目 錄
第1章 內網滲透測試基礎知識1
1.1 內網工作環(huán)境1
1.1.1 工作組1
1.1.2 域1
1.1.3 域控制器4
1.2 活動目錄4
1.2.1 Ntds.dit文件5
1.2.2 目錄服務與LDAP5
1.2.3 活動目錄的訪問6
1.2.4 活動目錄分區(qū)7
1.2.5 活動目錄的查詢9
1.3 域用戶與機器用戶介紹13
1.3.1 域用戶13
1.3.2 機器用戶13
1.4 域用戶組的分類和權限15
1.4.1 組的用途15
1.4.2 安全組的權限15
1.5 組織單位18
1.6 域內訪問權限控制20
1.6.1 Windows訪問控制模型21
1.6.2 訪問控制列表21
1.7 組策略25
1.7.1 組策略對象25
1.7.2 組策略的創(chuàng)建30
1.8 內網域環(huán)境搭建32
1.8.1 單域環(huán)境搭建32
1.8.2 父子域環(huán)境搭建39
小結46
第2章 內網信息收集47
2.1 本機基礎信息收集47
2.2 域內基礎信息收集56
2.3 內網資源探測61
2.3.1 發(fā)現內網存活主機61
2.3.2 內網端口掃描64
2.3.3 利用MetaSploit探測內網67
2.3.4 獲取端口Banner信息68
2.4 用戶憑據收集69
2.4.1 獲取域內單機密碼和哈希值69
2.4.2 獲取常見應用軟件憑據73
2.5 使用BloodHound自動化分析域環(huán)境81
2.5.1 采集并導出數據81
2.5.2 導入數據81
2.5.3 節(jié)點信息82
2.5.4 邊緣信息84
2.5.5 數據分析85
小結92
第3章 端口轉發(fā)與內網代理95
3.1 端口轉發(fā)和代理95
3.1.1 正向連接和反向連接95
3.1.2 端口轉發(fā)96
3.1.3 SOCKS代理96
3.2 常見轉發(fā)與代理工具96
3.2.1 LCX97
3.2.2 FRP100
小結106
第4章 權限提升107
4.1 系統內核漏洞提權107
4.1.1 查找系統潛在漏洞107
4.1.2 確定并利用漏洞109
4.2 系統服務提權110
4.2.1 不安全的服務權限110
4.2.2 服務注冊表權限脆弱112
4.2.3 服務路徑權限可控113
4.2.4 未引用的服務路徑114
4.2.5 PowerUp115
4.3 MSI安裝策略提權116
4.3.1 確定系統是否存在漏洞116
4.3.2 創(chuàng)建惡意MSI并安裝117
4.4 訪問令牌操縱118
4.4.1 訪問令牌118
4.4.2 常規(guī)令牌竊取操作119
4.4.3 Potato家族提權122
4.5 Bypass UAC126
4.5.1 UAC白名單127
4.5.2 DLL劫持130
4.5.3 模擬可信任目錄131
4.5.4 相關輔助工具134
4.6 用戶憑據操作135
4.6.1 枚舉Unattended憑據135
4.6.2 獲取組策略憑據136
4.6.3 HiveNightmare138
4.6.4 Zerologon域內提權140
4.7 Print Spooler提權漏洞142
4.7.1 PrintDemon142
4.7.2 PrintNightmare145
4.8 Nopac域內提權148
4.9 Certifried域內提權148
4.9.1 活動目錄證書服務148
4.9.2 活動目錄證書注冊流程149
4.9.3 漏洞分析149
小結154
第5章 內網橫向移動155
5.1 橫向移動中的文件傳輸156
5.1.1 通過網絡共享156
5.1.2 搭建SMB服務器157
5.1.3 通過Windows自帶工具158
5.2 創(chuàng)建計劃任務159
5.2.1 常規(guī)利用流程159
5.2.2 UNC路徑加載執(zhí)行161
5.3 系統服務利用162
5.3.1 創(chuàng)建遠程服務162
5.3.2 SCShell163
5.3.3 UAC Remote Restrictions164
5.4 遠程桌面利用165
5.4.1 遠程桌面的確定和開啟165
5.4.2 RDP Hijacking166
5.4.3 SharpRDP167
5.5 PsExec遠程控制167
5.6 WMI的利用168
5.6.1 常規(guī)利用方法168
5.6.2 常見利用工具171
