护网蓝队之内网渗透考点，从零基础到精通，收藏这篇就够了！

Python_chichi

于 2025-02-20 11:45:08 发布

阅读量773

点赞数 21

分类专栏：网络安全互联网大模型文章标签：网络智能路由器安全

本文链接：https://blog.csdn.net/javachichi/article/details/145749725

版权

互联网同时被 3 个专栏收录

1406 篇文章

订阅专栏

网络安全

829 篇文章

订阅专栏

大模型

358 篇文章

订阅专栏

内网渗透技术栈

内网穿透

一、反向代理方式

原理

反向代理服务部署在具有公网IP的服务器上，它作为客户端和内部服务器之间的中介。客户端的请求首先到达反向代理服务器，然后由反向代理服务器根据配置的规则转发到内部网络中的目标服务器。

步骤

选择并安装合适的反向代理软件（如Nginx、HAProxy等）。
在公网服务器上配置反向代理服务，指定需要转发的服务类型、目标服务器的地址和端口等参数。
确保公网服务器的防火墙和安全策略允许外部访问，并配置相应的端口转发规则。

安全性

通过反向代理，可以隐藏内部服务器的真实IP地址，增加安全性。同时，反向代理服务器本身也可以配置一些安全策略，如访问控制、加密传输等。

注意事项

确保公网服务器的安全性，避免成为攻击者的跳板。
定期更新和修补反向代理软件的漏洞。

二、端口映射方式

原理

端口映射通过配置具有公网IP的服务器或路由器上的端口映射规则，将外部网络的请求转发到内部网络中的指定端口上。

步骤

登录到具有公网IP的服务器或路由器的管理界面。
配置端口映射规则，指定外部访问的端口、内部网络的IP地址和端口等参数。
确保服务器的防火墙和安全策略允许外部访问，并配置相应的端口转发规则。

安全性

端口映射直接暴露了内部服务，因此需要确保映射的端口在防火墙的安全策略中是开放的，并且避免映射过于敏感的端口。

注意事项

定期检查和更新服务器的防火墙和安全策略。
限制外部访问的IP地址范围，避免不必要的风险。

三、VPN方式

原理

VPN（虚拟私人网络）通过加密的隧道将内部网络与外部网络连接起来，使得远程用户可以安全地访问内部网络资源。

步骤

选择并安装合适的VPN软件或硬件设备。
在内部网络和外部网络之间建立VPN连接，配置认证方式、加密方式等参数。
远程用户通过VPN客户端连接到VPN服务器，实现远程访问。

安全性

VPN提供了加密的通信通道，确保数据在传输过程中的安全性。同时，VPN还可以配置一些安全策略，如访问控制、日志记录等。

注意事项

确保VPN设备的安全性，避免被攻击者利用。
定期更新和修补VPN软件的漏洞。

四、内网穿透工具

原理

内网穿透工具（如frp、ngrok、lanproxy等）通过公网服务器将内部网络中的服务暴露到公网。

步骤

在公网服务器上部署内网穿透工具的服务器端。
在内部网络中的服务器上部署内网穿透工具的客户端，并配置相关的参数（如公网服务器的地址、端口等）。
客户端将内部网络中的服务通过公网服务器暴露到公网。

安全性

内网穿透工具提供了方便、灵活的内网服务暴露方式，但需要注意保护敏感数据的安全性。确保公网服务器的安全性，避免被攻击者利用。

注意事项

定期更新和修补内网穿透工具的漏洞。
限制对敏感服务的访问权限和范围。

五、隧道技术（Tunneling）

原理

隧道技术是一种封装和传输数据的网络协议，它允许在不安全的网络环境中建立一个安全的、加密的通信通道。通过隧道，数据可以在不安全的网络中安全地传输，而不被中间的网络设备或监听者所截获或篡改。

实施方式

隧道技术有多种实现方式，包括VPN隧道、SSH隧道、SSL隧道等。这些隧道都使用了不同的协议和加密技术来确保数据的安全性。

VPN隧道：在公共网络上建立加密的通信通道，使得远程用户可以安全地访问内部网络资源。
SSH隧道：通过SSH协议建立的加密通道，可以安全地传输数据。
SSL隧道：使用SSL/TLS协议对数据进行加密，并在不安全的网络上传输。

安全性

隧道技术的主要优势在于提供了加密的通信通道，从而确保了数据的安全性。然而，隧道技术本身也可能存在一些安全隐患，如隧道端点的安全性、密钥管理等。

注意事项

确保隧道端点的安全性，避免成为攻击者的跳板。
使用强密码和密钥管理策略，确保隧道的安全性。

六、NAT（Network Address Translation）穿透

原理

NAT穿透技术用于解决由于NAT设备（如路由器）导致的网络地址转换问题。NAT设备通常会将内部网络的私有IP地址转换为公网IP地址，以便与外部网络进行通信。然而，这可能导致外部网络无法直接访问内部网络中的服务。NAT穿透技术通过一些技巧和方法，使得外部网络可以绕过NAT设备的限制，直接访问内部网络中的服务。

实施方式

NAT穿透技术有多种实现方式，包括STUN（Session Traversal Utilities for NAT）协议、TURN（Traversal Using Relays around NAT）协议等。这些协议都使用了一些特殊的技巧和方法来绕过NAT设备的限制。

STUN协议：通过外部服务器来探测和收集NAT设备的地址和端口信息，以便建立通信。
TURN协议：当STUN协议无法建立通信时，TURN协议可以通过中继服务器来转发数据。

安全性

NAT穿透技术虽然可以解决NAT设备导致的限制问题，但也可能会引入一些安全风险。例如，如果NAT穿透的配置不当，可能会导致外部网络的恶意攻击者能够访问内部网络中的敏感服务。

