ATT & CK 視角下的紅藍對抗實戰指南

本書從Windows安全特性及相關原理講起，根據ATT&CK模型深度講解了紅藍對抗中的每個步驟。
本書說明如何收集外網信息，如何在內網與互聯網之間建立隧道並穿透內網，如何利用人性的弱點進行釣魚打點以突破網絡隔離，
如何在主機系統的層層加強下進行主機權限提升，如何在內網中利用業務系統取得更多憑證並擴大戰果，
如何在內網進行下一步的橫向滲透，如何在Windows主機及Linux主機中進行權限維持以確保紅藍對抗順利進行。
因為現在國內第一線公司開始使用AD域對現有內部網路環境進行管控，所以本書也著重講解了Windows域的攻防技巧。

目錄　Contents　
讚譽
序一
序二
序三
前言
第1章　Windows安全基礎1
1.1　Windows認證基礎知識1
1.1.1　Windows憑證1
1.1.2　Windows存取控制模型2
1.1.3　令牌安全防禦10
1.2　UAC13
1.2.1　UAC原理概述13
1.2.2　UAC級別定義13
1.2.3　UAC觸發條件15
1.2.4　UAC用戶登入流程16
1.2.5　UAC虛擬化18
1.3　Windows安全認證機制18
1.3.1　什麼是認證18
1.3.2　NTLM本地認證19
1.3.3　NTLM網路認證22
1.3.4　Kerberos域認證25
1.4　Windows常用協定28
1.4.1　LLMNR28
1.4.2　NetBIOS31
1.4.3　Windows WPAD34
1.5　Windows WMI詳解36
1.5.1　WMI簡介36
1.5.2　WQL36
1.5.3　WMI Client40
1.5.4　WMI遠端互動41
1.5.5　WMI事件42
1.5.6　WMI攻擊45
1.5.7　WMI攻擊偵測46
1.6　域46
1.6.1　域的基礎概念46
1.6.2　組策略49
1.6.3　LDAP56
1.6.4　SPN59
1.7　本章小結65
第2章　資訊收集66
2.1　主機發現66
2.1.1　利用協定主動偵測主機存活66
2.1.2　被動主機存活偵測71
2.1.3　內網多網卡主機發現76
2.2　Windows主機資訊收集檢查清單78
2.3　Linux主機資訊收集檢查清單81
2.4　組策略資訊收集81
2.4.1　本地群組策略收集81
2.4.2　域組策略收集81
2.4.3　組策略儲存收集83
2.4.4　組策略對象收集86
2.5　域資訊收集90
2.5.1　網域控制站收集90
2.5.2　域DNS資訊枚舉92
2.5.3　SPN掃描96
2.5.4　域用戶名取得98
2.5.5　域用戶定位102
2.6　net session與net use利用110
2.6.1　net session利用110
2.6.2　net use利用112
2.7　Sysmon檢測117
2.8　域路徑收集分析119
2.8.1　域分析之BloodHound119
2.8.2　域分析之ShotHound137
2.8.3　域分析之CornerShot142
2.9　Exchange資訊收集146
2.9.1　Exchange常見介面146
2.9.2　Exchange常見資訊收集146
2.9.3　Exchange攻擊面擴展收集（暴力破解）154
2.9.4　 Exchange郵件清單匯出156
2.10 　本章小結162
第3章　隧道穿透163
3.1　隧道穿透技術詳解163
3.1.1　正向連結163
3.1.2　反向連接163
3.1.3　埠轉送164
3.1.4　埠復用165
3.1.5　內網穿透165
3.1.6　代理和隧道的區別165
3.1.7　常見隧道轉送場景165
3.1.8　常見隧道穿透分類166
3.2　內網探測協定出網166
3.2.1　TCP/UDP探測出網166
3.2.2　HTTP/HTTPS探測出網169
3.2.3　ICMP探測出網171
3.2.4　DNS偵測出網171
3.3　隧道利用方法172
3.3.1　常規反彈172
3.3.2　加密反彈175
3.3.3　埠轉送177
3.3.4　SOCKS隧道代理180
3.4　利用多協定方式進行隧道穿透182
3.4.1　利用ICMP進行隧道穿透182
