当前位置: 代码迷 >> 综合 >> 2022-渗透测试-信息收集-Metasploit(基于FTP协议)
  详细解决方案

2022-渗透测试-信息收集-Metasploit(基于FTP协议)

热度:57   发布时间:2023-12-24 00:16:33.0

目录

1.查看FTP服务的版本信息

2.通过FTP拿到root权限

3.ftp匿名登陆扫描

 4.ftp暴力破解

1.查看FTP服务的版本信息

1.打开kali系统的Metasploit软件。

2.查找模块 search ftp_version

3.使用模块 

 4.查看需要配置的参数 show options

 5.设置目标主机--靶机 set RHOSTS 192.168.0.112

6.run

 如图,我们可以得知ftp的版本号是2.3.4

2.通过FTP拿到root权限

1.查找对应的2.3.4ftp模块

 如图,我们可以看到一个backdoor的模块,是一个后门模块。

2.使用模块 

3. 查看需要配置的参数show options

 4.设置目标主机 set RHOSTS 192.168.0.112

 5.run

如图,我们可以看到root,我们已经拿到了root权限。

3.ftp匿名登陆扫描

1.查找模块  search name:anonymous  (anonymous:匿名)

2.使用模块

3.查找需要配置的参数

4.设置目标主机 set RHOSTS 192.168.0.112

5.run

 如图,我们看到可以连上ftp了,但是是只读的。我们可以试着去连接一下。

 

 4.ftp暴力破解

我们刚刚只能只读去链接ftp,要想上传下载读写文件,我们就需要去获取账号密码。

1.查找模块 search ftp_login

2.使用模块

3.查找需要配置的参数 show options

4.设置目标主机 set RHOSTS 192.168.0.112

 5.设置字典

set USERPASS_FILE /usr/share/metasploit-framework/data/wordlists/root_userpass.txt

 这个字典是kali自带的,后面我们可以自己下载一个更强大的字典导入到kali里面。

6.run

如图,成功获取到账号密码。

7.通过ftp进行登录

 

 上传一个图片,测试上传成功。