| 模块名 | 功能 |
|---|---|
| collection/ChromeDump | 收集chrome浏览器保存的密码和浏览历史记录 |
| collection/FoxDump | 收集Firefox浏览器保存的密码和浏览历史记录 |
| collection/USBKeylogger* | 利用ETW作为键盘记录 |
| collection/WebcamRecorder | 从摄像头捕获视频 |
| collection/browser_data | 搜索浏览器历史记录或书签 |
| collection/clipboard_monitor | 按指定的时间间隔监视剪贴板 |
| collection/file_finder | 查找域中的敏感文件 |
| collection/find_interesting_file | 查找域中的敏感文件 |
| collection/get_indexed_item | 获取Windows desktop search索引文件 |
| collection/get_sql_column_sample_data | 从目标SQL Server返回列信息。 |
| collection/get_sql_query | 在目标SQL服务器上执行查询 |
| collection/inveigh | Windows PowerShell LLMNR/mDNS/NBNS中间人工具 |
| collection/keylogger | 键盘记录到keystrokes.txt文件中,文件位置/downloads/agentname/keystrokes.txt/agentname |
| collection/minidump | 进程的全内存转储,PowerSploit的Out-Minidump.ps1 |
| collection/netripper | 将NetRipper注入目标进程,该进程使用API挂钩以拦截来自低特权用户的网络流量和与加密相关的功能,从而能够在加密之前/解密之后捕获纯文本流量和加密流量。 |
| collection/ninjacopy* | 通过读取原始卷并解析NTFS结构,从NTFS分区卷中复制文件。 |
| collection/packet_capture* | 使用netsh在主机上启动数据包捕获。 |
| collection/prompt | 提示当前用户在表单框中输入其凭据,然后返回结果。 |
| collection/screenshot | 屏幕截图 |
| collection/vaults/add_keepass_config_trigger | 寻找KeePass配置 |
| collection/vaults/find_keepass_config | 此模块查找并解析KeePass.config.xml (2.X)和KeePass.config.xml (1.X)文件。 |
| collection/vaults/get_keepass_config_trigger | 该模块从KeePass 2.X配置XML文件中提取触发器说明 |
| collection/vaults/keethief | 此模块检索未锁定的KeePass数据库的database mastey key信息 |
| collection/vaults/remove_keepass_config_trigger | 该模块从Find-KeePassConfig找到的所有KeePass配置中删除所有触发器 |
>usemodule collection/ tab补齐查看模块
>usemodule collection/screenshot 获取当前桌面截图,文件存储在./Empire/download/agent名字/screenshot
>usemodule collection/keylogger 键盘记录,文件存储在./Empire/download/agent名字/agent.log
>usemodule situational_awareness/host/winenum 查看当前用户、AD组、剪切板内容、系统版本、共享、网络信息、防火墙规则
>usemodule situational_awareness/network/powerview/share_finder 列出域内所有共享
>usemodule situational_awareness/network/arpscan
>set Range 192.168.0.1-192.168.0.100 ARP扫描,需设置扫描网段区间
>usemodule situational_awareness/network/portscan
>set Hosts 192.168.0.1-192.168.0.100 端口扫描,需设置IP或IP段
>usemodule situational_awareness/network/reverse_dns DNS信息,需设置IP
>set Range 192.168.0.1-192.168.0.100
>usemodule situational_awareness/network/powerview/get_domain_controller 查找域控
| 模块名 | 功能 |
|---|---|
| code_execution/invoke_dllinjection | 使用PowerSploit的Invoke-DLLInjection将Dll注入您选择的进程ID。 |
| code_execution/invoke_metasploitpayload | 生成一个新的隐藏PowerShell窗口,该窗口下载并执行Metasploit Payload。这与Metasploit模块theexploit/multi/scripts/web_delivery互动 |
| code_execution/invoke_ntsd | 使用NT Symbolic Debugger执行Empire launcher代码 |
| code_execution/invoke_reflectivepeinjection | 使用PowerSploit的Invoke-ReflectivePEInjection进行反射PE注入,将DLL/EXE加载进PowerShell进程中,或者将DLL加载进远程进程中 |
| code_execution/invoke_shellcode | 使用PowerSploit的Invoke--Shellcode注入Shellcode |
| code_execution/invoke_shellcodemsil | 执行shellcode |
| 模块名 | 功能 |
|---|---|
| credentials/credential_injection* | 运行PowerSploit的Invoke-CredentialInjection创建具有明文凭证的登录,而不会触发事件ID 4648使用显式凭据尝试登录 |
