內網滲透體系建設

本書共10章，第1～6章是內網滲透的基礎知識，第7～9章是內網滲透的重要內容，包括Kerberos專題、NTLM Relay專題和Microsoft Exchange專題，第10章免殺技術也是內網滲透中不可或缺的內容。 本書內容精於內網滲透，技術內容深，覆蓋人群廣，不論是剛入門的內網安全愛好者，還是經驗豐富的紅隊老人，都能從中獲得相應幫助。

第1章 內網滲透測試基礎知識 1
1.1 內網工作環境 1
1.1.1 工作組 1
1.1.2 域 1
1.1.3 域控制器 4
1.2 活動目錄 4
1.2.1 Ntds.dit文件 5
1.2.2 目錄服務與LDAP  5
1.2.3 活動目錄的訪問 6
1.2.4 活動目錄分區 7
1.2.5 活動目錄的查詢 9
1.3 域用戶與機器用戶介紹 13
1.3.1 域用戶 13
1.3.2 機器用戶 13
1.4 域用戶組的分類和權限 15
1.4.1 組的用途 15
1.4.2 安全組的權限 15
1.5 組織單位 18
1.6 域內訪問權限控制 20
1.6.1 Windows訪問控制模型 21
1.6.2 訪問控制列表 21
1.7 組策略 25
1.7.1 組策略對象 25
1.7.2 組策略的創建 30
1.8 內網域環境搭建 32
1.8.1 單域環境搭建 32
1.8.2 父子域環境搭建 39
小結 46

第2章 內網信息收集 47
2.1 本機基礎信息收集 47
2.2 域內基礎信息收集 56
2.3 內網資源探測 61
2.3.1 發現內網存活主機 61
2.3.2 內網端口掃描 64
2.3.3 利用MetaSploit探測內網 67
2.3.4 獲取端口Banner信息 68
2.4 用戶憑據收集 69
2.4.1 獲取域內單機密碼和哈希值 69
2.4.2 獲取常見應用軟件憑據 73
2.5 使用BloodHound自動化分析域環境 81
2.5.1 採集並導出數據 81
2.5.2 導入數據 81
2.5.3 節點信息 82
2.5.4 邊緣信息 84
2.5.5 數據分析 85
小結 92

第3章 端口轉發與內網代理 95
3.1 端口轉發和代理 95
3.1.1 正向連接和反向連接 95
3.1.2 端口轉發 96
3.1.3 SOCKS代理 96
3.2 常見轉發與代理工具 96
3.2.1 LCX  97
3.2.2 FRP  100
小結 106

第4章 權限提升 107
4.1 系統內核漏洞提權 107
4.1.1 查找系統潛在漏洞 107
4.1.2 確定並利用漏洞 109
4.2 系統服務提權 110
4.2.1 不安全的服務權限 110
4.2.2 服務註冊表權限脆弱 112
4.2.3 服務路徑權限可控 113
4.2.4 未引用的服務路徑 114
4.2.5 PowerUp  115
4.3 MSI安裝策略提權 116
4.3.1 確定係統是否存在漏洞 116
4.3.2 創建惡意MSI並安裝 117
4.4 訪問令牌操縱 118
4.4.1 訪問令牌 118
4.4.2 常規令牌竊取操作 119
4.4.3 Potato家族提權 122
4.5 Bypass UAC  126
4.5.1 UAC白名單 127
4.5.2 DLL劫持 130
4.5.3 模擬可信任目錄 131
4.5.4 相關輔助工具 134
4.6 用戶憑據操作 135
4.6.1 枚舉Unattended憑據 135
4.6.2 獲取組策略憑據 136
4.6.3 HiveNightmare  138
4.6.4 Zerologon域內提權 140
4.7 Print Spooler提權漏洞 142
4.7.1 PrintDemon  142
4.7.2 PrintNightmare  145
4.8 pac域內提權 148
4.9 Certifried域內提權 148
4.9.1 活動目錄證書服務 148
4.9.2 活動目錄證書註冊流程 149
4.9.3 漏洞分析 149
小結 154

