2021-02-14 22:15:21

SUMMARY.md

@@ -120,3 +120,19 @@
 	+   [二十、漏洞报告](docs/web-hacking-101-zh/20.md)
 	+   [二十一、工具](docs/web-hacking-101-zh/21.md)
 	+   [二十二、资源](docs/web-hacking-101-zh/22.md)
++   [渗透测试实战第三版(红队版)](hacker-playbook-3/README.md)
+	+   [前言](hacker-playbook-3/前言.md)
+	+   [介绍](hacker-playbook-3/介绍.md)
+	+   [第1章 赛前准备——安装](hacker-playbook-3/1_pregame_the_setup.md)
+	+   [第2章 发球前——红队侦察](hacker-playbook-3/2_before_the_snap_red_team_recon.md)
+	+   [第3章 抛传——Web 应用程序漏洞利用](hacker-playbook-3/3_the_throw_web_application_exploitation.md)
+	+   [第4章 带球——开始攻击网络](hacker-playbook-3/4_the_drive_compromising_the_network.md)
+	+   [第5章 助攻——社会工程学攻击](hacker-playbook-3/5_the_screen_social_engineering.md)
+	+   [第6章 短传——物理访问攻击](hacker-playbook-3/6_the_onside_kick_physical_attacks.md)
+	+   [第7章 四分卫突破——逃避杀毒软件和网络检测](hacker-playbook-3/7_the_quarterback_sneak_evading_av_and_network_detection.md)
+	+   [第8章 特勤组——破解、漏洞利用和技巧](hacker-playbook-3/8_special_teams_cracking_exploits_and_tricks.md)
+	+   [第9章 两分钟的训练——从零到英雄](hacker-playbook-3/9_two_minute_drill_from_zero_to_hero.md)
+	+   [第10章 赛后——分析报告](hacker-playbook-3/10_post_game_analysis_reporting.md)
+	+   [继续教育](hacker-playbook-3/继续教育.md)
+	+   [关于作者](hacker-playbook-3/关于作者.md)
+	+   [文档更新](hacker-playbook-3/UPDATE.md)

docs/hacker-playbook-3/10_post_game_analysis_reporting.md

+# 第10章 赛后——分析报告
+
+> 译者：[@Snowming](https://github.com/Snowming04)
+
+![](img/chapter_10/10-1.png)
+
+在之前的 THP 书籍中，我们有介绍如何编写渗透测试报告的示例，并提供了大量报告模板。这些示例非常适合那些按部就班的做渗透测试的活动，但是不适合红队的活动。正如本书所述，红队的焦点不是识别漏洞本身（虽然这也是工作的一部分），而是测试人、工具、工作流程和员工的技能组合。如果你的公司被授权的渗透测试者或者未授权的坏人攻击并成功入侵，你会给自己的业绩打几分？我一直反对使用差距评估分数、ISO 分数、成熟度模型分数、标准风险分析、热度图和类似类型的报告来展示公司安全项目的真实状况。
+
+就我个人而言，我喜欢看到公司从之前的红队活动中采取措施进行控制，以测试是否真的取得了进展。例如，对于一个使用了近似域名方法的网络钓鱼活动，我们看到公司启用了以下一些功能：
+- 使用 dnstwist 对与其公司类似的域名发出警报；
