学习黑客黑客五阶段

海尔辛

已于 2025-05-04 14:35:58 修改

阅读量764

点赞数 27

分类专栏： hack 文章标签：学习网络 web安全

于 2025-05-04 01:00:28 首次发布

本文链接：https://blog.csdn.net/qq_41179365/article/details/147689138

版权

hack 专栏收录该内容

19 篇文章

订阅专栏

在这里插入图片描述

本日 Day 6 我们把「黑客五阶段」和 MITRE ATT&CK 14 大战术拼成一副“攻防连连看”。你会先用彩色流程图记住 Recon→Scan→Gain Access→Maintain Access→Cover Tracks，然后把每一步在 ATT&CK 矩阵里找到“官方学名”，最后动手写一张自己的 ATT&CK 速查卡 并做一次迷你实操。完成后，你能用标准术语讲述一次完整入侵、给任何战术快速贴 ATT&CK 标签，并知道对应侦测/防御方向。

在这里插入图片描述

1 | 黑客五阶段一口吃

阶段	目的	典型动作
Reconnaissance	收集情报	被动爬社媒 / 主动 Whois、Google Hacking
Scanning	枚举目标面	nmap 端口扫描、漏洞扫描器探测
Gaining Access	拿初始壳	利用 CVE、弱口令、鱼叉钓鱼植马
Maintaining Access	留后门	新建用户、WebShell、持久化服务
Covering Tracks	擦屁股	清日志、时间戳欺骗、混淆文件名

许多教材把扫描与枚举统称 “Phase 2”，其余三步顺次循环——GeeksforGeeks、GreyCampus、Null-Byte 均采用此划分

在这里插入图片描述

。

2 | ATT&CK 14 大战术快照

MITRE 官方把攻击活动拆成 14 个“Tactic（战术）”列表：

Reconnaissance • Resource Development • Initial Access • Execution • Persistence • Privilege Escalation • Defense Evasion • Credential Access • Discovery • Lateral Movement • Collection • Command & Control • Exfiltration • Impact

下载最新版矩阵海报可以直接挂墙。

3 | 连连看：五阶段 ↔ ATT&CK

五阶段	对齐战术	高频技术示例
Recon	TA0043 Reconnaissance	T1595 Active Scanning
Scan	仍属 TA0043 或跨到 Discovery	T1087 Account Discovery、T1046 Network Service Scanning
Gain Access	TA0001 Initial Access + TA0002 Execution	T1566 Phishing、T1059 Cmd Exec
Maintain Access	TA0003 Persistence	T1546 Event Subscription、T1053 Scheduled Task
Cover Tracks	TA0005 Defense Evasion	T1105 Ingress Tool Transfer、清除日志 T1070

来个中文的：
ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是一个全球性的、公开的网络威胁行为知识库和模型，下面为黑客五阶段各列举一个对应的 ATT&CK 技术：

搜索阶段 - 信息收集：主动扫描（T1595）

技术描述：攻击者主动对目标网络或系统进行扫描，以收集有关目标的信息，如开放的端口、运行的服务、操作系统版本等。这与搜索阶段黑客收集目标信息的行为相契合，通过主动扫描可以发现潜在的攻击面。
示例：黑客使用 Nmap 工具对目标企业的 IP 地址范围进行端口扫描，以确定哪些端口是开放的，以及这些端口上运行的服务。

扫描阶段 - 发现：网络服务扫描（T1046）

技术描述：攻击者使用扫描工具来发现目标网络上的服务和系统。在扫描阶段，黑客需要查找目标系统的漏洞和开放服务，网络服务扫描技术可以帮助他们识别目标网络中运行的各种服务，为后续的攻击提供线索。
示例：利用 Shodan 搜索引擎搜索特定类型的设备或服务，或者使用 Nessus 等漏洞扫描器对目标网络进行全面扫描，以发现存在的安全漏洞。

获得权限阶段 - 初始访问：外部远程服务（T1133）

技术描述：攻击者通过使用合法的外部远程服务（如 SSH、RDP 等）来获得对目标系统的初始访问权限。在获得权限阶段，黑客需要找到一种方法进入目标系统，利用外部远程服务是常见的手段之一。
示例：黑客通过猜测或暴力破解目标服务器的 SSH 用户名和密码，然后使用 SSH 客户端连接到服务器，从而获得对服务器的访问权限。

保持连接阶段 - 持久化：创建或修改系统进程（T1543）

技术描述：攻击者通过创建或修改系统进程来确保在目标系统上的持久化存在。在保持连接阶段，黑客需要确保即使目标系统重启或进行其他操作，他们仍然能够保持对系统的访问。通过创建或修改系统进程，黑客可以在系统启动时自动运行他们的恶意程序。
示例：黑客在目标系统上创建一个计划任务，该任务会在系统启动时自动运行一个后门程序，从而确保他们可以随时重新连接到目标系统。

消除痕迹阶段 - 防御规避：清除 Windows 事件日志（T1070.001）

技术描述：攻击者通过清除 Windows 事件日志来掩盖他们的活动痕迹。在消除痕迹阶段，黑客需要删除或篡改系统日志，以避免被系统管理员或安全监控系统发现他们的攻击行为。清除 Windows 事件日志是一种常见的手段。
示例：黑客使用 Windows 命令行工具（如 wevtutil）或 PowerShell 脚本来清除系统的安全、应用程序和系统日志。

这样一来，见招即可在矩阵中定位，方便查对抗措施。
在这里插入图片描述

4 | 10-分钟迷你实操

目标：把理论变肌肉记忆。

环境：你前几天的云服务器 + Kali VM。
创建新用户，例如名为 demo
设置弱口令，例如 123456
echo “demo:123456” | chpasswd
准备密码文件 rockyou.txt
123456
password
abc123
admin
创建好用户后，先试试本地能不能 ssh 连接成功，可以再继续

Recon/Scan
```
nmap -A -T4 <your-ip>
```
记录扫描到的开放端口及服务版本 → 在表格“Phase＝Recon/Scan；ATT&CK＝T1595/T1046”。
Gain Access（练习环境）
若 22 口允许密码，尝试 Hydra 爆破一个弱口令用户（自己设置）：
```
hydra -l demo -P rockyou.txt ssh://<ip>
```
攻击成功 → 记作 TA0001/T1110。
Maintain Access
登录后 echo "ssh-rsa AAAA...">>~/.ssh/authorized_keys，新建公钥后门 → TA0003/T1098。
Cover Tracks
```
sudo bash -c '> /var/log/auth.log'
```
模拟日志清除 → TA0005/T1070.004。
（记得测试机别用于生产！）
写入速查卡：在 Notion/Excel 填入技战术、检测线索、拟定防御（如 Fail2Ban + 日志集中收集）。

5 | 制作个人 ATT&CK 速查卡（模板）

ATT&CK 战术	典型技术	侦测日志	快速缓解
Recon	T1595 Active Scanning	IDS 外联扫描告警	WAF/Rate-limit
Initial Access	T1566 Phishing	邮件网关钓鱼评分	SPF/DKIM/MFA
Persistence	T1053 Scheduled Task	新建计划任务记录	最小权限 + 审计
Defense Evasion	T1070 Log Deletion	日志缺口告警	远程集中日志 & WORM 存储