权限提升

    1. Bypass UAC
      1. usemodule powershell/privesc/bypassuac
      1. 设置listener
      2. execute
      3. list查看
      1. usemodule powershell/private/bypassuac_wscript (win7)
 
当运行完提权模块后,back返回agents查看,多了一个提权成功带(*)号的agents
usemodule powershell/private/bypassuac_wscript(win7)
该模块的原理是使用c:\windows\wscript.exe 执行payload,即绕过UAC实现管理员权限执行payload,只适用于win7系统,目前尚没有补丁,部分杀软会有提示。
 
    1. PowerUp
      1. AllChecks
      1. usemodule powershell/privesc/powerup/allchecksàexecute
      1. GPP
      1. usemodule powershell/private/gpp
Empire内置了PowerUp的部分工具,主要有windows系统错误配置漏洞,windows Services漏洞、AlwaysInstallElevated漏洞等8种提权方式,
usemodule powershell/privesc/powerup/ <tab> <tab> # 查看所有powerup模块
 
AllChecks模块
查看系统中的漏洞,使用方法和Powersploit下powerup的Invoke-AllChecks模块一样,
该模块可以执行所有脚本检测系统漏洞,
usemodule powershell/privesc/powerup/allchecks
set Agent pc2
execute
 
当进入一个普通用户权限的session,使用bypassuac <Listener Name>进行提权。
提取完成后agents下会多出一个已经提权成功带(*)的session。
AllChecks模块的应用对象如下:
任何没有引号的服务路径
任何ACL配置错误的服务(可通过service_*利用)
服务可执行文件上的任何设置不当的权限(可通过service_exe_*进行利用)
任何剩余的unattend.xml文件。
设置AlwaysInstallElevated注册表项。
如果有任何Autologon凭证留在注册表中。
任何加密的web.config字符串和应用程序池密码。
对于任何%PATH%.DLL的劫持机会(可通过write_dllhijacker利用)。
具体使用方法参见如下文章:
Metasploit、powershell之Windows错误系统配置漏洞实战提权
metasploit之Windows Services漏洞提权实战
Metasploit、Powershell之AlwaysInstallElevated提权实战
 
 
GPP
在域里常会启用组策略首选项来更改本地密码,用于管理和部署映像,其缺点是任何普通用户都可以从相关域控制器的SYSVOL中读取部署信息。GPP是采用AES256加密的,输入use powershell/privesc/gpp命令查看。
 
横向渗透
1.令牌窃取
在获取服务器权限后,可以使用Empire内置的mimikatz获取系统密码,执行完毕后输入creds命令即可查看mimikatz列举出的密码。
先使用域管理员账户登录域内靶机,
伪造凭证的前提是 域用户曾在此服务器上登录过
若使用域管理员账户访问域内某台机器出现“此工作站和主域间信任关系失败”报错提示,可以先退出域,重启计算机,再重新加入域即可解决。
 
可以看到域用户曾在此服务器上登录过,此时可以窃取域用户身份凭证,然后进行横向移动,
首先要窃取域用户凭证,使用path <ID> 命令,这里的 ID 号就是 creds下的CredID,这里窃取administrator的身份令牌,执行pth 4命令。
从上图可以看到PID进程号为800,使用 steal_token PID 命令即可该身份令牌。
使用ps命令查看是否有域用户进程,可以看到存在域用户的进程。
这里我们选择同一个 Name 为 cmd,PID 为 2176 的进程。
同样我们使用steale_token 命令来窃取这个令牌,这里我们可以尝试访问域内另一台主机WIN-PC1的c$.
shell dir \\WIN-PC1\c$
 
输入 revtoself 命令可以将令牌权限恢复到原来的状态。
 
 
 

PowerShell渗透--Empire(二)的更多相关文章

  1. PowerShell渗透--Empire

    0x00 简介 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.ex ...

  2. PowerShell渗透--Empire(三)

    会话注入 我们可以使用usemodule management/psinject模块来进程注入,获取权限 设置下Listeners和ProcID这2个参数,这里的ProcID就是之前的CMD的pid, ...

