获课：999it.top/4237/

# 攻击链路全打通：信息收集、漏洞利用、权限维持

## 引言

“黑客是怎么攻破一个系统的？是不是直接找一个漏洞‘砰’一下就进去了？”

这是很多刚入门安全的朋友最爱问的问题。真相可能让你失望：**真正的攻击，从来不是一步到位的**。

任何一个有价值的系统被攻陷，背后都是一条完整的“攻击链”——从最开始的暗中观察，到找到突破口，再到站稳脚跟、长期潜伏。黑客就像一个小偷，他不会直接冲进你家，而是先在楼下转悠几圈，确认没人了才动手，而且走之前还会琢磨着怎么留个后门，方便下次再来。

今天，我们就来拆解这条完整的攻击链路：**信息收集、漏洞利用、权限维持**。看懂这三个环节，你就能理解黑客的整套思维逻辑。

## 一、信息收集：攻击开始前，黑客已经把你摸透了

**黑客永远不会盲打。**

在真正动手之前，他们会花大量时间做一件事：信息收集。这一步做得越充分，后续的攻击就越顺畅。

信息收集都收什么？可以说是“能查的都查”：

- **域名和IP**：用Whois查域名注册信息，用Shodan、Fofa搜目标IP开放了哪些端口、跑了什么服务

- **子域名和路径**：用脚本爆破子域名，扫描/admin、/backup、/test这些敏感路径——很多管理员把备份文件放在可访问的目录下，这就是送人头

- **员工信息**：邮箱格式、社交媒体账号、Github上是否泄露了代码或Token

- **前端JS接口**：现在很多API请求写在前端代码里，F12看一眼，可能直接暴露未授权接口

**核心逻辑**：信息收集不是为了“攻击”，而是为了“理解系统结构”。就像医生开刀前先做影像检查，黑客要先看清全局，再找最薄弱的那个点下手。

## 二、漏洞利用：从一个“小缝隙”打进内部

有了足够的信息，下一步就是找突破口。

一个常见的误区是：很多人以为黑客会盯着那种“惊天大洞”打。其实不是，**攻击链只需要最弱的一环被打穿**。一个不起眼的SQL注入、一个文件上传没校验、一个未修复的已知漏洞，都可能是进入的门。

### 从入口到控制权的三步走

**第一步：漏洞探测**

用工具或手动方式检测目标是否存在已知漏洞。比如：

- SQL注入：构造`‘ OR 1=1 --`看页面是否报错

- 文件上传：尝试上传.php5、.phtml绕过后缀检查

- 命令执行：用`ping 127.0.0.1 && whoami`看命令是否执行

**第二步：漏洞利用**

找到漏洞后，就要把它变成“能执行我想执行的命令”。

以文件上传漏洞为例：攻击者上传一个伪装成图片的WebShell，内容就一行`<?php system($_GET[‘cmd‘]); ?>`。然后访问`http://target.com/uploads/shell.php?cmd=whoami`——**命令执行成功，攻击者已经“站在了你服务器里”**。

这还只是开始。

**第三步：权限提升**

刚进来时，攻击者通常只是个普通用户。下一步要做的：**变成root或管理员**。

常见的提权方式：

- 利用内核漏洞（如Dirty Pipe、Dirty COW）

- 滥用SUID权限的程序

- 从配置文件里扒出数据库密码，再反查更多账户

- 盗取SSH key

提权成功后，攻击者就拿到了“系统主钥匙”。

### 一个真实案例：路由器命令注入

有研究人员在测试Wavlink路由器时，发现管理后台存在一处命令注入漏洞（CVE-2025-9149）。漏洞成因很简单：程序在处理HTTP请求参数`Guest_ssid`时，直接把参数拼接到系统命令中，交给`system`函数执行，而且没有任何过滤。

攻击者只需要构造一个请求：`page=GuestWifi&guestEn=1&Guest_ssid=1.txt`，就能在路由器上执行任意命令。一个小疏忽，整个设备被接管。

## 三、权限维持：来了，就不想走

拿到权限就收工？那太天真了。

真正的攻击者最怕的是“丢失入口”。所以他们一定会做一件事：**持久化**——让你删了一次，他还能再回来。

### 常见的权限维持手段

**Windows域环境下的骚操作**

在内网渗透中，权限维持的手段堪称“艺术”：

- **DSRM域后门**：每个域控制器都有一个本地管理员账户（DSRM）。攻击者可以把DSRM的密码同步成域管理员的密码，修改注册表允许远程登录，之后随时可以用这个账号控制域控

- **SSP权限维持**：把恶意的DLL（如mimilib）放到系统目录，注册到LSA（本地安全认证）机制里。之后任何用户登录，输入的密码明文都会被记录下来

- **Skeleton Key（万能钥匙）**：注入lsass进程，之后用任何账号登录域控，都可以用同一个万能密码

**通用持久化手法**

- 创建隐藏用户（用户名后面加$）

- 增加计划任务或Cron定时任务，定期反弹Shell

- 修改SSH authorized_keys，留下后门登录方式

- 在Web目录里藏第二个WebShell，万一被发现一个，还有备用的

### 为什么持久化如此重要？

因为攻击者的目标往往不是“一时爽”。有的是为了长期窃取数据，有的是为了作为跳板攻击更多目标，有的则是为了加密勒索——**等到你发现异常时，攻击链往往已经走了60%**。

## 总结：攻击链是一盘棋，不是单点爆破

回头看整条链路：

1. **信息收集**：画地图、找弱点

2. **漏洞利用**：从入口打到控制权，再提权到最高权限

3. **权限维持**：留后门、做持久化，确保随时能回来

**安全不是“防漏洞”，而是防攻击链的每个步骤**。

漏洞永远修不完，攻击工具永远在更新，黑客永远会想出新办法。但攻击链给了我们一个视角：**我们不需要堵住所有的门，只需要让攻击链在某一步“成本过高”，黑客就会放弃**。

入口处加WAF、服务器用非root运行、内网做零信任、日志全量告警——**把攻击链变成“断链”，你就把黑客逼退了一半**。

---

*你遇到过哪些“差点被打穿”的场景？或者对哪个环节最感兴趣？评论区聊聊，我们一起拆解。*