Chociaż PowerSploit ma wiele modułów, które są przydatne do późniejszej eksploatacji, skupimy się na module PowerView w podkatalogu Recon. Z naszego pola Kali uruchommy serwer WWW w katalogu PowerSploit:
Następnie na naszym serwerze docelowym załadujmy moduł PowerView. Możemy to zrobić za pomocą stagera iex/iwr:
Następnie wypróbujmy niektóre z funkcji, które omówiliśmy wcześniej. Najpierw zdobądźmy informacje o naszej domenie:
To te same informacje, które widzieliśmy wcześniej, ale są o wiele prostsze. Ponadto możemy uzyskać listę OU, jak poprzednio:
Aby uzyskać listę kontroli dostępu (ACL) dla jednostki organizacyjnej administratora, możemy użyć polecenia cmdlet Get-DomainObjectAcl:
Niestety, SID użytkownika nie jest rozwiązany, a uprawnienia są nadal w formie GUID, podobnie jak w metodzie ADSI z wcześniejszego artykułu. PowerView może pomóc nam je przekonwertować, aby wyjaśnić dostęp każdego użytkownika. Użyjmy polecenia cmdlet ConvertFrom-SID i opcji -ResolveGuids do Get-DomainObjectAcl, aby to uporządkować:
Dzięki temu odczyt danych jest znacznie łatwiejszy. Ponadto możemy użyć PowerView do wyszukania użytkowników, którzy mają uprawnienia DCSync, pobierając ACL dla tych, którzy mają albo uprawnienia All privileges albo uprawnienia replication w DN domeny:
Teraz wiemy, których użytkowników należy wybrać, aby przeprowadzić atak DCSync. To tylko kilka elementów, których można szukać. Możemy użyć tych informacji, aby taktycznie znaleźć informacje, których potrzebujemy w domenie, bez wydawania ogromnej liczby zapytań, ale jednym z ulubionych narzędzi jest BloodHound. BloodHound zbierze mnóstwo informacji AD, a następnie pozwoli przeszukać dane w przeglądarce baz danych grafów o nazwie Neo4j. Wadą tego jest to, że wydaje ogromne ilości zapytań, a bardziej dojrzałe organizacje szukają ich, aby zidentyfikować złośliwe intencje, więc nie jest to szczególnie bezpieczne pod kątem bezpieczeństwa operacyjnego.