内容简介

这是一本能同时帮助红队和蓝队建立完整攻击和防御知识体系的著作，也是一本既能指导企业建设和完善网络安全防御系统，又能打造安全工程师个人安全能力护城河的著作。

全书以ATT&CK框架模型为基座，系统、详细地讲解了信息收集、隧道穿透、权限提升、凭据获取、横向渗透、持久化6大阶段所涉及的技术原理、攻击手段和防御策略。既能让红队理解攻击的本质、掌握实战化的攻击手段，又能让蓝队看透红队的攻击思路，从而构建更为强大的防御体系。

本书的宗旨是“以攻促防、以战训战”，所以书中精心整理了大量来自实践的攻防案例，每个案例都提供了详细的思路、具体的步骤，以及实战中的经验、技巧和注意事项，尽可能让读者感受到真实的攻防对抗氛围。

本书内容丰富，讲解又极为细致，所以篇幅巨大，具体包含如下7个方面的内容。

1. Windows安全基础： 详细介绍Windows的安全认证机制（NTLM认证、Kerberos域认证）、协议（LLMNR、NetBIOS、WPAD、LDAP）和域的基础知识。

2. 信息收集： 详细讲解主机发现、Windows/Linux操作系统信息收集、组策略信息收集、域控相关信息收集、Exchange信息收集等各种信息收集手段。

3. 隧道穿透： 全面、透彻讲解隧道穿透技术基础知识、利用多协议进行隧道穿透的方法、常见的隧道利用工具、以及检测防护方法。

4. 权限提升： 详细讲解内核漏洞提权、错配漏洞提权、第三方服务提权等红蓝对抗中常用的提权手法，既讲解这些手法在实际场景中的利用过程，又提供针对性的防御手段。

5.凭据获取： 从攻击和防御两个维度，详细讲解主要的凭证获取手法，包括软件凭证获取、本地凭证获取、域内凭证等。

6. 横向移动： 全面分析利用任务计划、远程服务、组策略、WSUS、SCCM、Psexec、WMI等系统应用服务及协议进行横向移动的原理与过程。

7. 持久化： 既详细讲解红队常用的持久化手法，如Windows持久化、Linux持久化、Windows域权限维持等，又系统分析蓝队针对持久化攻击的检测和防御思路。 UVQPxoUtFBcVDH6DSs3cX5OpP04PoRo86Fx3wotbTIJ2Rx/sk20i60emTSO49/r7

赞誉
Praise

网络安全在这些年间发生了巨大的变化，从合规阶段迈入实战和运营阶段。新的阶段，政企用户更加重视效果。因此以红蓝对抗为代表的实战演习极大地推动了行业发展，提升了企业安全实战水平。本书从ATT&CK视角来看，对红蓝两队技能进行了剖析，对安全运营实践者有很大的帮助。

——薛峰
微步在线创始人兼CEO

ATT&CK模型目前被广泛应用于安全产品、安全研究、红蓝队对抗等领域，已经成了一个重要的攻防对抗的安全参考标准，国内外很多安全领域都已经应用ATT&CK模型。而本书所讲的红蓝对抗实战与ATT&CK模型深度关联，对网络安全从业者、系统管理员、安全顾问、信息安全研究人员等深入了解安全漏洞及攻防技术、提高安全防御和攻击的实战技能，都能提供很好的借鉴。

——老杨
微软大中华区安全事业部总经理

安全的本质是对抗。ATT&CK框架提供了一种系统的归纳攻防对抗常用手段的方法。本书结合ATT&CK框架，系统地介绍了安全对抗中关键的信息收集、隧道穿透、权限提升、凭据获取、横向渗透和持久化等阶段，是一本难得的从实战出发的安全类专业书。

——兜哥
“AI安全”三部曲图书作者

攻防对抗的胜败取决于知识积累，在实战中通常表现为红蓝双方在知识深度与广度上的比拼。本书从Windows安全基础讲起，将传统Windows安全与域安全两方面的知识体系进行融合，系统地讲解了实战对抗中诸多技术原理，并结合实际场景深入浅出地介绍了诸多技巧。这些知识与技巧不仅能够化作红队成员的助力，还能够为建设内部防御体系的蓝队成员带来启示，具备很高的参考价值。

——zcgonvh
360高攻武器工具负责人

在传统安全范式中，理论与实战一直是难以兼顾的，而ATT&CK的出现打破了这个局面。企业可以从攻击的角度考虑如何扩大防守面，攻击者也可以从防守的角度探索如何增加攻击面。本书以攻促防、攻守兼备，推荐广大网络安全从业人员认真阅读。

