谢兆国（网络ID：谢公子）

现就职于深信服深蓝攻防实验室，任职攻防渗透专家；曾就职于绿盟科技烈鹰战队、360政企高级攻防部。国内知名攻防渗透专家，擅长内网渗透、域渗透、红队攻防，连续多年参加国*级、省市级、行业级实战攻防演练，并获得优异成绩。荣获安世加2020年度优秀作者奖、2021年国*级攻防演练最佳攻击手。在CSDN发表原创性技术文章五百余篇，获得CSDN博客专家、华为云享专家等称号。个人微信公众号：谢公子学安全。

张秋圆

红蓝攻防领域技术专家。曾任国内某知名公司安全研究员，负责外部安全攻防相关内容及内网安全建设与体系规划设计，对公司内部安全进行评估。参与多次大型红蓝攻防，并针对金融网、互联网等攻防环境有突破性成果。在灰黑产对抗、内网安全、应用安全、系统研发等网络安全技术领域有相关研究。

本书赞誉

前　言

第1章　Windows协议    1

1.1　NTLM协议    1

1.1.1　SSPI和SSP的概念    1

1.1.2　LM Hash加密算法    3

1.1.3　NTLM Hash加密算法    4

1.1.4　NTLM协议认证    6

1.1.5　NTLM协议的安全问题    23

1.2　Kerberos协议    27

1.2.1　Kerberos基础    28

1.2.2　PAC    29

1.2.3　Kerberos实验    34

1.2.4　AS-REQ&AS-REP    35

1.2.5　TGS-REQ&TGS-REP    40

1.2.6　AP-REQ&AP-REP双向

认证    45

1.2.7　S4u2Self&S4u2Proxy协议    47

1.2.8　Kerberos协议的安全问题    49

1.3　LDAP    50

1.3.1　LDAP基础    51

1.3.2　通信流程    52

1.3.3　查询方式    57

第2章　域基础知识    60

2.1　域中常见名词    60

2.2　工作组和域    63

2.2.1　工作组    63

2.2.2　域    64

2.2.3　域功能级别和林功能级别    66

2.2.4　工作组和域的区别    68

2.3　域信任    68

2.3.1　单向信任、双向信任和快捷

信任    69

2.3.2　内部信任、外部信任和林

信任    70

2.3.3　跨域资源访问    71

2.4　域的搭建和配置    74

2.4.1　搭建Windows Server 2008 R2

域功能级别的单域环境    74

2.4.2　搭建Windows Server 2012 R2

域功能级别的单域环境    77

2.4.3　搭建额外域控    80

2.4.4　搭建域树    82

2.4.5　加入和退出域    84

2.4.6　启用基于SSL的LDAP    85

2.5　本地账户和活动目录账户    88

2.5.1　本地账户    88

2.5.2　活动目录账户    90

2.6　本地组和域组    99

2.6.1　本地组    99

2.6.2　域组    101

2.7　目录分区    106

2.7.1　域目录分区    107

2.7.2　配置目录分区    108

2.7.3　架构目录分区    108

2.7.4　应用程序目录分区    115

2.7.5　条目属性分析    115

2.8　服务主体名称    118

2.8.1　SPN的配置    119

2.8.2　使用SetSPN注册SPN    121

2.8.3　SPN的查询和发现    123

2.9　域中的组策略    125

2.9.1　组策略的功能    126

2.9.2　组策略对象    126

2.9.3　策略设置与首选项设置    128

2.9.4　组策略应用时机    129

2.9.5　组策略应用规则    130

2.9.6　组策略的管理    131

2.9.7　组策略的安全问题    133

2.10　域中的访问控制列表    137

2.10.1　Windows访问控制

模型    138

2.10.2　访问控制列表    139

2.10.3　安全描述符定义语言    143

2.10.4　域对象ACL的查看和

修改    148

第3章　域内工具的使用    153

3.1　BloodHound的使用    153

3.1.1　BloodHound的安装    153

3.1.2　活动目录信息收集    156

3.1.3　导入数据    157

3.1.4　数据库信息    157

3.1.5　节点信息    157

3.1.6　分析模块    158

3.1.7　查询模块    159

3.2　Adfind的使用    159

3.2.1　参数    159

3.2.2　使用    160

3.2.3　查询示例    161

3.3　Admod的使用    167

3.3.1　参数    167

3.3.2　使用    168

3.3.3　修改示例    168

3.4　LDP的使用    169

3.4.1　连接域控    170

3.4.2　绑定凭据    170

3.4.3　查看    172

3.4.4　添加、删除和修改    174

3.5　Ldapsearch的使用    174

3.5.1　参数    174

3.5.2　使用    175

3.5.3　查询示例    177

3.6　PingCastle的使用    180

3.7　Kekeo的使用    184

3.7.1　Kekeo提供的模块    184

3.7.2?申请TGT    186

3.7.3　申请ST    189

3.7.4?约束性委派攻击    190

3.8　Rubeus的使用    190

3.8.1　申请TGT    191

3.8.2　申请ST    192

3.8.3　Rubeus导入票据    193

3.8.4　AS-REP Roasting攻击    194

