kali-pentest-zh

Category: Ops & Delivery | Uploader: x-glacier | Downloads: 0 | Version: v1.0（Latest）

通过 SSH 或 Docker 使用 Kali Linux CLI 工具执行授权渗透测试。覆盖：信息收集、漏洞分析、嗅探与欺骗、Web/API 渗透、漏洞利用、密码攻击、无线、云原生安全、RFID/NFC、VoIP/ICS、逆向工程、取证分析、后渗透/C2、报告生成。

Changelog: Source: GitHub https://github.com/x-glacier/kali-pentest

Directory Structure

Current level: tree/main/kali-pentest-zh/

📁 references/
- 📁 cloud-native/
  - 📁 tools/
    
    📄 azurehound.md 3.9 KB
    
    📄 docker-bench-security.md 1.9 KB
    
    📄 dockerscan.md 1.9 KB
    
    📄 kube-bench.md 1.7 KB
    
    📄 kubescape.md 1.5 KB
    
    📄 pacu.md 3.0 KB
    
    📄 peirates.md 4.0 KB
    
    📄 prowler.md 1.6 KB
    
    📄 scoutsuite.md 1.3 KB
  - 📄 README.md 3.9 KB
- 📁 environment/
  - 📄 docker-mode-networking.md 2.2 KB
  - 📄 docker-mode-persistent-container.md 3.8 KB
  - 📄 docker-mode.md 1.4 KB
  - 📄 README.md 1.4 KB
  - 📄 server-mode.md 4.1 KB
- 📁 exploitation/
  - 📁 tools/
    
