0x01 Empire 介绍Empire 是一个纯粹的 PowerShell 后开发代理建立在密码安全的通信和灵活的架构。Empire实现了无需 powershell.exe 即可运行 PowerShell代理的功能,从键盘记录器到 Mimikatz 等快速部署的后期开发模块,以及适应性通信以逃避网络检测,所有这些都包含在以可用性为中心的框架中。它在 2015年在 BSidesLV首播。 0x02 安装git clone https://github.com/EmpireProject/Empire.git Cd Empire/setup ./install.sh ./empire 启动成功。 0x03 模块介绍Listeners-------------------监听模块 Stagers---------------------- dlls, macros, one-liners 等。 Agents-----------------------代理模块 我们看看 help 中的描述。 进入 Empire 中,首先要进入 listeners 模块。 Uselistenr http Set Name ilab Execute 创建一个 listener。 然后我们利用是 usestager,来搞事情!这个模块可生成 Linux、mac os、windows 的多种木马,用于反弹 shell。 我这里选用 windows/launcher_lnk。 在攻击上运行 link 文件,然后就会创建一个 agent,Empire 中的 agent 和 Metaslpoit 中 seeion类似。 接下来使用 agents 进入 agents 菜单。 Interact +agents 名称进入对应创建的 agents。 为了方便记忆可以 rename。 来看看这个 Empire 到底能做什么东西? 其实我最关注的是 bypassuac(提权模块)、dowanload 下载文件、mimikatz 获取 hash、upload上传文件、usemodule 使用 powershell moudle(类似于 metasploit 的 exp 中的 rb 文件,很强大)、shell+command 执行 cmd 命令。 injectshellcode 注入某些进程 shellcode。 首先提权 bypassuac +agents 名,创建 agnet 说明提权成功。 提权成功的 agent 都带有*号。
输入mimikatz
0x04 用户信息收集通过提权后使用 mimikatz,得到用户信息和域信息。
使用 creds 命令可以得到用户的一些凭证。
如果你想要过滤结果也可以使用 creds AC2 来过滤信息
我们已经知道有个 AC$这个用户。Empire 中的 get_user 可以提供枚举用户。可以看一下这个get_user。
使用 arpscan 模块扫描整个网段
发现只有两台机子存在 192.168.180.128 和 192.168.180.130。 进程注入 ps cmd 获取 cmd 的 pid
Pth 2 来获取 uid。
窃取身份令牌。Seteal_token 2968
获取登录过的账号。
Ps 查看进程,找到对应提权的服务的 id。使用 managemnet/psinject
获取到简单的信息之后我们要通过 IP 地址判断域控,如果域控登录过我们所控制的电脑,那么继续采用上面的提权方法,采用进程注入获取域控权限。如果没有登录过,那么我们可以使用 msf 联动,获取域控信息采用最新漏洞或者其他方法来获取域控权限,最后进行横向移动。 |
|
|
来自: 昵称11935121 > 《未命名》