注意事项

确保NAT穿透的配置正确和安全，避免引入安全风险。
使用强密码和访问控制策略来保护内部服务。

七、自定义隧道协议

原理

自定义隧道协议是指根据特定的需求和场景，自定义一种用于数据封装和传输的协议。这种协议可以根据特定的安全需求、性能需求和扩展性需求来定制。

实施方式

自定义隧道协议的实现方式通常包括以下几个步骤：

定义数据封装和解封装的格式：这可以是一个简单的文本格式，也可以是一个复杂的二进制格式，具体取决于需求和应用场景。
编写客户端和服务器端程序：客户端程序负责将需要传输的数据封装成自定义协议的数据包，并发送给服务器；服务器端程序负责接收数据包，解封装出数据，并将其转发给目标地址。
考虑安全性、性能和扩展性：在实现自定义隧道协议时，需要考虑数据的安全性、传输的性能以及协议的扩展性和灵活性。可以使用加密技术来保护数据的安全性，优化数据封装和解封装的算法来提高性能，设计可扩展的协议格式来支持多种数据类型和传输方式。

安全性

自定义隧道协议的安全性取决于协议本身的设计和实现。如果协议存在安全漏洞或配置不当，可能会导致数据泄露、篡改等安全风险。

注意事项

在设计和实现自定义隧道协议时，要充分考虑安全性、性能和扩展性等因素。
使用强密码和加密算法来保护数据的安全性。
对协议进行充分的测试和验证，确保其稳定性和可靠性。

权限提升

数据库提权

MySQL提权方式

直接修改密码：

如果你已经获得了MySQL的某个账号的访问权限，并且这个账号有足够的权限去修改其他账号的密码，你可以直接通过修改目标账号的密码来实现提权。例如，如果你拥有root账号的访问权限，你可以修改其他任何账号的密码。
使用UPDATE语句来修改密码。但请注意，MySQL 5.7.6及之后的版本，password字段已经被移除，你需要使用ALTER USER或SET PASSWORD语句来修改密码。

ALTER USER 'username'@'host' IDENTIFIED BY 'new_password';  
或者  
SET PASSWORD FOR 'username'@'host' = PASSWORD('new_password');

利用已存在的漏洞：

如果MySQL中存在已知的漏洞，攻击者可能会利用这些漏洞来提升自己的权限。然而，这种方法通常涉及对特定版本的MySQL和特定配置的深入了解，并且可能需要复杂的步骤。

利用系统权限：

MySQL数据库是运行在操作系统上的，因此可以通过提升操作系统的权限来实现MySQL的提权。这通常涉及到对操作系统级别的漏洞或配置错误的利用。

利用存储过程：

存储过程是MySQL中的一种特殊的代码块，可以被调用和执行。攻击者可能会使用存储过程来执行一些高权限操作，从而实现提权。然而，这需要攻击者已经具有足够的权限来创建和执行存储过程。

UDF提权：

UDF（用户定义的函数）是MySQL中一种可以扩展MySQL功能的机制。攻击者可能会上传恶意的UDF文件到MySQL的插件目录下，并通过创建自定义函数来执行恶意代码，从而实现提权。

MOF提权和启动项提权：

这些方法涉及到对Windows操作系统的利用。MOF提权是指通过修改Windows的MOF文件（管理对象格式文件）来执行恶意代码。而启动项提权则是通过修改Windows的启动项来执行恶意代码，从而在MySQL启动时执行提权操作。

SQL Server提权方法

利用扩展存储过程（如xp_cmdshell）：

xp_cmdshell 是一个允许在 SQL Server 内部执行外部命令的扩展存储过程。如果攻击者能够启用这个扩展存储过程，他们就可以执行操作系统命令，从而获取更高级别的权限。

利用SQL注入：

SQL注入是一种常见的攻击技术，攻击者通过在应用程序的输入字段中插入恶意的SQL代码，从而操纵数据库查询。如果应用程序存在SQL注入漏洞，攻击者可能能够执行任意SQL语句，包括提升权限的语句。

利用数据库备份和恢复：

攻击者可能会尝试备份整个数据库，然后在本地恢复它，并尝试从备份中提取敏感信息或执行提权操作。

利用服务帐户和凭据：

SQL Server可能使用服务帐户来运行其服务，这些帐户通常具有对操作系统的访问权限。如果攻击者能够获取这些帐户的凭据，他们就可以利用这些凭据来执行提权操作。

利用Windows身份验证：

如果SQL Server使用Windows身份验证，并且与域环境集成，攻击者可能会尝试利用域中的漏洞或弱密码来提权。

系统提权

Windows提权

系统内核溢出漏洞提权：

原理：系统内核溢出漏洞是由于软件在处理用户输入时，没有正确检查输入的长度或类型，导致输入数据超过了缓冲区的大小，从而覆盖了缓冲区之外的内存区域。攻击者可以精心构造输入数据，覆盖内核中的关键数据，如函数指针或权限标志，从而执行恶意代码或提升权限。
实现步骤：

漏洞发现：攻击者首先会寻找目标系统可能存在的内核溢出漏洞。这通常涉及到对操作系统版本、补丁安装情况、已知漏洞数据库等的深入研究。
构造利用代码：一旦找到可利用的漏洞，攻击者会构造特定的利用代码（也称为“shellcode”或“exploit”）。这段代码的目的是触发内核溢出，并在溢出的内存区域中执行攻击者的恶意代码。
执行利用代码：攻击者通过某种方式（如网络攻击、恶意软件等）将利用代码发送到目标系统，并使其执行。执行后，利用代码会触发内核溢出，并控制目标系统的执行流程。
权限提升：在控制目标系统的执行流程后，攻击者可以改变系统的权限设置，从而获得更高的权限。这通常包括提升为系统管理员权限或获取对敏感数据的访问权限。
数据库提权：

原理：数据库提权通常涉及SQL注入漏洞。攻击者通过构造恶意的SQL语句，插入到应用程序的输入中，使应用程序在执行时执行了攻击者的SQL语句。通过SQL注入，攻击者可以绕过应用程序的身份验证和授权机制，直接访问数据库中的敏感数据，甚至执行数据库管理命令提升权限。
实现步骤：

SQL注入：SQL注入是数据库提权中最常见的技术之一。攻击者通过在应用程序的输入字段中插入恶意的SQL代码，使应用程序在后台数据库中执行这段SQL代码。通过这种方式，攻击者可以绕过身份验证和授权机制，直接访问数据库中的敏感数据或执行管理命令。
提权操作：一旦成功注入SQL代码并控制数据库，攻击者就可以执行各种提权操作。这可能包括读取敏感数据、修改数据库配置、创建或删除用户账户等。
错误的系统配置提权：

