页
分享到: 更多
您对本文章有什么意见或着疑问吗?请到论坛讨论您的关注和建议是我们前行的参考和动力  
上一篇:1.OWASP BWA靶机镜像
下一篇:3.Win2K3 Metasploitable靶机镜像
相关文章
图文推荐
2.9.3 静态可信根与
2.8 远程管理
2.7.6 微内核中的安
2.7.3 直通技术
排行
热门
文章
下载
读书

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训
版权所有: 红黑联盟--致力于做最好的IT技术学习网站