instalación
descargar comando git
git clone https://github.com/EmpireProject/Empire.git
Luego ingrese al directorio de configuración e instale Empire
cd Empire
cd setup
sudo ./install.sh
Pero habrá un error
Traceback (most recent call last):
File "./empire", line 13, in <module>
from lib.common import empire, helpers
File "/root/Empire/lib/common/__init__.py", line 8, in <module>
import helpers
File "/root/Empire/lib/common/helpers.py", line 50, in <module>
import iptools
ImportError: No module named iptools
Aquí faltan algunos paquetes, solo descárgalos
pip install iptools
pip install pydispatch
pip install netifaces
pip install pydispatcher
pip install zlib_wrapper
pip install xlrd
pip install macholib
pip install xlutils
pip install pyminifier
pip install dropbox
Simplemente reinícielo después de la instalación
cd setup/
sudo ./reset.sh
Documento de ayuda
Configurar monitor
Empire y Meterpreter utilizan el mismo principio: primero configuran un oyente, luego generan un caballo de Troya y luego ejecutan el caballo de Troya en el host de destino, y nuestro oyente se conectará al agente que se recupera.
Use el comando listeners para ingresar a la interfaz del hilo de monitoreo, luego ingrese userlistener para establecer qué modo, ingrese userlistener + espacio, y luego haga doble clic en la tecla Tab para ver que hay un total de modos.
Aquí use el modo de monitoreo http, ingrese información para ver la configuración de parámetros específicos,
use el comando set para establecer el parámetro correspondiente y luego use el comando de ejecución para comenzar a escuchar.
Use el comando list para listar los oyentes actualmente activos.
Use el comando kill para eliminar el oyente.
Cuando varios oyentes están habilitados, se deben utilizar diferentes nombres y diferentes puertos.
Generar troyano
Después de configurar el monitoreo, el caballo de Troya se generará y luego se ejecutará en la máquina de destino. Se puede entender que hay múltiples etapas modulares en Payload y Empire en Metasploit, y luego ingrese usestager para establecer qué módulo usar. De manera similar, al hacer doble clic en la tecla Tab, puede ver un total de 26 módulos.
- Troyano DLL
usestager windows/dll
Ingrese el comando info para ver los parámetros detallados. Después de configurar los parámetros y luego ejecutar el comando de ejecución, se generará un troyano llamado launch.dll en el directorio tmp. Después de que el lanzamiento se ejecute en el host de destino, se conectará correctamente
2 . Lanzador
si solo necesita simple Después de configurar el módulo correspondiente, puede escribirlo directamente en el menú del oyente, launcher<language><listenerName>
y pronto se generará una línea de código de codificación base64. Aquí, ingrese el comando back para regresar al oyente, y luego ingrese el comando launch powershell test (nombre del oyente configurado actualmente) Para generar una carga útil
y luego ejecutar el comando generado en la máquina de destino con PowerShell, obtendrá el permiso de este host.
Puede ver que dos hosts ya están en línea.
Ingrese el agente para ver el contenido específico del host en línea.
Use el cambio de nombre para modificar el nombre
-
Troyano launch_vbs
Bajo la supervisión del oyente, ingrese usestager windows / launcher_vbs, y luego ingrese y salga del comando info para ver los parámetros detallados.
Luego configure los parámetros del oyente. De forma predeterminada, se generará un launcher.vbs en el directorio / tmp.
Finalmente , ingrese el comando back y regrese al oyente para comenzar a monitorear.Cuando el launcher.vbs generado se abra en la máquina de destino, se obtendrá el permiso de este host.
-
Troyano launch_bat
Utilice el comando usestager windows / launcher_bat
para generar un archivo launcher.bat en el directorio tmp de forma predeterminada, ejecútelo en la máquina de destino y obtendrá el permiso del host
-
El macro troyano
generará una macro en el directorio tmp de forma predeterminada. Luego, debe agregar la macro generada a un documento de Office. Abra un documento de Word, haga clic en la pestaña "Ver", haga clic en "Macro", haga clic en "Ver macro", asigne un nombre a la macro y luego cree la macro. Después de
hacer clic en Crear, aparecerá la interfaz de edición de VB. Elimine el original codificar y generar Copie las macros y
guarde el documento como un archivo "Documento de Word 97-2003 (* .doc)". Ejecute el archivo en la máquina de destino para obtener el permiso del host
Conectarse al host y uso básico
Una vez que el host de destino rebota con éxito, el comando de agentes puede ver los hosts actualmente conectados, y los que tienen * son los hosts que se han elevado.