原理：错误的系统配置提权是由于管理员在配置系统时，没有遵循最佳的安全实践，导致系统存在安全漏洞。例如，可信任服务路径（Trusted Service Paths）漏洞是由于服务启动时加载的二进制文件路径没有正确配置，导致攻击者可以在该路径下放置恶意文件，从而被服务加载并执行。
实现步骤：

信息收集：攻击者首先会收集目标系统的相关信息，包括操作系统版本、已安装的软件、安全设置等。
发现配置错误：通过对比已知的安全标准和最佳实践，攻击者会寻找目标系统中可能存在的配置错误或不当的安全设置。
利用配置错误：攻击者利用这些配置错误或不当的安全设置来提升自己的权限。这可能包括利用弱密码、未受保护的远程访问、未限制的服务权限等。
UAC（用户账户控制）绕过提权

原理：UAC是Windows系统的一种安全机制，用于防止未经授权的程序对系统进行更改。当程序尝试执行需要高权限的操作时，UAC会弹出一个对话框，要求用户确认是否允许该操作。
常见的UAC绕过方法：

利用已知的UAC绕过漏洞：Windows系统可能存在一些已知的UAC绕过漏洞。攻击者可以利用这些漏洞来绕过UAC并执行恶意代码。
伪造或修改UAC对话框：攻击者可以伪造或修改UAC对话框，使其看起来像是来自合法的程序或系统组件。当用户看到这些伪造的对话框时，他们可能会误以为是来自合法的请求，并允许执行恶意代码。
利用漏洞利用技术：攻击者可以使用漏洞利用技术（如代码执行漏洞）来执行恶意代码，并绕过UAC的限制。这些漏洞可能存在于Windows系统本身或第三方软件中。
组策略首选项提权：

原理：组策略首选项（Group Policy Preferences, GPP）是Windows系统中用于管理用户设置和计算机设置的功能。然而，如果GPP中的密码以明文形式存储或加密方式不安全，攻击者可以获取到这些密码，并使用它们来模拟高权限用户的行为。
实现方式：

识别GPP存储位置：首先，攻击者需要确定GPP密码的存储位置。这通常位于域控制器的SYSVOL共享目录中，具体为\\\SYSVOL\\Policies\\Machine\Preferences\Groups\Groups.xml。
获取GPP密码：攻击者可以远程访问或物理访问域控制器，并读取Groups.xml文件。如果GPP密码以明文或弱加密形式存储，则可以直接读取密码。
使用GPP密码：获得密码后，攻击者可以尝试使用这些密码登录到目标系统，从而获取管理员权限。
使用系统自带命令提权：

原理：操作系统提供的某些命令或功能在设计和实现上可能存在的安全漏洞或不当配置，从而允许低权限用户执行高权限操作。这些命令或功能原本是为了方便管理员进行系统管理而设计的，但如果被攻击者利用，就可能成为提权的途径。
实现方式：

AT命令：AT命令允许你安排任务在指定的时间和日期执行。然而，在Windows 7及更高版本中，AT命令默认是禁用的，因为它存在安全风险。但如果你在一个启用了AT命令的环境中，你可以使用它来执行恶意代码，从而提升自己的权限。
SC命令：SC命令用于管理服务（如启动、停止、删除、查询等）。通过SC命令，你可以管理服务的运行状态、依赖关系和权限设置。如果你能够控制一个服务，并且该服务以高权限运行，那么你可以通过修改服务的二进制文件或启动参数来执行恶意代码，从而提升你的权限。
Ps命令：Ps命令（实际上是PowerShell的命令）可以用来查看进程信息，包括进程ID、父进程ID、用户名、命令行等。通过结合其他技术（如令牌窃取或进程注入），你可以利用Ps命令找到目标进程，并将其用于权限提升。

例如，你可以使用Ps命令找到一个以高权限运行的进程（如lsass.exe），然后使用令牌窃取技术获取该进程的令牌，并使用该令牌执行恶意代码。

WEB中间件漏洞提权：

原理：Web中间件是连接Web服务器和应用程序的桥梁，它负责处理请求和响应。然而，Web中间件本身也可能存在安全漏洞，如远程代码执行漏洞、文件包含漏洞等。攻击者可以利用这些漏洞执行恶意代码或访问敏感文件，从而提升权限。
实现方式：

识别中间件版本：攻击者首先会识别目标系统上运行的Web中间件及其版本。
查找已知漏洞：根据中间件的版本，攻击者会在漏洞数据库或公开渠道中查找已知的漏洞和攻击方法
利用漏洞：根据找到的漏洞，攻击者会构造特定的请求或上传恶意文件来触发漏洞。这可能涉及跨站脚本（XSS）、文件上传漏洞、SQL注入等。
获取系统权限：成功利用漏洞后，攻击者可能能够在服务器上执行任意代码，从而获得系统权限。
DLL劫持提权：

原理：DLL劫持是一种攻击技术，攻击者通过在应用程序的DLL搜索路径中放置恶意的DLL文件，当程序运行时加载并执行恶意代码。这样，攻击者可以执行任意代码或获取更高的系统权限。
实现方式：

确定目标应用程序：攻击者首先会确定目标应用程序以及其所依赖的DLL文件。
创建恶意DLL：攻击者会创建一个与原始DLL同名的恶意DLL文件，该文件包含恶意代码。
放置恶意DLL：攻击者会将恶意DLL放置在应用程序搜索DLL的路径中，这通常包括应用程序目录、系统目录（如C:\Windows\System32）或PATH环境变量中的目录。
触发DLL加载：当目标应用程序启动时，它会尝试加载恶意DLL文件。加载后，恶意代码将被执行。
令牌窃取提权

原理：令牌窃取是一种攻击技术，攻击者通过窃取其他用户或系统进程的令牌（Token），从而获取更高的权限。在Windows系统中，每个进程都有一个与之关联的令牌，该令牌包含了进程的安全上下文和权限信息。
令牌窃取提权的步骤通常包括：

