通过网络移动

作为一名红队成员，我们希望尽可能安静地在网络中穿梭。我们希望使用“特征”来查找和利用有关网络、用户、服务等信息。通常，在红队活动中，我们不希望在内网环境中进行任何漏洞扫描相关的活动。有时我们甚至不希望对内部网络运行 nmap 扫描。这是因为许多公司已经非常擅长检测这些类型的扫描，特别是在运行漏洞扫描器这样动静很大的东西时。

在本节中，你将集中精力在不触发任何检测防护的情况下在 CSK 的网络进行横向漫游。我们假设你已经以某种方式进入内部网络并开始寻找你的第一组凭证，或者已经拥有了一个用户机器上的 shell。

建立环境——实验网络

这部分完全是自定义的，但由于微软的授权限制，这本书里没法给你已经制作好的的基于 Windows 的实验环境部署环境。所以至于怎么做，就得看你的动手能力了！

真正学会如何攻击目标环境的唯一方法是自己亲手构建一下目标环境。这能使你更清楚地了解你正在攻击什么，为什么攻击有时候有效，有时候无效，并了解某些特定工具或流程的局限性。那么你需要建立什么样的实验环境呢？基于客户端的环境，Windows 和 Linux（甚至 Mac）可能都需要一个。如果你正在攻击企业网络，你可能需要构建一个完整的 Active Directory 网络（域环境）。在下面的实验中，我们将学习如何为本书中的所有例子构建一个测试环境。

一个理想的 Windows 测试实验环境，你可以自己创建，大概是下面这样的:

• 域控制器-服务器：[Windows 2016域控制器]
• Web服务器：[IIS on Windows 2016]
• 客户端机器：[Windows 10]x3和 [Windows 7]x2
• 全部运行着 VMWare 的工作站中，工作站的内存至少16GB，SSD 硬盘500GB

配置和创建域控制器:

• 微软关于构建2016版服务器的说明:
  • https://blogs.technet.microsoft.com/canitpro/2017/02/22/step-by-step-setting-up-active-directory-in-windows-server-2016/
    • 短地址：http://bit.ly/2JN8E19
• 安装和配置 Active Directory 之后，使用：dsac.exe 创建用户和组
  • 创建多个用户
  • 创建组并分配给用户（下面是分组）：
    • Space
    • Helpdesk
    • Lab

设置客户端机器（Windows 7/10）加入域：

• 将所有机器都打好系统补丁
• 将机器连接到域
  • https://helpdeskgeek.com/how-to/windows-join-domain/
• 确保添加一个域用户，该用户能够作为本地管理员在每个系统上运行。这可以通过将该域用户添加到本地机器上的本地 administrators 组来实现。
• 在每个主机上启用本地管理员并设置密码

将 GPO（组策略）设置为:

• 禁用防火墙 ( https://www.youtube.com/watch?v=vxXLJSbx1SI )
• 禁用 AV( http://bit.ly/2EL0uTd )
• 禁用系统自动更新
• 将 Helpdesk 用户组添加到本地管理员组
• 仅允许域管理员、本地管理员、Helpdesk 登录( http://bit.ly/2qyJs5D )
• 最后，将 GPO 设置同步到主域

将每个操作系统的所有用户设置为自动登录（这会使得攻击测试更加容易）。每次机器启动或重新启动时，它都会自动登录，这样我们就可以轻松地进行攻击并从内存中提取凭证：

• https://support.microsoft.com/en-us/help/324737/how-to-turn-on-automatic-logon-in-windows
  • 短地址：http://bit.ly/2EKatIk

设置 IIS 服务器并配置 SPN：

• https://www.rootusers.com/how-to-install-iis-in-windows-server-2016/
  • 短地址：http://bit.ly/2JJQvRK
• https://support.microsoft.com/en-us/help/929650/how-to-use-spns-when-you-configure-web-applications-that-are-hosted-on
  • 短地址：http://bit.ly/2IXZygL