如何一个人对一个庞大的内网进行内网渗透？

渗透攻击红队｜2023 年最新内网渗透课程目录大纲

相信很多人关注我的公众号都是看我写一些内网渗透的文章才认识我：

无域用户下的内网域渗透，在一个庞大的内网里如何进行内网渗透？

一次在工作组的内网里渗透到第三层内网【从 0 到 1 打穿所有内网机器】

一次利用 Metasploit 进行特权提权，再到 2500 台主机的内网域渗透

从外网 log4j2 RCE 再到内网核弹组合拳漏洞 CVE-2021-42287、CVE-2021-42278 拿到 DC

一次完美的内网域渗透，如何找到最有效的攻击路线，进行精准域内打击

为了帮助哪些内网渗透不是很熟悉、想要深度学习内网渗透的兄弟们，我打算继续开启培训，这一期只专注做内网渗透的培训。

试看视频大家可到哔哩哔哩去观看：https://space.bilibili.com/481401583

这一期内网渗透培训重点教：如何在内网里更隐蔽的渗透，从而绕过一些防护设备、如何在内网里精确的获取我们想要的机器、文件、人物信息、如何在内网里长期潜伏并且实施进行长期后渗透。

以下是整个培训的目录，有想法的兄弟可以在文章末尾联系我！

红队攻击思路

网络安全法｜红队攻击思路初步介绍

红队基础知识

构建一个大型内网域环境搭建

• 父域控制器
• 子域控制器
• 辅域控制器
• 域内主机
• 域内服务器

Windows NTLM（NT LAN Manager）认证原理

Kerberos 域内认证原理

内网信息搜集篇

工作组和大型域内网如何进行信息搜集

• 如何搜集本机密码

• MySQL
• SQL Server
• ... ...
• Linux 如何搜索特定的密码文件
• 搜集指定用户的命令历史记录中的各种明文密码

• Windows 2012 高版本以上如何搜集密码

• Windows 2012 版本以下如何搜集密码

• 关于 Linux 下如何搜集各种密码信息

• 无线密码抓取

• 组册表里各种健值敏感信息

• 搜集数据库中保存的各类高价值账号密码

• 搜集保存在目标系统本地各种文档中的明文密码

• 针对各类常用 windows 办公软件的各类密码搜集

• 如何搜集VPN密码

• 如何搜集浏览器相关凭证

• Chrome 浏览器抓取凭证
• Firefox 浏览器抓取凭证
• 360 浏览器抓取凭证
• IE 浏览器抓取凭证

• 如何搜集各种数据库信息

• 通过 LDAP 定位核心机器
• 通过 LDAP 获取内网架构分布
• 通过 LDAP 获取内网组织架构
• 通过 LDAP 获取域内核心机器

• Mysql

• SQL Server

• Oracle

• PostgreSQL

• LDAP

• 根据当前跳板机器搜集网络环境（判断那种协议出网）

• 获取当前系统的详细IP配置，包括所在域, ip, 掩码, 网关, 主备 dns ip

• 获取当前系统最近的用户登录记录

• 获取当前用户的所有命令历史记录（针对于 Linux）

• 远程截屏捕捉目标用户敏感操作

• 获取当前机器环境变量（Java、Python、Go ...）

• 获取当前本机 rdp / ssh 端口开启状态及其默认端口号

• 获取本机所有已安装软件的详细列表

• 获取本机各个浏览器中保存的、书签页、历史浏览记录

• 获取当前用户桌面、回收站里的所有文件列表

• 获取当前系统代理

• 获取当前系统的所有 ipc 连接、共享

• 获取当前系统host文件内容

• 利用系统自带截屏捕捉目标用户敏感操作

• ...

搜集目标内网邮箱

• 企业内网邮箱信息搜集

• 通过邮箱对内网进行整体分析

• Exchange内网邮箱信息搜集

• 通过邮箱对内网进行整体分析

• ... ...

搜集目标内网各种Web页面、Web框架、登陆入口

• Tomcat
• Struts2
• Weblogic
• Jboss
• Jekins
• Apache Solr
• ... ...

