红队攻击思路知识框架-蒲公英云

0x00 红队基础知识

#

一、构建一个大型内网域环境搭建

父域控制器
子域控制器
辅域控制器
域内主机
域内服务器

二、Windows NTLM(NT LAN Manager)认证原理Kerberos 域内认证原理

0x02 内网信息搜集篇

一、工作组和大型域内网如何进行信息搜集

如何搜集本机密码
- MySQL
- SQL Server
- … …
- Linux 如何搜索特定的密码文件
- 搜集指定用户的命令历史记录中的各种明文密码
- Windows 2012 高版本以上如何搜集密码
- Windows 2012 版本以下如何搜集密码
- 关于 Linux 下如何搜集各种密码信息
- 无线密码抓取
- 组册表里各种健值敏感信息
- 搜集数据库中保存的各类高价值账号密码
- 搜集保存在目标系统本地各种文档中的明文密码
- 针对各类常用 windows 办公软件的各类密码搜集
如何搜集VPN密码
如何搜集浏览器相关凭证
- Chrome 浏览器抓取凭证
- Firefox 浏览器抓取凭证
- 360 浏览器抓取凭证
- IE 浏览器抓取凭证
如何搜集各种数据库信息
- 通过 LDAP 定位核心机器
- 通过 LDAP 获取内网架构分布
- 通过 LDAP 获取内网组织架构
- 通过 LDAP 获取域内核心机器
- Mysql
- SQL Server
- Oracle
- PostgreSQL
- LDAP
根据当前跳板机器搜集网络环境(判断那种协议出网)
获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip
获取当前系统最近的用户登录记录
获取当前用户的所有命令历史记录(针对于 Linux)
远程截屏捕捉目标用户敏感操作
获取当前机器环境变量(Java、Python、Go …)
获取当前本机 rdp / ssh 端口开启状态及其默认端口号
获取本机所有已安装软件的详细列表
获取本机各个浏览器中保存的、书签页、历史浏览记录
获取当前用户桌面、回收站里的所有文件列表
获取当前系统代理
获取当前系统的所有 ipc 连接、共享
获取当前系统host文件内容
利用系统自带截屏捕捉目标用户敏感操作
…

二、搜集目标内网邮箱

企业内网邮箱信息搜集
- 通过邮箱对内网进行整体分析
Exchange内网邮箱信息搜集
- 通过邮箱对内网进行整体分析
… …

三、搜集目标内网各种Web页面、Web框架、登陆入口

Tomcat
Struts2
Weblogic
Jboss
Jekins
Apache Solr
… …

四、搜集各类客户端软件

FTP
- XFtp
- WinSCP
- FileZilla
- Xshell
- MobaXterm
远程客户端管理
- 向日葵
- TeamViewer
SSH
- WinSCP
- MobaXterm
- Xshell

五、对于内网存活机器信息搜集

NetBIOS
ICMP
TCP
UDP
ARP

六、针对成百上千的内网如何快速信息搜集

如何快速对一个 C 段进行信息搜集
如何快速对一个 B 段进行信息搜集
如何快速对一个 A 段进行信息搜集

0x03 内网穿透、流量代理、端口转发篇

一、根据当前跳板机器判断出网情况

TCP/UDP
ICMP
DNS
HTTP
HTTPS

二、正/反向代理连接工具

Metasploit
CobaltStrike
proxychains
SSocks
frp
…

三、端口转发

LCX
Metasploit
netsh
iptables
powershell

四、内网穿透工具

FRP
NPS
spp
venom

五、针对不出网主机如何上线到 C2(Metasploit、CobaltStrike)

DNS
HTTP
ICMP
SMB

六、针对常规不出网主机如何做内网穿透、流量代理

DNS出网的话
- iodine
HTTP/HTTPS出网的话
- reGeorg
- Neo-reGeorg

0x04 权限提升篇

一、Windows

Windows 提权之内核溢出提权
Windows 提权之土豆系列(Windows 9 种权限利用)
Windows 提权之第三方服务提权
Windows 提权之系统错误配置提权
Windows 提权之 Bypass UAC
数据库提权
- Mysql UDF 提权
- Mysql MOF 提权
- SQL Server XP_cmdshell 提权
- SQL Server SP_oacreate 提权
- SQL Server 其他提权
- … … 等等

二、Linux

Linux 提权之内核溢出提权
Linux 提权之 SUID 提权
Linux 提权之利用错误配置提权
Linux 提权之计划任务提权
Linux 提权之利用高权限服务提权
… … 等等

0x04 各种 C2 使用以及深度分析篇

一、Metasploit

Metasploit｜七大模块详解
Metasploit｜针对 Auxiliary 辅助模块的常规使用
Metasploit｜针对 Exploit 漏洞利用模块的常规使用
Metasploit｜针对 Payload 模块生成各种(正/反)漏洞利用可执行文件
Metasploit｜针对 Post 后渗透利用模块的常规使用
Metasploit｜获取当前机器的明文密码及 Hash
Metasploit｜获取提权的有效模块进行权限提升
Metasploit｜窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用
Metasploit｜根据当前跳板机器如何添加路由、进行端口转发、内网穿透
Metasploit｜如何连接到 Postgresql 数据库进行管理渗透记录
Meterpreter｜添加 Socks 代理
Meterpreter｜设置 session 永久不掉线(防止权限丢失)
Meterpreter｜设置上线之后自动进程迁移(防止权限丢失)
Meterpreter｜开启目标远程桌面服务 3389 端口
Meterpreter｜针对内网各种服务进行爆破
- 针对内网所有 Windows 存活机进行批量 SMB 爆破
- 针对内网所有 Mssql 存活机进行批量爆破
- 针对内网所有 Mysql 存活机进行批量爆破
- 针对内网所有 Linux 存活机进行批量 Ssh 爆破
- 针对内网所有 Redis 存活进行批量爆破
- 针对内网所有存活 Postgresql 进行批量爆破
- 针对内网所有存活 Telnet 进行批量爆破
- 针对内网所有存活 Ftp 进行批量爆破
- 针对内网 Exchange 的 ews 接口爆破
Meterpreter｜如何发现内网下各类高价值存活主机
- 探测内网 SMB，Windows 存活
- 探测内网 SSH，Linux 存活
- 探测内网 MySQL 存活
- 探测内网 MsSQL 存活
- 探测内网 RDP 存活(3389)
- 探测内网 Telnet 存活
- 探测内网 FTP 存活
- 探测内网 Web 组件快速批量识别
- 探测内网 MS17-010 漏洞
- 探测内网 CVE-2019-0708 漏洞
Metasploit 与 Cobalt Strike 双双联动
如何单靠 Metasploit 来对内网进行渗透