Empire’Tool: Post’explotación & powershell (parte.III)


Empire'Tool, 3, TH-blog - 002

Captura 1: Final (artículo) -; Empire’Tool: Post’explotación & powershell (parte.II) :)
Captura 1: Final (artículo) -; EmpireTool: Postexplotación & powershell (parte.II) 🙂

Empire'Tool, 3, TH-blog - 004


Empire'Tool, 3, TH-blog - 005 -/ Ahora "comenzará" a <cargar> los "módulos de <explotación>" del <UAC>, como se puede "observar" aparece el siguiente <mensaje> que nos "indica" que se está <llevando a cabo> la "ejecución" de los <servicios> "enfocados" en cada <sección>;

Empire'Tool, 3, TH-blog - 006\- Una vez "cargado" vamos a <ejecutar> el "bypass" para <explotarlo> en "one";

Empire'Tool, 3, TH-blog - 007Empire'Tool, 3, TH-blog - 008/- Tras la "carga" e <iniciar> la "activación", nos <dirigimos" hacia la "lista" e <interpretaremos> con el "nuevo proceso" llamado <UTLZ1UEP1LEXHPKG>; "usuario administrativo interceptado";

Empire'Tool, 3, TH-blog - 009Empire'Tool, 3, TH-blog - 011\- De nuevo vamos a "nombrar" dicho <nombre del "servicio"> como; 

Empire'Tool, 3, TH-blog - 012Empire'Tool, 3, TH-blog - 013/- Para "terminar" vamos a <observar> los "procesos" que están <corriendo>. Como se puede ver, son los <procesos> "administrativos";

Empire'Tool, 3, TH-blog - 014Empire'Tool, 3, TH-blog - 015Empire'Tool, 3, TH-blog - 016
\- En este caso hemos "seleccionado" el <proceso> "explorer" que tiene el <PID "292"> para "inyectar" la <sesión> y, como se puede "observar", hemos <creado> otro "servicio" con el nombre <1Z2NWDRLUUV1D1KK> pero "cambiando" el <proceso> que le "otorgamos";

Empire'Tool, 3, TH-blog - 017Empire'Tool, 3, TH-blog - 018Empire'Tool, 3, TH-blog - 019Empire'Tool, 3, TH-blog - 020/- Ahora vamos a "dumpear" el <sistema> mediante "mimikatz", en este caso vamos a "seleccionar" el <usuario "administrativo">; "PhishedUserHigh". 

Empire'Tool, 3, TH-blog - 021Empire'Tool, 3, TH-blog - 022Empire'Tool, 3, TH-blog - 023Empire'Tool, 3, TH-blog - 024Empire'Tool, 3, TH-blog - 025Empire'Tool, 3, TH-blog - 026\- Esperamos a que "cargue" el <módulo> de "dumpeo" ;)

Empire'Tool, 3, TH-blog - 027/- Y eso es todo "amiguitos", más en próximos artículos, espero que hayáis disfrutado y, sobre todo, aprendido ;)

Empire'Tool, 3, TH-blog - 028

Salu2


TonyHAT - 420

Anuncios

Un comentario en “Empire’Tool: Post’explotación & powershell (parte.III)”

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s