+- 设置一个外部电子邮件域的可信列表。任何与之不匹配的外部邮件都将在最终用户可见的电子邮件中附加一个标题，说明它是外部（非公司）的、未经批准的电子邮件源。这将帮助你的用户更容易识别网络钓鱼。
+- 来自代理中未分类的域的电子邮件中的任何链接至少应单击一次并警告用户改链接未分类。
+- 禁止 Office 宏附件、强制使用受保护的视图和对文档进行沙盒处理。
+
+这只是一个公司可以实施的可以阻止攻击的一些简单方法。
+
+请记住，红队人员只需要找到一个漏洞就可能破坏整个内网环境。但是蓝队成员只需要识别攻击者的 TTP（战术，技术和过程）之一，就可以阻止这威胁。因此，现在的问题是，如果这些 TTP 中的一个已经引起防御系统发出警报，你的应急响应团队发现警报并处理威胁的速度有多快？所以红队风格的报告应该包括哪些内容呢？由于红队这个概念还很新，目前还没有标准的报告模板，我们可以根据客户的需求进行定制。在我看来，因为我们可能会在一个完整的红队活动中多次尝试进入一个内网环境(且被抓住几次)，所以我们想要把好的方面和不好的方面都在报告中都展示出来。
+
+在活动期间、记笔记方面，许多工具如 Empire 和 Cobalt Strike 在红队活动期间都有很好的活动日志记录，但这些可能还远远不够。我发现对我们团队的活动非常有用的是，建立一个简单的 Web 服务器来记录红队成员执行的每个操作。记录过程中只收集最基本的信息，其中包括特定的事件、服务器、描述、影响、任何警报和屏幕截图。大多数红队/渗透测试人员都不喜欢做笔记，但这类记录提供了一种简单的跟踪活动的方法。
+
+![](img/chapter_10/10-2.png)
+
+一旦活动结束，我们将收集所有笔记并将其组合在一起，以构建一个能讲述故事的红队报告。红队报告的主要组成部分可能包括：
+
+- **简介/范围**：本节需要明确说明活动的目标。例如，有些客户要求我们访问特定的数据、获得域管理权限、获取 PII（个人身份信息）、获取 IP 或在找到他们的生产环境的服务器的标志（flag）。
+
+- **指标**：在一场交战之后获得攻击报告是对应急响应团队/取证团队非常有帮助的。我们还想确定他们的防范工具或安全传感器可能遗漏的地方，那些使他们无法执行取证或检测恶意活动的纰漏。因此，我们希望给出C2服务器的IP地址、使用的域名、二进制文件的 MD5/SHA1 哈希、电子邮件地址和 IP 信息、被钓鱼的受害者列表以及任何其他可能有助于取证/应急响应团队的信息。
+
+- **攻击时间轴**：这是红队行动中最重要的部分之一，做好笔记是有回报的。时间轴应该充分说明所有的主要活动，任何触发警报的 TTP，以及主要的活动。这将允许蓝队比较他们的时间轴和笔记，看看他们错过了什么。在一次真正的攻击中，你有机会询问那些坏人关于他们做的每坏件事吗？这对防守团队来说是非常有利的。一个时间轴示例可能是这样的:
+
+  ![](img/chapter_10/10-3.png)
+
+- **检测时间（TTD）/解决时间（TTM）**：这通常是我们可以使用蓝队报告构建 TTD/TTM 统计数据的地方。我们都想要确定蓝队发现一次多重入侵所需的时间；扫描事件触发调查之前花费的时间（如果调查了的话）；以及蓝队需要多长时间来识别网络钓鱼活动。
+第二部分应该讨论有关采取行动之前花费的时间的统计数据。如果有已警告的 C2 通信或已识别的网络钓鱼，那么在防火墙或 DNS 服务器上封锁这些域需要花费的时间是多久？我们经常看到公司可能擅长屏蔽域名，但是当 C2 服务器通过 IP 进行通信时会很快失败（反之亦然）。我们希望确保跟踪此活动并帮我们的客户来识别它。另一个很有用的 TTM 衡量标准是他们最快的情况下要花多久来隔离一个已经确认受损的系统。随着恶意软件变得越来越自动化，我们需要开始利用智能化和自动化的流程将系统或网络的一部分与组织的其他部分隔离开来。
+
+- **来自应急响应/应急人员的反馈**：我最喜欢记录的东西之一是来自蓝队的反馈：他们是如何从防守的角度看待整个活动的。我想知道的是，他们是否觉得自己遵守了安全政策，事件负责人是否推动了调查，管理层是否过度介入，安全部门如何与 IT 部门进行安全方面的互动，从而促进任何与 IT 相关的改变（防火墙屏蔽、DNS 修改等等）。以及他们中间的哪些人过于慌张、哪些人过于冷静。
