目 錄
第1章攻擊路徑及流程 （1）
1.1攻擊路徑 （1）
1.1.1互聯網Web應用繫統攻擊 （1）
1.1.2互聯網旁站攻擊 （6）
1.1.3互聯網繫統與服務攻擊 （8）
1.1.4移動App應用攻擊 （11）
1.1.5社會工程學攻擊 （14）
1.1.6近源攻擊 （16）
1.1.7供應鏈攻擊 （18）
1.2攻擊流程 （19）
1.2.1攻擊流程簡介 （19）
1.2.2典型案例 （20）
第2章信息收集 （25）
2.1IP資源 （25）
2.1.1真實IP獲取 （25）
2.1.2旁站信息收集 （29）
2.1.3C段主機信息收集 （31）
2.2域名發現 （32）
2.2.1子域名信息收集 （32）
2.2.2枚舉發現子域名 （32）
2.2.3搜索引擎發現子域名 （34）
2.2.4第三方聚合服務發現子域名 （34）
2.2.5證書透明性信息發現子域名 （35）
2.2.6DNS域傳送漏洞發現子域名 （37）
2.3服務器信息收集 （39）
2.3.1端口掃描 （39）
2.3.2服務版本識別 （41）
2.3.3操作繫統信息識別 （41）
2.4人力資源情報收集 （42）
2.4.1whois信息 （42）
2.4.2社會工程學 （43）
2.4.3利用客服進行信息收集 （44）
2.4.4招聘信息收集 （45）
2.5網站關鍵信息識別 （46）
2.5.1指紋識別 （46）
2.5.2敏感路徑探測 （50）
2.5.3互聯網信息收集 （51）
第3章漏洞分析 （56）
3.1漏洞研究 （56）
3.1.1Google hacking （56）
3.1.2Exploit Database （58）
3.1.3Shodan （59）
3.1.4CVE/CNVD/CNNVD （60）
3.2Web漏洞掃描 （62）
3.2.1AWVS掃描器 （62）
3.2.2AWVS組成 （63）
3.2.3AWVS配置 （64）
3.2.4AWVS掃描 （65）
3.2.5AWVS分析掃描結果 （67）
3.3繫統漏洞掃描 （70）
3.3.1Nessus掃描器 （70）
3.3.2Nessus模板 （70）
3.3.3Nessus掃描 （71）
3.3.4Nessus分析掃描結果 （77）
3.4弱口令掃描 （79）
3.4.1通用/默認口令 （79）
3.4.2Hydra暴力破解 （81）
3.4.3Metasploit暴力破解 （82）
第4章Web滲透測試 （85）
4.1Web TOP 10漏洞 （85）
4.1.1注入漏洞 （85）
4.1.2跨站腳本（XSS）漏洞 （86）
4.1.3文件上傳漏洞 （86）
4.1.4文件包含漏洞 （86）
4.1.5命令執行漏洞 （86）
4.1.6代碼執行漏洞 （87）
4.1.7XML外部實體（XXE）漏洞 （87）
4.1.8反序列化漏洞 （87）
4.1.9SSRF漏洞 （87）
4.1.10解析漏洞 （87）
4.2框架漏洞 （88）
4.2.1ThinkPHP框架漏洞 （88）
4.2.2Struts2框架漏洞 （90）
4.3CMS漏洞 （93）
4.3.1WordPress CMS漏洞 （93）
4.3.2DedeCMS漏洞 （96）
4.3.3Drupal漏洞 （102）
4.4繞過Web防火牆 （105）
4.4.1WAF簡介 （105）
4.4.2WAF識別 （106）
4.4.3繞過WAF （110）
4.4.4WAF繞過實例 （118）
第5章權限提升 （127）
5.1權限提升簡介 （127）
5.2Windows提權 （127）
5.2.1溢出提權 （127）
5.2.2錯誤繫統配置提權 （133）
5.2.3MSI文件提權 （140）
5.2.4計劃任務提權 （141）
5.2.5啟動項/組策略提權 （143）
5.2.6進程注入提權 （143）
5.3Linux提權 （144）
5.3.1內核漏洞提權 （144）
5.3.2SUID提權 （146）
5.3.3計劃任務提權 （147）
5.3.4環境變量劫持提權 （149）
5.4數據庫提權 （150）
5.4.1SQL Server數據庫提權 （150）
5.4.2MySQL UDF提權 （154）
5.4.3MySQL MOF提權 （158）
5.4.4Oracle數據庫提權 （158）
5.5第三方軟件提權 （163）
5.5.1FTP軟件提權 （163）
5.5.2遠程管理軟件提權 （168）
第6章權限維持 （170）
6.1Windows權限維持 （170）
6.1.1隱藏繫統用戶 （170）
6.1.2Shift後門 （172）
6.1.3啟動項 （172）
6.1.4計劃任務 （173）
