目錄　Contents　
贊譽(yù)
序一
序二
序三
前言
第1章　Windows安全基礎(chǔ)1
1.1　Windows認(rèn)證基礎(chǔ)知識1
1.1.1　Windows憑據(jù)1
1.1.2　Windows訪問控制模型2
1.1.3　令牌安全防御10
1.2　UAC13
1.2.1　UAC原理概述13
1.2.2　UAC級別定義13
1.2.3　UAC觸發(fā)條件15
1.2.4　UAC用戶登錄過程16
1.2.5　UAC虛擬化18
1.3　Windows安全認(rèn)證機(jī)制18
1.3.1　什么是認(rèn)證18
1.3.2　NTLM本地認(rèn)證19
1.3.3　NTLM網(wǎng)絡(luò)認(rèn)證22
1.3.4　Kerberos域認(rèn)證25
1.4　Windows常用協(xié)議28
1.4.1　LLMNR28
1.4.2　NetBIOS31
1.4.3　Windows WPAD34
1.5　Windows WMI詳解36
1.5.1　WMI簡介36
1.5.2　WQL36
1.5.3　WMI Client40
1.5.4　WMI遠(yuǎn)程交互41
1.5.5　WMI事件42
1.5.6　WMI攻擊45
1.5.7　WMI攻擊檢測46
1.6　域46
1.6.1　域的基礎(chǔ)概念46
1.6.2　組策略49
1.6.3　LDAP56
1.6.4　SPN59
1.7　本章小結(jié)65
第2章　信息收集66
2.1　主機(jī)發(fā)現(xiàn)66
2.1.1　利用協(xié)議主動探測主機(jī)存活66
2.1.2　被動主機(jī)存活探測71
2.1.3　內(nèi)網(wǎng)多網(wǎng)卡主機(jī)發(fā)現(xiàn)76
2.2　Windows主機(jī)信息收集檢查清單78
2.3　Linux主機(jī)信息收集檢查清單81
2.4　組策略信息收集81
2.4.1　本地組策略收集81
2.4.2　域組策略收集81
2.4.3　組策略存儲收集83
2.4.4　組策略對象收集86
2.5　域信息收集90
2.5.1　域控制器收集90
2.5.2　域DNS信息枚舉92
2.5.3　SPN掃描96
2.5.4　域用戶名獲取98
2.5.5　域用戶定位102
2.6　net session與net use利用110
2.6.1　net session利用110
2.6.2　net use利用112
2.7　Sysmon檢測117
2.8　域路徑收集分析119
2.8.1　域分析之BloodHound119
2.8.2　域分析之ShotHound137
2.8.3　域分析之CornerShot142
2.9　Exchange信息收集146
2.9.1　Exchange常見接口146
2.9.2　Exchange常見信息收集146
2.9.3　Exchange攻擊面擴(kuò)展收集
　　�。ū┝ζ平猓�154
2.9.4　 Exchange郵件列表導(dǎo)出156
2.10 　本章小結(jié)162
第3章　隧道穿透163
3.1　隧道穿透技術(shù)詳解163
3.1.1　正向連接163
3.1.2　反向連接163
3.1.3　端口轉(zhuǎn)發(fā)164
3.1.4　端口復(fù)用165
3.1.5　內(nèi)網(wǎng)穿透165
3.1.6　代理和隧道的區(qū)別165
3.1.7　常見隧道轉(zhuǎn)發(fā)場景165
3.1.8　常見隧道穿透分類166
3.2　內(nèi)網(wǎng)探測協(xié)議出網(wǎng)166
3.2.1　TCP/UDP探測出網(wǎng)166
3.2.2　HTTP/HTTPS探測出網(wǎng)169
3.2.3　ICMP探測出網(wǎng)171
3.2.4　DNS探測出網(wǎng)171
3.3　隧道利用方法172
3.3.1　常規(guī)反彈172
3.3.2　加密反彈175
3.3.3　端口轉(zhuǎn)發(fā)177
3.3.4　SOCKS隧道代理180
3.4　利用多協(xié)議方式進(jìn)行隧道穿透182
3.4.1　利用ICMP進(jìn)行隧道穿透182
3.4.2　利用DNS協(xié)議進(jìn)行隧道穿透187
3.4.3　利用RDP進(jìn)行隧道穿透192
3.4.4　利用IPv6進(jìn)行隧道穿透195
3.4.5　利用GRE協(xié)議進(jìn)行隧道穿透 197
3.4.6　利用HTTP進(jìn)行隧道穿透200
3.4.7　利用SSH協(xié)議進(jìn)行隧道穿透210
3.5　常見的隧道穿透利用方式215
3.5.1　通過EW進(jìn)行隧道穿透215
3.5.2　通過Venom進(jìn)行隧道穿透224
3.5.3　通過Termite進(jìn)行隧道穿透231
3.5.4　通過frp進(jìn)行隧道穿透236
3.5.5　通過NPS進(jìn)行隧道穿透244