5.6.3 WMI事件訂閱的利用173
5.7 DCOM的利用176
5.7.1 COM和DCOM176
5.7.2 通過DCOM橫向移動176
5.8 WinRM的利用180
5.8.1 通過WinRM執(zhí)行遠程命令181
5.8.2 通過WinRM獲取交互式會話182
5.9 哈希傳遞攻擊184
5.9.1 哈希傳遞攻擊的利用184
5.9.2 利用哈希傳遞登錄遠程桌面185
5.10 EhernalBlue187
小結188
第6章 內網權限持久化189
6.1 常見系統后門技術189
6.1.1 創(chuàng)建影子賬戶189
6.1.2 系統服務后門192
6.1.3 計劃任務后門196
6.1.4 啟動項/注冊表鍵后門198
6.1.5 Port Monitors200
6.2 事件觸發(fā)執(zhí)行201
6.2.1 利用WMI事件訂閱201
6.2.2 利用系統輔助功能203
6.2.3 IFEO注入205
6.2.4 利用屏幕保護程序207
6.2.5 DLL劫持208
6.3 常見域后門技術214
6.3.1 創(chuàng)建Skeleton Key域后門215
6.3.2 創(chuàng)建DSRM域后門216
6.3.3 SID History的利用218
6.3.4 利用AdminSDHolder打造域后門221
6.3.5 HOOK PasswordChangeNotify224
6.4 DCSync攻擊技術226
6.4.1 利用DCSync導出域內哈希226
6.4.2 利用DCSync維持域內權限228
6.4.3 DCShadow228
小結229
第7章 Kerberos攻擊專題231
7.1 Kerberos認證基礎231
7.1.1 Kerberos基礎認證流程231
7.1.2 Kerberos攻擊分類232
7.2 AS_REQ＆AS_REP階段攻擊233
7.3 TGS_REQ＆TGS_REP階段攻擊235
7.3.1 Kerberosast攻擊235
7.3.2 白銀票據攻擊235
7.3.3 委派攻擊236
7.4 PAC攻擊247
小結254
第8章 NTLM中繼專題255
8.1 NTLM協議255
8.2 NTLM認證機制255
8.2.1 NTLM在工作組環(huán)境的認證255
8.2.2 NTLM在域環(huán)境的認證256
8.2.3 Net-NTLM Hash257
8.3 發(fā)起并截獲NTLM請求259
8.3.1 NTLM攻擊常用方法259
8.3.2 常見Web漏洞利用268
8.3.3 LLMNR/NBNS欺騙利用272
8.4 中繼到SMB利用274
8.4.1 SMB簽名利用274
8.4.2 域環(huán)境下的利用275
8.4.3 工作組的利用278
8.5 中繼至Exchange利用280
8.6 中繼至LDAP利用283
8.6.1 LDAP簽名283
8.6.2 Write Dcsync ACL284
8.6.3 RBCD286
8.6.4 CVE-2019-1384288
8.7 中繼至AD CS利用292
小結296
第9章 Exchange攻擊專題297
9.1 初識Exchange297
9.1.1 Exchange服務器角色297
9.1.2 Exchange服務發(fā)現和信息收集297
9.2 Exchange的憑證獲取301
9.2.1 常規(guī)暴力破解302
9.2.2 Password Spary302
9.2.3 域中NTLM-Relay攻擊Outlook客戶端進行權限提升303
9.3 獲取用戶憑據后的信息收集和滲透305
9.3.1 通過Autodiscover進行信息收集306
9.3.2 獲取Exchange通訊錄307
9.3.3 讀取郵件內容311
9.3.4 Activesync接口查看共享311
9.3.5 攻擊Outlook客戶端312
9.4 獲取Exchange服務器權限后的滲透312
9.4.1 Exchange服務器的信息收集312
9.4.2 郵箱接管后門種植315
9.4.3 IIS模塊后門317
9.4.4 利用WriteACL權限進行DCSYNC317
小結320
第10章 免殺技術初探321
10.1 反病毒軟件原理321
10.2 免殺實戰(zhàn)323
10.2.1 免殺Cobalt Strike323
10.2.2 利用白名單程序繞過檢查329
小結336