帝国ドメイン侵入アーティファクト

インストール

gitコマンドのダウンロード

git clone https://github.com/EmpireProject/Empire.git

次に、セットアップディレクトリに入り、Empireをインストールします

cd Empire
cd setup
sudo ./install.sh

しかし、エラーが発生します

Traceback (most recent call last):
  File "./empire", line 13, in <module>
    from lib.common import empire, helpers
  File "/root/Empire/lib/common/__init__.py", line 8, in <module>
    import helpers
  File "/root/Empire/lib/common/helpers.py", line 50, in <module>
    import iptools
ImportError: No module named iptools

不足しているパッケージがいくつかあります。ダウンロードしてください。

pip install iptools
pip install pydispatch
pip install netifaces
pip install pydispatcher
pip install zlib_wrapper
pip install xlrd
pip install macholib
pip install xlutils
pip install pyminifier
pip install dropbox

インストール後にリセットするだけです

cd setup/
sudo ./reset.sh

ヘルプドキュメント

モニターを設定する

EmpireとMeterpreterは同じ原則を使用します。最初にリスナーを設定し、次にトロイの木馬を生成し、次にターゲットホストでトロイの木馬を実行すると、リスナーは跳ね返るエージェントに接続します。

listenersコマンドを使用してモニタリングスレッドインターフェイスに入り、userlistenerを入力してモードを設定し、userlistener + spaceを入力してから、Tabキーをダブルクリックして、モードの合計があることを確認します。

ここでは、httpモニタリングモードを使用して、情報を入力します。特定のパラメータ設定を表示するに

は、setコマンドを使用して対応するパラメータを設定し、executeコマンドを

使用してリスニングを開始します。listコマンドを使用して現在アクティブなリスナーを一覧表示します

。killコマンドを使用してリスナーを削除します。

複数のリスナーがある場合が有効になっている場合は、異なる名前と異なるポートを使用する必要があります。

トロイの木馬を生成する

監視を設定した後、トロイの木馬が生成され、ターゲットマシンで実行されます。MetasploitのPayloadとEmpireには複数のモジュラーステージャーがあり、usestagerと入力して使用するモジュールを設定していることがわかります。同様に、Tabキーをダブルクリックすると、合計26個のモジュールが表示されます。

1. DLLトロイの木馬

usestager windows/dll

infoコマンドを入力して、詳細なパラメータを表示します。パラメータを設定し、executeコマンドを実行すると、launch.dllという名前のトロイの木馬がtmpディレクトリに生成されます。起動がターゲットホストで実行されると、正常にオンラインになります

2 。
シンプルが必要な場合のランチャー対応するモジュールを設定した後、リスナーメニューに直接入力するlauncher<language><listenerName>と、base64エンコーディングコードの行がすぐに生成されます。ここで、backコマンドを入力してリスナーに戻り、次のように入力します。 launch powershell test（現在設定されているリスナー名）コマンドペイロードを生成してから、

PowerShellを使用してターゲットマシンで生成されたコマンドを実行するには、このホストのアクセス許可を取得します
。2つのホストがすでにオンラインになっていることがわかります。

エージェントを入力してください。オンラインホストの特定のコンテンツを表示
するには、名前の変更を使用して名前を変更します

3. launch_vbsトロイの木馬
   、その後の下では、リスナーの監視、usestager窓/ launcher_vbsを入力して、詳細なパラメータを表示するには、infoコマンドを入力し、終了は。
   
   そして、リスナーのパラメータを設定します。デフォルトでは、launcher.vbsは、/ tmpディレクトリに生成されます。
   
   最後に、backコマンドを入力し、リスナーに戻って監視を開始します。生成されたlauncher.vbsをターゲットマシンで開くと、このホストの許可が得られます。
   

4. launch_batトロイの木馬
   コマンドusestagerwindows / launcher_bat
   
   を使用して、デフォルトでtmpディレクトリにlauncher.batファイルを生成し、ターゲットマシンで実行すると、ホストの許可が得られます。
   

5. マクロトロイの木馬
   
   は、デフォルトでtmpディレクトリにマクロを生成します。次に、生成されたマクロをオフィスドキュメントに追加する必要があります。Word文書を開き、[表示]タブをクリックし、[マクロ]をクリックし、[マクロの表示]をクリックして、マクロに名前を付け、マクロ
   
