- Rekognoscering: Dette er den indledende fase, hvor angriberen indsamler oplysninger om målsystemet, såsom dets IP-adresse, operativsystem og åbne porte.

- Scanning: Når angriberen har fået nogle grundlæggende oplysninger om målsystemet, vil de begynde at scanne det for sårbarheder. Dette kan gøres ved hjælp af en række værktøjer, såsom portscannere og sårbarhedsscannere.

- Udnyttelse: Når angriberen har identificeret en sårbarhed, vil de forsøge at udnytte den for at få adgang til målsystemet. Dette kan gøres ved hjælp af en række forskellige metoder, såsom bufferoverløb, SQL-injektion og cross-site scripting.

- Privilege-eskalering: Når først angriberen har fået første adgang til målsystemet, vil de ofte forsøge at eskalere deres privilegier for at få mere kontrol over systemet. Dette kan gøres ved hjælp af en række forskellige metoder, såsom lokal rettighedseskalering og ekstern rettighedseskalering.

- Vedholdenhed: Når først angriberen har opnået det ønskede niveau af adgang til målsystemet, vil de ofte installere en form for persistensmekanisme for at sikre, at de kan bevare adgangen, selvom systemet genstartes, eller angriberens forbindelse mistes.

- Eksfiltrering: Endelig kan angriberen eksfiltrere følsomme data fra målsystemet. Dette kan gøres ved hjælp af en række forskellige metoder, såsom FTP, HTTP og e-mail.