Vikram2003-07/kramcom-ctf

# KramCom CTF - 《黑客军团》主题电信 CTF  一个受《黑客军团》启发的逼真**电信监控**夺旗赛环境。 基于完整的脆弱虚拟机和专业的 LAMP 架构（Apache + MySQL + PHP）构建。玩家必须执行 Web 侦察、暴力破解、SQL 注入、凭据重用、横向移动、日志分析和权限提升，才能捕获全部 **7 个 flag**。  ## 下载虚拟机 **KramCom.zip**（压缩的 OVA 格式 - 原始大小约 3.7 GB） → 从 [https://drive.google.com/file/d/1IyQXVlSczmhqEecIZyxg5yBieAjKtfnR/view?usp=sharing](https://drive.google.com/file/d/1IyQXVlSczmhqEecIZyxg5yBieAjKtfnR/view?usp=sharing) 下载 **Walkthrough.pdf** → 可在本仓库中直接获取。 ## 难度 **Medium（中等）** 非常适合了解基本 Web 攻击、SSH 和 Linux 权限提升的初学者到中级玩家。 ## 学习目标 - Web 枚举（gobuster/dirb） - 隐藏的管理员面板 + 暴力破解 / 凭据填充 - SQL 注入 - 密码重用与横向移动（SSH） - 日志收集 - Sudo 权限提升（NOPASSWD 脚本滥用） ## 如何运行此 CTF 1. 下载 `KramCom-CTF.ova` 文件 2. 将其导入 **VirtualBox**（推荐）或 VMware 3. 启动虚拟机 4. 找到虚拟机的 IP 地址（`ip addr show` 或检查 DHCP） 5. 从你的 Kali 机器开始攻击 → `http://` **Flag 总数：** 7 个（散布在 Web、文件、日志和 root 权限中） ## 警告 此虚拟机是故意设计为存在漏洞的。 **切勿**将其暴露在互联网上或在生产环境中使用。 由 Vikram 用 ❤️ 为 CTF 爱好者和进攻性安全爱好者制作。 **祝黑客愉快！** 如果您希望进行改进，请随时提出 issue 或 PR。

标签：Apache, BurpSuite集成, CISA项目, LAMP, Offensive Security, OPA, OpenVAS, OVA, PE 加载器, PHP, PoC, TGT, Web安全, Web报告查看器, 凭证重用, 初始访问, 协议分析, 子域名变形, 实战靶机, 密码管理, 攻防演练, 文件上传漏洞, 无线安全, 暴力破解, 权限提升, 横向移动, 生成式AI安全, 用户模式钩子绕过, 电信监控, 编程规范, 网络安全, 蓝队分析, 虚拟机, 隐私保护, 靶场, 靶场下载, 黑客军团