本书通过实验带领读者进入内网渗透测试的神秘世界,是网络管理员、网络安全研究人员的必备参考书。
本书由浅入深、全面、系统地介绍了内网攻击手段和防御方法,并力求语言通俗易懂、举例简单明了、便于读者阅读领会。同时结合具体案例进行讲解,可以让读者身临其境,快速了解和掌握主流的内网漏洞利用技术与内网渗透测试技巧。
阅读本书不要求读者具备渗透测试的相关背景;如有相关经验,理解起来会更容易。本书亦可作为大专院校信息安全学科的教材。
第1章 内网渗透测试基础
1.1 内网基础知识 1
1.1.1 工作组 1
1.1.2 域 2
1.1.3 活动目录 5
1.1.4 域控制器和活动目录的区别 6
1.1.5 安全域的划分 6
1.1.6 域中计算机的分类 7
1.1.7 域内权限解读 8
1.2 主机平台及常用工具 12
1.2.1 虚拟机的安装 12
1.2.2 Kali Linux渗透测试平台及常用工具 13
1.2.3 Windows渗透测试平台及常用工具 15
1.2.4 Windows PowerShell基础 16
1.2.5 PowerShell的基本概念 17
1.2.6 PowerShell的常用命令 18
1.3 构建内网环境 23
1.3.1 搭建域环境 23
1.3.2 搭建其他服务器环境 31
第2章 内网信息收集
2.1 内网信息收集概述 33
2.2 收集本机信息 33
2.2.1 手动收集信息 33
2.2.2 自动收集信息 44
2.2.3 Empire下的主机信息收集 45
2.3 查询当前权限 46
2.4 判断是否存在域 47
2.5 探测域内存活主机 50
2.5.1 利用NetBIOS快速探测内网 50
2.5.2 利用ICMP协议快速探测内网 51
2.5.3 通过ARP扫描探测内网 52
2.5.4 通过常规TCP/UDP端口扫描探测内网 53
2.6 扫描域内端口 54
2.6.1 利用telnet命令进行扫描 54
2.6.2 S扫描器 55
2.6.3 Metasploit端口扫描 55
2.6.4 PowerSploit的Invoke-portscan.ps1脚本 56
2.6.5 Nishang的Invoke-PortScan模块 56
2.6.6 端口Banner信息 57
2.7 收集域内基础信息 59
2.8 查找域控制器 61
2.9 获取域内的用户和管理员信息 63
2.9.1 查询所有域用户列表 63
2.9.2 查询域管理员用户组 65
2.10 定位域管理员 65
2.10.1 域管理员定位概述 65
2.10.2 常用域管理员定位工具 66
2.11 查找域管理进程 70
2.11.1 本机检查 70
2.11.2 查询域控制器的域用户会话 71
2.11.3 查询远程系统中运行的任务 73
2.11.4 扫描远程系统的NetBIOS信息 73
2.12 域管理员模拟方法简介 74
2.13 利用PowerShell收集域信息 74
2.14 域分析工具BloodHound 76
2.14.1 配置环境 76
2.14.2 采集数据 80
2.14.3 导入数据 81
2.14.4 查询信息 82
2.15 敏感数据的防护 87
2.15.1 资料、数据、文件的定位流程 87
2.15.2 重点核心业务机器及敏感信息防护 87
2.15.3 应用与文件形式信息的防护 88
2.16 分析域内网段划分情况及拓扑结构 88
2.16.1 基本架构 89
2.16.2 域内网段划分 89
2.16.3 多层域结构 90
2.16.4 绘制内网拓扑图 90
第3章 隐藏通信隧道技术
3.1 隐藏通信隧道基础知识 91
3.1.1 隐藏通信隧道概述 91
3.1.2 判断内网的连通性 91
3.2 网络层隧道技术 94
3.2.1 IPv6隧道 94
3.2.2 ICMP隧道 96
3.3 传输层隧道技术 103
3.3.1 lcx端口转发 104
3.3.2 netcat 104
3.3.3 PowerCat 115
3.4 应用层隧道技术 123
