技术经理

《ATT&CK视角下的红蓝攻防对抗》

从部署到实践，即刻拥有你的专属龙虾助手

OpenClaw开发者专区🦞🦞🦞

自行/邀约他人一键搬运博客，享价值百万资源包

腾讯云自媒体同步曝光计划

往期视频·干货材料·成员作品 最新动态

腾讯技术创作特训营知识专栏

新邀入驻腾讯云开发者社区，福利多多！

Active Directory是一个可以通过域控制器来管理连接在同一逻辑网络中的一组计算机和用户系统。Windows域包含以下组件：

AD域攻防权威指南:一.域控制器信息收集

而在实战中 我们可以使用MSF所提供的windows/manage/rid_hijack模块来帮助我们进行RID劫持。

Windows RID劫持

首先，使用命令service cron status来检查系统中的计划任务服务是否正常运行，执行结果如图1-1所示，running则代表正在运行。然后，使用命令crontab -l来查看当前用户在系统中创建的计划任务，执行结果如图1-2所示。

在Linux中创建隐匿的计划任务

在Win8之前我们可以使用at命令来帮助创建与执行计划任务，在终端中输入命令at 10:01 notepad.exe，则可以创建一个在时间到达10:01时自动打开notepad.exe的计划任务，命令执行结果如图1-1所示。

利用计划任务劫持提升权限

在真实环境中，ICMP协议经常会被用来检测网络连通状态，而防火墙是会默认允许ICMP协议通信，因此越来越多的攻击者会利用ICMP协议进行非法通信，通过ICMP协议搭建隐蔽隧道加密恶意流量，从而对企业内网进行攻击。

内网隧道穿透之流量检测与防护

fodhelper.exe是一个具备autoElevate属性且是微软自带的工具，具备微软签名，该程序在执行过程中会将注册表中HKCU:\Software\Classes\ms-settings\Shell\Open\command的内容当作命令执行。接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。

利用注册表键值Bypass UAC

Socks是Socket Secure的缩写，其是一种工作在OSI七层模型中的第五层网络会话层协议，Socks主要的作用是代表客户端将任何协议或者任何程序产生的任何类型的流量路由到服务器上，以此来将本地和远端两个系统连接起来。

Socks隧道代理

在使用Kerberos身份验证的网络中，必须在内置计算机帐户（如NetworkService或LocalSystem）或用户帐户下为服务器注册SPN。对于内置帐户，SPN将自动进行注册。但是，如果在域用户帐户下运行服务，则必须为要使用的帐户手动注册SPN。因为域环境中每台服务器都需要在Kerberos身份验证服务注册SPN，所以我们可以直接向域控制器进行查询我们需要的服务的SPN，就可以找到我们需要使用的服务资源在哪台机器上。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例，则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证，则给定的服务实例可以具有多个SPN。例如，SPN总是包含运行服务实例的主机名称，所以服务实例可以为其主机的每个名称或别名注册一个SPN。

SPN信息扫描

在Windows日志中，ID 4624表示成功登录事件，主要用来筛选该系统的用户登录成功情况。在域控里记录了域内所有机器和用户的登录情况，并记录了对应的IP，通过筛选该事件ID日志可以帮助我们定位在域内对应的个人PC，我们可以通过使用SharpEventLog来定位域内个人PC，具体实验环境如表1-1所示。

域渗透之定位个人用户

OXID Resolver是在支持COM+的在计算机上运行的服务。它存储与远程对象连接所需的RPC字符串绑定，并将其提供给本地客户端。将Ping消息发送到本地计算机中具有客户端的远程对象，并接收在本地计算机上运行的对象的Ping消息。在红队过程中可以通过IOXIDResolver接口实现没有任何身份验证的情况下对远程计算机的网络接口信息进行远程枚举。首先是使用DCERPC请求与IOXIDResolver接口进行绑定，然后通过ServerAlive2()方法获得远程主机的DUALSTRINGARRAY，里面包含目标主机的机器名和所有网卡对应的IP地址，如图1-1所示。

Windows内网多网卡主机发现利用

SPN（ServicePrincipal Names，服务主体名称）是服务实例的唯一标识符，当域内存在大量的服务器，管理员为了方便管理会对服务器进行标识，那么管理员标识所使用的方法就是SPN。

SPN服务主体名称详解

LDAP（Lightweight Directory Access Protocol，轻量目录访问协议），是在X.500标准基础上产生的一个简化版本轻量目录访问协议，他是用来访问目录数据库的一个协议。LDAP目录服务是由目录数据库和一套访问协议组成的系统，通俗点可以把LDAP协议理解为一个关系型数据库，其中存储了域内主机的各种配置信息，当我们想要查找管理某个对象时，就可以通过LDAP层次结构查找实现，如图1-1所示。

