ATT&CK視角下的紅藍對抗實戰(zhàn)指南

定　價：￥159.00

作　者：	賈曉璐李嘉旭黨超輝
出版社：	機械工業(yè)出版社
叢編項：
標　簽：	暫缺

購買這本書可以去

當當網 (￥119.20)

ISBN：	9787111733744	出版時間：	2019-09-01	包裝：	平裝-膠訂
開本：	16開	頁數：		字數：

內容簡介

　　內容簡介這是一本能同時幫助紅隊和藍隊建立完整攻擊和防御知識體系的著作，也是一本既能指導企業(yè)建設和完善網絡安全防御系統，又能打造安全工程師個人安全能力護城河的著作。全書以ATT&CK框架模型為基座，系統、詳細地講解了信息收集、隧道穿透、權限提升、憑據獲取、橫向滲透、持久化6大階段所涉及的技術原理、攻擊手段和防御策略。既能讓紅隊理解攻擊的本質、掌握實戰(zhàn)化的攻擊手段，又能讓藍隊看透紅隊的攻擊思路，從而構建更為強大的防御體系。本書的宗旨是“以攻促防、以戰(zhàn)訓戰(zhàn)”，所以書中精心整理了大量來自實踐的攻防案例，每個案例都提供了詳細的思路、具體的步驟，以及實戰(zhàn)中的經驗、技巧和注意事項，盡可能讓讀者感受到真實的攻防對抗氛圍。本書內容豐富，講解又極為細致，所以篇幅巨大，具體包含如下7個方面的內容。（1）Windows安全基礎詳細介紹Windows的安全認證機制（NTLM認證、Kerberos域認證）、協議（LLMNR、NetBIOS、WPAD、LDAP）和域的基礎知識。（2）信息收集詳細講解主機發(fā)現、Windows/Linux操作系統信息收集、組策略信息收集、域控相關信息收集、Exchange信息收集等各種信息收集手段。（3）隧道穿透全面、透徹講解隧道穿透技術基礎知識、利用多協議進行隧道穿透的方法、常見的隧道利用工具、以及檢測防護方法。（4）權限提升詳細講解內核漏洞提權、錯配漏洞提權、第三方服務提權等紅藍對抗中常用的提權手法，既講解這些手法在實際場景中的利用過程，又提供針對性的防御手段。（5）憑據獲取從攻擊和防御兩個維度，詳細講解主要的憑證獲取手法，包括軟件憑證獲取、本地憑證獲取、域內憑證等。（6）橫向移動全面分析利用任務計劃、遠程服務、組策略、WSUS、SCCM、Psexec、WMI等系統應用服務及協議進行橫向移動的原理與過程。（7）持久化既詳細講解紅隊常用的持久化手法，如Windows持久化、Linux持久化、Windows域權限維持等，又系統分析藍隊針對持久化攻擊的檢測和防御思路。

