文章没有太多的技术含量，纯属胡言乱语加装逼，有些已经不适用现在的环境，所有的 *** 均经过实际环境的验证并有效实施，并不适用于所有的环境，纸上谈兵，各位当故事看看即可，仁者见仁，智者见智。

　　1、防火墙穿透

　　2、木马免杀穿透

　　3、内网信息收集及目标定位

　　4、关于文件下载

　　渗透，顾名思义已经获取到目标的部分权限，需要进一步扩大战果了，这里会遇到各种各样的问题，

　　比如信息收集，比如目标的查找，比如文件下载的方式，比如等等

　　

　　首先说防火墙穿透，现在的业务环境各种ids,各种ngxxx,各种waf,isa策略，各种牛逼的杀毒带防火墙一体的软硬件，websense，bluecoat为代表的网关，策略上最基础的就是黑白名单，这种是目前各大杀软厂商和waf厂商常用的。

　　针对黑白名单的策略，首先是查找可信任的白名单ip,最简单有效的信任机制是各大软件服务商的域名及ip列表，比如微软，google，adobe，Yahoo，各大杀毒软件厂商以及一些系统升级的镜像源，

　　如果一些信任厂商提供二级甚至三级域名服务，那么只需申请该厂商的域名即可，代表性的有早期的yahoo提供二级域名和三级域名申请，现在的google同样提供域名申请。如果需要木马上线域名配置，上线域名使用此类域名，即可绕过黑白名单机制。

　　另外一种情况仅仅是针对价值更高的目标，也可能需要长久的控制目标，此时需要提前入侵一些大的软件和系统服务商，以次类机器作为上线或者反弹跳板，如windows系统升级服务器，adobe系统升级服务器，ibm 中间件升级服务器，windows邮件服务器，第三方杀毒软件厂商升级服务器等等。

　　同时可以考虑入侵防火墙，路由和 *** 服务器以及f5设备，f5设备的成功率之高你永远都想象不到，永远不要瞧不起弱口令这种看起来没有技术含量的问题。通过此类设备创建ssh正向或者反向 *** ，可以藐视90%的防火墙设备。

　　另外一点是内网之间的相互访问，如域间的信任关系，工作组和工作组之间的信任关系，跨vlan等。

　　apt之类的，已经用烂的手法，大家也都天天听的耳朵起茧了，就不多逼逼了。

　　之一种地球人都知道的就是通过入侵一些网关路由和边界设备，来进行内网间的突破，如查找内网proxy server，http proxy，sharepoint服务器，oa,项目管理平台，内网邮件服务器等，还有一种可能大家不常用到的方式是通过共享打印机来创建proxy，此 *** 仅限于hp的几种型号的打印机，通过共享打印机来创建proxy server，实现工作组和vlan之间的相互访问。

　　对于木马的免杀和上线，这里只举几个简单的例子，大家可以根据自己的实际环境来进行操作。

　　1、传统的免杀无外乎加花混淆加壳，这种的难度大，并且随时被k,这里介绍一种可能大家也都用烂的 *** ，考虑到很多人可能还没用过，就逼逼两句。

　　杀毒软件除了杀特征还要检查文件的签名，这个时候加载各种正常的签名，如支付宝的签名，a3,安博士的签名，基本上杀毒软件就哑巴了，所以各种撸站侠在平时撸站的过程中注意积累，有牛逼的签名记得下载回来。

　　2、杀毒软件也会累，小文件随意检查，大家为隐蔽性往往会把木马的体积做的很小，殊不知，这样反倒是弄巧成拙，大、大、大、大、大、大，对，做大，木马的服务端一定要做的足够大，你问我多大？300兆往上的做，不开玩笑，用空字节填充，能做多大做多大。

　　关于上线，大家为了木马上线也是绞尽脑汁，各种 *** ，各种尝试，这里说几点以前用过的方式，有些现在还有效，有些可能已经失效，只做个人 *** 总结，勿喷。

　　1、通过邮箱上线和控制，这一点最早是darkmoon使用的方式，服务端通过公共邮件服务器上线，接受指令进行操作，同时传回执行结果。

　　3、通过https上线，这一点在cobalt strike的beacon里面有充分的体现。

　　4、通过p2p协议，这样一方面可以实现木马的内网穿透和防火墙穿透，另外可以随时找到可以上线的机器作为控制端，不过目前很多工具都封锁了p2p，这种上线方式已经不再适用。

　　5，通过sshagent方式上线，针对特定的环境，给木马服务端加上sshagent功能，可以实现防火墙穿透上线。

　　1、传统的扫描，扫描也分两种，一种是会触发ids的，一种是不会触发ids的，控制扫描的频率和速度，可以大大降低被发现的风险，针对windows机器，可以考虑用wmi脚本和powershell脚本进行扫描，低频扫描可以很容易的绕过ids的规则，同时可以考虑使用内网管理工具使用的相同协议进行扫描探测。

　　2、xss，uxss进行内网信息收集和探测，不管使用何种方式，让目标触发我们的脚本代码，获取到目标的信息。

　　3、邮件定位，伪造一封让目标会回复的邮件，通过回复邮件查看原始邮件头，获取到目标的信息

　　可能有人会说既然能让目标访问我们的脚本和回邮件了，干嘛不挂马，这个问题我不多说了，给你一个微笑，自己慢慢体会。

　　文件下载，也分为两种，一种是一锤子买卖，下完 *** 都不擦走人的，一种是细水长流，慢慢下载的。

　　之前sony事件的时候有大神提了各种神乎其神的下载文件的方式，我只回了个呵呵，因为一看就不是练家子，理论知识大于实践的，肯定没去工地搬过砖。

　　1、一般的撸站侠都喜欢在夜深人静的时候或者非业务高峰期下载文件，目的是为了避开管理员的火眼金睛，其实这样真的是大错特错啊，非业务高峰时段，路由日志显示带宽一下子跑到几百兆，你看了你不蛋疼？所以，更好是在业务高峰时段，带宽流量非常大，你那几十兆几百兆甚至几个g的流量对于一天几十上百g的流量公司来说，九牛一毛都算不上，没人会注意的，完全淹没在噪声里了。

　　2、之前大神说过，可以ddos目标，然后流量大的时候去下载文件回来，所以我说大神肯定没去工地搬过砖，撸站侠们都知道，撸站的时候最恨的就是正在撸的时候目标被人ddos了，整个目标的带宽都被占完了，下载文件回来就是个笑话，所以这种的就不要信了，当笑话听听就好了。

　　4、文件多，持续更新的，就需要细水长流的下载了，这个时候就需要考虑隐蔽性了，有时候文件比较大，分包压缩是肯定的，这大文件在硬盘上必然比较显眼，所以需要把文件分散转移，放在哪里也是一门学问，对于有公司办公 *** 的，推荐放在更新服务器上，或者文件服务器上，一个是正常的链接通讯，不容易被管理员怀疑，另外一方面这些服务器的空间都比较大，放在上面不会特别突兀。 还有一种比较好的存储就是共享打印机，一般的打印机都有2-4g的存储空间，通过这些打印机存储可以长时间存储不被发现，文件下载的方式可以考虑https，sftp等方式进行下载。

　　最后说一点，能命令行千万不要gui，不是为装逼，只是为了减少触发waf和ids报警的几率。如通过webshell访问数据和console下面通过tsql访问数据库触发的规则是完全不一样的。

　　以上的逼逼叨纯属吹牛逼，切勿信以为真。

　　【原文：渗透逼逼叨作者:Sh@doM 】