目錄　Contents　
贊譽(yù)
序一
序二
序三
前言
第1章　Windows安全基礎(chǔ)1
1.1　Windows認(rèn)證基礎(chǔ)知識(shí)1
1.1.1　Windows憑據(jù)1
1.1.2　Windows訪(fǎng)問(wèn)控制模型2
1.1.3　令牌安全防御10
1.2　UAC13
1.2.1　UAC原理概述13
1.2.2　UAC級(jí)別定義13
1.2.3　UAC觸發(fā)條件15
1.2.4　UAC用戶(hù)登錄過(guò)程16
1.2.5　UAC虛擬化18
1.3　Windows安全認(rèn)證機(jī)制18
1.3.1　什么是認(rèn)證18
1.3.2　NTLM本地認(rèn)證19
1.3.3　NTLM網(wǎng)絡(luò)認(rèn)證22
1.3.4　Kerberos域認(rèn)證25
1.4　Windows常用協(xié)議28
1.4.1　LLMNR28
1.4.2　NetBIOS31
1.4.3　Windows WPAD34
1.5　Windows WMI詳解36
1.5.1　WMI簡(jiǎn)介36
1.5.2　WQL36
1.5.3　WMI Client40
1.5.4　WMI遠(yuǎn)程交互41
1.5.5　WMI事件42
1.5.6　WMI攻擊45
1.5.7　WMI攻擊檢測(cè)46
1.6　域46
1.6.1　域的基礎(chǔ)概念46
1.6.2　組策略49
1.6.3　LDAP56
1.6.4　SPN59
1.7　本章小結(jié)65
第2章　信息收集66
2.1　主機(jī)發(fā)現(xiàn)66
2.1.1　利用協(xié)議主動(dòng)探測(cè)主機(jī)存活66
2.1.2　被動(dòng)主機(jī)存活探測(cè)71
2.1.3　內(nèi)網(wǎng)多網(wǎng)卡主機(jī)發(fā)現(xiàn)76
2.2　Windows主機(jī)信息收集檢查清單78
2.3　Linux主機(jī)信息收集檢查清單81
2.4　組策略信息收集81
2.4.1　本地組策略收集81
2.4.2　域組策略收集81
2.4.3　組策略存儲(chǔ)收集83
2.4.4　組策略對(duì)象收集86
2.5　域信息收集90
2.5.1　域控制器收集90
2.5.2　域DNS信息枚舉92
2.5.3　SPN掃描96
2.5.4　域用戶(hù)名獲取98
2.5.5　域用戶(hù)定位102
2.6　net session與net use利用110
2.6.1　net session利用110
2.6.2　net use利用112
2.7　Sysmon檢測(cè)117
2.8　域路徑收集分析119
2.8.1　域分析之BloodHound119
2.8.2　域分析之ShotHound137
2.8.3　域分析之CornerShot142
2.9　Exchange信息收集146
2.9.1　Exchange常見(jiàn)接口146
2.9.2　Exchange常見(jiàn)信息收集146
2.9.3　Exchange攻擊面擴(kuò)展收集
　　�。ū┝ζ平猓�154
2.9.4　 Exchange郵件列表導(dǎo)出156
2.10 　本章小結(jié)162
第3章　隧道穿透163
3.1　隧道穿透技術(shù)詳解163
3.1.1　正向連接163
3.1.2　反向連接163
3.1.3　端口轉(zhuǎn)發(fā)164
3.1.4　端口復(fù)用165
3.1.5　內(nèi)網(wǎng)穿透165
3.1.6　代理和隧道的區(qū)別165
3.1.7　常見(jiàn)隧道轉(zhuǎn)發(fā)場(chǎng)景165
3.1.8　常見(jiàn)隧道穿透分類(lèi)166
3.2　內(nèi)網(wǎng)探測(cè)協(xié)議出網(wǎng)166
3.2.1　TCP/UDP探測(cè)出網(wǎng)166
3.2.2　HTTP/HTTPS探測(cè)出網(wǎng)169
