组策略之LAPS

简介

全称：Local Administrator Password Solution

将本地管理员密码存储在LDAP上，作为计算机账户的一个机密属性，配合GPO，实现自动定期修改密码、设置密码长度、强度等，然后配置某些指的账号，能查看存储的密码， 如果用户需要，可以用PowerShell或指的工具查询密码，但对非授权用户，确无法获取，从而实现本机管理员的自动化管理。 LAPS使用两个LDAP属性来存储本地管理员凭证，这两个属性分别是ms-MCS-AdmPwd（存储密码）和ms-MCS-AdmPwdExpirationTime（存储过期时间）。

环境搭建

域控创建相关组织

创建组织OU：lapscomputers、lapsadminusers
创建组：lapsadmins

lapscomputers放机器、lapsadminusers放用户

移动目标机器进lapsOU内

确认新增机器

相关用户也拉进组及OU里

安装LAPS

安装后效果如下

导入AdmPwd.PS扩展架构
Import-module AdmPwd.PS
Update-AdmPwdADSchema

注意此处08powershell为2.0，需进行升级

确认属性新增

授予计算机修改本机ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd这两个扩展属性的权限
Set-AdmPwdComputerSelfPermission -OrgUnit lapscomputers

设置读取组织lapscomputers里的计算机扩展属性的权限组为lapsadmins
Set-AdmPwdReadPasswordPermission -OrgUnit lapscomputers -AllowedPrincipals lapsadmins

确认lapsadmins组新增了
Find-AdmPwdExtendedRights -Identity lapscomputers | Format-Table -AutoSize 

设置重装密码权限组为lapsadmins
Set-AdmPwdResetPasswordPermission -OrgUnit lapscomputers -AllowedPrincipals lapsadmins

创建组策略

lapsadminusers的OU负责安装laps
当lapsadminusers组织里的域用户登录时，通过组策略安装laps
lapscomputers的OU负责设置laps
当域用户登陆后成功安装了laps后，通过组策略自动修改本地管理员密码

install laps安装

创建lapsadminusers的OU安装laps的组策略

将先前laps安装包放入新增的组策略目录
\\0day.org\SYSVOL\0day.org\Policies\{90777ACA-859D-4021-9249-4625C33063B3}\Machine

右键新增的组策略进行编辑，在软件安装处点击新建选择先前的msi包

此处如下选择

当域用户登录桌面时就会自动进行安装，如果已经装过了的就不会再安装

set laps安装

同理设置set laps组策略

进入编辑如下

密码长度及密码周期设定如下

此处未配置则未默认的administrator

密码到期时间可能比“密码设置”策略所需的时间长，启用此设置时，不允许计划密码到期时间长于“密码设置”策略规定的密码时间。 当检测到此类到期时，立即更改密码并根据策略设置密码到期。禁用或未配置此设置时，密码到期时间可能比“密码设置”策略所需的时间长。

此处启用后将对本地管理员密码进行设置

实际应用

更换先前设置的jerry用户登录域机器将进行安装laps如下

通过jerry链接ldap能够查看到本地管理员账户密码信息，应该是以明文显示的，这里却以ascii进行了展示，不过解码后也可以登陆上去，其实这里很奇怪，之前环境遇到的是明文的，不知是咋回事，如果有大哥知道希望可以帮忙答疑下谢谢

漏洞利用

Grouper2导出组策略

全局搜索laps可确认到连接的uid\

进一步查OU

通过jerry用户查全域内机器并输出用户密码，弟弟这里机器带不动其他的了，就一台做个演示

确认终端可成功登陆

参考

https://skewwg.github.io/2020/11/26/zu-ce-lue-zhi-laps/
https://www.opsit.cn/1377.html