大型集团渗透测试实战教学文档<\/h1>

1. 目标资产评估与优先级划分<\/h2>

1.1 目标资产分级策略<\/h3>

第一梯度目标<\/strong>：<\/p>

私企、医疗、科技园区、工厂<\/li>
特点：业务体量大、互联网暴露面多<\/li>
攻击优先级：最高<\/li> <\/ul>
第二梯度目标<\/strong>：<\/p>

政府单位（人社厅\/局、教育厅\/局）、学校、国企<\/li>
特点：防护等级中等，安全意识薄弱，监控力度白天>晚上<\/li>
攻击优先级：中等<\/li> <\/ul>
第三梯度目标<\/strong>：<\/p>

电力、金融单位<\/li>
特点：安全性高、暴露面少，安全规范严格<\/li>
攻击优先级：低（护网收尾时考虑）<\/li> <\/ul>
2. 信息收集方法论<\/h2>
2.1 资产测绘三维度<\/h3>

企业关系维度<\/strong>：<\/p>

使用爱企查查询控股子公司<\/li>
通过招标文件及官网信息查询第三方供应商<\/li>
通过ICP备案查询企业注册的域名、小程序、APP资产<\/li> <\/ul> <\/li>

自动化收集工具<\/strong>：<\/p>

子域名扫描<\/li>
DNS查询<\/li>
端口扫描<\/li>
指纹识别<\/li>
漏洞测试<\/li> <\/ul> <\/li>

业务关联维度<\/strong>：<\/p>

根据目标类型（如制造业）收集相关业务系统<\/li>
旁站信息收集<\/li> <\/ul> <\/li> <\/ol>
2.2 关键资产搜索技巧<\/h3>
搜索语法<\/strong>：<\/p>
title关键字： domain="xxx.com" && (web.title="管理" || web.title="后台" || web.title="登录" || web.title="邮件" || web.title="教务" || web.title="注册" || web.title="访客") body关键字： domain="xxx.com" && (web.body="管理" || web.body="后台" || web.body="登录" || web.body="用户名" || web.body="密码" || web.body="验证码" || web.body="系统" || web.body="账号" || web.body="忘记密码") <\/code><\/pre> 推荐资产收集平台<\/strong>：<\/p> Hunter：备案内容收录快、新<\/li> Fofa：数据量大但效果下降<\/li> 360quake：已备案资产收集顶尖<\/li> Zero零零信安：移动资产、小程序搜索突出<\/li> 微步情报社区：端口、whois信息、子域名方面顶级<\/li> <\/ol> 3. Shiro反序列化漏洞利用<\/h2> 3.1 攻击流程<\/h3> 发现Shiro框架后准备爆破密钥<\/li> 针对WAF防护环境使用定制化工具（推荐ShiroAttack2二开版本）<\/li> 添加WAF绕过功能（关键点）<\/li> <\/ol> 3.2 工具推荐<\/h3> 基础工具：https:\/\/github.com\/SummerSec\/ShiroAttack2<\/li> 改进方向：添加WAF绕过功能<\/li> <\/ul> 4. 权限提升与敏感信息收集<\/h2> 4.1 配置文件收集命令<\/h3> dir \/s\/b *.conf <\/code><\/pre> 4.2 敏感信息关键词列表（Go程序收集）<\/h3> jdbc, redis, mysql, pgsql, postgresql, oracle, oss, oss.accessKey, oss.secretKey, secretKey, accessKey, ak, sk, mongondb, password, username, mail, token, datasource, accessKeyId, accessKeySecret, mssql, sqlserver, aliyun, oss, kingbase8, kingbase, SQLite, Neo4j, access_key, access_token, admin_pass, admin_user, algolia_admin_key, algolia_api_key, alias_pass, alicloud_access_key, amazon_secret_access_key, amazonaws, ansible_vault_password, aos_key, api_key, api_key_secret, api_key_sid, api_secret, api.googlemaps AIza, apidocs, apikey, apiSecret, app_debug, app_id, app_key, app_log_level, app_secret, appkey, appkeysecret, application_key, appsecret, appspot, auth_token, authorizationToken, authsecret, aws_access, aws_access_key_id, aws_bucket, aws_key, aws_secret, aws_secret_key, aws_token, AWSSecretKey, b2_app_key, bashrc