本文講的是<b>在Empire實戰域滲透</b>,
0x01 寫在開始
上一篇文章隻是單純的介紹了一些Empire的基本用法,但這麼強大的工具根本不是一篇文章可以說清楚的,就像Metasploit,如果我單純寫一篇文章給你,告訴你這就是Metasploit全部的用法了。但是,真正的實戰中,絕對是一臉蒙蔽的往着眼前的顯示器,我要用什麼指令?我接下來要用什麼子產品?類似這些問題就會在的腦海裡迸發,可以說是徹底蒙蔽的狀态。
Empire也一樣,是以我就決定再寫一篇Empire的文章,在域滲透中的使用。這并不是真的域環境,通常在滲透測試中碰到的域環境肯定比我在本地測試的域環境要複雜的多。我并不是專業的運維人員,單單搭建就弄了一個早上,我主要目的是盡量多的給大家介紹Empire的功能子產品,讓大家盡量多的了解Empire,以至于不會在真正的測試環境中蒙蔽,當然這麼大的工具不是簡簡單單可以說請的,還需要大家共同的摸索。
0x02 域環境結構
所在域:tt.smiletest.com
域控:windows server 2012 ip:10.10.10.10
域内其他成員:
Windows 7 x32 ip:10.10.10.11
Windows 7 x64 ip:10.10.10.12
Windows 10 x64 ip:10.10.10.13
域環境結構圖:(求妹子畫得- -!)
0x03 撸起袖子幹
首先得拿到一個shell,當然這個shell怎麼來的就看大家自行發揮了,你可以在webshell裡直接執行用Empire生成的直接傳回會話的shellcode,我也推薦這方法,别問我為啥,因為免殺,而且不會在對方機機器上産生什麼明顯的痕迹;當然你也可以上傳Metasploit的反彈馬,然後在shell下執行這條語句;你還可以在讓伺服器管理者幫你執行!
哈哈,開玩笑,這種方法不存在,總之方法很多了,大家自由發揮,我直接托代碼進去執行了。
拿到一個指令行之後,看看域環境内的主機數量以及看看有幾個域
執行指令:
這裡有一個地方需要注意的,再上一篇文章中說過,執行的如果不是Empire的指令,那麼這條指令會被解析為windows指令,但是當執行的指令有空格,就必須要用shell去執行。
接下來要做什麼?當然是提權了,當不知道用什麼方法來提權的時候,可以使用一個子產品來檢測系統,讓它告訴你應該用什麼辦法:
看看設定,什麼都不用做,直接執行,它會給傳回我們想要的
可以看到,它列出了很多方法,可以直接bypassuac來提權,來吧執行一下,bypassuac 監聽名
稍等幾秒鐘,就會傳回一個更高權限的shell。
如果你還想要更的權限,可以使用一個子產品提升到系統權限
使用計劃任務來幫我提升到系統權限
看看資訊:
需要做的隻是設定時間而已然後執行
現在要做的事情就是等了,等時間到了傳回具有更高權限的shell
更進階的權限已經回來了,這個時候,首先得知道内網中到底有幾台機器,還有就是他們的ip,要不怎麼繼續盡享下去囊?那種小事情則麼可能是Empire子產品不自帶的事情囊?可以尋找一下子產品
立馬,Empire就回顯了,并且提示了它的用處
設定一下要掃描的網段
執行就好了
掃描速度還是很快的,既然已經有權限了,那可以執行mimikatz來拿到目前靶機的帳号密碼了,mimikatz的執行效果就不給了,等mimikatz執行完成以後直接creds來看Empire列舉好的密碼就好了。
發現還有域使用者在這台機器上登入了,密碼已明文的形式顯示出來了,可以看到有4個使用者密碼出來了(尼瑪,域管都讀出來了,環境沒配好,假裝沒有 ^_^!),知道誰登陸了,也有權限了,那自然可以竊取身份使用者了嗎!然後進行橫向移動,來吧,先身份竊取吧,使用pth <ID>這裡的ID号就添上面的用creds 指令拿到的CredID,注意,這裡必須要是hash的CredID,不可以是明文的,來竊取smilewin7x64身份令牌
可以看到這個使用者的程序号,
steal_token PID
就可以竊取身份令牌了,可是這裡我就日了狗了,指令就是沒回顯,完全是突發情況,沒辦法,給大家換一個思路,是使用程序注入子產品,來擷取權限
需要設定的就是ProcID 和 Listener就好了
設定好後執行,會傳回一個新的會話
###你們想知道剛剛發生了什麼嗎?機器螢幕黑了一下,然後虛拟機去外加終端全部關掉了。有錘子麼?還好我的檔案随手儲存,因為我曾經寫500多行的代碼沒有儲存,學機靈的,是以,大家也要養成随手ctrl+s…..題外話,我去整環境,重新來,唉。。
因為網絡斷掉,剛剛的資料有緩存,是以PID程序号碼不對,大家可以清理一下緩存,重新執行,我的話懶,介紹新方法:
資訊什麼都不需要設定,直接執行
然後方法一樣,程序注入
哈哈,成功拿到會話後,加下來做什麼?當然是橫向移動了,看看能不能用這個使用者名拿到其他的機器。當然了,在滲透過程中直接模拟域管就好了,我這是為了跟大家示範,大家不要向我學習,這麼傻的做無用功啊 ^_^!