    📄 bore.md 1.4 KB
    
    📄 chisel.md 3.1 KB
    
    📄 coercer.md 2.5 KB
    
    📄 dns2tcp.md 3.8 KB
    
    📄 evil-winrm.md 2.5 KB
    
    📄 evilginx2.md 2.3 KB
    
    📄 getsploit.md 2.0 KB
    
    📄 gophish.md 6.1 KB
    
    📄 impacket.md 10.7 KB
    
    📄 iodine.md 3.0 KB
    
    📄 ligolo-ng.md 2.8 KB
    
    📄 metasploit.md 11.0 KB
    
    📄 mitm6.md 2.3 KB
    
    📄 msfvenom.md 7.5 KB
    
    📄 mssqlpwner.md 2.4 KB
    
    📄 netcat.md 3.6 KB
    
    📄 odat.md 2.8 KB
    
    📄 proxytunnel.md 1.3 KB
    
    📄 routersploit.md 2.8 KB
    
    📄 searchsploit.md 4.7 KB
    
    📄 setoolkit.md 1.0 KB
    
    📄 sish.md 1.4 KB
    
    📄 smbclient.md 2.3 KB
    
    📄 socat.md 2.9 KB
    
    📄 veil.md 2.9 KB
  - 📄 README.md 9.7 KB
- 📁 forensics/
  - 📁 tools/
    
    📄 bulk-extractor.md 2.5 KB
    
    📄 chainsaw.md 2.6 KB
    
    📄 chkrootkit.md 2.6 KB
    
    📄 dc3dd.md 2.9 KB
    
    📄 dcfldd.md 3.2 KB
    
    📄 ddrescue.md 3.6 KB
    
    📄 exiftool.md 2.5 KB
    
    📄 foremost.md 2.1 KB
    
    📄 hashdeep.md 3.2 KB
    
    📄 plaso.md 3.5 KB
    
    📄 regripper.md 3.1 KB
    
    📄 rkhunter.md 3.3 KB
    
    📄 scalpel.md 2.7 KB
    
    📄 sleuthkit.md 3.7 KB
    
    📄 ssdeep.md 3.0 KB
    
    📄 steghide.md 2.2 KB
    
    📄 stegseek.md 2.1 KB
    
    📄 tcpdump.md 2.7 KB
    
    📄 tcpflow.md 3.0 KB
    
    📄 testdisk.md 3.0 KB
    
    📄 tshark.md 2.8 KB
    
    📄 volatility.md 4.1 KB
    
    📄 yara.md 3.2 KB
  - 📄 README.md 8.1 KB
- 📁 information-gathering/
  - 📁 tools/
    
    📄 altdns.md 1.8 KB
    
    📄 amass.md 7.1 KB
    
    📄 arp-scan.md 1.9 KB
    
    📄 assetfinder.md 1.9 KB
    
    📄 autorecon.md 2.3 KB
    
    📄 certgraph.md 3.4 KB
    
    📄 cloud-enum.md 2.1 KB
    
    📄 cloudbrute.md 1.9 KB
    
    📄 dig.md 2.3 KB
    
    📄 dmitry.md 2.0 KB
    
    📄 dnsenum.md 1.5 KB
    
    📄 dnsgen.md 1.6 KB
    
    📄 dnsmap.md 1.9 KB
    
    📄 dnsrecon.md 2.0 KB
    
    📄 dnstwist.md 2.4 KB
    
    📄 dnsx.md 2.9 KB
    
    📄 eyewitness.md 2.2 KB
    
    📄 fierce.md 2.5 KB
    
    📄 finalrecon.md 2.0 KB
    
    📄 findomain.md 2.4 KB
    
    📄 fping.md 2.2 KB
    
    📄 getallurls.md 2.6 KB
    
    📄 gowitness.md 3.2 KB
    
    📄 h8mail.md 3.1 KB
    
    📄 hakrawler.md 2.2 KB
    
    📄 hosthunter.md 2.8 KB
    
    📄 httprobe.md 2.2 KB
    
    📄 httpx.md 2.8 KB
    
    📄 ldeep.md 4.7 KB
    
    📄 masscan.md 3.8 KB
    
    📄 massdns.md 1.9 KB
    
    📄 metagoofil.md 2.3 KB
    
    📄 naabu.md 2.5 KB
    
    📄 nbtscan.md 1.7 KB
    
    📄 netdiscover.md 1.7 KB
    
    📄 nmap.md 8.8 KB
    