password, bintray_apikey, bintray_gpg_password, bintray_key, bintraykey, bluemix_api_key, bluemix_pass, browserstack_access_key, bucket_password, bucketeer_aws_access_key_id, bucketeer_aws_secret_access_key, built_branch_deploy_key, bx_password, cache_driver, cache_s3_secret_key, cattle_access_key, cattle_secret_key, certificate_password, ci_deploy_password, client_secret, client_zpk_secret_key, clojars_password, cloud_api_key, cloud_watch_aws_access_key, cloudant_password, cloudflare_api_key, cloudflare_auth_key, cloudinary_api_secret, cloudinary_name, codecov_token, config, conn.login, connectionstring, consumer_key, consumer_secret, credentials, cypress_record_key, database_password, database_schema_test, datadog_api_key, datadog_app_key, db_password, db_server, db_username, dbpasswd, dbpassword, dbuser, deploy_password, digitalocean_ssh_key_body, digitalocean_ssh_key_ids, docker_hub_password, docker_key, docker_pass, docker_passwd, docker_password, dockerhub_password, dockerhubpassword, dot-files, dotfiles, droplet_travis_password, dynamoaccesskeyid, dynamosecretaccesskey, elastica_host, elastica_port, elasticsearch_password, encryption_key, encryption_password, env.heroku_api_key, env.sonatype_password, eureka.awssecretkey <\/code><\/pre> 4.3 企业密码规律分析<\/h3> 常见模式：集团名+年份+特殊字符（如wanhai2025@!+）<\/li> 建议：整合收集到的敏感信息生成密码本<\/li> <\/ul> 5. 内网渗透策略<\/h2> 5.1 初始访问后操作<\/h3> 不急于上线C2，先做完整信息收集<\/li> 重点检查配置文件（数据泄露分重要）<\/li> 发现杀毒软件（如ESET Security企业版）需做免杀<\/li> <\/ol> 5.2 免杀与工具选择<\/h3> 推荐工具：<\/p> Vshell（内网隧道搭建）<\/li> Cobalt Strike（内网渗透，配合优秀插件）<\/li> fscan（内网扫描）<\/li> netspy（内网可达网段扫描）<\/li> <\/ul> <\/li> 免杀技巧：<\/p> 自行开发免杀工具<\/li> 应急方案：使用火绒的强碎粉碎功能删除杀软安装目录<\/li> <\/ul> <\/li> <\/ol> 5.3 内网扫描注意事项<\/h3> 扫描速率调低！调低！调低！<\/li> 优先顺序：数据库、主机权限<\/li> Web权限<\/li> <\/ol> <\/li> <\/ul> 6. 域内信息收集技术<\/h2> 6.1 基础主机信息收集<\/h3> ipconfig \/all # 查看IP配置、DNS服务器(通常为域控) systeminfo # 获取操作系统、补丁、域信息 net time \/domain # 确认域连接状态并探测域控主机名 net config workstation # 显示计算机名、用户名、工作站域 whoami \/all # 查看当前用户权限、SID、所属组 <\/code><\/pre> 6.2 用户与组枚举<\/h3> net user \/domain # 列出域内所有用户 net user <username> \/domain # 查询指定域用户详细信息 net group \/domain # 列出域内所有组 net group "Domain Admins" \/domain # 枚举域管理员组成员 net group "Enterprise Admins" \/domain # 枚举企业管理员组成员(林根域) <\/code><\/pre> 6.3 计算机对象枚举<\/h3> net group "Domain Computers" \/domain # PowerShell更全面的方式： Get-ADComputer -Filter * -Properties * | Select-Object Name, OperatingSystem <\/code><\/pre> 6.4 域信任关系发现<\/h3> nltest \/domain_trusts \/all_trusts \/v # 枚举当前域的所有信任关系 # PowerShell方式： Get-ADTrust -Filter * -Properties * | Select-Object Name, Direction, Source, Target <\/code><\/pre> 6.5 组策略信息提取<\/h3> gpresult \/H report.html \/Scope Computer <\/code><\/pre> 7. 横向移动策略<\/h2> 优先获取主机权限作为跳板机<\/li> 避免在入口点机器制造过大动静<\/li> 使用RDP进行内网移动<\/li> 在每个新控制的主机上重复信息收集流程<\/li> <\/ol> 8. 防御规避技巧<\/h2> 针对杀毒软件：<\/p> 定制免杀工具<\/li> 应急情况下直接粉碎杀软安装目录<\/li> <\/ul> <\/li> 针对态势感知：<\/p> 降低操作频率<\/li> 使用合法凭证和协议<\/li> 避免触发异常行为检测<\/li> <\/ul> <\/li> <\/ol> 9. 总结与最佳实践<\/h2> 渗透测试本质是信息收集<\/li> 资产测绘是大型目标攻防的关键<\/li> 内网渗透要"能打就打，不能打就走"<\/li> 优先获取主机权限而非死磕单一入口<\/li> 数据泄露分在近年攻防中地位提升<\/li> 工具二开能力成为高级渗透测试必备技能<\/li> <\/ol>