Contents目　　錄
前　言
第1章　內網(wǎng)滲透測試基礎　1
1.1　工作組　1
1.2　域　2
1.3　活動目錄　3
1.4　域樹和域森林　4
1.5　常規(guī)安全域劃分　6
第2章　基于入侵生命周期的攻擊
　流程設計　8
2.1　網(wǎng)絡殺傷鏈、ATT&CK及NTCTF　8
2.2　入侵生命周期　11
第3章　環(huán)境準備與常用工具　13
3.1　基礎環(huán)境：VMware與
　Kali Linux　13
3.2　端口掃描及服務發(fā)現(xiàn)類工具　14
3.2.1　Nmap　14
3.2.2　Zenmap　15
3.3　流量捕獲工具：Burp Suite　16
3.4　爆破類工具　23
3.4.1　DirBuster　23
3.4.2　超級弱口令檢查工具　24
3.4.3　dirsearch　25
3.4.4　JWTPyCrack　26
3.4.5　tgsrepcrack　27
3.5　Web漏洞檢測及利用類工具　27
3.5.1　WeblogicScanner　27
3.5.2　Struts 2　28
3.5.3　TPscan　29
3.5.4　TongdaOA-exp　30
3.5.5　laravel-CVE-2021-3129-EXP　30
3.6　webshell管理類工具　31
3.6.1　冰蝎3　31
3.6.2　中國蟻劍　35
3.6.3　哥斯拉　37
3.6.4　Gomoon　40
3.7　數(shù)據(jù)庫管理工具　41
3.7.1　Navicat　41
3.7.2　Redis Desktop Manager　44
3.7.3　Multiple Database Utilization 
　Tools　45
3.7.4　SQLTools　49
3.8　字典類工具fuzzDicts　49
3.9　網(wǎng)絡代理類工具Proxif?ier　50
3.10　內網(wǎng)滲透綜合類工具　54
3.10.1　Cobalt Strike　54
3.10.2　Metasploit　65
3.10.3　Railgun　72
3.10.4　Mimikatz　76
第4章　Vulnstack1：利用域賬號
　實現(xiàn)權限擴散　81
4.1　環(huán)境簡介與環(huán)境搭建　82
4.2　探索發(fā)現(xiàn)階段　84
4.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務探測　84
4.2.2　識別80端口的Web應用
　框架及版本　84
4.3　入侵和感染階段　86
4.3.1　對Web服務進行目錄掃描　87
4.3.2　利用phpMyAdmin日志文件
　獲取Web服務器權限　89
4.4　攻擊和利用階段：Web服務器
　進程注入與提權　97
4.5　探索感知階段　100
4.5.1　收集內網(wǎng)域服務器信息　100
4.5.2　抓取哈希及轉儲明文密碼　101
4.6　傳播階段　101
4.6.1　使用PsExec建立IPC通道，
　上線域控服務器　102
4.6.2　使用PsExec建立IPC通道，
　上線域成員服務器　104
4.7　持久化和恢復階段　104
4.7.1　通過Cobalt Strike持久化控制
　服務器　105
4.7.2　恢復階段的攻擊　106
4.8　實踐知識點總結　106
第5章　Vulnstack2：攻防中的
　殺軟對抗　108
5.1　環(huán)境簡介與環(huán)境搭建　108
5.2　探索發(fā)現(xiàn)階段　112
5.3　入侵和感染階段　115
5.3.1　對WebLogic服務進行批量
　漏洞掃描　115
5.3.2　利用反序列化漏洞攻擊
　WebLogic　116
5.4　攻擊和利用階段　119
5.4.1　利用cmd webshell寫入
　冰蝎馬　119
5.4.2　通過冰蝎3將WebLogic
　服務器上線到Metasploit　123
5.4.3　繞過360安全衛(wèi)士，將
　WebLogic服務器上線到
　Cobalt Strike　125
5.4.4　繞過360安全衛(wèi)士，對
　WebLogic服務器進行提權　128
5.4.5　將WebLogic服務器的
　Metasploit會話傳遞到
　Cobalt Strike　132
5.4.6　抓取WebLogic服務器上的
　操作系統(tǒng)憑證　133
5.4.7　通過3389端口RDP登錄
　WebLogic服務器　135
5.5　探索感知階段　135
5.6　傳播階段　136
5.6.1　利用Zerologon漏洞攻擊
　域控服務器　136
5.6.2　使用PsExec將域控服務器
　上線到Cobalt Strike　138
5.6.3　使用PsExec將域內主機上線
　到Cobalt Strike　140
5.7　持久化和恢復階段　142
5.7.1　通過Cobalt Strike持久化
　控制服務器　142
5.7.2　恢復階段的攻擊　143
5.8　實踐知識點總結　143
第6章　Vulnstack3：利用PTH
　攻擊獲取域控權限　144
6.1　環(huán)境簡介與環(huán)境搭建　145
