导语：

        我在CSDN活跃已有6年，这是国内最优秀的IT学习平台之一。尽管有人对其持批评态度，我个人认为它拥有独特的优势。

        最近我参加了一场网络安全工作的面试，在广州与面试官深入交流了半个多小时。尽管未能通过面试，但这次经历让我意识到自己在渗透测试思路方面还有不足之处。我发现，虽然我在CSDN上撰写了许多博客，但却很少详细探讨过渗透测试的思维模式。因此，我决定填补这一空白，希望能为更多读者提供帮助和启发。

一、攻击的思路与手段

1、需要收集的信息包括：

人员信息：

• 基础信息：姓名、出生日期、住址等（员工通讯录）
• 社交账号：邮箱、手机、QQ、微信等
• 社交关系和互联网泄露信息
• 角色关系：客户、员工、供应商、合作方等

信息资产：

• 域名和IP地址
• 内外网拓扑结构
• 端口信息
• 使用的软件和网络设备
• 关键系统：如邮箱、OA系统、VPN、域控等
• 关联的合作方和其资产

2、寻找突破口的方法

1）利用工作人员的安全意识薄弱：

• 利用弱口令、撞库、泄露账号、钓鱼等攻击方法通常有效。物理入侵和已知漏洞也是潜在的攻击路径，内网安全已成为重点关注区域。

2）建立漏洞利用库

• 累积各种漏洞利用的知识和工具，以便有针对性地攻击目标。

3）从小入手扩展影响

• 从次要站点入手，逐步扩展攻击范围。利用 XSS、CSRF、SQL注入、越权等漏洞，目标是获取管理员账号权限，执行上传和备份操作，最终获取后台系统的Shell权限。审计源代码以发现更多漏洞。

4）文件扫描和GitHub搜索：

• 扫描目标系统的文件结构，同时搜索GitHub等平台获取相关源码和配置信息。

5）考虑使用未公开的0day漏洞：

• 未公开的0day漏洞可能是非常强大的武器，但使用时需要谨慎权衡风险和收益。

扩展：

0day漏洞是指软件或系统中未被发现或公开的漏洞，因此它们很难被发现和修复。

3、钓鱼攻击

1）口令钓鱼

• 将用户引导至一个外观与真实网站几乎无法区分的假冒网站，并诱使他们输入个人数据。即使使用强加密的SSL服务器认证，检测仿冒网站仍然非常困难。常见形式包括域名仿冒和中奖邮件。

2）鱼叉式网络钓鱼

• 定制化钓鱼攻击，伪装成目标的同事、亲友或领导等身份，诱导目标点击链接或下载附件（如Word文档、VPN设置）。这种方式常用于执行某些操作或窃取敏感信息。

3）偷渡式下载 (Drive-by Download)

• 用户在未完全了解后果的情况下授权下载，例如安装未知或伪造的可执行程序、ActiveX组件或Java applet。这种方式通常导致计算机感染病毒、间谍软件、恶意软件或其他犯罪软件。

4）热点钓鱼 (WiFi钓鱼)

• 攻击者切断目标的网络连接，设置一个假的公开WiFi热点。一旦目标设备连接，攻击者可以监控和截取所有的数据和操作，造成严重的信息泄露风险。

5）搜索引擎钓鱼

• 攻击者通过购买近似域名或通过提升搜索引擎排名的方式，将恶意网站的链接显示在搜索结果中。这种方法利用用户对搜索引擎结果的信任，诱导其访问恶意网站。

6）桌面钓鱼

• 攻击者可能修改用户计算机的hosts文件或制作自解压文件，并捆绑其他软件，通过各种途径诱导用户安装恶意软件或执行不安全的操作。

4、其他突破口

1）社会工程学

• 伪造猎头身份，诱导目标员工下载Word文档木马。
• 利用个人信息生成字典，进行DNS欺骗攻击。

2）破坏DNS记录

• 修改目标网站的DNS记录，将访问者引导至预设的欺诈网站。

3）水坑攻击

• 入侵路由器，截取目标经常访问的网站流量，进行恶意操作。

4）物理攻击

• 冒充水、电、网络或空调维修人员，实施未授权的物理访问。
• 假冒面试者，提供带有恶意软件的U盘，诱导目标打开进行打印。

 5、后门隐藏

1. Webshell的隐藏

   • 使用回调后门
   • 代码混淆和加密
   • 不死马（persistent backdoors）
   • 无文件Webshell
   • 利用计划任务、启动项、注册表等隐藏Webshell