| credentials/enum_cred_store | 从Windows凭据管理器中转储当前交互用户的纯文本凭据 |
| credentials/invoke_kerberoast | 为具有非空服务主体名称(SPN)的所有用户请求kerberos票据,并将其提取为John或Hashcat可用格式 |
| credentials/powerdump* | 使用Posh-SecMod的Invoke-PowerDump从本地系统中转储哈希 |
| credentials/sessiongopher | 提取WinSCP已保存的会话和密码 |
| credentials/tokens | 运行PowerSploit的Invoke-TokenManipulation枚举可用的登录令牌,并使用它们创建新的进程 |
| credentials/vault_credential* | 运行PowerSploit的Get-VaultCredential以显示Windows Vault凭证对象,包括明文Web凭证 |
| credentials/mimikatz/cache* | 运行PowerSploit的Invoke-Mimikatz函数以提取MSCache(v2) hashes |
| credentials/mimikatz/certs* | 运行PowerSploit的Invoke-Mimikatz函数将所有证书提取到本地目录 |
| credentials/mimikatz/command* | 使用自定义命令运行PowerSploit的Invoke-Mimikatz函数 |
| credentials/mimikatz/dcsync | 运行PowerSploit的Invoke-Mimikatz函数,以通过Mimikatz的lsadump::dcsync模块提取给定的帐户密码 |
| credentials/mimikatz/dcsync_hashdump | 运行PowerSploit的Invoke-Mimikatz函数,以使用Mimikatz的lsadump::dcsync模块收集所有域哈希 |
| credentials/mimikatz/extract_tickets | 运行PowerSploit的Invoke-Mimikatz函数,以base64编码形式从内存中提取kerberos票据 |
| credentials/mimikatz/golden_ticket | 运行PowerSploit的Invoke-Mimikatz函数以生成黄金票据并将其注入内存 |
| credentials/mimikatz/keys* | 运行PowerSploit的Invoke-Mimikatz函数以将所有密钥提取到本地目录 |
| credentials/mimikatz/logonpasswords* | 运行PowerSploit的Invoke-Mimikatz函数以从内存中提取纯文本凭据。 |
| credentials/mimikatz/lsadump* | 运行PowerSploit的Invoke-Mimikatz函数以从内存中提取特定的用户哈希。 在域控制器上很有用。 |
| credentials/mimikatz/mimitokens* | 运行PowerSploit的Invoke-Mimikatz函数以列出或枚举令牌。 |
| credentials/mimikatz/pth* | 运行PowerSploit的Invoke-Mimikatz函数以执行sekurlsa::pth来创建一个新进程。 |
| credentials/mimikatz/purge | 运行PowerSploit的Invoke-Mimikatz函数从内存中清除所有当前的kerberos票据 |
| credentials/mimikatz/sam* | 运行PowerSploit的Invoke-Mimikatz函数从安全帐户管理器(SAM)数据库中提取哈希 |
| credentials/mimikatz/silver_ticket | 运行PowerSploit的Invoke-Mimikatz函数,以生成服务器/服务的白银票据并将其注入内存。 |
| credentials/mimikatz/trust_keys* | 运行PowerSploit的Invoke-Mimikatz函数,从域控制器中提取域信任密钥。 |
| 模块名 | 功能 |
|---|---|
| exfiltration/egresscheck | 可用于帮助检查主机与客户端系统之间的出口,详细信息:https://github.com/stufus/egresscheck-framework |
| exfiltration/exfil_dropbox | 下载文件到dropbox |
| 模块名 | 功能 |
|---|---|
| exploitation/exploit_eternalblue | MS17_010永恒之蓝漏洞利用 |
| exploitation/exploit_jboss | Jboss漏洞利用 |
| exploitation/exploit_jenkins | 在未授权访问的Jenkins脚本控制台上运行命令 |
| 模块名 | 功能 |
|---|---|
| lateral_movement/inveigh_relay | smb中继攻击 |
| lateral_movement/invoke_dcom | 使用DCOM在远程主机上执行stager |
| lateral_movement/invoke_executemsbuild | 该模块利用WMI和MSBuild编译并执行一个包含Empire launcher的xml文件。 |
| lateral_movement/invoke_psexec | PsExec横向移动 |
| lateral_movement/invoke_psremoting | 远程PowerShell横向移动 |
| lateral_movement/invoke_smbexec | SMBExec横向移动 |
| lateral_movement/invoke_sqloscmd | 利用xp_cmdshell横向移动 |
| lateral_movement/invoke_sshcommand | 利用SSH横向移动 |
| lateral_movement/invoke_wmi | 利用WMI横向移动 |
| lateral_movement/invoke_wmi_debugger | 使用WMI将远程机器上的二进制文件的调试器设置为cmd.exe或stager |
| lateral_movement/jenkins_script_console | 利用未授权访问的Jenkins脚本控制台横向移动 |
