书籍详情
ATT&CK视角下的红蓝对抗实战指南
作者:贾晓璐 李嘉旭 党超辉
出版社:机械工业出版社
出版时间:2019-09-01
ISBN:9787111733744
定价:¥159.00
购买这本书可以去
内容简介
内容简介这是一本能同时帮助红队和蓝队建立完整攻击和防御知识体系的著作,也是一本既能指导企业建设和完善网络安全防御系统,又能打造安全工程师个人安全能力护城河的著作。全书以ATT&CK框架模型为基座,系统、详细地讲解了信息收集、隧道穿透、权限提升、凭据获取、横向渗透、持久化6大阶段所涉及的技术原理、攻击手段和防御策略。既能让红队理解攻击的本质、掌握实战化的攻击手段,又能让蓝队看透红队的攻击思路,从而构建更为强大的防御体系。本书的宗旨是“以攻促防、以战训战”,所以书中精心整理了大量来自实践的攻防案例,每个案例都提供了详细的思路、具体的步骤,以及实战中的经验、技巧和注意事项,尽可能让读者感受到真实的攻防对抗氛围。本书内容丰富,讲解又极为细致,所以篇幅巨大,具体包含如下7个方面的内容。(1)Windows安全基础详细介绍Windows的安全认证机制(NTLM认证、Kerberos域认证)、协议(LLMNR、NetBIOS、WPAD、LDAP)和域的基础知识。(2)信息收集 详细讲解主机发现、Windows/Linux操作系统信息收集、组策略信息收集、域控相关信息收集、Exchange信息收集等各种信息收集手段。(3)隧道穿透全面、透彻讲解隧道穿透技术基础知识、利用多协议进行隧道穿透的方法、常见的隧道利用工具、以及检测防护方法。(4)权限提升详细讲解内核漏洞提权、错配漏洞提权、第三方服务提权等红蓝对抗中常用的提权手法,既讲解这些手法在实际场景中的利用过程,又提供针对性的防御手段。(5)凭据获取从攻击和防御两个维度,详细讲解主要的凭证获取手法,包括软件凭证获取、本地凭证获取、域内凭证等。(6)横向移动全面分析利用任务计划、远程服务、组策略、WSUS、SCCM、Psexec、WMI等系统应用服务及协议进行横向移动的原理与过程。(7)持久化既详细讲解红队常用的持久化手法,如Windows持久化、Linux持久化、Windows域权限维持等,又系统分析蓝队针对持久化攻击的检测和防御思路。
作者简介
暂缺《ATT&CK视角下的红蓝对抗实战指南》作者简介
目录
目录 Contents
赞誉
序一
序二
序三
前言
第1章 Windows安全基础1
1.1 Windows认证基础知识1
1.1.1 Windows凭据1
1.1.2 Windows访问控制模型2
1.1.3 令牌安全防御10
1.2 UAC13
1.2.1 UAC原理概述13
1.2.2 UAC级别定义13
1.2.3 UAC触发条件15
1.2.4 UAC用户登录过程16
1.2.5 UAC虚拟化18
1.3 Windows安全认证机制18
1.3.1 什么是认证18
1.3.2 NTLM本地认证19
1.3.3 NTLM网络认证22
1.3.4 Kerberos域认证25
1.4 Windows常用协议28
1.4.1 LLMNR28
1.4.2 NetBIOS31
1.4.3 Windows WPAD34
1.5 Windows WMI详解36
1.5.1 WMI简介36
1.5.2 WQL36
1.5.3 WMI Client40
1.5.4 WMI远程交互41
1.5.5 WMI事件42
1.5.6 WMI攻击45
1.5.7 WMI攻击检测46
1.6 域46
1.6.1 域的基础概念46
1.6.2 组策略49
1.6.3 LDAP56
1.6.4 SPN59
1.7 本章小结65
第2章 信息收集66
2.1 主机发现66
2.1.1 利用协议主动探测主机存活66
2.1.2 被动主机存活探测71
2.1.3 内网多网卡主机发现76
2.2 Windows主机信息收集检查清单78
2.3 Linux主机信息收集检查清单81
2.4 组策略信息收集81
2.4.1 本地组策略收集81
2.4.2 域组策略收集81
2.4.3 组策略存储收集83
2.4.4 组策略对象收集86
2.5 域信息收集90
2.5.1 域控制器收集90
2.5.2 域DNS信息枚举92
2.5.3 SPN扫描96
2.5.4 域用户名获取98
2.5.5 域用户定位102
2.6 net session与net use利用110
2.6.1 net session利用110
2.6.2 net use利用112
2.7 Sysmon检测117
2.8 域路径收集分析119
2.8.1 域分析之BloodHound119
2.8.2 域分析之ShotHound137
2.8.3 域分析之CornerShot142
2.9 Exchange信息收集146
2.9.1 Exchange常见接口146
2.9.2 Exchange常见信息收集146
2.9.3 Exchange攻击面扩展收集
(暴力破解)154
2.9.4 Exchange邮件列表导出156
2.10 本章小结162
第3章 隧道穿透163
3.1 隧道穿透技术详解163
3.1.1 正向连接163
3.1.2 反向连接163
3.1.3 端口转发164
3.1.4 端口复用165
3.1.5 内网穿透165
3.1.6 代理和隧道的区别165