6.1.5隱藏文件 （173）
6.1.6創建服務 （174）
6.2Linux權限維持 （174）
6.2.1sshd軟連接 （174）
6.2.2啟動項和計劃任務 （175）
6.3滲透框架權限維持 （175）
6.3.1使用Metasploit維持權限 （175）
6.3.2使用Empire維持權限 （181）
6.3.3使用Cobalt Strike維持權限 （184）
6.4其他方式維權 （189）
6.4.1使用遠控njRAT木馬維持權限 （189）
6.4.2Rootkit介紹 （191）
6.5免殺技術 （192）
6.5.1免殺工具 （192）
6.5.2Cobalt Strike （203）
6.5.3Metasploit （211）
6.5.4Xencrypt免殺 （219）
第7章內網滲透代理 （221）
7.1基礎知識 （221）
7.1.1端口轉發和端口映射 （221）
7.1.2Http代理和Socks代理 （222）
7.1.3正向代理和反向代理 （222）
7.2端口轉發 （222）
7.2.1使用LCX端口轉發 （222）
7.2.2使用SSH端口轉發 （223）
7.3反彈Shell （226）
7.3.1使用NetCat反彈Shell （226）
7.3.2使用Bash命令反彈Shell （227）
7.3.3使用Python反彈Shell （228）
7.4代理客戶端介紹 （229）
7.4.1ProxyChains的使用 （229）
7.4.2Proxifier的使用 （230）
7.5隱秘隧道搭建 （231）
7.5.1reGeorg隱秘隧道搭建 （231）
7.5.2FRP隱秘隧道搭建 （232）
7.5.3EarthWorm隱秘隧道搭建 （234）
7.5.4Termite隱秘隧道搭建 （240）
7.5.5NPS隱秘隧道搭建 （246）
第8章內網常見攻擊 （252）
8.1操作繫統漏洞 （252）
8.1.1MS08-067利用 （252）
8.1.2MS17-010利用 （253）
8.2網絡設備漏洞 （254）
8.2.1路由器漏洞 （254）
8.2.2交換機漏洞 （257）
8.3無線網攻擊 （258）
8.3.1無線網加密 （258）
8.3.2無線網破解 （259）
8.4中間人劫持攻擊 （261）
8.5釣魚攻擊 （264）
8.5.1釣魚攻擊類型 （264）
8.5.2釣魚手法 （264）
第9章後滲透 （276）
9.1敏感信息收集 （276）
9.1.1攝像頭/LED大屏信息收集 （276）
9.1.2共享目錄信息收集 （276）
9.1.3數據庫信息收集 （277）
9.1.4高價值文檔信息收集 （278）
9.1.5NFS信息收集 （279）
9.1.6Wiki信息收集 （279）
9.1.7SVN信息收集 （280）
9.1.8備份信息收集 （280）
9.2本機信息收集 （281）
9.2.1用戶列表 （281）
9.2.2主機信息 （282）
9.2.3進程列表 （282）
9.2.4端口列表 （284）
9.2.5補丁列表 （285）
9.2.6用戶習慣 （286）
9.2.7密碼收集 （288）
9.3網絡架構信息收集 （289）
9.3.1netstat收集網絡信息 （290）
9.3.2路由表收集網絡信息 （290）
9.3.3ICMP收集網絡信息 （291）
9.3.4Nbtscan收集網絡信息 （292）
9.3.5hosts文件收集網絡信息 （293）
9.3.6登錄日志收集網絡信息 （294）
9.3.7數據庫配置文件收集網絡信息 （294）
9.3.8代理服務器收集網絡信息 （295）
9.4域滲透 （296）
9.4.1域簡述 （296）
9.4.2域信息收集 （297）
9.4.3域控攻擊 （299）
9.4.4域控權限維持 （306）
第10章痕跡清除 （316）
10.1Windows日志痕跡清除 （316）
10.1.1Metasploit清除Windows日志 （317）
10.1.2Cobalt Strike插件清除Windows日志 （318）
10.2Linux日志痕跡清除 （320）
10.2.1歷史記錄清除 （321）
10.2.2日志清除 （321）
10.3Web日志痕跡清除 （323）
10.3.1Apache日志痕跡清除 （323）
10.3.2IIS日志痕跡清除 （324）

前  言  

2016年，由六部委聯合發布的《關於加強網絡安全學科建設和人纔培養的意見》指出：“網絡空間的競爭，歸根結底是人纔競爭。從總體上看，我國網絡安全人纔還存在數量缺口較大、能力素質不高、結構不盡合理等問題，與維護國家網絡安全、建設網絡強國的要求不相適應。”
