20个渗透测试关键突破口

一、信息收集阶段的突破口

1. 子域名枚举与隐藏资产挖掘

• • 原理：目标主站防护严密时，子域名或未公开的测试环境可能成为薄弱点。
• • 实践工具：Sublist3r（基于搜索引擎）、Amass（DNS爆破）、Censys（证书透明度日志查询）。
• • 案例：某企业官网主站无漏洞，但通过子域名dev.xxx.com发现未授权测试环境，直连内部数据库。

2. 端口扫描与服务指纹识别

• • 原理：非常用端口可能运行老旧服务（如Redis未授权访问）。
• • 工具实践：Nmap脚本-sV识别服务版本，结合Metasploit的auxiliary/scanner模块检测已知漏洞。
• • 关键点：重点关注22/SSH、6379/Redis、5984/CouchDB等高危端口。

3. 目录遍历与敏感文件泄露

• • 经典漏洞：/admin、/backup目录未授权访问，或.git源码泄露。
• • 自动化工具：Dirsearch、Gobuster配置字典爆破，GitHacker恢复.git仓库。
• • 案例：某电商平台因.env文件泄露数据库凭证，导致用户数据被拖取。

4. GitHub信息泄露监控

• • 方法：搜索目标关联代码仓库中的关键词（如password、AK/SK）。
• • 工具链：GitHub高级搜索语法（filename:.env org:xxx），GitGuardian实时监控。
• • 防御建议：强制代码仓库设置.gitignore并开启敏感信息扫描。

5. C段存活主机探测

• • 场景：同一IP段内其他主机可能属于目标资产（如运维管理后台）。
• • 工具：Masscan快速扫描C段，结合Nmap二次验证服务。
• • 风险：云服务器共享IP段时，可能误触其他企业资产，需注意授权范围。

二、漏洞利用的关键路径

6. 第三方服务集成漏洞

• • 典型漏洞：
  • • Jira未授权漏洞（CVE-2019-11581）：直接访问/secure/QueryComponent!Default.jspa获取系统权限。
  • • Confluence OGNL注入（CVE-2022-26134）：构造恶意URI执行命令。
• • 防御：定期更新第三方组件，关闭非必要功能。

7. CMS指纹识别与历史漏洞利用

• • 工具：Wappalyzer识别CMS类型（如WordPress、Drupal）。
• • 漏洞库：Exploit-DB、CVE Details匹配历史漏洞EXP。
• • 案例：某政府网站使用ThinkPHP 5.0.23，利用/index.php?s=/Index/thinkapp/invokefunction触发RCE。

8. API接口未授权访问与参数篡改

• • 检测方法：
  • • 抓取App/Web端API请求，测试越权访问（如修改user_id参数）。
  • • 使用Postman构造JSON参数，尝试注入SQL或命令。
• • 案例：某社交平台API未校验JWT令牌，通过篡改role字段提升至管理员权限。

9. 员工信息收集与钓鱼入口

• • 数据源：LinkedIn、企业通讯录、邮箱规则（如[email protected]）。
• • 社工手段：伪造HR发送“薪资调整”钓鱼邮件，诱导点击恶意链接。
• • 防御建议：全员安全意识培训，部署邮件网关过滤恶意附件。

10. 历史漏洞库快速匹配

• • 资源：
  • • Vulhub：一键搭建漏洞复现环境。
  • • Nuclei：基于YAML模板的批量漏洞检测。
• • 案例：通过Shodan搜索暴露的Jenkins服务，利用CVE-2018-1000861执行远程代码。

三、高级渗透技术

11. 供应链攻击：依赖包投毒

• • 方法：分析目标系统使用的第三方库（如PyPI、npm包），上传含后门的同名组件。
• • 检测工具：Dependency-Check、Snyk扫描依赖链风险。
• • 知名事件：2021年Codecov Bash脚本被篡改，窃取用户环境变量。

12. 移动应用逆向与API密钥提取

• • 工具链：
  • • Android：Apktool反编译APK，Frida Hook敏感函数。
  • • iOS：iOS SSL Kill Switch绕过证书绑定，Charles抓取API请求。
• • 案例：某银行App硬编码加密密钥，导致传输数据可被解密。

13. 云服务配置错误利用

• • 常见漏洞：
  • • AWS S3存储桶权限设置为Public。
  • • Kubernetes Dashboard未启用认证，直接执行容器命令。
• • 工具：CloudScraper扫描云资产，PACU自动化攻击AWS环境。

14. 旁站攻击：利用同服务器其他网站

• • 条件：目标与其他网站共享服务器，存在目录权限交叉。
• • 利用方式：通过旁站上传WebShell，遍历目录访问目标数据。
• • 防御：严格隔离不同网站的服务器权限，禁用PHP的open_basedir。

15. 物理渗透测试：办公区域突破

• • 场景：
  • • 伪造访客身份进入办公区，插入恶意USB设备（如Rubber Ducky）。
  • • 扫描内部WiFi（如SSID包含公司名），破解弱密码（WPA2-PSK）。
• • 防御：启用802.1X认证，部署网络准入控制（NAC）。

四、权限提升与横向移动

16. Windows本地提权漏洞利用

• • 经典漏洞：
  • • Print Spooler漏洞（CVE-2021-1675）：通过RpcAddPrinterDriver提权。
  • • AlwaysInstallElevated策略：绕过UAC安装恶意MSI包。
• • 工具：PowerUp.ps1检测错误配置，Metasploit的getsystem模块。

17. Linux内核漏洞提权

• • 漏洞检测：
  • • 使用Linux Exploit Suggester检查内核版本匹配的EXP。
  • • Dirty Cow（CVE-2016-5195）、Polkit（CVE-2021-3560）等高危漏洞。
• • 限制：需根据发行版（Ubuntu/CentOS）选择对应利用代码。

18. 数据库漏洞与逃逸技术

• • MySQL UDF提权：上传自定义DLL文件执行系统命令。
• • PostgreSQL COPY FROM PROGRAM：利用COPY命令执行Shell指令。
• • 防御：数据库账户降权，禁用高危函数。

19. 横向移动：Pass-the-Hash与票据传递

• • 工具：Mimikatz提取NTLM哈希，Impacket的psexec.py横向扩散。
• • 检测：监控Event ID 4624（登录类型3）异常登录行为。

20. 日志清除与痕迹隐藏

• • Windows：使用wevtutil清除指定日志（wevtutil cl Security）。
• • Linux：替换/var/log/auth.log，删除当前用户历史命令（history -c）。
• • 防御：日志实时同步至SIEM系统，防止本地篡改。

渗透测试的突破口往往存在于细节中，需结合系统化思维与自动化工具。本文列举的20个思路既可独立使用，亦可组合形成攻击链。防御方应定期进行红蓝对抗演练，修补暴露面，构建纵深防御体系。