+
+如前所述，红队的目的不是寻找漏洞或破坏环境（尽管这是非常有趣的部分），而是改善客户组织的整体安全程序和规划并证明其环境中存在某些漏洞。如今，许多公司对自己的安全程序过于自信，只有当他们被攻破时才会做出改变。现在有了红队，我们可以模拟攻击行为并鼓励客户做出改变，而不是等到真实入侵的事件，那时或许已为时太晚。

docs/hacker-playbook-3/9_two_minute_drill_from_zero_to_hero.md

+# 第9章 两分钟的训练——从零到英雄
+
+> 译者：[@Snowming](https://github.com/Snowming04)
+> 
+> 校对者：@匿名jack
+
+![](img/chapter_9/9-0.PNG)
+
+随着时间的推移，直到测试的最后一天你都还没有从目标外部网络取得比较好的突破。因为你需要进入目标内网，了解他们公司的网络布局，获得一些敏感文件或者代码，然后找到更多的网段和高权限用户，最终需要拿到 Cyber Space Kittens 公司太空计划的相关资料，此时你感觉压力很大。你的任务是窃取最新的太空计划相关的绝密信息并且不能失败...现在是两分钟操练的时候了。只剩一点点时间了，你需要从10码线开始运球，突破所有的防守保护，扫清路上的障碍，最终把球带到90码线安全着陆。
+
+## 10码线
+你重新翻阅自己之前做的笔记，找出自己可能遗漏的一些信息。你的眼睛聚焦在一个网页屏幕截图...这是一个 CSK（Cyber Space Kittens）的论坛网站。你暂时没法找到这个网站程序的漏洞，但是你注意到这个 CSK 论坛网站是给 CSK 内部员工和普通用户共同使用的，用于发布他们太空项目相关的问题、评论和其他事情。
+
+你在网站上收集那些看上去是属于公司员工的账户。然后你根据账户名提炼信息制作比较靠谱的密码表（可能使用的密码）。你使用常用密码及其变体对所有这些账户进行密码爆破尝试。你看到你的 python 脚本正在缓慢的输出… 失败 … 失败 … 失败 … 密码已找到 ！ 当你看到一个名为 Chris Catfield 的用户使用了 `Summer2018!` 这个密码时会心一笑。这个比你预想的要简单的多。接下来，你使用 Chris 的凭证登录论坛，查阅他的私信和帖子，找出那些能帮助更好的开展下一步行动的信息。你发现 Chris 经常与论坛上的另一位内部员工 Neil Pawstrong 谈论太空项目。看起来他们不是现实中的朋友，但他们有很融洽的协同工作关系。这对你开展受信任的钓鱼攻击非常有利。这两个用户之间已经建立了融洽的关系，所以如果你使用 Chris 的帐号发钓鱼邮件给 Neil，成功的可能性将会很大。
+
+## 20码线
+你在纠结要不要直接向 Neil 发送恶意的 payload，但是那样太明显了。于是你向他发送了一个你刚搭建好的一个带有猫猫照片的网站的链接，“嘿，Neil，我知道你喜欢猫！看看我做的这个页面吧！”
+
+![](img/chapter_9/9-1.png)
+
+几分钟之后，你在论坛网站上收到的 Neil 的回复：“哈哈，我喜欢这个太空猫啦！”Neil 没有意识到他访问的网页有一个定制的 JavaScript 的 payload，这段 JS 代码在他的机器后台运行，扫描机器所在的 CSK 内部网络，并且危及未经身份验证的 Jenkins 和 Tomcat Web 服务器。几秒钟之后，你得到了一个弹回来的 Empire 的 shell，你终于松了一口气。
+
+## 30码线
+当你顺利撕开目标的一道口子，你意识到 CSK 的网络防御部门重新设置防火墙配置、DNS 配置和进行主机屏蔽只是时间问题，所以你需要快速移动。幸运的是，你已经配置了一些自动化的程序和脚本来处理那些繁琐的工作。受感染的主机已经激活 beacon 并且开始运行 Bloodhound 等工具，查找本地存储的密码相关文件，设置注册表的值来使 Mimikatz 工具能够捕获 LSASS 进程存储的密码，运行 SPN（Kerberos 服务主体名称）并转储所有 Kerberos 票证，当然还可以在计划任务中做一些持久化渗透的设置。
