鏈接：https://pan.baidu.com/s/1XPSZcsHVET1BVE8Aq5AJ0A?pwd=ya2o?

提取碼：ya2o

這是一部安全行業(yè)公認(rèn)的域滲透標(biāo)準(zhǔn)著作，從協(xié)議原理、基礎(chǔ)知識(shí)、工具使用、滲透手法、漏洞利用、權(quán)限維持6個(gè)維度全面講解域滲透攻防技術(shù)與技巧，不僅能幫助讀者深入了解域內(nèi)攻防的本質(zhì)，而且提供大量的實(shí)踐案例。是深信服攻防滲透專家多年的一線域內(nèi)攻防實(shí)戰(zhàn)經(jīng)驗(yàn)，獲得阿里、騰訊、京東、小米、美團(tuán)、金山、360、奇安信、長(zhǎng)亭、綠盟、啟明星辰等企業(yè)和機(jī)構(gòu)的30余位專家高度評(píng)價(jià)并推薦。

本書具體包含如下6個(gè)方面的內(nèi)容：

（1）協(xié)議原理

詳細(xì)剖析了NTLM協(xié)議、Kerberos協(xié)議、LDAP三種協(xié)議的原理，域滲透中很多漏洞都是圍繞這3個(gè)協(xié)議展開的。

（2）基礎(chǔ)知識(shí)

全面介紹了工作組和域、域信任、域搭建與配置、本地賬戶和活動(dòng)目錄賬戶、本地組和域組、訪問控制列表等各種域的基礎(chǔ)知識(shí)，幫助讀者打好堅(jiān)實(shí)基礎(chǔ)。

（3）工具使用

詳細(xì)地講解了BloodHound、Adfind、Admod、Rubeus、Ldapsearch、PingCastle、Kekeo、Impacket等10余種域內(nèi)工具的使用和原理，讓讀者在理解各種域滲透手法和域漏洞利用過程時(shí)能做到游刃有余。

（4）滲透手法

總結(jié)和分析了用戶枚舉、密碼噴灑、AS-REP Roasting攻擊、Kerberoasting攻擊、NTLM Relay攻擊、委派攻擊等10余種攻擊手法及其對(duì)應(yīng)的檢測(cè)手段和防御措施，幫助讀者在攻擊與對(duì)抗中快速成長(zhǎng)。

（5）漏洞利用

詳細(xì)分析了近10種近年來爆發(fā)的高危域內(nèi)漏洞，介紹了這些高危漏洞的背景、影響版本、原理、復(fù)現(xiàn)過程、檢測(cè)方法和防御措施，讓紅隊(duì)和藍(lán)隊(duì)在攻防中快速成長(zhǎng)。

（6）權(quán)限維持

詳細(xì)講解了在獲得域內(nèi)最高權(quán)限后，如何對(duì)該權(quán)限進(jìn)行維持，以及如何利用該權(quán)限獲得指定用戶的憑據(jù)。

為了便于讀者理解和操作，本書大量代碼、截圖和操作步驟說明，確保讀者一看即會(huì)，會(huì)了就能用！

作者簡(jiǎn)介

謝兆國(guó)（網(wǎng)絡(luò)ID：謝公子）

現(xiàn)就職于深信服深藍(lán)攻防實(shí)驗(yàn)室，任職攻防滲透專家；曾就職于綠盟科技烈鷹戰(zhàn)隊(duì)、360政企高級(jí)攻防部。國(guó)內(nèi)知名攻防滲透專家，擅長(zhǎng)內(nèi)網(wǎng)滲透、域滲透、紅隊(duì)攻防，連續(xù)多年參加國(guó)*級(jí)、省市級(jí)、行業(yè)級(jí)實(shí)戰(zhàn)攻防演練，并獲得優(yōu)異成績(jī)。榮獲安世加2020年度優(yōu)秀作者獎(jiǎng)、2021年國(guó)*級(jí)攻防演練最佳攻擊手。在CSDN發(fā)表原創(chuàng)性技術(shù)文章五百余篇，獲得CSDN博客專家、華為云享專家等稱號(hào)。個(gè)人微信公眾號(hào)：謝公子學(xué)安全。

