权限提升

    1. Bypass UAC
      1. usemodule powershell/privesc/bypassuac
      1. 设置listener
      2. execute
      3. list查看
      1. usemodule powershell/private/bypassuac_wscript (win7)
 
当运行完提权模块后,back返回agents查看,多了一个提权成功带(*)号的agents
usemodule powershell/private/bypassuac_wscript(win7)
该模块的原理是使用c:\windows\wscript.exe 执行payload,即绕过UAC实现管理员权限执行payload,只适用于win7系统,目前尚没有补丁,部分杀软会有提示。
 
    1. PowerUp
      1. AllChecks
      1. usemodule powershell/privesc/powerup/allchecksàexecute
      1. GPP
      1. usemodule powershell/private/gpp
Empire内置了PowerUp的部分工具,主要有windows系统错误配置漏洞,windows Services漏洞、AlwaysInstallElevated漏洞等8种提权方式,
usemodule powershell/privesc/powerup/ <tab> <tab> # 查看所有powerup模块
 
AllChecks模块
查看系统中的漏洞,使用方法和Powersploit下powerup的Invoke-AllChecks模块一样,
该模块可以执行所有脚本检测系统漏洞,
usemodule powershell/privesc/powerup/allchecks
set Agent pc2
execute
 
当进入一个普通用户权限的session,使用bypassuac <Listener Name>进行提权。
提取完成后agents下会多出一个已经提权成功带(*)的session。
AllChecks模块的应用对象如下:
任何没有引号的服务路径
任何ACL配置错误的服务(可通过service_*利用)
服务可执行文件上的任何设置不当的权限(可通过service_exe_*进行利用)
任何剩余的unattend.xml文件。
设置AlwaysInstallElevated注册表项。
如果有任何Autologon凭证留在注册表中。
任何加密的web.config字符串和应用程序池密码。
对于任何%PATH%.DLL的劫持机会(可通过write_dllhijacker利用)。
具体使用方法参见如下文章:
Metasploit、powershell之Windows错误系统配置漏洞实战提权
metasploit之Windows Services漏洞提权实战
Metasploit、Powershell之AlwaysInstallElevated提权实战
 
 
GPP
在域里常会启用组策略首选项来更改本地密码,用于管理和部署映像,其缺点是任何普通用户都可以从相关域控制器的SYSVOL中读取部署信息。GPP是采用AES256加密的,输入use powershell/privesc/gpp命令查看。
 
横向渗透
1.令牌窃取
在获取服务器权限后,可以使用Empire内置的mimikatz获取系统密码,执行完毕后输入creds命令即可查看mimikatz列举出的密码。
先使用域管理员账户登录域内靶机,
伪造凭证的前提是 域用户曾在此服务器上登录过
若使用域管理员账户访问域内某台机器出现“此工作站和主域间信任关系失败”报错提示,可以先退出域,重启计算机,再重新加入域即可解决。
 
可以看到域用户曾在此服务器上登录过,此时可以窃取域用户身份凭证,然后进行横向移动,
首先要窃取域用户凭证,使用path <ID> 命令,这里的 ID 号就是 creds下的CredID,这里窃取administrator的身份令牌,执行pth 4命令。
从上图可以看到PID进程号为800,使用 steal_token PID 命令即可该身份令牌。
使用ps命令查看是否有域用户进程,可以看到存在域用户的进程。
这里我们选择同一个 Name 为 cmd,PID 为 2176 的进程。
同样我们使用steale_token 命令来窃取这个令牌,这里我们可以尝试访问域内另一台主机WIN-PC1的c$.
shell dir \\WIN-PC1\c$
 
输入 revtoself 命令可以将令牌权限恢复到原来的状态。
 
 
 

PowerShell渗透--Empire(二)的更多相关文章

  1. PowerShell渗透--Empire

    0x00 简介 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.ex ...

  2. PowerShell渗透--Empire(三)

    会话注入 我们可以使用usemodule management/psinject模块来进程注入,获取权限 设置下Listeners和ProcID这2个参数,这里的ProcID就是之前的CMD的pid, ...

  3. Powershell 渗透测试工具-Nishang

    Powershell 渗透测试工具-Nishang 分享到: 作者:V1ct0r 稿费:500RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 传送门 ...

