内网渗透体系建设 pdf下载

本书共10章，*1～6章是内网渗透的基础知识，第7～9章是内网渗透的重要内容，包括Kerberos专题、NTLM Relay专题和Microsoft Exchange专题，*10章免杀技术也是内网渗透中不可或缺的内容。 本书内容精于内网渗透，技术内容深，覆盖人群广，不论是刚入门的内网安全爱好者，还是经验丰富的红队老人，都能从中获得相应帮助。

Nu1L战队是国内*尖CTF联合战队，成立于2015年，队名源于英文单词“NULL”，《从0到1：CTFer成长之路》作者团队，目前成员80余人，

队员分布于清华大学、上海科技大学、中科院信工所、复旦大学、北京大学、成都信息工程大学、南京邮电大学、西北大学、乔治亚理工学院等国内外

各大高校，也分布于阿里、腾讯、华为、永信至诚、京东、安恒、长亭、启明星辰、蚂蚁金服等国内安全大厂。

Nu1L战队的成员都对信息安全以及CTF比赛有着浓厚的兴趣，如拿获2019年护网杯*军、2020年全国工业互联网安全技术技能大赛*军，于2021年闯入

DEFCON CTF决赛并获得全球第七名，除了收获国内外各类CTF比赛优异成绩之外，Nu1L还是N1CTF以及空指针挑战赛发起者，同时也是成都“*峰极客”

