Merge pull request fengjixuchui#6 from klionsec/master

Update README.md

README.md

@@ -64,7 +64,7 @@ Date   : 2020.2.15
 网站目录扫描 [ 查找目标网站泄露的各类敏感文件, 网站备份文件, 敏感配置文件, 源码 , 别人的webshell, 等等等...]
 目标站点自身在前端代码中泄露的各种敏感信息
 fofa / shodan / bing / google  hacking 深度利用
-搜集目标 学生学号 / 员工工号 / 目标邮箱 [ 并顺手到各个社工库中去批量查询这些邮箱是否曾经泄露过密码 ]
+搜集目标 学生学号 / 员工工号 / 目标邮箱 [ 并顺手到各个社工库中去批量查询这些邮箱曾经是否泄露过密码 ]
 目标自己对外提供的各种 技术文档 / wiki 里泄露的各种账号密码及其它敏感信息
 目标微信小程序
 分析目标app Web请求
@@ -317,7 +317,7 @@ CVE-2016-10033
 + UEditor 任意文件上传
 + OpenSSL心脏滴血抓明文账号密码  [ Heartbleed ]
 + 破壳漏洞 [ Shellshock ] 
-* 各种常规Web漏洞利用 [ 注: 有些漏洞在不审代码的情况下其实是很难有效盲测到的 ]
+* 各种能快速getshell的常规基础Web漏洞利用 [ 注: 有些漏洞在不审代码的情况下其实是很难有效盲测到的 ]
 ```
 后台弱口令
 SSRF
@@ -386,6 +386,7 @@ CouchDB   [ 默认工作在tcp 5984端口, 未授权访问 ]
 批量探测目标邮箱弱口令
 伪造发信人 [ 发信邮服搭建 ]
 钓鱼信 [ 针对不同行业一般也都会事先准备好各种各样的针对性的发信话术模板,以此来提到实际发信成功率 ]
+......
 ```
 
 * 典型投递方式 
@@ -400,7 +401,8 @@ chm
 自解压
 木马链接
 OLE
-CVE-2017-11882 [ 利用漏洞触发 ]...
+CVE-2017-11882 [ 利用漏洞触发 ]
+...
 ```
 
 ``` 
@@ -410,7 +412,7 @@ Vpn
 Mail
 OA
 Net ntlm hash [ 远程模板注入,pdf...钓hash,国内ISP过滤SMB流量不适用 ]
-...
+......
 ```
 
 
@@ -432,7 +434,7 @@ MS17-010[KB4013389]				    [重点]
 cve-2019-0708					    [重点]
 CVE-2019-0803					    [重点]
 CVE-2019-1322 & CVE-2019-1405			    [重点]
-cve-2019-12750 [ 赛门铁克(用的挺多)本地提权 ]	    [重点]		
+cve-2019-12750 [ 赛门铁克(用的较多)本地提权 ]	    [重点]		
 ```
 * linux 内核漏洞 本地提权 [ linux-exploit-suggester ]
 ```
@@ -448,7 +450,7 @@ Mysql
 各类第三方软件dll劫持 				    [重点]
 suid权限                        
 计划任务
-各种错误服务配置
+各种错误服务配置利用
 ```
 
 ### 0x06 内网安全 [ 敏感信息搜集，防御重点，可在此项严格限制各种系统内置命令执行 ]
@@ -490,7 +492,7 @@ suid权限
 ```
 
 
-* 利用当前已控 "跳板机", 分析目标内网大致拓扑 及 所有关键性业务机器分布 
+* 利用当前已控 "跳板机", 分析目标内网大致网络拓扑 及 所有关键性业务机器分布 
 * 批量抓取内网所有windows机器名 和 所在 "域" / "工作组名" [smb探测扫描]
 * 针对内网的各种高危敏感服务定位["安全" 端口扫描 (在避免对方防护报警拦截的情况下进行各种常规服务探测识别)]
 * 内网批量 Web Banner 抓取,获取关键目标业务系统如下
@@ -512,10 +514,10 @@ suid权限
 内网运维,研发 部门员工的机器
 内网路由,交换设备...
 等等等...
-```
-```
-针对以上的各种内网探测扫描,其实在流量上都会有非常清晰的表现
-通过在一些关键节点设备/服务器上部署探针搜集流量,再配合大数据关联分析查找各种敏感特征,理论上是相对容易发现各类扫描探测痕迹的
+
+针对以上的各种常规内网探测扫描,其实在流量上都会有非常清晰的表现
+通过在一些关键节点设备/服务器上部署探针搜集流量
+再配合大数据关联分析查找各种敏感特征,理论上是相对容易发现各类扫描探测痕迹的
 ```
 
