ATT&CK視角下的紅藍(lán)對抗實(shí)戰(zhàn)指南

定　價(jià)：￥159.00

作　者：	賈曉璐李嘉旭黨超輝
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購買這本書可以去

當(dāng)當(dāng)網(wǎng) (￥119.20)

ISBN：	9787111733744	出版時(shí)間：	2019-09-01	包裝：	平裝-膠訂
開本：	16開	頁數(shù)：		字?jǐn)?shù)：

內(nèi)容簡介

　　內(nèi)容簡介這是一本能同時(shí)幫助紅隊(duì)和藍(lán)隊(duì)建立完整攻擊和防御知識體系的著作，也是一本既能指導(dǎo)企業(yè)建設(shè)和完善網(wǎng)絡(luò)安全防御系統(tǒng)，又能打造安全工程師個(gè)人安全能力護(hù)城河的著作。全書以ATT&CK框架模型為基座，系統(tǒng)、詳細(xì)地講解了信息收集、隧道穿透、權(quán)限提升、憑據(jù)獲取、橫向滲透、持久化6大階段所涉及的技術(shù)原理、攻擊手段和防御策略。既能讓紅隊(duì)理解攻擊的本質(zhì)、掌握實(shí)戰(zhàn)化的攻擊手段，又能讓藍(lán)隊(duì)看透紅隊(duì)的攻擊思路，從而構(gòu)建更為強(qiáng)大的防御體系。本書的宗旨是“以攻促防、以戰(zhàn)訓(xùn)戰(zhàn)”，所以書中精心整理了大量來自實(shí)踐的攻防案例，每個(gè)案例都提供了詳細(xì)的思路、具體的步驟，以及實(shí)戰(zhàn)中的經(jīng)驗(yàn)、技巧和注意事項(xiàng)，盡可能讓讀者感受到真實(shí)的攻防對抗氛圍。本書內(nèi)容豐富，講解又極為細(xì)致，所以篇幅巨大，具體包含如下7個(gè)方面的內(nèi)容。（1）Windows安全基礎(chǔ)詳細(xì)介紹Windows的安全認(rèn)證機(jī)制（NTLM認(rèn)證、Kerberos域認(rèn)證）、協(xié)議（LLMNR、NetBIOS、WPAD、LDAP）和域的基礎(chǔ)知識。（2）信息收集詳細(xì)講解主機(jī)發(fā)現(xiàn)、Windows/Linux操作系統(tǒng)信息收集、組策略信息收集、域控相關(guān)信息收集、Exchange信息收集等各種信息收集手段。（3）隧道穿透全面、透徹講解隧道穿透技術(shù)基礎(chǔ)知識、利用多協(xié)議進(jìn)行隧道穿透的方法、常見的隧道利用工具、以及檢測防護(hù)方法。（4）權(quán)限提升詳細(xì)講解內(nèi)核漏洞提權(quán)、錯(cuò)配漏洞提權(quán)、第三方服務(wù)提權(quán)等紅藍(lán)對抗中常用的提權(quán)手法，既講解這些手法在實(shí)際場景中的利用過程，又提供針對性的防御手段。（5）憑據(jù)獲取從攻擊和防御兩個(gè)維度，詳細(xì)講解主要的憑證獲取手法，包括軟件憑證獲取、本地憑證獲取、域內(nèi)憑證等。（6）橫向移動(dòng)全面分析利用任務(wù)計(jì)劃、遠(yuǎn)程服務(wù)、組策略、WSUS、SCCM、Psexec、WMI等系統(tǒng)應(yīng)用服務(wù)及協(xié)議進(jìn)行橫向移動(dòng)的原理與過程。（7）持久化既詳細(xì)講解紅隊(duì)常用的持久化手法，如Windows持久化、Linux持久化、Windows域權(quán)限維持等，又系統(tǒng)分析藍(lán)隊(duì)針對持久化攻擊的檢測和防御思路。