張秋圓

紅藍(lán)攻防領(lǐng)域技術(shù)專家。曾任國(guó)內(nèi)某知名公司安全研究員，負(fù)責(zé)外部安全攻防相關(guān)內(nèi)容及內(nèi)網(wǎng)安全建設(shè)與體系規(guī)劃設(shè)計(jì)，對(duì)公司內(nèi)部安全進(jìn)行評(píng)估。參與多次大型紅藍(lán)攻防，并針對(duì)金融網(wǎng)、互聯(lián)網(wǎng)等攻防環(huán)境有突破性成果。在灰黑產(chǎn)對(duì)抗、內(nèi)網(wǎng)安全、應(yīng)用安全、系統(tǒng)研發(fā)等網(wǎng)絡(luò)安全技術(shù)領(lǐng)域有相關(guān)研究。

目錄

本書贊譽(yù)

前　言

第1章　Windows協(xié)議 1

1.1　NTLM協(xié)議 1

1.1.1　SSPI和SSP的概念 1

1.1.2　LM Hash加密算法 3

1.1.3　NTLM Hash加密算法 4

1.1.4　NTLM協(xié)議認(rèn)證 6

1.1.5　NTLM協(xié)議的安全問題 23

1.2　Kerberos協(xié)議 27

1.2.1　Kerberos基礎(chǔ) 28

1.2.2　PAC 29

1.2.3　Kerberos實(shí)驗(yàn) 34

1.2.4　AS-REQ&AS-REP 35

1.2.5　TGS-REQ&TGS-REP 40

1.2.6　AP-REQ&AP-REP雙向

認(rèn)證 45

1.2.7　S4u2Self&S4u2Proxy協(xié)議 47

1.2.8　Kerberos協(xié)議的安全問題 49

1.3　LDAP 50

1.3.1　LDAP基礎(chǔ) 51

1.3.2　通信流程 52

1.3.3　查詢方式 57

第2章　域基礎(chǔ)知識(shí) 60

2.1　域中常見名詞 60

2.2　工作組和域 63

2.2.1　工作組 63

2.2.2　域 64

2.2.3　域功能級(jí)別和林功能級(jí)別 66

2.2.4　工作組和域的區(qū)別 68

2.3　域信任 68

2.3.1　單向信任、雙向信任和快捷

信任 69

2.3.2　內(nèi)部信任、外部信任和林

信任 70

2.3.3　跨域資源訪問 71

2.4　域的搭建和配置 74

2.4.1　搭建Windows Server 2008 R2

域功能級(jí)別的單域環(huán)境 74

2.4.2　搭建Windows Server 2012 R2

域功能級(jí)別的單域環(huán)境 77

2.4.3　搭建額外域控 80

2.4.4　搭建域樹 82

2.4.5　加入和退出域 84

2.4.6　啟用基于SSL的LDAP 85

2.5　本地賬戶和活動(dòng)目錄賬戶 88

2.5.1　本地賬戶 88

2.5.2　活動(dòng)目錄賬戶 90

2.6　本地組和域組 99

2.6.1　本地組 99

2.6.2　域組 101

2.7　目錄分區(qū) 106

2.7.1　域目錄分區(qū) 107

2.7.2　配置目錄分區(qū) 108

