[套装书]从实践中学习Kali Linux无线网络渗透测试+Metasploit渗透测试魔鬼训练营（2册）

2.1.1 安装VMware Workstation虚拟机 9
2.1.2 安装Kali Linux系统 13
2.1.3 树莓派安装Kali Linux 27
2.2 软件需求 28
2.3 硬件需求 29
2.3.1 支持的无线网卡 29
2.3.2 支持监听模式的网卡 31
2.4 设置无线网卡 33
2.4.1 在虚拟机中使用USB无线网卡 33
2.4.2 启用网卡 37
2.4.3 安装驱动 41
2.4.4 连接到网络 41
第3章 无线网络监听模式 45
3.1 网络监听原理 45
3.1.1 无线网卡的工作模式 45
3.1.2 工作原理 46
3.2 设置监听模式 46
3.2.1 启用2.4GHz无线网卡监听 46
3.2.2 启用5GHz无线网卡监听 49
3.2.3 远程监听 50
第4章 扫描无线网络 52
4.1 扫描方式 52
4.1.1 主动扫描 52
4.1.2 被动扫描 52
4.2 扫描AP 53
4.2.1 扫描所有的AP 53
4.2.2 扫描开启WPS功能的AP 56
4.2.3 获取隐藏的ESSID 57
4.2.4 获取AP漏洞信息 58
4.3 扫描客户端 61
4.3.1 扫描记录所有的客户端 61
4.3.2 扫描未关联的客户端 61
4.3.3 查看AP和客户端关联关系 63
4.4 扫描地理位置 65
4.4.1 添加GPS模块 65
4.4.2 使用Airodump-ng记录GPS信息 66
4.4.3 使用Kismet记录GPS信息 68
4.4.4 查看GPS信息 72
第5章 捕获数据包 79
5.1 数据包概述 79
5.1.1 握手包 79
5.1.2 非加密包 80
5.1.3 加密包 81
5.2 802.11帧概述 81
5.2.1 数据帧 81
5.2.2 控制帧 83
5.2.3 管理帧 84
5.3 捕获数据包 85
5.3.1 设置监听信道 85
5.3.2 捕获数据包 86
5.3.3 使用捕获过滤器 88
5.4 分析数据包 91
5.4.1 显示过滤器 91
5.4.2 AP的SSID名称 93
5.4.3 AP的MAC地址 94
5.4.4 AP工作的信道 95
5.4.5 AP使用的加密方式 96
5.4.6 客户端连接的AP 97
5.5 解密数据包 97
5.5.1 解密WEP 98
5.5.2 解密WPA/WPA2 100
5.5.3 永久解密 103
第6章 获取信息 106
6.1 客户端行为 106
6.1.1 请求的网址及网页内容 106
6.1.2 提交的内容 108
6.1.3 提交的登录信息 110
6.1.4 请求的图片 112
6.2 判断是否有客户端蹭网 115
6.3 查看客户端使用的程序 116
6.3.1 通过DNS记录查看客户端使用的程序 116
6.3.2 通过协议查看客户端使用的程序 119
6.4 信息快速分析 120
6.4.1 使用EtterCap提取登录账户 120
6.4.2 使用driftnet提取图片 121
6.4.3 使用httpry提取HTTP访问记录 123
6.4.4 使用urlsnarf提取HTTP访问记录 124
6.4.5 使用Xplico提取图片和视频 125
6.4.6 使用filesnarf提取NFS文件 131
6.4.7 使用mailsnarf提取邮件记录 132
第7章 WPS加密模式 133
7.1 WPS加密简介 133
7.1.1 什么是WPS加密 133
7.1.2 WPS工作原理 133
7.1.3 WPS的漏洞 149
7.2 设置WPS加密 149
7.2.1 开启无线路由器的WPS功能 150
7.2.2 使用WPS加密方式连接无线网络 153
7.3 破解WPS加密 159
7.3.1 使用wifite工具 159
7.3.2 使用Reaver工具 160
7.3.3 使用Bully工具 161
7.3.4 使用PixieWPS工具 162
7.4 防止锁PIN 163
7.4.1 AP洪水攻击 163
7.4.2 EAPOL-Start洪水攻击 164
7.4.3 Deauth DDOS攻击 165
7.5 防护措施 165
第8章 WEP加密模式 169
8.1 WEP加密简介 169
8.1.1 什么是WEP加密 169
8.1.2 WEP工作原理 169
8.1.3 WEP漏洞分析 170
8.2 设置WEP加密 170
8.2.1 WEP认证方式 170
8.2.2 启用WEP加密 172
8.3 破解WEP加密 175
8.3.1 使用aircrack-ng工具 175
8.3.2 使用besside-ng自动破解 178
8.3.3 使用Wifite工具 178
8.3.4 使用Fern WiFi Cracker工具 180
8.4 防护措施 183
第9章 WPA/WPA2加密模式 184
9.1 WPA/WPA2加密简介 184
9.1.1 什么是WPA/WPA2加密 184
9.1.2 WPA/WPA2加密工作原理 185
9.1.3 WPA/WPA2漏洞分析 190
9.2 设置WPA/WPA2加密 190
9.2.1 启用WPA/WPA2加密 190
9.2.2 启用WPA-PSK/WPA2-PSK加密 191
9.3 创建密码字典 192
9.3.1 利用万能钥匙 192
9.3.2 密码来源 193
9.3.3 使用Crunch工具 194
9.3.4 使用共享文件夹 196
9.4 使用PMKs数据 199
9.4.1 生成PMKs数据 199
9.4.2 管理PMKs数据 200
9.5 握手包数据 201
9.5.1 捕获握手包 202
9.5.2 提取握手包 204
9.5.3 验证握手包数据 204
9.5.4 合并握手包数据 206
9.6 在线破解 207
9.6.1 使用Aircrack-ng工具 207
9.6.2 使用Wifite工具 208
9.6.3 使用Cowpatty工具 210
9.7 离线破解WPA加密 211
9.7.1 使用pyrit工具 211
9.7.2 使用hashcat工具 211
9.8 使用PIN获取密码 214
9.8.1 使用Reaver获取 214
9.8.2 使用Bully获取 215
9.9 防护措施 216
第10章 攻击无线AP 218
10.1 破解AP的默认账户 218
10.1.1 常见AP的默认账户和密码 218
10.1.2 使用Routerhunter工具 220
10.1.3 使用Medusa工具 222
10.2 认证洪水攻击 223
10.2.1 攻击原理 224
10.2.2 使用MDK3实施攻击 225
10.3 取消认证洪水攻击 226
10.3.1 攻击原理 227
10.3.2 使用MDK3实施攻击 227
10.4 假信标（Fake Beacon）洪水攻击 228
第11章 攻击客户端 231
11.1 使用伪AP 231
11.2 创建伪AP 231
11.2.1 安装并配置DHCP服务 231
11.2.2 使用Hostapd工具 234
11.2.3 强制客户端连接到伪AP 239
11.3 劫持会话 240
11.3.1 安装OWASP Mantra浏览器 241
11.3.2 使用Tamper Data插件 242
11.4 监听数据 247
11.4.1 实施中间人攻击 247
11.4.2 监听HTTP数据 251
11.4.3 监听HTTPS数据 253
11.5 控制目标主机 254
11.5.1 创建恶意的攻击载荷 254
11.5.2 使用攻击载荷 259



---------------------------Metasploit渗透测试魔鬼训练营---------------------------


《Metasploit渗透测试魔鬼训练营》
前言
致谢
第1章　魔鬼训练营——初识Metasploit1
1.1　什么是渗透测试1
1.1.1　渗透测试的起源与定义1
1.1.2　渗透测试的分类2
1.1.3　渗透测试方法与流程4
