Empire使用

Empire使用

①Empire简单介绍

Empire是一个纯粹的PowerShell开发后代理，基于加密安全的通信和灵活的体系结构构建。Empire实现了运行PowerShell代理的功能，而无需powershell.exe，从关键记录器到Mimikatz的可快速部署的利用后模块，以及适应性强的通信以逃避网络检测，所有这些都封装在以可用性为重点的框架中。它于2015年在BSidesLV上首次亮相。【与Metasploit相似的一款软件，在Kali当中就需要自行下载】

PowerShell比cmd的功能更强大一点：（Windows7上的PowerShell）

②Kali安装Empire工具

法一、powershell-empire

1、更新软件库（可以提升下边的下载速度）

2、安装empire

3、打开服务端

4、开启客户端

（这里需要再开一个kali的窗口进行客户端的连接，会自动连接上本机的服务端）

效果图

法二、github

在法一安装不成功情况下使用（比较麻烦）：

补充：

③监听

1、打开监听模块

2、设置参数

这里的name表示就是MSF的session数字的意思

3、执行监听

查看当前的监听：

④生成stager(MSF的payload)并建立连接

1、使用模块

2、设置参数

3、执行

这里可以发现test.bat生成在/var/lib/powershell-empire/empire/client/generated-stagers/test.bat目录下

4、下载

将生成好的文件复制到阿帕奇服务的目录上用于Windows端下载

5、Windows7端下载到桌面上并运行

6、结果

可能是这里使用版本太新了（哦不对，该文件执行完之后自己把自己删除了，哈哈哈笑死我了--在options中可以进行设置），导致无法成功植入木马，监听没有建立起来。但是过程是没错的，可以换一个模块进行操作。

【换一个模块操作：】

Ⅰ设置、查看监听：

Ⅱ选择模块：

Ⅲ设置参数：

这里不在设置其余参数，就设置了必要参数

Ⅳ执行，生成木马：

这里不设置输出文件，那么这就会直接输出木马代码：

Ⅴ植入木马：

这里直接使用暴力手段将这串代码搞到Windows7当中，并设置成.htc后缀：

Ⅵ运行木马，成功建立连接：

双击运行.hta文件，这是empire已经成功建立连接，并查看会话：

（使用empire的好处就是这里建立一次的监听会一直存在/打开的，不会因为关闭窗口咋的断开监听，与MSF的持久化监听类似）

⑤使用empire得到的会话窗口进行命令操作

通过agents查看到的会话名字进入（MSF是通过数字进入，empire是通过名字进入）

1、通过名称进入会话：

2、查看主机信息：

3、调用计算器：

4、截屏：

右边是服务器端的信息

5、进入Windows的命令行：

6、help命令查看可使用的其他命令

7、其余命令（interact（shell）命令）：

⑥提权

法一：Empire提权

通过help命令查询：

（通过bypassuac可以进行提权）

agents查看下：

进入（有管理员权限啦）：

法二、将会话迁移到MSF中提权

使用MSF的模块进行提权更方便哦

⑦Empire会话迁移

原理：将Empire上得到的会话，通过web上的http协议转到MSF会话上的过程

前提：在Empire上得到会话：

操作：

1、打开web站点的接收监听器

2、查看所需参数，并设置参数、运行

这里的URIPATH选择使用根目录"/"，因为这边的根目录是给Empire迁移到MSF上会话使用的，使用根目录方便调用一点

设置Powershell目标

运行

3、Empire使用模块，并设置参数并执行

设置Agent、URL参数(根据msf生成的url去设置)

Agent设置成没有提权的。假如说将提完权的会话迁移到MSF当中的话直接在MSF中getsystem提权即可。

执行

4、MSF上查看报文

通过MSF回显的报文可以发现我们的Empire的会话迁移到了MSF上

并且我们设置了meterpreter的会话，可以使用这里面的所有命令（就避免了Empire上好多命令无法使用的情况）

到这里发现是普通权限的，那么我们就可以用meterpreter当中的模块进行提权，可以避免使用Empire提权的麻烦。

⑧持久化模块

Empire的持久化模块都不是很好用，不建议使用。