目 录__eol__第1章 内网渗透测试基础知识 1__eol__1.1 内网工作环境 1__eol__1.1.1 工作组 1__eol__1.1.2 域 1__eol__1.1.3 域控制器 4__eol__1.2 活动目录 4__eol__1.2.1 Ntds.dit文件 5__eol__1.2.2 目录服务与LDAP 5__eol__1.2.3 活动目录的访问 6__eol__1.2.4 活动目录分区 7__eol__1.2.5 活动目录的查询 9__eol__1.3 域用户与机器用户介绍 13__eol__1.3.1 域用户 13__eol__1.3.2 机器用户 13__eol__1.4 域用户组的分类和权限 15__eol__1.4.1 组的用途 15__eol__1.4.2 安全组的权限 15__eol__1.5 组织单位 18__eol__1.6 域内访问权限控制 20__eol__1.6.1 Windows访问控制模型 21__eol__1.6.2 访问控制列表 21__eol__1.7 组策略 25__eol__1.7.1 组策略对象 25__eol__1.7.2 组策略的创建 30__eol__1.8 内网域环境搭建 32__eol__1.8.1 单域环境搭建 32__eol__1.8.2 父子域环境搭建 39__eol__小结 46__eol__第2章 内网信息收集 47__eol__2.1 本机基础信息收集 47__eol__2.2 域内基础信息收集 56__eol__2.3 内网资源探测 61__eol__2.3.1 发现内网存活主机 61__eol__2.3.2 内网端口扫描 64__eol__2.3.3 利用MetaSploit探测内网 67__eol__2.3.4 获取端口Banner信息 68__eol__2.4 用户凭据收集 69__eol__2.4.1 获取域内单机密码和哈希值 69__eol__2.4.2 获取常见应用软件凭据 73__eol__2.5 使用BloodHound自动化分析域环境 81__eol__2.5.1 采集并导出数据 81__eol__2.5.2 导入数据 81__eol__2.5.3 节点信息 82__eol__2.5.4 边缘信息 84__eol__2.5.5 数据分析 85__eol__小结 92__eol__第3章 端口转发与内网代理 95__eol__3.1 端口转发和代理 95__eol__3.1.1 正向连接和反向连接 95__eol__3.1.2 端口转发 96__eol__3.1.3 SOCKS代理 96__eol__3.2 常见转发与代理工具 96__eol__3.2.1 LCX 97__eol__3.2.2 FRP 100__eol__小结 106__eol__第4章 权限提升 107__eol__4.1 系统内核漏洞提权 107__eol__4.1.1 查找系统潜在漏洞 107__eol__4.1.2 确定并利用漏洞 109__eol__4.2 系统服务提权 110__eol__4.2.1 不安全的服务权限 110__eol__4.2.2 服务注册表权限脆弱 112__eol__4.2.3 服务路径权限可控 113__eol__4.2.4 未引用的服务路径 114__eol__4.2.5 PowerUp 115__eol__4.3 MSI安装策略提权 116__eol__4.3.1 确定系统是否存在漏洞 116__eol__4.3.2 创建恶意MSI并安装 117__eol__4.4 访问令牌操纵 118__eol__4.4.1 访问令牌 118__eol__4.4.2 常规令牌窃取操作 119__eol__4.4.3 Potato家族提权 122__eol__4.5 Bypass UAC 126__eol__4.5.1 UAC白名单 127__eol__4.5.2 DLL劫持 130__eol__4.5.3 模拟可信任目录 131__eol__4.5.4 相关辅助工具 134__eol__4.6 用户凭据操作 135__eol__4.6.1 枚举Unattended凭据 135__eol__4.6.2 获取组策略凭据 136__eol__4.6.3 HiveNightmare 138__eol__4.6.4 Zerologon域内提权 140__eol__4.7 Print Spooler提权漏洞 142__eol__4.7.1 PrintDemon 142__eol__4.7.2 PrintNightmare 145__eol__4.8 Nopac域内提权 148__eol__4.9 Certifried域内提权 148__eol__4.9.1 活动目录证书服务 148__eol__4.9.2 活动目录证书注册流程 149__eol__4.9.3 漏洞分析 149__eol__小结 154__eol__第5章 内网横向移动 155__eol__5.1 横向移动中的文件传输 156__eol__5.1.1 通过网络共享 156__eol__5.1.2 搭建SMB服务器 157__eol__5.1.3 通过Windows自带工具 158__eol__5.2 创建计划任务 159__eol__5.2.1 常规利用流程 159__eol__5.2.2 UNC路径加载执行 161__eol__5.3 系统服务利用 162__eol__5.3.1 创建远程服务 162__eol__5.3.2 SCShell 163__eol__5.3.3 UAC Remote Restrictions 164__eol__5.4 远程桌面利用 165__eol__5.4.1 远程桌面的确定和开启 165__eol__5.4.2 RDP Hijacking 166__eol__5.4.3 SharpRDP 167__eol__5.5 PsExec远程控制 167__eol__5.6 WMI的利用 168__eol__5.6.1 常规利用方法 168__eol__5.6.2 常见利用工具 171__eol__5.6.3 WMI事件订阅的利用 173__eol__5.7 DCOM的利用 176__eol__5.7.1 COM和DCOM 176__eol__5.7.2 通过DCOM横向移动 176__eol__5.8 WinRM的利用 180__eol__5.8.1 通过WinRM执行远程命令 181__eol__5.8.2 通过WinRM获取交互式会话 182__eol__5.9 哈希传递攻击 184__eol__5.9.1 哈希传递攻击的利用 184__eol__5.9.2 利用哈希传递登录远程桌面 185__eol__5.10 EhernalBlue 187__eol__小结 188__eol__第6章 内网权限持久化 189__eol__6.1 常见系统后门技术 189__eol__6.1.1 创建影子账户 189__eol__6.1.2 系统服务后门 192__eol__6.1.3 计划任务后门 196__eol__6.1.4 启动项/注册表键后门 198__eol__6.1.5 Port Monitors 200__eol__6.2 事件触发执行 201__eol__6.2.1 利用WMI事件订阅 201__eol__6.2.2 利用系统辅助功能 203__eol__6.2.3 IFEO注入 205__eol__6.2.4 利用屏幕保护程序 207__eol__6.2.5 DLL劫持 208__eol__6.3 常见域后门技术 214__eol__6.3.1 创建Skeleton Key域后门 215__eol__6.3.2 创建DSRM域后门 216__eol__6.3.3 SID History的利用 218__eol__6.3.4 利用AdminSDHolder打造域后门 221__eol__6.3.5 HOOK PasswordChangeNotify 224__eol__6.4 DCSync攻击技术 226__eol__6.4.1 利用DCSync导出域内哈希 226__eol__6.4.2 利用DCSync维持域内权限 228__eol__6.4.3 DCShadow 228__eol__小结 229__eol__第7章 Kerberos攻击专题 231__eol__7.1 Kerberos认证基础 231__eol__7.1.1 Kerberos基础认证流程 231__eol__7.1.2 Kerberos攻击分类 232__eol__7.2 AS_REQ&AS_REP阶段攻击 233__eol__7.3 TGS_REQ&TGS_REP阶段攻击 235__eol__7.3.1 Kerberosast攻击 235__eol__7.3.2 白银票据攻击 235__eol__7.3.3 委派攻击 236__eol__7.4 PAC攻击 247__eol__小结 254__eol__第8章 NTLM中继专题 255__eol__8.1 NTLM协议 255__eol__8