在 PXE 环境中，作为一名渗透测试者，我可以选择 2 种主要的攻击类别。

1：我可以捕获完整的机器图像。您的系统在设置机器后会自动连接到域控制器吗？如果是这样，这个图像上可能有域控制器凭据，我可以在其他地方捕获和使用。

2：我可以在恢复的机器上操作图像。捕获后，我可以制作一个图像，其中包含禁用 AV 并预安装恶意软件的公司图像，然后是 MITM 某人的系统，以便在公司中持续立足。由于 PXE 没有以任何方式加密或验证，这对于物理访问、几秒钟的隐私以及 pwn 插头或树莓派之类的东西来说都是微不足道的。

最重要的安全问题是传统 PXE 引导的唯一保护是物理安全。从开机到操作系统启动的过程中，任何地方都没有加密或认证。

基本的 PXE 流程：

1. 计算机发出 DHCP 请求
2. DHCP 服务器响应地址和 PXE 参数
3. 计算机使用 TFTP over UDP 下载启动映像

明显的攻击是恶意 DHCP 服务器响应错误数据（从而劫持引导过程）和恶意 TFTP 服务器盲目注入伪造数据包（劫持或破坏引导映像）。

UEFI安全启动可用于防止劫持，但恶意 DHCP 或 TFTP 服务器仍可通过确保计算机接收损坏的启动映像来阻止启动。

有一些与 PXE 引导映像相关的特定漏洞。

1. 未经身份验证的图像。如果有人进入您的网络，从 VirtualBox 或 VMWare 启动 PXE 映像很简单。这意味着您的网络上现在有一个恶意主机，加载了您所有的专有软件。
2. 本地管理员漏洞利用。（仅限 Windows）由于此人对映像具有物理访问权限，因此他们可以从磁盘映像中提取密码散列并破解或传递它们。如果您拥有一组具有共享凭据的 PXE 配置映像，那么您只是将大量主机交给了攻击者。至少，他们有一个进入网络其余部分的支点。
3. 无人值守.xml。（仅限 Windows）此文件是一个应答文件，提供 Windows 部署在加入域和其他设置任务时所需的信息。此文件可以包含至少具有域加入权限的帐户的产品密钥和密码！而且，如果您真的很傻，那么该帐户就是域管理员。

在企业环境中实施 PXE 可能会引起对安全性的担忧。这份文件说明了为什么这些担忧大多是没有根据的。

http://www-01.ibm.com/support/docview.wss?uid=swg21247020

编辑：

我想补充一点，PXE 只是供应方程式的一部分，然后谈论“供应方程式的安全性”和谈论“PXE 安全性”是不同的事情。

PXE 不是“协议”；它是一个由多种协议组成的环境；PXE 没有自己的界限，这就是为什么我们在尝试评估 PXE 安全性时必须非常谨慎的原因。