Empire后滲透神器（類似msf）

0x01簡介

empire 是一個針對內網針對域控的一個滲透測試框架，和 msf 類似。生成的木馬基於powershell，能夠具有一定的免殺效果。

empire 包含三個部分，一個是 modules 即自身的一些模塊，一個是 listernes 即監聽類似 msf 的 exploit/multi/handler 模塊，一個是 agents 即已經鏈接上的會話類似 msf 存的 session。

0x02 安裝

git clone https://github.com/EmpireProject/Empire.git
cd /Empire/setup/
./install.sh
或者
wget https://raw.githubusercontent.com/backlion/demo/master/Empire-master.zip 
unzip Empire-master.zip
cd Empire-master 
cd setup/ 
./install.sh

進入empire目錄，執行empire就可以啟動了：./empire

啟動測試：

0x03 簡單的使用

empire大致的使用流程：

• empire需要先建立一個監聽，類似於msf的hander模塊；
• 然后生成一個后門，放在目標機上執行；
• 監聽模塊將獲取到反彈過來的一個會話agents，類似於msf上的session；
• 然后就可以通過empire獨帶的shell管理終端agent commands來對shell進行命令執行，類似於msf的meterpreter；
• 然后可以使用攻擊empire的攻擊模塊（modules ），usemodule 來使用模塊，searchmodule用來搜索模塊，類似於msf的use和search命令。

0x04 創建監聽

輸入 listeners 命令進入監聽模塊，進入后需要使用監聽種類，輸入 uselistener 加空格然后兩下 tab 可列出所有的可使用監聽類，這里我們使用 http；

然后輸入info看需要設置哪些信息(類似於msf的show options)：

 

 這些true是需要設置的，但是很多有默認，那種像ip端口需要更改的就 set來更改，和msf的set一樣；

我們這里設置一下name，host和port監聽端口，host為接收會話的地址，也就是本機的ip，注意監聽的端口要一樣：

 可以通過info再看設置成功沒有，然后使用execute命令執行開啟監聽，類似於msf的run。

 

back可退出到上一級，到 listeners模塊下用list來查看開啟的監聽：

 

 kill來進行關閉一個監聽，比如關閉test: kill test

0x05 生成后門文件

在監聽listeners中使用 usestager命令來選擇要生成的后門，usestager 跟空格然后兩下tab即可查看后門的類型：

 

 multi 開頭的是通用類，其他的對應的是不同的操作系統，我們這里選擇windows的bat吧，方便執行；

然后通過info來引導設置一些參數，execute運行起來：

 

 這里只需要設置一下監聽器的名字，可list查看，就是我們剛剛配置的監聽器的Name.

 

 然后back到listeners

生成的后門在 /tmp/launcher.bat 中，將其上傳或下載到目標windows機器上運行：

0x06 獲取連接會話

windows上運行我們的bat后，empire馬上接收到了一個會話：

 

 並且windows上的那個bat執行了一次自動會刪除。我們back返回到empire主界面，進入agents管理會話：

 可看到有一個會話agent可供我們管理：

rename TNB2L3DC win7pro  #更改會話名稱，也可以不改
interact win7pro  #進入終端與會話交互

我們直接使用interact命令加會話名進入會話終端，我這里沒更改會話名，就用默認的：

 

 help或者help agentcmds命令可查看這個終端可直接執行哪些命令：

 

執行一個sc命令查看屏幕截圖：

圖片保存在Empire目錄下的上面的路徑。

要執行windows的cmd命令可以用 shell 加要執行的cmd命令：

0x07 使用內置模塊

我們可以直接在會話終端里使用模塊，usemodule 跟模塊名。

1、收集主機信息模塊

使用 usemodule powershell/situational_awareness/host/winenum模塊用於收集主機信息：

 

 info查看了一下，不用設置什么，直接execute:

 

等后台一直運行將信息收集完整，可以收集到特別對的主機信息。 

如果有管理員權限，可以使用powershell/situational_awareness/host/computerdetails模塊，它幾乎包含了系統中所有有用的信息。

2、定位域管理員模塊

powershell/situational_awareness/network/powerview/user_hunter模塊用於在域中定位域管理員，查找域管理員登錄的機器。

 

 它不需要管理員權限即可運行，直接執行execute:

 

 由於我的域環境沒有讓域管登錄其他機子，因此沒有找到機子。

 

empire的監聽器和會話agens是不容易斷的，只要你不kill，就是當你退出empire控制端，或者直接關掉xshell，當你下次進入到./empire的時候這些監聽器和會話都還在，就不用重復配置了。當然后門進程斷了的話那就不行 了。

參考：https://www.secpulse.com/archives/73766.html

           https://www.cnblogs.com/KevinGeorge/p/10541557.html