1.1.4　渗透测试过程环节5
1.2　漏洞分析与利用6
1.2.1　安全漏洞生命周期7
1.2.2　安全漏洞披露方式8
1.2.3　安全漏洞公共资源库9
1.3　渗透测试神器Metasploit11
1.3.1　诞生与发展11
1.3.2　渗透测试框架软件16
1.3.3　漏洞研究与渗透代码开发平台18
1.3.4　安全技术集成开发与应用环境19
1.4　Metasploit结构剖析20
1.4.1　Metasploit体系框架21
1.4.2　辅助模块23
1.4.3　渗透攻击模块23
1.4.4　攻击载荷模块25
1.4.5　空指令模块26
1.4.6　编码器模块26
1.4.7　后渗透攻击模块27
1.5　安装Metasploit软件28
1.5.1　在Back Track上使用和更新Metasploit29
1.5.2　在Windows操作系统上安装Metasploit29
1.5.3　在Linux操作系统上安装Metasploit30
1.6　了解Metasploit的使用接口31
1.6.1　msfgui图形化界面工具32
1.6.2　msfconsole控制台终端34
1.6.3　msfcli命令行程序36
1.7　小结38
1.8　魔鬼训练营实践作业39
第2章　赛宁VS.定V——渗透测试实验环境40
2.1　定V公司的网络环境拓扑41
2.1.1　渗透测试实验环境拓扑结构42
2.1.2　攻击机环境44
2.1.3　靶机环境45
2.1.4　分析环境50
2.2　渗透测试实验环境的搭建55
2.2.1　虚拟环境部署56
2.2.2　网络环境配置56
2.2.3　虚拟机镜像配置57
2.3　小结63
2.4　魔鬼训练营实践作业64
第3章　揭开“战争迷雾”——情报搜集技术65
3.1　外围信息搜集65
3.1.1　通过DNS和IP地址挖掘目标网络信息66
3.1.2　通过搜索引擎进行信息搜集72
3.1.3　对定V公司网络进行外围信息搜集79
3.2　主机探测与端口扫描80
3.2.1　活跃主机扫描80
3.2.2　操作系统辨识85
3.2.3　端口扫描与服务类型探测86
3.2.4　Back Track 5的Autoscan功能90
3.2.5　探测扫描结果分析91
3.3　服务扫描与查点92
3.3.1　常见的网络服务扫描93
3.3.2　口令猜测与嗅探96
3.4　网络漏洞扫描98
3.4.1　漏洞扫描原理与漏洞扫描器98
3.4.2　OpenVAS漏洞扫描器99
3.4.3　查找特定服务漏洞108
3.4.4　漏洞扫描结果分析109
3.5　渗透测试信息数据库与共享110
3.5.1　使用渗透测试信息数据库的优势111
3.5.2　Metasploit的数据库支持111
3.5.3　在Metasploit中使用PostgreSQL111
3.5.4　Nmap与渗透测试数据库113
3.5.5　OpenVAS与渗透测试数据库113
3.5.6　共享你的渗透测试信息数据库114
3.6　小结117
3.7　魔鬼训练营实践作业118
第4章　突破定V门户——Web应用渗透技术119
4.1　Web应用渗透技术基础知识119
4.1.1　为什么进行Web应用渗透攻击120
4.1.2　Web应用攻击的发展趋势121
4.1.3　OWASP Web漏洞TOP 10122
4.1.4　近期Web应用攻击典型案例126
4.1.5　基于Metasploit框架的Web应用渗透技术128
4.2　Web应用漏洞扫描探测130
4.2.1　开源Web应用漏洞扫描工具131
4.2.2　扫描神器W3AF133
4.2.3　SQL注入漏洞探测135
4.2.4　XSS漏洞探测144
4.2.5　Web应用程序漏洞探测145
4.3　Web应用程序渗透测试147
4.3.1　SQL注入实例分析147
4.3.2　跨站攻击实例分析158
4.3.3　命令注入实例分析166
4.3.4　文件包含和文件上传漏洞174
4.4　小结180
4.5　魔鬼训练营实践作业180
第5章　定V门大敞，哥要进内网——网络服务渗透攻击182
5.1　内存攻防技术182
5.1.1　缓冲区溢出漏洞机理183
5.1.2　栈溢出利用原理184
5.1.3　堆溢出利用原理186
5.1.4　缓冲区溢出利用的限制条件188
5.1.5　攻防两端的对抗博弈188
5.2　网络服务渗透攻击面190
5.2.1　针对Windows系统自带的网络服务渗透攻击191
5.2.2　针对Windows操作系统上微软网络服务的渗透攻击193
5.2.3　针对Windows操作系统上第三方网络服务的渗透攻击194
5.2.4　针对工业控制系统服务软件的渗透攻击194
5.3　Windows服务渗透攻击实战案例——MS08-067安全漏洞196
5.3.1　威名远扬的超级大漏洞MS08-067196
5.3.2　MS08-067漏洞渗透攻击原理及过程197
5.3.3　MS08-067漏洞渗透攻击模块源代码解析200
5.3.4　MS08-067安全漏洞机理分析205
5.4　第三方网络服务渗透攻击实战案例——Oracle数据库211
5.4.1　Oracle数据库的“蚁穴”212
5.4.2　Oracle渗透利用模块源代码解析212
5.4.3　Oracle漏洞渗透攻击过程214
5.4.4　Oracle安全漏洞利用机理220
5.5　工业控制系统服务渗透攻击实战案例——亚控科技KingView222
5.5.1　中国厂商SCADA软件遭国外黑客盯梢222
5.5.2　KingView 6.53 HistorySvr渗透攻击代码解析224
5.5.3　KingView 6.53漏洞渗透攻击测试过程225
5.5.4　KingView堆溢出安全漏洞原理分析228
5.6　Linux系统服务渗透攻击实战案例——Samba安全漏洞232
5.6.1　Linux与Windows之间的差异232
5.6.2　Linux系统服务渗透攻击原理233
5.6.3　Samba安全漏洞描述与攻击模块解析234
5.6.4　Samba渗透攻击过程235
5.6.5　Samba安全漏洞原理分析241
5.7　小结244
5.8　魔鬼训练营实践作业244
第6章　定V网络主宰者——客户端渗透攻击246
6.1　客户端渗透攻击基础知识246
6.1.1　客户端渗透攻击的特点247
6.1.2　客户端渗透攻击的发展和趋势247
6.1.3　安全防护机制248
6.2　针对浏览器的渗透攻击249
6.2.1　浏览器渗透攻击面250
6.2.2　堆喷射利用方式250
6.2.3　MSF中自动化浏览器攻击251
6.3　浏览器渗透攻击实例——MS11-050安全漏洞254
6.3.1　MS11-050漏洞渗透攻击过程254
6.3.2　MS11-050漏洞渗透攻击源码解析与机理分析256
6.4　第三方插件渗透攻击实战案例——再探亚控科技KingView261
6.4.1　移植KingView渗透攻击代码261
6.4.2　KingView渗透攻击过程264
6.4.3　KingView安全漏洞机理分析265
6.5　针对应用软件的渗透攻击269
6.5.1　应用软件渗透攻击机理269
6.5.2　内存攻击技术ROP的实现270
6.5.3　MSF中的自动化fileformat攻击276
6.6　针对Office软件的渗透攻击实例——MS10-087安全漏洞276
6.6.1　MS10-087渗透测试过程277
6.6.2　MS10-087漏洞渗透攻击模块源代码解析278
6.6.3　MS10-087漏洞原理分析279
6.6.4　MS10-087漏洞利用原理282
6.6.5　文件格式分析284
6.7　Adobe阅读器渗透攻击实战案例——加急的项目进展报告286
6.7.1　Adobe渗透测试过程287
6.7.2　Adobe渗透攻击模块解析与机理分析289
6.7.3　Adobe漏洞利用原理293
6.8　小结298
6.9　魔鬼训练营实践作业299
第7章　甜言蜜语背后的危险——社会工程学300
7.1　社会工程学的前世今生300
7.1.1　什么是社会工程学攻击301
7.1.2　社会工程学攻击的基本形式301