2.7.3　架構(gòu)目錄分區(qū) 108

2.7.4　應(yīng)用程序目錄分區(qū) 115

2.7.5　條目屬性分析 115

2.8　服務(wù)主體名稱 118

2.8.1　SPN的配置 119

2.8.2　使用SetSPN注冊(cè)SPN 121

2.8.3　SPN的查詢和發(fā)現(xiàn) 123

2.9　域中的組策略 125

2.9.1　組策略的功能 126

2.9.2　組策略對(duì)象 126

2.9.3　策略設(shè)置與首選項(xiàng)設(shè)置 128

2.9.4　組策略應(yīng)用時(shí)機(jī) 129

2.9.5　組策略應(yīng)用規(guī)則 130

2.9.6　組策略的管理 131

2.9.7　組策略的安全問題 133

2.10　域中的訪問控制列表 137

2.10.1　Windows訪問控制

模型 138

2.10.2　訪問控制列表 139

2.10.3　安全描述符定義語(yǔ)言 143

2.10.4　域?qū)ο驛CL的查看和

修改 148

第3章　域內(nèi)工具的使用 153

3.1　BloodHound的使用 153

3.1.1　BloodHound的安裝 153

3.1.2　活動(dòng)目錄信息收集 156

3.1.3　導(dǎo)入數(shù)據(jù) 157

3.1.4　數(shù)據(jù)庫(kù)信息 157

3.1.5　節(jié)點(diǎn)信息 157

3.1.6　分析模塊 158

3.1.7　查詢模塊 159

3.2　Adfind的使用 159

3.2.1　參數(shù) 159

3.2.2　使用 160

3.2.3　查詢示例 161

3.3　Admod的使用 167

3.3.1　參數(shù) 167

3.3.2　使用 168

3.3.3　修改示例 168

3.4　LDP的使用 169

3.4.1　連接域控 170

3.4.2　綁定憑據(jù) 170

3.4.3　查看 172

3.4.4　添加、刪除和修改 174

3.5　Ldapsearch的使用 174

3.5.1　參數(shù) 174

3.5.2　使用 175

3.5.3　查詢示例 177

3.6　PingCastle的使用 180

3.7　Kekeo的使用 184

3.7.1　Kekeo提供的模塊 184

3.7.2?申請(qǐng)TGT 186

3.7.3　申請(qǐng)ST 189

3.7.4?約束性委派攻擊 190

3.8　Rubeus的使用 190

3.8.1　申請(qǐng)TGT 191

3.8.2　申請(qǐng)ST 192

3.8.3　Rubeus導(dǎo)入票據(jù) 193

3.8.4　AS-REP Roasting攻擊 194

3.8.5　Kerberoasting攻擊 194

3.8.6　委派攻擊 195

3.9　mimikatz的使用 196

3.10　Impacket的使用 200

3.10.1　遠(yuǎn)程連接 200

3.10.2　獲取域內(nèi)所有用戶的Hash（secretsdump.py） 209

3.10.3　生成黃金票據(jù)