6.2　探索發(fā)現(xiàn)階段　147
6.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務探測　147
6.2.2　識別80端口的Web應用
　框架及版本　148
6.3　入侵和感染階段　149
6.3.1　SSH應用服務攻擊　149
6.3.2　MySQL應用服務攻擊　149
6.3.3　Joomla應用攻擊　154
6.4　攻擊和利用階段　163
6.4.1　查找Linux服務器敏感
　文件　163
6.4.2　Linux服務器提權　164
6.4.3　Linux服務器上線MSF　167
6.5　探索感知階段　169
6.5.1　利用MSF配置內網(wǎng)路由　169
6.5.2　探測內網(wǎng)網(wǎng)段存活主機　170
6.6　傳播階段　172
6.6.1　利用SMB爆破攻擊內網(wǎng)
　Windows服務器　172
6.6.2　利用Zerologon攻擊域控
　服務器　174
6.6.3　利用PTH攻擊域控服務器　177
6.6.4　利用PTH攻擊域內主機　177
6.7　持久化和恢復階段　179
6.7.1　通過定時任務持久化控制
　Linux服務器　179
6.7.2　恢復階段的攻擊　179
6.8　實踐知識點總結　180
第7章　Vulnstack4：Docker
　逃逸突破邊界　181
7.1　環(huán)境簡介與環(huán)境搭建　182
7.2　探索發(fā)現(xiàn)階段　185
7.2.1　使用Nmap對靶場入口IP
　進行端口掃描及服務探測　186
7.2.2　識別2001端口的Web
　應用框架及版本　187
7.2.3　識別2002端口的Web
　應用框架及版本　187
7.2.4　識別2003端口的Web
　應用框架及版本　189
7.3　入侵和感染階段　190
7.3.1　使用Struts 2漏洞檢測工具
　對Web應用進行漏洞測試　190
7.3.2　使用Tomcat框架漏洞對Web
　應用進行漏洞測試　194
7.3.3　使用phpMyAdmin應用漏洞
　對Web應用進行漏洞測試　197
7.4　攻擊和利用階段　202
7.4.1　Struts 2 應用服務器環(huán)境
　識別　202
7.4.2　Struts 2應用Docker服務器
　逃逸　203
7.4.3　Tomcat應用服務器環(huán)境
　識別　205
7.4.4　Tomcat應用Docker服務器
　逃逸　205
7.4.5　phpMyAdmin應用服務器
　環(huán)境識別　212
7.4.6　phpMyAdmin應用服務器
　權限提升　213
7.4.7　利用MSF配置內網(wǎng)代理　215
7.5　探索感知階段　219
7.6　傳播階段　221
7.6.1　利用MSF對Windows
　服務器445端口的SMB
　服務進行漏洞檢測　221
7.6.2　利用smart_hashdump獲取
　內網(wǎng)Windows服務器密碼
　哈?！?22
7.6.3　利用PTH攻擊域內服務器　224
7.7　持久化和恢復階段　225
7.7.1　通過定時任務持久化控制
　服務器　225
7.7.2　恢復階段的攻擊　227
7.8　實踐知識點總結　228
第8章　Vulnstack5：使用PsExec對
　不出網(wǎng)的域控服務器進行橫
　向滲透及上線　229
8.1　環(huán)境簡介與環(huán)境搭建　229
8.2　探索發(fā)現(xiàn)階段：利用GUI掃描
　工具進行端口掃描　232
8.3　入侵和感染階段　233
8.3.1　對ThinkPHP V5.0框架服務
　進行批量漏洞掃描　233
8.3.2　利用ThinkPHP V5.0 RCE
　漏洞攻擊Web服務器　233
8.3.3　對MySQL數(shù)據(jù)庫服務進行
　弱口令爆破攻擊　235
8.4　攻擊和利用階段　236
8.4.1　利用cmd webshell傳輸
　Cobalt Strike上線木馬　236
8.4.2　抓取Web服務器上的操作
　系統(tǒng)憑證　241
8.5　探索感知和傳播階段　242
8.5.1　使用Cobalt Strike對內網(wǎng)段
　進行掃描　242
8.5.2　使用PsExec將域控服務器
　上線到Cobalt Strike　245
8.6　持久化和恢復階段　251
8.6.1　通過Cobalt Strike持久化
　控制服務器　251
8.6.2　清除攻擊日志　255
8.7　實踐知識點總結　260
第9章　Vulnstack6：利用Zerologon
　漏洞獲得域控權限　261
9.1　環(huán)境簡介與環(huán)境搭建　261
9.2　探索發(fā)現(xiàn)階段：利用GUI掃描
　工具進行服務掃描　264
9.3　入侵和感染階段　265
9.3.1　對Web服務進行目錄掃描　265
9.3.2　Typecho CMS反序列化漏洞
　測試　268
9.3.3　Typecho CMS弱口令漏洞
　測試　268
9.3.4　通過phpStudy Nginx解析
　漏洞攻擊Typecho服務器　271
9.4　攻擊和利用階段　274
9.4.1　通過MS16-075漏洞對Typecho
