PowerShell滲透–Empire(二)
- 2019 年 10 月 25 日
- 筆記
許可權提升
- Bypass UAC
- usemodule powershell/privesc/bypassuac
- 設置listener
- execute
- list查看
- usemodule powershell/private/bypassuac_wscript (win7)
當運行完提權模組後,back返回agents查看,多了一個提權成功帶(*)號的agents
usemodule powershell/private/bypassuac_wscript(win7)
該模組的原理是使用c:windowswscript.exe 執行payload,即繞過UAC實現管理員許可權執行payload,只適用於win7系統,目前尚沒有修補程式,部分殺軟會有提示。
- PowerUp
- AllChecks
- usemodule powershell/privesc/powerup/allchecksàexecute
- GPP
- usemodule powershell/private/gpp
Empire內置了PowerUp的部分工具,主要有windows系統錯誤配置漏洞,windows Services漏洞、AlwaysInstallElevated漏洞等8種提權方式,
usemodule powershell/privesc/powerup/ <tab> <tab> # 查看所有powerup模組
AllChecks模組
查看系統中的漏洞,使用方法和Powersploit下powerup的Invoke-AllChecks模組一樣,
該模組可以執行所有腳本檢測系統漏洞,
usemodule powershell/privesc/powerup/allchecks
set Agent pc2
execute
當進入一個普通用戶許可權的session,使用bypassuac <Listener Name>進行提權。
提取完成後agents下會多出一個已經提權成功帶(*)的session。
AllChecks模組的應用對象如下:
任何沒有引號的服務路徑
任何ACL配置錯誤的服務(可通過service_*利用)
服務可執行文件上的任何設置不當的許可權(可通過service_exe_*進行利用)
任何剩餘的unattend.xml文件。
設置AlwaysInstallElevated註冊表項。
如果有任何Autologon憑證留在註冊表中。
任何加密的web.config字元串和應用程式池密碼。
對於任何%PATH%.DLL的劫持機會(可通過write_dllhijacker利用)。
具體使用方法參見如下文章:
Metasploit、powershell之Windows錯誤系統配置漏洞實戰提權
metasploit之Windows Services漏洞提權實戰
Metasploit、Powershell之AlwaysInstallElevated提權實戰
GPP
在域里常會啟用組策略首選項來更改本地密碼,用於管理和部署映像,其缺點是任何普通用戶都可以從相關域控制器的SYSVOL中讀取部署資訊。GPP是採用AES256加密的,輸入use powershell/privesc/gpp命令查看。
橫向滲透
1.令牌竊取
在獲取伺服器許可權後,可以使用Empire內置的mimikatz獲取系統密碼,執行完畢後輸入creds命令即可查看mimikatz列舉出的密碼。
先使用域管理員賬戶登錄域內靶機,
偽造憑證的前提是 域用戶曾在此伺服器上登錄過
若使用域管理員賬戶訪問域內某台機器出現“此工作站和主域間信任關係失敗”報錯提示,可以先退出域,重啟電腦,再重新加入域即可解決。
可以看到域用戶曾在此伺服器上登錄過,此時可以竊取域用戶身份憑證,然後進行橫向移動,
首先要竊取域用戶憑證,使用pth <ID> 命令,這裡的 ID 號就是 creds下的CredID,這裡竊取administrator的身份令牌,執行pth 4命令。
從上圖可以看到PID進程號為800,使用 steal_token PID 命令即可該身份令牌。
使用ps命令查看是否有域用戶進程,可以看到存在域用戶的進程。
這裡我們選擇同一個 Name 為 cmd,PID 為 2176 的進程。
同樣我們使用steale_token 命令來竊取這個令牌,這裡我們可以嘗試訪問域內另一台主機WIN-PC1的c$.
shell dir \WIN-PC1c$
輸入 revtoself 命令可以將令牌許可權恢復到原來的狀態。