其實這裡我是知道可以登入哪裡的機器的,但是想要尋找域管在哪裡登入的,然後橫向移動進去,竊取域管權限,不就可以拿到整個域了,我在這裡提一下要怎麼尋找域管在哪裡登入的,使用子產品
也是powerview的子產品,大家肯定都用過,看看需要設定什麼
其實什麼也不用設定,可以直接執行的,看一下這個設定吧,可以定向尋找一些東西,比如說你知道域管使用者,那你可以設定一下的,還有計算機名,在這裡直接執行,傳回了域管登入在TTWIN7X64.tt.smiletest.com這台機器上,還有在這台機器上登入了smilewin7x64這個使用者,哈~剛剛已經竊取到了權限,來吧,域管
來橫向移動
查找整個域中全部的計算機名(實際上是powerview中的方法了)
什麼都不需要設定,直接執行
傳回了全部的機器名,
一樣,看看需要設定的東西
設定機器名和監聽就行,開撸
執行
成功,而且是系統權限,那用相同的辦法,程序注入進而得到域使用者權限
過程略過
直接到擷取到域使用者kzhl權限
直接讀密碼了。滲透過程中可能讀不到,你都有域管權限了,讀不到怕啥??
拿到了域管的密碼,做什麼?當然是迅速擴張了!
0x04 遷移程序到MSF實作smb迅速擴張
使用子產品
設定方法如下
在Metasploit設定監聽
(用Empire用了一晚上,在重返Metasploit,我是誰?我要幹嘛?指令怎麼寫?子產品是什麼?)
這裡注意了,設定的payload必須是http或https的
成功傳回會話,接下來使用msf進行内網迅速擴張
恭喜我,撸穿了整個域。。。
0x05 收獲到的一些神奇的想法
我并沒有去測試這些方法的可行性,隻是異想天開的在腦海裡呈現的一些思路。
1.當我們拿到webshell的時候,苦惱在目标機上的殺軟,無法繞過,可以使用webshell去執行Empire的payload,他直接執行在記憶體中,殺軟是沒有任何效果的,親測可行,之後在使用Empire的子產品将其反彈會Metasploit,實作了免殺的過程。
2.大家都知道,在Metasploit下的代理是很容易就可以設定的,但是Empire下則不然,很麻煩的一個東西,如果對方有殺軟,可以使用第一個小思路繞過之後,在通過Metasploit添加代理,然後在配置proxychains,使用proxychainx來幫助Empire殺入内網,當然你也可以使用其他的工具,大家如果對代理的使用不是很了解的話,可以參見shutter老哥的一篇文章。
0x06 總結在最後
全文的邏輯和問題比較多,但是基本上給大家比較全面的介紹了Empire這款神器在真正滲透過程中的使用,我想通過這篇文章大家肯定對Empire有一個比較全面的了解,他牛的地方就用它,他弱的地方,用其他的工具輔助他。總之,工具是死的,人是活得。
哎呦,寫這篇文章我表示我真的好辛苦,在滲透過程中碰到了很多問題,不過基本都是環境配置的問題,畢竟我不是運維,不過好在我成功的寫完了全文。馬達,剛剛從公司回來的發現煙沒有了,現在終于寫完了這篇文章,趕緊下樓買包煙冷靜一下,這好幾點的也不知道還有便利店開門,你們懂幹活時候沒有煙的痛苦麼??感覺思路都被限制了!我相信你們懂我 ^_^
大家如果還對Empire有什麼問題可以加這個群(617086434)問我,當然也可以進行其他的技術交流了,隻要你願意來。
原文釋出時間為:2017年5月15日
本文作者:smileTT
本文來自雲栖社群合作夥伴嘶吼,了解相關資訊可以關注嘶吼網站。
<a href="http://www.4hou.com/technology/4704.html" target="_blank">原文連結</a>