0x01 Empire 介绍
Empire 是一个纯粹的 PowerShell 后开发代理建立在密码安全的通信和灵活的架构。Empire实现了无需 powershell.exe 即可运行 PowerShell代理的功能,从键盘记录器到 Mimikatz 等快速部署的后期开发模块,以及适应性通信以逃避网络检测,所有这些都包含在以可用性为中心的框架中。它在 2015年在 BSidesLV首播。
0x02 安装
git clone https://github.com/EmpireProject/Empire.git
Cd Empire/setup
./install.sh
./empire
启动成功。
0x03 模块介绍
Listeners-------------------监听模块
Stagers---------------------- dlls, macros, one-liners 等。
Agents-----------------------代理模块
我们看看 help 中的描述。
进入 Empire 中,首先要进入 listeners 模块。
Uselistenr http
Set Name ilab
Execute
创建一个 listener。
然后我们利用是 usestager,来搞事情!这个模块可生成 Linux、mac os、windows 的多种木马,用于反弹 shell。
我这里选用 windows/launcher_lnk。
在攻击上运行 link 文件,然后就会创建一个 agent,Empire 中的 agent 和 Metaslpoit 中 seeion类似。
接下来使用 agents 进入 agents 菜单。
Interact agents 名称进入对应创建的 agents。
为了方便记忆可以 rename。
来看看这个 Empire 到底能做什么东西?
其实我最关注的是 bypassuac(提权模块)、dowanload 下载文件、mimikatz 获取 hash、upload上传文件、usemodule 使用 powershell moudle(类似于 metasploit 的 exp 中的 rb 文件,很强大)、shell command 执行 cmd 命令。 injectshellcode 注入某些进程 shellcode。
首先提权 bypassuac agents 名,创建 agnet 说明提权成功。
提权成功的 agent 都带有*号。
输入mimikatz
0x04 用户信息收集
通过提权后使用 mimikatz,得到用户信息和域信息。
使用 creds 命令可以得到用户的一些凭证。
如果你想要过滤结果也可以使用 creds AC2 来过滤信息
我们已经知道有个 AC$这个用户。Empire 中的 get_user 可以提供枚举用户。可以看一下这个get_user。
使用 arpscan 模块扫描整个网段
发现只有两台机子存在 192.168.180.128 和 192.168.180.130。
进程注入 ps cmd 获取 cmd 的 pid
Pth 2 来获取 uid。
窃取身份令牌。Seteal_token 2968
获取登录过的账号。
Ps 查看进程,找到对应提权的服务的 id。使用 managemnet/psinject
获取到简单的信息之后我们要通过 IP 地址判断域控,如果域控登录过我们所控制的电脑,那么继续采用上面的提权方法,采用进程注入获取域控权限。如果没有登录过,那么我们可以使用 msf 联动,获取域控信息采用最新漏洞或者其他方法来获取域控权限,最后进行横向移动。
领取专属 10元无门槛券
私享最新 技术干货