    📄 p0f.md 1.9 KB
    
    📄 recon-ng.md 7.0 KB
    
    📄 sherlock.md 3.3 KB
    
    📄 shodan.md 3.4 KB
    
    📄 spiderfoot.md 2.3 KB
    
    📄 subfinder.md 2.4 KB
    
    📄 sublist3r.md 1.9 KB
    
    📄 theHarvester.md 3.7 KB
    
    📄 trufflehog.md 3.0 KB
    
    📄 wafw00f.md 1.8 KB
    
    📄 whatweb.md 4.9 KB
    
    📄 whois.md 1.9 KB
  - 📄 README.md 15.0 KB
- 📁 password/
  - 📁 tools/
    
    📄 brutespray.md 2.5 KB
    
    📄 cewl.md 2.1 KB
    
    📄 changeme.md 2.6 KB
    
    📄 chntpw.md 2.4 KB
    
    📄 crowbar.md 2.4 KB
    
    📄 crunch.md 2.8 KB
    
    📄 fcrackzip.md 2.4 KB
    
    📄 gpp-decrypt.md 2.6 KB
    
    📄 hashcat.md 4.6 KB
    
    📄 hashid.md 2.2 KB
    
    📄 hydra.md 4.1 KB
    
    📄 john.md 3.2 KB
    
    📄 kerbrute.md 2.9 KB
    
    📄 medusa.md 2.4 KB
    
    📄 name-that-hash.md 3.1 KB
    
    📄 ncrack.md 3.2 KB
    
    📄 netexec.md 3.1 KB
    
    📄 patator.md 2.2 KB
    
    📄 pdfcrack.md 3.1 KB
    
    📄 rainbowcrack.md 3.0 KB
    
    📄 responder.md 2.1 KB
  - 📄 README.md 10.7 KB
- 📁 playbooks/
  - 📄 active-directory.md 14.0 KB
  - 📄 api-security.md 9.1 KB
  - 📄 cloud-native-assessment.md 17.8 KB
  - 📄 external-attack-surface.md 8.1 KB
  - 📄 forensics-triage.md 11.6 KB
  - 📄 internal-network-protocols.md 6.3 KB
  - 📄 internal-network.md 13.4 KB
  - 📄 mobile-application.md 9.9 KB
  - 📄 password-audit.md 9.0 KB
  - 📄 post-exploitation.md 10.9 KB
  - 📄 README.md 7.6 KB
  - 📄 reporting-workflow.md 6.4 KB
  - 📄 rfid-nfc.md 7.2 KB
  - 📄 source-code-audit.md 8.4 KB
  - 📄 voip-ics.md 17.2 KB
  - 📄 web-application.md 14.2 KB
  - 📄 wireless-assessment.md 9.6 KB
- 📁 post-exploitation/
  - 📁 tools/
    
    📄 bloodhound.md 4.8 KB
    
    📄 bloodhound.py.md 3.1 KB
    
    📄 bloodyad.md 2.9 KB
    
    📄 certipy-ad.md 3.1 KB
    
    📄 dnscat2.md 2.7 KB
    
    📄 dploot.md 2.9 KB
    
    📄 havoc.md 3.9 KB
    
    📄 hekatomb.md 2.9 KB
    
    📄 krbrelayx.md 4.2 KB
    
    📄 lapsdumper.md 2.3 KB
    
    📄 linpeas.md 3.6 KB
    
    📄 linux-exploit-suggester.md 2.8 KB
    
    📄 lsassy.md 2.6 KB
    
    📄 mimikatz.md 4.2 KB
    
    📄 nishang.md 4.6 KB
    
    📄 powershell-empire.md 3.9 KB
    
    📄 powersploit.md 5.5 KB
    
    📄 proxychains.md 2.2 KB
    
    📄 pspy.md 2.9 KB
    
    📄 pwncat.md 3.3 KB
    
    📄 rubeus.md 3.9 KB
    
    📄 sharphound.md 3.4 KB
    
    📄 sliver.md 1.4 KB
    
    📄 sshuttle.md 3.2 KB
    
    📄 winpeas.md 3.0 KB
  - 📄 README.md 11.1 KB
- 📁 reporting/
  - 📁 tools/
    
    📄 pandoc.md 3.2 KB
    
    📄 report-template.md 8.6 KB
  - 📄 README.md 2.5 KB
- 📁 reverse-engineering/
  - 📁 tools/
    
