Empire 2.5: PowerShell渗透测试实战指南<\/h1>

1. Empire框架概述<\/h2>

Empire是一款基于Python编写的渗透测试框架，类似于Metasploit，但专注于PowerShell代理功能。其主要特点包括：<\/p>

无需powershell.exe即可运行PowerShell代理<\/li>
内置多种后期开发模块（键盘记录器、Mimikatz等）<\/li>
提供适应性通信以避开网络检测<\/li>

采用密码安全通信和灵活架构<\/li> <\/ul>

2. 环境搭建<\/h2>

2.1 推荐架构<\/h3>

建议使用三级跳架构确保安全性：<\/p>

第一跳：代理服务器(VPS1) - 仅作端口转发<\/li>
第二跳：VPN服务器(VPS2) - 连接本机与第一跳服务器<\/li>

本机：安装Empire的Kali或Ubuntu虚拟机<\/li> <\/ol>

2.2 基本安装<\/h3>

所需环境：Debian系统、Python<\/li>

安装完成后可使用reset.sh进行框架重置或迁移<\/li> <\/ol>

2.3 可视化框架构建<\/h3>

下载empire-web：<\/p>

git clone https:\/\/github.com\/interference-security\/empire-web.git
<\/span><\/span>service apache2 restart
<\/span><\/span><\/code><\/pre><\/li>

确保PHP环境（如php7.5-curl）已安装<\/p>
<\/li>

修改empire主文件配置：<\/p>
vim \/var\/www\/html\/Empire\/empire
<\/span><\/span><\/code><\/pre><\/li>

启动empire web接口：<\/p>
.\/empire --headless --restport [<\/span>port]<\/span> --username [<\/span>username_str]<\/span> --password [<\/span>password_str]<\/span>
<\/span><\/span><\/code><\/pre><\/li>

通过浏览器访问web界面<\/p>
<\/li>
<\/ol>
3. 基本命令<\/h2>



命令<\/th>
功能描述<\/th>
<\/tr>
<\/thead>


Agents<\/td>
管理回连的靶机<\/td>
<\/tr>

creds<\/td>
管理数据库中的凭据<\/td>
<\/tr>

interact<\/td>
与现有agents交互<\/td>
<\/tr>

list<\/td>
列出监听器或agents<\/td>
<\/tr>

listeners<\/td>
进入监听器设置接口<\/td>
<\/tr>

load<\/td>
加载自定义模块<\/td>
<\/tr>

plugin<\/td>
加载自定义插件<\/td>
<\/tr>

plugins<\/td>
列出所有载入的插件<\/td>
<\/tr>

preobfuscate<\/td>
预混淆功能（需wine和powershell）<\/td>
<\/tr>

reload<\/td>
重新加载框架<\/td>
<\/tr>

report<\/td>
生成报告<\/td>
<\/tr>

reset<\/td>
重置ip黑白名单、混淆项目等<\/td>
<\/tr>

resource<\/td>
批量导入empire命令<\/td>
<\/tr>

searchmodule<\/td>
模块关键词搜索<\/td>
<\/tr>

set<\/td>
设置ip黑白名单、混淆项目等<\/td>
<\/tr>

show<\/td>
查看当前框架设置<\/td>
<\/tr>

usemodule<\/td>
使用特定模块<\/td>
<\/tr>

usestager<\/td>
使用特定载荷<\/td>
<\/tr>
<\/tbody>
<\/table>
4. 渗透通道配置<\/h2>
4.1 监听器配置<\/h3>


进入listeners界面<\/p>
<\/li>

使用uselistener<\/code>命令选择监听器类型（如http）<\/p>
<\/li>

关键配置项：<\/p>

Name：监听器名称<\/li>
Host：监听主机<\/li>
Port：监听端口<\/li>
BindIP：绑定IP（127.0.0.1或VPN网卡IP）<\/li>
StagerURI：中转端接口路径<\/li>
<\/ul>
<\/li>

配置完成后使用info<\/code>检查，execute<\/code>执行<\/p>
<\/li>
<\/ol>
4.2 VPN服务器中转配置<\/h3>

生成中转端接口文件在\/tmp\/http_hop\/<\/code>文件夹下<\/li>
将文件拷贝到VPN服务器的\/var\/www\/html<\/code>目录<\/li>
重启apache2服务<\/li>
在原http监听器配置StagerURI选项（包含协议和端口）<\/li>
重启监听器：disable<\/code>后enable<\/code><\/li>
<\/ol>
5. 载荷配置<\/h2>
5.1 DLL载荷<\/h3>

使用命令：usestager windows\/dll<\/code><\/li>
设置Listener<\/li>
执行execute<\/code>生成launcher.dll<\/li>
在目标主机运行launcher.dll即可上线<\/li>
<\/ol>
5.2 PowerShell载荷<\/h3>