+
+## 40码线
+你清楚自己需要快速离开这个第一台主机。于是你将所有拿回的 Kerberos ticket（票据）导入到 Hashcat 程序中，然后开始破解。你发现用那些额外的 BUG 赏金购买了几块1080Ti显卡是个非常正确的决定。当 hash 开始破解的时候，你注意到有一些服务账户的密码已经破解完毕，但是你现在还没时间去处理这些。你仔细阅读 Bloodhound 的输出结果，发现这台受害的机器是属于 Neil Pawstrong 的，并且 Neil 的 AD 账户（域账户）可以访问另一个属于 Buzz Clawdrin 的机器。通过使用 WMI 进行连接，你远程生成一个新的 payload 到 Buzz 的机器中，然后注入到属于 Buzz 账户进程中。
+
+![](img/chapter_9/9-2.png)
+
+## 50码线
+幸运的是，你的账户（Neil 的域账户）在 Buzz 主机的本地管理员成员组中，这意味着你能在这个主机上做更多的协同工作。 使用 Bloodhound 进行信息收集，你能够遍历整个 CSK-LAB 域的网络，但你意识到你在这个主机中并没有 `system` 权限。不用担心，你可以加载 `powerup` 这个 powershell 脚本文件来查找这个主机的错误配置，进而让你权限提升到 `system` 权限。如你所料，服务二进制文件有大量没加引号的路径，你可以在那写入你自己的 payload。你可以快速做一个新的恶意的二进制文件来获得 `system` 权限。
+
+## 60码线
+你在第二台主机上运行一个新的 Cobalt Strike 的 payload 获得了一个新的 beacon，这让你即使被他们发现了一些痕迹，也能保持访问权限。这是一个 system 权限的 beacon 连接，你可以通过该主机查找机器中存储在浏览器、WinSCP 配置文件等文本文件中的大量凭据。这台主机是个金矿，它可以连接到多个服务器和数据库。你注意到此主机位于不同的 VLAN 上。看起来这个主机可以访问那些从 Neil 的主机无法看到的这个内网中的更多的网段和主机。你再次运行命令进行内网信息收集，通过 Bloodhound 来了解你当前能访问的网段和主机。你注意到这些网络中的很多主机无法连接到外网，因此你无法获得 HTTP 的 `beacon`。但是因为你使用的是 Cobalt Strike（https://www.cobaltstrike.com/help-smb-beacon ），因此你知道它有一个强大的功能，可将内网断网主机和你当前已控的 `beacon` 进行 SMB 管道连接上线。这就意味着整个实验室的 VLAN 网络中其他受到攻击的机器都可以利用当前这个 CSK-LAB 主机访问到外网。另外，你发现这些在半隔离网络中的主机并没有获取系统更新。看上去，这些运行着 Windows 7系统的客户端主机中并没有为 EternalBlue（永恒之蓝漏洞）打补丁。
+
+## 70码线
+通过这台 CSK-LAB 主机，你可以使用经过修改的 EternalBlue 漏洞、利用 payload 在这个 lab 域中的大多数 windows 7机器中中获得 SMB 的 `beacon`。你开始使用这些新的 shell 来获得更多的信息。你发现其中一个主机和一个名为 Restricted 的远程 Microsoft SQL 服务器保持着活跃的连接。你尝试了在这个 lab 域中收集的所有账户，但这些凭证都不适用于这个数据库服务器。你感到难过，你回头看看自己所有的笔记，然后意识到你忘了那些正在破解的 Kerberos 票据！你通过 SSH 连接到负责破解 hash 的机器，查看那些破解结果，在结果中找出那些链接 Restricted 数据库的凭证。当你找到这个服务帐号的密码时，你浑身得到了巨大的解脱感。
+
+## 80码线
+你登录到名为 Restricted 的数据库服务器并对整个数据库进行了脱库。 你很想直接在数据库服务器中直接查看，但你知道时间有限。 你使用一些 PowerShell 脚本对数据进行加密压缩，然后在不同的内网已控主机之间慢慢传递，最后将压缩数据利用网络转移到自己的 C2 服务器上。
+
