网络安全攻防技术实战

本书是“奇安信认证网络安全工程师系列丛书”之一。全书针对网络安全攻防技术展开讲解，内容包含攻击路径及流程、信息收集、漏洞分析、Web渗透测试、权限提升、权限维持、内网渗透代理、内网常见攻击、后渗透、痕迹清除等。书中内容大多是作者在日常工作中的经验总结和案例分享，实用性强。

闵海钊，奇安信集团认证培训部技术经理，安全组织defcon group 0531发起人之一，第二届"蓝帽杯"全国大学生网络安全技能大赛专家组组长，教育部ECSP认证讲师，在CVE、CNNVD、CNVD提交多个高危原创漏洞，取得教育部信息安全对团体抗赛一等奖、中国信息安全技能大赛二等奖证书等多个CTF比赛奖项。

奇安信是国内领先的网络安全企业，本书由奇安信高手团队写作，是其官方培训教材之一。技术领先，内容详实。

前 言

2016年，由六部委联合发布的《关于加强网络安全学科建设和人才培养的意见》指出：“网络空间的竞争，归根结底是人才竞争。从总体上看，我国网络安全人才还存在数量缺口较大、能力素质不高、结构不尽合理等问题，与维护国家网络安全、建设网络强国的要求不相适应。”

网络安全人才的培养是一项十分艰巨的任务，原因有二：其一，网络安全的涉及面非常广，至少包括密码学、数学、计算机、通信工程、信息工程等多门学科，因此，其知识体系庞杂，难以梳理；其二，网络安全的实践性很强，技术发展更新非常快，对环境和师资要求也很高。

奇安信凭借多年网络安全人才培养经验及对行业发展的理解，基于国家的网络安全战略，围绕企业用户的网络安全人才需求，设计和建设了网络安全人才的培训、注册和能力评估体系—“奇安信网络安全工程师认证体系”（见下图）。

奇安信网络安全工程师认证体系

该体系共分三个方向和三个层级。三个方向分别是基于安全产品解决方案的产品支持方向、基于客户安全运营人才需求的安全运营方向、基于攻防体系的安全攻防方向。三个层级分别是奇安信认证助理网络安全工程师（QCCA，Qianxin Certified Cybersecurity Associate）、奇安信认证网络安全工程师（QCCP，Qianxin Certified Cybersecurity Professional）、奇安信认证网络安全专家（QCCE，Qianxin Certified Cybersecurity Expert）。体系覆盖网络空间安全的各技术领域，务求实现应用型网络安全人才能力的全面培养。

基于“奇安信网络安全工程师认证体系”，奇安信组织专家团队编写了“奇安信认证网络安全工程师系列丛书”，本书是其中一本，分10章介绍网络安全攻防技术实战，结构安排如下。

第1章 攻击路径及流程：通过多个案例讲解了网络攻击路径和攻击流程，攻击路径分为互联网Web应用系统攻击、互联网旁站攻击、互联网系统与服务攻击、移动App应用攻击、社会工程学攻击、近源攻击和供应链攻击等；攻击流程一般分为四个阶段：信息收集阶段、漏洞分析阶段、攻击阶段、后渗透阶段，并通过案例进行讲解。

第2章 信息收集：在网络攻防的过程中，信息收集是非常重要的一步，本章通过案例讲解了如何通过IP资源、域名发现、服务器信息收集、人力资源情报收集、网站关键信息识别等进行信息收集。

第3章 漏洞分析：本章主要讲解了通过Google hacking、Exploit Database、Shodan和CVE/CNVD/CNNVD进行在线的漏洞查找及分析研究，然后讲解了如何利用Web漏洞扫描、系统漏洞扫描和弱口令扫描进行常见漏洞的发现。

