Empire使用
①Empire简单介绍
Empire是一个纯粹的PowerShell开发后代理,基于加密安全的通信和灵活的体系结构构建。Empire实现了运行PowerShell代理的功能,而无需powershell.exe,从关键记录器到Mimikatz的可快速部署的利用后模块,以及适应性强的通信以逃避网络检测,所有这些都封装在以可用性为重点的框架中。它于2015年在BSidesLV上首次亮相。【与Metasploit相似的一款软件,在Kali当中就需要自行下载】
PowerShell比cmd的功能更强大一点:(Windows7上的PowerShell)
②Kali安装Empire工具
法一、powershell-empire
1、更新软件库(可以提升下边的下载速度)
2、安装empire
3、打开服务端
4、开启客户端
(这里需要再开一个kali的窗口进行客户端的连接,会自动连接上本机的服务端)
效果图
法二、github
在法一安装不成功情况下使用(比较麻烦):
补充:
③监听
1、打开监听模块
2、设置参数
这里的name表示就是MSF的session数字的意思
3、执行监听
查看当前的监听:
④生成stager(MSF的payload)并建立连接
1、使用模块
2、设置参数
3、执行
这里可以发现test.bat生成在/var/lib/powershell-empire/empire/client/generated-stagers/test.bat目录下
4、下载
将生成好的文件复制到阿帕奇服务的目录上用于Windows端下载
5、Windows7端下载到桌面上并运行
6、结果
可能是这里使用版本太新了(哦不对,该文件执行完之后自己把自己删除了,哈哈哈笑死我了--在options中可以进行设置),导致无法成功植入木马,监听没有建立起来。但是过程是没错的,可以换一个模块进行操作。
【换一个模块操作:】
Ⅰ设置、查看监听:
Ⅱ选择模块:
Ⅲ设置参数:
这里不在设置其余参数,就设置了必要参数
Ⅳ执行,生成木马:
这里不设置输出文件,那么这就会直接输出木马代码:
Ⅴ植入木马:
这里直接使用暴力手段将这串代码搞到Windows7当中,并设置成.htc后缀:
Ⅵ运行木马,成功建立连接:
双击运行.hta文件,这是empire已经成功建立连接,并查看会话:
(使用empire的好处就是这里建立一次的监听会一直存在/打开的,不会因为关闭窗口咋的断开监听,与MSF的持久化监听类似)
⑤使用empire得到的会话窗口进行命令操作
通过agents查看到的会话名字进入(MSF是通过数字进入,empire是通过名字进入)
1、通过名称进入会话:
2、查看主机信息:
3、调用计算器:
4、截屏:
右边是服务器端的信息
5、进入Windows的命令行:
6、help命令查看可使用的其他命令
7、其余命令(interact(shell)命令):
⑥提权
法一:Empire提权
通过help命令查询:
(通过bypassuac可以进行提权)
agents查看下:
进入(有管理员权限啦):
法二、将会话迁移到MSF中提权
使用MSF的模块进行提权更方便哦
⑦Empire会话迁移
原理:将Empire上得到的会话,通过web上的http协议转到MSF会话上的过程
前提:在Empire上得到会话:
操作:
1、打开web站点的接收监听器
2、查看所需参数,并设置参数、运行
这里的URIPATH选择使用根目录"/",因为这边的根目录是给Empire迁移到MSF上会话使用的,使用根目录方便调用一点
设置Powershell目标
运行
3、Empire使用模块,并设置参数并执行
设置Agent、URL参数(根据msf生成的url去设置)
Agent设置成没有提权的。假如说将提完权的会话迁移到MSF当中的话直接在MSF中getsystem提权即可。
执行
4、MSF上查看报文
通过MSF回显的报文可以发现我们的Empire的会话迁移到了MSF上
并且我们设置了meterpreter的会话,可以使用这里面的所有命令(就避免了Empire上好多命令无法使用的情况)
到这里发现是普通权限的,那么我们就可以用meterpreter当中的模块进行提权,可以避免使用Empire提权的麻烦。
⑧持久化模块
Empire的持久化模块都不是很好用,不建议使用。