7.1.3　社交网站社会工程学攻击案例302
7.2　社会工程学技术框架303
7.2.1　信息搜集303
7.2.2　诱导306
7.2.3　托辞308
7.2.4　心理影响309
7.3　社会工程学攻击案例——伪装木马311
7.3.1　伪装木马的主要方法与传播途径312
7.3.2　伪装木马社会工程学攻击策划313
7.3.3　木马程序的制作314
7.3.4　伪装木马的“免杀”处理319
7.3.5　伪装木马社会工程学的实施过程323
7.3.6　伪装木马社会工程学攻击案例总结325
7.4　针对性社会工程学攻击案例——网站钓鱼325
7.4.1　社会工程学攻击工具包SET325
7.4.2　网站钓鱼社会工程学攻击策划325
7.4.3　钓鱼网站的制作326
7.4.4　网站钓鱼社会工程学的实施过程330
7.4.5　网站钓鱼社会工程学攻击案例总结331
7.5　针对性社会工程学攻击案例——邮件钓鱼331
7.5.1　邮件钓鱼社会工程学攻击策划331
7.5.2　使用SET工具集完成邮件钓鱼332
7.5.3　针对性邮件钓鱼社会工程学攻击案例总结338
7.6　U盘社会工程学攻击案例——Hacksaw攻击338
7.6.1　U盘社会工程学攻击策划339
7.6.2　U盘攻击原理340
7.6.3　制作Hacksaw U盘341
7.6.4　U盘社会工程学攻击的实施过程345
7.6.5　U盘攻击社会工程学攻击案例总结345
7.7　小结346
7.8　魔鬼训练营实践作业346
第8章　刀无形、剑无影——移动环境渗透测试348
8.1　移动的Metasploit渗透测试平台348
8.1.1　什么是BYOD348
8.1.2　下载安装Metasploit349
8.1.3　在iPad上手动安装Metasploit350
8.2　无线网络渗透测试技巧351
8.2.1　无线网络口令破解351
8.2.2　破解无线AP的管理密码355
8.2.3　无线AP漏洞利用渗透攻击360
8.3　无线网络客户端攻击案例——上网笔记本电脑364
8.3.1　配置假冒AP364
8.3.2　加载karma.rc资源文件367
8.3.3　移动上网笔记本渗透攻击实施过程369
8.3.4　移动上网笔记本渗透攻击案例总结371
8.4　移动环境渗透攻击案例——智能手机371
8.4.1　BYOD设备的特点372
8.4.2　苹果iOS设备渗透攻击372
8.4.3　Android智能手机的渗透攻击377
8.4.4　Android平台Metasploit渗透攻击模块的移植385
8.5　小结391
8.6　魔鬼训练营实践作业391
第9章　俘获定V之心——强大的Meterpreter393
9.1　再探Metasploit攻击载荷模块393
9.1.1　典型的攻击载荷模块394
9.1.2　如何使用攻击载荷模块395
9.1.3　meterpreter的技术优势398
9.2　Meterpreter命令详解400
9.2.1　基本命令401
9.2.2　文件系统命令402
9.2.3　网络命令404
9.2.4　系统命令406
9.3　后渗透攻击模块408
9.3.1　为什么引入后渗透攻击模块408
9.3.2　各操作系统平台分布情况409
9.3.3　后渗透攻击模块的使用方法409
9.4　Meterpreter在定V渗透测试中的应用411
9.4.1　植入后门实施远程控制411
9.4.2　权限提升414
9.4.3　信息窃取417
9.4.4　口令攫取和利用419
9.4.5　内网拓展424
9.4.6　掩踪灭迹430
9.5　小结431
9.6　魔鬼训练营实践作业432
第10章　群狼出山——黑客夺旗竞赛实战433
10.1　黑客夺旗竞赛的由来434
10.2　让我们来玩玩“地下产业链”436
10.2.1　“洗钱”的竞赛场景分析437
10.2.2　“洗钱”规则438
10.2.3　竞赛准备与任务分工439
10.3　CTF竞赛现场441
10.3.1　解题“打黑钱”441
10.3.2　GameBox扫描与漏洞分析443
10.3.3　渗透Web应用服务448
10.3.4　渗透二进制服务程序451
10.3.5　疯狂“洗钱”459
10.3.6　力不从心的防御459
10.4　CTF竞赛结果460
10.5　魔鬼训练营大结局461
10.6　魔鬼训练营实践作业461
附录A　如何撰写渗透测试报告462
附录B　参考与进一步阅读468

.　　本书内容
　　第1、2章为无线渗透测试的准备工作，主要介绍了渗透测试基础知识和如何搭建渗透测试环境，如渗透测试的概念、Wi-Fi网络构成、Wi-Fi网络协议标准、安装Kali Linux操作系统、软件需求、硬件需求和设置无线网卡。
　　第3、4章为无线网络扫描，主要介绍了如何设置网络监听和探测无线网络结构，如网络监听原理、设置网络监听、扫描方式、扫描AP、扫描客户端和扫描地理位置等。
　　第5、6章为数据分析，主要介绍了如何捕获数据包并进行分析，如Wi-Fi数据包格式、捕获数据包、分析数据包、解密数据包、分析客户端行为和提取信息等。
　　第7~9章为Wi-Fi加密模式，主要介绍了Wi-Fi常用加密方案的实施方式和破解技巧，如设置WPS/WEP /WPA/WPA2加密、破解WPS/WEP/WPA/WPA2加密、防止锁PIN、创建密码字典和使用PIN获取密码等。
　　第10、11章为Wi-Fi攻击，主要介绍了常见的AP和客户端攻击方式，如破解AP的默认账户、认证洪水攻击、取消认证洪水攻击、假信标洪水攻击、使用伪AP和监听数据等。
　　本书配套资源获取方式
　　本书涉及的工具和软件需要读者自行下载。下载途径有以下几种：
　　* 根据图书中对应章节给出的网址自行下载；
　　* 加入技术讨论QQ群（343867787）获取；
　　* 通过bbs.daxueba.net论坛获取；
　　* 登录华章公司网站www.hzbook.com，在该网站上搜索到本书，然后单击“资料下载”按钮，即可在页面上找到“配书资源”下载链接。
　　本书内容更新文档获取方式
　　为了让本书内容紧跟技术的发展和软件更新的脚步，我们会对书中的相关内容进行不定期更新，并发布对应的电子文档。需要的读者可以加入QQ交流群（343867787）获取，也可以通过华章公司网站上的本书配书资源链接下载。
　　本书读者对象
　　* 无线渗透测试入门人员；
　　* 渗透测试技术人员；
　　* 网络安全和维护人员；
　　* 信息安全技术爱好者；
　　* 计算机安全技术自学者；
　　* 高校相关专业的学生；
　　* 专业培训机构的学员。
　　本书阅读建议
　　* 由于网络稳定性的原因，下载镜像文件后，建议读者一定要校验镜像文件，避免因为文件损坏而导致系统安装失败。
　　* 学习阶段建议多使用靶机进行练习，避免因为错误的操作而影响实际的网络环境。
　　* 由于安全工具经常会更新、增补不同的功能，学习的时候，建议定期更新工具，以获取更稳定和更强大的环境。
　　本书作者
　　本书由大学霸IT达人技术团队编写。感谢在本书编写和出版过程中给予了团队大量帮助的各位编辑！由于作者水平所限，加之写作时间较为仓促，书中可能还存在一些疏漏和不足之处，敬请各位读者批评指正。
　　编著者
　　
　　
　　---------------------------Metasploit渗透测试魔鬼训练营---------------------------
　　
　　
　　当我开始动笔撰写本书前言的时候，仿佛在眼前看到了“万里长征”的胜利曙光。从2011年4月开始策划本书至近日完稿，我与其他几位作者一起经历了长达两年的艰难创作历程；而如果从2005年开始进行网络攻防技术方向的博士研究（第一次接触Metasploit）时算起，我已经伴随Metasploit走过了8年的成长路程。时至今日，当我能以第一作者的身份为国内第一本Metasploit渗透测试技术原创书籍撰写前言时，当我作为参与者基于这款历久弥新的开源框架性平台软件为国内读者介绍精彩纷呈的渗透测试技术时，内心是相当的激动。