第5章 內網橫向移動 155
5.1 橫向移動中的文件傳輸 156
5.1.1 通過網絡共享 156
5.1.2 搭建SMB服務器 157
5.1.3 通過Windows自帶工具 158
5.2 創建計劃任務 159
5.2.1 常規利用流程 159
5.2.2 UNC路徑加載執行 161
5.3 系統服務利用 162
5.3.1 創建遠程服務 162
5.3.2 SCShell  163
5.3.3 UAC Remote Restrictions  164
5.4 遠程桌面利用 165
5.4.1 遠程桌面的確定和開啟 165
5.4.2 RDP Hijacking  166
5.4.3 SharpRDP  167
5.5 PsExec遠程控制 167
5.6 WMI的利用 168
5.6.1 常規利用方法 168
5.6.2 常見利用工具 171
5.6.3 WMI事件訂閱的利用 173
5.7 DCOM的利用 176
5.7.1 COM和DCOM  176
5.7.2 通過DCOM橫向移動 176
5.8 WinRM的利用 180
5.8.1 通過WinRM執行遠程命令 181
5.8.2 通過WinRM獲取交互式會話 182
5.9 哈希傳遞攻擊 184
5.9.1 哈希傳遞攻擊的利用 184
5.9.2 利用哈希傳遞登錄遠程桌面 185
5.10 EhernalBlue  187
小結 188

第6章 內網權限持久化 189
6.1 常見系統後門技術 189
6.1.1 創建影子賬戶 189
6.1.2 系統服務後門 192
6.1.3 計劃任務後門 196
6.1.4 啟動項/註冊表鍵後門 198
6.1.5 Port Monitors  200
6.2 事件觸發執行 201
6.2.1 利用WMI事件訂閱 201
6.2.2 利用系統輔助功能 203
6.2.3 IFEO注入 205
6.2.4 利用屏幕保護程序 207
6.2.5 DLL劫持 208
6.3 常見域後門技術 214
6.3.1 創建Skeleton Key域後門 215
6.3.2 創建DSRM域後門 216
6.3.3 SID History的利用 218
6.3.4 利用AdminSDHolder打造域後門 221
6.3.5 HOOK PasswordChange tify  224
6.4 DCSync攻擊技術 226
6.4.1 利用DCSync導出域內哈希 226
6.4.2 利用DCSync維持域內權限 228
6.4.3 DCShadow  228
小結 229

第7章 Kerberos攻擊專題 231
7.1 Kerberos認證基礎 231
7.1.1 Kerberos基礎認證流程 231
7.1.2 Kerberos攻擊分類 232
7.2 AS_REQ&AS_REP階段攻擊 233
7.3 TGS_REQ&TGS_REP階段攻擊 235
7.3.1 Kerberosast攻擊 235
7.3.2 白銀票據攻擊 235
7.3.3 委派攻擊 236
7.4 PAC攻擊 247
小結 254

第8章 NTLM中繼專題 255
8.1 NTLM協議 255
8.2 NTLM認證機制 255
8.2.1 NTLM在工作組環境的認證 255
8.2.2 NTLM在域環境的認證 256
8.2.3 Net-NTLM Hash  257
8.3 發起並截獲NTLM請求 259
8.3.1 NTLM攻擊常用方法 259
8.3.2 常見Web漏洞利用 268
8.3.3 LLMNR/NBNS欺騙利用 272
8.4 中繼到SMB利用 274
8.4.1 SMB簽名利用 274
8.4.2 域環境下的利用 275
8.4.3 工作組的利用 278
8.5 中繼Exchange利用 280
8.6 中繼LDAP利用 283
8.6.1 LDAP簽名 283
8.6.2 Write Dcsync ACL  284
8.6.3 RBCD  286
8.6.4 CVE-2019-1384  288
8.7 中繼AD CS利用 292
小結 296

第9章 Exchange攻擊專題 297
9.1 初識Exchange  297
9.1.1 Exchange服務器角色 297
9.1.2 Exchange服務發現和信息收集 297
9.2 Exchange的憑證獲取 301
9.2.1 常規暴力破解 302
9.2.2 Password Spary  302
9.2.3 域中NTLM-Relay攻擊Outlook客戶端進行權限提升 303
9.3 獲取用戶憑據後的信息收集和滲透 305
9.3.1 通過Autodiscover進行信息收集 306
9.3.2 獲取Exchange通訊錄 307
9.3.3 讀取郵件內容 311
9.3.4 Activesync接口查看共享 311
9.3.5 攻擊Outlook客戶端 31
9.4 獲取Exchange服務器權限後的滲透 312
9.4.1 Exchange服務器的信息收集 312
9.4.2 郵箱接管後門種植 315
9.4.3 IIS模塊後門 317
9.4.4 利用WriteACL權限進行DCSYNC  317
小結 320

第10章 免殺技術初探 321
10.1 反病毒軟件原理 321
10.2 免殺實戰 323
10.2.1 免殺Cobalt Strike  323
10.2.2 利用白名單程序繞過檢查 329
小結 336