文章总结： 该文档是渗透测试操作红线清单，旨在规避误操作与防御检测。内容涵盖工具与意识两大板块：强调避免使用默认特征工具，需加密流量并去除指纹；要求环境隔离，禁用国内VPS，规范痕迹清理。文档汇集实战经验，提供了详尽的隐蔽生存指南，具有极高实战价值。 综合评分： 90 文章分类： 渗透测试,红队,实战经验,安全意识,安全工具

渗透测试红线Checklist

原创

0x八月 0x八月

0x八月

2026年3月6日 00:25 陕西

渗透测试红线Checklist

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

前言

    多人协作的渗透项目中，往往每个人擅长点和经验都不同，那么团队有一个人误操作很有可能会带来很严重的后果，导致入口打点被发现，或者内网渗透被监测到。这份Checklist需要遇到实战足够的坑才能形成这份文档，所以发起邀请渗透师同共完成 “渗透操作红线列表”。在Issues提交，经过审核有价值的，才会添加进来。

内容来自博客园的夜尽终会天明师傅的文章

工具篇

 1 WebShell不能使用普通一句话木马，连接端使用加密流量，不使用普通中国菜刀。
 2 不使用默认冰蝎，已被安全厂商能够识别流量（使用默认，入口打点这么辛苦，连接一小时就被发现，并被清除封堵）
 3 上传工具到服务器中，不能使用默认名称，例如，frp、nc、lcx等。
 4 使用sqlmap要加--random-agent参数。
 5 nmap、zmap扫描要去除特征。
 6 不要相信工具的判断，工具测试一遍，手工测试一遍。
 7 sqlmap注入频率问题，使用--delay、--safe-url、--safe-freq | ID：SewellDinG提供
 8 Cobalt Strike的Beacon证书和特征，如果使用默认的将会被检测。
 9 Cobalt Strike使用域前置技术，伪装成白站域名，隐藏真实C2服务器IP；（默认启动的CS,基本被各厂商设备能识别到） | ID：SewellDinG提供
10 在进行有可能导致管理员察觉的敏感操作时（如登录远程桌面等），根据目标所在地区，选择对应IP登录。（有些会提示异地登录提醒） ｜ID: evilAdan0s 提供
11 时区选择非大陆，作业时间贴合时区 ID：hmoytx提供

安全意识篇

 1 渗透工作电脑浏览器不能保存任何个人信息，防止被抓取信息。
 2 不随意修改管理员密码、后台密码。
 3 大文件需要打包分割下载。
 4 不使用国内VPS（阿里云、腾讯云）做CobaltStrike远控服务器。
 5 渗透项目结束后，不要继续进行测试。
 6 开发代码中不要留个人id，生成木马的时候不要在个人电脑生成，会带上电脑路径、电脑名称。
 7 永远用虚拟机操作，不要用真实机操作
 8 虚拟机快照，不必装杀软，完成项目后恢复一次快照
 9 电脑语言，用日语，英语，繁体字，不要用中文（看项目需要，一般用不上。）
10 设置路由器只允许1723等其它VPN端口才能出网，一但VPN断开将自动断网，不然在扫描过程VPN断开会暴露真实IP地址（看项目需要，一般用不上。）
11 从目标拖回来的任何文件都不要在有网的机器打开，要在专用脱网机打开。
12 渗透物理机脱网（用于存储文件，信息等），网络流量从虚拟机搭建的网关走usb网卡+匿名线路（看项目需要，一般用不上。）
13 注册网站需要验证码，使用接码平台。
14 高管邮箱、运维人员邮箱，发现有VPN帐号或者重要系统登录地址，访问需谨慎，特别是登录需要下载控件，"安全登录控件.exe"等等
15 Github收集目标信息时，需要特别关注项目更新时间节点，如果较为新的话，访问需谨，有可能是引诱攻击者进入沙箱。

其他

1 多养一些仿大厂的域名，平时指向谷歌或者8.8.8.8，用的时候解析到自己服务器，不用的时候立马修改。（如果临时去注册域名或者短期内想要使用域名，会浪费很多时间在这上面，甚至能被安全设备检测，这是常有的事情，需要平时多储备，提升域名的可信度。） ｜ID：protonarm-ossr
2 记住自己上传的木马，保留好地址，项目结束后一定要删除或者提交，避免项目结束忘记清除被防守方发现，这锅很难说得清的。
3 在授权项目中，使用爬虫的过程中会做一些误操作，导致对网站不可逆的影响（爬取链接时，特别是已登录的状态下，爬取到delete页面会导致数据被删除） | ID: cangqingzhe提供
4 清理日志时需要以文件覆盖的方式删除文件，防止数据恢复，或者仅删除指定ID的日志. | ID：zhuotougg
5 一个团队，一定要团结一心，相互包容，互相帮助学习和进步，不要勾心斗角。否则这团队个人再厉害也是一盘散沙。

以上内容，与诸君共勉。

📖 项目地址

https://github.com/EvilAnne/Violation_Pnetest

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | — | — | | | |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0x八月 0x八月《渗透测试红线Checklist》