    📄 apktool.md 1.6 KB
    
    📄 binwalk.md 2.9 KB
    
    📄 checksec.md 1.9 KB
    
    📄 dex2jar.md 3.2 KB
    
    📄 frida.md 1.3 KB
    
    📄 ghidra-headless.md 1.4 KB
    
    📄 ipatool.md 1.3 KB
    
    📄 jadx.md 1.3 KB
    
    📄 ldd.md 1.9 KB
    
    📄 nm.md 2.2 KB
    
    📄 objdump.md 2.4 KB
    
    📄 objection.md 1.9 KB
    
    📄 rabin2.md 2.3 KB
    
    📄 radare2.md 1.3 KB
    
    📄 readelf.md 2.2 KB
    
    📄 ropper.md 4.0 KB
    
    📄 strings.md 2.3 KB
    
    📄 xxd.md 2.2 KB
  - 📄 README.md 4.8 KB
- 📁 rfid-nfc/
  - 📁 tools/
    
    📄 libnfc.md 1.2 KB
    
    📄 opensc-tool.md 1.0 KB
    
    📄 pkcs15-tool.md 1.2 KB
    
    📄 proxmark3.md 1.9 KB
    
    📄 scriptor.md 1.4 KB
  - 📄 README.md 2.7 KB
- 📁 sniffing-spoofing/
  - 📁 tools/
    
    📄 bettercap.md 3.4 KB
    
    📄 dnschef.md 2.6 KB
    
    📄 dsniff.md 3.3 KB
    
    📄 ettercap.md 2.4 KB
    
    📄 hping3.md 2.5 KB
    
    📄 macchanger.md 1.7 KB
    
    📄 netsniff-ng.md 2.8 KB
    
    📄 ngrep.md 3.2 KB
    
    📄 scapy.md 2.9 KB
    
    📄 sslstrip.md 2.2 KB
  - 📄 README.md 4.7 KB
- 📁 voip-ics/
  - 📁 tools/
    
    📄 enumiax.md 1.3 KB
    
    📄 ipmitool.md 5.2 KB
    
    📄 modbus-cli.md 2.2 KB
    
    📄 plcscan.md 1.1 KB
    
    📄 sippts.md 3.4 KB
    
    📄 sipvicious.md 1.5 KB
    
    📄 voiphopper.md 1.4 KB
    
    📄 yersinia.md 3.1 KB
  - 📄 README.md 3.6 KB
- 📁 vulnerability/
  - 📁 tools/
    
    📄 enum4linux-ng.md 2.4 KB
    
    📄 enum4linux.md 2.1 KB
    
    📄 ike-scan.md 2.8 KB
    
    📄 ismtp.md 2.0 KB
    
    📄 lynis.md 2.7 KB
    
    📄 nuclei.md 5.2 KB
    
    📄 onesixtyone.md 2.3 KB
    
    📄 openvas.md 3.1 KB
    
    📄 smbmap.md 2.1 KB
    
    📄 smtp-user-enum.md 3.3 KB
    
    📄 snmpcheck.md 1.6 KB
    
    📄 snmpwalk.md 2.3 KB
    
    📄 sslscan.md 2.1 KB
    
    📄 sslyze.md 3.2 KB
    
    📄 swaks.md 3.5 KB
    
    📄 testssl.sh.md 2.6 KB
    
    📄 trivy.md 2.1 KB
  - 📄 README.md 8.6 KB
- 📁 web/
  - 📁 tools/
    
    📄 arjun.md 2.2 KB
    
    📄 clairvoyance.md 2.1 KB
    
    📄 cmseek.md 2.2 KB
    
    📄 commix.md 2.3 KB
    
    📄 crlfuzz.md 1.8 KB
    
    📄 dalfox.md 2.8 KB
    
    📄 davtest.md 3.1 KB
    
    📄 dirb.md 3.7 KB
    
    📄 dirsearch.md 2.6 KB
    
    📄 dotdotpwn.md 3.5 KB
    
    📄 feroxbuster.md 2.7 KB
    
    📄 ffuf.md 7.4 KB
    
    📄 gitleaks.md 3.0 KB
    
    📄 gobuster.md 6.8 KB
    
    📄 gospider.md 2.3 KB
    
    📄 graphw00f.md 1.8 KB
    
    📄 grpcurl.md 1.3 KB
    
    📄 joomscan.md 2.7 KB
    
    📄 jwt_tool.md 3.0 KB
    
    📄 katana.md 3.5 KB
    
    📄 kiterunner.md 2.3 KB
    
    📄 mitmproxy.md 3.9 KB
    
    📄 mitmproxy2swagger.md 1.3 KB
    
    📄 nikto.md 3.0 KB
    
    📄 padbuster.md 3.6 KB
    
