組合利用Empire和Death Star：一鍵獲取域管理員許可權

自從有了Empire和BloodHound以來，滲透 Active Directory已經變得非常簡單直接，約95％的內網環境我都可以搞定。

我發現自己在一遍又一遍地做著同樣的事情，當這種情況發生時，可能是需要自動化滲透的時候了！畢竟，自動獲得Domain Admin許可權的滲透腳本一直不就是個夢想嗎？

幸運的是，對我現在要做的事情來說，已經有很多其他令人敬畏的人（見下面的「致謝」部分）已經做了所有的努力。此外，Empire之前提供了一個RESTful API，它創建了與之互動的第三方腳本。

在我繼續實現自動化獲取許可權的想法之前，我藉此機會說一下：域管理員不應該成為你滲透測試的唯一範圍。你應該專註於後期的滲透和漏洞利用，試圖找到敏感的許可權，文件等。任何可以清楚地證明是個「管理」的東西，無論它可能會對組織有多大的影響，尤其是你在做一個真實的世界的入侵時。但是，使用域管理員訪問許可權確實可以使生活更輕鬆;)，為客戶提供額外的價值，並且往往會對Blue Team留下深刻的印象。

項目目標和實現

最初，我想要的東西只是使用BloodHounds的輸出結果，然後進行解析，再輸入到Empire並使其遵循攻擊「鏈」。然而，BloodHound並沒有考慮到（至少在我的知識中）賬戶路徑，可以用於域進行許可權升級，例如SYSVOL中的GPP密碼（我個人發現幾乎在每一次滲透測試中）都可以實現。

所以我想要一個更「活躍」的帶有 「蠕蟲」行為的BloodHound版本。此外，Empire擁有BloodHound的大部分核心功能， 涵蓋了所有的模塊和Empire目前沒有一個模塊可以輕易地實現一個BloodHound所擁有的智能的功能的任何東西，（例如，ACL攻擊路徑更新，這是一個瘋狂的滲透方式）。

我決定堅持使用Empire，並使用其RESTful API自動化所有內容。這也將使我自由地解析模塊的輸出，因為我認為這樣比較合適，並且對整體邏輯和用戶反饋有更多的控制。

在引擎罩下都做了什麼？

下面的流程圖非常詳細的說明了（我個人認為）DeathStar做得要比我在博文中所做的解釋更好。

如果你最近已經嘗試過滲透Active Directory，那麼你應該熟悉該圖中的所有內容。如果沒有，請隨時找我，我很樂意回答任何問題。

配置

編輯於08/28/2017 - Empire2.1發布，更改合併，所以你現在可以使用主要的Empire倉庫與DeathStar:)

DeathStar - https://github.com/byt3bl33d3r/DeathStar

Empire - https://github.com/EmpireProject/Empire

克隆Empire，進行安裝，然後運行以下：

pythonEmpire--rest --username用戶名 --password密碼

這將啟動Empire的控制台和RESTful API伺服器。

接下來，要讓DeathStar開始運行：

git clone https://github.com/byt3bl33d3r/DeathStar＃

死亡之星是用Python 3編寫的

pip3 install -r requirements.txt

＃提供你啟動的用戶名和密碼給Empire的RESTful API

./DeathStar.py -u用戶名-p密碼

如果一切順利，死亡之星將創建一個http監聽器，你應該看到一個「Polling for Agents」的狀態：這意味著你已經通過Empire的RESTful API進行了身份驗證，而DeathStar正在等待第一個代理。

所有你現在需要的是在一個域上加入機器的代理，你的做法超出了本博文的所講述的內容的範圍。我建議使用CrackMapExec，但我有個人偏見。

它在行動中是什麼樣子？

一旦你獲得了第一個代理，DeathStar將進行接管並且魔法即將開啟。

以下是兩個不同場景中DeathStar獲取域管理許可權的幾個視頻。

在第一個視頻中，它使用SYSVOL漏洞中的GPP密碼來提升域許可權，將GPO應用於使用解密的憑據的機器進行橫向擴展，並最終登陸到具有域管理員登錄的機器上，然後枚舉運行的進程並且使用PSInject注入一個進程（默認情況下是explorer.exe），運行在Domain Admin帳戶中，之後在該安全上下文中運行我們的代理：

https://youtu.be/PTpg_9IgxB0

在第二個視頻中，它實際上使用了Mimikatz獲取域管理員的憑據，並濫用本地管理員關係：

https://youtu.be/1ZCkC8FXSzs

有一件事我想指出：雖然這兩個視頻以某種方式利用了憑據，但是DeathStar可以通過使用本地管理員關係和PSInject的組合來獲取域管理員許可權，而無需使用集合的憑據。

我想看到添加的東西

死亡之星還有很多可以做到的事情：可以添加更多的域許可權提升技術，更多的橫向運動方法，邏輯可以稍微再調整一點，我們可以做一些後期的漏洞利用和SPN 欺騙技巧等。當前的發布絕對是一個比較粗暴的初稿版本。

滲透測試這個遊戲的轉折點將是SMB命名管道旋轉。一旦在Empire中實現，這將會成為一個連 「走路和說話」都像一個真正的蠕蟲的工具。

結論

DeathStar演示了在Active Directory環境中使用現有的開源工具集自動獲取域管理員許可權的明顯案例。我期望看到更多的工具在不久的將來會這樣做（我個人知道兩個人正在使用自己的版本/實現，這是非常棒的，我鼓勵更多的人這樣做）。

最後一點我想讓大家反思一下：我已經發布了有3-4天了。想像一下，比我一堆更聰明的人能做些什麼/已經有更多的時間和資源。這是我認為特別有趣的東西。

致謝

沒有這些人的令人驚人的研究和艱苦的工作（你應該在任何一個地方都關注這些人），我的這個想法也不可能實現，我想親自感謝他們不斷的支持和鼓勵:)

harmj0y

wald0

mattifestation

rvrsh3ll

xorrior

CptJesus

subTee

點擊展開全文

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！