// 渗透测试侦查与任务规划技能。定义渗透测试的完整工作流程:从信息收集(Recon)到 范围确定、任务规划和漏洞测试执行。覆盖端口扫描、子域名枚举、Web 搜索、 服务识别等侦查手段,提供 OWASP Top 10 检查矩阵和任务编排策略。
渗透测试安全测试任务设计与执行总指导。作为渗透测试的顶层编排技能,将抽象的安全测试方法论 映射到可直接调用的工具链,定义从目标接收到报告输出的完整决策流程。覆盖侦查、爬虫、 漏洞测试、利用验证的每一步具体操作,串联 recon-planning、web-crawler、xss-testing、 sql-injection、command-injection、template-injection、code-review 等全部子技能。 当用户要求进行渗透测试、安全测试或安全评估时,应首先参考此技能进行任务设计。
Web 应用越权漏洞测试技能。覆盖水平越权(IDOR)、垂直越权(权限提升)、业务逻辑绕过 三大类测试场景。提供基于 HTTP 请求篡改的系统化测试方法论,包括参数替换、Cookie/Token 交换、角色 ID 篡改、隐藏字段操控、HTTP 方法变换、路径遍历、请求头伪造等具体技术。 每种技术都映射到可直接调用的工具(do_http_request, send_http_request_packet, use_browser), 确保 AI 可以自动化执行越权测试。参考 OWASP WSTG-ATHZ-02/03/04 和 OWASP Top 10 A01。
Browser automation skill for web page interaction. Two strategies: (1) Snapshot + refs for simple static pages; (2) JavaScript-first for login forms, SPA, and dynamic pages (PREFERRED). Covers opening URLs, snapshots, clicking, filling forms, evaluating JS, screenshots, tab management, and navigation. Built on go-rod/CDP with headless Chrome. If snapshot returns 0 element refs, DO NOT retry -- switch to JavaScript strategy immediately.
操作系统命令注入漏洞测试技能。覆盖 Linux 和 Windows 环境下的命令注入检测与验证, 提供多种注入操作符、盲注检测方法、编码绕过策略和分步测试流程, 适用于 Web 应用中命令执行类漏洞的发现与确认(CWE-77/CWE-78)。
SQL 注入漏洞测试技能。覆盖联合注入、布尔盲注、时间盲注、报错注入、堆叠查询等攻击向量, 提供 MySQL/PostgreSQL/MSSQL/Oracle/SQLite 多数据库的特征 Payload, 包含 WAF 绕过策略和系统化测试流程,适用于 Web 应用 SQL 注入漏洞的发现与确认。
服务端模版注入(SSTI)漏洞测试技能。提供模版引擎指纹识别决策树,覆盖 Jinja2/Twig/Freemarker/Velocity/Thymeleaf/Smarty/Pebble/Mako 等主流引擎的 PoC 探测与 RCE Payload,包含沙箱逃逸技术和系统化测试流程(CWE-1336)。
| name | recon-planning |
| description | 渗透测试侦查与任务规划技能。定义渗透测试的完整工作流程:从信息收集(Recon)到 范围确定、任务规划和漏洞测试执行。覆盖端口扫描、子域名枚举、Web 搜索、 服务识别等侦查手段,提供 OWASP Top 10 检查矩阵和任务编排策略。 |
定义渗透测试的系统化工作流程。以侦查(Recon)为起点,通过信息收集确定攻击面, 制定优先级驱动的测试计划,最终执行针对性的漏洞测试。
┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐ ┌─────────────┐
│ Phase 1 │ │ Phase 2 │ │ Phase 3 │ │ Phase 4 │ │ Phase 5 │
│ 侦查 Recon │────>│ 范围确定 │────>│ 任务规划 │────>│ 漏洞测试 │────>│ 报告输出 │
│ │ │ Scoping │ │ Planning │ │ Testing │ │ Reporting │
└─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘ └─────────────┘
目标:尽可能全面地收集目标的信息,绘制攻击面地图。
侦查是整个渗透测试最关键的阶段。不充分的侦查会导致遗漏关键资产和攻击面。
目标:根据侦查结果,确定实际测试范围和优先级。
目标:为每个测试目标制定具体的测试计划。
目标:按计划执行漏洞测试,发现并验证安全漏洞。
目标:整理发现,输出完整的渗透测试报告。
不直接与目标交互,从公开信息中收集情报。
| 侦查类型 | 方法 | 产出 |
|---|---|---|
| 子域名枚举 | DNS 暴力枚举、证书透明度日志(CT Log)、搜索引擎 | 子域名列表 |
| DNS 记录 | 查询 A/AAAA/CNAME/MX/TXT/NS/SOA 记录 | IP 地址、邮件服务器、SPF/DKIM 配置 |
| WHOIS 查询 | 域名注册信息、IP 归属 | 注册人、注册商、IP 范围 |
| Web 搜索 | 搜索引擎 Dork(site:、inurl:、filetype:) | 敏感文件、管理后台、信息泄露 |
| 历史记录 | Wayback Machine、缓存页面 | 旧版本页面、已删除内容 |
| 代码仓库 | GitHub/GitLab 搜索 | 泄露的凭据、API Key、内部配置 |