LDAP轻量目录访问协议详解

本地组策略（Local Group Policy）是组策略的基础版本，它面向独立且非域的计算机，包含计算机配置以及用户配置策略，如图1-1所示。我们可以通过本地组策略编辑器去更改计算机中的组策略设置。例如：管理员可以同通过本地策略编辑器对计算机或者特定的组策略用户来设置多种配置，桌面配置和安全配置等。

Windows 组策略详解

在介绍域之前，我们先了解一下什么是工作组，工作组是在window98系统以后引入的，一般按照电脑功能划分不同工作组，如将不同部门的计算机划分为不同工作组，计算机通过工作组分类，使得访问资源具有层次化，但是缺乏统一的管理和控制机制，因此引入“域”。

Windows AD域详解

当我们在拿到内网某一台机器权限时，第一时间要做的就是信息收集，WMI中的各种类为我们在内网信息收集方面提供了十分有利的条件，作为红队的我们可以利用如下WMI中各种类的子集来对目标进行全方面信息收集。

Windows WMI 详解之WMI ATTACK

EventFilter（事件过滤器）存储在一个ROOT\subscription:__EventFilter对象的实例里，其主要作用是使用WMI的查询语言来过滤审核特定的事件，一个事件过滤器接受一个WMI事件查询参数，同时EventFilter事件过滤器可以对Intrinsic Events (内部事件)和Extrinsic Events (外部事件）进行事件查询。

Windows WMI 详解之WMI事件

当前，WMI支持两种远程交互的协议：DCOM协议和WinRm协议。我们可以通过这两种协议对远程的机器进行对象查询、事件注册以及WMI类方法的执行等操作，攻击者要有效的利用WMI的两种远程交互协议则需要一定的特权用户凭证，因此大多数的安全厂家通常都不会对WMI这两种协议所传输的恶意内容以及恶意流量进行审查，这就让攻击者对WMI这两种协议有了可利用的空间，那么，接下来给大家分别介绍WMI所支持的两种协议—DCOM协议和WinRm协议。

Windows WMI 详解之WMI远程交互

WMI全称为Windows Management Instrumentation，即Windows管理规范，是Windows 2K/XP管理系统的核心。它属于管理数据和操作的基础模块，设计WMI的初衷是为了能达到一种通用性，通过WMI去操作系统、应用程序等去管理本地或者远程资源。它支持分布式组件对象模型（DCOM）和Windws远程管理（WinRM），用户可通过WMI服务访问、配置、管理和监视Windows所有资源的功能，对于其他的Win32操作系统来讲WMI是一个非常不错的插件，同时也是测试人员在攻防实战中一个很完美的“无文件攻击”入口途径。

Windows WMI 详解（一）

WPAD全称Web Proxy Auto-Discovery Protocol，也就是WEB代理自动发现协议（这里的代理就是我们在渗透中常用BURP的时候修改的代理设置）。它的作用是让局域网浏览器自动发现内网中的代理服务器，并且自动设置成该代理进行连接企业内网或者互联网。若系统开启了WPAD，那么主机就会在当前连接的局域网中去寻找代理服务器，找到之后会在代理服务器中下载PAC（Proxy Auto-Config）的配置文件（其实我们在日常中经常能看见当我们使用SSR的时候就会看见PAC自动模式），这个PAC文件会定义用户在访问什么地址的时候，使用什么代理进行访问，举一个常见易懂的例子，有些公司会对访问谷歌浏览器有一定的需求，那么他们就会搭建一个代理服务器，里面的PAC文件就会配置当访问谷歌浏览器的时候web代理自动使用到那个代理服务器上，同时浏览器将下载并解析该文件，将相应的代理服务器设置到浏览器中。

Windows常见协议之 WPAD（Web代理自动发现协议）

链路本地多播名称解析（LLMNR）是一个基于域名系统（DNS）数据包格式的协议，使用此协议可以解析局域网中本地链路上的主机名称。它可以很好地支持IPv4和IPv6，是仅次于DNS解析的名称解析协议。

Windows安全认证机制之Windows常见协议

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

EdgeOne AI 安全实战专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

腾讯云开发者社区推出了《ATT&CK视角下的红蓝攻防对抗》专栏，为你提供了《ATT&CK视角下的红蓝攻防对抗》的相关文章，致力于帮助开发者快速成长与发展。

《ATT&CK视角下的红蓝攻防对抗》

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