红队攻击思路知识框架

旧城等待， 2024-03-26 13:53 88阅读 0赞

### **0x00 红队基础知识** ###

###  ###

#### 一、构建一个大型内网域环境搭建 ####

*  父域控制器
 *  子域控制器
 *  辅域控制器
 *  域内主机
 *  域内服务器

#### 二、Windows NTLM(NT LAN Manager)认证原理**Kerberos 域内认证原理** ####

### **0x02 内网信息搜集篇** ###

#### 一、工作组和大型域内网如何进行信息搜集 ####

*  如何搜集本机密码
 *   *  MySQL
     *  SQL Server
     *  ... ...
     *  Linux 如何搜索特定的密码文件
     *  搜集指定用户的命令历史记录中的各种明文密码
     *  Windows 2012 高版本以上如何搜集密码
     *  Windows 2012 版本以下如何搜集密码
     *  关于 Linux 下如何搜集各种密码信息
     *  无线密码抓取
     *  组册表里各种健值敏感信息
     *  搜集数据库中保存的各类高价值账号密码
     *  搜集保存在目标系统本地各种文档中的明文密码
     *  针对各类常用 windows 办公软件的各类密码搜集
 *  如何搜集VPN密码
 *  如何搜集浏览器相关凭证
 *   *  Chrome 浏览器抓取凭证
     *  Firefox 浏览器抓取凭证
     *  360 浏览器抓取凭证
     *  IE 浏览器抓取凭证
 *  如何搜集各种数据库信息
 *   *  通过 LDAP 定位核心机器
     *  通过 LDAP 获取内网架构分布
     *  通过 LDAP 获取内网组织架构
     *  通过 LDAP 获取域内核心机器
     *  Mysql
     *  SQL Server
     *  Oracle
     *  PostgreSQL
     *  LDAP
 *  根据当前跳板机器搜集网络环境(判断那种协议出网)
 *  获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip
 *  获取当前系统最近的用户登录记录
 *  获取当前用户的所有命令历史记录(针对于 Linux)
 *  远程截屏捕捉目标用户敏感操作
 *  获取当前机器环境变量(Java、Python、Go ...)
 *  获取当前本机 rdp / ssh 端口开启状态及其默认端口号
 *  获取本机所有已安装软件的详细列表
 *  获取本机各个浏览器中保存的、书签页、历史浏览记录
 *  获取当前用户桌面、回收站里的所有文件列表
 *  获取当前系统代理
 *  获取当前系统的所有 ipc 连接、共享
 *  获取当前系统host文件内容
 *  利用系统自带截屏捕捉目标用户敏感操作
 *  ...

#### 二、搜集目标内网邮箱 ####

*  企业内网邮箱信息搜集
 *   *  通过邮箱对内网进行整体分析
 *  Exchange内网邮箱信息搜集
 *   *  通过邮箱对内网进行整体分析
 *  ... ...

#### 三、搜集目标内网各种Web页面、Web框架、登陆入口 ####

*  Tomcat
 *  Struts2
 *  Weblogic
 *  Jboss
 *  Jekins
 *  Apache Solr
 *  ... ...

#### 四、搜集各类客户端软件 ####

*  FTP
 *   *  XFtp
     *  WinSCP
     *  FileZilla
     *  Xshell
     *  MobaXterm
 *  远程客户端管理
 *   *  向日葵
     *  TeamViewer
 *  SSH
 *   *  WinSCP
     *  MobaXterm
     *  Xshell

#### 五、对于内网存活机器信息搜集 ####

*  NetBIOS
 *  ICMP
 *  TCP
 *  UDP
 *  ARP

#### 六、针对成百上千的内网如何快速信息搜集 ####

*  如何快速对一个 C 段进行信息搜集
 *  如何快速对一个 B 段进行信息搜集
 *  如何快速对一个 A 段进行信息搜集

### **0x03 内网穿透、流量代理、端口转发篇** ###

#### 一、根据当前跳板机器判断出网情况 ####

*  TCP/UDP
 *  ICMP
 *  DNS
 *  HTTP
 *  HTTPS

#### 二、正/反向代理连接工具 ####

*  Metasploit
 *  CobaltStrike
 *  proxychains
 *  SSocks
 *  frp
 *  ...

#### 三、端口转发 ####

*  LCX
 *  Metasploit
 *  netsh
 *  iptables
 *  powershell

#### 四、内网穿透工具 ####

*  FRP
 *  NPS
 *  spp
 *  venom

#### 五、针对不出网主机如何上线到 C2(Metasploit、CobaltStrike) ####

*  DNS
 *  HTTP
 *  ICMP
 *  SMB

#### 六、针对常规不出网主机如何做内网穿透、流量代理 ####

*  DNS出网的话
 *   *  iodine
 *  HTTP/HTTPS出网的话
 *   *  reGeorg
     *  Neo-reGeorg

### **0x04 权限提升篇** ###

#### 一、Windows ####

*  Windows 提权之内核溢出提权
 *  Windows 提权之土豆系列(Windows 9 种权限利用)
 *  Windows 提权之第三方服务提权
 *  Windows 提权之系统错误配置提权
 *  Windows 提权之 Bypass UAC
 *  数据库提权
 *   *  Mysql UDF 提权
     *  Mysql MOF 提权
     *  SQL Server XP\_cmdshell 提权
     *  SQL Server SP\_oacreate 提权
     *  SQL Server 其他提权
     *  ... ... 等等

