Geekby's Blog
文章 标签 分类 关于
Geekby's Blog

目录

域环境中的组策略安全测试

 收录于 内网渗透
   约 99 字   预计阅读 1 分钟 

域环境中的组策略安全测试

1 组策略的部署与更新

1.1 组策略的部署

Windows 2016 自带 Server Manager 组策略管理工具

更专业的组策略管理工具 GPMC,可以管理多个域

创建并编辑组策略的内容

组策略分作主机策略和用户策略,machineusers 目录;脚本类型和非脚本类型,script 目录

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20200502094943.png-water_print

1.2 组策略的存储

存储在域服务器中,\\domain\sysvol\policies 以明文形式存储为 xml、ini、inf 等文件

对域内所有用户开放读权限

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20200502095107.png-water_print

1.3 组策略的更新

客户端每 90 分钟主动获取一次组策略,检查组策略是否发生变更

客户端使用 gpupdate /force 强制立即检查组策略

参数可以分为主机和用户, gpupdate /force /target:computer

1.4 组策略的下发与获取

  1. kerberos 协议认证
  2. LDAP 协议检索
  3. SMB 协议下载

组策略的查询原理 LDAP 检索所有的组策略,哪些属于自己的查询策略,服务器决定需要返回哪些策略(版本号是决定的重要因素)

2 组策略密钥攻防

2.1 组策略中的口令明文

通过 VB 脚本部署登录脚本

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190304144747.png-water_print

在 2003 之前较为常见,现已废弃。

2.2 组策略中的口令密文

微软在 windows 2008 中发布了GPP(Group Policy Preferences),KB943729,在 windows 2016 上已禁用。

在某些场景存储使用凭据:

  • 映射驱动(Drivers.xml)
  • 创建/更新服务(Services.xml)
  • 创建本地用户
  • 计划服务(ScheduledTasks.xml)
  • 数据源(DataSources.xml)
  • 更改本地Administrator密码
  • 打印机配置(Printers.xml)

以使用组策略创建本地用户为例:

win 2003

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20100304145027.png-water_print

win 2008

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190305152330.png-water_print

组策略内容:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190304145050.png-water_print

明文密码由 AES 加密,但是密钥固定:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190304145147.png-water_print

2.3 破解口令密文

利用 PowerSploit 中的 Get-GPPPassword 获取组策略中的口令:

Get-GPPPassword

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190304145225.png-water_print

3 利用组策略攻击客户端

向客户端下发组策略:

https://geekby.oss-cn-beijing.aliyuncs.com/MarkDown/20190305152456.png-water_print

更新于 2019-05-02
 域安全内网渗透
返回 | 主页