Linux Metasploitable是2010年5月Metasploit团队新推出的一个用于测试Metasploit中渗透攻击模块的靶机虚拟机镜像,系统基于Ubuntu 8.04 Server版本,以VMware虚拟机镜像方式提供,其中包含一些存在安全漏洞的软件包,如Samba、Tomcat 5.5、Distcc、TikiWiki、TWiki、MySQL等,此外系统中也存在一些弱口令等不安全配置。利用Metasploit软件中针对Linux的一些渗透攻击模块,如usermap_script、distcc_exec、tomcat_mgr_deploy、tikiwiki_graph_formula_exec、twiki_history等,或者对SSH、Telnet网络服务弱口令的暴力解释模块,都可以获取Linux Metasploitable系统的远程访问权。
相对于Metasploit软件中所包含的近百个针对Linux/UNIX平台网络服务和应用程序的渗透攻击模块,Linux Metasploitable系统中目前拥有的安全漏洞环境远不够充分,还需要进一步扩展与集成。目前Linux Metasploitable中经过测试,所包含的弱口令和安全漏洞等缺陷情况如表2-4所示。
表2-4 Linux Metasploitable中的弱口令与安全漏洞缺陷情况
缺陷类型 缺陷具体信息 攻击方式 Metasploit模块
系统用户弱口令 msfadmin:msfadmin
user:user;root/ubuntu telnet/ssh口令猜测攻击 telnet_login,ssh_log
阅读全文地址:
http://book.2cto.com/201309/32600.html