Empire——一款强大的后渗透测试神器

0x01 Empire 介绍

Empire 是一个纯粹的 PowerShell 后开发代理建立在密码安全的通信和灵活的架构。Empire实现了无需 powershell.exe 即可运行 PowerShell代理的功能，从键盘记录器到 Mimikatz 等快速部署的后期开发模块，以及适应性通信以逃避网络检测，所有这些都包含在以可用性为中心的框架中。它在 2015年在 BSidesLV首播。

0x02 安装

git clone https://github.com/EmpireProject/Empire.git

Cd Empire/setup

./install.sh

./empire

启动成功。

0x03 模块介绍

Listeners-------------------监听模块

Stagers---------------------- dlls, macros, one-liners 等。

Agents-----------------------代理模块

我们看看 help 中的描述。

进入 Empire 中，首先要进入 listeners 模块。

Uselistenr http

Set Name ilab

Execute

创建一个 listener。

然后我们利用是 usestager，来搞事情！这个模块可生成 Linux、mac os、windows 的多种木马，用于反弹 shell。

我这里选用 windows/launcher_lnk。

在攻击上运行 link 文件，然后就会创建一个 agent,Empire 中的 agent 和 Metaslpoit 中 seeion类似。

接下来使用 agents 进入 agents 菜单。

Interact agents 名称进入对应创建的 agents。

为了方便记忆可以 rename。

来看看这个 Empire 到底能做什么东西？

其实我最关注的是 bypassuac（提权模块）、dowanload 下载文件、mimikatz 获取 hash、upload上传文件、usemodule 使用 powershell moudle（类似于 metasploit 的 exp 中的 rb 文件，很强大）、shell command 执行 cmd 命令。 injectshellcode 注入某些进程 shellcode。

首先提权 bypassuac agents 名，创建 agnet 说明提权成功。

提权成功的 agent 都带有*号。

输入mimikatz

0x04 用户信息收集

通过提权后使用 mimikatz，得到用户信息和域信息。

使用 creds 命令可以得到用户的一些凭证。

如果你想要过滤结果也可以使用 creds AC2 来过滤信息

我们已经知道有个 AC$这个用户。Empire 中的 get_user 可以提供枚举用户。可以看一下这个get_user。

使用 arpscan 模块扫描整个网段

发现只有两台机子存在 192.168.180.128 和 192.168.180.130。

进程注入 ps cmd 获取 cmd 的 pid

Pth 2 来获取 uid。

窃取身份令牌。Seteal_token 2968

获取登录过的账号。

Ps 查看进程，找到对应提权的服务的 id。使用 managemnet/psinject

获取到简单的信息之后我们要通过 IP 地址判断域控，如果域控登录过我们所控制的电脑，那么继续采用上面的提权方法，采用进程注入获取域控权限。如果没有登录过，那么我们可以使用 msf 联动，获取域控信息采用最新漏洞或者其他方法来获取域控权限，最后进行横向移动。