3.8.5　Kerberoasting攻击    194

3.8.6　委派攻击    195

3.9　mimikatz的使用    196

3.10　Impacket的使用    200

3.10.1　远程连接    200

3.10.2　获取域内所有用户的Hash（secretsdump.py）    209

3.10.3　生成黄金票据

（ticketer.py）    210

3.10.4　请求TGT（getTGT.py）    210

3.10.5　请求ST（getST.py）    211

3.10.6　获取域的SID

（lookupsid.py）    212

3.10.7　枚举域内用户

（samrdump.py）    212

3.10.8　增加机器账户

（addcomputer.py）    213

3.10.9　AS-REP Roasting攻击（GetNPUsers.py）    214

3.10.10　Kerberoasting攻击（GetUserSPNs.py）    214

3.10.11　票据转换

（ticketConverter.py）    215

3.10.12　增加、删除和查询SPN（addspn.py）    216

第4章　域内渗透手法    218

4.1　域内用户名枚举    218

4.1.1　域内用户名枚举工具    218

4.1.2　域内用户名枚举抓包

分析    221

4.1.3　域内用户名枚举攻击

防御    221

4.2　域内密码喷洒    222

4.2.1　域内密码喷洒工具    222

4.2.2　域内密码喷洒抓包分析    224

4.2.3　域内密码喷洒攻击防御    227

4.3　AS-REP Roasting    228

4.3.1　AS-REP Roasting攻击

过程    228

4.3.2　AS-REP Roasting抓包

分析    232

4.3.3　AS-REP Roasting攻击

防御    233

4.4　Kerberoasting    233

4.4.1　Kerberoasting攻击过程    234

4.4.2　SPN的发现    234

4.4.3　请求服务票据    236

4.4.4　导出服务票据    237

4.4.5　离线破解服务票据    238

4.4.6　Kerberoasting抓包分析    239

4.4.7　Kerberoasting攻击防御    240

4.5　委派    242

4.5.1　委派的分类    243

4.5.2　查询具有委派属性的

账户    251

4.5.3　委派攻击实验    254

4.5.4　委派攻击防御    265

4.6　Kerberos Bronze Bit漏洞    265

4.6.1　漏洞背景    265

4.6.2　漏洞原理    266

4.6.3　漏洞复现    267

4.6.4　漏洞预防和修复    269

4.7　NTLM Relay    270

4.7.1　捕获Net-NTLM Hash    270

4.7.2　重放Net-NTLM Hash    286

4.7.3　NTLM Relay攻击防御    291

4.8　滥用DCSync    291

4.8.1　DCSync的工作原理    292

4.8.2　修改DCSync ACL    292

4.8.3　DCSync攻击    294

4.8.4　利用DCSync获取明文

凭据    295

4.8.5　DCSync攻击防御    295

4.9　PTH    296

4.9.1　本地账户和域账户PTH的

区别    296

4.9.2　Hash碰撞    301

4.9.3　利用PTH进行横向移动    302

4.9.4　更新KB2871997补丁产生的

影响    304

4.9.5　PTH防御    311

4.10　定位用户登录的主机    311

4.10.1　注册表查询    311

4.10.2　域控日志查询    318

4.11　域林渗透    322

4.11.1　查询域控    322

4.11.2　查询域管理员和企业

管理员    323

4.11.3　查询所有域用户    324

4.11.4　查询所有域主机    324

4.11.5　跨域横向攻击    324

4.11.6　域林攻击防御    327

第5章　域内漏洞和利用    330

5.1　MS14-068权限提升漏洞    330

5.1.1　漏洞背景    330

5.1.2　漏洞原理    330

5.1.3　漏洞复现     331

5.1.4　漏洞预防和修复    339

5.2　CVE-2019-1040 NTLM MIC

绕过漏洞    339

5.2.1　漏洞背景    339

5.2.2　漏洞原理    340

5.2.3　漏洞完整利用链    340

5.2.4　漏洞影响版本    342

5.2.5　漏洞复现    342

5.2.6　漏洞抓包分析    347

5.2.7　漏洞预防和修复    356

5.3　CVE-2020-1472 NetLogon权限

提升漏洞    356

5.3.1　漏洞背景    356

5.3.2　漏洞原理    356

5.3.3　漏洞影响版本    361

5.3.4　漏洞复现    361

5.3.5　漏洞预防和修复    368

5.4　Windows Print Spooler权限提升

漏洞    368

5.4.1　漏洞背景    368

5.4.2　漏洞原理    369

5.4.3　漏洞影响版本    371

5.4.4　漏洞利用    371

5.4.5　漏洞预防和修复    374

5.5　ADCS攻击    374

5.5.1　漏洞背景    374

5.5.2　基础知识    375

5.5.3　ADCS的安全问题    389

5.5.4　漏洞预防和修复    398

5.6　CVE-2021-42287权限提升