Executes comprehensive network penetration tests on authorized targets using Nmap for discovery/scanning, Metasploit for exploitation, following PTES from recon to post-exploitation and reporting.
npx claudepluginhub killvxk/cybersecurity-skills-zhThis skill uses the workspace's default tool permissions.
- 在部署前后评估内部或外部网络基础设施的安全态势
Conducts network penetration tests on authorized targets using Nmap, Metasploit, and PTES methodology for host discovery, port scanning, vulnerability identification, and exploitation assessment.
Guides authorized network penetration tests: host discovery, port scanning, service enumeration, vulnerability assessment, and controlled exploitation using Nmap, Metasploit per PTES methodology.
Performs external network penetration testing on internet-facing infrastructure using PTES: reconnaissance with OSINT/Nmap, scanning with Nessus/OpenVAS, exploitation with Metasploit, and reporting to identify vulnerabilities.
Share bugs, ideas, or general feedback.
不适用场景:未经资产所有者明确书面授权的网络测试、未预先批准变更窗口和回滚计划的生产系统测试,或未明确划定范围和授权的拒绝服务测试。
通过与客户确认 IP 范围来验证范围。使用 ARIN/RIPE WHOIS 查询验证范围内的所有 IP 地址均属于客户。确认测试窗口、升级程序和任何敏感性约束。使用专用虚拟机、VPN 连接和所有工具启用日志记录来设置测试环境。创建带时间戳的活动日志,记录整个演练过程中执行的每条命令、发起的每次扫描和尝试的每次漏洞利用。
使用分层发现技术识别授权范围内的存活主机:
nmap -sn -PE -PP -PM 10.10.0.0/16 -oA discovery_icmp 查找响应 ping 的主机nmap -sn -PR 10.10.0.0/24 -oA discovery_arp 或 arp-scan -l 进行本地子网枚举nmap -sn -PS21,22,25,80,443,445,3389,8080 10.10.0.0/16 -oA discovery_tcp 查找 ICMP 被阻止的主机nmap -sn -PU53,161,500 10.10.0.0/16 -oA discovery_udp 查找仅响应 UDP 的主机将存活主机整合到目标列表中。通过识别网关、VLAN 边界和信任关系来映射网络拓扑,在授权范围内使用 traceroute 和 SNMP 社区字符串猜测。
对发现的主机执行详细端口扫描:
nmap -sS -p- --min-rate 1000 -T4 -oA full_tcp <target> 识别所有开放的 TCP 端口nmap -sU --top-ports 200 -T4 -oA top_udp <target> 针对常见可利用的 UDP 服务nmap -sV -sC -p <open_ports> -oA service_enum <target> 对服务版本进行指纹识别并运行默认 NSE 脚本nmap -O --osscan-guess -oA os_detection <target> 识别操作系统使用协议专属工具深度枚举已发现的服务:
enum4linux -a <target>、crackmapexec smb <target> --sharessnmpwalk -v2c -c public <target>dig axfr @<dns_server> <domain> 尝试区域传输ldapsearch -x -H ldap://<target> -b "dc=example,dc=com"将发现的服务版本与已知漏洞数据库关联:
nmap --script vuln -p <ports> <target> 执行 NSE 漏洞脚本searchsploit <service> <version> 查询 Exploit-DB 离线数据库按 CVSS 评分、可利用性和业务影响对漏洞进行优先级排序。记录每个发现,包含 CVE 标识符、受影响主机、服务和版本。
遵循最小必要访问权限原则,尝试对已验证漏洞进行受控利用:
msfconsole 配合与已确认漏洞匹配的适当利用模块。设置 RHOSTS、RPORT 和载荷选项。优先使用绑定/反向 TCP Meterpreter 以实现后渗透灵活性hydra 或 crackmapexec 对已发现的服务(SSH、RDP、SMB、HTTP 基本认证)进行密码喷洒,使用常见凭据列表。遵守账户锁定策略impacket-psexec 尝试哈希传递或使用 impacket-ntlmrelayx 尝试中继攻击记录每次漏洞利用尝试(包括失败的尝试)。截取显示主机名、IP、当前用户和权限级别的成功入侵截图。
获得主机访问权限后,演示业务影响:
linpeas.sh(Linux)或 winPEAS.exe(Windows)检查本地权限提升路径。查找错误配置的服务、SUID 二进制文件、未加引号的服务路径或内核漏洞mimikatz)、文件(配置文件、浏览器存储)或缓存哈希(hashdump)提取存储的凭据维护关于每个横向移动点、获得的凭据和访问的系统的详细笔记,以构建攻击链叙述。
从已控制系统中删除所有测试工件:
准备渗透测试报告,包括执行摘要、方法论说明、带 CVSS 评分的发现详情、概念验证证据和优先级修复建议。
| 术语 | 定义 |
|---|---|
| 交战规则(RoE) | 正式文档,定义渗透测试的范围、边界、测试时间、授权行动和升级程序 |
| 横向移动 | 将已控制主机用作中继点,访问测试人员位置无法直接到达的其他网络段 |
| 服务枚举 | 识别已发现主机上运行的服务、版本和配置,以映射攻击面的过程 |
| 凭据喷洒 | 对多个账户同时测试少量常用密码,以避免触发账户锁定阈值 |
| CVSS | 通用漏洞评分系统;用于以 0-10 评分评级漏洞严重性的行业标准框架 |
| 横向移动 | 在网络内从一个已控制系统移动到另一个系统的技术,扩大访问范围 |
| 后渗透 | 初始入侵后的活动,包括权限提升、持久化、凭据收割和数据访问 |
背景:客户是一家中型银行,需要 PCI-DSS 合规。范围包括内部企业网络(10.10.0.0/16),不包括独立 VLAN 中的支付处理系统。测试窗口为周一至周五 20:00-06:00,以最小化对运营的影响。
方法:
常见陷阱:
## 发现:Apache Tomcat 未修补且使用默认凭据
**ID**: NET-001
**严重性**: 严重(CVSS 9.8)
**受影响主机**: 10.10.5.23(tomcat-prod.internal.corp)
**服务**: Apache Tomcat 8.5.31,端口 8080
**CVE**: CVE-2019-0232
**描述**:
10.10.5.23:8080 上的 Apache Tomcat 实例运行版本 8.5.31,
易受 CVE-2019-0232(通过 CGI Servlet 远程执行代码)攻击。
此外,Tomcat Manager 界面可使用默认凭据(tomcat:tomcat)访问,
允许部署任意 WAR 文件。
**概念验证**:
1. 使用凭据 tomcat:tomcat 访问 http://10.10.5.23:8080/manager/html
2. 部署包含反向 Shell 载荷的恶意 WAR 文件
3. 获得以 NT AUTHORITY\SYSTEM 身份的命令执行权限
**影响**:
Tomcat 服务器完全入侵。从该主机,测试人员
使用收割的凭据横向移动到同一子网的 3 个其他系统,
最终访问包含 50,000+ 条记录的客户数据库。
**修复建议**:
1. 立即更改默认 Tomcat Manager 凭据
2. 将 Apache Tomcat 升级到最新稳定版本(当前为 10.1.x)
3. 限制 Tomcat Manager 界面只允许授权管理 IP 访问
4. 在 Web 服务器层和数据库层之间实施网络分段