　　渗透技术原本像是武林江湖中的武功秘籍一样隐秘，是行走网际空间的各色黑客“养家糊口”和“安身立命”的本事。早至如凯文·米特尼克出于好奇兴趣在实战中修炼出强大渗透技能的第一批电话飞客与网络黑客，近至牟取非法利益而从事地下黑色产业链的“黑帽子黑客”以及为了国家利益而为各国政府或军方效力的“国家队黑客”，通常都对渗透技能守口如瓶，或是只在一个利益共同体中进行交流。然而“白帽子黑客”打破了这种旧有格局，在取得授权的先决前提下对目标进行渗透实践，并在黑客社区中分享渗透技术与开源工具，于是渗透测试便成为安全业界热点关注的技术手段，也造就了渗透测试师这一充满挑战与激情的新职业。
　　在促进渗透测试技术发展的“白帽子黑客”中，HD Moore无疑是最光芒四射的80后新星。2003年他的Metasploit开源渗透测试框架软件刚发布，便在2004年的Defcon黑客大会上引起轰动性效应，并以黑马姿态冲进SecTools的五强之列。在开源社区其他黑客的共同帮助下，经过Metasploit v3的全新架构与重写，以及Metasploit v4的全面扩展之后，Metasploit成为一款覆盖渗透测试全过程的框架软件，而且已经被安全社区接受，成为一个开放的漏洞研究与渗透代码开发公共平台，在2013年荣登SecTools排行榜的榜眼。
　　Metasploit所具有的强大功能与集成渗透能力，以及社区中分享的大量渗透攻击模块资源，足以让Metasploit成为渗透测试“神器”，但是其价值不仅仅在于作为一款渗透工具，事实上，在一些实际的渗透测试场景中，仅依靠Metasploit的现有能力，往往得不到很好的测试效果。作为渗透测试师，不应满足于掌握对各种优秀渗透测试软件的使用，而应对优秀渗透测试平台背后所蕴含的技术、方法、流程甚至思想进行深入研究，通过不断实践与广泛交流，不断地提升自己的能力与行业修养，只有这样才能适应这份挑战性职业的需求。
　　在渗透测试这个高深莫测、与时俱进的技术领域中，本书作者们深知修炼的道行尚浅，虽在本书策划期间已翻译并出版了《Metasploit渗透测试技术指南》一书，并在科研项目、商业与公益性渗透测试以及黑客CTF竞赛中有过一些实战经验，但要达到对渗透测试技术“炉火纯青”的目标还有很长的路要走。但我们仍然鼓起勇气殚精竭虑地撰写出本书，以期望能为同样在修炼渗透测试技能的同道中人提供系统性的参考；也希望能够抛砖引玉，使国内业界“大牛”能够在渗透测试技术领域撰写出更多大作与大家分享。
　　本书策划时还有姐妹篇《Metasploit漏洞分析利用特训班》（暂定名），因为作者们自知精力和技术修养尚不够充分，决定无限期挂起，待进一步积累经验并提升能力再予以考虑，欢迎感兴趣的技术高手加盟创作团队。
　　读者对象
　　本书的读者群主要包括：
　　网络与系统安全领域的技术爱好者与学生
　　渗透测试、漏洞分析研究与网络安全管理方面的从业人员
　　开设信息安全、网络安全与执法等相关专业的高等院校本科生及研究生
　　期望在信息安全领域就业的技术人员
　　想成为一位自由职业渗透测试师的人
　　以渗透技术行走于网际江湖的人
　　如何阅读和使用本书
　　学习与修炼渗透测试技术的唯一方法就是“实践，实践，再实践”，而为了让读者更好地践行这一原则，本书独特地采用了第二人称视角，让读者作为这次虚拟渗透测试之旅的主角，而让我们跟随“你”一起参加魔鬼训练营，并经历一次极具挑战性的渗透测试任务考验。你的渗透测试之旅包括如下十段精彩的旅程。
　　第1章魔鬼训练营——初识Metasploit
　　我们将引领你进入渗透测试师的魔鬼训练营，你将了解到底什么是渗透测试，并熟悉渗透测试的过程环节；你也将接触到渗透测试中最为关键的安全漏洞与渗透攻击代码，并知晓从哪里可以搜索和获取这些宝贵资源；你还会见识到渗透测试之神器——Metasploit，回顾这匹“黑马王子”的发展历程，剖析其体系框架与内部结构，并学会如何初步使用这一神器进行简单的渗透攻击。
　　第2章赛宁VS.定V——渗透测试实验环境
　　本章将揭晓你在渗透测试修炼之旅中肩负的任务与挑战，同时帮助你建立起修炼渗透测试技术的实验环境。正所谓“磨刀不误砍柴工”，你的劳动付出将会给你带来更大价值的回报。
　　第3章揭开“战争迷雾”——情报搜集技术
　　作为一名即时战略游戏的资深玩家，你非常清楚情报搜集对于对抗性游戏竞技的重要性，在渗透测试中亦是如此。你将应用在魔鬼训练营中学到的外围信息情报搜集技术、网络扫描与查点技术，以及网络漏洞扫描技术来探查目标环境，从而揭开笼罩在目标周边的“战争迷雾”。
　　第4章突破定V门户——Web应用渗透技术
　　定V公司门户网站是你实施渗透攻击的首站，这是考验Web应用渗透技术的时候。你能应用魔鬼训练营中传授的Web应用漏洞扫描探测技术来找出攻击点，并通过SQL注入、跨站脚本攻击、命令注入、文件包含与文件上传攻击技术突破定V门户网站吗？让我们拭目以待吧。
　　第5章定V门大敞，哥要进内网——网络服务渗透攻击
　　在突破门户网站之后，你在定V公司DMZ区建立了渗透的前哨站，在侵入内网之前，你接到的任务是攻陷DMZ区所有的服务器。面对Oracle数据库服务、神秘的工业控制软件服务以及Ubuntu Samba网络服务，你在魔鬼训练营中学习实践的栈溢出和堆溢出等内存攻击技术是否过关了呢？
　　第6章定V网络主宰者——客户端渗透攻击
　　随着你在定V网络中的深入，你要成功渗透攻击目标所需的技术难度也在逐步提升。对于常用的浏览器与Office应用软件，你在魔鬼训练营中学习了客户端渗透攻击技术，并实践了针对“Use-After-Free”漏洞的堆喷射利用和ROP攻击技术，以及针对栈溢出漏洞的SEH链伪造攻击技术。在定V内网中，你再次遭遇了神秘的工业控制软件，以及使用非常普遍的Adobe PDF阅读器，你能利用浏览器插件与应用软件文件格式中存在的漏洞，成为定V网络的主宰者吗？
　　第7章甜言蜜语背后的危险——社会工程学
　　如果你的渗透测试之旅没有社会工程学的陪伴，那么终将留下无限的遗憾。在魔鬼训练营中，你了解到了社会工程学的前世今生，也接触到了社会工程学大师总结的技术框架。那么面对定V公司一众人等，你将如何设计，并结合哪些技术手段将他们玩弄于股掌之中呢？
　　第8章刀无形、剑无影——移动环境渗透测试
　　无线Wi-Fi网络与BYOD自带设备无疑是近年企业移动信息化的热点，殊不知也将为企业的网络安全引入一个薄弱点。你制订了一个“刀剑无形”的移动环境渗透计划，在定V公司旁边破解无线Wi-Fi网络口令并接入网络，攻击并控制他们的无线AP，然后对连入无线网的笔记本电脑和BYOD设备进行入侵，你能完成这一完美计划吗？
　　第9章俘获定V之心——强大的Meterpreter
　　通过各种技术深度渗透定V公司网络之后，该到“俘获定V之心”的时候了。强大的攻击载荷Meterpreter为你提供了丰富的主机控制功能，也为你收割定V网络中的业务数据提供了灵活可扩展的后渗透攻击模块支持，而现在的问题是：你能否用好这个强大工具，来为你的渗透测试任务画上一个圆满的句号？
　　第10章群狼出山——黑客夺旗竞赛实战
　　在你圆满地完成渗透测试任务挑战之时，团队也成功地搞定了一个渗透测试的大项目。团队的另类狂欢活动——参加黑客夺旗竞赛，相信作为一名崭露头角的渗透测试工程师，你也会在这种比拼智力与技能的竞技活动中，找到属于你的那一份热情与欢乐。
　　附录A如何撰写渗透测试报告
　　借鉴渗透测试执行标准，为你提供一份如何撰写渗透测试报告的模板，让你能够在完成渗透测试之旅后，提交一份出彩的“游记”！
　　附录B参考与进一步阅读
　　本书只是你渗透测试人生旅途的一站，如果要成为一名真正的渗透测试师，需要站在前人的肩膀上，博采众长，并在实践过程中不断提升技能和创新技术。
　　勘误和支持
　　本书第1章由诸葛建伟撰写，第2章由诸葛建伟、田繁共同撰写，第3章由王珩撰写，第4章由孙松柏撰写，第5、6章由陈力波、代恒撰写，第7章由魏克、诸葛建伟共同撰写，第8章由田繁、诸葛建伟共同撰写，第9章由李聪撰写，第10章由诸葛建伟、王珩、孙松柏、陈力波共同撰写，附录A由诸葛建伟撰写。全书由诸葛建伟总体策划、组织编写并进行全面细致的审校与润色。本书涉及技术面宽泛，参与撰写的作者人数较多，写作风格与技术能力上存在一些差异，书中难免会出现错误或者表达不准确的地方，恳请读者朋友们批评指正。