    📄 phpggc.md 3.3 KB
    
    📄 schemathesis.md 1.6 KB
    
    📄 slowhttptest.md 3.5 KB
    
    📄 sqlmap.md 9.2 KB
    
    📄 sstimap.md 2.7 KB
    
    📄 subjack.md 2.7 KB
    
    📄 tinja.md 2.9 KB
    
    📄 wapiti.md 3.0 KB
    
    📄 websocat.md 1.2 KB
    
    📄 weevely.md 3.1 KB
    
    📄 wfuzz.md 5.8 KB
    
    📄 wpscan.md 2.4 KB
    
    📄 xsstrike.md 2.5 KB
    
    📄 zaproxy.md 5.4 KB
  - 📄 README.md 11.8 KB
- 📁 wireless/
  - 📁 tools/
    
    📄 airbase-ng.md 3.2 KB
    
    📄 aircrack-ng.md 4.6 KB
    
    📄 aireplay-ng.md 4.7 KB
    
    📄 airgeddon.md 2.6 KB
    
    📄 airmon-ng.md 2.6 KB
    
    📄 airodump-ng.md 4.4 KB
    
    📄 asleap.md 3.1 KB
    
    📄 blueranger.md 903 B
    
    📄 bluesnarfer.md 1.5 KB
    
    📄 btlejuice.md 1.5 KB
    
    📄 btscanner.md 1.1 KB
    
    📄 bully.md 2.3 KB
    
    📄 cowpatty.md 2.0 KB
    
    📄 crackle.md 1.2 KB
    
    📄 eaphammer.md 2.6 KB
    
    📄 fluxion.md 2.6 KB
    
    📄 gatttool.md 2.1 KB
    
    📄 hcitool.md 1.9 KB
    
    📄 hcxtools.md 2.7 KB
    
    📄 hostapd-mana.md 2.8 KB
    
    📄 kismet.md 5.5 KB
    
    📄 mdk4.md 2.6 KB
    
    📄 pixiewps.md 2.2 KB
    
    📄 reaver.md 3.9 KB
    
    📄 sdptool.md 1.7 KB
    
    📄 wifiphisher.md 3.9 KB
    
    📄 wifipumpkin3.md 3.5 KB
    
    📄 wifite.md 4.0 KB
  - 📄 README.md 9.2 KB
📄 SKILL.md 14.0 KB

SKILL.md

---
name: kali-pentest-zh
description: |
  通过 SSH 或 Docker 使用 Kali Linux CLI 工具执行授权渗透测试。
  覆盖：信息收集、漏洞分析、嗅探与欺骗、Web/API 渗透、漏洞利用、密码攻击、无线、云原生安全、RFID/NFC、VoIP/ICS、逆向工程、取证分析、后渗透/C2、报告生成。
user-invocable: true
---

# Kali Pentest Skill

## 安全约束（首先阅读）

1. **授权是强制性前提**：未经用户确认的书面授权，不得扫描或探测任何目标。
2. **范围具有约束力**：仅测试用户已授权的主机、域名、端口、账号和技术手段。
3. **风险确认**：High/Critical 级别操作需用户明确批准后方可执行。
4. **禁止操作**：攻击未授权目标、对生产系统执行破坏性操作、未经明确要求修改/删除/加密目标文件、攻击关键基础设施。

高风险操作包括漏洞利用、凭据喷洒、暴力破解、NTLM 中继、钓鱼、无线攻击、持久化、数据外传、近似 DoS 的扫描和侵入式漏洞检查。

## 第一步：确定执行环境

检查用户消息中的连接信息。若未提供，向用户询问。

| 可用信息 | 模式 | 命令模式 |
|----------|------|----------|
| SSH 凭据 | **SSH**（首选） | `ssh {CONNECT_CMD} "{command}"` |
| 已运行的容器 | **Docker exec** | `docker exec {CONTAINER} {command}` |
| 仅有 Docker | **Docker 持久化容器** | 创建或启动 `kali-pentest`，再运行 `docker exec kali-pentest {command}` |

**环境初始化：**
- 连接或启动 Kali 环境后，先在 Kali 环境中执行一次 `rm -rf /tmp/*` 清空遗留临时文件，再开始任务。
- 不强制使用固定工作目录。除非用户或工具要求其他路径，否则临时日志和导出结果使用 `/tmp/` 下的任务专属文件名。

### 能力检查

根据任务选择匹配的环境：

| 需求 | 首选环境 | 规则 |
|------|----------|------|
| 完整评估、内网 LAN、原始套接字、服务守护进程、数据库支撑工具 | 通过 SSH 连接完整 Kali VM/server | 有 SSH 时优先使用 |
| CLI 侦察、Web 测试、基础扫描、报告生成 | 持久化 Docker 容器 | 工具和网络连通性验证后可用 |
| 无线监听模式、USB 适配器、硬件相关测试 | 通过 SSH 连接物理机/虚拟机 Kali | 不使用 Docker |
| GPU 密码破解 | 具备 GPU 访问能力的完整 Kali | 规划 GPU 任务前验证 `hashcat -I` |
| GVM/OpenVAS、Neo4j/BloodHound、ZAP daemon、Metasploit 数据库 | 首选完整 Kali | Docker 仅在服务栈已配置时可用 |

