駭客就在你旁邊：內網安全攻防滲透你死我活(第二版)DM2314

☛ 比起外網的防範，來自內網的攻擊又狠又毒

☛ 用Kali Linux攻擊內網中的PC、Windows主機、Linux主機，甚至是手機！

☛ 在資料寸土寸金的大數據年代，你怎能不防！

本書由淺入深從內網安全的認知理解、攻防對抗、追蹤溯源、防禦檢測等方面建立系統性的認知。

從內網滲透測試基礎開始，一直到內網資訊收集，主要介紹域分析工具BloodHound的使用，接下來的重點就是隱藏通信隧道技術。還有許可權提升分析及防禦，利用Windows作業系統錯誤配置提權、並提出相應的安全防範措施。

基礎打好之後，就是域內橫向移動分析及防禦，利用PsExec、WMI、smbexec進行橫向移動。再進階一點，就是網域控制站安全，介紹使用Kerberos域用戶提權和匯出ntds.dit中散列值的方法。

接下來是本書精華，跨域攻擊分析及防禦，多個域的跨域攻擊，許可權維持分析及防禦，有常見的針對作業系統後門、Web後門及域後門。

最後介紹好用工具Cobalt Strike，以及其模組功能和常用命令，並給出應用實例，同時簡單介紹Aggeressor腳本的編寫。

全書共9章，內容如下

■ 第 1 章 內網滲透測試基礎

系統地說明內網工作群組、網域、主動目錄、網域內許可權解讀等，並介紹內網域環境和滲透測試環境（Windows/Linux）的架設方法和常用的滲透測試工具。

■ 第2 章 內網資訊收集

介紹目前主機資訊收集、網域記憶體活主機探測、網域內通訊埠掃描、網域內使用者和管理員許可權的取得、如何取得網域內網段劃分資訊和拓撲架構分析等，並介紹網域分析工具BloodHound 的使用。

■ 第3 章 隱藏通訊隧道技術

介紹IPv6 隧道、ICMP 隧道、HTTPS 隧道、SSH 隧道、DNS 隧道等加密隧道的使用方法，並對常見的SOCKS 代理工具及內網上傳/ 下載方法進行解說。

■ 第4 章 許可權提升分析及防禦

主要分析了系統核心溢位漏洞提權、利用Windows 作業系統錯誤設定提權、利用群組原則偏好提權、繞過UAC 提權、權杖竊取及無憑證條件下的許可權取得，並提出對應的安全防範措施。

■ 第5 章 網域內水平移動分析及防禦

系統地介紹網域內水平移動的主要方法，複現並剖析內網域方面最重要、最經典的漏洞，同時列出對應的防範方法。

■ 第6 章 網域控制站安全

在實際網路環境中，攻擊者滲透內網的終極目標是取得網域控制站的許可權，進一步控制整個網域。本章介紹使用Kerberos 網域使用者提權和匯出ntds.dit 中雜湊值的方法，並針對網域控制站攻擊提出有效的安全建議。

