持续补完中......

1. 信息收集

1.1. 域名与IP

IP方面，更多的通过一个主机安全的视角去考虑：

• 绕CDN找出⽬标所有真实ip段
• 找⽬标的各种Web管理后台登录⼝
• 批量抓取⽬标所有真实C段 Web banner
• 批量对⽬标所有真实C段 进⾏基础服务端⼝扫描探测识别 尝试

域名方面，更多从Web安全视角去考虑：

• 域名解析系统信息，尝试⽬标DNS是否允许区域传送,如果不允许则继续尝试⼦域爆破
• ⽬标Git、Svn、DS_store⾥泄露的各类 敏感⽂件 ⽹站⽬录扫描 [ 查找⽬标⽹站泄露的各类敏感⽂件, ⽹站备份⽂件, 敏感配置⽂件, 源码 , 别⼈的webshell, 等等等...]
• 分析⽬标app Web请求
• 能否借助js探针搜集⽬标内⽹信息

1.2. 端口与服务

80 443的Web服务

3306的mysql、6379的redis，以及各种特定端口所指向的服务都是标准攻击面

8000--10000的各种自定义服务（很多Web页也开在这儿）

1.3. OSINT

• 查目标与控股单位，如果内网连通即高效攻击

• 在单位公布的重要方案、文档里可能找到IP、默认账号密码等源代码招投标信息，摸排供应链信息，并分析⽬标直接供应商 [尤其是技术外包]

• 移动端资产收集：微信公众号和小程序还是用手机微信搜索比较方便，也可以通过搜狗来发现目标大概有哪些公众号，往往还是抓包测试。

• Shodan、Fofa、Zoomeye等空间搜索引擎

• Github、Google hacking等传统信息泄露收集方式

• 从各第三⽅历史漏洞库中查找⽬标曾经泄露的 各种敏感账号密码 [ 国内⽬标很好使 ]

• 想办法混⼊⽬标的各种 内部QQ群 / 微信群

• 搜集⽬标 学⽣学号 / 员⼯⼯号 / ⽬标邮箱 [ 并顺⼿到各个社⼯库中去批量查询这些邮箱曾经是否泄露过密码 ]

1.4. C段

因为现在很多都上阿里云，C段有点难用。

HW时候还挺好用，目标C段可以找到其他服务打进去，很多时候同C段的其他机器防护不严密。

2. 打点

2.1. 前期收集服务1/0Day

2.2. 前期OSINT成果可利用的点

2.3. 钓鱼（结合社工）

2.4. 迂回上下游

2.5. 近源渗透/供应链攻击/...——突出一个非常规

3. 当前目标整理

3.1. 凭证信息

尝试深层凭证读取及凭证复用。

3.2. 本地通往他处途径

根据目标可达性确定代理以方便渗透。

通向其他目标，考虑后期方向。

4. 横纵向扩散

4.1. 机制性的扩散方式

比如拿下的机器是域管，拿到天擎权限之类，还有PTH等等

4.2. 常规对主机渗透思路扩散

扫内网主机，看开了什么服务，从各种服务的利用上考虑，当然 包括Web服务。

X. Repeat