#### 二、Linux ####

*  Linux 提权之内核溢出提权
 *  Linux 提权之 SUID 提权
 *  Linux 提权之利用错误配置提权
 *  Linux 提权之计划任务提权
 *  Linux 提权之利用高权限服务提权
 *  ... ... 等等

### **0x04 各种 C2 使用以及深度分析篇** ###

#### 一、Metasploit ####

*  Metasploit｜七大模块详解
 *  Metasploit｜针对 Auxiliary 辅助模块的常规使用
 *  Metasploit｜针对 Exploit 漏洞利用模块的常规使用
 *  Metasploit｜针对 Payload 模块生成各种(正/反)漏洞利用可执行文件
 *  Metasploit｜针对 Post 后渗透利用模块的常规使用
 *  Metasploit｜获取当前机器的明文密码及 Hash
 *  Metasploit｜获取提权的有效模块进行权限提升
 *  Metasploit｜窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用
 *  Metasploit｜根据当前跳板机器如何添加路由、进行端口转发、内网穿透
 *  Metasploit｜如何连接到 Postgresql 数据库进行管理渗透记录
 *  Meterpreter｜添加 Socks 代理
 *  Meterpreter｜设置 session 永久不掉线(防止权限丢失)
 *  Meterpreter｜设置上线之后自动进程迁移(防止权限丢失)
 *  Meterpreter｜开启目标远程桌面服务 3389 端口
 *  Meterpreter｜针对内网各种服务进行爆破
 *   *  针对内网所有 Windows 存活机进行批量 SMB 爆破
     *  针对内网所有 Mssql 存活机进行批量爆破
     *  针对内网所有 Mysql 存活机进行批量爆破
     *  针对内网所有 Linux 存活机 进行批量 Ssh 爆破
     *  针对内网所有 Redis 存活进行批量爆破
     *  针对内网所有存活 Postgresql 进行批量爆破
     *  针对内网所有存活 Telnet 进行批量爆破
     *  针对内网所有存活 Ftp 进行批量爆破
     *  针对内网 Exchange 的 ews 接口爆破
 *  Meterpreter｜如何发现内网下各类高价值存活主机
 *   *  探测内网 SMB，Windows 存活
     *  探测内网 SSH，Linux 存活
     *  探测内网 MySQL 存活
     *  探测内网 MsSQL 存活
     *  探测内网 RDP 存活(3389)
     *  探测内网 Telnet 存活
     *  探测内网 FTP 存活
     *  探测内网 Web 组件快速批量识别
     *  探测内网 MS17-010 漏洞
     *  探测内网 CVE-2019-0708 漏洞
 *  Metasploit 与 Cobalt Strike 双双联动
 *  如何单靠 Metasploit 来对内网进行渗透

#### 二、CobaltStrike ####

*  Cobalt Strike｜安装与简介
 *  Cobalt Strike｜创建监听以及生 Payload
 *  Cobalt Strike｜如何基于 HTTP / SMB 上线
 *  Cobalt Strike｜如何抓当前机器的密码 HASH
 *  Cobalt Strike｜内网端口扫描以及发现内网存活机器
 *  Cobalt Strike｜端口转发、Socks 代理
 *  Cobalt Strike｜进程窃取、屏幕截图、键盘记录、进程迁移
 *  Cobalt Strike｜第三方插件的使用(渗透攻击红队)
 *  Cobalt Strike｜如何造轮子写一个自己的插件
 *  Cobalt Strike｜内网批量上线
 *  Cobalt Strike｜针对于不同的网络环境上线不出网的机器
 *  Cobalt Strike｜中转上线内网不出网的机器
 *  Cobalt Strike 与 Metasploit 双双联动

#### 三、Poshc2**TSH... ...** ####

### **0x05 内网横向移动篇** ###

#### 一、基于 Metasploit 下的横向移动**基于 Cobalt Strike 下的横向移动利用 PsExec 来横向移动利用 SMBExec 来横向移动利用 WMIExec 来横向移动IPC 命令行攻击** ####

*  at 定时任务
 *  schtasks 定时任务
 *  wmic
 *  WinRm

#### 二、哈希传递(Pass The Hash)横向移动 ####

### **0x06 域内攻击篇** ###

从域外对域内进行枚举搜集各类信息

从域外对域内进行密码喷洒攻击

令牌窃取在实际域渗透中的灵活运用

哈希传递(Pass The Hash)攻击

MS14-068 票据传递(Pass the Ticket)攻击

域渗透中活动目录 ntds.dit 文件的获取与实际应用