在这个阶段，我们将选择目标、攻击场景、攻击目的、交战规则和白队。 白队由组织的高级成员组成，他们知道测验及保密性，以及系统受损谁可以叫停。

通常情况下，红队的参与首先是通过开放原始代码促进会（OSI）收集组织数据；从公共资源中以及通过人类智能（HI）收集数据；通过直接交互从个人处收集信息。

漏洞利用和植入通过以下方式被捆绑到可交付的有效负载中：
(i) 基于电子邮件的网络钓鱼攻击
(ii) 基于电话的网络钓鱼攻击
(iii) 携带自己的设备 (BYOD) 作为感染携带者。 或者
(iv) 非恶意； 只需充当一个标志，通知红队用户打开了带有特定附件的电子邮件

此阶段已经有了初步据点。 在此阶段常用技术可能包括：
(i) 滥用弱权限
(ii) 滥用信任关系
(iii) 过程操纵
(iv) 凭证转储
(v) 利用漏洞

执行攻击以捕获最终标志。 最终标志——评估开始前预先商定的目标：
(i) 域管理访问权限
(ii) 系统的本地管理访问权限
(iii) 数据渗透，旨在检查组织保护监控和出口保护措施的稳健性； 以及蓝队可以多快识别异常出站流量； 常用技术包括：绕过 Web 过滤和滥用松散的可移动媒体控制

我们在完整报告中将详细记录红队演习的结果，对改进工作提出结构性和全面性的建议。 蓝队将收到测试通知，甚至以此创建自己的蓝队报告。

非重新测试或验证测试。 它更常见于工作室模式。 目标：了解红/蓝组队的经验。