红队攻击思路知识框架
0x00 红队基础知识
一、构建一个大型内网域环境搭建
父域控制器 子域控制器 辅域控制器 域内主机 域内服务器
二、Windows NTLM(NT LAN Manager)认证原理Kerberos 域内认证原理
0x02 内网信息搜集篇
一、工作组和大型域内网如何进行信息搜集
如何搜集本机密码
MySQL SQL Server ... ... Linux 如何搜索特定的密码文件 搜集指定用户的命令历史记录中的各种明文密码 Windows 2012 高版本以上如何搜集密码
Windows 2012 版本以下如何搜集密码
关于 Linux 下如何搜集各种密码信息
无线密码抓取
组册表里各种健值敏感信息
搜集数据库中保存的各类高价值账号密码
搜集保存在目标系统本地各种文档中的明文密码
针对各类常用 windows 办公软件的各类密码搜集
如何搜集VPN密码
如何搜集浏览器相关凭证
Chrome 浏览器抓取凭证 Firefox 浏览器抓取凭证 360 浏览器抓取凭证 IE 浏览器抓取凭证 如何搜集各种数据库信息
通过 LDAP 定位核心机器 通过 LDAP 获取内网架构分布 通过 LDAP 获取内网组织架构 通过 LDAP 获取域内核心机器 Mysql
SQL Server
Oracle
PostgreSQL
LDAP
根据当前跳板机器搜集网络环境(判断那种协议出网)
获取当前系统的详细IP配置,包括所在域, ip, 掩码, 网关, 主备 dns ip
获取当前系统最近的用户登录记录
获取当前用户的所有命令历史记录(针对于 Linux)
远程截屏捕捉目标用户敏感操作
获取当前机器环境变量(Java、Python、Go ...)
获取当前本机 rdp / ssh 端口开启状态及其默认端口号
获取本机所有已安装软件的详细列表
获取本机各个浏览器中保存的、书签页、历史浏览记录
获取当前用户桌面、回收站里的所有文件列表
获取当前系统代理
获取当前系统的所有 ipc 连接、共享
获取当前系统host文件内容
利用系统自带截屏捕捉目标用户敏感操作
...
二、搜集目标内网邮箱
企业内网邮箱信息搜集
通过邮箱对内网进行整体分析 Exchange内网邮箱信息搜集
通过邮箱对内网进行整体分析 ... ...
三、搜集目标内网各种Web页面、Web框架、登陆入口
Tomcat Struts2 Weblogic Jboss Jekins Apache Solr ... ...
四、搜集各类客户端软件
FTP
XFtp WinSCP FileZilla Xshell MobaXterm 远程客户端管理
向日葵 TeamViewer SSH
WinSCP MobaXterm Xshell
五、对于内网存活机器信息搜集
NetBIOS ICMP TCP UDP ARP
六、针对成百上千的内网如何快速信息搜集
如何快速对一个 C 段进行信息搜集 如何快速对一个 B 段进行信息搜集 如何快速对一个 A 段进行信息搜集
0x03 内网穿透、流量代理、端口转发篇
一、根据当前跳板机器判断出网情况
TCP/UDP ICMP DNS HTTP HTTPS
二、正/反向代理连接工具
Metasploit CobaltStrike proxychains SSocks frp ...
三、端口转发
LCX Metasploit netsh iptables powershell
四、内网穿透工具
FRP NPS spp venom
五、针对不出网主机如何上线到 C2(Metasploit、CobaltStrike)
DNS HTTP ICMP SMB
六、针对常规不出网主机如何做内网穿透、流量代理
DNS出网的话
iodine HTTP/HTTPS出网的话
reGeorg Neo-reGeorg
0x04 权限提升篇
一、Windows
Windows 提权之内核溢出提权
Windows 提权之土豆系列(Windows 9 种权限利用)
Windows 提权之第三方服务提权
Windows 提权之系统错误配置提权
Windows 提权之 Bypass UAC
数据库提权
Mysql UDF 提权 Mysql MOF 提权 SQL Server XP_cmdshell 提权 SQL Server SP_oacreate 提权 SQL Server 其他提权 ... ... 等等
二、Linux
Linux 提权之内核溢出提权 Linux 提权之 SUID 提权 Linux 提权之利用错误配置提权 Linux 提权之计划任务提权 Linux 提权之利用高权限服务提权 ... ... 等等
0x04 各种 C2 使用以及深度分析篇
一、Metasploit
Metasploit|七大模块详解
Metasploit|针对 Auxiliary 辅助模块的常规使用
Metasploit|针对 Exploit 漏洞利用模块的常规使用
Metasploit|针对 Payload 模块生成各种(正/反)漏洞利用可执行文件
Metasploit|针对 Post 后渗透利用模块的常规使用
Metasploit|获取当前机器的明文密码及 Hash
Metasploit|获取提权的有效模块进行权限提升
Metasploit|窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用
Metasploit|根据当前跳板机器如何添加路由、进行端口转发、内网穿透
Metasploit|如何连接到 Postgresql 数据库进行管理渗透记录
Meterpreter|添加 Socks 代理
Meterpreter|设置 session 永久不掉线(防止权限丢失)
Meterpreter|设置上线之后自动进程迁移(防止权限丢失)
Meterpreter|开启目标远程桌面服务 3389 端口
Meterpreter|针对内网各种服务进行爆破
针对内网所有 Windows 存活机进行批量 SMB 爆破 针对内网所有 Mssql 存活机进行批量爆破 针对内网所有 Mysql 存活机进行批量爆破 针对内网所有 Linux 存活机 进行批量 Ssh 爆破 针对内网所有 Redis 存活进行批量爆破 针对内网所有存活 Postgresql 进行批量爆破 针对内网所有存活 Telnet 进行批量爆破 针对内网所有存活 Ftp 进行批量爆破 针对内网 Exchange 的 ews 接口爆破 Meterpreter|如何发现内网下各类高价值存活主机
探测内网 SMB,Windows 存活 探测内网 SSH,Linux 存活 探测内网 MySQL 存活 探测内网 MsSQL 存活 探测内网 RDP 存活(3389) 探测内网 Telnet 存活 探测内网 FTP 存活 探测内网 Web 组件快速批量识别 探测内网 MS17-010 漏洞 探测内网 CVE-2019-0708 漏洞 Metasploit 与 Cobalt Strike 双双联动
如何单靠 Metasploit 来对内网进行渗透
二、CobaltStrike
Cobalt Strike|安装与简介 Cobalt Strike|创建监听以及生 Payload Cobalt Strike|如何基于 HTTP / SMB 上线 Cobalt Strike|如何抓当前机器的密码 HASH Cobalt Strike|内网端口扫描以及发现内网存活机器 Cobalt Strike|端口转发、Socks 代理 Cobalt Strike|进程窃取、屏幕截图、键盘记录、进程迁移 Cobalt Strike|第三方插件的使用(渗透攻击红队) Cobalt Strike|如何造轮子写一个自己的插件 Cobalt Strike|内网批量上线 Cobalt Strike|针对于不同的网络环境上线不出网的机器 Cobalt Strike|中转上线内网不出网的机器 Cobalt Strike 与 Metasploit 双双联动
三、Poshc2TSH... ...
0x05 内网横向移动篇
一、基于 Metasploit 下的横向移动基于 Cobalt Strike 下的横向移动利用 PsExec 来横向移动利用 SMBExec 来横向移动利用 WMIExec 来横向移动IPC 命令行攻击
at 定时任务 schtasks 定时任务 wmic WinRm