找到一个以高权限运行的进程（如lsass.exe）。
使用某种方法（如漏洞利用或内存读取技术）获取该进程的令牌句柄。
使用该令牌句柄来模拟高权限用户的行为或执行需要高权限的操作。
第三方软件/服务提权：

原理：第三方软件/服务提权是指攻击者利用第三方软件或服务中的漏洞来提升权限。这些漏洞可能是由于软件本身的缺陷、配置不当或与其他软件的交互问题导致的。

Linux提权

内核漏洞提权：

原理：当Linux内核在处理某些输入时，如果没有对输入进行充分的边界检查或验证，就可能导致栈溢出。攻击者可以利用这种栈溢出漏洞来覆盖内核栈上的数据，从而执行任意代码或提升权限
步骤：

识别目标系统上运行的内核版本并找到已知的栈溢出漏洞。
构造一个恶意的输入，这个输入将触发栈溢出并覆盖栈上的返回地址或其他关键数据。
覆盖返回地址，使其指向攻击者提供的恶意代码（shellcode）的起始地址。
触发栈溢出，当函数返回时，它将执行shellcode，实现提权。

示例：脏牛（Dirty Cow）漏洞是Linux内核的一个内存子系统漏洞，允许低权限用户通过覆盖只读内存映射来获得写权限，从而可能导致提权。

SUID提权：

原理：SUID（Set User ID）是一种特殊权限，当设置了SUID位的文件被执行时，会暂时以文件所有者的身份执行。如果攻击者能够找到并运行root用户所拥有的SUID的文件，那么就可以在运行该文件的时候获得root用户权限。
步骤：

在系统中查找设置了SUID位的文件。
分析这些文件的用途和安全性。
尝试运行这些文件，查看是否能够获得更高的权限。
环境变量劫持（针对SUID）：

原理：攻击者通过修改环境变量来影响设置了SUID位的程序的行为。
实现：

识别目标系统上设置了SUID位的程序，并分析它们是否受到环境变量劫持的影响。
修改与这些程序相关的环境变量，如LD_PRELOAD，使其指向攻击者提供的恶意共享库。
运行设置了SUID位的程序，由于环境变量的修改，它将加载并执行恶意共享库中的代码，从而实现提权。
利用定时任务：

原理：Linux系统中的定时任务（如cron job）允许用户设置在未来某个时间执行的任务。如果攻击者能够修改或添加定时任务，使其执行恶意代码，就可能实现提权。
步骤：

查看系统的定时任务配置（如/etc/crontab、/etc/cron.d/目录下的文件）。
尝试修改或添加定时任务，使其执行攻击者的恶意代码。
等待定时任务执行，或手动触发定时任务的执行。
修改文件或目录权限：

原理：通过修改文件或目录的权限，攻击者可能能够访问或修改原本只有高权限用户才能访问或修改的资源。
步骤：

使用chmod命令修改文件或目录的权限。
使用chown命令修改文件或目录的所有者或所属组。
访问或修改原本只有高权限用户才能访问或修改的资源。
利用服务漏洞：

原理：Linux系统上的某些服务可能存在安全漏洞，攻击者可以利用这些漏洞来执行恶意代码或提升权限。
步骤：

识别目标系统上运行的服务及其版本。
在漏洞数据库中查找针对这些服务的已知漏洞。
尝试利用这些漏洞来执行恶意代码或提升权限。
sudo滥用：

原理：攻击者发现并利用sudo配置中的漏洞或不当设置，从而以root身份执行命令。
实现：

读取sudoers文件，该文件定义了哪些用户可以使用sudo以及他们可以执行哪些命令。
查找是否存在配置不当或可被滥用的条目，如不需要密码即可执行命令的用户。
使用sudo执行恶意命令或脚本，提升权限。
利用明文root密码提权：

原理：攻击者通过某种方式（如社会工程学、物理访问、漏洞利用等）获取到root用户的明文密码。
实现：

尝试各种手段获取root密码，如监听网络流量、访问未加密的存储介质、欺骗用户等。
一旦获取到密码，使用su、ssh或其他认证机制登录为root用户。
利用环境变量或配置文件：

原理：通过修改环境变量或配置文件，攻击者可能能够改变系统的行为或执行恶意代码。
步骤：

查找并修改与系统安全相关的环境变量或配置文件。
重新启动服务或系统，使修改生效。
利用修改后的环境变量或配置文件来执行恶意代码或提升权限

密码抓取

系统密码抓取

一、系统密码抓取原理

系统密码抓取通常指的是非法手段获取存储在计算机系统中用户账户的密码信息。在Windows操作系统中，用户的密码通常不会以明文形式存储，而是存储为哈希值或其他加密形式。然而，攻击者可以通过一些技术手段，绕过操作系统的安全机制，获取到密码的明文或哈希值。

密码抓取的主要原理包括：

内存扫描：通过读取系统进程（如lsass.exe）的内存空间，搜索并提取用户密码信息。
文件读取：直接访问存储密码信息的系统文件（如SAM文件），提取密码哈希值。

二、抓密工具介绍

mimikatz：这是一个强大的Windows密码恢复工具，可以从内存中提取明文密码、哈希值、PIN码和Kerberos票据等。它利用Windows系统的安全漏洞和特性，实现密码的提取。
Procdump：虽然Procdump本身并不直接用于密码抓取，但它是一个强大的进程转储工具，可以将运行中的进程（包括lsass.exe）的内存内容导出为文件。结合其他工具（如mimikatz），可以分析这些内存文件以获取密码信息。

三、读取SAM文件

SAM（Security Accounts Manager）文件是Windows操作系统中用于存储本地账户密码哈希值的文件。它位于%SystemRoot%\System32\config\目录下。要读取SAM文件中的密码哈希值，通常需要结合SYSTEM注册表配置单元（也位于上述目录下），因为密码哈希是使用存储在SYSTEM文件中的密钥进行加密的。

