- Aufklärung: Dies ist die erste Phase, in der der Angreifer Informationen über das Zielsystem sammelt, beispielsweise dessen IP-Adresse, Betriebssystem und offene Ports.

- Scannen: Sobald der Angreifer einige grundlegende Informationen über das Zielsystem erhalten hat, beginnt er, es auf Schwachstellen zu scannen. Dies kann mithilfe verschiedener Tools erfolgen, beispielsweise Portscannern und Schwachstellenscannern.

- Ausbeutung: Sobald der Angreifer eine Schwachstelle identifiziert hat, wird er versuchen, diese auszunutzen, um Zugriff auf das Zielsystem zu erhalten. Dies kann mithilfe verschiedener Methoden erfolgen, beispielsweise Pufferüberläufen, SQL-Injection und Cross-Site-Scripting.

- Privilegieneskalation: Sobald der Angreifer ersten Zugriff auf das Zielsystem erlangt hat, versucht er häufig, seine Berechtigungen zu erweitern, um mehr Kontrolle über das System zu erlangen. Dies kann mit einer Vielzahl von Methoden erfolgen, wie z. B. lokaler Privilegieneskalation und Remote-Privilegieneskalation.

- Beharrlichkeit: Sobald der Angreifer die gewünschte Zugriffsebene auf das Zielsystem erreicht hat, installiert er häufig eine Art Persistenzmechanismus, um sicherzustellen, dass er den Zugriff auch dann aufrechterhalten kann, wenn das System neu gestartet wird oder die Verbindung des Angreifers unterbrochen wird.

- Exfiltration: Schließlich kann der Angreifer sensible Daten aus dem Zielsystem exfiltrieren. Dies kann über verschiedene Methoden wie FTP, HTTP und E-Mail erfolgen.