+你告诉你自己，你做到了！但是当你逐渐从飘了的感觉中冷静下来，你发现自己仍然有工作要做。你回过头来翻阅那些之前导出的 Bloodhound 收集的信息，发现一台名为 Purri Gagarin 的主机，它属于 IT 技术支持部门的工作组 。很好，我们可以使用它来远程桌面连接或者使用 Windows ACE 连接到域管理员的机器，然后我们可以将域管理员的密码重置为我们自定义的密码。我们接着操作，重置域管理员 Elon Muskkat 的密码，然后做一些 AD 持久化的设置来维持持久的域管权限。
+
+## 90码线
+我们需要做的最后一件事情是从域控制器中导出所有的哈希，并且设置其他的后门，最后擦除我们的痕迹。你可以使用 Mimikatz 应用的的 DCsync 功能来获取所有用户的哈希，包括 krbtgt 票据。而不是使用动静很大的方法（卷影复制服务）来获取域里所有用户的哈希。我们现在拥有了黄金票据！这意味着我们如果重新回到内网中，我们可以创建自己的 Kerberos 票据并且让它成为域管理员。
+> 译者注: 卷影复制服务（Volume Shadow Copy Service,简称 VSS）是微软 Windows 的一项组件服务。卷影复制服务是一项定时为分卷作复制的服务。服务会在分卷新增一个名为“阴影复制”（Shadow Copy）的选项。此服务可为离线用户提供离线文件服务。
+
+为了留下更多的后门，我们在不同主机中使用了不同的技术。我们在一个主机中设置了 shift 后门；使用 backdoorfactory 技术将我们的恶意软件隐藏在另一个主机中的常用二进制可执行文件中；将系统的计划任务设置为每周运行一次回连我们的 C2 服务器；使用一个和 lab 域分离的主机，使用 dnscat 的可执行二进制文件代替系统中一个没啥用的运行服务；还删除了几个主机的启动文件夹中的 payload。
+
+我们是幸运的（当然与之对应我们的幸运建立在他们的不幸之上），我们到目前为止都没有被发现。但你要记住，红队渗透评估的目的是为了了解公司或组织发现恶意攻击活动的速度有多快（CSK 公司并没有发现），以及他们执行应急响应、取证和缓解攻击带来的负面影响的速度有多快。所以在最后你尝试触发 CSK 的蓝队采取行动，运行了一个 powershell 脚本（ https://github.com/EmpireProject/Empire/blob/master/data/module_source/trollsploit/Get-RickAstley.ps1 ）。你满意的笑了，然后关闭笔记本电脑。
+
+任务完成 :)
+
+
+
+
+

docs/hacker-playbook-3/README.md

+# [译] 渗透测试实战第三版(红队版)
+
+- 译者：[Snowming](https://github.com/Snowming04)（雪茗）  时间：北京时间 2019-03-17
+- 本书英文名：The Hacker Playbook 3
+
+![](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/blob/master/cover.jpg)
+
+
+## 阅读及 PDF 下载
+- [在 Github 上阅读本书](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/blob/master/%E7%9B%AE%E5%BD%95.md)
+
+- [PDF 下载](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/tree/master/PDF)
+
+
+## 免责声明
+[@Snowming](https://github.com/Snowming04) 纯粹出于学习目的与个人兴趣翻译本书。本人承诺绝不用此译文谋取任何形式的经济利益。也坚决拒绝其他任何人以此牟利。本译文只供学习研究参考之用，不得用于商业用途。[@Snowming](https://github.com/Snowming04) 保留对此版本译文的署名权及其它相关权利。若有人使用本译文进行侵权行为或者违反知识产权保护法的任何行为，与本译者无关。译者坚决反对此类行为。