   を作成します。[作成]をクリックすると、VB編集インターフェイスがポップアップ表示されます。元のファイルを削除します。コードと生成マクロをコピーして
   
   、ドキュメントを「Word 97-2003ドキュメント（* .doc）」ファイルとして保存します。ターゲットマシンでファイルを実行して、ホストの許可を取得します

ホストに接続して基本的に使用する

ターゲットホストが正常にバウンスした後、agentsコマンドは現在接続されているホストを表示でき、*が付いているものは昇格さ

れたホストです

。interactコマンドを使用してホストに接続します。helpagentcmdsと入力して、で使用可能な一般的なコマンドを確認します。使用。

いくつかのCMDコマンドを使用している場合、あなたはシェル+コマンドの形式を使用する必要があります。

同様にMetasploitの、credsをコマンド自動的にフィルタおよびソート取得したユーザのパスワード出し入れすることができます。

メッセージを収集する

帝国は主に浸透後のために使用されます。したがって、情報収集は一般的に使用されるモジュールです。searchmoduleコマンドを使用して、使用する必要のあるモジュールを検索できます。ここでは、コマンドusemodule collectionを使用してから、Tabキーを押して完全なリストを表示します。

1. スクリーンショット

2.キーロガー

現時点では、Empireのターゲットマシンにキーロガーが表示されています。

empire/downloads/<AgentName>次のファイルagent.logを自動的に生成します

3. クリップボードレコード
   
   実行後、クリップボードレコードが表示されます
   

4. 共有を見つける

usemodule situational_awareness/network/powerview/share_finder

5. ターゲットホストに関する情報を収集する

usemodule situational_awareness/host/winenum  

ローカルユーザー、ドメイングループのメンバー、パスワードの最終設定時刻、クリップボードの内容、基本的なシステム情報、ネットワークアダプター情報、共有情報などを表示できます。

usemodule situational_awareness/host/computerdetails

ターゲットホストイベントログ、RDPログイン情報を含むアプリケーション制御ポリシーログ、PowerShellスクリプトの実行と保存に関する情報など、システム内のほぼすべての有用な情報が列挙されます。

6. ARPスキャン

usemodule susemodule situational_awareness/network/arpscan

ここで、Rangeパラメータを設定する必要があります

7. DNS情報の取得
   内部ネットワークでは、内部ネットワーク構造を分析するために、すべてのマシンのホスト名と対応するIPアドレスを知ることが不可欠です。

usemodule situational_awareness/network/reverse_dns

usemodule situational_awareness/host/dnsserver #显示当前内网DNS服务器的IP地址

8. ドメイン管理ログインサーバーのIPを検索します
   。イントラネット内のサーバーのドメイン管理権限を取得するには、ドメイン管理がログインするマシンを検索し、水平方向に侵入してドメイン管理権限を盗む方法があります。 。ドメイン全体をダウンします。

usemodule situational_awareness/network/powerview/user_hunter

9. ローカル管理グループアクセスモジュール

 usemodule situational_awareness/network/powerview/find_localadmin_access

10.ドメインコントローラーを入手する

usemodule situational_awareness/network/powerview/get_domain_controller

特権の昇格

1. UAC
   
   をバイパスし、図のテストの権利をエスカレーションします

usemodule privesc/bypassuac

リスナーパラメータを設定して実行します。

新しいバウンスが正常に起動されたことがわかりました。エージェントに戻ると、アスタリスクが

高くなっている別のエージェントがあることがわかりました。2.bypassuac_wscript
の原則は次のとおりです。C：\ Windows \ wscript.exeを使用してペイロードを実行します。つまり、UACをバイパスして、管理者権限でペイロードを実装します。これは、Win7ターゲットホストにのみ適用できます。

usemodule privesc/bypassuac_wscript

1. PowerUp
   Empireには、主にWindowsシステムの設定ミスの脆弱性、Windowsサービスの脆弱性、AlwaysInstallElevatedの脆弱性、その他8つの特権昇格方法などのシステム特権昇格用のPowerUpツールが組み込まれています。usemoduleprivesc/ powerup /と入力し、Tabキーを押してPowerUpの完全なリストを表示します。 。
   

2. GPPを
   使用すると、ドメイン内のグループポリシー設定でローカルパスワードを変更できることがよくあります。これは、イメージの管理と展開に便利です。欠点は、通常のドメインユーザーが、関連するドメインコントローラーSYSVOLから展開情報を読み取ることができることです。GPPはAES256で暗号化されており、usemodule privesc/gppコマンドを入力して表示できます