ATT&CK知识体系测试手册

参考: https://attack.mitre.org/

项目地址: https://github.com/Dm2333/ATTCK-PenTester-Book/

ATTCK-PenTester-Book是由DeadEye团队联合多家安全公司及安全团队的安全研究人员（名单见文末），

根据ATT&CK知识体系整理编辑的一份长达400多页的渗透参考手册，

其中包含了大量的实验环境设置方法及图文的解释说明，

因此即便你是新手也能很好的理解并参照手册自己动手实践。

该手册主要包含以下十个部分的内容：

一、Initial Access（入口点）

(1)水坑攻击

分析并了解目标的上网活动规律，寻找目标经常访问的网站的漏洞，利用漏洞在该网站植入恶意代码（陷阱、水坑），在目标进行访问时攻击形成。

多种可能被植入的代码，包括：

通过注入某些形式的恶意代码。例如：JavaScript、iframe、跨站脚本等

植入恶意的广告链接

内置的 Web 应用程序接口用于插入任何其他类型的对象，该对象可用于显示 Web 内容或包含在访问客户端上执行的脚本（例如，论坛帖子，评论和其他用户可控制的 Web 内容），重定向用户所经常访问的站点到恶意站点

1. 在页面嵌入存储型 XSS，获得用户 cookie 信息

编写具有恶意功能的 javascript 语句，例如获取登录用户 cookie、内网 ip、截屏、网页源代码等操作，配合 XSS 平台可查看获取到的信息。

2. phpstudy backdoor

2019 年 9 月 20 日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网 2019”专项行动战果”的文章，文章里说明 phpstudy 存在“后

门”，攻击者通过在 phpstudy 2016 php5.4 和 phpstudy2018 php-5.2.17 和php-5.4.45 中植入后门并发布至互联网，导致大量使用 phpstudy 的用户成

为肉鸡。

3. JSONP 水坑攻击

4. Adobe flash player 28（CVE-2018-4878）

攻击者通过构造特殊的 Flash 链接，当用户用浏览器/邮件/Office 访问此Flash 链接时，会被“远程代码执行”，并且直接被 getshell。

5. Beef 攻击框架

(2)利用公开漏洞

利用软件、数据库、中间件、第三方库或存在漏洞的库等公开的漏洞，对目标系统进行攻击，以达到攻击未及时修补或升级的信息系统。

(3)外部远程服务

(4)渗透到其他网络介质

(5)硬件攻击

二、Execution（命令执行）

命令执行包括（远程动态数据交换、命令行界面、本地-Signed Script Proxy Execution(签名脚本代理执行)、chm、CMSTP、本地-CPL、本地-Forfiles、本地-IEExec、InfDefaultInstall、InstaIIUtil、MSHTA、MSIexec、Pcalua、Regsvcs/Regasm（.NET 服务安装工具/程序集注册工具）、regsv***、Rundll32、Scripting(脚本执行)、SyncAppvPublishingServer、Trusted Developer Utilities（值得信赖的开发者工具）、Winword、XSL Script Processing（XSL 脚本处理）、XSL Script Processing（XSL 脚本处理）、本地任务调度、PsExec、计划任务、用户图形化界面、DCOM 利用、Powershell、SMBexec、WinRM、wmic、Language LUA in Files .wlua、INF-SCT、Reflection.Assembly、msconfig、sigverif.exe、DXCap.exe、Register-cimprovider.exe (T1218 )、xls mimikatz、WMI (T1047)（详见完整版）

三、Persistence（持久化）

Office -SVG (T1137)

ADS 数据流 (T1137)

ADS 数据流 (T1137)

RunOnceEx (T1137)

winlogon_regedit (T1137 ) (T1004)

ImageFileExecutionOptionscmd(T1183)

C#内存加载执行 mimikatz 之 dll 劫持 (T1038)

Run-key-hexacorn 持久性 1

Run-key-hexacorn 持久性 2

linux 权限维持

进程注入

SSH 衍生的各种方式

PAM 利用

ineted 正向后门利用

基于 SUID 的各种衍生利用

替换常用的系统命令

反弹各种 shell 的方式

常规系统计划任务

各种开源 rootkit

apache 和 nginx 的 lua 模块

windows 下利用注册表进行权限维持、BootExecute 密钥、用户名密钥、LogonScripts 键、启动密钥、浏览器助手对象、AppInit_DLLs、文件关联、映像劫持（IFEO）、COM 劫持、CLR、CAccPropServicesClass＆MMDeviceEnumerato、MruPidlList、winlogon_regedit、ImageFileExecutionOptionscmd、RunOnceEx、WMI、Waitfor.exe、bitsadmin、MSDTC、Netsh、DoubleAgent、office、shift 后门、RDP会话劫持、计划任务、影子账户（详见完整版）

四、Privilege Escalation（权限提升）

权限提升的方法包括：账户权限介绍Windows UAC、Linux、存储凭证、Windows 内核漏洞利用、DLL 注入、弱服务权限、DLL 劫持、权限提升技术代号 Hot potato、Juicy Potato (T1134 – 访问令牌操作 )、权限提升知识上下文获取之过程分享、token_privEsc、窃取 Token To GetSystem、Windows API 和模拟(T1134)、ALPC (T1068)、组策略首选项、不带引号的服务路径、Always Install Elevated 策略、令牌操作（token）、不安全的注册表权限、GET SYSRET（详见完整版）

五、Defense Evasion（绕过防御）

绕过防御可通过以下应用程序或方法：MSBuild.exe、Installutil.exe、mshta.exe、Msiexec.exe、wmic.exe、Atbroker.exe、Bash.exe、Bitsadmin.exe、Cmd.exe、Cmstp.exe、Diskshadow.exe、Dnscmd.exe、Extexport.exe、Forfiles.exe、Ftp.exe、Gpscript.exe、Hh.exe、Ie4uinit.exe、Ieexec.exe、Infdefaultinstall.exe、Installutil.exe、Mavinject.exe、Microsoft.Workflow.Compiler.exe、Mmc.exe、Msconfig.exe、Msdt.exe、Mshta.exe、Msiexec.exe、Odbcconf.exe、Pcalua.exe、Presentationhost.exe、Regasm.exe、Register-cimprovider.exe、Regsvcs.exe、Regsv***.exe、Rundll32.exe、COM 劫持、进程注入 Propagate( T1055 TA0005 TA0004 )、进程注入 InfectPE( T1055 TA0005 TA0004 )、cscript ( TA0002 TA0005 T1216 )、Mavinject(T1218)（详见完整版）

六、Credential Access（获取凭证）

包含以下部分内容：

账户操作

Windows

暴力破解

凭证转储

组策略首选项（GPP）文件

文件中的凭据

注册表中的凭据

键盘记录

Kerberos

Kerberoast

嗅探

密码过滤

Linux

Bash History

密码转储

私钥

网络嗅探描述

文件中的凭据描述

七、Discovery（基础信息收集）

该部分详见完整版。

八、lateral-movement（横向渗透）

RID 劫持 (hash 传递 ) (T1075)

Windows 分布式组件对象模型 DCOM (T1175)

利用 RDP 跳跃网络隔离

九、C&C（命令控制）

常用的端口

通过移动媒体进行通信

连接代理

自定义命令和控制协议

自定义加密协议

数据编码

数据混淆

域面对

域生成算法

后备通道

多跳代理

十、Exfiltration（信息窃取）

远程文件复制

自动脚本窃取

数据压缩

代替的协议窃取

命令控制信道窃取

网络媒介窃取

数据加密

物理介质窃取

已计划的转移