文章总结： 这篇文章系统讲解了外网打点的标准化流程，包括边界划分与工具准备、全维度资产搜集、资产筛选与指纹识别、漏洞验证与去伪存真、深度利用与权限维持等关键环节。作者针对新手和老手分别给出实操建议，强调通过标准化流程和自动化手段提升效率。文章结构清晰，可操作性强，是红队打点实战的完整指南。 综合评分： 82 文章分类： 渗透测试,红队,实战经验,内网渗透,WEB安全

网安实操：打点规范化

原创

念三千 念三千

三千网安

2026年3月5日 18:29 广东

零、前言

做网安这么多年，见过太多走弯路的人：

刚入行的新手，拿到目标一脸懵，工具下了几十款，教程看了上百篇，东扫一下域名、西跑一下漏洞，忙活一周连个有效资产都摸不到，觉得红队遥不可及；摸爬滚打几年的老同行，天天熬大夜扫资产、跑 POC，流程走了无数遍，要么漏了核心资产，要么找到漏洞也打不进去，越做越像流水线工人，效率卡在瓶颈里死活上不去。

其实外网打点这件事，从来都不是靠运气撞漏洞，而是靠标准化的流程 + 可复制的技巧，把大概率的事做稳。今天我就把自己打点实操全流程，毫无保留地拆给你 —— 新手照着走，能从 0 到 1 完成完整打点不踩坑；老手照着优化，能直接把效率翻倍，跳出体力活的死循环。

先纠正一个 90% 的人都踩过的误区：打点≠扫漏洞。真正的打点核心逻辑，永远是先找全资产，再筛对目标，最后稳拿 shell，顺序错了，全是无用功。

一、先做两件事

很多人拿到目标上来就开扫，最后要么扫到无关资产白费功夫，要么中途工具掉链子断了节奏，这都是开局没做准备的锅。这两件事看似不起眼，却直接决定了你打点的效率和成功率。

1. 划清边界

先明确2个核心问题，再动手：

• 目标范围到底是什么？是单个主域名？还是集团全量的子公司、分公司、关联主体？有没有明确禁止触碰的网段/资产？
• 项目周期有多久？是攻防演练7天冲刺，还是SRC日常挖洞，或是定向渗透长期作战？

新手：别上来就全端口全C段无差别扫描，范围越宽，无效工作量越大，先从核心目标的关联资产入手，逐步扩圈，避免忙活几天全在扫无关站点。 老手：提前做资产分层，把目标分成「核心资产（主站、OA、VPN）、边缘资产（子公司站点、小程序）、关联资产（供应链、合作方站点）」，按优先级分配精力，别在低价值资产上耗时间。

2. 搭好架子

不用堆几十款花里胡哨的工具，工具在精不在多，把核心4类工具吃透，提前配好环境，比什么都强：

• 资产搜集类：OneForAll、fofa、鹰图，提前配好API额度、自定义字典；
• 指纹识别类：ehole、goby，提前补全行业专属指纹规则；
• 漏洞检测类：xray、nuclei，提前更新POC库，做好免杀处理；
• 权限获取类：burpsuite、msf，提前搭好反弹shell的服务器，避免临时出问题。

新手避坑：别贪多装几十款工具，每款都用不明白，先把3-5款核心工具的功能摸透，比你会用100款工具都有用。 老手提效：把工具串成自动化流水线，用脚本把「子域名爆破→存活验证→指纹识别→POC初筛」一键打通，把重复的体力活交给代码，自己只做核心的漏洞验证和利用。

二、实操全流程

步骤一：资产搜集

资产搜集是打点的根基，也是最耗体力的环节——你能找到的资产越多，能打的口子就越多，打点的成功率就越高。很多人打点毫无成果，本质就是资产没找全，漏了脆弱的突破口。

别只盯着主域名扫子域名，要做「全维度无死角资产覆盖」：

1. 主体资产：从目标公司名出发，用企查查、天眼查扒出它的全资子公司、控股公司、分公司、关联主体。绝大多数时候，主站防守严到针插不进，子公司、地方分公司的站点一戳就破，这是新手最容易忽略的黄金突破口。
2. 域名&IP资产：子域名爆破要「被动+主动」双管齐下，被动用第三方平台拉历史解析记录，主动用工具定制字典爆破；再通过IP反查、C段扩线、备案号/SSL证书关联，把所有和目标相关的域名、IP、网段全部扒出来，别放过任何一个旁支资产。
3. 非WEB资产：APP、小程序、公众号、IoT设备、云资产，是绝大多数人的资产盲区。很多企业把WEB端的漏洞补得严严实实，却在小程序、APP里留下了未授权接口、硬编码的密钥、测试环境地址，这些都是攻防演练里的上分神器。
4. 公开信息：翻遍GitHub、网盘、公开社工库、目标历史SRC漏洞库，找运维人员泄露的账号密码、源码备份、API密钥、数据库地址。实战里无数次验证：一个泄露的运维账号，比你扫3天漏洞都管用。