　　此外需要说明的是，本书中的故事场景与人物纯粹虚构，而以第二人称视角描述也可能会让一些读者产生被“说教”的不好感觉，为了本书的独特设计，我们选择承担这种风险，也在这里预先致以歉意。本书所采用的渗透攻击案例都是出于技术讲解与培训的目的，由于图书策划、协同创作与出版的周期较长，在追求最新技术潮流的读者眼中肯定会有时效性不强的问题，也请予以理解。我们在选择案例时并不是以时效性作为首要考虑因素，更关注如何更好地结合实践案例，为读者循序渐进地学习掌握各种渗透测试技术提供最大的帮助。而一旦建立起相关的技能，相信读者朋友们就可以自主地通过网络和其他途径，跟踪研究分析最新的渗透测试技术与实例。
　　我们将在http://netsec.ccert.edu.cn/hacking/book/链接提供本书的勘误表，如果你遇到任何问题，也可以通过新浪微博直接@清华诸葛建伟，我们将尽量在线上为读者提供最满意的解答。书中涉及的全部源代码文件可以从华章网站（www.hzbook.com）下载，也可以在http://netsec.ccert.edu.cn/hacking/book/链接下载，此链接还会提供搭建本书实验环境所需的虚拟机镜像云盘下载链接。如果你有更多的宝贵意见，也欢迎在新浪微博上@清华诸葛建伟，期待能够得到你们的真挚反馈。
　　诸葛建伟（@清华诸葛建伟）
　　清华园
　　致 谢
　　诸葛建伟（@清华诸葛建伟）
　　首先要感谢Metasploit项目的创始人HD Moore，以及参与Metasploit团队开发与贡献的所有白帽子黑客们，是你们为开源世界带来了一颗瑰宝。
　　感谢参与本书创作的所有伙伴们——陈力波、孙松柏、王珩、田繁、李聪、魏克和代恒，你们的坚持与共同努力促成了这本书的顺利出版。感谢王若愚、刘跃、方极等同学为本书做出的一些支持工作，以及提出的宝贵意见。感谢蓝莲花（Blue-Lotus）CTF战队的每一位成员，和你们一起共同拼搏的每一次竞赛都是我的美好记忆。
　　感谢机械工业出版社华章公司的编辑杨福川老师，他为本书提供一个很好的出版机会，帮助我们将心血之作奉献给更多感兴趣的读者朋友们。感谢编辑白宇，她尽心尽责地审读了本书的全部内容，并对文字与图书结构进行了精心修改，保证了图书的出版质量。
　　最后感谢我的父母、岳父母、爱人和我即将出世的亲爱宝贝，你们给予我精神、情感与生活上的巨大支持，让我一直追寻心中的梦想，而我亏欠你们太多太多……
　　陈力波
　　首先要感谢Metasploit的开发、维护团队，得益于你们的高超技能和共享精神，渗透测试人员才能有如此利器。还记得第一次使用时，在浏览器中弹出MSF命令行时的兴奋和诧异；所有开源的漏洞测试代码更是直接将我带入渗透测试的底层，不仅知其然，更是知其所以然！
　　感谢导师诸葛建伟博士，您对Metasploit的理解和认识将我快速地带入渗透测试的核心领域，并对我研究生时期的科研工作起到了莫大的帮助；您始终如一的坚持和推动是这本书得以顺利完成的最大动力；您对增强国内网络安全界软实力的努力激励着我更专注地创作，并在网络安全这个领域继续前行！
　　感谢同窗好友luke、聪哥，Blue-Lotus的kelwin、fish等同学，你们对未知的迫切渴望、学习的一贯热情、人生的执著追求已然改变了我许多，在生命的这个阶段能遇见你们是我莫大的幸运！
　　最后要感谢远在他乡的父母和两地分隔的妻子，你们对我的理解和包容常常使我羞愧难当；你们的鼓励是我一路前行的精神力量……
　　孙松柏（@lukesun629）
　　首先要感谢我的导师诸葛建伟博士，没有他坚定信念和心细的协调这本书无论如何也不能够完成。国内研究Metasploit的团队非常的多，但是我的导师诸葛建伟博士在Metasploit的诞生伊始就给予这个软件极大的关注，他带领的学生和承研的各种安全研究、渗透测试项目中都离不开Metasploit的影子，他可以说是国内理解Metasploit渗透测试平台最深刻的人之一。我也是在他的影响和指导下逐步对Metasploit有了更进一步的认识。
　　感谢本书创作过程中陪伴我的所有伙伴们，他们是我研究生阶段的同学，以及三年的同寝室友。三年来，波波和聪哥从生活到学习都对我影响颇多，是我研究生经历中无法忘却的记忆。感谢Blue-Lotus成员中的每一个兄弟，怀念我们一起奋战CTF竞赛的日日夜夜，从你们身上我学到了许多知识和做人的道理。
　　最后要感谢我的父母，感谢你们在遥远的家乡给予我默默的支持和鼓励，你们永远是我最大的精神支柱，祝愿你们健康、平安。
　　王珩（@evan-css）
　　感谢我的导师诸葛建伟博士，你严谨求实、勤奋创新的科研作风让我非常钦佩，生活中你的正直和包容也深深地影响了我。感谢参与本书创作的每一位同学和朋友，与你们的交流让我受益匪浅。
　　感谢我的妻子，虽然你的工作很忙，但你默默地承担了家里的琐事，让我能够专心投入本书的写作。感谢我的母亲，你永远为我付出，却从没要求我的回报。感谢上幼儿园的儿子，聪明乖巧的你给我注入了很多灵感。
　　田繁
　　首先要感谢我的导师诸葛建伟老师，您对于学术的专注以及对学生负责的态度值得我永远学习，您充沛的精力和积极的工作态度更令人钦佩。感谢本书的所有作者，大家的共同努力才有了这本书的面世。感谢Blue-Lotus战队的所有成员，虽然每次参赛我只是“打酱油”的，但是你们的出色发挥让我深感自豪。还要感谢实验室其他同学，和你们在一起的实习生涯使我收获颇多，你们每个人的优点都值得我学习的地方。
　　感谢所有同班同学，有你们同行，三年的研究生的生活显得格外精彩，尤其要感谢包子、月月、村长、铁哥、石吴老板、大拿等同学，更忘不了翻铁门的日子。
　　感谢我的父母一直以来对我的支持，希望我的小侄子能战胜身体上的痛苦，坚强地书写自己的人生。
　　李聪
　　感谢导师诸葛建伟博士，你严谨的学风和认真负责的工作态度一直是我学习的榜样。感谢同寝室的松柏和波波同学，你们的关心、帮助和包容让我终生难忘。感谢我的父母，是你们给了我健康的身体和聪明的头脑。感谢我温柔贤惠的妻子，这十几年来与我同甘共苦，借此机会对你说，我爱你！
　　魏克
　　首先在此感谢诸葛建伟博士和本书创作团队的所有伙伴，在诸葛建伟博士的耐心指导和协调组织下各位尽心尽力完成了本书创作。感谢田繁、王珩、孙松柏、陈力波和代恒，每一次讨论你们都让我深受启发，获益匪浅。感谢诸葛建伟老师和参加CTF竞赛团队的所有成员，你们的聪明才智和勤奋努力使得我们每年的CTF竞赛排名都稳步向前。
　　感谢我的家人，每次都是你们给予我最坚定的支持和鼓励。
　　最后我要把最美好和诚挚的祝愿，献给我的父母家人，献给我的兄弟姐妹，献给我们团队中的每一个人。
　　代恒
　　小学时曾经学习过牛顿是“站在巨人肩膀上”，学历慢慢提高，对这种看法感受越来越多。如今，每当利用Metasploit做渗透测试、漏洞分析、编写测试脚本，我都会暗自感谢HD Moore和无数人走到前面，搭建了一个如此强大的平台，让我们也能够“站在巨人肩膀上”。在此还要感谢诸葛建伟老师的指导和帮助，感谢参加创作的各位朋友，我们是最棒的。
　　

.　　渗透测试过程一般需要对目标系统进行主动探测分析，以发现潜在的系统漏洞，包括不恰当的系统配置，已知或未知的软硬件漏洞，以及在安全计划与响应过程中的操作性弱点等。而这一过程需要以攻击者的角度进行实施，通常涉及对大量发现安全漏洞的主动渗透与入侵攻击。渗透测试中发现的所有安全问题，它们所带来的业务影响后果评估，以及如何避免这些问题的技术解决方案，将在最终报告中呈现给目标系统的拥有者，帮助他们修补并提升系统的安全性。
　　渗透测试目前已经成为系统整体安全评估中的一个组件部分，例如银行支付行业数据安全标准（PCI DSS）等都将渗透测试作为必须进行的安全测试形式。
　　作为一种对抗性和定制要求都非常高的服务，渗透测试的完成质量依赖于实施人员即渗透测试者（Penetration Tester，Pentester）的技术能力、专业素养以及团队协作能力。提供渗透测试服务的安全公司或组织都需要由职业化渗透测试者组成的专业团队，这些渗透测试者一般被称为渗透测试工程师。
　　目前经济与信息化飞速发展，对于信息系统安全防御处于较低水平的中国而言，渗透测试工程师岗位数量缺口很大，高端人才极其稀缺，拥有很好的发展前景。而我们把熟练掌握渗透测试方法、流程与技术，面对复杂渗透场景能够运用自己的创新意识、技术手段与实践经验，从而成功取得良好渗透测试效果的技术专家称为渗透测试师（Penetration Test Expert），这应该是所有对渗透测试领域感兴趣的技术人员追求的目标。