——王太愚
中孚信息元亨实验室主任

本书是几位作者多年来红蓝攻防实战经验的总结和提炼，是红蓝攻击技法的集合，可以指导攻防两端的技术人员，帮助读者了解攻击本质、掌握实战攻击技术，并且从以攻促防的角度来帮助企业建立更为经济、有效的防护机制。这是市场上不可多得的讲透网络安全攻防技术的参考书。

——林扬
火山引擎安全负责人

攻防实战出身的一线技术人员通常思路活跃，但往往缺乏对技术知识体系的系统性认知，导致陷入技术瓶颈。本书结合ATT&CK框架，梳理并建设了攻防对抗技术及实战技巧的知识树，能弥补这部分读者的短板。同时，本书实战案例丰富、专业理论扎实、原理逻辑透彻、技术手法精妙，是不可多得的红蓝攻防技术的“内行”工具书。

——国士无双
圈子社区及悬剑武器库创始人

在当今的网络安全领域，红蓝对抗已经成为一种有效的提升安全能力和水平的方式。红队和蓝队之间的攻防博弈，不仅需要掌握各种渗透技术和防御方法，还需要了解内网环境中的各种协议、服务、应用和漏洞。本书是一本基于ATT&CK框架的攻防实战指南，旨在帮助读者深入理解并掌握红蓝对抗中常见的攻击手法和防御策略。本书作者是三位资深的网络安全专家，在红蓝对抗领域有着丰富的经验和深刻的见解。他们以通俗易懂的语言，将复杂的技术原理和操作步骤清晰地呈现在读者面前。所以本书既适合初学者入门学习，也适合高级“玩家”进阶阅读。

——闪电小子
无糖信息联合创始人

红蓝攻防实战中，在Windows或者Linux系统机器上进行搜集信息、提升特权、渗透域和实现持久化是红队能力不可或缺的部分。本书基于ATT&CK模型详细介绍了这些技术以及对应策略，是新手入门内网渗透、提高攻防技能的绝佳选择。

——M
ChaMd5安全团队创始人

知识面积决定了攻击面积，知识深度决定了攻击深度。本书大量的实战内容可以让读者快速“充电”，不断增加知识和经验的积累。一方面强化攻击能力，另一方面锻炼防御能力。知其黑，守其白。这是安全研究人员必经之路。

——孔韬循（K0r4dji）
安恒信息数字人才创研院北方大区运营总监、DEFCON GROUP 86024发起人

在当前日益严峻的网络安全威胁下，安全从业者需要掌握更加先进的攻防技能和策略，才能更好地保护企业网络和用户信息安全。本书为广大安全从业者提供了一本全面而实用的攻防指南，将成为安全从业者的必备参考资料，使其受益匪浅。我强烈推荐这本书！

——刘振全
金山办公安全与隐私负责人

随着近些年来攻防演练的火热开展，ATT&CK框架模型逐渐进入了人们的视野。本书依托于作者扎实的实战攻防经验，并结合ATT&CK框架模型，系统地介绍了红蓝攻防对抗实战中关键的步骤，是市面上少有的基于ATT&CK框架模型展开讲解的书。本书对于想要入门红蓝队或想要在攻防领域有所提升的安全人员来说难能可贵。

——谢公子
《域渗透攻防指南》作者

未知攻，焉知防。全球网络安全形式日益复杂，攻防技术越来越重要。对于安全技术人员、安全技术初学者或高校学生来说，掌握安全攻防技术十分必要。本书就是一本提升安全技能的宝典。本书以ATT&CK框架为基础，详细讲解红蓝攻防对抗的关键技术，覆盖攻击链的信息收集、隧道穿透、权限提升、凭据获取、横向渗透和持久化等阶段，全书深入浅出、图文并茂，帮助读者快速上手。同时，本书提供实际案例和多视角攻击手法，丰富读者的安全知识库。此外，作者长期从事红蓝对抗，对此具有丰富的实践经验和深入理解，而本书是作者多年知识的结晶。强烈推荐安全从业者或初学者关注这本好书。

——杨秀璋
武汉大学网络空间安全博士、CSDN和华为云博客专家 UVQPxoUtFBcVDH6DSs3cX5OpP04PoRo86Fx3wotbTIJ2Rx/sk20i60emTSO49/r7