3.2.3　ICMP探測(cè)出網(wǎng)171
3.2.4　DNS探測(cè)出網(wǎng)171
3.3　隧道利用方法172
3.3.1　常規(guī)反彈172
3.3.2　加密反彈175
3.3.3　端口轉(zhuǎn)發(fā)177
3.3.4　SOCKS隧道代理180
3.4　利用多協(xié)議方式進(jìn)行隧道穿透182
3.4.1　利用ICMP進(jìn)行隧道穿透182
3.4.2　利用DNS協(xié)議進(jìn)行隧道穿透187
3.4.3　利用RDP進(jìn)行隧道穿透192
3.4.4　利用IPv6進(jìn)行隧道穿透195
3.4.5　利用GRE協(xié)議進(jìn)行隧道穿透 197
3.4.6　利用HTTP進(jìn)行隧道穿透200
3.4.7　利用SSH協(xié)議進(jìn)行隧道穿透210
3.5　常見(jiàn)的隧道穿透利用方式215
3.5.1　通過(guò)EW進(jìn)行隧道穿透215
3.5.2　通過(guò)Venom進(jìn)行隧道穿透224
3.5.3　通過(guò)Termite進(jìn)行隧道穿透231
3.5.4　通過(guò)frp進(jìn)行隧道穿透236
3.5.5　通過(guò)NPS進(jìn)行隧道穿透244
3.5.6　通過(guò)ngrok進(jìn)行內(nèi)網(wǎng)穿透250
3.6　文件傳輸技術(shù)252
3.6.1　Windows文件傳輸技巧詳解252
3.6.2　Linux文件傳輸技巧詳解261
3.7　檢測(cè)與防護(hù)266
3.7.1　ICMP隧道流量檢測(cè)與防護(hù)266
3.7.2　DNS隧道流量檢測(cè)與防護(hù)267
3.7.3　HTTP隧道流量檢測(cè)與防護(hù)267
3.7.4　RDP隧道流量檢測(cè)與防護(hù)267
3.8　本章小結(jié)268
第4章　權(quán)限提升269
4.1　Windows用戶(hù)權(quán)限簡(jiǎn)介269
4.2　Windows單機(jī)權(quán)限提升270
4.2.1　利用Windows內(nèi)核漏洞
　　　　進(jìn)行提權(quán)270
4.2.2　利用Windows錯(cuò)配進(jìn)行提權(quán)273
4.2.3　DLL劫持285
4.2.4　訪(fǎng)問(wèn)令牌提權(quán)294
4.2.5　獲取TrustedInstaller權(quán)限298
4.3　利用第三方服務(wù)提權(quán)300
4.3.1　利用MySQL UDF進(jìn)行提權(quán)300
4.3.2　利用SQL Server進(jìn)行提權(quán)304
4.3.3　利用Redis進(jìn)行提權(quán)309
4.4　利用符號(hào)鏈接進(jìn)行提權(quán)313
4.4.1　符號(hào)鏈接313
4.4.2　符號(hào)鏈接提權(quán)的原理314
4.4.3　CVE-2020-0668316
4.5　NTLM中繼318
4.5.1　通過(guò)LLMNR/NBNS欺騙
　　　獲取NTLM哈希320
4.5.2　通過(guò)desktop.ini獲取哈希323
4.5.3　自動(dòng)生成有效載荷325
4.5.4　中繼到SMB326
4.6　Service提權(quán)至SYSTEM
　　（土豆攻擊）328
4.6.1　熱土豆328
4.6.2　爛土豆331
4.6.3　多汁土豆333
4.6.4　甜土豆334
4.7　Linux權(quán)限提升334
4.7.1　Linux權(quán)限基礎(chǔ)334
4.7.2　Linux本機(jī)信息收集337
4.7.3　利用Linux漏洞進(jìn)行提權(quán)340
4.7.4　Linux錯(cuò)配提權(quán)342
4.8　Windows Print Spooler漏洞
　　　詳解及防御346