四、读取lsass进程

lsass.exe是Windows系统的一个关键进程，负责本地安全认证和Active Directory服务的身份验证。该进程在运行时会加载用户的登录凭证（包括用户名和密码哈希值）。攻击者可以通过读取lsass.exe进程的内存内容来获取这些凭证。这通常需要使用像mimikatz这样的工具，该工具可以绕过操作系统的保护机制，直接访问进程的内存空间。

五、高版本系统密码抓取

随着Windows系统版本的更新，安全机制也在不断加强。高版本系统（如Windows 10和Windows Server 2019）采用了更严格的权限管理和内存保护技术，使得直接读取lsass.exe进程或SAM文件变得更加困难。然而，攻击者仍然可能利用其他漏洞或绕过这些安全机制来抓取密码。

在高版本系统中，密码抓取可能涉及更复杂的技术手段，如利用漏洞进行提权、绕过保护机制访问敏感数据等。此外，一些新的安全特性（如Windows Defender Credential Guard）也增加了密码抓取的难度。

域控密码抓取

1. 域控密码抓取原理

在Active Directory环境中，域控制器（DC）是负责存储、管理和验证域中所有用户和计算机凭据的核心组件。用户的密码哈希值通常存储在域控制器的NTDS.DIT（Active Directory数据库文件）中。攻击者需要设法访问这个文件或相关进程，以提取密码哈希或凭据。

2. 抓密工具介绍

Mimikatz：这是一个强大的Windows密码恢复工具，特别适用于AD环境中的密码抓取。Mimikatz提供了多种功能，包括从内存中提取凭据（如Kerberos票据和NTLM哈希值）、从NTDS.DIT文件中提取密码哈希值等。通过使用Mimikatz的dcsync功能，攻击者甚至可以在不拥有域管理员凭据的情况下，直接从域控制器中提取密码哈希。

3. 读取NTDS.DIT文件

NTDS.DIT文件是Active Directory的核心数据文件，存储了所有域用户和组的密码哈希值以及其他敏感信息。要读取这个文件，攻击者通常需要使用卷影拷贝服务（VSS）或其他技术来创建一个NTDS.DIT的快照或副本，以便在不影响域控制器运行的情况下进行分析。一旦获得了NTDS.DIT的副本，攻击者就可以使用工具（如esedbexport）将其导出为更易于处理的格式，并使用Mimikatz等工具从中提取密码哈希值。

4. 读取NTDS文件中的Hash

读取NTDS文件中的哈希（Hash）值通常涉及从Active Directory的数据库文件（NTDS.DIT）中提取密码哈希。以下是读取NTDS文件中哈希的基本步骤：

获取NTDS.DIT文件：

NTDS.DIT文件通常位于域控制器的%SystemRoot%\NTDS\目录下。
攻击者可能会使用各种方法（如漏洞利用、社会工程等）来获取对该文件的访问权限。
在某些情况下，攻击者可能会使用卷影拷贝服务（VSS）来创建一个NTDS.DIT的快照或副本，以便在不中断域控制器服务的情况下进行分析。

使用工具提取哈希：

一旦攻击者获得了NTDS.DIT文件或其副本，他们就可以使用专门的工具（如esedbexport、mimikatz等）来提取哈希值。
这些工具能够将NTDS.DIT文件转换为更易于处理或查询的格式，并允许攻击者搜索和提取特定的哈希值。

分析提取的哈希：

提取的哈希值可能需要进行进一步的分析或转换，以便能够使用它们进行攻击或破解密码。
例如，攻击者可能会使用哈希传递攻击（Pass-the-Hash Attack）来利用提取的哈希值访问其他系统或服务。
或者，他们可能会使用哈希破解工具（如Hashcat）来尝试破解哈希值对应的明文密码。

5. Dcsync攻击

Dcsync是Mimikatz中的一个功能，它允许攻击者在不具有域管理员凭据的情况下，从域控制器中直接同步（或“抓取”）域用户和组的密码哈希值。这种攻击利用了Kerberos协议中的一个漏洞，使得攻击者能够模拟域控制器并请求密码哈希的同步。由于Dcsync攻击不需要域管理员凭据，因此它成为了针对AD环境的一种非常有效的攻击手段。

票据传递

票据传递（Pass the Ticket）

黄金票据（Golden Ticket）：

定义：黄金票据是指攻击者获取了Kerberos域控制器上特权帐户（通常是KRBTGT帐户）的密码哈希，然后使用该密码哈希生成一个伪造的Ticket Granting Ticket（TGT）。这个伪造的TGT伪装成合法的TGT，具有域中任意时间的授权访问权限。
原理：攻击者通过攻击目标主机的Kerberos服务，获取有效TGT的凭证，从而绕过其他系统控制机制直接访问目标系统的所有资源。这通常涉及到在目标主机上运行恶意软件或使用其他恶意攻击手段，通过收集系统中存在的凭证或使用暴力破解等方式获取有效TGT凭证。
特点：黄金票据具有高度的权限，攻击者可以凭借它获取系统中的高权限甚至完全控制系统。

白银票据（Silver Ticket）：

定义：白银票据不与密钥分发中心（KDC）交互，因此没有Kerberos认证协议里的前几步。它通过伪造的票据授予服务（TGS）生成伪造的服务票据（ST），直接与服务器进行交互。
原理：白银票据的创建基于目标服务的NTLM哈希值，而不需要KRBTGT帐户的哈希。这使得攻击者能够伪造特定服务的票据，而无需对整个Kerberos域具有完全的控制权。
特点：白银票据的权限范围较窄，通常仅限于特定的服务或资源。然而，如果攻击者能够成功伪造白银票据，他们仍然可以在没有有效凭据的情况下访问这些服务或资源。

黄金票据与白银票据的区别

获取的权限不同：

黄金票据：伪造的TGT（票据授权票据）可以获取Kerberos域中任意服务的访问权限。由于它伪装了合法的TGT，攻击者可以使用这个伪造的TGT向Kerberos票据授权服务（TGS）请求任何服务的票据，进而访问这些服务。
白银票据：伪造的ST（服务票据）只能访问指定的服务。它通常基于目标服务的NTLM哈希值生成，因此只能用于访问该服务，而不能访问Kerberos域中的其他服务。