| 社交工程情报 | LinkedIn、企业官网 | 技术栈、组织架构 |
直接与目标系统交互,获取技术细节。
| 侦查类型 | 工具/方法 | 产出 |
|---|---|---|
| 端口扫描 | SYN 扫描(synscan)、全连接扫描 | 开放端口列表 |
| 服务识别 | 服务指纹扫描(servicescan) | 服务类型、版本信息 |
| Web 爬虫 | 爬取目标站点(crawler/crawlerx) | URL 列表、参数、表单、API 端点 |
| 目录扫描 | 常用路径字典爆破 | 隐藏目录、备份文件、配置文件 |
| 指纹识别 | HTTP Header、Cookie、HTML 特征 | Web 框架、CMS、中间件版本 |
| SSL/TLS 分析 | 证书信息、支持的协议和密码套件 | 证书域名、过期时间、弱配置 |
Google Dork 常用语法:
site:target.com # 限定域名
site:target.com filetype:pdf # PDF 文件
site:target.com inurl:admin # 管理后台
site:target.com intitle:"index of" # 目录浏览
site:target.com ext:sql|bak|conf # 敏感文件扩展名
site:target.com "error"|"warning" # 错误信息
"target.com" password|secret|key # 凭据泄露
inurl:".git" site:target.com # Git 仓库暴露
快速扫描(Top 端口优先)
Top 20 常用端口: 21,22,23,25,53,80,110,111,135,139,143,443,445,993,995,1723,3306,3389,5900,8080
全端口扫描
服务识别优先级
根据侦查结果将资产分类:
| 资产类型 | 示例 | 测试优先级 |
|---|---|---|
| Web 应用 | 主站、API、管理后台 | 高 |
| 数据库服务 | MySQL、Redis 暴露 | 高 |
| 远程管理 | SSH、RDP 暴露 | 中 |
| 邮件服务 | SMTP、IMAP 暴露 | 中 |
| 辅助服务 | DNS、NTP、SNMP | 低 |
| 静态资产 | CDN 资源、纯静态页面 | 低 |
高优先级判定条件:
为每个目标绘制攻击面:
针对每个 Web 应用,按 OWASP Top 10 (2021) 制定测试计划:
| 编号 | 类别 | 测试方法 | 关联 Skill |
|---|---|---|---|
| A01 | Broken Access Control | 越权测试(水平/垂直)、IDOR、目录遍历 | - |
| A02 | Cryptographic Failures | TLS 配置检查、敏感数据传输分析 | code-review |
| A03 | Injection | SQL/命令/模版注入测试 | sql-injection, command-injection, template-injection |
| A04 | Insecure Design | 业务逻辑漏洞、缺失的安全控制 | - |
| A05 | Security Misconfiguration | 默认配置、不必要的功能、错误的 CORS | code-review |
| A06 | Vulnerable Components | 版本指纹比对、CVE 匹配 | - |
| A07 | Authentication Failures | 弱密码、暴力破解、Session 管理缺陷 | - |
| A08 | Software/Data Integrity | 反序列化、供应链安全 | code-review |
| A09 | Logging/Monitoring | 日志注入、监控覆盖度评估 | - |
| A10 | SSRF | 服务端请求伪造测试 | - |
按风险排序
按功能模块
目标: [域名/IP]
类型: [Web 应用/API/服务]
技术栈: [语言/框架/中间件/数据库]
侦查发现: [开放端口、功能模块、已知组件版本]
测试任务:
1. [任务名称] - 优先级: [高/中/低]
方法: [具体测试方法]
工具: [使用的工具或 Skill]
预期时间: [估算]
2. [任务名称] - 优先级: [高/中/低]
...
1. 爬虫扫描 → 收集 URL/参数/表单
2. 被动分析 → 检查 Header/Cookie/JS 文件
3. 参数测试 → 对每个参数进行 Fuzz 测试
4. 功能测试 → 针对业务逻辑进行测试
5. 认证测试 → 测试登录、Session、权限
6. 漏洞验证 → 手动确认自动发现的漏洞
| 级别 | 描述 | 示例 |
|---|---|---|
| 严重 (Critical) | 可直接获取系统控制权 | RCE、SQL 注入获取管理员凭据 |
| 高危 (High) | 可获取大量敏感数据 | SQL 注入(只读)、任意文件读取 |
| 中危 (Medium) | 可影响部分用户或功能 | 存储型 XSS、CSRF、越权 |
| 低危 (Low) | 有限的安全影响 | 信息泄露、反射型 XSS(需交互) |
| 信息 (Info) | 安全建议 | 缺少安全 Header、版本信息泄露 |
1. 执行摘要
- 测试范围和时间
- 关键发现汇总
- 整体安全评级
2. 发现详情
- 漏洞描述
- 影响分析
- 重现步骤
- 修复建议
3. 技术附录
- 测试方法说明
- 工具列表
- 完整的测试日志
标题: [漏洞类型] - [位置]
严重程度: [Critical/High/Medium/Low/Info]
CVSS: [评分]
CWE: [CWE 编号]
描述:
[漏洞的技术描述]
影响:
[被利用后的潜在影响]
重现步骤:
1. [步骤 1]
2. [步骤 2]
3. [步骤 3]
证据:
[请求/响应截图或数据]
修复建议:
[具体的修复措施]