《100个渗透测试技巧，能看懂一半已经是高手》 （上）

关于我：资深IT专家，AI布道者，15年实战老兵+多本专业图书作者+大厂技术面试官。

本文是基于实战经验，与最新技术趋势总结的，包括工具、系统参数、网络、架构、云多个方面，若能看懂一半，你已经是高手。

• 陆续整理ing，关注我，建议收藏备用

一、信息收集与侦查（26项）

1. 利用FOFA、Shodan搜索子域名、IP及关联服务，找到渗透目标
2. WHOIS反查获取域名注册人、邮箱、电话等敏感信息
3. GitHub敏感信息挖掘，API密钥、数据库凭据、配置文件泄露
4. 目录遍历与备份文件，尝试/robots.txt、/.git/、.bak文件下载
5. SSL证书解析，从证书中提取子域名与组织架构信息
6. 员工邮箱、社工库匹配，生成潜在用户名字典，使社工攻击精准化
7. 使用WAFW00F判断防护类型（Cloudflare/AWS WAF等），解决规则绕过盲点
8. 访问http://169.254.169.254，获取云主机临时凭证
9. ASN关联IP段，通过BGP查询定位目标网络范围
10. 尝试dig axfr @dns-server example.com获取完整记录，使域名解析暴露
11. C段扫描，利用Masscan快速探测同网段开放服务，提高横向渗透效率
12. 分析JS文件，从前端代码中提取API端点、硬编码密钥
13. 搜索引擎语法，使用site:example.com filetype:pdf挖掘文档
14. LinkedIn、Twitter中搜集技术栈与内部术语，使社工话术逼真化，解决身份伪装可信度问题
15. 调用ZoomEye、Censys接口，自动化收集资产
16. 伪造公共WiFi，捕获用户流量与凭证，使中间人攻击隐蔽化
17. Shodan Dork语法，搜索title:"Apache Tomcat"暴露的管理后台
18. 被动DNS监控，通过SecurityTrails，追踪历史解析记录
19. 利用Metasploit模块， 邮箱格式爆破，验证有效企业邮箱
20. 使用Nmap -sS -T4，隐蔽端口扫描，进行SYN半开扫描规避检测。
21. 用Sublist3r或OneForAll枚举子域名，注意过滤泛解析干扰（如DNS泛解析返回相同IP时，通过响应长度或内容差异区分）
22. Nmap高级参数-sV -O识别服务版本及操作系统，结合Masscan快速扫描大范围IP段
23. 从crt.sh等平台提取目标域名关联的SSL证书，发现隐藏资产
24. 搜索目标关键词，利用GitHack工具下载暴露的.git目录，还原源码
25. 通过Nmap脚本ipidseq.nse识别C段内活跃主机，绕过基础防火墙
26. Exploit-DB/CVE Details检索目标系统历史漏洞，预判薄弱点

二、漏洞挖掘与利用（20项）

1. Sqlmap参数--risk=3 --level=5绕过WAF，结合--os-shell获取交互式Shell，一击必杀，直击要害
2. 修改Content-Type为image/jpeg，利用.htaccess解析漏洞执行PHP
3. 反序列化漏洞利用，使用ysoserial生成Payload触发RCE，结合JRMP监听器绕过流量检测
4. 利用php://filter或路径穿越，读取敏感文件，利用gopher协议构造Redis未授权访问，反弹Shell到公网VPS，使本地文件泄露
5. 通过file:///协议或DNS重绑定攻击内网服务，使内网边界穿透
6. OAuth授权劫持，篡改回调URL窃取用户令牌，使权限横向转移
7. Hashcat爆破弱签名密钥，JWT令牌破解
8. Elasticsearch的9200端口执行任意代码，Redis写SSH公钥提权
9. XXE外部实体注入，读取/etc/passwd或进一步获取数据库配置文件
10. API未授权访问，遍历/api/v1/users，获取敏感数据
11. 云存储桶枚举，利用awscli列出公开S3桶并下载数据
12. 命令注入绕过，拼接;、&&或编码字符，可绕过并执行系统命令
13. 伪造Origin头，窃取跨域数据，使跨域攻击生效
14. Web缓存投毒，注入恶意头污染CDN缓存
15. HTTP请求走私，利用CL-TE差异劫持用户请求， 使请求解析混乱
16. SSTI执行Python/Ruby代码（如{{7*7}}），触发使服务端代码执行
17. Hydra针对SSH、RDP、FTP服务爆破
18. 监控Exploit-DB、GitHub获取最新PoC。，使攻击手段领先
19. DLL劫持利用，替换高权限应用依赖库实现提权
20. 修改订单价格参数（如price=0.01），绕过支付校验流程

三、权限提升与内网渗透（21项）

1. 利用PrintSpooler、JuicyPotato漏洞获取Windows SYSTEM权限。如Print Spooler（CVE-2021-1675）
2. Linux SUID滥用：查找find / -perm -4000并利用find、vim等，通过--exec执行命令提权
3. 替换应用程序依赖的DLL文件，加载恶意代码
4. 监控crontab任务，替换脚本内容插入反向Shell
5. krbtgt哈希伪造TGT票据，绕过Kerberos认证
6. DCSync攻击：模拟域控同步获取所有用户哈希
7. MS17-010利用：EternalBlue攻击未打补丁的SMB服务
8. 滥用特权容器，挂载宿主机目录，可以达到Docker逃逸的目的
9. 通过Windows计划任务，劫持定时任务执行恶意脚本，使持久化攻击生效
10. 建立动态端口转发，访问内网服务，SSH隧道穿透
11. Apache Tomcat弱口令部署WAR木马，获取服务器控制权
12. 修改AlwaysInstallElevated键值，绕过安装权限限制
13. WPAD代理劫持：伪造PAC文件，窃取HTTP凭据。
14. GPO策略利用：通过组策略部署后门程序，使域内主机批量感染
15. 通过MSSQL xp_cmdshell，启用并执行系统命令， 使数据库权限逃逸
16. Mimikatz抓取哈希，利用SMB协议横向移动
17. 通过Exchange漏洞利用，ProxyLogon/ProxyShell接管邮箱服务器。
18. 通过Powershell无文件攻击，下载并执行内存驻留木马。
19. 通过横向移动工具集，Cobalt Strike、Impacket框架自动化攻击。
20. 隐蔽后门部署，使用ICMP、DNS隧道维持持久访问
21. DirtyCow（CVE-2016-5195）覆盖敏感文件获取Root权限

（因篇幅限制，完整100条技巧后续逐步发布，关注我，获取完整PDF版本）