| lateral_movement/new_gpo_immediate_task | 利用GPO中的计划任务横向移动 |
| 模块名 | 功能 |
|---|---|
| management/enable_rdp* | 在远程计算机上启用RDP并添加防火墙例外。 |
| management/disable_rdp* | 在远程计算机上禁用RDP |
| management/downgrade_account | 在给定的域帐户上设置可逆加密,然后强制下次用户登录时设置密码。 |
| management/enable_multi_rdp* | 允许多个用户建立同时的RDP连接。 |
| management/get_domain_sid | 返回当前指定域的SID |
| management/honeyhash* | 将人工凭证注入到LSASS |
| management/invoke_script | 运行自定义脚本 |
| management/lock | 锁定工作站的显示 |
| management/logoff | 从计算机上注销当前用户(或所有用户) |
| management/psinject | 利用Powershell注入Stephen Fewer形成的ReflectivePick,该ReflectivePick在远程过程中从内存执行PS代码 |
| management/reflective_inject | 利用Powershell注入Stephen Fewer形成的ReflectivePick,该ReflectivePick在远程过程中从内存执行PS代码 |
| management/restart | 重新启动指定的机器 |
| management/runas | 绕过GPO路径限制 |
| management/shinject | 将PIC Shellcode Payload注入目标进程 |
| management/sid_to_user | 将指定的域sid转换为用户 |
| management/spawn | 在新的powershell.exe进程中生成新agent |
| management/spawnas | 使用指定的登录凭据生成agent |
| management/switch_listener | 切换listener |
| management/timestomp | 通过'调用Set-MacAttribute执行类似耗时的功能 |
| management/user_to_sid | 将指定的domain\user转换为domain sid |
| management/vnc | Invoke-Vnc在内存中执行VNC代理并启动反向连接 |
| management/wdigest_downgrade* | 将计算机上的wdigest设置为使用显式凭据 |
| management/zipfolder | 压缩目标文件夹以供以后渗透 |
| management/mailraider/disable_security | 此函数检查ObjectModelGuard |
| management/mailraider/get_emailitems | 返回指定文件夹的所有项目 |
| management/mailraider/get_subfolders | 返回指定顶级文件夹中所有文件夹的列表 |
| management/mailraider/mail_search | 在给定的Outlook文件夹中搜索项目 |
| management/mailraider/search_gal | 返回与指定搜索条件匹配的所有exchange users |
| management/mailraider/send_mail | 使用自定义或默认模板将电子邮件发送到指定地址。 |
| management/mailraider/view_email | 选择指定的文件夹,然后在指定的索引处输出电子邮件项目 |
| 模块名 | 功能 |
|---|---|
| persistence/elevated/registry* | 计算机启动项持久化,通过HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run进行持久化,运行一个stager或者脚本 |
| persistence/elevated/schtasks* | 计划任务持久化 |
| persistence/elevated/wmi* | WMI事件订阅持久化 |
| persistence/elevated/wmi_updater* | WMI订阅持久化 |
| persistence/misc/add_netuser | 将域用户或本地用户添加到当前(或远程)计算机 |
| persistence/misc/add_sid_history* | 运行PowerSploit的Invoke-Mimikatz函数以执行misc::addsid以添加用户的sid历史记录。 仅适用于域控制器 |
| persistence/misc/debugger* | 将指定目标二进制文件的调试器设置为cmd.exe |
| persistence/misc/disable_machine_acct_change* | 禁止目标系统的机器帐户自动更改其密码 |
| persistence/misc/get_ssps | 枚举所有已加载的安全软件包 |
| persistence/misc/install_ssp* | 安装安全支持提供程序dll |
| persistence/misc/memssp* | 运行PowerSploit的Invoke-Mimikatz函数以执行misc::memssp,将所有身份验证事件记录到C:\Windows\System32\mimisla.log |
| persistence/misc/skeleton_key* | 运行PowerSploit的Invoke-Mimikatz函数来执行misc::skeleton,植入密码mimikatz的万能钥匙。 仅适用于域控制器 |
| persistence/powerbreach/deaduser | DeadUserBackdoor后门,详细信息:http://www.sixdub.net/?p=535 |
| persistence/powerbreach/eventlog* | 启动事件循环后门 |
| persistence/powerbreach/resolver | 启动解析器后门 |
| persistence/userland/backdoor_lnk | LNK文件后门 |
| persistence/userland/registry | 计算机启动项持久化,通过HKLM:SOFTWARE\Microsoft\Windows\CurrentVersion\Run进行持久化,运行一个stager或者脚本 |