2. 增加特权账户和SSH后门

   • 增加UID为0或权限为Administrator的账户
   • 植入SSH Key
   • 利用alias创建后门
   • 使用suid后门

3. SSH后门

   • 软连接后门
   • 使用SSH服务器包装器（ssh server wrapper）
   • 利用PAM（Pluggable Authentication Modules）创建后门

4. 其他类型的后门

   • 利用mafix后门
   • 使用Kbeast_rootkit进行植入

 6、内网渗透选择攻击目标的优先级

1）攻击高权限账号

• 优先目标是管理员和系统负责人的账号，因为他们拥有广泛的系统权限。

2）攻击运维/安全人员账号和终端

• 这些人员通常拥有服务器的root账号或安全设备管理员账号，攻击他们可以进一步深入控制系统。

3）攻击集中管控设施

• 重点攻击域控制器、集中身份认证系统、终端管理系统等，攻陷这些系统将获取公司内大部分系统的权限。

4）攻击基础设施

• 针对DNS、DHCP、邮件系统、知识分享平台、OA系统、工单系统等基础设施进行攻击。这些系统可能内置有高权限账号，或者能帮助攻击者隐蔽其活动痕迹。

5）攻击开发源代码管理服务器

• 攻击Git、SVN等源代码管理服务器，通过代码审计发现应用的0day漏洞，从而进一步渗透其他系统。

二、攻击常用的工具

1、信息收集工具

公司信息收集

• 天眼查
• GitHub
• 各大搜索引擎

个人信息收集

• Telegram
• QQ
• 微信
• 钉钉
• 支付宝
• 脉脉
• Linkedin
• 贴吧

端口扫描工具

• nmap（kali自带）
• zmap
• masscan

目录扫描工具

• dirb（kali）
• dirsearch
• 御剑
• SourceLeakHacker
• wwwscan
• weakfilescan

Whois/备案查询

• 站长之家
• 阿里云
• 备案查询

历史域名解析记录

• ViewDNSInfo
• DomailTools
• dnsdumpster
• WhoISRequest

C段收集工具

• 必应

子域名收集工具

• Layer子域名挖掘机
• subDomainsBrute
• Sublist3r
• DNSDumper
• IP反查域名
• 谷歌语法：site:baidu.com

指纹识别

• bugscaner
• 云悉
• whatweb

多地ping工具(CDN)

• 站长之家
• 爱站网
• dnsenum
• just-ping

2、绕过CDN查找真实IP的方法

1. 探测CDN是否开启：

   • 使用多地ping工具，例如通过全球不同地点的ping测试来判断是否存在CDN。（如果同一域名有多个ip就说明目标购买了CDN）

2. 查找二级域名：

   • CDNs通常将主域名如example.com进行CDN加速，而留下二级域名如www.example.com或其他非主要二级域名可能仍指向真实IP地址。

3. 使用nslookup：

   • 查询目标域名的国外DNS记录，因为大部分CDN服务集中在国内市场。比如使用命令 nslookup example.com 8.8.8.8 来查询Google的公共DNS服务器上的解析结果。

4. 利用ping：

   • 对不同的域名记录如www.example.com和example.com进行ping测试。有些CDN只会对主域名或特定的子域名进行CDN加速，而其他可能保留真实IP。

