利用Empire获取域控权限

文章翻译自http://www.harmj0y.net/blog/empire/expanding-your-empire/ ，根据自我理解略有改动。

权限提升

首先我们可以在主agent菜单中查看用户名前有没有*来判断我们获取到的权限是否是高权限，也可以利用info命令根据是否有“high_integrity = 1”来判断。

由于需要一定权限才可以获取凭证，所以我们第一时间尝试提权。

在Empire中可以使用shell命令来执行windows中的命令，发现我们当前用户“dfm”在本地管理组里面：

虽然在管理组里面，但是我们的agent并不是所谓的高权限，猜测可能是uac作祟，尝试使用Empire的bypassuac功能获取高权限会话：

可以看到，我们的用户名前面多了个前面提到的*。

凭据收集

我们使用ps命令查看该agent上的进程，发现有个“Mike”用户的进程：

使用mimikatz命令获取Mike用户凭据：

Empire中还可以使用“creds”命令进行可视化查看：

输入creds <filter>命令查看指定用户的凭据：

用户枚举

输入“usemodule situational_awareness/network/powerview/get_user“命令查看Mike该用户的详细信息：

通过上图发现MIke用户是Workstation Admins组成员，第一章里面也提到Workstation Admins组属于本地管理组，这意味着我们可以尝试使用这些凭据对访问该组的其他成员。

HUNTING

使用situational_awareness/network/powerview/user_hunter模块来做一些有趣的事，该模块利用“Invoke-UserHunter"默认来获取域管登录过哪些机器：

发现域管DEV\will-da从192.168.99.136登录过192.168.99.14，我们尝试Mike用户是否有权限登录192.168.99.136。

使用ping -a命令获取目标机器的机器名：

使用situational_awareness/network/powerview/get_localgroup模块哪些用户可以登录192.168.99.136（DEVWKSTNx64）：

通过上图发现Workstation Admins组是目标机器上的本地管理组之一，且Mike用户有权限登录该机器。

横向渗透

我们尝试窃取Mike用户的进程令牌来获取目标机器的访问权限，发现Mike用户有个cmd进程在运行着。可以利用ps cmd命令过滤ps输出：

使用steal_token <PID>命令窃取令牌，尝试获取目标机器C盘：

OK，我们已经有权限了。

然后利用usemodule lateral_movement/invoke_wmi命令来获取再一个Empire agent：

通过设置Listener和ComputerName来执行，如果失败，可以通过设置CredID继续尝试：

成功获取再一个Empire agent，利用mimikatz继续获取新的凭据：

利用management/psinject模块进行进程注入，注入到will-da执行的进程中：

使用situational_awareness/network/powerview/get_domain_controller模块获取域控制器：

顺利访问域控：

HOPPING THE TRUST

我们这次目的是获取父域lab.local权限。

首先使用situational_awareness/network/powerview/get_domain_trust模块查看信任关系：

通过上图发现，子域和父域存在双向信任，可以利用子域凭证获取父域权限。

首先利用management/user_to_sid模块获取父域lab\krbtgt的SID：

利用credentials/mimikatz/dcsync模块获取子域dev.lab.local中krbtgt账号hash：

前面提到的creds命令也可以，并生成对应的CredID：

我们利用credentials/mimikatz/golden_ticket模块实行“黄金票据”攻击。

把刚刚获取到的SID中的502改成509：

获取父域lab.local中krbtgt用户hash：

现在我们拥有两个域的krbtgt账号hash：

利用父域lab.local中krbtgt的hash继续进行“黄金票据”攻击：

成功获取对父域lab.local的域控访问权限：