+
+基于开源精神，译者欢迎一切基于学习研究目的的转发，但**任何转载必须注明出处。**
+
+## 译者的话
+这本书是 `The Hacker Playbook` 的第三版，通常我们也说它是红队版。因为本书是以红蓝对抗中红队的视角来撰写的。
+
+首先要说一声抱歉，因为我的翻译可能并不是特别好。首先，整本书是在三周的时间仅由我一个人翻译完的，因为本人临近硕士毕业，不可能花太多时间来作这件事情。而且这本书的专业程度比较高，并不是一本科普读物。而译者的专业水平有限，所以可能对本书的理解上也受限于我的专业水平。但是，译者尽力以最大的诚意，来完成此书的翻译。我寻求的效果是：完成本书作者与中文读者之间的连接。基于此目标，我的**翻译原则**有以下几条:
+1. 对每一个句子，我并非在词义的层面上简单的译为中文,而是按照自己的理解翻译的。我有一种观点：如果那样的话，与谷歌翻译有什么区别呢？所以我会在词义的基础上，去理解作者的每一句话，查阅相关资料，结合词义、句意、专业知识背景来翻译。所以读者可以看到，我在一些地方贴出了一些补充资料。我希望我的翻译既保留作者原意，也更符合中文。其中若有不明之处，我跟几位比我从业经验丰富的安全行业朋友进行了讨论，毕竟我资历尚浅，若是因为自己的肤浅理解而误导读者，那可真是我的过错了。对每一个句子，只有我自己让我是可以读懂的，我才会贴上来。
+2. 因为中文和英文的确存在差异，并非每一句英文的意思都可以用中文完全表达出同样的意思，不可避免的存在些个翻译出来比较奇怪的词语。对于这种情况，我会去互联网上基于关键词进行搜索，参考诸如微软中文文档之类的翻译，最好是遵循他们的翻译惯例。因为毋庸置疑的，专业的微软文档工程师肯定比我的水平高。
+3. 译文中所有的链接我自己都点过一遍，虽然我拿到的英文 PDF 有些链接自己都无法访问，但是我尽力还原作者原意，通过网络搜索找到正确链接贴上。对于其他的过期链接我也会更附上说明。这里必须说明，事实上，不断的有一些链接失效，仅仅我翻译的这三周，到我今天定稿，就很多失效了。我也只能尽量贴上最新的链接。
+4. 一些专业术语保留英文常用习惯，因为毕竟本书不是一本科普书。我身边很多安全从业者，不会把 payload 说成攻击载荷。所以本书中除第一次遇到 payload 会附注攻击载荷，后面一律使用payload。类似的专业术语还包括 beacon、POC、AD 等。
+5. 一些工具里面的选项保留英文。因为若翻译为中文，可能导致读者无法找到该选项，操作不便，反而弄巧成拙。
+6. 关于【译者注】：我思故我惑。书里也有很多我读不懂的、不太理解的知识盲区。读的时候我会查找相关资料，但是我就会想，为什么不把我找到的觉得不错的资料分享给读者呢？这就是我的翻译中那些【译者注】的由来。因为我把这个翻译当作书+笔记本来用了，所以有很多连接那是因为我自己也要看。如果你不看，请忽略。并且，既然这是中文翻译，所以我分享的参考资料以中文资料为主。英文链接是我觉得特别好的文章才会附上。
+7. 我拿到的英文 PDF 版本，上面的一些代码存在问题。比如这一句书中的原代码 `python SharpShooter.py —interactive`。但是 `—` 其实应该是 `--`。本书中有多个这种错误。所以根据译者经验：`—` 如果你跑不通的话，读者可以自行替换为 `-` 或 `--` 来试试，或许就可以跑通了。实在再跑不通的话，可以在网上进行搜索。
+8. PDF 版本中，如果用 `[]` 括起来的链接无法访问，请观察 URL，根据情况删除 `]`，一般就可以访问了。
+
+### 阅读建议
+1. 先大概理解每一章讲的是什么，比如：
+  - 第一章 环境搭建
+  - 第二章 信息收集
+  - 第三章 web漏洞利用
+  - 第四章 内网横向移动和权限提升
+  - ......<br>
+在心里有个这种朴素的目录，能帮助你读完本书后对红队工作流程心中有数。
+
+2. 根据用途对本书中提到的所有你觉得好的工具建一个速查清单。我觉得你可以参考这篇来建：[适用于渗透测试不同阶段的工具收集整理](https://www.cnblogs.com/zengming/p/10309015.html)
+