3.4.1 SSH协议 123
3.4.2 HTTP/HTTPS协议 129
3.4.3 DNS协议 131
3.5 SOCKS代理 146
3.5.1 常用SOCKS代理工具 146
3.5.2 SOCKS代理技术在网络环境中的应用 148
3.6 压缩数据 159
3.6.1 RAR 160
3.6.2 7-Zip 162
3.7 上传和下载 164
3.7.1 利用FTP协议上传 164
3.7.2 利用VBS上传 164
3.7.3 利用Debug上传 165
3.7.4 利用Nishang上传 167
3.7.5 利用bitsadmin下载 167
3.7.6 利用PowerShell下载 168
第4章 权限提升分析及防御
4.1 系统内核溢出漏洞提权分析及防范 169
4.1.1 通过手动执行命令发现缺失补丁 170
4.1.2 利用Metasploit发现缺失补丁 174
4.1.3 Windows Exploit Suggester 174
4.1.4 PowerShell中的Sherlock脚本 176
4.2 Windows操作系统配置错误利用分析及防范 178
4.2.1 系统服务权限配置错误 178
4.2.2 注册表键AlwaysInstallElevated 181
4.2.3 可信任服务路径漏洞 184
4.2.4 自动安装配置文件 186
4.2.5 计划任务 188
4.2.6 Empire内置模块 189
4.3 组策略首选项提权分析及防范 190
4.3.1 组策略首选项提权简介 190
4.3.2 组策略首选项提权分析 191
4.3.3 针对组策略首选项提权的防御措施 195
4.4 绕过UAC提权分析及防范 195
4.4.1 UAC简介 195
4.4.2 bypassuac模块 196
4.4.3 RunAs模块 197
4.4.4 Nishang中的Invoke-PsUACme模块 199
4.4.5 Empire中的bypassuac模块 200
4.4.6 针对绕过UAC提权的防御措施 201
4.5 令牌窃取分析及防范 201
4.5.1 令牌窃取 202
4.5.2 Rotten Potato本地提权分析 203
4.5.3 添加域管理员 204
4.5.4 Empire下的令牌窃取分析 205
4.5.5 针对令牌窃取提权的防御措施 207
4.6 无凭证条件下的权限获取分析及防范 207
4.6.1 LLMNR和NetBIOS欺骗攻击的基本概念 207
4.6.2 LLMNR和NetBIOS欺骗攻击分析 208
第5章 域内横向移动分析及防御
5.1 常用Windows远程连接和相关命令 211
5.1.1 IPC 211
5.1.2 使用Windows自带的工具获取远程主机信息 213
5.1.3 计划任务 213
5.2 Windows系统散列值获取分析与防范 216
5.2.1 LM Hash和NTLM Hash 216
5.2.2 单机密码抓取与防范 217
5.2.3 使用Hashcat获取密码 224
5.2.4 如何防范攻击者抓取明文密码和散列值 228
5.3 哈希传递攻击分析与防范 231
5.3.1 哈希传递攻击的概念 231
5.3.2 哈希传递攻击分析 232
5.3.3 更新KB2871997补丁产生的影响 234
5.4 票据传递攻击分析与防范 235
5.4.1 使用mimikatz进行票据传递 235
5.4.2 使用kekeo进行票据传递 236
5.4.3 如何防范票据传递攻击 238
5.5 PsExec的使用 238
5.5.1 PsTools工具包中的PsExec 238
5.5.2 Metasploit中的psexec模块 240
5.6 WMI的使用 242
5.6.1 基本命令 243
5.6.2 impacket工具包中的wmiexec 244
5.6.3 wmiexec.vbs 244
5.6.4 Invoke-WmiCommand 245
5.6.5 Invoke-WMIMethod 246
