💻
My Personal Hacking Path
  • 👓Wellcome
    • My Personal Hacking Path
      • Whoami
  • 📚Mi Metodología de Pentesting
    • Tipos de evaluaciones
      • El día a día en pentesting
    • Metodología Propia
      • OWASP
      • OSSTMM
      • PTES
      • CEH Hacking Metodology (CHM)
      • Cyber Kill Chain
      • MITRE Att&ck
    • Fase 0 - Pre Evalaución
    • Fase 1 - Reconocimiento
      • Web / Host
      • SubDominios
      • Descubrimiento de correos electrónicos
      • Escaneo de Puertos
      • Credenciales y brechas de seguridad
      • ¿Sin Ideas?
    • Fase 2 - Explotación
      • Shells
        • Diferencia entre una WebShell y Reverse Shell
      • Payload
      • Network Penetration Services
        • 20|21 - FTP
        • 22 - SSH
        • 139|445- SMB
        • 80|443 - HTTP/HTTPS
    • Fase 3 - Post Explotación
      • Enumeración
      • Linux
        • Enumeración
        • Privilege Escalation
      • Windows
        • Revershell
        • Windows Enum
        • Privilege Escalation
    • Fase 4 - Reporting
      • CVSS
        • v4.0
      • Toma de notas
  • 👾Malware
    • Malware DevOps
    • Arquitectura de Windows
      • Windows API
      • Procesos de Windows
      • Estructuras no documentadas
    • PE
      • DLL
    • Almacenamiento del Payload
      • .data & .rdata
      • .text
      • .rsrc
    • Cifrado de Payload
      • XOR
      • RC4
      • AES
    • Ofuscación de Payload
      • IPv4/IPv6Fuscation
      • MACFucscation
      • UUIDFuscation
    • Process Injectión
      • DLL Injection
      • Shellcode Injection
      • APC Injection
  • 🌐Web-Pentesting
    • Metodología para Pentesting Web
    • Footprinting
      • Identificación Tecnologías web
        • WordPress
        • Joomla
        • Drupal
        • Magento
      • Fuzzing
      • Validación de los certificados
    • Vulnerabilidades comunes
      • File Upload
      • SQL Injection
      • Cross-site scripting
      • XXE Injection
      • LFI - Local File Inclusion
        • Log Poisoning
      • RFI - Remote File Inclusión
      • CSRF - Cross-Site Request Forgery
      • SSRF - Server-Side Request Forgery
      • SSTI - Server-Side Template Injection
      • CSTI - Client-Side Template Injection
      • Padding Oracle Attack
      • NoSQL Injection
      • LDAP Injection
    • Laboratorios
  • ☁️AWS Pentesting
    • Introducción a Amazon Web Services AWS
    • Acceso Inicial
    • IAM
      • Políticas de IAM
      • Enumeraciones
      • Privesc-Paths
        • Permisos de IAM
        • Permisos sobre políticas
        • AssumeRolePolicy Update
        • IAM:PassRole*
          • PassExistingRoleToCloudFormation
    • S3
      • Enumeración
      • S3_public
      • OSINT
    • Lambda
      • Enum Lambda
      • Enum API Gateway
      • Privesc-Paths
        • RCE sobre Lambda
        • PassExistingRoleToNewLambdaThenInvoke
        • PassRoleToNewLambdaThenTrigger
        • EditExistingLambdaFunctionWithRole
    • EC2
      • Enumeración
      • Privesc-Paths
        • EC2_SSRF
        • CreateEC2WhithExistingIP
        • PassExistingRoleToNewGlueDevEndpoint
        • ECS_takeover
    • VPC
      • Enumeración
      • PivotingInTheCloud
    • Bases de Datos
      • RDS
        • Enumeración
      • DynamoDB
        • Enumeración
    • ECS
      • Enum ECR
      • Enum ECS
      • Enum EKS
    • AWS Secrets Manager
      • Enumeración
    • Análisis de vulnerabilidades Automatizado
    • Blue Team AWS
      • CloudTrail
      • CloudWatch
      • GuardDuty
      • AWS Inspector
      • AWS Shield
      • Web Application Firewall
    • Notas
      • Terraform
  • 🔫Red_Team
    • Introducción a Red Team
      • Assume breach
    • ¿Qué es MITRE ATT&CK?
      • Guia de uso de Invoke-AtomicRedTeam
    • C2 Comando y control
      • Sliver C2
        • Instalación
        • Beacons y Sesiones
        • Perfiles
        • mTLS y WiewGuard
        • HTTP / HTTPS
        • DNS
        • Stagers: Basics
        • Stagers: Proccess Injection
        • Basics de Implates
        • Ejecución de Assembly
        • Sideload
        • SpawnDLL
        • Sliver Extensions
  • 💾Active Directory
    • Teoria
      • Componentes Físicos
      • Componentes Lógicos
      • GPO VS ACL
      • Kerberos
        • Funcionamiento de Kerberos
      • Usuarios por defecto
    • Enumeraciones
      • ¿Por qué enumerar?
      • Enumeración manual
      • Enumeración con PowerView
    • Ataques en AD
      • Mimikats
        • Comandos
      • Password Spraying
      • LLMNR Poisoning
      • Relay Attacks
        • NTLM
      • Kerberoasting
    • Tools
      • AuxRecon
      • Powershell
      • PowerView.ps1
      • ADPeas
      • Mimikatz
        • Comandos
    • AD Lab
  • 🌩️Azure Coud Pentesting
    • Introducción a Azure y Office 365
    • Introducción a Microsoft Indentity Services
    • Enumeración
    • Azure Files
      • Encontrar Fuga de Datos
    • Microsoft Graph
    • Notas
  • 📱Mobile Pentesting
    • Análisis de Aplicaciones Móviles en MobSF
    • ¿Cómo interceptar tráfico de una aplicación Flutter Android con Burp?
  • 📶Wireless
    • Terminología
    • Tipos de Wireless Networks
    • Formas de Autenticación
    • Cifrados
      • WEP
      • WPA
      • WPA2
      • WPA3
    • Ataques
  • 😎Extras
    • Docker
      • Port Forward y volúmenes
      • Docker Compose
      • Container Breakouts
    • Comandos Utiles
    • Fliper Zero
    • Páginas útiles
  • Kali Set Up
Con tecnología de GitBook
En esta página
  • Instalación
  • Usando powershell galley
  • Por IEX (Requiere salida a internet)
  • Por si se quiere cambiar la Ubicación por defecto
  • Instalación Ofline
  • ExecutionPolicy Bypass
  • Ejecución de Atomics
  • Solo mostrar información
  • Ejecución de comandos
  • Logger
  • Logger con mas información
  • Auto Tool
  • Auto Install
  • Auto atomic
  1. Red_Team
  2. ¿Qué es MITRE ATT&CK?

