初探域滲透神器Empire

0x01奇怪的開始

我趁手機不注意,把它自由落體了,好在屏幕沒裂開,只不過是斷觸了,要不對於已經窮瘋了的我無疑又是一筆經濟負擔。好在手機還在保修期內,可以送過去修,但是我去的時間點不對。售後說要下班了,手機要明天才能修,我也沒多說什麼,手機留下就回來了。晚上,蹲廁所,叼著煙對著手紙發獃,心想:「我擦,我484傻,明天還要去拿了,我幹嘛不明天再去修?」

翻著各大論壇,看到了Empire的關鍵字,沒看明白他到底在幹嘛。但是早聽大佬說過他們用Empire的光輝事迹,趁手機不再,研究下此神器

0x02 Empire簡介

一說內網,我們基本都是在第一時間想到Metasploit,因為有Metasploit這麼強大的存在我們很少能注意到別的工具。Metasploit的牛逼之處在於他不管是信息收集,滲透,後滲透,木馬,社工,你能想到的他基本都可以做到,殺人越貨必備啊。但是Empire就是針對內網滲透,針對Powershell,我們在內網滲透中肯能用到的powershell腳本,全部都在Empire的框架中了,更是域滲透神器!但是關於Empire的資料,國內真的是少的可憐,就那麼幾篇。做安全,不得不佩服國外的大牛們!

0x03 Empire基本用法

下載什麼的我就不廢話了,github上克隆回來運行install.sh就好

Github:EmpireProject/Empire

不喜歡用命令的同學可以去安裝一個GUI界面的,也是國外大牛用php寫的一個web界面

Github:interference-security/empire-web

大家自行安裝吧~~

先來看看Empire的界面是什麼樣子的,看起來跟Metasploit感覺是一樣的~ 高大上

我們可以很清楚的看到有180個模塊,0個監聽,0個代理

Agents用谷歌翻譯出來是代理的意思,我們把它理解成會話就行跟Metasploit一樣session。

我們首先要創建一個監聽,就跟Metaploit創建一個監聽載荷一個意思

在命令行里輸入Listener就可以進入監聽

Options / info 查看需要設置的選項info也是可以的,

我們只需要設置簡單的Host就可以了,當然如果想修改名字的話也可以

Set host http://你的ip:埠 設置HostnSet name smiletest 設置當前監聽的名字nExecute 執行 run也可以n

我們設置好了之後需要生成一個可以反彈的shellcode

Empire可以生成14種類型的木馬

我們選擇dll(是不是有人又想到NSA的漏洞了- -,當然也可以,自由發揮吧)

Usestager dlln

我們可以設置Listener,然後執行execute生成dll木馬

會生成在/tmp/launcher.dll中了

Set Listener smiltestnExecuten

我們也可以不生成dll文件

BacknLauncher smiltestn

直接生成powershell命令,當執行這命令的時候會給我們回彈一個shell

直接拖到虛擬機里去執行,真正的滲透環境中,直接在webshell里執行就好,但前提是目標機器必須有powershell

當我們執行後,命令行窗口一閃而過,接不到圖,但是在我本機下已經反彈了一個會話,可以查看我們的會話列表

agentsn

如果想選擇進入會話,在終端輸入

interact EZUGW142B4KDFBVSn

這個名字是Empire給我們生成的名字,看著這個名字感覺太長了,以後用起來感覺麻煩,我們可以修改這個名字

rename 原來的名字 修改的名字n

進入終端後輸入help看看我們可以做什麼

可以看到很多的命令,一點都不比Metasploit弱

在這裡輸入的命令如果不是這裡面的命令的話,我們的命令會被解析為windows命令執行,並給回顯。但是這裡要注意了,你每寫完一道命令敲下回車以後,不要感覺是沒有回顯,要稍等一下才會回顯出來

比如說,我寫一道ipconfig命令,並不再這個列表中,那麼我們會在靶機執行這道命令,如圖:

再來看看他的命令

Agents 和 back 這兩個命令在我們現在的情況來看是差不多的

Back 是返回上級,而我們的上級是agents,當寫agents的時候,也會回到agents文件

Bypassuac 是提權神級命令,敲完命令就提權

這裡返回了一個新的繪畫,區別就是在USERBANE前加了星號

有了這個*就代表已經提權成功了,我們先用沒有星號的執行mimikatz

它會給出如下提示

用有星號的試一試

已經讀取成功了,Empire有個很方便的地方,就是,我們不需要在mimikatz的回顯中去尋找密碼,他已經幫我們列舉好了,我們只需要執行creds命令,密碼就出來了。

從這裡便可竊取身份令牌

不過當然也有bypassuac不能直接提權的情況了,我們後續再說

Sc命令 截圖一張

Download 下載文件

用法:download [path]

Upload 當然就是上傳咯

用法:upload 文件 靶機路徑

Usemoudle 使用模塊,這才是最有用的地方。先來個惡作劇把,在靶機上彈窗,提示 「I am hacker」

usemodule trollsploit/messagen

靶機上的提示

這就完成了一次惡作劇

0x04 躺在床上的總結

大致學習了一下,感受到了Empire的強大之處,絲毫不弱與Metasploit他就是針對powershell的內網滲透工具,雖然沒有Metasploit那麼強大的各種平台都能打,但是單單針對windows,以及域滲透的強大之處是Metasploit不能比的。而且他還跟Metasploit一樣,有強大的介面,以便於我們寫我們自己的payload。絕對是一款不可多得的神兵利器!

想更深入了解Empire,請期待我的下一篇文章–《Empire域滲透實戰》

本文為 smileTT 原創稿件,授權嘶吼獨家發布,未經許可禁止轉載,如若轉載,請聯繫嘶吼編輯:t初探域滲透神器Empire 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

如何處理格式為ACE的惡意軟體文件?
厚客戶端滲透測試實戰(三)
範例二:報價帶判讀術——針對大牛股的範例
Active Directory攻防實驗室環境搭建教程(一)

TAG:技术分析 | 信息安全 |