5.7 永恒之蓝漏洞分析与防范 247
5.8 smbexec的使用 250
5.8.1 C++ 版smbexec 250
5.8.2 impacket工具包中的smbexec.py 251
5.8.3 Linux跨Windows远程执行命令 252
5.9 DCOM在远程系统中的使用 258
5.9.1 通过本地DCOM执行命令 259
5.9.2 使用DCOM在远程机器上执行命令 260
5.10 SPN在域环境中的应用 262
5.10.1 SPN扫描 262
5.10.2 Kerberoast攻击分析与防范 266
5.11 Exchange邮件服务器安全防范 270
5.11.1 Exchange邮件服务器介绍 270
5.11.2 Exchange服务发现 272
5.11.3 Exchange的基本操作 274
5.11.4 导出指定的电子邮件 276
第6章 域控制器安全
6.1 使用卷影拷贝服务提取ntds.dit 282
6.1.1 通过ntdsutil.exe提取ntds.dit 282
6.1.2 利用vssadmin提取ntds.dit 284
6.1.3 利用vssown.vbs脚本提取ntds.dit 285
6.1.4 使用ntdsutil的IFM创建卷影拷贝 287
6.1.5 使用diskshadow导出ntds.dit 288
6.1.6 监控卷影拷贝服务的使用情况 291
6.2 导出NTDS.DIT中的散列值 292
6.2.1 使用esedbexport恢复ntds.dit 292
6.2.2 使用impacket工具包导出散列值 295
6.2.3 在Windows下解析ntds.dit并导出域账号和域散列值 296
6.3 利用dcsync获取域散列值 296
6.3.1 使用mimikatz转储域散列值 296
6.3.2 使用dcsync获取域账号和域散列值 298
6.4 使用Metasploit获取域散列值 298
6.5 使用vshadow.exe和quarkspwdump.exe导出域账号和域散列值 301
6.6 Kerberos域用户提权漏洞分析与防范 302
6.6.1 测试环境 303
6.6.2 PyKEK工具包 303
6.6.3 goldenPac.py 307
6.6.4 在Metasploit中进行测试 308
6.6.5 防范建议 310
第7章 跨域攻击分析及防御
7.1 跨域攻击方法分析 311
7.2 利用域信任关系的跨域攻击分析 311
7.2.1 域信任关系简介 311
7.2.2 获取域信息 312
7.2.3 利用域信任密钥获取目标域的权限 315
7.2.4 利用krbtgt散列值获取目标域的权限 318
7.2.5 外部信任和林信任 321
7.2.6 利用无约束委派和MS-RPRN获取信任林权限 323
7.3 防范跨域攻击 327
第8章 权限维持分析及防御
8.1 操作系统后门分析与防范 328
8.1.1 粘滞键后门 328
8.1.2 注册表注入后门 330
8.1.3 计划任务后门 331
8.1.4 meterpreter后门 335
8.1.5 Cymothoa后门 335
8.1.6 WMI型后门 336
8.2 Web后门分析与防范 339
8.2.1 Nishang下的WebShell 339
8.2.2 weevely后门 340
8.2.3 webacoo后门 344
8.2.4 ASPX meterpreter后门 347
8.2.5 PHP meterpreter后门 347
8.3 域控制器权限持久化分析与防范 347
8.3.1 DSRM域后门 347
8.3.2 SSP维持域控权限 352
8.3.3 SID History域后门 354
8.3.4 Golden Ticket 356
8.3.5 Silver Ticket 362
8.3.6 Skeleton Key 367
8.3.7 Hook PasswordChangeNotify 370