4.8.1　Windows Print Spooler簡(jiǎn)介346
4.8.2　CVE-2020-1048347
4.8.3　CVE-2020-1337350
4.9　繞過(guò)權(quán)限限制351
4.9.1　繞過(guò) UAC351
4.9.2　繞過(guò)AppLocker361
4.9.3　繞過(guò)AMSI374
4.9.4　繞過(guò)Sysmon383
4.9.5　繞過(guò)ETW387
4.9.6　繞過(guò)PowerShell Ruler391
4.10　本章小結(jié)405
第5章　憑據(jù)獲取406
5.1　Windows單機(jī)憑據(jù)獲取406
5.1.1　憑據(jù)獲取的基礎(chǔ)知識(shí)406
5.1.2　通過(guò)SAM文件獲取
　　　Windows憑據(jù)407
5.1.3　通過(guò)Lsass進(jìn)程獲取
　　　　Windows憑據(jù)413
5.1.4　繞過(guò)Lsass進(jìn)程保護(hù)419
5.1.5　釣魚(yú)獲取Windows憑據(jù)430
5.2　域憑據(jù)獲取 434
5.2.1　利用NTDS.DIT獲取
　　　Windows域哈希434
5.2.2　注入Lsass進(jìn)程獲取域
　　　用戶(hù)哈希440
5.2.3　DCSync利用原理441
5.2.4　利用LAPS獲取Windows域
　　　憑據(jù)449
5.2.5　利用備份組導(dǎo)出域憑據(jù)450
5.3　系統(tǒng)內(nèi)軟件憑據(jù)獲取455
5.3.1　收集瀏覽器密碼455
5.3.2　使用開(kāi)源程序獲取瀏覽器憑據(jù)457
5.3.3　獲取常見(jiàn)的運(yùn)維管理軟件密碼458
5.4　獲取Windows哈希的技巧461
5.4.1　利用藍(lán)屏轉(zhuǎn)儲(chǔ)機(jī)制獲取哈希461
5.4.2　利用mstsc獲取RDP憑據(jù)464
5.4.3　通過(guò)Hook獲取憑據(jù)466
5.4.4　使用Physmem2profit遠(yuǎn)程
　　　轉(zhuǎn)儲(chǔ)Lsass進(jìn)程469
5.5　Linux憑據(jù)獲取470
5.5.1　Shadow文件詳解470
5.5.2　利用Strace記錄密碼472
5.6　憑據(jù)防御473
5.7　本章小結(jié)473
第6章　橫向滲透474
6.1　常見(jiàn)的系統(tǒng)傳遞攻擊474
6.1.1　哈希傳遞474
6.1.2　票據(jù)傳遞477
6.1.3　密鑰傳遞482
6.1.4　證書(shū)傳遞484
6.2　利用Windows計(jì)劃任務(wù)進(jìn)行
　　 橫向滲透485
6.2.1　at命令485
6.2.2　schtasks命令487
6.3　利用遠(yuǎn)程服務(wù)進(jìn)行橫向滲透489
6.3.1　利用SC創(chuàng)建遠(yuǎn)程服務(wù)后進(jìn)行
　　　　　　 橫向滲透489
6.3.2　利用SCShell進(jìn)行橫向滲透491
6.4　利用PsExec進(jìn)行橫向滲透492
6.4.1　利用PsExec獲取交互式會(huì)話(huà)493
6.4.2　建立IPC$連接，獲取交互式
　　　　　　 會(huì)話(huà)494
6.5　利用WinRM進(jìn)行橫向滲透494
6.5.1　利用WinRS建立交互式會(huì)話(huà)495
6.5.2　利用Invoke-Command遠(yuǎn)程
　　　　　　 執(zhí)行命令496
6.5.3　利用Enter-PSSession建立
　　　　　　 交互式會(huì)話(huà)497
6.6　利用WMI進(jìn)行橫向滲透499
6.6.1　利用WMIC進(jìn)行信息收集500
6.6.2　利用wmiexec.py獲取
　　　　　　 交互式會(huì)話(huà)503