Guia de uso de Invoke-AtomicRedTeam

Instalación

Nota: Requiere powershell 5.0 en adelante

Usando powershell galley

Nota: Casi nunca detienen este tipo de instalación en otros medio

Install-Module -Name invoke-atomicredteam,powershell-yaml -Scope CurrentUser

Por IEX (Requiere salida a internet)

Nota: Normalmente con sistemas proxeados con esta forma puedes darle bypass

IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

En caso de requerir pasar pasar SSL

[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12; IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing); Install-AtomicRedTeam -getAtomics -Force -noPayloads

Por si se quiere cambiar la Ubicación por defecto

Por defecto se instala en la carpeta: C:\AtomicRedTeam\atomics

Install-AtomicRedTeam -InstallPath "c:\tools"

Instalación Ofline

Tener también la carpeta C:\AtomicRedTeam\atomics ya creada

Import-Module .\install-atomicredteam.ps1 ;

ExecutionPolicy Bypass

Por si se tienen la ejecución de scripts deshabilitada, primero ejecutar

powershell -ExecutionPolicy Bypass 
powershell -exec bypass 
powershell -Version 2 -nop -exec bypass

// Para Cambiar la ubicación de los atomics $PSDefaultParameterValues = @{"Invoke-AtomicTest:PathToAtomicsFolder"="C:\Users\myuser\Documents\code\atomic-red-team\atomics"}

Ejecución de Atomics

Solo mostrar información

Muestra información con formato verbolse

Invoke-AtomicTest T1089 -ShowDetails

Ejecución de comandos

Ejecuta la TTP sin comandos de limpieza

Invoke-AtomicTest T1089

Para ejecutar solo los Test específicos

Invoke-AtomicTest T1089 -TestNumbers 1,2

Otra firma de ejecutar solo los Test que se quieren

Invoke-AtomicTest T1089-1,2

Ejecuta los comandos de limpieza de la TTP ( No ejecuta la TTP)

Invoke-AtomicTest T1089 -Cleanup

Logger

Por defecto Invoke-AtomicTest guarda todos las ttps usadas en ($env:TEMP, %tmp%, or \tmp) // Para que no se guarden se puede utilizar

Invoke-AtomicTest T1089 -NoExecutionLog

Guarda en registro (sin salidas de comando) a un fichero csv

Invoke-AtomicTest T1089 -ExecutionLogPath 'C:\Temp\mylog.csv'

Logger con mas información

Invoke-AtomicTest T1016 -LoggingModule "Attire-ExecutionLogger" -ExecutionLogPath T1016-Windows.json

Genera un json e importas en la herramienta VECTR para verlo gráficamente

Auto Tool

Descargas la herramienta y luego ejecutas

Auto Install

.\AutoAtomic.ps1 -i -p

Auto atomic

.\AutoAtomic.ps1 -TestFile ttps.txt

Requiere de un archivo ttps.txt donde se especifique cuales atomics se van a ejecutar, por ejemplo:

ttps.txt
T1033
T1087.002
T1497.001-2
Anterior¿Qué es MITRE ATT&CK?SiguienteC2 Comando y control

Última actualización hace 1 año

Tener descargado los scripts de

🔫
https://github.com/redcanaryco/invoke-atomicredteam.git
GitHub - SecurityRiskAdvisors/VECTR: VECTR is a tool that facilitates tracking of your red and blue team testing activities to measure detection and prevention capabilities across different attack scenariosGitHub
GitHub - Fatake/AutoAtomic: Script in PowerShell to make automatic a Atomic Red Team whit invoke-atomicredteam and Logger to json VECTR formGitHub
Logo
Logo