大量大规模红蓝攻防经验总结

目　　录 Contents

前　言

第一部分　基础知识

第1章　提权概述  3

1.1权限与权限提升  3

1.1.1权限的概念  3

1.1.2权限提升的概念  4

1.1.3权限提升的分类  4

1.1.4权限提升的目的  5

1.2Windows提权基础知识  5

1.2.1用户和用户组  6

1.2.2访问控制列表  10

1.2.3安全标识符  12

1.2.4身份验证  13

1.2.5访问令牌  13

1.2.6权限分配  15

1.2.7Windows哈希  18

1.2.8用户账户控制  19

1.2.9Windows服务  22

1.2.10　注册表  23

1.3Linux提权基础知识  24

1.3.1用户  24

1.3.2用户组  25

1.3.3用户配置文件  26

1.3.4用户管理相关命令  30

1.3.5文件及权限  35

第2章　环境与工具的准备  41

2.1虚拟机  41

2.2攻击机Kali Linux  41

2.2.1虚拟机文件  42

2.2.2WSL  44

2.2.3Metasploit  48

2.2.4Cobalt Strike  55

2.2.5Empire 4  64

2.3PowerShell  76

2.3.1查看版本  77

2.3.2PowerShell cmdlet  77

2.3.3执行策略和导入脚本  77

2.3.4远程下载并执行  79

2.3.5编码执行  80

2.4WinPEAs  80

2.5PowerUp和SharpUp  81

2.6Accesschk  83

2.7cacls和icacls  84

第3章　文件操作  86

3.1Windows文件操作  86

3.1.1文件创建/写入  86

3.1.2文件读取  88

3.1.3文件下载  88

3.1.4文件压缩/解压  90

3.2Linux文件操作  92

3.2.1文件创建/写入  92

3.2.2文件读取  93

3.2.3文件搜索  94

3.2.4文件下载  94

3.2.5文件压缩/解压  95

第二部分　Windows提权

第4章　Windows系统下的信息

收集  99

4.1服务器信息枚举  99

4.1.1版本信息  99

4.1.2架构信息  99

4.1.3服务信息  100

4.1.4进程信息  101

4.1.5驱动信息  102

4.1.6磁盘信息  103

4.1.7补丁信息  104

4.1.8系统信息  104

4.1.9应用程序信息  105

4.1.10　计划任务信息  108

4.1.11　开机启动信息  109

4.1.12　环境变量信息  110

4.2网络信息枚举  111

4.2.1IP信息  111

4.2.2端口信息  112

4.2.3网络接口信息  112

4.2.4路由信息  112

4.2.5共享信息  113

4.3用户信息枚举  114

4.3.1当前用户信息  114

4.3.2所有用户／组信息  115

4.3.3在线用户信息  118

4.3.4用户策略信息  118

4.4防护软件枚举  118

4.4.1防火墙状态  118

4.4.2Windows Defender状态  119

4.4.3常见的防护软件进程  120

第5章　Windows密码操作  121

5.1密码搜索  121

5.1.1文件中的密码搜索  121

5.1.2在注册表中寻找密码  124

5.1.3无人值守文件  125

5.1.4安全账户数据库备份文件  127

5.1.5便笺信息  128

5.1.6应用中的密码  129

5.1.7PowerShell历史命令记录  132

5.1.8WiFi密码  132

5.1.9凭据管理器  134

5.1.10　WSL子系统  138

5.1.11　针对密码泄露的防御措施  140

5.2密码窃取  140

5.2.1伪造锁屏  140

5.2.2伪造认证框  147

5.2.3肩窥  159

5.2.4针对密码窃取的防御措施  164

5.3密码破解  164

5.3.1暴力破解  164

5.3.2字典组合  168

5.3.3撞库攻击  169

5.3.4喷射攻击  169

5.3.5针对密码破解的防御措施  170

第6章不安全的Windows系统

配置项  171

6.1不安全的服务  171

6.1.1弱权限的服务配置  171

6.1.2弱权限的服务文件  178

6.1.3弱权限的注册表  184

6.1.4未引用的服务路径  188

6.1.5DLL劫持  193

6.1.6针对不安全服务的防御

措施  200

6.2不安全的注册表项  200

6.2.1注册表启动项AutoRun  200

6.2.2AlwaysInstallElevated  203

6.2.3针对不安全注册表项的

防御措施  209

6.3不安全的应用程序  209

6.4不安全的系统配置  212

6.4.1环境变量劫持  212

6.4.2可修改的计划任务  215

6.4.3HiveNightmare  218

6.4.4开机启动文件夹  221

6.4.5针对不安全系统配置的

防御措施  223

6.5不安全的令牌权限  223

6.5.1SeImpersonatePrivilege和

SeAssignPrimaryTokenPrivilege  223

6.5.2SeDebugPrivilege  240

6.5.3SeTcbPrivilege  243

6.5.4SeBackupPrivilege  243

6.5.5SeRestorePrivilege  246

6.5.6SeCreateTokenPrivilege  252

6.5.7SeLoadDriverPrivilege  253

6.5.8SeTakeOwnershipPrivilege  255

6.5.9针对不安全令牌权限的

防御措施  261

6.6令牌操纵  262

6.6.1令牌冒用  262

6.6.2令牌窃取  264

6.6.3令牌绑架  267

6.6.4针对令牌操纵的防御措施  267

6.7RunAs  267

6.7.1常规利用  267

6.7.2RunasCs  268

