【OSCP认证-02】课程大纲

首先明确下官方教材的版本为 《Penetration Testing with Kali Linux》V1.1.5（共375页）

教材总共分为十九个章节，下面我一一给大家简单介绍下：

第零章：《渗透测试: 你应该知道什么》

主要介绍kali、渗透测试的基本概念，和考试相关的v p n、实验室控制面板、报告等事宜，基本属于介绍性材料，唯一有用的应该就是那张lab的拓扑结构图了，对后面做lab实验是很有帮助的。

第一章：《KALI基本配置》

介绍kali环境，以及各种 工具 、使用方法、技巧，虽然网上有很多书籍讲解，但毕竟这是官方的教材还是值得一读的。亮点是林肯的那句 “If I had six hours to chop down a tree, I'd spend the first three sharpening my axe.”，俗话说磨刀不误砍柴工嘛。还有就是官方推荐用32位的kali镜像，因为 linux 下的缓冲区溢出课程需要。find、locate、which这几个命令也会讲一遍……不得不说还真是从基础开始逐步深入。后面还有怎么启服务、查开放端口、查日志等等。如果你会用linux这部分学起来会很轻松。

第二章：《基本工具》

介绍基本工具netcat、ncat、wireshark和tcpdump的使用方法。基本技能包括nc的用法（监听端口、传文件、正反向 shell 等），还有ncat的ssl加密连接等等。wireshark抓包、过滤、看数据流等等。tcpdump读取pcap包，使用tcpdump高级命令来过滤tcp包，其中相关命令可以不必背下来，如果真需要使用查相关使用手册或者百度即可。

第三章：《被动信息收集》

举了一个社工的例子。大概意思是搞一个公司的系统，这个公司很安全，在这个公司的论坛里看到一个雇员在买邮票（估计是个集邮爱好者）并留了邮箱地址，然后做了一个假的集邮网站挂马，然后邮件、电话钓鱼，结果当然成功了，用的是ms05-001老洞。

正文主要是介绍了google语法搜索，然后各种Google hacking走了一波，其实归根结底一句话看看exploit-db的GHDB就全都有了。邮件收集用了一个 theharvester工具，好推荐了几个信息收集网站 http://www.searchengineshowdown.com/features/ 、https://searchdns.netcraft.com/，后面是whois命令、recon-ng工具。怎么说呢？这部分内容渗透工作中信息收集的时候还是有一些用处的，不过考试估计用上的不多。

第四章：《主动信息收集》

这部分考试应该是有用的。就是各种信息枚举。包括：dns枚举、端口扫描、SMB枚举、SMTP枚举、SNMP枚举。

首先是dns枚举。用命令host -t ns megacorpone.com、host -t mx megacorpone.com，用host命令正反向lookups，后面用字典结合host命令进行域名正反向爆破。dns域传送用的是“host -l 域名 dns服务器”命令，后面又秀了个脚本自动查dns服务器，自动检测域传送。最后也说了kali里面有现成的工具DNSrecon、DNSenum。

第二个是端口扫描。tcp、udp端口扫描原理介绍了下，用nc和wireshark演示了下扫描，当然实际工作中还得上nmap，然后说了nmap默认扫描常见的1000个端口，发包72k，如果全端口撸一遍得4.5m，最后说如果搞b段全端口怎么搞？后面是各种nmap的参数，手册放边上用到的时候查一下即可，就别背了，操作系统识别啊、banner和服务的枚举啊、nse脚本的使用啊，基本就是nmap的用法教学。

第三个SMB枚举。扫描NetBIOS服务可以用nmap、nbtscan等，还有空会话的枚举，以及使用nmap的smb脚本进行扫描等等。

第四个是SMTP枚举。介绍了使用SMTP的VRFY命令来枚举服务器上的账号名。

第五个是SNMP枚举。这个还是蛮有用的，当然是要在获得snmp的团体名后通过MIB获得设备信息，有些设备是可以获得到账号及密码的，如果配置不严格使用默认的可读可写的团体名，还有可能获得并修改设备的配置文件。

第五章：《漏洞扫描》

主要介绍了使用nmap进行漏洞扫描，当然是通过nse脚本来实现漏洞扫描的，后面还介绍了著名开源扫描工具OpenVAS在KALI上的安装和使用。

第六章：《缓冲区溢出》

先是介绍了一些概念fuzzing、漏洞历史、DEP、ASLR等等，后面介绍了下POP3协议的fuzzing方法，当然是为了后面一章《Win32缓冲区溢出攻击》做准备。