5. 查找历史域名解析记录：

   • 如果目标曾使用CDN之前的历史记录，这些记录可能包含真实IP地址。

6. 内部邮箱源：

   • 探索目标网站的内部邮件服务器，可能会泄露真实IP地址。

7. 网站测试文件：

   • 分析网站的测试文件如phpinfo等，有时这些文件可能会包含对真实IP的引用或信息。

8. 使用APP抓包：

   • 通过抓包分析应用程序的网络通信，尤其是移动应用程序可能会绕过CDN直接连接到真实IP。

3、EXP、POC库，漏洞扫描框架EXP、POC库

1. Exploit-DB

   • Exploit-DB（https://www.exploit-db.com/）是一个广为人知的漏洞利用数据库，提供各种漏洞的EXP和POC。

2. 乌云镜像库

   • 乌云镜像库（乌云(WooYun.org)历史漏洞查询---http://WY.ZONE.CI）是一个汇集了大量POC和EXP的平台，特别关注国内外安全漏洞。

3. vulhub

4. Some-PoC-oR-ExP

   • Some-PoC-oR-ExP

 漏洞扫描框架

  CMS-Hunter

• CMS-Hunter是一个专注于CMS漏洞扫描的工具，用于自动化检测和利用各种CMS系统的漏洞。

 AngelSwor：Kali安装天使之剑AngelSword，python3的poc！！-CSDN博客

 exphubstruts-scan

• exp hubstruts-scan是一个专门用于Struts框架漏洞扫描的工具，帮助检测和利用Struts漏洞。

 wpscan

• WPSca n（【Kali Linux工具篇】wpscan的基本介绍与使用_wpscan使用方法-CSDN博客）是一个专门用于WordPress漏洞扫描的工具，包含了丰富的EXP和POC。

A WVS：如何使用 AWVS 安全扫描器进行网站漏洞检查-CSDN博客

• AWV S 是一个全面的Web应用程序安全扫描器，帮助发现并修复Web应用程序中的漏洞。

 AppScan：黑客工具之AppScan安装，超详细使用教程（附安装包）-CSDN博客

• Ap pScan 是IBM提供的一个全面的应用程序安全测试解决方案，支持各种应用的漏洞扫描。）

 Nessus

• N essus 是一个广为流行的网络漏洞扫描工具，支持全面的漏洞检测和报告功能。

 Xray：xray使用入门-CSDN博客

• Xray 是一款高效的安全评估工具，支持Web应用和网络基础设施的漏洞扫描和利用。

4、漏洞利用工具

SQLMap（kali）

• 自动化的SQL注入工具，用于检测和利用Web应用程序中的SQL注入漏洞。

Burp Suite

• 集成的Web应用程序安全测试平台，包括漏洞扫描、攻击代理等功能，被广泛用于渗透测试和安全审计。

NoSQLMap

• 用于自动化发现和利用NoSQL数据库中的安全漏洞的工具。

WebShell

• Web服务器上的后门脚本集合，用于远程控制和执行恶意操作。

WebShell管理工具

1. 菜刀

   • 管理和控制WebShell的工具，常用于非法入侵活动。

2. 蚁剑

   • 多功能的WebShell管理工具，支持远程代码执行（RCE）等功能。

3. 冰蝎

   • 另一个常用的WebShell管理工具，提供强大的远程控制能力。

内网渗透工具

1. Metasploit Framework（msf）

   • 全面的渗透测试工具集，包括多种漏洞利用模块和攻击工具。

2. Cobalt Strike（CS）

   • 专业的渗透测试工具，提供高级的攻击和渗透功能，如克隆网站和生成Word宏病毒等。

Proxy工具

1. ReGeorg
2. EarthWorm
3. Termite
4. ProxyChains-ng
5. Proxifier
6. Venom
7. OpenVPN

提权工具

1. windows-kernel-exploits
2. linux-kernel-exploits
3. LinEnum

端口转发工具

• 根据需要选择合适的工具。（windows、linux）

手机短信接收平台

• materialtools
• z-sms
• receive-sms-online

在线临时匿名邮箱

• yopmail

在线邮件伪造

• EMKEI
• 小幻邮箱系统

在线短链生成

• 站长之家
• 短网址工具

在线MD5解密

• cmd5
• zuWuwang
• somd5
• pmd5
• chamd5
• xmd5
• ttmd5