PTES-渗透测试执行标准

渗透测试的定义

渗透测试（Penetration Testing）是通过授权的第三方通过模拟黑客可能使用到的攻击方式对目标网络或目标系统的安全性作出风险评估和脆弱性分析一个测试过程。这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。渗透测试不能影响业务系统正常运行

 

渗透测试分类

渗透测试按照渗透的方法与视角可以分为以下三类：

黑盒测试

黑盒测试（Black-box Testing）也称为外部测试（External Testing）。采用这种方式时，渗透测试团队对客户组织一无所知，并没有任何目标网络内部拓扑等相关信息，他们完全模拟真实网络环境中的外部攻击者，采用流行的攻击技术与工具，有组织有步骤地对目标组织进行逐步的渗透和入侵，揭示目标网络中一些已知或未知的安全漏洞，并评估这些漏洞能否被利用获取控制权或者操作业务资产损失等。

黑盒测试的缺点是测试较为费时费力，同时需要渗透测试者具备较高的技术能力。优点在于这种类型的测试更有利于挖掘出系统潜在的漏洞以及脆弱环节、薄弱点等

白盒测试

白盒测试（White-box Testing）也称为内部测试（Internal Testing）。进行白盒测试的团队将可以了解到关于目标环境的所有内部和底层知识，因此这可以让渗透测试人员以最小的代价发现和验证系统中最严重的漏洞。白盒测试的实施流程与黑盒测试类似，不同之处在于无须进行目标定位和情报收集，渗透测试人员可以通过正常渠道向被测试单位取得各种资料，包括网络拓扑、员工资料甚至网站程序的代码片段，也可以和单位其他员工进行面对面沟通。

白盒测试的缺点是无法有效的测试客户组织的应急响应程序，也无法判断出他们的安全防护计划对检测特定攻击的效率。优点是在测试中发现和解决安全漏洞所花费的时间和代价要比黑盒测试少很多。

灰盒测试

灰盒测试（Grey-box Testing）是白盒测试和黑盒测试基本类型的组合，它可以提供对目标系统更加深入和全面的安全审查。组合之后的好处就是能够同时发挥两种渗透测试方法的各自优势。在采用灰盒测试方法的外部渗透攻击场景中，渗透测试者也类似地需要从外部逐步渗透进目标网络，但他所拥有的目标网络底层拓扑与架构将有助于更好地决策攻击途径与方法，从而达到更好的渗透测试效果。

 

PTES渗透测试执行标准

PTES标准中定义的渗透测试过程环节基本上反映了安全业界的普遍认同，具体包括以下7个阶段(诸葛建伟翻译版本）

前期交互阶段
情报搜集阶段
威胁建模阶段
漏洞分析阶段
渗透攻击阶段
后渗透测试阶段
报告阶段

 一，前期交互阶段

测试团队与客户解释并说明所用技术，确定项目范围，及客户所能承受的测试底线，我们只能对已授权的资产进行测试，未授权的资产不能进行任何测试，例如是否接受社工查询，压力测试等；确定周期，起始时间，何时开始，何时结束

 

确定范围：

1.对业务管理部门的问答交流

2.对系统管理员的问答交流

3.确定项目起止时间

4.项目授权信件

5.确定IP和域名范围

6.定义可接受的社会工程学方法

7.确定支付细节

目标规划：

1.确定首要目标及额外目标

2.业务和需求分析

建立通讯渠道：

1.紧急联络方式

2.应急响应流程

交互确定规则：

1.时间线

2.地点

3.渗透攻击的控制基线

4.敏感信息的披露

5.证据的处理

二，情报搜集

 

情报搜集阶段的目标是尽可能多的收集渗透对象的信息（网络拓扑、系统配置、安全防御措施等），在此阶段收集的信息越多，后续阶段可使用的攻击矢量就越多。因为情报搜集可以确定目标环境的各种入口点（物理、网络、人），每多发现一个入口点，都能提高渗透成功的几率。

开放渠道情报：

1.企业信息搜集

企业所在位置，成立时间，重大事件点，关键人员信息，关系网，招聘岗位，竞争对手，产品信息等

2.个人信息搜集

社交信息，履历，博客信息，最新动态等

人力资源情报:

关键雇员，供应链信息

识别防御机制

目标信息

 

三，威胁建模

利用信息搜集阶段搜索到的信息进行分析目标系统可能存在的缺陷，进行建模，根据模型来对下一步攻击进行规划，接下来就是挨个验证是否存在漏洞并进行利用，这个工程同样存在信息搜集

 

四，漏洞分析阶段

通过漏扫或者手工办法，确定目标脆弱点，并进行验证

五，渗透攻击

验证漏洞存在后，接下来就是利用发现的漏洞对目标进行攻击了，漏洞攻击阶段侧重于通过绕过安全限制来建立对系统或资源的访问，实现精准打击，常见防御机制，如waf，ips等

六，后渗透攻击阶段

后渗透攻击，顾名思义就是漏洞利用成功后的攻击，即拿到系统权限后的后续操作。后渗透攻击阶段的操作，可分为两种：权限维持和内网渗透。

权限维持——提升权限及保持对系统的访问。如果漏洞利用阶段得到的权限不是系统最高权限，我们应该继续寻找并利用漏洞进行提权。同时为了保持对系统的访问权限，我们应该留下后门（木马文件等）并隐藏自己（清除日志、隐藏文件等）。

内网渗透——利用获取到的服务器对其所在的内网环境进行渗透。内网环境往往要比外网环境有趣，我们可以利用获取到的服务器进一步获取目标组织的敏感信息。

七，报告阶段

渗透测试的最后一步便是报告输出。客户不会关心渗透的过程到底是怎样，他们要的只有结果，因此一份好的报告尤其重要。好的报告至少要包括以下两个主要部分，以便向客户传达测试的目标、方法和结果。

执行概要。这个部分向客户传达测试的背景和测试的结果。测试的背景主要是介绍测试的总体目的，测试过程中会用到的技术，相关风险及对策。测试的结果主要是将渗透测试期间发现的问题进行简要总结，并以统计或图形等易于阅读的形式进行呈现。然后根据结果，对系统进行风险等级评估并解释总体风险等级、概况和分数，最后再给出解决途径。