秦凱

網路和數位技術已經成為我們生活的一部分，緊密結合，不可或缺，甚至命運攸關。人們除了吃飯和睡覺，幾乎所有活動都離不開網路，如點餐、電子支付、導航等，支持這些看似樸實正常的動作背後，是數以億計的伺服器和交換機構成的繁如星瀚的網路節點，在這個過程中產生了浩如煙海的資料，流轉和傳輸、更改和銷毀，來支撐我們已經習以為常的工作生活。像工業革命帶來的衝擊一樣，數位化浪潮以我們從未想過的速度席捲全球，奔湧進社會生活和生產的各方面，以勢不可擋的力量顛覆人類社會過去幾千年乃至自然界過去幾十億年的形態。一夜之間，除了智慧，所有的物理連接和三維實體都變成了0和1的編碼，在矽晶的外層電子軌道和凹凸不平的磁碟上重構乃至新生。世界正在以人類社會為核心，透過感测器和控制器，光纖和電纜，基地台和衛星，路由器、交換機和伺服器，重新建構一套高度網路化、數位化的“神經系統”。

而這一切的健康、有序發展都需要以安全作為基石，以保護這個新生的“神經系統”不受侵害。其中，滲透測試就像是自我防疫的免疫機制，在政府及企業安全保障系統中承擔非常重要的作用。滲透測試身為“歷史悠久”的常態化安全工作，可以透過攻擊者的角度，在真實攻擊發生之前就對網路系統和資訊系統進行黑盒檢查，但在多次攻防演練的鍛煉後，周邊的滲透測試看起來固若金湯，而內層的滲透依舊相對薄弱。在過去十幾年中，滲透測試工作長期面臨一個“熱點”，表現為滲透工作需要非常的天賦和經驗，很多人往往止步於“指令稿小子”，卻難以成為“藝術家”。面對差別很大的內網環境和業務場景，紅隊需要具備豐富龐雜的知識系統和技能樹，用類似藝術創造角度重新檢查內網和業務的安全缺陷。長久以來，滲透測試在以一種傳承的方式進行教授，徒弟拜師學藝，師傅耳提面命，經過若干專案歷練和薰陶，徒弟出師，開始自己的成長之路——明顯，滲透測試人才的培養速度趕不上數位化發展的處理程序。越來越多重要的“神經系統”曝露在未經測試的網路威脅之中。

“人是安全的核心”，這是我以及永信至誠一直以來所堅信的理念。無論資訊技術如何發展，數位經濟如何成長，網路環境如何變化，人在安全中的權重永遠不會發生變化。永信至誠所有的業務和產品都在結合了理論和工程、邏輯和實踐的考慮之外，把“人”作為安全中的關鍵因素進行設計和考量的。那麼，如何培養人自然也是重中之重。永信至誠天壤實驗室和知名CTF戰隊Nu1L Team聯合撰寫了本書。本書傾注了諸多實戰人員的經驗和專業的理論知識，並透過系統化的方式將內網滲透這一細分領域整理出來。這本書既可以作為技術同好內網滲透入門的一本指南，又可以作為企業紅藍隊能力建設知識圖譜，甚至可以作為網路運行維護工程師的“避雷寶典”，案頭隨時翻閱的自檢手冊。

同時得益於我們深耕了十幾年的平行模擬技術，這本專業書籍，在天壤實驗室以及i春秋的共同努力下，將其內容也植入到我們自己的“元宇宙”中，讓它在春秋雲境網路靶場中“活”了起來。其中的專業內容、能力系統，讀者都可以在春秋雲境中找到更真實、可互動的細節。因此，這本書不僅是一本讀物，更是一個高互動平行模擬世界的“導遊手冊”，一個嶄新的世界大門將向你打開。