3.1.7 常见隧道转发场景165
3.1.8 常见隧道穿透分类166
3.2 内网探测协议出网166
3.2.1 TCP/UDP探测出网166
3.2.2 HTTP/HTTPS探测出网169
3.2.3 ICMP探测出网171
3.2.4 DNS探测出网171
3.3 隧道利用方法172
3.3.1 常规反弹172
3.3.2 加密反弹175
3.3.3 端口转发177
3.3.4 SOCKS隧道代理180
3.4 利用多协议方式进行隧道穿透182
3.4.1 利用ICMP进行隧道穿透182
3.4.2 利用DNS协议进行隧道穿透187
3.4.3 利用RDP进行隧道穿透192
3.4.4 利用IPv6进行隧道穿透195
3.4.5 利用GRE协议进行隧道穿透 197
3.4.6 利用HTTP进行隧道穿透200
3.4.7 利用SSH协议进行隧道穿透210
3.5 常见的隧道穿透利用方式215
3.5.1 通过EW进行隧道穿透215
3.5.2 通过Venom进行隧道穿透224
3.5.3 通过Termite进行隧道穿透231
3.5.4 通过frp进行隧道穿透236
3.5.5 通过NPS进行隧道穿透244
3.5.6 通过ngrok进行内网穿透250
3.6 文件传输技术252
3.6.1 Windows文件传输技巧详解252
3.6.2 Linux文件传输技巧详解261
3.7 检测与防护266
3.7.1 ICMP隧道流量检测与防护266
3.7.2 DNS隧道流量检测与防护267
3.7.3 HTTP隧道流量检测与防护267
3.7.4 RDP隧道流量检测与防护267
3.8 本章小结268
第4章 权限提升269
4.1 Windows用户权限简介269
4.2 Windows单机权限提升270
4.2.1 利用Windows内核漏洞
进行提权270
4.2.2 利用Windows错配进行提权273
4.2.3 DLL劫持285
4.2.4 访问令牌提权294
4.2.5 获取TrustedInstaller权限298
4.3 利用第三方服务提权300
4.3.1 利用MySQL UDF进行提权300
4.3.2 利用SQL Server进行提权304
4.3.3 利用Redis进行提权309
4.4 利用符号链接进行提权313
4.4.1 符号链接313
4.4.2 符号链接提权的原理314
4.4.3 CVE-2020-0668316
4.5 NTLM中继318
4.5.1 通过LLMNR/NBNS欺骗
获取NTLM哈希320
4.5.2 通过desktop.ini获取哈希323
4.5.3 自动生成有效载荷325
4.5.4 中继到SMB326
4.6 Service提权至SYSTEM
(土豆攻击)328
4.6.1 热土豆328
4.6.2 烂土豆331
4.6.3 多汁土豆333
4.6.4 甜土豆334
4.7 Linux权限提升334
4.7.1 Linux权限基础334
4.7.2 Linux本机信息收集337
4.7.3 利用Linux漏洞进行提权340
4.7.4 Linux错配提权342
4.8 Windows Print Spooler漏洞
详解及防御346
4.8.1 Windows Print Spooler简介346
4.8.2 CVE-2020-1048347
4.8.3 CVE-2020-1337350
4.9 绕过权限限制351
4.9.1 绕过 UAC351
4.9.2 绕过AppLocker361
4.9.3 绕过AMSI374
4.9.4 绕过Sysmon383
4.9.5 绕过ETW387
4.9.6 绕过PowerShell Ruler391
4.10 本章小结405
第5章 凭据获取406
5.1 Windows单机凭据获取406
5.1.1 凭据获取的
赞誉
序一
序二
序三
前言
第1章 Windows安全基础1
1.1 Windows认证基础知识1
1.1.1 Windows凭据1
1.1.2 Windows访问控制模型2
1.1.3 令牌安全防御10
1.2 UAC13
1.2.1 UAC原理概述13
1.2.2 UAC级别定义13
1.2.3 UAC触发条件15
1.2.4 UAC用户登录过程16
1.2.5 UAC虚拟化18
1.3 Windows安全认证机制18
1.3.1 什么是认证18
1.3.2 NTLM本地认证19
1.3.3 NTLM网络认证22
1.3.4 Kerberos域认证25
1.4 Windows常用协议28
1.4.1 LLMNR28
1.4.2 NetBIOS31
1.4.3 Windows WPAD34
1.5 Windows WMI详解36
1.5.1 WMI简介36
1.5.2 WQL36
1.5.3 WMI Client40
1.5.4 WMI远程交互41
1.5.5 WMI事件42
1.5.6 WMI攻击45
1.5.7 WMI攻击检测46
1.6 域46
1.6.1 域的基础概念46
1.6.2 组策略49
1.6.3 LDAP56
1.6.4 SPN59
1.7 本章小结65
第2章 信息收集66
2.1 主机发现66
2.1.1 利用协议主动探测主机存活66
2.1.2 被动主机存活探测71
2.1.3 内网多网卡主机发现76