+3. 本书毕竟是一本外语书，有的工具不适合国内环境。大家自行取舍。
+
+### 对于本书的一些想法
+技术的发展日新月异，所以本书中的一些工具可能有些过时了。我们对本书中的内容无需盲从，可以结合一些自己的思考。
+
+比如，第七章的内容可能会有些跟不上时代。但其实第七章中重新编译 msf 其实就是为了：
+ 1. 尽可能消除 msf 的流量指纹特征；
+ 2. 强化 msf 的 payload 的一些静态免杀能力； 
+ 3. 自定义添加一些功能（和 C2 交互方面，动态执行方面，流量优化方面）。
+ 
+如果想清楚这个，那么看懂并理解它的操作会简单很多。现在针对攻击框架的二次开发基本都是在这么做，思路一致，只是实现方式各有不同，但万变不离其宗，我们依然可以从书中的二次开发思路中获得一些启示。
+
+而且本书作者的一个观点，我认为非常有趣。他说：红队的技术是基于 OSI 七层的不断轮回。作者甚至额外加了一个第八层——社会工程学攻击。如果你看完本书，就会发现，的确，工具有基于物理层的、传输层的......一直到社会工程学攻击。作者认为，当一切防御措施都做得接近完美的时候，我们仍然可以利用第八层，社会工程学攻击去进行渗透。而随着新的技术的发展、不断地趋于大和复杂，一些曾经出现过的旧的漏洞又会出现。传统的攻击方法会迸发出新的生机。
+
+这大概就是我们阅读此类书的目的吧。与其授人以鱼不如授人以渔，一些工具病毒出来不久，就会被安全厂商逆向、签名。但是如果我们习得了屠龙之术，那么就能以不变应对万变。我从本书中作者的循循善诱中学到了很多，作者不仅逐步深入，还会跟我们讲为什么编程能力对安全人员很重要、为什么我们需要理解底层......我相信如果你认真读了，你会跟我一样收获颇多。
+
+### 关于译文中的错误处理
+不可避免的，本书的翻译仍然存在很多问题，大家可以积极提 issue 给我，包括标点符号全角半角的问题也可以提给我。在此先行感谢。
+
+另外错误的改正情况也会在本仓库的 [UPDATE 页面](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/blob/master/UPDATE.md)进行实时更新。
+
+## 特别感谢
+在这本书的翻译过程中，我也收获了友谊。为了一个词我们可以讨论很久，这样的同行，让我深深的觉得我没有选错方向。感谢以下的小伙伴帮我提供校对支持：
+* 哈姆太郎 
+* 匿名jack
+* [Victor Zhu](https://zhuzhuuu.com/)
+* [鶇](http://wp.blkstone.me)
+* [leitbogioro](https://github.com/leitbogioro/)
+
+也感谢以下的小伙伴愿意跟我讨论书上的问题：
+* [鶇](http://wp.blkstone.me)
+* 哈姆太郎
+* 匿名jack
+* [googu0](https://github.com/googu0)
+
+在此对你们提供的帮助表示真诚的谢意。
+
+## 协议
+[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
+

docs/hacker-playbook-3/SUMMARY.md

++   [渗透测试实战第三版(红队版)](README.md)
++   [前言](前言.md)
++   [介绍](介绍.md)
++   [第1章 赛前准备——安装](1_pregame_the_setup.md)
++   [第2章 发球前——红队侦察](2_before_the_snap_red_team_recon.md)
++   [第3章 抛传——Web 应用程序漏洞利用](3_the_throw_web_application_exploitation.md)
++   [第4章 带球——开始攻击网络](4_the_drive_compromising_the_network.md)
++   [第5章 助攻——社会工程学攻击](5_the_screen_social_engineering.md)
++   [第6章 短传——物理访问攻击](6_the_onside_kick_physical_attacks.md)