 * 针对各类已知系统高危RCE漏洞的批量探测识别与利用
@@ -558,21 +560,23 @@ CVE-2019-0708
 
 ```
 
-* 被动密码搜集[注: 某些操作肯定是需要事先自己想办法先拿到管理权限后才能正常进行的, 此处不再赘述 , 是防御重点]
+* 被动密码搜集 [ 等着管理员自己来送密码 ] 
 ```
+[注: 某些操作肯定是需要事先自己想办法先拿到管理权限后才能正常进行的, 此处不再赘述 , 是防御重点]
+
 Windows SSP [持久化/内存]
 Hook PasswordChangeNotify [持久化/内存]
 OWA 登录账号密码截获
 截获mstsc.exe中输入的rdp连接账号密码
 linux 别名记录利用
-本机密码嗅探 [http,ftp,pop3...]
+本机明文密码嗅探 [ http,ftp,pop3... ]
 传统键盘记录
-windows蓝屏技巧 [此操作主要为应对不时之需]
+windows蓝屏技巧 [ 此操作主要为应对不时之需,比如,搞蓝屏,登管理员登录抓密码 ]
 ```
 
 * Hash爆破:
 ```
-Hashcat [完全拼GPU] 
+Hashcat [ 完全拼GPU ] 
 ```
 
 ### 0x08 内网安全 [ 内网常用 "隧道"" / "转发"" / "代理"" 穿透手法 提炼汇总 ，防御重点 ]
@@ -581,27 +585,27 @@ Hashcat [完全拼GPU]
 比如,http,dns,以及一些穿透性相对较好的tcp端口... 
 这种操作一般都会配合wmi,smb,ssh远程执行,在内网批量快速识别出能出网的机器
 
-常规http脚本代理
+常规 HTTP脚本代理
 abptts,Neo-reGeorg,reGeorg,tunna,reduh...
 不得不说,公开脚本在实战中多多少少都会有些问题,还需要根据自己的实际目标环境深度改进才行
 
-SSH隧道
+SSH 隧道
 加密端口转发,socks 实战用途非常灵活,此处不细说 ]
 
-Rdp隧道
+Rdp 隧道
 
-反向socks5
+反向SOCKS
 nps, frp, ssf, CobaltStrike(socks4a & rportfwd ), sscoks ... 
 工具基本都不免杀了,需要自行处理
 
-正反向tcp端口转发
+正反向TCP 端口转发
 非常多,就不一一列举, eg: nginx,netsh,socat,ew....
 
-dns加密隧道			
+DNS加密隧道			
 
 Web端口复用
 
-需要明白的是,红队场景中
+需要明白的是,在一般的红队场景中
 入侵者为了尽可能躲避各种检测设备的流量解析,很多此类工具都会采用各种各样的方式来加密传输流量,以此来保证自己有更强的穿透性
 ```
 