在我眼中，一個人的軌跡應該與時代重合才能在匆匆一世中留下些印記。甚至我相信，很多當年和我一樣憑藉衝動來給高速成長的數位世界建構“免疫系統”的安全工作者都有著和我一樣的使命感，讓網路安全和資訊安全的建設跟上數位化發展的步伐。因此，我將“帶給世界安全感”作為我創辦的公司的使命，而這本書和不斷豐富的春秋雲境就是我們在踐行使命道路上的信標，讓具有相同使命的人一起找到方向，也讓這個欣欣向榮、日新月異的時代盡可能避免伴隨創新而來的風險，而盡享技術帶來的紅利。

蔡晶晶

【前言】

2021年年末，我加入永信至誠擔任天壤實驗室總監，主要的工作內容是行業靶標和新興技術靶場研究。入職後，我花了比較長的時間來調研靶場和內網滲透的知識系統，卻發現資料不少，但大多雜亂無章，沒有一個成型的知識系統。

所以，我決定拉上Nu1L戰隊的隊友Cheery、undefined以及師弟WHOAMI來打造一本真正意義上的內網滲透技術專業圖書，幫助讀者建立內網滲透的知識系統。本書知識系統詳盡，不論是對於CTF選手還是對於踏上工作職位的紅隊選手，本書介紹的基礎知識足夠使用。即使是對於經驗豐富的“紅隊老人”，本書也是不無裨益。

在靶場場景下，“內網滲透”是一個大概念，如果仔細研究，就會發現內網滲透其實是一片汪洋大海，拋開內網相關漏洞的研究能力，如“永恆之藍”或Exchange這種0day漏洞，只是單純想成為所謂的內網滲透“指令稿小子”，都不是一件容易的事。實際上，如果我們能夠熟練掌握內網滲透的各類知識原理、熟練運用各種指令稿工具，並能夠同時自己撰寫對應工具，那麼在這個方向上會有足夠的晉升空間。

從2015年成立至今，Nu1L戰隊在許多靶場賽事中都大放異彩，如在2018年DEFCON CHINA靶場部分率先通關，獲得工業和資訊化部“護網杯”2019冠軍，獲得2020年全國工業網際網路安全技術技能大賽冠軍，獲得2021年“紅明穀”技能場景決賽冠軍，獲得2022年西湖論劍網路安全大賽冠軍；同時，Nu1L戰隊設計了3年“巔峰極客”，在選手中大受好評。這些賽事的成績和我們日常的工作累積是寫好這本書的基礎。

我們的願景是打造內網滲透的知識系統，所以設計了10章內容：第1章，內網滲透測試基礎知識；第2章，內網資訊收集；第3章，通訊埠轉發與內網代理；第4章，許可權提升；第5章，內網橫向移動；第6章，內網許可權持久化；第7章，Kerberos 攻擊專題；第8章，NTLM中繼專題；第9章，Exchange攻擊專題；第10章，免殺技術初探。

第1∼6章，主要介紹內網滲透所需的基礎知識；第7∼9章，是內網滲透中十分重要和十分有趣的部分，能夠給讀者造成指點迷津的作用；第10章，只是起了一個頭，未來或許我們會出一個續作，或許會有其他優秀作者的新書。

為了盡可能讓篇幅精簡，一些非常見的內網滲透技巧並沒有在本書中加入，如跨網域滲透、網域特定角色安全問題等，讀者可以自行查閱相關資料進行學習。

✤ 靶場練習
在本書同步上線的同時，永信至誠推出了“春秋雲境”雲上靶場，這是一個真正意義的雲端上靶場，所有多點靶標都源於天壤實驗室和最前線的實戰攻防專家，內容覆蓋面十分廣泛，讀者可以搭配本書進行學習，書中的大部分基礎知識都在“春秋雲境”中進行了設計。

✤ 繁體中文版出版說明
本書原作者為中國大陸人士，書中執行環境介面為簡體中文。為求開發環境和原文一致，本書部分執行環境圖例為簡體中文，讀者在閱讀時可參考上下文，特此說明。

