本书共10章，*1～6章是内网渗透的基础知识，第7～9章是内网渗透的重要内容，包括Kerberos专题、NTLM Relay专题和Microsoft Exchange专题，*10章免杀技术也是内网渗透中不可或缺的内容。 本书内容精于内网渗透，技术内容深，覆盖人群广，不论是刚入门的内网安全爱好者，还是经验丰富的红队老人，都能从中获得相应帮助。

Nu1L战队是国内*尖CTF联合战队，成立于2015年，队名源于英文单词“NULL”，《从0到1：CTFer成长之路》作者团队，目前成员80余人，

队员分布于清华大学、上海科技大学、中科院信工所、复旦大学、北京大学、成都信息工程大学、南京邮电大学、西北大学、乔治亚理工学院等国内外

各大高校，也分布于阿里、腾讯、华为、永信到诚、京东、安恒、长亭、启明星辰、蚂蚁金服等国内安全大厂。

Nu1L战队的成员都对信息安全以及CTF比赛有着浓厚的兴趣，如拿获2019年护网杯*军、2020年全国工业互联网安全技术技能大赛*军，于2021年闯入

DEFCON CTF决赛并获得全球第七名，除了收获国内外各类CTF比赛优异成绩之外，Nu1L还是N1CTF以及空指针挑战赛发起者，同时也是成都“*峰极客”