3.4.2　利用DNS協定進行隧道穿透187
3.4.3　利用RDP進行隧道穿透192
3.4.4　利用IPv6進行隧道穿透195
3.4.5　利用GRE協定進行隧道穿透 197
3.4.6　利用HTTP進行隧道穿透200
3.4.7　利用SSH協定進行隧道穿透210
3.5　常見的隧道穿透利用方式215
3.5.1　透過EW進行隧道穿透215
3.5.2　透過Venom進行隧道穿透224
3.5.3　透過Termite進行隧道穿透231
3.5.4　透過frp進行隧道穿透236
3.5.5　透過NPS進行隧道穿透244
3.5.6　透過ngrok進行內網穿透250
3.6　文件傳輸技術252
3.6.1　Windows檔案傳輸技巧詳解252
3.6.2　Linux檔案傳輸技巧詳解261
3.7　檢測與防護266
3.7.1　ICMP隧道流量偵測與防護266
3.7.2　DNS隧道流量偵測與防護267
3.7.3　HTTP隧道流量偵測與防護267
3.7.4　RDP隧道流量偵測與防護267
3.8　本章小結268
第4章　權限提升269
4.1　Windows使用者權限簡介269
4.2　Windows單機權限提升270
4.2.1　利用Windows核心漏洞進行提權270
4.2.2　利用Windows錯配進行提領權273
4.2.3　DLL劫持285
4.2.4　訪問令牌提權294
4.2.5　取得TrustedInstaller權限298
4.3　利用第三人服務提權300
4.3.1　利用MySQL UDF進行提權300
4.3.2　利用SQL Server進行提權304
4.3.3　利用Redis進行提權309
4.4　利用符號連結進行提權313
4.4.1　符號連結313
4.4.2　符號連結提權的原理314
4.4.3　CVE-2020-0668316
4.5　NTLM中繼318
4.5.1　透過LLMNR/NBNS欺騙取得NTLM哈希320
4.5.2　透過desktop.ini取得哈希323
4.5.3　自動產生有效載荷325
4.5.4　中繼到SMB326
4.6　Service提權至SYSTEM（馬鈴薯攻擊）328
4.6.1　熱馬鈴薯328
4.6.2　爛土豆331
4.6.3　多汁馬鈴薯333
4.6.4　甜土豆334
4.7　Linux權限提升334
4.7.1　Linux權限基礎334
4.7.2　Linux本機資訊收集337
4.7.3　利用Linux漏洞進行提權340
4.7.4　Linux錯配提權342
4.8　Windows Print Spooler漏洞詳解及防禦346
4.8.1　Windows Print Spooler簡介346
4.8.2　CVE-2020-1048347
4.8.3　CVE-2020-1337350
4.9　繞過權限限制351
4.9.1　繞過 UAC351
4.9.2　繞過AppLocker361
4.9.3　繞過AMSI374
4.9.4　繞過Sysmon383
4.9.5　繞過ETW387
4.9.6　繞過PowerShell Ruler391
4.10　本章小結405
第5章　憑證取得406
5.1　Windows單機憑證取得406
5.1.1　憑證所獲得的基礎知識406
5.1.2　透過SAM檔案取得Windows憑證407
5.1.3　透過Lsass進程取得Windows憑證413
5.1.4　繞過Lsass進程保護419
5.1.5　釣魚取得Windows憑證430
5.2　域憑證取得 434
5.2.1　利用NTDS.DIT取得Windows域哈希434
5.2.2　注入Lsass進程取得域用戶哈希440
5.2.3　DCSync利用原理441
5.2.4　利用LAPS取得Windows域憑證449
5.2.5　利用備份群組匯出域憑證450
5.3　系統內軟體憑證取得455
5.3.1　收集瀏覽器密碼455
5.3.2　使用開源程式取得瀏覽器憑證457
5.3.3　取得常見的維運管理軟體密碼458
5.4　取得Windows哈希的技巧461
5.4.1　利用藍色畫面轉儲機制取得哈希461
5.4.2　利用mstsc取得RDP憑證464
5.4.3　透過Hook取得憑證466