认证流程不同：

黄金票据：在Kerberos认证过程中，黄金票据涉及与密钥分发中心（KDC）的交互。虽然它不需要与认证服务（AS）交互，但它使用KRBTGT账户的哈希值生成伪造的TGT，并通过KDC的验证。
白银票据：白银票据不与KDC交互，而是直接与服务端进行通信。它基于目标服务的NTLM哈希值生成伪造的ST，并直接发送给服务端进行验证。

加密方式不同：

黄金票据：由KRBTGT账户的NTLM哈希值加密。KRBTGT账户是Kerberos认证过程中的关键账户，用于生成TGT和TGS票据。攻击者需要获取KRBTGT账户的哈希值才能生成有效的黄金票据。
白银票据：由目标服务的NTLM哈希值加密。攻击者需要获取目标服务的哈希值才能生成有效的白银票据。由于白银票据仅针对特定服务，因此其加密方式也仅与该服务的哈希值相关。

横向移动

IPC 横向移动：

IPC（Inter-Process Communication）是Windows系统中用于进程间通信的机制。攻击者可以通过IPC共享资源，如命名管道，来执行远程命令或访问文件。常见的IPC横向移动技术包括使用net use命令挂载远程共享，然后使用at、schtasks等工具执行远程命令。

WMI 横向移动：

WMI（Windows Management Instrumentation）是一个强大的管理和配置框架，允许管理员和脚本访问有关操作系统、已安装设备、已安装应用程序等的丰富信息。攻击者可以使用WMI进行远程命令执行、服务启动、事件订阅等。常见的WMI横向移动技术包括使用wmic命令执行远程查询或命令，或使用WMI事件订阅机制触发远程命令执行。

SMB 横向移动：

SMB（Server Message Block）是Windows系统用于共享文件和打印服务的协议。攻击者可以利用SMB协议中的漏洞或弱配置，通过工具如psexec、smbexec等进行远程命令执行，从而实现横向移动。此外，SMB中继（SMB Relay）也是一种常见的SMB横向移动技术，攻击者可以截获SMB流量并转发到目标系统，以执行恶意操作。

密码喷洒：

密码喷洒是一种针对多个账户使用单个密码进行尝试的攻击技术。攻击者会收集大量用户名，并使用一个或多个猜测的密码尝试登录每个账户。与暴力破解相比，密码喷洒减少了被锁定或触发安全警报的风险，因为它不会针对单个账户进行大量尝试。

PTH - 哈希传递：

哈希传递（Pass-the-Hash，PTH）是一种利用Windows NTLM认证机制中的漏洞进行攻击的技术。当攻击者捕获了用户的NTLM哈希值时，他们可以使用这个哈希值来伪装成用户，无需明文密码即可访问网络上的其他系统或服务。攻击者可以通过嗅探网络流量或使用凭证盗窃技术来获取哈希值。

PTK - 密钥传递：

密钥传递（Pass-the-Key，PTK）是一种针对Kerberos认证的攻击技术。Kerberos是一种基于票据的认证协议，用于在分布式系统中验证用户身份。在PTK攻击中，攻击者获取了用户的Kerberos密钥，然后使用这个密钥来请求和获取Kerberos票据，进而以用户身份访问网络服务。

PTT - 票据传递：

票据传递（Pass-the-Ticket，PTT）是一种利用Kerberos票据的攻击技术。MS14-068是Kerberos协议中的一个漏洞，允许攻击者伪造或修改Kerberos票据中的授权数据（PAC），从而获取更高的权限。攻击者可以利用这个漏洞来创建伪造的票据，并使用这些票据来访问受保护的网络资源。

Kerberoast 攻击：

Kerberoast是一种针对Kerberos服务票据的暴力破解攻击。在Kerberos认证过程中，服务票据（Service Ticket）用于验证服务请求者的身份，并授权其访问特定服务。Kerberoast攻击的目标是获取服务票据，并使用暴力破解技术来猜测服务账户的密码。一旦密码被猜测成功，攻击者就可以使用这个密码以该服务账户的身份访问网络资源。

WinRM 横向移动：

WinRM（Windows Remote Management）是Windows的一个远程管理服务，允许管理员远程执行命令和脚本。攻击者可以利用WinRM的弱配置或漏洞，通过远程命令执行来实现横向移动。常见的WinRM横向移动技术包括使用winrs命令执行远程命令，或利用WinRM的HTTP/HTTPS端点进行远程管理。

权限维持

Windows权限维持

克隆账号（隐藏账号）：

原理：影子账号是一种在Windows系统中隐藏起来的用户账户，它们不会在用户列表中显示，但可以在系统中进行活动。
实现：

首先，攻击者需要创建一个正常的用户账户（例如使用net user命令）。
接着，攻击者会修改Windows注册表或利用特定的工具来隐藏这个账户。例如，在HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users下，找到新创建账户的SID（安全标识符），并修改其描述信息或其他相关属性，使其不显示在常规的用户列表中。
最后，攻击者可以使用这个影子账户来执行恶意操作，而不会被管理员轻易发现。
计划任务：

原理：Windows的计划任务功能允许用户设置定时执行的任务，包括运行程序、脚本等。攻击者可以利用这个功能来确保恶意代码在系统启动时或定时执行。
实现：

攻击者会打开“任务计划程序”工具，并创建一个新的计划任务。
在任务的“操作”选项卡中，攻击者会指定要执行的恶意程序或脚本的路径和参数。
在“触发器”选项卡中，攻击者可以设置任务的执行时间，例如在系统启动时或每天定时执行。
最后，攻击者保存并启用这个计划任务，以确保恶意代码能够按计划执行。
映像劫持（IFEO）：

原理：Windows的“映像劫持”功能允许管理员为特定的程序指定一个替代的执行路径。攻击者可以利用这一功能来劫持正常的程序执行，使其运行恶意代码。
实现：

攻击者找到目标程序在注册表中的IFEO项（通常在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下）。
攻击者在该项下创建一个新的字符串值，指定要劫持的程序名称。
然后，攻击者将该字符串值的数据设置为恶意程序或脚本的路径。
当目标程序被启动时，Windows会先检查IFEO项，并运行指定的恶意程序或脚本。
注册表自启动：