（ticketer.py） 210

3.10.4　請(qǐng)求TGT（getTGT.py） 210

3.10.5　請(qǐng)求ST（getST.py） 211

3.10.6　獲取域的SID

（lookupsid.py） 212

3.10.7　枚舉域內(nèi)用戶

（samrdump.py） 212

3.10.8　增加機(jī)器賬戶

（addcomputer.py） 213

3.10.9　AS-REP Roasting攻擊（GetNPUsers.py） 214

3.10.10　Kerberoasting攻擊（GetUserSPNs.py） 214

3.10.11　票據(jù)轉(zhuǎn)換

（ticketConverter.py） 215

3.10.12　增加、刪除和查詢SPN（addspn.py） 216

第4章　域內(nèi)滲透手法 218

4.1　域內(nèi)用戶名枚舉 218

4.1.1　域內(nèi)用戶名枚舉工具 218

4.1.2　域內(nèi)用戶名枚舉抓包

分析 221

4.1.3　域內(nèi)用戶名枚舉攻擊

防御 221

4.2　域內(nèi)密碼噴灑 222

4.2.1　域內(nèi)密碼噴灑工具 222

4.2.2　域內(nèi)密碼噴灑抓包分析 224

4.2.3　域內(nèi)密碼噴灑攻擊防御 227

4.3　AS-REP Roasting 228

4.3.1　AS-REP Roasting攻擊

過程 228

4.3.2　AS-REP Roasting抓包

分析 232

4.3.3　AS-REP Roasting攻擊

防御 233

4.4　Kerberoasting 233

4.4.1　Kerberoasting攻擊過程 234

4.4.2　SPN的發(fā)現(xiàn) 234

4.4.3　請(qǐng)求服務(wù)票據(jù) 236

4.4.4　導(dǎo)出服務(wù)票據(jù) 237

4.4.5　離線破解服務(wù)票據(jù) 238

4.4.6　Kerberoasting抓包分析 239

4.4.7　Kerberoasting攻擊防御 240

4.5　委派 242

4.5.1　委派的分類 243

4.5.2　查詢具有委派屬性的

賬戶 251

4.5.3　委派攻擊實(shí)驗(yàn) 254

4.5.4　委派攻擊防御 265

4.6　Kerberos Bronze Bit漏洞 265

4.6.1　漏洞背景 265

4.6.2　漏洞原理 266

4.6.3　漏洞復(fù)現(xiàn) 267

4.6.4　漏洞預(yù)防和修復(fù) 269

4.7　NTLM Relay 270

4.7.1　捕獲Net-NTLM Hash 270

4.7.2　重放Net-NTLM Hash 286

4.7.3　NTLM Relay攻擊防御 291

4.8　濫用DCSync 291

4.8.1　DCSync的工作原理 292

4.8.2　修改DCSync ACL 292

4.8.3　DCSync攻擊 294

4.8.4　利用DCSync獲取明文

憑據(jù) 295

4.8.5　DCSync攻擊防御 295

4.9　PTH 296

4.9.1　本地賬戶和域賬戶PTH的

區(qū)別 296

4.9.2　Hash碰撞 301

4.9.3　利用PTH進(jìn)行橫向移動(dòng) 302

4.9.4　更新KB2871997補(bǔ)丁產(chǎn)生的

影響 304

4.9.5　PTH防御 311

4.10　定位用戶登錄的主機(jī) 311

4.10.1　注冊(cè)表查詢 311

4.10.2　域控日志查詢 318

4.11　域林滲透 322

4.11.1　查詢域控 322

4.11.2　查詢域管理員和企業(yè)

管理員 323

4.11.3　查詢所有域用戶 324

4.11.4　查詢所有域主機(jī) 324

4.11.5　跨域橫向攻擊 324

4.11.6　域林攻擊防御 327

第5章　域內(nèi)漏洞和利用 330

5.1　MS14-068權(quán)限提升漏洞 330

5.1.1　漏洞背景 330

5.1.2　漏洞原理 330

5.1.3　漏洞復(fù)現(xiàn) 331

5.1.4　漏洞預(yù)防和修復(fù) 339

5.2　CVE-2019-1040 NTLM MIC

繞過漏洞 339

5.2.1　漏洞背景 339

5.2.2　漏洞原理 340

5.2.3　漏洞完整利用鏈 340

5.2.4　漏洞影響版本 342

5.2.5　漏洞復(fù)現(xiàn) 342

5.2.6　漏洞抓包分析 347

5.2.7　漏洞預(yù)防和修復(fù) 356

5.3　CVE-2020-1472 NetLogon權(quán)限

提升漏洞 356

5.3.1　漏洞背景 356

5.3.2　漏洞原理 356

5.3.3　漏洞影響版本 361

5.3.4　漏洞復(fù)現(xiàn) 361

5.3.5　漏洞預(yù)防和修復(fù) 368

5.4　Windows Print Spooler權(quán)限提升

漏洞 368

5.4.1　漏洞背景 368

5.4.2　漏洞原理 369

5.4.3　漏洞影響版本 371

5.4.4　漏洞利用 371

5.4.5　漏洞預(yù)防和修復(fù) 374

5.5　ADCS攻擊 374

5.5.1　漏洞背景 374

5.5.2　基礎(chǔ)知識(shí) 375

5.5.3　ADCS的安全問題 389

5.5.4　漏洞預(yù)防和修復(fù) 398

5.6　CVE-2021-42287權(quán)限提升

查看全部↓