搜集各类客户端软件

• FTP

• XFtp
• WinSCP
• FileZilla
• Xshell
• MobaXterm

• 远程客户端管理

• 向日葵
• TeamViewer

• SSH

• WinSCP
• MobaXterm
• Xshell

对于内网存活机器信息搜集

• NetBIOS
• ICMP
• TCP
• UDP
• ARP

针对成百上千的内网如何快速信息搜集

• 如何快速对一个 C 段进行信息搜集
• 如何快速对一个 B 段进行信息搜集
• 如何快速对一个 A 段进行信息搜集

内网穿透、流量代理、端口转发篇

根据当前跳板机器判断出网情况

• TCP/UDP
• ICMP
• DNS
• HTTP
• HTTPS

正/反向代理连接工具

• Metasploit
• CobaltStrike
• proxychains
• SSocks
• frp
• ...

端口转发

• LCX
• Metasploit
• netsh
• iptables
• powershell

内网穿透工具

• FRP
• NPS
• spp
• venom

针对不出网主机如何上线到 C2（Metasploit、CobaltStrike）

• DNS
• HTTP
• ICMP
• SMB

针对常规不出网主机如何做内网穿透、流量代理

• DNS出网的话

• iodine

• HTTP/HTTPS出网的话

• reGeorg
• Neo-reGeorg

权限提升篇

Windows

• Windows 提权之内核溢出提权

• Windows 提权之土豆系列（Windows 9 种权限利用）

• Windows 提权之第三方服务提权

• Windows 提权之系统错误配置提权

• Windows 提权之 Bypass UAC

• 数据库提权

• Mysql UDF 提权
• Mysql MOF 提权
• SQL Server XP_cmdshell 提权
• SQL Server SP_oacreate 提权
• SQL Server 其他提权
• ... ... 等等

Linux

• Linux 提权之内核溢出提权
• Linux 提权之 SUID 提权
• Linux 提权之利用错误配置提权
• Linux 提权之计划任务提权
• Linux 提权之利用高权限服务提权
• ... ... 等等

各种 C2 使用以及深度分析篇

Metasploit

• Metasploit｜七大模块详解

• Metasploit｜针对 Auxiliary 辅助模块的常规使用

• Metasploit｜针对 Exploit 漏洞利用模块的常规使用

• Metasploit｜针对 Payload 模块生成各种（正/反）漏洞利用可执行文件

• Metasploit｜针对 Post 后渗透利用模块的常规使用

• Metasploit｜获取当前机器的明文密码及 Hash

• Metasploit｜获取提权的有效模块进行权限提升

• Metasploit｜窃取键盘记录、获取目标屏幕截图、文件上传下载操作、以及 load 扩展使用

• Metasploit｜根据当前跳板机器如何添加路由、进行端口转发、内网穿透

• Metasploit｜如何连接到 Postgresql 数据库进行管理渗透记录

• Meterpreter｜添加 Socks 代理

• Meterpreter｜设置 session 永久不掉线（防止权限丢失）

• Meterpreter｜设置上线之后自动进程迁移（防止权限丢失）

• Meterpreter｜开启目标远程桌面服务 3389 端口

• Meterpreter｜针对内网各种服务进行爆破

• 针对内网所有 Windows 存活机进行批量 SMB 爆破
• 针对内网所有 Mssql 存活机进行批量爆破
• 针对内网所有 Mysql 存活机进行批量爆破
• 针对内网所有 Linux 存活机 进行批量 Ssh 爆破
• 针对内网所有 Redis 存活进行批量爆破
• 针对内网所有存活 Postgresql 进行批量爆破
• 针对内网所有存活 Telnet 进行批量爆破
• 针对内网所有存活 Ftp 进行批量爆破
• 针对内网 Exchange 的 ews 接口爆破

• Meterpreter｜如何发现内网下各类高价值存活主机

• 探测内网 SMB，Windows 存活
• 探测内网 SSH，Linux 存活
• 探测内网 MySQL 存活
• 探测内网 MsSQL 存活
• 探测内网 RDP 存活（3389）
• 探测内网 Telnet 存活
• 探测内网 FTP 存活
• 探测内网 Web 组件快速批量识别
• 探测内网 MS17-010 漏洞
• 探测内网 CVE-2019-0708 漏洞

