渗透测试一般流程
完整渗透测试流程(实战版)
一、前期准备
目标:明确测试范围、获取授权、准备工具,确保测试合法合规。
| 步骤 | 内容 |
|---|---|
| 明确目标 | 确定测试范围(IP段、域名、业务系统)、测试时间、测试方式(黑盒/灰盒/白盒) |
| 签署授权 | 获取正式授权书(Scope、Rules of Engagement、免责条款) |
| 风险告知 | 与甲方确认是否允许提权、横向移动、数据访问等高风险操作 |
| 工具准备 | 准备VPN、跳板机、C2服务器、免杀工具、代理工具(如Cobalt Strike, Nmap, Burp, BloodHound) |
二、信息收集
目标:尽可能全面地收集目标系统的信息,为后续攻击提供情报。
| 类型 | 工具/方法 | 输出 |
|---|---|---|
| 被动收集 | 搜索引擎(Google Hacking)、WHOIS、DNSDumpster、Shodan、Fofa、GitHub泄露 | 域名、子域、IP段、技术栈、员工邮箱 |
| 主动扫描 | Nmap、Masscan、端口扫描、服务识别、Wappalyzer、Whatweb | 开放端口、服务版本、中间件、CMS |
| 社会工程 | 企业微信、钉钉、领英、公众号、员工邮箱、钓鱼测试 | 员工信息、组织架构、VPN账号泄露 |
三、边界突破
目标:寻找并利用漏洞,获取对目标系统的初始访问权限。
| 攻击面 | 方法 | 工具 |
|---|---|---|
| Web漏洞 | SQL注入、RCE、文件上传、反序列化、弱口令 | Burp、SQLmap、ysoserial、哥斯拉 |
| 邮件钓鱼 | 伪造邮件、附件宏、CHM、ISO、LNK钓鱼 | Gophish、CACTUSTORCH、BetterCAP |
| 外网服务 | VPN、Citrix、Exchange、OWA、RDP弱口令 | CrackMapExec、Medusa、Responder |
| 供应链 | 第三方OA、邮件系统、IM工具 | 泛微、致远、用友、金蝶历史漏洞 |
四、权限提升
目标:在已获得访问权限的系统上,将权限从普通用户提升至最高权限(如SYSTEM/root)。
| 类型 | 方法 | 工具 |
|---|---|---|
| Windows | 内核提权、服务提权、DLL劫持、UAC绕过、令牌窃取 | WinPEAS、SharpUp、JuicyPotato、PrintSpoofer |
| Linux | SUID、SUDO、内核提权、Cron任务、环境变量劫持 | LinPEAS、GTFOBins、linux-exploit-suggester |
| 数据库 | 数据库UDF提权、MSSQL xp_cmdshell、MySQL UDF | sqlmap、Metasploit |
五、横向移动
目标:利用已控制的机器作为跳板,在内网中探索并控制其他重要资产。
| 技术 | 方法 | 工具 |
|---|---|---|
| 凭证窃取 | Mimikatz、LSASS转储、Keylogger、剪贴板记录 | Procdump、comsvcs.dll、SharpDump |
| 内网扫描 | 端口扫描、SMB/IPC/WMI爆破、BloodHound分析 | CrackMapExec、Nmap、Ladon、SharpHound |
| 远程执行 | PsExec、WMI、WinRM、RDP、GPO下发 | Impacket、Cobalt Strike、PowerRemoting |
| 横向工具 | 内网代理(frp, nps, venom)、隧道(reGeorg, EarthWorm) | 建立socks5隧道,打通内网 |
六、权限维持
目标:在目标系统上部署持久化后门,确保在系统重启或凭证更改后仍能保持访问。
| 技术 | 方法 | 工具 |
|---|---|---|
| 注册表 | Run键、RunOnce键、Image File Execution Options | SharpPersist、Regedit |
| 服务 | 创建恶意服务、计划任务、WMI事件订阅 | sc、schtasks、mofcomp |
| 后门 | WebShell、C2远控、DLL劫持、启动项 | 哥斯拉、Cobalt Strike、SharpDoor |
