Nu1L战队是国内CTF联合战队，成立于2015年，队名源于英文单词“NULL”，《从0到1：CTFer成长之路》作者团队，目前成员80余人，队员分布于清华大学、上海科技大学、中科院信工所、复旦大学、北京大学、成都信息工程大学、南京邮电大学、西北大学、乔治亚理工学院等国内外各大高校，也分布于阿里、腾讯、华为、永信至诚、京东、安恒、长亭、启明星辰、蚂蚁金服等国内安全大厂。

Nu1L战队的成员都对信息安全以及CTF比赛有着浓厚的兴趣，如拿获2019年护网杯冠军、2020年全国工业互联网安全技术技能大赛冠军，于2021年闯入DEFCON CTF决赛并获得全球第七名，除了收获国内外各类CTF比赛优异成绩之外，Nu1L还是N1CTF以及空指针挑战赛发起者，同时也是成都“巅峰极客”决赛“广诚市”三年场景设计者。成员也有参加Pwn2own、Geekpwn、天府杯的安全研究员，同时也有HITCON、KCON、Blackhat、天府杯等国内外安全会议演讲者。

本书共10章，第1～6章是内网渗透的基础知识，第7～9章是内网渗透的重要内容，包括Kerberos专题、NTLM Relay专题和Microsoft Exchange专题，第10章免杀技术也是内网渗透中不可或缺的内容。本书内容精于内网渗透，技术内容深，覆盖人群广，不论是刚入门的内网安全爱好者，还是经验丰富的红队老人，都能从中获得相应帮助。

目  录

第1章  内网渗透测试基础知识 1

1.1  内网工作环境 1

1.1.1  工作组 1

1.1.2  域 1

1.1.3  域控制器 4

1.2  活动目录 4

1.2.1  Ntds.dit文件 5

1.2.2  目录服务与LDAP 5

1.2.3  活动目录的访问 6

1.2.4  活动目录分区 7

1.2.5  活动目录的查询 9

1.3  域用户与机器用户介绍 13

1.3.1  域用户 13

1.3.2  机器用户 13

1.4  域用户组的分类和权限 15

1.4.1  组的用途 15

1.4.2  安全组的权限 15

1.5  组织单位 18

1.6  域内访问权限控制 20

1.6.1  Windows访问控制模型 21

1.6.2  访问控制列表 21

1.7  组策略 25

1.7.1  组策略对象 25

1.7.2  组策略的创建 30

1.8  内网域环境搭建 32

1.8.1  单域环境搭建 32

1.8.2  父子域环境搭建 39

小结 46

第2章  内网信息收集 47

2.1  本机基础信息收集 47

2.2  域内基础信息收集 56

2.3  内网资源探测 61

2.3.1  发现内网存活主机 61

2.3.2  内网端口扫描 64

2.3.3  利用MetaSploit探测内网 67

2.3.4  获取端口Banner信息 68

2.4  用户凭据收集 69

2.4.1  获取域内单机密码和哈希值 69

2.4.2  获取常见应用软件凭据 73

2.5  使用BloodHound自动化分析域环境 81

2.5.1  采集并导出数据 81

2.5.2  导入数据 81

2.5.3  节点信息 82

2.5.4  边缘信息 84

2.5.5  数据分析 85

小结 92

第3章  端口转发与内网代理 95

3.1  端口转发和代理 95

3.1.1  正向连接和反向连接 95

3.1.2  端口转发 96

3.1.3  SOCKS代理 96

3.2  常见转发与代理工具 96

3.2.1  LCX 97

3.2.2  FRP 100

小结 106

第4章  权限提升 107

4.1  系统内核漏洞提权 107

4.1.1  查找系统潜在漏洞 107

4.1.2  确定并利用漏洞 109

4.2  系统服务提权 110

4.2.1  不安全的服务权限 110

4.2.2  服务注册表权限脆弱 112

4.2.3  服务路径权限可控 113

4.2.4  未引用的服务路径 114

4.2.5  PowerUp 115

4.3  MSI安装策略提权 116

4.3.1  确定系统是否存在漏洞 116

4.3.2  创建恶意MSI并安装 117

4.4  访问令牌操纵 118

4.4.1  访问令牌 118

4.4.2  常规令牌窃取操作 119

4.4.3  Potato家族提权 122

4.5  Bypass UAC 126

4.5.1  UAC白名单 127

4.5.2  DLL劫持 130

4.5.3  模拟可信任目录 131

4.5.4  相关辅助工具 134

4.6  用户凭据操作 135

4.6.1  枚举Unattended凭据 135

4.6.2  获取组策略凭据 136

4.6.3  HiveNightmare 138

4.6.4  Zerologon域内提权 140

4.7  Print Spooler提权漏洞 142

4.7.1  PrintDemon 142

4.7.2  PrintNightmare 145

4.8  Nopac域内提权 148

4.9  Certifried域内提权 148

4.9.1  活动目录证书服务 148

4.9.2  活动目录证书注册流程 149

4.9.3  漏洞分析 149

小结 154

第5章  内网横向移动 155

5.1  横向移动中的文件传输 156

5.1.1  通过网络共享 156

5.1.2  搭建SMB服务器 157

5.1.3  通过Windows自带工具 158

5.2  创建计划任务 159

5.2.1  常规利用流程 159

5.2.2  UNC路径加载执行 161

5.3  系统服务利用 162

5.3.1  创建远程服务 162

5.3.2  SCShell 163

5.3.3  UAC Remote Restrictions 164

5.4  远程桌面利用 165

5.4.1  远程桌面的确定和开启 165

5.4.2  RDP Hijacking 166

5.4.3  SharpRDP 167

5.5  PsExec远程控制 167

5.6  WMI的利用 168

5.6.1  常规利用方法 168

5.6.2  常见利用工具 171

5.6.3  WMI事件订阅的利用 173

5.7  DCOM的利用 176

5.7.1  COM和DCOM 176

5.7.2  通过DCOM横向移动 176

5.8  WinRM的利用 180

5.8.1  通过WinRM执行远程命令 181

5.8.2  通过WinRM获取交互式会话 182

5.9  哈希传递攻击 184

5.9.1  哈希传递攻击的利用 184

5.9.2  利用哈希传递登录远程桌面 185

5.10  EhernalBlue 187

小结 188

第6章  内网权限持久化 189

小结 229

第7章  Kerberos攻击专题 231

小结 254

第8章  NTLM中继专题 255

小结 296

第9章  Exchange攻击专题 297

小结 320

第10章  免杀技术初探 321

小结 336