专栏首页鸿鹄实验室域渗透之GPP漏洞

域渗透之GPP漏洞

GPP是指组策略首选项(Group Policy Preference),GPP通过操作组策略对象GPO(Group Policy Object)对域中的资源进行管理。

为什么会产生GPP漏洞?

每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地Administrator密码。也就是说,如果获取了一个系统的Administrator认证凭据,黑客就可以获取他们所有机器的管理权限。

总结:在域中信息的搜集是相当的重要,原因还是因为管理员的操作问题和相应便捷工具带来的安全问题。

密码更改方式一:SYSVOL

SYSVOL是AD(活动目录)里面一个存储域公共文件服务器副本的共享文件夹,所有的认证用户都可以读取。SYSVOL包括登录脚本,组策略数据,以及其他域控所需要的域数据。

默认路径为:

\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\

然后之前的人,常常使用vbs来更改密码,而vbs又是明文密码存储,加上路径域内可随意访问,也就导致了信息漏洞的存在。

密码更改方式二:Group Policy Preferences

在2006年,微软收购了桌面标准的“PolicyMaker”,并重新借此与win2008发布了GPP(组策略偏好)。其中GPP最有用的特性,是在某些场景存储和使用凭据,其中包括:

映射驱动(Drives.xml)
创建本地用户
数据源(DataSources.xml)
打印机配置(Printers.xml)
创建/更新服务(Services.xml)
计划任务(ScheduledTasks.xml)
更改本地Administrator密码

在Group Policy Preferences,选中你的域。右键选择在这个域中创建GPO并在此处链接

随意设置一个名称

然后依次选择:设置-右键-编辑-用户配置-首选项-控制面板设置-本地用户和组

然后,右键选择新用户,对用户密码进行更改

设置后,可以在详细哪里,看到这次组策略的ID

然后回到之前说的那个路径,加上id\\User\Preferences\Groups

得到更改的xml文件。

其中的cpassword项,保存的是加密后的内容,加密方式为AES 256,虽然目前AES 256很难被攻破,但是微软选择公开了该AES 256加密的私钥,地址如下:

借助该私钥,我们就能还原出明文

攻击方法

因为我们知道了,密码是可以被破解的,那么直接拿来破解不久完事了。。。

除了这个之外呢,我们也可以使用powersploit套件里面的Get-GPPPassword.ps1进行域内尝试。

果有密码就会直接显示出来。

防御

关于这个漏洞,微软给出来了相关的补丁KB2962486,安装后则无法输入密码,2012系统默认集成。

参考文章:

https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-gppref/2c15cbf0-f086-4c74-8b70-1f2fa45dd4be?redirectedfrom=MSDN

本文分享自微信公众号 - 鸿鹄实验室(gh_a2210090ba3f),作者:鸿鹄实验室a

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-06-05

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 浅谈个人对一个高性能红队建设的一些想法

    本人有幸参加了一些线下的攻防演练,比较熟悉攻防对抗的流程和手法,和很多师傅们在线下也有过深入学习交流,同时也产生了一些自己的想法。

    陈殷
  • 浅谈个人对一个高性能红队建设的一些想法

    本人有幸参加了一些线下的攻防演练,比较熟悉攻防对抗的流程和手法,和很多师傅们在线下也有过深入学习交流,同时也产生了一些自己的想法。

    黑白天安全
  • [干货基础]域渗透学习

    Kerberos是一种由MIT提出的一种计算机网络授权协议,旨在通过使用加密技术为客户端/服务端应用程序提供强大的认证服务。域内访问其他应用应遵循服务Kerbe...

    天钧
  • 史上最强内网渗透知识点总结

    文章内容没谈 snmp 利用,可以去乌云等社区获取,没有后续内网持久化,日志处理等内容。

    信安之路
  • 『权限提升系列』- 组策略首选项提权

    Windows 2008 Server引入了一项称为组策略首选项的新功能,该功能使管理员可以部署影响域中计算机/用户的特定配置。通过在组策略管理控制台中配置的组...

    渗透攻击红队
  • DeathStar:一键自动化域渗透工具

    Empire和BloodHound这两个Github项目极大程度地简化了针对活动目录(AD)的渗透测试过程,至少在我当前所遇到的95%的环境中是这样的。随着年月...

    FB客服
  • 实战 | 记一次Vulnstack靶场内网渗透(三)

    在上一节《记一次Vulnstack靶场内网渗透(二)》中,我们简单的对vulnstack 4的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控...

    HACK学习
  • 从cve到幸运域控

    前言 这次渗透测试是从一个CVE开始的,从阿三外网的Jboss打点到内网然后到域控,手法很简单常规,主要还是要扩展一下思路吧哈哈哈!

    黑白天安全
  • 针对某个目标的渗透测试下(内网渗透)

    通过外部资产中获取的JBoss的shell马,拿下了一个冰蝎的webshell。拿到shell之后我一开始是打算上线CS的,但是这里一直都上线不了,不用看了大概...

    黑白天安全
  • HW弹药库之红队作战手册

    上个月5月9号发了两个HW红方弹药库的,今天再来发一个红队作战人员手册,我大概看了看手册里面的exp零组文档包含了很多,

    天钧
  • 渗透测试流程和方法

    渗透测试,是为了证明网络防御按照预期计划正常运行而提供的一种机制。不妨假设,你的公司定期更新安全策略和程序,时时给系统打补丁,并采用了漏洞扫描器等工具,以确保所...

    天钧
  • 域安全篇:寻找SYSVOL里的密码和攻击GPP

    在2015年的黑帽大会和DEFCON上,我曾谈过黑客会如何从域用户提权到域管理。 密码的难题 每台Windows主机有一个内置的Administrator账户以...

    FB客服
  • 网站安全测试 查找漏洞工具分析

    渗透测试这些是经常谈到的问题了,我觉得当有了渗透接口测试之后你就会发现渗透测试这一方面也就是:1.基本漏洞测试;2.携带"低调"构思的心血来潮;3.锲而不舍的信...

    技术分享达人
  • 渗透测试网站漏洞代码分析与检测

    渗透测试这些是经常谈到的问题了,我觉得当有了渗透接口测试之后你就会发现渗透测试这一方面也就是:1.基本漏洞测试;2.携带"低调"构思的心血来潮;3.锲而不舍的信...

    网站安全专家
  • 一篇文章精通PowerShell Empire 2.3(下)

    Empire主要用于后渗透。所以信息收集是比较常用的一个模块,我们可以使用searchmodule命令搜索需要使用的模块,这里通过键入“usemodule co...

    HACK学习
  • 内网渗透 | 浅谈域渗透中的组策略及gpp运用

    最近在实战过程中遇到了组策略,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。

    HACK学习
  • 渗透测试基础笔记

    渗透测试就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。

    wuming
  • 攻防世界web进阶区unfinish详解

    渗透测试就是一种通过模拟恶意攻击者的技术与方法,挫败目标系统安全控制措施,取得访问控制权,并发现具备业务影响后果安全隐患的一种安全测试与评估方式。

    wuming
  • 渗透测试流程与方法

    渗透测试(penetration test)是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。这个过程包括对系统的任何弱点、技术缺陷或漏洞的...

    Ms08067安全实验室

扫码关注云+社区

领取腾讯云代金券