如果选定任务需要当前环境不支持的能力，停止并说明限制，不要强行运行工具。

执行重型任务前，按所选环境运行就绪检查：

- 完整 Kali/服务器模式：`references/environment/server-mode.md`
- Docker 模式：`references/environment/docker-mode.md`

缺少可选工具不代表环境失败。选择 playbook 后安装所需软件包，或从分类 README 中选择替代工具。

### SSH 模式

```bash
ssh {CONNECT_CMD} "whoami && uname -a" # 验证连接
ssh {CONNECT_CMD} "nohup {cmd} </dev/null > /tmp/{task}.log 2>&1 & echo \$!" # 后台任务
scp {USER}@{HOST}:/tmp/{output_file} /tmp/ # 取回结果
```

### Docker 模式

仅将 Docker 作为持久化 Kali 执行环境使用。不要用一次性临时容器执行评估。

先读取 `references/environment/docker-mode.md`。仅在创建、启动容器或向容器安装工具时读取 `references/environment/docker-mode-persistent-container.md`；仅在处理原始套接字行为、Docker Desktop 限制或可达性/路由问题时读取 `references/environment/docker-mode-networking.md`。

## 第二步：规划

### 2.1 范围确认

1. **明确目标**：IP、域名、CIDR 范围、应用 URL、无线 SSID、镜像文件或账号集合。
2. **确认授权**：与用户明确确认。这是强制要求。
3. **测试类型**：黑盒、白盒、灰盒、认证、未认证、内网、外网、无线或取证。
4. **了解约束条件**：时间限制、排除的主机/端口、速率限制、锁定策略、维护窗口、合规要求。
5. **设置风险门槛**：约定哪些 High/Critical 操作在执行中需要二次确认。

### 2.2 选择深度

| 深度 | 适用场景 | 覆盖范围 |
|------|----------|----------|
| **Quick** | 用户需要快速扫描或连通性检查 | 低噪声发现、Top 端口、基础 Web 指纹，不做侵入式检查 |
| **Standard** | 授权评估的默认选择 | 服务枚举、漏洞扫描、Web 爬取、常见协议检查，采集可纳入报告的证据 |
| **Deep** | 用户明确要求最大覆盖并接受时间/风险 | 全端口、选定 UDP、认证检查、更大字典、GVM/OpenVAS、更深入的爆破或利用流程 |

仅在用户明确要求时才直接运行 Deep 或侵入式检查。否则应该默认从 Standard 开始，在结果证明有必要升级深度时，征得用户同意后升级为 Deep。

**自然语言到深度级别的映射：**

- "全面评估"、"深度渗透"、"最大覆盖"、"full assessment"、"comprehensive"、"deep" → Deep
- "快速扫描"、"连通性检查"、"quick scan"、"fast check" → Quick
- 未指定深度或含义模糊 → Standard
- 复合请求中包含混合深度信号 → 使用隐含的最高深度；如有歧义，询问用户

### 2.3 选择 Playbook

查看 `references/playbooks/README.md` 中的决策树以选择正确的 playbook。

如果没有匹配的 playbook，按标准生命周期推进：信息收集 -> 漏洞分析 -> Web 或漏洞利用 -> 后渗透 -> 报告。

## 第三步：执行

### 参考文档读取顺序

依次读取所选场景的 `references/playbooks/*.md` 获取场景工作流，然后读取相关分类 `references/<category>/README.md` 以选择合适的工具，最后仅对即将运行的工具读取 `references/<category>/tools/<toolname>.md`。在每个阶段遵循此模式——当 playbook 切换到另一个 playbook 时，对新 playbook 应用相同的读取顺序。不要预先阅读未到达阶段的材料。