原理：Windows注册表包含了许多关于系统配置和设置的信息，包括哪些程序在系统启动时应该自动运行。攻击者可以修改注册表中的相关项来实现恶意程序的自启动。
实现：

攻击者会打开注册表编辑器（例如使用regedit命令）。
导航到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run或RunOnce等键。
在这些键下，攻击者会添加一个新的字符串值，指定要自动运行的恶意程序或脚本的路径和名称。
保存并关闭注册表编辑器后，系统将在下次启动时自动运行指定的恶意程序或脚本。
PowerShell配置文件后门：

原理：

原理：PowerShell是Windows系统中的一个强大脚本和命令行工具。PowerShell配置文件（如profile.ps1）是在用户启动PowerShell时自动执行的脚本。攻击者可能会修改这些配置文件，以便在PowerShell启动时执行恶意代码。
实现：

找到配置文件：PowerShell配置文件通常位于用户的配置文件目录（如C:\Users\<用户名>\Documents\WindowsPowerShell\）中。
修改配置文件：攻击者可以使用文本编辑器或命令行工具（如echo、type、>>等）将恶意代码添加到配置文件中。
触发执行：当用户启动PowerShell时，配置文件将自动执行，从而触发恶意代码的执行。
建立影子账号：

原理：影子账号是Windows系统中一种隐藏的、非传统的用户账户。这些账户不会在常规的用户列表中显示，但可以在系统中进行活动。攻击者可能会创建影子账号来隐藏自己的活动并维持对系统的访问权限。
实现：

创建普通账户：首先，攻击者需要创建一个正常的Windows用户账户（例如使用net user命令）。
修改注册表：攻击者然后需要修改Windows注册表来隐藏这个账户。这通常涉及对HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users注册表项进行复杂的修改。
使用影子账号：一旦影子账号被创建并隐藏，攻击者就可以使用它来执行恶意操作，而不会被常规的用户列表所暴露。
利用安全描述符隐藏服务后门：

原理：Windows的“映像劫持”功能允许管理员为特定的程序指定一个替代的执行路径。攻击者可以利用这一功能来劫持正常的程序执行，使其运行恶意代码。
实现：

攻击者找到目标程序在注册表中的IFEO项（通常在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下）。
攻击者在该项下创建一个新的字符串值，指定要劫持的程序名称。
然后，攻击者将该字符串值的数据设置为恶意程序或脚本的路径。
当目标程序被启动时，Windows会先检查IFEO项，并运行指定的恶意程序或脚本。
Windows事件日志“隐藏”Shellcode：

原理：Windows事件日志是Windows操作系统用于记录系统、应用程序和安全相关事件的系统组件。攻击者可能会尝试将Shellcode（一种用于利用漏洞执行任意代码的机器语言代码）隐藏在事件日志的条目中，以便在特定条件下触发执行。
实现：

Shellcode生成：首先，攻击者需要生成Shellcode。这通常需要使用专业的漏洞利用工具或手动编写。
事件日志注入：攻击者然后需要找到一种方法将Shellcode注入到事件日志中。这可以通过修改或创建新的事件日志条目来实现，但具体方法取决于Windows的版本和配置。
触发执行：一旦Shellcode被注入到事件日志中，攻击者需要找到一种方法来触发其执行。这可能涉及使用特定的系统调用、修改注册表设置或利用其他漏洞。

Linux权限维持

隐藏用户和组

原理：

隐藏用户：攻击者可能会在系统上创建影子用户，这些用户在标准用户列表中（如/etc/passwd和/etc/shadow）是不可见的。他们可以通过其他途径，如某些程序或服务（如数据库）的本地用户管理功能来管理这些影子用户。
隐藏组：类似地，攻击者也可以创建隐藏的组，这些组在/etc/group文件中不可见。他们可能会使用其他系统工具或方法来管理这些组。

实现方式：

对于隐藏用户和组，攻击者可能需要绕过系统的常规用户管理功能，直接操作底层数据或利用其他服务来创建和管理这些用户和组。

利用SUID/SGID/Sticky Bit

原理：

SUID：当设置了SUID位的文件被执行时，它将以其所有者的身份运行。这可能导致权限提升的风险，特别是当文件的所有者是root时。
SGID：当设置了SGID位的目录被创建文件或子目录时，新创建的文件或子目录将继承该目录的组ID，而不是创建者的主组ID。
Sticky Bit：在设置了粘滞位的目录中，只有文件的所有者或root用户才能删除或重命名文件。

实现方式：

使用chmod命令可以为文件或目录设置这些特殊权限位。例如，为文件设置SUID位，可以使用chmod u+s 文件名；为目录设置SGID位，可以使用chmod g+s 目录名；为目录设置粘滞位，可以使用chmod +t 目录名。

利用Cron Jobs和At Jobs

原理：

Cron Jobs和At Jobs是Linux系统中用于定期执行任务的机制。攻击者可能会在系统上设置这些任务来定期执行恶意脚本或命令，从而保持对系统的持续控制。

实现方式：

攻击者可以通过编辑cron作业的配置文件（如/etc/crontab、/etc/cron.d/、/etc/cron.daily/等）来添加恶意任务。他们还可以使用crontab -e命令为特定用户设置cron作业。对于at作业，攻击者可能需要具有写入/var/spool/cron/atjobs/目录的权限来添加恶意作业。

利用内核模块

原理：
内核模块是Linux内核提供的一种扩展机制，允许用户空间程序在运行时加载和卸载内核代码。攻击者可能会加载恶意的内核模块，以获取对系统的底层访问权限，进行权限提升、数据窃取等恶意行为。

实现方式：

编写恶意内核模块：攻击者首先需要编写一个恶意的内核模块，该模块包含用于执行恶意任务的代码。
加载恶意内核模块：攻击者可以使用insmod、modprobe或rmmod等命令来加载、卸载或管理内核模块。一旦恶意内核模块被加载到内核中，它就可以执行各种恶意任务。
利用Rootkits

