初探域滲透神器Empire
0x01奇怪的開始
我趁手機不注意,把它自由落體了,好在屏幕沒裂開,只不過是斷觸了,要不對於已經窮瘋了的我無疑又是一筆經濟負擔。好在手機還在保修期內,可以送過去修,但是我去的時間點不對。售後說要下班了,手機要明天才能修,我也沒多說什麼,手機留下就回來了。晚上,蹲廁所,叼著煙對著手紙發獃,心想:「我擦,我484傻,明天還要去拿了,我幹嘛不明天再去修?」
翻著各大論壇,看到了Empire的關鍵字,沒看明白他到底在幹嘛。但是早聽大佬說過他們用Empire的光輝事迹,趁手機不再,研究下此神器
0x02 Empire簡介
一說內網,我們基本都是在第一時間想到Metasploit,因為有Metasploit這麼強大的存在我們很少能注意到別的工具。Metasploit的牛逼之處在於他不管是信息收集,滲透,後滲透,木馬,社工,你能想到的他基本都可以做到,殺人越貨必備啊。但是Empire就是針對內網滲透,針對Powershell,我們在內網滲透中肯能用到的powershell腳本,全部都在Empire的框架中了,更是域滲透神器!但是關於Empire的資料,國內真的是少的可憐,就那麼幾篇。做安全,不得不佩服國外的大牛們!
0x03 Empire基本用法
下載什麼的我就不廢話了,github上克隆回來運行install.sh就好
Github:EmpireProject/Empire
不喜歡用命令的同學可以去安裝一個GUI界面的,也是國外大牛用php寫的一個web界面
Github:interference-security/empire-web
大家自行安裝吧~~
先來看看Empire的界面是什麼樣子的,看起來跟Metasploit感覺是一樣的~ 高大上
我們可以很清楚的看到有180個模塊,0個監聽,0個代理
Agents用谷歌翻譯出來是代理的意思,我們把它理解成會話就行跟Metasploit一樣session。
我們首先要創建一個監聽,就跟Metaploit創建一個監聽載荷一個意思
在命令行里輸入Listener就可以進入監聽
Options / info 查看需要設置的選項info也是可以的,
我們只需要設置簡單的Host就可以了,當然如果想修改名字的話也可以
Set host http://你的ip:埠 設置HostnSet name smiletest 設置當前監聽的名字nExecute 執行 run也可以n
Empire可以生成14種類型的木馬
我們選擇dll(是不是有人又想到NSA的漏洞了- -,當然也可以,自由發揮吧)
Usestager dlln
會生成在/tmp/launcher.dll中了
Set Listener smiltestnExecuten
BacknLauncher smiltestn
直接生成powershell命令,當執行這命令的時候會給我們回彈一個shell
直接拖到虛擬機里去執行,真正的滲透環境中,直接在webshell里執行就好,但前提是目標機器必須有powershell
當我們執行後,命令行窗口一閃而過,接不到圖,但是在我本機下已經反彈了一個會話,可以查看我們的會話列表
agentsn
interact EZUGW142B4KDFBVSn
這個名字是Empire給我們生成的名字,看著這個名字感覺太長了,以後用起來感覺麻煩,我們可以修改這個名字
rename 原來的名字 修改的名字n
可以看到很多的命令,一點都不比Metasploit弱
在這裡輸入的命令如果不是這裡面的命令的話,我們的命令會被解析為windows命令執行,並給回顯。但是這裡要注意了,你每寫完一道命令敲下回車以後,不要感覺是沒有回顯,要稍等一下才會回顯出來
比如說,我寫一道ipconfig命令,並不再這個列表中,那麼我們會在靶機執行這道命令,如圖:
再來看看他的命令
Agents 和 back 這兩個命令在我們現在的情況來看是差不多的
Back 是返回上級,而我們的上級是agents,當寫agents的時候,也會回到agents文件
Bypassuac 是提權神級命令,敲完命令就提權
這裡返回了一個新的繪畫,區別就是在USERBANE前加了星號
有了這個*就代表已經提權成功了,我們先用沒有星號的執行mimikatz
它會給出如下提示
用有星號的試一試
已經讀取成功了,Empire有個很方便的地方,就是,我們不需要在mimikatz的回顯中去尋找密碼,他已經幫我們列舉好了,我們只需要執行creds命令,密碼就出來了。
從這裡便可竊取身份令牌
不過當然也有bypassuac不能直接提權的情況了,我們後續再說
Sc命令 截圖一張
Download 下載文件
用法:download [path]
Upload 當然就是上傳咯
用法:upload 文件 靶機路徑
Usemoudle 使用模塊,這才是最有用的地方。先來個惡作劇把,在靶機上彈窗,提示 「I am hacker」
usemodule trollsploit/messagen
靶機上的提示
這就完成了一次惡作劇
0x04 躺在床上的總結
大致學習了一下,感受到了Empire的強大之處,絲毫不弱與Metasploit他就是針對powershell的內網滲透工具,雖然沒有Metasploit那麼強大的各種平台都能打,但是單單針對windows,以及域滲透的強大之處是Metasploit不能比的。而且他還跟Metasploit一樣,有強大的介面,以便於我們寫我們自己的payload。絕對是一款不可多得的神兵利器!
想更深入了解Empire,請期待我的下一篇文章–《Empire域滲透實戰》
本文為 smileTT 原創稿件,授權嘶吼獨家發布,未經許可禁止轉載,如若轉載,請聯繫嘶吼編輯:t初探域滲透神器Empire 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※如何處理格式為ACE的惡意軟體文件?
※厚客戶端滲透測試實戰(三)
※範例二:報價帶判讀術——針對大牛股的範例
※Active Directory攻防實驗室環境搭建教程(一)