3.5.6　通過ngrok進(jìn)行內(nèi)網(wǎng)穿透250
3.6　文件傳輸技術(shù)252
3.6.1　Windows文件傳輸技巧詳解252
3.6.2　Linux文件傳輸技巧詳解261
3.7　檢測與防護(hù)266
3.7.1　ICMP隧道流量檢測與防護(hù)266
3.7.2　DNS隧道流量檢測與防護(hù)267
3.7.3　HTTP隧道流量檢測與防護(hù)267
3.7.4　RDP隧道流量檢測與防護(hù)267
3.8　本章小結(jié)268
第4章　權(quán)限提升269
4.1　Windows用戶權(quán)限簡介269
4.2　Windows單機(jī)權(quán)限提升270
4.2.1　利用Windows內(nèi)核漏洞
　　　　進(jìn)行提權(quán)270
4.2.2　利用Windows錯配進(jìn)行提權(quán)273
4.2.3　DLL劫持285
4.2.4　訪問令牌提權(quán)294
4.2.5　獲取TrustedInstaller權(quán)限298
4.3　利用第三方服務(wù)提權(quán)300
4.3.1　利用MySQL UDF進(jìn)行提權(quán)300
4.3.2　利用SQL Server進(jìn)行提權(quán)304
4.3.3　利用Redis進(jìn)行提權(quán)309
4.4　利用符號鏈接進(jìn)行提權(quán)313
4.4.1　符號鏈接313
4.4.2　符號鏈接提權(quán)的原理314
4.4.3　CVE-2020-0668316
4.5　NTLM中繼318
4.5.1　通過LLMNR/NBNS欺騙
　　　獲取NTLM哈希320
4.5.2　通過desktop.ini獲取哈希323
4.5.3　自動生成有效載荷325
4.5.4　中繼到SMB326
4.6　Service提權(quán)至SYSTEM
　　（土豆攻擊）328
4.6.1　熱土豆328
4.6.2　爛土豆331
4.6.3　多汁土豆333
4.6.4　甜土豆334
4.7　Linux權(quán)限提升334
4.7.1　Linux權(quán)限基礎(chǔ)334
4.7.2　Linux本機(jī)信息收集337
4.7.3　利用Linux漏洞進(jìn)行提權(quán)340
4.7.4　Linux錯配提權(quán)342
4.8　Windows Print Spooler漏洞
　　　詳解及防御346
4.8.1　Windows Print Spooler簡介346
4.8.2　CVE-2020-1048347
4.8.3　CVE-2020-1337350
4.9　繞過權(quán)限限制351
4.9.1　繞過 UAC351
4.9.2　繞過AppLocker361
4.9.3　繞過AMSI374
4.9.4　繞過Sysmon383
4.9.5　繞過ETW387
4.9.6　繞過PowerShell Ruler391
4.10　本章小結(jié)405
第5章　憑據(jù)獲取406
5.1　Windows單機(jī)憑據(jù)獲取406
5.1.1　憑據(jù)獲取的基礎(chǔ)知識406
5.1.2　通過SAM文件獲取
　　　Windows憑據(jù)407
5.1.3　通過Lsass進(jìn)程獲取
　　　　Windows憑據(jù)413
5.1.4　繞過Lsass進(jìn)程保護(hù)419
5.1.5　釣魚獲取Windows憑據(jù)430
5.2　域憑據(jù)獲取 434
5.2.1　利用NTDS.DIT獲取
　　　Windows域哈希434
5.2.2　注入Lsass進(jìn)程獲取域
　　　用戶哈希440
5.2.3　DCSync利用原理441
5.2.4　利用LAPS獲取Windows域
　　　憑據(jù)449
5.2.5　利用備份組導(dǎo)出域憑據(jù)450
5.3　系統(tǒng)內(nèi)軟件憑據(jù)獲取455
5.3.1　收集瀏覽器密碼455
5.3.2　使用開源程序獲取瀏覽器憑據(jù)457
5.3.3　獲取常見的運(yùn)維管理軟件密碼458
5.4　獲取Windows哈希的技巧461
5.4.1　利用藍(lán)屏轉(zhuǎn)儲機(jī)制獲取哈希461
5.4.2　利用mstsc獲取RDP憑據(jù)464
5.4.3　通過Hook獲取憑據(jù)466
5.4.4　使用Physmem2profit遠(yuǎn)程
　　　轉(zhuǎn)儲Lsass進(jìn)程469
5.5　Linux憑據(jù)獲取470
5.5.1　Shadow文件詳解470
5.5.2　利用Strace記錄密碼472
5.6　憑據(jù)防御473
5.7　本章小結(jié)473
第6章　橫向滲透474
6.1　常見的系統(tǒng)傳遞攻擊474
6.1.1　哈希傳遞474
6.1.2　票據(jù)傳遞477
6.1.3　密鑰傳遞482
6.1.4　證書傳遞484
6.2　利用Windows計劃任務(wù)進(jìn)行
