本書共10章,第1~6章是內(nèi)網(wǎng)滲透的基礎(chǔ)知識,第7~9章是內(nèi)網(wǎng)滲透的重要內(nèi)容,包括Kerberos專題、NTLM Relay專題和Microsoft Exchange專題,第10章免殺技術(shù)也是內(nèi)網(wǎng)滲透中不可或缺的內(nèi)容。 本書內(nèi)容精于內(nèi)網(wǎng)滲透,技術(shù)內(nèi)容深,覆蓋人群廣,不論是剛?cè)腴T的內(nèi)網(wǎng)安全愛好者,還是經(jīng)驗豐富的紅隊老人,都能從中獲得相應(yīng)幫助。
Nu1L戰(zhàn)隊,成立于2015年,隊名源于計算機中語言中經(jīng)常出現(xiàn)的"NULL,國內(nèi)頂尖CTF聯(lián)合戰(zhàn)隊,現(xiàn)有成員60余人。自成立以來,在國內(nèi)外多項賽事中榮獲佳績,如護網(wǎng)杯2019決賽冠軍、網(wǎng)鼎杯2018決賽亞軍、第五屆XCTF聯(lián)賽總決賽冠軍等。
目 錄
第1章 內(nèi)網(wǎng)滲透測試基礎(chǔ)知識1
1.1 內(nèi)網(wǎng)工作環(huán)境1
1.1.1 工作組1
1.1.2 域1
1.1.3 域控制器4
1.2 活動目錄4
1.2.1 Ntds.dit文件5
1.2.2 目錄服務(wù)與LDAP5
1.2.3 活動目錄的訪問6
1.2.4 活動目錄分區(qū)7
1.2.5 活動目錄的查詢9
1.3 域用戶與機器用戶介紹13
1.3.1 域用戶13
1.3.2 機器用戶13
1.4 域用戶組的分類和權(quán)限15
1.4.1 組的用途15
1.4.2 安全組的權(quán)限15
1.5 組織單位18
1.6 域內(nèi)訪問權(quán)限控制20
1.6.1 Windows訪問控制模型21
1.6.2 訪問控制列表21
1.7 組策略25
1.7.1 組策略對象25
1.7.2 組策略的創(chuàng)建30
1.8 內(nèi)網(wǎng)域環(huán)境搭建32
1.8.1 單域環(huán)境搭建32
1.8.2 父子域環(huán)境搭建39
小結(jié)46
第2章 內(nèi)網(wǎng)信息收集47
2.1 本機基礎(chǔ)信息收集47
2.2 域內(nèi)基礎(chǔ)信息收集56
2.3 內(nèi)網(wǎng)資源探測61
2.3.1 發(fā)現(xiàn)內(nèi)網(wǎng)存活主機61
2.3.2 內(nèi)網(wǎng)端口掃描64
2.3.3 利用MetaSploit探測內(nèi)網(wǎng)67
2.3.4 獲取端口Banner信息68
2.4 用戶憑據(jù)收集69
2.4.1 獲取域內(nèi)單機密碼和哈希值69
2.4.2 獲取常見應(yīng)用軟件憑據(jù)73
2.5 使用BloodHound自動化分析域環(huán)境81
2.5.1 采集并導(dǎo)出數(shù)據(jù)81
2.5.2 導(dǎo)入數(shù)據(jù)81
2.5.3 節(jié)點信息82
2.5.4 邊緣信息84
2.5.5 數(shù)據(jù)分析85
小結(jié)92
第3章 端口轉(zhuǎn)發(fā)與內(nèi)網(wǎng)代理95
3.1 端口轉(zhuǎn)發(fā)和代理95
3.1.1 正向連接和反向連接95
3.1.2 端口轉(zhuǎn)發(fā)96
3.1.3 SOCKS代理96
3.2 常見轉(zhuǎn)發(fā)與代理工具96
3.2.1 LCX97
3.2.2 FRP100
小結(jié)106
第4章 權(quán)限提升107
4.1 系統(tǒng)內(nèi)核漏洞提權(quán)107
4.1.1 查找系統(tǒng)潛在漏洞107
4.1.2 確定并利用漏洞109
4.2 系統(tǒng)服務(wù)提權(quán)110
4.2.1 不安全的服務(wù)權(quán)限110
4.2.2 服務(wù)注冊表權(quán)限脆弱112
4.2.3 服務(wù)路徑權(quán)限可控113
4.2.4 未引用的服務(wù)路徑114
4.2.5 PowerUp115
4.3 MSI安裝策略提權(quán)116
4.3.1 確定系統(tǒng)是否存在漏洞116
4.3.2 創(chuàng)建惡意MSI并安裝117
4.4 訪問令牌操縱118
4.4.1 訪問令牌118
4.4.2 常規(guī)令牌竊取操作119
4.4.3 Potato家族提權(quán)122
4.5 Bypass UAC126
4.5.1 UAC白名單127
4.5.2 DLL劫持130
4.5.3 模擬可信任目錄131
4.5.4 相關(guān)輔助工具134
4.6 用戶憑據(jù)操作135
4.6.1 枚舉Unattended憑據(jù)135
4.6.2 獲取組策略憑據(jù)136
4.6.3 HiveNightmare138
4.6.4 Zerologon域內(nèi)提權(quán)140
4.7 Print Spooler提權(quán)漏洞142
4.7.1 PrintDemon142
4.7.2 PrintNightmare145
4.8 Nopac域內(nèi)提權(quán)148
4.9 Certifried域內(nèi)提權(quán)148
4.9.1 活動目錄證書服務(wù)148
4.9.2 活動目錄證書注冊流程149
4.9.3 漏洞分析149
小結(jié)154
第5章 內(nèi)網(wǎng)橫向移動155
5.1 橫向移動中的文件傳輸156
5.1.1 通過網(wǎng)絡(luò)共享156