6.7.3PowerShell  269

6.7.4WMIC  270

6.7.5针对RunAs的防御措施  270

6.8绕过UAC  270

6.8.1查看UAC状态  272

6.8.2白名单程序绕过UAC  274

6.8.3COM组件绕过UAC  286

6.8.4常用工具  292

6.8.5针对绕过UAC的防御措施  299

第7章Windows系统漏洞与

第三方提权  301

7.1Hot Potato  301

7.2Print Spooler和PrintNightmare  302

7.2.1Print Spooler  303

7.2.2PrintNightmare  304

7.3溢出漏洞  305

7.3.1实验步骤  306

7.3.2漏洞利用  310

7.3.3针对溢出漏洞的防御措施  312

7.4数据库提权  313

7.4.1SQL Server  313

7.4.2MySQL  336

7.4.3针对数据库提权的防御

措施  341

第三部分　Linux提权

第8章　Linux系统下的信息收集  345

8.1服务器信息枚举  345

8.1.1判断是否使用虚拟化技术  345

8.1.2系统基本信息  346

8.1.3内核版本信息  346

8.1.4系统架构信息  346

8.1.5发行版本信息  347

8.1.6系统主机名信息  347

8.2用户信息枚举  347

8.2.1当前用户信息  347

8.2.2所有用户/组信息  348

8.2.3id和对应组信息  348

8.2.4在线用户信息  348

8.2.5历史登录信息  349

8.2.6超管用户信息  350

8.3环境配置枚举  350

8.3.1系统环境信息  350

8.3.2环境变量中的路径信息  351

8.3.3用户环境配置文件  351

8.3.4可用Shell  351

8.4网络信息枚举  351

8.4.1网络接口信息  351

8.4.2ARP缓存信息  352

8.4.3路由信息  353

8.4.4系统网络连接信息  353

8.4.5DNS信息  354

8.5系统进程枚举  354

8.6特权访问枚举  355

8.6.1sudoers文件权限  355

8.6.2无密码访问sudo  356

8.7cron任务枚举  356

8.7.1所有cron任务  356

8.7.2所有用户的定时任务  357

8.7.3当前用户的定时任务  357

8.7.4其他用户的定时任务  358

8.8软件信息枚举  358

8.9文件枚举  359

8.9.1常用工具  359

8.9.2系统敏感文件权限  359

8.9.3特殊权限的文件  360

8.9.4可写文件  360

8.9.5指定扩展名的文件  361

8.9.6关键字文件  361

8.9.7历史命令记录文件  361

8.9.8隐藏文件  362

8.9.9配置文件  363

8.9.10　SSH私钥文件  364

8.10　信息收集辅助工具  365

8.10.1　Metasploit模块  365

8.10.2　LinEnum脚本  365

第9章不安全的Linux系统

配置项  368

9.1不安全的用户组  368

9.1.1disk用户组  368

9.1.2adm用户组  369

9.1.3shadow用户组  369

9.1.4lxd用户组  370

9.1.5docker用户组  373

9.1.6针对不安全用户组的

防御措施  374

9.2不安全的读写权限  374

9.2.1可写的/etc/passwd文件  374

9.2.2可读的/etc/shadow文件  375

9.2.3Systemd配置不当  377

9.2.4针对不安全读写权限的

防御措施  378

9.3不安全的SUID权限  379

9.3.1SUID配置不当  379

9.3.2SUID systemctl提权  380

9.3.3$PATH变量劫持  381

9.3.4so共享对象库注入  383

9.3.5Capabilities机制  386

9.3.6针对不安全SUID权限的

防御措施  388

9.4不安全的sudo配置  388

9.4.1sudo权限分配不当  388

9.4.2sudo脚本篡改  389

9.4.3sudo脚本参数利用  390

9.4.4sudo绕过路径执行  392

9.4.5sudo LD_PRELOAD环境

变量  393

9.4.6sudo caching  394

9.4.7sudo令牌进程注入  395

9.4.8针对不安全sudo配置的

防御措施  397

9.5不安全的定时任务  397

9.5.1crontab配置可写  398

9.5.2crontab调用文件覆写  400

9.5.3cron环境变量  402

9.5.4针对不安全定时任务的

防御措施  403

9.6可被利用的通配符  404

9.6.1chown劫持文件所有者  404

9.6.2tar通配符注入  406

9.6.3rsync通配符注入  407

9.6.4针对可被利用通配符的

防御措施  408

第10章　Linux系统漏洞与第三方

　提权  409

10.1　内核漏洞  409

10.1.1　内核溢出  409

10.1.2CVE-2016-5195（脏牛）  412

10.1.3Metasploit  413

10.1.4针对内核漏洞的防御

措施  414

10.2　密码破解  414

10.2.1SSH  414

10.2.2MySQL  415

10.2.3Tomcat  416

10.2.4针对密码破解的防御

措施  417

10.3　不安全的第三方应用  418

10.3.1Tomcat manager  418

10.3.2Redis未授权访问  419

10.3.3Nginx本地提权漏洞

（CVE-2016-1247）  421

10.3.4针对不安全第三方应用的

防御措施  424

10.4　Docker逃逸  424

10.4.1Docker渗透工具箱  424

10.4.2容器漏洞  425

10.4.3配置不当  428

10.4.4Docker Capabilities  431

10.4.5针对Docker逃逸的防御

措施  435