内网渗透(五十九)组策略首选项提权
组策略首选项提权
组策略的安全问题
组策略拥有强大的功能,在使用过程中,如果使用不当或被攻击者恶意滥用,就会存在严重的安全问题
组策略首选项提权
前面我们讲到了GPT的存储位置位于域控的%systemroot%\sysvol\domain\Policies 文件夹内,任何用户可以访问该文件夹。
在企业的域环境中,所有机器都是脚本化批量部署的,数据量通常很大。为了方便对所有的机器进行操作,域管理员通常会使用在组策略进行统一的配置和管理。大多数企业在创建域环境后,会要求加入域的计算机使用域用户密码进行登陆验证。为了保证本地管理员密码的安全性,这些企业的域管理员往往会通过组策略修改本地管理员的密码。
域管理员通过组策略统一修改密码后,密码强度有所提高,该修改后的密码使用AES-256加密算法保存在sysvol共享目录中的XML文件内。本来AES-256加密算法的安全性是比较高的,但是在2012年微软在官方网站上公布了该密码的私钥,导致保存在XML文件中的密码可以被解密。任何有效的域用户均可对该共享目录进行访问,这就意味着任何用户都可以访问保存在XML文件中的密码并将其解密,从而控制域中所有使用改密码的计算机。
组策略首选项提权复现
首先我们针对域hack.com新建一个名为Gpp_test的组策略,然后对该组策略进行编辑,依次点击“计算机配置”---->“首选项”—>“控制面板设置”,右击“本地用户和组”,选“新建”—>"本地用户"选项,我们将域中每个计算机的本地Administrator用户更名为admin,并设置新的密码为root@123456,如图所示