0x00 红队基础知识

一、构建一个大型内网域环境搭建

• 父域控制器
• 子域控制器
• 辅域控制器
• 域内主机
• 域内服务器

二、Windows NTLM（NT LAN Manager）认证原理Kerberos 域内认证原理

0x02 内网信息搜集篇

一、工作组和大型域内网如何进行信息搜集

• 如何搜集本机密码

• MySQL
• SQL Server
• ... ...
• Linux 如何搜索特定的密码文件
• 搜集指定用户的命令历史记录中的各种明文密码

• Windows 2012 高版本以上如何搜集密码

• Windows 2012 版本以下如何搜集密码

• 关于 Linux 下如何搜集各种密码信息

• 无线密码抓取

• 组册表里各种健值敏感信息

• 搜集数据库中保存的各类高价值账号密码

• 搜集保存在目标系统本地各种文档中的明文密码

• 针对各类常用 windows 办公软件的各类密码搜集

• 如何搜集VPN密码

• 如何搜集浏览器相关凭证

• Chrome 浏览器抓取凭证
• Firefox 浏览器抓取凭证
• 360 浏览器抓取凭证
• IE 浏览器抓取凭证

• 如何搜集各种数据库信息

• 通过 LDAP 定位核心机器
• 通过 LDAP 获取内网架构分布
• 通过 LDAP 获取内网组织架构
• 通过 LDAP 获取域内核心机器

• Mysql

• SQL Server

• Oracle

• PostgreSQL

• LDAP

• 根据当前跳板机器搜集网络环境（判断那种协议出网）

• 获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip

• 获取当前系统最近的用户登录记录

• 获取当前用户的所有命令历史记录（针对于 Linux）

• 远程截屏捕捉目标用户敏感操作

• 获取当前机器环境变量（Java、Python、Go ...）

• 获取当前本机 rdp / ssh 端口开启状态及其默认端口号

• 获取本机所有已安装软件的详细列表

• 获取本机各个浏览器中保存的、书签页、历史浏览记录

• 获取当前用户桌面、回收站里的所有文件列表

• 获取当前系统代理

• 获取当前系统的所有 ipc 连接、共享

• 获取当前系统host文件内容

• 利用系统自带截屏捕捉目标用户敏感操作

• ...

二、搜集目标内网邮箱

• 企业内网邮箱信息搜集

• 通过邮箱对内网进行整体分析

• Exchange内网邮箱信息搜集

• 通过邮箱对内网进行整体分析

• ... ...

三、搜集目标内网各种Web页面、Web框架、登陆入口

• Tomcat
• Struts2
• Weblogic
• Jboss
• Jekins
• Apache Solr
• ... ...

四、搜集各类客户端软件

• FTP

• XFtp
• WinSCP
• FileZilla
• Xshell
• MobaXterm

• 远程客户端管理

• 向日葵
• TeamViewer

• SSH

• WinSCP
• MobaXterm
• Xshell

五、对于内网存活机器信息搜集

• NetBIOS
• ICMP
• TCP
• UDP
• ARP

六、针对成百上千的内网如何快速信息搜集

• 如何快速对一个 C 段进行信息搜集
• 如何快速对一个 B 段进行信息搜集
• 如何快速对一个 A 段进行信息搜集

0x03 内网穿透、流量代理、端口转发篇

一、根据当前跳板机器判断出网情况

• TCP/UDP
• ICMP
• DNS
• HTTP
• HTTPS

二、正/反向代理连接工具

• Metasploit
• CobaltStrike
• proxychains
• SSocks
• frp
• ...

三、端口转发

• LCX
• Metasploit
• netsh
• iptables
• powershell

四、内网穿透工具

• FRP
• NPS
• spp
• venom

五、针对不出网主机如何上线到 C2（Metasploit、CobaltStrike）

• DNS
• HTTP
• ICMP
• SMB

六、针对常规不出网主机如何做内网穿透、流量代理

• DNS出网的话

• iodine

• HTTP/HTTPS出网的话

• reGeorg
• Neo-reGeorg

0x04 权限提升篇

一、Windows

• Windows 提权之内核溢出提权

• Windows 提权之土豆系列（Windows 9 种权限利用）

• Windows 提权之第三方服务提权

• Windows 提权之系统错误配置提权

• Windows 提权之 Bypass UAC

• 数据库提权

• Mysql UDF 提权
• Mysql MOF 提权
• SQL Server XP_cmdshell 提权
• SQL Server SP_oacreate 提权
• SQL Server 其他提权
• ... ... 等等

二、Linux

• Linux 提权之内核溢出提权
• Linux 提权之 SUID 提权
• Linux 提权之利用错误配置提权
• Linux 提权之计划任务提权
• Linux 提权之利用高权限服务提权
• ... ... 等等