付浩（Venenof7）

網路和數位技術已經成為我們生活的一部分，緊密結合，不可或缺，甚至命運攸關。人們除了吃飯和睡覺，幾乎所有活動都離不開網路，如點餐、電子支付、導航等，支持這些看似樸實正常的動作背後，是數以億計的伺服器和交換機構成的繁如星瀚的網路節點，在這個過程中產生了浩如煙海的資料，流轉和傳輸、更改和銷毀，來支撐我們已經習以為常的工作生活。像工業革命帶來的衝擊一樣，數位化浪潮以我們從未想過的速度席捲全球，奔湧進社會生活和生產的各方面，以勢不可擋的力量顛覆人類社會過去幾千年乃至自然界過去幾十億年的形態。一夜之間，除了...

第1章 內網滲透測試基礎知識
1.1 內網工作環境
1.2 主動目錄
1.3 網域使用者與機器使用者介紹
1.4 網域使用者群組的分類和許可權
1.5 組織單位
1.6 存取控制
1.7 群組原則
1.8 內網域環境架設

第2章 內網資訊收集
2.1 本機基礎資訊收集
2.2 網域內基礎資訊收集
2.3 內網資源探測
2.4 使用者憑證收集
2.5 使用BloodHound自動化分析網域環境

第3章 通訊埠轉發與內網代理
3.1 通訊埠轉發和代理
3.2 常見轉發與代理工具

第4章 許可權提升
4.1 系統核心漏洞權限提升
4.2 系統服務權限提升
4.3 MSI 安裝策略權限提升
4.4 存取權杖操縱
4.5 Bypass UAC
4.6 使用者憑證操作
4.7 Print Spooler權限提升漏洞
4.8 Nopac網域內權限提升
4.9 Certifried網域內權限提升

第5章 內網橫向移動
5.1 橫向移動中的檔案傳輸
5.2 建立計畫任務
5.3 利用系統服務
5.4 遠端桌面利用
5.5 PsExec遠端控制
5.6 WMI的利用
5.7 DCOM的利用
5.8 WinRM的利用
5.9 雜湊傳遞攻擊
5.10 EternalBlue

第6章 內網許可權持久化
6.1 常見系統後門技術
6.2 事件觸發執行
6.3 常見網域後門技術
6.4 DCSync攻擊技術

第7章 Kerberos攻擊專題
7.1 Kerberos認證基礎
7.2 AS_REQ&AS_REP階段攻擊
7.3 TGS_REQ&TGS_REP階段攻擊
7.4 PAC攻擊

第8章 NTLM 中繼專題
8.1 NTLM協定
8.2 NTLM認證機制
8.3 發起並截獲NTLM請求
8.4 中繼到SMB利用
8.5 中繼至Exchange利用
8.6 中繼至LDAP利用
8.7 中繼至AD CS利用

第9章 Exchange攻擊專題
9.1 初識Exchange
9.2 Exchange的憑證獲取
9.3 獲取使用者憑證後的資訊收集和滲透
9.4 獲取Exchange伺服器許可權後的滲透

第10章 免殺技術初探
10.1 反病毒軟體原理
10.2 免殺實戰

第1章 內網滲透測試基礎知識
1.1 內網工作環境
1.2 主動目錄
1.3 網域使用者與機器使用者介紹
1.4 網域使用者群組的分類和許可權
1.5 組織單位
1.6 存取控制
1.7 群組原則
1.8 內網域環境架設

第2章 內網資訊收集
2.1 本機基礎資訊收集
2.2 網域內基礎資訊收集
2.3 內網資源探測
2.4 使用者憑證收集
2.5 使用BloodHound自動化分析網域環境

第3章 通訊埠轉發與內網代理
3.1 通訊埠轉發和代理
3.2 常見轉發與代理工具

第4章 許可權提升
4.1 系統核心漏洞權限提升
4.2 系統服務權限提升
4.3 MSI 安裝策略權限提升...