| persistence/userland/schtasks | 计划任务持久化 |
| 模块名 | 功能 |
|---|---|
| privesc/ask | 弹出一个对话框,询问用户是否要以管理员身份运行powershell |
| privesc/bypassuac | UAC bypass |
| privesc/bypassuac_env | UAC bypass |
| privesc/bypassuac_eventvwr | UAC bypass |
| privesc/bypassuac_fodhelper | UAC bypass |
| privesc/bypassuac_sdctlbypass | UAC bypass |
| privesc/bypassuac_tokenmanipulation | UAC bypass |
| privesc/bypassuac_wscript | UAC bypass |
| privesc/getsystem* | 获取system特权 |
| privesc/gpp | 利用windows组策略首选项缺陷获取系统帐号 |
| privesc/mcafee_sitelist | 寻找McAfee SiteList.xml文件的纯文本密码 |
| privesc/ms16-032 | MS16-032本地提权 |
| privesc/ms16-135 | MS16-135本地提权 |
| privesc/tater | 利用PowerShell实现的Hot Potato提权 |
| privesc/powerup/allchecks | 检查目标主机的攻击向量以进行权限提升 |
| privesc/powerup/find_dllhijack | 查找通用的.DLL劫持 |
| privesc/powerup/service_exe_restore | 还原备份的服务二进制文件 |
| privesc/powerup/service_exe_stager | 备份服务的二进制文件,并用启动stager.bat的二进制文件替换原始文件 |
| privesc/powerup/service_exe_useradd | 修改目标服务以创建本地用户并将其添加到本地管理员 |
| privesc/powerup/service_stager | 修改目标服务以执行Empire stager |
| privesc/powerup/service_useradd | 修改目标服务以创建本地用户并将其添加到本地管理员 |
| privesc/powerup/write_dllhijacker | 将可劫持的.dll以及.dll调用的stager.bat一起写到指定路径。 wlbsctrl.dll在Windows 7上运行良好。需要重新启动计算机 |
| 模块名 | 功能 |
|---|---|
| recon/find_fruit | 在网络范围内搜索潜在的易受攻击的Web服务 |
| recon/get_sql_server_login_default_pw | 发现在当前广播域之内的SQL Server实例 |
| recon/http_login | 针对基本身份验证测试凭据 |
| 模块名 | |
|---|---|
| situational_awareness/host/antivirusproduct | 获取防病毒产品信息 |
| situational_awareness/host/computerdetails* | 枚举有关系统的有用信息 |
| situational_awareness/host/dnsserver | 枚举系统使用的DNS服务器 |
| situational_awareness/host/findtrusteddocuments | 该模块将枚举适当的注册表 |
| situational_awareness/host/get_pathacl | 枚举给定文件路径的ACL |
| situational_awareness/host/get_proxy | 枚举当前用户的代理服务器和WPAD内容 |
| situational_awareness/host/get_uaclevel | 枚举UAC级别 |
| situational_awareness/host/monitortcpconnections | 监视主机与指定域名或IPv4地址的TCP连接,对于会话劫持和查找与敏感服务进行交互的用户很有用 |
| situational_awareness/host/paranoia* | 持续检查运行过程中是否存在可疑用户 |
| situational_awareness/host/winenum | 收集有关主机和当前用户上下文的相关信息 |
| situational_awareness/network/arpscan | 针对给定范围的IPv4 IP地址执行ARP扫描 |
| situational_awareness/network/bloodhound | 执行BloodHound数据收集 |
| situational_awareness/network/get_exploitable_system | 查询Active Directory以查找可能容易受到Metasploit Exploit的系统 |
| situational_awareness/network/get_spn | 获取服务主体名称(SPN) |
| situational_awareness/network/get_sql_instance_domain | 返回SQL Server实例列表 |
| situational_awareness/network/get_sql_server_info | 从目标SQL Server返回基本服务器和用户信息 |
| situational_awareness/network/portscan | 使用常规套接字进行简单的端口扫描 |
| situational_awareness/network/reverse_dns | 执行给定IPv4 IP范围的DNS反向查找 |
| situational_awareness/network/smbautobrute | 针对用户名/密码列表运行SMB暴力破解 |
| situational_awareness/network/smbscanner | 在多台机器上测试用户名/密码组合 |
| situational_awareness/network/powerview/find_foreign_group | 枚举给定域的组的所有成员,并查找不在查询域中的用户 |
| situational_awareness/network/powerview/find_foreign_user | 枚举在其主域之外的组中的用户 |
