雙效合一：DeathStar配合empire進行自動化攻擊

在我介紹這一攻擊方法之前，我先藉此機會說明:在你滲透測試中，拿下域管並不是唯一的目標。你應該更加註意後期的攻擊範圍，嘗試找到一些敏感的Pll，文檔等等可以泄漏出管理信息的東西。如果這些管理信息被泄漏，那麼這個組織也會受到很大的影響。但是拿下域管理員確實可以讓滲透測試更容易。

測試目標以及決定使用的方法

起初，我只是利用BloodHounds的輸出，將其發送到empire，然後通過empire進行自動攻擊。但是BloodHound並沒有考慮到有些路徑可以進行提權的問題(比如SYSVOL中的GPP密碼)。

所以我想寫一個更加活躍的BloodHound，使其具有蠕蟲的行為。 另外，Empire具有大多數BloodHound能夠實現的函數，所以我決定使用Empire並且使用RESTfulAPI將所有行為進行自動化。

這就會讓我可以隨意查看每個模塊的輸出，並且對整個滲透過程中的邏輯和用戶的反饋有更多的控制。

工作流程什麼？

下面的流程圖我認為解釋的很好，並且DeathStar它的功能太過強大，在這篇文章中無法徹底的解釋這個工具。

如果你之前，在AD域中進行過滲透測試，你應該對上述流程圖比較熟悉。

進行實驗

目前，如果你想DeathStar與Empire進行工作，你就需要下載我在維護的emprie。git下來之後你會看到它包括一些API，以及與RESTfulAPI的交互腳本。

DeathStar - https://github.com/byt3bl33d3r/DeathStarEmpire - https://github.com/byt3bl33d3r/Empire

下載下來之後，執行下面命令：

python empire --rest --username username --password password

這就會啟動Empire命令行以及RESTfulAPI服務。

git clone https://github.com/byt3bl33d3r/DeathStar# Death Star is written in Python 3pip3 install -r requirements.txt# Supply the username and password you started Empires RESTful API with./DeathStar.py -u username -p password

如果一切進行的順利，Death Star會創建一個http偵聽，然後你會看到一個』Polling for Agents』代理狀態，這就意味著你已經連接上了Empire的RESTfulAPI，然後DeathStar在等待第一個Agent。

現在你需要一個在域中的機器連接上Deathstar，這就不是這篇文章講述的範圍，具體看讀者們怎麼發揮吧。

一旦得到一個在域中的agent，Deathstar就會對它進行接管，然後就會開始攻擊。

視頻一：https://www.youtube.com/embed/PTpg_9IgxB0

視頻二：https://www.youtube.com/embed/1ZCkC8FXSzs

在第一個視頻中，它使用的是SYSVOL漏洞中GPP密碼來提升域許可權的，將這些機器的GPO去用於解密登錄憑證進行橫向拓展，最終得到域管登錄的機器。然後運行PSinject注入到以域管帳號運行的一個進程中，然後以明文密碼的方式進行返回。在第二視頻中，使用的是mimikatz進行獲取域管理的憑證。

還有一點我想指出，儘管這兩個視頻都是利用獲取憑證來進行攻擊的。不過Deathstar完全可以通過結合本地管理以及PSinject進行攻擊，而無需獲得憑證。

工具需要完善的地方

Deathstar還可以做很多事情，比如增加更多的提權方法，更多的橫向拓展方法，邏輯還可以更簡單一點，我們還可以做一些後期的開發～當前發布的只是一個初稿。

結論

Deathstar演示了在AD域中使用開源的工具自動獲取域管的可能性。我很希望在不久的將來可以看到更多人使用這樣的思路。

本文翻譯自：Automating the Empire with the Death Star: getting Domain Admin with a push of a button，如若轉載，請註明來源於嘶吼： 雙效合一：DeathStar配合empire進行自動化攻擊 - 嘶吼 RoarTalk 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：