　　1.1.2渗透测试的分类
　　渗透测试的两种基本类型包括：
　　黑盒测试：设计为模拟一个对客户组织一无所知的攻击者所进行的渗透攻击。
　　白盒测试：渗透测试者在拥有客户组织所有知识的情况下所进行的渗透测试。两种测试方法都拥有他们各自的优势和弱点。
　　1. 黑盒测试
　　黑盒测试（Black-box Testing）也称为外部测试（External Testing）。采用这种方式时，渗透测试团队将从一个远程网络位置来评估目标网络基础设施，并没有任何目标网络内部拓扑等相关信息，他们完全模拟真实网络环境中的外部攻击者，采用流行的攻击技术与工具，有组织有步骤地对目标组织进行逐步的渗透与入侵，揭示目标网络中一些已知或未知的安全漏洞，并评估这些漏洞能否被利用获取控制权或造成业务资产的损失。
　　黑盒测试还可以对目标组织内部安全团队的检测与响应能力做出评估。在测试结束之后，黑盒测试会对发现的目标系统安全漏洞、所识别的安全风险及其业务影响评估等信息进行总结和报告。
　　黑盒测试是比较费时费力的，同时需要渗透测试者具备较高的技术能力。在安全业界的渗透测试者眼中，黑盒测试通常是更受推崇的，因为它能更逼真地模拟一次真正的攻击过程。
　　2. 白盒测试
　　白盒测试（White-box Testing）也称为内部测试（Internal Testing）。进行白盒测试的团队将可以了解到关于目标环境的所有内部与底层知识，因此这可以让渗透测试者以最小的代价发现和验证系统中最严重的安全漏洞。如果实施到位，白盒测试能够比黑盒测试消除更多的目标基础设施环境中的安全漏洞与弱点，从而给客户组织带来更大的价值。
　　白盒测试的实施流程与黑盒测试类似，不同之处在于无须进行目标定位与情报搜集；此外，白盒测试能够更加方便地在一次常规的开发与部署计划周期中集成，使得能够在早期就消除掉一些可能存在的安全问题，从而避免被入侵者发现和利用。
　　白盒测试中发现和解决安全漏洞所需花费的时间和代价要比黑盒测试少许多。而白盒测试的最大问题在于无法有效地测试客户组织的应急响应程序，也无法判断出他们的安全防护计划对检测特定攻击的效率。如果时间有限或是特定的渗透测试环节（如情报搜集）并不在范围之内，那么白盒测试可能是最好的选项。
　　3. 灰盒测试
　　以上两种渗透测试基本类型的组合可以提供对目标系统更加深入和全面的安全审查，这就是灰盒测试（Grey-box Testing），组合之后的好处就是能够同时发挥两种基本类型渗透测试方法的各自优势。灰盒测试需要渗透测试者能够根据对目标系统所掌握的有限知识与信息，来选择评估整体安全性的最佳途径。在采用灰盒测试方法的外部渗透场景中，渗透测试者也类似地需要从外部逐步渗透进入目标网络，但他所拥有的目标网络底层拓扑与架构将有助于更好地决策攻击途径与方法，从而达到更好的渗透测试效果。
　　1.1.3渗透测试方法与流程
　　要想完成一次质量很高的渗透测试过程，渗透测试团队除了具备高超的具体实践技术能力之外，还需要掌握一套完整和正确的渗透测试方法学。
　　虽然渗透测试所面临的目标组织网络系统环境与业务模式千变万化，而且过程中需要充分发挥渗透测试者的创新与应变能力，但是渗透测试的流程、步骤与方法还是具有一些共性，并可以用一些标准化的方法体系进行规范和限制。
　　目前，安全业界比较流行的开源渗透测试方法体系标准包括以下几个。
　　1. 安全测试方法学开源手册
　　由ISECOM安全与公开方法学研究所制定，最新版本为2010年发布的v3.0。安全测试方法学开源手册（OSSTMM）提供物理安全、人类心理学、数据网络、无线通信媒介和电讯通信这五类渠道非常细致的测试用例，同时给出评估安全测试结果的指标标准。
　　OSSTMM的特色在于非常注重技术的细节，这使其成为一个具有很好可操作性的方法指南。
　　2. NIST SP 800-42网络安全测试指南
　　美国国家标准与技术研究院（NIST）在SP 800-42网络安全测试指南中讨论了渗透测试流程与方法，虽然不及OSSTMM全面，但是它更可能被管理部门所接受。
　　3. OWASP十大Web应用安全威胁项目
　　针对目前最普遍的Web应用层，为安全测试人员和开发者提供了如何识别与避免这些安全威胁的指南。OWASP十大Web应用安全威胁项目（OWASP Top Ten）只关注具有最高风险的Web领域，而不是一个普适性的渗透测试方法指南。
　　4. Web安全威胁分类标准
　　与OWASP Top Ten类似，Web应用安全威胁分类标准（WASC-TC）全面地给出目前Web应用领域中的漏洞、攻击与防范措施视图。
　　5. PTES渗透测试执行标准
　　2010年最新发起的渗透测试过程规范标准项目，核心理念是通过建立起进行渗透测试所要求的基本准则基线，来定义一次真正的渗透测试过程，并得到安全业界的广泛认同。
　　通过深入了解这些开放的渗透测试方法标准，将有助于你对渗透测试建立起一个整体的知识与技能体系，所有这些方法标准背后的基本想法就是你的渗透测试过程应该按步骤实施，从而确保更加精确地评价一个系统的安全性。我们无法在这里细致地介绍每一个标准的细节，只是简要地介绍最新的PTES标准中定义的渗透测试过程环节。当你更加深入地了解渗透测试技术之后，可以更进一步去了解这些渗透测试方法体系，并在实际的渗透测试实践中加以应用。
　　1.1.4渗透测试过程环节
　　PTES渗透测试执行标准是由安全业界多家领军企业技术专家所共同发起的，期望为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则。PTES标准项目网站为http://www.pentest-standard.org/，从2010年11月开始（目前还处于开发阶段），目前已经发布了BETA RELEASE版本。
　　PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同，具体包括以下7个阶段。
　　1. 前期交互阶段
　　在前期交互（Pre-Engagement Interaction）阶段，渗透测试团队与客户组织进行交互讨论，最重要的是确定渗透测试的范围、目标、限制条件以及服务合同细节。
　　该阶段通常涉及收集客户需求、准备测试计划、定义测试范围与边界、定义业务目标、项目管理与规划等活动。
　　2. 情报搜集阶段
　　在目标范围确定之后，将进入情报搜集（Information Gathering）阶段，渗透测试团队可以利用各种信息来源与搜集技术方法，尝试获取更多关于目标组织网络拓扑、系统配置与安全防御措施的信息。
　　渗透测试者可以使用的情报搜集方法包括公开来源信息查询、Google Hacking、社会工程学、网络踩点、扫描探测、被动监听、服务查点等。而对目标系统的情报探查能力是渗透测试者一项非常重要的技能，情报搜集是否充分在很大程度上决定了渗透测试的成败，因为如果你遗漏关键的情报信息，你将可能在后面的阶段里一无所获。
　　3. 威胁建模阶段
　　在搜集到充分的情报信息之后，渗透测试团队的成员们停下敲击键盘，大家聚到一起针对获取的信息进行威胁建模（Threat Modeling）与攻击规划。这是渗透测试过程中非常重要，但很容易被忽视的一个关键点。
　　通过团队共同的缜密情报分析与攻击思路头脑风暴，可以从大量的信息情报中理清头绪，确定出最可行的攻击通道。
　　4. 漏洞分析阶段
　　在确定出最可行的攻击通道之后，接下来需要考虑该如何取得目标系统的访问控制权，即漏洞分析（Vulnerability Analysis）阶段。
　　在该阶段，渗透测试者需要综合分析前几个阶段获取并汇总的情报信息，特别是安全漏洞扫描结果、服务查点信息等，通过搜索可获取的渗透代码资源，找出可以实施渗透攻击的攻击点，并在实验环境中进行验证。在该阶段，高水平的渗透测试团队还会针对攻击通道上的一些关键系统与服务进行安全漏洞探测与挖掘，期望找出可被利用的未知安全漏洞，并开发出渗透代码，从而打开攻击通道上的关键路径。
　　5. 渗透攻击阶段