■ 第7 章 跨網域攻擊分析及防禦

本章對利用網域信任關係實現跨網域攻擊的典型方法進行了分析，並對如何部署安全的內網生產環境列出了建議。

■ 第8 章 許可權維持分析及防禦

分析常見的針對作業系統後門、Web 後門及網域後門（白銀票據、黃金票據等）的攻擊方法，並列出了對應的檢測和防範方法。

■ 第9 章 Cobalt Strike

詳細介紹Cobalt Strike 的模組功能和常用指令，並列出應用實例，同時簡單介紹Aggeressor 指令稿的撰寫。

本書各章相互獨立，讀者可以逐章閱讀，也可以隨選閱讀。無論是系統地研究內網安全防護，還是在滲透測試中碰到困難，都可以立即翻看本書來解決燃眉之急。

徐焱

北京交通大學安全研究員，MS08067安全實驗室創始人。有豐富的滲透測試經驗，主要研究方向為內網滲透測試和APT攻擊。

賈曉璐

曾任某知名安全公司安全研究員，現為自由業者。目前主要研究方向為內網滲透測試。擅長滲透測試，沉迷于紅藍對抗（主要為Red Team方向）。

前言

01 內網滲透測試基礎

1.1 內網基礎知識

1.2 主機平台及常用工具

1.3 建置內網環境

02 內網資訊收集

2.1 內網資訊收集概述

2.2 收集本機資訊

2.3 查詢當前許可權

2.4 判斷是否存在網域

2.5 探測網域內存活主機

2.6 掃描網域內通訊埠

2.7 收集網域內基礎資訊

2.8 尋找網域控制站

2.9 獲取網域內的使用者和管理員資訊

2.10 定位網域管理員

2.11 尋找網域管理處理程序

2.12 網域管理員模擬方法簡介

2.13 利用PowerShell 收集網域資訊

2.14 網域分析工具BloodHound

2.15 敏感性資料的防護

2.16 分析網域內網段劃分情況及拓撲結構

03 隱藏通訊隧道技術

3.1 隱藏通訊隧道基礎知識

3.2 網路層隧道技術

3.3 傳輸層隧道技術

3.4 應用層隧道技術

3.5 SOCKS 代理

3.6 壓縮資料

3.7 上傳和下載

04 許可權提升分析及防禦

4.1 系統核心溢位漏洞提權分析及防範

4.2 Windows 作業系統設定錯誤利用分析及防範

4.3 群組原則偏好設定提權分析及防範定提權的防禦措施

4.4 繞過UAC 提權分析及防範

4.5 權杖竊取分析及防範

4.6 無憑證條件下的許可權獲取分析及防範

05 網域內水平移動分析及防禦

5.1 常用Windows 遠端連接和相關命令

5.2 Windows 系統雜湊值獲取分析與防範

5.3 雜湊傳遞攻擊分析與防範

5.4 票據傳遞攻擊分析與防範

5.5 PsExec 的使用

5.6 WMI 的使用

5.7 永恆之藍漏洞分析與防範

5.8 smbexec 的使用

5.9 DCOM 在遠端系統中的使用

5.10 SPN 在網域環境中的應用

5.11 Exchange 郵件伺服器安全防範

06 網域控制站安全

6.1 使用磁碟區陰影複製服務提取ntds.dit

6.2 匯出ntds.dit 中的雜湊值

6.3 利用dcsync 獲取網域雜湊值

6.4 使用Metasploit 獲取網域雜湊值

6.5 使用vshadow.exe 和QuarksPwDump.exe 匯出網域帳號和網域雜湊值

6.6 Kerberos 網域使用者提權漏洞分析與防範

07 跨網域攻擊分析及防禦

7.1 跨網域攻擊方法分析

7.2 利用網域信任關係的跨網域攻擊分析

7.3 防範跨網域攻擊

08 許可權維持分析及防禦

8.1 作業系統後門分析與防範

8.2 Web 後門分析與防範

8.3 網域控制站許可權持久化分析與防範

8.4 Nishang 下的指令稿後門分析與防範

09 Cobalt Strike

9.1 安裝Cobalt Strike

9.2 啟動Cobalt Strike

9.3 Cobalt Strike 模組詳解

9.4 Cobalt Strike 功能詳解

9.5 Cobalt Strike 的常用命令

9.6 Aggressor 指令稿的編寫

A 本書連結

內網承載了大量的核心資產和機密資料，例如企業的拓撲架構、運行維護管理的帳號和密碼、高層人員的電子郵件、企業的核心資料等。很多企業的外網一旦被攻擊者突破，內網就成為任人宰割的「羔羊」，所以，內網安全防護始終是企業網路安全防護的痛點。近年來，APT 攻擊亦成為最火爆的網路安全話題之一。因此，只有熟悉內網滲透測試的方法和步驟，才能有的放矢地做好防禦工作，大幅地保障內網的安全。

🔶 寫作背景

目前市面上幾乎沒有關於內網滲透測試與安全防禦的書籍，這正是我們撰寫本書的初衷。希望本書能為網路安全企業貢獻一份微薄之力。

🔶 本書結構

本書將理論說明和實驗操作相結合，內容深入淺出、疊代遞進，拋棄了學術性和純理論性的內容，按照內網滲透測試的步驟和流程，說明了內網滲透測試中的相關技術和防禦方法，幾乎涵蓋了內網安全方面的所有內容。同時，本書透過大量的圖文解說，一步一個台階，幫助初學者快速掌握內網滲透測試的實際方法和流程，從內網安全的認知了解、攻防對抗、追蹤溯源、防禦檢測等方面建立系統性的認知。

本書各章相互獨立，讀者可以逐章閱讀，也可以隨選閱讀。無論是系統地研究內網安全防護，還是在滲透測試中碰到了困難，讀者都可以立即翻看本書來解決燃眉之急。

第1 章 內網滲透測試基礎

在進行內網滲透測試之前，需要掌握內網的相關基礎知識。

本章系統地說明了內網工作群組、網域、主動目錄、網域內許可權解讀等，並介紹了內網域環境和滲透測試環境（Windows/Linux）的架設方法和常用的滲透測試工具。

第2 章 內網資訊收集

內網滲透測試的核心是資訊收集。所謂「知己知彼，百戰百勝」，對測試目標的了解越多，測試工作就越容易展開。

本章主要介紹了目前主機資訊收集、網域記憶體活主機探測、網域內通訊埠掃描、網域內使用者和管理員許可權的取得、如何取得網域內網段劃分資訊和拓撲架構分析等，並介紹了網域分析工具BloodHound 的使用。