第4章 Web渗透测试：本章涉及的内容既有常见高危的Web TOP 10漏洞，如：注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、跨站脚本（XSS）漏洞、反序列化漏洞、SSRF漏洞等，又包含框架漏洞、CMS漏洞、绕过Web防火墙等。此部分的内容在《Web安全原理分析与实践》一书中结合漏洞代码从原理到实践进行了详细讲解，本书不再详述。

第5章 权限提升：本章详细地讲解Windows操作系统、Linux操作系统多种不同的提权方式，讲解了如何利用常用的SQL Server数据库、MySQL数据库、Oracle数据库提权，以及如何利用常见的第三方软件（如：FTP软件、远程管理软件）进行提权。

第6章 权限维持：本章主要讲解Windows操作系统通过隐藏系统用户、修改注册表、利用辅助功能（如替换粘滞键）、WMI后门、远程控制、Rookit、进程注入、创建服务、计划任务和启动项等方式进行权限维持。Linux系统通过预加载型动态链接库后门、SSH后门、VIM后门、协议后门、PAM后门、服务后门、远程控制、进程注入、Rookit等方式进行权限维持。本章还讲解了如何使用渗透框架进行权限维持，如Metasploit、Empire、Cobalt Strike等。

第7章 内网渗透代理：本章主要讲解如何通过端口转发、反弹Shell和搭建代理等方式进行内网穿透，详细讲述了LCX、SSH端口转发，通过NC、Bash、Python进行Shell反弹，通过reGeorg、FRP、EarthWorm、Termite和NPS进行隐秘隧道搭建。

第8章 内网常见攻击：本章主要讲解如何通过操作系统漏洞、网络设备漏洞、路由器漏洞、无线网攻击、中间人劫持攻击、钓鱼攻击对内网进行渗透攻击。

第9章 后渗透：本章主要讲解内网敏感信息收集、本机信息收集、网络架构信息收集和目前后渗透中常用的域控渗透，域控渗透详细讲述了什么是域、域信息收集、域控攻击方式及域控维持权限的多种方式。

第10章 痕迹清除：攻防渗透的最后阶段是痕迹清除，它是为了躲避反追踪和隐藏攻击的一种方式，本章将介绍常见的痕迹清除方法，主要涉及Windows日志痕迹清除、Linux日志痕迹清除和Web日志痕迹清除。