决赛“广诚市”三年场景设计者。成员也有参加Pwn2own、Geekpwn、天府杯的安全研究员，同时也有HITCON、KCON、Blackhat、天府杯等国内外

安全会议演讲者。

目  录

*1章  内网渗透测试基础知识 1

1.1  内网工作环境 1

1.1.1  工作组 1

1.1.2  域 1

1.1.3  域控制器 4

1.2  活动目录 4

1.2.1  Ntds.dit文件 5

1.2.2  目录服务与LDAP 5

1.2.3  活动目录的访问 6

1.2.4  活动目录分区 7

1.2.5  活动目录的查询 9

1.3  域用户与机器用户介绍 13

1.3.1  域用户 13

1.3.2  机器用户 13

1.4  域用户组的分类和权限 15

1.4.1  组的用途 15

1.4.2  安全组的权限 15

1.5  组织单位 18

1.6  域内访问权限控制 20

1.6.1  Windows访问控制模型 21

1.6.2  访问控制列表 21

1.7  组策略 25

1.7.1  组策略对象 25

1.7.2  组策略的创建 30

1.8  内网域环境搭建 32

1.8.1  单域环境搭建 32

1.8.2  父子域环境搭建 39

小结 46

*2章  内网信息收集 47

2.1  本机基础信息收集 47

2.2  域内基础信息收集 56

2.3  内网资源探测 61

2.3.1  发现内网存活主机 61

2.3.2  内网端口扫描 64

2.3.3  利用MetaSploit探测内网 67

2.3.4  获取端口Banner信息 68

2.4  用户凭据收集 69

2.4.1  获取域内单机密码和哈希值 69

2.4.2  获取常见应用软件凭据 73

2.5  使用BloodHound自动化分析域环境 81

2.5.1  采集并导出数据 81

2.5.2  导入数据 81

2.5.3  节点信息 82

2.5.4  边缘信息 84

2.5.5  数据分析 85

小结 92

第3章  端口转发与内网代理 95

3.1  端口转发和代理 95

3.1.1  正向连接和反向连接 95

3.1.2  端口转发 96

3.1.3  SOCKS代理 96

3.2  常见转发与代理工具 96

3.2.1  LCX 97

3.2.2  FRP 100

小结 106

第4章  权限提升 107

4.1  系统内核漏洞提权 107

4.1.1  查找系统潜在漏洞 107

4.1.2  确定并利用漏洞 109

4.2  系统服务提权 110

4.2.1  不安全的服务权限 110

4.2.2  服务注册表权限脆弱 112

4.2.3  服务路径权限可控 113

4.2.4  未引用的服务路径 114

4.2.5  PowerUp 115

4.3  MSI安装策略提权 116

4.3.1  确定系统是否存在漏洞 116

4.3.2  创建恶意MSI并安装 117

4.4  访问令牌操纵 118

4.4.1  访问令牌 118

4.4.2  常规令牌窃取操作 119

4.4.3  Potato家族提权 122

4.5  Bypass UAC 126

4.5.1  UAC白名单 127

4.5.2  DLL劫持 130

4.5.3  模拟可信任目录 131

4.5.4  相关辅助工具 134

4.6  用户凭据操作 135

4.6.1  枚举Unattended凭据 135

4.6.2  获取组策略凭据 136

4.6.3  HiveNightmare 138

4.6.4  Zerologon域内提权 140

4.7  Print Spooler提权漏洞 142

4.7.1  PrintDemon 142

4.7.2  PrintNightmare 145

4.8  Nopac域内提权 148

4.9  Certifried域内提权 148

4.9.1  活动目录证书服务 148

4.9.2  活动目录证书注册流程 149

4.9.3  漏洞分析 149

小结 154

第5章  内网横向移动 155

5.1  横向移动中的文件传输 156

5.1.1  通过网络共享 156

5.1.2  搭建SMB服务器 157

5.1.3  通过Windows自带工具 158

5.2  创建计划任务 159

5.2.1  常规利用流程 159

5.2.2  UNC路径加载执行 161

5.3  系统服务利用 162

5.3.1  创建远程服务 162

5.3.2  SCShell 163

5.3.3  UAC Remote Restrictions 164

5.4  远程桌面利用 165

5.4.1  远程桌面的确定和开启 165

5.4.2  RDP Hijacking 166

5.4.3  SharpRDP 167

5.5  PsExec远程控制 167

5.6  WMI的利用 168

5.6.1  常规利用方法 168

5.6.2  常见利用工具 171

5.6.3  WMI事件订阅的利用 173

5.7  DCOM的利用 176

5.7.1  COM和DCOM 176

5.7.2  通过DCOM横向移动 176

5.8  WinRM的利用 180

5.8.1  通过WinRM执行远程命令 181

5.8.2  通过WinRM获取交互式会话 182

5.9  哈希传递攻击 184

5.9.1  哈希传递攻击的利用 184

5.9.2  利用哈希传递登录远程桌面 185

5.10  EhernalBlue 187

小结 188

第6章  内网权限持久化 189

6.1  常见系统后门技术 189

6.1.1  创建影子账户 189

6.1.2  系统服务后门 192

6.1.3  计划任务后门 196

6.1.4  启动项/注册表键后门 198

6.1.5  Port Monitors 200

6.2  事件触发执行 201

6.2.1  利用WMI事件订阅 201

6.2.2  利用系统辅助功能 203

6.2.3  IFEO注入 205

6.2.4  利用屏幕保护程序 207

6.2.5  DLL劫持 208

6.3  常见域后门技术 214

6.3.1  创建Skeleton Key域后门 215

6.3.2  创建DSRM域后门 216

6.3.3  SID History的利用 218

6.3.4  利用AdminSDHolder打造域后门 221

6.3.5  HOOK PasswordChangeNotify 224

6.4  DCSync攻击技术 226

6.4.1  利用DCSync导出域内哈希 226

6.4.2  利用DCSync维持域内权限 228

6.4.3  DCShadow 228

小结 229

第7章  Kerberos攻击专题 231

7.1  Kerberos认证基础 231

7.1.1  Kerberos基础认证流程 231

7.1.2  Kerberos攻击分类 232

7.2  AS_REQ&AS_REP阶段攻击 233

7.3  TGS_REQ&TGS_REP阶段攻击 235

7.3.1  Kerberosast攻击 235

7.3.2  白银票据攻击 235

7.3.3  委派攻击 236

7.4  PAC攻击 247

小结 254

第8章  NTLM中继专题 255

8.1  NTLM协议 255

8.2  NTLM认证机制 255

8.2.1  NTLM在工作组环境的认证 255

8.2.2  NTLM在域环境的认证 256

8.2.3  Net-NTLM Hash 257

8.3  发起并截获NTLM请求 259

8.3.1  NTLM攻击常用方法 259

8.3.2  常见Web漏洞利用 268

8.3.3  LLMNR/NBNS欺骗利用 272

8.4  中继到SMB利用 274

8.4.1  SMB签名利用 274

8.4.2  域环境下的利用 275

8.4.3  工作组的利用 278

8.5  中继到Exchange利用 280

8.6  中继到LDAP利用 283

8.6.1  LDAP签名 283

8.6.2  Write Dcsync ACL 284

8.6.3  RBCD 286

8.6.4  CVE-2019-1384 288

8.7  中继到AD CS利用 292

小结 296

第9章  Exchange攻击专题 297

9.1  初识Exchange 297

9.1.1  Exchange服务器角色 297

9.1.2  Exchange服务发现和信息收集 297

9.2  Exchange的凭证获取 301

9.2.1  常规暴力破解 302

9.2.2  Password Spary 302

9.2.3  域中NTLM-Relay攻击Outlook客户端进行权限提升 303

9.3  获取用户凭据后的信息收集和渗透 305

9.3.1  通过Autodiscover进行信息收集 306

9.3.2  获取Exchange通讯录 307

9.3.3  读取邮件内容 311

9.3.4  Activesync接口查看共享 311

9.3.5  攻击Outlook客户端 312

9.4  获取Exchange服务器权限后的渗透 312

9.4.1  Exchange服务器的信息收集 312

9.4.2  邮箱接管后门种植 315

9.4.3  IIS模块后门 317

9.4.4  利用WriteACL权限进行DCSYNC 317

小结 320

*10章  免杀技术初探 321

10.1  反病毒软件原理 321

10.2  免杀实战 323

10.2.1  免杀Cobalt Strike 323

10.2.2  利用白名单程序绕过检查 329

小结 336