渗透测试完整实战指南:从信息收集到内网穿透,手把手走完攻击全链

发布时间:2026/7/14 12:55:44

渗透测试完整实战指南:从信息收集到内网穿透,手把手走完攻击全链 导语很多网安新人练了半年靶场、刷了无数CTF题但一遇到真实渗透项目就懵了——不知道从哪下手、不知道下一步该干什么、不知道什么叫“完整的攻击链”。这就是典型的缺乏流程感。渗透测试不是乱扫一气、碰运气撞漏洞。它是一套有章法、可复现、分阶段的系统工程。你按照标准流程走每一步都有明确的目标和产出物绝对不会迷茫。这篇文章我带你从头到尾走一遍渗透测试的完整实战流程——从拿到授权到输出报告每个阶段干什么、用什么工具、注意什么坑全部给你讲透。干干货没废话。建议收藏实战前翻一遍。一、渗透测试的本质与核心原则渗透测试Penetration Testing说白了就是在获得授权的前提下模拟真实黑客的思维路径和技术手段对目标系统进行全方位的安全评估。它和自动化扫描器的区别在于扫描器找的是“已知漏洞”渗透测试找的是“一切可能被利用的弱点”——包括逻辑缺陷、业务流程漏洞、配置失误甚至人的疏忽。做渗透测试四条红线必须刻在脑子里授权合法没有书面授权就是在犯罪。拿到授权书再动手这是铁律。最小破坏不动生产数据、不搞DDoS、不删库跑路。全面覆盖Web、API、移动端、基础设施、云环境一个都不能少。结果导向不光要找出漏洞更要给出可落地的修复方案。二、PTES七阶段标准流程行业通行框架行业内最通用的渗透测试标准是PTESPenetration Testing Execution Standard它将整个渗透测试划分为七个阶段前期交互 → 情报收集 → 威胁建模 → 漏洞分析 → 漏洞利用 → 后渗透攻击 → 报告编写下面一个一个拆解。三、阶段一前期交互Pre-engagement Interactions目标把“怎么测、测什么、测到哪”全部白纸黑字定下来。这一步是最容易翻车的环节。很多新手一上来就急着动手结果测到一半客户说“这个系统不在范围内”或者不小心把生产数据搞崩了——轻则赔钱重则吃官司。必须确认的内容确认事项具体内容测试范围哪些域名、哪些IP段、哪些应用、哪些API测试时间什么时间段可以测、什么时候必须停测试账号是否提供测试账号灰盒/白盒还是完全黑盒禁止操作不能删数据、不能DDoS、不能暴力破解生产账号紧急联系人出问题了找谁、怎么联系核心产出物《渗透测试授权书》《测试范围说明书》。⚠️血泪教训曾经有人没确认范围扫了客户合作伙伴的IP段被对方法务找上门——授权书上没写那个IP就是非法入侵。四、阶段二情报收集Intelligence Gathering目标把目标的所有公开信息挖干净画出“攻击面地图”。渗透测试界有句老话“渗透测试的本质就是信息收集”。你掌握的信息越多攻击路径就越多。这个阶段拼的是耐心和细致。4.1 域名与子域名收集子域名往往是突破口——很多企业主站防护严密但测试环境、老系统、内部工具的子域名可能防护薄弱。工具主动爆破OneForAll、dnsenum、Sublist3r、GobusterDNS模式被动收集VirusTotal、Crt.sh证书透明度、SecurityTrails搜索引擎site:example.com在Google/Bing中搜子域名检查DNS域传送漏洞AXFRbash# 检测是否存在域传送漏洞 dig dns_server axfr domain_name[reference:22] nmap --script dns-zone-transfer -p 53 dns_server[reference:23]如果成功你就拿到了整个域的所有DNS记录——相当于目标把家底全亮给你了。4.2 IP地址与CDN绕过判断是否存在CDN用ping或17CE、ipip.net从多地ping目标域名。如果全国各地返回的IP不一样——有CDN真实IP被藏起来了。绕过CDN找真实IP的方法查历史DNS解析记录ViewDNS.info、SecurityTrails查子域名的解析IP子域名可能没走CDN查邮件服务器的MX记录指向的IPWHOIS查询获取域名注册人、注册商、联系邮箱、DNS服务器。这些信息可用于后续的社会工程学或密码爆破用注册人姓名构造字典。备案号查询通过ICP备案查网站所属主体。知道是哪个公司就能进一步查该公司的其他资产。