14、域滲透神器Empire安裝和簡單使用

1. Empire簡介

Empire is a pure PowerShell post-exploitation agent built on cryptologically-secure communications and a flexible architecture. Empire implements the ability to run PowerShell agents without needing powershell.exe, rapidly deployable post-exploitation modules ranging from key loggers to Mimikatz, and adaptable communications to evade network detection, all wrapped up in a usability-focused framework

關於內網滲透，我們平時基本第一時間想到Metasploit，集資訊收集，預滲透，滲透，後滲透，木馬，社會工程學於一體的平臺，但是Empire就是針對內網的滲透，針對powershell，在內網滲透能用到的powershell指令碼，全部整合在Empire框架中，其更是域滲透神器。網上關於其介紹的文章寥寥無幾，尤其2.0版本，操作和之前的1.6版本等不管是命令啥的都有很大的區別，在網上查了很多外文文獻，摸索了半天，在這裡做一個筆記，和大家共同進步。

Empire安裝

官網直接轉到github下載

git clone https://github.com/EmpireProject/Empire.git
cd Empire/
cd setup/
sudo ./install.sh
cd Empire/
cd setup/
./reset.sh

執行後的頁面如下

我們可以清楚看到有267個模組，0個監聽和0個代理

2. 簡單的操作演示

Empire的listeners就是MSF的監聽。就是建立一個監聽載荷。Agents相當於MSF的會話sessions。理清這兩個基本概念就容易繼續搞事情了。

我們的flag是讓Rpi開啟監聽，協議遵循http。然後生成一個dll載荷，生成一個powershell命令。誘騙目標執行。

在命令列裡輸入listeners進入監聽 

info 檢視需要設定的選項

由於篇幅原因，info下的具體資訊就不在此羅列，裡面的資訊還是非常關鍵的

設定當前監聽的名字,並用execute執行 

生成載荷 main命令回到主選單

設定listener，然後執行execute生成dll木馬,存在/tmp/launcher.dll中

然後將剛剛生成的這麼一串字串放入目標(192.168.1.3)cmd執行。(此時我的HIPS彈出一個攔截，說powershell要聯網)就返回一個agent。而那個cmd一閃而過。這就相當於得到一個MSF會話了 

選擇Jdrops進入會話,進入終端輸入help檢視可以使用的命令 

3. 目標簡單探索

在這裡輸入的命令如果不是這裡面的命令的話，我們的命令會被解析為windows命令執行，並給回顯。但是這裡要注意了，每次寫完一道命令敲下回車以後，不要感覺是沒有回顯，要稍等一下才會回顯出來

agents 和 back 這兩個命令在我們現在的情況來看是差不多的；back 是返回上級，而我們的上級是agents，當寫agents的時候，也會回到agents檔案

Bypassuac 是提權神級命令，敲完命令就提權，但是由於目標原因可以直接提權成功，我之前在win10測試不能成功 

利用mimikatz讀取成功hash，Empire有個很方便的地方，就是，我們不需要在mimikatz的回顯中去尋找密碼，它已經幫我們列舉好了，我們只需要執行creds命令，密碼就出來了 

sc命令 目標截圖一張

download目標主機文

利用upload命令往目標主機上傳檔案

usemoudle命令，在目標靶機上彈窗

usemodule trollsploit/message

4. 總結

此時，已經0:50，簡單總結學習的收穫，Empire跟Metasploit一樣，有強大的介面，可以方便於我們自己寫payload，同時它就是針對powershell的內網滲透工具，雖然沒有Metasploit那麼強大的各種平臺都能應對，但是單單針對windows（這次靶機是我隨便開的一臺windows7系統），以及域滲透的強大之處估計Metasploit不能比的。關於其具體實戰域滲透，在近期會搭建學習，同時為下週培訓做準備，就到這吧。