　服務器進行提權測試　274
9.4.2　獲取Typecho服務器的系統(tǒng)
　憑證　275
9.4.3　通過Cobalt Strike構建內網(wǎng)
　代理　276
9.5　探索感知階段　277
9.5.1　利用Cobalt Strike對已知
　內網(wǎng)段進行探測　277
9.5.2　使用工具代理對已知內網(wǎng)段
　進行探測　278
9.6　傳播階段　280
9.6.1　域控服務器Zerologon漏洞
　測試　280
9.6.2　通過PTH將域控服務器上
　線到Cobalt Strike　286
9.7　持久化和恢復階段　288
9.7.1　通過啟動項設置持久化控制
　Windows服務器　288
9.7.2　恢復階段的攻擊　288
9.8　實踐知識點總結　288
第10章　Vulnstack7：利用不同
　服務漏洞突破多層內網(wǎng)　289
10.1　環(huán)境簡介與環(huán)境搭建　290
10.2　探索發(fā)現(xiàn)階段　292
10.2.1　對目標服務器進行端口
　掃描　292
10.2.2　識別81端口的Web應用
　框架及版本　293
10.3　入侵和感染階段　294
10.3.1　利用Laravel RCE漏洞攻擊
　服務器81端口　295
10.3.2　利用Redis未授權訪問漏洞
　攻擊服務器6379端口　298
10.4　攻擊和利用階段　302
10.4.1　Laravel服務器環(huán)境識別　303
10.4.2　Laravel Docker服務器權限
　提升　304
10.4.3　Laravel Docker服務器
　逃逸　305
10.4.4　利用MSF搭建內網(wǎng)路由　306
10.5　探索感知階段　311
10.5.1　通過內網(wǎng)代理對內網(wǎng)服務器
　進行端口掃描　311
10.5.2　識別內網(wǎng)服務器8080端口
　的Web應用框架及版本　312
10.6　傳播階段　313
10.6.1　利用通達OA漏洞攻擊
　內網(wǎng)服務器8080端口的
　Web應用　313
10.6.2　利用MS17-010漏洞攻擊
　內網(wǎng)服務器445端口的
　SMB服務　317
10.6.3　利用Mimikatz獲取內網(wǎng)
　Windows服務器密碼　318
10.6.4　利用PTH攻擊域控
　服務器　319
10.7　持久化和恢復階段　323
10.7.1　通過Metasploit持久化控制
　服務器　323
10.7.2　通過Cobalt Strike持久化
　控制服務器　323
10.7.3　恢復階段的攻擊　324
10.8　實踐知識點總結　324
第11章　暗月ack123：通過SPN
　攻擊獲取域控權限　326
11.1　環(huán)境簡介與環(huán)境搭建　327
11.2　探索發(fā)現(xiàn)階段：使用Nmap
　進行服務掃描　331
11.3　入侵和感染階段　333
11.3.1　對Web服務進行目錄
　掃描　333
11.3.2　使用UEditor編輯器漏洞
　攻擊Web服務器　335
11.4　攻擊和利用階段　338
11.4.1　繞過360全家桶，將Web
　服務器上線到Cobalt Strike　339
11.4.2　繞過360全家桶，對Web
　服務器進行提權攻擊　341
11.4.3　將Metasploit會話傳遞到
　Cobalt Strike　345
11.4.4　通過Cobalt Strike或
　Metasploit構建內網(wǎng)
　代理　346
11.5　探索感知階段　347
11.5.1　搜集Web服務器敏感文件
　信息　347
11.5.2　使用工具代理對已知內網(wǎng)段
　進行探測　349
11.6　傳播階段　350
11.6.1　通過MSSQL提升系統(tǒng)
　權限　351
11.6.2　繞過火絨，將MSSQL服務
　器上線到Cobalt Strike　353
11.6.3　利用MS16-075漏洞對MSSQL
　服務器進行提權　354
11.6.4　對Web服務器2進行
　JWT token爆破攻擊　355
11.6.5　通過phpMyAdmin對Web
　服務器2進行getshell操作　358
11.6.6　將不出網(wǎng)的Web服務器2
　上線到Cobalt Strike　362
11.6.7　通過Cobalt Strike進程注入
　獲取Web服務器2的域用戶
　會話　364
11.6.8　收集域網(wǎng)段信息及定位域控
　服務器　365
11.6.9　使用SPN攻擊獲取域控
　服務器權限　368
11.7　持久化和恢復階段　372
11.7.1　通過Cobalt Strike持久化
　控制服務器　372
11.7.2　恢復階段的攻擊　373
11.8　實踐知識點總結　373
第12章　Vulnstack8：挑戰(zhàn)多層
　代理下的域滲透　375
12.1　環(huán)境簡介與環(huán)境搭建　376
12.2　攻擊實戰(zhàn)　377
12.2.1　攻擊第一層主機　377
12.2.2　攻擊其他層主機　378
12.3　實踐知識點總結　379