内网渗透(五十九)组策略首选项提权

组策略首选项提权

组策略的安全问题

组策略拥有强大的功能，在使用过程中，如果使用不当或被攻击者恶意滥用，就会存在严重的安全问题

组策略首选项提权

前面我们讲到了GPT的存储位置位于域控的%systemroot%\sysvol\domain\Policies 文件夹内，任何用户可以访问该文件夹。

在企业的域环境中，所有机器都是脚本化批量部署的，数据量通常很大。为了方便对所有的机器进行操作,域管理员通常会使用在组策略进行统一的配置和管理。大多数企业在创建域环境后，会要求加入域的计算机使用域用户密码进行登陆验证。为了保证本地管理员密码的安全性，这些企业的域管理员往往会通过组策略修改本地管理员的密码。

域管理员通过组策略统一修改密码后，密码强度有所提高，该修改后的密码使用AES-256加密算法保存在sysvol共享目录中的XML文件内。本来AES-256加密算法的安全性是比较高的，但是在2012年微软在官方网站上公布了该密码的私钥，导致保存在XML文件中的密码可以被解密。任何有效的域用户均可对该共享目录进行访问，这就意味着任何用户都可以访问保存在XML文件中的密码并将其解密，从而控制域中所有使用改密码的计算机。

组策略首选项提权复现

首先我们针对域hack.com新建一个名为Gpp_test的组策略，然后对该组策略进行编辑，依次点击“计算机配置”---->“首选项”—>“控制面板设置”，右击“本地用户和组”，选“新建”—>"本地用户"选项，我们将域中每个计算机的本地Administrator用户更名为admin，并设置新的密码为root@123456，如图所示