• Metasploit 与 Cobalt Strike 双双联动

• 如何单靠 Metasploit 来对内网进行渗透

CobaltStrike

• Cobalt Strike｜安装与简介
• Cobalt Strike｜创建监听以及生 Payload
• Cobalt Strike｜如何基于 HTTP / SMB 上线
• Cobalt Strike｜如何抓当前机器的密码 HASH
• Cobalt Strike｜内网端口扫描以及发现内网存活机器
• Cobalt Strike｜端口转发、Socks 代理
• Cobalt Strike｜进程窃取、屏幕截图、键盘记录、进程迁移
• Cobalt Strike｜第三方插件的使用（渗透攻击红队）
• Cobalt Strike｜如何造轮子写一个自己的插件
• Cobalt Strike｜内网批量上线
• Cobalt Strike｜针对于不同的网络环境上线不出网的机器
• Cobalt Strike｜中转上线内网不出网的机器
• Cobalt Strike 与 Metasploit 双双联动

Poshc2

TSH

... ...

内网横向移动篇

基于 Metasploit 下的横向移动

基于 Cobalt Strike 下的横向移动

利用 PsExec 来横向移动

利用 SMBExec 来横向移动

利用 WMIExec 来横向移动

IPC 命令行攻击

• at 定时任务
• schtasks 定时任务
• wmic
• WinRm

哈希传递（Pass The Hash）横向移动

域内攻击篇

从域外对域内进行枚举搜集各类信息

从域外对域内进行密码喷洒攻击

令牌窃取在实际域渗透中的灵活运用

哈希传递（Pass The Hash）攻击

MS14-068 票据传递（Pass the Ticket）攻击

域渗透中活动目录 ntds.dit 文件的获取与实际应用

Windows 2008 GPP 组策略首选项漏洞利用

域渗透之非约束委派攻击利用

域渗透之约束委派攻击利用

域渗透之基于资源的约束委派攻击利用

NetLogon 域内提权漏洞（CVE-2020-1472）

利用 krbtgt 来打造 Golden Ticket（黄金票据） 对域内进行权限维持

通过服务账号 Hash 来打造 Silver Ticket（白银票据） 进行 PTK

内网渗透中的 Net-NTLM Relay Attack

利用 Skeleton Key 对域内权限进行权限维持

通过 Hook PasswordChangeNotify 拦截修改的帐户密码

通过 SSP 来获取目标登陆的凭据从而达到权限维持的手段

通过 GPO（组策略对象）批量控制域内主机

AS-REP Roasting Attack

多种域内漏洞组合拳利用

跨域攻击、如何从子域攻击到主域

无域用户下如何进行域渗透

如何从 A 域 渗透到 B 域

域内定向攻击，获取指定机器的权限

通过 Windows 域外远程获取目标域内数据

通过 Linux 域外远程获取目标域内数据

Exchange 攻击篇

对内网里 Exchange 邮件服务进行枚举邮箱用户和密码喷洒攻击

对内网里 Exchange 邮件服务进行 NTLM Relay

Exchange CVE-2020-0688 远程代码执行漏洞利用

Exchange 常规内外网打点搜集  [Exchange存活、目标 Exchange 接口、定位 Exchange 服务器]

基于 Metasploit 对 Exchange 的常规接口爆破

Exchange 导出指定邮件内网

...

杀软对抗篇

免杀制作思路

基于白名单绕过

Payload 免杀编写

Bypass add user

Cobalt Strike Profile 分析以及编写

通过域名+CDN 隐藏 C2（Metasploit、CobaltStrike）

Metasploit 通过 ACL 隐藏 Bind Shell

权限维持篇

权限维持思路讲解

自启动权限维持

计划任务权限维持

组册表权限维持

DLL 劫持

不通环境下的内网渗透方式讲解篇

工作组下如何进行内网渗透

域环境下如何进行内网渗透

Linux 集群环境渗透姿势

特别篇 [ 本次培训重点 ]

如何在内网里更隐蔽的渗透，从而绕过一些防护设备

如何在内网里精确的获取我们想要的机器、文件、人物信息

如何在内网里长期潜伏并且进行长期渗透

培训扫描微信联系