  3. Powershell 渗透测试工具-Nishang

    Powershell 渗透测试工具-Nishang 分享到: 作者:V1ct0r 稿费:500RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 传送门 ...

  4. powershell渗透-信息收集命令

    powershell渗透-信息收集命令 本文包含从 Internet 的各个角落收集的 PowerShell 命令列表,这些命令在渗透测试或红色团队练习期间可能会有所帮助. 该列表包括各种开发后的单行 ...

  5. Powershell渗透测试系列–进阶篇

    原文来自:https://bbs.ichunqiu.com/thread-41561-1-1.html i春秋作家:anyedt 0×00 引言 经过基础篇的学习我们已经对powershell有了一个 ...

  6. 【转】PowerShell入门(二):PowerShell是Cmd命令行的加强版吗?

    转至:http://www.cnblogs.com/ceachy/archive/2013/01/31/PowerShell_vs_Cmd.html PowerShell是命令行的加强版吗?Power ...

  7. 19. CTF综合靶机渗透(十二)

    靶机说明: 靶机主题来自美剧<黑客军团> 本次靶机有三个flag,难度在初级到中级,非常适合新手训练学习,不需要逆向技术,目标就是找到三个key,并且拿到主机root权限. 渗透过程: 本 ...

  8. msf客户端渗透(二):PDF漏洞、恶意网站、flash漏洞、IE漏洞、java漏洞、android漏洞、VBScript感染payload

    这个漏洞利用只在XP上有效 利用pdf漏洞利用payload exploit生成一个pdf文件 传到被攻击机上 启动msf侦听 exploit -j XP上双击运行这个pdf时,kali获取到一个sh ...

  9. Vulnhub靶场渗透练习(二) Billu_b0x

    运行虚拟机直接上nmap扫描 获取靶场ip nmap 192.168.18.* 开放端口 TCP 22 SSH OpenSSH 5.9p1 TCP 80 HTTP Apache httpd 2.2.2 ...

随机推荐

  1. linux常见报错

    零.目录 一. 文件和目录类 File exist 文件已经存在 No such file or directory 没有这个文件或目录(这个东西不存在) command not found 命令找不 ...

  2. 在.NET Core中使用DispatchProxy“实现”非公开的接口

    原文地址:"Implementing" a non-public interface in .NET Core with DispatchProxy 原文作者:Filip W. 译 ...

  3. 搭建maven本地仓库,idea应用本地maven仓库

    提环境: 安装好tomcat.maven.jdk.idea. 打开maven安装目录,在目录下新建 maven仓库文件夹(名子随便): 打开conf\setting.xml 加入<localRe ...

  4. Game with string CodeForce#1104B 栈、串

    题目链接:Game with string 题目原文 Two people are playing a game with a string 

  5. 导出 mysql 数据到 redis

    决定你要导入到 redis 的数据类型 假设我的表 t_user 的结构为 列名 注释 类型 name 名称 varchar idcard 身份证号 varchar phone 手机号 varchar ...

  6. Android [SharedPreference轻量级存储]

    SharedPreferencesActivity.java package com.xdw.a122.data; import android.content.SharedPreferences; ...

  7. 记一次java-selenium自动抢红包最简单案例1

    案例网址:http://xinyue.qq.com/act/pc/xyjf/a20170907envelopes/index.htm?ADTAG=AD_gw.home.pt.2_dyghb.20170 ...

  8. 使用apache的poi来实现数据导出到excel的功能——方式二

    此次,介绍利用poi与layui table结合导出excel.这次不需要从数据库中查询出来的数据进行每一行的拼接那么麻烦,我们这次将标题定义一个id值,对应从数据库中查找出来的字段名即可. 1.po ...

  9. Ubuntu 查看操作系统的位数

    查看Ubuntu操作系统的位数是32位还是64位,可以通过以下命令来查看: getconf LONG_BIT 返回32或64 :如图

  10. 如何解决myeclipse2014突然无法打开的问题

    今天突然发现我的myeclipse2014打开不了,昨晚还好好的,上网找了一下没有找到解决方法,于是新建一个工作区间Workspace Test,再打开File->Switch WorkSpac ...