作者簡介

暫缺《ATT&CK視角下的紅藍(lán)對抗實(shí)戰(zhàn)指南》作者簡介

圖書目錄

目錄　Contents　
贊譽(yù)
序一
序二
序三
前言
第1章　Windows安全基礎(chǔ)1
1.1　Windows認(rèn)證基礎(chǔ)知識1
1.1.1　Windows憑據(jù)1
1.1.2　Windows訪問控制模型2
1.1.3　令牌安全防御10
1.2　UAC13
1.2.1　UAC原理概述13
1.2.2　UAC級別定義13
1.2.3　UAC觸發(fā)條件15
1.2.4　UAC用戶登錄過程16
1.2.5　UAC虛擬化18
1.3　Windows安全認(rèn)證機(jī)制18
1.3.1　什么是認(rèn)證18
1.3.2　NTLM本地認(rèn)證19
1.3.3　NTLM網(wǎng)絡(luò)認(rèn)證22
1.3.4　Kerberos域認(rèn)證25
1.4　Windows常用協(xié)議28
1.4.1　LLMNR28
1.4.2　NetBIOS31
1.4.3　Windows WPAD34
1.5　Windows WMI詳解36
1.5.1　WMI簡介36
1.5.2　WQL36
1.5.3　WMI Client40
1.5.4　WMI遠(yuǎn)程交互41
1.5.5　WMI事件42
1.5.6　WMI攻擊45
1.5.7　WMI攻擊檢測46
1.6　域46
1.6.1　域的基礎(chǔ)概念46
1.6.2　組策略49
1.6.3　LDAP56
1.6.4　SPN59
1.7　本章小結(jié)65
第2章　信息收集66
2.1　主機(jī)發(fā)現(xiàn)66
2.1.1　利用協(xié)議主動(dòng)探測主機(jī)存活66
2.1.2　被動(dòng)主機(jī)存活探測71
2.1.3　內(nèi)網(wǎng)多網(wǎng)卡主機(jī)發(fā)現(xiàn)76
2.2　Windows主機(jī)信息收集檢查清單78
2.3　Linux主機(jī)信息收集檢查清單81
2.4　組策略信息收集81
2.4.1　本地組策略收集81
2.4.2　域組策略收集81
2.4.3　組策略存儲收集83
2.4.4　組策略對象收集86
2.5　域信息收集90
2.5.1　域控制器收集90
2.5.2　域DNS信息枚舉92
2.5.3　SPN掃描96
2.5.4　域用戶名獲取98
2.5.5　域用戶定位102
2.6　net session與net use利用110
2.6.1　net session利用110
2.6.2　net use利用112
2.7　Sysmon檢測117
2.8　域路徑收集分析119
2.8.1　域分析之BloodHound119
2.8.2　域分析之ShotHound137
2.8.3　域分析之CornerShot142
2.9　Exchange信息收集146
2.9.1　Exchange常見接口146
2.9.2　Exchange常見信息收集146
2.9.3　Exchange攻擊面擴(kuò)展收集
　　?。ū┝ζ平猓?54
2.9.4　 Exchange郵件列表導(dǎo)出156
2.10 　本章小結(jié)162
第3章　隧道穿透163
3.1　隧道穿透技術(shù)詳解163
3.1.1　正向連接163
3.1.2　反向連接163
3.1.3　端口轉(zhuǎn)發(fā)164
3.1.4　端口復(fù)用165
3.1.5　內(nèi)網(wǎng)穿透165
3.1.6　代理和隧道的區(qū)別165
3.1.7　常見隧道轉(zhuǎn)發(fā)場景165
3.1.8　常見隧道穿透分類166
3.2　內(nèi)網(wǎng)探測協(xié)議出網(wǎng)166
3.2.1　TCP/UDP探測出網(wǎng)166
3.2.2　HTTP/HTTPS探測出網(wǎng)169
3.2.3　ICMP探測出網(wǎng)171
3.2.4　DNS探測出網(wǎng)171
3.3　隧道利用方法172
3.3.1　常規(guī)反彈172
3.3.2　加密反彈175
3.3.3　端口轉(zhuǎn)發(fā)177