網絡安全人纔的培養是一項十分艱巨的任務，原因有二：其一，網絡安全的涉及面非常廣，至少包括密碼學、數學、計算機、通信工程、信息工程等多門學科，因此，其知識體繫龐雜，難以梳理；其二，網絡安全的實踐性很強，技術發展更新非常快，對環境和師資要求也很高。
奇安信憑借多年網絡安全人纔培養經驗及對行業發展的理解，基於國家的網絡安全戰略，圍繞企業用戶的網絡安全人纔需求，設計和建設了網絡安全人纔的培訓、注冊和能力評估體繫—“奇安信網絡安全工程師認證體繫”（見下圖）。
 
奇安信網絡安全工程師認證體繫
該體繫共分三個方向和三個層級。三個方向分別是基於安全產品解決方案的產品支持方向、基於客戶安全運營人纔需求的安全運營方向、基於攻防體繫的安全攻防方向。三個層級分別是奇安信認證助理網絡安全工程師（QCCA，Qianxin Certified Cybersecurity Associate）、奇安信認證網絡安全工程師（QCCP，Qianxin Certified Cybersecurity Professional）、奇安信認證網絡安全專家（QCCE，Qianxin Certified Cybersecurity Expert）。體繫覆蓋網絡空間安全的各技術領域，務求實現應用型網絡安全人纔能力的全面培養。
基於“奇安信網絡安全工程師認證體繫”，奇安信組織專家團隊編寫了“奇安信認證網絡安全工程師繫列叢書”，本書是其中一本，分10章介紹網絡安全攻防技術實戰，結構安排如下。
第1章  攻擊路徑及流程：通過多個案例講解了網絡攻擊路徑和攻擊流程，攻擊路徑分為互聯網Web應用繫統攻擊、互聯網旁站攻擊、互聯網繫統與服務攻擊、移動App應用攻擊、社會工程學攻擊、近源攻擊和供應鏈攻擊等；攻擊流程一般分為四個階段：信息收集階段、漏洞分析階段、攻擊階段、後滲透階段，並通過案例進行講解。
第2章  信息收集：在網絡攻防的過程中，信息收集是非常重要的一步，本章通過案例講解了如何通過IP資源、域名發現、服務器信息收集、人力資源情報收集、網站關鍵信息識別等進行信息收集。
第3章  漏洞分析：本章主要講解了通過Google hacking、Exploit Database、Shodan和CVE/CNVD/CNNVD進行在線的漏洞查找及分析研究，然後講解了如何利用Web漏洞掃描、繫統漏洞掃描和弱口令掃描進行常見漏洞的發現。
第4章  Web滲透測試：本章涉及的內容既有常見高危的Web TOP 10漏洞，如：注入漏洞、文件上傳漏洞、文件包含漏洞、命令執行漏洞、跨站腳本（XSS）漏洞、反序列化漏洞、SSRF漏洞等，又包含框架漏洞、CMS漏洞、繞過Web防火牆等。此部分的內容在《Web安全原理分析與實踐》一書中結合漏洞代碼從原理到實踐進行了詳細講解，本書不再詳述。
第5章  權限提升：本章詳細地講解Windows操作繫統、Linux操作繫統多種不同的提權方式，講解了如何利用常用的SQL Server數據庫、MySQL數據庫、Oracle數據庫提權，以及如何利用常見的第三方軟件（如：FTP軟件、遠程管理軟件）進行提權。
第6章  權限維持：本章主要講解Windows操作繫統通過隱藏繫統用戶、修改注冊表、利用輔助功能（如替換粘滯鍵）、WMI後門、遠程控制、Rookit、進程注入、創建服務、計劃任務和啟動項等方式進行權限維持。Linux繫統通過預加載型動態鏈接庫後門、SSH後門、VIM後門、協議後門、PAM後門、服務後門、遠程控制、進程注入、Rookit等方式進行權限維持。本章還講解了如何使用滲透框架進行權限維持，如Metasploit、Empire、Cobalt Strike等。
第7章  內網滲透代理：本章主要講解如何通過端口轉發、反彈Shell和搭建代理等方式進行內網穿透，詳細講述了LCX、SSH端口轉發，通過NC、Bash、Python進行Shell反彈，通過reGeorg、FRP、EarthWorm、Termite和NPS進行隱秘隧道搭建。
第8章  內網常見攻擊：本章主要講解如何通過操作繫統漏洞、網絡設備漏洞、路由器漏洞、無線網攻擊、中間人劫持攻擊、釣魚攻擊對內網進行滲透攻擊。
第9章  後滲透：本章主要講解內網敏感信息收集、本機信息收集、網絡架構信息收集和目前後滲透中常用的域控滲透，域控滲透詳細講述了什麼是域、域信息收集、域控攻擊方式及域控維持權限的多種方式。
第10章  痕跡清除：攻防滲透的後階段是痕跡清除，它是為了躲避反追蹤和隱藏攻擊的一種方式，本章將介紹常見的痕跡清除方法，主要涉及Windows日志痕跡清除、Linux日志痕跡清除和Web日志痕跡清除。
本書的內容大多是編著者在日常工作中的經驗總結和案例分享，水平有限，書中難免存在疏漏和不妥之處，歡迎讀者批評指正。

編著者  
2020年6月