網絡滲透帝國筆記

帝國

Empire是一款針對Windows平台的、使用Powershell腳本作為攻擊載荷的滲透攻擊架構工具，具有從stager生成、提權到滲透維持的一系列功能。Empire實作了無需powshell.exe就可運作Powershell代理的功能，還可以快速在後期部署漏洞利用子產品，其内置子產品有鍵盤記錄、Mimikatz、繞過UAC、内網掃描等，使用能夠躲避内網檢測和大部分安全防護工具的清除，簡單來說就有點類似Metasploit，是一個基于PowerShell的遠端控制木馬。

Empire運作在linux平台上

官方下載下傳位址，不過很久沒有更新，需要Python 2.6/2.7環境

https://github.com/EmpireProject/Empire

KALI示例：

git clone https://github.com/EmpireProject/Empire.git

然後安裝Empire的依賴，指令如下

cd Empire

cd setup

pip install -r requirements.txt（若沒有安裝pip庫，則需要先通過apt-get install pip進行安裝）

./install.sh

在安裝完依賴以後，傳回上一級檔案，啟動Empire工具，指令如下：

cd Empire

./empire

若啟動失敗，則可能是因為依賴未完全安裝好，隻需要手動通過pip install xxx安裝未安裝好的依賴即可。

啟動時如果遇到如下報錯

可以将urllib3版本降級

pip install urllib3==1.22

重新設定

bash reset.sh

基本使用會涉及如下内容：

1.幫助文檔

2.設定監聽

3.生成木馬

4.連接配接主機和基本使用

5.資訊收集

6.權限提升

幫助文檔

運作Empire後，輸入help指令檢視具體的使用幫助。

設定監聽步驟如下：

listeners #進入監聽線程界面

uselistener #設定監聽模式

info #檢視具體參數設定

set #設定相應參數

execute #開始監聽

輸入Listeners指令進入監聽界面，按TAB鍵可以補全指令，按兩次TAB鍵或者help可以顯示可以利用的子產品

輸入uselistener來設定采用何種監聽模式，輕按兩下TAB可以看到有以下可以使用的模式。

設定監聽

這裡采用http監聽模式，輸入uselistener http。

然後輸入info指令檢視具體參數設定。其中Require為True的值都需要被設定。

通過set配置參數，并提供execeute執行，需要注意的是Empire不同于Metasploit，Empire指令是區分大小寫的

通過back傳回上一級，使用listeners或者list可以檢視所設定的監聽器

生成木馬

輸入usestager後 空格加TAB鍵 檢視可以設定的木馬模式

木馬就類似Metasploit中的payload，其中multi為通用子產品，osx是Mac作業系統的子產品，剩下的是Windows的子產品。

我們以 windows/launcher_bat為例，給大家說下過程，其他的使用都類似

要使用launcher_bat，首先輸入usestager windows/launcher_bat，然後輸入info指令檢視詳細參數

通過set配置參數，我們需要設定一個 Listener 參數，即監聽的名字（前面我們給監聽起得一個名字test1），通過execeute執行，

檔案會生成到 tmp 目錄下，如下所示

在目标主機上運作生成的launcher.bat，輸入 agents 可以檢視已經獲得的會話

我們再介紹另一種生成木馬方式：launcher

如果隻需要簡單的powershell 代碼，在設定完相應的參數後，可直接在監聽器（listeners）中輸入指令 launcher <language> <Listener Name> 生成base64編碼的代碼

然後複制生成的payload 在目标機器上執行

可以看到有會話生成，輸入 agents 可以檢視已經獲得的會話

連接配接主機和基本使用

在目标主機反彈成功以後，可以通過agents指令列出目前已連接配接的主機，這裡要注意如果有帶有(*)的是已提權成功的主機。

然後使用interact指令連接配接主機，可以使用Tab鍵補全主機的名稱，連接配接成功以後可以通過rename修改會話名稱

可以通過help檢視可以使用的指令輸入help agentcmds可以檢視可供使用的常用指令輸入help agentcmds可以檢視可供使用的常用指令可以通過pwd檢視目前目錄upload可以上傳檔案，通過cat檢視檔案内容

使用某些CMD指令時，要使用“shell+指令的形式” ，如下

Empire主要用于後滲透。是以資訊收集是比較常用的一個子產品，可以使用searchmodule指令搜尋需要使用的子產品，這裡通過鍵如usemodule collection然後按Tab檢視完整的清單

1.螢幕截圖

輸入以下指令，然後執行即可

2.鍵盤記錄

輸入以下指令usemodule collection/keylogger，通過info可以檢視詳細資訊，execute執行

可以通過jobs kill JOB_name停止鍵盤記錄

3.ARP掃描

Empire也内置了ARP掃描子產品，輸入以下指令即可使用該子產品，這裡要設定Range參數

4.查找域管登陸伺服器IP

在内網滲透中，要想拿到内網中某台機器的域管權限，方法之一就是找到域管登入的機器，然後橫向滲透進去，竊取域管權限，進而拿下整個域，以下這個子產品就是用來查找域管登入的機器的。

使用子產品usemodule situational_awareness/network/powerview/user_hunter

如果想執行 windows 系統自帶的指令，可以通過 shell 加指令的格式，例如檢視目前 shell 的權限，我們輸入 shell whoami /groups，傳回了 medium 即非高權限，如下圖：

非高權限的話，很多指令使用會有限制，例如 mimikatz，是以下面需要提升權限，這裡我們使用 bypassuac，首先 empire 提供了很多使用子產品，這裡我們通過 usemodule 空格加兩下 tab 可檢視全部子產品，有二百多個，如下圖：

bypassuac 提權我們使用 usemodule privesc/bypassuac 這個子產品，然後 info 檢視其資訊，如下圖：

這裡我們需要設定的參數還是 Listener，即監聽的名稱，這裡是 test，如下圖：

設定後通過 execute 執行，成功後會傳回一個新的 shell，随後我們通過 agents 檢視已有的 shell，username 前帶 * 号的就是高權限已經提權成功的 shell。

這時 mimikatz 已可以使用，輸入 mimikatz 來擷取目标賬号密碼，如下

圖：

通過 mimikatz 擷取後，若在内網機器較多，為了檢視友善，我們可以通過 creds 指令來直接列出其密碼，如下圖：

通過 mimikatz 擷取後，若在内網機器較多，為了檢視友善，我們可以通過 creds 指令來直接列出其密碼，如下圖：