### 工具分类

| 阶段 | 参考文档 | 适用场景 |
|------|----------|----------|
| 信息收集 | `references/information-gathering/` | 需要发现主机、端口、子域名或 OSINT |
| 漏洞分析 | `references/vulnerability/` | 需要枚举服务或查找漏洞 |
| 嗅探与欺骗 | `references/sniffing-spoofing/` | 需要 ARP 欺骗、MITM、凭据嗅探、DNS 欺骗或数据包构造 |
| Web 渗透 | `references/web/` | 目标是 Web 应用或 API（GraphQL、OpenAPI/REST、gRPC、WebSocket） |
| 漏洞利用 | `references/exploitation/` | 漏洞已确认且已授权利用 |
| 密码攻击 | `references/password/` | 有哈希待破解，或有凭据/服务待测试 |
| 无线安全 | `references/wireless/` | 目标是无线网络 |
| 云原生 | `references/cloud-native/` | 目标是云账户、Kubernetes、容器、镜像仓库或 Docker 主机 |
| RFID/NFC | `references/rfid-nfc/` | 目标是 RFID/NFC、Proxmark3、PC/SC、智能卡或物理凭据 |
| VoIP/ICS | `references/voip-ics/` | 目标是 VoIP、SIP/IAX、ICS、OT、PLCs 或 Modbus |
| 逆向工程 | `references/reverse-engineering/` | 需要二进制分析、反汇编、固件提取或移动应用反编译 |
| 取证分析 | `references/forensics/` | 分析磁盘镜像、内存转储、流量包或日志 |
| 后渗透 | `references/post-exploitation/` | 已获初始访问，需提权、跳板转发、分析 AD 或检查二进制文件以辅助提权 |
| 报告 | `references/reporting/` | 测试完成，需生成报告 |

关键检查项使用多个互补工具。单个工具结果为空不能证明目标安全。

**跨服务交互测试：** 当同一主机上运行多个服务时，测试共享资源——共享文件系统（在一个服务上传的文件可通过另一个服务访问）、共享数据库（一个应用的凭据可访问另一个应用的数据）、反向代理关系（通过直接访问后端绕过 WAF）以及不同端口服务间的会话/凭据共享。

### 执行规范

- **检查可用性**：`which {tool} || apt-get install -y {tool}`。如果工具不在 apt 仓库中（如 katana、httpx、naabu），查阅工具参考文件获取 `go install` 或 `pip install` 等替代安装方式。
- **非交互模式**：使用 `-y`、`--batch`、`--no-interaction` 或等效参数防止挂起。
- **长时间任务**：输出重定向到任务专属日志，例如 `nohup {cmd} </dev/null > /tmp/{task}.log 2>&1 & echo \$!`。
- **不要复用日志**：每个长时间运行工具使用唯一日志文件名。
- **取回文件**：SSH 使用 `scp`，Docker 使用 `docker cp`。
- **记录命令**：保留命令行、开始/结束时间、目标、输出文件和重要错误，供报告使用。
- **确认扫描结果**：高速扫描可能因丢包而遗漏端口。使用低速、高重试扫描对发现的端口进行确认，再继续后续步骤。
- **不得跳过未识别服务**：对 `unknown`、`tcpwrapped` 或带 `?` 后缀的服务进行探测，方可标注为未能识别。
- **逐服务系统化测试**：识别出服务类型只是测试的起点，不是终点。对每个服务，完成版本识别、CVE 评估、信息泄露检查、访问与认证测试、协议探测、凭据测试、TLS 配置检查和服务配置审计（如 SSH：密码算法策略；SMTP：中继、VRFY、认证设置；HTTP：目录列表、服务器头、默认页面；数据库：远程访问、默认账户）。明确记录阴性结果。

### 产物和状态管理

优先保存机器可读输出，方便后续阶段消费前序结果：

| 数据 | 首选输出 |
|------|----------|
| 主机和端口扫描 | nmap `-oA`、naabu JSON、masscan 列表输出 |
| HTTP 资产清单 | httpx JSON、gowitness 数据库/报告、截图 |
| 漏洞 | nuclei JSONL、ZAP JSON/HTML、Nikto 文本/HTML |
| Web 爬取 | katana/gospider URL、ZAP 上下文/导出、mitmproxy HAR/流量文件 |
| 凭据和哈希 | 工具输出加来源上下文、范围和验证状态 |
| 证据 | 截图、原始请求/响应、证明命令、时间戳 |