原理：
Rootkits是一组用于隐藏入侵痕迹和维持对系统访问权限的工具和技术。攻击者可能会使用rootkits来隐藏其用户、进程、网络连接、文件和其他恶意活动，使得系统管理员难以发现和清除。

实现方式：

文件或目录隐藏：Rootkits可能会修改文件系统的相关代码，使得被隐藏的文件或目录在标准的文件浏览和搜索工具中不可见。
进程隐藏：Rootkits可能会修改进程管理的相关代码，使得被隐藏的进程在标准的进程查看工具（如ps、top）中不可见。
网络连接隐藏：Rootkits可能会修改网络管理的相关代码，使得被隐藏的网络连接在标准的网络查看工具（如netstat）中不可见。
内核级隐藏：一些高级的Rootkits甚至可以在内核级别进行隐藏，使得即使是系统管理员也难以发现和清除。
使用SSH隧道和端口转发

原理：
SSH隧道和端口转发是一种网络技术，允许用户通过SSH协议加密的网络连接来转发TCP/IP协议的数据包。攻击者可能会使用SSH隧道和端口转发来绕过防火墙规则或隐藏其网络活动。

实现方式：

设置SSH隧道：攻击者可以在本地机器上设置SSH隧道，将目标机器上的某个端口的流量转发到本地机器的另一个端口上。这样，即使目标机器上的端口被防火墙封锁，攻击者仍然可以通过SSH隧道来访问该端口。
设置端口转发：攻击者还可以使用SSH的端口转发功能，将本地机器上的某个端口的流量转发到远程机器的某个端口上。这样，即使远程机器上的端口没有对外开放，攻击者仍然可以通过本地机器的SSH连接来访问该端口。
文件隐藏和混淆

原理：
文件隐藏和混淆是一种技术，用于隐藏或混淆文件的存在和属性，使得文件在标准的文件浏览和搜索工具中不可见或难以识别。

实现方式：

使用隐藏属性：Linux系统支持隐藏文件的功能，通过在文件名前添加.（点）字符可以使文件变为隐藏文件。攻击者可能会利用这一功能来隐藏恶意文件。
创建误导性名称：攻击者可能会创建具有误导性名称的文件或目录，使得管理员难以识别其真实用途或来源。
文件嵌入：攻击者可能会将恶意文件嵌入到其他正常文件中，使得恶意文件在表面上看起来是一个无害的文件。这样，即使管理员查看了文件的内容，也可能无法发现其中的恶意代码。
OpenSSH后门

原理：
OpenSSH是一个开源的安全shell协议实现，它提供了加密的远程登录和其他安全网络服务功能。然而，如果OpenSSH的配置或实现中存在漏洞或不当配置，攻击者可能会利用这些漏洞来创建后门。

实现方式：
攻击者可能会利用OpenSSH的以下方面来创建后门：

密钥交换算法：如果OpenSSH使用了不安全的密钥交换算法或参数，攻击者可能会利用这些漏洞来破解加密的连接。
认证机制：如果OpenSSH的认证机制存在漏洞或不当配置（例如，允许使用弱密码或密钥），攻击者可能会绕过认证过程并获得对系统的访问权限。
配置文件：攻击者可能会修改OpenSSH的配置文件（如sshd_config），以添加新的认证方法、允许未加密的连接或启用其他不安全的功能。
后门程序：攻击者还可能会在被攻击者的系统上安装一个恶意的OpenSSH服务器或客户端程序，该程序包含后门代码，以便攻击者可以绕过正常的认证过程并获得对系统的访问权限。

软连接（符号链接）

原理：
软连接（也称为符号链接）在Unix和Linux系统中是一种特殊的文件类型，它包含了对另一个文件或目录的引用。软连接本身并不包含文件数据，而只是指向了原始文件的位置。

实现方式：

使用ln命令：在Unix和Linux系统中，使用ln命令可以创建软连接。例如，ln -s /path/to/original/file /path/to/symlink将在/path/to/symlink处创建一个指向/path/to/original/file的软连接。

10.crontab反弹shell

原理：
cron是一个在Unix和Linux系统中用于定时执行任务的工具。crontab是cron的配置文件，允许用户设置定时任务。反弹shell是一种攻击技术，攻击者通过在被攻击者的系统上执行一个程序（通常是一个shell），然后将该程序的输出和输入重定向到攻击者的系统上，从而实现远程控制。

结合cron和反弹shell，攻击者可以在被攻击者的系统上设置一个定时任务，该任务定期执行一个反弹shell脚本，从而将系统的控制权交给攻击者。

实现方式：

获取写权限：首先，攻击者需要在目标系统上获取写权限，以便能够编辑crontab文件。
编辑crontab文件：使用crontab -e命令或直接编辑/etc/crontab文件（对于系统级任务），添加一个新的定时任务。这个任务应该指向一个包含反弹shell代码的脚本。
编写反弹shell脚本：该脚本应该启动一个shell进程，并将该进程的输入和输出重定向到攻击者的系统上。这通常涉及使用如nc（netcat）或bash等工具。

11.strace后门

原理：
strace是一个用于追踪系统调用和信号的Unix诊断工具。它可以捕获一个进程接收到的信号、系统调用及其参数，并将这些信息输出到标准输出、文件或其他输出设备。虽然strace本身不是用于创建后门的工具，但攻击者可能会利用strace的某些特性来实施攻击。

然而，直接使用strace作为后门并不常见，因为strace本身并不提供隐藏或混淆的功能。攻击者可能会结合其他技术（如rootkits）来隐藏strace的使用痕迹，但这已经超出了strace本身的范围。

尽管strace通常不用于创建后门，但这里我可以解释一种可能的方法，尽管这更多是一个理论上的示例：

结合strace和其他工具：攻击者可能会使用strace来追踪目标进程的系统调用，并结合其他工具（如rootkits）来隐藏strace的使用痕迹。然而，这并不是strace的直接功能，而是攻击者可能采取的策略。
利用strace的输出：在特定的情境下，攻击者可能会利用strace的输出（如捕获的密码或密钥）来进一步实施攻击。但这并不是strace作为后门工具的直接实现方式。