　　 橫向滲透485
6.2.1　at命令485
6.2.2　schtasks命令487
6.3　利用遠(yuǎn)程服務(wù)進(jìn)行橫向滲透489
6.3.1　利用SC創(chuàng)建遠(yuǎn)程服務(wù)后進(jìn)行
　　　　　　 橫向滲透489
6.3.2　利用SCShell進(jìn)行橫向滲透491
6.4　利用PsExec進(jìn)行橫向滲透492
6.4.1　利用PsExec獲取交互式會話493
6.4.2　建立IPC$連接，獲取交互式
　　　　　　 會話494
6.5　利用WinRM進(jìn)行橫向滲透494
6.5.1　利用WinRS建立交互式會話495
6.5.2　利用Invoke-Command遠(yuǎn)程
　　　　　　 執(zhí)行命令496
6.5.3　利用Enter-PSSession建立
　　　　　　 交互式會話497
6.6　利用WMI進(jìn)行橫向滲透499
6.6.1　利用WMIC進(jìn)行信息收集500
6.6.2　利用wmiexec.py獲取
　　　　　　 交互式會話503
6.6.3　利用wmiexec.vbs遠(yuǎn)程
　　　　　　 執(zhí)行命令503
6.6.4　利用WMIHACKER實(shí)現(xiàn)
　　　　　　 命令回顯504
6.7　利用DCOM進(jìn)行橫向滲透504
6.7.1　利用MMC20.Application
　　　　　　遠(yuǎn)程控制MMC506
6.7.2　利用ShellWindows遠(yuǎn)程
　　　　　　 執(zhí)行命令508
6.7.3　利用Dcomexec.py獲得
　　　　　　 半交互shell509
6.7.4　其他DCOM組件510
6.8　利用RDP進(jìn)行橫向滲透510
6.8.1　針對RDP的哈希傳遞510
6.8.2　RDP會話劫持512
6.8.3　使用SharpRDP進(jìn)行橫向滲透514
6.9　利用MSSQL數(shù)據(jù)庫進(jìn)行橫向滲透516
6.9.1　利用sp_oacreate執(zhí)行命令516
6.9.2　利用CLR執(zhí)行命令518
6.9.3　利用WarSQLKit擴(kuò)展命令523
6.10　利用組策略進(jìn)行橫向滲透524
6.10.1　本地組策略與域組策略的區(qū)別524
6.10.2　使用組策略推送MSI525
6.10.3　使用域組策略創(chuàng)建計劃任務(wù)529
6.10.4　利用登錄腳本進(jìn)行橫向滲透534
6.11　利用WSUS進(jìn)行橫向滲透537
6.11.1　WSUS利用原理537
6.11.2　WSUS橫向滲透538
6.11.3　WSUS檢測及防護(hù)542
6.12　利用SCCM進(jìn)行橫向滲透543
6.13　本章小結(jié)556
第7章　持久化557
7.1　Windows單機(jī)持久化557
7.1.1　Windows RID劫持557
7.1.2　利用計劃任務(wù)進(jìn)行權(quán)限維持562
7.1.3　利用Windows注冊表進(jìn)行
　　　　　　 權(quán)限維持563
7.1.4　利用映像劫持進(jìn)行權(quán)限維持566
7.1.5　利用CLR劫持進(jìn)行權(quán)限維持569
7.1.6　利用Telemetry服務(wù)進(jìn)行
　　　　　　 權(quán)限維持571
7.1.7　利用WMI進(jìn)行權(quán)限維持573
7.1.8　遠(yuǎn)程桌面服務(wù)影子攻擊579
7.2　Windows域權(quán)限維持583
7.2.1　黃金票據(jù)583
7.2.2　白銀票據(jù)589
7.2.3　黃金票據(jù)與白銀票據(jù)的區(qū)別597
7.2.4　利用DSRM進(jìn)行域權(quán)限維持597
7.2.5　利用DCShadow進(jìn)行域
　　　　　　 權(quán)限維持600
7.2.6　利用SID History進(jìn)行域
　　　　　　 權(quán)限維持606
7.2.7　利用AdminSDHolder進(jìn)行域
　　　　　　 權(quán)限維持609
7.2.8　注入Skeleton Key進(jìn)行域
　　　　　　權(quán)限維持613
7.3　Linux單機(jī)持久化614
7.3.1　利用Linux SUID進(jìn)行權(quán)限維持614
7.3.2　利用Linux計劃任務(wù)進(jìn)行
　　　　　　 權(quán)限維持615
7.3.3　利用Linux PAM創(chuàng)建后門616
7.3.4　利用SSH公鑰免密登錄622
7.3.5　利用Vim創(chuàng)建后門623
7.3.6　Linux端口復(fù)用625
7.3.7　利用Rootkit進(jìn)行權(quán)限維持627
7.4　持久化防御632
7.5　本章小結(jié)632