---
name: red-team-assessment
description: "红队评估全流程方法论。当开始一个完整的渗透测试项目/红队评估、需要从侦察到报告的完整流程编排时使用。适用于外网打点、安全评估项目、定期渗透测试。本技能负责任务调度——具体漏洞利用调用专项 skills，不要在本技能内做深度漏洞测试"
metadata:
  tags: "red-team,assessment,渗透测试,安全评估,全流程,外网打点,automation,pentest"
  category: "general"
---

# 红队评估全流程方法论

本技能是渗透测试的**总流程编排**——不包含具体漏洞利用技术（那些在 exploit/ 的各专项 skill 中），而是指导你按正确的顺序、用正确的策略推进整个评估。

## Phase 1: 被动侦察（零接触）

在不触碰目标的情况下收集情报：

1. **OSINT 搜索引擎**
   - 通过 `http_request` 或 `curl` 查询 FOFA / Quake / Hunter API 三引擎交叉搜索
   - 目标：IP/域名资产清单、暴露的服务、技术栈

2. **公开信息收集**
   - GitHub/GitLab 搜索组织名和域名（可能泄露源码/凭据）
   - 招聘信息分析（泄露技术栈和内部系统）
   - SSL 证书透明度日志（发现子域名）

**产出**：初始资产清单 + 技术栈概览

## Phase 2: 主动侦察

基于被动侦察结果，有针对性地主动探测：

1. **子域名枚举** — `subfinder` / `ksubdomain`
2. **端口扫描** — `naabu`（聚焦高价值端口，nmap 作为备选）
3. **存活检测** — `httpx`（确认 HTTP 服务）
4. **指纹识别** — `httpx -tech-detect` / `nuclei -t technologies/`（技术栈 → 决定攻击方向）
5. **目录爆破** — `spray` / `ffuf`（发现隐藏入口）

**产出**：完整资产地图（域名+IP+端口+技术栈+隐藏路径）

## Phase 3: 漏洞发现

### 3.1 自动化扫描
- `nuclei -u TARGET -severity critical,high` — Nuclei POC 扫描
- `nuclei -u TARGET -t default-logins/` — 默认口令检测

### 3.2 手动测试（按资产类型）
对每个 Web 应用，根据技术栈选择专项测试：

| 发现 | 测试方向 |
|------|----------|
| 登录页面 | SQL注入、弱密码 |
| 搜索/查询功能 | SQL注入、XSS |
| 文件上传 | 文件上传绕过 |
| API 端点 | IDOR、认证绕过 |
| 模板渲染 | SSTI |
| JWT Token | JWT 攻击 |
| Java 应用 | 反序列化 |

### 3.3 关键决策
- **广度优先**：先对所有资产做快速扫描，标记所有可能的入口
- **深度攻击**：选择最有可能突破的 2-3 个入口做深入测试
- 不要在一个点上卡太久——3-5 轮无进展就换方向

## Phase 4: 漏洞利用与验证

发现漏洞后，进行利用验证：
1. 确认漏洞可利用（PoC 验证）
2. 评估影响范围（数据泄露 / RCE / 权限提升）
3. 如获得 shell → 执行后渗透
4. 记录完整的利用步骤（复现用）

## Phase 5: 报告输出

生成正式报告。

**关键原则**：
- 发现按风险等级排序（严重 > 高 > 中 > 低 > 信息）
- 每个发现必须有：描述、影响、复现步骤、修复建议
- 管理层摘要用非技术语言
- 附录包含工具列表和详细技术数据

## 时间分配建议
| 阶段 | 时间占比 |
|------|----------|
| 被动+主动侦察 | 20% |
| 漏洞发现 | 30% |
| 利用验证 | 35% |
| 报告 | 15% |

## 时间管理策略
- 快速测试模式：30 分钟或 60 分钟时间限制内完成
- 优先选择最容易、最有效的攻击路径，再深入复杂漏洞
- 时间有限时注重效率和 ROI，合理分配资源
- 遇到瓶颈及时换路（pivot）：切换攻击面、放弃当前路径、转向其他攻击面
- 寻找替代方案和新入口点