  4. powershell渗透-信息收集命令

    powershell渗透-信息收集命令 本文包含从 Internet 的各个角落收集的 PowerShell 命令列表,这些命令在渗透测试或红色团队练习期间可能会有所帮助. 该列表包括各种开发后的单行 ...

  5. Powershell渗透测试系列–进阶篇

    原文来自:https://bbs.ichunqiu.com/thread-41561-1-1.html i春秋作家:anyedt 0×00 引言 经过基础篇的学习我们已经对powershell有了一个 ...

  6. 【转】PowerShell入门(二):PowerShell是Cmd命令行的加强版吗?

    转至:http://www.cnblogs.com/ceachy/archive/2013/01/31/PowerShell_vs_Cmd.html PowerShell是命令行的加强版吗?Power ...

  7. 19. CTF综合靶机渗透(十二)

    靶机说明: 靶机主题来自美剧<黑客军团> 本次靶机有三个flag,难度在初级到中级,非常适合新手训练学习,不需要逆向技术,目标就是找到三个key,并且拿到主机root权限. 渗透过程: 本 ...

  8. msf客户端渗透(二):PDF漏洞、恶意网站、flash漏洞、IE漏洞、java漏洞、android漏洞、VBScript感染payload

    这个漏洞利用只在XP上有效 利用pdf漏洞利用payload exploit生成一个pdf文件 传到被攻击机上 启动msf侦听 exploit -j XP上双击运行这个pdf时,kali获取到一个sh ...

  9. Vulnhub靶场渗透练习(二) Billu_b0x

    运行虚拟机直接上nmap扫描 获取靶场ip nmap 192.168.18.* 开放端口 TCP 22 SSH OpenSSH 5.9p1 TCP 80 HTTP Apache httpd 2.2.2 ...

随机推荐

  1. sql server之SQL SELECT INTO 语句

    SELECT INTO 语句可用于创建表的备份复件. SELECT INTO 语句 SELECT INTO 语句从一个表中选取数据,然后把数据插入另一个表中. SELECT INTO 语句常用于创建表 ...

  2. 运用 CSS methodologies 去实现模块化

    一.什么是 CSS methodologies CSS methodologies,可以理解成 设计模式,也可以理解成 css 规范,市面使用情况如下图: 上图来源:https://2019.stat ...

  3. 使用git管理github上的代码

    第一次接触git是使用git来提交自己的github的代码,在new repository之后,github会给出一些操作示例. 示例如下: …or create a new repository o ...

  4. C++基础之动态内存

    C++支持动态分配对象,它的生命周期与它们在哪里创建无关,只有当显示的被释放时,这些对象才会被销毁.分配在静态或栈内存中的对象由编译器自动创建和销毁. new在动态内存中为对象分配空间并返回一个指向该 ...

  5. vue-router之路由元信息

    路由元信息?(黑人问号脸???)是不是这么官方的解释很多人都会一脸懵?那么我们说meta,是不是很多人恍然大悟,因为在项目中用到或者看到过呢? 是的,路由元信息就是我们定义路由时配置的meta字段:那 ...

  6. 大文件分割、命令脚本 - Python

    日志文件分割.命名 工作中经常会收到测试同学.客户同学提供的日志文件,其中不乏几百M一G的也都有,毕竟压测一晚上产生的日志量还是很可观的,xDxD,因此不可避免的需要对日志进行分割,通常定位问题需要针 ...

  7. 程序员写 2000 行 if else?领导:这个锅我不背

    前言 知乎上有小伙伴提了这么一个问题,如何看待陕西省普通话水平测试成绩查询系统?查询系统前端代码就直接给出了身份账号,姓名,证书编号,如果信息是真的,就泄露了这么多考生的信息,白给那种.为什么会发生这 ...

  8. 记一次java-selenium自动抢红包最简单案例1

    案例网址:http://xinyue.qq.com/act/pc/xyjf/a20170907envelopes/index.htm?ADTAG=AD_gw.home.pt.2_dyghb.20170 ...

  9. Python奇技淫巧 - 持续更新中....

    Python奇技淫巧 人生苦短,我用Python: 编程界这绝对不是一句空话,尤其是对于使用过多个语言进行工作的同学们来说,用Python的时间越长,越有一种我早干嘛去了的想法,没事,啥时候用Pyth ...

  10. Navicat 设置自增长初始值

    设置主键自增初始值