第 1章　賽前準備—安裝 1
1．1 假定突破目標演習 2
1．2 規(guī)劃紅隊行動 3
1．3 搭建外部服務(wù)器 4
1．4 工具展示 6
1．4．1 Metasploit框架 7
1．4．2 Cobalt Strike 8
1．4．3 PowerShell Empire 10
1．4．4 dnscat2 14
1．4．5 p0wnedShell 20
1．4．6 Pupy Shell 21
1．4．7 PoshC2 21
1．4．8 Merlin 21
1．4．9 Nishang 21
1．5 結(jié)論 22

第 2章　發(fā)球前—紅隊偵察 23
2．1 監(jiān)控環(huán)境 23
2．1．1 常規(guī)Nmap掃描結(jié)果比較 24
2．1．2 網(wǎng)站截圖 25
2．1．3 云掃描 27
2．1．4 網(wǎng)絡(luò)/服務(wù)搜索引擎 28
2．1．5 人工解析SSL證書 29
2．1．6 子域名發(fā)現(xiàn) 31
2．1．7 GitHub 35
2．1．8 云 37
2．1．9 電子郵件 41
2．2 其他開源資源 43
2．3 結(jié)論 43

第3章　拋傳—網(wǎng)站應(yīng)用程序漏洞利用 45
3．1 漏洞懸賞項目 46
3．2 Web攻擊簡介—網(wǎng)絡(luò)空間貓 48
3．2．1 紅隊網(wǎng)站應(yīng)用程序攻擊 49
3．2．2 聊天支持系統(tǒng)實驗 49
3．3 網(wǎng)絡(luò)空間貓公司：聊天支持系統(tǒng) 51
3．3．1 搭建您的網(wǎng)站應(yīng)用程序攻擊主機 51
3．3．2 分析網(wǎng)站應(yīng)用程序 52
3．3．3 網(wǎng)絡(luò)發(fā)現(xiàn) 52
3．3．4 跨站腳本（XSS） 54
3．3．5 BeEF 56
3．3．6 盲XSS 59
3．3．7 基于文檔對象模型的跨站腳本攻擊 60
3．3．8 Node．js中的高級跨站腳本攻擊 62
3．3．9 從XSS漏洞到突破目標 69
3．3．10 NoSQL數(shù)據(jù)庫注入 69
3．3．11 反序列化攻擊 74
3．3．12 模板引擎攻擊—模板注入 78
3．3．13 JavaScript和遠程代碼執(zhí)行 88
3．3．14 服務(wù)器端請求偽造（SSRF） 91
3．3．15 XML eXternal Entities（XXE） 96
3．3．16 高級XXE—帶外（XXE-OOB） 98
3．4 結(jié)論 100

第4章　帶球—突破網(wǎng)絡(luò) 101
4．1 從網(wǎng)絡(luò)外部查找憑證 102
高級實驗 106
4．2 在網(wǎng)絡(luò)中移動 106
設(shè)置環(huán)境—實驗網(wǎng)絡(luò) 106
4．3 在沒有憑證的網(wǎng)絡(luò)上 108
4．3．1 Responder 108
4．3．2 更好的Responder（MultiRelay．py） 111
4．3．3 PowerShell Responder 112
4．4 沒有憑證的用戶枚舉 112
4．5 使用CrackMapExec（CME）掃描網(wǎng)絡(luò) 113
4．6 突破第 一臺主機 115
4．7 權(quán)限提升 117
4．7．1 權(quán)限提升實驗 121
4．7．2 從內(nèi)存中提取明文文本憑證 122
4．7．3 從Windows憑證存儲中心和瀏覽器中獲取密碼 125
4．7．4 從macOS中獲取本地憑證和信息 128
4．8 工作在Windows域環(huán)境中 130
4．8．1 服務(wù)主體名稱（SPN） 131
4．8．2 查詢活動目錄 132
4．8．3 Bloodhound/Sharphound 136
4．8．4 橫向移動—進程遷移 142
4．8．5 從您最初突破的主機開始橫向移動 143
4．8．6 使用DCOM橫向移動 146
4．8．7 傳遞散列 149
4．8．8 從服務(wù)賬戶獲取憑證 151
4．9 轉(zhuǎn)儲域控制器散列 154
4．10 在虛擬專用服務(wù)器上基于遠程桌面進行橫向遷移 156
4．11 在Linux中實現(xiàn)遷移 158
4．12 權(quán)限提升 159
4．13 Linux橫向遷移實驗室 162
攻擊CSK安全網(wǎng)絡(luò) 163
4．14 結(jié)論 175

