GPP漏洞利用(组策略学习)
本地组策略提权
只要把cs的木马放到本地组策略编译器中,只要机器重启就能上线cs,并且是system权限
把木马上传在C:\Windows\System32\GroupPolicy\Machine\Scripts\Startup
直接gpedit.msc打开本地组策略编译器,并把木马添加在启动项中,应用保存。
电脑重启后,木马以system权限上线
获取域组策略的凭据
创建组织单位aufeng123,将需要下发策略的用户移动到此单位。此时对aufeng123组进行组策略下发,该组里的用户都会被执行策略
组策略管理中新建GPO
右键刚刚新建的组策略,编辑
会弹出一个组策略管理编辑,右键本地用户和组中新建本地用户,我们将域中每个计算机的本地administrator用户更名为 aufengadmin,并且设置新的密码 Ojf123456789
然后在组策略管理中添加域内普通组
查看策略内容,文件内容里面cpassword项保存的是加密后的内容,加密方式为AES 256
- 域其他主机操作
\aufeng.com\是可以看到域中共享了NETLOGON、SYSVOL、SYSVOL2文件夹的
域内主机使用gpupdate /force更新策略
翻墙下载powershell脚本,https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Get-GPPPassword.ps1
通过powershell脚本Import-Module .\Get-GPPPassword.ps1;Get-GPPPassword 来**Groups.xml文件中cpassword字段的AES-256加密算法并得到域组策略中的明文密码
- 防御措施
1、安装 KB2962486补丁
2、给sysvol文件夹设置权限