本书的内容大多是编著者在日常工作中的经验总结和案例分享，水平有限，书中难免存在疏漏和不妥之处，欢迎读者批评指正。

编著者

2020年6月

目 录
第1章　攻击路径及流程 （1）
1．1　攻击路径 （1）
1．1．1　互联网Web应用系统攻击 （1）
1．1．2　互联网旁站攻击 （6）
1．1．3　互联网系统与服务攻击 （8）
1．1．4　移动App应用攻击 （11）
1．1．5　社会工程学攻击 （14）
1．1．6　近源攻击 （16）
1．1．7　供应链攻击 （18）
1．2　攻击流程 （19）
1．2．1　攻击流程简介 （19）
1．2．2　典型案例 （20）
第2章　信息收集 （25）
2．1　IP资源 （25）
2．1．1　真实IP获取 （25）
2．1．2　旁站信息收集 （29）
2．1．3　C段主机信息收集 （31）
2．2　域名发现 （32）
2．2．1　子域名信息收集 （32）
2．2．2　枚举发现子域名 （32）
2．2．3　搜索引擎发现子域名 （34）
2．2．4　第三方聚合服务发现子域名 （34）
2．2．5　证书透明性信息发现子域名 （35）
2．2．6　DNS域传送漏洞发现子域名 （37）
2．3　服务器信息收集 （39）
2．3．1　端口扫描 （39）
2．3．2　服务版本识别 （41）
2．3．3　操作系统信息识别 （41）
2．4　人力资源情报收集 （42）
2．4．1　whois信息 （42）
2．4．2　社会工程学 （43）
2．4．3　利用客服进行信息收集 （44）
2．4．4　招聘信息收集 （45）
2．5　网站关键信息识别 （46）
2．5．1　指纹识别 （46）
2．5．2　敏感路径探测 （50）
2．5．3　互联网信息收集 （51）
第3章　漏洞分析 （56）
3．1　漏洞研究 （56）
3．1．1　Google hacking （56）
3．1．2　Exploit Database （58）
3．1．3　Shodan （59）
3．1．4　CVE/CNVD/CNNVD （60）
3．2　Web漏洞扫描 （62）
3．2．1　AWVS扫描器 （62）
3．2．2　AWVS组成 （63）
3．2．3　AWVS配置 （64）
3．2．4　AWVS扫描 （65）
3．2．5　AWVS分析扫描结果 （67）
3．3　系统漏洞扫描 （70）
3．3．1　Nessus扫描器 （70）
3．3．2　Nessus模板 （70）
3．3．3　Nessus扫描 （71）
3．3．4　Nessus分析扫描结果 （77）
3．4　弱口令扫描 （79）
3．4．1　通用/默认口令 （79）
3．4．2　Hydra暴力破解 （81）
3．4．3　Metasploit暴力破解 （82）
第4章　Web渗透测试 （85）
4．1　Web TOP 10漏洞 （85）
4．1．1　注入漏洞 （85）
4．1．2　跨站脚本（XSS）漏洞 （86）
4．1．3　文件上传漏洞 （86）
4．1．4　文件包含漏洞 （86）
4．1．5　命令执行漏洞 （86）
4．1．6　代码执行漏洞 （87）
4．1．7　XML外部实体（XXE）漏洞 （87）
4．1．8　反序列化漏洞 （87）
4．1．9　SSRF漏洞 （87）
4．1．10　解析漏洞 （87）
4．2　框架漏洞 （88）
4．2．1　ThinkPHP框架漏洞 （88）
4．2．2　Struts2框架漏洞 （90）
4．3　CMS漏洞 （93）
4．3．1　WordPress CMS漏洞 （93）
4．3．2　DedeCMS漏洞 （96）
4．3．3　Drupal漏洞 （102）
4．4　绕过Web防火墙 （105）
4．4．1　WAF简介 （105）
4．4．2　WAF识别 （106）
4．4．3　绕过WAF （110）
4．4．4　WAF绕过实例 （118）
第5章　权限提升 （127）
5．1　权限提升简介 （127）
5．2　Windows提权 （127）
5．2．1　溢出提权 （127）
5．2．2　错误系统配置提权 （133）
5．2．3　MSI文件提权 （140）
5．2．4　计划任务提权 （141）
5．2．5　启动项/组策略提权 （143）
5．2．6　进程注入提权 （143）
5．3　Linux提权 （144）
5．3．1　内核漏洞提权 （144）
5．3．2　SUID提权 （146）
5．3．3　计划任务提权 （147）
5．3．4　环境变量劫持提权 （149）
5．4　数据库提权 （150）
5．4．1　SQL Server数据库提权 （150）
5．4．2　MySQL UDF提权 （154）
5．4．3　MySQL MOF提权 （158）
5．4．4　Oracle数据库提权 （158）
5．5　第三方软件提权 （163）
5．5．1　FTP软件提权 （163）
5．5．2　远程管理软件提权 （168）