2.2 Windows主机信息收集检查清单78
2.3 Linux主机信息收集检查清单81
2.4 组策略信息收集81
2.4.1 本地组策略收集81
2.4.2 域组策略收集81
2.4.3 组策略存储收集83
2.4.4 组策略对象收集86
2.5 域信息收集90
2.5.1 域控制器收集90
2.5.2 域DNS信息枚举92
2.5.3 SPN扫描96
2.5.4 域用户名获取98
2.5.5 域用户定位102
2.6 net session与net use利用110
2.6.1 net session利用110
2.6.2 net use利用112
2.7 Sysmon检测117
2.8 域路径收集分析119
2.8.1 域分析之BloodHound119
2.8.2 域分析之ShotHound137
2.8.3 域分析之CornerShot142
2.9 Exchange信息收集146
2.9.1 Exchange常见接口146
2.9.2 Exchange常见信息收集146
2.9.3 Exchange攻击面扩展收集
(暴力破解)154
2.9.4 Exchange邮件列表导出156
2.10 本章小结162
第3章 隧道穿透163
3.1 隧道穿透技术详解163
3.1.1 正向连接163
3.1.2 反向连接163
3.1.3 端口转发164
3.1.4 端口复用165
3.1.5 内网穿透165
3.1.6 代理和隧道的区别165
3.1.7 常见隧道转发场景165
3.1.8 常见隧道穿透分类166
3.2 内网探测协议出网166
3.2.1 TCP/UDP探测出网166
3.2.2 HTTP/HTTPS探测出网169
3.2.3 ICMP探测出网171
3.2.4 DNS探测出网171
3.3 隧道利用方法172
3.3.1 常规反弹172
3.3.2 加密反弹175
3.3.3 端口转发177
3.3.4 SOCKS隧道代理180
3.4 利用多协议方式进行隧道穿透182
3.4.1 利用ICMP进行隧道穿透182
3.4.2 利用DNS协议进行隧道穿透187
3.4.3 利用RDP进行隧道穿透192
3.4.4 利用IPv6进行隧道穿透195
3.4.5 利用GRE协议进行隧道穿透 197
3.4.6 利用HTTP进行隧道穿透200
3.4.7 利用SSH协议进行隧道穿透210
3.5 常见的隧道穿透利用方式215
3.5.1 通过EW进行隧道穿透215
3.5.2 通过Venom进行隧道穿透224
3.5.3 通过Termite进行隧道穿透231
3.5.4 通过frp进行隧道穿透236
3.5.5 通过NPS进行隧道穿透244
3.5.6 通过ngrok进行内网穿透250
3.6 文件传输技术252
3.6.1 Windows文件传输技巧详解252
3.6.2 Linux文件传输技巧详解261
3.7 检测与防护266
3.7.1 ICMP隧道流量检测与防护266
3.7.2 DNS隧道流量检测与防护267
3.7.3 HTTP隧道流量检测与防护267
3.7.4 RDP隧道流量检测与防护267
3.8 本章小结268
第4章 权限提升269
4.1 Windows用户权限简介269
4.2 Windows单机权限提升270
4.2.1 利用Windows内核漏洞
进行提权270
4.2.2 利用Windows错配进行提权273
4.2.3 DLL劫持285
4.2.4 访问令牌提权294
4.2.5 获取TrustedInstaller权限298
4.3 利用第三方服务提权300
4.3.1 利用MySQL UDF进行提权300
4.3.2 利用SQL Server进行提权304
4.3.3 利用Redis进行提权309
4.4 利用符号链接进行提权313
4.4.1 符号链接313
4.4.2 符号链接提权的原理314
4.4.3 CVE-2020-0668316
4.5 NTLM中继318
4.5.1 通过LLMNR/NBNS欺骗
获取NTLM哈希320
4.5.2 通过desktop.ini获取哈希323
4.5.3 自动生成有效载荷325
4.5.4 中继到SMB326
4.6 Service提权至SYSTEM
(土豆攻击)328
4.6.1 热土豆328
4.6.2 烂土豆331
4.6.3 多汁土豆333
4.6.4 甜土豆334
4.7 Linux权限提升334
4.7.1 Linux权限基础334
4.7.2 Linux本机信息收集337
4.7.3 利用Linux漏洞进行提权340
4.7.4 Linux错配提权342
4.8 Windows Print Spooler漏洞
详解及防御346
4.8.1 Windows Print Spooler简介346
4.8.2 CVE-2020-1048347
4.8.3 CVE-2020-1337350
4.9 绕过权限限制351
4.9.1 绕过 UAC351
4.9.2 绕过AppLocker361
4.9.3 绕过AMSI374
4.9.4 绕过Sysmon383
4.9.5 绕过ETW387
4.9.6 绕过PowerShell Ruler391
4.10 本章小结405
第5章 凭据获取406
5.1 Windows单机凭据获取406
5.1.1 凭据获取的
猜您喜欢