とある親父の侵入実験【Empire:帝国の力 後編】
ここで取り上げる検証等を実施する際は、全て自分の管理している環境で検証してください。使い方、実施場所を誤ると法に触れて罰せられます。
とりあえず続きします。
前回までに、Empireで作成したbatファイルをWindowsに渡して起動。見事にリバース接続が成功した状態で終わりました。
こんな感じで、相手の情報がほぼほぼ丸見え。usernameからhostname、OSもわかってたw
次は、この端末のパスワードを奪取しようと思います。Windowsのパスワードを取ると行ったらmimikatz。このツールが有名であって尚且つ、このEmpireとの相性がいい(俺の勝手な想像w)というわけでパスワードの奪取までやってみよう!
5 パスワード奪取
上図の状態でmimikazを実行するモジュールを選択する。
(Empire: TPESSRK3BLUPTA4G) > usemodule credentials/mimikatz/logonpasswords
(Empire: credentials/mimikatz/logonpasswords) > info
mimikazのlogonpasswordを割り出すモジュールを呼び出したところ。今回は、特に設定を変えることなくこのまま実行
見事にエラー!!
このモジュールを動かすには、高い権限がいるっぽい(適当な意訳)
ってことでUACをbypassしてみる。
(Empire: credentials/mimikatz/logonpasswords) > usemodule privesc/bypassuac
ここではリスナーの指定が必須項目なのでリスナーを指定して実行。
(Empire: privesc/bypassuac) > set Listener test
(Empire: privesc/bypassuac) > execute
[>] Module is not opsec safe, run? [y/N] y
実行するとJobが始まって・・・
新エージェントが追加される。
このエージェントを確認すると
2段目に新しく追加されているのが確認できる。そして、Usernameを見てみると新しく追加された方には「*」が付加されているのが確認できる。そこで、今度は新しいエージェントにインタラクトしてみる。
(Empire: agents) > interact EBGZFMZ4EVCTBBSA
同じ端末であることは確認できるのだが一番下の項目「high_integrity」をみると0から1に変更されている。この状態で先ほど失敗したmimikazのモジュールを実行してみる。
(Empire: EBGZFMZ4EVCTBBSA) > usemodule credentials/mimikatz/logonpasswords
(Empire: credentials/mimikatz/logonpasswords) > execute
しばらくするとJobが始まって・・・
見事に取れましたw
Username : Victim
Password : password
6 結論
このEmpireはMetasploitに取って代わるツールではないけど、個人を狙った標的型攻撃では、とても便利なツールが用意されていて「標的型攻撃演習」というシナリオではとても便利そう。でも、使い方を間違えるととても危険なツールであることには間違いないと思った。今後もこのEmpireを使った攻撃シナリオについて検証してみたい。