第6章　权限维持 （170）
6．1　Windows权限维持 （170）
6．1．1　隐藏系统用户 （170）
6．1．2　Shift后门 （172）
6．1．3　启动项 （172）
6．1．4　计划任务 （173）
6．1．5　隐藏文件 （173）
6．1．6　创建服务 （174）
6．2　Linux权限维持 （174）
6．2．1　sshd软连接 （174）
6．2．2　启动项和计划任务 （175）
6．3　渗透框架权限维持 （175）
6．3．1　使用Metasploit维持权限 （175）
6．3．2　使用Empire维持权限 （181）
6．3．3　使用Cobalt Strike维持权限 （184）
6．4　其他方式维权 （189）
6．4．1　使用远控njRAT木马维持权限 （189）
6．4．2　Rootkit介绍 （191）
6．5　免杀技术 （192）
6．5．1　免杀工具 （192）
6．5．2　Cobalt Strike （203）
6．5．3　Metasploit （211）
6．5．4　Xencrypt免杀 （219）
第7章　内网渗透代理 （221）
7．1　基础知识 （221）
7．1．1　端口转发和端口映射 （221）
7．1．2　Http代理和Socks代理 （222）
7．1．3　正向代理和反向代理 （222）
7．2　端口转发 （222）
7．2．1　使用LCX端口转发 （222）
7．2．2　使用SSH端口转发 （223）
7．3　反弹Shell （226）
7．3．1　使用NetCat反弹Shell （226）
7．3．2　使用Bash命令反弹Shell （227）
7．3．3　使用Python反弹Shell （228）
7．4　代理客户端介绍 （229）
7．4．1　ProxyChains的使用 （229）
7．4．2　Proxifier的使用 （230）
7．5　隐秘隧道搭建 （231）
7．5．1　reGeorg隐秘隧道搭建 （231）
7．5．2　FRP隐秘隧道搭建 （232）
7．5．3　EarthWorm隐秘隧道搭建 （234）
7．5．4　Termite隐秘隧道搭建 （240）
7．5．5　NPS隐秘隧道搭建 （246）
第8章　内网常见攻击 （252）
8．1　操作系统漏洞 （252）
8．1．1　MS08-067利用 （252）
8．1．2　MS17-010利用 （253）
8．2　网络设备漏洞 （254）
8．2．1　路由器漏洞 （254）
8．2．2　交换机漏洞 （257）
8．3　无线网攻击 （258）
8．3．1　无线网加密 （258）
8．3．2　无线网破解 （259）
8．4　中间人劫持攻击 （261）
8．5　钓鱼攻击 （264）
8．5．1　钓鱼攻击类型 （264）
8．5．2　钓鱼手法 （264）
第9章　后渗透 （276）
9．1　敏感信息收集 （276）
9．1．1　摄像头/LED大屏信息收集 （276）
9．1．2　共享目录信息收集 （276）
9．1．3　数据库信息收集 （277）
9．1．4　高价值文档信息收集 （278）
9．1．5　NFS信息收集 （279）
9．1．6　Wiki信息收集 （279）
9．1．7　SVN信息收集 （280）
9．1．8　备份信息收集 （280）
9．2　本机信息收集 （281）
9．2．1　用户列表 （281）
9．2．2　主机信息 （282）
9．2．3　进程列表 （282）
9．2．4　端口列表 （284）
9．2．5　补丁列表 （285）
9．2．6　用户习惯 （286）
9．2．7　密码收集 （288）
9．3　网络架构信息收集 （289）
9．3．1　netstat收集网络信息 （290）
9．3．2　路由表收集网络信息 （290）
9．3．3　ICMP收集网络信息 （291）
9．3．4　Nbtscan收集网络信息 （292）
9．3．5　hosts文件收集网络信息 （293）
9．3．6　登录日志收集网络信息 （294）
9．3．7　数据库配置文件收集网络信息 （294）
9．3．8　代理服务器收集网络信息 （295）
9．4　域渗透 （296）
9．4．1　域简述 （296）
9．4．2　域信息收集 （297）
9．4．3　域控攻击 （299）
9．4．4　域控权限维持 （306）
第10章　　痕迹清除 （316）
10．1　Windows日志痕迹清除 （316）
10．1．1　Metasploit清除Windows日志 （317）
10．1．2　Cobalt Strike插件清除Windows日志 （318）
10．2　Linux日志痕迹清除 （320）
10．2．1　历史记录清除 （321）
10．2．2　日志清除 （321）
10．3　Web日志痕迹清除 （323）
10．3．1　Apache日志痕迹清除 （323）
10．3．2　IIS日志痕迹清除 （324）