++   [第7章 四分卫突破——逃避杀毒软件和网络检测](7_the_quarterback_sneak_evading_av_and_network_detection.md)
++   [第8章 特勤组——破解、漏洞利用和技巧](8_special_teams_cracking_exploits_and_tricks.md)
++   [第9章 两分钟的训练——从零到英雄](9_two_minute_drill_from_zero_to_hero.md)
++   [第10章 赛后——分析报告](10_post_game_analysis_reporting.md)
++   [继续教育](继续教育.md)
++   [关于作者](关于作者.md)
++   [文档更新](UPDATE.md)

docs/hacker-playbook-3/UPDATE.md

+# 文档更新
+
+## 19/3/2019
+1. 修复了 [Isssue#3 第1章 赛前准备——安装(商用 ATT&CK 矩阵 - Windows版，图片内容重复)](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/issues/3)。<br>修改了第一章的图片 1-2.PNG。该图片存在图片内容重复的问题，已经进行替换。<br>感谢 [@MyKings](https://github.com/MyKings) 的宝贵建议。
+
+2. 第1章新增了一张图片 1-16.PNG。
+
+3. 修复了 [Isssue#5 第1章 赛前准备——安装=>设置你的外部服务器(Digital Dcean应为Digital Ocean)](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/issues/5)。<br>感谢 [@WMJ](https://github.com/StefanoWen) 的宝贵建议。
+
+4. 修复了 [Isssue#6 第1章“APT组织与方法持续更新列表”的链接有误](https://github.com/Snowming04/The-Hacker-Playbook-3-Translation/issues/6)。<br>感谢 [@dom2q](https://github.com/dom2q) 的宝贵建议。
+
+
+## 23/5/2019
+感谢 [@y159357](https://github.com/y159357) 的宝贵建议。
+
+
+>以下是我在复现中遇到的一些问题（如果是我的错误，还请译者纠正）：<br>
+>1.在pdf中34页knockpy的使用中，提到了使用-u参数，我在复现时发现貌似没有这个参数，所以我使用了-w参数<br>
+>2.在pdf中36页git-all-secrets的使用中，提到了将结果文件从容器中提取到主机，我想那段代码并不完全，在那段代码结尾没有指明将目标文件提取到主机的哪个文件，我想应该改为 docker cp <container-id>:/data/results.txt ./results.txt
+  
+  
+改正了第二章里面的两个问题。
+
+
+## 3/7/2019
+> 首先，我们需要设置一个 VPS 服务器，启用开放到公网的多个端口，用 **PTF** 配置 Metasploit，并用 Meterpreter 攻陷最初的受害者。我们也可以用 Cobalt Strike 或其他框架来实现这一点，但在本例中我们将使用 Meterpreter。
+
+感谢 @蝶离飞 师傅的宝贵建议，已把 `PTF` 更正为 `PTH`。
+
+>如果你幸运地获得了一个 SSH shell，那么我们可以通过该系统进行渗透。我们如何获得 SSH shell 呢？在许多情况下，一旦我们可以实现本地文件包含（LFI）或远程代码执行（RCE），我们可以尝试权限升级以读取 /etc/shadow 文件（和密码破解），或者我们可以利用一些 **Mimimikatz** 风格的方法。
+
+感谢 @蝶离飞 师傅的宝贵建议，已把 `Mimimikatz` 更正为 `Mimikatz`。