第5章　助攻—社會工程學 177
5．1 開展社會工程（SE）行動 177
5．1．1 近似域名 178
5．1．2 如何復(fù)制身份驗證頁面 178
5．1．3 雙因子憑證 179
5．2 網(wǎng)絡(luò)釣魚 181
5．2．1 Microsoft Word/Excel宏文件 182
5．2．2 非宏Office文件—DDE 186
5．2．3 隱藏的加密靜荷 187
5．3 內(nèi)部Jenkins漏洞和社會工程攻擊結(jié)合 188
5．4 結(jié)論 193

第6章　短傳—物理訪問攻擊 195
6．1 復(fù)制讀卡器 196
6．2 繞過進入點的物理工具 197
LAN Turtle 197
6．3 Packet Squirrel 205
6．4 Bash Bunny 206
6．4．1 突破進入CSK公司 206
6．4．2 QuickCreds 209
6．4．3 BunnyTap 209
6．5 WiFi 210
6．6 結(jié)論 212

第7章　四分衛(wèi)突破—規(guī)避殺毒軟件檢測 215
7．1 為紅隊行動編寫代碼 215
7．2 構(gòu)建鍵盤記錄器 216
7．2．1 設(shè)置您的環(huán)境 216
7．2．2 從源代碼開始編譯 216
7．2．3 示例框架 217
7．2．4 混淆 220
7．3 黑客秘笈定制的放置工具 222
7．3．1 shellcode與DLL 223
7．3．2 運行服務(wù)器 223
7．3．3 客戶端 224
7．3．4 配置客戶端和服務(wù)器 225
7．3．5 添加新的處理程序 225
7．3．6 進一步的練習 226
7．4 重新編譯Metasploit/Meterpreter規(guī)避殺毒軟件和網(wǎng)絡(luò)檢測 226
7．4．1 如何在Windows中構(gòu)建Metasploit/Meterpreter 228
7．4．2 創(chuàng)建修改后的Stage 0靜荷 229
7．5 SharpShooter 231
7．6 應(yīng)用程序白名單規(guī)避 233
7．7 代碼洞穴 235
7．8 PowerShell混淆 236
7．9 沒有PowerShell的PowerShell 240
7．10 HideMyPS 241
7．11 結(jié)論 242

第8章　特勤組—破解、利用和技巧 243
8．1 自動化 243
8．1．1 使用RC腳本自動化Metasploit 244
8．1．2 Empire自動化 245
8．1．3 Cobalt Strike自動化 246
8．1．4 自動化的未來 246
8．2 密碼破解 246
8．3 徹底破解全部—盡您所能快速破解 250
破解Cyber SpaceKittens NTLM散列 250
8．4 創(chuàng)造性的行動 254
8．5 禁用PS記錄 255
8．6 在Windows中使用命令行從Internet下載文件 255
8．7 從本地管理員獲取系統(tǒng)權(quán)限 256
8．8 在不觸及LSASS的情況下獲取NTLM散列值 257
8．9 使用防御工具構(gòu)建培訓實驗室和監(jiān)控平臺 257
8．10 結(jié)論 258

第9章　兩分鐘的操練—從零變成英雄 259
9．1 10碼線 259
9．2 20碼線 260
9．3 30碼線 260
9．4 40碼線 261
9．5 50碼線 261
9．6 60碼線 262
9．7 70碼線 262
9．8 80碼線 263
9．9 90碼線 263

第 10章　賽后—分析報告 265

第 11章　繼續(xù)教育 269

致謝 271