　　渗透攻击（Exploitation）是渗透测试过程中最具有魅力的环节。在此环节中，渗透测试团队需要利用他们所找出的目标系统安全漏洞，来真正入侵系统当中，获得访问控制权。
　　渗透攻击可以利用公开渠道可获取的渗透代码，但一般在实际应用场景中，渗透测试者还需要充分地考虑目标系统特性来定制渗透攻击，并需要挫败目标网络与系统中实施的安全防御措施，才能成功达成渗透目的。在黑盒测试中，渗透测试者还需要考虑对目标系统检测机制的逃逸，从而避免造成目标组织安全响应团队的警觉和发现。
　　6. 后渗透攻击阶段
　　后渗透攻击（Post Exploitation）是整个渗透测试过程中最能够体现渗透测试团队创造力与技术能力的环节。前面的环节可以说都是在按部就班地完成非常普遍的目标，而在这个环节中，需要渗透测试团队根据目标组织的业务经营模式、保护资产形式与安全防御计划的不同特点，自主设计出攻击目标，识别关键基础设施，并寻找客户组织最具价值和尝试安全保护的信息和资产，最终达成能够对客户组织造成最重要业务影响的攻击途径。
　　在不同的渗透测试场景中，这些攻击目标与途径可能是千变万化的，而设置是否准确并且可行，也取决于团队自身的创新意识、知识范畴、实际经验和技术能力。
　　7. 报告阶段
　　渗透测试过程最终向客户组织提交，取得认可并成功获得合同付款的就是一份渗透测试报告（Reporting）。这份报告凝聚了之前所有阶段之中渗透测试团队所获取的关键情报信息、探测和发掘出的系统安全漏洞、成功渗透攻击的过程，以及造成业务影响后果的攻击途径，同时还要站在防御者的角度上，帮助他们分析安全防御体系中的薄弱环节、存在的问题，以及修补与升级技术方案。
　　1.2漏洞分析与利用
　　这时候，你对技术总监讲解的渗透测试方法与流程感觉有点不知所云了，举手提了个问题：“渗透测试不就是找出目标系统的安全漏洞，然后利用这些漏洞进行攻击吗？取得控制权不就完事了吗？为啥需要这么多乱七八糟的阶段和方法？”技术总监淡然一笑：“渗透测试可不像你所说的那么简单，为什么需要对阶段和流程进行规范化，你们以后会懂的。”
　　技术总监补充道：“你刚才所说的安全漏洞和渗透攻击确实是渗透测试中最基础和核心的内容。”技术总监将幻灯片翻下一页——A Bug’s Life，笑着说：“各位听众，且听我慢慢道来！”
　　1.2.1安全漏洞生命周期
　　在渗透测试流程中，核心内容是找出目标系统中存在的安全漏洞，并实施渗透攻击，从而进入到目标系统中。而这一过程最主要的底层基础是目标系统中存在的安全漏洞（Vulnerability）。安全漏洞指信息系统中存在的缺陷或不适当的配置，它们可使攻击者在未授权情况下访问或破坏系统，导致信息系统面临安全风险。利用安全漏洞来造成入侵或破坏效果的程序就称为渗透代码（Exploit），或者漏洞利用代码。
　　围绕着安全漏洞生命周期所进行的攻防技术博弈一直以来都是安全社区永恒的话题，而一个典型的安全漏洞生命周期包括如下7个部分：
　　1）安全漏洞研究与挖掘：由高技术水平的黑客与渗透测试师开展，主要利用源代码审核（白盒测试）、逆向工程（灰盒测试）、Fuzz测试（黑盒测试）等方法，挖掘目标系统中存有的可被利用的安全漏洞。
　　2）渗透代码开发与测试：在安全漏洞挖掘的同时，黑客们会开发概念验证性的渗透攻击代码（POC），用于验证找到的安全漏洞是否确实存在，并确认其是否可被利用。
　　3）安全漏洞和渗透代码在封闭团队中流传：在发现安全漏洞并给出渗透攻击代码后，负责任的“白帽子”们采取的处理策略是首先通知厂商进行修补，而在厂商给出补丁后再进行公布；而“黑帽子”与“灰帽子”们一般在封闭小规模团队中进行秘密地共享，以充分地利用这些安全漏洞和渗透攻击代码所带来的攻击价值。
　　4）安全漏洞和渗透代码开始扩散：由于各种原因，在封闭团队中秘密共享的安全漏洞和渗透代码最终会被披露出来，在互联网上得以公布，“黑帽子”们会快速对其进行掌握和应用，并在安全社区中开始快速扩散。
　　5）恶意程序出现并开始传播：“黑帽子”们将在掌握安全漏洞和渗透代码基础上，进一步开发更易使用、更具自动化传播能力的恶意程序，并通过黑客社区社会组织结构和互联网进行传播。在此过程中（或之前和之后），厂商完成补丁程序开发和测试，并进行发布。
　　6）渗透代码/恶意程序大规模传播并危害互联网：厂商发布补丁程序和安全警报将更进一步地让整个黑客社区了解出现新的安全漏洞和相应的渗透代码、恶意程序，更多的“黑帽子”们将从互联网或社区关系网获得并使用这些恶意程序，对互联网的危害也在这个阶段达到顶峰。
　　7）渗透攻击代码/攻击工具/恶意程序逐渐消亡：在厂商补丁程序、安全公司提供的检测和移除机制得到广泛应用后，相应的渗透代码、恶意程序将被“黑帽子”们逐渐抛弃，从而慢慢地消亡。
　　安全漏洞生命周期如图1-1所示。
　　图1-1安全漏洞生命周期
　　在安全漏洞生命周期中，从安全漏洞被发现到厂商发布补丁程序用于修补该漏洞之前的这段期间，被安全社区普遍地称为“0day”。由于在这段时间内，黑客们攻击存有该安全漏洞的目标可以达到百分之百的成功率，同时也可以躲避检测，因此“0day”的安全漏洞和对应的渗透代码对于黑客社区具有很高的价值，挖掘“0day”安全漏洞并给出渗透代码也成为高水平黑客的追求目标。即使在厂商发布了针对该安全漏洞的补丁程序和安全警报后，补丁程序也需要一段时间被接受、下载和应用，而一些不负责任的系统管理员很可能永远也不会去更新他们的系统，因此一些已公布的安全漏洞及相应的渗透代码对于无论“黑帽子”，还是职业的渗透测试者而言都仍然具有价值。
　　1.2.2安全漏洞披露方式
　　俗话说，纸总是包不住火的。一旦一个安全漏洞被发掘出来并编写出相应渗透代码之后，无论漏洞发现者以哪种方式进行处理，这个漏洞总是会有被公开披露的一天。
　　而针对漏洞的公开披露策略与道德准则，在安全社区中曾爆发过无数次的辩论，在此我们无法展开解释各种已有的披露规则与各方观点。归纳起来，主要有如下四种主要的安全漏洞披露方式。
　　1. 完全公开披露
　　发现漏洞后直接向公众完全公开安全漏洞技术细节，这将使得软件厂商需要赶在攻击者对漏洞进行恶意利用之前开发并发布出安全补丁，然而这通常是很难做到的，因此这种披露方式也被软件厂商称为不负责任的披露，会使得他们的客户由于漏洞披露而置于安全风险之中。
　　即便如此，还是有一部分传统黑客认为只有这种方式才能够有效促使软件厂商重视起安全问题，这种观点在安全社区中仍有一些认同者。最重要的完全公开披露渠道是著名的Full-Disclosure邮件列表。
　　2. 负责任的公开披露
　　负责任的公开披露是在真正进行完全公开披露之前，首先对软件厂商进行知会，并为他们提供一段合理的时间进行补丁开发与测试，然后在软件厂商发布出安全补丁，或者软件厂商不负责任地延后补丁发布时，再对安全社区完全公开漏洞技术细节。
　　目前最被安全社区接受的是负责任的公开披露策略。
　　3. 进入地下经济链
　　随着漏洞的经济价值逐步被安全研究者所认识，一部分黑客认为不应免费给软件厂商打工帮助他们抓bug，向软件厂商通报能够获得的通常只是厂商的一声“谢谢”，有时甚至连道谢也得不到。这种反差已经造就了安全漏洞交易市场的出现，如著名的TippingPoint公司的“Zero-Day Imitative”计划和iDefense公司的漏洞贡献者计划等，这些安全公司通过向安全研究人员收购高价值的安全漏洞，并出售给如政府部门等客户来赢取经济利益，同时也为安全研究人员带来更高的经济收益，而这些安全漏洞的售价通常在几百美元至数万美元之间，影响范围巨大且能够有效利用的安全漏洞售价甚至可能超出十万美元。
　　在这种背景下，三位全球著名的黑客Dino Dai Zovi、Charlie Miller和Alex Sotrirov，在2009年的CanSecWest会议上打出了“No More Free Bugs”的横幅，这也引发了安全社区重新对安全漏洞信息的披露、出售与利用的伦理道德和策略进行争论。
　　4. 小范围利用直至被动披露
　　由于并非所有的漏洞发现者都会遵从软件厂商所期望的披露策略，因而在安全社区所发现的安全漏洞中，也有相当一部分并没有首先通报给软件厂商，而是在小范围内进行利用，进而逐步扩大影响范围，最终被恶意代码广泛利用从而危害庞大的互联网用户群体。这时一些安全公司会监测到野外活跃的渗透代码，并发现出背后所利用的安全漏洞。比如著名的Google公司遭受Aurora攻击事件，便揭示出是利用的MS10-002安全漏洞。
