內網滲透體系建設

第1章 內網滲透測試基礎知識 1
1.1 內網工作環境 1
1.1.1 工作組 1
1.1.2 域 1
1.1.3 網域控制站 4
1.2 活動目錄 4
1.2.1 Ntds.dit文件 5
1.2.2 目錄服務與LDAP 5
1.2.3 活動目錄的訪問 6
1.2.4 活動目錄磁碟分割 7
1.2.5 活動目錄的查詢 9
1.3 域用戶與機器用戶介紹 13
1.3.1 域用戶 13
1.3.2 機器用戶 13
1.4 域用戶組的分類和許可權 15
1.4.1 組的用途 15
1.4.2 安全性群組的許可權 15
1.5 組織單位 18
1.6 域內存取權限控制 20
1.6.1 Windows存取控制模型 21
1.6.2 存取控制清單 21
1.7 群組原則 25
1.7.1 群組原則物件 25
1.7.2 群組原則的創建 30
1.8 內網域環境搭建 32
1.8.1 單域環境搭建 32
1.8.2 父子域環境搭建 39
小結 46

第2章 內網資訊收集 47
2.1 本機基礎資訊收集 47
2.2 域內基礎資訊收集 56
2.3 內網資源探測 61
2.3.1 發現內網存活主機 61
2.3.2 內網埠掃描 64
2.3.3 利用MetaSploit探測內網 67
2.3.4 獲取埠Banner資訊 68
2.4 用戶憑據收集 69
2.4.1 獲取域內單機密碼和雜湊值 69
2.4.2 獲取常見應用軟體憑據 73
2.5 使用BloodHound自動化分析域環境 81
2.5.1 採集並匯出資料 81
2.5.2 導入數據 81
2.5.3 節點信息 82
2.5.4 邊緣資訊 84
2.5.5 資料分析 85
小結 92

第3章 埠轉發與內網代理 95
3.1 埠轉發和代理 95
3.1.1 正向連接和反向連接 95
3.1.2 埠轉發 96
3.1.3 SOCKS代理 96
3.2 常見轉發與代理工具 96
3.2.1 LCX 97
3.2.2 FRP 100
小結 106

第4章 許可權提升 107
4.1 系統內核漏洞提權 107
4.1.1 查找系統潛在漏洞 107
4.1.2 確定並利用漏洞 109
4.2 系統服務提權 110
4.2.1 不安全的服務許可權 110
4.2.2 服務註冊表許可權脆弱 112
4.2.3 服務路徑許可權可控 113
4.2.4 未引用的服務路徑 114
4.2.5 PowerUp 115
4.3 MSI安裝策略提權 116
4.3.1 確定系統是否存在漏洞 116
4.3.2 創建惡意MSI並安裝 117
4.4 訪問權杖操縱 118
4.4.1 訪問權杖 118
4.4.2 常規權杖竊取操作 119
4.4.3 Potato家族提權 122
4.5 Bypass UAC 126
4.5.1 UAC白名單 127
4.5.2 DLL劫持 130
4.5.3 類比可信任目錄 131
4.5.4 相關輔助工具 134
4.6 用戶憑據操作 135
4.6.1 枚舉Unattended憑據 135
4.6.2 獲取群組原則憑據 136
4.6.3 HiveNightmare 138
4.6.4 Zerologon域內提權 140
4.7 Print Spooler提權漏洞 142
4.7.1 PrintDemon 142
4.7.2 PrintNightmare 145
4.8 Nopac域內提權 148
4.9 Certifried域內提權 148
4.9.1 活動目錄證書服務 148
4.9.2 活動目錄證書註冊流程 149
4.9.3 漏洞分析 149
小結 154

第5章 內網橫向移動 155
5.1 橫向移動中的檔案傳輸 156
5.1.1 通過網路共用 156
5.1.2 搭建SMB伺服器 157
5.1.3 通過Windows自帶工具 158
5.2 創建計畫任務 159
5.2.1 常規利用流程 159
5.2.2 UNC路徑載入執行 161
5.3 系統服務利用 162
5.3.1 創建遠端服務 162
5.3.2 SCShell 163
5.3.3 UAC Remote Restrictions 164
5.4 遠端桌面利用 165
5.4.1 遠程桌面的確定和開啟 165
5.4.2 RDP Hijacking 166
5.4.3 SharpRDP 167
5.5 PsExec遠程控制 167
5.6 WMI的利用 168
5.6.1 常規利用方法 168
5.6.2 常見利用工具 171
5.6.3 WMI事件訂閱的利用 173
5.7 DCOM的利用 176
5.7.1 COM和DCOM 176
5.7.2 通過DCOM橫向移動 176
5.8 WinRM的利用 180
5.8.1 通過WinRM執行遠端命令 181
5.8.2 通過WinRM獲取互動式會話 182
5.9 雜湊傳遞攻擊 184
5.9.1 雜湊傳遞攻擊的利用 184
5.9.2 利用雜湊傳遞登錄遠端桌面 185
5.10 EhernalBlue 187
小結 188

