.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
0x00 红队基础知识
一、构建一个大型内网域环境搭建
- 父域控制器
- 子域控制器
- 辅域控制器
- 域内主机
- 域内服务器
二、Windows NTLM(NT LAN Manager)认证原理Kerberos 域内认证原理
0x02 内网信息搜集篇
一、工作组和大型域内网如何进行信息搜集
如何搜集本机密码
- MySQL
- SQL Server
- ... ...
- Linux 如何搜索特定的密码文件
- 搜集指定用户的命令历史记录中的各种明文密码
Windows 2012 高版本以上如何搜集密码
Windows 2012 版本以下如何搜集密码
关于 Linux 下如何搜集各种密码信息
无线密码抓取
组册表里各种健值敏感信息
搜集数据库中保存的各类高价值账号密码
搜集保存在目标系统本地各种文档中的明文密码
针对各类常用 windows 办公软件的各类密码搜集
如何搜集VPN密码
如何搜集浏览器相关凭证
- Chrome 浏览器抓取凭证
- Firefox 浏览器抓取凭证
- 360 浏览器抓取凭证
- IE 浏览器抓取凭证
如何搜集各种数据库信息
- 通过 LDAP 定位核心机器
- 通过 LDAP 获取内网架构分布
- 通过 LDAP 获取内网组织架构
- 通过 LDAP 获取域内核心机器
Mysql
SQL Server
Oracle
PostgreSQL
LDAP
根据当前跳板机器搜集网络环境(判断那种协议出网)
获取当前系统的详细IP配置,包括所在域, ip, 掩码, 网关, 主备 dns ip
获取当前系统最近的用户登录记录
获取当前用户的所有命令历史记录(针对于 Linux)
远程截屏捕捉目标用户敏感操作
获取当前机器环境变量(Java、Python、Go ...)
获取当前本机 rdp / ssh 端口开启状态及其默认端口号
获取本机所有已安装软件的详细列表
获取本机各个浏览器中保存的、书签页、历史浏览记录
获取当前用户桌面、回收站里的所有文件列表
获取当前系统代理
获取当前系统的所有 ipc 连接、共享
获取当前系统host文件内容
利用系统自带截屏捕捉目标用户敏感操作
...
二、搜集目标内网邮箱
企业内网邮箱信息搜集
- 通过邮箱对内网进行整体分析
Exchange内网邮箱信息搜集
- 通过邮箱对内网进行整体分析
... ...
三、搜集目标内网各种Web页面、Web框架、登陆入口
- Tomcat
- Struts2
- Weblogic
- Jboss
- Jekins
- Apache Solr
- ... ...
四、搜集各类客户端软件
FTP
- XFtp
- WinSCP
- FileZilla
- Xshell
- MobaXterm
远程客户端管理
- 向日葵
- TeamViewer
SSH
- WinSCP
- MobaXterm
- Xshell
五、对于内网存活机器信息搜集
- NetBIOS
- ICMP
- TCP
- UDP
- ARP
六、针对成百上千的内网如何快速信息搜集
- 如何快速对一个 C 段进行信息搜集
- 如何快速对一个 B 段进行信息搜集
- 如何快速对一个 A 段进行信息搜集
0x03 内网穿透、流量代理、端口转发篇
一、根据当前跳板机器判断出网情况
- TCP/UDP
- ICMP
- DNS
- HTTP
- HTTPS
二、正/反向代理连接工具
- Metasploit
- CobaltStrike
- proxychains
- SSocks
- frp
- ...