维护工作清单：存活主机、开放端口、Web 端点、凭据/哈希、已确认发现、截图、未解决问题。

在多阶段评估中，还需维护：跟踪每个服务测试矩阵项完成状态的服务清单、记录每个凭据对每个授权服务测试结果的凭据 × 主机复用矩阵、需要 Shell 访问的本地绑定服务延迟测试列表，以及在 playbook 间切换时的 playbook 返回堆栈。

### 输出管理

大型工具输出（全端口扫描、包含数千模板的 nuclei）可能超出 Agent 的处理能力。将输出重定向到文件，提取相关发现，不要读取完整输出：

```bash
nmap -oA /tmp/scan <target>                   # 将完整输出保存到文件
grep '/open/' /tmp/scan.gnmap                 # 仅提取开放端口
nuclei -o /tmp/nuclei.jsonl -jsonl <target>   # 保存为 JSONL
cat /tmp/nuclei.jsonl | jq -r '.info.name'    # 提取发现名称
```

### 错误处理

- **工具未找到且安装失败**：尝试替代安装方式，或切换为分类 README 中的替代工具。没有可行替代方案时再报告用户。
- **参数或语法错误**：先运行 `{tool} --help` 确认参数和格式，再重试。
- **命令超时或挂起**：终止进程，缩小范围，降低并发，然后重试。
- **输出为空**：验证可达性（`ping`、`curl`、`nc` 或协议专项检查），确认工具支持目标类型。
- **SSH 断连**：重连并用 `ps aux | grep {tool}` 检查后台任务是否仍在运行。
- **警告信息**：区分信息性警告和扫描阻断问题。例如模板警告可以记录，目标不可达则需要连通性排障。

## 第四步：分析与迭代

- 解析输出并提取关键发现：开放端口、版本、漏洞、凭据、配置错误、可达路径。
- 将发现链式推进到下一步：开放 445 -> SMB 枚举；Web 登录页 -> 认证测试；SQL 注入 -> sqlmap；AD 信号 -> AD playbook。
- **跨主机凭据测试：** 在一台主机上发现凭据时（配置文件、数据库转储、路径遍历），不仅测试当前主机的服务，还要测试所有授权范围内的主机和服务。跨主机凭据复用是常见的横向移动向量。
- 重要发现先用第二个工具或手工协议检查交叉验证，再作为已确认发现报告。每个已确认发现必须包含可重现的完整命令及其实际输出作为证据。
- High/Critical 发现立即通知用户，等待确认后再进行利用或升级。
- 利用失败时，带着更窄的假设回到枚举阶段，不要重复运行同一工具。
- 发现新主机、凭据、域或跳板路径时，在授权范围内重新启动相关 playbook。
- 在规划下一步行动前，用每次迭代的新发现更新工作清单（存活主机、凭据、发现、未解决问题）。
- **关闭服务前自检：** 在将某个服务标记为完成之前，验证执行规范中逐服务系统化测试要求的每一项均已完成，或已明确记录为"不适用"。某服务"看起来安全"并不等于已经完成测试——那只是完成了识别。

## 第五步：报告

使用 `references/playbooks/reporting-workflow.md` 和 `references/reporting/tools/report-template.md` 中的模板。

包括：

- 范围、授权说明、日期、环境和限制。
- 执行过的命令和主要工具版本。
- 已确认发现：严重等级、证据、影响、复现步骤和修复建议。每个发现必须包含完整的验证/重现过程——执行的确切命令及其实际输出——使读者可以独立重现结果。
- 重要的阴性结果，例如不可达主机或已测试但无发现的服务。
- 生成的产物及保存位置。

报告工具选择见 `references/reporting/README.md`。

---

## 参考布局

- `references/environment/` 定义服务器和 Docker 执行环境就绪要求。
- `references/playbooks/` 定义场景流程和决策点。
- `references/<category>/README.md` 用于选择某一分类下适合的工具。
- `references/<category>/tools/<name>.md` 提供具体命令参数和示例。

Comments 0

Latest | Hot

Please login before commenting.

Loading comments...

kali-pentest-zh

Directory Structure

SKILL.md

Report

Notice