1.相比于传统的渗透测试，红队的攻击较为接近真实的入侵活动  红队是不择手段的，渗透测试是限定方法的

2.很多攻击手段都不是完全孤立的，而是连动化攻击

3.熟练掌握工具只是一小部分，各种原理的深度理解以及二次定制能力才是核心

4.内网的渗透测试（红队）比外网（渗透测试）要复杂很多，所以工具的使用并不是真正的核心

web打点优先考虑点：

windows域环境

windows server

1.工作组work group

2.域Domain

域控制器（域控）Domain Controller=DC

3.域环境

4.计算机分类

5.域内权限问题

组group：用户账户的集合

域本地组：多域的用户可以访问单域的资源

全局组：单域的用户可以访问多域的资源

通用组：多域的用户访问多域的资源

6.活动目录AD

Active Directory 没有AD就称不上构成域控

客户计算机的管理 用户服务 资源管理 桌面配置 网络资源限制 操作系统/应用程序限制 应用系统的支撑

7.DMZ

Internet外网----------DMZ-------->内网  隔离区 非军事化区  停火区

一般来说放一些防火墙 ftp服务器等  会放一些网络安全设备  

域环境： AD（active directiory）活动目录服务器

web端拿到相应的shell，御剑菜刀等，只是拿到了web服务器的shell。接下来才是渗透测试的开始。目标是内网服务器

内网：local area network  是指在某一个区域内有很多计算机互联而形成的计算机组

1.信息搜集（打点）

2.getshell 获得shell

3.shell提权

4.内网穿透

5.进入内网

6.（不断的）横向移动   //从而获取更多的权限和信息

7.痕迹清除

域安全-2.域的搭建和成员加入

这里教程很多 自行百度学习搭建即可 不多赘述

（实践）搭建简单域环境

搭建域控，域成员

主域优先选择windows server2016   其他可以选择2012 2008 2003 kali  win7

（1）搭建一个域控

AD域属于服务器功能，所以要求开启windows server的服务：

开启方法：空间面板-》系统安全-》管理工具-》服务

或者 cmd下 services.msc  选择Server 双击进入，启动类型改为自动，应用后启动服务  在设置一下将此服务器提升为域控制器，即可成功搭建域控

（2）加入域，成为域成员

检查： 可以cmd下  systeminfo  下拉查看域 如果是workgroup说明不在域环境下，如果是域的名字，说明成功加入域

自行搭建域环境需要注意的地方

（1）网卡问题  虚拟机网卡配置  同一网段 ip地址

（2）DNS指向问题  要指向dns域控

（3）域环境主机 有没有成功加入域

域安全-3.域内网信息搜集

本地信息搜集（会和部分内容重复 个人掌握最重要！重复无所谓）

whoami
whoami /all  获取当前域的信息
ipconfig /all  获取详细的ip信息
arp -a  查看arp表 （如果发现网关的物理地址跟其他物理地址有重复 说明正在被arp欺骗）
systeminfo //查看操作系统信息
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
echo %PROCESSOR_ARCHITECTURE% 查看cpu型号和相应位数
wmic product get name,version 查看安装软件和版本信息（木马去监控可能会需要一些支持库 比如vc等 所以避免报错要先看安装的东西）
wmic qfe get Caption,Description,HotFixID,InstalledOn 查看补丁列表
wmic service list brief  //查看本机开放的一些服务
wmic startup get command,caption  //启动进程
schtasks /query /fo LIST /v   //查看计划任务
net statistics workstation   //查询主机开机时间
net user 查看本地用户
net session 显示本地和远程的会话
wmic process list brief 查看进程
net view 查看内网的共享
tasklist  //进程
query user || qwinsta   //查看当前在线的任务 (或者直接qwinsta)
net session  //列出断开本机的对话
netstat -ano  //查看开放的端口
net share
route print  //查看路由表
arp -a

域信息搜集

​
net user user1 /domain
net config workstation
net time /domain   //判断主域  如果存在域 并且是域的用户 才会执行成功  可以得到域名 例如DC-1.test1.com 域控上可能会有DNS服务器
ping dc-1.test1.com   //即可得到域控制器的ip地址
for /L %I in (1,1,254) DO @ping -w 1 -n 1 192.168.109.%I | findstr "TTL="  //ping整个内网 网段是192.168.109.xx （小型的ping扫描器）
net view /domain:test1  //权限不够不能用
net group /domain
net group "domain computers" /domain
net accounts /domain
nltest /domain_trusts   //获得域的信任关系
nltest /DCLIST:test1
nslookup -type=SRV_ldap._tcp
net group "Domain Controllers" /domain
netdom query dc
wmic useraccount get /all   //查看域内详细信息
​

远程信息搜集：

可用网站    SEO综合查询 - 站长工具      域名Whois查询 - 站长之家

解释：

黑客一般打权重2-6之间的  7及以上的一般都是可遇不可求的网站

中国申请域名是需要备案号的

活跃主机识别：可以借助相关工具 例如nmap nc等扫描即可 这里不详细展开