| 域控 | GPO下发、DSRM后门、金票、银票 | Mimikatz、SharpGPOAbuse |
七、跨域攻击
目标:在复杂的多域或混合云环境中,利用信任关系进行跨安全域的渗透。
| 技术 | 方法 | 工具 |
|---|---|---|
| 域信任 | 域信任关系分析、跨域委派攻击 | BloodHound、PingCastle |
| 票据伪造 | 金票(Golden Ticket)、银票(Silver Ticket) | Mimikatz |
| 域控攻击 | DCSync、DCShadow、Kerberoasting | Impacket、Rubeus |
| 云环境 | Azure AD、AWS IAM、OAuth令牌泄露 | AADInternals、Pacu、CloudMapper |
八、数据获取
目标:识别、定位并尝试提取目标系统内的敏感数据和核心资产。
| 类型 | 方法 | 工具 |
|---|---|---|
| 敏感文件 | 搜索财务、人力、合同、源代码、数据库备份 | Everything、PowerShell、FileZilla |
| 数据库 | 导出客户数据、员工信息、订单记录 | sqlcmd、mysqldump、Navicat |
| 截图/录屏 | 取证、敏感操作记录 | ShareX、ScreenRecorder、Cobalt Strike截图 |
| 外传通道 | DNS隧道、HTTPS加密、云盘、GitHub、邮件 | Dnscat2、Cloakify、rclone |
九、痕迹清理
目标:清除在渗透过程中留下的日志、工具和其他痕迹,避免被溯源。
| 类型 | 方法 | 工具 |
|---|---|---|
| 日志清除 | 清除Windows事件日志、IIS日志、SQL日志 | wevtutil、clearev、LogParser |
| 后门清理 | 删除WebShell、计划任务、服务、注册表项 | 手动清理、PowerShell脚本 |
| 时间戳伪造 | 修改文件创建时间、访问时间 | PowerShell、timestomp |
| 反取证 | 禁用Windows Defender、关闭审计策略、擦除USN日志 | SharpHide、DefenderStop |
十、报告输出
目标:将测试过程、发现的安全问题及修复建议整理成专业的报告交付给客户。
| 模块 | 内容 |
|---|---|
| 执行摘要 | 测试目标、范围、高风险结论、修复建议 |
| 漏洞详情 | 每个漏洞的复现步骤、截图、影响、CVSS评分 |
| 修复建议 | 补丁升级、配置加固、权限最小化、日志审计 |
| 复测建议 | 建议3个月后复测,验证修复有效性 |
渗透测试 Checklist
目标:用于快速核对各阶段关键任务是否完成。
| 阶段 | 检查项 | 状态 |
|---|---|---|
| 授权 | 是否签署正式授权书 | ✅ |
| 信息收集 | 是否获取完整IP/域名/子域 | ✅ |
| 漏洞利用 | 是否获取初始shell | ✅ |
| 提权 | 是否获取SYSTEM/root权限 | ✅ |
| 横向移动 | 是否访问域控/财务/人力系统 | ✅ |
| 权限维持 | 是否部署长期后门 | ✅ |
| 痕迹清理 | 是否清除日志与后门 | ✅ |
| 报告 | 是否输出PDF+Excel+漏洞复现视频 | ✅ |
建议工具包
目标:汇总渗透测试各阶段常用工具,便于团队统一和准备。
| 类型 | 工具 |
|---|---|
| 信息收集 | Nmap, Masscan, Fofa, Shodan, OneForAll, subfinder |
| Web漏洞 | Burp, SQLmap, Xray, Goby, Awvs, Nuclei |
| 内网渗透 | Cobalt Strike, Ladon, BloodHound, SharpHound, CrackMapExec |
| 提权 | WinPEAS, LinPEAS, JuicyPotato, PrintSpoofer, GTFOBins |
| 隧道 | frp, nps, venom, reGeorg, EarthWorm |
| 报告 | Dradis, Serpico, Markdown+Typora, PPT模板 |
大纲