[内网安全] 内网渗透 - 学习手册

这是一篇专栏的目录文档，方便读者系统性的学习，笔者后续会持续更新文档内容。
如果没有特殊情况的话，大概是一天两篇的速度。（实验多或者节假日，可能会放缓）
笔者也是一边学习一边记录笔记，如果读者发现了笔者的 Bug，欢迎留言讨论，笔者会不定期更新以往的笔记，一步步完善内网渗透知识框架。

通过 Web 渗透，我们打开率会拿到目标的一个 WebShell，或者其他啥 Shell，那么内网渗透就从这个 Shell 开始了，说是内网，其实也包含了针对单一主机的渗透。笔者认为渗透测试一个比较完善的流程是：
Web 渗透（拿 Shell）=> 权限提升（把低权限 Shell 提升到高权限）=> 权限维持（做持久化控制，安营扎寨）=> 隧道代理（让目标出网）=> 内网信息收集（也包括本地主机的信息收集） => 内网渗透（主要是 Windows 域渗透）=> 横向移动（在域内纵横，尝试拿到域控，此时一个内网就已经打完了）=> 跨域攻击（从本域攻击其他信任域），后面就是痕迹清理啥了。

笔者会按照上面的流程一步步更新，一起期待一下吧。

0x01：主机渗透 —— 权限提升

• 操作系统权限介绍 —— 明确不同操作系统的权限分配，并了解提权的目标

• 常见提权的环境介绍 —— 不同的 Shell 有不同的提权手段，本章教你不同 Shell 如何互转

0x0101：Windows 提权

• Windows 提权 — 系统内核溢出漏洞提权 —— 溢出提权介绍，MSF & CS 提权流程

• Windows 提权 & 维持 — 系统错误配置提权 - PATH 环境变量提权

• Windows 提权 & 维持 — 系统错误配置提权 - Trusted Service Paths 提权

• Windows 提权 & 维持 — 系统错误配置提权 - 系统服务权限配置错误提权

• Windows 提权 & 维持 — 系统错误配置提权 - 注册表权限配置错误提权

• Windows 提权 — UAC 绕过 — Windows UAC 概述

• Windows 提权 — UAC 绕过 — MSF & CS 过 UAC 的方法和插件 — 判断 Shell 是否有 UAC 认证

0x0102：Linux 提权

• Linux 提权 — 系统内核溢出漏洞提权
• Linux 提权 & 维持 — 系统错误配置提权 - SUID 文件提权
• Linux 提权 & 维持 — 系统错误配置提权 - PATH 环境变量劫持提权 - SUID 提权拓展
  • 备注：通过运行 SUID 程序，推测其内部实现方式进行劫持提权。
• Linux 提权 & 维持 — 系统错误配置提权 - Sudo 滥用提权
• Linux 提权 & 维持 — 系统错误配置提权 - 计划任务提权
• Linux 提权 & 维持 — 系统错误配置提权 - 通配符（ws）注入提权 - 计划任务提权拓展
• Linux 提权 & 维持 — 系统错误配置提权 - 明文 ROOT 密码提权 - 破解 /etc/shadow 文件密码

0x0103：数据库提权

0x02：主机渗透 —— 权限维持

• Windows 权限维持 —— 计划任务后门
• Windows 权限维持 —— 系统服务后门
• Windows 权限维持 —— 注册表自启后门 — 注册表自启后门似乎并不隐蔽！
• Windows 权限维持 —— Logon Scripts 后门
• Windows 权限维持 —— 系统启动目录后门
• Windows 权限维持 —— 影子账户后门 - 基础隐藏 — 不适合域环境
• Windows 权限维持 —— 影子账户后门 - 克隆账户 — 不适合域环境

0x03：内网渗透 —— 隧道代理

• 隧道代理 — 内网隧道概述
• 隧道代理 — 端口转发 - LCX & PortMap 端口转发
  • 场景：拿下目标但目标某端口无法直接访问，疑似被防火墙屏蔽。
  • 缺点：LCX 可能会被杀软发现并被干掉。
• 隧道代理 — 端口转发 - NETSH 端口转发 - Windows 自带工具 - 本地端口转发
  • 场景：利用 Windows 跳板机做代理攻击内网其它机器指定端口。
• 隧道代理 — 端口转发 - SSH 端口转发 - Linux 自带工具 - 远程 + 本地
  • 场景：利用 Linux 跳板机 OR 内网机器做代理攻击内网其它机器指定端口。

• 隧道代理 — 反弹 Shell - NetCat（NC） 反弹 Shell - 做持久化控制
• 隧道代理 — 反弹 Shell - PowerCat 反弹 Shell - NC Windows PowerShell 版本
• 隧道代理 — 反弹 Shell - Bash 反弹 Shell - 适合 Linux 系统
• 隧道代理 — 反弹 Shell - Python 反弹 Shell - 适合安装了 Python 的 Linux 系统

• 隧道代理 — 应用层代理概述 - 公网代理 & 内网代理介绍
• 隧道代理 — 应用层公网代理 - 公网资产扫描 - 单代理配置
• 隧道代理 — 应用层公网代理 - 公网资产扫描 - 代理池配置
• 隧道代理 — 应用层公网代理 - 公网资产扫描 - 全局代理配置 - 让不支持代理的软件走代理

• 隧道代理 — 应用层内网代理 - 代理连接工具 - Proxyifile & ProxyChains
• 隧道代理 — 应用层内网代理 - Eathworm（EW） - EW 搭建内网代理服务器，穿透内网

• 隧道代理 — 上线不出网机器 - 不出网机器网络拓扑介绍 - 能扫描目标，但是如何让目标上线？
• 隧道代理 — 上线不出网机器 - CobaltStrike-SMB Beacon 上线不出网机器
• 隧道代理 — 上线不出网机器 - CobaltStrike-TCP Beacon 上线不出网机器
• 隧道代理 — 上线不出网机器 - CobaltStrike-自带中转技术上线不出网机器

0x04：内网渗透 —— 基础知识

• 内网基础知识 —— Windows 工作组
• 内网基础知识 —— 域环境 - 域环境概述
• 内网基础知识 —— 域环境 - Windows 域环境搭建
• 内网基础知识 —— 域环境 - Active Directory 活动目录介绍与使用
• 内网基础知识 —— 域环境 - 域内权限划分基本思想
• 内网基础知识 —— 域环境 - 企业常见安全域划分和域内计算机分类 - DMZ 区

0x05：内网渗透 —— 信息收集

• 内网信息收集 —— 本地信息收集 — 手动收集 Windows 主机信息
• 内网信息收集 —— 本地信息收集 — 自动收集 Windwos 主机信息 — BAT 脚本
• 内网信息收集 —— 内网 IP 扫描技术 — Nbtscan、ICMP、ARP、Kscan、Fscan、Ladon
• 内网信息收集 —— 内网端口扫描技术 — ScanLine、Telnet、PowerSploit、Nishang

• 域信息收集 —— 域内基础信息收集 — 域渗透的升权与降权原因
  • 番外：域信息收集 —— Windows NET 命令详解
• 域信息收集 —— 域环境中定位域控
• 域信息收集 —— 域环境中收集域内用户基本信息
• 域信息收集 —— 域环境中定位域管理员

0x06：内网渗透 —— Windows 认证与密码抓取

0x07：内网渗透 —— 横向移动

0x08：内网渗透 —— 跨域攻击