第3 章 隱藏通訊隧道技術

網路隱藏通訊隧道是與目標主機進行資訊傳輸的主要工具。在大量TCP、UDP 通訊被防禦系統攔截的情況下，DNS、ICMP 等難以禁用的協定已經被攻擊者利用，成為攻擊者控制隧道的主要通道。

本章詳細介紹了IPv6 隧道、ICMP 隧道、HTTPS 隧道、SSH 隧道、DNS 隧道等加密隧道的使用方法，並對常見的SOCKS 代理工具及內網上傳/ 下載方法進行了解說。

第4 章 許可權提升分析及防禦

本章主要分析了系統核心溢位漏洞提權、利用Windows 作業系統錯誤設定提權、利用群組原則偏好提權、繞過UAC 提權、權杖竊取及無憑證條件下的許可權取得，並提出了對應的安全防範措施。

第5 章 網域內水平移動分析及防禦

在內網中，從一台主機移動到另外一台主機，可以採取的方式通常有檔案共享、計畫任務、遠端連接工具、用戶端等。

本章系統地介紹了網域內水平移動的主要方法，複現並剖析了內網域方面最重要、最經典的漏洞，同時列出了對應的防範方法。本章內容包含：常用遠端連接方式的解讀；從密碼學角度了解NTLM 協定；PTT 和PTH 的原理；如何利用PsExec、WMI、smbexec 進行水平移動；Kerberos 協定的認證過程；Windows 認證強化方案；Exchange 郵件伺服器滲透測試。

第6 章 網域控制站安全

在實際網路環境中，攻擊者滲透內網的終極目標是取得網域控制站的許可權，進一步控制整個網域。

本章介紹了使用Kerberos 網域使用者提權和匯出ntds.dit 中雜湊值的方法，並針對網域控制站攻擊提出了有效的安全建議。

第7 章 跨網域攻擊分析及防禦

如果內網中存在多個網域，就會面臨跨網域攻擊。

本章對利用網域信任關係實現跨網域攻擊的典型方法進行了分析，並對如何部署安全的內網生產環境列出了建議。

第8 章 許可權維持分析及防禦

本章分析了常見的針對作業系統後門、Web 後門及網域後門（白銀票據、黃金票據等）的攻擊方法，並列出了對應的檢測和防範方法。

第9 章 Cobalt Strike

本章詳細介紹了Cobalt Strike 的模組功能和常用指令，並列出了應用實例，同時簡單介紹了Aggeressor 指令稿的撰寫。

🔶 特別宣告

本書僅限於討論網路安全技術，請勿作非法用途。嚴禁利用書中提到技術從事非法行為，否則後果自負，本人和出版社不承擔任何責任！

🔶 繁體中文版出版說明

本書原作者為中國大陸人士，為維持原書全貌，本書許多操作畫面均維持原書簡體中文，請讀者參閱前後文閱讀。

🔶 致謝

感謝電子工業出版社策劃編輯潘昕為出版本書所做的大量工作。感謝王康對本書搭配網站的維護。感謝張雷、余弦、諸葛建偉、侯亮、孔韜循、陳亮、Moriarty、任曉琿在百忙之中為本書寫作的序和評語。

MS08067 安全實驗室是一個低調潛心研究技術的團隊，衷心感謝團隊的所有成員：椰樹、一坨奔跑的蝸牛、是大方子、王東亞、曲雲傑、Black、Phorse、jaivy、laucyun、rkvir、Alex、王康、cong9184 等。還要特別感謝安全圈中的好友，包含但不限於：令狐甲琦、李文軒、陳小兵、王坤、楊凡、莫名、key、陳建航、倪傳杰、四爺、鮑弘捷、張勝生、周培源、張雅麗、不許聯想、Demon、7089bAt、清晨、暗夜還差很遠、狗蛋、冰山上的來客、roach、3gstudent、SuperDong、klion、L3m0n、蔡子豪、毛猴等。感謝你們對本書給予的支援和建議。

感謝我的父母、妻子和我最愛的女兒多多，我的生命因你們而有意義！

感謝身邊的每一位親人、朋友和同事，謝謝你們一直以來對我的關心、照顧和支援。

最後，感謝曾在我生命中經過的人，那些美好都是我生命中不可或缺的，謝謝你們！念念不忘，必有迴響！

徐焱

感謝我的親人、師父和摯友對我的鼓勵和支持。感謝所有幫助過我的人。是你們讓我知道，我的人生具有不一樣的精彩。

前路漫漫，未來可期！

賈曉璐