@@ -618,15 +622,15 @@ Web端口复用
 获取当前域信任关系 [ 跨域渗透 ]
 获取当前域内所有机器的开机时间
 获取当前域内网段及web站点
-获取当前域内策略[主要为了解密码登录策略]
+获取当前域内策略 [ 主要是为了了解密码策略 ]
 获取当前域林
 .......
 ```
 
 * 快速获取目标域控权限的一些常规手法
 ```
 搜集GPP 目录 [ 其中可能保存的有域账号密码,不仅仅是存在XML里的那些,NETLOGON目录中的某些脚本同样也可能保存有账号密码 ] 
-服务票据hash破解,"尤其是域管用户的" [kerberoast]
+服务票据hash破解("尤其是域管用户的") [ kerberoast ]
 批量对域用户进行单密码尝试 [ 喷射,利用ADSI接口,日志id 4771 ]
 Kerberos 委派利用
 爆破LDAP
@@ -638,7 +642,7 @@ SSP 截获关键服务器登录密码
 DNSAdmin 组成员滥用 [ 加载执行恶意dll ]
 LAPS
 MS14-068 [ 如今实际中已很少遇到了 ]
-LLMNR/NBNS欺骗  + SMB relay [ 真实实战中其实用的并不多 ]
+LLMNR/NBNS欺骗  + SMB relay [ 真实在实战中其实用的并不多 ]
 ```
 
 * 域内后渗透敏感信息搜集分析
@@ -654,15 +658,15 @@ LLMNR/NBNS欺骗  + SMB relay [ 真实实战中其实用的并不多 ]
 ```
 利用OWA登录日志
 利用域控服务器登录日志
-指定服务银票 [Silver Ticket]
+指定服务银票 [ Silver Ticket ]
 除此之外,就是下面的各类常规横向手法
 ```
 
 * 域内指定用户机器定向控制技巧
 ```
 绑定用户登录脚本
-利用GPO下发 [实际上GPO能做的事情还非常非常多]
-PTT[票据传递]
+利用GPO下发 [实际上,利用GPO能做的事情还非常非常多]
+PTT [ 票据传递 ]
 ```
 
 * 针对域管的各种权限维持技巧
@@ -694,7 +698,7 @@ DCOM 远程执行 [ 需要目标Windows机器事先已关闭防火墙 ]
 利用MSSQL数据库存储过程来变相远程执行
 利用Oracle数据库存储过程来变相远程执行
 SMB [ PTH (hash传递) ]
-RDP[MSTSC] 反向渗透 [ 即可用于突破某些隔离, 亦可通过云(Windows vps)直接反控到目标管理员个人机 ]
+RDP[MSTSC] 反向渗透 [ 即可用于突破某些隔离, 亦可通过云(Windows vps)直接反控目标管理员个人机 ]
 利用补丁服务器下发执行
 利用EDR主控端定向下发执行
 ```
@@ -723,8 +727,8 @@ linux 自带的ssh客户端工具套件, 默认就可以用来进行远程执行
 
 * 各种远程下载技巧
 ```
-wget [win & linux]
-curl [win & linux]
+wget [ win & linux ]
+curl [ win & linux ]
 ```
 ```
 之所以没着重提以下这些系统内置的远程下载执行工具,主要还是因为事先已经明确知道
@@ -752,9 +756,9 @@ VPN 登录口 [ 账号密码,shell ]
 
 * Windows 单机系统维持 [临时]
 ```
-系统计划任务 [高权限/低权限]
-常规注册表自启动项 [用户权限/system权限]
-Mssql存储过程 [继承服务权限]
+系统计划任务 [ 高权限/低权限 ]
+常规注册表自启动项 [ 用户权限/system权限 ]
+Mssql存储过程 [ 继承服务权限 ]
 WMI
 Winlogon
 CLR
@@ -777,10 +781,9 @@ Patch SSH
 
 ### 0x12 各类常用 C2 / 渗透 框架
 ```	
-CobaltStrike
+CobaltStrike [二次开发]
   payload(beacon) 逆向/改进重写
-Metasploit
-Empire
+Metasploit [二次开发]
 ......
 ```
 
@@ -810,7 +813,8 @@ Empire
 * 动态
 ```
 反射
-shellcode 内存加解密执行 ( 一般来讲, 并没什么卵用, 因为别人拦的基本都是你的最终调用 )
+shellcode 内存加解密执行 ( 对于现在的某些杀软来讲,可能并没什么卵用,别人拦的基本都是你的最终调用 )
+白利用
 ......
 
 注: