標籤:

組合利用Empire和Death Star:一鍵獲取域管理員許可權

自從有了Empire和BloodHound以來,滲透 Active Directory已經變得非常簡單直接,約95%的內網環境我都可以搞定。

我發現自己在一遍又一遍地做著同樣的事情,當這種情況發生時,可能是需要自動化滲透的時候了!畢竟,自動獲得Domain Admin許可權的滲透腳本一直不就是個夢想嗎?

幸運的是,對我現在要做的事情來說,已經有很多其他令人敬畏的人(見下面的「致謝」部分)已經做了所有的努力。此外,Empire之前提供了一個RESTful API,它創建了與之互動的第三方腳本。

在我繼續實現自動化獲取許可權的想法之前,我藉此機會說一下:域管理員不應該成為你滲透測試的唯一範圍。你應該專註於後期的滲透和漏洞利用,試圖找到敏感的許可權,文件等。任何可以清楚地證明是個「管理」的東西,無論它可能會對組織有多大的影響,尤其是你在做一個真實的世界的入侵時。但是,使用域管理員訪問許可權確實可以使生活更輕鬆;),為客戶提供額外的價值,並且往往會對Blue Team留下深刻的印象。

項目目標和實現

最初,我想要的東西只是使用BloodHounds的輸出結果,然後進行解析,再輸入到Empire並使其遵循攻擊「鏈」。然而,BloodHound並沒有考慮到(至少在我的知識中)賬戶路徑,可以用於域進行許可權升級,例如SYSVOL中的GPP密碼(我個人發現幾乎在每一次滲透測試中)都可以實現。

所以我想要一個更「活躍」的帶有 「蠕蟲」行為的BloodHound版本。此外,Empire擁有BloodHound的大部分核心功能, 涵蓋了所有的模塊和Empire目前沒有一個模塊可以輕易地實現一個BloodHound所擁有的智能的功能的任何東西,(例如,ACL攻擊路徑更新,這是一個瘋狂的滲透方式)。

我決定堅持使用Empire,並使用其RESTful API自動化所有內容。這也將使我自由地解析模塊的輸出,因為我認為這樣比較合適,並且對整體邏輯和用戶反饋有更多的控制。

在引擎罩下都做了什麼?

下面的流程圖非常詳細的說明了(我個人認為)DeathStar做得要比我在博文中所做的解釋更好。

如果你最近已經嘗試過滲透Active Directory,那麼你應該熟悉該圖中的所有內容。如果沒有,請隨時找我,我很樂意回答任何問題。

配置

編輯於08/28/2017 – Empire2.1發布,更改合併,所以你現在可以使用主要的Empire倉庫與DeathStar:)

  • DeathStar – github.com/byt3bl33d3r/
  • Empire – github.com/EmpireProjec

克隆Empire,進行安裝,然後運行以下:

pythonEmpire--rest --username用戶名 --password密碼n

這將啟動Empire的控制台和RESTful API伺服器。

接下來,要讓DeathStar開始運行:

git clone https://github.com/byt3bl33d3r/DeathStar#n

死亡之星是用Python 3編寫的

pip3 install -r requirements.txtn

#提供你啟動的用戶名和密碼給Empire的RESTful API

./DeathStar.py -u用戶名-p密碼n

如果一切順利,死亡之星將創建一個http監聽器,你應該看到一個「Polling for Agents」的狀態:這意味著你已經通過Empire的RESTful API進行了身份驗證,而DeathStar正在等待第一個代理。

所有你現在需要的是在一個域上加入機器的代理,你的做法超出了本博文的所講述的內容的範圍。我建議使用CrackMapExec,但我有個人偏見。

它在行動中是什麼樣子?

一旦你獲得了第一個代理,DeathStar將進行接管並且魔法即將開啟。

以下是兩個不同場景中DeathStar獲取域管理許可權的幾個視頻。

在第一個視頻中,它使用SYSVOL漏洞中的GPP密碼來提升域許可權,將GPO應用於使用解密的憑據的機器進行橫向擴展,並最終登陸到具有域管理員登錄的機器上,然後枚舉運行的進程並且使用PSInject注入一個進程(默認情況下是explorer.exe),運行在Domain Admin帳戶中,之後在該安全上下文中運行我們的代理:

youtu.be/PTpg_9IgxB0

在第二個視頻中,它實際上使用了Mimikatz獲取域管理員的憑據,並濫用本地管理員關係:

youtu.be/1ZCkC8FXSzs

有一件事我想指出:雖然這兩個視頻以某種方式利用了憑據,但是DeathStar可以通過使用本地管理員關係和PSInject的組合來獲取域管理員許可權,而無需使用集合的憑據。

我想看到添加的東西

死亡之星還有很多可以做到的事情:可以添加更多的域許可權提升技術,更多的橫向運動方法,邏輯可以稍微再調整一點,我們可以做一些後期的漏洞利用和SPN 欺騙技巧等。當前的發布絕對是一個比較粗暴的初稿版本。

滲透測試這個遊戲的轉折點將是SMB命名管道旋轉。一旦在Empire中實現,這將會成為一個連 「走路和說話」都像一個真正的蠕蟲的工具。

結論

DeathStar演示了在Active Directory環境中使用現有的開源工具集自動獲取域管理員許可權的明顯案例。我期望看到更多的工具在不久的將來會這樣做(我個人知道兩個人正在使用自己的版本/實現,這是非常棒的,我鼓勵更多的人這樣做)。

最後一點我想讓大家反思一下:我已經發布了有3-4天了。想像一下,比我一堆更聰明的人能做些什麼/已經有更多的時間和資源。這是我認為特別有趣的東西。

致謝

沒有這些人的令人驚人的研究和艱苦的工作(你應該在任何一個地方都關注這些人),我的這個想法也不可能實現,我想親自感謝他們不斷的支持和鼓勵:)

  • harmj0y
  • wald0
  • mattifestation
  • rvrsh3ll
  • xorrior
  • CptJesus
  • subTee

本文翻譯自:byt3bl33d3r.github.io/a ,如若轉載,請註明來源於嘶吼: 4hou.com/penetration/77

推薦閱讀:

黑客技術是否可以被用於打擊犯罪?
蘋果升級日!iOS、macOS雙雙發布更新,修復了數十個漏洞
繞過DKIM驗證,偽造釣魚郵件

TAG:信息安全 |