在监听器菜单中键入：
launcher <language> <listenerName>
<\/span><\/span><\/code><\/pre><\/li>
生成base64编码的PowerShell代码<\/li>
在目标主机执行返回shell<\/li>
<\/ol>
5.3 BAT载荷<\/h3>

使用launcher_bat<\/code>生成bat文件<\/li>
在目标主机执行返回主机标识<\/li>
<\/ol>
6. 其他注意事项<\/h2>

建议更改随机生成的主机名<\/li>
使用help<\/code>命令查看可执行的渗透和后渗透命令<\/li>
预混淆功能需要系统安装wine和powershell，但稳定性较差<\/li>
Empire的通信流量较大，容易被流量分析工具检测<\/li>
<\/ol>
7. 安全建议<\/h2>

始终使用多跳架构保护真实IP<\/li>
定期更新Empire框架<\/li>
谨慎选择监听器和载荷类型<\/li>
渗透测试前确保获得合法授权<\/li>
<\/ol>

注意：本文仅用于合法授权的渗透测试和安全研究，未经授权使用可能违反法律。<\/p>
<\/blockquote>

命令<\/th>	功能描述<\/th> <\/tr> <\/thead>
Agents<\/td>	管理回连的靶机<\/td> <\/tr>
creds<\/td>	管理数据库中的凭据<\/td> <\/tr>
interact<\/td>	与现有agents交互<\/td> <\/tr>
list<\/td>	列出监听器或agents<\/td> <\/tr>
listeners<\/td>	进入监听器设置接口<\/td> <\/tr>
load<\/td>	加载自定义模块<\/td> <\/tr>
plugin<\/td>	加载自定义插件<\/td> <\/tr>
plugins<\/td>	列出所有载入的插件<\/td> <\/tr>
preobfuscate<\/td>	预混淆功能（需wine和powershell）<\/td> <\/tr>
reload<\/td>	重新加载框架<\/td> <\/tr>
report<\/td>	生成报告<\/td> <\/tr>
reset<\/td>	重置ip黑白名单、混淆项目等<\/td> <\/tr>
resource<\/td>	批量导入empire命令<\/td> <\/tr>
searchmodule<\/td>	模块关键词搜索<\/td> <\/tr>
set<\/td>	设置ip黑白名单、混淆项目等<\/td> <\/tr>
show<\/td>	查看当前框架设置<\/td> <\/tr>
usemodule<\/td>	使用特定模块<\/td> <\/tr>
usestager<\/td>	使用特定载荷<\/td> <\/tr> <\/tbody> <\/table> 4. 渗透通道配置<\/h2> 4.1 监听器配置<\/h3> 进入listeners界面<\/p> <\/li> 使用`uselistener<\/code>命令选择监听器类型（如http）<\/p> <\/li>` 关键配置项：<\/p> Name：监听器名称<\/li> Host：监听主机<\/li> Port：监听端口<\/li> BindIP：绑定IP（127.0.0.1或VPN网卡IP）<\/li> StagerURI：中转端接口路径<\/li> <\/ul> <\/li> 配置完成后使用info<\/code>检查，execute<\/code>执行<\/p> <\/li> <\/ol> 4.2 VPN服务器中转配置<\/h3> 生成中转端接口文件在\/tmp\/http_hop\/<\/code>文件夹下<\/li> 将文件拷贝到VPN服务器的\/var\/www\/html<\/code>目录<\/li> 重启apache2服务<\/li> 在原http监听器配置StagerURI选项（包含协议和端口）<\/li> 重启监听器：disable<\/code>后enable<\/code><\/li> <\/ol> 5. 载荷配置<\/h2> 5.1 DLL载荷<\/h3> 使用命令：usestager windows\/dll<\/code><\/li> 设置Listener<\/li> 执行execute<\/code>生成launcher.dll<\/li> 在目标主机运行launcher.dll即可上线<\/li> <\/ol> 5.2 PowerShell载荷<\/h3> 在监听器菜单中键入： launcher <language> <listenerName> <\/span><\/span><\/code><\/pre><\/li> 生成base64编码的PowerShell代码<\/li> 在目标主机执行返回shell<\/li> <\/ol> 5.3 BAT载荷<\/h3> 使用launcher_bat<\/code>生成bat文件<\/li> 在目标主机执行返回主机标识<\/li> <\/ol> 6. 其他注意事项<\/h2> 建议更改随机生成的主机名<\/li> 使用help<\/code>命令查看可执行的渗透和后渗透命令<\/li> 预混淆功能需要系统安装wine和powershell，但稳定性较差<\/li> Empire的通信流量较大，容易被流量分析工具检测<\/li> <\/ol> 7. 安全建议<\/h2> 始终使用多跳架构保护真实IP<\/li> 定期更新Empire框架<\/li> 谨慎选择监听器和载荷类型<\/li> 渗透测试前确保获得合法授权<\/li> <\/ol> 注意：本文仅用于合法授权的渗透测试和安全研究，未经授权使用可能违反法律。<\/p> <\/blockquote>