Koadic与Meterpreter和Empire相比有何独特优势？

在红队工具的竞争格局里，Koadic常被放在Meterpreter和Empire的对比表中。表面上它们都提供后渗透功能，但细究底层实现与操作模型，Koadic展现出几项不容忽视的独特优势，这些优势直接影响到渗透速度、隐蔽性以及跨平台适配能力。

核心技术差异

Meterpreter 基于 C 语言的二进制 payload，依赖于 Metasploit 的加载器；Empire 则采用 PowerShell 作为主要载体，要求目标系统至少启用 PowerShell。Koadic 则把攻击载荷包装成 JScript/VBScript，借助 Windows Script Host（WSH）直接在内存中执行，从而省去额外的解释器依赖。

脚本宿主的灵活性

WSH 在 Windows 2000 之后的所有版本均默认安装，即使在严格的企业环境里，常见的 PowerShell 执行策略也会被禁用，Koadic 仍能利用 mshta、rundll32、regsvr32 等合法系统工具完成载荷投递。这种“合法工具链”让安全产品难以通过特征匹配进行拦截。

免杀与兼容性

• 基于脚本的实现天然免杀，避免了传统二进制 payload 常见的签名检测。
• 支持 32 位与 64 位系统统一 payload，无需分别编译。
• 对 Windows 7/8/10 以及 Server 2008/2012 系列都有完整兼容，甚至可以在未打补丁的 Windows 2000 上运行。
• 利用 WSH 的 COM 接口，可在 PowerShell 被禁用的环境下仍然实现文件下载、进程注入等高级功能。

实战案例简析

一次内部渗透演练中，团队先通过 mshta 触发 Koadic 的 stager/js/mshta，随后在目标机器上直接加载 implant/elevate/bypassuac_fodhelper，完成 UAC 绕过并获得 SYSTEM 权限。整个过程不涉及 PowerShell，防病毒软件仅记录到 mshta 正常调用，未触发任何告警。相同的场景若使用 Meterpreter，则需要额外的 DLL 注入步骤，检测概率显著提升。