- Verkenning: Dit is de eerste fase waarin de aanvaller informatie verzamelt over het doelsysteem, zoals het IP-adres, het besturingssysteem en de open poorten.

- Scannen: Zodra de aanvaller wat basisinformatie over het doelsysteem heeft verkregen, begint hij het te scannen op kwetsbaarheden. Dit kan worden gedaan met behulp van verschillende tools, zoals poortscanners en kwetsbaarheidsscanners.

- Exploitatie: Zodra de aanvaller een kwetsbaarheid heeft geïdentificeerd, zal hij proberen deze te misbruiken om toegang te krijgen tot het doelsysteem. Dit kan op verschillende manieren worden gedaan, zoals bufferoverflows, SQL-injectie en cross-site scripting.

- Escalatie van rechten: Zodra de aanvaller de eerste toegang tot het doelsysteem heeft verkregen, zal hij of zij vaak proberen zijn bevoegdheden te escaleren om meer controle over het systeem te krijgen. Dit kan op verschillende manieren worden gedaan, zoals escalatie van lokale bevoegdheden en escalatie van bevoegdheden op afstand.

- Persistentie: Zodra de aanvaller het gewenste toegangsniveau tot het doelsysteem heeft verkregen, installeert hij vaak een vorm van persistentiemechanisme om ervoor te zorgen dat hij toegang kan behouden, zelfs als het systeem opnieuw wordt opgestart of de verbinding van de aanvaller wordt verbroken.

- Exfiltratie: Ten slotte kan de aanvaller gevoelige gegevens uit het doelsysteem exfiltreren. Dit kan op verschillende manieren worden gedaan, zoals FTP, HTTP en e-mail.