6.6.3　利用wmiexec.vbs遠(yuǎn)程
　　　　　　 執(zhí)行命令503
6.6.4　利用WMIHACKER實(shí)現(xiàn)
　　　　　　 命令回顯504
6.7　利用DCOM進(jìn)行橫向滲透504
6.7.1　利用MMC20.Application
　　　　　　遠(yuǎn)程控制MMC506
6.7.2　利用ShellWindows遠(yuǎn)程
　　　　　　 執(zhí)行命令508
6.7.3　利用Dcomexec.py獲得
　　　　　　 半交互shell509
6.7.4　其他DCOM組件510
6.8　利用RDP進(jìn)行橫向滲透510
6.8.1　針對(duì)RDP的哈希傳遞510
6.8.2　RDP會(huì)話(huà)劫持512
6.8.3　使用SharpRDP進(jìn)行橫向滲透514
6.9　利用MSSQL數(shù)據(jù)庫(kù)進(jìn)行橫向滲透516
6.9.1　利用sp_oacreate執(zhí)行命令516
6.9.2　利用CLR執(zhí)行命令518
6.9.3　利用WarSQLKit擴(kuò)展命令523
6.10　利用組策略進(jìn)行橫向滲透524
6.10.1　本地組策略與域組策略的區(qū)別524
6.10.2　使用組策略推送MSI525
6.10.3　使用域組策略創(chuàng)建計(jì)劃任務(wù)529
6.10.4　利用登錄腳本進(jìn)行橫向滲透534
6.11　利用WSUS進(jìn)行橫向滲透537
6.11.1　WSUS利用原理537
6.11.2　WSUS橫向滲透538
6.11.3　WSUS檢測(cè)及防護(hù)542
6.12　利用SCCM進(jìn)行橫向滲透543
6.13　本章小結(jié)556
第7章　持久化557
7.1　Windows單機(jī)持久化557
7.1.1　Windows RID劫持557
7.1.2　利用計(jì)劃任務(wù)進(jìn)行權(quán)限維持562
7.1.3　利用Windows注冊(cè)表進(jìn)行
　　　　　　 權(quán)限維持563
7.1.4　利用映像劫持進(jìn)行權(quán)限維持566
7.1.5　利用CLR劫持進(jìn)行權(quán)限維持569
7.1.6　利用Telemetry服務(wù)進(jìn)行
　　　　　　 權(quán)限維持571
7.1.7　利用WMI進(jìn)行權(quán)限維持573
7.1.8　遠(yuǎn)程桌面服務(wù)影子攻擊579
7.2　Windows域權(quán)限維持583
7.2.1　黃金票據(jù)583
7.2.2　白銀票據(jù)589
7.2.3　黃金票據(jù)與白銀票據(jù)的區(qū)別597
7.2.4　利用DSRM進(jìn)行域權(quán)限維持597
7.2.5　利用DCShadow進(jìn)行域
　　　　　　 權(quán)限維持600
7.2.6　利用SID History進(jìn)行域
　　　　　　 權(quán)限維持606
7.2.7　利用AdminSDHolder進(jìn)行域
　　　　　　 權(quán)限維持609
7.2.8　注入Skeleton Key進(jìn)行域
　　　　　　權(quán)限維持613
7.3　Linux單機(jī)持久化614
7.3.1　利用Linux SUID進(jìn)行權(quán)限維持614
7.3.2　利用Linux計(jì)劃任務(wù)進(jìn)行
　　　　　　 權(quán)限維持615
7.3.3　利用Linux PAM創(chuàng)建后門(mén)616
7.3.4　利用SSH公鑰免密登錄622
7.3.5　利用Vim創(chuàng)建后門(mén)623
7.3.6　Linux端口復(fù)用625
7.3.7　利用Rootkit進(jìn)行權(quán)限維持627
7.4　持久化防御632
7.5　本章小結(jié)632