0x04 各种 C2 使用以及深度分析篇

一、Metasploit

• Metasploit｜七大模块详解

• Metasploit｜针对 Auxiliary 辅助模块的常规使用

• Metasploit｜针对 Exploit 漏洞利用模块的常规使用

• Metasploit｜针对 Payload 模块生成各种（正/反）漏洞利用可执行文件

• Metasploit｜针对 Post 后渗透利用模块的常规使用

• Metasploit｜获取当前机器的明文密码及 Hash

• Metasploit｜获取提权的有效模块进行权限提升

• Metasploit｜窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用

• Metasploit｜根据当前跳板机器如何添加路由、进行端口转发、内网穿透

• Metasploit｜如何连接到 Postgresql 数据库进行管理渗透记录

• Meterpreter｜添加 Socks 代理

• Meterpreter｜设置 session 永久不掉线（防止权限丢失）

• Meterpreter｜设置上线之后自动进程迁移（防止权限丢失）

• Meterpreter｜开启目标远程桌面服务 3389 端口

• Meterpreter｜针对内网各种服务进行爆破

• 针对内网所有 Windows 存活机进行批量 SMB 爆破
• 针对内网所有 Mssql 存活机进行批量爆破
• 针对内网所有 Mysql 存活机进行批量爆破
• 针对内网所有 Linux 存活机 进行批量 Ssh 爆破
• 针对内网所有 Redis 存活进行批量爆破
• 针对内网所有存活 Postgresql 进行批量爆破
• 针对内网所有存活 Telnet 进行批量爆破
• 针对内网所有存活 Ftp 进行批量爆破
• 针对内网 Exchange 的 ews 接口爆破

• Meterpreter｜如何发现内网下各类高价值存活主机

• 探测内网 SMB，Windows 存活
• 探测内网 SSH，Linux 存活
• 探测内网 MySQL 存活
• 探测内网 MsSQL 存活
• 探测内网 RDP 存活（3389）
• 探测内网 Telnet 存活
• 探测内网 FTP 存活
• 探测内网 Web 组件快速批量识别
• 探测内网 MS17-010 漏洞
• 探测内网 CVE-2019-0708 漏洞

• Metasploit 与 Cobalt Strike 双双联动

• 如何单靠 Metasploit 来对内网进行渗透

二、CobaltStrike

• Cobalt Strike｜安装与简介
• Cobalt Strike｜创建监听以及生 Payload
• Cobalt Strike｜如何基于 HTTP / SMB 上线
• Cobalt Strike｜如何抓当前机器的密码 HASH
• Cobalt Strike｜内网端口扫描以及发现内网存活机器
• Cobalt Strike｜端口转发、Socks 代理
• Cobalt Strike｜进程窃取、屏幕截图、键盘记录、进程迁移
• Cobalt Strike｜第三方插件的使用（渗透攻击红队）
• Cobalt Strike｜如何造轮子写一个自己的插件
• Cobalt Strike｜内网批量上线
• Cobalt Strike｜针对于不同的网络环境上线不出网的机器
• Cobalt Strike｜中转上线内网不出网的机器
• Cobalt Strike 与 Metasploit 双双联动

三、Poshc2TSH... ...

0x05 内网横向移动篇

一、基于 Metasploit 下的横向移动基于 Cobalt Strike 下的横向移动利用 PsExec 来横向移动利用 SMBExec 来横向移动利用 WMIExec 来横向移动IPC 命令行攻击

• at 定时任务
• schtasks 定时任务
• wmic
• WinRm

二、哈希传递（Pass The Hash）横向移动

0x06 域内攻击篇

从域外对域内进行枚举搜集各类信息

从域外对域内进行密码喷洒攻击

令牌窃取在实际域渗透中的灵活运用

哈希传递（Pass The Hash）攻击

MS14-068 票据传递（Pass the Ticket）攻击

域渗透中活动目录 ntds.dit 文件的获取与实际应用

Windows 2008 GPP 组策略首选项漏洞利用

域渗透之非约束委派攻击利用

域渗透之约束委派攻击利用

域渗透之基于资源的约束委派攻击利用

NetLogon 域内提权漏洞（CVE-2020-1472）

利用 krbtgt 来打造 Golden Ticket（黄金票据） 对域内进行权限维持

通过服务账号 Hash 来打造 Silver Ticket（白银票据） 进行 PTK

内网渗透中的 Net-NTLM Relay Attack

利用 Skeleton Key 对域内权限进行权限维持

通过 Hook PasswordChangeNotify 拦截修改的帐户密码

通过 SSP 来获取目标登陆的凭据从而达到权限维持的手段

通过 GPO（组策略对象）批量控制域内主机

AS-REP Roasting Attack

多种域内漏洞组合拳利用

跨域攻击、如何从子域攻击到主域

无域用户下如何进行域渗透

如何从 A 域 渗透到 B 域

域内定向攻击，获取指定机器的权限

通过 Windows 域外远程获取目标域内数据

通过 Linux 域外远程获取目标域内数据

0x07 Exchange 攻击篇

对内网里 Exchange 邮件服务进行枚举邮箱用户和密码喷洒攻击

对内网里 Exchange 邮件服务进行 NTLM Relay

Exchange CVE-2020-0688 远程代码执行漏洞利用

Exchange 常规内外网打点搜集  [Exchange存活、目标 Exchange 接口、定位 Exchange 服务器]

基于 Metasploit 对 Exchange 的常规接口爆破

Exchange 导出指定邮件内网

...

0x08 杀软对抗篇

免杀制作思路

基于白名单绕过

Payload 免杀编写

Bypass add user

Cobalt Strike Profile 分析以及编写

通过域名+CDN 隐藏 C2（Metasploit、CobaltStrike）

Metasploit 通过 ACL 隐藏 Bind Shell

0x09 权限维持篇

工作组下如何进行内网渗透

域环境下如何进行内网渗透

Linux 集群环境渗透姿势