| situational_awareness/network/powerview/find_gpo_computer_admin | 获取计算机(或GPO)对象,并确定哪些用户/组对该对象具有管理访问权限 |
| situational_awareness/network/powerview/find_gpo_location | 获取用户名或组名,并确定其具有通过GPO进行管理访问的计算机 |
| situational_awareness/network/powerview/find_localadmin_access | 在当前用户具有“本地管理员”访问权限的本地域上查找计算机 |
| situational_awareness/network/powerview/find_managed_security_group | 此功能检索域中的所有安全组 |
| situational_awareness/network/powerview/get_cached_rdpconnection | 使用远程注册表功能来查询计算机上“ Windows远程桌面连接客户端”的所有信息 |
| situational_awareness/network/powerview/get_computer | 查询当前计算机对象的域 |
| situational_awareness/network/powerview/get_dfs_share | 返回给定域的所有容错分布式文件系统的列表 |
| situational_awareness/network/powerview/get_domain_controller | 返回当前域或指定域的域控制器 |
| situational_awareness/network/powerview/get_domain_policy | 返回给定域或域控制器的默认域或DC策略 |
| situational_awareness/network/powerview/get_domain_trust | 返回当前域或指定域的所有域信任 |
| situational_awareness/network/powerview/get_fileserver | 返回从用户主目录提取的所有文件服务器的列表 |
| situational_awareness/network/powerview/get_forest | 返回有关给定域森林的信息 |
| situational_awareness/network/powerview/get_forest_domain | 返回给定林的所有域 |
| situational_awareness/network/powerview/get_gpo | 获取域中所有当前GPO的列表 |
| situational_awareness/network/powerview/get_group | 获取域中所有当前组的列表 |
| situational_awareness/network/powerview/get_group_member | 返回给定组的成员 |
| situational_awareness/network/powerview/get_localgroup | 返回本地或远程计算机上指定本地组中所有当前用户的列表 |
| situational_awareness/network/powerview/get_loggedon | 执行NetWkstaUserEnum Win32API调用以查询主动登录主机的用户 |
| situational_awareness/network/powerview/get_object_acl | 返回与特定活动目录对象关联的ACL |
| situational_awareness/network/powerview/get_ou | 获取域中所有当前OU的列表 |
| situational_awareness/network/powerview/get_rdp_session | 在给定的RDP远程服务中查询活动会话和原始IP |
| situational_awareness/network/powerview/get_session | 执行NetSessionEnum Win32API调用以查询主机上的活动会话 |
| situational_awareness/network/powerview/get_site | 获取域中所有当前站点的列表 |
| situational_awareness/network/powerview/get_subnet | 获取域中所有当前子网的列表 |
| situational_awareness/network/powerview/get_user | 查询给定用户或指定域中用户的信息 |
| situational_awareness/network/powerview/map_domain_trust | 使用.CSV输出映射所有可访问的域信任 |
| situational_awareness/network/powerview/process_hunter | 查询远程机器的进程列表 |
| situational_awareness/network/powerview/set_ad_object | 使用SID,名称或SamAccountName来查询指定的域对象 |
| situational_awareness/network/powerview/share_finder | 在域中的计算机上查找共享 |
| situational_awareness/network/powerview/user_hunter | 查找指定组的用户登录的机器 |
| 模块名 | 功能 |
|---|---|
| trollsploit/get_schwifty | 播放Schwifty视频,同时把计算机音量设置最大 |
| trollsploit/message | 发送一个消息框 |
| trollsploit/process_killer | 终止以特定名称开头的任何进程 |
| trollsploit/rick_ascii | 生成一个新的powershell.exe进程运行Lee Holmes' ASCII Rick Roll |
| trollsploit/rick_astley | 运行SadProcessor's beeping rickroll |
| trollsploit/thunderstruck | 播放Thunderstruck视频,同时把计算机音量设置最大 |
| trollsploit/voicetroll | 通过目标上的合成语音朗读文本 |
| trollsploit/wallpaper | 将.jpg图片上传到目标机器并将其设置为桌面壁纸 |
| trollsploit/wlmdr | 在任务栏中显示气球提示 |