3.3.4　SOCKS隧道代理180
3.4　利用多協(xié)議方式進(jìn)行隧道穿透182
3.4.1　利用ICMP進(jìn)行隧道穿透182
3.4.2　利用DNS協(xié)議進(jìn)行隧道穿透187
3.4.3　利用RDP進(jìn)行隧道穿透192
3.4.4　利用IPv6進(jìn)行隧道穿透195
3.4.5　利用GRE協(xié)議進(jìn)行隧道穿透 197
3.4.6　利用HTTP進(jìn)行隧道穿透200
3.4.7　利用SSH協(xié)議進(jìn)行隧道穿透210
3.5　常見的隧道穿透利用方式215
3.5.1　通過EW進(jìn)行隧道穿透215
3.5.2　通過Venom進(jìn)行隧道穿透224
3.5.3　通過Termite進(jìn)行隧道穿透231
3.5.4　通過frp進(jìn)行隧道穿透236
3.5.5　通過NPS進(jìn)行隧道穿透244
3.5.6　通過ngrok進(jìn)行內(nèi)網(wǎng)穿透250
3.6　文件傳輸技術(shù)252
3.6.1　Windows文件傳輸技巧詳解252
3.6.2　Linux文件傳輸技巧詳解261
3.7　檢測與防護(hù)266
3.7.1　ICMP隧道流量檢測與防護(hù)266
3.7.2　DNS隧道流量檢測與防護(hù)267
3.7.3　HTTP隧道流量檢測與防護(hù)267
3.7.4　RDP隧道流量檢測與防護(hù)267
3.8　本章小結(jié)268
第4章　權(quán)限提升269
4.1　Windows用戶權(quán)限簡介269
4.2　Windows單機(jī)權(quán)限提升270
4.2.1　利用Windows內(nèi)核漏洞
　　　　進(jìn)行提權(quán)270
4.2.2　利用Windows錯(cuò)配進(jìn)行提權(quán)273
4.2.3　DLL劫持285
4.2.4　訪問令牌提權(quán)294
4.2.5　獲取TrustedInstaller權(quán)限298
4.3　利用第三方服務(wù)提權(quán)300
4.3.1　利用MySQL UDF進(jìn)行提權(quán)300
4.3.2　利用SQL Server進(jìn)行提權(quán)304
4.3.3　利用Redis進(jìn)行提權(quán)309
4.4　利用符號鏈接進(jìn)行提權(quán)313
4.4.1　符號鏈接313
4.4.2　符號鏈接提權(quán)的原理314
4.4.3　CVE-2020-0668316
4.5　NTLM中繼318
4.5.1　通過LLMNR/NBNS欺騙
　　　獲取NTLM哈希320
4.5.2　通過desktop.ini獲取哈希323
4.5.3　自動(dòng)生成有效載荷325
4.5.4　中繼到SMB326
4.6　Service提權(quán)至SYSTEM
　　（土豆攻擊）328
4.6.1　熱土豆328
4.6.2　爛土豆331
4.6.3　多汁土豆333
4.6.4　甜土豆334
4.7　Linux權(quán)限提升334
4.7.1　Linux權(quán)限基礎(chǔ)334
4.7.2　Linux本機(jī)信息收集337
4.7.3　利用Linux漏洞進(jìn)行提權(quán)340
4.7.4　Linux錯(cuò)配提權(quán)342
4.8　Windows Print Spooler漏洞
　　　詳解及防御346
4.8.1　Windows Print Spooler簡介346
4.8.2　CVE-2020-1048347
4.8.3　CVE-2020-1337350
4.9　繞過權(quán)限限制351
4.9.1　繞過 UAC351
4.9.2　繞過AppLocker361
4.9.3　繞過AMSI374
4.9.4　繞過Sysmon383
4.9.5　繞過ETW387
4.9.6　繞過PowerShell Ruler391
4.10　本章小結(jié)405
第5章　憑據(jù)獲取406
5.1　Windows單機(jī)憑據(jù)獲取406
5.1.1　憑據(jù)獲取的