lab นี้เป็นการทดสอบใช้งาน Empire + DeathStar เพื่อยึด Active Directory ครับ โดยใน lab นี้ประกอบไปด้วย

  • Kali 2017.2 (192.168.100.101)
  • Windows 7 (Join AD) (192.168.100.100)
  • Windows Server 2012 R2 AD (192.168.100.1)

Kali

1. ติดตั้ง Empire

2. ติดตั้ง Deathstar

3. Deathstart connect ไปยัง Empire

4. กลับไปยัง Empire สร้าง Listener และ powershell ขึ้นมา

5. ติดตั้ง ntlmrelayx.py

NTLMRelayx.py เป็น python script สำหรับการทำ relay NTLMv1/v2

สิ่งที่เกิดขึ้นคือเราจะเปิด smb ค้างไว้ที่เครื่องของ Kali เมื่อมีการเข้าใช้งาน smb service ดังกล่าว ตัว Client (Windows 7) ก็จะส่ง NTLM มาให้ จากนั้นเราก็ส่งต่อไปยัง Windows Server 2012 AD พร้อมกับกำหนด powershell code ที่จะรันที่ปลายทาง ซึ่งถูกเราสร้างไว้ในขั้นตอนที่ 4 นั่นเอง

6. Run Responder โดยปิดการทำงาน SMB และ HTTP โดยเข้าไปแก้ไข Responder.conf

จากนั้นรันเป็น

  • -r คือการ response netbios wredir suffix queries.
  • -d คือการ response netbios domain suffix queries.
  • -v คือการ enable verbose mode

ทีนี้หากมีการ resolve name ใดๆผิดขึ้นมา มันจะมีการสร้าง NetBIOS ใน subnet เดียวกันขึ้นมา ซึ่งแน่นอนว่า server เราก็จะตอบกลับไปเพื่อหลอกให้ user เข้ามาใน File Sharing Server และได้ NTLM มานั่นเอง

เมื่อ Empire ได้รับ agent แล้ว สิ่งที่เกิดขึ้นต่อคือ Deathstar ก็จะช่วยต่อในการเข้าไปพยายามหา domain controller แล้วนำ credential ที่เรามีไปเข้าเครื่องอื่นต่อทั้งหมดนั่นเอง

Source:: hausec