iamadityamehta/cyart-vapt-team-04

# 🔐 Advanced VAPT & Exploitation Framework ## 📌 概述 本仓库包含一个综合性的漏洞评估与渗透测试（VAPT）项目，涵盖了高级利用技术、API 安全测试、提权、网络协议攻击、移动应用程序测试以及一个完整的渗透测试实战项目。 ## 📌 实习背景 本任务是我在 2026 年 4 月于 Cyart Technologies 完成 Vulnerability Assessment and Penetration Testing (VAPT) 实习的一部分。 ## 🎯 目标 * 理解高级利用和漏洞利用链 * 基于 OWASP API Top 10 进行 API 安全测试 * 执行提权和持久化技术 * 模拟网络协议攻击（MitM、SMB Relay） * 分析移动应用程序漏洞 * 使用 PTES 方法论进行完整的 VAPT 项目 * 提交包含补救措施的结构化安全报告 ## 🧠 涵盖的关键领域 * 高级利用技术 * API 安全测试 * 提权与持久化 * 网络协议攻击 * 移动应用程序渗透测试 * 综合报告与补救 ## 🛠️ 工具与技术 * Kali Linux * Metasploit Framework * Burp Suite * Postman * sqlmap * LinPEAS * Responder * Ettercap * Wireshark * MobSF * Frida * Drozer * OpenVAS ## ⚙️ 方法论 本项目遵循 PTES（Penetration Testing Execution Standard）： 1. Reconnaissance（信息收集） 2. Scanning & Enumeration（扫描与枚举） 3. Exploitation（漏洞利用） 4. Privilege Escalation（提权） 5. Persistence（持久化） 6. Post-Exploitation（后渗透利用） 7. Reporting（报告） ## 🚀 综合项目 在一个易受攻击的环境中模拟了完整的 VAPT 项目： * 识别 VSFTPD 漏洞 * 使用 Metasploit 进行利用 * 获得远程访问权限 * 进行 API 和网络测试 * 应用提权技术 * 建立持久化 * 提出补救策略 * 使用 OpenVAS 验证修复 ## ⚠️ 敏感内容声明 由于利用技术和安全漏洞的性质，为了防止滥用，某些截图和概念验证（PoC）细节已被有意排除。 所有活动均在受控的实验室环境中进行，仅用于教育目的。 ## 📄 文档 详细的报告、笔记和支持材料可在 **Week 4** 文件夹中找到。 ## ⚠️ 免责声明 本项目仅用于教育目的。所有测试均在受控环境中进行。严禁未经授权使用这些技术。 ## 👨‍💻 作者 **Aditya Mehta** Cybersecurity Enthusiast

标签：API安全, Burp Suite, CISA项目, CSV导出, Cyart Technologies, Docker支持, Drozer, Ettercap, Frida, JSON输出, LinPEAS, MobSF, OpenVAS, OWASP API Top 10, PHP, Postman, PTES, Responder, SMB Relay, sqlmap, StruQ, VAPT, VSFTPD, Web报告查看器, Wireshark, XXE攻击, 中间人攻击, 修复建议, 句柄查看, 嗅探欺骗, 安全报告, 提权, 数据展示, 权限维持, 渗透测试执行标准, 漏洞利用链, 目录枚举, 移动安全, 移动应用测试, 红队, 网络安全实习