大型集团渗透测试实战教学文档

1. 目标资产评估与优先级划分

1.1 目标资产分级策略

第一梯度目标：

私企、医疗、科技园区、工厂
特点：业务体量大、互联网暴露面多
攻击优先级：最高

第二梯度目标：

政府单位（人社厅/局、教育厅/局）、学校、国企
特点：防护等级中等，安全意识薄弱，监控力度白天>晚上
攻击优先级：中等

第三梯度目标：

电力、金融单位
特点：安全性高、暴露面少，安全规范严格
攻击优先级：低（护网收尾时考虑）

2. 信息收集方法论

2.1 资产测绘三维度

企业关系维度：
- 使用爱企查查询控股子公司
- 通过招标文件及官网信息查询第三方供应商
- 通过ICP备案查询企业注册的域名、小程序、APP资产
自动化收集工具：
- 子域名扫描
- DNS查询
- 端口扫描
- 指纹识别
- 漏洞测试
业务关联维度：
- 根据目标类型（如制造业）收集相关业务系统
- 旁站信息收集

2.2 关键资产搜索技巧

搜索语法：

title关键字：
domain="xxx.com" && (web.title="管理" || web.title="后台" || web.title="登录" || web.title="邮件" || web.title="教务" || web.title="注册" || web.title="访客")

body关键字：
domain="xxx.com" && (web.body="管理" || web.body="后台" || web.body="登录" || web.body="用户名" || web.body="密码" || web.body="验证码" || web.body="系统" || web.body="账号" || web.body="忘记密码")

推荐资产收集平台：

Hunter：备案内容收录快、新
Fofa：数据量大但效果下降
360quake：已备案资产收集顶尖
Zero零零信安：移动资产、小程序搜索突出
微步情报社区：端口、whois信息、子域名方面顶级

3. Shiro反序列化漏洞利用

3.1 攻击流程

发现Shiro框架后准备爆破密钥
针对WAF防护环境使用定制化工具（推荐ShiroAttack2二开版本）
添加WAF绕过功能（关键点）

3.2 工具推荐

基础工具：https://github.com/SummerSec/ShiroAttack2
改进方向：添加WAF绕过功能

4. 权限提升与敏感信息收集

4.1 配置文件收集命令

dir /s/b *.conf

4.2 敏感信息关键词列表（Go程序收集）

jdbc, redis, mysql, pgsql, postgresql, oracle, oss, oss.accessKey, 
oss.secretKey, secretKey, accessKey, ak, sk, mongondb, password, 
username, mail, token, datasource, accessKeyId, accessKeySecret, 
mssql, sqlserver, aliyun, oss, kingbase8, kingbase, SQLite, Neo4j, 
access_key, access_token, admin_pass, admin_user, algolia_admin_key, 
algolia_api_key, alias_pass, alicloud_access_key, amazon_secret_access_key, 
amazonaws, ansible_vault_password, aos_key, api_key, api_key_secret, 
api_key_sid, api_secret, api.googlemaps AIza, apidocs, apikey, apiSecret, 
app_debug, app_id, app_key, app_log_level, app_secret, appkey, 
appkeysecret, application_key, appsecret, appspot, auth_token, 
authorizationToken, authsecret, aws_access, aws_access_key_id, 
aws_bucket, aws_key, aws_secret, aws_secret_key, aws_token, 
AWSSecretKey, b2_app_key, bashrc password, bintray_apikey, 
bintray_gpg_password, bintray_key, bintraykey, bluemix_api_key, 
bluemix_pass, browserstack_access_key, bucket_password, 
bucketeer_aws_access_key_id, bucketeer_aws_secret_access_key, 
built_branch_deploy_key, bx_password, cache_driver, cache_s3_secret_key, 
cattle_access_key, cattle_secret_key, certificate_password, 
ci_deploy_password, client_secret, client_zpk_secret_key, 
clojars_password, cloud_api_key, cloud_watch_aws_access_key, 
cloudant_password, cloudflare_api_key, cloudflare_auth_key, 
cloudinary_api_secret, cloudinary_name, codecov_token, config, 
conn.login, connectionstring, consumer_key, consumer_secret, 
credentials, cypress_record_key, database_password, 
database_schema_test, datadog_api_key, datadog_app_key, db_password, 
db_server, db_username, dbpasswd, dbpassword, dbuser, deploy_password, 
digitalocean_ssh_key_body, digitalocean_ssh_key_ids, docker_hub_password, 
docker_key, docker_pass, docker_passwd, docker_password, 
dockerhub_password, dockerhubpassword, dot-files, dotfiles, 
droplet_travis_password, dynamoaccesskeyid, dynamosecretaccesskey, 
elastica_host, elastica_port, elasticsearch_password, encryption_key, 
encryption_password, env.heroku_api_key, env.sonatype_password, 
eureka.awssecretkey

4.3 企业密码规律分析

常见模式：集团名+年份+特殊字符（如wanhai2025@!+）
建议：整合收集到的敏感信息生成密码本

5. 内网渗透策略

5.1 初始访问后操作

不急于上线C2，先做完整信息收集
重点检查配置文件（数据泄露分重要）
发现杀毒软件（如ESET Security企业版）需做免杀

5.2 免杀与工具选择

推荐工具：
- Vshell（内网隧道搭建）
- Cobalt Strike（内网渗透，配合优秀插件）
- fscan（内网扫描）
- netspy（内网可达网段扫描）
免杀技巧：
- 自行开发免杀工具
- 应急方案：使用火绒的强碎粉碎功能删除杀软安装目录