第七章：《Win32缓冲区溢出攻击》

通过上一章的铺垫，本章重点以SLMail软件为例，讲解该软件在处理POP3协议的PASS命令时存在的缓冲区溢出漏洞。从“触发程序崩溃”到“控制EIP指针”到“shellcode编写”到“测试BadChar”到“重定向执行流程”到“使用Metasploit生成Shellcode”到最后“获得shell”。讲得很详细，流程很清晰。后续还有介绍对poc的改进方法。

第八章：《Linux缓冲区溢出漏洞》

原理基本和上一章一致，本章主要是以Crossfire游戏为例讲解linux下的缓冲区溢出攻击的方法和过程，流程和前面一样，需要注意的是要在32位操作系统上实验，并且linux下使用的调试器是EDB，如果你还不熟悉，可以先了解下。

第九章：《漏洞利用》

本章主要讲的是如何通过KALI以及搜索引擎找漏洞利用代码，然后对漏洞利用代码进行修改重编译，主要是提高我们改exp的能力，比如说换掉shellcode更改返回地址等操作。

第十章：《文件传输》

主要介绍拿到shell后进行文件传输的方法，主要有：TFTP、FTP、VBS脚本、PowerShell、debug的方法，后三种常用在windows操作系统环境下。

第十一章：《提权》

提权主要有两种途径，第一种是exp提权，就是利用系统漏洞本地提权，分别在linux下和windows下进行了讲解和具体的漏洞演示。第二种是利用配置缺陷提权，比如文件或者服务的权限配置不当进行提权，并举了实例进行演示。

第十二章：《客户端攻击》

主要是通过收集客户端信息并结合社工等技巧来对制定用户的客户端软件及服务进行攻击，比如攻击客户的浏览器，如利用MS12-037对IE浏览器进行攻击，或者利用 java 小程序诱导用户执行恶意程序等。

第十三章：《WEB应用攻击》

包括常见的web漏洞的原理和攻击手法，如利用xss来钓鱼、iframe挂马、偷cookies等等，后面还有文件包含、 SQL 注入的原理和利用方法，这部分感觉讲得一般，没有咱们国内的教程好，有很多技巧没讲出来。

第十四章：《密码攻击》

主要分三部分来讲，本地字典攻击，就是针对拿到的密码散列在本地使用字典进行破解。在线密码攻击，使用暴力破解工具对在线系统进行密码暴力尝试。哈希攻击，可以使用本地暴力破解，有些也可以使用哈希替换的方法，将哈希当做密码来用。

第十五章：《端口重定向和隧道》

这也是渗透中常用的技巧，主要是为了突破一些网络限制，比如防火墙的acl限制等等。比如使用rinetd工具来做端口重定向，或者ssh隧道起代理，然后使用proxychains来使用代理进行nmap扫描等等。

第十六章：《Metasploit框架》

简单介绍了MSF的基本用法，在KALI上启动、使用 Auxiliary工具进行snmp枚举、ftp暴力破解等等，使用Exploit进行漏洞利用，以及Payloads工具中重点是Meterpreter和multi/handler的使用，后面还有开发自己的MSF模块并使用。

第十七章：《免杀》

主要是通过Metasploit加密payloads来躲避杀毒软件的查杀，加密后门或者将后门与正常软件捆绑等来进行免杀。或者自己重新编译后门在进行加密捆绑来绕过查杀。

第十八章：《渗透测试实战演练》

背景是一个公司的域环境。拓扑如下：

通过信息收集并字典攻击拿下一个web系统的登录权限，进入web系统获取hash后进行密码破解，查看该web系统使用的是SQLiteManager V1.2.4版本，网上可以找到exp利用并获取shell，发现shell权限低，进行linux内核漏洞本地提权，获取root权限后发现本地文件.htaccess文件中记录其他神秘网段地址信息，并查看apache的access.log文件发现有神秘网段主机的访问记录，通过客户端攻击（java小程序攻击）对神秘网段主机进行攻击，神秘主机安装了赛门铁克杀毒软件，因此需要免杀来绕过查杀，当然对神秘网段的渗透是需要通过隧道的，拿下神秘主机后发现，系统使用了域管理，域下发现可以映射磁盘获取dc01服务器的敏感文件Groups.xml，通过对Groups.xml中的哈希进行破解获得一组密码，再通过端口映射及隧道突破网络限制通过远程桌面登录到了Mike的机器上，打开浏览器发现一个Citrix的服务器，在Citrix服务器上使用免杀过的wce.exe获取与管理员的账号及密码，最终获得目标域MEGACORPONE的管理员账号及密码，最终再通过端口映射及隧道使用administrator账号登录域控服务器成功。至此渗透结束，最后这个实战还是挺有意思的，综合运用之前的所有知识完成最终获得域控管理权限。

本部分只是概要的讲解课程教材的基本内容，后面会详细翻译原版教材并增加扩展笔记，希望大家喜欢。