5.1.2 搭建SMB服務(wù)器157
5.1.3 通過Windows自帶工具158
5.2 創(chuàng)建計劃任務(wù)159
5.2.1 常規(guī)利用流程159
5.2.2 UNC路徑加載執(zhí)行161
5.3 系統(tǒng)服務(wù)利用162
5.3.1 創(chuàng)建遠程服務(wù)162
5.3.2 SCShell163
5.3.3 UAC Remote Restrictions164
5.4 遠程桌面利用165
5.4.1 遠程桌面的確定和開啟165
5.4.2 RDP Hijacking166
5.4.3 SharpRDP167
5.5 PsExec遠程控制167
5.6 WMI的利用168
5.6.1 常規(guī)利用方法168
5.6.2 常見利用工具171
5.6.3 WMI事件訂閱的利用173
5.7 DCOM的利用176
5.7.1 COM和DCOM176
5.7.2 通過DCOM橫向移動176
5.8 WinRM的利用180
5.8.1 通過WinRM執(zhí)行遠程命令181
5.8.2 通過WinRM獲取交互式會話182
5.9 哈希傳遞攻擊184
5.9.1 哈希傳遞攻擊的利用184
5.9.2 利用哈希傳遞登錄遠程桌面185
5.10 EhernalBlue187
小結(jié)188
第6章 內(nèi)網(wǎng)權(quán)限持久化189
6.1 常見系統(tǒng)后門技術(shù)189
6.1.1 創(chuàng)建影子賬戶189
6.1.2 系統(tǒng)服務(wù)后門192
6.1.3 計劃任務(wù)后門196
6.1.4 啟動項/注冊表鍵后門198
6.1.5 Port Monitors200
6.2 事件觸發(fā)執(zhí)行201
6.2.1 利用WMI事件訂閱201
6.2.2 利用系統(tǒng)輔助功能203
6.2.3 IFEO注入205
6.2.4 利用屏幕保護程序207
6.2.5 DLL劫持208
6.3 常見域后門技術(shù)214
6.3.1 創(chuàng)建Skeleton Key域后門215
6.3.2 創(chuàng)建DSRM域后門216
6.3.3 SID History的利用218
6.3.4 利用AdminSDHolder打造域后門221
6.3.5 HOOK PasswordChangeNotify224
6.4 DCSync攻擊技術(shù)226
6.4.1 利用DCSync導(dǎo)出域內(nèi)哈希226
6.4.2 利用DCSync維持域內(nèi)權(quán)限228
6.4.3 DCShadow228
小結(jié)229
第7章 Kerberos攻擊專題231
7.1 Kerberos認證基礎(chǔ)231
7.1.1 Kerberos基礎(chǔ)認證流程231
7.1.2 Kerberos攻擊分類232
7.2 AS_REQ&AS_REP階段攻擊233
7.3 TGS_REQ&TGS_REP階段攻擊235
7.3.1 Kerberosast攻擊235
7.3.2 白銀票據(jù)攻擊235
7.3.3 委派攻擊236
7.4 PAC攻擊247
小結(jié)254
第8章 NTLM中繼專題255
8.1 NTLM協(xié)議255
8.2 NTLM認證機制255
8.2.1 NTLM在工作組環(huán)境的認證255
8.2.2 NTLM在域環(huán)境的認證256
8.2.3 Net-NTLM Hash257
8.3 發(fā)起并截獲NTLM請求259
8.3.1 NTLM攻擊常用方法259
8.3.2 常見Web漏洞利用268
8.3.3 LLMNR/NBNS欺騙利用272
8.4 中繼到SMB利用274
8.4.1 SMB簽名利用274
8.4.2 域環(huán)境下的利用275
8.4.3 工作組的利用278
8.5 中繼至Exchange利用280
8.6 中繼至LDAP利用283
8.6.1 LDAP簽名283
8.6.2 Write Dcsync ACL284
8.6.3 RBCD286
8.6.4 CVE-2019-1384288
8.7 中繼至AD CS利用292
小結(jié)296
第9章 Exchange攻擊專題297
9.1 初識Exchange297
9.1.1 Exchange服務(wù)器角色297
9.1.2 Exchange服務(wù)發(fā)現(xiàn)和信息收集297
9.2 Exchange的憑證獲取301
9.2.1 常規(guī)暴力破解302
9.2.2 Password Spary302
9.2.3 域中NTLM-Relay攻擊Outlook客戶端進行權(quán)限提升303
9.3 獲取用戶憑據(jù)后的信息收集和滲透305
9.3.1 通過Autodiscover進行信息收集306
9.3.2 獲取Exchange通訊錄307
9.3.3 讀取郵件內(nèi)容311
9.3.4 Activesync接口查看共享311
9.3.5 攻擊Outlook客戶端312
9.4 獲取Exchange服務(wù)器權(quán)限后的滲透312
9.4.1 Exchange服務(wù)器的信息收集312
9.4.2 郵箱接管后門種植315
9.4.3 IIS模塊后門317
9.4.4 利用WriteACL權(quán)限進行DCSYNC317
小結(jié)320
第10章 免殺技術(shù)初探321
10.1 反病毒軟件原理321
10.2 免殺實戰(zhàn)323
10.2.1 免殺Cobalt Strike323
10.2.2 利用白名單程序繞過檢查329
小結(jié)336