Demostración en vídeo de este post

Empire Framework y Chisel se pueden integrar gracias a los componentes disponibles en Empire Framework.  Es posible aprovechar las funcionalidades de Chisel en Empire Framework, sin embargo antes de continuar, es conveniente repasar el uso básico de Chisel y para ello se encuentra disponible el post titulado «Pivoting y movimientos laterales con Chisel y SSHL» en donde se describe el uso de la herramienta y cómo puede ayudar en las labores de evasión de firewalls o restricciones de red gracias al establecimiento de túneles.

Se empezará por lo básico, hay que montar un entorno que permita realizar las pruebas para saber hasta donde se puede llegar con la herramienta y luego, ver las opciones que tiene disponibles el módulo powershell/management/invoke_sharpchisel de Empire Framework.
En este caso la configuración planteada es la siguiente:

• Máquina del atacante: Kali con Empire Framework instalado y actualizado. Tiene conectividad con la máquina comprometida pero no con la máquina objetivo. Con Empire Framework se pretende usar la máquina comprometida como un pivote para llegar al objetivo.
• Máquina comprometida (pivote): Windows 8.1 conectado a dos redes, la primera de ellas conecta con la máquina del atacante y la segunda con la máquina objetivo.
• Máquina objetivo: Ubuntu (metasploitable 2 por simplicidad y para evitar consumo de RAM innecesario con varias VMs levantadas). Máquina conectada a una única red, solamente tiene conexión con la máquina comprometida y no llega a la máquina del atacante.

Con el entorno explicado, procede ver qué opciones admite el módulo de invoke_sharpchisel, las cuales se pueden ver en la siguiente imagen.

Las opciones son simples, hace falta indicar un agente que será donde se ejecute el módulo, la especificación del túnel  para el acceder al objetivo y la ubicación donde el servidor de Chisel se encuentra en ejecución. Hay un detalle importante y es que tal como indica en la descripción del módulo, éste se ha probado sobre la versión 1.7.2 y a la fecha de redactar este post la última versión es la 1.7.6. No obstante, las pruebas se han hecho con la última versión de la herramienta y como se verá a continuación, han funcionado correctamente, lo único es que en el servidor aparecerá un mensaje en el que se indica que el cliente y el servidor de Chisel no están usando la misma versión pero no afecta al comportamiento de ninguno de los dos componentes.

Ahora bien, para que se pueda pivotar es necesario ejecutar el componente servidor en la máquina comprometida, que es precisamente la que permitirá el acceso a la máquina objetivo. Como se ha mencionado en el post de «Pivoting y movimientos laterales con Chisel y SSHL«, el componente servidor es el que habitualmente debe proporcionar las rutas para poder pivotar. En el repositorio de Chisel se encuentra el ejecutable para Windows, por lo tanto es tan simple con subir dicho binario a la máquina comprometida y lanzarlo con las opciones adecuadas.

Ahora es el momento de utilizar el módulo de Empire Framework que simplemente ejecutará el componente cliente para establecer la conexión con el servidor.

Como se puede ver en la imagen anterior resulta muy simple, se establece la conexión con el servidor de Chisel, el cual se ha tenido que establecer en la opción Server y a continuación, con la opción Remote se indica cómo debe crearse el túnel. En este caso concreto, el puerto «7890» se abrirá en la máquina comprometida y posteriormente, todo el tráfico entrante por dicho puerto será enrutado a la IP 10.10.1.113 en puerto 8180, que es precisamente el servicio de Tomcat que se encuentra disponible en Metasploitable 2.
Hay que tener en cuenta que la apertura del puerto «7890» no es inmediata, es prudente esperar entre 30 segundos y un minuto antes de intentar conectarse, a veces puede tardar un poco más.
A partir de este punto es posible utilizar el módulo de Chisel en Empire Framework para crear tantos túneles como sea necesario y pivotar a los diferentes servicios que se encuentran disponibles en el objetivo, es decir, no hay ningún problema a la hora de crear múltiples túneles contra diferentes IPs o servicios a los que el atacante no puede acceder directamente pero sí la máquina comprometida.

Como se puede ver en la imagen anterior, basta simplemente con modificar la opción Remote con la especificación del túnel adecuada y ejecutar el módulo. No ha sido necesario establecer otras opciones como Server o Agent ya que éstas se habían establecido previamente.
En un próximo post hablaremos un poco más de otro componente interesante en Empire Framework que permite levantar un servidor Chisel y automatizar aún más el trabajo.

Un saludo y Happy Hack!
Adastra.