4.3 端口与服务扫描用Nmap扫目标IP的开放端口和运行服务bash# SYN半开扫描隐蔽、速度快 nmap -sS -p- -T4 target_ip[reference:32] # 全端口服务版本识别 nmap -sV -sC -O -p- target_ip重点关注端口22(SSH)、80/443(Web)、445(SMB)、3306(MySQL)、3389(RDP)、8080(代理/Web)、27017(MongoDB)。4.4 指纹识别与源码泄露指纹识别用Wappalyzer浏览器插件或WhatWeb命令行工具识别目标使用的CMS、框架、中间件版本。知道版本号就能针对性找漏洞。源码/敏感信息泄露GitHub搜关键词site:github.com target.com password、target.com API_KEYJSFinder从JavaScript文件中提取接口路径和子域名目录扫描重点/admin/、/backup/、/config/、/.git/、/.env/、/swagger-ui/实战案例某红队在目标登录页按F12在Webpack打包的前端代码注释中发现了一段硬编码的账号密码——一个被99%的安全审计忽略的前端硬编码漏洞最终导致了核心业务系统的全面沦陷。4.5 情报收集阶段产出物目标的所有存活子域名列表开放端口与服务清单含版本号技术栈信息CMS/框架/中间件版本敏感路径与泄露的源码/配置文件员工邮箱格式、社交账号信息五、阶段三威胁建模Threat Modeling目标基于收集到的信息识别高价值的攻击面规划攻击路径。不是所有漏洞都值得花时间去打。你要判断哪个入口最容易突破突破后能拿到什么用STRIDE模型做威胁分析威胁类型说明测试重点Spoofing伪装冒充用户/系统身份认证绕过、JWT篡改Tampering篡改修改数据参数污染、水平越权Repudiation抵赖否认操作日志审计缺失Information Disclosure信息泄露敏感数据暴露调试信息、备份文件DoS拒绝服务使服务不可用慢速攻击、资源耗尽Elevation of Privilege权限提升获得更高权限垂直越权、提权漏洞输出《攻击面地图》——标注高风险模块比如支付系统、管理后台、文件上传点、API接口。六、阶段四漏洞分析Vulnerability Analysis目标用工具手工结合的方式系统化地验证每一个潜在漏洞。6.1 自动化扫描辅助不能全信工具用途注意AWVSWeb漏洞全面扫描误报率高需手工验证Nessus系统漏洞扫描扫生产环境要格外小心Burp Suite ScannerWeb漏洞扫描配合Burp手工测试使用⚠️别当“扫描器战士”。自动扫描只是辅助真正有价值的漏洞——业务逻辑漏洞、越权漏洞、复杂组合漏洞——扫描器一个都扫不出来。必须手工测。6.2 常见Web漏洞检测漏洞类型检测工具/方法验证要点SQL注入SQLMap自动检测 手工构造Payload OR 11 --页面是否返回数据库报错或异常数据XSS手工注入scriptalert(1)/script弹窗是否出现文件上传尝试上传php/jsp/asp木马是否可访问、是否可执行越权修改URL中的ID参数能否访问其他用户的数据敏感信息泄露检查响应头、错误页面、源码注释是否暴露版本号、路径、密钥七、阶段五漏洞利用Exploitation目标将验证过的漏洞转化为实际的系统权限。7.1 获取初始访问权限Web层面SQL注入 → 获取数据库数据可能拿到管理员密码哈希文件上传 → 上传Webshell如一句话木马获得服务器权限反序列化漏洞 → 直接执行系统命令未授权访问 → 直接进入管理后台工具Metasploit漏洞利用框架内置2000攻击模块Cobalt Strike红队神器内网渗透和后渗透利器实战技巧拿到Webshell后先执行whoami看当前是什么权限。如果是www-data或IIS_USRS——低权限用户下一步就是提权。7.2 权限提升Privilege Escalation环境常见提权方式Linux内核漏洞如Dirty Cow、SUID提权、sudo配置错误、Cron任务劫持Windows内核漏洞如永恒之蓝、服务权限配置错误、UAC绕过、令牌窃取工具LinuxLinEnum、linux-exploit-suggesterWindowsWinPEAS、PowerUp、Mimikatz抓密码哈希八、阶段六后渗透与横向移动Post-Exploitation Lateral Movement目标维持访问权限并在内网中横向扩展拿下更多关键系统。这一步是渗透测试含金量最高的部分也是区分“脚本小子”和“真渗透工程师”的分水岭。8.1 权限维持Persistence拿到权限后不能只靠一个Shell——万一被管理员发现踢掉了你就全白干了。