作者簡介

暫缺《ATT&CK視角下的紅藍對抗實戰(zhàn)指南》作者簡介

圖書目錄

目錄　Contents　
贊譽
序一
序二
序三
前言
第1章　Windows安全基礎1
1.1　Windows認證基礎知識1
1.1.1　Windows憑據1
1.1.2　Windows訪問控制模型2
1.1.3　令牌安全防御10
1.2　UAC13
1.2.1　UAC原理概述13
1.2.2　UAC級別定義13
1.2.3　UAC觸發(fā)條件15
1.2.4　UAC用戶登錄過程16
1.2.5　UAC虛擬化18
1.3　Windows安全認證機制18
1.3.1　什么是認證18
1.3.2　NTLM本地認證19
1.3.3　NTLM網絡認證22
1.3.4　Kerberos域認證25
1.4　Windows常用協議28
1.4.1　LLMNR28
1.4.2　NetBIOS31
1.4.3　Windows WPAD34
1.5　Windows WMI詳解36
1.5.1　WMI簡介36
1.5.2　WQL36
1.5.3　WMI Client40
1.5.4　WMI遠程交互41
1.5.5　WMI事件42
1.5.6　WMI攻擊45
1.5.7　WMI攻擊檢測46
1.6　域46
1.6.1　域的基礎概念46
1.6.2　組策略49
1.6.3　LDAP56
1.6.4　SPN59
1.7　本章小結65
第2章　信息收集66
2.1　主機發(fā)現66
2.1.1　利用協議主動探測主機存活66
2.1.2　被動主機存活探測71
2.1.3　內網多網卡主機發(fā)現76
2.2　Windows主機信息收集檢查清單78
2.3　Linux主機信息收集檢查清單81
2.4　組策略信息收集81
2.4.1　本地組策略收集81
2.4.2　域組策略收集81
2.4.3　組策略存儲收集83
2.4.4　組策略對象收集86
2.5　域信息收集90
2.5.1　域控制器收集90
2.5.2　域DNS信息枚舉92
2.5.3　SPN掃描96
2.5.4　域用戶名獲取98
2.5.5　域用戶定位102
2.6　net session與net use利用110
2.6.1　net session利用110
2.6.2　net use利用112
2.7　Sysmon檢測117
2.8　域路徑收集分析119
2.8.1　域分析之BloodHound119
2.8.2　域分析之ShotHound137
2.8.3　域分析之CornerShot142
2.9　Exchange信息收集146
2.9.1　Exchange常見接口146
2.9.2　Exchange常見信息收集146
2.9.3　Exchange攻擊面擴展收集
　　?。ū┝ζ平猓?54
2.9.4　 Exchange郵件列表導出156
2.10 　本章小結162
第3章　隧道穿透163
3.1　隧道穿透技術詳解163
3.1.1　正向連接163
3.1.2　反向連接163
3.1.3　端口轉發(fā)164
3.1.4　端口復用165
3.1.5　內網穿透165
3.1.6　代理和隧道的區(qū)別165
3.1.7　常見隧道轉發(fā)場景165
3.1.8　常見隧道穿透分類166
3.2　內網探測協議出網166
3.2.1　TCP/UDP探測出網166
3.2.2　HTTP/HTTPS探測出網169
3.2.3　ICMP探測出網171
3.2.4　DNS探測出網171
3.3　隧道利用方法172
3.3.1　常規(guī)反彈172
3.3.2　加密反彈175
3.3.3　端口轉發(fā)177
3.3.4　SOCKS隧道代理180
3.4　利用多協議方式進行隧道穿透182
3.4.1　利用ICMP進行隧道穿透182
3.4.2　利用DNS協議進行隧道穿透187
3.4.3　利用RDP進行隧道穿透192
3.4.4　利用IPv6進行隧道穿透195
3.4.5　利用GRE協議進行隧道穿透 197
3.4.6　利用HTTP進行隧道穿透200
3.4.7　利用SSH協議進行隧道穿透210
3.5　常見的隧道穿透利用方式215
3.5.1　通過EW進行隧道穿透215
3.5.2　通過Venom進行隧道穿透224
3.5.3　通過Termite進行隧道穿透231
3.5.4　通過frp進行隧道穿透236
3.5.5　通過NPS進行隧道穿透244
3.5.6　通過ngrok進行內網穿透250
3.6　文件傳輸技術252
3.6.1　Windows文件傳輸技巧詳解252
3.6.2　Linux文件傳輸技巧詳解261
3.7　檢測與防護266
3.7.1　ICMP隧道流量檢測與防護266
3.7.2　DNS隧道流量檢測與防護267
3.7.3　HTTP隧道流量檢測與防護267
3.7.4　RDP隧道流量檢測與防護267
3.8　本章小結268
第4章　權限提升269
4.1　Windows用戶權限簡介269
4.2　Windows單機權限提升270
4.2.1　利用Windows內核漏洞
　　　　進行提權270
4.2.2　利用Windows錯配進行提權273
4.2.3　DLL劫持285
4.2.4　訪問令牌提權294
4.2.5　獲取TrustedInstaller權限298
4.3　利用第三方服務提權300
4.3.1　利用MySQL UDF進行提權300
4.3.2　利用SQL Server進行提權304
4.3.3　利用Redis進行提權309
4.4　利用符號鏈接進行提權313
4.4.1　符號鏈接313
4.4.2　符號鏈接提權的原理314
4.4.3　CVE-2020-0668316
4.5　NTLM中繼318
4.5.1　通過LLMNR/NBNS欺騙
　　　獲取NTLM哈希320
4.5.2　通過desktop.ini獲取哈希323
4.5.3　自動生成有效載荷325
4.5.4　中繼到SMB326
4.6　Service提權至SYSTEM
　?。ㄍ炼构簦?28
4.6.1　熱土豆328
4.6.2　爛土豆331
4.6.3　多汁土豆333
4.6.4　甜土豆334
4.7　Linux權限提升334
4.7.1　Linux權限基礎334
4.7.2　Linux本機信息收集337
4.7.3　利用Linux漏洞進行提權340
4.7.4　Linux錯配提權342
4.8　Windows Print Spooler漏洞
　　　詳解及防御346
4.8.1　Windows Print Spooler簡介346
4.8.2　CVE-2020-1048347
4.8.3　CVE-2020-1337350
4.9　繞過權限限制351
4.9.1　繞過 UAC351
4.9.2　繞過AppLocker361
4.9.3　繞過AMSI374
4.9.4　繞過Sysmon383
4.9.5　繞過ETW387
4.9.6　繞過PowerShell Ruler391
4.10　本章小結405
第5章　憑據獲取406
5.1　Windows單機憑據獲取406
5.1.1　憑據獲取的