新手：别用默认字典跑一遍子域名就完事，要多工具交叉验证，避免漏资产；字典要根据目标行业定制，比如教育行业加edu，金融行业加pay，命中率会翻倍。 老手：用自研脚本把多平台API打通，一键拉全所有关联主体的资产，不用手动一个个查；建立自己的专属字典库，按行业、场景分类，沉淀高命中的规则，拉开和同行的效率差距。

步骤二：筛选&识别

这一步是新手和老手效率差距的核心：有师傅扫出几百上千个资产，挨个去测漏洞，纯纯浪费时间。真正高效的打点，是先从海量资产里，精准筛出最容易拿下的目标，集中火力突破。

3步走，把无效工作量降到最低：

1. 存活清洗：把搜集到的所有资产，先过一遍存活检测，把打不开的、无效的、非目标资产全部删掉，只留活口。
2. 指纹识别：用工具给存活资产做指纹标记，重点识别：用了什么组件/框架、版本号是多少、是什么类型的站点（OA/后台/会员系统等）。尤其要重点标记「高风险指纹」，比如Shiro、Fastjson、Log4j、ThinkPHP这类有现成RCE漏洞的组件，还有OA、VPN、堡垒机、运维管理平台这类强权限入口。
3. 资产优先：别瞎打乱撞，永远先攻最容易出成果的目标：

• 第一优先级：有已知RCE漏洞的组件资产（比如未打补丁的Fastjson、Shiro弱密钥）
• 第二优先级：管理后台、OA、VPN、堡垒机这类强权限入口（弱口令命中率极高）
• 第三优先级：有文件上传、SQL注入风险的交互站点（报名系统、会员系统、文件管理系统）
• 第四优先级：常规WEB站点、边缘资产

新手：别拿到资产就挨个扫漏洞，先排序再动手，不然项目结束了，你还在测低优先级的资产；别全信工具的指纹结果，一定要手动验证，避免假指纹带偏方向。 老手：自研指纹规则库，针对政务、金融、国企等行业的专属组件做定制化识别，别人识别不出来的指纹你能识别，就能挖到别人挖不到的洞；把指纹和漏洞库做联动，识别到对应指纹，自动匹配POC一键初筛，省去手动筛选的时间。

步骤三：去伪存真

这一步最忌讳的就是被工具牵着鼻子走：很多人看着扫描报告里几十上百个漏洞，觉得稳了，结果挨个测下来，全是误报，忙活几天一无所获。

核心原则：先去伪存真，再谈利用

1. 批量初筛：用POC批量扫描工具，针对前面标记的高优先级资产，跑对应的通用漏洞，先把「明显的口子」筛出来，比如弱口令、未授权访问、通用RCE，这一步拼的是POC库的质量和免杀能力。
2. 手动验证：记住一句话：工具扫出来的漏洞，90%都是误报。所有疑似漏洞，必须手动验证！扫出来SQL注入，就手动构造payload确认；扫出来弱口令，就实际登录试试；扫出来RCE，就先执行个whoami确认命令执行生效。只有手动验证能利用的，才叫有效漏洞。
3. 利用判断：验证完漏洞，还要判断能不能直接拿shell：RCE漏洞能直接执行系统命令，优先级最高；文件上传漏洞要看能不能解析脚本、有没有上传路径泄露；SQL注入要看数据库权限够不够写shell。别在拿不到shell的低危漏洞上耗时间，纯纯浪费精力。

新手：别一上来就用sqlmap、msf这种动静大的工具，容易触发WAF/IPS，打草惊蛇，先手工轻量测试，确认漏洞存在再深入；别死磕一个漏洞，一个测不通就换下一个，先拿到成果最重要。 老手：自己写POC，针对最新爆发的漏洞、小众行业组件的漏洞，别人没有的POC你有，就能挖到别人挖不到的洞；给POC做免杀处理，修改payload特征，绕开WAF和防护设备，大幅提高漏洞命中率。