5.3 内网扫描注意事项

扫描速率调低！调低！调低！
优先顺序：
1. 数据库、主机权限
2. Web权限

6. 域内信息收集技术

6.1 基础主机信息收集

ipconfig /all        # 查看IP配置、DNS服务器(通常为域控)
systeminfo           # 获取操作系统、补丁、域信息
net time /domain     # 确认域连接状态并探测域控主机名
net config workstation # 显示计算机名、用户名、工作站域
whoami /all          # 查看当前用户权限、SID、所属组

6.2 用户与组枚举

net user /domain                  # 列出域内所有用户
net user <username> /domain       # 查询指定域用户详细信息
net group /domain                 # 列出域内所有组
net group "Domain Admins" /domain # 枚举域管理员组成员
net group "Enterprise Admins" /domain # 枚举企业管理员组成员(林根域)

6.3 计算机对象枚举

net group "Domain Computers" /domain
# PowerShell更全面的方式：
Get-ADComputer -Filter * -Properties * | Select-Object Name, OperatingSystem

6.4 域信任关系发现

nltest /domain_trusts /all_trusts /v  # 枚举当前域的所有信任关系
# PowerShell方式：
Get-ADTrust -Filter * -Properties * | Select-Object Name, Direction, Source, Target

6.5 组策略信息提取

gpresult /H report.html /Scope Computer

7. 横向移动策略

优先获取主机权限作为跳板机
避免在入口点机器制造过大动静
使用RDP进行内网移动
在每个新控制的主机上重复信息收集流程

8. 防御规避技巧

针对杀毒软件：
- 定制免杀工具
- 应急情况下直接粉碎杀软安装目录
针对态势感知：
- 降低操作频率
- 使用合法凭证和协议
- 避免触发异常行为检测

9. 总结与最佳实践

渗透测试本质是信息收集
资产测绘是大型目标攻防的关键
内网渗透要"能打就打，不能打就走"
优先获取主机权限而非死磕单一入口
数据泄露分在近年攻防中地位提升
工具二开能力成为高级渗透测试必备技能

大型集团渗透测试实战教学文档 1. 目标资产评估与优先级划分 1.1 目标资产分级策略第一梯度目标：私企、医疗、科技园区、工厂特点：业务体量大、互联网暴露面多攻击优先级：最高第二梯度目标：政府单位（人社厅/局、教育厅/局）、学校、国企特点：防护等级中等，安全意识薄弱，监控力度白天>晚上攻击优先级：中等第三梯度目标：电力、金融单位特点：安全性高、暴露面少，安全规范严格攻击优先级：低（护网收尾时考虑） 2. 信息收集方法论 2.1 资产测绘三维度企业关系维度：使用爱企查查询控股子公司通过招标文件及官网信息查询第三方供应商通过ICP备案查询企业注册的域名、小程序、APP资产自动化收集工具：子域名扫描 DNS查询端口扫描指纹识别漏洞测试业务关联维度：根据目标类型（如制造业）收集相关业务系统旁站信息收集 2.2 关键资产搜索技巧搜索语法：推荐资产收集平台： Hunter：备案内容收录快、新 Fofa：数据量大但效果下降 360quake：已备案资产收集顶尖 Zero零零信安：移动资产、小程序搜索突出微步情报社区：端口、whois信息、子域名方面顶级 3. Shiro反序列化漏洞利用 3.1 攻击流程发现Shiro框架后准备爆破密钥针对WAF防护环境使用定制化工具（推荐ShiroAttack2二开版本）添加WAF绕过功能（关键点） 3.2 工具推荐基础工具：https://github.com/SummerSec/ShiroAttack2 改进方向：添加WAF绕过功能 4. 权限提升与敏感信息收集 4.1 配置文件收集命令 4.2 敏感信息关键词列表（Go程序收集） 4.3 企业密码规律分析常见模式：集团名+年份+特殊字符（如wanhai2025@ !+）建议：整合收集到的敏感信息生成密码本 5. 内网渗透策略 5.1 初始访问后操作不急于上线C2，先做完整信息收集重点检查配置文件（数据泄露分重要）发现杀毒软件（如ESET Security企业版）需做免杀 5.2 免杀与工具选择推荐工具： Vshell（内网隧道搭建） Cobalt Strike（内网渗透，配合优秀插件） fscan（内网扫描） netspy（内网可达网段扫描）免杀技巧：自行开发免杀工具应急方案：使用火绒的强碎粉碎功能删除杀软安装目录 5.3 内网扫描注意事项扫描速率调低！调低！调低！优先顺序：数据库、主机权限 Web权限 6. 域内信息收集技术 6.1 基础主机信息收集 6.2 用户与组枚举 6.3 计算机对象枚举 6.4 域信任关系发现 6.5 组策略信息提取 7. 横向移动策略优先获取主机权限作为跳板机避免在入口点机器制造过大动静使用RDP进行内网移动在每个新控制的主机上重复信息收集流程 8. 防御规避技巧针对杀毒软件：定制免杀工具应急情况下直接粉碎杀软安装目录针对态势感知：降低操作频率使用合法凭证和协议避免触发异常行为检测 9. 总结与最佳实践渗透测试本质是信息收集资产测绘是大型目标攻防的关键内网渗透要"能打就打，不能打就走" 优先获取主机权限而非死磕单一入口数据泄露分在近年攻防中地位提升工具二开能力成为高级渗透测试必备技能