Utilice el comando interact para conectarse al host.
Ingrese help agentcmds para ver los comandos comunes disponibles para use.
Al usar algunos comandos CMD, debe usar el formato de shell + comando.
Como Metasploit, el comando creds puede filtrar y ordenar automáticamente las contraseñas de usuario obtenidas.
recoger mensaje
Empire se utiliza principalmente para la infiltración posterior. Por lo tanto, la recopilación de información es un módulo de uso común. Puede usar el comando del módulo de búsqueda para buscar los módulos que deben usarse. Aquí, use el comando usemodule collection y luego Tab para ver la lista completa.
- Capturas de pantalla
2. Registrador de teclas
En este momento, puede ver el registrador de teclas en la máquina de destino en Empire
Mientras empire/downloads/<AgentName>
genera automáticamente el siguiente archivo agent.log
-
Registro del portapapeles
Después de la ejecución, verá el registro del portapapeles
-
Encuentra una acción
usemodule situational_awareness/network/powerview/share_finder
- Recopilar información sobre el host de destino
usemodule situational_awareness/host/winenum
Puede ver usuarios locales, miembros del grupo de dominio, última hora de configuración de contraseña, contenido del portapapeles, información básica del sistema, información del adaptador de red, información compartida, etc.
usemodule situational_awareness/host/computerdetails
Se enumera casi toda la información útil del sistema, como el registro de eventos del host de destino, el registro de políticas de control de aplicaciones, incluida la información de inicio de sesión de RDP, información sobre la ejecución y el guardado del script PowerShell
- Escaneo ARP
usemodule susemodule situational_awareness/network/arpscan
Aquí debe configurar el parámetro de rango
- Adquisición de información DNS En la
red interna, conocer el HostName y las direcciones IP correspondientes de todas las máquinas es fundamental para analizar la estructura de la red interna
usemodule situational_awareness/network/reverse_dns
usemodule situational_awareness/host/dnsserver #显示当前内网DNS服务器的IP地址
- Busque la IP del servidor de inicio de sesión de administración de dominio
. Para obtener la autoridad de administración de dominio de un servidor en la intranet, uno de los métodos es encontrar la máquina donde la administración de dominio inicia sesión y luego infiltrarse horizontalmente para robar la autoridad de administración de dominio .Abajo de todo el dominio.
usemodule situational_awareness/network/powerview/user_hunter
- Módulo de acceso a grupos de gestión local
usemodule situational_awareness/network/powerview/find_localadmin_access
10. Obtenga un controlador de dominio
usemodule situational_awareness/network/powerview/get_domain_controller
Escalada de privilegios
- Omitir UAC,
escalamos los derechos de Prueba en la figura
usemodule privesc/bypassuac
Establezca los parámetros de escucha y luego ejecútelo. Descubrí
que un nuevo rebote se lanzó correctamente. Cuando volví al agente, descubrí que había otro agente con un asterisco
elevado. 2.
El principio de bypassuac_wscript es use C: \ Windows \ wscript.exe para ejecutar Payload, es decir, para omitir UAC para implementar Payload con privilegios de administrador, solo se aplica a hosts de destino Win7.
usemodule privesc/bypassuac_wscript
-
PowerUp
Empire tiene incorporadas algunas herramientas de PowerUp para la escalada de privilegios del sistema, que incluyen principalmente vulnerabilidades de configuración incorrecta del sistema de Windows, vulnerabilidades de servicios de Windows, vulnerabilidades AlwaysInstallElevated y otros 8 métodos de escalada de privilegios. Ingrese usemodule privesc / powerup / y presione Tab para ver la lista completa de PowerUp .
-
GPP a
menudo permite que las preferencias de políticas de grupo en el dominio cambien la contraseña local, lo cual es conveniente para la administración y la implementación de imágenes La desventaja es que cualquier usuario de dominio común puede leer la información de implementación del controlador de dominio relevante SYSVOL. GPP está encriptado con AES 256,usemodule privesc/gpp
puede verlo escribiendo el comando