常用手段创建隐藏账户Windowsnet user hacker$ Pssw0rd /add安装计划任务/定时任务Cron定期回连写入启动项Windows注册表Run键SSH公钥写入~/.ssh/authorized_keys8.2 横向移动Lateral Movement以当前主机为跳板探测内网、攻击其他主机。信息收集用fscan扫描内网存活主机和开放端口用nmap扫内网C段查看当前主机的网络连接netstat -an、ARP表、DNS缓存横向手法哈希传递Pass the Hash用抓到的NTLM哈希直接认证其他Windows主机SMB Relay劫持SMB认证流量中继到其他机器密码爆破用抓到的密码字典爆破内网其他主机的445端口SMB黄金票据/白银票据拿下域控后伪造Kerberos票据NTLM中继攻击截获并转发NTLM认证实战案例某勒索组织通过一处用友NC资产入侵后利用国产工具在内网横向移动数小时最终控制了超融合平台vCenter作为跳板实施了勒索。8.3 后渗透阶段产出物当前主机的系统信息、用户列表、网络拓扑抓取到的密码哈希、明文凭证内网资产清单存活主机、开放服务可达的域控、数据库、核心业务系统九、阶段七报告编写Reporting目标把整个测试过程、发现的漏洞、修复建议用客户能看懂的方式写出来。这是最容易被忽视但最重要的环节。漏洞挖得再好报告写不清楚客户看不懂、修不了你的工作就等于白干。一份专业渗透测试报告的五大核心模块1. 执行摘要给老板看的不用技术术语测试目标、时间范围、测试团队总体安全态势评估几句话概括高危漏洞数量、最严重的风险是什么2. 测试范围与方法论测试了哪些域名/IP/应用采用了什么标准PTES/OWASP等测试起止时间3. 漏洞详情给技术人员看的每个漏洞必须包含漏洞名称与类型如SQL注入、越权访问风险等级高危/中危/低危用CVSS评分漏洞位置具体的URL、参数、接口复现步骤一步步怎么操作附截图/Payload潜在影响数据泄露系统沦陷业务中断4. 修复建议针对每个漏洞给出具体、可操作的修复方案按优先级排序先修高危再修中低危5. 总结与附录整体安全建议如加强员工安全意识培训、定期进行渗透测试测试过程中使用的工具清单十、渗透测试常用工具速查表阶段工具用途信息收集Nmap、Masscan端口扫描、主机发现信息收集OneForAll、Sublist3r子域名枚举信息收集Shodan、FOFA、Censys互联网资产搜索信息收集Wappalyzer、WhatWeb指纹识别漏洞分析AWVS、Nessus、Burp Scanner自动化漏洞扫描漏洞分析Burp SuiteWeb渗透手工测试抓包改包漏洞利用Metasploit漏洞利用框架漏洞利用SQLMapSQL注入自动化利用后渗透Cobalt Strike内网渗透、权限维持后渗透MimikatzWindows密码哈希提取后渗透fscan内网资产扫描后渗透frp、ngrok内网穿透十一、核心逻辑一句话总结前期交互定范围、拿授权别踩法律红线情报收集信息越多攻击路径越多——这是最花时间的阶段也是最值得花时间的阶段威胁建模判断哪个入口最值得打漏洞分析工具扫一遍 手工测一遍别信扫描器漏洞利用从漏洞到权限从Webshell到系统Shell后渗透维持权限 横向移动从一台机器到整个内网报告编写写清楚、写明白让客户看得懂、修得了渗透测试不是碰运气是走流程。流程走对了每一次都有收获。 互动话题你做过最顺利/最坎坷的一次渗透测试是什么样的是信息收集阶段挖到了一个意外惊喜的子域名还是在提权环节卡了三天最终靠一个冷门漏洞突破又或者是写报告时发现漏洞复现步骤写不清楚被客户打回来重写欢迎在评论区分享你的渗透测试实战经历——翻车经验也好、高光时刻也罢都是同行最宝贵的教材。每一条我都会亲自回复硬核交流。 渗透测试实战全套资料包我从多年实战和教学中整理了一套渗透测试从入门到精通的完整资料适合收藏反复啃①PTES渗透测试执行标准完整文档中文版——行业流程圣经②渗透测试各阶段工具速查表PDF打印版——实战时放桌边随时翻③信息收集自动化脚本合集子域名、端口、路径、指纹一键扫描④Nmap全参数详解与扫描策略最佳实践⑤Burp Suite从入门到精通实战教程含插件推荐⑥Metasploit漏洞利用模块编写指南⑦内网渗透横向移动实战案例集含域渗透、哈希传递、票据攻击⑧渗透测试报告模板含漏洞详情复现步骤修复建议范例⑨护网/面试渗透测试高频考题100问含标准答案 领取方式评论区回复“渗透实战”我会私信发你全套资料链接。流程走对了每一次测试都有收获。流程走错了挖到洞也是碰运气。

相关新闻