第6章 內網許可權持久化 189
6.1 常見系統後門技術 189
6.1.1 創建影子帳戶 189
6.1.2 系統服務後門 192
6.1.3 計畫任務後門 196
6.1.4 啟動項/註冊表鍵後門 198
6.1.5 Port Monitors 200
6.2 事件觸發執行 201
6.2.1 利用WMI事件訂閱 201
6.2.2 利用系統協助工具 203
6.2.3 IFEO注入 205
6.2.4 利用螢幕保護裝置程式 207
6.2.5 DLL劫持 208
6.3 常見域後門技術 214
6.3.1 創建Skeleton Key域後門 215
6.3.2 創建DSRM域後門 216
6.3.3 SID History的利用 218
6.3.4 利用AdminSDHolder打造域後門 221
6.3.5 HOOK PasswordChangeNotify 224
6.4 DCSync攻擊技術 226
6.4.1 利用DCSync匯出域內雜湊 226
6.4.2 利用DCSync維持域內許可權 228
6.4.3 DCShadow 228
小結 229

第7章 Kerberos攻擊專題 231
7.1 Kerberos認證基礎 231
7.1.1 Kerberos基礎認證流程 231
7.1.2 Kerberos攻擊分類 232
7.2 AS_REQ＆AS_REP階段攻擊 233
7.3 TGS_REQ＆TGS_REP階段攻擊 235
7.3.1 Kerberosast攻擊 235
7.3.2 白銀票據攻擊 235
7.3.3 委派攻擊 236
7.4 PAC攻擊 247
小結 254

第8章 NTLM中繼專題 255
8.1 NTLM協議 255
8.2 NTLM認證機制 255
8.2.1 NTLM在工作組環境的認證 255
8.2.2 NTLM在域環境的認證 256
8.2.3 Net-NTLM Hash 257
8.3 發起並截獲NTLM請求 259
8.3.1 NTLM攻擊常用方法 259
8.3.2 常見Web漏洞利用 268
8.3.3 LLMNR/NBNS欺騙利用 272
8.4 中繼到SMB利用 274
8.4.1 SMB簽名利用 274
8.4.2 域環境下的利用 275
8.4.3 工作組的利用 278
8.5 中繼至Exchange利用 280
8.6 中繼至LDAP利用 283
8.6.1 LDAP簽名 283
8.6.2 Write Dcsync ACL 284
8.6.3 RBCD 286
8.6.4 CVE-2019-1384 288
8.7 中繼至AD CS利用 292
小結 296

第9章 Exchange攻擊專題 297
9.1 初識Exchange 297
9.1.1 Exchange伺服器角色 297
9.1.2 Exchange服務發現和資訊收集 297
9.2 Exchange的憑證獲取 301
9.2.1 常規暴力破解 302
9.2.2 Password Spary 302
9.2.3 域中NTLM-Relay攻擊Outlook用戶端進行許可權提升 303
9.3 獲取使用者憑據後的資訊收集和滲透 305
9.3.1 通過Autodiscover進行資訊收集 306
9.3.2 獲取Exchange通訊錄 307
9.3.3 讀取郵件內容 311
9.3.4 Activesync介面查看共用 311
9.3.5 攻擊Outlook用戶端 312
9.4 獲取Exchange伺服器許可權後的滲透 312
9.4.1 Exchange伺服器的資訊收集 312
9.4.2 郵箱接管後門種植 315
9.4.3 IIS模組後門 317
9.4.4 利用WriteACL許可權進行DCSYNC 317
小結 320

第10章 免殺技術初探 321
10.1 反病毒軟體原理 321
10.2 免殺實戰 323
10.2.1 免殺Cobalt Strike 323
10.2.2 利用白名單程式繞過檢查 329

小結 336

Nu1L戰隊
 
成立於2015年，隊名源於電腦中語言中經常出現的"NULL”，CTF聯合戰隊，現有成員60余人。自成立以來，在外多項賽事中榮獲佳績，如護網杯2019決賽、網鼎杯2018決賽亞軍、第五屆XCTF聯賽總決賽等。