　　而无论以何种方式进行公开披露，已公布的安全漏洞信息都会被收集到业界知名的CVE、NVD、SecurityFocus、OSVDB等几个通用漏洞信息库中。
　　1.2.3安全漏洞公共资源库
　　国内的安全漏洞信息库主要包括：
　　CNNVD：中国国家漏洞库，由中国信息安全测评中心维护（www.cnnvd.org.cn）。
　　CNVD：中国国家信息安全漏洞共享平台，由国家计算机网络应急技术处理协调中心（CNCERT/CC）维护（www.cnvd.org.cn）。
　　乌云安全漏洞报告平台：民间组织（http://www.wooyun.org/）。
　　SCAP中文社区：由本书作者王珩、诸葛建伟等人发起的民间组织项目（http://www.scap.org.cn/）。
　　国外的安全漏洞信息库主要包括：
　　CVE：（Common Vulnerability and Exposures，通用漏洞与披露）已成为安全漏洞命名索引的业界事实标准，由美国国土安全部资助的MITRE公司负责维护，CVE漏洞库为每个确认的公开披露安全漏洞提供了索引CVE编号，以及一段简单的漏洞信息描述，而这个CVE编号就作为安全业界标识该漏洞的标准索引号。
　　NVD：（National Vulnerability Database，国家漏洞数据库）是美国政府官方根据NIST的SCAP标准协议所描述的安全漏洞管理信息库，具体由美国国土安全部下属的NCSD国家网际安全部门US-CERT组负责维护。截至2013年4月，NVD库目前包括了近6万条CVE安全漏洞详细信息。
　　SecurityFocus：起源于业内著名的Bugtraq邮件列表。2002年SecurityFocus网站被Symantec公司所收购，从Bugtraq邮件列表中也演化出SecurityFocus安全漏洞信息库，为业界的安全研究人员提供所有平台和服务上最新的安全漏洞信息。
　　OSVDB：（Open Source Vulnerability DataBase，开源漏洞数据库）由HD Moore参与发起，由安全社区创建的一个独立的、开源的安全漏洞信息库，为整个安全社区提供关于安全漏洞的准确、详细、及时、公正的技术信息，来促使软件厂商与安全研究人员更友好、更开放地合作，消除开发和维护私有安全漏洞信息库所带来的冗余工作量和花费。截至2013年4月，OSVDB库能够覆盖7万多个产品，已包含91 000多个安全漏洞的详细信息。
　　针对这些已知安全漏洞的公开渗透代码资源也会在安全社区中流传与共享，目前安全社区比较知名的渗透攻击代码共享站点包括Metasploit、Exploit-db、PacketStorm、SecurityFocus等，CORE Security、VUPEN等则提供商业的渗透代码订阅服务，具体内容如表1-1所示。而SCAP中文社区（www.scap.org.cn）提供了从CVE安全漏洞搜索渗透攻击代码的能力，并将进一步扩展汇聚渗透攻击代码的范围。
　　表1-1安全社区比较知名的渗透攻击代码共享站点
　　站点名称 站点网址 共享类型 代码类型 分类与索引 质量 数量规模
　　（单位：千）
　　Metasploit www.metasploit.com/modules/ 免费公开 社区开发 目录/索引 高 小（0.1～1）
　　Exploit-db www.exploit-db.com 免费公开 社区共享 目录/索引 中 中（1～10）
　　PacketStorm packetstormsecurity.org 免费公开 社区共享 Tag/无索引 中 大（10～100）
　　SecurityFocus www.securityfocus.com/bid 免费公开 社区共享 漏洞目录/索引 中 中（1～10）
　　SecurityReason securityreason.com/exploit_alert/ 免费公开 社区收集 无目录/无索引 中 中（1～10）
　　SecurityVulns securityvulns.com/exploits/ 免费公开 社区共享 无目录/无索引 中 中（1～10）
　　1337Day 1337day.com 付费购买 地下产业 目录/索引 未知 大（10～100）
　　CORE Security www.coresecurity.com 商业服务 企业开发 未知 未知 未知
　　VUPEN www.vupen.com 商业服务 企业开发 未知 未知 未知
　　看到技术总监通过幻灯片展示的渗透攻击代码共享站点表格，你马上提起了精神，在笔记本电脑的浏览器中打开了前面几个站点，粗略扫了几眼，感觉如获至宝，心里想：“哇，这么多好东西，赶紧收藏学习，以后关键时刻肯定能派得上用场。”
　　1.3渗透测试神器Metasploit
　　这时，技术总监故作神秘地说：“下面让我们有请魔鬼训练营的主角上场！”
　　你迷惑地往会议室门口张望，以为技术总监会介绍哪位更大牌的技术大牛来给你们培训呢，然而随着技术总监优雅地按下PPT翻页笔上的按钮，投影屏幕上以极其绚丽的动画效果展现出一个很酷的Logo（图1-2），Metasploit闪亮登场！
　　图1-2Metasploit的Logo
　　“Metasploit是一个开源的渗透测试框架软件，也是一个逐步发展成熟的漏洞研究与渗透代码开发平台，此外也将成为支持整个渗透测试过程的安全技术集成开发与应用环境”，技术总监继续介绍。
　　1.3.1诞生与发展
　　你举手示意，发问道：“Metasploit既然这么牛，为什么我们都没听说过呢？”
　　技术总监无奈地叹了口气，回答说：“你们这群小屁孩，整天只知道拿些烂工具就去黑人家网站，还留上×××到此一游，自以为很了不起是吧。大学英语课也不好好上，四级过得都那么费劲，要知道在黑客圈里混，不学好英语是不行的。这不，在国外安全圈子里这么有名的Metasploit你们都不知道，那么多关于Metasploit的英文材料你们根本不去学习。”你伸了伸舌头，想起面试的时候就已经被技术总监批评过英语四级分数狂烂，低头无语。
　　技术总监继续说：“Metasploit虽说算是一匹黑马吧，但也已经从黑马变为千里马许多年了，且听我慢慢给你们讲讲Metasploit诞生和发展的历史吧。”
　　1. Metasploit横空出世
　　Metasploit项目最初由HD Moore在2003年夏季创立，目标是成为渗透攻击研究与代码开发的一个开放资源。当时HD还是Digital Defense安全公司雇员，当他意识到他的绝大多数时间是在用来验证和处理那些公开发布的渗透代码时，他开始为编写和开发渗透代码构建一个灵活且可维护的框架平台，并在2003年的10月发布了他的第一个基于Perl语言的Metasploit版本，当时一共集成了11个渗透攻击模块。
　　笔者感慨旁白
　　2003年春季，研二的我刚刚开始进行一些安全研究，也在和HD Moore做同样的事情——搜索公开渗透代码资源并进行测试，不过我比他业余很多。我当时也萌生了与HD类似的想法——能否将公开发布的渗透攻击代码资源以一种通用化结构与标准化描述语言进行组织，使其能够成为业界共享的系统化攻击知识库。而对于这样的一个想法，我将课本上学的面向对象、XML结构化信息描述、COM组件作为基础，以XML Schema定义了一套攻击知识描述语言，然后在渗透攻击方法实现中采用了以Shell命令方式编译与执行公开渗透代码进行集成复用，当时也包含了从PacketStorm、MilW0rm等公开渗透代码资源网站上获取的少数几个渗透代码。最后基于这个想法和初步实现的原型系统，在《计算机研究与发展》上发表了我学术生涯的第一篇学术论文《基于面向对象方法的攻击知识模型》。现在回想起来，虽然当时想法有些类似，或许更具野心，但没有坚实的技术基础、丰富的实践经验以及浓厚的开源氛围，我无法像HD Moore那样能够抓住最核心的技术环节——渗透攻击与载荷的模块化组装与系统框架支持，并促成一个伟大开源工具的持续发展与创新。这就是差距，不得不面对和深思。现在，与本书作者之一王珩一起，重新拾起这个梦想，开创了SCAP中文社区，将一步一个脚印地走向这个梦想。