8.4 Nishang下的脚本后门分析与防范 371
第9章 Cobalt Strike
9.1 安装Cobalt Strike 374
9.1.1 安装Java运行环境 374
9.1.2 部署TeamServer 376
9.2 启动Cobalt Strike 378
9.2.1 启动cobaltstrike.jar 378
9.2.2 利用Cobalt Strike获取第一个Beacon 379
9.3 Cobalt Strike模块详解 384
9.3.1 Cobalt Strike模块 384
9.3.2 View模块 384
9.3.3 Attacks模块 385
9.3.4 Reporting模块 386
9.4 Cobalt Strike功能详解 387
9.4.1 监听模块 387
9.4.2 监听器的创建与使用 389
9.4.3 Delivery模块 391
9.4.4 Manage模块 392
9.4.5 Payload模块 393
9.4.6 后渗透测试模块 395
9.5 Cobalt Strike的常用命令 403
9.5.1 Cobalt Strike的基本命令 403
9.5.2 Beacon的常用操作命令 404
9.6 Aggressor脚本的编写 415
9.6.1 Aggressor脚本简介 415
9.6.2 Aggressor-Script语言基础 415
9.6.3 加载Aggressor脚本 418
跋 419
温馨提示:请使用泸西县图书馆的读者帐号和密码进行登录
在网络安全知识体系的众多分支中,内网渗透测试的相关技术与技巧在国内的讨论并不算多。之前见过一些渗透测试书籍,思路也都比较传统。很高兴,这本书为我们带来了内网渗透测试方面的经验总结。对致力于这个领域的读者朋友来说,这本书值得细读。
余弦 Joinsec联合创始人,慢雾科技联合创始人
本书详细讲述了Windows内网的渗透测试技术、工具、经验与技巧,贴近实际渗透测试工作中经常遇到的内网环境,对读者深入理解和掌握内网渗透测试技能有很大的帮助,非常值得渗透测试工程师和技术爱好者学习。
诸葛建伟 清华大学网络研究院副研究员,蓝莲花战队联合创始人、领队
目标信息收集的广度,决定了渗透测试的复杂程度;目标信息收集的深度,决定了后渗透测试的权限把控程度。持续渗透测试的本质是线索关联,而线索关联为后续的攻击链寻找提供了方向;后渗透测试的本质是权限把控,而权限把控为后渗透测试提供了以时间换取空间的基础。本书以实战技巧为主,将内网渗透测试的方法和规律一一道来。要感谢所有像作者一样愿意分享的小伙伴。
侯亮 Micro8作者,前奇安信高级攻防部技术总监
在渗透测试领域,内网渗透测试是难点。纵观市面上的信息安全书籍,针对内网渗透测试的少之又少。毫不夸张地说,本书是内网渗透测试的指南,是信息安全从业人员和高校相关专业学生不可多得的实用大全。通过本书的风格不难看出,作者技术功底扎实,是典型的实战派、实力派!
陈亮 OWASP中国北京负责人
目前,渗透测试通常以Web安全测试为主,忽视了内网安全测试。内网安全测试是渗透测试体系里重要的一环,但业内很少有人能把内网安全测试的相关内容写成一本书。通过本书学习内网安全测试的相关知识,不仅可以为你在求职中增添砝码,还将让你终身受益。
孔韬循(K0r4dji) 破晓安全团队创始人,北京赛宁网安攻防实验室总监
由于内网的不确定性和复杂性,内网渗透测试的门槛显得很高。本书作为内网渗透测试的入门级书籍,值得所有初学者好好阅读。对于具有一定内网渗透测试经验的读者,本书更值得一读,因为内网渗透测试水平的高低就体现在经验丰富与否上,而每个内网渗透测试人员的经验都有值得学习和借鉴的地方。
Moriarty DmzLab创始人,BAT红队负责人
内网安全领域涉及的攻防技术一直都是渗透测试的核心技术,也是渗透测试高手们的“杀手锏”,鲜有示人。本书从信息收集与隐藏通信隧道技术讲起,将内网渗透测试过程庖丁解牛,娓娓道来,值得每一个渗透测试工程师研读。
任晓珲 《黑客免杀攻防》作者,十五派信息安全教育创始人