三、端口转发
- LCX
- Metasploit
- netsh
- iptables
- powershell
四、内网穿透工具
- FRP
- NPS
- spp
- venom
五、针对不出网主机如何上线到 C2(Metasploit、CobaltStrike)
- DNS
- HTTP
- ICMP
- SMB
六、针对常规不出网主机如何做内网穿透、流量代理
DNS出网的话
- iodine
HTTP/HTTPS出网的话
- reGeorg
- Neo-reGeorg
0x04 权限提升篇
一、Windows
Windows 提权之内核溢出提权
Windows 提权之土豆系列(Windows 9 种权限利用)
Windows 提权之第三方服务提权
Windows 提权之系统错误配置提权
Windows 提权之 Bypass UAC
数据库提权
- Mysql UDF 提权
- Mysql MOF 提权
- SQL Server XP_cmdshell 提权
- SQL Server SP_oacreate 提权
- SQL Server 其他提权
- ... ... 等等
二、Linux
- Linux 提权之内核溢出提权
- Linux 提权之 SUID 提权
- Linux 提权之利用错误配置提权
- Linux 提权之计划任务提权
- Linux 提权之利用高权限服务提权
- ... ... 等等
0x04 各种 C2 使用以及深度分析篇
一、Metasploit
Metasploit|七大模块详解
Metasploit|针对 Auxiliary 辅助模块的常规使用
Metasploit|针对 Exploit 漏洞利用模块的常规使用
Metasploit|针对 Payload 模块生成各种(正/反)漏洞利用可执行文件
Metasploit|针对 Post 后渗透利用模块的常规使用
Metasploit|获取当前机器的明文密码及 Hash
Metasploit|获取提权的有效模块进行权限提升
Metasploit|窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用
Metasploit|根据当前跳板机器如何添加路由、进行端口转发、内网穿透
Metasploit|如何连接到 Postgresql 数据库进行管理渗透记录
Meterpreter|添加 Socks 代理
Meterpreter|设置 session 永久不掉线(防止权限丢失)
Meterpreter|设置上线之后自动进程迁移(防止权限丢失)
Meterpreter|开启目标远程桌面服务 3389 端口
Meterpreter|针对内网各种服务进行爆破
- 针对内网所有 Windows 存活机进行批量 SMB 爆破
- 针对内网所有 Mssql 存活机进行批量爆破
- 针对内网所有 Mysql 存活机进行批量爆破
- 针对内网所有 Linux 存活机 进行批量 Ssh 爆破
- 针对内网所有 Redis 存活进行批量爆破
- 针对内网所有存活 Postgresql 进行批量爆破
- 针对内网所有存活 Telnet 进行批量爆破
- 针对内网所有存活 Ftp 进行批量爆破
- 针对内网 Exchange 的 ews 接口爆破
Meterpreter|如何发现内网下各类高价值存活主机
- 探测内网 SMB,Windows 存活
- 探测内网 SSH,Linux 存活
- 探测内网 MySQL 存活
- 探测内网 MsSQL 存活
- 探测内网 RDP 存活(3389)
- 探测内网 Telnet 存活
- 探测内网 FTP 存活
- 探测内网 Web 组件快速批量识别
- 探测内网 MS17-010 漏洞
- 探测内网 CVE-2019-0708 漏洞
Metasploit 与 Cobalt Strike 双双联动
如何单靠 Metasploit 来对内网进行渗透
二、CobaltStrike
- Cobalt Strike|安装与简介
- Cobalt Strike|创建监听以及生 Payload
- Cobalt Strike|如何基于 HTTP / SMB 上线
- Cobalt Strike|如何抓当前机器的密码 HASH
- Cobalt Strike|内网端口扫描以及发现内网存活机器
- Cobalt Strike|端口转发、Socks 代理
- Cobalt Strike|进程窃取、屏幕截图、键盘记录、进程迁移
- Cobalt Strike|第三方插件的使用(渗透攻击红队)
- Cobalt Strike|如何造轮子写一个自己的插件
- Cobalt Strike|内网批量上线
- Cobalt Strike|针对于不同的网络环境上线不出网的机器
- Cobalt Strike|中转上线内网不出网的机器
- Cobalt Strike 与 Metasploit 双双联动
三、Poshc2TSH... ...
0x05 内网横向移动篇
一、基于 Metasploit 下的横向移动基于 Cobalt Strike 下的横向移动利用 PsExec 来横向移动利用 SMBExec 来横向移动利用 WMIExec 来横向移动IPC 命令行攻击
- at 定时任务
- schtasks 定时任务
- wmic
- WinRm