步骤四：深度利用

这一步是打点的最终目标，也是普通红队和优秀红队的核心分水岭——很多人找到了漏洞，却拿不到shell，或者拿到shell很快就掉了，就是卡在这一步。

4步走，把漏洞变成可用的跳板：

1. 常规利用：有成熟EXP的漏洞，先测标准利用方式，比如Fastjson用JNDI注入，Shiro用反序列化打，先确认能稳定执行系统命令，这是拿shell的基础，别一上来就搞花活。
2. 绕过变通：如果标准EXP打不通，别慌，大概率是被WAF拦了，或是目标环境有特殊限制，这时候就拼基本功了：修改payload编码、拆分恶意语句、利用协议特性绕过，比如反弹shell不通，就试试DNS隧道、HTTP隧道，Windows和Linux不同环境，都有对应的绕过姿势，总有能打进去的方法。
3. 稳定shell+权限维持：能执行命令之后，优先搞稳定的交互式shell，别用那种一断连就没的内存马，先用nc、bash反弹稳定的shell，或是写入免杀的一句话木马，确认能长期稳定连接；再简单做权限维持，比如添加隐藏账号、留个隐蔽后门，避免后续权限掉了，前面的功夫全白费。
4. 跳板可用性确认：拿到shell不是结束，打点的最终目的是进内网。一定要确认这台机器的内网连通性：能不能ping通内网网段、出网正不正常、权限够不够做端口转发，只有能当跳板的shell，才是有价值的打点成果。

新手：拿shell的时候别用太张扬的payload，容易被防护设备发现，先轻量测试，确认环境再深入；别拿到shell就乱操作，先确认权限和环境，避免把目标系统搞崩，触发应急响应。 老手：积累不同环境、不同防护设备的绕过姿势，形成自己的利用库，别人打不通的环境你能打通；做shell免杀，绕过杀毒软件和终端防护，提高权限的稳定性和隐蔽性。

步骤五：无成果突破

实战里走完前面的流程，还是没拿到shell，这种情况基本是之前已经做过多轮攻防了，这时候别慌，试试下面几个步骤，大概率能找到新口子：

1. 换道：WEB端打不通，就转头攻APP、小程序、IoT设备、云资产，绝大多数企业的移动端、IoT设备防护，比WEB端弱得多；
2. 社工：弱口令爆破不出来，就用前面搜集到的人员信息，做定向钓鱼，精准的邮件钓鱼、电话社工，永远是打点的兜底大招；
3. 深挖：对着重点站点做深度目录爆破，找备份文件、测试页面、phpinfo页面、源码泄露，很多时候一个zip备份文件，就能直接给你源码和数据库账号；
4. 近源：如果是定向攻防项目，前面所有方法都没用，就跟团队申请近源渗透，连目标的办公WiFi，内网打点永远比外网容易。

三、新手&老手

给新手

1. 先把流程走闭环，再谈技巧：别一上来就研究高深的漏洞绕过，先找个SRC的练手目标，照着流程一步步走完，从资产搜集到拿到shell，完成一次完整的打点闭环，比你看100篇教程都有用。
2. 别当脚本小子，工具要用，原理也要懂：比如你用工具扫出了Shiro漏洞，也要搞懂反序列化的底层原理，不然遇到一点环境变化、防护拦截，你就束手无策了。
3. 多复盘，形成自己的方法论：每次打点完，不管成没成，都要复盘：哪里漏了资产、哪里踩了坑、哪个漏洞本可以利用成功，记下来慢慢沉淀，很快就能形成自己的打法。

给老手

1. 把体力活自动化，把精力放在技术壁垒上：别再天天手动扫资产、跑漏洞了，把重复的工作写成自动化脚本，尝试搭一套专属打点平台，把时间花在漏洞原理研究、免杀绕过、社工技巧这些真正有门槛的地方。
2. 建立自己的专属武器库：专属字典、专属POC库、专属利用工具、专属绕过规则，这些别人抄不走的东西，才是你在攻防里的核心竞争力。
3. 跳出WEB打点的思维定式：别只盯着WEB端死磕，云安全、IoT安全、社工钓鱼、供应链攻击，这些都是打点的新赛道，也是你拉开和同行差距的关键。

最后想说的话

红队打点这件事，从来都不是大神的专属技能，也不是靠运气的玄学。

新人入门门槛从来都不高，照着标准化的流程一步步走，你也能稳稳拿到shell，完成从0到1的突破； 老手也不用卷，别困在流水线的体力活里，把重复的事交给机器，把精力放在技术深化上，跳出循环才是真正的破局。

#

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：三千网安 念三千 念三千《网安实操：打点规范化》