决赛“广诚市”三年场景设计者。成员也有参加Pwn2own、Geekpwn、天府杯的安全研究员，同时也有HITCON、KCON、Blackhat、天府杯等国内外

安全会议演讲者。

目  录

*1章  内网渗透测试基础知识1

1.1  内网工作环境1

1.1.1  工作组1

1.1.2  域1

1.1.3  域控制器4

1.2  活动目录4

1.2.1  Ntds.dit文件5

1.2.2  目录服务与LDAP5

1.2.3  活动目录的访问6

1.2.4  活动目录分区7

1.2.5  活动目录的查询9

1.3  域用户与机器用户介绍13

1.3.1  域用户13

1.3.2  机器用户13

1.4  域用户组的分类和权限15

1.4.1  组的用途15

1.4.2  安全组的权限15

1.5  组织单位18

1.6  域内访问权限控制20

1.6.1  Windows访问控制模型21

1.6.2  访问控制列表21

1.7  组策略25

1.7.1  组策略对象25

1.7.2  组策略的创建30

1.8  内网域环境搭建32

1.8.1  单域环境搭建32

1.8.2  父子域环境搭建39

小结46

*2章  内网信息收集47

2.1  本机基础信息收集47

2.2  域内基础信息收集56

2.3  内网资源探测61

2.3.1  发现内网存活主机61

2.3.2  内网端口扫描64

2.3.3  利用MetaSploit探测内网67

2.3.4  获取端口Banner信息68

2.4  用户凭据收集69

2.4.1  获取域内单机密码和哈希值69

2.4.2  获取常见应用软件凭据73

2.5  使用BloodHound自动化分析域环境81

2.5.1  采集并导出数据81

2.5.2  导入数据81

2.5.3  节点信息82

2.5.4  边缘信息84

2.5.5  数据分析85

小结92

第3章  端口转发与内网代理95

3.1  端口转发和代理95

3.1.1  正向连接和反向连接95

3.1.2  端口转发96

3.1.3  SOCKS代理96

3.2  常见转发与代理工具96

3.2.1  LCX97

3.2.2  FRP100

小结106

第4章  权限提升107

4.1  系统内核漏洞提权107

4.1.1  查找系统潜在漏洞107

4.1.2  确定并利用漏洞109

4.2  系统服务提权110

4.2.1  不安全的服务权限110

4.2.2  服务注册表权限脆弱112

4.2.3  服务路径权限可控113

4.2.4  未引用的服务路径114

4.2.5  PowerUp115

4.3  MSI安装策略提权116

4.3.1  确定系统是否存在漏洞116

4.3.2  创建恶意MSI并安装117

4.4  访问令牌操纵118

4.4.1  访问令牌118

4.4.2  常规令牌窃取操作119

4.4.3  Potato家族提权122

4.5  Bypass UAC126

4.5.1  UAC白名单127

4.5.2  DLL劫持130

4.5.3  模拟可信任目录131

4.5.4  相关辅助工具134

4.6  用户凭据操作135

4.6.1  枚举Unattended凭据135

4.6.2  获取组策略凭据136

4.6.3  HiveNightmare138

4.6.4  Zerologon域内提权140

4.7  Print Spooler提权漏洞142

4.7.1  PrintDemon142

4.7.2  PrintNightmare145

4.8  Nopac域内提权148

4.9  Certifried域内提权148

4.9.1  活动目录证书服务148

4.9.2  活动目录证书注册流程149

4.9.3  漏洞分析149

小结154

第5章  内网横向移动155

5.1  横向移动中的文件传输156

5.1.1  通过网络共享156

5.1.2  搭建SMB服务器157

5.1.3  通过Windows自带工具158

5.2  创建计划任务159

5.2.1  常规利用流程159

5.2.2  UNC路径加载执行161

5.3  系统服务利用162

5.3.1  创建远程服务162

5.3.2  SCShell163

5.3.3  UAC Remote Restrictions164

5.4  远程桌面利用165

5.4.1  远程桌面的确定和开启165

5.4.2  RDP Hijacking166

5.4.3  SharpRDP167

5.5  PsExec远程控制167

5.6  WMI的利用168

5.6.1  常规利用方法168

5.6.2  常见利用工具171

5.6.3  WMI事件订阅的利用173

5.7  DCOM的利用176

5.7.1  COM和DCOM176

5.7.2  通过DCOM横向移动176

5.8  WinRM的利用180

5.8.1  通过WinRM执行远程命令181

5.8.2  通过WinRM获取交互式会话182

5.9  哈希传递攻击184

5.9.1  哈希传递攻击的利用184

5.9.2  利用哈希传递登录远程桌面185

5.10  EhernalBlue187

小结188

第6章  内网权限持久化189

6.1  常见系统后门技术189

6.1.1  创建影子账户189

6.1.2  系统服务后门192

6.1.3  计划任务后门196

6.1.4  启动项/注册表键后门198

6.1.5  Port Monitors200

6.2  事件触发执行201

6.2.1  利用WMI事件订阅201

6.2.2  利用系统辅助功能203

6.2.3  IFEO注入205

6.2.4  利用屏幕保护程序207

6.2.5  DLL劫持208

6.3  常见域后门技术214

6.3.1  创建Skeleton Key域后门215

6.3.2  创建DSRM域后门216

6.3.3  SID History的利用218

6.3.4  利用AdminSDHolder打造域后门221

6.3.5  HOOK PasswordChangeNotify224

6.4  DCSync攻击技术226

6.4.1  利用DCSync导出域内哈希226

6.4.2  利用DCSync维持域内权限228

6.4.3  DCShadow228

小结229

第7章  Kerberos攻击专题231

7.1  Kerberos认证基础231

7.1.1  Kerberos基础认证流程231

7.1.2  Kerberos攻击分类232

7.2  AS_REQ&AS_REP阶段攻击233

7.3  TGS_REQ&TGS_REP阶段攻击235

7.3.1  Kerberosast攻击235

7.3.2  白银票据攻击235

7.3.3  委派攻击236

7.4  PAC攻击247

小结254

第8章  NTLM中继专题255

8.1  NTLM协议255

8.2  NTLM认证机制255

8.2.1  NTLM在工作组环境的认证255

8.2.2  NTLM在域环境的认证256

8.2.3  Net-NTLM Hash257

8.3  发起并截获NTLM请求259

8.3.1  NTLM攻击常用方法259

8.3.2  常见Web漏洞利用268

8.3.3  LLMNR/NBNS欺骗利用272

8.4  中继到SMB利用274

8.4.1  SMB签名利用274

8.4.2  域环境下的利用275

8.4.3  工作组的利用278

8.5  中继到Exchange利用280

8.6  中继到LDAP利用283

8.6.1  LDAP签名283

8.6.2  Write Dcsync ACL284

8.6.3  RBCD286

8.6.4  CVE-2019-1384288

8.7  中继到AD CS利用292

小结296

第9章  Exchange攻击专题297

9.1  初识Exchange297

9.1.1  Exchange服务器角色297

9.1.2  Exchange服务发现和信息收集297

9.2  Exchange的凭证获取301

9.2.1  常规暴力破解302

9.2.2  Password Spary302

9.2.3  域中NTLM-Relay攻击Outlook客户端进行权限提升303

9.3  获取用户凭据后的信息收集和渗透305

9.3.1  通过Autodiscover进行信息收集306

9.3.2  获取Exchange通讯录307

9.3.3  读取邮件内容311

9.3.4  Activesync接口查看共享311

9.3.5  攻击Outlook客户端312

9.4  获取Exchange服务器权限后的渗透312

9.4.1  Exchange服务器的信息收集312

9.4.2  邮箱接管后门种植315

9.4.3  IIS模块后门317

9.4.4  利用WriteACL权限进行DCSYNC317

小结320

*10章  免杀技术初探321

10.1  反病毒软件原理321

10.2  免杀实战323

10.2.1  免杀Cobalt Strike323

10.2.2  利用白名单程序绕过检查329

小结336