5.4.4　使用Physmem2profit遠端轉儲Lsass進程469
5.5　Linux憑證取得470
5.5.1　Shadow文件詳解470
5.5.2　利用Strace記錄密碼472
5.6　憑證防禦473
5.7　本章小結473
第6章　橫向滲透474
6.1　常見的系統傳遞攻擊474
6.1.1　哈希傳遞474
6.1.2　票據傳遞477
6.1.3　密鑰傳遞482
6.1.4　證書傳遞484
6.2　利用Windows排程任務進行橫向滲透485
6.2.1　at命令485
6.2.2　schtasks命令487
6.3　利用遠端服務進行橫向滲透489
6.3.1　利用SC創建遠端服務後進行橫向滲透489
6.3.2　利用SCShell進行橫向滲透491
6.4　利用PsExec進行橫向滲透492
6.4.1　利用PsExec獲取互動式會話493
6.4.2　建立IPC$連接，取得互動式會話494
6.5　利用WinRM進行橫向滲透494
6.5.1　利用WinRS建立互動式會話495
6.5.2　利用Invoke-Command遠端執行指令496
6.5.3　利用Enter-PSSession建立互動式會話497
6.6　利用WMI進行橫向滲透499
6.6.1　利用WMIC進行資訊收集500
6.6.2　利用wmiexec.py取得互動式會話503
6.6.3　利用wmiexec.vbs遠端 執行指令503
6.6.4　利用WMIHACKER實作指令回顯504
6.7　利用DCOM進行橫向滲透504
6.7.1　利用MMC20.Application遠端控制MMC506
6.7.2　利用ShellWindows遠端 執行指令508
6.7.3　利用Dcomexec.py取得半互動shell509
6.7.4　其他DCOM組件510
6.8　利用RDP進行橫向滲透510
6.8.1　針對RDP的哈希傳遞510
6.8.2　RDP會話劫持512
6.8.3　使用SharpRDP進行橫向滲透514
6.9　利用MSSQL資料庫進行橫向滲透516
6.9.1　利用sp_oacreate執行指令516
6.9.2　利用CLR執行指令518
6.9.3　利用WarSQLKit擴充指令523
6.10　利用群組策略進行橫向滲透524
6.10.1　本地群組原則與網域群組策略的差異524
6.10.2　使用群組原則推送MSI525
6.10.3　使用網域群組原則建立排程任務529
6.10.4　利用登入腳本進行橫向滲透534
6.11　利用WSUS進行橫向滲透537
6.11.1　WSUS利用原理537
6.11.2　WSUS橫向滲透538
6.11.3　WSUS檢測及防護542
6.12　利用SCCM進行橫向滲透543
6.13　本章小結556
第7章　持久化557
7.1　Windows單機持久化557
7.1.1　Windows RID劫持557
7.1.2　利用計畫任務進行權限維持562
7.1.3　利用Windows登錄機碼進行權限維持563
7.1.4　利用映像劫持進行權限維持566
7.1.5　利用CLR劫持進行權限維持569
7.1.6　利用Telemetry服務進行權限維持571
7.1.7　利用WMI進行權限維持573
7.1.8　遠端桌面服務影子攻擊579
7.2　Windows域權限維持583
7.2.1　黃金票據583
7.2.2　白銀票據589
7.2.3　黃金票據與白銀票據的差異597
7.2.4　利用DSRM進行域權限維持597
7.2.5　利用DCShadow進行域權限維持600
7.2.6　利用SID History進行域權限維持606
7.2.7　利用AdminSDHolder進行域權限維持609
7.2.8　注入Skeleton Key進行域權限維持613
7.3　Linux單機持久化614
7.3.1　利用Linux SUID進行權限維持614
7.3.2　利用Linux計畫任務進行權限維持615
7.3.3　利用Linux PAM建立後門616
7.3.4　利用SSH公鑰免密登入622
7.3.5　利用Vim創建後門623
7.3.6　Linux埠復用625
7.3.7　利用Rootkit進行權限維持627
7.4　持久化防禦632
7.5　本章小結632